1
TABUĽKA ZHODY
Návrhu zákona č. /2013 o ochrane osobných údajov a o zmene a doplnení niektorých zákonov
Smernica Európskeho parlamentu a Rady 95/46/ES z 24.októbra 1995 o ochrane jednotlivcov pri spracovaní osobných údajov a voľnom pohybe týchto údajov
Zákon č. /2013 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov
1
2
3
4
5
6
7
8
Článok
(Č, O,
V, P)
Text
Spôsob transp.
(N, O, D, n.a.)
Číslo
Článok
(Č, §, O, V, P)
Text
Zhoda
Poznámky
Č : 1
O : 1
Účel Smernice
Podľa tejto smernice budú členské štáty chrániť základné práva a slobody fyzických osôb pri spracovaní osobných údajov, najmä ich právo na súkromie.
N
§:1
P:a
§:45
O:1
Tento zákon upravuje
ochranu práv fyzických osôb pred neoprávneným zasahovaním do ich súkromného života pri spracúvaní ich osobných údajov,
Úrad je orgánom štátnej správy s celoslovenskou pôsobnosťou, ktorý vykonáva dozor nad ochranou osobných údajov a podieľa sa na ochrane základných práv a slobôd fyzických osôb pri spracúvaní ich osobných údajov.
Ú
Č:1
O:2
Členské štáty nebudú obmedzovať ani brániť voľnému toku osobných údajov medzi sebou z dôvodov súvisiacich s ochranou poskytnutou v odstavci 1.
N
§:32
O:1
Voľný pohyb osobných údajov medzi Slovenskou republikou a členskými štátmi Európskej únie sa zaručuje; Slovenská republika neobmedzí ani nezakáže prenos osobných údajov z dôvodov ochrany základných práv a slobôd fyzických osôb, najmä ich práva na súkromie v súvislosti so spracúvaním ich osobných údajov.
U
Č:2
P:a
Vymedzenie základných pojmov
Na účely tejto smernice:
sa „osobnými údajmi“ rozumejú akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby („dotknutej osoby“); identifikovateľná osoba je osoba, ktorú je možné priamo alebo nepriamo identifikovať, najmä na základe identifikačného čísla alebo na základe jedného či viacerých faktorov, ktoré tvoria jej fyzickú, fyziologickú, mentálnu, ekonomickú, kultúrnu alebo
N
§:4
O:1
Osobnými údajmi údaje týkajúce sa určenej alebo určiteľnej fyzickej osoby, pričom takou osobou je osoba, ktorú možno určiť priamo alebo nepriamo, najmä na základe všeobecne použiteľného identifikátora alebo na základe jednej či viacerých charakteristík alebo znakov, ktoré tvoria jej fyzickú, fyziologickú, psychickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu.
U
2
sociálnu identitu,
Č:2
P:b
sa „spracovaním osobných údajov“ („spracovaním“) rozumie akákoľvek operácia alebo súbor operácií s osobnými údajmi, vykonávaný automatickými prostriedkami alebo bez nich, napr. ich zhromažďovanie, zaznamenávanie, usporadúvanie, uchovávanie, prepracovanie alebo zmena, vyhľadávanie, prehliadanie, využívanie, sprístupnenie pomocou prenosu, rozširovanie alebo poskytovanie iným spôsobom, preskupovanie alebo kombinovanie, rozloženie, výmaz alebo zničenie,
N
§:4
O:3
P:a
Na účely tohto zákona sa ďalej rozumie
spracúvaním osobných údajov vykonávanie operácií alebo súboru operácií s osobnými údajmi, najmä ich získavanie, zhromažďovanie, šírenie, zaznamenávanie, usporadúvanie, prepracúvanie alebo zmena, vyhľadávanie, prehliadanie, preskupovanie, kombinovanie, premiestňovanie, využívanie, uchovávanie, likvidácia, ich cezhraničný prenos, poskytovanie, sprístupňovanie alebo zverejňovanie; niektorými operáciami s osobnými údajmi sa podľa prvej vety rozumejú
1.poskytovaním osobných údajov odovzdávanie osobných údajov tretej strane, ktorá ich ďalej spracúva,
2.sprístupňovaním osobných údajov oznámenie osobných údajov alebo umožnenie prístupu k nim príjemcovi, ktorý ich ďalej nespracúva,
3.zverejňovaním osobných údajov publikovanie, uverejnenie alebo vystavenie osobných údajov na verejnosti prostredníctvom masovokomunikačných prostriedkov, verejne prístupných počítačových sietí, verejným vykonaním alebo vystavením diela, verejným vyhlásením, uvedením vo verejnom zozname, v registri alebo v operáte, ich umiestnením na úradnej tabuli alebo na inom verejne prístupnom mieste,
4.cezhraničným prenosom osobných údajov prenos osobných údajov mimo územia Slovenskej republiky a na územie Slovenskej republiky,
5.likvidáciou osobných údajov zrušenie osobných údajov rozložením, vymazaním alebo fyzickým zničením hmotných nosičov tak, aby sa z nich osobné údaje nedali reprodukovať,
6.blokovaním osobných údajov dočasné alebo trvalé pozastavenie spracúvania osobných údajov, počas ktorého možno vykonávať len tie operácie s osobnými údajmi, ktoré
U
3
sú nevyhnutné na splnenie povinnosti uloženej týmto zákonom.
Č.2
P:c
sa „informačným systémom s osobnými údajmi“ („informačným systémom“) rozumie ľubovoľný členený súbor osobných údajov, ktoré sú prístupné na základe osobitných kritérií, či už je tento súbor centralizovaný, decentralizovaný alebo distribuovaný na funkčnom alebo geografickom základe,
N
§:4
O:3
P:b
Na účely tohto zákona sa ďalej rozumie
informačným systémom osobných údajov informačný systém, v ktorom sa na vopred vymedzený alebo ustanovený účel systematicky spracúva alebo spracúvať akýkoľvek usporiadaný súbor osobných údajov prístupných podľa určených kritérií, bez ohľadu na to, či ide o informačný systém centralizovaný, decentralizovaný alebo distribuovaný na funkčnom alebo geografickom základe (ďalej len „informačný systém“); informačným systémom sa na účely tohto zákona rozumie aj súbor osobných údajov, ktoré sú spracúvané alebo pripravené na spracúvanie čiastočne automatizovanými alebo inými ako automatizovanými prostriedkami spracúvania,
U
P:d
sa „prevádzkovateľom“ rozumie fyzická alebo právnická osoba, verejný orgán, inštitúcia alebo iný subjekt, ktorý sám alebo spolu s inými stanovuje ciele a prostriedky spracovania osobných údajov; tam, kde ciele a prostriedky spracovania určujú národné zákony či predpisy alebo zákony či predpisy Spoločenstva, určí prevádzkovateľa alebo osobitné kritéria jeho menovania národný alebo komunitárny zákon,
N
§:4
O:2
P:b
§:5
O:2
§:6
O:1
Na účely tohto zákona sa rozumie
prevádzkovateľom každý, kto sám alebo spoločne s inými vymedzí účel spracúvania osobných údajov, určí podmienky ich spracúvania a spracúva osobné údaje vo vlastnom mene; ak účel, prípadne aj podmienky spracúvania osobných údajov ustanovuje zákon, priamo vykonateľný právne záväzný akt Európskej únie, alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná, prevádzkovateľom je ten, kto je na plnenie účelu spracúvania za prevádzkovateľa ustanovený alebo kto spĺňa zákonom, priamo vykonateľným právne záväzným aktom Európskej únie, alebo medzinárodnou zmluvou, ktorou je Slovenská republika viazaná ustanovené podmienky,
Osobné údaje môže spracúvať iba prevádzkovateľ a sprostredkovateľ.
Spracúvať osobné údaje vo vlastnom mene môže len prevádzkovateľ. Prevádzkovateľ spracúva osobné údaje v súlade s § 9, spôsobom, ktorý je v súlade s dobrými mravmi, a to len na vymedzený alebo ustanovený účel.
U
4
§:6
O:2
P:a
P:b
P:c
P:d
P:e
P:f
P:g
Prevádzkovateľ je povinný
pred začatím spracúvania osobných údajov vymedziť účel spracúvania osobných údajov; účel spracúvania osobných údajov musí byť jasný, vymedzený jednoznačne a konkrétne a musí byť v súlade s Ústavou Slovenskej republiky, ústavnými zákonmi, zákonmi a medzinárodnými zmluvami, ktorými je Slovenská republika viazaná,
určiť podmienky spracúvania osobných údajov tak, aby neobmedzil právo dotknutej osoby ustanovené zákonom,
získavať osobné údaje výlučne na vymedzený alebo ustanovený účel; je neprípustné získavať osobné údaje pod zámienkou iného účelu spracúvania alebo inej činnosti,
zabezpečiť, aby sa spracúvali len také osobné údaje, ktoré svojím rozsahom a obsahom zodpovedajú účelu ich spracúvania a sú nevyhnutné na jeho dosiahnutie,
získavať osobné údaje na rozdielne účely osobitne a zabezpečiť, aby sa osobné údaje spracúvali a využívali výlučne spôsobom, ktorý zodpovedá účelu, na ktorý boli zhromaždené; je neprípustné združovať osobné údaje, ktoré boli získané na rozdielne účely,
spracúvať len správne, úplné a podľa potreby aktualizované osobné údaje vo vzťahu k účelu spracúvania; nesprávne a neúplné osobné údaje je prevádzkovateľ povinný blokovať a bez zbytočného odkladu opraviť alebo doplniť; nesprávne a neúplné osobné údaje, ktoré nemožno opraviť alebo doplniť tak, aby boli správne a úplné, prevádzkovateľ zreteľne označí a bez zbytočného odkladu zlikviduje,
zabezpečiť, aby zhromaždené osobné údaje boli spracúvané vo forme umožňujúcej identifikáciu dotknutých osôb počas doby nie dlhšej, ako je nevyhnutné na dosiahnutie účelu spracúvania,
5
P:h
P:i
§:6
O:3
§:6
O:4
§:6
O:5
zlikvidovať tie osobné údaje, ktorých účel spracúvania sa skončil; po skončení účelu spracúvania možno osobné údaje ďalej spracúvať len za podmienok ustanovených v odseku 5,
spracúvať osobné údaje v súlade s dobrými mravmi a konať spôsobom, ktorý neodporuje zákonu.
Prevádzkovateľ nemá povinnosť podľa odseku 2 písm. a) len vtedy, ak účel spracúvania osobných údajov ustanovuje osobitný zákon v súlade s podmienkami uvedenými v odseku 2 písm. a). Prevádzkovateľ nemá povinnosť určiť podmienky spracúvania osobných údajov podľa odseku 2 písm. b) len vtedy, ak ich ustanovuje všeobecne záväzný právny predpis. Ostatné povinnosti podľa odseku 2 písm. c) i), je prevádzkovateľ povinný dodržiavať aj počas spracúvania osobných údajov na základe osobitného zákona; týmto nie je dotknuté ustanovenie § 10 ods. 4 prvej vety.
Zhromaždené osobné údaje na pôvodne určený účel prevádzkovateľ nemôže spracúvať na iný účel, ktorý je nezlučiteľný s pôvodným účelom spracúvania.
Počas trvania pôvodne určeného účelu spracúvania osobných údajov ako aj po jeho skončení je prípustné zhromaždené osobné údaje spracúvať v nevyhnutnom rozsahu na historický výskum, vedecký výskum a vývoj alebo na účely štatistiky, čo sa nepovažuje za nezlučiteľné s pôvodným účelom spracúvania. Takto spracúvané osobné údaje prevádzkovateľ nemôže použiť na podporu opatrení alebo rozhodnutí prijatých proti dotknutej osobe a nemôže ich využiť proti záujmom dotknutej osoby na obmedzenie jej základných práv a slobôd. Počas spracúvania osobných údajov na účely podľa prvej vety je prevádzkovateľ povinný ich označiť, anonymizovať ich, ak tým možno dosiahnuť účel spracúvania a zlikvidovať ich ihneď ako sa stanú nepotrebnými.
6
P:e
sa „sprostredkovateľom“ rozumie fyzická alebo právnická osoba, verejný orgán, inštitúcia alebo iný subjekt spracúvajúci osobné údaje v mene prevádzkovateľa,
N
§:4
O:2
P:d
§:8
O:1
§:8
O:2
§:8
O:3
§:8
O:4
P:a
Na účely tohto zákona sa rozumie
sprostredkovateľom každý, kto spracúva osobné údaje v mene prevádzkovateľa, v rozsahu a za podmienok dojednaných s prevádzkovateľom v písomnej zmluve podľa § 8 a v súlade s týmto zákonom,
Prevádzkovateľ je oprávnený na základe písomnej zmluvy poveriť spracúvaním osobných údajov sprostredkovateľa. Na účely poverenia sprostredkovateľa spracúvaním osobných údajov podľa prvej vety sa súhlas dotknutej osoby nevyžaduje.
Prevádzkovateľ je pri výbere sprostredkovateľa povinný dbať na jeho odbornú, technickú, organizačnú a personálnu spôsobilosť a jeho schopnosť zaručiť bezpečnosť spracúvaných osobných údajov opatreniami podľa § 19 ods. 1. Prevádzkovateľ nemôže zveriť spracúvanie osobných údajov sprostredkovateľovi, ak by tým mohli byť ohrozené práva a právom chránené záujmy dotknutých osôb.
Prevádzkovateľ je povinný uzatvoriť so sprostredkovateľom zmluvu podľa odseku 1 pred začatím spracúvania osobných údajov, najneskôr v deň začatia spracúvania osobných údajov. Sprostredkovateľ je oprávnený spracúvať osobné údaje len v rozsahu, za podmienok a na účel dojednaný s prevádzkovateľom v zmluve a spôsobom podľa tohto zákona.
Zmluva podľa odseku 3 musí obsahovať
a)údaje o zmluvných stranách (ďalej len „identifikačné údaje“);
1.titul, meno, priezvisko, dátum narodenia a adresu trvalého pobytu, ak ide o fyzickú osobu,
2.názov, právnu formu, adresu sídla a identifikačné číslo, ak ide o právnickú osobu,
3.obchodné meno, adresu miesta podnikania a
U
7
P:b
P:c
P:d
P:e
P:f
P:g
P:h
P:i
P:j
P:k
§:8
O:5
identifikačné číslo, ak ide o fyzickú osobu podnikateľa,
deň, od ktorého je sprostredkovateľ oprávnený začať so spracúvaním osobných údajov v mene prevádzkovateľa,
účel spracúvania osobných údajov,
názov informačného systému,
zoznam osobných údajov, ktoré sa budú spracúvať; zoznam osobných údajov možno nahradiť rozsahom osobných údajov podľa § 10 ods. 4,
okruh dotknutých osôb,
podmienky spracúvania osobných údajov vrátane zoznamu povolených operácií s osobnými údajmi,
vyhlásenie prevádzkovateľa, že pri výbere sprostredkovateľa postupoval podľa odseku 2 prvej vety,
súhlas prevádzkovateľa na spracúvanie osobných údajov sprostredkovateľom prostredníctvom inej osoby podľa odseku 5,
dobu, na ktorú sa zmluva uzatvára,
dátum uzatvorenia zmluvy a podpisy zmluvných strán.
Sprostredkovateľ vykonáva spracúvanie osobných údajov osobne, pokiaľ si s prevádzkovateľom písomne v zmluve nedohodne, že spracúvanie osobných údajov vykoná prostredníctvom inej osoby (ďalej len „subdodávateľ“). Subdodávateľ spracúva osobné údaje a zabezpečuje ich ochranu na zodpovednosť sprostredkovateľa. Ustanovenia tohto zákona o sprostredkovateľovi sa vzťahujú aj na subdodávateľa. Na subdodávateľa úrad nahliada ako
8
§:8
O:6
§:8
O:7
§:8
O:8
§:8
O:9
§:8
O:10
na sprostredkovateľa.
Ak prevádzkovateľ poveril spracúvaním osobných údajov sprostredkovateľa po získaní osobných údajov, je povinný zabezpečiť oznámenie tejto skutočnosti dotknutým osobám pri prvom kontakte s nimi, najneskôr však do troch mesiacov odo dňa poverenia sprostredkovateľa. To platí aj vtedy, ak spracúvanie osobných údajov prevezme právny nástupca prevádzkovateľa. Prevádzkovateľ nemusí dotknutej osobe informáciu podľa prvej vety oznamovať, ak sa v rovnakej lehote postupovalo podľa odseku 7.
Sprostredkovateľ je vždy povinný pri prvom kontakte s dotknutou osobou oznámiť, že spracúva jej osobné údaje v mene prevádzkovateľa na vymedzený alebo ustanovený účel, ak tento zákon neustanovuje inak.
Ak sprostredkovateľ zistí, že prevádzkovateľ sa pri spracúvaní osobných údajov dopustil zjavného porušenia zákona, je povinný ho na to písomne upozorniť a do vykonania nápravy vykonať len také operácie s osobnými údajmi, ktoré neznesú odklad. Prevádzkovateľ je povinný bez zbytočného odkladu vykonať nápravu podľa prvej vety, najneskôr však v lehote jedného mesiaca odo dňa doručenia písomného upozornenia; inak je sprostredkovateľ povinný o tom bez zbytočného odkladu informovať úrad.
Ak si sprostredkovateľ nesplní povinnosť podľa odseku 8, zodpovedá za porušenie povinnosti a za škodu spôsobenú porušením tejto povinnosti spoločne a nerozdielne spolu s prevádzkovateľom. Tým nie je dotknutá zodpovednosť sprostredkovateľa podľa tohto zákona alebo osobitného zákona.
Sprostredkovateľ je povinný dodržiavať povinnosti ustanovené prevádzkovateľovi v § 5 ods. 1, § 6 ods. 2 písm. c) i), § 6 ods. 4, § 8 ods. 3, 4, § 9 ods. 2, § 19 až 26, ak tento zákon neustanovuje inak.
9
§:8
O:11
§:8
O:12
Povinnosti prevádzkovateľa ustanovené v § 8 ods. 6,
§ 15 18 a § 28 32 môže vykonať sprostredkovateľ, ak sa tak výslovne dohodne v zmluve uzatvorenej s prevádzkovateľom podľa odseku 1.
Sprostredkovateľ zodpovedá za plnenie povinností podľa odseku 11 v rozsahu zmluvy uzatvorenej s prevádzkovateľom podľa odseku 1.
P:f
sa „treťou stranou“ rozumie akákoľvek fyzická alebo právnická osoba, verejný orgán, inštitúcia alebo hocijaký iný subjekt okrem dotknutej osoby, prevádzkovateľa, sprostredkovateľa a osôb, ktoré na základe priameho zmocnenia od prevádzkovateľa alebo sprostredkovateľa oprávnené spracovávať údaje,
N
§:4
O:2
P:f
Na účely tohto zákona sa rozumie
treťou stranou každý, kto nie je dotknutou osobou, prevádzkovateľom poskytujúcim osobné údaje, jeho zástupcom, sprostredkovateľom alebo oprávnenou osobou,
U
P:g
sa „príjemcom“ rozumie akákoľvek fyzická alebo právnická osoba, verejný orgán alebo hocijaký iný subjekt, ktorému sú údaje sprístupnené, či už sa jedná o tretiu stranu alebo nie; ale inštitúcie, ktoré smú získavať údaje v rámci určitého zisťovania, za príjemcov považované nie sú,
N
§:4
O:2
P:g
Na účely tohto zákona sa rozumie
príjemcom každý, komu osobné údaje poskytnuté alebo sprístupnené, pričom príjemcom môže byť aj tretia strana; prevádzkovateľ, ktorý spracúva osobné údaje na základe § 3 ods. 1 písm. g) a úrad, ktorý plní úlohy ustanovené týmto zákonom, sa nepovažujú za príjemcu.
U
P:h
sa „súhlasom dotknutej osoby“ rozumie akékoľvek slobodne poskytnuté, konkrétne a vedomé vyjadrenie vôle tejto osoby, ktorým prejaví svoj súhlas s tým, aby boli osobné údaje o nej spracované
N
§:4
O:3
P:d
Na účely tohto zákona sa ďalej rozumie
súhlasom dotknutej osoby akýkoľvek slobodne daný výslovný a zrozumiteľný prejav vôle, ktorým dotknutá osoba na základe poskytnutých informácií vyjadruje súhlas so spracúvaním svojich osobných údajov,
U
Č:3
O:1
Pôsobnosť
Táto smernica sa vzťahuje na osobné údaje úplne alebo čiastočne spracovávané automatizovanými prostriedkami a na osobné údaje spracovávané inými ako automatizovanými prostriedkami, ktoré tvoria alebo majú tvoriť súčasť nejakého informačného systému.
N
§:2
O:3
Tento zákon sa vzťahuje na osobné údaje systematicky spracúvané úplne alebo čiastočne automatizovanými prostriedkami spracúvania alebo inými ako automatizovanými prostriedkami spracúvania, ktoré súčasťou informačného systému alebo určené na spracúvanie v informačnom systéme.
U
Č:3
O:2
Táto smernica sa nevzťahuje na spracovanie osobných údajov:
- počas činností, ktoré nespadajú do pôsobnosti komunitárneho práva, napr. činnosti stanovené v
N
§:3
O:1
Ustanovenia § 6 ods. 2 5, § 8 ods. 5, § 15 ods. 1, 2 a 8, § 28 ods. 1 a § 44 sa nevzťahujú na spracúvanie osobných údajov nevyhnutných na zabezpečenie verejného záujmu, ak prevádzkovateľ plní povinnosti
U
10
hlave V a VI Dohovoru o Európskej únii a v nijakom prípade sa nevzťahuje na spracovateľské operácie súvisiace s verejnou bezpečnosťou, obranou, štátnou bezpečnosťou (vrátane ekonomického blahobytu štátu, ak sa spracovateľská operácia týka vecí štátnej bezpečnosti) a pôsobenia štátu v trestnej oblasti,
- fyzickou osobou v rámci čisto osobných alebo domácich činností.
P:a
P:b
P:c
P:d
P:e
P:f
P:g
P:h
§:3
O:2
P:a
P:b
výslovne ustanovené osobitným zákonom určené na zaistenie
bezpečnosti Slovenskej republiky,
obrany Slovenskej republiky,
verejného poriadku a bezpečnosti,
predchádzania, zamedzovania, odhaľovania a dokumentovania trestnej činnosti, zisťovania jej páchateľov, vyšetrovania a stíhania páchateľov trestných činov,
odhaľovania porušení etického kódexu v regulovaných povolaniach a regulovaných odborných činnostiach,
významného ekonomického alebo finančného záujmu Slovenskej republiky alebo Európskej únie vrátane menových, rozpočtových a daňových záležitostí,
výkonu kontroly, dohľadu, dozoru alebo uplatňovania regulácie v súvislosti s výkonom verejnej moci vo veciach uvedených v písmenách c) až f), alebo
ochrany dotknutej osoby alebo práv a slobôd iných osôb.
Tento zákon sa nevzťahuje na osobné údaje, ktoré
fyzická osoba spracúva pre vlastnú potrebu v rámci výlučne osobných alebo domácich činností, najmä vedenie osobného adresára alebo korešpondencie,
boli získané náhodne bez predchádzajúceho určenia účelu a prostriedkov spracúvania, bez zámeru ich ďalšieho spracúvania v usporiadanom systéme podľa osobitných kritérií a nie ďalej systematicky spracúvané.
Č:4
O:1
P:a
Uplatnenie vnútroštátneho právneho poriadku
Každý členský štát bude pri spracovaní osobných údajov uplatňovať vnútroštátne právne normy, ktoré
N
§:32
O:2
Prevádzkovateľ so sídlom, miestom podnikania alebo s trvalým pobytom na území Slovenskej republiky, ktorý zároveň spracúva osobné údaje prostredníctvom sprostredkovateľa na území jedného alebo viacerých
U
11
prijme v nadväznosti na túto smernicu, v prípade, že:
spracovanie prebieha v rámci činnosti jednotky prevádzkovateľa na území členského štátu; ak je ten istý prevádzkovateľ zriadený na území viacerých členských štátov, musí prijať potrebné opatrenia, aby sa zabezpečilo, že každá z týchto prevádzok bude dodržiavať povinnosti zakotvené v príslušnom národnom zákone
§:32
O:3
členských štátov je povinný zabezpečiť, aby konali podľa jeho pokynov a v súlade s týmto zákonom; to neplatí pre prijatie technických, organizačných a personálnych bezpečnostných opatrení.
Prevádzkovateľ so sídlom, miestom podnikania alebo s trvalým pobytom na území Slovenskej republiky pri prenose osobných údajov prevádzkovateľovi v inom členskom štáte je povinný prijať primerané záruky zachovania práv a právom chránených záujmov dotknutých osôb.
Č:4
O:1
P:b
prevádzkovateľ nie je zriadený na území členského štátu, ale na mieste, kde platí jeho vnútroštátny právny poriadok z titulu medzinárodného verejného práva
N
§:2
O:2
P:a
Tento zákon sa vzťahuje aj na prevádzkovateľov, ktorí nemajú sídlo alebo trvalý pobyt na území
Slovenskej republiky, ale umiestnení v zahraničí na mieste, kde sa uplatňuje právny poriadok Slovenskej republiky prednostne na základe medzinárodného práva verejného,
U
Č:4
O:1
P:c
prevádzkovateľ nie je zriadený na území Spoločenstva a pre účely spracovania osobných údajov využíva zariadenia, automatizované alebo iné, umiestnené na území daného členského štátu, pokiaľ nie tieto zariadenia využívané len pre účely tranzitu cez územie Spoločenstva.
N
§:2
O:2
P:b
Tento zákon sa vzťahuje aj na prevádzkovateľov, ktorí nemajú sídlo alebo trvalý pobyt na území
členského štátu Európskej únie, ak na účely spracúvania osobných údajov využívajú úplne alebo čiastočne automatizované alebo iné ako automatizované prostriedky spracúvania umiestnené na území Slovenskej republiky, pričom tieto prostriedky spracúvania nie využívané výlučne len na prenos osobných údajov cez územie členských štátov Európskej únie; v takomto prípade prevádzkovateľ postupuje podľa § 7.
U
Č:4
O:2
Za okolností popísaných v odstavci 1 (c) musí prevádzkovateľ menovať zástupcu zriadeného na území daného členského štátu - bez toho, aby boli dotknuté prípadné súdne konania, zahájené voči samotnému prevádzkovateľovi.
N
§:2
O:2
P:b
§:4
Tento zákon sa vzťahuje aj na prevádzkovateľov, ktorí nemajú sídlo alebo trvalý pobyt na území
členského štátu Európskej únie, ak na účely spracúvania osobných údajov využívajú úplne alebo čiastočne automatizované alebo iné ako automatizované prostriedky spracúvania umiestnené na území Slovenskej republiky, pričom tieto prostriedky spracúvania nie využívané výlučne len na prenos osobných údajov cez územie členských štátov Európskej únie; v takomto prípade prevádzkovateľ postupuje podľa § 7.
Na účely tohto zákona sa rozumie
U
12
O:2
P:c
§:7
O:1
§:7
O:2
§:7
O:3
zástupcom prevádzkovateľa každý, kto na území Slovenskej republiky zastupuje prevádzkovateľa so sídlom alebo s trvalým pobytom v tretej krajine,
Prevádzkovateľ, ktorý pripravuje spracúvanie osobných údajov podľa § 2 ods. 2 písm. b) je povinný pred začatím spracúvania vymenovať svojho zástupcu so sídlom, miestom podnikania alebo trvalým pobytom na území Slovenskej republiky.
Zástupca prevádzkovateľa je povinný disponovať originálom dokladu svojho vymenovania za zástupcu prevádzkovateľa a tento preukázať úradu kedykoľvek na jeho žiadosť. Pravosť podpisov a odtlačku pečiatky prevádzkovateľa na origináli dokladu musí byť úradne osvedčená.
Ustanovenia tohto zákona o prevádzkovateľovi sa v rovnakom rozsahu vzťahujú aj na zástupcu prevádzkovateľa.
Č:5
Členské štáty v rámci obmedzení určených ustanoveniami tejto hlavy presnejšie určia podmienky, za akých je spracovanie osobných údajov zákonné.
N
2. časť zákona (I. až VI. hlava)
U
Č:6
O:1
P:a
Zásady týkajúce sa kvality údajov
Členské štáty ustanovia, že osobné údaje musia byť:
spracovávané korektne a zákonne,U
N
§:5
O:1
§:6
O:2
P:i
Osobné údaje možno spracúvať len spôsobom ustanoveným týmto zákonom a v jeho medziach tak, aby nedošlo k porušeniu základných práv a slobôd dotknutých osôb, najmä k porušeniu ich práva na zachovanie ľudskej dôstojnosti alebo k iným neoprávneným zásahom do ich práva na ochranu súkromia.
