1

DÔVODOVÁ SPRÁVA

A. VŠEOBECNÁ ČASŤ

Účelom návrhu zákona o ochrane osobných údajov a o zmene a doplnení niektorých zákonov (ďalej len „návrh zákona“) je dosiahnuť súlad vnútroštátneho právneho poriadku pre oblasť ochrany osobných údajov s Nariadením Európskeho parlamentu a rady (EÚ) č. 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (Ú. v. EÚ L 119,4.5.2016) (ďalej len „nariadenie“), ktoré vstúpilo do platnosti dňa 24. mája 2016 s dvojročným prechodným obdobím na zosúladenie sa s vnútroštátnymi právnymi poriadkami členských štátov, teda aj právnym poriadkom Slovenskej republiky. Nariadenie sa začne uplatňovať od 25. mája 2018. Nariadenie ruší smernicu Európskeho parlamentu a Rady 95/46/ES o ochrane jednotlivcov pri spracovaní osobných údajov a voľnom pohybe týchto údajov (Ú. v. ES L 281, 23.11.1995) v znení (Ú. v. ES L 284, 31.10.2003) (ďalej len „smernica 95/46“).

Návrhom zákona sa zároveň transponuje Smernica Európskeho parlamentu a rady (EÚ) č. 2016/680 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií a o voľnom pohybe takýchto údajov a o zrušení rámcového rozhodnutia Rady 2008/977/SVV (Ú. v. EÚ L 119, 4.5.2016) (ďalej len „smernica“) do právneho poriadku Slovenskej republiky.

Nariadenie a smernica vytvárajú nový modernizovaný právny rámec ochrany osobných údajov, ktorý má za cieľ zabezpečiť rešpektovanie základných práv a slobôd, predovšetkým práva na ochranu osobných údajov v prostredí nových a stále častejšie používaných informačných a komunikačných technológií a zároveň podporiť posilňovanie a zbližovanie ekonomík členských štátov Európskej únie v rámci vnútorného trhu Európskej únie. Nový právny rámec ochrany osobných údajov zohľadňuje zmeny v oblasti spracúvania osobných údajov za obdobie viac ako dvadsiatich rokov od prijatia smernice 95/46.

V súčasnosti sa osobné údaje v omnoho väčšej miere spracúvajú tak v rámci verejného, ako aj súkromného sektora a vykonáva sa ich „prenos“ prostredníctvom informačno - komunikačných technológií, tak v rámci krajín Európskej únie, ako aj do tretích krajín, či už zaručujúcich alebo nezaručujúcich primeranú ochranu osobných údajov na základe rozhodnutí Európskej Komisie o primeranosti a tiež medzinárodným organizáciám. Nemožno opomenúť ani rozšírenie globálneho podnikania, výskyt materských spoločností a ich dcérskych spoločností so sídlom a prevádzkarňami v rôznych krajinách sveta a s tým spojeného globálneho spracúvania a prenosov osobných údajov.

Zmeny nastali aj v oblasti uchovávania osobných údajov; osobné údaje sú uchovávané postupne stále viac v elektronickej podobe prostredníctvom tzv. „cloudových služieb“. Úložiská osobných údajov, tzv. „cloudy“, sa často nachádzajú mimo územia Európskej únie alebo Európy. Návrh zákona prináša komplexnú, prepracovanú a precizovanú úpravu práv dotknutých osôb.

Spracúvanie osobných údajov je potrebné a nevyhnutné aj na účely zabezpečenia činnosti orgánov verejnej moci spojených s plnením ich funkcií podľa zákona. Je potrebné zabezpečiť ochranu osobných údajov v súlade s medzinárodnými záväzkami Slovenskej republiky a ústavnými garanciami. Z tohto dôvodu predkladaný návrh zákona je implementačným aktom pre nariadenie a zároveň sa ním transponuje do právneho poriadku smernica. Návrh zákona predstavuje komplexný právny rámec ochrany osobných údajov pre spracovateľské operácie s osobnými údajmi, ktoré sa vykonávajú v rámci činností, ktoré nespadajú do pôsobnosti práva Európskej únie, a ktorý je zosúladený a do najvyššej možnej miery konzistentný s právnou úpravou ochrany osobných údajov v nariadení. Týmto postupom sa predchádza vytvoreniu právneho vákua v oblasti ochrany osobných údajov, keďže návrhom zákona

2

bude zrušený zákon č. 122/2013 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov v znení zákona č. 84/2014 Z. z. a dve vyhlášky úradu k nemu prislúchajúce.

Ochrana osobných údajov sa dotýka celého právneho poriadku Slovenskej republiky, návrh zákona zabezpečuje prostredníctvom priamych noviel súlad identifikovaných osobitných právnych predpisov upravujúcich spracúvanie osobných údajov s návrhom zákona, nariadením, ako aj smernicou. Takto bude zaistený plynulý výkon činností a úloh dotknutých subjektov, vrátane požiadaviek vyplývajúcich zo smernice pre tzv. „príslušné orgány“.

Na úrovni európskeho práva a medzinárodnej spolupráce si prijatím novej právnej úpravy Slovenská republika splní svoje záväzky vyplývajúce jej z členstva v Európskej únii. Nezosúladenie vnútroštátneho právneho poriadku s nariadením a netransponovanie smernice by mohlo byť Európskou komisiou považované za nesplnenie povinností vyplývajúcich Slovenskej republike z primárneho práva Európskej únie (Zmluva o Európskej únii a Zmluva o fungovaní Európskej únie), následne by Európska komisia na základe článku 258 Zmluvy o fungovaní Európskej únie mohla predložiť túto záležitosť Súdnemu dvoru Európskej únie.

Súčasný legislatívny rámec úpravy všeobecnej ochrany osobných údajov tvoria najmä tieto právne predpisy: ústavný zákon č. 460/1992 Zb. Ústava Slovenskej republiky v znení neskorších predpisov, zákon č. 122/2013 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov v znení zákona č. 84/2014 Z. z. (ďalej len „zákon č. 122/2013 Z. z.“), vyhláška č. 164/2013 Z. z. Vyhláška Úradu na ochranu osobných údajov Slovenskej republiky o rozsahu a dokumentácii bezpečnostných opatrení v znení vyhlášky úradu č. 117/2014 Z. z., vyhláška č. 165/2013 Z. z. Vyhláška Úradu na ochranu osobných údajov Slovenskej republiky, ktorou sa ustanovujú podrobnosti o skúške fyzickej osoby na výkon funkcie zodpovednej osoby, zákon č. 40/1964 Zb. Občiansky zákonník v znení neskorších predpisov.

Cieľom novej právnej úpravy je zabezpečiť jednotnú právnu reguláciu ochrany osobných údajov v právnom poriadky Slovenskej republiky a zaistiť tak výkon práv dotknutých osôb a kontrolu nad spracúvaním ich osobných údajov a tak podporiť dôveru dotknutých osôb v právny rámec zabezpečujúci ich základné ľudské práva, najmä právo na súkromie a tiež upraviť práva a povinnosti prevádzkovateľov a sprostredkovateľov s dôrazom na materiálne plnenie stanovených povinností a zaistenie reálnej bezpečnosti spracúvania osobných údajov. Návrh zákona upravuje úlohy a právomoci úradu, ako dozorného orgánu nad ochranou osobných údajov vrátane ich rozšírenia pre oblasť vzájomnej spolupráce medzi dozornými orgánmi v jednotlivých členských štátoch Európskej únie. Návrhom zákona dochádza k potrebnej aktualizácii terminológie v rámci právneho poriadku Slovenskej republiky spojenej so spracúvaním osobných údajov a nových spôsobov spracúvania.

Nová právna úprava preto v prvej a druhej časti navrhovanej právnej úpravy stanuje pravidlá spracúvania osobných údajov pre prevádzkovateľov a sprostredkovateľov, na ktoré sa nevzťahujú pravidlá ochrany fyzických osôb pri pracúvaní osobných údajov a pravidlá týkajúce sa voľného pohybu osobných údajov podľa nariadenia.

Tretia časť navrhovanej právnej úpravy stanuje pravidlá spracúvania osobných údajov pre prevádzkovateľov, ktorými sú príslušné orgány pri spracúvaní osobných údajov na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií na základe transpozície smernice.

Štvrtá časť navrhovanej právnej úpravy vo svojich ustanoveniach je tzv. implementačnou/vykonávacou časťou zákona, ktorá dopĺňa osobitné pravidlá spracúvania osobných údajov stanovené nariadením. Návrh zákona vo vzťahu k spracúvaniu v rámci tejto časti upravuje spracovateľské operácie, ktoré nariadenie výslovne ukladá alebo umožňuje jednotlivým členským štátom upraviť osobitnou vnútroštátnou úpravu; ide o úpravu členského štátu využijúc tzv. splnomocňujúce ustanovenia nariadenia. Konkrétne ide o osobitné úpravy spracúvania osobných údajov upravujúce pravidlá spracúvania osobných údajov na akademické, umelecké, literárne účely; pravidlá spracúvania osobných údajov v súvislosti so zamestnaním; spracúvanie národného identifikačného čísla a prenos osobitnej

3

kategórie osobných údajov do tretích krajín, ktoré nezaručujú primeranú úroveň ochrany osobných údajov, spracúvanie genetických údajov, biometrických údajov a údajov týkajúcich sa zdravia; ako aj úprava spracúvania osobných údajov na vedecké účely, účely historického výskumu alebo štatistické účely. Zároveň nariadenie určuje členským štátom prijať pravidlá týkajúce sa postavenia a organizácie dozorného orgánu v rámci vnútroštátneho právneho poriadku členského štátu, ako aj procesné pravidlá pre výkon kontroly a konania o ochrane osobných údajov dozorným orgánom.

Piata časť návrhu zákona je venovaná úradu, jeho pôsobnosti, právomociam a jeho personálnemu aparátu. Je venovaná tiež kódexom správania, certifikátom, procesu akreditácie, monitorujúcemu a certifikačnému subjektu. Tretia hlava piatej časti je venovaná kontrole, štvrtá hlava konaniu o ochrane osobných údajov. Piata hlava je venovaná pokutám, správnym deliktom a poriadkovým pokutám, teda sankciám.

Šiesta časť upravuje spoločné, prechodné a záverečné ustanovenia.

Nasledujú novelizačné články priamych noviel, od čl. II po čl. XIII, článok XIV ustanovuje predpokladanú účinnosť návrhu zákona.

Návrh zákona zachováva zásady spracúvania osobných údajov doteraz uplatňované v zákone č. 122/2013 Z. z.

Vo vzťahu k právnym základom spracúvania stanovuje návrh zákona tieto prípady zákonného spracúvania

1.spracúvanie na základe súhlasu dotknutej osoby

2.spracúvanie bez súhlasu dotknutej osoby na účely nevyhnutné na plnenie zmluvy, ak zmluvnou stranou je dotknutá osoba, alebo aby sa na základe žiadosti dotknutej osoby vykonali opatrenia pred uzavretím zmluvy,

3.spracúvanie nevyhnutné na splnenie zákonnej povinnosti prevádzkovateľa;

4.spracúvanie nevyhnutné, na ochranu životne dôležitých záujmov dotknutej osoby alebo inej fyzickej osoby;

5.spracúvanie nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi;

6.spracúvanie nevyhnutné na účely oprávnených záujmov, ktoré sleduje prevádzkovateľ alebo tretia strana, s výnimkou prípadov, keď nad takýmito záujmami prevažujú záujmy alebo základné práva a slobody dotknutej osoby, ktoré si vyžadujú ochranu osobných údajov, najmä ak je dotknutou osobu dieťa, pričom tento právny základ sa nevzťahuje na spracúvanie vykonávané orgánmi verejnej moci pri výkone ich úloh;

7.spracúvanie nevyhnutné na účely akademické, umelecké, literárne alebo na účely informovania v masovokomunikačných prostriedkoch;

8.prevádzkovateľ, ktorý je zamestnávateľom dotknutej osoby, je oprávnený sprístupniť, poskytovať alebo zverejniť jej osobné údaje v rozsahu titul, meno, priezvisko, pracovné, služobné alebo funkčné zaradenie, odborný útvar, miesto výkonu práce, telefónne číslo, faxové číslo alebo elektronická pošta na pracovisko a identifikačné údaje zamestnávateľa, ak je to potrebné v súvislosti s plnením pracovných, služobných alebo funkčných povinností dotknutej osoby. Sprístupnenie, poskytovanie alebo zverejnenie osobných údajov nemôže narušiť vážnosť, dôstojnosť a bezpečnosť dotknutej osoby.

9.prevádzkovateľ môže spracúvať genetické údaje, biometrické údaje a údaje týkajúce sa zdravia aj na právnom základe uvedenom v osobitnom predpise alebo medzinárodnej zmluve, ktorou je Slovenská republika viazaná;

10.právne základy uvedené v súvislosti so spracúvaním osobitnej kategórie osobných údajov (rasový a etnický pôvod, politické názory, náboženské a filozofické presvedčenie alebo členstvo v odborových organizáciách, genetické údaje, biometrické údaje na individuálnu identifikáciu fyzickej osoby, údaje týkajúce sa zdravia, údaje týkajúce sa sexuálneho života alebo sexuálnej orientácie fyzickej osoby).

4

Nová právna úprava výslovne stanovuje, že súhlas dotknutej osoby musí byť jasne oddeliteľný od iných podmienok a dojednaní a tiež, že súhlas dotknutej osoby je možné kedykoľvek odvolať bez uvedenia dôvodu. Zároveň sa stanuje veková hranica pre zákonné spracúvanie osobných údajov detí v súvislosti s ponukou služieb informačnej spoločnosti.

Novým legislatívnym rámcom sa posilňujú práva dotknutých osôb. Vyžaduje sa informačná povinnosť smerom k dotknutej osobe v širšom rozsahu, ktorá umožňuje jednoduchší výkon práv dotknutých osôb. Dotknutým osobám sa explicitne garantujú práva doteraz vyplývajúce iba z judikatúry alebo aplikačnej praxe dozorných orgánov (právo na prístup k údajom vrátane kópií spracúvaných osobných údajov, právo na zabudnutie, právo na obmedzenie spracúvania) a tiež sa upravujú a stanovujú nové práva (právo na prenosnosť údajov).

Návrhom zákona sa zrušujú administratívne povinnosti prevádzkovateľov spojené so spracúvaním osobných údajov plnené ex ante, pred začatím spracúvania, a to oznamovacia povinnosť, povinnosť osobitnej registrácie a evidenčná povinnosť. Nahrádzajú sa novými inštitútmi, ktoré zdôrazňujú materiálne, nie formálne zabezpečenie súladu spracúvania osobných údajov s právnymi predpismi a spočívajú v prijatí resp. realizácii opatrení na zaistenie bezpečnosti osobných údajov primeraných rizikám, ktoré sú s konkrétnymi spracovateľskými operáciami spojené (záznamy o spracovateľských činnostiach, posúdenie vplyvu na ochranu údajov). Vo vzťahu k úradu a dotknutým osobám sa stanovuje nová povinnosť, oznamovať zistené a preukázané porušenie ochrany osobných údajov zo strany prevádzkovateľov. Návrhom zákona sa tiež zrušuje povinnosť úspešného absolvovania skúšky pred úradom na výkon funkcie zodpovednej osoby, i keď podmienka odborných kvalít a spôsobilosti osoby na výkon funkcie zodpovednej osoby ostáva zachovaná. Stanovujú sa prípady, kedy je určenie zodpovednej osoby obligatórne.

Návrh zákona reflektuje tiež existenciu nových nástrojov zaistenia bezpečnosti osobných údajov v zariadeniach, v ktorých sú dnes už bežne spracúvané osobné údaje (napríklad mobilné telefóny, tablety, počítačové programy, mobilné aplikácie), ide o tzv. špecificky navrhnutú a štandardnú ochranu údajov, primerané politiky ochrany osobných údajov, certifikáciu a prijatie a dodržiavanie schválených kódexov správania. Návrh zákona splnomocňuje úrad na vydanie vykonávacích podzákonných predpisov, ktorými sa ustanovia podrobnosti týkajúce sa výkonu niektorých činností úradu alebo stanovia spresňujúce informácie; vykonávacími predpismi sa nebudú ukladať nové práva, povinnosti a právomoci nad rámec navrhovaného zákona.

Návrh zákona má pozitívny a súčasne negatívny vplyv na rozpočet verejnej správy, má pozitívny a aj negatívny vplyv na podnikateľské prostredie, pozitívne sociálne vplyvy a má pozitívny vplyv na informatizáciu spoločnosti. Je bez vplyvu na životné prostredie. Podrobnosti o dopadoch návrhu zákona je možné vidieť v priložených analýzach vplyvov a celkové zhodnotenie v Doložke vybraných vplyvov k návrhu zákona.

Návrh zákona nie je predmetom vnútrokomunitárneho pripomienkového konania.

Návrh zákona je v súlade s Ústavou Slovenskej republiky, ústavnými zákonmi, nálezmi Ústavného súdu Slovenskej republiky, medzinárodnými zmluvami, ktorými je Slovenská republika viazaná, zákonmi Slovenskej republiky a zároveň je v súlade s právom Európskej únie.

Navrhovaná právna úprava rešpektuje a odráža medzinárodné záväzky Slovenskej republiky v oblasti ochrany osobných údajov, a to najmä Dohovor o ochrane ľudských práv a základných slobôd v znení protokolov (Oznámenie Federálneho ministerstva zahraničných vecí č. 209/1992 Zb. v znení neskorších predpisov), Dohovor o ochrane jednotlivcov pri automatizovanom spracovaní osobných údajov týkajúci sa orgánov dozoru a cezhraničných tokov údajov (oznámenie Ministerstva zahraničných vecí Slovenskej republiky č. 49/2001 Z. z.), Dodatkový protokol k Dohovoru o ochrane jednotlivcov pri automatizovanom spracovaní osobných údajov týkajúci sa orgánov dozoru a cezhraničných tokov údajov (oznámenie Ministerstva zahraničných vecí Slovenskej republiky č. 20/2005 Z. z.).

5

V rámci všeobecnej ochrany osobných údajov predpisovej základne Slovenskej republiky sa bude uplatňovať:

1.pre spracúvanie osobných údajov v rámci činností, ktoré podliehajú právu Európskej únie tak nariadenie, ako aj návrh zákona, s výnimkou 1 časti až 3 časti návrhu zákona,

2.pre spracúvanie osobných údajov v rámci činností, ktoré nepodliehajú právu Európskej únie návrh zákona ako celok,

3.pre spracúvanie osobných údajov na účely plnenia trestného konania príslušným orgánom návrh zákona, s výnimkou vybraných ustanovení 3 časti návrhu zákona.

V zmysle vyššie uvedeného je rozhodujúce pre správnu identifikáciu, či subjekt podlieha aj 1 časti a 2 časti návrhu zákona v zmysle bodu 1 a 2 vyššie uvedeného posúdiť, či samotná činnosť, v rámci ktorej dochádza k spracúvaniu osobných údajov podlieha právu Európskej únie alebo nie. Keďže právna úprava nariadenia ako aj 1 časti a 2 časti návrhu zákona sú v princípe totožné, čo sa týka rozsahu, ako aj obsahu povinností a práv v oblasti ochrany osobných údajov, tento rozdiel sa „stráca“.

6

DOLOŽKA ZLUČITEĽNOSTI

právneho predpisu s právom Európskej únie

1.Predkladateľ právneho predpisu:

Úrad na ochranu osobných údajov Slovenskej republiky

2.Názov návrhu právneho predpisu:

Návrh zákona o ochrane osobných údajov a o zmene a doplnení niektorých zákonov

3.Problematika návrhu právneho predpisu:

a)je upravená v práve Európskej únie

- primárnom

-čl. 6 a čl. 39 Zmluvy o Európskej únii

-čl. 16 Zmluvy o fungovaní Európskej únie

-čl. 8 Charty základných práv Európskej únie

- sekundárnom (prijatom po nadobudnutím platnosti Lisabonskej zmluvy, ktorou sa mení a dopĺňa Zmluva o Európskom spoločenstve a Zmluva o Európskej únii – po 30. novembri 2009)

1.legislatívne akty

-Nariadenie Európskeho parlamentu a rady (EÚ) č. 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov)

-Smernica Európskeho parlamentu a Rady (EÚ) 2016/680 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií a o voľnom pohybe takýchto údajov a o zrušení rámcového rozhodnutia Rady 2008/977/SVV

2.nelegislatívne akty

-Rozhodnutie Komisie z 5. februára 2010 o štandardných zmluvných doložkách pre prenos osobných údajov spracovateľom usadeným v tretích krajinách podľa smernice Európskeho parlamentu a Rady 95/46/ES (2010/87/EÚ) (Ú. v. EÚ L 39, 12. 2. 2010)

-Rozhodnutie Komisie z 5. marca 2010 podľa smernice Európskeho parlamentu a Rady 95/46/ES o primeranej ochrane osobných údajov poskytovanej faerským zákonom o spracovaní osobných údajov (2010/146/EÚ) (Ú. v. EÚ L 58, 9.3.2010)

-Rozhodnutie Komisie z 19. októbra 2010 podľa smernice Európskeho parlamentu a Rady 95/46/ES o primeranej ochrane osobných údajov v Andorre (2010/625/EÚ) (Ú. v. EÚ L 277, 21.10.2010)

-Rozhodnutie Komisie z 31. januára 2011 podľa smernice Európskeho parlamentu a Rady 95/46/ES o primeranej ochrane osobných údajov Izraelským štátom, pokiaľ ide o automatizované spracovanie osobných údajov (2011/61/EÚ) (Ú. v. EÚ L 27, 1.2.2011)

- sekundárnom (prijatom pred nadobudnutím platnosti Lisabonskej zmluvy, ktorou sa mení a dopĺňa Zmluva o Európskom spoločenstve a Zmluva o Európskej únii – do 30. novembra 2009)

-Smernica Európskeho parlamentu a Rady 95/46/EHS z 24. októbra 1995 o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov (Mimoriadne vydanie Ú. v. EÚ, kap.13/ zv.15) v platnom znení

7

-Rozhodnutie Komisie z 26. júla 2000 podľa smernice Európskeho parlamentu a Rady 95/46/ES o primeranej ochrane osobných údajov poskytovaných vo Švajčiarsku (2000/518/ES) (Mimoriadne vydanie Ú. v. EÚ, kap.16/ zv. 1)

-Rozhodnutie Komisie z 26. júla 2000 v súlade so smernicou Európskeho parlamentu a Rady 95/46/ES o primeranosti ochrany poskytovanej zásadami bezpečného prístavu a súvisiacimi často kladenými otázkami vydanými Ministerstvom obchodu USA (2000/520/ES) (Mimoriadne vydanie Ú. v. EÚ, kap. 16/ zv. 1)

-Rozhodnutie Komisie z 15. júna 2001 o štandardných zmluvných doložkách na prenos osobných údajov do tretích krajín podľa smernice 95/46/ES (2001/497/ES) (Mimoriadne vydanie Ú. v. EÚ, kap.13/ zv. 26) v platnom znení

-Rozhodnutie Komisie z 20. decembra 2001 podľa smernice 95/46/ES Európskeho parlamentu a Rady o primeranej ochrane osobných údajov poskytovaných kanadským Zákonom o ochrane osobných informácií a elektronických dokumentoch (2002/2/ES) (Mimoriadne vydanie Ú. v. EÚ, kap.13/ zv. 27)

