Zákon z 3. júla 2002 o ochrane osobných údajov Zmena: 428/2002 Z.z.
Národná rada Slovenskej republiky sa uzniesla na tomto zákone:
PRVÁ CAST ZÁKLADNÉ USTANOVENIA
Predmet a pôsobnost zákona
§ 1
(1) Tento zákon upravuje
a) ochranu osobných údajov fyzických osôb pri ich spracúvaní,
b) zásady spracúvania osobných údajov,
c) bezpecnost osobných údajov,
d) ochranu práv dotknutých osôb,
e) cezhranicný tok osobných údajov,
f) registráciu a evidenciu informacných systémov,
g) zriadenie, postavenie a pôsobnost Úradu na ochranu osobných údajov (dalej len “úrad”).
(2) Tento zákon sa vztahuje na orgány štátnej správy, orgány územnej samosprávy, iné orgány verejnej moci, ako aj na ostatné právnické osoby a fyzické osoby, ktoré spracúvajú osobné údaje, urcujú úcel a prostriedky spracúvania alebo poskytujú osobné údaje na spracúvanie.
§ 2
(1) Tento zákon sa nevztahuje na ochranu osobných údajov spracúvaných fyzickou osobou v rámci výlucne osobných alebo domácich cinností.
(2) Ak osobné údaje spracúva orgán štátnej správy alebo iný štátny orgán a ich spracúvanie je nevyhnutné na zabezpecenie dôležitého záujmu štátu, pricom túto nevyhnutnost výslovne ustanovuje osobitný zákon 1) v oblasti
a) vnútorného poriadku a bezpecnosti,
b) obrany,
c) ochrany utajovaných skutocností,
d) trestného stíhania alebo súdneho konania,
e) ochrany ekonomického alebo financného záujmu štátu vrátane menových, rozpoctových a danových záležitostí, alebo
f) ochrany dotknutej osoby alebo práv a slobôd iných osôb vo veciach uvedených v písmenách a) až e), ustanovenia § 5 ods. 4, § 6 ods. 3 a 4, § 7 ods. 1, 6, 11 až 13, § 10 ods. 1 a 8, § 11 až 14, § 15 ods. 4 a 5, § 16, § 18 ods. 1 a 2, § 20 ods. 1, § 23 ods. 1 až 7, § 25 až 28 a § 32 tohto zákona sa nepoužijú.
—————————————————————————————————
1) Napríklad § 1 zákona Národnej rady Slovenskej republiky c. 171/1993 Z.z. o Policajnom zbore v znení zákona c. 490/2001 Z.z., § 1 a 2 zákona Národnej rady Slovenskej republiky c. 198/1994 Z.z. o Vojenskom spravodajstve, § 2 a 3 zákona c. 124/1992 Zb. o Vojenskej polícii, § 1 a 2 zákona Národnej rady Slovenskej republiky c. 46/1993 Z.z. o Slovenskej informacnej službe v znení zákona c. 256/1999 Z.z., § 2 zákona Národnej rady Slovenskej republiky c. 3/1993 Z.z. o zriadení Armády Slovenskej republiky v znení neskorších predpisov, § 12 zákona Národnej rady Slovenskej republiky c. 42/1994 Z.z. o civilnej ochrane obyvatelstva v znení neskorších predpisov, zákon c. 241/2001 Z.z. o ochrane utajovaných skutocností a o zmene a doplnení niektorých zákonov, § 3 a 4 zákona c. 153/2001 Z.z. o prokuratúre, § 1 až 3 zákona c. 335/1991 Zb. o súdoch a sudcoch v znení neskorších predpisov, § 3 zákona c. 440/2000 Z.z. o správach financnej kontroly v znení neskorších predpisov, § 10 zákona c. 367/2000 Z.z. o ochrane pred legalizáciou príjmov z trestnej cinnosti a o zmene a doplnení niektorých zákonov.
—————————————————————————————————
Vymedzenie niektorých pojmov
§ 3
Osobné údaje
Osobnými údajmi sú údaje týkajúce sa urcenej alebo urcitelnej fyzickej osoby, pricom takou osobou je osoba, ktorú možno urcit priamo alebo nepriamo, najmä na základe všeobecne použitelného identifikátora alebo na základe jednej ci viacerých charakteristík alebo znakov, ktoré tvoria jej fyzickú, fyziologickú, psychickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu.
§ 4
(1) Na úcely tohto zákona sa dalej rozumie
a) spracúvaním osobných údajov vykonávanie akýchkolvek operácií alebo súboru operácií s osobnými údajmi, napr. ich získavanie, zhromaždovanie, zaznamenávanie, usporadúvanie, prepracúvanie alebo zmena, vyhladávanie, prehliadanie, preskupovanie, kombinovanie, premiestnovanie, využívanie, uchovávanie, likvidácia, ich prenos, poskytovanie, sprístupnovanie alebo zverejnovanie,
b) poskytovaním osobných údajov odovzdávanie osobných údajov na spracúvanie inej právnickej osobe, fyzickej osobe, prípadne subjektu v cudzine s výnimkou dotknutej osoby, vlastného prevádzkovatela, sprostredkovatela alebo oprávnenej osoby,
c) sprístupnovaním osobných údajov oznámenie osobných údajov alebo umožnenie prístupu k nim inej právnickej osobe, fyzickej osobe, prípadne subjektu v cudzine s výnimkou dotknutej osoby, vlastného prevádzkovatela, sprostredkovatela alebo oprávnenej osoby,
d) zverejnovaním osobných údajov publikovanie, uverejnenie alebo vystavenie osobných údajov na verejnosti prostredníctvom masovokomunikacných prostriedkov, verejne prístupných pocítacových sietí, verejným vykonaním alebo vystavením diela, 2) verejným vyhlásením, uvedením vo verejnom zozname, v registri alebo v operáte, 3) ich umiestnením na úradnej tabuli alebo na inom verejne prístupnom mieste,
e) likvidáciou osobných údajov zrušenie osobných údajov rozložením, vymazaním alebo fyzickým znicením hmotných nosicov tak, aby sa z nich osobné údaje nedali reprodukovat,
f) blokovaním osobných údajov uvedenie osobných údajov do takého stavu, v ktorom sú neprístupné a je zabránené akejkolvek manipulácii s nimi,
g) informacným systémom akýkolvek súbor, sústava alebo databáza obsahujúca jeden alebo viac osobných údajov, ktoré sú spracúvané na dosiahnutie úcelu podla osobitných organizacných podmienok s použitím automatizovaných alebo neautomatizovaných prostriedkov spracúvania, napr. kartotéka, zoznam, register, operát, záznam alebo sústava obsahujúca spisy, doklady, zmluvy, potvrdenia, posudky, hodnotenia, testy,
h) úcelom spracúvania osobných údajov vopred jednoznacne vymedzený alebo ustanovený zámer spracúvania osobných údajov, ktorý sa viaže na urcitú cinnost,
i) súhlasom dotknutej osoby akýkolvek slobodne daný výslovný a zrozumitelný prejav vôle, ktorým dotknutá osoba vyjadruje súhlas so spracúvaním svojich osobných údajov,
j) cezhranicným tokom osobných údajov prenos osobných údajov mimo územia Slovenskej republiky subjektom so sídlom alebo s trvalým pobytom v cudzine alebo ich výmena s týmito subjektmi,
k) anonymizovaným údajom osobný údaj upravený do takej formy, v ktorej ho nemožno priradit dotknutej osobe, ktorej sa týka,
l) adresou súbor údajov o pobyte fyzickej osoby, do ktorého patria názov ulice, orientacné, prípadne súpisné císlo domu, názov obce, prípadne názov casti obce, poštové smerovacie císlo, názov okresu, názov štátu,
m) všeobecne použitelným identifikátorom trvalý identifikacný osobný údaj dotknutej osoby, ktorý zabezpecuje jej jednoznacnost v informacných systémoch,
n) biometrickým údajom osobný údaj fyzickej osoby, na základe ktorého je jednoznacne a nezamenitelne urcitelná, napr. odtlacok prsta, odtlacok dlane, analýza deoxyribonukleovej kyseliny, profil deoxyribonukleovej kyseliny,
o) auditom bezpecnosti informacného systému nezávislé odborné posúdenie spolahlivosti a celkovej bezpecnosti informacného systému z hladiska zabezpecenia dôvernosti, integrity a dostupnosti spracúvaných osobných údajov.
(2) Prevádzkovatelom je orgán štátnej správy, orgán územnej samosprávy, iný orgán verejnej moci alebo iná právnická osoba alebo fyzická osoba, ktorá urcuje úcel a prostriedky spracúvania. Ak úcel a prostriedky spracúvania osobných údajov ustanovuje osobitný zákon, prevádzkovatelom je ten, koho ustanoví zákon alebo kto splní zákonom ustanovené podmienky.
(3) Sprostredkovatelom je orgán štátnej správy, orgán územnej samosprávy, iný orgán verejnej moci alebo iná právnická osoba alebo fyzická osoba, ktorá spracúva osobné údaje v mene prevádzkovatela.
(4) Oprávnenou osobou je každá fyzická osoba, ktorá prichádza do styku s osobnými údajmi v rámci svojho pracovného pomeru alebo obdobného pracovného vztahu, štátnozamestnaneckého pomeru alebo v rámci výkonu verejnej funkcie, ktorá môže osobné údaje spracúvat len na základe pokynu prevádzkovatela alebo sprostredkovatela, ak osobitný zákon neustanovuje inak.
(5) Dotknutou osobou je každá fyzická osoba, o ktorej sa spracúvajú osobné údaje.
(6) Užívatelom je právnická osoba, fyzická osoba, prípadne subjekt v cudzine, ktorému sú sprístupnené osobné údaje z informacného systému.
———————————————————————————————
2) § 13 zákona c. 383/1997 Z.z. Autorský zákon a zákon, ktorým sa mení a doplna Colný zákon v znení neskorších predpisov.
3) Napríklad § 27 až 34 Obchodného zákonníka, § 8 a 68 zákona Národnej rady Slovenskej republiky c. 162/1995 Z.z. o katastri nehnutelností a o zápise vlastníckych a iných práv k nehnutelnostiam (katastrálny zákon) v znení zákona c. 255/2001 Z.z., § 26 ods. 2 písm. e) zákona c. 195/2000 Z.z. o telekomunikáciách.
———————————————————————————————-
DRUHÁ CAST
PRÁVA, POVINNOSTI A ZODPOVEDNOST PRI SPRACÚVANÍ OSOBNÝCH ÚDAJOV
PRVÁ HLAVA
ZÁSADY SPRACÚVANIA OSOBNÝCH ÚDAJOV
§ 5
Prevádzkovatel a sprostredkovatel
(1) Osobné údaje môže spracúvat iba prevádzkovatel a sprostredkovatel.
(2) Sprostredkovatel je oprávnený spracúvat osobné údaje len v rozsahu a za podmienok dojednaných s prevádzkovatelom v písomnej zmluve alebo v písomnom poverení.
(3) Prevádzkovatel dbá pri výbere sprostredkovatela najmä na jeho záruky, pokial ide o opatrenia v oblasti technickej, organizacnej a personálnej bezpecnosti (§ 15 ods. 1). Prevádzkovatel nesmie zverit spracúvanie osobných údajov sprostredkovatelovi, ak by tým mohli byt ohrozené práva a právom chránené záujmy dotknutých osôb.
(4) Ak prevádzkovatel poveril spracúvaním sprostredkovatela až po získaní osobných údajov, oznámi to dotknutým osobám pri najbližšom kontakte s nimi, najneskôr však do troch mesiacov od poverenia sprostredkovatela. To platí aj vtedy, ak spracúvanie osobných údajov prevezme iný prevádzkovatel.
(5) Prevádzkovatelom a sprostredkovatelom môže byt iba ten, kto má sídlo alebo trvalý pobyt na území Slovenskej republiky.
§ 6
Úcel spracúvania osobných údajov
(1) Ak úcel spracúvania osobných údajov neustanovuje osobitný zákon, prevádzkovatel pred zacatím spracúvania jednoznacne vymedzí úcel a zabezpecí, aby sa nespracúvali osobné údaje, ktoré
a) svojím rozsahom a obsahom sú nezlucitelné s daným úcelom spracúvania, pricom dalšie spracúvanie osobných údajov na historické, štatistické a vedecké úcely sa nepovažuje za nezlucitelné, alebo
b) sú casovo alebo vecne neaktuálne vo vztahu k úcelu spracúvania.