Prevádzkovateľ je povinný
spracúvať osobné údaje v súlade s dobrými mravmi a konať spôsobom, ktorý neodporuje zákonu.
U
Č:6
O:1
P:b
zhromažďované za vymedzeným, jasným a oprávneným účelom a že nebudú ďalej spracovávané spôsobom, ktorý by nebol zlučiteľný s týmito cieľmi. Ďalšie spracovanie týchto údajov pre historické, štatistické a vedecké účely nebude považované za
N
§:6
O:2
P:a
Prevádzkovateľ je povinný
pred začatím spracúvania osobných údajov vymedziť účel spracúvania osobných údajov; účel spracúvania osobných údajov musí byť jasný, vymedzený jednoznačne a konkrétne a musí byť v súlade s
U
13
nezlučiteľné s týmito cieľmi - za predpokladu, že členské štáty poskytli primerané záruky,
P:c
P:e
§:6
O:4
§:6
O:5
Ústavou Slovenskej republiky, ústavnými zákonmi, zákonmi a medzinárodnými zmluvami, ktorými je Slovenská republika viazaná,
získavať osobné údaje výlučne na vymedzený alebo ustanovený účel; je neprípustné získavať osobné údaje pod zámienkou iného účelu spracúvania alebo inej činnosti,
získavať osobné údaje na rozdielne účely osobitne a zabezpečiť, aby sa osobné údaje spracúvali a využívali výlučne spôsobom, ktorý zodpovedá účelu, na ktorý boli zhromaždené; je neprípustné združovať osobné údaje, ktoré boli získané na rozdielne účely,
Zhromaždené osobné údaje na pôvodne určený účel prevádzkovateľ nemôže spracúvať na iný účel, ktorý je nezlučiteľný s pôvodným účelom spracúvania.
Počas trvania pôvodne určeného účelu spracúvania osobných údajov ako aj po jeho skončení je prípustné zhromaždené osobné údaje spracúvať v nevyhnutnom rozsahu na historický výskum, vedecký výskum a vývoj alebo na účely štatistiky, čo sa nepovažuje za nezlučiteľné s pôvodným účelom spracúvania. Takto spracúvané osobné údaje prevádzkovateľ nemôže použiť na podporu opatrení alebo rozhodnutí prijatých proti dotknutej osobe a nemôže ich využiť proti záujmom dotknutej osoby na obmedzenie jej základných práv a slobôd. Počas spracúvania osobných údajov na účely podľa prvej vety je prevádzkovateľ povinný ich označiť, anonymizovať ich, ak tým možno dosiahnuť účel spracúvania a zlikvidovať ich ihneď ako sa stanú nepotrebnými.
Č:6
O:1
P:c
adekvátne, relevantné a nie zbytočne rozsiahle vzhľadom na účel ich zhromažďovania, prípadne ďalšieho spracovania,
N
§:6
O:2
P:d
Prevádzkovateľ je povinný
zabezpečiť, aby sa spracúvali len také osobné údaje, ktoré svojím rozsahom a obsahom zodpovedajú účelu ich spracúvania a sú nevyhnutné na jeho dosiahnutie,
Č:6
presné a v prípade potreby aj priebežne aktualizované;
N
§:6
Prevádzkovateľ je povinný
U
14
O:1
P.d
je potrebné podniknúť všetky možné kroky aby sa zabezpečilo, že údaje, ktoré vzhľadom na účel ich zhromažďovania a ďalšieho spracovania nepresné alebo neúplné, boli vymazané alebo opravené
O:2
P:f
spracúvať len správne, úplné a podľa potreby aktualizované osobné údaje vo vzťahu k účelu spracúvania; nesprávne a neúplné osobné údaje je prevádzkovateľ povinný blokovať a bez zbytočného odkladu opraviť alebo doplniť; nesprávne a neúplné osobné údaje, ktoré nemožno opraviť alebo doplniť tak, aby boli správne a úplné, prevádzkovateľ zreteľne označí a bez zbytočného odkladu zlikviduje,
Č:6
O:1
P:e
vedené vo forme, ktorá umožňuje identifikáciu dotknutých osôb na dobu nie dlhšiu ako je potrebné za účelom zhromažďovania alebo ďalšieho spracovania údajov o nich. Členské štáty zakotvia primerané záruky pre tie osobné údaje, ktoré uchovávané na dlhšiu dobu na historické, štatistické a vedecké použitie.
N
§:6
O:2
P:g
P:h
§:6
O:5
§:17
O:1
Prevádzkovateľ je povinný
zabezpečiť, aby zhromaždené osobné údaje boli spracúvané vo forme umožňujúcej identifikáciu dotknutých osôb počas doby nie dlhšej, ako je nevyhnutné na dosiahnutie účelu spracúvania,
zlikvidovať tie osobné údaje, ktorých účel spracúvania sa skončil; po skončení účelu spracúvania možno osobné údaje ďalej spracúvať len za podmienok ustanovených v odseku 5,
Počas trvania pôvodne určeného účelu spracúvania osobných údajov ako aj po jeho skončení je prípustné zhromaždené osobné údaje spracúvať v nevyhnutnom rozsahu na historický výskum, vedecký výskum a vývoj alebo na účely štatistiky, čo sa nepovažuje za nezlučiteľné s pôvodným účelom spracúvania. Takto spracúvané osobné údaje prevádzkovateľ nemôže použiť na podporu opatrení alebo rozhodnutí prijatých proti dotknutej osobe a nemôže ich využiť proti záujmom dotknutej osoby na obmedzenie jej základných práv a slobôd. Počas spracúvania osobných údajov na účely podľa prvej vety je prevádzkovateľ povinný ich označiť, anonymizovať ich, ak tým možno dosiahnuť účel spracúvania a zlikvidovať ich ihneď ako sa stanú nepotrebnými.
Prevádzkovateľ je po splnení účelu spracúvania povinný bez zbytočného odkladu zabezpečiť likvidáciu osobných údajov.
U
15
O:2
O:3
O:4
O:5
O:6
O:7
Odsek 1 sa nepoužije, ak osobné údaje súčasťou registratúrneho záznamu. Prevádzkovateľ zabezpečuje likvidáciu registratúrneho záznamu podľa osobitného predpisu.
Prevádzkovateľ zabezpečí bez zbytočného odkladu likvidáciu osobných údajov okrem osobných údajov uvedených v § 10 ods. 3 písm. d) aj vtedy, ak zanikli dôvody, ktoré neumožňovali získať súhlas dotknutej osoby podľa § 11 ods. 4, a súhlas nebol daný.
Ak dotknutá osoba uplatní námietku podľa § 28 ods. 3 písm. a), prevádzkovateľ je povinný spracúvané osobné údaje bez zbytočného odkladu zlikvidovať okrem osobných údajov uvedených v § 10 ods. 3 písm. d).
Ak dotknutá osoba uplatní námietku podľa § 28 ods. 3 písm. b), prevádzkovateľ je povinný bez zbytočného odkladu skončiť využívanie osobných údajov uvedených v § 10 ods. 3 písm. d) v poštovom styku.
Ak dotknutá osoba uplatní námietku podľa § 28 ods. 3 písm. c), prevádzkovateľ je povinný to bez zbytočného odkladu, najneskôr do troch pracovných dní, písomne oznámiť každému, komu osobné údaje uvedené v § 10 ods. 3 písm. d) poskytol; zákaz ďalšieho poskytovania tu uvedených osobných údajov platí pre prevádzkovateľa a každého, komu ich prevádzkovateľ poskytol odo dňa nasledujúceho po dni doručenia námietky dotknutej osoby, prípadne doručenia písomného oznámenia prevádzkovateľa.
Ak záznam vyhotovený podľa § 15 ods. 7 nie je využitý na účely trestného konania alebo konania o priestupkoch, je ten, kto ho vyhotovil, povinný ho zlikvidovať najneskôr v lehote 15 dní odo dňa nasledujúceho po dni, v ktorom bol záznam vyhotovený, ak osobitný zákon neustanovuje inak.
Č:6
O:2
Dodržiavanie odstavca 1 je na prevádzkovateľovi.
N
§:6
O:2
Prevádzkovateľ je povinný
pred začatím spracúvania osobných údajov vymedziť
U
16
P:a
P:b
P:c
P:d
P:e
P:f
P:g
P:h
účel spracúvania osobných údajov; účel spracúvania osobných údajov musí byť jasný, vymedzený jednoznačne a konkrétne a musí byť v súlade s Ústavou Slovenskej republiky, ústavnými zákonmi, zákonmi a medzinárodnými zmluvami, ktorými je Slovenská republika viazaná,
určiť podmienky spracúvania osobných údajov tak, aby neobmedzil právo dotknutej osoby ustanovené zákonom,
získavať osobné údaje výlučne na vymedzený alebo ustanovený účel; je neprípustné získavať osobné údaje pod zámienkou iného účelu spracúvania alebo inej činnosti,
zabezpečiť, aby sa spracúvali len také osobné údaje, ktoré svojím rozsahom a obsahom zodpovedajú účelu ich spracúvania a sú nevyhnutné na jeho dosiahnutie,
získavať osobné údaje na rozdielne účely osobitne a zabezpečiť, aby sa osobné údaje spracúvali a využívali výlučne spôsobom, ktorý zodpovedá účelu, na ktorý boli zhromaždené; je neprípustné združovať osobné údaje, ktoré boli získané na rozdielne účely,
spracúvať len správne, úplné a podľa potreby aktualizované osobné údaje vo vzťahu k účelu spracúvania; nesprávne a neúplné osobné údaje je prevádzkovateľ povinný blokovať a bez zbytočného odkladu opraviť alebo doplniť; nesprávne a neúplné osobné údaje, ktoré nemožno opraviť alebo doplniť tak, aby boli správne a úplné, prevádzkovateľ zreteľne označí a bez zbytočného odkladu zlikviduje,
zabezpečiť, aby zhromaždené osobné údaje boli spracúvané vo forme umožňujúcej identifikáciu dotknutých osôb počas doby nie dlhšej, ako je nevyhnutné na dosiahnutie účelu spracúvania,
zlikvidovať tie osobné údaje, ktorých účel spracúvania sa skončil; po skončení účelu spracúvania možno
17
P:i
osobné údaje ďalej spracúvať len za podmienok ustanovených v odseku 5,
spracúvať osobné údaje v súlade s dobrými mravmi a konať spôsobom, ktorý neodporuje zákonu.
Č:7
Členské štáty ustanovia, že osobné údaje je možné spracovávať len vtedy, ak:
N
§:9
O:1
§:9
O:2
Prevádzkovateľ môže spracúvať osobné údaje len na základe priamo vykonateľného právne záväzného aktu Európskej únie, medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, ustanovení tohto zákona alebo osobitného zákona, alebo na základe súhlasu dotknutej osoby.
Sprostredkovateľ môže spracúvať osobné údaje na základe priamo vykonateľného právne záväzného aktu Európskej únie, medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, ustanovení tohto zákona alebo osobitného zákona, alebo na základe súhlasu dotknutej osoby, len v rozsahu a za podmienok dojednaných s prevádzkovateľom v zmluve podľa § 8 ods. 4.
U
P:a
dotknutá osoba dala svoj jednoznačný súhlas, alebo
§:11
O:1
§:11
O:2
§:11
O:3
§:11
O:4
Ak sa na spracúvanie osobných údajov neuplatňuje § 10, prevádzkovateľ je oprávnený spracúvať osobné údaje len so súhlasom dotknutej osoby.
Ak prevádzkovateľ spracúva osobné údaje podľa odseku 1 a vzniknú pochybnosti o udelení súhlasu dotknutej osoby, prevádzkovateľ je povinný úradu hodnoverne preukázať, že mu dotknutá osoba súhlas poskytla.
Súhlas dotknutej osoby si prevádzkovateľ nemôže vynucovať a ani podmieňovať hrozbou odmietnutia zmluvného vzťahu, služby, tovaru alebo povinnosti ustanovenej prevádzkovateľovi právne záväzným aktom Európskej únie, medzinárodnou zmluvou, ktorou je Slovenská republika viazaná alebo zákonom.
Súhlas sa preukazuje zvukovým alebo zvukovo-obrazovým záznamom alebo čestným vyhlásením toho, kto poskytol osobné údaje do informačného systému, alebo iným hodnoverným spôsobom.
U
18
§:12
O:1
§:12
O:2
§:12
O:3
Písomný súhlas sa preukazuje dokladom, ktorý potvrdzuje poskytnutie súhlasu. Dôkaz o súhlase obsahuje najmä údaj o tom, kto súhlas poskytol, komu sa tento súhlas dáva, na aký účel, zoznam alebo rozsah osobných údajov a čas platnosti súhlasu. Súhlas daný v písomnej podobe je bez vlastnoručného podpisu toho, kto súhlas dáva, neplatný. Za súhlas v písomnej podobe sa považuje aj súhlas podpísaný zaručeným elektronickým podpisom.
Osobné údaje o dotknutej osobe možno získať od inej fyzickej osoby a spracúvať v informačnom systéme len s predchádzajúcim písomným súhlasom dotknutej osoby. To neplatí, ak poskytnutím osobných údajov o dotknutej osobe do informačného systému iná fyzická osoba chráni svoje práva alebo právom chránené záujmy, alebo oznamuje skutočnosti, ktoré odôvodňujú uplatnenie právnej zodpovednosti dotknutej osoby, alebo sa osobné údaje spracúvajú na základe osobitného zákona podľa § 10 ods. 2. Ten, kto takto osobné údaje spracúva, musí vedieť preukázať úradu kedykoľvek na jeho žiadosť, že ich získal v súlade s týmto zákonom.
Osobné údaje dotknutej osoby možno poskytnúť z informačného systému inej právnickej osobe alebo fyzickej osobe len spolu s písomným dokladom o danom súhlase, ak tento zákon takýto súhlas vyžaduje; ten, kto osobné údaje takto poskytuje, môže písomný doklad o danom súhlase nahradiť písomným vyhlásením prevádzkovateľa o udelení súhlasu dotknutou osobou, ak prevádzkovateľ vie preukázať, že písomný súhlas dotknutej osoby bol daný.
Prevádzkovateľ, ktorý je zamestnávateľom dotknutej osoby, je oprávnený sprístupniť alebo zverejniť jej osobné údaje v rozsahu titul, meno, priezvisko, pracovné, služobné alebo funkčné zaradenie, odborný útvar, miesto výkonu práce, telefónne číslo, faxové číslo alebo elektronickú poštu na pracovisko a identifikačné údaje zamestnávateľa, ak je to potrebné v súvislosti s plnením pracovných, služobných alebo
19
§:12
O:4
§:12
O:5
§:12
O:6
§:12
O:7
funkčných povinností dotknutej osoby. Sprístupnenie alebo zverejnenie osobných údajov nemôže narušiť vážnosť, dôstojnosť a bezpečnosť dotknutej osoby.
Osobné údaje podľa § 10 ods. 3 písm. c) a podľa § 14 písm. c) možno spracúvať bez súhlasu dotknutej osoby len po dobu, kým nezaniknú dôvody, ktoré neumožňovali získať súhlas dotknutej osoby. Ak dôvody zanikli, ten kto osobné údaje spracúva, zabezpečí súhlas dotknutej osoby.
Ten, kto v úmysle zverejniť osobné údaje dotknutej osoby, nie je oprávnený svojím konaním neoprávnene zasahovať do práva na ochranu jej osobnosti a súkromia; zverejnenie osobných údajov nemôže byť v rozpore s oprávnenými záujmami dotknutej osoby.
Ak dotknutá osoba nemá spôsobilosť na právne úkony v plnom rozsahu, súhlas vyžadovaný podľa tohto zákona môže poskytnúť jej zákonný zástupca.
Ak dotknutá osoba nežije, súhlas vyžadovaný podľa tohto zákona môže poskytnúť jej blízka osoba. Súhlas nie je platný, ak čo len jedna blízka osoba písomne vyslovila nesúhlas.
P:b
toto spracovanie je nevyhnutné pre plnenie zmluvy, pri ktorej je jednou zo strán aj dotknutá osoba alebo na vykonania predkontraktačných krokov na žiadosť dotknutej osoby, alebo
N
§:10
O:3
P:b
Prevádzkovateľ spracúva osobné údaje bez súhlasu dotknutej osoby aj vtedy, ak
spracúvanie osobných údajov je nevyhnutné na plnenie zmluvy, v ktorej vystupuje dotknutá osoba ako jedna zo zmluvných strán, alebo v predzmluvných vzťahoch s dotknutou osobou alebo pri rokovaní o zmene zmluvy, ktoré sa uskutočňujú na žiadosť dotknutej osoby,
U
P:c
spracovanie je nevyhnutné na splnenie nejakej povinnosti zo zákona, ktorá platí pre prevádzkovateľa, alebo
N
§:10
O:1
Prevádzkovateľ spracúva osobné údaje bez súhlasu dotknutej osoby, ak účel spracúvania osobných údajov, okruh dotknutých osôb a zoznam osobných údajov alebo ich rozsah podľa odseku 4 ustanovuje priamo vykonateľný právne záväzný akt Európskej únie, medzinárodná zmluva, ktorou je Slovenská
U
20
§:10
O:2
republika viazaná alebo tento zákon. Ak zoznam alebo rozsah osobných údajov nie je ustanovený, prevádzkovateľ môže spracúvať osobné údaje len v rozsahu a spôsobom, ktorý je nevyhnutný na dosiahnutie ustanoveného účelu spracúvania pri dodržaní povinností podľa § 6 ods. 2 písm. c) f) a i).
Prevádzkovateľ ďalej spracúva osobné údaje bez súhlasu dotknutej osoby, ak účel spracúvania osobných údajov, okruh dotknutých osôb a zoznam osobných údajov ustanovuje osobitný zákon. Prevádzkovateľ spracúva osobné údaje len v rozsahu a spôsobom, ktorý ustanovuje osobitný zákon. Spracúvané osobné údaje možno z informačného systému poskytnúť, sprístupniť alebo zverejniť len vtedy, ak osobitný zákon ustanovuje účel poskytovania, sprístupňovania alebo zverejňovania, zoznam osobných údajov, ktoré možno poskytnúť, sprístupniť alebo zverejniť, ako aj tretie strany, ktorým sa osobné údaje poskytujú, prípadne okruh príjemcov, ktorým sa osobné údaje sprístupňujú, ak tento zákon neustanovuje inak.
P:d
spracovanie je nevyhnutné na ochranu zásadne dôležitých záujmov dotknutej osoby,
N
§:10
O:3
P:c
Prevádzkovateľ spracúva osobné údaje bez súhlasu dotknutej osoby aj vtedy, ak
spracúvanie osobných údajov je nevyhnutné na ochranu života, zdravia alebo majetku dotknutej osoby,
U
P:e
spracovanie je nevyhnutné pre splnenie nejakej úlohy realizovanej vo verejnom záujme alebo pri uplatňovaní oficiálnych právomocí udelených prevádzkovateľovi alebo tretej strane, ktorej sú údaje sprístupnené,
N
§:10
O:3
P:f
Prevádzkovateľ spracúva osobné údaje bez súhlasu dotknutej osoby aj vtedy, ak
spracúvanie osobných údajov je nevyhnutné na splnenie dôležitej úlohy realizovanej vo verejnom záujme, alebo
U
P:f
spracovanie je nevyhnuté z hľadiska oprávnených záujmov, ktoré sleduje prevádzkovateľ alebo nejaká tretia strana alebo strany, ktorým sú údaje sprístupnené - s výnimkou prípadov, kedy je týmto záujmom nadriadený záujem na základných právach a slobodách dotknutej osoby podľa článku 1 (1).
N
§:10
O:3
P:g
Prevádzkovateľ spracúva osobné údaje bez súhlasu dotknutej osoby aj vtedy, ak
spracúvanie osobných údajov je nevyhnutné na ochranu práv a právom chránených záujmov prevádzkovateľa alebo tretej strany; to neplatí, ak pri takomto spracúvaní osobných údajov prevažujú
U
21
základné práva a slobody dotknutej osoby, ktoré podliehajú ochrane podľa tohto zákona.
Č:8
O:1
Spracovanie zvláštnych kategórií údajov
Členské štáty zakážu spracovanie osobných údajov odhaľujúcich rasový alebo etnický pôvod, politické názory, náboženskú vieru alebo svetonázor, členstvo v odboroch a spracovanie údajov týkajúcich sa zdravia alebo pohlavného života.
N
§:13
O:1
Spracúvať osobné údaje, ktoré odhaľujú rasový alebo etnický pôvod, politické názory, náboženskú vieru alebo svetonázor, členstvo v politických stranách alebo politických hnutiach, členstvo v odborových organizáciách a údaje týkajúce sa zdravia alebo pohlavného života, sa zakazuje.
U
O:2
P:a
Odstavec 1 neplatí, ak:
dotknutá osoba dala vyslovený súhlas na spracovanie týchto údajov - s výnimkou prípadov, kde zákony členských štátov stanovujú, že zákaz uvedený v odstavci 1 nie je možné zrušiť tým, že dotknutá osoba poskytne svoj súhlas, alebo
N
§:14
O:1
P:a
P:b
Zákaz spracúvania osobných údajov podľa § 13 ods. 1 neplatí, ak
dotknutá osoba dala písomný alebo inak hodnoverne preukázateľný súhlas na ich spracúvanie; súhlas je neplatný, ak jeho poskytnutie vylučuje osobitný zákon,
právnym základom pre spracúvanie osobných údajov je osobitný zákon, právne záväzný akt Európskej únie alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná,
U
O:2
P:b
spracovanie je nevyhnutné na plnenie povinností alebo uplatnenie určitých práv prevádzkovateľa v oblasti pracovného práva, pokiaľ ho k tomu oprávňuje vnútroštátna právna úprava poskytujúca primerané záruky,
N
§:14
O:1
P:g
Zákaz spracúvania osobných údajov podľa § 13 ods. 1 neplatí, ak
ide o spracúvanie v sociálnom poistení, v sociálnom zabezpečení policajtov a vojakov, na účely poskytovania štátnych sociálnych dávok, podporu sociálneho začlenenia fyzickej osoby s ťažkým zdravotným postihnutím do spoločnosti, poskytovania sociálnych služieb, vykonávania opatrení sociálnoprávnej ochrany detí a sociálnej kurately alebo poskytovania pomoci v hmotnej núdzi, alebo je spracúvanie nevyhnutné na účely plnenia povinností alebo uplatnenie zákonných práv prevádzkovateľa zodpovedného za spracúvanie v oblasti pracovného práva a v službách zamestnanosti a ak to prevádzkovateľovi vyplýva z osobitného predpisu.
U
O:2
P:c
spracovanie je nevyhnutné na ochranu životne dôležitých záujmov dotknutej osoby alebo inej osoby,
N
§:14
O:1
Zákaz spracúvania osobných údajov podľa § 13 ods. 1 neplatí, ak
U
22
ak je dotknutá osoba fyzicky alebo právne nespôsobilá na vydanie súhlasu ,
P:c
spracúvanie je nevyhnutné na ochranu životne dôležitých záujmov dotknutej osoby alebo inej fyzickej osoby, ak dotknutá osoba nemá spôsobilosť na právne úkony alebo fyzicky nie je spôsobilá na vydanie písomného súhlasu, a ak nemožno získať písomný súhlas jej zákonného zástupcu,
O:2
P:d
spracovanie vykonáva v rámci oprávnenej činnosti nejaká nadácia, združenie alebo hocijaká iná nezárobková inštitúcia s politickými, filozofickými, náboženskými alebo odborárskymi cieľmi a pod podmienkou, že toto spracovanie sa týka iba členov tejto inštitúcie alebo osôb, ktoré s ňou vzhľadom na jej ciele v pravidelnom styku a že tieto údaje nebudú poskytnuté tretej strane bez súhlasu dotknutej osoby,
N
§:14
O:1
P:d
Zákaz spracúvania osobných údajov podľa § 13 ods. 1 neplatí, ak
spracúvanie vykonáva v rámci oprávnenej činnosti občianske združenie, nadácia alebo nezisková organizácia poskytujúca všeobecne prospešné služby, politická strana alebo politické hnutie, odborová organizácia, štátom uznaná cirkev alebo náboženská spoločnosť a toto spracúvanie sa týka iba ich členov alebo tých fyzických osôb, ktoré sú s nimi vzhľadom na ich ciele v pravidelnom styku, osobné údaje slúžia výlučne pre ich vnútornú potrebu a nebudú poskytnuté tretej strane bez písomného alebo inak hodnoverne preukázateľného súhlasu dotknutej osoby,
U
O:2
P:e
spracovanie sa týka údajov, ktoré dotknutá osoba očividne zverejnila alebo potrebné pri dokazovaní, uplatňovaní alebo hájení právneho nároku.
N
§:14
O:1
P:e
Zákaz spracúvania osobných údajov podľa § 13 ods. 1 neplatí, ak
spracúvanie sa týka osobných údajov, ktoré dotknutá osoba sama zverejnila alebo sú nevyhnutné pri uplatňovaní jej právneho nároku,
U
O:3
Odstavec 1 nebude platiť, ak je spracovanie údajov požadované pre účely preventívnej medicíny, lekárskej diagnostiky, poskytovania starostlivosti alebo liečby alebo za účelom riadenia služieb zdravotníckej starostlivosti a ak tieto údaje spracováva profesionálny zdravotnícky subjekt v súlade s domácim právnym poriadkom alebo predpismi ustanovenými domácimi kompetentnými orgánmi a týkajúcimi sa povinnosti mlčanlivosti pri výkone povolania alebo ak ho vykonáva nejaká iná osoba, ktorá je tiež zaviazaná ekvivalentnou povinnosťou.
N
§:14
O:1
P:f
Zákaz spracúvania osobných údajov podľa § 13 ods. 1 neplatí, ak
ide o spracúvanie na účely poskytovania zdravotnej starostlivosti a na účely vykonávania verejného zdravotného poistenia, ak tieto údaje spracúva poskytovateľ zdravotnej starostlivosti, zdravotná poisťovňa, osoba vykonávajúca služby súvisiace s poskytovaním zdravotnej starostlivosti alebo osoba vykonávajúca dohľad nad zdravotnou starostlivosťou a v jej mene odborne spôsobilá oprávnená osoba, ktorá je viazaná povinnosťou mlčanlivosti o skutočnostiach tvoriacich profesionálne tajomstvo a povinnosťou dodržiavať zásady profesijnej etiky,
U
23
O:4
Za predpokladu, že zabezpečia vhodné záruky, môžu členské štáty z dôvodu podstatného verejného záujmu ustanoviť výnimky - pomimo výnimiek zakotvených v odstavci 2, či prostredníctvom domácej právnej úpravy alebo na základe rozhodnutia dozorného orgánu.
D
O:5
Spracovanie údajov týkajúcich sa porušenia noriem trestného práva, právoplatných rozsudkov alebo bezpečnostných opatrení je možné vykonávať len pod kontrolou oficiálneho orgánu alebo ak vnútroštátny právny poriadok poskytuje záruky, ktoré môže členský štát derogovať. Avšak úplný trestný register môže byť vedený iba pod dohľadom oficiálneho orgánu.
Členské štáty môžu ustanoviť, že údaje týkajúce sa administratívnych sankcií alebo rozhodnutí v občiansko-právnych sporoch budú tiež spracovávané pod dohľadom oficiálneho orgánu.
N
§:5
O:3
§:13
O:4
Prevádzkovateľom na účely spracúvania osobných údajov v registri trestov podľa osobitného zákona, môže byť len štátny orgán ustanovený zákonom.
Spracúvanie osobných údajov o porušení ustanovení zakladajúcich trestnú zodpovednosť alebo administratívnoprávnu zodpovednosť, môže vykonávať len ten, komu to umožňuje osobitný zákon.
U
O:6
Derogácia odstavca 1, ktorú umožňujú odstavce 4 a 5, sa oznamuje Komisii.
D
O:7
Členské štáty stanovia podmienky, za akých je možné spracovávať číslo občianskeho preukazu alebo ktorýkoľvek iný všeobecne použiteľný identifikátor.
N
§:13
O:2
Pri spracúvaní osobných údajov možno využiť na účely určenia fyzickej osoby všeobecne použiteľný identifikátor ustanovený osobitným zákonom len vtedy, ak jeho použitie je nevyhnutné na dosiahnutie daného účelu spracúvania. Spracúvať iný identifikátor, ktorý v sebe skrýva charakteristiky dotknutej osoby, alebo zverejňovať všeobecne použiteľný identifikátor sa zakazuje.
U
Č:9
Spracovanie osobných údajov a sloboda prejavu
Členské štáty stanovujú výnimky alebo derogujú ustanovenia tejto hlavy, hlavy IV a VI v prípade spracovania osobných údajov, ktoré sa realizuje výlučne pre potreby žurnalistiky, umeleckého alebo literárneho vyjadrenia - iba ak tieto nevyhnutné na zladenie práva na súkromie s pravidlami upravujúcimi slobodu vyjadrovania.