-Rozhodnutie Komisie z 30. júna 2003 podľa smernice 95/46/ES Európskeho parlamentu a Rady o primeranej ochrane osobných údajov v Argentíne (2003/490/3S) (Mimoriadne vydanie Ú. v. EÚ, kap.13/ zv. 31)

-Rozhodnutie Komisie z 21. novembra 2003 o primeranej ochrane osobných údajov na Guernsey (2003/821/ES) (Mimoriadne vydanie Ú. v. EÚ, kap.16/ zv. 1)

-Rozhodnutie Komisie z 28. apríla 2004 o primeranej ochrane osobných údajov na ostrove Man (2004/411/ES) (Mimoriadne vydanie Ú. v. EÚ, kap.13/ zv. 34)

-Rozhodnutie Komisie z 8. mája 2008 podľa smernice Európskeho parlamentu a Rady 95/46/ES o primeranej ochrane osobných údajov v Jersey (2008/393/ES) (Ú. v. EÚ L 138, 28.5.2008)

-Rámcové rozhodnutie Rady 2008/977/SVV z 27. novembra 2008 o ochrane osobných údajov spracúvaných v rámci policajnej a justičnej spolupráce v trestných veciach

b)je obsiahnutá v judikatúre Súdneho dvora Európskej únie

-Rozhodnutie Súdneho dvora vo veci C-101/01 proti Bodil Lindqvist (2003)

-Rozhodnutie Súdneho dvora vo veci C-524/06 Heinz Huber proti Spolkovej republike Nemecko (2008)

-Rozhodnutie Súdneho dvora vo veci C 553/07 College van burgemeester en wethouders van Rotterdam proti E. E. Rijkeboer (2009)

-Rozhodnutie súdneho dvora v spojenej veci C-92/09 a C-93/09 Volker und Markus Schecke GbR (C 92/09) a Hartmut Eifert (C 93/09) proti Spolkovej krajine Hesensko (2010)

-Rozhodnutie Súdneho dvora vo veci C-518/07 Komisia Európskych spoločenstiev proti Spolkovej republike Nemecko (2010)

-Rozhodnutie Súdneho dvora vo veci C-131/12 Google Spain SL a Google Inc. proti Agencia Española de Protección de Datos (AEPD) a Mariovi Costejovi Gonzálezovi (2014)

-Rozhodnutie Súdneho dvora vo veci C-212/13 František Ryneš proti Úřad pro ochranu osobních údajů (2014)

-Rozhodnutie Súdneho dvora vo veci C-230/14 Weltimmo s.r.o. proti Nemzeti Adatvédelmi és Információszabadság Hatóság (2015)

-Rozhodnutie Súdneho dvora vo veci C-362/14 Maximillian Schrems proti Data Protection Commissioner (2015)

4.Záväzky Slovenskej republiky vo vzťahu k Európskej únii:

a)lehota na prebratie smernice alebo lehota na implementáciu nariadenia alebo rozhodnutia

-lehota na implementáciu Nariadenia Európskeho parlamentu a Rady (EÚ) č. 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (Ú. v. EÚ L 119/1, 4.5.2016) - 25. máj 2018

8

-lehota na prebratie Smernice Európskeho parlamentu a Rady (EÚ) 2016/680 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií a o voľnom pohybe takýchto údajov a o zrušení rámcového rozhodnutia Rady 2008/977/SVV (Ú. v. EÚ L 119/89, 4.5.2016) – 6. máj 2018

b)lehota určená na predloženie návrhu právneho predpisu na rokovanie vlády podľa určenia gestorských ústredných orgánov štátnej správy zodpovedných za transpozíciu smerníc a vypracovanie tabuliek zhody k návrhom všeobecne záväzných právnych predpisov

-Nie je určená.

c)informácia o konaní začatom proti Slovenskej republike o porušení podľa čl. 258 až 260 Zmluvy o fungovaní Európskej únie

-Bezpredmetné.

d)informácia o právnych predpisoch, v ktorých sú preberané smernice už prebraté spolu s uvedením rozsahu tohto prebratia

-Bezpredmetné.

5.Stupeň zlučiteľnosti návrhu právneho predpisu s právom Európskej únie:

-Úplný.

6.Gestor a spolupracujúce rezorty:

Ministerstvo spravodlivosti Slovenskej republiky

Ministerstvo vnútra Slovenskej republiky

Úrad na ochranu osobných údajov Slovenskej republiky

9

B. Osobitná časť

K čl. I

K § 1

Návrh zákona upravuje ochranu osobných údajov fyzických osôb v súlade s čl. 19 ods. 3 a čl. 22 ods. 1 Ústavy Slovenskej republiky. Predmetom úpravy návrhu zákona je ochrana práv fyzických osôb pred neoprávneným spracúvaním ich osobných údajov. Návrh zákona tiež upravuje práva, povinnosti a zodpovednosť subjektov pri spracúvaní osobných údajov fyzických osôb a postavenie, pôsobnosť a organizáciu Úradu na ochranu osobných údajov Slovenskej republiky (ďalej len „úrad“).

K § 2

Poskytuje definíciou osobného údaja. Zákon neupravuje konkrétny konečný zoznam údajov, ktoré sú považované za osobné údaje. Poskytuje tzv. demonštratívny výpočet charakteristík určujúcich fyzickú osobu. Uvedená definícia osobných údajov nevyžaduje, aby išlo o konkrétnu identitu fyzickej osoby, ale postačuje, aby za splnenia daných podmienok bola osoba identifikovateľná. Z vecnej stránky sa pojem osobných údajov vzťahuje na také údaje, ktoré sa týkajú identifikovanej alebo identifikovateľnej fyzickej osoby, t. j. určenej alebo určiteľnej, či už priamo alebo nepriamo. Z pohľadu ochrany osobných údajov sa „určiteľnosťou fyzickej osoby" rozumie taký stav, keď na základe jedného alebo viacerých dostupných údajov o danej osobe túto možno identifikovať.

Identifikácia sa realizuje prostredníctvom konkrétnych charakteristických znakov, t. j. „identifikátorov", ktoré možno priradiť ku konkrétnej fyzickej osobe (napr.: meno, priezvisko, tetovanie, zdravotné postihnutie, dátum narodenia, adresa a iné). Miera, do akej sú určité identifikátory dostačujúce pre dosiahnutie identifikácie konkrétnej fyzickej osoby závisí od komplexného posúdenia dostupných údajov v ich vzájomnej súvislosti a konkrétnej situácie. V závislosti od kvality, kvantity a druhu údajov sa v určitom momente konvertuje určiteľnosť do určenia konkrétnej fyzickej osoby. Fyzickú osobu považujeme za určenú, keď na základe dostupných údajov je jednoznačne identifikovaná a odlíšená od ostatných osôb v danom informačnom systéme, v ktorom sa osobné údaje spracúvajú. Na určenie toho, či je fyzická osoba identifikovateľná, sa majú vziať do úvahy všetky prostriedky, pri ktorých existuje primeraná pravdepodobnosť, že ich prevádzkovateľ alebo akákoľvek iná osoba využije, napríklad osobitným výberom, na priamu alebo nepriamu identifikáciu fyzickej osoby.

Osobnými údajmi môžu byť v konkrétnej situácii napríklad: titul, meno, priezvisko, adresa trvalého pobytu, dátum narodenia, rodné číslo, údaj o zdravotnom stave, konkrétne tetovanie, lokalizačný údaj, online identifikátor a pod.

Z pohľadu definície osobného údaja, ktorá je veľmi široká, nie je možné jednoznačne určiť rozdiel medzi fyzickou osobou - nepodnikateľom a fyzickou osobou – podnikateľom, a to najmä s ohľadom na skutočnosť, že fyzickú osobu je možné identifikovať nepriamo, najmä na základe jej charakteristík alebo znakov, ktoré tvoria jej ekonomickú identitu. Na základe uvedeného, samotný názov fyzickej osoby – podnikateľa ešte sám o sebe nie je osobným údajom. Ak k takémuto údaju priradíme ďalšie údaje, na základe ktorých je už možné identifikovať fyzickú osobu, napríklad rodné číslo alebo pobyt, pôjde o spracúvanie osobných údajov.

Na základe toho, že z dostupných osobných údajov je možné identifikácia fyzickej osoby, sa tento zákon logicky nevzťahuje a neuplatňuje na anonymné údaje, ktoré sa neviažu na identifikovanú alebo identifikovateľnú fyzickú osobu, ani na osobné údaje, ktoré sa stali anonymnými takým spôsobom, že dotknutá osoba nie je alebo už nie je na ich základe identifikovateľná. Tento zákon sa preto netýka spracúvania anonymných údajov vrátane ich spracúvania na štatistické účely alebo účely výskumu.

10

K § 3

Upravuje vecnú a územnú pôsobnosť zákona.

odsek 1

Pozitívne je vecná pôsobnosť zákona vymedzená vo vzťahu k prostriedkom spracúvania, teda k tomu na čom, prípadne ako sú osobné údaje spracúvané. Primárne delenie prostriedkov spracúvania je na prostriedky spracúvania automatizované, teda používajúce napríklad počítačový program, alebo aplikáciu, druhou možnosťou je spracúvanie osobných údajov neautomatizovanou formou, napríklad vykonávaním zápisov osobných údajov fyzicky osobou do záznamovej knihy. Zákon sa vzťahuje na spracúvanie osobných údajov vykonávané prostredníctvom automatizovaných prostriedkov spracúvania (napr.: počítač, tablet, smartphone), ako aj na spracúvanie vykonávané prostredníctvom neautomatizovaných prostriedkov spracúvania (napr.: záznamová kniha, evidenčný zošit, papierová evidencia).

Zákon sa tiež vzťahuje na spracúvanie osobných údajov, ktoré je vykonávané kombináciou oboch vyššie uvedených prostriedkov spracúvania v rámci jedného informačného systému osobných údajov. Napríklad, ak je časť spracúvania osobných údajov na konkrétny účel vykonávaná na počítači a časť je vykonávaná formou záznamov v papierovej evidencii v neautomatizovanej forme. V prípade kombinovaného spracúvania osobných údajov automatizovanou formou a neautomatizovane je podstatné, ak sa má spracúvanie vykonávať v rámci jedného informačného systému, aby toto spracúvanie osobných údajov, bolo vykonávané na jeden účel a osobné údaje boli súčasťou jedného informačného systému osobných údajov. Praktickým príkladom kombinovaného využívania prostriedkov spracúvania v rámci jedného informačného systému osobných údajov je vedenie dochádzky zamestnancov v dochádzkovej knihe, papierová neautomatizovaná podoba, a vedenie dochádzky zamestnancov aj v elektronickej podobe, automatizovaná forma, napríklad priložením dochádzkovej karty zamestnanca k čítačke. Účel spracúvania je jeden, vedenie dochádzky, no prostriedky spracúvania na dosiahnutie účelu sú typovo dva, automatizovaný a neautomatizovaný.

Softvérový počítačový program nemusí byť vždy zároveň aj informačným systémom osobných údajov, nakoľko môže mať vymedzených viacero účelov spracúvania, prípadne sa v rámci jeho funkcionalít osobné údaje nemusia vôbec spracúvať.

odsek 2

Tento zákon sa vzťahuje na spracúvanie osobných údajov, na ktoré sa vzťahuje Nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (Ú. v. EÚ L 119, 4.5.2016) (ďalej len „nariadenie“) okrem § 5 a druhej a tretej časti zákona. Tento zákon sa okrem svojej druhej a tretej časti vzťahuje aj na spracúvanie osobných údajov na základe nariadenia .

odsek 3

Tento zákon sa vzťahuje na spracúvanie osobných údajov príslušnými orgánmi na účely predchádzania a odhaľovania trestnej činnosti, zisťovania páchateľov trestných činov, stíhania trestných činov alebo na účely výkonu rozhodnutí v trestnom konaní vrátane ochrany pred ohrozením verejného poriadku a predchádzania takémuto ohrozeniu (ďalej len „plnenie úloh na účely trestného konania“); z druhej časti tohto zákona sa na spracúvanie osobných údajov vzťahujú len ustanovenia § 51, § 60, § 68 a 74.

odsek 4

Vymedzuje vecnú pôsobnosť zákona negatívne. Stanovuje, na ktoré činnosti všeobecne, prípadne na ktoré spracovateľské činnosti alebo prevádzkovateľov pri výkone ich činností a kompetencií sa zákon nevzťahuje, a to napriek tomu, že pri nich k spracúvaniu osobných údajov dochádza.

11

Tento zákon sa nevzťahuje na spracúvanie osobných údajov fyzickou osobou pre jej vlastnú potrebu v rámci jej domácich činností (napr.: vedenia osobného diára, osobná korešpondencia prípadne vedenie denníka, či vytvorenie fotoalbumu). Aj pri takomto spracúvaní osobných údajov fyzickou osobou pre jej vlastnú potrebu nie je vylúčená ochrana osobnosti podľa § 11 až § 16 Občianskeho zákonníka. Zákon sa tiež nevzťahuje na spracúvanie osobných údajov fyzických osôb, ktoré vykonáva na základe osobitných zákonov Slovenská informačné služba, Vojenské spravodajstvo a ktoré vykonáva Národný bezpečnostný úrad na účely vykonávania bezpečnostných previerok a na účely zabezpečovania podkladov pre rozhodovanie Súdnej rady Slovenskej republiky o splnení predpokladov sudcovskej spôsobilosti podľa osobitného zákona.

odsek 5

Pozitívnym spôsobom upravuje územnú pôsobnosť zákona.

Tento zákon sa vzťahuje na prevádzkovateľa alebo sprostredkovateľa

a)so sídlom, miestom podnikania, organizačnou zložkou, prevádzkarňou alebo trvalým pobytom na území Slovenskej republiky, a to aj v prípade, ak spracúvanie osobných údajov je vykonávané mimo územia Slovenskej republiky,

b)so sídlom, miestom podnikania, organizačnou zložkou, prevádzkarňou alebo trvalým pobytom na území, kde sa uplatňuje právo Slovenskej republiky podľa zásad medzinárodného práva verejného (napr.: zastupiteľské úrady Slovenskej republiky v zahraničí).

Tento zákon sa vzťahuje na spracúvanie osobných údajov fyzických osôb, dotknutých osôb, nachádzajúcich sa na území Slovenskej republiky, bez ohľadu na ich občianstvo alebo inú príslušnosť, ak spracúvanie ich osobných údajov vykonáva prevádzkovateľ alebo sprostredkovateľ, ktorého sídlo, miesto podnikania, organizačná zložka, prevádzkareň alebo trvalý pobyt nie je v členskom štáte, pričom ním vykonávané spracúvanie osobných údajov dotknutých osôb má súvis s ponukou tovarov alebo služieb dotknutým osobám na území Slovenskej republiky, bez ohľadu na povinnosť zaplatenia za ponúkaný tovar alebo službu alebo spracúvanie osobných údajov takýmto prevádzkovateľom má súvis so sledovaním správania dotknutých osôb na území Slovenskej republiky.

Pod sledovaním správania dotknutej osoby si možno predstaviť napríklad sledovanie jej aktivít na internete, kde môže byť sledovaná aktivita danej osoby a táto následne spracúvaná ako osobný údaj danej fyzickej osoby. Za monitorovanie správania v prostredí internetu možno považovať napríklad spracúvanie preferencií na internete o danej fyzickej osobe prostredníctvom cookies, IP adresy pripojenia, MAC adresy zariadenia z ktorého osoba do internetovej siete pristupuje, alebo tiež sledovanie a následné spracúvanie geolokalizačných údajov. V určitých prípadoch za osobný údaj možno považovať aj informáciu o stránkach, ktoré osoba na internete navštívila, ku ktorým má alebo môže získať prístup poskytovateľ internetového pripojenia.

K § 4

Deklaratórne ustanovenie o tom, že voľný pohyb osobných údajov v rámci Európskej únie je zaručený, ak je vyžadovaný podľa osobitného predpisu so silou zákona, alebo nariadenia Európskej únie alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná.

K § 5

Vymedzuje základné pojmy a definuje ich význam na účel tohto zákona.

písmeno a)

12

Súhlas dotknutej osoby je jedným z právnych základov spracúvania osobných údajov. Súhlas by sa mal poskytnúť výslovným a jasným prejavom vôle, ktorý je slobodným, konkrétnym, informovaným a jednoznačným vyjadrením vôle dotknutej osoby so spracúvaním osobných údajov; forma písomného vyhlásenia vrátane vyhlásenia prostredníctvom elektronických prostriedkov alebo ústnym vyhlásením je za splnenia ostatných náležitostí súhlasu akceptovateľná. Zákon určuje konkrétne podmienky na udelenie súhlasu, ako aj na spracúvanie osobných údajov na tomto právnom základe . Zákon vyžaduje aktívnu účasť dotknutej osoby pri udeľovaní súhlasu, je teda potrebné formulovať súhlas tak, aby dotknutá osoba musela konať. Nečinnosť dotknutej osoby, respektíve nevyjadrenie nesúhlasu dotknutej osoby nemožno považovať za vyjadrenie súhlasu. Dotknutá osoba má k súhlasu vždy pristupovať aktívne a z jej strany je očakávaná aktivita.

V prípade, ak je predmetom spracúvania spracúvanie osobitnej kategórie osobných údajov, je potrebné, aby bol súhlas dotknutej osoby výslovný, teda taký, ktorý je oddelený od inej časti dokumentu, do ktorej môže byť včlenený a hlavne v ktorom je výslovne uvedené aké konkrétne osobitné kategórie osobných údajov majú na jeho základe byť predmetom spracúvania zo strany prevádzkovateľa a na aký účel.

písmeno b)

Genetický údaj možno vymedziť ako osobný údaj týkajúci sa zdedených alebo nadobudnutých genetických charakteristických znakov fyzickej osoby, ktoré sú najmä výsledkom analýzy biologických vzoriek danej fyzickej osoby, najmä analýzy chromozómov, deoxyribonukleovej kyseliny (DNA) alebo ribonukleovej kyseliny (RNA) alebo analýzy inej látky, ktorá umožňuje získanie rovnocenných informácií o konkrétnej dotknutej osobe. Genetické osobné údaje patria medzi osobitnú kategóriu osobných údajov, ktorá tiež býva označovaná, ako „citlivé osobné údaje“.

písmeno c)

Biometrický údaj možno definovať ako biologickú alebo fyziologickú vlastnosť alebo charakteristiku špecifickú pre konkrétneho jednotlivca a zároveň merateľnú veličinu, s určitým stupňom zohľadnenej pravdepodobnosti. Príkladom biometrických údajov sú odtlačky prstov, biometrický snímok sietnice oka, tvar tváre a vzdialenosti jednotlivých orgánov na nej, hlas, geometria ruky, geometria štruktúry žíl ruky alebo dlane určitého človeka alebo určitá hlboko zakorenená schopnosť alebo vlastnosť týkajúca sa správania konkrétneho jedinca (napr. vlastnoručný podpis spôsob jeho písania vyvíjanie tlaku na podložku, udieranie na klávesnicu, osobitný spôsob chôdze alebo artikulácie atď.; v tomto prípade ide o tzv. behaviorálnu biometriu).

písmeno d)

Osobné údaje týkajúce sa zdravia sú také osobné údaje, ktoré poskytujú informácie o minulom, súčasnom alebo možnom budúcom fyzickom alebo duševnom zdravotnom stave dotknutej osoby. Patria sem aj údaje o zdraví fyzickej osoby získané pri jej registrácii na účely poskytovania služieb zdravotnej starostlivosti, služieb súvisiacich s poskytovaním zdravotnej starostlivosti alebo sociálnych služieb. Medzi osobné údaje týkajúce sa zdravia patrí tiež číslo, symbol alebo osobitný údaj, ktorý bol fyzickej osobe pridelený na jej individuálnu identifikáciu na zdravotné účely, informácie získané na základe vykonania testov alebo prehliadok častí jej organizmu alebo skúmania jej telesných látok vrátane genetických údajov a biologických vzoriek a akékoľvek informácie o chorobe, zdravotnom postihnutí, riziku ochorenia, anamnéze, klinickej liečbe, alebo o fyziologickom alebo biomedicínskom stave dotknutej osoby bez ohľadu na zdroj týchto informácií, ktorým môže byť lekár alebo iného zdravotníckeho pracovníka, nemocnice ako inštitúcia, zdravotnícka pomôcka pridelená konkrétnej osobe alebo informácie pochádzajúce z vykonania diagnostického testu in vitro. Medzi údaje o zdraví patria aj informácie o zdraví konkrétnej osoby získané z mobilných aplikácií slúžiacich k monitorovaniu životných funkcií alebo fyziologických parametrov osoby.

písmeno e)

13

Spracúvaním osobných údajov je potrebné chápať každú spracovateľskú operáciu alebo niekoľko na seba nadväzujúcich operácií (nadväznosť v čase nie je podstatná), ktoré prevádzkovateľ alebo sprostredkovateľ vykonáva na splnenie určitého vymedzeného účelu, systematicky, a to bez ohľadu na spôsob a využité prostriedky (alebo ich kombináciu) spracúvania. Spracúvanie môže byť vykonávané rôznymi spôsobmi, formou ľudskej činnosti, automatizovane, ide teda o charakteristiku toho, ako sú jednotlivé spracovateľské operácie u prevádzkovateľa alebo sprostredkovateľa vykonávané, technicky nastavené.

písmeno f)

Pri obmedzení spracúvania sú spracúvané osobné údaje označené na účely obmedzenia ich spracúvania do budúcnosti. Obmedzením nie je vždy potrebné chápať iba ich blokovanie, ale obmedzenie ich spracúvania napríklad na určitý účel. Osobné údaje, ktorých spracúvanie má byť obmedzené by takto v informačnom systéme mali byť označené. Pod obmedzením spracúvania osobných údajov si možnosť predstaviť napríklad ich presun v rámci prevádzkovateľa do iného informačného systému alebo ich zneprístupnenie dovnútra, alebo navonok, teda voči verejnosti (napr.: „stiahnutie“ zverejnených osobných údajov z určitého dôvodu, no ich zachovanie u prevádzkovateľa). Obmedzenie spracúvania môže byť vykonané na účely ochrany dotknutej osoby a uplatnenia si jej práv v prípade, že namieta spracúvanie týchto svojich osobných údajov, má pochybnosti o správnosti alebo zákonnosti ich spracúvania, prípadne ak odpadla potreba spracúvania osobných údajov prevádzkovateľom, avšak dotknutá osoba potrebuje spracúvať tieto osobné údaje u daného prevádzkovateľa napríklad na účely domáhania sa svojich právnych nárokov v budúcnosti.

písmeno g)

Profilovaním sa rozumie spracúvanie osobných údajov, na základe ktorého možno získať v závislosti od kvality a kvantity spracúvaných informácií relatívne ucelený profil dotknutej osoby, ktorý možno využiť s vysokým stupňom pravdepodobnosti na predpovedanie správania konkrétnej dotknutej osoby do budúcnosti. Použitie profilovania je rozsiahle, jednou z možností jeho využitia, ktorá je na vzostupe je využívanie na vytvorenie cielenej reklamy na mieru konkrétneho jedinca. Na účely profilovania by mali byť používané primerané matematické alebo štatistické postupy, mali by byť prijaté technické a organizačné opatrenia tak, aby sa zabezpečilo, že faktory, ktoré vedú, alebo by mohli viesť k nesprávnosti osobných údajov sa opravia a riziko chýb sa minimalizuje. Zabezpečí sa tak zohľadnenie súvisiacich potenciálnych rizík pre záujmy a práva dotknutej osoby. Zabráni sa tiež diskriminačným účinkom na základe rasového alebo etnického pôvodu, politického názoru, náboženstva alebo presvedčenia, členstva v odborových organizáciách, genetického alebo zdravotného stavu či sexuálnej orientácie, alebo účinkom, ktoré vedú k opatreniam majúcim takéto účinky. Profilovanie založené na spracúvaní osobitných kategóriách osobných údajov je možné len za osobitných podmienok viažucich sa na spracúvania osobitnej kategórie osobných údajov.

písmeno h)

Pseudonymizácia je spracúvanie osobných údajov spočívajúce v takej ich forme, že dané údaje už následne nie je možné priradiť ku konkrétnej dotknutej osobe bez toho, aby sa na to museli použiť dodatočné informácie, ktoré by mali byť uchovávané oddelene a osobitne zabezpečené. Pseudonymizované údaje sú stále osobnými údajmi podliehajúcimi tomuto zákonu, prípadne nariadeniu, ide o jedno z bezpečnostných opatrení, ktoré môže prevádzkovateľ využiť, aby ním spracúvané osobné údaje chránil.