(2) Úcel spracúvania osobných údajov musí byt jasný a nesmie byt v rozpore so zákonmi.
(3) Spracúvat možno len také osobné údaje, ktoré svojím rozsahom a obsahom zodpovedajú úcelu ich spracúvania. Spôsob spracúvania a využívania osobných údajov musí zodpovedat úcelu ich spracúvania.
(4) Od dotknutej osoby možno vyžadovat len také osobné údaje, ktoré sú nevyhnutné na dosiahnutie úcelu spracúvania. K takýmto osobným údajom môže prevádzkovatel alebo sprostredkovatel priradit dalšie osobné údaje dotknutej osoby, ktoré bezprostredne súvisia s daným úcelom spracúvania, len ak na ne dotknutú osobu upozorní a táto s tým písomne súhlasí. Tento súhlas si prevádzkovatel ani sprostredkovatel nesmú vynucovat a ani podmienovat hrozbou odmietnutia zmluvného vztahu, služby, tovaru alebo povinnosti ustanovenej prevádzkovatelovi alebo sprostredkovatelovi zákonom.
(5) V prípade pochybnosti o tom, ci spracúvané osobné údaje svojím rozsahom, obsahom a spôsobom spracúvania alebo využívania zodpovedajú úcelu ich spracúvania, ci sú s daným úcelom spracúvania zlucitelné alebo casovo a vecne neaktuálne vo vztahu k tomuto úcelu, rozhodne úrad. Stanovisko úradu je záväzné.
§ 7
Súhlas dotknutej osoby
(1) Osobné údaje možno spracúvat iba so súhlasom dotknutej osoby. Prevádzkovatel zabezpecí preukázatelnost súhlasu, a to tak, že možno o nom podat dôkaz.
(2) Dôkaz o preukázatelnom súhlase obsahuje najmä údaj o tom, kto súhlas poskytol, komu sa tento súhlas dáva, na aký úcel, zoznam osobných údajov, dobu platnosti súhlasu a podmienky jeho odvolania. Súhlas daný v písomnej forme je bez vlastnorucného podpisu toho, kto súhlas dáva, neplatný. Na tento úcel pre dokument v elektronickej forme možno použit elektronický podpis podla osobitného zákona.
(3) Súhlas podla odseku 1 sa nevyžaduje, ak sa osobné údaje spracúvajú na základe osobitného zákona, 4) ktorý ustanovuje zoznam osobných údajov, úcel ich spracúvania, podmienky ich získavania a okruh dotknutých osôb.
(4) Súhlas podla odseku 1 sa nevyžaduje aj vtedy, ak
a) sa spracúvajú osobné údaje bez možnosti ich poskytovania a sprístupnovania výlucne na úcely tvorby vedeckých, umeleckých alebo literárnych diel, pre potreby informovania verejnosti masovokomunikacnými prostriedkami, ako aj na historické alebo vedecké úcely a ak spracúvanie vykonáva prevádzkovatel, ktorému to vyplýva z predmetu jeho cinnosti,
b) sa spracúvané osobné údaje využijú na štatistické úcely; v týchto prípadoch treba osobné údaje anonymizovat,
c) spracúvanie osobných údajov je nevyhnutné na ochranu životne dôležitých záujmov dotknutej osoby, ktorá nemá spôsobilost na právne úkony alebo je fyzicky nespôsobilá na vydanie súhlasu, a ak nemožno získat súhlas jej zákonného zástupcu,
d) predmetom spracúvania sú výlucne titul, meno, priezvisko a adresa dotknutej osoby bez možnosti priradit k nim dalšie jej osobné údaje a ich využitie je urcené výhradne pre potreby prevádzkovatela v poštovom styku s dotknutou osobou a evidencie týchto údajov; ak je predmetom cinnosti prevádzkovatela priamy marketing, uvedené osobné údaje môže poskytovat bez možnosti ich sprístupnovania a zverejnovania len vtedy, ak sa poskytujú inému prevádzkovatelovi, ktorý má rovnaký predmet cinnosti výhradne na úcely priameho marketingu, a dotknutá osoba písomne neuplatnila námietku podla § 20 ods. 3 písm. c), alebo
e) sa spracúvajú už zverejnené osobné údaje; v týchto prípadoch treba osobné údaje náležite oznacit.
(5) Iná ako dotknutá osoba, s výnimkou osôb podla odsekov 8 a 9, môže poskytnút do informacného systému osobné údaje o dotknutej osobe len s jej písomným súhlasom. To neplatí, ak je to nevyhnutné na plnenie úloh orgánov cinných v trestnom konaní alebo sa osobné údaje poskytujú do informacného systému na základe osobitného zákona, 5) ktorý ustanovuje zoznam osobných údajov, úcel ich spracúvania a podmienky ich poskytovania.
(6) Spracúvané osobné údaje o dotknutej osobe možno z informacného systému poskytnút, sprístupnit alebo zverejnit len s jej písomným súhlasom. To neplatí, ak je to nevyhnutné na plnenie úloh orgánov cinných v trestnom konaní, alebo ak sa osobné údaje poskytujú, sprístupnujú alebo zverejnujú z informacného systému na základe osobitného zákona, 6) ktorý ustanovuje zoznam osobných údajov, úcel a podmienky poskytovania, sprístupnovania alebo zverejnovania osobných údajov, ako aj právnické osoby, fyzické osoby, prípadne subjekty v cudzine, ktorým sa osobné údaje poskytujú alebo sprístupnujú.
(7) Ten, kto mieni zverejnit osobné údaje dotknutej osoby, nesmie svojím konaním neoprávnene zasahovat do práva na ochranu jej osobnosti a súkromia; ich zverejnenie nesmie byt v rozpore s oprávnenými záujmami dotknutej osoby. 7)
(8) Ak dotknutá osoba nemá spôsobilost na právne úkony v plnom rozsahu, 8) súhlas vyžadovaný podla tohto zákona môže poskytnút jej zákonný zástupca. 9)
(9) Ak dotknutá osoba nežije, súhlas vyžadovaný podla tohto zákona môže poskytnút jej blízka osoba. 10) Súhlas nie je platný, ak co len jedna blízka osoba písomne vyslovila nesúhlas.
(10) Ak sú spracúvané osobné údaje súcastou platnej zmluvy, ktorej jednou zo strán je dotknutá osoba a ktorá obsahuje náležitosti podla odseku 2, podpis dotknutej osoby na zmluve vyjadruje súcasne písomný súhlas so spracúvaním jej osobných údajov.
(11) Osobné údaje dotknutej osoby možno poskytnút z informacného systému inej právnickej osobe, fyzickej osobe, prípadne subjektu v cudzine len spolu s písomným dokladom o danom súhlase, ak tento zákon takýto súhlas vyžaduje; ten, kto osobné údaje takto poskytuje, môže písomný doklad o danom súhlase nahradit písomným vyhlásením prevádzkovatela o udelení súhlasu dotknutými osobami, ak prevádzkovatel vie preukázat, že písomný súhlas dotknutých osôb bol daný.
(12) Osobné údaje podla odseku 4 písm. c) a podla § 9 ods. 1 písm. b) možno spracúvat bez súhlasu dotknutej osoby len po dobu, kým nezaniknú dôvody, ktoré neumožnovali získat súhlas dotknutej osoby. Ak dôvody zanikli, ten kto osobné údaje spracúva, zabezpecí súhlas dotknutej osoby.
(13) Ten, kto tvrdí, že spracúva zverejnené osobné údaje, na požiadanie preukáže úradu, že spracúvané osobné údaje boli už zverejnené.
(14) Užívatel môže sprístupnené osobné údaje o dotknutej osobe spracúvat len pre vlastnú potrebu výlucne v rámci osobných alebo domácich cinností.
—————————————————————————————————
4) Napríklad § 38 až 41 zákona Národnej rady Slovenskej republiky c. 387/1996 Z.z. o zamestnanosti, § 11a ods. 2 zákona Slovenskej národnej rady c. 542/1990 Zb. o štátnej správe v školstve a školskej samospráve v znení zákona c. 416/2001 Z.z.
5) Napríklad § 17 a bod 15 všeobecnej casti prílohy 5 zákona c. 241/2001 Z.z.
6) Napríklad § 11 ods. 3 zákona Slovenskej národnej rady c. 542/1990 Zb. v znení neskorších predpisov, § 20 zákona c. 241/2001 Z.z.
7) § 11 až 16 Obcianskeho zákonníka.
8) § 8 Obcianskeho zákonníka.
9) § 26 až 30 Obcianskeho zákonníka.
10) § 116 Obcianskeho zákonníka.
—————————————————————————————————
§ 8
Osobitné kategórie osobných údajov
(1) Spracúvat osobné údaje, ktoré odhalujú rasový alebo etnický pôvod, politické názory, náboženskú vieru alebo svetonázor, clenstvo v politických stranách alebo politických hnutiach, clenstvo v odborových organizáciách a údaje týkajúce sa zdravia alebo pohlavného života, sa zakazuje.
(2) Pri spracúvaní osobných údajov možno využit na úcely urcenia fyzickej osoby všeobecne použitelný identifikátor ustanovený osobitným zákonom 11) len vtedy, ak jeho použitie je nevyhnutné na dosiahnutie daného úcelu spracúvania. Spracúvat iný identifikátor, ktorý v sebe skrýva charakteristiky dotknutej osoby, alebo zverejnovat všeobecne použitelný identifikátor sa zakazuje.
(3) Spracúvanie osobných údajov o porušení ustanovení predpisov trestného práva, priestupkového práva alebo obcianskeho práva, ako aj o výkone právoplatných rozsudkov alebo rozhodnutí môže vykonávat len ten, komu to umožnuje osobitný zákon. 12)
(4) Spracúvanie biometrických údajov možno vykonávat len za podmienok ustanovených v osobitnom zákone, ak
a) to prevádzkovatelovi vyplýva výslovne zo zákona, alebo
b) na spracúvanie dala písomný súhlas dotknutá osoba.
(5) Spracúvanie osobných údajov o psychickej identite fyzickej osoby alebo o jej psychickej pracovnej spôsobilosti môže vykonávat len psychológ alebo ten, komu to umožnuje osobitný zákon. 13)
————————————————————————————————-
11) Zákon Národnej rady Slovenskej republiky c. 301/1995 Z.z. o rodnom císle.
12) Napríklad § 40 ods. 2 písm. d) zákona c. 153/2001 Z.z., § 52 zákona Slovenskej národnej rady c. 372/1990 Zb. o priestupkoch v znení neskorších predpisov, zákon Národnej rady Slovenskej republiky c. 171/1993 Z.z. v znení neskorších predpisov.
13) Napríklad § 2 zákona Národnej rady Slovenskej republiky c. 199/1994 Z.z. o psychologickej cinnosti a Slovenskej komore psychológov, zákon Slovenskej národnej rady c. 542/1990 Zb. v znení neskorších predpisov.
————————————————————————————————
§ 9
Výnimky z obmedzení pri spracúvaní osobitných kategórií osobných údajov
(1) Zákaz spracúvania osobných údajov ustanovený v § 8 ods. 1 neplatí, ak dotknutá osoba dala písomný súhlas na ich spracúvanie alebo ak
a) spracúvanie vyžaduje osobitný zákon, ktorý ustanovuje zoznam osobných údajov, úcel ich spracúvania, podmienky ich získavania a okruh dotknutých osôb, alebo
b) spracúvanie je nevyhnutné na ochranu životne dôležitých záujmov dotknutej osoby alebo inej fyzickej osoby, ktorá nemá spôsobilost na právne úkony alebo je fyzicky nespôsobilá na vydanie písomného súhlasu, a ak nemožno získat písomný súhlas jej zákonného zástupcu, alebo
c) spracúvanie vykonáva v rámci oprávnenej cinnosti obcianske združenie, nadácia alebo nezisková organizácia poskytujúca všeobecne prospešné služby, politická strana alebo politické hnutie, odborová organizácia, štátom uznaná cirkev alebo náboženská spolocnost a toto spracúvanie sa týka iba ich clenov, ktorí sú s nimi vzhladom na ich ciele v pravidelnom styku, a osobné údaje slúžia výlucne pre ich vnútornú potrebu, alebo
d) spracúvanie sa týka osobných údajov, ktoré dotknutá osoba zverejnila alebo sú nevyhnutné pri uplatnovaní jej právneho nároku, alebo
e) spracúvanie sa požaduje na úcely preventívnej medicíny, lekárskej diagnostiky, nemocenského poistenia a dôchodkového zabezpecenia, poskytovania liecebnej starostlivosti alebo zdravotníckej starostlivosti a ak tieto údaje spracúva zdravotnícke zariadenie, zdravotná poistovna alebo Sociálna poistovna.