N
§:10
O:3
P:a
Prevádzkovateľ spracúva osobné údaje bez súhlasu dotknutej osoby aj vtedy, ak
spracúvanie osobných údajov je nevyhnutné na účely tvorby umeleckých alebo literárnych diel, pre potreby informovania verejnosti masovokomunikačnými prostriedkami a ak osobné údaje spracúva prevádzkovateľ, ktorému to vyplýva z predmetu jeho činnosti; to neplatí, ak spracúvaním osobných údajov na takýto účel prevádzkovateľ porušuje právo dotknutej osoby na ochranu jej osobnosti a súkromia alebo takéto spracúvanie osobných údajov bez súhlasu dotknutej osoby vylučuje osobitný zákon alebo
U
24
medzinárodná zmluva, ktorou je Slovenská republika viazaná,
Č:10
P:a
P:b
P:c
Informácie v prípade získavania údajov od dotknutej osoby
Členské štáty ustanovia, že prevádzkovateľ alebo jeho zástupca musí poskytnúť dotknutej osobe, od ktorej získava údaje jej sa týkajúce, prinajmenšom nasledovné informácie - s výnimkou prípadov, keď táto osoba príslušné informácie už k dispozícii má:
totožnosť prevádzkovateľa a jeho prípadného zástupcu,
účel spracovania, na ktoré sú údaje určené,
ľubovoľné ďalšie informácie, napríklad
- príjemcovia alebo kategórie príjemcov týchto údajov,
- či je odpoveď na otázky povinná alebo dobrovoľná a aj možné následky ich nezodpovedania,
- existencia práva prístupu k údajom alebo práva na opravu údajov o dotknutej osobe,
- pokiaľ takéto ďalšie informácie s prihliadnutím na špecifické okolnosti zhromažďovania údajov nevyhnutné na zaručenie korektného spracovania vzhľadom na dotknutú osobu.
N
§15
O:1
úvodná veta
§15
O:3
prvá veta
§:15
O:1
P:a
P:b
P:c
P:d
P:e
Prevádzkovateľ, ktorý pripravuje spracúvanie osobných údajov dotknutej osoby, je povinný pred ich získavaním dotknutej osobe vopred oznámiť tieto informácie
Informácie podľa odseku 1 netreba dotknutej osobe oznamovať, ak prevádzkovateľ vie úradu kedykoľvek na jeho žiadosť preukázať, že jej boli predtým poskytnuté. Informácie podľa odseku 2 netreba dotknutej osobe oznamovať, ak prevádzkovateľ
Prevádzkovateľ, ktorý pripravuje spracúvanie osobných údajov dotknutej osoby, je povinný pred ich získavaním dotknutej osobe vopred oznámiť tieto informácie
identifikačné údaje prevádzkovateľa a zástupcu prevádzkovateľa, ak bol vymenovaný,
identifikačné údaje sprostredkovateľa; to neplatí, ak prevádzkovateľ pri získavaní osobných údajov nepostupuje podľa § 8,
účel spracúvania osobných údajov,
zoznam osobných údajov alebo rozsah osobných údajov podľa § 10 ods. 4 prvá veta a
doplňujúce informácie, ktoré s ohľadom na všetky okolnosti a podmienky spracúvania osobných údajov potrebné pre dotknutú osobu na zaručenie jej práv a právom chránených záujmov v rozsahu najmä
1.preukázanie totožnosti oprávnenej osoby, ktorá získava osobné údaje alebo preukázanie príslušnosti oprávnenej osoby hodnoverným dokladom k tomu
U
25
subjektu, v mene ktorého koná; oprávnená osoba je povinná takejto žiadosti dotknutej osoby bez zbytočného odkladu vyhovieť,
2.poučenie o dobrovoľnosti alebo povinnosti poskytnúť požadované osobné údaje; ak prevádzkovateľ získava osobné údaje dotknutej osoby na základe súhlasu dotknutej osoby podľa § 11, oznámi jej aj čas platnosti súhlasu a ak dotknutej osobe povinnosť poskytnúť osobné údaje vyplýva z priamo vykonateľného právne záväzného aktu Európskej únie, medzinárodnej zmluvy, ktorou je Slovenská republika viazaná alebo zákona, prevádzkovateľ oznámi dotknutej osobe právny základ, ktorý jej túto povinnosť ukladá a upovedomí ju o následkoch odmietnutia poskytnúť osobné údaje,
3.tretie strany, ak sa predpokladá alebo je zrejmé, že im budú osobné údaje poskytnuté,
4.okruh príjemcov, ak sa predpokladá alebo je zrejmé, že im budú osobné údaje sprístupnené,
5.formu zverejnenia, ak majú byť osobné údaje zverejnené,
6.tretie krajiny, ak sa predpokladá alebo je zrejmé, že sa do týchto krajín uskutoční prenos osobných údajov,
7.poučenie o právach dotknutej osoby.
Č:11
O:1
Informácie v prípade, že údaje neboli získané od dotknutej osoby
Ak sa údaje nezískavajú od dotknutej osoby, členské štáty ustanovia, že prevádzkovateľ alebo jeho zástupca v čase, keď sa podujme na zaznamenanie osobných údajov alebo ak predpokladá ich poskytnutie tretej strane, najneskôr v čase prvého týchto sprístupnenia údajov poskytne dotknutej osobe prinajmenšom nasledovné informácie, ak ich ešte táto
N
§15
O:2
úvodná veta
Ak osobné údaje o dotknutej osobe nezískal prevádzkovateľ priamo od tejto dotknutej osoby, je povinný bez zbytočného odkladu, najneskôr však v čase pred ich prvým poskytnutím tretej strane, ak sa takéto poskytovanie predpokladá, oznámiť dotknutej osobe informácie podľa odseku 1 písm. a) c) a ďalšie doplňujúce informácie, pokiaľ potrebné s ohľadom na špecifické okolnosti, za ktorých
U
26
P:a
P:b
P:c
nemá k dispozícii:
totožnosť prevádzkovateľa alebo jeho prípadného zástupcu,
účel spracovania;
ľubovoľné ďalšie informácie, napríklad
- kategórie údajov, o ktoré sa jedná,
- príjemcovia alebo kategórie príjemcov,
- existencia práva prístupu a práva na opravu údajov, ktoré sa týkajú tejto osoby, pokiaľ z hľadiska špecifických okolností spracovávania údajov tieto ďalšie informácie nevyhnutné na zabezpečenie korektného spracovania s ohľadom na dotknutú osobu.
§15
O:2
úvodná veta
§15
O:2
P:a
P:b
P:c
P:d
P:e
P:f
osobné údaje získavané na zabezpečenie zákonného spracúvania, najmä
Ak osobné údaje o dotknutej osobe nezískal prevádzkovateľ priamo od tejto dotknutej osoby, je povinný bez zbytočného odkladu, najneskôr však v čase pred ich prvým poskytnutím tretej strane, ak sa takéto poskytovanie predpokladá, oznámiť dotknutej osobe informácie podľa odseku 1 písm. a) c) a ďalšie doplňujúce informácie, pokiaľ potrebné s ohľadom na špecifické okolnosti, za ktorých osobné údaje získavané na zabezpečenie zákonného spracúvania, najmä
Ak osobné údaje o dotknutej osobe nezískal prevádzkovateľ priamo od tejto dotknutej osoby, je povinný bez zbytočného odkladu, najneskôr však v čase pred ich prvým poskytnutím tretej strane, ak sa takéto poskytovanie predpokladá, oznámiť dotknutej osobe informácie podľa odseku 1 písm. a) c) a ďalšie doplňujúce informácie, pokiaľ potrebné s ohľadom na špecifické okolnosti, za ktorých sú osobné údaje získavané na zabezpečenie zákonného spracúvania, najmä
poučenie o možnosti rozhodnúť o spracúvaní získaných osobných údajov,
zoznam osobných údajov,
tretie strany, ak sa predpokladá alebo je zrejmé, že im budú osobné údaje poskytnuté,
okruh príjemcov, ak sa predpokladá alebo je zrejmé, že im budú osobné údaje sprístupnené,
formu zverejnenia, ak majú byť osobné údaje zverejnené,
tretie krajiny, ak sa predpokladá alebo je zrejmé, že sa
27
P:g
do týchto krajín uskutoční prenos osobných údajov,
poučenie o právach dotknutej osoby.
O:2
Odstavec 1 nebude platiť, ak sa (najmä pri spracovaní údajov pre štatistické účely alebo za účelom historického alebo vedeckého výskumu) poskytnutie takýchto informácií ukáže byť nemožným alebo ak by vyžadovalo neúmernú úsilie alebo ak zaznamenávanie či sprístupňovanie týchto údajov je výslovne stanovené zákonom. V týchto prípadoch členské štáty zabezpečia primerané záruky.
N
§:15
O:3
P:a
P:b
P:c
P:d
Informácie podľa odseku 1 netreba dotknutej osobe oznamovať, ak prevádzkovateľ vie úradu kedykoľvek na jeho žiadosť preukázať, že jej boli predtým poskytnuté. Informácie podľa odseku 2 netreba dotknutej osobe oznamovať, ak prevádzkovateľ
vie úradu kedykoľvek na jeho žiadosť preukázať, že jej boli už predtým poskytnuté,
spracúva osobné údaje podľa § 10 ods. 1 a 2,
spracúva osobné údaje na účel ustanovený v § 10 ods. 3 písm. a), na historický výskum alebo vedecký výskum a vývoj, alebo na účely štátnej štatistiky a poskytnutie takýchto informácií je objektívne nemožné alebo by bolo možné len s vyvinutím neprimeraného úsilia, alebo
spracúva osobné údaje podľa § 10 ods. 3 písm. e).
U
Č:12
P:a
Právo prístupu
Členské štáty zaručia každej dotknutej osobe právo získať od prevádzkovateľa:
bez obmedzenia, v primeraných intervaloch a bez prílišného odkladu alebo neúmerných nákladov:
- potvrdenie, či alebo nie údaje o ňom spracovávané a aj informácie minimálne o účele spracovania, kategóriách príslušných údajov a príjemcoch alebo kategóriách príjemcov, ktorým údaje sprístupnené,
- oznámenie v zrozumiteľnej forme o tom, ktoré údaje práve predmetom spracovania a aj všetkých informácií o ich zdroji, ktoré sú k dispozícii,
- možnosť oboznámiť sa s logikou automatizovaného spracovania údajov týkajúcich sa tejto osoby, prinajmenšom v prípade automatizovaných rozhodovaní uvedených v článku 15 (1),
N
§:28
O:1
P:a
P:b
P:c
P:d
Dotknutá osoba právo na základe písomnej žiadosti od prevádzkovateľa vyžadovať
potvrdenie, či alebo nie osobné údaje o nej spracúvané,
vo všeobecne zrozumiteľnej forme informácie o spracúvaní osobných údajov v informačnom systéme v rozsahu podľa § 15 ods. 1 písm. a) e) druhý šiesty bod; pri vydaní rozhodnutia podľa odseku 5 je dotknutá osoba oprávnená oboznámiť sa s postupom spracúvania a vyhodnocovania operácií,
vo všeobecne zrozumiteľnej forme presné informácie o zdroji, z ktorého získal jej osobné údaje na spracúvanie,
vo všeobecne zrozumiteľnej forme zoznam jej osobných údajov, ktoré sú predmetom spracúvania,
U
28
§:29
O:1
O:2
O:3
Žiadosť dotknutej osoby podľa § 28 ods. 1 písm. a) c), e) h) a ods. 3 5 vybaví prevádzkovateľ bezplatne.
Žiadosť dotknutej osoby podľa § 28 ods. 1 písm. d) vybaví prevádzkovateľ bezplatne okrem úhrady vo výške, ktorá nemôže prekročiť výšku účelne vynaložených vecných nákladov spojených so zhotovením kópií, so zadovážením technických nosičov a s odoslaním informácie dotknutej osobe, ak osobitný zákon neustanovuje inak.
Prevádzkovateľ je povinný písomne vybaviť žiadosť dotknutej osoby podľa odsekov 1 a 2 najneskôr do 30 dní odo dňa doručenia žiadosti.
P:b
ak je to vhodné, dosiahnuť od neho opravu, výmaz alebo rozklad údajov, ktorých spracovanie nevyhovuje ustanoveniam tejto smernice, najmä ak majú tieto údaje neúplný alebo nepresný charakter,
N
§:28
O:1
P:e
P:f
P:g
P:h
Dotknutá osoba právo na základe písomnej žiadosti od prevádzkovateľa vyžadovať
opravu alebo likvidáciu svojich nesprávnych, neúplných alebo neaktuálnych osobných údajov, ktoré sú predmetom spracúvania,
likvidáciu jej osobných údajov, ak bol splnený účel ich spracúvania; ak predmetom spracúvania úradné doklady obsahujúce osobné údaje, môže požiadať o ich vrátenie,
likvidáciu jej osobných údajov, ktoré predmetom spracúvania, ak došlo k porušeniu zákona,
blokovanie jej osobných údajov z dôvodu odvolania súhlasu pred uplynutím času jeho platnosti, ak prevádzkovateľ spracúva osobné údaje na základe súhlasu dotknutej osoby.
U
P:c
dosiahnuť, aby upovedomil tretie strany, ktorým boli údaje sprístupnené, o každej oprave, výmaze alebo rozklade urobenom v súlade s (b) - ak sa neukáže, že to nie je možné alebo že je to spojené s neúmernou
N
§:18
O:1
Ak prevádzkovateľa upozorní dotknutá osoba alebo ak si dotknutá osoba uplatní u prevádzkovateľa svoje právo, alebo ak prevádzkovateľ sám zistí, že poskytol tretej strane nesprávne, neúplné alebo neaktuálne
U
29
námahou.
O:2
O:3
O:4
osobné údaje, alebo že ich poskytol bez právneho základu, je povinný bez zbytočného odkladu písomne oznámiť to každému, komu ich poskytol. Prevádzkovateľ v oznámení uvedie, aké opatrenia na nápravu vykonal, najmä či osobné údaje blokoval, doplnil, opravil, aktualizoval alebo zlikvidoval, a aké opatrenia žiada prijať od tretej strany.
Tretia strana je povinná na základe oznámenia podľa odseku 1 vykonať požadované opatrenia, najmä zablokovať osobné údaje v informačnom systéme a bez zbytočného odkladu ich doplniť, opraviť, aktualizovať alebo zlikvidovať.
Od oznámenia podľa odseku 1 možno upustiť len vtedy, ak oznámenie je objektívne nemožné, alebo je možné len s vyvinutím neprimeraného úsilia.
Prevádzkovateľ, ktorý upustí od oznámenia podľa odseku 1 z dôvodu podľa odseku 3, je povinný na vyzvanie úradu preukázať, že upustenie od oznámenia je dôvodné.
Č:13
O:1
P:a
Výnimky a obmedzenia
Členské štáty môžu prijať legislatívne opatrenia na obmedzenie rozsahu povinností a práv ustanovených v článku 6 (1), 10, 11 (1) 12 a 21, ak je takéto obmedzenie nevyhnutné na zabezpečenie:
národnej bezpečnosti;
D
§:3
O:1
P:a
Ustanovenia § 6 ods. 2 5, § 8 ods. 5, § 15 ods. 1, 2 a 8, § 28 ods. 1 a § 44 sa nevzťahujú na spracúvanie osobných údajov nevyhnutných na zabezpečenie verejného záujmu, ak prevádzkovateľ plní povinnosti výslovne ustanovené osobitným zákonom určené na zaistenie
bezpečnosti Slovenskej republiky,
U
P:b
obrany;
N
§:3
O:1
P:b
Ustanovenia § 6 ods. 2 5, § 8 ods. 5, § 15 ods. 1, 2 a 8, § 28 ods. 1 a § 44 sa nevzťahujú na spracúvanie osobných údajov nevyhnutných na zabezpečenie verejného záujmu, ak prevádzkovateľ plní povinnosti výslovne ustanovené osobitným zákonom určené na zaistenie
obrany Slovenskej republiky,
U
P:c
verejnej bezpečnosti;
N
§:3
O:1
P:c
Ustanovenia § 6 ods. 2 5, § 8 ods. 5, § 15 ods. 1, 2 a 8, § 28 ods. 1 a § 44 sa nevzťahujú na spracúvanie osobných údajov nevyhnutných na zabezpečenie verejného záujmu, ak prevádzkovateľ plní povinnosti výslovne ustanovené osobitným zákonom určené na
U
30
zaistenie
verejného poriadku a bezpečnosti,
P:d
pri prevencii, vyšetrovaní, objasňovaní a stíhaní trestných činov alebo porušenia etických zásad u regulovaných povolaní,
N
§:3
O:1
P:d
P:e
Ustanovenia § 6 ods. 2 5, § 8 ods. 5, § 15 ods. 1, 2 a 8, § 28 ods. 1 a § 44 sa nevzťahujú na spracúvanie osobných údajov nevyhnutných na zabezpečenie verejného záujmu, ak prevádzkovateľ plní povinnosti výslovne ustanovené osobitným zákonom určené na zaistenie
predchádzania, zamedzovania, odhaľovania a dokumentovania trestnej činnosti, zisťovania jej páchateľov, vyšetrovania a stíhania páchateľov trestných činov,
odhaľovania porušení etického kódexu v regulovaných povolaniach a regulovaných odborných činnostiach,
U
P:e
dôležitého ekonomického alebo finančného záujmu členského štátu alebo Európskej únie, vrátane monetárnych, rozpočtových a daňových záležitostí,
N
§:3
O:1
P:f
Ustanovenia § 6 ods. 2 5, § 8 ods. 5, § 15 ods. 1, 2 a 8, § 28 ods. 1 a § 44 sa nevzťahujú na spracúvanie osobných údajov nevyhnutných na zabezpečenie verejného záujmu, ak prevádzkovateľ plní povinnosti výslovne ustanovené osobitným zákonom určené na zaistenie
významného ekonomického alebo finančného záujmu Slovenskej republiky alebo Európskej únie vrátane menových, rozpočtových a daňových záležitostí,
Ú
P:f
monitorovacej, inšpekčnej alebo regulatórnej funkcie spojenej, hoci aj len príležitostne, s výkonom oficiálnych právomocí v prípadoch uvedených v (c), (d) a (e),
N
§:3
O:1
P:g
Ustanovenia § 6 ods. 2 5, § 8 ods. 5, § 15 ods. 1, 2 a 8, § 28 ods. 1 a § 44 sa nevzťahujú na spracúvanie osobných údajov nevyhnutných na zabezpečenie verejného záujmu, ak prevádzkovateľ plní povinnosti výslovne ustanovené osobitným zákonom určené na zaistenie
výkonu kontroly, dohľadu, dozoru alebo uplatňovania regulácie v súvislosti s výkonom verejnej moci vo veciach uvedených v písmenách c) až f), alebo
Ú
P:g
ochrany dotknutej osoby alebo práv a slobôd iných osôb.
N
§:3
O:1
Ustanovenia § 6 ods. 2 5, § 8 ods. 5, § 15 ods. 1, 2 a 8, § 28 ods. 1 a § 44 sa nevzťahujú na spracúvanie osobných údajov nevyhnutných na zabezpečenie verejného záujmu, ak prevádzkovateľ plní povinnosti výslovne ustanovené osobitným zákonom určené na zaistenie
Ú
31
P:h
ochrany dotknutej osoby alebo práv a slobôd iných osôb.
O:2
Pod podmienkou adekvátnych právnych záruk, najmä záruky, že údaje nebudú použité pri prijímaní opatrení alebo rozhodnutí týkajúcich sa ktoréhokoľvek konkrétneho jednotlivca, môžu členské štáty v prípade, že očividne nehrozí nijaké nebezpečenstvo porušenia súkromia dotknutej osoby, obmedziť legislatívnym opatrením práva ustanovené v článku 12, ak údaje spracovávané výlučne za účelom vedeckého výskumu alebo vedené v osobnej podobe počas obdobia, ktorá nepresiahne obdobie potrebné len na prípravu štatistiky.
D
§:3
O:1
Úvodná veta
§:6
O:5
Ustanovenia § 6 ods. 2 5, § 8 ods. 5, § 15 ods. 1, 2 a 8, § 28 ods. 1 a § 44 sa nevzťahujú na spracúvanie osobných údajov nevyhnutných na zabezpečenie verejného záujmu, ak prevádzkovateľ plní povinnosti výslovne ustanovené osobitným zákonom určené na zaistenie
Počas trvania pôvodne určeného účelu spracúvania osobných údajov ako aj po jeho skončení je prípustné zhromaždené osobné údaje spracúvať v nevyhnutnom rozsahu na historický výskum, vedecký výskum a vývoj alebo na účely štatistiky, čo sa nepovažuje za nezlučiteľné s pôvodným účelom spracúvania. Takto spracúvané osobné údaje prevádzkovateľ nemôže použiť na podporu opatrení alebo rozhodnutí prijatých proti dotknutej osobe a nemôže ich využiť proti záujmom dotknutej osoby na obmedzenie jej základných práv a slobôd. Počas spracúvania osobných údajov na účely podľa prvej vety je prevádzkovateľ povinný ich označiť, anonymizovať ich, ak tým možno dosiahnuť účel spracúvania a zlikvidovať ich ihneď ako sa stanú nepotrebnými.
Ú
Č:14
P:a
Právo dotknutej osoby na námietku
Členské štáty udelia dotknutej osobe právo:
prinajmenšom v prípadoch uvedených v článku 7 (e) a (f), z naliehavých a oprávnených dôvodov, ktoré majú do činenia s jej konkrétnou situáciou, hocikedy vzniesť námietku voči spracovaniu údajov jej sa týkajúcich, pokiaľ nie je vnútroštátnou legislatívou stanovené inak. Ak bola námietka oprávnená, prevádzkovateľ viac nesmie do svojho spracovania tieto údaje zahrnúť.
N
§:28
O:4
Dotknutá osoba na základe písomnej žiadosti alebo osobne, ak vec neznesie odklad, právo u prevádzkovateľa kedykoľvek namietať voči spracúvaniu osobných údajov v prípadoch podľa § 10 ods. 3 písm. a), e), f) alebo g) vyslovením oprávnených dôvodov alebo predložením dôkazov o neoprávnenom zasahovaní do jej práv a právom chránených záujmov, ktoré alebo môžu byť v konkrétnom prípade takýmto spracúvaním osobných údajov poškodené; ak tomu nebránia zákonné dôvody a preukáže sa, že námietka dotknutej osoby je oprávnená, prevádzkovateľ je povinný osobné údaje, ktorých spracúvanie dotknutá osoba namietala, bez zbytočného odkladu blokovať a zlikvidovať ihneď, ako to okolnosti dovolia.
U
P:b
na základe žiadosti a bezodplatne namietať voči
N
§:10
Prevádzkovateľ spracúva osobné údaje bez súhlasu
Ú
32
spracovaniu osobných údajov, ktoré sa jej týkajú a o ktorých prevádzkovateľ predpokladá, že budú spracované pre účely priameho marketingu alebo právo byť informovaný ešte pred prvým sprístupnením osobných údajov tretím stranám alebo pred ich prvým použitím v mene týchto strán pre účely priameho marketingu a musí jej byť špeciálne umožnené bezodplatne vznášať námietky voči takémuto sprístupňovaniu alebo použitiu.
Členské štáty prijmú nevyhnutné opatrenia aby zabezpečili, že dotknuté osoby si budú vedomé práva uvedeného v (b).
O:3
P:d
§:15
O:8
§:15
O:9
§:17
O:4
dotknutej osoby aj vtedy, ak
predmetom spracúvania výlučne titul, meno, priezvisko a adresa dotknutej osoby bez možnosti priradiť k nim ďalšie jej osobné údaje a ich využitie je určené výhradne pre potreby prevádzkovateľa v poštovom styku s dotknutou osobou a evidencie týchto údajov; ak je predmetom činnosti prevádzkovateľa priamy marketing, uvedené osobné údaje môže poskytovať, bez možnosti ich sprístupňovania a zverejňovania, len vtedy, ak sú poskytované inému prevádzkovateľovi, ktorý rovnaký predmet činnosti výhradne na účely priameho marketingu, a dotknutá osoba písomne neuplatnila námietku podľa § 28 ods. 3 písm. c),
Prevádzkovateľ, ktorý získa osobné údaje uvedené v § 10 ods. 3 písm. d) bez vedomia dotknutej osoby alebo priamo od nej, poskytne jej pri prvom kontakte informácie podľa odseku 1 a ak spracúvané na účely priameho marketingu, oboznámi ju výslovne aj s právom písomne namietať proti ich poskytovaniu a využívaniu v poštovom styku.
Prevádzkovateľ, ktorého predmetom činnosti je priamy marketing, vedie zoznam poskytnutých osobných údajov podľa § 10 ods. 3 písm. d) v rozsahu titul, meno, priezvisko a adresa dotknutej osoby, dátum ich poskytnutia, prípadne dátum, od ktorého platí zákaz ich ďalšieho poskytovania podľa § 17 ods. 6 a názov právnickej osoby alebo fyzickej osoby, ktorej boli uvedené osobné údaje poskytnuté. Zoznam v rovnakom rozsahu vedie aj právnická osoba a fyzická osoba, ktorej boli tieto osobné údaje poskytnuté.
Ak dotknutá osoba uplatní námietku podľa § 28 ods. 3 písm. a), prevádzkovateľ je povinný spracúvané osobné údaje bez zbytočného odkladu zlikvidovať okrem osobných údajov uvedených v § 10 ods. 3 písm. d).
33
§:17
O:5
§:17
O:6
§:28
O:3
P:a
P:b
P:c
Ak dotknutá osoba uplatní námietku podľa § 28 ods. 3 písm. b), prevádzkovateľ je povinný bez zbytočného odkladu skončiť využívanie osobných údajov uvedených v § 10 ods. 3 písm. d) v poštovom styku.
Ak dotknutá osoba uplatní námietku podľa § 28 ods. 3 písm. c), prevádzkovateľ je povinný to bez zbytočného odkladu, najneskôr do troch pracovných dní, písomne oznámiť každému, komu osobné údaje uvedené v § 10 ods. 3 písm. d) poskytol; zákaz ďalšieho poskytovania tu uvedených osobných údajov platí pre prevádzkovateľa a každého, komu ich prevádzkovateľ poskytol odo dňa nasledujúceho po dni doručenia námietky dotknutej osoby, prípadne doručenia písomného oznámenia prevádzkovateľa.
Dotknutá osoba na základe písomnej žiadosti právo u prevádzkovateľa namietať voči
spracúvaniu jej osobných údajov, o ktorých predpokladá, že alebo budú spracúvané na účely priameho marketingu bez jej súhlasu a žiadať ich likvidáciu,
využívaniu osobných údajov uvedených v § 10 ods. 3 písm. d) na účely priameho marketingu v poštovom styku, alebo
poskytovaniu osobných údajov uvedených v § 10 ods. 3 písm. d) na účely priameho marketingu.
Č:15
O:1
Automatické rozhodovanie o jednotlivcoch
Členské štáty každej osobe udelia právo nepodrobiť sa rozhodnutiu, ktoré bude mať na ňu právne účinky alebo významný dopad alebo ktoré sa výlučne zakladá na automatizovanom spracovaní údajov určených na vyhodnotenie istých osobných stránok jej života, napríklad jej pracovného výkonu, dôveryhodnosti, spoľahlivosti, a pod.
N
§:28
O:5
Dotknutá osoba na základe písomnej žiadosti alebo osobne, ak vec neznesie odklad, ďalej právo u prevádzkovateľa kedykoľvek namietať a nepodrobiť sa rozhodnutiu prevádzkovateľa, ktoré by malo pre ňu právne účinky alebo významný dosah, ak sa takéto rozhodnutie vydá výlučne na základe úkonov automatizovaného spracúvania jej osobných údajov. Dotknutá osoba právo žiadať prevádzkovateľa o preskúmanie vydaného rozhodnutia metódou odlišnou od automatizovanej formy spracúvania, pričom prevádzkovateľ je povinný žiadosti dotknutej osoby
Ú
34
vyhovieť, a to tak, že rozhodujúcu úlohu pri preskúmaní rozhodnutia bude mať oprávnená osoba; o spôsobe preskúmania a výsledku zistenia prevádzkovateľ informuje dotknutú osobu v lehote podľa § 29 ods. 3. Dotknutá osoba nemá toto právo iba v prípade, ak to ustanovuje osobitný zákon, v ktorom upravené opatrenia na zabezpečenie oprávnených záujmov dotknutej osoby, alebo ak v rámci predzmluvných vzťahov alebo počas existencie zmluvných vzťahov prevádzkovateľ vydal rozhodnutie, ktorým vyhovel požiadavke dotknutej osoby, alebo ak prevádzkovateľ na základe zmluvy prijal iné primerané opatrenia na zabezpečenie oprávnených záujmov dotknutej osoby.