Rozdiel medzi anonymizovanými a pseudonymizovanými údajmi je v tom, že anonymizované údaje ani s použitím dodatočných informácií nemožno priradiť ku konkrétnej dotknutej osobe, naopak s pseudonymizovanými údajmi by to možné byť malo, pokiaľ nie je, ide o anonymizované osobné údaje, na ktoré sa tento zákon nevzťahuje.

Príkladom pseudonymizácie je, že osobné údaje „Eva Nová, narodená 12.12.1966, učiteľka“ sa zmenia na sadu písmen a číslic „456mnb2b4gr47sDR, učiteľka“ no informácia, že skôr uvedený kód patrí pani

14

Eve Novej bude u prevádzkovateľa uchovávaná osobitne. Práve na základe spojenia zvlášť uchovanej informácie, že daný kód patrí Eve Novej bude stále možné zistiť, komu konkrétne kód patrí a daná dotknutá osoba bude stále v prostredí prevádzkovateľa identifikovateľná. Osobné údaje, ktoré boli pseudonymizované, a ktoré by sa mohli použitím dodatočných informácií priradiť ku konkrétnej fyzickej osobe, by sa mali považovať za informácie o identifikovateľnej fyzickej osobe.

písmeno i)

Vedenie logov, logovanie je bezpečnostné opatrenie, slúžiace k zaznamenávaniu akýchkoľvek zmien, prehliadania, poskytovania, prenosu, kombinovania alebo vymazávania osobných údajov v rámci informačného systému osobných údajov alebo ich pokusov o zmenu, ktoré je založené na zachytení údaja o tom, kto, kedy a akú zmenu v automatizovanom informačnom systéme osobných údajov vykonal alebo sa pokúšal vykonať. Výsledkom logovania je zaznamenávanie logov, ktoré následne môžu slúžiť na vykonávanie analýzy a na zaznamenávanie činnosti používateľa v automatizovanom informačnom systéme. Logom je tiež akékoľvek používateľské meno alebo heslo alebo iný prihlasovací údaj, ktorý slúži na prihlásenie používateľa do automatizovaného informačného systému osobných údajov.

písmeno j)

Šifrovanie znamená zmenu obsahu informácie na skupinu bezvýznamných znakov, kedy na to, aby sa skupina týchto znakov opätovne transformovala do pôvodnej zmysluplnej informácie je potrebné, aby prijímateľ správy disponoval správnym prístupovým kódom, heslom alebo iným, na to určeným parametrom.

písmeno k)

Online identifikátor alebo jednoznačný identifikátor využívaný pri vzájomnej komunikácii koncových zariadení užívateľov prostredníctvom komunikačných sietí. Takýmito identifikátormi sú napríklad IP adresa a cookies, či iné identifikátory využívajúce napríklad rádiovú frekvenciu (tzv. RFID identifikátory). Online identifikátor je osobným údajom konkrétnej fyzickej osoby pokiaľ ho je možné k tejto osobe jednoznačne priradiť, teda pokiaľ sa možno s najvyššou pravdepodobnosťou domnievať alebo je potvrdené, že koncové zariadenie je vo vlastníctve konkrétnej osoby, teda z neho možno aj na základe informácií pochádzajúcich z identifikátorov vyčítať konkrétne aspekty správania a preferencií fyzickej osoby.

písmeno l)

Informačným systémom sa na účely tohto zákona rozumie akýkoľvek usporiadaný súbor, sústava alebo databáza určená na zhromažďovanie osobných údajov alebo obsahujúca osobné údaje fyzických osôb, ktoré sú systematicky spracúvané pre potreby dosiahnutia vopred vymedzeného alebo ustanoveného účelu podľa osobitných kritérií a podmienok s použitím automatizovaných, čiastočne automatizovaných alebo iných ako automatizovaných prostriedkov spracúvania bez ohľadu na to, či ide o systém centralizovaný, decentralizovaný alebo distribuovaný na funkčnom alebo geografickom základe. Jedným informačným systémom osobných údajov sa rozumie aj situácia, kedy prevádzkovateľ spracúva osobné údaje viacerými prostriedkami spracúvania na jeden účel (papierová Evidencia dochádzky a čipová karta zamestnanca sú súčasťou dochádzky zamestnancov, teda napriek využitiu viacerých prostriedkov spracúvania ide o jeden informačný systém osobných údajov, nakoľko účelom je sledovanie a zaznamenávanie dochádzky zamestnancov viacerými spôsobmi).

písmeno m)

Za porušenie ochrany osobných údajov považujeme situácie, pri ktorých dochádza k nedovolenému resp. nezákonnému nakladaniu s osobnými údajmi, či už úmyselne alebo v dôsledku zanedbania

15

povinností a opatrení prijatých na ich ochranu. Ak sa porušenie ochrany osobných údajov nerieši primeraným spôsobom a včas, môže fyzickým osobám spôsobiť ujmu na zdraví, majetkovú alebo nemajetkovú ujmu alebo akékoľvek iné závažné hospodárske či sociálne znevýhodnenie dotknutej fyzickej osoby. Porušenie ochrany môže byť vyvolané zvonka prevádzkovateľa alebo sprostredkovateľa, kybernetický útok alebo zvnútra prevádzkovateľa alebo sprostredkovateľa, pochybenie zamestnanca, a to tak úmyselné ako neúmyselné, ktoré povedie k narušeniu integrity, dostupnosti a dôvernosti osobných údajov.

písmeno n)

Dotknutou osobou je fyzická osoba, o ktorej sa osobné údaje spracúvajú, dotknutou osobou je osoba aj vtedy, ak sa jej osobné údaje spracúvané v informačnom systéme osobných údajov týkajú. Definícia dotknutej osoby korešponduje s článkom 8 Charty základných ľudských práv Európskej Únie a tiež s článkom 16 Zmluvy o fungovaní Európskej Únie.

písmeno o)

Prevádzkovateľom je každý, kto sám alebo spoločne s inými pred začatím spracúvania osobných údajov vymedzí účel spracúvania osobných údajov a prostriedky ich spracúvania. Prevádzkovateľ spracúva osobné údaje vo vlastnom mene. Účel spracúvania môže byť ustanovený v osobitnom predpise (prevádzkovateľ ho musí rešpektovať a dodržiavať, napr.: spracúvanie osobných údajov žiakov školou podľa školského zákona) alebo je prevádzkovateľovi daná možnosť, aby si ho vymedzil napríklad na základe zamerania jeho podnikateľskej činnosti rešpektujúc právny poriadok a legálne možnosti, ktoré mu ponúka.

písmeno p)

Sprostredkovateľom je každý, kto spracúva osobné údaje v mene prevádzkovateľa. Právny vzťah na základe ktorého dochádza k spracúvaniu osobných údajov sprostredkovateľom v mene prevádzkovateľa je založený na zmluve, plnej moci, poverení sprostredkovateľa prevádzkovateľom. Minimálne náležitosti zmluvy medzi prevádzkovateľom a sprostredkovateľom, plnej moci alebo poverenia ustanovuje tento zákon alebo iný osobitný zákon v rámci právneho poriadku Slovenskej republiky. Sprostredkovateľ spracúva osobné údaje na právnom základe prevádzkovateľa, t.j. sprostredkovateľ nemá osobitný právny základ od prevádzkovateľa odlišný, ale spracúvanie osobných údajov vykonáva na základe podmienok a prostriedkov, ktoré určil prevádzkovateľ, alebo ktoré prevádzkovateľovi ustanovuje napríklad osobitný zákon.

Zákon nevylučuje, aby subjekt mal postavenie sprostredkovateľa, kedy vykonáva spracovateľské operácie v mene prevádzkovateľa a na základe jeho pokynov, prípadne aj postavenie sprostredkovateľa pre viacerých prevádzkovateľov, ako aj postavenie prevádzkovateľa pre svoje vlastné spracovateľské operácie, ktoré vykonáva vo svojom mene a sám si pre takéto spracúvanie určil účel, podmienky a primeraný právny základ (napríklad vedenie informačného systému personalistika a mzdy, informačného systému účtovníctvo, informačného systému registratúra).

Tak prevádzkovateľ, ako aj sprostredkovateľ, ak je prevádzkovateľom poverený spracúvať v jeho mene osobné údaje, obaja sú viazaní týmto zákonom, prípadne inými osobitnými zákonmi, ak tieto upravujú spracúvanie osobných údajov.

písmeno q)

Príjemcom na účely tohto zákona je každý, komu sú osobné údaje poskytnuté alebo sprístupnené, či sa jedná o tretiu stranu alebo nie. Orgány verejnej moci, ktoré môžu prijať osobné údaje v rámci konkrétneho zisťovania v súlade osobitným predpisom, sa však nepovažujú za príjemcov; spracúvanie uvedených údajov uvedenými orgánmi verejnej moci sa uskutočňuje v súlade s pravidlami ochrany osobných údajov v závislosti od účelov spracúvania im stanovených osobitnými právnymi predpismi. Najmä vo vzťahu k zodpovednej osobe je používaný aj pojem kategória príjemcov, možno si pod ňou

16

predstaviť napríklad kategóriu prevádzkovateľov alebo sprostredkovateľov majúcich rovnaké alebo podobné podnikateľské zameranie, napríklad banky, poisťovne, živnostníkov s rovnakým predmetom podnikania a podobne.

písmeno r)

Treťou stranou, na účely tohto zákona, je každý subjekt súkromného sektora alebo orgán verejnej moci, alebo fyzická osoba, ktorá nie je prevádzkovateľom, sprostredkovateľom alebo dotknutou osobou. Treťou stranou sú aj osoby, ktoré nie sú priamo poverené spracúvaním osobných údajov prevádzkovateľom alebo sprostredkovateľom. Tretia strana je užší pojem ako príjemca. Príjemca je akýkoľvek subjekt, ktorému sa osobné údaje poskytujú, s výnimkou orgánov verejnej moci. Kategóriou príjemcu sa rozumejú ako finančné inštitúcie, poisťovne, banky, zamestnávatelia a pod.

písmeno s)

Zodpovedná osoba je osoba určená prevádzkovateľom alebo sprostredkovateľom na základe jej odborných kvalít v zákonom stanovených situáciách vždy, inak dobrovoľne. Zodpovednou osobou môže byť tak zamestnanec prevádzkovateľa alebo sprostredkovateľa ako aj fyzická osoba vykonávajúca funkciu zodpovednej osoby na základe zmluvy. Základnou úlohou zodpovednej osoby je poskytovať informácie a poradenstvo prevádzkovateľovi a sprostredkovateľovi a ich zamestnancom pri spracúvaní osobných údajov a plnení úloh podľa tohto zákona. Úlohou zodpovednej osoby navonok je poskytovanie spolupráce úradu a vybavovanie žiadostí dotknutých osôb.

písmeno t)

Zástupcom prevádzkovateľa alebo sprostredkovateľa, ktorý nemá sídlo, miesto podnikania, organizačnou zložkou, prevádzkareň alebo trvalý pobyt v Európskej únii, spracúva osobné údaje dotknutých osôb, ktoré sa nachádzajú v Slovenskej republike, pričom vykonávané spracovateľské činnosti súvisia s ponukou tovaru alebo služieb takýmto dotknutým osobám v Slovenskej republike, bez ohľadu na to, či sa od dotknutej osoby vyžaduje platba, alebo súvisia so sledovaním ich správania sa, pokiaľ sa toto ich správanie uskutočňuje v Slovenskej republike je fyzická osoba alebo právnická osoba, ktorú si prevádzkovateľ alebo sprostredkovateľ písomne určí na to, aby konala v jeho mene v súvislosti s jeho povinnosťami podľa tohto zákona v rámci Slovenskej republiky. Prevádzkovateľ alebo sprostredkovateľ je povinný určiť sídlo zástupcu v jednom z členských štátov Európskej únie.

Uvedené sa nevzťahuje na prípady, kedy vykonávané spracúvanie je občasné a nezahŕňa spracúvanie osobitných kategórií osobných údajov vo veľkom rozsahu alebo spracúvanie osobných údajov týkajúcich sa uznania viny za trestné činy a priestupky a nie je pravdepodobné, že povedie k riziku pre práva fyzických osôb, pričom sa zohľadní povaha, kontext, rozsah a účely spracúvania, alebo keď je prevádzkovateľ orgánom verejnej moci alebo verejnoprávnym subjektom.

Určenie takého zástupcu neovplyvňuje zodpovednosť alebo povinnosť prevádzkovateľa alebo sprostredkovateľa podľa tohto zákona. Takýto zástupca má vykonávať svoje úlohy podľa poverenia, ktoré dostal od prevádzkovateľa alebo sprostredkovateľa, a ktoré zahŕňa spoluprácu s úradom v súvislosti s opatreniami prijatými na zabezpečenie súladu s týmto zákonom. V prípade, že prevádzkovateľ alebo sprostredkovateľ nezabezpečia súlad, určený zástupca podlieha konaniam na presadenie práva.

písmeno u)

Podnikom sa rozumie fyzická osoba podnikateľ alebo právnická osoba v akejkoľvek forme vykonávajúca hospodársku podnikateľskú činnosť, a to tak sama, ako aj v spolupráci so svojimi partnermi.

17

písmeno v)

Skupinu podnikov zahŕňa riadiaci podnik a ním riadené podniky, pričom riadiaci podnik má dominantný vplyv na ostatné podniky pretože ich vlastní, alebo v dôsledku finančnej účasti alebo pravidiel upravujúcich činnosť podniku alebo v dôsledku jeho právomoci presadiť vykonávanie pravidiel ochrany osobných údajov.

Podnik, ktorý kontroluje spracúvanie osobných údajov v podnikoch, ktoré sú s ním prepojené sa považuje za skupinu podnikov (napr.: holdingy, koncerny, konzorciá).

písmeno w)

Hlavnou prevádzkarňou je miesto centrálnej správy prevádzkovateľa alebo sprostredkovateľa v Európskej únii.

písmeno x)

Záväzné vnútropodnikové pravidlá sú súčasťou internej politiky ochrany osobných údajov prevádzkovateľa alebo sprostredkovateľa, ktorý nimi definuje svoje postupy a pravidlá v rámci svojej obchodnej politiky s ohľadom na prenos mimo územia členských štátov Európskej únie. Možno ich považovať za istý druh bezpečnostného opatrenia, ktorým prevádzkovateľ a sprostredkovateľ zaisťujú primeranú úroveň ochrany spracúvaných osobných údajov v týchto tzv. tretích krajinách, ich častiach, prípadne medzinárodných organizáciách, ktoré takúto primeranú úroveň ochrany osobných údajov nezaručujú.

písmeno y)

Kódex správania je súbor určitých ustanovení, ktorého účelom je upresniť, konkretizovať dodržiavanie jednotlivých povinností podľa tohto zákona týkajúcich sa spracúvania a ochrany osobných údajov s ohľadom na osobitné charakteristiky určitého odvetvia, pre ktoré konkrétny kódex správania bol schválený. Ku kódexom správania je možnosť pristúpiť a zaviazať sa ich dodržiavať dobrovoľne, ak však prevádzkovateľ pristúpi k schválenému kódexu správania je povinný ho ako súčasť bezpečnostných opatrení dodržiavať a uplatňovať.

písmeno z)

Medzinárodná organizácia je inštitucionalizovaná podoba medzinárodných vzťahov vznikajúca najčastejšie dohodou dvoch a viacerých krajín, ktoré určia aj jej podobu, stanovia jej orgány, podmienky jej fungovania a podmienky pristúpenia k takejto medzinárodnej organizácii.

písmeno aa)

Členským štátom sa rozumie štát, ktorý na účely tohto zákona je členským štátom Európskej únie, alebo zmluvnou stranou Dohody o Európskom hospodárskom priestore.

písmeno bb)

Treťou krajinou sa rozumie krajina, ktorá nie je členským štátom Európskej únie, alebo zmluvnou stranou Dohody o Európskom hospodárskom priestore.

písmeno cc)

Zamestnanec úradu je osoba vykonávajúca prácu v pracovnom pomere alebo obdobnom pracovnom pomere v mene úradu a štátny zamestnanec.

18

K § 6

Zásady spracúvania osobných údajov sú základnými mantinelmi v rámci ktorých sa konkrétne spracúvanie osobných údajov fyzickej osoby posudzuje a vykonáva. Cieľom zásad spracúvania osobných údajov je vykonávanie spracúvania osobných údajov tak, aby boli rešpektované práva dotknutých osôb a aby spracúvaním osobných údajov nedochádzalo k porušovaniu práva na zachovanie ľudskej dôstojnosti alebo k iným neoprávneným zásahom do práva na ochranu súkromia.

Každé spracúvanie osobných údajov má byť zákonné, založené na legálnom právnom základe podľa § 13 tohto zákona. Spracúvanie nesmie byť protiprávne, nesmie prebiehať na nelegálnom právnom základe alebo samotný účel spracúvania nesmie byť nelegitímny.

K § 7

Spracúvané osobné údaje majú byť primerané, relevantné a obmedzené na zoznam alebo rozsah osobných údajov nevyhnutný vzhľadom na účel, na ktorý sa spracúvajú. Účel je základným obmedzujúcim faktorom najmä vo vzťahu k zoznamu alebo rozsahu spracúvaných osobných údajov a vo vzťahu k dobe spracúvania, ako aj uchovávania spracúvaných osobných údajov. Účel má byť vymedzený dostatočne jasne a určito, aby z neho bolo jasné, aké spracovateľské operácie na základe neho budú a nebudú prebiehať, alebo aké spracovateľské operácie dotknutá osoba môže očakávať, že s jej osobnými údajmi na základe jeho vymedzenia môžu prebiehať.

Spracúvať osobné údaje na iný účel, než na ktorý boli získané je zakázané, ibaže by tento iný účel úzko súvisel s pôvodným účelom spracúvania, bol s ním zlučiteľný.

Spracúvanie osobných údajov získaných na stanovený účel nevylučuje, aby takto získané osobné údaje nemohli byť spracúvané na tzv. privilegované účely, a to účely archivácie, na účely vedeckého alebo historického výskumu a na štatistické účely v súlade s týmto zákonom a vo vzťahu k primeraným zárukám pre práva dotknutej osoby. Tieto záruky obsahujú zavedenie primeraných a účinných technických a organizačných opatrení najmä s cieľom zabezpečiť dodržiavanie zásady minimalizácie údajov, pseudonymizácie, pokiaľ sa týmto opatrením môžu dosiahnuť uvedené účely. Ďalšie spracúvanie na účely archivácie, na účely vedeckého či historického výskumu alebo štatistické účely sa považuje za zlučiteľné so zákonnými spracovateľskými operáciami.

K § 8

Spracúvanie osobných údajov má byť úzko naviazané na účel spracúvania osobných údajov, a to najmä pokiaľ ide o zoznam alebo rozsah spracúvaných osobných údajov, ktorý by mal byť nevyhnutný na to, aby sa spracúvaním daných osobných údajov účel mohol dosiahnuť. Nie je správne, aby sa zoznam alebo rozsah osobných údajov umelo alebo dodatočne rozširoval vzhľadom na účel. Ak je účel a zoznam alebo rozsah osobných údajov stanovený zákonom, je potrebné ho rešpektovať, ak si zoznam alebo rozsah spracúvaných osobných údajov určuje prevádzkovateľ má dbať na to, aby ho zbytočne, nad rámec účelu nerozširoval.

K § 9

Osobné údaje spracúvané na určitý účel musia byť správne, presné a podľa potreby aktualizované tak, aby sa zabezpečilo, že sa osobné údaje, ktoré sú nesprávne sa bezodkladne vymažú alebo opravia. Ak nesprávny osobný údaj odhalí prevádzkovateľ má povinnosť ho opraviť, ak je to možné, ak nie, má povinnosť ho zlikvidovať. V prípade ak nesprávny osobný údaj zistí dotknutá osoba mala by sama iniciatívne kontaktovať prevádzkovateľa a požadovať opravu nesprávneho osobného údaja alebo jeho likvidáciu podľa tohto zákona, ak sa nesprávnosť údaju potvrdí, prevádzkovateľ má požiadavke dotknutej osoby na opravu vyhovieť. Zásada aktuálnosti znamená tiež to, že prevádzkovateľ má povinnosť spracúvané osobné údaje pravidelne kontrolovať a aktualizovať (pravidelnosť kontroly je potrebné nastaviť s ohľadom na ujmu, ktorá môže vzniknúť dotknutej osobe pri spracúvaní nesprávneho osobného údaja prevádzkovateľom), a to aj po obsahovej stránke, nielen gramatickej, teda by sa nemalo

19

stať, že osoba, ktorá uhradila svoj dlh bude v systéme prevádzkovateľa stále vedená ako dlžník, napriek tomu, že reálny aj právny stav tomu už nezodpovedá. Prevádzkovateľ nesie zodpovednosť za aktuálnosť osobného údaja v jeho informačnom systéme osobných údajov. V prípade, ak dotknutá osoba sama poskytne prevádzkovateľovi nesprávne osobné údaje za ich nesprávnosť v tomto prípade nenesie zodpovednosť prevádzkovateľ, iba že by mal možnosť, prípadne zákonom stanovenú povinnosť si ich správnosť preveriť.

K § 10

Zásada minimalizácie uchovávania spracúvaných osobných údajov, má za cieľ dosiahnuť, aby sa osobné údaje vo forme, kedy je ich možné priradiť ku konkrétnej fyzickej osobe spracúvali iba dovtedy, kým je to potrebné na dosiahnutie sledovaného účelu spracúvania. Akonáhle je tento cieľ spracúvania osobných údajov dosiahnutý je možné, aby sa osobné údaje už spracúvali iba na účely archivácie, na účely vedeckého alebo historického výskumu či na štatistické účely podľa osobitného predpisu za predpokladu prijatia primeraných technických a organizačných opatrení vyžadovaných týmto zákonom na ochranu práv dotknutých osôb.

Zásada minimalizácie uchovávania má za cieľ, aby sa osobné údaje uchovávali vo forme, ktorá umožňuje identifikáciu dotknutých osôb len v nevyhnutnom rozsahu len dovtedy, dokiaľ je to s ohľadom na účel spracúvania potrebné a nevyhnutné. Spracúvanie osobných údajov výlučne na účely archivácie, na účely vedeckého alebo historického výskumu či na štatistické účely v súlade s týmto zákonom je považované za výnimku z tejto zásady, teda nie je porušením tohto zákona.