(2) Písomný súhlas dotknutej osoby daný podla odseku 1 je neplatný, ak jeho poskytnutie vylucuje osobitný zákon.
(3) Ustanovenie § 8 ods. 4 sa nepoužije, ak sa spracúvajú biometrické údaje s výnimkou analýzy deoxyribonukleovej kyseliny a profilu deoxyribonukleovej kyseliny dotknutých osôb na úcely evidencie vstupu alebo prístupu do vyhradených priestorov a ak ide výlucne o vnútornú potrebu prevádzkovatela.
§ 10
Získavanie osobných údajov
(1) Oprávnená osoba, ktorá získava osobné údaje v mene prevádzkovatela alebo sprostredkovatela, preukáže na požiadanie tomu, od koho osobné údaje dotknutej osoby požaduje, svoju totožnost a bez vyzvania mu vopred oznámi
a) názov a sídlo alebo trvalý pobyt prevádzkovatela; ak v mene prevádzkovatela koná sprostredkovatel, aj jeho názov a sídlo alebo trvalý pobyt,
b) úcel spracúvania osobných údajov vymedzený prevádzkovatelom alebo ustanovený osobitným zákonom; je vylúcené získavat osobné údaje pod zámienkou iného úcelu alebo inej cinnosti,
c) dobrovolnost alebo povinnost poskytovat požadované osobné údaje,
d) zákon, ktorý ustanovuje povinnost poskytnút požadované osobné údaje a následky odmietnutia poskytnút osobné údaje,
e) okruh užívatelov, ktorým budú osobné údaje sprístupnené,
f) právnické osoby, fyzické osoby, prípadne subjekty v cudzine, ktorým budú osobné údaje poskytnuté,
g) formu zverejnenia, ak majú byt osobné údaje zverejnené,
h) krajiny cezhranicného toku osobných údajov.
(2) Oprávnená osoba, ktorá v mene prevádzkovatela alebo sprostredkovatela získava osobné údaje podla odseku 1 písm. d), preukáže sa oprávnením na túto cinnost, ak to nevyplýva zo zákona.
(3) Oprávnenie na získavanie osobných údajov vydáva prevádzkovatel alebo sprostredkovatel.
(4) Prevádzkovatel, ktorý získava osobné údaje na úcely identifikácie fyzickej osoby pri jej jednorazovom vstupe do jeho priestorov, je oprávnený od nej požadovat meno, priezvisko, titul a císlo obcianskeho preukazu 14) alebo císlo služobného preukazu, alebo císlo cestovného dokladu, 15) štátnu príslušnost a preukázanie pravdivosti poskytnutých osobných údajov predkladaným dokladom. Ak sa fyzická osoba preukáže podla osobitného zákona, 16) je prevádzkovatel oprávnený od nej požadovat len evidencné císlo služobného preukazu. V týchto prípadoch sa odsek 1 nepoužije.
(5) Prevádzkovatel alebo sprostredkovatel, ktorý v priestoroch prístupných verejnosti získava, poskytuje alebo sprístupnuje osobné údaje, zabezpecí diskrétnost pri ich spracúvaní.
(6) Získavat osobné údaje nevyhnutné na dosiahnutie úcelu spracúvania kopírovaním, skenovaním alebo iným zaznamenávaním úradných dokladov na nosic informácií možno len vtedy, ak s tým dotknutá osoba písomne súhlasí alebo ak to osobitný zákon výslovne umožnuje bez súhlasu dotknutej osoby. 17) Súhlas dotknutej osoby si prevádzkovatel ani sprostredkovatel nesmú vynucovat ani podmienovat hrozbou odmietnutia zmluvného vztahu, služby, tovaru alebo povinnosti ustanovenej prevádzkovatelovi alebo sprostredkovatelovi zákonom.
(7) Priestor prístupný verejnosti možno monitorovat pomocou videozáznamu alebo audiozáznamu len na úcely verejného poriadku a bezpecnosti, odhalovania kriminality alebo narušenia bezpecnosti štátu, a to len vtedy, ak priestor je zretelne oznacený ako monitorovaný. Oznacenie monitorovaného priestoru sa nevyžaduje, ak tak ustanovuje osobitný zákon. Vyhotovený záznam možno využit len na úcely trestného konania alebo konania o priestupkoch, ak osobitný zákon neustanovuje inak.
(8) Prevádzkovatel, ktorý získa osobné údaje uvedené v § 7 ods. 4 písm. d) bez vedomia dotknutej osoby alebo priamo od nej, poskytne jej pri prvom kontakte informácie podla odseku 1 a ak sú spracúvané na úcely priameho marketingu, oboznámi ju aj s právom písomne namietat proti ich poskytovaniu a využívaniu v poštovom styku.
(9) Prevádzkovatelia, ktorých predmetom cinnosti je priamy marketing, vedú zoznam poskytnutých osobných údajov podla § 7 ods. 4 písm. d) v rozsahu meno, priezvisko, titul a adresa dotknutej osoby, dátum ich poskytnutia, prípadne dátum, od ktorého platí zákaz ich dalšieho poskytovania podla § 13 ods. 6, a názov právnickej osoby alebo fyzickej osoby, ktorej boli uvedené osobné údaje poskytnuté. Zoznam v rovnakom rozsahu vedú aj právnické osoby a fyzické osoby, ktorým boli tieto osobné údaje poskytnuté.
—————————————————————————————————
14) Zákon Národnej rady Slovenskej republiky c. 162/1993 Z.z. o obcianskych preukazoch v znení neskorších predpisov.
15) Zákon c. 381/1997 Z.z. o cestovných dokladoch.
16) Napríklad § 8 zákona Národnej rady Slovenskej republiky c. 46/1993 Z.z., § 8 zákona Národnej rady Slovenskej republiky c. 198/1994 Z.z., § 14 ods. 1 písm. a) zákona Národnej rady Slovenskej republiky c. 171/1993 Z.z. v znení neskorších predpisov, § 9 zákona c. 124/1992 Zb.
17) Napríklad § 15 ods. 3 zákona c. 200/1998 Z.z. o štátnej službe colníkov a o zmene a doplnení niektorých dalších zákonov.
—————————————————————————————————
§ 11
Pravdivost osobných údajov
Do informacného systému možno poskytnút len pravdivé osobné údaje. Za nepravdivost osobných údajov zodpovedá ten, kto ich do informacného systému poskytol.
§ 12
Správnost a aktuálnost osobných údajov
(1) Správnost a aktuálnost osobných údajov zabezpecuje prevádzkovatel. Za správny sa považuje taký osobný údaj, ktorý sa poskytol v súlade s § 11.
(2) Na úcel správnosti a aktuálnosti osobných údajov prevádzkovatel zabezpecí opravu alebo doplnenie tých osobných údajov, ktoré sa v priebehu spracúvania stanú neaktuálnymi, alebo sa preukáže, že sú nesprávne.
§ 13
Likvidácia osobných údajov
(1) Prevádzkovatel po splnení úcelu spracúvania zabezpecí bezodkladne likvidáciu osobných údajov.
(2) Prevádzkovatel zabezpecí bezodkladne likvidáciu osobných údajov okrem osobných údajov uvedených v § 7 ods. 4 písm. d) aj vtedy, ak
i. a) zanikli dôvody, ktoré neumožnovali získat súhlas dotknutej osoby (§ 7 ods. 12), a súhlas nebol daný, alebo
ii. dotknutá osoba uplatní námietku podla § 20 ods. 3 písm. a); dalej prevádzkovatel postupuje podla odseku 5.
(3) Odsek 1 sa nepoužije, ak
a) osobitný zákon ustanovuje lehotu, 18) ktorá neumožnuje osobné údaje bezodkladne zlikvidovat; prevádzkovatel zabezpecí likvidáciu osobných údajov bezodkladne po uplynutí zákonom ustanovenej lehoty,
b) sú osobné údaje súcastou archívnych dokumentov, 19)
c) sa písomný, obrazový, zvukový alebo iný záznam obsahujúci osobné údaje zaradí do predarchívnej starostlivosti; 20) pocas predarchívnej starostlivosti sa nesmú vykonávat žiadne operácie spracúvania s osobnými údajmi s výnimkou ich uchovávania a využit ich možno len na úcely obcianskoprávneho konania, trestného konania alebo správneho konania.
(4) Úschovné lehoty písomných, obrazových, zvukových a iných záznamov, ktoré obsahujú osobné údaje a sú zaradené do predarchívnej starostlivosti, možno stanovit len na dobu nevyhnutnú na uplatnenie práv alebo povinností ustanovených zákonom. 21)
(5) Ak dotknutá osoba uplatní námietku podla § 20 ods. 3 písm. b), prevádzkovatel bezodkladne skoncí využívanie osobných údajov uvedených v § 7 ods. 4 písm. d) v poštovom styku.
(6) Ak dotknutá osoba uplatní námietku podla § 20 ods. 3 písm. c), prevádzkovatel to bezodkladne písomne oznámi každému, komu osobné údaje uvedené v § 7 ods. 4 písm. d) poskytol; zákaz dalšieho poskytovania tu uvedených osobných údajov platí pre prevádzkovatela a každého, komu ich prevádzkovatel poskytol odo dna nasledujúceho po dni dorucenia námietky dotknutej osoby, prípadne dorucenia písomného oznámenia prevádzkovatela.
(7) Ak vyhotovený záznam podla § 10 ods. 7 nie je využitý na úcely trestného konania alebo konania o priestupkoch, ten, kto ho vyhotovil, ho zlikviduje najneskôr v lehote siedmich dní odo dna nasledujúceho po dni, v ktorom bol záznam vyhotovený, ak osobitný zákon neustanovuje inak.
(8) Prevádzkovatel zabezpecí likvidáciu tých osobných údajov, ktoré sa nedajú opravit alebo doplnit tak, aby boli správne a aktuálne (§ 12 ods. 2).
—————————————————————————————————
18) Napríklad § 31 a 32 zákona c. 563/1991 Zb. o úctovníctve
v znení zákona c. 336/1999 Z.z.
19) § 2 ods. 1 zákona Slovenskej národnej rady c. 149/1975 Zb.
o archívnictve v znení zákona c. 571/1991 Zb.
20) § 6 zákona Slovenskej národnej rady c. 149/1975 Zb. v znení
zákona c. 571/1991 Zb.
21) Napríklad § 101 až 110 Obcianskeho zákonníka.
—————————————————————————————————
§ 14
Oznámenie o vykonaní opravy alebo likvidácie
(1) Opravu alebo likvidáciu osobných údajov oznámi prevádzkovatel do 30 dní od ich vykonania dotknutej osobe a každému, komu ich poskytol.
(2) Od oznámenia možno upustit, ak sa neoznámením opravy alebo likvidácie osobných údajov neporušia práva dotknutej osoby.
DRUHÁ HLAVA
BEZPECNOST OSOBNÝCH ÚDAJOV
§ 15
Zodpovednost za bezpecnost osobných údajov
(1) Za bezpecnost osobných údajov zodpovedá prevádzkovatel a sprostredkovatel tým, že ich chráni pred odcudzením, stratou, poškodením, neoprávneným prístupom, zmenou a rozširovaním. Na tento úcel prijme primerané technické, organizacné a personálne opatrenia zodpovedajúce spôsobu spracúvania.