O:2
P:a
S podmienkou dodržania ďalších článkov tejto smernice členské štáty ustanovia, že je možné osobu podrobiť rozhodnutiu typu popísaného v odstavci 1, ak toto rozhodnutie:
bolo prijaté v priebehu uzatvárania alebo plnenia zmluvy - za predpokladu, že tak bolo vyhovené požiadavke dotknutej osoby alebo že jestvujú vhodné opatrenia na zabezpečenie jej oprávnených záujmov, napríklad dojednanie, ktoré jej umožňuje vyjadrovať svoj názor, alebo
§:28
O:5
Dotknutá osoba na základe písomnej žiadosti alebo osobne, ak vec neznesie odklad, ďalej právo u prevádzkovateľa kedykoľvek namietať a nepodrobiť sa rozhodnutiu prevádzkovateľa, ktoré by malo pre ňu právne účinky alebo významný dosah, ak sa takéto rozhodnutie vydá výlučne na základe úkonov automatizovaného spracúvania jej osobných údajov. Dotknutá osoba právo žiadať prevádzkovateľa o preskúmanie vydaného rozhodnutia metódou odlišnou od automatizovanej formy spracúvania, pričom prevádzkovateľ je povinný žiadosti dotknutej osoby vyhovieť, a to tak, že rozhodujúcu úlohu pri preskúmaní rozhodnutia bude mať oprávnená osoba; o spôsobe preskúmania a výsledku zistenia prevádzkovateľ informuje dotknutú osobu v lehote podľa § 29 ods. 3. Dotknutá osoba nemá toto právo iba v prípade, ak to ustanovuje osobitný zákon, v ktorom upravené opatrenia na zabezpečenie oprávnených záujmov dotknutej osoby, alebo ak v rámci predzmluvných vzťahov alebo počas existencie zmluvných vzťahov prevádzkovateľ vydal rozhodnutie, ktorým vyhovel požiadavke dotknutej osoby, alebo ak prevádzkovateľ na základe zmluvy prijal iné primerané opatrenia na zabezpečenie oprávnených záujmov dotknutej osoby.
U
O:2
P:b
je povolená zákonom, ktorý tiež zakotvuje opatrenia na zabezpečenie oprávnených záujmov dotknutej osoby.
§:28
O:5
Dotknutá osoba na základe písomnej žiadosti alebo osobne, ak vec neznesie odklad, ďalej právo u prevádzkovateľa kedykoľvek namietať a nepodrobiť
U
35
sa rozhodnutiu prevádzkovateľa, ktoré by malo pre ňu právne účinky alebo významný dosah, ak sa takéto rozhodnutie vydá výlučne na základe úkonov automatizovaného spracúvania jej osobných údajov. Dotknutá osoba právo žiadať prevádzkovateľa o preskúmanie vydaného rozhodnutia metódou odlišnou od automatizovanej formy spracúvania, pričom prevádzkovateľ je povinný žiadosti dotknutej osoby vyhovieť, a to tak, že rozhodujúcu úlohu pri preskúmaní rozhodnutia bude mať oprávnená osoba; o spôsobe preskúmania a výsledku zistenia prevádzkovateľ informuje dotknutú osobu v lehote podľa § 29 ods. 3. Dotknutá osoba nemá toto právo iba v prípade, ak to ustanovuje osobitný zákon, v ktorom upravené opatrenia na zabezpečenie oprávnených záujmov dotknutej osoby, alebo ak v rámci predzmluvných vzťahov alebo počas existencie zmluvných vzťahov prevádzkovateľ vydal rozhodnutie, ktorým vyhovel požiadavke dotknutej osoby, alebo ak prevádzkovateľ na základe zmluvy prijal iné primerané opatrenia na zabezpečenie oprávnených záujmov dotknutej osoby.
Č:16
Dôvernosť spracovania
Každý, kto koná na základe právomoci prevádzkovateľa alebo sprostredkovateľa, vrátane sprostredkovateľa samotného a kto prístup k osobným údajom, smie tieto osobné údaje spracovávať len na základe pokynu od prevádzkovateľa, ak to od neho nepožaduje zákon.
N
§:4
O:2
P:e
§:21
O:1
§:21
O:2
Na účely tohto zákona sa rozumie
oprávnenou osobou každá fyzická osoba, ktorá prichádza do styku s osobnými údajmi v rámci svojho pracovného pomeru, štátnozamestnaneckého pomeru, služobného pomeru, členského vzťahu, na základe poverenia, zvolenia alebo vymenovania, alebo v rámci výkonu verejnej funkcie, a ktorá spracúva osobné údaje v rozsahu a spôsobom určeným v poučení podľa § 21,
Fyzická osoba sa stáva oprávnenou osobou dňom jej poučenia.
Prevádzkovateľ je povinný poučiť osobu podľa odseku 1 o právach a povinnostiach ustanovených týmto zákonom a o zodpovednosti za ich porušenie pred uskutočnením prvej operácie s osobnými údajmi. Poučenie obsahuje najmä rozsah oprávnení, popis
U
36
§:21
O:3
P:a
P:b
P:c
P:d
P:e
P:f
§:21
O:4
§:22
O:1
§:22
O:2
povolených činností a podmienky spracúvania osobných údajov.
Prevádzkovateľ je povinný o poučení oprávnenej osoby vyhotoviť písomný záznam. Záznam o poučení obsahuje
identifikačné údaje prevádzkovateľa,
titul, meno, priezvisko, pracovné, služobné alebo funkčné zaradenie a podpis oprávnenej osoby,
titul, meno, priezvisko, pracovné zaradenie alebo funkciu a podpis toho, kto vykonal poučenie,
informácie podľa odseku 2,
deň poučenia a
deň, odkedy osoba prestala byť oprávnenou osobou; tento údaj doplní prevádzkovateľ po ukončení jej činnosti ako oprávnenej osoby.
Prevádzkovateľ je povinný opätovne poučiť oprávnenú osobu, ak došlo k podstatnej zmene jej pracovného, služobného alebo funkčného zaradenia, a tým sa významne zmenil obsah náplne jej pracovných činností, alebo sa podstatne zmenili podmienky spracúvania osobných údajov alebo rozsah spracúvaných osobných údajov v rámci jej pracovného, služobného alebo funkčného zaradenia.
Prevádzkovateľ je povinný zachovávať mlčanlivosť o osobných údajoch, ktoré spracúva. Povinnosť mlčanlivosti trvá aj po ukončení spracúvania osobných údajov.
Oprávnená osoba je povinná zachovávať mlčanlivosť o osobných údajoch, s ktorými príde do styku; tie nemôže využiť ani pre osobnú potrebu a bez súhlasu prevádzkovateľa ich nemôže zverejniť a nikomu poskytnúť ani sprístupniť.
37
§:22
O:3
§:22
O:4
§:22
O:5
§:22
O:6
Povinnosť mlčanlivosti podľa odseku 2 platí aj pre iné fyzické osoby, ktoré prídu do styku s osobnými údajmi u prevádzkovateľa alebo sprostredkovateľa.
Povinnosť mlčanlivosti podľa odseku 2 trvá aj po zániku funkcie oprávnenej osoby alebo po skončení jej pracovného pomeru, štátnozamestnaneckého pomeru, služobného pomeru alebo obdobného pracovného vzťahu. Povinnosť mlčanlivosti podľa prvej vety sa vzťahuje aj na fyzické osoby podľa odseku 3.
Povinnosť mlčanlivosti podľa odsekov 1 4 neplatí, ak je to nevyhnutné na plnenie úloh súdu a orgánov činných v trestnom konaní podľa osobitného zákona; tým nie dotknuté ustanovenia o mlčanlivosti podľa osobitných predpisov.
Odseky 1 4 sa nepoužijú vo vzťahu k úradu pri plnení jeho úloh podľa tohto zákona.
Č:17
O:1
Bezpečnosť spracovania
Členské štáty ustanovia, že prevádzkovateľ musí zaviesť primerané technické a organizačné opatrenia na ochranu osobných údajov proti náhodnému alebo nezákonnému zničeniu alebo náhodnej strate, zmene, nepovolenému sprístupneniu alebo prístupu, najmä v prípadoch, keď spracovanie zahŕňa prenos údajov v sieti a aj proti všetkým ďalším formám nezákonného spracovania.
S prihliadnutím na posledný vývoj v tejto oblasti a náklady na ich zavedenie, tieto opatrenia zaručia úroveň bezpečnosti, ktorá bude primeraná rizikám vyplývajúcim zo spracovania a z povahy údajov, ktoré sú predmetom ochrany.
N
§:19
O:1
O:2
P:a
Za bezpečnosť osobných údajov zodpovedá prevádzkovateľ. Prevádzkovateľ je povinný chrániť spracúvané osobné údaje pred ich poškodením, zničením, stratou, zmenou, neoprávneným prístupom a sprístupnením, poskytnutím alebo zverejnením ako aj pred akýmikoľvek inými neprípustnými spôsobmi spracúvania. Na tento účel príjme primerané technické, organizačné a personálne opatrenia (ďalej len „bezpečnostné opatrenia“) zodpovedajúce spôsobu spracúvania osobných údajov, pričom berie do úvahy najmä použiteľné technické prostriedky, dôvernosť a dôležitosť spracúvaných osobných údajov ako aj rozsah možných rizík, ktoré spôsobilé narušiť bezpečnosť alebo funkčnosť informačného systému.
Bezpečnostné opatrenia podľa odseku 1 prevádzkovateľ zdokumentuje v bezpečnostnej smernici, ak v informačnom systéme
prepojenom s verejne prístupnou počítačovou sieťou nespracúva osobitné kategórie osobných údajov podľa
U
38
P:b
O:3
P:a
P:b
O:4
O:5
O:6
§ 13, alebo
neprepojenom s verejne prístupnou počítačovou sieťou spracúva osobitné kategórie osobných údajov podľa § 13.
Bezpečnostné opatrenia podľa odseku 1 prevádzkovateľ zdokumentuje v bezpečnostnom projekte informačného systému (ďalej len „bezpečnostný projekt“), ak
v informačnom systéme prepojenom s verejne prístupnou počítačovou sieťou spracúva osobitné kategórie osobných údajov podľa § 13, alebo
informačný systém slúži na zabezpečenie verejného záujmu podľa § 3 ods. 1; ustanovenie § 20 sa pri vypracúvaní bezpečnostného projektu nepoužije len vtedy, ak pre konkrétny prípad je tu súčasne povinnosť vypracovať bezpečnostný projekt podľa osobitného predpisu.
Prevádzkovateľ je povinný bez zbytočného odkladu zabezpečovať aktualizáciu bezpečnostných opatrení prijatých podľa odseku 1 až 3 tak, aby zodpovedala prijatým zmenám pri spracúvaní osobných údajov, a to do ukončenia spracúvania osobných údajov v informačnom systéme.
Prevádzkovateľ je povinný oboznámiť oprávnené osoby s obsahom bezpečnostnej smernice v rozsahu potrebnom na plnenie ich úloh; oboznámenie oprávnených osôb s obsahom bezpečnostnej smernice je prevádzkovateľ povinný na žiadosť úradu hodnoverne preukázať. Prevádzkovateľ je povinný splniť povinnosť podľa prvej vety pri každej zmene bezpečnostnej smernice.
Na požiadanie úradu prevádzkovateľ preukáže rozsah a obsah bezpečnostných opatrení podľa odseku 1až 3.
39
§:20
O:1
O:2
O:3
Bezpečnostný projekt vymedzuje rozsah a spôsob bezpečnostných opatrení potrebných na eliminovanie a minimalizovanie hrozieb a rizík pôsobiacich na informačný systém z hľadiska narušenia jeho bezpečnosti, spoľahlivosti a funkčnosti.
Bezpečnostný projekt vypracúva prevádzkovateľ v súlade s bezpečnostnými štandardmi, právnymi predpismi a medzinárodnými zmluvami, ktorými je Slovenská republika viazaná.
Rozsah a dokumentáciu bezpečnostných opatrení ustanoví všeobecne záväzný právny predpis, ktorý vydá úrad.
O:2
Členské štáty ustanovia, že prevádzkovateľ musí v prípade, že je spracovanie vykonávané v jeho mene, vybrať sprostredkovateľa, ktorý poskytuje dostatočné záruky pokiaľ ide o opatrenia v oblasti technickej bezpečnosti a organizačné opatrenia, ktorými sa riadi spracovanie, ktoré sa vykonať a že musí zabezpečiť dodržiavanie týchto opatrení.
N
§:8
O:2
O:10
O:11
O:12
§:19
O:1
Prevádzkovateľ je pri výbere sprostredkovateľa povinný dbať na jeho odbornú, technickú, organizačnú a personálnu spôsobilosť a jeho schopnosť zaručiť bezpečnosť spracúvaných osobných údajov opatreniami podľa § 19 ods. 1. Prevádzkovateľ nemôže zveriť spracúvanie osobných údajov sprostredkovateľovi, ak by tým mohli byť ohrozené práva a právom chránené záujmy dotknutých osôb.
Sprostredkovateľ je povinný dodržiavať povinnosti ustanovené prevádzkovateľovi v § 5 ods. 1, § 6 ods. 2 písm. c) i), § 6 ods. 4, § 8 ods. 3, 4, § 9 ods. 2, § 19 až 26, ak tento zákon neustanovuje inak.
Povinnosti prevádzkovateľa ustanovené v § 8 ods. 6, § 15 18 a § 28 32 môže vykonať sprostredkovateľ, ak sa tak výslovne dohodne v zmluve uzatvorenej s prevádzkovateľom podľa odseku 1.
Sprostredkovateľ zodpovedá za plnenie povinností podľa odseku 11 v rozsahu zmluvy uzatvorenej s prevádzkovateľom podľa odseku 1.
Za bezpečnosť osobných údajov zodpovedá prevádzkovateľ. Prevádzkovateľ je povinný chrániť spracúvané osobné údaje pred ich poškodením, zničením, stratou, zmenou, neoprávneným prístupom a
U
40
O:2
P:a
P:b
O:3
P:a
P:b
O:4
sprístupnením, poskytnutím alebo zverejnením ako aj pred akýmikoľvek inými neprípustnými spôsobmi spracúvania. Na tento účel príjme primerané technické, organizačné a personálne opatrenia (ďalej len „bezpečnostné opatrenia“) zodpovedajúce spôsobu spracúvania osobných údajov, pričom berie do úvahy najmä použiteľné technické prostriedky, dôvernosť a dôležitosť spracúvaných osobných údajov ako aj rozsah možných rizík, ktoré spôsobilé narušiť bezpečnosť alebo funkčnosť informačného systému.
Bezpečnostné opatrenia podľa odseku 1 prevádzkovateľ zdokumentuje v bezpečnostnej smernici, ak v informačnom systéme
prepojenom s verejne prístupnou počítačovou sieťou nespracúva osobitné kategórie osobných údajov podľa § 13, alebo
neprepojenom s verejne prístupnou počítačovou sieťou spracúva osobitné kategórie osobných údajov podľa § 13.
Bezpečnostné opatrenia podľa odseku 1 prevádzkovateľ zdokumentuje v bezpečnostnom projekte informačného systému (ďalej len „bezpečnostný projekt“), ak
v informačnom systéme prepojenom s verejne prístupnou počítačovou sieťou spracúva osobitné kategórie osobných údajov podľa § 13, alebo
informačný systém slúži na zabezpečenie verejného záujmu podľa § 3 ods. 1; ustanovenie § 20 sa pri vypracúvaní bezpečnostného projektu nepoužije len vtedy, ak pre konkrétny prípad je tu súčasne povinnosť vypracovať bezpečnostný projekt podľa osobitného predpisu.
Prevádzkovateľ je povinný bez zbytočného odkladu zabezpečovať aktualizáciu bezpečnostných opatrení prijatých podľa odseku 1 až 3 tak, aby zodpovedala
41
O:5
O:6
prijatým zmenám pri spracúvaní osobných údajov, a to do ukončenia spracúvania osobných údajov v informačnom systéme.
Prevádzkovateľ je povinný oboznámiť oprávnené osoby s obsahom bezpečnostnej smernice v rozsahu potrebnom na plnenie ich úloh; oboznámenie oprávnených osôb s obsahom bezpečnostnej smernice je prevádzkovateľ povinný na žiadosť úradu hodnoverne preukázať. Prevádzkovateľ je povinný splniť povinnosť podľa prvej vety pri každej zmene bezpečnostnej smernice.
Na požiadanie úradu prevádzkovateľ preukáže rozsah a obsah bezpečnostných opatrení podľa odseku 1až 3.
O:3
Realizácia spracovania cez sprostredkovateľa musí byť upravené zmluvou alebo právnym aktom záväzným pre sprostredkovateľa, v ktorom bude najmä stanovené, že:
- sprostredkovateľ bude konať len na základe pokynov prevádzkovateľa,
- povinnosti uvedené v odstavci 1 a vymedzené právnou úpravou členského štátu, v ktorom je sprostredkovateľ zriadený, budú záväzné aj pre sprostredkovateľa.
N
§:8
O:1
O:3
§:8
O:4
P:a
Prevádzkovateľ je oprávnený na základe písomnej zmluvy poveriť spracúvaním osobných údajov sprostredkovateľa. Na účely poverenia sprostredkovateľa spracúvaním osobných údajov podľa prvej vety sa súhlas dotknutej osoby nevyžaduje.
Prevádzkovateľ je povinný uzatvoriť so sprostredkovateľom zmluvu podľa odseku 1 pred začatím spracúvania osobných údajov, najneskôr v deň začatia spracúvania osobných údajov. Sprostredkovateľ je oprávnený spracúvať osobné údaje len v rozsahu, za podmienok a na účel dojednaný s prevádzkovateľom v zmluve a spôsobom podľa tohto zákona.
Zmluva podľa odseku 3 musí obsahovať
a) údaje o zmluvných stranách (ďalej len „identifikačné údaje“);
1. titul, meno, priezvisko, dátum narodenia a adresu trvalého pobytu, ak ide o fyzickú osobu,
2. názov, právnu formu, adresu sídla a identifikačné číslo, ak ide o právnickú osobu,
3. obchodné meno, adresu miesta podnikania a
U
42
P:b
P:c
P:d
P:e
P:f
P:g
P:h
P:i
P:j
P:k
O:10
O:11
identifikačné číslo, ak ide o fyzickú osobu podnikateľa,
deň, od ktorého je sprostredkovateľ oprávnený začať so spracúvaním osobných údajov v mene prevádzkovateľa,
účel spracúvania osobných údajov,
názov informačného systému,
zoznam osobných údajov, ktoré sa budú spracúvať; zoznam osobných údajov možno nahradiť rozsahom osobných údajov podľa § 10 ods. 4,
okruh dotknutých osôb,
podmienky spracúvania osobných údajov vrátane zoznamu povolených operácií s osobnými údajmi,
vyhlásenie prevádzkovateľa, že pri výbere sprostredkovateľa postupoval podľa odseku 2 prvej vety,
súhlas prevádzkovateľa na spracúvanie osobných údajov sprostredkovateľom prostredníctvom inej osoby podľa odseku 5,
dobu, na ktorú sa zmluva uzatvára,
dátum uzatvorenia zmluvy a podpisy zmluvných strán.
Sprostredkovateľ je povinný dodržiavať povinnosti ustanovené prevádzkovateľovi v § 5 ods. 1, § 6 ods. 2 písm. c) i), § 6 ods. 4, § 8 ods. 3, 4, § 9 ods. 2, § 19 až 26, ak tento zákon neustanovuje inak.
Povinnosti prevádzkovateľa ustanovené v § 8 ods. 6, § 15 18 a § 28 32 môže vykonať sprostredkovateľ, ak sa tak výslovne dohodne v zmluve uzatvorenej s prevádzkovateľom podľa odseku 1.
43
O:12
Sprostredkovateľ zodpovedá za plnenie povinností podľa odseku 11 v rozsahu zmluvy uzatvorenej s prevádzkovateľom podľa odseku 1.
O:4
Na doloženie ich existencie, budú časti zmluvy alebo právneho aktu týkajúce sa ochrany a požiadaviek na opatrenia uvedené v odstavci 1, vyhotovené v písomnej podobe alebo v nejakej inej ekvivalentnej podobe.
N
§:8
O:1
O:3
§:8
O:4
P:a
P:b
P:c
P:d
P:e
Prevádzkovateľ je oprávnený na základe písomnej zmluvy poveriť spracúvaním osobných údajov sprostredkovateľa. Na účely poverenia sprostredkovateľa spracúvaním osobných údajov podľa prvej vety sa súhlas dotknutej osoby nevyžaduje.
Prevádzkovateľ je povinný uzatvoriť so sprostredkovateľom zmluvu podľa odseku 1 pred začatím spracúvania osobných údajov, najneskôr v deň začatia spracúvania osobných údajov. Sprostredkovateľ je oprávnený spracúvať osobné údaje len v rozsahu, za podmienok a na účel dojednaný s prevádzkovateľom v zmluve a spôsobom podľa tohto zákona.
Zmluva podľa odseku 3 musí obsahovať
a) údaje o zmluvných stranách (ďalej len „identifikačné údaje“);
1. titul, meno, priezvisko, dátum narodenia a adresu trvalého pobytu, ak ide o fyzickú osobu,
2. názov, právnu formu, adresu sídla a identifikačné číslo, ak ide o právnickú osobu,
3. obchodné meno, adresu miesta podnikania a identifikačné číslo, ak ide o fyzickú osobu podnikateľa,
deň, od ktorého je sprostredkovateľ oprávnený začať so spracúvaním osobných údajov v mene prevádzkovateľa,
účel spracúvania osobných údajov,
názov informačného systému,
zoznam osobných údajov, ktoré sa budú spracúvať; zoznam osobných údajov možno nahradiť rozsahom
U
44
P:f
P:g
P:h
P:i
P:j
P:k
§:19
O:1
O:2
P:a
osobných údajov podľa § 10 ods. 4,
okruh dotknutých osôb,
podmienky spracúvania osobných údajov vrátane zoznamu povolených operácií s osobnými údajmi,
vyhlásenie prevádzkovateľa, že pri výbere sprostredkovateľa postupoval podľa odseku 2 prvej vety,
súhlas prevádzkovateľa na spracúvanie osobných údajov sprostredkovateľom prostredníctvom inej osoby podľa odseku 5,
dobu, na ktorú sa zmluva uzatvára,
dátum uzatvorenia zmluvy a podpisy zmluvných strán.
Za bezpečnosť osobných údajov zodpovedá prevádzkovateľ. Prevádzkovateľ je povinný chrániť spracúvané osobné údaje pred ich poškodením, zničením, stratou, zmenou, neoprávneným prístupom a sprístupnením, poskytnutím alebo zverejnením ako aj pred akýmikoľvek inými neprípustnými spôsobmi spracúvania. Na tento účel príjme primerané technické, organizačné a personálne opatrenia (ďalej len „bezpečnostné opatrenia“) zodpovedajúce spôsobu spracúvania osobných údajov, pričom berie do úvahy najmä použiteľné technické prostriedky, dôvernosť a dôležitosť spracúvaných osobných údajov ako aj rozsah možných rizík, ktoré spôsobilé narušiť bezpečnosť alebo funkčnosť informačného systému.
Bezpečnostné opatrenia podľa odseku 1 prevádzkovateľ zdokumentuje v bezpečnostnej smernici, ak v informačnom systéme
prepojenom s verejne prístupnou počítačovou sieťou nespracúva osobitné kategórie osobných údajov podľa
45
P:b
O:3
P:a
P:b
O:4
O:5
O:6
§ 13, alebo
neprepojenom s verejne prístupnou počítačovou sieťou spracúva osobitné kategórie osobných údajov podľa § 13.
Bezpečnostné opatrenia podľa odseku 1 prevádzkovateľ zdokumentuje v bezpečnostnom projekte informačného systému (ďalej len „bezpečnostný projekt“), ak
v informačnom systéme prepojenom s verejne prístupnou počítačovou sieťou spracúva osobitné kategórie osobných údajov podľa § 13, alebo
informačný systém slúži na zabezpečenie verejného záujmu podľa § 3 ods. 1; ustanovenie § 20 sa pri vypracúvaní bezpečnostného projektu nepoužije len vtedy, ak pre konkrétny prípad je tu súčasne povinnosť vypracovať bezpečnostný projekt podľa osobitného predpisu.
Prevádzkovateľ je povinný bez zbytočného odkladu zabezpečovať aktualizáciu bezpečnostných opatrení prijatých podľa odseku 1 až 3 tak, aby zodpovedala prijatým zmenám pri spracúvaní osobných údajov, a to do ukončenia spracúvania osobných údajov v informačnom systéme.
Prevádzkovateľ je povinný oboznámiť oprávnené osoby s obsahom bezpečnostnej smernice v rozsahu potrebnom na plnenie ich úloh; oboznámenie oprávnených osôb s obsahom bezpečnostnej smernice je prevádzkovateľ povinný na žiadosť úradu hodnoverne preukázať. Prevádzkovateľ je povinný splniť povinnosť podľa prvej vety pri každej zmene bezpečnostnej smernice.
Na požiadanie úradu prevádzkovateľ preukáže rozsah a obsah bezpečnostných opatrení podľa odseku 1až 3.
46
§:20
O:1
O:2
O:3
Bezpečnostný projekt vymedzuje rozsah a spôsob bezpečnostných opatrení potrebných na eliminovanie a minimalizovanie hrozieb a rizík pôsobiacich na informačný systém z hľadiska narušenia jeho bezpečnosti, spoľahlivosti a funkčnosti.
Bezpečnostný projekt vypracúva prevádzkovateľ v súlade s bezpečnostnými štandardmi, právnymi predpismi a medzinárodnými zmluvami, ktorými je Slovenská republika viazaná.
Rozsah a dokumentáciu bezpečnostných opatrení ustanoví všeobecne záväzný právny predpis, ktorý vydá úrad.
Č:18
O:1
Povinnosť oznámenia dozornému orgánu
Členské štáty ustanovia, že prevádzkovateľ alebo jeho prípadný zástupca musí prv, než vykoná plne alebo čiastočne automatizovanú operáciu alebo súbor takýchto operácií, určených na jediný alebo na viacero príbuzných účelov, upovedomiť o tomto dozorný orgán, uvedený v článku 28.
N
§ 33
§ 34
O:1
O:2
P: a
P: b
P: c
Prevádzkovateľ je povinný požiadať úrad o registráciu informačných systémov, osobitnú registráciu informačných systémov alebo viesť o informačných systémoch evidenciu v rozsahu a za podmienok ustanovených týmto zákonom.
Povinnosť registrácie sa vzťahuje na všetky informačné systémy, v ktorých sa spracúvajú osobné údaje úplne alebo čiastočne automatizovanými prostriedkami spracúvania.
Povinnosť registrácie podľa odseku 1 sa nevzťahuje na informačné systémy, ktoré
podliehajú osobitnej registrácii podľa § 37,
podliehajú dohľadu zodpovednej osoby, ktorú písomne poveril prevádzkovateľ podľa § 23 a ktorá vykonáva dohľad nad ochranou osobných údajov podľa tohto zákona,
obsahujú osobné údaje o členstve osôb v občianskom združení, nadácií, neziskovej organizácie poskytujúcej všeobecne prospešné služby alebo odborovej organizácii, a ak tieto osobné údaje spracúvajú a
U
47
P: d
§ 35 ods. 1 prvá veta
využívajú výlučne pre svoju vnútornú potrebu, alebo obsahujú osobné údaje o náboženskej viere osôb združených v štátom uznanej cirkvi alebo náboženskej spoločnosti a ak tieto osobné údaje spracúva cirkev alebo náboženská spoločnosť a využíva ich výlučne pre svoju vnútornú potrebu, alebo obsahujú osobné údaje o členstve osôb v politickej strane alebo v politickom hnutí, ktoré ich členmi a ak tieto osobné údaje spracúva politická strana alebo politické hnutie a využíva ich výlučne pre svoju vnútornú potrebu, alebo
obsahujú osobné údaje, ktoré spracúvané na základe zákona, priamo vykonateľného právne záväzného aktu Európskej únie alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná.
Prevádzkovateľ je povinný prihlásiť informačný systém na registráciu podľa § 34 pred začatím spracúvania osobných údajov.
O:2
Členské štáty môžu ustanoviť zjednodušenie alebo výnimku z tohoto oznámenia len v nasledovných prípadoch a za nasledovných podmienok:
- ak u kategórií spracovateľských operácií, pri ktorých je vzhľadom na údaje, ktoré majú byť predmetom spracovania, nepravdepodobné že by nepriaznivo ovplyvnili práva a slobody dotknutých osôb, určia ciele spracovania, údaje alebo kategórie spracovávaných údajov, kategóriu alebo kategórie dotknutých osôb, príjemcov alebo kategórie príjemcov, ktorým majú byť údaje sprístupnené a dĺžku obdobia, na aké majú byť tieto údaje uchované, prípadne
- ak prevádzkovateľ, v súlade s vnútroštátnym právnym poriadkom, ktorý upravuje jeho postavenie, vymenuje referenta pre ochranu osobných údajov, ktorý bude najmä zodpovedať za:
- nezávislé uplatňovania vnútroštátnych právnych noriem prijatých v nadväznosti na túto smernicu vo svojej organizácii,
- vedenie registra spracovateľských operácií
D
§ 23
O: 1
O: 2
O: 3
Za výkon dohľadu nad ochranou osobných údajov spracúvaných podľa tohto zákona zodpovedá prevádzkovateľ.