K § 11

Osobné údaje by sa mali spracúvať tak, aby sa zabezpečila ich primeraná bezpečnosť a dôvernosť vrátane predchádzania neoprávnenému prístupu k osobným údajom a prostriedkom spracúvania osobných údajov. Prijaté bezpečnostné opatrenia musia byť adekvátne spracúvaným osobným údajom, a to tak po technickej, personálnej, ako aj po organizačnej stránke.

K § 12

Zásada zodpovednosti za spracúvané osobné údaje pre prevádzkovateľa znamená zodpovednosť za dodržiavanie všetkých povinností mu stanovených týmto zákonom a zásada zodpovednosti pre neho znamená aj povinnosť, aby vedel deklarovať navonok, že všetky požadované povinnosti si skutočne plní. Prevádzkovateľ pri prijímaní bezpečnostných opatrení a plnení si aj iných svojich povinností podľa tohto zákona musí vystupovať aktívne a snažiť sa splniť si všetky povinnosti tak, ako mu ich zákon ukladá. Zákon mu k preukazovaniu splnenia niektorých jeho povinností dáva nástroje, ako napríklad možnosť pristúpiť ku kódexom správania a využiť ich ako deklaratórne nástroje smerom von ohľadom ním prijatých bezpečnostných opatrení. Prevádzkovateľ je povinný prijať primerané a účinné opatrenia a vedieť preukázať súlad spracovateľských činností s týmto zákonom vrátane primeraných a účinnosti bezpečnostných opatrení. V uvedených opatreniach by sa mala zohľadniť povaha, rozsah, kontext a účel spracúvania a riziko pre práva fyzických osôb. Na účely prijatia zodpovednosti by mal prevádzkovateľ najmä prijímať adekvátne politiky ochrany osobných údajov, ktorými bude deklarovať svoju zodpovednosť za spracúvanie a ochranu osobných údajov. Prevádzkovateľ zodpovedá aj za spracúvanie osobných údajov ním povereného sprostredkovateľa, či so sprostredkovateľom dohodnutého ďalšieho sprostredkovateľa, ktorí spracúvajú osobné údaje v jeho mene a na základe jeho pokynov.

So zásadou zodpovednosti je spojené aj vedenie patričnej dokumentácie tak, aby v prípade potreby prevádzkovateľ vedel a mohol deklarovať, že vykonal posúdenie vplyvu, alebo opätovne hodnotil a snažil sa znížiť vysoké riziko, ktoré mu v rámci posúdenia vplyvu na osobné údaje, ako zvyškové vyšlo.

K § 13

20

odsek 1

Odsek taxatívne vymenúva právne základy spracúvania osobných údajov dotknutej osoby, situácie, kedy spracúvanie osobných údajov dotknutej osoby prebieha na legálnom, alebo legitímnom právnom základe.

Medzi právne základy spracúvania osobných údajov patrí súhlas dotknutej osoby ňou daný na jeden alebo viacero výslovne uvedených účelov. Súhlas by sa mal poskytnúť výslovným a jasným prejavom vôle, ktorý je slobodným, konkrétnym, informovaným a jednoznačným vyjadrením vôle dotknutej osoby so spracúvaním osobných údajov; forma písomného vyhlásenia vrátane vyhlásenia prostredníctvom elektronických prostriedkov alebo ústnym vyhlásením je za splnenia ostatných náležitostí súhlasu akceptovateľná. Zákon určuje konkrétne podmienky na udelenie súhlasu, ako aj na spracúvanie osobných údajov na tomto právnom základe . Zákon vyžaduje aktívnu účasť dotknutej osoby pri udeľovaní súhlasu, je teda potrebné formulovať súhlas tak, aby dotknutá osoba musela konať. Nečinnosť dotknutej osoby, respektíve nevyjadrenie nesúhlasu dotknutej osoby nemožno považovať za vyjadrenie súhlasu. Dotknutá osoba má k súhlasu vždy pristupovať aktívne a z jej strany je očakávaná aktivita.

Ďalším právnym základom spracúvania osobných údajov dotknutej osoby, je spracúvanie na účely plnenia zmluvy, ktorej je dotknutá osoba zmluvnou stranou, alebo ide o predzmluvné vzťahy vrátanie spracúvania osobných údajov na základe žiadosti dotknutej osoby. V prípade ak sa osobné údaje spracúvajú na účely predzmluvných alebo zmluvných vzťahov, kedy jednou zo zmluvných strán je dotknutá osoba je potrebné, aby sa v zmluve jednoznačne vymedzil predmet zmluvy, ktorý bude zároveň aj účelom spracúvania osobných údajov dotknutej osoby, napríklad dodanie tovaru alebo plnenie služby. Prevádzkovateľ je potom takýmto v zmluve naformulovaným účelom viazaný a nie je možné, aby ho prekročil. Taktiež nie je prípustné, aby sa pod právny titul predmetu zmluvy uvádzali iné predmety zmluvy, iné účely spracúvania, ktoré by rád prevádzkovateľ využil a osobné údaje získané od dotknutej osoby na predmet zmluvy tak využil a spracúval aj na iné účely so zmluvou a jej predmetom primárne nesúvisiace. V prípade, ak má prevádzkovateľ záujem spracúvať osobné údaje uvedené v zmluve aj na iný účel, je povinný si na takéto spracúvanie nájsť iný primeraný právny základ, napríklad súhlas dotknutej osoby. Ak by aj iné vedľajšie účely spracúvania, ktoré s predmetom zmluvy majú málo alebo nič spoločné sa v zmluve nachádzali, nemožno danú zmluvu považovať za právny základ aj pre takéto iné účely v nej uvedené. Fakt, že zmluva je naformulovaná nesprávne neznamená, že je možné na jej právnom základe spracúvať osobné údaje dotknutej osoby na účely s jej predmetom plnenia nesúvisiace, alebo od jej predmetu plnenia veľmi vzdialené, na ktoré je potrebné, aby si prevádzkovateľ získal od dotknutej osoby iný právny základ.

Medzi právne základy spracúvania osobných údajov bez súhlasu dotknutej osoby patrí spracúvanie osobných údajov na základe osobitného predpisu, ktorý takéto spracúvanie ustanovuje alebo ide o spracúvanie na základe medzinárodnej zmluvy, ktorou je Slovenská republika viazaná. Ide o zákonom stanovenú činnosť prevádzkovateľa, ktorému spracúvanie osobných údajov ustanovuje priamo právny predpis, osobitný zákon. V takom prípade nie je súhlas dotknutej osoby na takéto spracúvanie jej osobných údajov potrebný, nakoľko právnym základom je priamo osobitný zákon alebo medzinárodný zmluva, či zákon vydaný na jej plnenie. Takouto situáciou je napríklad spracúvanie osobných údajov v bankách na základe zákona o bankách alebo spracúvanie osobných údajov detí, dotknutých osôb, žiakov (študentov) na základe školského zákona. Osobitný zákon v takom prípade musí obsahovať základné charakteristiky daného spracúvania ustanovené v odseku 2. Obdobne sa spracúvanie osobných údajov vykonáva bez súhlasu dotknutej osoby na základe osobitného zákona, ak ide o spracúvanie osobných údajov dotknutej osoby, ktorej osobné údaje majú byť spracúvané na plnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi. Definovanie spracovateľskej operácie na ktorú majú byť spracúvané osobné údaje na účely verejného záujmu alebo na účely plnenia povinnosti zverenej pri výkone verejnej moci prevádzkovateľovi musia byť zadefinované v osobitnom zákone.

21

Právny základ spracúvania osobných údajov na účely ochrany života, zdravia a alebo majetku dotknutej osoby alebo inej fyzickej osoby sa má využívať iba vo výnimočných prípadoch, pokiaľ na spracúvanie osobných údajov nie je možné využiť iný právny základ a pokiaľ je bezprostredne v ohrození život alebo zdravie dotknutej osoby alebo inej fyzickej osoby. Ide zväčša o hraničné životné situácie, kedy je získavanie iného právneho základu ťažké alebo nemožné. Príkladom spracúvania osobných údajov na tento účel je spracúvanie osobných údajov obetí alebo účastníkov dopravenej nehody (prehľadanie osoby na účely nájdenia jej dokladov a jej identifikácie a pod.), ktorí aj s ohľadom na utrpené zranenia alebo šok nie sú schopní alebo ochotní na spracúvanie ich osobných údajov, alebo osobných údajov iného poskytnúť súhlas. Získavanie dodatočného súhlasu potom, keď už je dotknutá osoba pri vedomí a schopná súhlas poskytnúť alebo iná fyzická osoba je schopná súhlas poskytnúť odpadá. Právny základ je možné použiť aj v prípadoch humanitárnych katastrof, ak si to situácia s ohľadom na stav obyvateľstva vyžaduje, je však potrebné dbať na to, aby tento právny základ nebol zneužívaný aj v prípadoch, kedy už jeho použitie možno hodnotiť sporne, napríklad ak osoba vníma a je schopná sa vyjadriť, či osobné údaje poskytnúť.

O oprávnený záujem, ako právny základ spracúvania osobných údajov, ide v tom prípade, keby medzi dotknutou osobou a prevádzkovateľom už existuje vzťah, napríklad ak je dotknutá osoba voči prevádzkovateľovi v postavení klienta. Existencia oprávneného záujmu si vždy vyžaduje dôkladné posúdenie vrátane posúdenia toho, či dotknutá osoba môže v danom čase a kontexte získavania osobných údajov primerane očakávať, že sa spracúvanie na tento účel zo strany prevádzkovateľa môže uskutočniť. Záujmy a práva dotknutej osoby by mohli prevážiť nad záujmami prevádzkovateľa najmä vtedy, ak sa osobné údaje spracúvajú za okolností, keď dotknuté osoby primerane neočakávajú ďalšie takéto spracúvanie. Napríklad spracúvanie osobných údajov nevyhnutne potrebných na účely predchádzania podvodom predstavuje oprávnený záujem príslušného prevádzkovateľa, naopak spracúvanie osobných údajov na účely reklamnej a propagačnej činnosti možno považovať za oprávnený záujem iba v takom prípade, ak táto činnosť prevádzkovateľa súvisí so službami, ktoré dotknutej osobe poskytol ako klientovi; tieto spracovateľské činnosti za oprávnené nemožno považovať vtedy, ak ich miera zo strany prevádzkovateľa prevyšuje samotný záujem dotknutej osoby o služby prevádzkovateľa, teda už možno hovoriť o obťažovaní dotknutej osoby zo strany prevádzkovateľa. Právny základ oprávneného záujmu sa nevzťahuje na spracúvanie orgánmi verejnej moci pri plnení ich úloh nakoľko jeho využitie orgánmi verejnej moci by rozširovalo im ustanovený právny základ spracúvania na základe osobitného predpisu minimálne so silou zákona.

odsek 2

Ustanovuje základné požiadavky kladené na osobitný predpis minimálne so silou zákona, ak má tento byť právnym základom pre spracúvanie osobných údajov bez súhlasu dotknutej osoby. Osobitný zákon, ktorý má byť právnym základom spracúvania osobných údajov fyzickej osoby má mať vo svojom normatívnom texte ustanovený účel spracúvania osobných údajov, okruh dotknutých osôb, zoznam alebo rozsah osobných údajov, ktoré sa budú spracúvať. Je nevyhnutné, aby osobitný predpis so silou zákona stanovoval aj spôsob konkrétneho spracúvania osobných údajov, ak je to účelné a potrebné, napríklad, ak sa tieto budú zverejňovať na v zákone určenom mieste a v určenom rozsahu. Zákon má tiež obsahovať ustanovenia stanovujúce ktorým tretím stranám budú osobné údaje poskytnuté, prípadne, ktorým príjemcom sa osobné údaje sprístupnia. V prípade najmä starších právnych noriem je možné akceptovať aj, ak je minimálne účel spracúvania osobných údajov a dotknuté osoby ustanovené v právnej norme so silou zákona a zoznam alebo rozsah osobných údajov je uvedený a spresnený vo vykonávacom právnom predpise.

odsek 3

Predmetný odsek ustanovuje výnimku zo zásady obmedzenia účelu v rámci spracovateľských operácii toho istého prevádzkovateľa, a len pre spracúvanie osobných údajov, ktoré neboli získané na právnom základe súhlasu dotknutej osoby alebo na právnom základe osobitného predpisu. Stanovuje pre prevádzkovateľa kritériá, ktoré musí zohľadniť a posúdiť, ak má v úmysle už takto získané osobné údaje

22

spracúvať na iný, ďalší účel. Predmetom takéhoto posúdenia, tzv. testu zlučiteľnosti je, aby sa vylúčila možnosť, že spracúvanie na ďalší účel je s pôvodným účelom spracúvania nezlučiteľné, a teda nerealizovateľné.

Až na základe pozitívneho výsledku testu zlučiteľnosti a zohľadnenia v zákone uvedených kritérií môže prevádzkovateľ pristúpiť k spracúvaniu osobných údajov na iný účel, ako bol pôvodný na ktorý osobné údaje získal, ale na tom istom právnom základe, t. j. nie je tu samostatný, iný, právny základ.

K § 14

Súhlas dotknutej osoby je jedným z právnych základov spracúvania osobných údajov, kedy o spracúvaní svojich osobných údajov rozhoduje výlučne dotknutá osoba. Prevádzkovateľ musí vedieť preukázať, že mu dotknutá osoba súhlas poskytla. Zákon výslovne neurčuje formu udelenia súhlasu, ale s ohľadom na požiadavku preukázania existencie udelenia súhlasu, má byť tento súhlas v písomnej forme, v elektronickej forme alebo v inak hodnovernej preukázateľnej forme (napríklad telefonická nahrávka udelenia súhlasu). Z udeleného súhlasu musí byť zrejmé kto súhlas udelil, kedy bol súhlas udelený, aké informácie dostala dotknutá osoba pred udelením súhlasu (s akými informáciami sa mohla oboznámiť napríklad na webovom sídle prevádzkovateľa), akým spôsobom bol súhlas udelený (elektronicky, písomne) a údaj o tom, že v istom čase bol súhlas dotknutou osobou odvolaný, ak sa tak stalo.

V prípade, ak je vyjadrenie súhlasu so spracúvaním osobných údajov súčasťou iného dokumentu alebo písomnosti (napr.: zmluvy), je potrebné, aby súhlas bol jasne a zreteľne oddelený, odlíšiteľný od týchto iných častí daného dokumentu, napríklad ako samostatný článok zmluvy, čím sa zabráni tomu, že ho dotknutá osoba prehliadne a zaistí sa, že mu venuje dostatočnú pozornosť. Ak je súhlas včlenený do iného textu tak, že je pravdepodobné, že ujde pozornosti dotknutej osoby takéto jeho uvedenie by mohlo byť posúdené, ako porušenie tohto zákona a vyhlásenie urobené dotknutou osobou by bolo v tejto časti neplatné.

Dotknutá osoba má právo kedykoľvek súhlas odvolať, a to takými prostriedkami, a tak jednoducho ako ho poskytla (napr.: súhlas poskytnutý elektronicky má osoba právo elektronicky aj odvolať, nemusí však ísť o totožnú formu elektronického odvolania súhlasu; súhlas mohol byť poskytnutý formou predpripraveného elektronického formulára a na jeho odvolanie prevádzkovateľ zriadil samostatný e-mail, takáto forma poskytnutia a aj odvolania súhlasu elektronickou formou je akceptovateľná, nakoľko jednoduchosť tak udelenia súhlasu, ako jeho odvolania je zachovaná). O možnosti súhlas odvolať musí byť dotknutá osoba pred jeho poskytnutím informovaná. Spracúvanie osobných údajov vykonané od momentu jeho poskytnutia do momentu jeho odvolania dotknutou osobou je zákonné a jeho odvolanie na zákonnosť tohto predchádzajúceho spracúvania osobných údajov fyzickej osoby nemá vplyv.

Pri poskytovaní súhlasu dotknutej osoby nesmie prevádzkovateľ na dotknutú osobu vyvíjať nátlak ani iným spôsobom ovplyvňovať jej rozhodovanie, aby mu súhlas poskytla, takéto vyvíjanie nátlaku je v rozpore so zákonom. Nátlakom sa rozumie taká hrozba prevádzkovateľa, kedy neudelenie súhlasu dotknutou osobou bude mať za následok odmietnutie poskytnutia zmluvného vzťahu, neposkytnutie služby, alebo zamedzenie predaja či dostupnosti tovaru pre danú dotknutú osobu, za predpokladu, že sa súhlas netýka spracúvania osobných údajov nevyhnutných pre takéto uzatvorenie zmluvného vzťahu, poskytnutie služby alebo predaja tovaru, ale ide o taký súhlas na spracúvanie osobných údajov požadovaný od dotknutej osoby, ktorý so zmluvným vzťahom, poskytnutím služby alebo predajom tovaru nemá priamy súvis (napríklad súhlas požadovaný prevádzkovateľom na účely marketingu).

Aby sa zaistilo, že súhlas bude informovaný, dotknutá osoba si musí byť vedomá aspoň identity prevádzkovateľa a zamýšľaných účelov spracúvania osobných údajov, respektíve zo strany prevádzkovateľa musí byť najneskôr pri poskytnutí súhlasu dotknutou osobou splnená jeho informačná povinnosť podľa tohto zákona. Súhlas nemožno považovať za slobodný, ak dotknutá osoba nemá skutočnú alebo slobodnú voľbu alebo nemôže odmietnuť či odvolať súhlas bez nepriaznivých následkov pre ňu.

23

Súhlas nemusí byť považovaný za legitímny právny základ spracúvania osobných údajov v prípade, ak medzi postavením dotknutej osoby a prevádzkovateľom existuje jednoznačný nepomer, najmä ak je prevádzkovateľ orgánom, ktorému je zverený výkon verejnej moci, a preto je nepravdepodobné, že dotknutá osoba súhlas poskytla slobodne. Uvedené môže platiť aj v prípade pracovnoprávnych vzťahov, kedy je obzvlášť dôležité skúmať, či udelený súhlas dotknutou osobou, zamestnancom prevádzkovateľovi, zamestnávateľovi bol dobrovoľný, slobodný a vážny.

Súhlas sa nepovažuje za poskytnutý slobodne, ak nie je možné dať samostatný súhlas na jednotlivé účely spracúvania osobných údajov napriek tomu, že by to bolo v konkrétnom prípade vhodné, alebo ak sa plnenie zmluvy vrátane poskytnutia služby podmieňuje súhlasom, aj keď na takéto plnenie nie je takýto súhlas nevyhnutný.

Súhlas by sa mal vzťahovať na všetky spracovateľské činnosti vykonávané na ten istý účel alebo príbuzné a navzájom si blízke účely. Ak sa spracúvanie osobných údajov vykonáva na viaceré rôzne účely, súhlas by sa mal udeliť na všetky tieto účely samostatne, oddelene. Ak má dotknutá osoba poskytnúť súhlas elektronickými prostriedkami, požiadavka na jeho poskytnutie musí byť jasná a stručná a nemá pôsobiť zbytočne rušivo na používanie služby, pre ktorú sa poskytuje. Za udelenie súhlasu je považované napríklad aktívne označenie políčka pri návšteve internetového webového sídla („opt in“ udelenie súhlasu), aktívne zvolenie technických nastavení služieb informačnej spoločnosti alebo akékoľvek iné vyhlásenie či aktívny úkon, ktorý jasne znamená a dokazuje, že dotknutá osoba súhlasí s navrhovaným spracúvaním jej osobných údajov. Mlčanie, vopred označené políčka alebo nečinnosť dotknutej osoby sa za súhlas podľa tohto zákona nepovažujú.

Jedným z právnym základov prelomenia zákazu spracúvania osobitnej kategórie osobných údajov, automatizovaného individuálneho rozhodovania, vrátane profilovania podľa tohto zákona je udelenie výslovného súhlasu dotknutou osobou, čo znamená výslovný súhlas dotknutej osoby so spracúvaním tejto osobitnej kategórie osobných údajov alebo s takouto formou spracúvania. Je potrebné, aby prevádzkovateľ výslovne v takto naformulovanom súhlase uviedol, že na uvedený účel dotknutá osoba súhlasí so spracúvaním jej zdravotného stavu, teda osobitná kategória osobného údaja musí byť v súhlase výslovne zmienená, uvedená.

K § 15

Informačnú spoločnosť v zmysle spracúvania osobných údajov možno charakterizovať ako spoločnosť, ktorá používa moderné informačné a telekomunikačné technológie ako formu komunikácie navonok aj dovnútra a tiež ako formu získavania a poskytovania informácií alebo služieb. Hlavnou súčasťou informačnej spoločnosti všeobecne a aj následne konkrétnej informačnej spoločnosti v postavení prevádzkovateľa alebo sprostredkovateľa je internet; tento je využívaný ako hlavný komunikačný kanál na prijímanie, ale aj poskytovanie informácií a teda aj osobných údajov. Prostredníctvom internetovej siete informačné spoločnosti vykonávajú zásadný podiel svojej činnosti, je to ich prostriedok na získavanie nových zákazníkov, dotknutých osôb, a to tak dospelých, ako aj detí, prostriedok na poskytovanie služieb. Službou informačnej spoločnosti teda možno nazvať takú službu, ktorá je poskytovaná cez internet, respektíve, ktorej časť je poskytovaná cez internet, pričom internet je prostriedkom prostredníctvom ktorého zákazník vyjadruje svoj záujem o službu a tiež aj prípadný súhlas so spracúvaním svojich osobných údajov.

Osobitnú ochranu osobných údajov si zasluhujú deti, keďže sú si v menšej miere vedomé rizík a dôsledkov súvisiacich so spracúvaním ich osobných údajov, a to najmä v prípade, ak je záujem získavať ich osobné údaje prostredníctvom verejne prístupnej siete – internetu. V prípade ak prevádzkovateľ chce spracúvať osobné údaje detí, teda ponúka službu určenú priamo pre deti, je spracúvanie založené na súhlase dieťaťa zákonné iba vtedy, ak má dieťa v čase poskytnutia súhlasu 16 a viac rokov. V prípade, ak je služba adresovaná dieťaťu, ak je toto mladšie ako 16 rokov je spracúvanie jeho osobných údajov zákonné iba vtedy, ak ním daný súhlas schválil jeho zákonný zástupca alebo opatrovník, alebo ak

24

zákonný zástupca, prípadne opatrovník súhlas so spracúvaním jeho osobných údajov sám v mene dieťaťa poskytol.

Prevádzkovateľ, pokiaľ ide o súhlas daný dieťaťom mladším ako 16 rokov, musí vynaložiť primerané úsilie na to, aby si overil, že súhlas mu poskytlo dieťa vo veku 16 rokov alebo staršie, prípadne, že súhlas schválil alebo poskytol jeho zákonný zástupca, či opatrovník, ak sa jedná o dieťa mladšie ako 16 rokov; overenie súhlasu môže vykonať napríklad formou otázky o dosiahnutom veku v čase poskytovania súhlasu alebo inak tak, aby využil všetky svoje možnosti na overenie si veku dieťaťa. Súhlas nositeľa rodičovských práv a povinností nie je potrebný v súvislosti s preventívnymi alebo poradenskými službami, ktoré sú ponúkané priamo dieťaťu (napr.: služby poskytované pre týrané deti, alebo deti zažívajúce násilie v rodine alebo šikanovanie v škole a pod.). Všetky informácie a každá komunikácia, pri ktorej sa spracúvanie zameriava na dieťa, musia byť formulované jasne a jednoducho, aby ich dieťa mohlo ľahko pochopiť.