(2) Opatrenia podla odseku 1 prijme prevádzkovatel a sprostredkovatel vo forme bezpecnostného projektu informacného systému (dalej len “bezpecnostný projekt”) a zabezpecí jeho vypracovanie, ak
a) informacný systém je prepojený na verejne prístupnú pocítacovú siet, alebo je prevádzkovaný v pocítacovej sieti, ktorá je prepojená na verejne prístupnú pocítacovú siet,
b) sú v informacnom systéme spracúvané osobitné kategórie osobných údajov (§ 8), alebo
c) informacný systém podlieha výnimkám uvedeným v § 2 ods. 2.
(3) Na požiadanie úradu prevádzkovatel a sprostredkovatel preukážu rozsah a obsah prijatých technických, organizacných a personálnych opatrení podla odseku 1 alebo 2.
(4) Ak sú predmetom kontroly informacné systémy podla odseku 2, úrad má právo požadovat od prevádzkovatela alebo sprostredkovatela predloženie hodnotiacej správy o výsledku auditu bezpecnosti informacného systému (dalej len “hodnotiaca správa”), ak sú vážne pochybnosti o jeho bezpecnosti alebo o praktickom uplatnovaní opatrení uvedených v bezpecnostnom projekte. Hodnotiacu správu, nie staršiu ako dva roky, bezodkladne predloží prevádzkovatel alebo sprostredkovatel úradu, inak zabezpecí vykonanie auditu bezpecnosti informacného systému na vlastné náklady a predloží hodnotiacu správu najneskôr do troch mesiacov odo dna uloženia povinnosti.
(5) Audit bezpecnosti informacného systému môže vykonat iba externá, odborne spôsobilá právnická osoba alebo fyzická osoba, ktorá sa nepodielala na vypracovaní bezpecnostného projektu predmetného informacného systému, a nie sú pochybnosti o jej nezaujatosti.
§ 16
Bezpecnostný projekt
(1) Bezpecnostný projekt vymedzuje rozsah a spôsob technických, organizacných a personálnych opatrení potrebných na eliminovanie a minimalizovanie hrozieb a rizík pôsobiacich na informacný systém z hladiska narušenia jeho bezpecnosti, spolahlivosti a funkcnosti.
(2) Bezpecnostný projekt sa spracúva v súlade so základnými pravidlami bezpecnosti informacného systému vydanými bezpecnostnými štandardmi, právnymi predpismi a medzinárodnými zmluvami, ktorými je Slovenská republika viazaná.
(3) Bezpecnostný projekt obsahuje najmä
a) bezpecnostný zámer,
b) analýzu bezpecnosti informacného systému,
c) bezpecnostné smernice.
(4) Bezpecnostný zámer vymedzuje základné bezpecnostné ciele, ktoré je potrebné dosiahnut na ochranu informacného systému pred ohrozením jeho bezpecnosti, a obsahuje najmä
a) formuláciu základných bezpecnostných cielov a minimálne požadovaných bezpecnostných opatrení,
b) špecifikáciu technických, organizacných a personálnych opatrení na zabezpecenie ochrany osobných údajov v informacnom systéme a spôsob ich využitia,
c) vymedzenie okolia informacného systému a jeho vztah k možnému narušeniu bezpecnosti,
d) vymedzenie hraníc urcujúcich množinu zvyškových rizík.
(5) Analýza bezpecnosti informacného systému je podrobný rozbor stavu bezpecnosti informacného systému, ktorá obsahuje najmä
a) kvalitatívnu analýzu rizík, v rámci ktorej sa identifikujú hrozby pôsobiace na jednotlivé aktíva informacného systému spôsobilé narušit jeho bezpecnost alebo funkcnost; výsledkom kvalitatívnej analýzy rizík je zoznam hrozieb, ktoré môžu ohrozit dôvernost, integritu a dostupnost spracúvaných osobných údajov, s uvedením rozsahu možného rizika, návrhov opatrení, ktoré eliminujú alebo minimalizujú vplyv rizík, a s vymedzením súpisu nepokrytých rizík,
b) použitie bezpecnostných štandardov a urcenie iných metód a prostriedkov ochrany osobných údajov; súcastou analýzy bezpecnosti informacného systému je posúdenie zhody navrhnutých bezpecnostných opatrení s použitými bezpecnostnými štandardmi, metódami a prostriedkami.
(6) Bezpecnostné smernice upresnujú a aplikujú závery vyplývajúce z bezpecnostného projektu na konkrétne podmienky prevádzkovaného informacného systému a obsahujú najmä
a) popis technických, organizacných a personálnych opatrení vymedzených v bezpecnostnom projekte a ich využitie v konkrétnych podmienkach,
b) rozsah oprávnení a popis povolených cinností jednotlivých oprávnených osôb, spôsob ich identifikácie a autentizácie pri prístupe k informacnému systému,
c) rozsah zodpovednosti oprávnených osôb a osoby zodpovednej za dohlad nad ochranou osobných údajov (§ 19),
d) spôsob, formu a periodicitu výkonu kontrolných cinností zameraných na dodržiavanie bezpecnosti informacného systému,
e) postupy pri haváriách, poruchách a iných mimoriadnych situáciách vrátane preventívnych opatrení na zníženie vzniku mimoriadnych situácií a možností efektívnej obnovy stavu pred haváriou.
§ 17
Poucenie
Prevádzkovatel a sprostredkovatel preukázatelne poucia právnické osoby a fyzické osoby, ktoré majú alebo môžu mat prístup k ich informacnému systému, o právach a povinnostiach ustanovených týmto zákonom a o zodpovednosti za ich porušenie.
§ 18
Povinnost mlcanlivosti
(1) Prevádzkovatel a sprostredkovatel sú povinní zachovávat mlcanlivost o osobných údajoch, ktoré spracúvajú. Povinnost mlcanlivosti trvá aj po ukoncení spracovania. Povinnost mlcanlivosti nemajú, ak je to podla osobitného zákona nevyhnutné na plnenie úloh orgánov cinných v trestnom konaní; tým nie sú dotknuté ustanovenia osobitných zákonov. 22)
(2) Oprávnená osoba je povinná zachovávat mlcanlivost o osobných údajoch, s ktorými príde do styku; tie nesmie využit ani pre osobnú potrebu a bez súhlasu prevádzkovatela ich nesmie zverejnit a nikomu poskytnút ani sprístupnit.
(3) Povinnost mlcanlivosti podla odseku 2 platí aj pre iné fyzické osoby, ktoré v rámci svojej cinnosti (napr. údržba a servis technických prostriedkov) prídu do styku s osobnými údajmi u prevádzkovatela alebo sprostredkovatela.
(4) Povinnost mlcanlivosti podla odseku 2 trvá aj po zániku funkcie oprávnenej osoby alebo po skoncení jej pracovného pomeru alebo obdobného pracovného vztahu, ako aj štátnozamestnaneckého pomeru alebo vztahu podla odseku 3.
(5) Odseky 1 až 4 a ustanovená povinnost mlcanlivosti prevádzkovatelov, sprostredkovatelov a oprávnených osôb podla osobitných predpisov 23) sa nepoužijú vo vztahu k úradu pri plnení jeho úloh (§ 38 až 44).
—————————————————————————————————
22) Napríklad § 40 zákona Národnej rady Slovenskej republiky c. 566/1992 Zb. o Národnej banke Slovenska v znení zákona c. 149/2001 Z.z.
23) Napríklad § 6 ods. 1 zákona c. 150/2001 Z.z. o danových orgánoch a ktorým sa mení a doplna zákon c. 440/2000 Z.z. o správach financnej kontroly, § 14 zákona c. 330/2000 Z.z. o burze cenných papierov, § 134 zákona c. 566/2001 Z.z. o cenných papieroch a investicných službách a o zmene a doplnení niektorých zákonov (zákon o cenných papieroch), § 91 až 93 zákona c. 483/2001 Z.z. o bankách a o zmene a doplnení niektorých zákonov, § 24 zákona Slovenskej národnej rady c. 24/1991 Zb. o poistovníctve v znení neskorších predpisov, § 81 písm. e) a § 240 ods. 5 zákona c. 311/2001 Z.z. Zákonník práce, § 53 ods. 1 písm. e) zákona c. 312/2001 Z.z. o štátnej službe a o zmene a doplnení niektorých zákonov, § 9 ods. 2 písm. b) zákona c. 313/2001 Z.z. o verejnej službe, § 8 zákona c. 367/2000 Z.z., § 80 zákona Národnej rady Slovenskej republiky c. 171/1993 Z.z. v znení neskorších predpisov, § 15 ods. 2 a 3 zákona Národnej rady Slovenskej republiky c. 38/1993 Z.z. o organizácii Ústavného súdu Slovenskej republiky o konaní pred ním a o postavení jeho sudcov.
————————————————————————————————-
§ 19
Dohlad nad ochranou osobných údajov
(1) Za výkon dohladu nad ochranou osobných údajov spracúvaných podla tohto zákona zodpovedá prevádzkovatel.
(2) Ak prevádzkovatel zamestnáva viac ako pät osôb, výkonom dohladu písomne poverí zodpovednú osobu alebo viaceré zodpovedné osoby, ktoré dozerajú na dodržiavanie zákonných ustanovení pri spracúvaní osobných údajov.
(3) Odborné vyškolenie zodpovednej osoby alebo viacerých zodpovedných osôb zabezpecí prevádzkovatel. Rozsah odborného školenia zodpovedá najmä obsahu tohto zákona a úlohám z neho vyplývajúcim, ako aj obsahu medzinárodných zmlúv o ochrane osobných údajov, 24) ktoré boli vyhlásené spôsobom ustanoveným zákonom. Úrad môže od prevádzkovatela žiadat podanie dôkazu o vykonanom odbornom školení.
(4) Zodpovedná osoba posúdi pred zacatím spracúvania osobných údajov v informacnom systéme, ci ich spracúvaním nevzniká nebezpecenstvo narušenia práv a slobôd dotknutých osôb. Zistenie narušenia práv a slobôd dotknutých osôb pred zacatím spracúvania alebo porušenia zákonných ustanovení v priebehu spracúvania osobných údajov zodpovedná osoba bezodkladne písomne oznámi prevádzkovatelovi; ak prevádzkovatel po upozornení bezodkladne nevykoná nápravu, oznámi to zodpovedná osoba úradu.
—————————————————————————————————
24) Napríklad Dohovor o ochrane jednotlivcov pri automatizovanom spracovaní osobných údajov (oznámenie c. 49/2001 Z.z.).
—————————————————————————————————
TRETIA HLAVA
OCHRANA PRÁV DOTKNUTÝCH OSÔB
§ 20
Práva dotknutej osoby
(1) Dotknutá osoba má právo na základe písomnej žiadosti od prevádzkovatela vyžadovat
a) informácie o stave spracúvania svojich osobných údajov v informacnom systéme v rozsahu podla § 26 ods. 3,
b) presné informácie o zdroji, z ktorého získal osobné údaje spracúvané podla § 7 ods. 4 písm. d) a e),
c) odpis jej osobných údajov, ktoré sú predmetom spracúvania,
d) opravu nesprávnych alebo neaktuálnych osobných údajov v priebehu spracúvania,
e) likvidáciu jej osobných údajov, ak bol splnený úcel ich spracúvania podla § 13 ods. 1; ak sú predmetom spracúvania úradné doklady obsahujúce osobné údaje, môže požiadat o ich vrátenie,
f) likvidáciu jej osobných údajov, ktoré sú predmetom spracúvania, ak došlo k porušeniu zákona.
(2) Právo dotknutej osoby možno obmedzit len podla odseku 1 písm. d) a e), ak takéto obmedzenie vyplýva z osobitného zákona alebo jeho uplatnením by bola porušená ochrana dotknutej osoby, alebo by boli porušené práva a slobody iných osôb.
(3) Dotknutá osoba na základe bezplatnej písomnej žiadosti má právo u prevádzkovatela namietat voci.
(4) Dotknutá osoba má právo namietat a nepodrobit sa rozhodnutiu prevádzkovatela, ktoré by malo pre nu právne úcinky alebo významný dosah, ak sa takéto rozhodnutie vydá výlucne na základe úkonov automatizovaného spracúvania jej osobných údajov. Toto právo možno obmedzit iba v prípade, ak to ustanovuje osobitný zákon, 25) v ktorom sú opatrenia na zabezpecenie oprávnených záujmov dotknutej osoby alebo obmedzenie práva vyplýva zo zmluvy uzatvorenej medzi prevádzkovatelom a dotknutou osobou.