Ak prevádzkovateľ spracúva osobné údaje prostredníctvom 20 a viac oprávnených osôb, je povinný výkonom dohľadu písomne poveriť zodpovednú osobu alebo viaceré zodpovedné osoby, ktoré dozerajú na dodržiavanie zákonných ustanovení pri spracúvaní osobných údajov. Týmto nie je dotknutá zodpovednosť prevádzkovateľa podľa odseku 1.
Ak prevádzkovateľ spracúva osobné údaje prostredníctvom menej ako 20 oprávnených osôb, je povinný prihlásiť na registráciu tie informačné systémy, ktoré podľa tohto zákona podliehajú registrácii podľa § 34. Povinnosť ustanovená prevádzkovateľovi podľa prvej vety sa nevzťahuje na sprostredkovateľa.
U
48
realizovaných prevádzkovateľom, ktorý bude obsahovať informačné položky uvedené v článku 21 (2),
a tým zabezpečovať, že práva a slobody dotknutých osôb takmer určite nebudú nepriaznivo ovplyvnené spracovateľskými operáciami.
O: 4
O: 5
O: 6
O: 7
O: 8
O: 9
O: 10
Zodpovedná osoba postavenie oprávnenej osoby prevádzkovateľa s právom prístupu do informačných systémov prevádzkovateľa v rozsahu potrebnom na plnenie úloh podľa § 27.
Zodpovednou osobou môže byť len fyzická osoba, ktorá spôsobilosť na právne úkony v plnom rozsahu, je bezúhonná a platné potvrdenie úradu o absolvovaní skúšky podľa § 24.
Zodpovednou osobou nemôže byť fyzická osoba, ktorá je štatutárnym orgánom prevádzkovateľa, členom štatutárneho orgánu prevádzkovateľa a fyzická osoba, ktorá je oprávnená konať v mene štatutárneho orgánu prevádzkovateľa alebo člena štatutárneho orgánu prevádzkovateľa pri plnení povinností a uplatňovaní práv podľa tohto zákona.
Zodpovednou osobou nemôže byť osoba, ktorej bola opakovane uložená pokuta podľa § 68 ods. 7 písm. f).
Za bezúhonného sa na účely tohto zákona považuje ten, kto nebol právoplatne odsúdený za úmyselný trestný čin, ak sa podľa rozhodnutia súdu alebo na základe zákona nehľadí na neho, ako keby nebol odsúdený alebo trest mu nebol zahladený. Bezúhonnosť sa preukazuje doloženým výpisom z registra trestov nie starším ako tri mesiace. Výpis z registra trestov fyzická osoba doloží prevádzkovateľovi najneskôr v deň poverenia podľa odseku 2. Prevádzkovateľ je povinný ho uchovávať spolu s poverením podľa odseku 10 počas celej doby výkonu funkcie zodpovednej osoby.
Povinnosť preukazovania bezúhonnosti podľa odseku 8 neplatí, ak fyzická osoba je povinná preukázať svoju bezúhonnosť na účely pracovného pomeru, štátnozamestnaneckého pomeru, služobného pomeru alebo obdobného pracovného vzťahu k prevádzkovateľovi podľa osobitného zákona.
Poverenie podľa odseku 2 obsahuje
49
P: a
P: b
P: c
P: d
P: e
P: f
P: g
P: h
P: i
O: 11
§ 24
O: 1
O: 2
O: 3
P: a
identifikačné údaje prevádzkovateľa,
titul, meno, priezvisko a dátum narodenia poverenej zodpovednej osoby,
dátum začiatku platnosti poverenia zodpovednej osoby,
vyhlásenie prevádzkovateľa o tom, že poverená osoba spĺňa predpoklady podľa tohto zákona,
číslo potvrdenia o absolvovaní skúšky podľa § 24 ods. 5 písm. c) a dátum jeho vyhotovenia,
výslovný súhlas s poverením a podpis poverenej zodpovednej osoby,
odtlačok pečiatky prevádzkovateľa,
dátum vyhotovenia poverenia a
podpis štatutárneho orgánu prevádzkovateľa alebo inej osoby oprávnenej konať v mene prevádzkovateľa.
Prílohou poverenia, ktorá tvorí jeho neoddeliteľnú súčasť, je záznam o poučení podľa § 21 ods. 3.
Fyzická osoba môže byť poverená výkonom dohľadu nad ochranou osobných údajov po úspešnom absolvovaní skúšky.
Skúšku fyzickej osoby na účely výkonu funkcie zodpovednej osoby podľa tohto zákona zabezpečuje úrad.
Žiadosť o absolvovanie skúšky obsahuje
údaje o žiadateľovi v rozsahu titul, meno, priezvisko, dátum narodenia, adresa trvalého pobytu a adresa na doručovanie písomností, elektronická pošta a telefónne číslo,
50
P: b
P: c
O: 4
O: 5
P: a
P: b
P: c
P: d
P: e
P: f
O: 6
O: 7
§ 25
O:1
náležitosti určené podľa odseku 7 a
dátum a podpis žiadateľa.
Vzor žiadosti o absolvovanie skúšky podľa odseku 3 zverejní úrad na svojom webovom sídle.
Potvrdenie o absolvovaní skúšky obsahuje
identifikačné údaje úradu,
identifikačné údaje žiadateľa v rozsahu titul, meno, priezvisko a dátum narodenia,
číslo potvrdenia,
dátum vydania potvrdenia,
titul, meno, priezvisko a podpis predsedu úradu a
odtlačok úradnej pečiatky úradu.
Fyzická osoba, ktorá úspešne absolvovala skúšku a nevykonáva funkciu zodpovednej osoby počas doby dlhšej ako dva roky, je povinná vykonať skúšku opakovane.
Podrobnosti o skúške fyzickej osoby na výkon funkcie zodpovednej osoby ustanoví všeobecne záväzný právny predpis, ktorý vydá úrad.
Prevádzkovateľ je povinný umožniť zodpovednej osobe nezávislý výkon dohľadu nad ochranou osobných údajov a prijať jej oprávnené návrhy; upozornenie na nedostatky alebo vyslovenie požiadavky zodpovednou osobou v súvislosti s plnením jej povinností podľa § 27 ods. 2 sa nemôže stať podnetom ani dôvodom na konanie zo strany prevádzkovateľa, ktoré by zodpovednej osobe spôsobilo ujmu.
51
O: 2
P: a
P: b
P: c
P: d
P: e
P: f
P: g
P: h
O: 3
O: 4
O: 5
§ 26
Prevádzkovateľ, ktorý písomne poveril výkonom dohľadu nad ochranou osobných údajov zodpovednú osobu, je povinný o tom písomne informovať úrad bez zbytočného odkladu, najneskôr do 30 dní odo dňa poverenia zodpovednej osoby doporučenou zásielkou alebo v podobe elektronického dokumentu podpísaného zaručeným elektronickým podpisom. Prevádzkovateľ oznámi úradu tieto údaje
identifikačné údaje prevádzkovateľa,
titul, meno, priezvisko a dátum narodenia zodpovednej osoby,
deň, kedy sa fyzická osoba stala zodpovednou osobou,
vyhlásenie prevádzkovateľa o tom, že zodpovedná osoba spĺňa predpoklady podľa tohto zákona,
číslo potvrdenia o absolvovaní skúšky podľa § 24 ods. 5 písm. c) a dátum jeho vyhotovenia,
odtlačok pečiatky prevádzkovateľa,
dátum vyhotovenia oznámenia a
podpis štatutárneho orgánu prevádzkovateľa alebo inej osoby oprávnenej konať v mene prevádzkovateľa.
Ak prevádzkovateľ výkonom dohľadu nad ochranou osobných údajov súčasne poveril viac zodpovedných osôb, je povinný podľa odseku 2 oznámiť úradu poverenie všetkých zodpovedných osôb.
Ak počas výkonu funkcie zodpovednej osoby dôjde k zmene údajov oznamovaných podľa odseku 2, prevádzkovateľ je povinný bez zbytočného odkladu nahlásiť úradu zmenu týchto údajov.
Vzor oznámenia podľa odseku 2 zverejní úrad na svojom webovom sídle.
Prevádzkovateľ je oprávnený kedykoľvek bez udania
52
O: 1
O: 2
P: a
P: b
P: c
P: d
P: e
P: f
O: 3
O: 4
O: 5
O: 6
dôvodu poverenie zodpovednej osoby písomne odvolať.
Poverenie zodpovednej osoby zaniká
smrťou zodpovednej osoby,
dňom zániku prevádzkovateľa,
dňom, kedy zodpovedná osoba prestala spĺňať podmienky podľa § 23 ods. 5 a ods. 6,
uplynutím lehoty podľa § 24 ods. 6 ,
dňom skončenia pracovného pomeru, štátnozamestnaneckého pomeru, služobného pomeru alebo obdobného pracovného vzťahu zodpovednej osoby, ak je zamestnancom prevádzkovateľa a písomne sa nedohodnú na pokračovaní výkonu funkcie zodpovednej osoby podľa tohto zákona, alebo
dňom, kedy prevádzkovateľ prevzal písomnú žiadosť zodpovednej osoby o zrušenie jej poverenia na výkon funkcie zodpovednej osoby, ak nedošlo k inej dohode o lehote zániku.
Ak prevádzkovateľ odvolá poverenie zodpovednej osoby podľa odseku 1 a písomne poverí novú zodpovednú osobu, je povinný postupovať podľa § 25 ods. 2.
Ak prevádzkovateľ nepostupuje podľa odseku 3, je povinný bez zbytočného odkladu oznámiť úradu odvolanie poverenia zodpovednej osoby.
Ak dôjde k zániku poverenia zodpovednej osoby podľa odseku 2, prevádzkovateľ je povinný o tom bez zbytočného odkladu informovať úrad.
Úrad je oprávnený uložiť prevádzkovateľovi povinnosť písomne poveriť výkonom dohľadu nad ochranou osobných údajov inú fyzickú osobu, ak sa
53
§ 27
O: 1
O: 2
P: a
P: b
P: c
P: d
P: e
P: f
P: g
preukáže, že písomne poverená zodpovedná osoba nepostupovala pri zabezpečovaní úloh podľa § 27 ods. 1 a 2 v súlade s týmto zákonom. Prevádzkovateľ je povinný bez zbytočného odkladu úradu vyhovieť a výkonom dohľadu na ochranou osobných údajov písomne poveriť inú fyzickú osobu.
Zodpovedná osoba je povinná pred začatím spracúvania osobných údajov v informačnom systéme posúdiť, či ich spracúvaním nevzniká nebezpečenstvo narušenia práv a slobôd dotknutých osôb. Zistenie narušenia práv a slobôd dotknutých osôb pred začatím spracúvania alebo porušenia zákonných ustanovení v priebehu spracúvania osobných údajov je zodpovedná osoba povinná bez zbytočného odkladu písomne oznámiť prevádzkovateľovi; ak prevádzkovateľ po upozornení bez zbytočného odkladu nevykoná nápravu, oznámi to zodpovedná osoba úradu.
Zodpovedná osoba je povinná zabezpečovať
potrebnú súčinnosť s úradom pri plnení úloh patriacich do jeho pôsobnosti; na požiadanie je zodpovedná osoba povinná úradu kedykoľvek predložiť svoje písomné poverenie a písomné oznámenia podľa odseku 1,
povinnosti podľa odseku 1,
dohľad nad plnením základných povinností prevádzkovateľa podľa § 6,
poučenie oprávnených osôb podľa § 21,
vybavovanie žiadostí dotknutých osôb podľa § 28 30,
prijatie bezpečnostných opatrení podľa § 19 ods. 1 3, dohliadať na ich aplikáciu v praxi a zabezpečovať ich aktualizáciu podľa § 19 ods. 4,
dohľad nad výberom sprostredkovateľa, prípravu
54
P: h
P: i
O: 3
§ 34
O:2
P: b
písomnej zmluvy so sprostredkovateľom a počas trvania zmluvného vzťahu preverovať dodržiavanie dohodnutých podmienok podľa § 8,
dohľad nad cezhraničným prenosom osobných údajov podľa § 31 a 32,
prihlásenie informačných systémov na osobitnú registráciu, ich odhlásenie alebo nahlasovanie zmien alebo zabezpečovať vedenie evidencie informačných systémov podľa § 34 až 44.
Zodpovedná osoba, ktorá prestane spĺňať podmienky podľa § 23 ods. 5 alebo ods. 6 je povinná bez zbytočného odkladu oznámiť túto skutočnosť prevádzkovateľovi.
Povinnosť registrácie podľa odseku 1 sa nevzťahuje na informačné systémy, ktoré
podliehajú dohľadu zodpovednej osoby, ktorú písomne poveril prevádzkovateľ podľa § 23 a ktorá vykonáva dohľad nad ochranou osobných údajov podľa tohto zákona,
O:3
Členské štáty môžu ustanoviť, že odstavec 1 nebude platiť pre spracovanie, ktorého jediným cieľom je vedenie registra, z ktorého sa majú byť podľa zákonov alebo predpisov poskytované informácie verejnosti a ktoré otvorené k nahliadnutiu buď verejnosti vo všeobecnosti alebo ľubovoľnej osobe, ktorá preukáže oprávnený záujem.
D
O:4
V prípade spracovateľských operácií uvedených v článku 8 (2) (d) môžu členské štáty môžu ustanoviť výnimku z oznamovacej povinnosti alebo ju zjednodušiť.
D
§ 34
O:2
P: c
Povinnosť registrácie podľa odseku 1 sa nevzťahuje na informačné systémy, ktoré
obsahujú osobné údaje o členstve osôb v občianskom združení, nadácií, neziskovej organizácie poskytujúcej všeobecne prospešné služby alebo odborovej organizácii, a ak tieto osobné údaje spracúvajú a využívajú výlučne pre svoju vnútornú potrebu, alebo obsahujú osobné údaje o náboženskej viere osôb
U
55
združených v štátom uznanej cirkvi alebo náboženskej spoločnosti a ak tieto osobné údaje spracúva cirkev alebo náboženská spoločnosť a využíva ich výlučne pre svoju vnútornú potrebu, alebo obsahujú osobné údaje o členstve osôb v politickej strane alebo v politickom hnutí, ktoré ich členmi a ak tieto osobné údaje spracúva politická strana alebo politické hnutie a využíva ich výlučne pre svoju vnútornú potrebu, alebo
O:5
Členské štáty môžu uzákoniť, že majú oznámené niektoré alebo všetky neautomatizované spracovateľské operácie s osobnými údajmi alebo že sa o nich má podať zjednodušené hlásenie.
D
Č:19
O:1
P:a
Obsah oznámenia
Členské štáty určia informácie, ktoré majú byť v oznámení uvedené. Toto oznámenie bude prinajmenšom obsahovať:
názov a adresu prevádzkovateľa a jeho prípadného zástupcu,
N
§ 35
O: 1
P: a
P: b
P: c
P: d
Prevádzkovateľ je povinný prihlásiť informačný systém na registráciu podľa § 34 pred začatím spracúvania osobných údajov. Žiadosť, ktorou prevádzkovateľ prihlasuje informačný systém na registráciu, musí obsahovať
identifikačné údaje prevádzkovateľa,
meno a priezvisko štatutárneho orgánu prevádzkovateľa alebo inej osoby oprávnenej konať v mene prevádzkovateľa,
identifikačné údaje zástupcu prevádzkovateľa, ak je vymenovaný; ak prevádzkovateľ vymenoval svojho zástupcu, uvedie aj meno a priezvisko štatutárneho orgánu zástupcu prevádzkovateľa alebo inej osoby oprávnenej konať v mene zástupcu prevádzkovateľa,
počet oprávnených osôb prevádzkovateľa,
U
P:b
účel alebo účely spracovania;
N
§ 35
O: 1
Prevádzkovateľ je povinný prihlásiť informačný systém na registráciu podľa § 34 pred začatím spracúvania osobných údajov. Žiadosť, ktorou prevádzkovateľ prihlasuje informačný systém na registráciu, musí obsahovať
U
56
P: e
P: f
P: g
názov informačného systému,
účel spracúvania osobných údajov,
právny základ spracúvania osobných údajov,
P:c
popis kategórie alebo kategórií dotknutých osôb a údajov alebo kategórií údajov na ne sa vzťahujúcich,
N
§ 35
O: 1
P: h
P: i
Prevádzkovateľ je povinný prihlásiť informačný systém na registráciu podľa § 34 pred začatím spracúvania osobných údajov. Žiadosť, ktorou prevádzkovateľ prihlasuje informačný systém na registráciu, musí obsahovať
okruh dotknutých osôb,
zoznam osobných údajov, alebo rozsah osobných údajov podľa § 10 ods. 4 prvej vety
P:d
príjemcov alebo kategórie príjemcov, ktorým môžu byť tieto údaje poskytnuté,
N
§ 35
O: 1
P: j
P: k
Prevádzkovateľ je povinný prihlásiť informačný systém na registráciu podľa § 34 pred začatím spracúvania osobných údajov. Žiadosť, ktorou prevádzkovateľ prihlasuje informačný systém na registráciu, musí obsahovať
tretie strany, prípadne okruh tretích strán, ak sa predpokladá alebo je zrejmé, že im budú osobné údaje poskytnuté a právny základ ich poskytovania,
okruh príjemcov, ak sa predpokladá alebo je zrejmé, že im budú osobné údaje sprístupnené a právny základ ich sprístupnenia,
U
P:e
navrhované prenosy údajov do tretích krajín
N
§ 35
O: 1
Prevádzkovateľ je povinný prihlásiť informačný systém na registráciu podľa § 34 pred začatím spracúvania osobných údajov. Žiadosť, ktorou prevádzkovateľ prihlasuje informačný systém na registráciu, musí obsahovať
U
57
P: m
tretie krajiny, ak sa predpokladá alebo je zrejmé, že sa do týchto krajín uskutoční prenos osobných údajov a právny základ ich prenosu,
P:f
všeobecný popis umožňujúci predbežné zhodnotenie primeranosti opatrení prijatých v nadväznosti na článok 17 za účelom zabezpečenia bezpečnosti spracovania.
N
§ 35
O: 1
P: n
Prevádzkovateľ je povinný prihlásiť informačný systém na registráciu podľa § 34 pred začatím spracúvania osobných údajov. Žiadosť, ktorou prevádzkovateľ prihlasuje informačný systém na registráciu, musí obsahovať
označenie bezpečnostných opatrení prijatých na zabezpečenie ochrany osobných údajov podľa § 19 ods. 1 až 3,
U
O:2
Členské štáty určia postupy, na základe ktorých musia byť akékoľvek zmeny, ktoré majú vplyv na informácie uvedené v odstavci 1, oznámené dozornému orgánu.
N
§ 40
O: 1
O: 2
Prevádzkovateľ je povinný do 15 dní písomne oznámiť úradu akékoľvek zmeny údajov prihlásených na registráciu alebo na osobitnú registráciu, ktoré nastanú v priebehu spracúvania; povinnosť oznámenia zmien sa nevzťahuje na počet oprávnených osôb podľa § 35 ods. 1 písm. d). Vzor žiadosti o oznámení zmien zverejní úrad na svojom webovom sídle.
Prevádzkovateľ je povinný do 15 dní odo dňa skončenia spracúvania osobných údajov písomne odhlásiť informačný systém z registrácie alebo osobitnej registrácie. Pri odhlásení informačného systému z registrácie alebo z osobitnej registrácie je prevádzkovateľ povinný uviesť najmä svoje identifikačné údaje, názov odhlasovaného informačného systému, registračné číslo a dátum skončenia spracúvania osobných údajov. Vzor žiadosti na odhlásenie informačného systému z registrácie alebo osobitnej registrácie zverejní úrad na svojom webovom sídle.
U
Č:20
O:1
Predbežná kontrola
Členské štáty stanovia spracovateľské operácie, o ktorých je takmer isté, že predstavujú určité nebezpečenstvo pokiaľ ide o práva a slobody dotknutých osôb a dohliadnu na to, aby boli tieto
N
§ 37
P: a
Osobitná registrácia sa vzťahuje na informačné systémy, v ktorých prevádzkovateľ spracúva
osobné údaje na základe § 10 ods. 3 písm. g),
U
58
spracovateľské operácie posúdené ešte pred ich zahájením.
P: b
P: c
osobné údaje na základe § 13 ods. 5 písm. b), c) a d), alebo
aspoň jeden z osobných údajov uvedených v § 13 ods. 1 a zároveň sa predpokladá prenos týchto osobných údajov do tretej krajiny, ktorá nezaručuje primeranú úroveň ochrany osobných údajov; osobitná registrácia sa nevyžaduje v prípadoch podľa § 31 ods. 9.
O:2
Takúto predbežnú kontrolu vykoná dozorný orgán po obdržaní oznámenia od prevádzkovateľa alebo referenta pre ochranu údajov, ktorý v prípade pochybnosti musí vec konzultovať s dozorným orgánom.
N
§ 38
O: 1
O: 2
O: 3
§ 39
O: 1
O: 2
O: 3
Prevádzkovateľ je povinný prihlásiť informačný systém na osobitnú registráciu na úrade pred začatím spracúvania osobných údajov. Žiadosť, ktorou prevádzkovateľ prihlasuje informačný systém na osobitnú registráciu, musí okrem náležitostí podľa § 35 ods. 1 obsahovať aj dôvod prihlasovania informačného systému na osobitnú registráciu podľa § 37.
Vzor žiadosti, ktorou prevádzkovateľ prihlasuje informačný systém na osobitnú registráciu, zverejní úrad na svojom webovom sídle.
Prílohou k žiadosti podľa odseku 2 podklady nevyhnutné na posúdenie, či spracúvaním osobných údajov nevzniká nebezpečenstvo porušenia práv a slobôd dotknutých osôb.
Ak žiadosť nespĺňa náležitosti podľa § 38 ods. 1 a 3, alebo ak pri posudzovaní žiadosti vzniknú akékoľvek pochybnosti, úrad vyzve prevádzkovateľa na odstránenie nedostatkov alebo doplnenie podkladov v lehote, ktorú určí a ktorá nemôže byť kratšia ako desať dní; počas tejto doby lehota v konaní o osobitnej registrácii neplynie.
Mieru nebezpečenstva porušenia práv a slobôd dotknutej osoby pri spracúvaní osobných údajov individuálne pre konkrétny prípad posudzuje úrad.
Ak spracúvaním osobných údajov nevzniká nebezpečenstvo porušenia práv a slobôd dotknutých osôb, úrad zaregistruje informačný systém a pridelí
U
59
P: a
P: b
P: c
P: d
P: e
P: f
O: 4
O: 5
O: 6
O: 7
mu registračné číslo. O osobitnej registrácii vydá úrad potvrdenie, ktoré obsahuje
identifikačné údaje úradu,
identifikačné údaje prevádzkovateľa; titul, meno, priezvisko a adresa trvalého pobytu, ak je prevádzkovateľom fyzická osoba,
názov informačného systému,
pridelené registračné číslo,
titul, meno, priezvisko, funkciu a podpis zamestnanca úradu,
dátum registrácie a
odtlačok úradnej pečiatky úradu.
Vzor potvrdenia o osobitnej registrácii zverejní úrad na svojom webovom sídle.
Prevádzkovateľ je oprávnený začať spracúvať osobné údaje v informačnom systéme prihlásenom na osobitnú registráciu po doručení potvrdenia o osobitnej registrácii.
Ak úrad spracúvanie osobných údajov v informačnom systéme prihlásenom na osobitnú registráciu posúdi ako rizikové, rozhodne o neudelení osobitnej registrácie prevádzkovateľovi na spracúvanie osobných údajov na daný účel. Prevádzkovateľ je povinný bez zbytočného odkladu vykonať opatrenia, aby sa spracúvanie osobných údajov neuskutočnilo.
Ak pri posudzovaní predložených údajov úrad zistí, že prihlásený informačný systém nepodlieha osobitnej registrácii, konanie o osobitnej registrácii zastaví a prevádzkovateľa o tom bez zbytočného odkladu informuje.
O osobitnej registrácii sa nevyhotovuje písomné
60
O: 8
O: 9
§ 27
O: 2
P: i
rozhodnutie; proti osobitnej registrácii nie je prípustný opravný prostriedok.
Ak sa preukáže, že prevádzkovateľ spracúva osobné údaje v rozpore so zákonom alebo dobrými mravmi, úrad rozhodnutím zruší osobitnú registráciu informačného systému a rozhodne o ukončení spracúvania osobných údajov.
Zodpovedná osoba je povinná zabezpečovať
prihlásenie informačných systémov na osobitnú registráciu, ich odhlásenie alebo nahlasovanie zmien alebo zabezpečovať vedenie evidencie informačných systémov podľa § 34 až 44.
O:3
Členské štáty môžu takéto previerky vykonávať aj v súvislosti s prípravou opatrenia národného parlamentu alebo opatrenia založeného na takomto legislatívnom akte, v ktorom bude vymedzený charakter spracovania a uzákonené primerané ochranné opatrenia.
D
§ 46
O: 1
P: r
Úrad pri výkone dozoru nad ochranou osobných údajov plní tieto úlohy
vyjadruje sa k návrhom zákonov a k návrhom ostatných všeobecne záväzných právnych predpisov, v ktorých sa upravuje spracúvanie osobných údajov,
U
Č:21
O:1
Zverejňovanie spracovateľských operácií
Členské štáty prijmú opatrenia na zverejnenie spracovateľských operácií.
N
§ 42
O: 1
O: 2
P: a
P: b
Údaje z registrácie v rozsahu podľa § 35 ods. 1 a osobitnej registrácie v rozsahu podľa § 38 ods. 1 je úrad povinný sprístupniť bezplatne komukoľvek, kto o to požiada.
Úrad prostredníctvom svojho webového sídla zverejňuje zoznam udelených registrácií a osobitných registrácií v rozsahu
názov a identifikačné číslo prevádzkovateľa informačného systému; titul, meno a priezvisko, ak je prevádzkovateľom fyzická osoba a
registračné číslo informačného systému.
U
61
§ 44
Údaje z evidencie podľa § 43 ods. 1 je prevádzkovateľ povinný sprístupniť bezplatne komukoľvek, kto o to požiada.
O:2
Členské štáty ustanovia, že dozorný orgán bude viesť register spracovateľských operácií oznámených podľa Článku 18.
Tento register bude obsahovať prinajmenšom informácie vymenované v Článku 19 (1) (a) do (e).
Tento register je prístupný komukoľvek k nahliadnutiu.
N
§ 41
§ 42
O: 1
O: 2
P: a
P: b
Za registráciu, osobitnú registráciu a zmenu registrovaných údajov sa vyberá správny poplatok podľa osobitného predpisu.
Údaje z registrácie v rozsahu podľa § 35 ods. 1 a osobitnej registrácie v rozsahu podľa § 38 ods. 1 je úrad povinný sprístupniť bezplatne komukoľvek, kto o to požiada.
Úrad prostredníctvom svojho webového sídla zverejňuje zoznam udelených registrácií a osobitných registrácií v rozsahu
názov a identifikačné číslo prevádzkovateľa informačného systému; titul, meno a priezvisko, ak je prevádzkovateľom fyzická osoba a
registračné číslo informačného systému.
U
O:3
Členské štáty ustanovia, aby u spracovateľských operácií, na ktoré sa nevzťahuje oznamovacia povinnosť prevádzkovatelia alebo iný orgán ustanovený členskými štátmi na požiadanie komukoľvek vo vhodnej forme sprístupnil prinajmenšom informácie uvedené v článku 19 (1) (a) až (e)
Členské štáty môžu určiť, že toto ustanovenie sa nebude vzťahovať na spracovanie, ktorého jediným účelom je vedenie registra, ktorý podľa zákonov alebo predpisov slúžiť na informovanie verejnosti a ktorý je otvorený k nahliadnutiu buď verejnosti vo všeobecnosti alebo komukoľvek, kto je schopný doložiť svoj oprávnený záujem.
N
§ 42
O: 1
O: 2
P: a
P: b
§ 43
O: 1
Údaje z registrácie v rozsahu podľa § 35 ods. 1 a osobitnej registrácie v rozsahu podľa § 38 ods. 1 je úrad povinný sprístupniť bezplatne komukoľvek, kto o to požiada.
Úrad prostredníctvom svojho webového sídla zverejňuje zoznam udelených registrácií a osobitných registrácií v rozsahu
názov a identifikačné číslo prevádzkovateľa informačného systému; titul, meno a priezvisko, ak je prevádzkovateľom fyzická osoba a
registračné číslo informačného systému.