Požadovanie súhlasu dieťaťa, ako dotknutej osoby, prípadne jeho schválenie zákonným zástupcom, prípadne jeho priame poskytnutie zákonným zástupcom nemá vplyv na iné samostatné rozhodovacie práva dieťaťa podľa iných osobitných predpisov; napríklad právo uzavrieť zmluvu a podobne.

K § 16

odsek 1

Osobitné kategórie osobných údajov sú taxatívne vymenované v texte zákona. Dôvodom na ich vymenovanie je fakt, že ide o citlivé osobné údaje, týkajúce sa fyzickej osoby, pri ktorých, ak by došlo k ich zneužitiu, nezákonnému spracúvaniu, mohlo by to pre dotknutú osobu predstavovať významný zásah do jej základných ľudských práv. Spracúvanie osobitnej kategórie osobných údajov sa vo všeobecnosti týmto zákonom zakazuje, je prípustné len v prípade splnenia taxatívne ustanovených výnimiek definovaných v odseku 2 tohto ustanovenia tohto zákona. V prípade splnenia podmienok ustanovených v odseku 2, prevádzkovateľ môže spracúvať osobitnú kategóriu osobných údajov, citlivé osobné údaje v súlade s týmto zákonom.

odsek 2

Spracúvať osobitné kategórie osobných údajov uvedených v odseku 1 sa generálne zakazuje. Ak by však niektorí prevádzkovatelia nemohli spracúvať aj osobitné kategórie osobných údajov, nemohli by si plniť im zákonom zverené povinnosti alebo uplatňovať svoje práva, taktiež dotknuté osoby by boli obmedzené v slobodnom nakladaní so svojimi osobnými údajmi.

Podmienky, za ktorých je možné spracúvanie osobitnej kategórie osobných údajov podľa odseku 1 preto tento zákon pripúšťa a taxatívne ich ustanovuje odsek 2. Predstavujú primerané právne základy pre spracúvanie citlivých osobných údajov, na základe ktorých je spracúvanie osobných údajov osobitnej kategórie týmto zákonom dovolené.

K § 17

Prevádzkovateľom v prípade spracúvania osobných údajov týkajúcich sa uznania viny za spáchanie trestného činu alebo priestupku v registri trestov môže byť iba štátny orgán, ak to má ustanovené osobitným zákonom. V podmienkach Slovenskej republiky je takýmto prevádzkovateľom Generálna prokuratúra Slovenskej republiky. Iný prevádzkovateľ môže spracúvať tieto osobné údaje len ak ho nato oprávňuje osobitný predpis alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná, a to len v prípade, ak daný osobitný predpis alebo medzinárodná zmluva poskytuje primerané záruky ochrany pre práva dotknutej osoby v súvislosti so spracúvaním osobných údajov týkajúcich sa uznania viny za trestné činy a priestupky.

K § 18

25

V ustanovení sa prejavuje zásada minimalizácie údajov vo vzťahu k účelu spracúvania tak, že prevádzkovateľ je oprávnený spracúvať len minimálny rozsah osobných údajov o dotknutej osobe nevyhnutné potrebných na splnenie účelu spracúvania, teda ak už na primárny účel spracúvania nepotrebuje osobu identifikovať, nakoľko tento bol splnený, tak tieto nadbytočné osobné údaje, na základe ktorých by toho bol schopný nie je povinný iba na účely preukázania súladu s týmto zákonom uchovávať, ale je povinný ich zlikvidovať.

Príkladom dodržiavania zásady minimalizácie osobných údajov je, ak prevádzkovateľ je schopný na základe svojich technických možností spojiť IP adresu zákazníka s jeho konkrétnymi osobnými údajmi, ale nekoná tak, nakoľko takéto prepojenie pre neho nie je potrebné na účely predaja služby koncovému zákazníkovi, dotknutej osobe, ktorej presná identifikácia prevádzkovateľa nezaujíma, nakoľko účel spracúvania, predaj služby alebo tovaru už bol naplnený.

V prípade, ak by daná dotknutá osoba chcela, aby prevádzkovateľ vyhovel nejakej jej žiadosti a uplatnila by si voči nemu právo dotknutej osoby napríklad na zamazanie jej IP adries u neho uložených je potrebné, aby mu sama dotknutá osoba poskytla dodatočné informácie o tom, ktoré IP adresy alebo online identifikátory jej koncových zariadení sa jej konkrétne týkajú, pretože tieto prepojenia si prevádzkovateľ na základe ich nepotrebnosti pre plnenie účelu predaja danej dotknutej osobe neukladal. Ak by sám prevádzkovateľ iniciatívne tieto údaje o dotknutej osobe spracúval, mohlo by takéto jeho spracúvanie týchto údajov o dotknutej osobe byť považované za porušenie zásady minimalizácie spracúvania osobných údajov.

V prípade, ak si dotknutá osoba uplatní voči prevádzkovateľovi právo a tento ju už nie je schopný identifikovať má povinnosť ju o tejto skutočnosti informovať, ak je to možné najmä s ohľadom na technické možnosti a to, že jej identifikácia je pre neho sťažená.

K § 19

odsek 1 a odsek 2

Taxatívne vymedzuje informácie, ktoré má prevádzkovateľ povinnosť poskytnúť dotknutej osobe, ak osobné údaje získava priamo od nej a poskytnutím ktorých sa má zabezpečiť informovanosť dotknutej osoby a transparentnosť spracúvania jej osobných údajov; tieto informácie je povinný prevádzkovateľ poskytnúť iniciatívne, nie až na základe žiadosti alebo vyzvania dotknutej osoby.

V prípade získavania osobných údajov od dotknutej osoby je potrebné, aby tieto informácie o zamýšľanej spracovateľskej operácii boli dotknutej osobe poskytnuté najneskôr pri získavaní jej osobných údajov, respektíve v dostatočnom časovom predstihu, jasne a zrozumiteľne a takým spôsobom, aby sa s týmito informáciami mohla skutočne oboznámiť a porozumela im.

odsek 3

Stanovuje povinnosť prevádzkovateľa informovať dotknutú osobu, ak prevádzkovateľ chce osobné údaje spracúvať aj na iný účel, ako ten, na ktorý osobné údaje pôvodne získal v súlade s týmto zákonom (výnimka z obmedzenia účelu s povinnosťou vykonania testu zlučiteľnosti).

odsek 4

V prípade ak už dotknutá osoba informáciami podľa predchádzajúcich odsekov disponuje (napríklad jej už boli skoršie prevádzkovateľom poskytnuté) prevádzkovateľ jej ich opätovne ,poskytovať nemusí, poskytne jej iba tie, ktorými dotknutá osoba nedisponuje.

K § 20

odsek 1 a odsek 2

26

Taxatívne vymedzuje informácie, ktoré má prevádzkovateľ povinnosť poskytnúť dotknutej osobe, ak osobné údaje nezískal priamo od nej a poskytnutím ktorých sa má zabezpečiť informovanosť dotknutej osoby a transparentnosť spracúvania jej osobných údajov.

odsek 3

Stanovuje lehoty pre plnenie informačnej povinnosti prevádzkovateľa podľa odsekov 1 a 2 voči dotknutej osobe, ak prevádzkovateľ nezískal jej osobné údaje priamo od tejto dotknutej osoby. Informácie je povinný prevádzkovateľ poskytnúť v primeranej lehote po získaní osobných údajov od inej ako dotknutej osoby dotknutej osobe alebo je prevádzkovateľ povinný plniť si informačnú povinnosť voči dotknutej osobe najneskôr v čase prvej komunikácie s ňou, alebo v čase, keď sa osobné údaje prvýkrát poskytnú plánujú poskytnúť ďalšiemu príjemcovi.

odsek 4

Stanovuje povinnosť prevádzkovateľa informovať dotknutú osobu, ak chce osobné údaje spracúvať aj na iný účel, ako ten, na ktorý boli osobné údaje pôvodne získané v súlade s týmto zákonom (výnimka z obmedzenia účelu s povinnosťou vykonania testu zlučiteľnosti).

odsek 5

Ustanovuje taxatívne prípady a podmienky, kedy prevádzkovateľ za splnenia týchto podmienok, nemá povinnosť poskytnúť dotknutej osobe informácie podľa odsekov 1 až 4, ak osobné údaje prevádzkovateľ nezískal priamo od dotknutej osoby.

Ide o prípady, ak dotknutá osoba už informácie má, ak zaznamenanie alebo poskytnutie osobných údajov je stanovené osobitným predpisom, alebo medzinárodnou zmluvou, ktorou je Slovenská republika viazaná, alebo ak sa poskytnutie informácií dotknutej osobe prevádzkovateľom sa ukáže ako nemožné alebo by si vyžiadalo zo strany prevádzkovateľa vynaloženie neprimeraného úsilia. V tejto súvislosti by sa mal zohľadniť počet dotknutých osôb, vek údajov a všetky prijaté primerané záruky.

K § 21

odsek 1 a odsek 2

Dotknutá osoba má právo vedieť, či prevádzkovateľ o nej spracúva osobné údaje a v prípade, že tomu tak je, má právo na prístup k týmto osobným údajom a tiež právo, aby jej prevádzkovateľ poskytol okrem ním spracúvaných osobných údajov o nej aj taxatívne zákonom stanovené ďalšie informácie. Takéto informácie poskytuje prevádzkovateľ až na základe žiadosti dotknutej osoby a v lehotách v tomto zákone stanovených. Ak prevádzkovateľ spracúva v súvislosti s dotknutou osobou veľké množstvo osobných údajov, môže požadovať, aby pred tým, ako dotknutej osobe poskytne požadované informácie, dotknutá osoba spresnila, ktorých informácií alebo spracovateľských činností sa jej žiadosť týka. Uplatnenie práva dotknutou osobou sa však nemôže stať podnetom ani dôvodom na konanie zo strany prevádzkovateľa, ktoré by dotknutej fyzickej osobe mohlo spôsobiť ujmu. V prípade, ak prevádzkovateľ prenáša osobné údaje dotknutej osoby do tretej krajiny alebo medzinárodnej organizácii má dotknutá osoba právo byť informovaná o primeraných zárukách týkajúcich sa týchto prenosov.

odsek 3 a odsek 4

Prevádzkovateľ má poskytnúť dotknutej osobe na jej žiadosť kópiu jej osobných údajov, ktoré o nej spracúva, pokiaľ si dotknutá osoba vyžiadala viac ako jednu kópiu jej osobných údajov, tak druhé a každé ďalšie poskytnutie kópie osobných údajov môže prevádzkovateľ spoplatniť primeraným poplatkom, ktorý zodpovedá administratívnym nákladom na vyhotovenie takejto kópie alebo kópií.

27

V prípade, ak dotknutá osoba požaduje zaslanie kópie jej údajov elektronicky, prevádzkovateľ jej informácie poskytne elektronicky, pokiaľ si dotknutá osoba nestanovila iný spôsob poskytnutia. Uvedené ustanovenie prevádzkovateľovi dáva možnosť zaviesť administratívny poplatok, v prípade, ak tak urobí, mal by jeho zavedenie prezentovať transparentne, aby dotknutá osoba mala k dispozícií informáciu, že druhá a nasledujúca kópia, ktorou prevádzkovateľ plní žiadosť dotknutej osoby je spoplatnená. Prevádzkovateľ by mal informáciu o spoplatnení, ako aj výšku poplatku uviesť jasne a zreteľne, najlepšie na svojom webovom sídle alebo inak tak, aby o tom bola dotknutá osoba informovaná. Vyžiadaním si kópie osobných údajov nesmie byť dotknuté právo inej fyzickej osoby.

Vyššie uvedené nie je právom dotknutej osoby na poskytnutie samotných dokumentov, na základe ktorých dochádza k spracúvaniu osobných údajov prevádzkovateľom, t.j. je na posúdení samotného prevádzkovateľa v akej štrukturalizovanej forme poskytne osobné údaje pri dodržaní a splnení zákonných požiadaviek na transparentnosť poskytovaných informácii, oznámení a postupov plnenia informačnej povinnosti podľa tohto zákona.

K § 22

Dotknutá osoba má právo na opravu jej osobných údajov v informačných systémoch prevádzkovateľa. Spracúvanie nesprávnych osobných údajov dotknutej osoby môže dotknutej osobe spôsobiť ujmu majetkového aj nemajetkového charakteru; je v záujme dotknutej osoby, ako aj prevádzkovateľa, aby sa spracúvali vždy správne a aktuálne osobné údaje. Ak dotknutá osoba zistí, že osobné údaje, ktoré o nej prevádzkovateľ spracúva sú nesprávne, má ho o tom upovedomiť a požiadať, aby ich opravil a nesprávne osobné údaje zlikvidoval, pokiaľ nemá z iného osobitného zákona povinnosť aj nesprávne, teda skôr získané osobné údaje týkajúce sa dotknutej osoby archivovať. V prípade, ak dotknutá osoba zistí zrejmú nesprávnosť, tak môže aj formou listu, či osobnej návštevy prevádzkovateľa požiadať o opravu týchto nesprávnych údajov a už v rámci zaslaného listu, alebo osobnej návštevy u neho mu správne osobné údaje uviesť. V prípade, ak prevádzkovateľ z vlastnej činnosti zistí, že osobné údaje, ktoré o dotknutej osobe spracúva sú nesprávne, má ju o takomto svojom zistení vyrozumieť a požiadať, aby mu v ním stanovenej, prípadne v osobitnom zákone určenej lehote poskytla správne osobné údaje. Ďalšie uchovávanie osobných údajov týkajúcich sa dotknutej osoby by malo byť zákonné v prípadoch, keď je to potrebné na uplatnenie slobody prejavu a práva na informácie, na plnenie zákonnej povinnosti, na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi, z dôvodov verejného záujmu v oblasti verejného zdravia, na účely archivácie, na účely vedeckého alebo historického výskumu alebo na štatistické účely, alebo na preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov.

K § 23

odsek 1 a odsek 2

Dotknutá osoba má právo na to, aby jej osobné údaje boli vymazané, zlikvidované a prestali sa spracúvať, ak je naplnený niektorý zo zákonných dôvodov stanovených v tomto zákone. Dotknutá osoba si toto právo na výmaz, likvidáciu jej osobných údajov, môže uplatniť u prevádzkovateľa. V prípade, ak právo dotknutej osoby bude opodstatnené niektorým zo zákonných dôvodov podľa tohto ustanovenia tohto zákona, má dotknutá osoba právo na dosiahnutie tohto práva u prevádzkovateľa.

Zároveň v súlade so zásadou zákonnosti a zásadou zodpovednosti je prevádzkovateľ povinný pravidelne preverovať splnenie účelu spracúvania osobných údajov za účelom ich prípadného výmazu po splnení účelu spracúvania osobných údajov.

odsek 3

28

Ak prevádzkovateľ zverejnil osobné údaje dotknutej osoby a vznikla mu povinnosť ich na základe žiadosti dotknutej osoby vymazať, je povinný zverejnené osobné údaje týkajúce sa dotknutej osoby s ohľadom na svoje technologické možnosti a na prostriedky, ktorými osobné údaje zverejnil, vymazať.

V súlade s touto povinnosťou práva na výmaz alebo práva na zabudnutie vo vzťahu k online prostrediu, rozširuje sa právo na vymazanie pre dotknutú osobu aj tým, že prevádzkovateľ, ktorý osobné údaje dotknutej osoby zverejnil, je povinný informovať prevádzkovateľov, ktorí tieto osobné údaje tiež spracúvajú, o povinnosti ich tiež vymazať a taktiež vymazať všetky odkazy na tieto osobné údaje alebo kópie či repliky týchto osobných údajov. Pritom je prevádzkovateľ povinný prijať primerané kroky, pri zohľadnení dostupnej technológie a prostriedkoch spracúvania, ktoré má k dispozícii, vrátane technických opatrení na účely informovania prevádzkovateľov, ktorým osobné údaje poskytol a ktorí ich spracúvajú, že tieto osobné údaje sú povinní vymazať na základe predmetnej žiadosti dotknutej osoby.

odsek 4

Právo na výmaz osobných údajov dotknutej osoby podľa odseku 1 a odseku 2 tohto zákona sa neuplatní, ak sa uplatní čo aj len jeden z taxatívne uvedených zákonných dôvodov, na základe ktorých je potrebné osobné údaje dotknutej osoby aj naďalej spracúvať. Takéto spracúvanie dotknutá osoba musí strpieť a nemôže proti takémuto spracúvaniu osobných údajov uplatniť právo na výmaz.

K § 24

odsek 1

Taxatívne stanovuje prípady, kedy je prevádzkovateľ povinný rešpektovať právo dotknutej osoby a obmedziť spracúvanie jej osobných údajov, kedy prevádzkovateľ počas uplatnenia si obmedzenia spracúvania dotknutou osobou, osobné údaje dotknutej osoby nespracúva, ale ich blokuje, prípadne ich počas tejto doby iba uchováva.

odsek 2

Ak prevádzkovateľ obmedzil na základe žiadosti dotknutej osoby spracúvanie osobných údajov tejto dotknutej osoby, môže prevádzkovateľ tieto osobné údaje, okrem uchovávania, spracúvať len so súhlasom dotknutej osoby, alebo na preukazovanie a obhajovanie právnych nárokov, alebo na ochranu práv inej fyzickej osoby alebo právnickej osoby, alebo z dôvodov dôležitého verejného záujmu stanoveného v osobitnom predpise so silou minimálne zákona.

odsek 3

Ak dotknutá osoba dosiahla obmedzenie spracúvania jej osobných údajov prevádzkovateľa je prevádzkovateľ povinný ju vopred informovať pred tým, ako bude toto obmedzenie spracúvania zrušené.

K § 25

Dotknutá osoba má právo, aby sa spracúvali len také jej osobné údaje, ktoré sú správne, nevyhnutné na dosiahnutie účelu a ich spracúvanie je založené na zákonnosti; v prípade ak došlo k oprave, vymazaniu alebo obmedzeniu spracúvania jej osobných údajov u prevádzkovateľa, a to bez ohľadu na to, či na základe žiadosti dotknutej osoby alebo na základe toho, že tak vykonal prevádzkovateľ z vlastnej činnosti je potrebné, aby o takejto oprave vymazaní alebo obmedzení spracúvania prevádzkovateľ informoval každého príjemcu, ktorému osobné údaje dotknutej osoby poskytol. Prevádzkovateľ nie je povinný informovať každého príjemcu, ak preukáže nemožnosť poskytnutia takejto informácie, alebo ak preukáže, že poskytnutie informácie si vyžaduje jeho neprimerané úsilie. Prevádzkovateľ je povinný o príjemcoch, ak to požaduje, informovať aj dotknutú osobu.

29

K § 26

odsek 1

S cieľom posilniť kontrolu nad vlastnými osobnými údajmi má dotknutá osoba v prípade, že sa spracúvanie osobných údajov vykonáva u prevádzkovateľa automatizovanými prostriedkami spracúvania, možnosť získať jej osobné údaje, ktoré poskytla prevádzkovateľovi v štruktúrovanom a interoperabilnom formáte a preniesť ich k ďalšiemu prevádzkovateľovi, a to bez toho, aby prvý prevádzkovateľ, ktorému ich poskytla, jej v tom akokoľvek bránil alebo ju v tomto práve obmedzoval.

Toto platí v prípadoch, ak spracúvanie osobných údajov týkajúcich sa dotknutej osoby

a)je založené na súhlase so spracúvaním osobných údajov poskytnutom samotnou dotknutou osobou alebo ak je spracúvanie osobných údajov založené na zmluvnom vzťahu, ktorého je dotknutá osoba zmluvnou stranou;

b)je vykonávané u prevádzkovateľa automatizovanými prostriedkami spracúvania.

odsek 2

Uplatňovaním práva na prenosnosť osobných údajov nie je dotknuté právo dotknutej osoby požadovať výmaz jej osobných údajov a obmedzenie tohto práva na výmaz, podľa zákona. Právo na prenosnosť údajov nemá viesť k vymazaniu osobných údajov dotknutej osoby, ktoré poskytla na účely plnenia zmluvy, v takom rozsahu a počas takého obdobia, ako sú tieto osobné údaje potrebné na plnenie danej zmluvy. Právo na prenosnosť osobných údajov dotknutej osoby sa uplatňuje na tie jej osobné údaje, na ktorých spracúvanie poskytla dotknutá osoba súhlas alebo ak je spracúvanie potrebné na plnenie zmluvy. Toto právo na prenosnosť osobných údajov sa neuplatní, ak je spracúvanie založené na inom právnom základe, než je súhlas alebo zmluva. Zo samotnej povahy uvedeného práva vyplýva, že by sa nemalo uplatňovať voči prevádzkovateľom, ktorí spracúvajú osobné údaje týkajúce sa dotknutej osoby pri výkone ich verejných úloh, alebo sa nebude uplatňovať, ak je spracúvanie osobných údajov potrebné na plnenie zákonnej povinnosti, ktorá sa na prevádzkovateľa vzťahuje, alebo na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi.

Ak je to technicky možné, mala by mať dotknutá osoba právo na prenos osobných údajov priamo od jedného prevádzkovateľa k druhému prevádzkovateľovi.

odsek 3

Právo na prenosnosť údajov by sa malo vždy dotknúť len konkrétnej dotknutej osoby, ktorá si ho uplatňuje; jeho výkonom nemajú byť dotknuté práva iných osôb.

K § 27

odsek 1

Ak prevádzkovateľ spracúva osobné údaje dotknutej osoby na základe zákona, nakoľko je toto spracúvanie nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi alebo je spracúvanie nevyhnutné na účely oprávnených záujmov sledovaných prevádzkovateľom prípadne treťou stranou a ak nad takýmito záujmami neprevládajú záujmy a práva dotknutej osoby vyžadujúce si ochranu osobných údajov, najmä ak by šlo o ochranu osobných údajov spracúvaných o dieťati alebo ak ide o spracúvanie osobných údajov založených na profilovaní dotknutej osoby, spracúvanie takýchto osobných údajov má dotknutá osoba právo u prevádzkovateľa namietať.

Na základe žiadosti dotknutej osoby, ktorá namieta spracúvanie osobných údajov prevádzkovateľ takto namietané spracúvané osobné údaje nesmie ďalej spracúvať, iba ak by preukázal nevyhnutnosť takéhoto spracúvania a oprávnené dôvody prevažujúce nad záujmami, právami dotknutej osoby alebo by šlo

30

o dôvody, účely spracúvania osobných údajov dotknutej osoby, kedy by spracúvanie osobných údajov dotknutej osoby prevádzkovateľom bolo potrebné na uplatňovanie právnych nárokov.

Právo namietať má dotknutá osoba najmä vtedy ak sa jej situácia súvisiaca so spracúvaním jej osobných údajov dotýka, teda ak sa domnieva, že spracúvanie vykonávané napríklad prevádzkovateľom na účely jeho oprávnených záujmov už obmedzuje jej práva alebo do nich zasahuje, napríklad obťažujúci marketing alebo notifikovanie dotknutej osoby zo strany prevádzkovateľa.

odsek 2 až odsek 4

Dotknutá osoba má právo namietať, ak sa jej osobné údaje spracúvajú na účely priameho marketingu, alebo ak sa jej osobné údaje spracúvajú na účely priameho marketingu vykonávaného formou profilovania.

Ak dotknutá osoba namietala spracúvanie osobných údajov na účely priameho marketingu alebo na účely priameho marketingu formou profilovania, tak prevádzkovateľ osobné údaje tejto dotknutej osoby už na takéto účely spracúvať nesmie.