(5) Dotknutá osoba má právo nesúhlasit s oznámením podla § 23 ods. 5 a písomne odmietnut prenos svojich osobných údajov.
(6) Dotknutá osoba pri podozrení, že jej osobné údaje sa neoprávnene spracúvajú, môže podat o tom oznámenie úradu.
(7) Ak dotknutá osoba nemá spôsobilost na právne úkony v plnom ozsahu, 8) jej práva môže uplatnit zákonný zástupca. 9)
(8) Ak dotknutá osoba nežije, jej práva, ktoré mala podla ohto zákona, môže uplatnit blízka osoba. 10)
a) spracúvaniu jej osobných údajov, o ktorých predpokladá, že sú alebo budú spracúvané na úcely priameho marketingu bez jej súhlasu a žiadat ich likvidáciu,
b) využívaniu osobných údajov uvedených v § 7 ods. 4 písm. d) na úcely priameho marketingu v poštovom styku, alebo
c) poskytovaniu osobných údajov uvedených v § 7 ods. 4 písm. d) na úcely priameho marketingu.
a) subjektom so sídlom alebo s trvalým pobytom v cudzine s výnimkou subjektu uvedeného v písmene b), a to aj v prípade, ak cielová krajina zarucuje primeranú úroven ochrany, alebo
b) organizacnej zložke prevádzkovatela alebo jeho nadriadenému orgánu, ak cielová krajina nezarucuje primeranú úroven ochrany a ak prenos možno vykonat len so súhlasom dotknutej osoby.
—————————————————————————————————
8) § 8 Obcianskeho zákonníka.
9) § 26 až 30 Obcianskeho zákonníka.
10) § 116 Obcianskeho zákonníka.
25) Napríklad § 121 a 122 zákona c. 100/1988 Zb. o sociálnom abezpecení v znení neskorších predpisov.
————————————————————————————————–
§ 21
Poskytnutie informácií dotknutej osobe
(1) Požiadavky dotknutej osoby podla § 20 ods. 1 písm. a), d) až f) splní prevádzkovatel bezplatne.
(2) Informácie podla § 20 ods. 1 písm. b) a c) prevádzkovatel poskytne dotknutej osobe bezplatne s výnimkou úhrady vo výške, ktorá nesmie prekrocit výšku materiálnych nákladov spojených so zhotovením kópií, so zadovážením technických nosicov a s odoslaním informácie dotknutej osobe, ak osobitný zákon neustanovuje inak. 26)
(3) Prevádzkovatel vyhovie požiadavkám dotknutej osoby podla § 20 a písomne ju informuje najneskoršie do 30 dní od ich prijatia.
———————————————————————————————-
26) Napríklad zákon Národnej rady Slovenskej republiky c. 162/1995 Z.z. v znení neskorších predpisov.
———————————————————————————————–
§ 22
Oznámenie o obmedzení práv dotknutej osoby
Obmedzenie práv dotknutej osoby podla § 20 ods. 1 písm. d) a e) prevádzkovatel bezodkladne písomne oznámi dotknutej osobe a úradu.
ŠTVRTÁ HLAVA
CEZHRANICNÝ TOK OSOBNÝCH ÚDAJOV
§ 23
(1) Ak cielová krajina cezhranicného toku osobných údajov zarucuje primeranú úroven ochrany, prenos osobných údajov subjektom so sídlom alebo s trvalým pobytom v cudzine možno vykonat za predpokladu, že boli splnené podmienky podla § 10 ods. 1.
(2) Primeranost úrovne ochrany osobných údajov sa hodnotí na základe všetkých okolností súvisiacich s prenosom. Osobitne sa pritom posudzujú príslušné právne predpisy v cielovej krajine vo vztahu k povahe osobných údajov, úcel a trvanie ich spracúvania.
(3) Ak neboli splnené podmienky podla § 10 ods. 1, prenos podla odseku 1 možno vykonat len za predpokladu, že
a) ide o prenos osobných údajov spracúvaných podla § 7 ods. 4 písm. d); to platí len vtedy, ak je subjektom organizacná zložka prevádzkovatela alebo jeho nadriadený orgán, ktorý neposkytne ani nesprístupní tieto osobné údaje v cielovej krajine inému subjektu s výnimkou takého, ktorý ich spracúva v mene prevádzkovatela,
b) je prenos ustanovený osobitným zákonom, alebo
c) prenos vyplýva z medzinárodnej zmluvy, ktorou je Slovenská republika viazaná.
(4) V prípade, že cielová krajina nezarucuje primeranú úroven ochrany, možno prenos vykonat pod podmienkou, že
a) dotknutá osoba dala nan písomný súhlas s vedomím, že cielová krajina nezarucuje primeranú úroven ochrany,
b) je nevyhnutný na plnenie zmluvy medzi dotknutou osobou a prevádzkovatelom alebo na zavedenie predzmluvných opatrení na žiadost dotknutej osoby,
c) je nevyhnutný na uzavretie zmluvy alebo plnenie zmluvy, ktorú prevádzkovatel uzavrel v záujme dotknutej osoby s iným subjektom,
d) je nevyhnutný na plnenie medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, alebo vyplýva zo zákona z dôvodu dôležitého verejného záujmu alebo pri preukazovaní, uplatnovaní alebo obhajovaní právneho nároku,
e) je nevyhnutný na ochranu životne dôležitých záujmov dotknutej osoby, alebo
f) sa týka osobných údajov, ktoré sú súcastou zoznamov, registrov alebo operátov a ktoré sú vedené a verejne prístupné podla osobitných zákonov alebo sú podla nich prístupné tým, ktorí preukážu právny nárok pri splnení zákonom ustanovených podmienok na ich sprístupnenie.
(5) Ak sa prevádzkovatel rozhodne vykonat prenos osobných údajov až po ich získaní, oznámi dotknutej osobe pred ich prenosom dôvod svojho rozhodnutia a oboznámi ju s právom odmietnut takýto prenos (§ 20 ods. 5). To neplatí, ak ide o prenos podla odseku 3.
(6) Ak prevádzkovatel poverí spracúvaním osobných údajov subjekt v cudzine, ktorý ich spracúva v mene prevádzkovatela, ten je oprávnený spracúvat osobné údaje len v rozsahu a za podmienok dojednaných s prevádzkovatelom v písomnej zmluve. Obsah zmluvy musí byt vypracovaný v súlade so štandardnými zmluvnými podmienkami ustanovenými na prenos osobných údajov subjektom v cudzine, ktoré ich spracúvajú v mene prevádzkovatela.
(7) Na prenos osobných údajov podla odseku 6 sa vyžaduje súhlas úradu.
(8) Ten, kto vykonáva prenos osobných údajov, zarucí ich bezpecnost (§ 15 ods. 1) aj pri tranzite.
(9) Ochrana osobných údajov, prenesených na územie Slovenskej republiky od subjektov so sídlom alebo s trvalým pobytom v cudzine, sa vykonáva v súlade s týmto zákonom.
(10) V prípade pochybnosti o tom, ci možno vykonat cezhranicný tok osobných údajov, rozhodne úrad. Stanovisko úradu je záväzné.
PIATA HLAVA
REGISTRÁCIA A EVIDENCIA INFORMACNÝCH SYSTÉMOV
§ 24
Povinnost registrácie a evidencie
Prevádzkovatel registruje informacné systémy alebo vedie o nich evidenciu v rozsahu a za podmienok ustanovených týmto zákonom.
Registrácia
§ 25
Podmienky registrácie
(1) Registráciu informacných systémov vykonáva úrad bezplatne.
(2) Registrácii podliehajú informacné systémy, v ktorých
a) sa spracúvajú osobitné kategórie osobných údajov (§ 8),
b) sa spracúvajú osobné údaje, ktoré sú predmetom cezhranicného toku (§ 23 ods. 1 až 7), alebo
c) osobné údaje spracúva sprostredkovatel (§ 5 ods. 2).
(3) Registrácii nepodliehajú informacné systémy uvedené v odseku 2, ak obsahujú
a) osobné údaje týkajúce sa zdravia a všeobecne použitelný identifikátor tých osôb, ktoré sú s prevádzkovatelom v pracovnom pomere alebo v obdobnom pracovnom vztahu, a osôb, ktoré sú s prevádzkovatelom v štátnozamestnaneckom pomere,
b) osobné údaje o clenstve osôb v odborových organizáciách, ktoré sú ich clenmi, a ak tieto osobné údaje sa využívajú výlucne pre ich vnútornú potrebu,
c) osobné údaje o náboženskej viere osôb združených v štátom uznanej cirkvi alebo v náboženskej spolocnosti a ak tieto osobné údaje sa využívajú výlucne pre ich vnútornú potrebu,
d) osobné údaje o clenstve osôb v politických stranách alebo v politických hnutiach, ktoré sú ich clenmi, a ak tieto osobné údaje sa využívajú výlucne pre ich vnútornú potrebu,
e) osobné údaje osôb zúcastnených v konaní pred orgánom štátnej správy, orgánom územnej samosprávy, ako aj pred inými orgánmi verejnej moci a ich spracúvanie sa vykonáva na základe osobitného zákona,
f) výlucne už zverejnené osobné údaje,
g) osobné údaje, ktoré slúžia masovokomunikacným prostriedkom výlucne pre ich informacnú cinnost,
h) osobné údaje na úcely preventívnej medicíny, lekárskej diagnostiky, poskytovania liecebnej alebo kúpelnej starostlivosti a dalších služieb zdravotnej starostlivosti a ak tieto osobné údaje spracúva zdravotnícke zariadenie,
i) osobné údaje na úcely výchovy alebo vzdelávania alebo vedy a výskumu, ako aj osobné údaje slúžiace na úcely štátnej štatistiky a ak prevádzkovatelom je zariadenie, ktorému táto úloha vyplýva zo zákona, alebo
j) osobné údaje, ktoré sa spracúvajú výlucne na úcely identifikácie osôb pri ich jednorazovom vstupe do priestorov prevádzkovatela.
(4) V prípade pochybnosti o tom, ci informacný systém podlieha registrácii, rozhodne úrad. Stanovisko úradu je záväzné.
§ 26
Prihlásenie na registráciu
(1) Za prihlásenie informacného systému na registráciu zodpovedá jeho prevádzkovatel.
(2) Prevádzkovatel prihlási informacný systém na registráciu pred zacatím spracúvania osobných údajov.
(3) Pri prihlasovaní informacného systému na registráciu prevádzkovatel uvedie tieto údaje:
a) názov, sídlo alebo trvalý pobyt, právnu formu a identifikacné císlo prevádzkovatela,
b) meno a priezvisko štatutárneho orgánu prevádzkovatela,
c) meno a priezvisko zodpovednej osoby vykonávajúcej dohlad nad ochranou osobných údajov, ak sa vyžaduje jej poverenie (§ 19 ods. 2),
d) názov, sídlo alebo trvalý pobyt, právnu formu a identifikacné císlo sprostredkovatela, ak spracúva osobné údaje v mene prevádzkovatela,
e) meno a priezvisko štatutárneho orgánu sprostredkovatela,
f) identifikacné oznacenie informacného systému,
g) úcel spracúvania osobných údajov,
h) zoznam osobných údajov,
i) okruh dotknutých osôb,
j) okruh užívatelov, ak sa im osobné údaje sprístupnujú,
k) právnické osoby, fyzické osoby, prípadne subjekty v cudzine, ak sa im osobné údaje poskytujú,
l) názvy cielových krajín, právny základ cezhranicného toku osobných údajov a opatrenia na zabezpecenie ochrany osobných údajov pri tranzite, ak sú predmetom cezhranicného toku,
m) právny základ informacného systému,
n) formu zverejnenia, ak sa zverejnenie osobných údajov vykonáva,
o) všeobecnú charakteristiku opatrení na zabezpecenie ochrany osobných údajov,
p) dátum zacatia spracúvania osobných údajov.