O informačných systémoch, ktoré nepodliehajú registrácii alebo osobitnej registrácii, je prevádzkovateľ povinný viesť evidenciu, a to
U
62
O: 2
§ 44
najneskôr odo dňa začatia spracúvania údajov v týchto informačných systémoch. Evidencia obsahuje údaje v rozsahu podľa § 35 ods. 1. Vzor evidencie zverejní úrad na svojom webovom sídle.
Prevádzkovateľ je povinný viesť a aktualizovať evidenciu podľa odseku 1 do dňa ukončenia spracúvania osobných údajov v informačnom systéme; povinnosť aktualizácie sa nevzťahuje na počet oprávnených osôb podľa § 35 ods. 1 písm. d).
Údaje z evidencie podľa § 43 ods. 1 je prevádzkovateľ povinný sprístupniť bezplatne komukoľvek, kto o to požiada.
Č:22
Opravné prostriedky
Bez toho, aby bol dotknutý ľubovoľný správny opravný prostriedok, ktorý je možné uplatniť na správnom orgáne, medzi iným aj opravný prostriedok uplatnený na dozornom orgáne uvedenom v článku 28 ešte pred podaním veci na súdny orgán, zabezpečia členské štáty právo každej osobe dožadovať sa nápravy súdnou cestou pri akomkoľvek porušení práv, ktoré jej zaručujú vnútroštátne právne normy vzťahujúce sa na dané spracovanie.
N
§ 60
O: 4
O: 5
O: 6
§ 66
O: 1
Kontrolovaná osoba je po oboznámení sa s kontrolnými zisteniami uvádzanými v protokole oprávnená podať písomné námietky v lehote siedmych dní odo dňa podpísania protokolu; deň odmietnutia podpísať protokol podľa odseku 2 písm. j) veta za bodkočiarkou sa považuje za deň podpísania protokolu. Na neskôr podané námietky úrad neprihliada.
Ak proti kontrolným zisteniam podané námietky podľa odseku 4, alebo vyšli najavo nové skutočnosti, ktoré v čase oboznamovania s protokolom neboli známe, kontrolný orgán posúdi ich obsah z hľadiska ich opodstatnenosti v lehote 15 dní odo dňa doručenia námietok a vypracuje o nich dodatok, ktorý je neoddeliteľnou súčasťou protokolu. Ak kontrolný orgán neakceptuje námietky kontrolovaného subjektu, je povinný to v dodatku zdôvodniť. Pri jeho vypracovaní sa postupuje primerane podľa odseku 2.
Kontrolný orgán písomne informuje kontrolovanú osobu o výsledku preskúmania námietok v lehote 15 dní odo dňa doručenia námietok.
Proti rozhodnutiu úradu podľa § 65 ods. 1 a 2 možno podať písomne rozklad do 15 dní odo dňa doručenia
U
63
O: 2
O: 3
O: 4
rozhodnutia.
O rozklade podanom podľa odseku 1 rozhodne predseda úradu do 60 dní odo dňa jeho doručenia.
Proti rozhodnutiu úradu podľa § 65 ods. 3 možno podať písomne rozklad v lehote 15 dní odo dňa doručenia predbežného opatrenia.
O rozklade podanom podľa odseku 3 rozhodne predseda úradu do 30 dní odo dňa jeho doručenia.
Občiansky súdny poriadok č. 99/1963 Zb. v znení neskorších predpisov
Č:23
O:1
Zodpovednosť
Členské štáty ustanovia, že každý, kto následkom nezákonnej spracovateľskej operácie alebo hocijakého konania nezlučiteľného s vnútroštátnymi normami prijatými v nadväznosti na túto smernicu utrpí ujmu, mal nárok na náhradu za takto utŕženú škodu od prevádzkovateľa.
N
§ 13
O: 1
O: 2
O: 3
§ 420
a nasledujúce
O: 1
O: 2
Fyzická osoba právo najmä sa domáhať, aby sa upustilo od neoprávnených zásahov do práva na ochranu jeho osobnosti, aby sa odstránili následky týchto zásahov a aby mu bolo dané primerané zadosťučinenie.
Pokiaľ by sa nezdalo postačujúce zadosťučinenie podľa odseku 1 najmä preto, že bola v značnej miere znížená dôstojnosť fyzickej osoby alebo jeho vážnosť v spoločnosti, fyzická osoba tiež právo na náhradu nemajetkovej ujmy v peniazoch.
Výšku náhrady podľa odseku 2 určí súd s prihliadnutím na závažnosť vzniknutej ujmy a na okolnosti, za ktorých k porušeniu práva došlo.
Každý zodpovedá za škodu, ktorú spôsobil porušením právnej povinnosti.
Škoda je spôsobená právnickou osobou alebo fyzickou osobou, keď bola spôsobená pri ich činnosti tými, ktorých na túto činnosť použili. Tieto osoby samy za škodu takto spôsobenú podľa tohto zákona
U
Občiansky zákonník č. 40/1964 Zb. v znení neskorších predpisov
64
O: 3
nezodpovedajú; ich zodpovednosť podľa pracovnoprávnych predpisov nie je tým dotknutá.
Zodpovednosti sa zbaví ten, kto preukáže, že škodu nezavinil.
O:2
Prevádzkovateľovi môže byť udelená úplná alebo čiastočná výnimka z tejto zodpovednosti, ak dokáže, že nie je zodpovedný za vznik ujmy.
D
§ 420
a nasledujúce
O: 1
O: 2
O: 3
Každý zodpovedá za škodu, ktorú spôsobil porušením právnej povinnosti.
Škoda je spôsobená právnickou osobou alebo fyzickou osobou, keď bola spôsobená pri ich činnosti tými, ktorých na túto činnosť použili. Tieto osoby samy za škodu takto spôsobenú podľa tohto zákona nezodpovedajú; ich zodpovednosť podľa pracovnoprávnych predpisov nie je tým dotknutá.
Zodpovednosti sa zbaví ten, kto preukáže, že škodu nezavinil.
U
Občiansky zákonník č. 40/1964 Zb. v znení neskorších predpisov
Č:24
Sankcie
Členské štáty prijmú vhodné opatrenia na úplné zavedenia ustanovení tejto smernice do praxe a najmä uzákonia sankcie, ktoré bude treba uplatniť v prípade porušenia noriem prijatých v nadväznosti na túto smernicu
N
§ 67
P: a
P: b
§ 68
O: 1
P: a
P: b
P: c
P: d
Sankciami za porušenie tohto zákona sú
pokuta a
poriadková pokuta.
Úrad môže uložiť pokutu od 330 eur do 6 600 eur prevádzkovateľovi, ktorý
nezabezpečil správnosť a aktuálnosť osobných údajov podľa § 16 ods. 2,
neoznámil zistené nedostatky tretím stranám podľa § 18 ods. 1, alebo nevie pri kontrole preukázať úradu, že upustenie od oznámenia podľa § 18 bolo dôvodné, alebo prijal oznámenie ako tretia strana a nevykonal opatrenia v rozsahu a spôsobom podľa § 18 ods. 2,
nesplnil alebo porušil povinnosť vyhotoviť písomný záznam poučenia oprávnených osôb podľa § 21 ods. 3,
nesplnil alebo porušil povinnosť vyhotoviť poverenie
U
65
P:e
P:f
P:g
P:h
P:i
P:j
P:k
O: 2
P: a
P: b
P:c
P:d
zodpovednej osoby podľa § 23 ods. 10 a 11,
nesplnil alebo porušil oznamovaciu povinnosť podľa § 25 ods. 2 až 4,
nesplnil alebo porušil povinnosť ukončenia poverenia zodpovednej osoby podľa § 26,
nevykonal oznámenie o obmedzení práv dotknutej osoby podľa § 30
nesplnil alebo porušil povinnosť registrácie informačného systému podľa § 35 ods. 1, 3 a 4 a § 36 ods. 7 prvej vety,
nesplnil alebo porušil povinnosť oznámenia zmien údajov prihlásených na registráciu alebo osobitnú registráciu, alebo povinnosť odhlásenia informačného systému z registrácie alebo osobitnej registrácie podľa § 40,
nesplnil alebo porušil povinnosť vedenia evidencie informačného systému podľa § 43, alebo
nesplnil alebo porušil povinnosť sprístupniť údaje z evidencie podľa § 44.
Úrad môže uložiť pokutu od 1 000 eur do 100 000 eur prevádzkovateľovi, ktorý
nesplnil alebo porušil niektorú z povinností základných zásad spracúvania osobných údajov podľa § 5 až 7 a 9 až 12,
pri výbere a poverovaní sprostredkovateľa nesplnil alebo porušil niektorú z povinností podľa § 8 ods. 2 5 a 8 druhá veta pred bodkočiarkou,
pri získavania osobných údajov nesplnil alebo porušil niektorú z povinností podľa § 15,
nesplnil alebo porušil niektorú z povinností likvidácie osobných údajov podľa § 17,
66
P:e
P:f
P:g
P:h
O: 3
P: a
P: b
P:c
P:d
P:e
O: 4
P: a
nesplnil alebo porušil niektorú z povinností bezpečnosti spracúvania osobných údajov podľa § 19 ods. 1, 2, 4 a 5 a § 20,
nesplnil alebo porušil niektorú z povinností upravujúcich poučenie oprávnených osôb podľa § 21 ods. 2 a 4,
pri výkone dohľadu nad ochranou osobných údajov nesplnil alebo porušil niektorú z povinností podľa § 23 ods. 2 a 5 až 9 a § 25 ods. 1,
pri vybavovaní žiadosti dotknutej osoby nesplnil alebo porušil niektorú z povinností podľa § 28 a 29.
Úrad uloží pokutu od 1 650 eur do 350 000 eur prevádzkovateľovi, ktorý
nesplnil alebo porušil povinnosť poveriť spracúvaním osobných údajov sprostredkovateľa na základe písomnej zmluvy podľa § 8 ods. 3 prvej vety,
pri spracúvaní osobitnej kategórie osobných údajov nesplnil alebo porušil niektorú z povinností podľa § 13 a 14,
nesplnil alebo porušil povinnosť mať vypracovaný bezpečnostný projekt podľa § 19 ods. 3,
nevykonal prenos osobných údajov do tretích krajín podľa § 31, alebo nesplnil alebo porušil niektorú z podmienok podľa § 31 a § 32 ods. 2, 3 a 4 alebo
nesplnil alebo porušil povinnosť osobitnej registrácie informačného systému podľa § 37 a 38, § 39 ods. 5 a ods. 6 druhej vety.
Úrad môže uložiť pokutu od 330 eur do 6 600 eur sprostredkovateľovi, ktorý
nezabezpečil správnosť a aktuálnosť osobných údajov
67
P: b
P: c
P: d
P:e
P:f
P:g
O: 5
P: a
P: b
P: c
P: d
P:e
podľa § 16 ods. 2,
neoznámil zistené nedostatky tretím stranám podľa § 18 ods. 1, alebo nevie pri kontrole preukázať úradu, že upustenie od oznámenia podľa § 18 bolo dôvodné, alebo prijal oznámenie ako tretia strana a nevykonal opatrenia v rozsahu a spôsobom podľa § 18 ods. 2,
nesplnil alebo porušil povinnosť vyhotoviť písomný záznam poučenia oprávnených osôb podľa § 21 ods. 3,
nesplnil alebo porušil povinnosť vyhotoviť poverenie zodpovednej osoby podľa § 23 ods. 10 a 11,
nesplnil alebo porušil oznamovaciu povinnosť podľa § 25 ods. 2 až 4,
nesplnil alebo porušil povinnosť ukončenia poverenia zodpovednej osoby podľa § 26,
nevykonal oznámenie o obmedzení práv dotknutej osoby podľa § 30.
Úrad môže uložiť pokutu od 1 000 eur do 100 000 eur sprostredkovateľovi, ktorý
nesplnil alebo porušil niektorú z povinností základných zásad spracúvania osobných údajov podľa § 5 ods. 1, § 6 ods. 2 písm. c) až i), § 6 ods. 4,
nesplnil alebo porušil niektorú z povinností sprostredkovateľa podľa § 8 ods. 3 druhej vete, 4, 6 až 8,
pri získavania osobných údajov nesplnil alebo porušil niektorú z povinností podľa § 15,
nesplnil alebo porušil niektorú z povinností likvidácie osobných údajov podľa § 17,
nesplnil alebo porušil niektorú z povinností
68
P:f
P:g
P:h
O: 6
P: a
P: b
O: 7
P: a
P: b
P: c
P: d
P: e
bezpečnosti spracúvania osobných údajov podľa § 19 ods. 1, 2, 4 a 5 a § 20,
nesplnil alebo porušil niektorú z povinností upravujúcich poučenie oprávnených osôb podľa § 21 ods. 2 a 4,
pri výkone dohľadu nad ochranou osobných údajov nesplnil alebo porušil niektorú z povinností podľa § 23 ods. 2 a 5 až 9 a § 25 ods. 1,
pri vybavovaní žiadosti dotknutej osoby nesplnil alebo porušil niektorú z povinností podľa § 28 a 29.
Úrad uloží pokutu od 1 650 eur do 350 000 eur sprostredkovateľovi, ktorý
nesplnil alebo porušil povinnosť mať vypracovaný bezpečnostný projekt podľa § 19 ods. 3 alebo
nevykonal prenos osobných údajov do tretích krajín podľa § 31, alebo nesplnil alebo porušil niektorú z podmienok podľa § 31 a § 32 ods. 2, 3 a 4.
Úrad môže uložiť pokutu od 150 eur do 3 500 eur tomu, kto
poskytne osobné údaje v rozpore s § 12 ods. 1; to neplatí pre prevádzkovateľa a sprostredkovateľa,
poskytne nepravdivé osobné údaje podľa § 16 ods. 1,
nepostupoval v súlade s technickými, organizačnými alebo personálnymi opatreniami prijatými prevádzkovateľom alebo sprostredkovateľom podľa § 19 a 20,
ako oprávnená osoba poruší niektorú zo svojich povinností uložených v poučení podľa § 21,
poruší povinnosť mlčanlivosti o osobných údajoch
69
P: f
P: g
§ 69
O: 1
P: a
P: b
P: c
P:d
§ 70
O: 1
O: 2
O: 3
podľa § 22,
ako zodpovedná osoba neplní povinnosti podľa § 27, alebo
neposkytol úradu požadovanú súčinnosť pri výkone dozoru podľa tohto zákona.
Úrad môže uložiť prevádzkovateľovi alebo sprostredkovateľovi poriadkovú pokutu
do 1 500 eur, ak nezabezpečí primerané podmienky na výkon kontroly podľa § 57 písm. a),
do 15 000 eur ak marí výkon kontroly požadovaný podľa § 57 písm. b),
do 30 000 eur, ak oznam určený na zverejnenie podľa § 71 v hromadných informačných prostriedkoch nezverejnil vôbec, alebo nezverejnil včas, alebo nezverejnil v určenej forme alebo v určenom hromadnom informačnom prostriedku, alebo nedodržal určený obsah tohto oznamu, a to opakovane až do splnenia povinnosti,
do 60 000 eur, ak nevykonal opatrenia uložené v rozhodnutí podľa § 65 ods. 1, 2 alebo úrad v určenej lehote včas neinformoval podľa § 65 ods. 4.
Pokutu a poriadkovú pokutu môže úrad uložiť opakovane, ak povinnosť nebola splnená v určenej lehote.
Pokutu podľa § 68 možno uložiť do jedného roka odo dňa, keď úrad porušenie povinnosti zistil, najneskôr však do troch rokov odo dňa, keď k porušeniu povinnosti došlo.
Poriadkovú pokutu podľa § 69 možno uložiť do jedného mesiaca odo dňa, keď k porušeniu povinnosti
70
O: 4
O: 5
O: 6
O: 7
O: 8
došlo.
Pri ukladaní pokuty alebo poriadkovej pokuty a určení jej výšky úrad prihliada najmä na závažnosť, čas trvania a následky protiprávneho konania, opakovanie takéhoto konania a mieru ohrozenia súkromného a rodinného života a na počet dotknutých osôb.
Ak sa istá osoba dopustí toho istého porušenia tohto zákona do dvoch rokov od právoplatnosti rozhodnutia, môže jej úrad uložiť pokutu alebo poriadkovú pokutu až do výšky dvojnásobku sadzby uloženej pokuty alebo poriadkovej pokuty.
Proti rozhodnutiu o uložení pokuty alebo poriadkovej pokuty možno podať písomne rozklad do 15 dní odo dňa jeho doručenia. O rozklade rozhodne predseda úradu do 60 dní odo dňa jeho doručenia.
V odôvodených prípadoch úrad môže rozhodnutím povoliť odklad platenia pokuty alebo poriadkovej pokuty, alebo povoliť platenie pokuty alebo poriadkovej pokuty v splátkach.
Výnosy pokút sú príjmom štátneho rozpočtu.
Č:25
Zásady
N
O:1
Členské štáty ustanovia, že k prenosu osobných údajov, ktoré práve spracovávané alebo majú byť po uskutočnení prenosu spracované môže dôjsť iba ak dotyčná tretia krajina zaručí primeranú úroveň ochrany - bez toho, aby bolo dotknuté dodržiavanie vnútroštátnej právnej úpravy prijatej v nadväznosti na ustanovenia tejto smernice.
N
§ 31
O: 1
Prenos osobných údajov do tretej krajiny, ktorá podľa rozhodnutia Európskej komisie zaručuje primeranú úroveň ochrany osobných údajov možno uskutočniť, ak prevádzkovateľ dotknutej osobe predtým poskytol informácie podľa § 15 ods. 1 alebo ods. 2, alebo bola splnená niektorá z podmienok uvedených v § 15 ods. 3.
U
O:2
Primeranosť úrovne ochrany poskytovanej treťou krajinou sa bude hodnotiť na základe všetkých okolností súvisiacich s operáciou prenosu údajov alebo súboru prenosových operácií; zvlášť posudzovať povaha údajov, účel a trvanie navrhovanej spracovateľskej operácie alebo operácií, krajina pôvodu a krajina konečného určenia, právne normy,
N
§ 31
O: 1
Prenos osobných údajov do tretej krajiny, ktorá podľa rozhodnutia Európskej komisie zaručuje primeranú úroveň ochrany osobných údajov možno uskutočniť, ak prevádzkovateľ dotknutej osobe predtým poskytol informácie podľa § 15 ods. 1 alebo ods. 2, alebo bola splnená niektorá z podmienok uvedených v § 15 ods. 3.
U
71
tak všeobecné ako aj rezortné, ktoré platia v príslušnej tretej krajine a profesionálne predpisy a bezpečnostné opatrenia, ktoré sa tam dodržiavajú.
O:3
Členské štáty a Komisia sa budú navzájom informovať o prípadoch, keď podľa ich súdu tretia krajina nezaručuje primeranú úroveň ochrany v zmysle odstavca 2.
N
§ 46
O: 2
P: a
P: c
Okrem plnenia úloh podľa odseku 1 úrad ďalej
plní oznamovaciu povinnosť voči Európskej komisii v oblasti ochrany osobných údajov,
spolupracuje pri výkone dozoru nad ochranou osobných údajov s obdobnými orgánmi dozoru v zahraničí.
U
O:4
V prípade, že Komisia v súlade s postupom uvedeným v článku 31 (2) zistí, že tretia krajina nezaručuje primeranú úroveň ochrany v zmysle odstavca 2 tohoto článku, členské štáty prijmú opatrenia nevyhnuté na to, aby sa zabránilo prenosu údajov tohto typu do príslušnej tretej krajiny
N
§ 46
O: 2
P: b
Okrem plnenia úloh podľa odseku 1 úrad ďalej
prijíma opatrenia na vykonanie rozhodnutí Európskej komisie vydaných v oblasti ochrany osobných údajov a
U
O:5
Vo vhodnú dobu Komisia zaháji rokovania s cieľom dať do poriadku situáciu, ktorá bola zistená podľa odstavca 4.
n.a.
§ 46
O: 2
P: b
Okrem plnenia úloh podľa odseku 1 úrad ďalej
prijíma opatrenia na vykonanie rozhodnutí Európskej komisie vydaných v oblasti ochrany osobných údajov a
O:6
Komisia môže na základe postupu uvedeného v článku 31 (2) zistiť, že tretia krajina z titulu svojho vnútroštátneho právneho poriadku alebo medzinárodných záväzkov, ktoré na seba prijala najmä po skončení rokovaní spomínaných v odstavci 5 a týkajúcich sa ochrany súkromného života a základných slobôd a práv jednotlivcov, zaručuje primeranú úroveň ochrany v zmysle odstavca 2 tohoto článku.
Členské štáty prijmú nevyhnutné opatrenia, aby bolo dodržané rozhodnutie Komisie.
N
§ 31
O: 1
§ 46
O: 2
P: b
Prenos osobných údajov do tretej krajiny, ktorá podľa rozhodnutia Európskej komisie zaručuje primeranú úroveň ochrany osobných údajov možno uskutočniť, ak prevádzkovateľ dotknutej osobe predtým poskytol informácie podľa § 15 ods. 1 alebo ods. 2, alebo bola splnená niektorá z podmienok uvedených v § 15 ods. 3.
Okrem plnenia úloh podľa odseku 1 úrad ďalej
prijíma opatrenia na vykonanie rozhodnutí Európskej komisie vydaných v oblasti ochrany osobných údajov
U
72
a
Č:26
O:1
P:a
Derogácie
Ak vnútroštátny zákon upravujúci konkrétne prípady nestanovuje inak, členské štáty zrušením článku 25 určia, že je možné uskutočniť prenos alebo rad prenosov osobných údajov do tretej krajiny, ktorá nezaručuje primeranú úroveň ochrany v zmysle článku 25 (2) pod podmienkou, že:
dotknutá osoba dala svoj jednoznačný súhlas na navrhovaný prenos, alebo
N
§ 31
O: 3
P:a
Ak prevádzkovateľ nepostupuje podľa odseku 2, prenos osobných údajov do tretej krajiny, ktorá nezaručuje primeranú úroveň ochrany osobných údajov možno uskutočniť, iba ak
dotknutá osoba pred jeho uskutočnením poskytla písomný alebo inak hodnoverne preukázateľný súhlas s vedomím, že tretia krajina nezaručuje primeranú úroveň ochrany,
U
P:b
je tento prenos nevyhnutný pre plnenie zmluvy medzi dotknutou osobou a prevádzkovateľom alebo na zavedenie predkontraktačných opatrení na žiadosť dotknutej osoby, alebo
N
§ 31
O: 3
P:b
Ak prevádzkovateľ nepostupuje podľa odseku 2, prenos osobných údajov do tretej krajiny, ktorá nezaručuje primeranú úroveň ochrany osobných údajov možno uskutočniť, iba ak
je prenos nevyhnutný na plnenie zmluvy medzi dotknutou osobou a prevádzkovateľom, alebo v predzmluvných vzťahoch s dotknutou osobou alebo pri rokovaní o zmene zmluvy, ktoré sa uskutočňujú na žiadosť dotknutej osoby,
U
P:c
je tento prenos nevyhnutný pre uzavretie alebo plnenie zmluvy, ktorú uzavrel v záujme dotknutej osoby prevádzkovateľ a tretia strana, alebo
N
§ 31
O: 3
P:c
Ak prevádzkovateľ nepostupuje podľa odseku 2, prenos osobných údajov do tretej krajiny, ktorá nezaručuje primeranú úroveň ochrany osobných údajov možno uskutočniť, iba ak
je prenos nevyhnutný na uzavretie zmluvy alebo na plnenie zmluvy, ktorú prevádzkovateľ uzavrel v záujme dotknutej osoby s treťou stranou,
U
P:d
je tento prenos nevyhnutný alebo vyžadovaný zo zákona z dôvodu dôležitého verejného záujmu alebo pri dokazovaní, uplatňovaní alebo obhajovaní právneho nároku, alebo
N
§ 31
O: 3
P:d
Ak prevádzkovateľ nepostupuje podľa odseku 2, prenos osobných údajov do tretej krajiny, ktorá nezaručuje primeranú úroveň ochrany osobných údajov možno uskutočniť, iba ak
je prenos nevyhnutný alebo požadovaný na základe zákona z dôvodu zabezpečenia dôležitého verejného záujmu, alebo pri preukazovaní, uplatňovaní alebo obhajovaní právnych nárokov vyplývajúcich zo
U
73
zákona alebo z medzinárodnej zmluvy, ktorou je Slovenská republika viazaná,
P:e
je tento prenos nevyhnutný na ochranu životne dôležitých záujmov dotknutej osoby, alebo
N
§ 31
O: 3
P:e
Ak prevádzkovateľ nepostupuje podľa odseku 2, prenos osobných údajov do tretej krajiny, ktorá nezaručuje primeranú úroveň ochrany osobných údajov možno uskutočniť, iba ak
je prenos nevyhnutný na ochranu životne dôležitých záujmov dotknutej osoby, alebo
U
P:f
sa tento prenos týka registra, ktorý podľa zákonov alebo predpisov slúžiť na informovanie verejnosti a ktorý je otvorený k nahliadnutiu buď verejnosti vo všeobecnosti alebo hocijakej osobe, ktorá je schopná preukázať oprávnený nárok - ak v danom prípade splnené zákonne stanovené podmienky takéhoto nahliadnutia.
N
§ 31
O: 3
P: f
Ak prevádzkovateľ nepostupuje podľa odseku 2, prenos osobných údajov do tretej krajiny, ktorá nezaručuje primeranú úroveň ochrany osobných údajov možno uskutočniť, iba ak
sa týka osobných údajov, ktoré súčasťou zoznamov, registrov alebo operátov vedených podľa osobitných zákonov verejne prístupných alebo sprístupnených tým, ktorí preukážu právny základ na ich sprístupnenie pri splnení zákonom ustanovených podmienok.
U
O:2
Bez toho, aby bol tým dotknutý odstavec 1, členský štát môže povoliť prenos alebo súbor prenosov osobných údajov do tretej krajiny, ktorá nezaručuje primeranú úroveň ochrany v zmysle článku 25 (2), ak prevádzkovateľ uvedie primerané záruky ochrany súkromia a základných práv a slobôd jednotlivcov a výkonu príslušných práv; takéto záruky môžu vychádzať najmä z príslušných zmluvných klauzúl.
D
§ 31
O: 6
O: 7
P: a
P: b
P: c
P: d
P: e
Ak prevádzkovateľ použije v zmluve o prenose osobných údajov do tretej krajiny bez primeranej úrovne ochrany osobných údajov zmluvné doložky, ktoré odlišné od štandardných zmluvných doložiek podľa odseku 2 určených na prenos prevádzkovateľom alebo sprostredkovateľom alebo s nimi vykazujú zjavný nesúlad, je povinný pred začatím prenosu požiadať úrad o súhlas.
Žiadosť podľa odseku 6 obsahuje
identifikačné údaje zmluvných strán,
účel prenosu osobných údajov,
predpokladané spracovateľské operácie v tretej krajine,
zoznam prenášaných osobných údajov,
okruh dotknutých osôb a
U
74
P: f
O: 8
dobu uchovávania osobných údajov.
Prílohou žiadosti podľa odseku 7 je zmluva o prenose osobných údajov v slovenskom jazyku alebo jej úradne overený preklad do štátneho jazyka.
O:3
Členský štát bude informovať Komisiu a ostatné členské štáty o povolení, ktoré udelí v nadväznosti na odstavec 2.
Ak nejaký členský štát alebo Komisia vznesie oprávnenú námietku, ktorá sa týka ochrany súkromia a základných práv a slobôd jednotlivcov, Komisia podnikne vhodné opatrenia v súlade s postupom stanoveným v článku 31 (2).
Členské štáty podniknú potrebné opatrenia, aby vyhoveli rozhodnutiu Komisie.
N
§ 46
O: 2
P: a
P: b
P: c
Okrem plnenia úloh podľa odseku 1 úrad ďalej
plní oznamovaciu povinnosť voči Európskej komisii v oblasti ochrany osobných údajov,
prijíma opatrenia na vykonanie rozhodnutí Európskej komisie vydaných v oblasti ochrany osobných údajov a
spolupracuje pri výkone dozoru nad ochranou osobných údajov s obdobnými orgánmi dozoru v zahraničí.
U
O:4
Ak Komisia rozhodne, v súlade s postupom uvedeným v článku 31 (2), že isté štandardné zmluvné klauzuly poskytujú dostatočné záruky požadované v odstavci 2, členské štáty podniknú potrebné opatrenia na naplnenie rozhodnutia Komisie.