Na právo namietať spracúvanie osobných údajov podľa odseku 1 a odseku 2 je prevádzkovateľ povinný dotknutú osobu, už pri prvej komunikácii s ňou (t.j. ešte pred získaním osobných údajov od dotknutej osoby ako aj pred samotným spracúvaním osobných údajov tejto dotknutej osoby) jasne, zrozumiteľne a oddelene od iných informácií výslovne upozorniť tak, aby si tohto svojho práva namietať bola vedomá.

Právo dotknutej osoby namietať v súvislosti s používaním služieb informačnej spoločnosti si môže dotknutá osoba uplatniť aj s využitím automatizovaných prostriedkov spracúvania s použitím technických špecifikácií (napr.: použitím na tento účel vytvorených aplikácií a pod.).

odsek 5

Právo namietať spracúvanie osobných údajov má dotknutá osoby z dôvodov týkajúcich sa jej konkrétnej situácie, okrem prípadov ak sa jej osobné údaje spracúvajú na účely vedeckého výskumu alebo historického výskumu, na štatistické účely, ak sú dodržané primerané záruky pre jej práva ako dotknutej osoby, ktorými sa rozumie napríklad pseudonymizácia. Právo namietať spracúvanie osobných údajov na účely uvedené v tomto odseku dotknutá osoba nemá tiež ak je spracúvanie jej osobných údajov nevyhnutné na plnenie úlohy z dôvodov verejného záujmu podľa príslušného ustanovenia tohto zákona.

K § 28

odsek 1

Rozhodnutím založeným na automatizovanom spracúvaní osobných údajov je také rozhodnutie, ktoré je za využitia spracúvania osobných údajov dotknutej osoby vykonané a vydané bez zásahu človeka, napríklad posúdenie nároku na príspevok iba na základe zadania stanovených parametrov a následného automatizovaného vyhodnotenia nároku aplikáciou alebo na to určeným algoritmom. Ide o generovanie takého rozhodnutia zo strany prevádzkovateľa, ktoré je riadené algoritmom, to znamená, že sa vopred nastavia parametre, ktoré dotknutá osoba odovzdá a ktoré sa do algoritmu zadajú, vstupné dáta, následne celý proces vyhodnocovania prebehne bez ľudského zásahu, automatizovane. V praxi sa stretávame s takýmito postupmi čoraz častejšia napríklad pri vyhodnocovaní toho, či osoba spĺňa kritériá, napríklad, či má dostatočné príjmy na to, aby dosiahla na bankový produkt, zároveň algoritmus je schopný jej osobné údaje porovnať s osobnými údajmi ľudí v databázach, ktorí sú voči bankám dlžníkmi. Všetko je vykonávané automatizovane, na základe nastavenia algoritmov. Takto generované rozhodnutie môže mať na dotknutú osobu významný vplyv (najmä vo forme významného finančného a právneho dopadu, kedy na základe takéhoto rozhodnutia môžu byť dotknutej osobe zmenený jej finančný status k horšiemu, napríklad rozhodnutím o nepriznaní príspevku alebo o povinnosti zaplatiť pokutu a pod.) jej osobe uložené povinnosti alebo sa môže rozhodnúť o , nakoľko automatizovane sa rozhoduje o jej právach a prípadných povinnostiach. Na základe automatizovaného spracúvania osobných údajov týkajúcich sa dotknutej osoby bude vydané rozhodnutie, ktoré bude mať na dotknutú osobu zásadný vplyv a ktoré bude voči nej zakladať právne účinky, nezriedka aj s významným finančným, či osobným

31

dopadom. Je preto potrebné zaistiť, aby dotknutá osoba mohla voči takémuto automatizovanému rozhodnutiu namietať a požiadať prevádzkovateľa o preverenie jeho výsledku, ktoré bude vykonané inak, ako algoritmom, teda automatizovane, najlepšie formou kontroly prostredníctvom oprávnenej osoby prevádzkovateľa; teda ľudským, neautomatizovaným, zásahom do inak automatizovanej schémy tvorby rozhodovania.

odsek 2 a odsek 3

Dotknutá osoba nemá právo namietať automatizované individuálne rozhodovanie podľa odseku 1, ak je dané rozhodnutie nevyhnutné na uzavretie alebo plnenie zmluvy medzi dotknutou osobou a prevádzkovateľom alebo ak je založené na výslovnom súhlase dotknutej osoby s takouto formou jeho spracúvania. Automatizované rozhodovanie zasahuje do práv dotknutej osoby vo veľkej miere je preto potrebné, aby boli práva dotknutej osoby zaistené a aby v prípadoch automatizovaného rozhodovania podľa tohto zákona mala dotknutá osoba právo sa voči takému automatizovanému rozhodovaniu vyjadriť a právo napadnúť dané rozhodnutie. V prípade, ak by sa dotknutá osoba musela automaticky takému rozhodnutiu podrobiť a nemohla by proti nemu protestovať, bol by to závažný a zásadný zásah do jej práv, ktorý by z hľadiska práv a povinností bol veľmi nevyvážený; zachovanie práva na vyjadrenie sa voči takémuto rozhodnutiu a právo voči nemu namietať, protestovať, je zákonné a posilňuje to dôveru dotknutej osoby v možnosti preverenia týchto typov spracúvania osobných údajov dotknutej osoby, ktoré môžu mať na dotknutú osobu vplyv.

odsek 4

Rozhodnutie založené na automatizovanom spracúvaní osobných údajov, ktoré môže mať na dotknutú osobu významný vplyv a ktoré dotknuté osoby nemôžu namietať podľa odseku 2 tohto ustanovenia

sa nesmie zakladať na spracúvaní osobitnej kategórie osobných údajov, iba v prípade, ak platí, že na spracúvanie osobitnej kategórie osobných údajov dala dotknutá osoba výslovný súhlas alebo je takéto spracúvanie nevyhnutné z dôvodov významného verejného záujmu na základe osobitného predpisu, alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, ktoré vzhľadom na sledovaný cieľ spracúvania osobných údajov rešpektujú práva dotknutých osôb, a stanovuje vhodné a konkrétne opatrenia na zabezpečenie práv dotknutých osôb.

K § 29

odsek 1

Všetky informácie určené dotknutej osobe zo strany prevádzkovateľa jej majú byť poskytnuté v stručnej, ľahko prístupnej ľahko pochopiteľnej forme, formulované jasne a jednoducho, a ak je to vhodné a technicky možné aj ľahko zrakovo vnímateľné. Týka sa to najmä situácií, v ktorých veľký počet účastníkov a technologická zložitosť činnosti sťažujú dotknutej osobe zistiť a pochopiť, kým a na aké účely boli jej osobné údaje získané. Osobitne je potrebné, aby prevádzkovateľ uplatnil zásadu transparentnosti pri poskytovaní informácií deťom, ktorým je poskytovanie informácií potrebné prispôsobiť ich veku a rozumovým schopnostiam. Prevádzkovateľ tieto povinnosti môže splniť zverejnením adekvátnych informácií na svojom webovom sídle, ich fyzickou dostupnosťou v papierovej podobe vo priestoroch svojich pobočiek, ich distribúciou formou e-mailov alebo doručením poštou, prípadne priamym informovaním prostredníctvom svojich zamestnancov. Prevádzkovateľ môže skombinovať niekoľko foriem informovania dotknutých osôb tak, aby sa ich informovanosť zaručila aj viacerými spôsobmi súbežne. Transparentnosť informácií najmä pri uplatňovaní si práv dotknutej osoby je osobitne dôležitá. Ustanovenie taxatívne nestanovuje v akej forme má prevádzkovateľ informovanie dotknutej osoby vykonávať, o tom vzhľadom na spracovateľské operácie a svoje možnosti rozhoduje prevádzkovateľ sám, zákon mu iba stanovuje podmienky, ktoré je potrebné, aby pri plnení informačnej povinnosti dodržal.

odsek 2

32

Prevádzkovateľ uľahčuje dotknutej osobe výkon jej práv, ak si ich voči nemu uplatňuje. V prípade ak prevádzkovateľ nevie identifikovať dotknutú osobu, ktorá si uplatní právo dotknutej osoby a ona mu poskytne osobné údaje na účely jej identifikácie a ľahšieho uplatnenia si svojich práv dotknutej osoby, nesmie prevádzkovateľ takúto jej iniciatívu odmietnuť, a to práve z dôvodu, že ide o uplatnenie si práv dotknutej osoby. Prevádzkovateľ nemôže vyhovieť právu dotknutej osoby iba vtedy, ak preukáže, že dotknutú osobu napriek svojej maximálne vynaloženej snahe, nie je schopný identifikovať.

odsek 3 a odsek 4

Na základe žiadosti dotknutej osoby je prevádzkovateľ povinný konať a prijať adekvátne opatrenia, o ktorých je povinný dotknutú osobu informovať najneskôr do mesiaca od doručenia žiadosti dotknutej osoby. V odôvodnených prípadoch (napríklad zlučovanie podniku, prechod alebo prevod časti prevádzkovateľa na iného prevádzkovateľa v zmysle Obchodného zákonníka, kedy môže byť dočasne jeho informačné systémy paralyzované) môže prevádzkovateľ lehotu predĺžiť, a to o dva mesiace, pričom každé predĺženie lehoty je povinný dotknutej osobe oznámiť. S ohľadom na zásady spracúvania, ako aj transparentnosť postupov pri plnení si informačnej povinnosti by takéto predĺženie lehoty na plnenie si tejto informačnej povinnosti malo byť len zo závažných dôvodov na strane prevádzkovateľa, napríklad s ohľadom na časovú náročnosť prijatia primeraných a účinných bezpečnostných opatrení potrebných v súvislosti s uplatnením práva dotknutej osoby. Pokiaľ ide o spôsob konania a informovania zo strany prevádzkovateľa, ten by mal rešpektovať prostriedky, aké použila dotknutá osoba na podanie žiadosti, teda ak sa táto na prevádzkovateľa obrátila elektronicky, mal by jej odpovedať elektronicky, ak si dotknutá osoba nestanovila iný spôsob, ktorý jej vyhovuje viac. V prípade, že na základe žiadosti dotknutej osoby prevádzkovateľ nekonal, neprijal žiadne opatrenia, je povinný o tom dotknutú osobu informovať a taktiež jej uviesť dôvody, pre ktoré nekonal a tiež ju informovať o tom, že sa môže podať návrh na začatie konanie na úrad.

odsek 5 a odsek 6

Žiadosť dotknutej osoby je prevádzkovateľ povinný vybaviť bezplatne. V prípade ak sú žiadosti dotknutej osoby opakujúceho sa charakteru a rovnakého obsahu alebo sú neprimerané a neopodstatnené a dotknutá osoba prípadne ani na základe výzvy prevádzkovateľa ich obsah nedoplní, prevádzkovateľ môže ich vybavenie spoplatniť, a to vo výške administratívnych nákladov potrebných na ich vybavenie, prípadne môže prevádzkovateľ odmietnuť na základe takejto žiadosti dotknutej osoby konať. Bremeno preukázania toho, že žiadosť dotknutej osoby bola neprimeraná alebo neopodstatnená znáša prevádzkovateľ.

odsek 7

Ak sa na prevádzkovateľa so žiadosťou dotknutej osoby obráti taká dotknutá osoba, ktorú na základe poskytnutých údajov o nej nie je schopný prevádzkovateľ jednoznačne identifikovať je oprávnený, na účely riadneho vybavenia žiadosti dotknutej osoby ju požiadať o poskytnutie dodatočných, doplňujúcich informácií na účely potvrdenia jej totožnosti.

odsek 8

Prevádzkovateľ môže informácie adresované dotknutej osobe podľa tohto zákona poskytnúť v písomnej podobe, ale taktiež formou štandardizovaných ikon, ktoré, ak sú použité v elektronickej podobe musia byť strojovo čitateľné. Ikony nemajú nahrádzať textovú informáciu, majú ju iba dopĺňať.

odsek 9

Obsah informácií obsiahnutých v štandardizovaných ikonách ustanoví úrad, ak to bude potrebné, vo vykonávacom predpise.

33

K § 30

Práva dotknutej osoby nie sú absolútne a v demokratickej spoločnosti sú opatrenia, ktorými sa sleduje vyššie dobro, vyšší záujem a v prípade ktorých je možné za zákonom stanovených podmienok obmedziť aj právo konkrétnej dotknutej osoby. Obmedzenie práv dotknutej osoby je možné len na základe osobitného predpisu a len ak takéto obmedzenie rešpektuje podstatu základných práv a je nevyhnutným a primeraným opatrením v demokratickej spoločnosti s cieľom zaistiť v ustanovení taxatívne uvedené opatrenia, vyššie dobrá pre spoločnosť na úkor obmedzenia práva jednej dotknutej osoby. Takto je možné obmedziť rozsah práv a povinností dotknutej osoby v týchto oblastiach:

a)informačnej povinnosti prevádzkovateľa,

b)práv dotknutej osoby, ako právo na opravu, právo na vymazanie, právo na obmedzenie spracúvania, právo na prenosnosť údajov, právo namietať, právo namietať proti automatizovanému individuálnemu rozhodovaniu, vrátane profilovania,

c)oznámenia porušenia ochrany osobných údajov dotknutej osoby,

d)zásad spracúvania osobných údajov, ak súvisia s informačnou povinnosťou alebo právami dotknutej osoby.

Na to, aby bolo obmedzenie práva dotknutej osoby možné, je potrebné, aby dôvody na základe ktorých sa má obmedzenie vykonať boli ustanovené v osobitných predpisoch a tieto boli dostatočne precizované čo do obsahu a popisu dôvodov, na základe ktorých je možné právo dotknutej osoby obmedziť. Odsek 1 výslovne a taxatívne uvádza situácie, kedy na základe tohto zákona je možné práva dotknutej osoby obmedziť na účely dosiahnutia vyššieho dobra v prospech spoločnosti alebo širšej skupiny ľudí. Odsek 2 stanovuje ako tieto podmienky musia byť v osobitnej právnej norme so silou minimálne zákona naformulované, aby boli ako podmienky obmedzenia práv dotknutej osoby zákonné.

K § 31

Zákonodarca stanovuje povinnosti a zodpovednosť prevádzkovateľa v súvislosti so spracúvaním osobných údajov, ktoré prevádzkovateľ vykonáva sám, spoločne s iným prevádzkovateľom alebo ktoré vykonáva v jeho mene prostredníctvom sprostredkovateľa. Prevádzkovateľ nesie zodpovednosť za zákonné spracúvanie osobných údajov. Je povinný prijať primerané a účinné opatrenia a má povinnosť vedieť preukázať súlad spracúvania s týmto zákonom, ako aj účinnosť a primeranosť ním prijatých opatrení na ochranu spracúvaných osobných údajov. Prevádzkovateľ je povinný vytvoriť také podmienky fungovania ním prevádzkovaných informačných systémov, ktoré zaručia ochranu osobných údajov pred ich poškodením, zničením, stratou, zmenou, neoprávneným prístupom, zneužitím a sprístupnením, poskytnutím alebo zverejnením, ako aj pred akýmikoľvek inými neprípustnými spôsobmi spracúvania.

Na preukázanie súladu postupov prevádzkovateľa s týmto zákonom prevádzkovateľovi môžu slúžiť úradom schválené kódexy správania, ku ktorým môže pristúpiť a deklarovať tak splnenie istého štandardu ochrany osobných údajov alebo certifikát vydaný úradom alebo certifikačným subjektom. Iným opatrením prevádzkovateľa, ako môže zaistiť bezpečnosť spracúvaných osobných údajov je, že bude pravidelne vykonávať preverovania spracúvaných osobných údajov s ohľadom na trvanie ich účelu a toho, či bol účel spracúvania už dosiahnutý, alebo nie, v prípade ak sa tak stalo má tiež pravidelne kontrolovať a vykonávať preverovanie a prípadnú potrebu vyraďovania záznamov z registratúrneho strediska, prípadne ich zaraďovanie do predarchívnej a následne archívnej starostlivosti. Prevádzkovateľ je tiež na zaistenie bezpečnosti a na prijatie svojej zodpovednosti a deklarovania plnenia opatrení povinný prijať adekvátne politiky ochrany osobných údajov smerom dovnútra aj navonok, ktoré možno považovať za jednu z foriem bezpečnostných opatrení, najmä po organizačnej a personálnej stránke.

K § 32

Prevádzkovateľ by mal nastaviť procesy a postupy ochrany osobných údajov a ich spracúvania, ktoré budú spĺňať najmä zásady špecificky navrhnutej ochrany údajov a štandardnej ochrany údajov.

34

Prevádzkovateľ je povinný prijať zodpovedajúci stupeň bezpečnostných opatrení (primerané a účinné opatrenia) k jednotlivým zisteným rizikám, ktoré súvisia so spracúvaním osobných údajov, na ich zmiernenie. Takýmito opatreniami sú štandardné bezpečnostné technické a organizačné opatrenia, ako napríklad pseudonymizácia osobných údajov, šifrovanie, logovanie, minimalizácia údajov, poučenie osôb vykonávajúcich spracovateľské operácie, prístupová a kľúčová politika zohľadňujúca dôvernosť osobných údajov, zaistenie kontinuity spracúvania osobných údajov v prípade bezpečnostných incidentov a havárii, mlčanlivosť zamestnancov.

Zároveň zákon zakotvuje požiadavku, aby prevádzkovateľ vo vzťahu k jeho spracovateľským operáciám a rizikám, prijal takú špecificky navrhnutú ochranu osobných údajov zohľadňujúcu technické ako aj organizačné bezpečnostné opatrenia, ktorá zodpovedá najnovším poznatkom pri zohľadnení výšky nákladov a možností prevádzkovateľa na prijatie a vykonávanie týchto bezpečnostných opatrení. Táto požiadavka by sa mala zohľadniť najmä vo vzťahu k aplikáciám, službám a produktom, ktoré sú založené na spracúvaní osobných údajov, nakoľko je takúto ochranu a bezpečnostné opatrenia prevádzkovateľ povinný aplikovať a navrhovať už v čase, keď spracovateľskú operáciu kreuje, alebo určuje budúci účel spracúvania osobných údajov. Platí, že špecificky navrhnutá ochrana osobných údajov sa musí uplatniť na všetky spracovateľské činnosti v rámci produktového vybavenia zahŕňajúce spracúvanie osobných údajov, pokiaľ ide o už existujúce, tak je nevyhnutné, aby prevádzkovateľ vykonal všetky opatrenia na prijatie takýchto bezpečnostných opatrení, no s ohľadom na technické možnosti.

Stupeň špecifickej a štandardnej ochrany osobných údajov prijatý prevádzkovateľom môže deklarovať napríklad pristúpením k schválenému kódexu správania alebo certifikátu.

K § 33

Pokiaľ nie je podiel zodpovednosti spoločných prevádzkovateľov určený osobitným predpisom, zaväzuje toto ustanovenie dvoch a viacerých prevádzkovateľov, ktorí spoločne určili účel a podmienky spracúvania osobných údajov, upraviť vzájomné zodpovednostné vzťahy pri plnení práv a povinností podľa tohto zákona vzájomnou dohodou, zmluvou. V dohode sú spoloční prevádzkovatelia povinní určiť kontaktné miesto pre dotknutú osobu, ktorej osobné údaje spracúvajú a poskytnúť tejto dotknutej osobe základné časti tejto dohody, najmä identifikáciu jednotlivých prevádzkovateľov, predmet zmluvy, ustanovenia upravujúce delenie ich vzájomných právomocí vo vzťahu k dotknutej osoby a jej osobným údajov, v dohode tiež musia uviesť a stanoviť kontaktné miesto, kde si dotknutá osoba môže uplatniť svoje práva. Dohoda spoločných prevádzkovateľov má mať takú formu, aby jej existenciu vedeli hodnoverne preukázať, môže byť písomná, uzatvorená elektronicky alebo inak tak, aby v prípade pochybností jej existenciu mohol každý z prevádzkovateľov preukázať, ako aj splnenie si prístupu a poskytnutia informácií dotknutej osobe.

Bez ohľadu na rozdelenie zodpovednosti spoločnými prevádzkovateľmi v ich vzájomnej dohode, zmluve, dotknutá osoba má právo uplatniť si svoje právo u každého prevádzkovateľa a svoj nárok voči každému prevádzkovateľovi.

K § 34

V prípade, ak sa prevádzkovateľ rozhodne vykonávať svoje spracovateľské činnosti prostredníctvom inej osoby, je povinný takúto inú osobu, sprostredkovateľa, poveriť na základe zmluvy, plnej moci, poverenia či iného právneho aktu podľa osobitného predpisu. Poverenie je chápané ako samostatný právny úkon, alebo ako súčasť iného právneho aktu zakladajúceho práva a povinnosti, napríklad zmluvy. Takto poverený sprostredkovateľ vykonáva spracovateľské činnosti len na základe pokynov prevádzkovateľa a v jeho mene v súlade s týmto zákonom. Zmluva v súlade so zákonom musí obsahovať najmä predmet a dobu spracúvania, podmienky a účel spracúvania, zoznam alebo rozsah a typ osobných údajov, kategóriu dotknutých osôb, povinnosti a práva prevádzkovateľa a ďalšie náležitosti podľa tohto zákona.

V prípade, ak osoba vykonáva spracovateľské činnosti v mene inej osoby, prevádzkovateľa, bez poverenia týmto prevádzkovateľom podľa tohto zákona, táto osoba má postavenie prevádzkovateľa a všetky povinnosti a zodpovednosti z tohto zákona plynúce prevádzkovateľovi.

35

Prevádzkovateľ má poverovať spracúvaním osobných údajov vo svojom mene len takých sprostredkovateľov, jednotlivo, alebo istú kategóriu sprostredkovateľov, ktorí poskytujú dostatočné záruky, a to najmä pokiaľ ide o odborné znalosti, spoľahlivosť a zdroje na to, že prijmú technické a organizačné opatrenia, ktoré budú spĺňať požiadavky tohto zákona, iného osobitného zákona vrátane požiadavky bezpečnosti spracúvania. Prevádzkovateľ nemôže zveriť spracúvanie osobných údajov sprostredkovateľovi, ak by tým mohli byť ohrozené práva a právom chránené záujmy dotknutých osôb. Ako prvok na preukázanie súladu s povinnosťami prevádzkovateľa sa môže použiť dodržiavanie úradom schváleného kódexu správania alebo certifikátu vydaného sprostredkovateľovi.

Nakoľko osobami oprávnenými spracúvať osobné údaje sú výlučne prevádzkovateľ a sprostredkovateľ, je nevyhnutné, aby sprostredkovateľ, takisto ako prevádzkovateľ rešpektoval a dodržiaval právo fyzických osôb, a to právo na ochranu súkromia a ochranu osobných údajov patriacich medzi práva a slobody garantované Ústavou Slovenskej republiky. Toto ustanovenie zaväzuje sprostredkovateľa, aby sa pri výkone spracúvania riadil zmluvou alebo osobitným predpisom, ktorým je viazaný voči prevádzkovateľovi a v ktorých sa stanovuje predmet a doba spracúvania, povaha a účely spracúvania, typ osobných údajov a kategórie dotknutých osôb. Ak bol sprostredkovateľ poverený spracúvaním osobných údajov, rozumie sa tým kontinuálny prechod spracúvania osobných údajov na sprostredkovateľa. Sprostredkovateľ vykonáva všetky úkony smerujúce na dosiahnutie účelu spracúvania v mene prevádzkovateľa.