(4) Údaje v rozsahu podla odseku 3 sa úradu odovzdávajú v písomnej forme potvrdené štatutárnym orgánom prevádzkovatela alebo elektronicky vo forme databázového súboru s doloženým výtlackom obsahu súboru potvrdeným štatutárnym orgánom prevádzkovatela. Písomnú formu a formát databázového súboru urcí úrad. Doloženie výtlacku sa nepožaduje, ak databázový súbor je opatrený elektronickým podpisom podla osobitného zákona.
§ 27
Predbežná kontrola a vydanie potvrdenia o registrácii
(1) Úrad posúdi predložené údaje (§ 26 ods. 3), preverí, ci spracúvaním osobných údajov nevzniká nebezpecenstvo narušenia práv a slobôd dotknutých osôb a najneskôr do 30 dní odo dna ich prijatia vydá záväzné stanovisko o povinnosti registrácie informacného systému.
(2) V prípade pochybnosti si úrad vyžiada od prevádzkovatela dalšie vysvetlenia. Pocas tejto doby lehota podla odseku 1 neplynie.
(3) Súcastou registrácie je pridelenie registracného císla informacnému systému a vydanie potvrdenia o jeho registrácii. Registracné císlo prevádzkovatel uvedie vždy pri akejkolvek komunikácii o spracúvaných osobných údajoch.
(4) Prevádzkovatel môže zacat spracúvat osobné údaje v informacnom systéme prihlásenom na registráciu v den nasledujúci po dni, v ktorom úrad vydal potvrdenie o registrácii.
§ 28
Oznámenie zmien a odhlásenie z registrácie
(1) Prevádzkovatel do 15 dní písomne oznámi úradu akékolvek zmeny údajov podla § 26 ods. 3 s výnimkou písmena p), ktoré nastanú v priebehu spracúvania.
(2) Prevádzkovatel do 15 dní odo dna skoncenia spracúvania osobných údajov v informacnom systéme tento z registrácie písomne odhlási. Súcastou odhlásenia je dátum skoncenia spracúvania osobných údajov.
(3) Na oznámenie zmien údajov a odhlásenie informacného systému z registrácie sa primerane použije § 26 ods. 4.
Evidencia
§ 29
Podmienky evidencie
(1) O informacných systémoch, ktoré nepodliehajú registrácii, prevádzkovatel vedie evidenciu, a to najneskôr odo dna zacatia spracúvania údajov v týchto informacných systémoch.
(2) Odsek 1 sa nepoužije pre informacné systémy, ak
a) spracúvané osobné údaje slúžia výlucne pre potreby poštového styku s dotknutými osobami a evidencie týchto údajov [§ 7 ods. 4 písm. d)], alebo
b) obsahujú osobné údaje, ktoré sa spracúvajú výlucne na úcely identifikácie osôb pri ich jednorazovom vstupe do priestorov prevádzkovatela (§ 10 ods. 4).
§ 30
Obsah evidencie
Evidencia podla § 29 ods. 1 obsahuje údaje uvedené v § 26 ods. 3.
Sprístupnenie stavu registrácie a evidencie
§ 31
Verejnost registrácie
Registrácia vedená podla tohto zákona je verejná v rozsahu údajov podla § 26 ods. 3 s uvedením registracného císla informacného systému.
§ 32
Verejnost evidencie
Evidencia vedená podla tohto zákona je verejná. Údaje z evidencie prevádzkovatel sprístupní bezplatne komukolvek, kto o to požiada.
TRETIA CAST
ÚRAD
PRVÁ HLAVA
POSTAVENIE A PÔSOBNOST ÚRADU
§ 33
Pôsobnost úradu
(1) Zriaduje sa Úrad na ochranu osobných údajov, ktorý je orgánom štátnej správy s celoslovenskou pôsobnostou so sídlom v Bratislave.
(2) Úrad ako štátny orgán vykonáva dozor nad ochranou osobných údajov nezávisle a podiela sa na ochrane základných práv a slobôd fyzických osôb pri spracúvaní ich osobných údajov.
(3) Ak osobné údaje spracúvajú spravodajské služby, dozor nad ochranou osobných údajov podla odseku 2 vykonáva Národná rada Slovenskej republiky podla osobitného zákona. 27)
—————————————————————————————————
27) § 60 zákona Národnej rady Slovenskej republiky c. 350/1996 Z.z. o rokovacom poriadku Národnej rady Slovenskej republiky.
—————————————————————————————————
§ 34
Postavenie úradu
(1) Úrad je rozpoctovou organizáciou. 28) Návrh rozpoctu predkladá úrad ako súcast kapitoly Úradu vlády Slovenskej republiky. Schválený rozpocet úradu môže znížit v priebehu kalendárneho roku iba Národná rada Slovenskej republiky.
(2) Podrobnosti o organizácii úradu upraví organizacný poriadok.
—————————————————————————————————
28) § 21 ods. 1 a ods. 4 písm. a) zákona Národnej rady Slovenskej republiky c. 303/1995 Z.z. o rozpoctových pravidlách v znení neskorších predpisov.
—————————————————————————————————
§ 35
Predseda úradu
(1) Na cele úradu je predseda úradu.
(2) Predsedu úradu na návrh vlády Slovenskej republiky volí a odvoláva Národná rada Slovenskej republiky. Návrh na volbu predsedu úradu na nové funkcné obdobie predkladá vláda Slovenskej republiky Národnej rade Slovenskej republiky najneskôr 60 dní pred uplynutím funkcného obdobia úradujúceho predsedu úradu. Funkcné obdobie predsedu úradu je pät rokov a možno ho zvolit najviac na dve po sebe nasledujúce obdobia. Predseda úradu ostáva vo funkcii aj po uplynutí funkcného obdobia, kým Národná rada Slovenskej republiky nezvolí predsedu úradu na nové funkcné obdobie.
(3) Za predsedu úradu možno zvolit obcana, ktorý je volitelný za poslanca do Národnej rady Slovenskej republiky, je bezúhonný, má vysokoškolské vzdelanie, má najmenej 10 rokov odbornej praxe v oblasti informatiky alebo práva a dosiahol vek najmenej 35 rokov.
(4) Za bezúhonného obcana sa na úcely tohto zákona považuje obcan, ktorý nebol právoplatne odsúdený za úmyselný trestný cin alebo za trestný cin, za ktorý mu bol uložený nepodmienecný trest odnatia slobody. Bezúhonnost sa preukazuje výpisom z registra trestov, ktorý nie je starší ako tri mesiace.
(5) Predseda úradu nemôže byt clenom politickej strany ani politického hnutia.
(6) Platové a dalšie náležitosti predsedu úradu urcuje vláda Slovenskej republiky podla osobitného predpisu. 29)
(7) Pocas výkonu funkcie nesmie predseda úradu podnikat ani vykonávat inú zárobkovú cinnost s výnimkou vedeckej, pedagogickej, publicistickej, literárnej alebo umeleckej cinnosti a správy vlastného majetku a majetku svojich maloletých detí.
(8) Pocas výkonu funkcie je predseda úradu oprávnený oboznamovat sa s utajovanými skutocnostami podla osobitného predpisu. 30)
(9) Pocas funkcného obdobia i po jeho skoncení je predseda úradu povinný zachovávat mlcanlivost o skutocnostiach týkajúcich sa obsahu osobných údajov, o ktorých sa dozvedel pocas výkonu svojej funkcie.
(10) Od povinnosti mlcanlivosti môže predsedu úradu pre konkrétny prípad oslobodit Národná rada Slovenskej republiky.
(11) Za svoju cinnost zodpovedá predseda úradu Národnej rade Slovenskej republiky.
(12) Pred uplynutím funkcného obdobia zaniká výkon funkcie predsedu úradu
a) vzdaním sa funkcie,
b) stratou volitelnosti za poslanca Národnej rady Slovenskej republiky,
c) nadobudnutím právoplatnosti rozsudku, ktorým bol odsúdený za úmyselný trestný cin alebo ktorým bol odsúdený za trestný cin a súd nerozhodol v jeho prípade o podmienecnom odložení výkonu trestu odnatia slobody,
d) výkonom cinnosti, ktorá je nezlucitelná s výkonom jeho funkcie, alebo
e) smrtou.
(13) Národná rada môže odvolat z funkcie predsedu úradu,
a) ak mu zdravotný stav dlhodobo, najmenej však pocas jedného roka, nedovoluje riadne vykonávat povinnosti vyplývajúce z jeho funkcie,
b) ak porušil povinnost zachovávat mlcanlivost o skutocnostiach týkajúcich sa obsahu osobných údajov, o ktorých sa dozvedel pocas výkonu funkcie. Predseda úradu je odvolaný z funkcie dnom nasledujúcim po dni, ked mu bolo dorucené rozhodnutie Národnej rady Slovenskej republiky o odvolaní z funkcie.
—————————————————————————————————
29) Zákon c. 312/2001 Z.z.
30) § 31 ods. 1 písm. h) zákona c. 241/2001 Z.z.
—————————————————————————————————
§ 36
Podpredseda úradu
(1) Predsedu úradu v case jeho neprítomnosti zastupuje podpredseda úradu. Podpredseda úradu okrem toho plní úlohy, ktorými ho poverí predseda úradu.
(2) Podpredsedu úradu vymenúva a odvoláva vláda Slovenskej republiky na návrh predsedu úradu
(3) Na výkon funkcie podpredsedu úradu sa primerane použijú ustanovenia § 35 ods. 3 až 5, 7, 9 a 12.
(4) Od povinnosti mlcanlivosti môže podpredsedu úradu pre konkrétny prípad oslobodit predseda úradu.
§ 37
Vrchný inšpektor a inšpektori
(1) Cinnost inšpektorov riadi vrchný inšpektor.
(1) Inšpektori vykonávajú kontrolnú cinnost a sú vecne príslušní na plnenie úloh úradu.
(2) Inšpektorov vymenúva a odvoláva vláda Slovenskej republiky na návrh predsedu úradu. Za inšpektora možno vymenovat obcana, ktorý je volitelný za poslanca Národnej rady Slovenskej republiky,
(3) je bezúhonný, má vysokoškolské vzdelanie a najmenej trojrocnú odbornú prax v oblasti informatiky alebo práva a dosiahol vek najmenej 30 rokov. Vrchného inšpektora vymenúva a odvoláva vláda Slovenskej republiky na návrh predsedu úradu z radov inšpektorov, ktorí majú odbornú prax najmenej pät rokov a dosiahli vek najmenej 35 rokov.
(4) Funkcné obdobie vrchného inšpektora je pät rokov a do funkcie ho možno vymenovat opakovane. Na výkon funkcie vrchného inšpektora platia primerane odseky 2 a 6 a ustanovenia § 35 ods. 4, 5, 7, 12 a 13.
(5) Na výkon funkcie inšpektora platia primerane ustanovenia § 35 ods. 4, 5, 7, 12 a 13. Okrem dôvodov uvedených v § 35 ods. 13 možno inšpektora z funkcie odvolat pre
a) opakované neplnenie úloh uvedených v § 38 ods. 1 písm. f) a h) alebo pre sústavné menej závažné porušovanie pracovnej disciplíny a ak v posledných šiestich mesiacoch predseda úradu inšpektora opakovane písomne vyzval na odstránenie nedostatkov a inšpektor ich v primeranej lehote neodstránil, alebo
b) hrubé zanedbanie povinnosti uloženej inšpektorovi týmto zákonom [§ 38 ods. 1 písm. f) a h)], ak nepreukáže, že zavinenie nespôsobil alebo mu nemohol zabránit, alebo pre hrubé porušenie pracovnej disciplíny.
(6) Pocas pracovného pomeru i po jeho skoncení sú inšpektori a další zamestnanci úradu povinní zachovávat mlcanlivost o skutocnostiach týkajúcich sa obsahu osobných údajov, o ktorých sa dozvedeli pocas výkonu svojej práce. Od povinnosti mlcanlivosti môže inšpektorov a dalších zamestnancov úradu pre konkrétny prípad oslobodit predseda úradu.