N
§ 31
O: 2
§ 46
O:2
P: b
Prenos osobných údajov do tretej krajiny, ktorá nezaručuje primeranú úroveň ochrany osobných údajov, možno uskutočniť, ak prevádzkovateľ prijme primerané záruky ochrany súkromia a základných práv a slobôd jednotlivcov a výkonu príslušných práv; takéto záruky vyplývajú zo štandardných zmluvných doložiek podľa osobitného predpisu alebo záväzných vnútropodnikových pravidiel prevádzkovateľa, ktoré boli schválené orgánom dozoru v oblasti ochrany osobných údajov so sídlom v členskom štáte.
Okrem plnenia úloh podľa odseku 1 úrad ďalej
prijíma opatrenia na vykonanie rozhodnutí Európskej komisie vydaných v oblasti ochrany osobných údajov a
U
Č:27
O:1
Vykonávacie predpisy
Členské štáty a Komisia podporia vypracovanie vykonávacích predpisov, ktoré s prihliadnutím na špecifiká rôznych rezortov majú prispieť k správnej
N
§ 46
O: 1
Úrad pri výkone dozoru nad ochranou osobných údajov plní tieto úlohy
U
75
implementácii vnútroštátnych predpisov prijatých členskými štátmi v nadväznosti na túto smernicu.
P: q
podieľa sa na príprave všeobecne záväzných právnych predpisov v oblasti ochrany osobných údajov
O:2
Členské štáty umožnia živnostenským združeniam a iným inštitúciám zastupujúcim iné kategórie prevádzkovateľov, ktoré pripravili návrh vykonávacích predpisov alebo ktoré zamýšľajú doplniť alebo rozšíriť jestvujúce celoštátne predpisy, aby ich predložili na posúdenie štátnemu orgánu.
Členské štáty stanovia, aby tento orgán medzi iným zistil, či jemu podstúpené návrhy v súlade s vnútroštátnymi predpismi, ktoré boli prijaté v nadväznosti na túto smernicu. Ak to bude považovať za vhodné, bude sa tento orgán zapodievať aj názormi dotknutých osôb alebo ich zástupcov.
N
§ 46
O: 1
P: r
Úrad pri výkone dozoru nad ochranou osobných údajov plní tieto úlohy
vyjadruje sa k návrhom zákonov a k návrhom ostatných všeobecne záväzných právnych predpisov, v ktorých sa upravuje spracúvanie osobných údajov,
U
O:3
Návrhy kódexu Spoločenstva a doplnky alebo rozšírenia k jestvujúcim komunitným kódexom je možné predložiť pracovnej skupine uvedenej v článku 29. Komisia môže zabezpečiť vhodnú publicitu pre predpisy, ktoré boli schválené pracovnou skupinou.
n.a.
§ 46
O: 1
P: c
Úrad pri výkone dozoru nad ochranou osobných údajov plní tieto úlohy
prijíma návrhy a podnety týkajúce sa podozrenia z porušovania povinností ustanovených zákonom pri spracúvaní osobných údajov alebo koná z vlastnej iniciatívy
U
Č:28
O:1
Dozorný orgán
Každý členský štát ustanoví, že jeden alebo viac verejných orgánov bude zodpovedať za sledovanie, ako sa jeho území uplatňujú predpisy prijaté členskými štátmi v nadväznosti na túto smernicu.
Tieto orgány budú pri výkone im zverených funkcií konať úplne nezávisle.
N
§ 45
O: 1
O:2
O:3
O:4
O:5
Úrad je orgánom štátnej správy s celoslovenskou pôsobnosťou, ktorý vykonáva dozor nad ochranou osobných údajov a podieľa sa na ochrane základných práv a slobôd fyzických osôb pri spracúvaní ich osobných údajov.
Sídlom úradu je Bratislava.
Úrad pri výkone svojej pôsobnosti postupuje nezávisle a riadi sa ústavou, ústavnými zákonmi, zákonmi, ostatnými všeobecne záväznými právnymi predpismi a medzinárodnými zmluvami, ktorými je Slovenská republika viazaná.
Rozpočet úradu tvorí v štátnom rozpočte Slovenskej republiky samostatnú kapitolu.
Podrobnosti o organizácii úradu upraví organizačný
U
76
§ 46
O:1
P:a
P:b
P:c
P:d
P:e
P:f
P: g
P: h
P: i
poriadok.
Úrad pri výkone dozoru nad ochranou osobných údajov plní tieto úlohy
vykonáva dozor nad dodržiavaním povinností ustanovených zákonom pri spracúvaní osobných údajov,
priebežne sleduje stav ochrany osobných údajov, registráciu, osobitnú registráciu informačných systémov a vedenie evidencie o informačných systémoch,
prijíma návrhy a podnety týkajúce sa podozrenia z porušovania povinností ustanovených zákonom pri spracúvaní osobných údajov alebo koná z vlastnej iniciatívy,
vykonáva kontrolu spracúvania osobných údajov v informačných systémoch,
pri podozrení z porušenia povinností uložených týmto zákonom môže predvolať prevádzkovateľa alebo sprostredkovateľa,
na odstránenie zistených nedostatkov rozhodnutím ukladá opatrenia na nápravu,
ukladá sankcie pri zistení porušenia povinností uvedených v tomto zákone,
odporúča prevádzkovateľom opatrenia na zabezpečenie ochrany osobných údajov v informačných systémoch; na tento účel v rozsahu svojej pôsobnosti vydáva odporúčania pre prevádzkovateľov,
vykonáva registráciu a osobitnú registráciu informačných systémov a zabezpečuje zverejnenie stavu registrácie,
77
P: j
P: k
P: l
P: m
P: n
P: o
P: p
P: q
P: r
P: s
P: t
O: 2
P: a
vedie register zodpovedných osôb,
poskytuje konzultácie v oblasti ochrany osobných údajov,
v rozsahu svojej pôsobnosti vydáva záväzné stanoviská,
metodicky usmerňuje prevádzkovateľov a sprostredkovateľov pri spracúvaní osobných údajov,
vykonáva skúšky zodpovedných osôb a vydáva potvrdenia o ich absolvovaní,
vydáva súhlas na prenos osobných údajov do tretích krajín, ktoré nezaručujú primeranú úroveň ochrany,
na účely cezhraničného prenosu osobných údajov do tretích krajín, ktoré nezaručujú primeranú úroveň ochrany schvaľuje záväzné vnútropodnikové pravidlá prevádzkovateľa,
podieľa sa na príprave všeobecne záväzných právnych predpisov v oblasti ochrany osobných údajov,
vyjadruje sa k návrhom zákonov a k návrhom ostatných všeobecne záväzných právnych predpisov, v ktorých sa upravuje spracúvanie osobných údajov,
v rozsahu svojej pôsobnosti vydáva všeobecne záväzné právne predpisy,
predkladá Národnej rade Slovenskej republiky správu o stave ochrany osobných údajov najmenej raz za dva roky; správu o stave ochrany osobných údajov zverejňuje úrad na svojom webovom sídle.
Okrem plnenia úloh podľa odseku 1 úrad ďalej
plní oznamovaciu povinnosť voči Európskej komisii v oblasti ochrany osobných údajov,
78
P: b
P: c
O: 3
O:4
O:5
§47
O: 1
O:2
O:3
prijíma opatrenia na vykonanie rozhodnutí Európskej komisie vydaných v oblasti ochrany osobných údajov a
spolupracuje pri výkone dozoru nad ochranou osobných údajov s obdobnými orgánmi dozoru v zahraničí.
Ak úrad zistí skutočnosti nasvedčujúce tomu, že zákon, iný všeobecne záväzný právny predpis alebo prevádzkovateľom vydaný vnútorný predpis porušuje základné práva a slobody fyzických osôb pri spracúvaní ich osobných údajov, predseda úradu môže podať podnet na jeho zmenu alebo zrušenie orgánu, ktorý tento predpis prijal
Predmetom dozoru nad ochranou osobných údajov nie spory zo zmluvných alebo predzmluvných vzťahov medzi prevádzkovateľmi alebo sprostredkovateľmi a dotknutými osobami alebo inými fyzickými osobami alebo právnickými osobami, na ktorých prejednávanie a rozhodovanie príslušné súdy alebo iné orgány podľa osobitných zákonov.
Ak osobné údaje spracúvajú spravodajské služby a Národný bezpečnostný úrad, dozor nad ochranou osobných údajov vykonáva Národná rada Slovenskej republiky podľa osobitného predpisu.
Na čele úradu je predseda, ktorého volí a odvoláva Národná rada Slovenskej republiky na návrh vlády Slovenskej republiky.
Funkčné obdobie predsedu úradu je päť rokov a možno ho zvoliť najviac na dve po sebe nasledujúce funkčné obdobia. Predseda úradu ostáva vo funkcii aj po uplynutí funkčného obdobia, kým Národná rada Slovenskej republiky nezvolí nového predsedu.
Za predsedu úradu možno zvoliť občana Slovenskej republiky, ktorý je voliteľný do Národnej rady
79
O: 4
O: 5
O: 6
O: 7
P: a
P: b
P: c
P: d
P: e
O:8
P: a
Slovenskej republiky, spôsobilosť na právne úkony v plnom rozsahu, vysokoškolské vzdelanie druhého stupňa a je bezúhonný podľa § 23 ods. 8 prvá a druhá veta.
Predseda úradu je povinný zachovávať mlčanlivosť o skutočnostiach, o ktorých sa dozvedel počas výkonu svojej funkcie, a to aj po skončení výkonu svojej funkcie. Od povinnosti mlčanlivosti môže predsedu úradu v konkrétnom prípade oslobodiť Národná rada Slovenskej republiky.
Za svoju činnosť predseda úradu zodpovedá Národnej rade Slovenskej republiky.
Predseda úradu počas výkonu svojej funkcie postavenie vedúceho služobného úradu podľa osobitného zákona.
Pred uplynutím funkčného obdobia výkon funkcie predsedu úradu zaniká
vzdaním sa funkcie,
stratou voliteľnosti do Národnej rady Slovenskej republiky,
nadobudnutím právoplatnosti rozsudku, ktorým bol odsúdený za úmyselný trestný čin alebo ktorým bol odsúdený za trestný čin a výkon trestu mu nebol podmienečne odložený,
výkonom činnosti, ktorá je nezlučiteľná s výkonom jeho funkcie podľa osobitného predpisu, alebo
smrťou.
Predseda úradu môže byť z funkcie odvolaný, ak
mu zdravotný stav dlhodobo, najmenej však počas jedného roka, nedovoľuje riadne vykonávať povinnosti vyplývajúce z jeho funkcie,
80
P: b
§48
O:1
O:2
O:3
§49
O: 1
O:2
O: 3
O: 4
P: a
porušil povinnosť zachovávať mlčanlivosť o skutočnostiach, o ktorých sa dozvedel v súvislosti s výkonom svojej funkcie.
Predsedu úradu zastupuje podpredseda úradu, ktorého vymenúva a odvoláva vláda Slovenskej republiky na návrh predsedu úradu.
Funkčné obdobie podpredsedu úradu je päť rokov a možno ho vymenovať najviac na dve po sebe nasledujúce obdobia. Podpredseda úradu ostáva vo funkcii aj po uplynutí funkčného obdobia, kým vláda Slovenskej republiky nevymenuje nového podpredsedu.
Na výkon funkcie podpredsedu úradu sa ustanovenia § 47 ods. 3, 7 a 8 vzťahujú rovnako.
Na čele inšpektorov je vrchný inšpektor úradu, ktorého vymenúva a odvoláva vláda Slovenskej republiky na návrh predsedu úradu.
Za vrchného inšpektora možno vymenovať občana Slovenskej republiky, ktorý spôsobilosť na právne úkony v plnom rozsahu, je bezúhonný, vysokoškolské vzdelanie druhého stupňa a najmenej päťročnú odbornú prax v oblasti informatiky alebo práva a dosiahol vek najmenej 35 rokov.
Funkčné obdobie vrchného inšpektora je päť rokov a do funkcie ho možno vymenovať najviac na dve po sebe nasledujúce obdobia. Vrchný inšpektor ostáva vo funkcii aj po uplynutí funkčného obdobia, kým vláda Slovenskej republiky nevymenuje nového vrchného inšpektora.
Vrchného inšpektora možno z funkcie odvolať, ak
mu zdravotný stav dlhodobo, najmenej však počas šiestich mesiacov nedovoľuje riadne vykonávať
81
P: b
P: c
P: d
O: 5
P: a
P: b
P: c
P: d
§ 50
O: 1
O:2
povinnosti vyplývajúce z jeho funkcie,
porušil povinnosť zachovávať mlčanlivosť o skutočnostiach, o ktorých sa dozvedel v súvislosti s výkonom svojej funkcie,
opakovane neplní úlohy ustanovené v § 46 ods. 1 písm. d), f) a g) alebo porušuje služobnú disciplínu a ak v posledných šiestich mesiacoch predseda úradu vrchného inšpektora úradu opakovane písomne vyzval na odstránenie nedostatkov a vrchný inšpektor úradu ich v primeranej lehote neodstránil, alebo
hrubo zanedbal povinnosti uložené týmto zákonom, ak nepreukáže, že zavinenie nespôsobil alebo mu nemohol zabrániť, alebo pre hrubé porušenie služobnej disciplíny.
Pred uplynutím funkčného obdobia výkon funkcie vrchného inšpektora úradu zaniká
vzdaním sa funkcie,
nadobudnutím právoplatnosti rozsudku, ktorým bol odsúdený za úmyselný trestný čin alebo ktorým bol odsúdený za trestný čin a výkon trestu mu nebol podmienečne odložený,
výkonom činnosti, ktorá je nezlučiteľná s výkonom jeho funkcie, alebo
smrťou.
Inšpektora úradu vymenúva a odvoláva predseda úradu zo štátnych zamestnancov vykonávajúcich štátnu službu v úrade.
Za inšpektora úradu možno vymenovať občana Slovenskej republiky, ktorý spĺňa podmienky prijatia do štátnej služby podľa osobitného predpisu, vysokoškolské vzdelanie druhého stupňa a najmenej
82
O: 3
§ 51
trojročnú odbornú prax v oblasti informatiky alebo práva a dosiahol vek najmenej 30 rokov.
Inšpektora úradu možno odvolať pri zmene štátnozamestnaneckého pomeru42) a ak mu zdravotný stav dlhodobo, najmenej však počas šiestich mesiacov nedovoľuje riadne vykonávať povinnosti vyplývajúce z opisu činností štátneho zamestnanca.
Podpredseda úradu, vrchný inšpektor, inšpektor úradu a zamestnanec úradu povinní zachovávať mlčanlivosť o skutočnostiach, o ktorých sa dozvedeli počas plnenia úloh podľa tohto zákona, a to aj po skončení výkonu svojej funkcie, štátnozamestnaneckého pomeru alebo pracovného pomeru. Od povinnosti mlčanlivosti môže podpredsedu úradu, vrchného inšpektora, inšpektora a zamestnanca úradu v konkrétnom prípade zbaviť predseda úradu.
O:2
Každý členský štát ustanoví, aby boli tieto dozorné orgány konzultované pri príprave administratívnych opatrení alebo predpisov týkajúcich sa ochrany práv a slobôd jednotlivca pri spracovaní osobných údajov.
N
§ 46
O:1
P: c
P:d
P:e
P:f
P: g
Úrad pri výkone dozoru nad ochranou osobných údajov plní tieto úlohy
prijíma návrhy a podnety týkajúce sa podozrenia z porušovania povinností ustanovených zákonom pri spracúvaní osobných údajov alebo koná z vlastnej iniciatívy,
vykonáva kontrolu spracúvania osobných údajov v informačných systémoch,
pri podozrení z porušenia povinností uložených týmto zákonom môže predvolať prevádzkovateľa alebo sprostredkovateľa,
na odstránenie zistených nedostatkov rozhodnutím ukladá opatrenia na nápravu,
ukladá sankcie pri zistení porušenia povinností uvedených v tomto zákone,
83
P: h
P: i
P: j
P: k
P: l
P: m
P: n
P: o
P: p
P: q
P: r
P: s
odporúča prevádzkovateľom opatrenia na zabezpečenie ochrany osobných údajov v informačných systémoch; na tento účel v rozsahu svojej pôsobnosti vydáva odporúčania pre prevádzkovateľov,
vykonáva registráciu a osobitnú registráciu informačných systémov a zabezpečuje zverejnenie stavu registrácie,
vedie register zodpovedných osôb,
poskytuje konzultácie v oblasti ochrany osobných údajov,
v rozsahu svojej pôsobnosti vydáva záväzné stanoviská,
metodicky usmerňuje prevádzkovateľov a sprostredkovateľov pri spracúvaní osobných údajov,
vykonáva skúšky zodpovedných osôb a vydáva potvrdenia o ich absolvovaní,
vydáva súhlas na prenos osobných údajov do tretích krajín, ktoré nezaručujú primeranú úroveň ochrany,
na účely cezhraničného prenosu osobných údajov do tretích krajín, ktoré nezaručujú primeranú úroveň ochrany schvaľuje záväzné vnútropodnikové pravidlá prevádzkovateľa,
podieľa sa na príprave všeobecne záväzných právnych predpisov v oblasti ochrany osobných údajov,
vyjadruje sa k návrhom zákonov a k návrhom ostatných všeobecne záväzných právnych predpisov, v ktorých sa upravuje spracúvanie osobných údajov,
v rozsahu svojej pôsobnosti vydáva všeobecne záväzné právne predpisy,
84
P: t
predkladá Národnej rade Slovenskej republiky správu o stave ochrany osobných údajov najmenej raz za dva roky; správu o stave ochrany osobných údajov zverejňuje úrad na svojom webovom sídle.
O:3
Každý takýto orgán bude najmä disponovať:
- vyšetrovacími právomocami, napríklad právom prístupu k údajom, určovania vecnej náplne spracovateľských operácií a práva na získanie všetkých informácií nevyhnutných pri výkone jeho dozorných povinností,
- skutočnými právomocami zasahovania, napríklad právom na vyjadrenie stanoviska pred uskutočnením spracovateľskej operácie v súlade s článkom 20 a na zabezpečenie vhodnej publicity pre tieto stanoviská, právom nariadiť rozloženie, výmaz alebo zničenie údajov, vydať dočasný alebo definitívny zákaz spracovania, upozorniť alebo napomenúť spracovateľa, podstupovať záležitosti národnému parlamentu alebo iným politickým inštitúciám,
- právom zúčastniť sa súdneho procesu ak došlo k porušeniu vnútroštátneho predpisu prijatého v nadväznosti na túto smernicu alebo upozorňovať na takéto prípady porušenia súdne orgány.
Proti rozhodnutiam dozorného orgánu, ktoré vedú k sťažnosti, sa je možné odvolať na súde.
N
§ 46
O:3
§52
O: 1
O: 2
O: 3
P:a
P: b
P: c
P:d
Ak úrad zistí skutočnosti nasvedčujúce tomu, že zákon, iný všeobecne záväzný právny predpis alebo prevádzkovateľom vydaný vnútorný predpis porušuje základné práva a slobody fyzických osôb pri spracúvaní ich osobných údajov, predseda úradu môže podať podnet na jeho zmenu alebo zrušenie orgánu, ktorý tento predpis prijal.
Kontrolu spracúvania osobných údajov podľa tohto zákona vykonáva vrchný inšpektor úradu, inšpektor úradu a zamestnanci úradu, ktorí členmi kontrolného orgánu (ďalej len „kontrolný orgán“).
Kontrolný orgán vykoná kontrolu ako riadnu kontrolu na základe ročného plánu kontrol alebo ako mimoriadnu kontrolu na základe podozrenia z porušenia povinností pri spracúvaní osobných údajov ustanovených zákonom alebo v rámci konania o ochrane osobných údajov.
Vrchný inšpektor úradu ako kontrolný orgán vykonáva kontrolu na základe písomného poverenia predsedu úradu. Inšpektor úradu ako kontrolný orgán vykoná kontrolu na základe písomného poverenia vrchného inšpektora úradu. Zamestnanec úradu sa zúčastňuje na kontrole na základe písomného poverenia predsedu úradu alebo vrchného inšpektora úradu. Písomné poverenie na vykonanie kontroly obsahuje
identifikačné údaje úradu,
identifikačné údaje kontrolovanej osoby,
titul, meno a priezvisko kontrolného orgánu,
deň, miesto a čas kontroly,
U
Občiansky súdny poriadok č. 99/1963 Zb. v znení neskorších predpisov
85
P: e
P: f
O: 4
O: 5
§ 53
§54
O:1
O: 2
O: 3
O: 4
§ 55
predmet kontroly,
odtlačok úradnej pečiatky a podpis predsedu úradu alebo vrchného inšpektora úradu podľa prvej tretej vety.
Vzor poverenia na vykonanie kontroly zverejní úrad na svojom webovom sídle.
Kontrola je začatá dňom doručenia oznámenia o kontrole prevádzkovateľovi alebo sprostredkovateľovi (ďalej len „kontrolovaná osoba“).
Pri výkone kontroly je kontrolný orgán povinný postupovať tak, aby neboli dotknuté práva a právom chránené záujmy kontrolovanej osoby.
Kontrolný orgán, ktorý sa dozvedel o skutočnostiach zakladajúcich pochybnosti o jeho zaujatosti, je povinný tieto skutočnosti písomne oznámiť úradu bez zbytočného odkladu.
Ak kontrolovaná osoba pochybnosti o zaujatosti kontrolného orgánu so zreteľom na jeho vzťah k predmetu kontroly alebo ku kontrolovanej osobe, kontrolovaná osoba je oprávnená podať písomné námietky s uvedením dôvodu. Podanie námietok nemá odkladný účinok; kontrolný orgán je podľa prvej vety oprávnený vykonať pri kontrole len také úkony, ktoré neznesú odklad.
O námietkach zaujatosti a o oznámení zaujatosti rozhodne predseda úradu v lehote do piatich pracovných dní od ich uplatnenia a písomne oboznámi s rozhodnutím toho, kto námietku uplatnil. Proti rozhodnutiu predsedu úradu nie je možné podať opravný prostriedok.
Na rozhodovanie o zaujatosti sa nevzťahuje všeobecný predpis o správnom konaní.
Kontrolný orgán je povinný
86
P: a
P: b
P: c
P: d
P: e
P: f
P: g
P: h
P: i
P: j
vopred písomne oznámiť kontrolovanej osobe predmet a účel kontroly; to neplatí ak by oznámenie o kontrole
pred začatím kontroly mohlo viesť k zmareniu účelu kontroly alebo podstatnému sťaženiu výkonu kontroly, oznámenie o kontrole možno vykonať pri začatí kontroly,
pred začatím kontroly preukázať sa poverením na vykonanie kontroly a preukázať svoju príslušnosť k úradu,
vypracovať protokol o vykonaní kontroly (ďalej len „protokol“) alebo záznam o kontrole,
uvádzať do protokolu a do záznamu o kontrole kontrolné zistenia,
oboznámiť kontrolovanú osobu s kontrolnými zisteniami v protokole a vyžiadať si od nej v lehote určenej kontrolným orgánom písomné vyjadrenie ku kontrolným zisteniam uvedeným v protokole,
odovzdať kontrolovanej osobe jedno vyhotovenie protokolu alebo záznamu o kontrole,
písomne potvrdiť kontrolovanej osobe prevzatie originálov alebo kópií dokladov, písomných dokumentov, kópií pamäťových médií a iných materiálov a zabezpečiť ich riadnu ochranu pred stratou, zničením, poškodením a zneužitím,
preveriť opodstatnenosť námietok ku kontrolným zisteniam uvedeným v protokole a zohľadniť opodstatnenosť námietok v dodatku k protokolu a oboznámiť s ním kontrolovanú osobu,
prerokovať protokol o výsledku kontroly s kontrolovanou osobou a vyhotoviť zápisnicu o jeho prerokovaní,
informovať predsedu úradu a vrchného inšpektora
87
§56
P: a
P: b
P: c
P: d
P: e
P: f
§ 57
P: a
P: b
o priebehu vykonávanej kontroly.
Kontrolný orgán je oprávnený
vstupovať na pozemky, do budov alebo miestností prevádzok a zariadení prevádzkovateľa a sprostredkovateľa,
overovať totožnosť kontrolovanej osoby a fyzických osôb, ktoré v mene kontrolovanej osoby konajú,
vyžadovať od kontrolovanej osoby, aby kontrolnému orgánu v určenej lehote poskytla doklady, iné písomnosti, vyjadrenia a informácie, údaje spracúvané na pamäťových médiách vrátane technických nosičov údajov, výpisy a zdrojové kódy programov, ak ich vlastní a ďalšie materiály potrebné na výkon kontroly, originály alebo kópie a v odôvodnených prípadoch im umožnili odoberať kópie aj mimo priestorov kontrolovanej osoby,
požadovať v primeranej lehote od kontrolovanej osoby úplné a pravdivé ústne a písomné informácie, vyjadrenia a vysvetlenia ku kontrolovaným a s kontrolou súvisiacim skutočnostiam a k zisteným nedostatkom,
vstupovať do informačných systémov do úrovne správcu systému v rozsahu potrebnom na vykonanie kontroly,
vyžadovať súčinnosť kontrolovanej osoby.
Kontrolovaná osoba je povinná
vytvoriť kontrolnému orgánu primerané podmienky na výkon kontroly a spracovanie kontrolných zistení,
poskytnúť kontrolnému orgánu požadovanú súčinnosť v súlade s jeho oprávneniami podľa § 56 a zdržať sa
88
P: c
P: d
§ 58
P: a
P: b
P: c
P: d
P: e
P: f
§59
O: 1
O: 2
konania, ktoré by mohlo mariť výkon kontroly,
dostaviť sa na predvolanie úradu s cieľom podať vysvetlenia v určenom čase na určené miesto,
oboznámiť sa s obsahom protokolu a na požiadanie kontrolného orgánu dostaviť sa na jeho prerokovanie.
Kontrolovaná osoba je oprávnená
oboznamovať sa s kontrolnými zisteniami a písomne sa k nim vyjadrovať,
podať písomné námietky po oboznámení sa s kontrolnými zisteniami,
vyžadovať od kontrolného orgánu preukázanie skutočností podľa § 55 písm. b),
overiť totožnosť prizvanej osoby a vyžadovať od prizvanej osoby preukázanie, že je oprávnená sa zúčastniť vykonania kontroly,
vyžadovať od kontrolného orgánu potvrdenie o odobratí originálov alebo kópií dokumentov podľa § 56 písm. c),
vyžadovať, aby výkonom kontroly neboli dotknuté jej práva a právom chránené záujmy; týmto nie dotknuté ustanovenia § 56 a 57.
Ak je to odôvodnené osobitnou povahou kontroly, môže kontrolný orgán prizvať na vykonanie kontroly iné fyzické osoby. Účasť týchto fyzických osôb na kontrole sa považuje za iný úkon vo všeobecnom záujme.
Prizvaná osoba sa ako člen kontrolného orgánu zúčastňuje kontroly na základe písomného poverenia predsedu úradu alebo vrchného inšpektora; o prizvaní fyzickej osoby kontrolný orgán upovedomí
89
O: 3
O: 4
O: 5
O: 6
O: 7
§ 60
O: 1
O: 2
P: a
P: b
P: c
kontrolovanú osobu podľa § 55 písm. a).
Prizvaná osoba je povinná zachovávať mlčanlivosť o skutočnostiach, o ktorých sa dozvedela počas výkonu kontroly, a to aj po jej ukončení. Od povinnosti mlčanlivosti môže prizvanú osobu zbaviť predseda úradu.
Prizvaná osoba nemôže vykonávať úlohy podľa tohto zákona, ak so zreteľom na jej vzťah k predmetu veci možno mať pochybnosti o jej nezaujatosti. Prizvaná osoba, ktorá sama vie o skutočnostiach zakladajúcich pochybnosti o jej zaujatosti, oznámi tieto skutočnosti bez zbytočného odkladu úradu.
Kontrolovaná osoba môže písomne vzniesť preukázateľné námietky o zaujatosti prizvanej osoby. Prizvaná osoba môže do rozhodnutia o námietkach zaujatosti vykonať pri kontrole len úkony, ktoré nedovoľujú odklad.
O námietkach zaujatosti a o oznámení zaujatosti rozhodne predseda úradu v lehote do troch pracovných dní od ich uplatnenia. Proti rozhodnutiu predsedu úradu nie je možné podať opravný prostriedok.
Na rozhodovanie o zaujatosti sa nevzťahuje všeobecný predpis o správnom konaní.
Výsledkom kontroly je protokol alebo záznam o kontrole.