Pokiaľ sprostredkovateľ zamýšľa zapojiť do spracúvania ďalšieho sprostredkovateľa, tzv. subdodávateľa, je povinný disponovať predchádzajúcim písomným osobitným alebo všeobecným povolením, schválením zo strany prevádzkovateľa, že takéto zapojenie ďalšieho subjektu do spracúvania je možné. Ustanovenia upravujúce požiadavky na vzťah medzi prevádzkovateľom a sprostredkovateľom podľa tohto zákona sa obdobne použijú na vzťah medzi sprostredkovateľom a ďalším sprostredkovateľom (subdodávateľom).

V súlade so zásadou zodpovednosti za spracúvanie osobných údajov zodpovedá vždy prevádzkovateľ, t. j. aj za spracúvanie osobných údajov sprostredkovateľom, prípadne ďalším sprostredkovateľom (subdodávateľom). Sprostredkovateľ za spracúvanie osobných údajov dohodnutým spôsobom zodpovedá prevádzkovateľovi; v prípade ak je ustanovený ďalší sprostredkovateľ (subdodávateľ), tak tento zodpovedá sprostredkovateľovi. Sprostredkovateľ pri spracúvaní osobných údajov v mene prevádzkovateľa sám zodpovedá len za tie povinnosti, ktoré sú sprostredkovateľovi týmto zákonom priamo uložené, napríklad vedenie záznamov o spracovateľských činnostiach, poskytovanie súčinnosti úradu podľa tohto zákona alebo osobitného predpisu, povinnosť prijatia primeraných a účinných bezpečnostných opatrení, povinnosť oznámenia porušenia ochrany osobných údajov prevádzkovateľovi, povinnosť určiť zodpovednú osobu, v osobitných prípadoch povinnosť dodržiavať schválené kódexy správania, vydaný certifikát, či prípadne udelenú akreditáciu a dodržiavať podmienky pri prenosoch osobných údajov.

Ak sa sprostredkovateľ odchýli od pokynov prevádzkovateľa alebo bude spracúvanie osobných údajov vykonávať inak, ako bolo dohodnuté, najmä však rozšíri alebo zúži účel spracúvania alebo ho inak pozmení stáva sa na účely tohto zákona sám prevádzkovateľom a zodpovedá aj za prípadné škody, ktoré takýmto spracúvaním dotknutým osobám vzniknú.

Po ukončení spracúvania v mene prevádzkovateľa má sprostredkovateľ podľa rozhodnutia prevádzkovateľa vrátiť alebo vymazať osobné údaje, pokiaľ podľa osobitného predpisu neexistuje požiadavka na ich uchovanie.

K § 35

odsek 1

36

Ak prevádzkovateľ alebo sprostredkovateľ nemá sídlo, miesto podnikania, organizačnú zložku, prevádzkareň alebo trvalý pobyt na území Únie, a vykonáva spracovateľské činnosti, ktoré súvisia s ponukou tovaru alebo služieb dotknutým osobám nachádzajúcimi sa na území Slovenskej republiky bez ohľadu na to, či sa od dotknutej osoby vyžaduje platba, alebo vykonávané spracúvanie súvisí so sledovaním správania dotknutých osôb nachádzajúcich sa na území Slovenskej republiky, je tento prevádzkovateľ alebo sprostredkovateľ povinný písomne poveriť zástupcu so sídlom alebo trvalým pobytom na území jedného z členských štátov Únie.

odsek 2

Ak spracúvanie osobných údajov vykonáva prevádzkovateľ alebo sprostredkovateľ povinnosť ustanoviť zástupcu prevádzkovateľa v členskom štáte Európskej únie sa ho netýka, ak je ním vykonávané spracúvanie osobných údajov občasné a nezahŕňa vo veľkom rozsahu spracúvanie osobitných kategórií osobných údajov alebo spracúvanie osobných údajov týkajúcich sa uznania viny za trestné činy a priestupky, a nie je pravdepodobné, že takéto jeho spracúvanie povedie k riziku pre práva fyzických osôb, pričom sa zohľadní povaha, kontext, rozsah a účely spracúvania. Ak spracúvanie osobných údajov vykonáva prevádzkovateľ alebo sprostredkovateľ povinnosť ustanoviť zástupcu prevádzkovateľa v členskom štáte Európskej únie sa ho netýka, ak ide o orgán verejnej moci alebo verejnoprávnu inštitúciu.

odsek 3

Zástupca koná v mene prevádzkovateľa alebo sprostredkovateľa a úrad a dotknuté osoby sa môžu naňho kedykoľvek obrátiť. Uvedené má byť výslovne určené písomným poverením prevádzkovateľa alebo sprostredkovateľa. V tomto poverení prevádzkovateľ alebo sprostredkovateľ určí svojmu zástupcovi jeho úlohy, okrem iného aj spoluprácu s úradom, a to v súvislosti s opatreniami prijatými na zabezpečenie súladu s týmto zákonom.

odsek 4

Zodpovednosť alebo povinnosť prevádzkovateľa alebo sprostredkovateľa podľa tohto zákona poverením zástupcu zostáva zachovaná, tak ako aj právo dotknutej osoby podať návrh na začatie konania podľa § 101 tohto zákona. Tiež zostáva zachované právo na právnu ochranu dotknutej osoby a postup podľa Správneho súdneho poriadku, ktoré dotknutá osoba môže uplatniť proti samotnému prevádzkovateľovi alebo sprostredkovateľovi a nie ich zástupcovi.

K § 36

Sprostredkovateľ a každá osoba konajúca na základe zmluvy alebo iného právneho aktu, napríklad poverenia prevádzkovateľom alebo sprostredkovateľom, majúca na základe tejto zmluvy alebo poverenia prístup k osobným údajom, môže tieto spracúvať len na základe daných pokynov alebo poverenia prevádzkovateľa alebo sprostredkovateľa alebo podľa osobitného predpisu, alebo medzinárodnej zmluvy ktorou je Slovenská republika viazaná ak osobitný zákon alebo zmluva stanovuje konkrétne podmienky spracúvania.

K § 37

Ustanovenia určujú povinnosť prevádzkovateľa alebo sprostredkovateľa a v príslušnom prípade aj zástupcu prevádzkovateľa a sprostredkovateľa viesť a uchovávať záznamy o spracovateľských činnostiach, za ktoré sú zodpovední a ktoré vykonávajú, na účely preukázania súladu s týmto zákonom. Obsah záznamov je taxatívne určený týmto zákonom, pričom je povinnosť viesť záznamy v písomnej podobe alebo v elektronickej podobe. Prevádzkovateľ, sprostredkovateľ a v niektorých prípadoch aj zástupca prevádzkovateľa a sprostredkovateľa sú povinní na požiadanie úradu mu tieto záznamy sprístupniť.

37

Prevádzkovateľ, sprostredkovateľ a ich zástupca nie je povinný viesť záznamy o spracovateľských činnostiach, ak kumulatívne spĺňa zákonom stanovené podmienky, a to

a)zamestnáva menej ako 250 fyzických osôb,

b)nie je pravdepodobné, že spracúvanie, ktoré vykonáva, povedie k riziku pre práva dotknutej osoby,

c)je toto spracúvanie príležitostné,

d)nezahŕňa osobitné kategórie osobných údajov,

e)nezahŕňa osobné údaje týkajúce sa uznania viny za trestné činy a priestupky.

Úrad na svojom webovom sídle zverejní vzor záznamu o spracovateľských činnostiach.

K § 38

Prevádzkovateľ alebo sprostredkovateľ sú povinní nahradiť akúkoľvek škodu, ktorú môže dotknutá osoba utrpieť v dôsledku spracúvania osobných údajov, ktoré je v rozpore s týmto zákonom. Prevádzkovateľ alebo sprostredkovateľ nemajú takúto zodpovednosť, ak preukážu, že za škodu nenesú žiadnu zodpovednosť. Dotknuté osoby za utrpenú škodu majú dostať náhradu. Ak sú prevádzkovatelia alebo sprostredkovatelia zapojení do rovnakého spracúvania, zodpovedajú všetci spoločne a nerozdielne za celú škodu. Každý prevádzkovateľ alebo sprostredkovateľ, ktorý nahradil celú škodu, môže následne začať regresné konanie voči iným prevádzkovateľom alebo sprostredkovateľom zapojeným do toho istého spracúvania.

K § 39

Prevádzkovateľ a sprostredkovateľ sú povinní zohľadniť bezpečnostné riziká v rámci technických a organizačných opatrení, ktoré sú povinní prijať na účely zabezpečenia ochrany spracúvaných osobných údajov na účely minimalizácie možného narušenia spracúvania a tak vzniku škody alebo ohrozenia spracúvaných osobných údajov pre dotknuté osoby. Prijatými bezpečnostnými opatreniami sa má zaistiť primeraná úroveň bezpečnosti osobných údajov vrátane ich dôvernosti, integrity a dostupnosti, pričom by sa mali zohľadniť najnovšie poznatky a náklady na vykonanie opatrení ako aj hroziace riziká a povaha osobných údajov, ktoré sa prijatými bezpečnostnými opatreniami majú chrániť.

Na základe uvedeného prevádzkovateľ, ako aj sprostredkovateľ, zmapuje všetky spracovateľské činnosti v rámci cyklu osobných údajov, t.j. proces získania osobných údajov do vnútorného prostredia prevádzkovateľa alebo sprostredkovateľa, priebeh nakladania s osobnými údajmi v prostredí prevádzkovateľa alebo sprostredkovateľa pri vykonávaní hlavnej ako aj vedľajšej či príležitostnej činnosti prevádzkovateľom alebo sprostredkovateľom, uchovávanie, likvidácia a uvoľnenie osobných údajov z vnútorného priestoru prevádzkovateľa – napr. poskytnutie tretím stranám, zverejnenie, prenos do tretích krajín alebo medzinárodnej organizácii.

Na základe zmapovania cyklu osobných údajov prevádzkovateľ alebo sprostredkovateľ objektívne posúdi všetky riziká súvisiace so spracúvaním osobných údajov, ako napríklad

a)pravdepodobnosť a závažnosť rizika v závislosti od povahy, rozsahu, kontextu a účelov spracúvania osobných údajov,

b)riziká spojené so spracúvaním osobných údajov v dôsledku ich náhodného alebo protiprávneho zničenia, straty, zmeny, neoprávneného poskytnutia, neoprávneného poskytnutia prenášaných osobných údajov, neoprávneného prístupu k osobným údajom,

c)dopady súvisiace s rizikami spracúvania ako napríklad ujma na zdraví, majetková alebo nemajetková ujmu, strata kontroly nad osobnými údajmi, obmedzenie práv dotknutých osôb, krádež identity, podvod, finančná strata, neoprávnená reverzná pseudonymizácia, poškodenie dobrého mena, strata dôvernosti osobných údajov chránených profesijným tajomstvom, alebo akékoľvek sociálne alebo hospodárske znevýhodnenie dotknutej osoby.

Na základe takéhoto posúdenia rizika prevádzkovateľ alebo sprostredkovateľ následne príjme zodpovedajúce primerané a účinné bezpečnostné opatrenia, a to napríklad

a)technické, organizačné a personálne bezpečnostné opatrenia s ohľadom na účel spracúvania, zásady spracúvania osobných údajov, množstva osobných údajov, rozsahu osobných údajov, doby

38

uchovávania a dostupnosti osobných údajov, ako napríklad pseudonymizáciu, šifrovanie, logovanie, minimalizácia údajov, poučenie, prístupová a kľúčová politika dôvernosti osobných údajov, dostupnosť k údajom dotknutou osobou v rámci zásady transparentného prístupu a výkonu práv dotknutou osobou, kontinuita spracúvania v prípade bezpečnostných incidentov, mlčanlivosť,

b)interné bezpečnostné pravidlá a postupy,

c)uskutočňovanie penetračných testov na identifikáciu možných útokov na osobné údaje,

d)vykonávanie testovacej, posudzovacej a hodnotiacej činnosti s ohľadom na cyklus spracúvania osobných údajov.

Prevádzkovateľ alebo sprostredkovateľ má pri spracúvaní osobných údajov prijať také bezpečnostné opatrenia, aby bol schopný v primeranej miere predchádzať bezpečnostným incidentom, a to tak fyzickým ako aj technickým, včas ich identifikovať s cieľom minimalizovať riziko narušenia dôvernosti, integrity a dostupnosti spracúvaných osobných údajov a tiež s cieľom minimalizovať prípadné škody, ktoré vznikli alebo môžu vzniknúť v dôsledku bezpečnostného incidentu na právach dotknutých osôb. Fyzickým incidentom rozumieme zlyhanie ľudského faktora, napríklad porušenie nastavených politík ochrany, porušenie „čínskych múrov“, vykonanie operácie, na ktorú osoba nemala oprávnenie, alebo aj len fyzická neopatrnosť zamestnanca, obliatie zariadenie, ktoré na istú dobu znefunkční chod prevádzkovateľových informačných systémov osobných údajov a môže tak ohroziť integritu spracúvaných osobných údajov. Technický incident je zlyhanie nastavených automatizovaných procesov, prípadne fyzické zlyhanie techniky v dôsledku opotrebovanie alebo výpadku elektrickej energie.

Prevádzkovateľ a aj sprostredkovateľ je povinný poučiť každú fyzickú osobu, ktorá, ako oprávnená osoba, vykonáva pre prevádzkovateľa alebo sprostredkovateľa spracovateľské činnosti, ako aj iné fyzické osoby, ktoré vykonávajú spracovateľské činnosti pre prevádzkovateľa alebo sprostredkovateľa na základe poverenia a majú prístup k osobným údajom prevádzkovateľa alebo sprostredkovateľa, aby dodržiavali a vykonávali spracovateľské operácie len na základe pokynov prevádzkovateľa alebo na základe osobitného predpisu, na základe ktorého táto fyzická osoba osobné údaje spracúva. Na základe uvedeného platí, že povinnosť poučiť fyzickú osobu o dodržiavaní pokynov má tak prevádzkovateľ, ako aj sprostredkovateľ voči „svojim“ fyzickým osobám, ale povinnosť určiť pokyny, ktoré majú tieto fyzické osoby dodržiavať, má len prevádzkovateľ.

K § 40

Prevádzkovateľ alebo sprostredkovateľ spracúva osobné údaje dotknutej osoby. Obaja, tak prevádzkovateľ, ako aj sprostredkovateľ, sú v závislosti od toho, aké osobné údaje spracúvajú, povinní prijať ich adekvátnu ochranu a zamedziť alebo eliminovať na najnižšiu možnú mieru riziko ohrozenia spracúvaných osobných údajov, osobitne osobných údajov osobitnej kategórie. Môžu nastať situácie, kedy tak prevádzkovateľ, ako ani sprostredkovateľ napriek všetkej svojej odbornej starostlivosti, nebudú schopní zaistiť úplnú ochranu nimi spracúvaných osobných údajov tak, aby eliminovali všetky riziká a dôjde k porušeniu ochrany osobných údajov. V takom prípade je prevádzkovateľ povinný, hneď ako sa o porušení bezpečnosti ním spracúvaných osobných údajov dozvie, analyzovať dané porušenie bezpečnostných opatrení, možný bezpečnostný incident, posúdiť jeho závažnosť a posúdiť, či je spôsobilý viesť k riziku pre práva dotknutých osôb, teda či ho možno klasifikovať ako taký bezpečnostný incident ohrozujúci spracúvané osobné údaje. Ak prevádzkovateľ zhodnotí, že narušením bezpečnosti došlo zároveň aj ku vzniku bezpečnostného incidentu a ním spracúvané osobné údaje boli narušené, je povinný o tomto porušení ochrany osobných údajov informovať úrad, a to čo najskôr, ako sa o porušení ochrany spracúvaných osobných údajov dozvedel a má ju na základe svojich zistení za preukázanú, najneskôr však maximálne do 72 hodín odkedy sa o porušení dozvedel, t.j. kedy prevádzkovateľ má za preukázané, že k porušeniu ochrany osobných údajov vzniknutým porušením bezpečnostných opatrení došlo. Výnimkou z povinnosti oznámenia porušenia ochrany osobných údajov úradu sú situácie, keď vie prevádzkovateľ, v súlade so zásadou zodpovednosti preukázať, že nie je pravdepodobné, že porušenie ochrany osobných údajov povedie alebo viedlo k riziku pre práva dotknutých osôb. Povinnosť nahlasovať porušenie ochrany osobných údajov cez Jednotný informačný

39

systém kybernetickej bezpečnosti (ďalej len „JISKB“) z tohto zákona prevádzkovateľovi priamo nevyplýva, v prípade ak bude tento JISKB jedným z kanálov nahlasovania porušenia ochrany spracúvaných osobných údajov bude toto upravené v osobitnom zákone o kybernetickej bezpečnosti.

Ak nie je možné, aby prevádzkovateľ oznámenie porušenia ochrany osobných údajov zaslal úradu do 72 hodín odkedy sa o porušení ochrany osobných údajov dozvedel a vyhodnotí ho ako porušenie ochrany osobných údajov s rizikom pre práva fyzických osôb, oznámenie úradu vykoná neskôr, prípadne úradu v danom momente oznámi všetky údaje, ktoré je schopný, ostatné doplní ihneď ako bude môcť. K oznámeniu je povinný pripojiť odôvodnenie svojho omeškania, pričom informácie môže poskytnúť aj v etapách, no bez ďalšieho zbytočného odkladu.

Prevádzkovateľ v rámci vysporiadania sa s narušením ochrany osobných údajov musí súčasne riešiť viacero situácií. Ak prevádzkovateľ v čase, kedy sa o porušení ochrany osobných údajov dozvie, nie je schopný poskytnúť úradu v stanovenej lehote všetky informácie z dôvodu potreby zistenia všetkých relevantných skutočností, môže oznámenie porušenia ochrany osobných údajov vykonať následne, keď získa o všetkých požadovaných skutočnostiach vedomosť, alebo ihneď, ako mu to aspoň čiastková náprava situácie dovolí; týmto ustanovením sa však neznižuje jeho povinnosť informovať úrad ihneď alebo maximálne do 72 hodín, ako sa o porušení ochrany osobných údajov dozvie, respektíve neskôr, aj po uplynutí 72 hodín, no s odôvodnením jeho omeškania.

V prípade, ak spracúva osobné údaje v mene prevádzkovateľa sprostredkovateľ, mechanizmus oznamovania porušenia ochrany osobných údajov úradu prebieha tak, že sprostredkovateľ vyrozumie prevádzkovateľa o porušení ochrany osobných údajov čo najskôr ako sa o porušení dozvedel. Následne prevádzkovateľ porušenie ochrany osobných údajov oznámi úradu, spôsobom podľa zákona.

Oznámenie úradu o tom, že bola porušená ochrana spracúvaných osobných údajov je dôležité a je podstatné stanoviť obsah takéhoto oznámenia úradu, aby informácie v ňom uvedené mali dostatočnú a potrebnú výpovednú hodnotu a úrad z nich vedel určiť, závažnosť rizika pre práva fyzických osôb. Náležitosti oznámenia porušenia ochrany osobných údajov úradu ustanovuje odsek 4 tohto ustanovenia.

Porušenie ochrany osobných údajov je vždy závažnou skutočnosťou, bez ohľadu na riziko a mieru dopadu na práva dotknutých osôb. Každé porušenie ochrany osobných údajov, ktoré prevádzkovateľ identifikuje, je potrebné zdokumentovať, a to aj v prípade, ak vyhodnotí porušenie ochrany osobných údajov, ako také, ktoré nie je potrebné oznamovať úradu. Dôkladné zdokumentovanie bezpečnostných incidentov je nápomocné prevádzkovateľovi, pri správnom nastavení bezpečnostných opatrení, a tiež je dôležité pre posúdenie úradom, ako prevádzkovateľ reaguje na bezpečnostné hrozby a porušenia ochrany osobných údajov. To platí tak pre tie porušenia, o ktorých prevádzkovateľ úrad vyrozumel, ako aj pre tie, ktoré úradu v rámci oznámenia porušenia ochrany osobných údajov nebol povinný oznamovať. Súčasťou dokumentovania porušenia ochrany osobných údajov je aj odôvodnenie, že bezpečnostný incident nie je rizikom pre práva fyzických osôb.

K § 41

Prevádzkovateľ, prípadne sprostredkovateľ nesie zodpovednosť za ochranu spracúvaných osobných údajov. V závislosti od toho, aké osobné údaje prevádzkovateľ spracúva, je povinný zabezpečiť ich adekvátnu ochranu tak, aby zamedzil alebo eliminoval na najnižšiu možnú mieru riziko ohrozenia ním spracúvaných osobných údajov, osobitne osobných údajov osobitnej kategórie. Prevádzkovateľ ani sprostredkovateľ, napriek všetkej svojej odbornej starostlivosti, nie sú za každých okolností schopní zaistiť úplnú ochranu nimi spracúvaných osobných údajov tak, aby eliminovali všetky riziká a dôjde k porušeniu ochrany osobných údajov. V takom prípade je prevádzkovateľ povinný, akonáhle sa o porušení ochrany ním spracúvaných osobných údajov dozvie, toto porušenie analyzovať, posúdiť jeho závažnosť, a to, či je spôsobilé viesť k riziku pre práva dotknutých osôb. V prípade, ak prevádzkovateľ zhodnotí, že porušenie ochrany osobných údajov pravdepodobne povedie k takémuto riziku , je povinný o tomto porušení ochrany osobných údajov informovať dotknutú osobu, aby mohla prijať, ak je to možné a vhodné, potrebné preventívne opatrenia.

40

Takéto informovanie dotknutých osôb by sa malo vykonať čo najskôr ako je to možné, aby dotknutá osoba mohla zmierniť bezprostredné riziko škody tým, že vykoná také úkony, ktorými môže aspoň sčasti eliminovať negatívne dôsledky porušenia ochrany jej osobných údajov, napríklad zablokovať svoje platobné karty, zmeniť prístupové heslo a podobne.

Význam informovania dotknutej osoby o narušení ochrany jej osobných údajov u prevádzkovateľa je dôležitý, podstatné je stanoviť obsah takéhoto oznámenia dotknutej osobe tak, aby informácie v ňom uvedené mali dostatočnú a zrozumiteľnú výpovednú hodnotu pre dotknutú osobu. Prevádzkovateľ pri koncipovaní oznámenia o porušení ochrany osobných údajov dotknutej osobe má pamätať na to, že informácie jej má poskytnúť jednoducho a jasne tak, aby dotknutej osobe boli zrozumiteľné, s ohľadom na rôznu kategóriu dotknutých osôb. Nie je preto vhodné, aby prevádzkovateľ pri oznamovaní porušenia ochrany osobných údajov dotknutej osobe poskytol informácie takým spôsobom a používal také technické či právne výrazy, ktoré by dotknutej osobe nemuseli byť zrozumiteľné. Prevádzkovateľ by mal jazyk oznámenia dotknutej osobe určiť aj podľa toho, aké dotknuté osoby majú byť predmetom informovania, ak je možné ich kategorizovať, informácie by mal poskytnúť primerane ich odhadovaným odborným znalostiam a rozumovým schopnostiam.

Odsek 3 taxatívne stanovuje výnimky, kedy oznámenie dotknutej osobe nie je vyžadované; na to, aby prevádzkovateľ nemusel plniť oznamovaciu povinnosť voči dotknutej osobe je postačujúce, ak prevádzkovateľ splní minimálne jednu zo stanovených výnimiek.