DRUHÁ HLAVA
CINNOST ÚRADU
§ 38
Úlohy úradu
(1) Úrad plní tieto úlohy :
a) priebežne sleduje stav ochrany osobných údajov, registráciu informacných systémov a vedenie evidencie o informacných systémoch,
b) odporúca prevádzkovatelom opatrenia na zabezpecenie ochrany osobných údajov v informacných systémoch; na tento úcel vydáva v rozsahu svojej pôsobnosti odporúcania pre prevádzkovatelov,
c) pri pochybnostiach o tom, ci spracúvané osobné údaje svojím rozsahom, obsahom a spôsobom spracúvania a využívania zodpovedajú úcelu ich spracúvania, sú s daným úcelom spracúvania zlucitelné alebo sú casovo a vecne neaktuálne vo vztahu k tomuto úcelu, vydáva záväzné stanovisko,
d) pri pochybnostiach o cezhranicnom toku osobných údajov vydáva záväzné stanovisko,
e) pri pochybnostiach o registrácii informacného systému vydáva záväzné stanovisko,
f) prijíma a vybavuje stažnosti týkajúce sa porušenia ochrany osobných údajov,
g) pri podozrení z porušenia povinností uložených týmto zákonom môže predvolat prevádzkovatela alebo sprostredkovatela s cielom podat vysvetlenia,
h) kontroluje spracúvanie osobných údajov v informacných systémoch,
i) ukladá sankcie pri zistení porušenia povinností uvedených v tomto zákone,
j) podáva oznámenie 31) orgánom cinným v trestnom konaní pri podozrení, že ide o trestný cin,
k) vykonáva registráciu informacných systémov a zabezpecuje sprístupnenie stavu registrácie,
l) podiela sa na príprave všeobecne záväzných právnych predpisov v oblasti ochrany osobných údajov,
m) v rozsahu svojej pôsobnosti vydáva všeobecne záväzné právne predpisy,
n) vyjadruje sa k návrhom zákonov a k návrhom ostatných všeobecne záväzných právnych predpisov, v ktorých sa upravuje spracúvanie osobných údajov,
o) predkladá Národnej rade Slovenskej republiky správu o stave ochrany osobných údajov najmenej raz za dva roky.
(2) Do výlucnej pôsobnosti predsedu úradu patria úlohy uvedené v odseku 1 písm. b) až e), j), l) až o).
(3) Ak úrad zistí skutocnosti nasvedcujúce tomu, že zákon, iný všeobecne záväzný právny predpis alebo prevádzkovatelom vydaný vnútorný predpis porušuje základné práva a slobody fyzických osôb pri spracúvaní ich osobných údajov, predseda úradu môže podat podnet na jeho zmenu alebo zrušenie príslušnému orgánu.
—————————————————————————————————
31) § 158 ods. 1 Trestného poriadku.
—————————————————————————————————
Kontrolná cinnost
§ 39
Oprávnenia a povinnosti kontrolného orgánu
(1) Vrchný inšpektor a ostatní inšpektori (dalej len “kontrolný orgán”), ako aj predseda úradu a podpredseda úradu sú oprávnení
a) vstupovat na pozemky, do budov alebo miestností prevádzok a zariadení prevádzkovatela a sprostredkovatela,
b) vyžadovat od prevádzkovatela, sprostredkovatela a ich zamestnancov (dalej len “kontrolovaná osoba”), aby im v urcenej lehote poskytli doklady, iné písomnosti, vyjadrenia a informácie, údaje spracúvané na pamätových médiách vrátane technických nosicov údajov, výpisy a zdrojové kódy programov, ak ich vlastní, a dalšie materiály potrebné na výkon kontroly, originály alebo kópie a v odôvodnených prípadoch im umožnili odoberat kópie aj mimo priestorov kontrolovanej osoby,
c) požadovat v primeranej lehote od kontrolovanej osoby úplné a pravdivé ústne a písomné informácie, vyjadrenia a vysvetlenia ku kontrolovaným a súvisiacim skutocnostiam a k zisteným nedostatkom,
d) vyžadovat súcinnost kontrolovanej osoby.
(2) Kontrolný orgán je povinný
a) vopred oznámit kontrolovanej osobe predmet kontroly a pred zacatím kontroly preukázat svoju príslušnost k úradu,
b) vypracovat protokol o vykonaní kontroly (dalej len “protokol”),
c) uvádzat do protokolu kontrolné zistenia,
d) oboznámit kontrolovanú osobu s kontrolnými zisteniami a vyžiadat si od nej písomné vyjadrenie ku všetkým skutocnostiam, ktoré odôvodnujú uplatnenie právnej zodpovednosti; vznesené námietky proti uvádzaným kontrolným zisteniam z hladiska ich pravdivosti, úplnosti a preukázatelnosti uviest do protokolu,
e) odovzdat kontrolovanej osobe jedno vyhotovenie protokolu alebo záznamu o kontrole alebo ich kópie,
f) písomne potvrdit kontrolovanej osobe prevzatie kópií dokladov, písomných dokumentov, kópií pamätových médií a iných materiálov a zabezpecit ich riadnu ochranu pred stratou, znicením, poškodením a zneužitím.
(3) Protokol obsahuje názov, sídlo alebo trvalý pobyt kontrolovanej osoby, miesto a cas vykonania kontroly, predmet kontroly, kto kontrolu vykonal, preukázané kontrolné zistenia, vyjadrenia kontrolovanej osoby ku kontrolným zisteniam, dátum vypracovania protokolu, mená, pracovné zaradenie a vlastnorucné podpisy kontrolného orgánu a zodpovedných zamestnancov kontrolovanej osoby, ktorí boli s obsahom protokolu oboznámení, a dátum oboznámenia sa s protokolom. Ak sa kontrolovaná osoba odmietne oboznámit sa s obsahom protokolu, vyjadrit sa ku kontrolným zisteniam alebo podpísat protokol, uvedie sa táto skutocnost v protokole.
(4) Ak sa kontrolou zistí porušenie povinností ustanovených týmto zákonom, kontrolný orgán postupuje pri ukladaní opatrení na odstránenie kontrolou zistených nedostatkov podla § 46.
(5) Ak sa kontrolou nezistí porušenie povinností ustanovených týmto zákonom alebo iným zákonom, 32) kontrolný orgán vypracuje len záznam o kontrole. Pri jeho vypracovaní sa postupuje primerane podla odseku 3.
—————————————————————————————————
32) Napríklad § 178 a 257a Trestného zákona.
—————————————————————————————————
§ 40
Oprávnenia a povinnosti kontrolovanej osoby
(1) Kontrolovaná osoba je oprávnená v case oboznámenia sa s kontrolnými zisteniami vzniest námietky proti uvádzaným kontrolným zisteniam z hladiska ich pravdivosti, úplnosti a preukázatelnosti.
(2) Kontrolovaná osoba je povinná
a) vytvorit kontrolnému orgánu primerané podmienky na výkon kontroly a spracovanie kontrolných zistení,
b) poskytovat kontrolnému orgánu potrebnú súcinnost v súlade s oprávneniami podla § 39 ods. 1 a zdržat sa konania, ktoré by mohlo marit výkon kontroly,
c) dostavit sa v urcenej lehote na oboznámenie sa s obsahom protokolu na miesto urcené kontrolným orgánom,
d) po oboznámení sa s kontrolnými zisteniami podpísat protokol alebo záznam o kontrole; odmietnutie oboznámenia sa s obsahom protokolu alebo odmietnutie podpísania protokolu kontrolovanou osobou nemá vplyv na dôsledky vyplývajúce z obsahu tohto dokumentu,
e) písomne predložit kontrolnému orgánu v urcených lehotách opatrenia prijaté na odstránenie kontrolou zistených nedostatkov a písomnú správu o splnení týchto opatrení.
§ 41
Prizvané osoby
(1) Ak je to odôvodnené osobitnou povahou kontrolnej úlohy, môže kontrolný orgán prizvat na vykonanie kontroly iné fyzické osoby. Úcast týchto fyzických osôb na kontrole sa považuje za iný úkon vo všeobecnom záujme. Na prizvané osoby sa primerane vztahujú ustanovenia § 37 ods. 6 a § 39 ods. 1.
(2) Kontrolu nemôžu vykonávat prizvané osoby, o ktorých so zretelom na ich vztah k predmetu kontroly alebo na vztah ku kontrolovanej osobe možno mat pochybnosti o ich nezaujatosti. Prizvané osoby, ktoré samy vedia o skutocnostiach zakladajúcich pochybnosti o ich nepredpojatosti, oznámia tieto skutocnosti bez zbytocného odkladu úradu.
(3) Kontrolovaná osoba môže písomne vzniest preukázatelné námietky o zaujatosti prizvanej osoby. Prizvaná osoba môže do rozhodnutia o námietkach zaujatosti vykonat pri kontrole len úkony, ktoré nedovolujú odklad.
(4) O námietkach zaujatosti a o oznámení predpojatosti rozhodne predseda úradu. Rozhodnutie predsedu úradu v tejto veci je konecné.
§ 42
(1) Plnením konkrétnej úlohy pri výkone kontroly možno poverit dalších zamestnancov úradu. Na poverených zamestnancov úradu sa primerane vztahuje ustanovenie § 39 ods. 1 a 2 písm. a).
(2) Inšpektori a poverení zamestnanci úradu, ktorí samy vedia o skutocnostiach zakladajúcich pochybnosti o ich nepredpojatosti vo vztahu k predmetu kontroly alebo ku kontrolovanej osobe, oznámia tieto skutocnosti bez zbytocného odkladu predsedovi úradu. Ak predseda úradu uzná, že k predpojatosti došlo, osobu z konania vo veci vylúci.
§ 43
Na výkon kontroly sa nevztahujú predpisy o kontrole v štátnej správe. 33)
————————————————————————————————-
33) Zákon Národnej rady Slovenskej republiky c. 10/1996 Z.z. o kontrole v štátnej správe.
————————————————————————————————-
Súcinnost
§ 44
(1) Orgány štátnej správy, orgány územnej samosprávy, iné orgány verejnej moci, prevádzkovatelia a sprostredkovatelia poskytujú úradu potrebnú pomoc pri plnení jeho úloh (§ 38).
(2) Prevádzkovatel a sprostredkovatel poskytujú úradu pri plnení jeho úloh všetky ním požadované údaje v urcenej lehote.
(3) Prevádzkovatel a sprostredkovatel sa dostavia na predvolanie úradu s cielom podat vysvetlenia v urcenej lehote.
(4) Prevádzkovatel a sprostredkovatel sú povinní strpiet všetky úkony úradu smerujúce k vyšetreniu okolností potrebných na objektívne posúdenie prešetrovanej veci.
TRETIA HLAVA
OPATRENIA NA NÁPRAVU
§ 45
Prijímanie a vybavovanie stažností
(1) Právnické osoby a fyzické osoby môžu podat písomne stažnost, ktorá sa týka podozrenia z porušenia ochrany osobných údajov [§ 38 ods. 1 písm. f)]. Za stažnost sa nepovažuje stažnost podaná vlastným prevádzkovatelom alebo sprostredkovatelom.
(2) Úrad prešetrí a vybaví stažnost v lehote 60 dní odo dna prijatia. Predseda úradu môže túto lehotu v odôvodnených prípadoch primerane predlžit, najviac však o šest mesiacov. O predlžení lehoty musí byt stažovatel písomne upovedomený.
(3) Na prijímanie a vybavovanie stažností, ktoré sa týkajú podozrenia z porušenia ochrany osobných údajov, sa primerane vztahuje osobitný právny predpis 34) s výnimkou ustanovení § 3 a 4, § 10 až 14, § 18 a 21.
————————————————————————————————-
34) Zákon c. 152/1998 Z.z. o stažnostiach.
————————————————————————————————-
§ 46
Opatrenie
(1) Úrad
a) pri podozrení z porušenia povinnosti uloženej týmto zákonom výzve prevádzkovatela alebo sprostredkovatela na okamžité blokovanie osobných údajov alebo na docasné skoncenie tej cinnosti, ktorá by mohla plnenie takejto povinnosti ohrozit,
b) pri zistení porušenia povinnosti ustanovenej týmto zákonom vydá opatrenie, ktorým uloží prevádzkovatelovi alebo sprostredkovatelovi skoncenie tej cinnosti, ktorou bola porušená povinnost, vykonanie potrebných opatrení na odstránenie nedostatkov alebo zabezpecenie práv a právom chránených záujmov dotknutých osôb v urcenej lehote.
(2) Prevádzkovatel a sprostredkovatel bezodkladne vyhovejú požiadavkám úradu podla odseku 1 a v urcenej lehote informujú o ich splnení úrad.