Ak boli kontrolou zistené nedostatky, kontrolný orgán vypracuje protokol, ktorý obsahuje
identifikačné údaje úradu,
identifikačné údaje kontrolovanej osoby,
miesto, dátum a čas vykonania kontroly,
90
P: d
P: e
P: f
P: g
P: h
P: i
P: j
P: k
O: 3
O: 4
O: 5
predmet kontroly,
preukázané kontrolné zistenia,
vyjadrenia kontrolovanej osoby ku kontrolným zisteniam,
titul, meno, priezvisko a funkciu alebo pracovné zaradenie kontrolného orgánu, ktorý kontrolu vykonal,
dátum vypracovania protokolu,
odtlačok úradnej pečiatky, vlastnoručné podpisy kontrolného orgánu, zodpovedných zamestnancov kontrolovanej osoby, ktorí boli s obsahom protokolu oboznámení a prizvanej osoby, ak kontrolný orgán na vykonanie kontroly prizval fyzickú osobu podľa § 59,
dátum oboznámenia sa s protokolom; ak sa kontrolovaná osoba odmietne oboznámiť s obsahom protokolu, vyjadriť sa ku kontrolným zisteniam alebo podpísať protokol, uvedie sa táto skutočnosť v protokole a
písomné potvrdenie o prevzatí protokolu kontrolovanou osobou.
Protokol podľa odseku 2 môže obsahovať prílohy; prílohy tvoria neoddeliteľnú súčasť protokolu.
Kontrolovaná osoba je po oboznámení sa s kontrolnými zisteniami uvádzanými v protokole oprávnená podať písomné námietky v lehote siedmych dní odo dňa podpísania protokolu; deň odmietnutia podpísať protokol podľa odseku 2 písm. j) veta za bodkočiarkou sa považuje za deň podpísania protokolu. Na neskôr podané námietky úrad neprihliada.
Ak proti kontrolným zisteniam podané námietky podľa odseku 4, alebo vyšli najavo nové skutočnosti, ktoré v čase oboznamovania s protokolom neboli
91
O: 6
O: 7
O: 8
§ 61
O: 1
O: 2
§ 62
O: 1
O: 2
známe, kontrolný orgán posúdi ich obsah z hľadiska ich opodstatnenosti v lehote 15 dní odo dňa doručenia námietok a vypracuje o nich dodatok, ktorý je neoddeliteľnou súčasťou protokolu. Ak kontrolný orgán neakceptuje námietky kontrolovaného subjektu, je povinný to v dodatku zdôvodniť. Pri jeho vypracovaní sa postupuje primerane podľa odseku 2.
Kontrolný orgán písomne informuje kontrolovanú osobu o výsledku preskúmania námietok v lehote 15 dní odo dňa doručenia námietok.
Ak sa kontrolou nezistí porušenie povinností ustanovených zákonom, kontrolný orgán vypracuje záznam o kontrole. Pri jeho vypracovaní sa postupuje primerane podľa odseku 2.
Kontrola je ukončená dňom podpísania zápisnice o prerokovaní protokolu alebo dňom podpísania záznamu o kontrole podľa odseku 7. Ak kontrolovaná osoba odmietne podpísať zápisnicu o prerokovaní protokolu, kontrola sa považuje za ukončenú dňom odmietnutia jej podpísania, o čom kontrolný orgán vyhotoví v zápisnici záznam.
Protokol a informácie, ktoré obsahuje dokumentácia súvisiaca s výkonom kontroly podľa tohto zákona, sa nesprístupňujú podľa osobitného zákona.
Na výkon kontroly sa nevzťahuje osobitný zákon o kontrole v štátnej správe.
Účelom konania o ochrane osobných údajov (ďalej len „konanie“) je zistiť, či postupom prevádzkovateľa alebo sprostredkovateľa došlo k porušeniu práv fyzických osôb pri spracúvaní ich osobných údajov a v prípade zistenia nedostatkov, uložiť opatrenia na nápravu, prípadne sankciu za porušenie tohto zákona.
Konanie je neverejné; tým nie je dotknuté ustanovenie § 71.
92
§ 63
O: 1
O: 2
P: a
P: b
P: c
P: d
P: e
O: 3
P: a
P: b
P: c
P: d
Konanie sa začína na návrh dotknutej osoby alebo osoby, ktorá tvrdí, že je priamo dotknutá na svojich právach ustanovených týmto zákonom (ďalej len „navrhovateľ“) alebo bez návrhu.
Návrh na začatie konania podľa odseku 1 musí obsahovať
meno, priezvisko, adresu trvalého pobytu a podpis navrhovateľa,
označenie toho, proti komu návrh smeruje; názov alebo meno a priezvisko, sídlo alebo trvalý pobyt, prípadne právnu formu a identifikačné číslo,
predmet návrhu s označením, ktoré práva sa podľa tvrdenia navrhovateľa pri spracúvaní osobných údajov porušili,
dôkazy na podporu tvrdení uvedených v návrhu,
kópiu listiny preukazujúcej uplatnenie práva podľa § 28, ak sa takéto právo mohlo uplatniť alebo uvedenie dôvodov hodných osobitného zreteľa.
Úrad môže návrh na začatie konania podľa odseku 1 odložiť, ak
návrh je zjavne neopodstatnený,
vec, ktorej sa návrh týka, prejednáva orgán činný v trestnom konaní,
navrhovateľ neposkytol úradu na jeho žiadosť potrebnú súčinnosť, pričom bez jeho aktívnej účasti nie je možné vec vybaviť; navrhovateľ musí byť o možnosti odloženia jeho návrhu poučený,
od udalosti, ktorých sa návrh týka, uplynul v deň jeho doručenia čas dlhší ako tri roky.
93
O: 4
O: 5
O: 6
P: a
P: b
P: c
O: 7
O: 8
§ 64
O: 1
O: 2
V odôvodnených prípadoch, v ktorých by mohlo dôjsť k porušeniu práv a právom chránených záujmov dotknutej osoby, môže úrad na žiadosť navrhovateľa utajiť jeho totožnosť.
Ak návrh na začatie konania doručí úradu iná osoba ako navrhovateľ, návrh sa považuje za podnet na začatie konania bez návrhu (ďalej len „podnet“).
Úrad môže podnet podľa odseku 5 odložiť, ak
podnet je zjavne neopodstatnený,
vec, ktorej sa podnet týka, prejednáva orgán činný v trestnom konaní,
od udalosti, ktorých sa podnet týka, uplynul v deň jeho doručenia čas dlhší ako tri roky.
Ak úrad podnet neodloží podľa odseku 6, začne konanie z vlastnej iniciatívy. Úrad začne konanie z vlastnej iniciatívy aj na základe výsledkov kontroly podľa § 60 ods. 2, ktorou boli zistené nedostatky.
Fyzická osoba alebo právnická osoba, ktorá podala podnet, nie je účastníkom konania. O spôsobe vybavenia jej podnetu podľa prvej vety ju úrad bez zbytočného odkladu informuje.
Úrad rozhodne o návrhu navrhovateľa v lehote do 60 dní odo dňa začatia konania. V odôvodnených prípadoch úrad túto lehotu primerane predĺži, najviac však o šesť mesiacov. O predĺžení lehoty úrad písomne informuje účastníkov konania.
Úrad posúdi podnet fyzickej osoby alebo právnickej osoby podľa § 63 ods. 5 v lehote 15 dní odo dňa jeho doručenia. Ak úrad nepostupuje podľa § 63 ods. 6, začne konanie a vo veci rozhodne v lehote podľa odseku 1 prvej vety.
94
O: 3
§ 65
O: 1
O: 2
P: a
P: b
P:c
P: d
P: e
P: f
Ak je počas konania začatého na základe návrhu navrhovateľa alebo na základe vlastnej iniciatívy podľa § 63 ods. 7 potrebné vykonať kontrolu, lehota na vybavenie návrhu podľa odseku 1 neplynie odo dňa začatia kontroly do dňa skončenia kontroly. Výsledok kontroly je podkladom pre rozhodnutie vo veci.
Ak úrad zistí porušenie práv navrhovateľa alebo inej fyzickej osoby, ak úrad začal konanie bez návrhu, alebo nesplnenie povinností pri spracúvaní osobných údajov ustanovených zákonom, uloží rozhodnutím prevádzkovateľovi alebo sprostredkovateľovi, aby v určenej lehote vykonal opatrenia na odstránenie zistených nedostatkov a príčin ich vzniku; inak konanie o ochrane osobných údajov zastaví.
Okrem opatrení podľa odseku 1, úrad je oprávnený ďalej uložiť opatrenia prevádzkovateľovi alebo sprostredkovateľovi, ktorými
zakáže spracúvanie tých osobných údajov, ktorých spracúvanie je v rozpore s ustanoveniami tohto zákona,
zakáže spracúvanie, ktoré je v rozpore s ustanoveniami tohto zákona,
nariadi odstránenie alebo likvidáciu osobných údajov v určenej lehote, ak alebo boli neoprávnene spracúvané,
uloží povinnosť prijať technické, organizačné a personálne opatrenia zodpovedajúce spôsobu spracúvania,
uloží povinnosť zabezpečiť vypracovanie alebo doplnenie dokumentácie alebo bezpečnostného projektu v súlade s týmto zákonom,
uloží prevádzkovateľovi povinnosť ukončiť písomnú zmluvu so sprostredkovateľom v určenej lehote.
95
O: 3
O: 4
§ 66
O: 1
O: 2
O: 3
O: 4
§ 69
O: 1
P: a
P: b
P: c
Ak porušenie práv dotknutej osoby alebo nesplnenie povinností pri spracúvaní osobných údajov neznesie odklad, úrad vydá predbežné opatrenie.
Prevádzkovateľ alebo sprostredkovateľ je povinný informovať úrad o splnení uložených opatrení v úradom určenej lehote.
Proti rozhodnutiu úradu podľa § 65 ods. 1 a 2 možno podať písomne rozklad do 15 dní odo dňa doručenia rozhodnutia.
O rozklade podanom podľa odseku 1 rozhodne predseda úradu do 60 dní odo dňa jeho doručenia.
Proti rozhodnutiu úradu podľa § 65 ods. 3 možno podať písomne rozklad v lehote 15 dní odo dňa doručenia predbežného opatrenia.
O rozklade podanom podľa odseku 3 rozhodne predseda úradu do 30 dní odo dňa jeho doručenia.
Úrad môže uložiť prevádzkovateľovi alebo sprostredkovateľovi poriadkovú pokutu
do 1 500 eur, ak nezabezpečí primerané podmienky na výkon kontroly podľa § 57 písm. a),
do 15 000 eur ak marí výkon kontroly požadovaný podľa § 57 písm. b),
do 30 000 eur, ak oznam určený na zverejnenie podľa § 71 v hromadných informačných prostriedkoch nezverejnil vôbec, alebo nezverejnil včas, alebo nezverejnil v určenej forme alebo v určenom hromadnom informačnom prostriedku, alebo nedodržal určený obsah tohto oznamu, a to opakovane až do splnenia povinnosti,
96
P: d
§ 73
§ 74
O:1
O: 2
do 60 000 eur, ak nevykonal opatrenia uložené v rozhodnutí podľa § 65 ods. 1, 2 alebo úrad v určenej lehote včas neinformoval podľa § 65 ods. 4.
Každý je povinný umožniť úradu vykonať dozor nad dodržiavaním povinností podľa tohto zákona a rozhodnutí vydaných na jeho základe. Týmto nie je dotknuté ustanovenie § 46 ods. 5.
Každý je povinný poskytnúť úradu potrebnú súčinnosť pri plnení jeho úloh podľa tohto zákona.
Prevádzkovateľ a sprostredkovateľ povinní strpieť všetky úkony úradu smerujúce k zisteniu všetkých okolností potrebných na objektívne posúdenie veci.
O:4
Každý dozorný orgán prejedná sťažnosť podanú ktoroukoľvek osobou alebo združením zastupujúcim túto osobu, ktorá sa týka ochrany práv alebo slobôd tejto osoby pri spracovaní osobných údajov. Dotknutá osoba má byť o výsledku podania informovaná.
Každý dozorný orgán najmä prejedná žiadosti o preskúmanie zákonnosti spracovania údajov, podané kýmkoľvek, ak sa na tento prípad vzťahujú vnútroštátne predpisy prijaté v nadväznosti na túto smernicu. Dotknutá osoba bude v každom prípade informovaná o uskutočnení tejto previerky.
N
§ 62
O: 1
O: 2
§ 63
O: 1
O: 2
P: a
Účelom konania o ochrane osobných údajov (ďalej len „konanie“) je zistiť, či postupom prevádzkovateľa alebo sprostredkovateľa došlo k porušeniu práv fyzických osôb pri spracúvaní ich osobných údajov a v prípade zistenia nedostatkov, uložiť opatrenia na nápravu, prípadne sankciu za porušenie tohto zákona.
Konanie je neverejné; tým nie je dotknuté ustanovenie § 71.
Konanie sa začína na návrh dotknutej osoby alebo osoby, ktorá tvrdí, že je priamo dotknutá na svojich právach ustanovených týmto zákonom (ďalej len „navrhovateľ“) alebo bez návrhu.
Návrh na začatie konania podľa odseku 1 musí obsahovať
meno, priezvisko, adresu trvalého pobytu a podpis navrhovateľa,
97
P: b
P: c
P: d
P: e
O: 3
P: a
P: b
P: c
P: d
O: 4
O: 5
O: 6
P: a
označenie toho, proti komu návrh smeruje; názov alebo meno a priezvisko, sídlo alebo trvalý pobyt, prípadne právnu formu a identifikačné číslo,
predmet návrhu s označením, ktoré práva sa podľa tvrdenia navrhovateľa pri spracúvaní osobných údajov porušili,
dôkazy na podporu tvrdení uvedených v návrhu,
kópiu listiny preukazujúcej uplatnenie práva podľa § 28, ak sa takéto právo mohlo uplatniť alebo uvedenie dôvodov hodných osobitného zreteľa.
Úrad môže návrh na začatie konania podľa odseku 1 odložiť, ak
návrh je zjavne neopodstatnený,
vec, ktorej sa návrh týka, prejednáva orgán činný v trestnom konaní,
navrhovateľ neposkytol úradu na jeho žiadosť potrebnú súčinnosť, pričom bez jeho aktívnej účasti nie je možné vec vybaviť; navrhovateľ musí byť o možnosti odloženia jeho návrhu poučený,
od udalosti, ktorých sa návrh týka, uplynul v deň jeho doručenia čas dlhší ako tri roky.
V odôvodnených prípadoch, v ktorých by mohlo dôjsť k porušeniu práv a právom chránených záujmov dotknutej osoby, môže úrad na žiadosť navrhovateľa utajiť jeho totožnosť.
Ak návrh na začatie konania doručí úradu iná osoba ako navrhovateľ, návrh sa považuje za podnet na začatie konania bez návrhu (ďalej len „podnet“).
Úrad môže podnet podľa odseku 5 odložiť, ak
podnet je zjavne neopodstatnený,
98
P: b
P: c
O: 7
O: 8
§ 64
O: 1
O: 2
O: 3
vec, ktorej sa podnet týka, prejednáva orgán činný v trestnom konaní,
od udalosti, ktorých sa podnet týka, uplynul v deň jeho doručenia čas dlhší ako tri roky.
Ak úrad podnet neodloží podľa odseku 6, začne konanie z vlastnej iniciatívy. Úrad začne konanie z vlastnej iniciatívy aj na základe výsledkov kontroly podľa § 60 ods. 2, ktorou boli zistené nedostatky.
Fyzická osoba alebo právnická osoba, ktorá podala podnet, nie je účastníkom konania. O spôsobe vybavenia jej podnetu podľa prvej vety ju úrad bez zbytočného odkladu informuje.
Úrad rozhodne o návrhu navrhovateľa v lehote do 60 dní odo dňa začatia konania. V odôvodnených prípadoch úrad túto lehotu primerane predĺži, najviac však o šesť mesiacov. O predĺžení lehoty úrad písomne informuje účastníkov konania.
Úrad posúdi podnet fyzickej osoby alebo právnickej osoby podľa § 63 ods. 5 v lehote 15 dní odo dňa jeho doručenia. Ak úrad nepostupuje podľa § 63 ods. 6, začne konanie a vo veci rozhodne v lehote podľa odseku 1 prvej vety.
Ak je počas konania začatého na základe návrhu navrhovateľa alebo na základe vlastnej iniciatívy podľa § 63 ods. 7 potrebné vykonať kontrolu, lehota na vybavenie návrhu podľa odseku 1 neplynie odo dňa začatia kontroly do dňa skončenia kontroly. Výsledok kontroly je podkladom pre rozhodnutie vo veci.
O:5
Každý dozorný orgán v pravidelných intervaloch pripravuje správu o svojej činnosti. Táto správa sa zverejňuje.
N
§ 46
O:1
Úrad pri výkone dozoru nad ochranou osobných údajov plní tieto úlohy
U
99
P: t
predkladá Národnej rade Slovenskej republiky správu o stave ochrany osobných údajov najmenej raz za dva roky; správu o stave ochrany osobných údajov zverejňuje úrad na svojom webovom sídle.
O:6
Každý dozorný orgán je príslušný, bez ohľadu na to, aké vnútroštátne predpisy sa vzťahujú na dané spracovanie, uplatňovať na území vlastného členského štátu právomoci mu prepožičané na základe odstavca 3. Každý orgán môže byť požiadaný orgánom iného členského štátu, aby uplatnil svoje právomoci.
Dozorné orgány budú navzájom spolupracovať v miere potrebnej na plnenie ich povinností, najmä prostredníctvom výmeny užitočných informácií.
N
§ 46
O: 2
P: c
Okrem plnenia úloh podľa odseku 1 úrad ďalej
spolupracuje pri výkone dozoru nad ochranou osobných údajov s obdobnými orgánmi dozoru v zahraničí.
U
O:7
Členské štáty ustanovia, že členovia a pracovníci dozorného orgánu budú aj po skončení pracovného pomeru podliehať povinnej mlčanlivosti o dôverných informáciách, ku ktorým majú prístup.
N
§ 47
O: 4
§ 51
Predseda úradu je povinný zachovávať mlčanlivosť o skutočnostiach, o ktorých sa dozvedel počas výkonu svojej funkcie, a to aj po skončení výkonu svojej funkcie. Od povinnosti mlčanlivosti môže predsedu úradu v konkrétnom prípade oslobodiť Národná rada Slovenskej republiky.
Podpredseda úradu, vrchný inšpektor, inšpektor úradu a zamestnanec úradu povinní zachovávať mlčanlivosť o skutočnostiach, o ktorých sa dozvedeli počas plnenia úloh podľa tohto zákona, a to aj po skončení výkonu svojej funkcie, štátnozamestnaneckého pomeru alebo pracovného pomeru. Od povinnosti mlčanlivosti môže podpredsedu úradu, vrchného inšpektora, inšpektora a zamestnanca úradu v konkrétnom prípade zbaviť predseda úradu.
U
Č:29
O:1
Pracovná skupina pre ochranu jednotlivcov pri spracovaní osobných údajov
Týmto sa zriaďuje pracovná skupina pre ochranu jednotlivcov pri spracovaní osobných údajov, ďalej len "pracovná skupina".
Bude mať poradný status a bude konať nezávisle.
n.a.
-
Pracovná skupina
O:2
Pracovná skupina sa skladá zo zástupcu dozorného orgánu či orgánov menovaného jednotlivými
n.a.
-
Pracovná skupina
100
členskými štátmi alebo zo zástupcu orgánu či orgánov zriadených v rámci štruktúr Spoločenstva a zo zástupcu Komisie.
Jednotliví členovia pracovnej skupiny budú určení inštitúciou, orgánom alebo orgánmi, ktoré zastupujú. V prípade že členský štát určil viac ako jeden dozorný orgán, navrhne spoločného zástupcu. To isté platí pre inštitúty zriadené inštitúciami a orgánmi Spoločenstva.
O:3
Pracovná skupina hlasuje prostou väčšinou zástupcov dozorných orgánov.
n.a.
-
Pracovná skupina
O:4
Pracovná skupina volí svojho predsedu. Funkčné obdobie predsedu dva roky. Jeho menovanie je obnoviteľné.
n.a.
-
Pracovná skupina
O:5
Komisia vytvorí sekretariát pracovnej skupiny.
n.a.
-
Pracovná skupina
O:6
Pracovná skupina prijme svoje vlastný rokovací poriadok.
n.a.
-
Pracovná skupina
O:7
Pracovná skupina jedná o bodoch, ktoré do jej programu zaradí predseda, či na vlastný podnet alebo na žiadosť zástupcu dozorného orgánu alebo na žiadosť Komisie.
n.a.
-
Pracovná skupina
Č:30
O:1
P:a
Pracovná skupina:
posudzuje všetky otázky týkajúce sa uplatňovania národných opatrení prijatých podľa tejto smernice, čím prispieva k jednotnému uplatňovaných týchto opatrení
n.a.
-
Pracovná skupina
P:b
vyjadruje sa k úrovni ochrany v Spoločenstve a tretích krajinách,
n.a.
-
Pracovná skupina
P:c
informuje Komisiu o všetkých navrhovaných novelách tejto smernice, doplňujúcich alebo podrobných opatreniach na zaručenie práv a slobôd fyzických osôb pri spracovaní osobných údajov a o všetkých ďalších navrhovaných opatreniach Spoločenstva, ktoré majú vplyv na tieto práva a slobody,
n.a.
-
Pracovná skupina
P:d
vyjadruje sa k vykonávacím predpisom pripraveným
n.a.
-
Pracovná skupina
101
na úrovni Spoločenstva
O:2
Ak pracovná skupina zistí, že medzi zákonmi alebo praxou členských štátov vznikli odchýlky, ktoré by mohli nepriaznivo ovplyvniť ekvivalenciu ochrany osôb pri spracovaní osobných údajov, informuje o tom Komisiu.
n.a.
-
Pracovná skupina
O:3
Pracovná skupina môže na vlastný podnet pripravovať odporúčania vo všetkých záležitostiach týkajúcich sa ochrany osôb pri spracovaní osobných údajov v Spoločenstve.
n.a.
-
Pracovná skupina
O:4
Stanoviská a doporučenia pracovnej skupiny sú ďalej podstupované Komisii a výboru uvedenému v článku 31
n.a.
-
Pracovná skupina
O:5
Komisia informuje pracovnú skupinu o opatreniach, ktoré prijala na základe týchto stanovísk alebo odporúčaní. Spraví tak v správe, ktorá bude tiež predložená Európskemu parlamentu a Rade. Táto správa sa zverejňuje.
n.a.
-
Pracovná skupina
O:6
Pracovná skupina vypracováva výročnú správu o stave ochrany fyzických osôb pri spracovaní osobných údajov v Spoločenstve a v tretích krajinách, ktorú podáva na Komisiu, Európsky parlament a Radu. Táto správa sa zverejňuje.
n.a.
-
Pracovná skupina
Č.31
O:1
Výbor
Komisii pomáha výbor.
n.a.
-
Výbor
O:2
V prípade odkazu na tento článok sa uplatňujú články 4 a 7 rozhodnutia 1999/468/ES so zreteľom na ustanovenia jeho článku 8.
Obdobie ustanovené v článku 4 ods. 3 rozhodnutia 1999/468/ES je tri mesiace
n.a.
-
Výbor
O:3
Výbor schvaľuje svoj rokovací poriadok
n.a.
Č:32
O:1
Členské štáty zabezpečia účinnosť zákonov, predpisov a administratívnych opatrení potrebných na to, aby sa vyhovelo tejto smernici najneskôr na konci trojročného obdobia odo dňa jej prijatia.
Keď ich budú členské štáty prijímať, mali by tieto opatrenia obsahovať odvolávku na túto smernicu
N
§ 75
O:1
O:2
Úrad na ochranu osobných údajov Slovenskej republiky zriadený podľa doterajšieho zákona je Úradom na ochranu osobných údajov Slovenskej republiky podľa tohto zákona.
Predseda úradu zvolený do funkcie podľa doterajšieho
U
102
alebo by na ňu malo byť odkázané pri príležitosti ich oficiálneho zverejnenia. Metódu vykonania tejto odvolávky určia členské štáty.
O:3
O:4
O:5
§ 78
zákona je predsedom úradu podľa tohto zákona; týmto nie je dotknuté plynutie jeho funkčného obdobia.
Podpredseda úradu vymenovaný do funkcie podľa doterajších predpisov je podpredsedom úradu podľa tohto zákona; týmto nie je dotknuté plynutie jeho funkčného obdobia.
Vrchný inšpektor úradu vymenovaný do funkcie podľa doterajších predpisov je vrchným inšpektorom úradu podľa tohto zákona; týmto nie je dotknuté plynutie jeho funkčného obdobia.
Inšpektor úradu vymenovaný do funkcie podľa doterajších predpisov je inšpektorom úradu podľa tohto zákona.
Týmto zákonom sa preberajú právne záväzné akty Európskej únie uvedené v prílohe.
O:2
Členské štáty zabezpečia, aby spracovania, ktoré prebiehali v deň účinnosti vnútroštátnych predpisov, ktoré boli prijaté na základe tejto smernice, boli behom troch rokov od tohto dátumu prispôsobené týmto predpisom.
Na základe zrušenia predchádzajúceho odseku môžu členské štáty ustanoviť, že spracovanie údajov, ktoré sa nachádzali v ručných informačných systémoch v deň účinnosti vnútroštátnych predpisov prijatých na vykonanie tejto smernice sa zosúladí s článkami 6,7 a 8 tejto smernice behom 12 rokov odo dňa ich prijatia. Členské štáty však udelia dotknutej osobe právo dosiahnuť - na jej žiadosť a najmä pri uplatnení práva na prístup - opravu, výmaz alebo rozloženie údajov, ktoré neúplné, nepresné a uchovávané spôsobom nezlučiteľným s oprávnenými cieľmi prevádzkovateľa.
N
§ 76
O:1
O:2
O:3
O:4
O:5
Prevádzkovateľ uvedie do súladu s týmto zákonom do šiestich mesiacov odo dňa jeho účinnosti všetky informačné systémy, v ktorých spracúva osobné údaje.
Prevádzkovateľ je povinný zmluvný vzťah so sprostredkovateľom dať do súladu s týmto zákonom do jedného roka odo dňa účinnosti tohto zákona.
Prevádzkovateľ a sprostredkovateľ povinní vykonať poučenie oprávnených osôb v súlade s týmto zákonom do šiestich mesiacov odo dňa účinnosti tohto zákona.
Poverenia a oznámenia o poverení zodpovednej osoby podľa doterajšieho zákona sa účinnosťou tohto zákona zrušujú. Prevádzkovateľ a sprostredkovateľ povinní písomne poveriť zodpovednú osobu a jej poverenie oznámiť úradu v súlade s týmto zákonom do jedného roka odo dňa účinnosti tohto zákona.
Registrácie udelené podľa doterajšieho zákona sa účinnosťou tohto zákona zrušujú. Prevádzkovateľ je
U
103
O:6
O:7
O:8
povinný nanovo prihlásiť svoj informačný systém na registráciu v súlade s týmto zákonom do šiestich mesiacov odo dňa účinnosti tohto zákona, ak to zákon vyžaduje.
Osobitné registrácie udelené podľa doterajšieho zákona sa účinnosťou tohto zákona zrušujú. Prevádzkovateľ je povinný nanovo prihlásiť svoj informačný systém na osobitný registráciu v súlade s týmto zákonom do šiestich mesiacov odo dňa účinnosti tohto zákona, ak to zákon vyžaduje.
Bezpečnostné opatrenia, bezpečnostná smernica a bezpečnostný projekt vypracované podľa doterajšieho zákona sa účinnosťou tohto zákona považujú za bezpečnostné opatrenia vypracované podľa tohto zákona. Prevádzkovateľ a sprostredkovateľ povinní zosúladiť prijaté bezpečnostné opatrenia s týmto zákonom do deviatich mesiacov odo dňa účinnosti tohto zákona.
Súhlas so spracúvaním osobných údajov udelený podľa doterajšieho zákona sa účinnosťou tohto zákona považuje za súhlas so spracúvaním osobných údajov udelený podľa tohto zákona.
O:3
Na základe zrušenia odstavca 2 môžu členské štáty za predpokladu primeraných záruk ustanoviť, že údaje uchovávané výlučne za účelom historického výskumu je treba zosúladiť s článkom 6, 7 a 8 tejto smernice.
D
nederoguje sa
O:4
Členské štáty oznámia Komisii znenie ustanovení domáceho zákona, ktorý prijmú v oblasti pôsobnosti tejto smernice.
n.a.
Zákon č./2013 Z. z.
Č:33
Komisia v pravidelných intervaloch, počnúc najneskôr tri roky odo dňa uvedeného v článku 32 (1), podáva Rade a Európskemu parlamentu správu o realizácii tejto smernice, pričom v prípade potreby svoju správu doplňuje o vhodné návrhy na zmeny. Správa sa zverejňuje.
Komisia osobitne preskúma uplatňovanie tejto
n.a.
104
smernice pri spracovaní zvukových a obrazových údajov o fyzických osobách a podá primerané návrhy, ktoré sa ukážu byť nevyhnutné, pričom berie do úvahy vývoj informačných technológií a stav vývoja informačnej spoločnosti.
Č:34
Táto Smernica je určená členským štátom.
V Luxemburgu, 24. októbra 1995.
n.a.