(3) Prevádzkovatel a sprostredkovatel sú oprávnení písomne podat námietky proti opatreniu uloženému podla odseku 1 písm. a) do troch dní odo dna jeho dorucenia. Námietky proti takémuto opatreniu nemajú odkladný úcinok.
(4) Prevádzkovatel a sprostredkovatel sú oprávnení písomne podat námietky proti opatreniu uloženému podla odseku 1 písm. b) do siedmich dní odo dna jeho dorucenia. Námietky proti takémuto opatreniu majú odkladný úcinok.
(5) O námietke prevádzkovatela alebo sprostredkovatela podanej podla odseku 3 rozhodne predseda úradu do 15 dní a o námietke podanej podla odseku 4 rozhodne do 60 dní odo dna ich prijatia.
(6) Rozhodnutie predsedu úradu o námietkach je konecné.
(7) Písomné vyhotovenie výzvy na vykonanie opatrenia a písomné vyhotovenie rozhodnutia o námietkach sa oznamuje dorucením do vlastných rúk.
(8) Opatrenie uložené podla odseku 1 písm. a) môže úrad zrušit; úcinnost stráca dnom oznámenia opatrenia v predmetnej veci podla odseku 1 písm. b).
§ 47
Ustanoveniami § 45 a 46 nie je dotknuté právo na súdnu ochranu. 35)
—————————————————————————————————
35) § 247 a nasl. druhej hlavy Obcianskeho súdneho poriadku.
—————————————————————————————————
§ 48
Zverejnenie porušenia zákona
Ak podla tohto zákona došlo k závažnému porušeniu práv dotknutých osôb alebo slobôd iných osôb, môže predseda úradu zverejnit názov, sídlo alebo trvalý pobyt prevádzkovatela alebo sprostredkovatela a charakteristiku skutkového stavu porušenia ochrany osobných údajov.
ŠTVRTÁ HLAVA
SANKCIE ZA PORUŠENIE ZÁKONA
§ 49
Správne delikty
(1) Úrad môže uložit pokutu do 10 000 000 Sk prevádzkovatelovi alebo sprostredkovatelovi, ktorý
a) spracúva osobné údaje v rozpore s § 5 až 7 a § 10,
b) spracúva osobitné kategórie osobných údajov v rozpore s § 8 alebo 9,
c) vykonáva spracúvanie s nesprávnymi alebo neaktuálnymi osobnými údajmi (§ 12),
d) nelikviduje nesprávne alebo neaktuálne osobné údaje; likviduje alebo spracúva osobné údaje v rozpore s § 13,
e) nesplní oznamovaciu povinnost o oprave alebo likvidácii osobných údajov (§ 14),
f) nevykoná potrebné opatrenia na ochranu osobných údajov pred odcudzením, stratou, poškodením, neoprávneným prístupom, zmenou alebo šírením; neprijme opatrenia vo forme bezpecnostného projektu alebo predloží bezpecnostný projekt, ktorý neobsahuje náležitosti ustanovené týmto zákonom (§ 15 ods. 1 a 2 a § 16),
g) nezabezpecí vykonanie auditu bezpecnosti informacného systému alebo jeho vypracovanie je v rozpore s týmto zákonom, alebo nepredloží hodnotiacu správu (§ 15 ods. 4 a 5),
h) nepoucí právnické osoby a fyzické osoby, ktoré majú prístup k informacnému systému (§ 17),
i) nesplní požiadavky dotknutej osoby alebo povinnost poskytnút informácie dotknutej osobe (§ 20 a 21),
j) nevykoná oznámenie o obmedzení práv dotknutej osoby (§ 22),
k) vykoná prenos osobných údajov v rozpore s § 23,
l) neposkytne úradu požadované údaje alebo vysvetlenia (§ 44 ods. 2 a 3), alebo
m) nevyhovie požiadavkám úradu (§ 46 ods. 1 a 2).
(2) Úrad môže uložit pokutu do 3 000 000 Sk prevádzkovatelovi, ktorý nesplní povinnost registrácie informacného systému a s tým súvisiace povinnosti vyplývajúce z tohto zákona (§ 25 až 28).
(3) Úrad môže uložit pokutu do 1 000 000 Sk prevádzkovatelovi, ktorý nesplní povinnost vedenia evidencie informacného systému alebo odmietne údaje z evidencie sprístupnit (§ 29, 30 a 32).
(4) Úrad môže uložit pokutu do 500 000 Sk prevádzkovatelovi, ktorý písomne nepoverí zodpovednú osobu výkonom dohladu nad ochranou osobných údajov (§ 19 ods. 2), nezabezpecí jej odborné vyškolenie alebo jeho vykonanie nevie preukázat (§ 19 ods. 3).
(5) Úrad môže uložit pokutu do 100 000 Sk tomu, kto
a) poskytne osobné údaje v rozpore s § 7 ods. 5; to neplatí pre prevádzkovatela a sprostredkovatela,
b) poskytne nepravdivé osobné údaje (§ 11),
c) poruší povinnost mlcanlivosti o osobných údajoch (§ 18), alebo
d) ako zodpovedná osoba písomne neupozorní prevádzkovatela (§ 19 ods. 4).
(6) Pokutu podla odsekov 1 až 4 a podla § 50 môže úrad uložit opakovane, ak povinnost nebola splnená v urcenej lehote.
(7) Pri ukladaní pokút sa prihliadne najmä na závažnost, cas trvania a následky protiprávneho konania.
(8) Pokutu podla odsekov 1 až 5 možno uložit do jedného roka odo dna, ked úrad porušenie povinnosti zistil, najneskôr však do troch rokov odo dna, ked k porušeniu povinnosti došlo.
(9) Úrad môže v rozhodnutí o uložení pokuty súcasne povinnému uložit, aby v urcenej lehote vykonal opatrenia na nápravu následkov protiprávneho konania.
(10) Proti rozhodnutiu o uložení pokuty možno podat rozklad do 15 dní odo dna jeho dorucenia. O rozklade rozhodne predseda úradu do 60 dní odo dna jeho prijatia.
(11) Výnosy z pokút sú príjmom štátneho rozpoctu.
§ 50
Poriadkové pokuty
(1) Úrad môže uložit prevádzkovatelovi alebo sprostredkovatelovi poriadkovú pokutu.
a) do 50 000 Sk, ak nezabezpecí primerané podmienky na výkon kontroly [§ 40 ods. 2 písm. a)],
b) do 500 000 Sk, ak marí výkon kontroly [§ 40 ods. 2 písm. b)]; ak prevádzkovatel alebo sprostredkovatel preukáže, že marenie výkonu kontroly zavinila oprávnená osoba, jeho zodpovednost sa obmedzí a zodpovednou sa stáva aj oprávnená osoba.
(2) Poriadkovú pokutu možno uložit do jedného roka odo dna, ked k porušeniu povinnosti došlo.
ŠTVRTÁ CAST
SPOLOCNÉ, PRECHODNÉ A ZÁVERECNÉ USTANOVENIA
§ 51
Spolocné ustanovenie
(1) Na konanie podla tohto zákona sa vztahuje všeobecný predpis o správnom konaní, 36) ak tento zákon neustanovuje inak.
(2) Všeobecný predpis o správnom konaní sa nevztahuje na
a) rozhodovanie v pochybnostiach podla § 6 ods. 5, § 23 ods. 7 a 10 a § 25 ods. 4,
b) posudzovanie údajov o informacných systémoch prihlásených na registráciu (§ 27),
c) poskytovanie informácií dotknutej osobe (§ 20 až 22),
d) rozhodovanie o námietkach zaujatosti a o oznámení predpojatosti (§ 41),
e) prijímanie a vybavovanie stažností (§ 45),
f) na konanie o opatreniach (§ 46).
—————————————————————————————————
36) Zákon c. 71/1967 Zb. o správnom konaní (správny poriadok).
—————————————————————————————————
Prechodné ustanovenia
§ 52
(1) Prevádzkovatelia už fungujúcich informacných systémov uvedú ich do súladu s týmto zákonom do šiestich mesiacov odo dna jeho úcinnosti a ak to zákon vyžaduje, prihlásia ich v tejto lehote na registráciu.
(2) Prevádzkovatelia, ktorí spracúvajú osobné údaje na základe osobitného zákona, ktorý neustanovuje náležitosti podla § 7 ods. 3, 5, 6 alebo podla § 9 ods. 1 písm. a), môžu osobné údaje spracúvat v rozsahu nevyhnutnom na dosiahnutie ustanoveného úcelu spracúvania bez súhlasu dotknutých osôb do 31. decembra 2003.
§ 53
(1) Záväzky orgánu štátneho dozoru nad ochranou osobných údajov v informacných systémoch vyplývajúce z doterajšieho predpisu prechádzajú dnom nadobudnutia úcinnosti tohto zákona na úrad.
(2) Práva a povinnosti z pracovnoprávnych vztahov splnomocnenca na ochranu osobných údajov v informacných systémoch a zamestnancov Útvaru inšpekcie ochrany osobných údajov Úradu vlády Slovenskej republiky prechádzajú dnom nadobudnutia úcinnosti tohto zákona na úrad v plnom rozsahu.
(3) Majetok štátu v správe Úradu vlády Slovenskej republiky obstaraný na úcely plnenia úloh štátneho dozoru nad ochranou osobných údajov v informacných systémoch prechádza dnom nadobudnutia úcinnosti tohto zákona do správy úradu.
(4) Úrad vlády Slovenskej republiky zabezpecuje materiálnu a technickú prevádzku úradu do 31. decembra 2002.
(5) Majetok štátu v správe Štatistického úradu Slovenskej republiky, obstaraný na úcely registrácie informacných systémov obsahujúcich osobné údaje, prechádza dnom nadobudnutia úcinnosti tohto zákona do správy úradu.
(6) Záväzky vyplývajúce pre splnomocnenca na ochranu osobných údajov v informacných systémoch z medzištátnych dohôd v oblasti ochrany osobných údajov prechádzajú dnom nadobudnutia úcinnosti tohto zákona na úrad.
§ 54
(1) Splnomocnenec na ochranu osobných údajov v informacných systémoch vymenovaný do funkcie podla doterajšieho predpisu stáva sa dnom úcinnosti tohto zákona predsedom úradu a ostáva v tejto funkcii do konca funkcného obdobia, na ktoré bol ako splnomocnenec na ochranu osobných údajov v informacných systémoch vymenovaný.
(1) (2) Predseda úradu v lehote dvoch mesiacov odo dna úcinnosti tohto zákona rozhodne o tom, ci informacný systém prihlásený na registráciu podla doterajších predpisov možno považovat za zaregistrovaný podla tohto zákona. Ak predseda úradu rozhodne, že takýto informacný systém nepodlieha registrácii, oznámi to úrad v tej istej lehote prevádzkovatelovi.
(2) Konania zacaté pred dnom nadobudnutia úcinnosti tohto zákona sa dokoncia podla doterajších predpisov.
§ 55
Dnom vstupu Slovenskej republiky do Európskej únie sa na cezhranicný tok osobných údajov medzi Slovenskou republikou a clenskými štátmi Európskej únie nevztahujú ustanovenia § 23 ods. 1 až 7.
Záverecné ustanovenia
§ 56
Prechod práv
Ak sa v právnych predpisoch uvádza oznacenie splnomocnenec na ochranu osobných údajov, rozumie sa tým predseda úradu podla tohto zákona.
§ 57
Zrušovacie ustanovenie
Zrušujú sa :
1. zákon c. 52/1998 Z.z. o ochrane osobných údajov v informacných systémoch v znení zákona c. 241/2001 Z.z.,
2. vyhláška Štatistického úradu Slovenskej republiky c. 155/1998 Z.z., ktorou sa ustanovujú podrobnosti o spôsobe, forme a postupe pri registrácii informacného systému obsahujúceho osobné údaje.
§ 58
Úcinnost
Tento zákon nadobúda úcinnost 1. septembra 2002 s výnimkou § 35 ods. 2, ktorý nadobúda úcinnost 1. decembra 2003.
Rudolf Schuster v.r.
Jozef Migaš v.r.
Mikuláš Dzurinda v.r.