V prípade, ak prevádzkovateľ oznámil porušenie ochrany osobných údajov úradu, ale ešte tak nevykonal vo vzťahu k dotknutým osobám a hrozí, že porušenie ochrany by mohlo mať vo vzťahu k dotknutým osobám také následky, ktoré by mohli spôsobiť ohrozenie ich práv vo vysokej miere, môže úrad rozhodnúť vo vzťahu k prevádzkovateľovi a nariadiť mu, aby dotknuté osoby informoval o porušení ochrany ich osobných údajov, prípadne môže rozhodnúť, že prevádzkovateľ splnil jednu z podmienok - výnimiek, na základe ktorých podľa odseku 3 tohto ustanovenia nie je povinný o porušení ochrany osobných údajov dotknuté osoby vyrozumieť.

Pravdepodobnosť porušenia ochrany osobných údajov dotknutých osôb úrad posúdi na základe oznámenia prevádzkovateľa o porušení ochrany osobných údajov úradu. Úrad musí zohľadniť všetky v oznámení uvedené skutočnosti a na ich základe prevádzkovateľovi môže nariadiť, aby dotknuté osoby informoval, alebo aby tak nekonal, nakoľko sa v jeho prípade uplatní niektorá z výnimiek podľa odseku 3 tohto ustanovenia.

K § 42

odsek 1

Spracovateľské operácie, ktoré môžu viesť k vysokému riziku pre práva fyzických osôb z dôvodu ich povahy, rozsahu, kontextu a účelu môžu byť najmä tie, ktoré sú realizované prostredníctvom využitia nových technológií alebo tie, ktoré sú nového druhu a v súvislosti s ktorými prevádzkovateľ ešte nevykonal posúdenie vplyvu na ochranu osobných údajov a ich bezpečnosť. V takých prípadoch je prevádzkovateľ povinný pred začiatkom spracúvania osobných údajov vykonať posúdenie vplyvu spracovateľských činností na ich ochranu, aby posúdil pravdepodobnosť a závažnosť vysokého rizika na práva dotknutých osôb, pričom zohľadní povahu, rozsah, kontext a účely spracúvania a zdroje rizika. Uvedené posúdenie vplyvu by malo zahŕňať najmä plánované opatrenia, záruky a mechanizmy na zmiernenie daného vysokého rizika, na zabezpečenie ochrany osobných údajov a na preukázanie súladu s týmto zákonom.

Prevádzkovateľ pri posúdení vplyvu na ochranu osobných údajov pri vybraných v zákone určených spracovateľských operáciách, ktoré pravdepodobne povedú k vysokému riziku

a)posúdi vplyv na ochranu osobných údajov ešte pred samotnou konkrétnou spracovateľskou operáciou, a to napríklad

41

i.zmapuje cyklus toku osobných údajov, prostredie, v ktorom dochádza k spracúvaniu, časové rozhranie, podmienky spracúvania, posúdi rozsah, množstvo osobných údajov, účel ich spracúvania, vrátane prípadného oprávneného záujmu, ktorý sleduje,

ii. posúdi nutnosť a primeranosť spracovateľských operácii vo vzťahu k účelu,

iii.zhodnotí zdroj, povahu, osobitosť a závažnosť tohto vysokého rizika pre práva dotknutých osôb,

iv.posúdi aké sú bezpečnostné, personálne/organizačné a technické prostriedky alebo opatrenia, záruky a mechanizmy na zabezpečenie ochrany osobných údajov a na preukázanie súladu so zákonom, najmä pri zohľadnení práv a oprávnených záujmov dotknutých osôb a iných osôb, ktorých sa spracovateľská operácia týka,

b)zabezpečí posúdenie vplyvu na ochranu osobných údajov aj počas spracúvania týchto osobných údajov napríklad formou auditu ochrany osobných údajov alebo kontroly zodpovednej osoby alebo penetračnými testami pri spracovateľských operáciách,

c)príjme primerané a účinné bezpečnostné opatrenia na zmiernenie vysokého rizika.

Ak je výsledkom posúdenia vplyvu zhodnotenie, že nie je možné prijať také účinné a primerané opatrenia, ktoré by zmiernili vysoké riziko (s ohľadom na najnovšie technológie a náklady na vykonanie týchto opatrení) vzniká prevádzkovateľovi povinnosť predchádzajúcej konzultácie s úradom.

Posúdenie vplyvu možno v kontexte bezpečnostných opatrení prirovnať k posúdeniu spracovateľských činností, ktoré podľa predchádzajúcej právnej úpravy, podliehali povinnosti zdokumentovať prijaté primerané bezpečnostné opatrenia v bezpečnostnom projekte. Ak teda prevádzkovateľ podľa predchádzajúcej právnej úpravy má prijaté a zdokumentované bezpečnostné opatrenia alebo bezpečnostný projekt, môže tieto v kontexte vykonávaných spracovateľských operácií prehodnotiť v zmysle nových povinností podľa tohto zákona a najmä v kontexte ako ním identifikované riziká môžu mať dopad na spracúvané osobné údaje dotknutej osoby a na prípadnú škodu, ktorá by dotknutej osobe porušením integrity jej osobných údajov vznikla. V prípade, ak takýto bezpečnostný projekt podľa predchádzajúcej právnej úpravy je súladný s týmto zákonom v niektorých častiach, možno tieto použiť na preukázanie vykonaného posúdenia vplyvu podľa tohto zákona primerane.

odsek 2

Pokiaľ má prevádzkovateľ ustanovenú zodpovednú osobu, je povinný vykonať posúdenie vplyvu v súčinnosti s touto zodpovednou osobou a má sa s ňou o zamýšľaných opatreniach a eliminácii bezpečnostných rizík radiť.

odsek 3

Posúdenie vplyvu sa vyžaduje pri spracovateľských operáciách veľkého rozsahu, ktorých cieľom je spracúvať značný objem osobných údajov na regionálnej, vnútroštátnej alebo nadnárodnej úrovni, ktoré by mohli ovplyvniť veľký počet dotknutých osôb a ktoré pravdepodobne povedú k vysokému riziku, napríklad z hľadiska ich citlivosti, ak sa v súlade s dosiahnutým stavom technologických znalostí vo veľkom rozsahu využíva nová technológia, ako aj pri iných spracovateľských operáciách, ktoré predstavujú vysoké riziko pre práva dotknutých osôb, najmä ak je pre dotknuté osoby náročnejšie uplatniť svoje vlastné práva.

Posúdenie vplyvu na ochranu údajov sa má vykonať aj vtedy, keď sa osobné údaje spracúvajú s cieľom prijímať rozhodnutia, ktoré sa týkajú konkrétnych fyzických osôb, a ktoré sa prijímajú po akomkoľvek systematickom a rozsiahlom zhodnotení osobných aspektov súvisiacich s fyzickými osobami na základe profilovania týchto údajov alebo v nadväznosti na spracúvanie osobitných kategórií osobných údajov, biometrických údajov alebo údajov o uznaní viny za trestné činy a priestupky či súvisiacich bezpečnostných opatreniach.

Posúdenie vplyvu na ochranu údajov sa vyžaduje aj v prípade monitorovania verejne prístupných miest vo veľkom rozsahu, najmä ak sa používajú optické elektronické zariadenia, alebo v prípade akýchkoľvek iných operácií, ak je pravdepodobné, že spracúvanie povedie k vysokému riziku pre práva

42

dotknutých osôb, najmä preto, lebo tieto operácie bránia dotknutým osobám uplatniť svoje právo alebo využiť službu alebo zmluvu, alebo preto, že sa systematicky vykonávajú vo veľkom rozsahu.

Na uľahčenie posúdenia, či ide o spracúvanie vo veľkom rozsahu, je potrebné, aby sa pri posudzovaní bral ohľad na dosah spracovateľskej operácie, teda či sa spracovateľská operácia dotkne veľkého počtu dotknutých osôb v pomere napríklad k celkovému počtu obyvateľov, zamestnancov firmy, ako veľký bude objem spracúvaných osobných údajov, ako dlho sa plánuje, že bude spracúvanie vykonávané.

Medzi príklady spracúvania osobných údajov vo veľkom rozsahu možno zaradiť napríklad spracúvanie cestovných údajov jednotlivcov využívajúcich mestskú hromadnú dopravu, spracúvanie geolokalizačných údajov zákazníkov medzinárodných sietí obchodov v reálnom čase na štatistické účely a iné. O spracúvanie osobných údajov vo veľkom rozsahu naopak nejde v prípade spracúvania osobných údajov lekárom o jeho jednotlivých pacientoch alebo v prípade spracúvania osobných údajov týkajúcich sa uznania viny za trestné činy a priestupky jednotlivým právnikom.

odsek 4

Stanovuje minimálny rozsah náležitostí, ktoré má posúdenie vplyvu obsahovať.

odsek 5

Združenia alebo iné orgány zastupujúce kategórie prevádzkovateľov alebo sprostredkovateľov by sa mali podnecovať k tomu, aby vypracovali kódexy správania, aby sa zohľadnili osobitné črty spracúvania v určitých odvetviach. V takýchto kódexoch správania by sa mali nastaviť povinnosti prevádzkovateľov a sprostredkovateľov so zreteľom na riziko, ktoré pravdepodobne vyplýva zo spracúvania osobných údajov, pokiaľ ide o práva fyzických osôb. V prípade, ak má prevádzkovateľ alebo skupina prevádzkovateľov vypracovaný kódex správania, ktorý možno do istej miery považovať za stanovenie istého štandardu spracúvania a nakladania s osobnými údajmi je možné a vhodné, aby úrad v rámci posudzovania dosahu predpokladaných spracovateľských operácií ich dosah porovnával a zohľadňoval aj v kontexte obsahu týchto úradom schválených kódexov správania. Mohla by sa tým eliminovať situácia, kedy bezpečnostné opatrenia prevádzkovateľa nedosahujú ani úroveň, ktorú na spracúvanie osobných údajov kladie úradom schválený kódex správania v danej oblasti.

odsek 6

Pri vypracúvaní bezpečnostných opatrení a posudzovaní vplyvov, ktoré môžu nastať pri konkrétnom type spracovateľskej operácie alebo aj pri viacerých zamýšľaných typoch spracovateľských operácií je vhodné, ak je to možné, aby prevádzkovateľ ním zamýšľané spracúvanie osobných údajov konzultoval s dotknutými osobami na účely posúdenia vplyvu takéhoto spracúvania. V prípade, ak pripomienky, výzvy a názory dotknutých osôb sú relevantné, prevádzkovateľ by mal na ne prihliadať. Prevádzkovateľ má povinnosť pri posúdení a kreovaní spracovateľskej operácie dbať aj na to, aby nedošlo k ohrozeniu verejného záujmu, ktorý by mal slúžiť v prospech väčšiny občanov a prinášať majetkový alebo iný prospech všetkým alebo mnohým občanom.

odsek 7

Prevádzkovateľ by sa mal pravidelne venovať opätovnému prehodnocovaniu spracúvania a porovnávaniu ním prijatých opatrení v závislosti na spracúvaných údajoch, a to najmä v prípadoch ak došlo k vzniku nového rizika prípadne už identifikované riziko sa zvýšilo.

K § 43

odsek 1

43

V prípade ak z posúdenia vplyvu ochrany osobných údajov vyplýva, že spracúvanie by viedlo k vysokému riziku pre práva dotknutých osôb (typ spracúvania; rozsah a frekvencia spracúvania, stupeň ochrany osobných údajov) v prípade, ak by prevádzkovateľ neprijal záruky, bezpečnostné opatrenia a mechanizmy na jeho zmiernenie, je prevádzkovateľ povinný pred začiatkom spracúvania osobných údajov požiadať úrad o predchádzajúcu konzultáciu. Prevádzkovateľ je povinný vykonať s úradom predchádzajúci konzultáciu, ak už využil všetky jemu dostupné a známe existujúce záruky, bezpečnostné opatrenia a mechanizmy na zmiernenie vysokého zvyškového rizika a súčasne sa prevádzkovateľ domnieva, že ani zvyškové riziko, ktoré vyšlo vysoké, sa nedá zmierniť primeranými prostriedkami, pokiaľ ide o dostupné technológie a náklady na vykonanie opatrení.

odsek 2 a odsek 3

Účelom predchádzajúcej konzultácie je poradenská činnosť úradu prevádzkovateľovi prípadne sprostredkovateľovi k možným a existujúcim primeraným a účinným bezpečnostným opatreniam na zníženie vysokého zvyškového rizika, ktoré prevádzkovateľ nezohľadnil či neprijal, či napriek zohľadneniu nevie efektívne znížiť. Úrad taktiež na základe zaslanej žiadosti o predchádzajúcu konzultáciu posudzuje zákonnosť daného spracúvania a to, či je spracúvanie v súlade s týmto zákonom a osobitnými predpismi.

Úrad pri posudzovaní spracovateľských operácií primárne vychádza z faktov, ktoré mu poskytne prevádzkovateľ v žiadosti o predchádzajúcu konzultáciu, najmä zohľadňuje informácie o príslušných povinnostiach prevádzkovateľa, o spoločných prevádzkovateľoch a sprostredkovateľoch zapojených do spracúvania a to hlavne v prípade spracúvania v rámci skupiny podnikov. Úrad pri posudzovaní spracovateľských operácií tiež posudzuje informácie o účeloch zamýšľaného spracúvania a prostriedkoch na jeho vykonanie; informácie o opatreniach a zárukách poskytnutých na ochranu práv dotknutých osôb podľa tohto zákona; v príslušných prípadoch kontaktné údaje zodpovednej osoby; posúdenie vplyvu na ochranu údajov a akékoľvek ďalšie informácie, o ktoré úrad požiada.

V prípade, že úrad nemá všetky alebo dostatok potrebných informácií na posúdenie, môže si dodatočne tieto od prevádzkovateľa vyžiadať, pričom ten je povinný takejto žiadosti úradu vyhovieť v lehote, akú mu na poskytnutie určí v žiadosti o predloženie dodatočných informácií úrad.

Lehoty na poskytnutie poradenstva zo strany úradu sú určené v tomto zákone. Úrad má na poskytnutie písomného poradenstva od prijatia žiadosti 8 týždňov, ak je potrebné, má možnosť túto lehotu predĺžiť o 6 týždňov, podľa potreby a zložitosti posudzovania danej spracovateľskej operácie. Je v záujme prevádzkovateľa, aby už vo svojej žiadosti poskytol také množstvo informácií o zamýšľanej spracovateľskej operácii, aby úrad nemusel prevádzkovateľa žiadať o doplnenie. Ak však úrad v rámci tejto lehoty nezareaguje, nie je tým dotknutá žiadna jeho právomoc v súlade s jeho úlohami a stanovenými právomocami vrátane práva zakázať spracovateľskú operáciu.

Súčasťou konzultačného procesu môže byť predloženie výsledku posúdenia vplyvu na ochranu údajov úradu, ktoré sa vykonalo v súvislosti s daným spracúvaním.

K § 44

odsek 1

Uvedený odsek stanovuje spracovateľské operácie s osobnými údajmi pri ktorých, ak ich vykonávajú, majú povinnosť určiť zodpovednú osobu, osobu s odbornými znalosťami práva a postupov v oblasti ochrany údajov.

odsek 2 a odsek 3

Prevádzkovatelia alebo sprostredkovatelia patriaci do jednej skupiny podnikov si môžu určiť jednu zodpovednú osobu za predpokladu, že takto spoločne ustanovená zodpovedná osoba bude mať možnosť reálne vykonávať a riadne si plniť svoje úlohy (napríklad v prípade vykonávania obhliadky serverov, kontroly bezpečnostných opatrení) a bude prístupná každému prevádzkovateľovi alebo

44

sprostredkovateľovi (napríklad aj zo skupiny podnikov plniť povinnosti pre každý z nich samostatne) pre ktorých je ustanovená. Určenie jednej zodpovednej osoby je prípustné aj pre orgány verejne moci, za rovnakého predpokladu reálnej možnosti výkonu svojich úloh a dostupnosti pre každého prevádzkovateľa alebo sprostredkovateľa, a ak to organizačná štruktúra umožňuje. Zodpovedná osoba a jej poradenstvo má byť ľahko dostupné, teda „služby“ zodpovednej osoby majú byť dostupné napríklad v tom zmysle, že nie je si potrebné termín na konzultáciu u nej vopred dohodnúť niekoľko týždňov vopred alebo že je, v prípade ak je to potrebné, flexibilná reagovať do niekoľkých hodín, napríklad ak sa u prevádzkovateľa vyskytne bezpečnostný incident.

odsek 4

S ohľadom na odsek 1 tohto ustanovenia, kedy prevádzkovateľ a sprostredkovateľ je povinný určiť zodpovednú osobu, prevádzkovateľ a sprostredkovateľ si môžu dobrovoľne určiť zodpovednú osobu, ak to uznajú za vhodné. Na takto ustanovenú zodpovednú osobu sa vzťahujú práva a povinnosti rovnako ako pri povinne určenej zodpovednej osobe prevádzkovateľom alebo sprostredkovateľom. V prípade ak si chcú združenia a iné subjekty zastupujúce kategórie prevádzkovateľov alebo sprostredkovateľov určiť zodpovednú osobu, je potrebné vnímať, že takýmito kategóriami prevádzkovateľov a sprostredkovateľov možno vnímať banky, neziskové organizácie, zamestnávateľov v istej oblasti, teda subjekty, ktoré majú isté príbuzenské znaky najmä pokiaľ ide o ich činnosť, ktorá je ich hlavnou podnikateľskou činnosťou.

odsek 5 až odsek 7

Zodpovedná osoba sa má určiť na základe jej odbornosti, vedomostí, schopností, aby svoje povinnosti mohla vykonávať riadne a zodpovedne. Nie je potrebné, aby zodpovedná osoba bola kmeňovým zamestnancom prevádzkovateľa, nie je to ani vylúčené. Je vhodné, aby fyzická osoba na účely výkonu zodpovednej osoby vedela preukázať svoje vedomosti v oblasti ochrany osobných údajov, ako napríklad preukázaním sa o dosiahnutom vzdelaní, príslušnou praxou v práci s osobnými údajmi, úspešným absolvovaním workshopov, skúšok, alebo absolvovaním iných vzdelávacích aktivít a kurzov v oblasti ochrany osobných údajov. Potrebná úroveň odborných znalostí zodpovednej osoby by sa mala určiť najmä v závislosti od vykonávaných operácií s osobnými údajmi a od požadovanej ochrany osobných údajov u prevádzkovateľa alebo sprostredkovateľa. Takéto zodpovedné osoby, či už sú alebo nie sú zamestnancami prevádzkovateľa, by mali mať možnosť vykonávať svoje povinnosti a úlohy nezávisle. Môžu ich vykonávať aj na základe zmluvy o poskytovaní služby, ak zodpovedná osoba nie je zamestnancom prevádzkovateľa alebo sprostredkovateľa.

odsek 8

Na účely plnenia činností zodpovednej osoby je potrebné, aby jej kontaktné údaje boli prevádzkovateľom a sprostredkovateľom zverejnené, a to tak aby boli kontaktné údaje zodpovednej osoby dostupné jednak zamestnancom daného prevádzkovateľa ale predovšetkým dotknutým osobám. Nakoľko zodpovedná osoba má poskytovať súčinnosť úradu je potrebné, aby aj úrad bol informovaný o jej určení, najneskôr momentom tohto ustanovenia. S týmto určením, či o zmene v osobe zodpovednej osoby je povinný prevádzkovateľ alebo sprostredkovateľ úrad bez meškania informovať.

Pokiaľ ide o zverejnené kontakty zodpovednej osoby zákon výslovne nevyžaduje, aby prevádzkovateľ zverejnil jej meno alebo priezvisko, je však potrebné aby zabezpečil zverejnenie kontaktu na ňu, ako zodpovednú osobu, na funkciu, to znamená, že uvedená povinnosť bude splnená aj vtedy, ak napríklad na svojom webovom sídle zverejní kontaktné údaje vo forme adresy a napríklad e-mailu na ktorom je zodpovedná osoba zastihnuteľná (napr.: zodpovednaosoba@menofirmy.sk, alebo v adrese uvedie: Kancelária Zodpovednej osoby spoločnosti s. r. o. podľa zákona č. ......, Pekná ulica 33, 963 33 Bratislava). Samozrejme nie je vylúčené, aby sa kontaktné údaje zodpovednej osoby skladali aj s jej reálneho mena a priezviska. Pokiaľ ide o oznamovanie zodpovednej osoby úradu, je potrebné, aby úradu boli oznámené skutočné osobné údaje zodpovednej osoby. Oznámenie o určení zodpovednej

45

osoby bude možné voči úradu vykonať rôznymi spôsobmi, a to napríklad e-mailom, poštou alebo osobne.

K § 45

Ak prevádzkovateľ a sprostredkovateľ majú povinnosť určiť zodpovednú osobu alebo sa dobrovoľne rozhodli ju určiť, je potrebné, aby ju riadne a včas zapojili do všetkých činností, ktoré sú pre ňu potrebné na to, aby si svoju funkciu zodpovednej osoby mohla riadne plniť. Je potrebné, aby od momentu jej určenia mala prístup do všetkých informačných a bezpečnostných systémov prevádzkovateľa alebo sprostredkovateľa.

V rámci neustáleho rozvoja informačno-komunikačných technológií je potrebné, aby sa zodpovedná osoba pravidelne vzdelávala, v čom by ju prevádzkovateľ alebo sprostredkovateľ mal podporovať, aj finančne, keďže zvyšovanie jej vedomostí a zručností prispeje k lepšej ochrane osobných údajov v rámci jeho informačných systémov osobných údajov.

Postavenie zodpovednej osoby je nezávislé a nestranné, a je zodpovedná osoba je povinná zachovávať mlčanlivosť v súvislosti s výkonom úloh zodpovednej osoby. Prevádzkovateľ a sprostredkovateľ môžu zasahovať do plnenia úloh zodpovednej osoby len ak sú princípy nestrannosti a nezávislosti zodpovednej osoby zachované. Ak zodpovedná osoba vykonáva iné činnosti pre prevádzkovateľa alebo sprostredkovateľa okrem úloh zodpovednej osoby, tieto nesmú byť v konflikte s jej činnosťou, ako zodpovednej osoby, či mať nepriaznivý vplyv na plnenie úloh zodpovednej osoby a na jej nezávislé postavenie. Zodpovedná osoba má mať priamu informačnú povinnosť (oznamovaciu linku) na najvyššie vedenie prevádzkovateľa alebo sprostredkovateľa zodpovedného za oblasť ochrany osobných údajov. Ak zodpovedná osoba svojou činnosťou zistí nedostatky alebo porušenia ochrany osobných údajov, či nesúlad so zákonom alebo osobitným predpisom pre oblasť ochrany osobných údajov, je povinná o tejto skutočnosti ihneď informovať prevádzkovateľa alebo sprostredkovateľa a súčasne má mať oprávnenia na zabezpečenie okamžitej nápravy a docielenie súladu s týmto zákonom pre oblasť ochrany osobných údajov. V prípade, ak zodpovedná osoba vykonáva funkciu zodpovednej osoby pre podnikateľa, napríklad v rámci jednoosobovej spoločnosti s ručením obmedzeným, podlieha priamo jemu, konateľovi, taktiež, ak je prevádzkovateľom živnostník, tak podlieha priamo jemu, ako najvyššiemu predstaviteľovi prevádzkovateľa alebo sprostredkovateľa.

K § 46

Stanovuje základné a podstatné úlohy, ktoré má zodpovedná osoba vykonávať a v súvislosti s ktorými je zodpovedná osoba povinná pri výkone týchto úloh zohľadniť riziká spojené so spracovateľskými operáciami (povahu, rozsah, kontext a účel). Úlohy zodpovednej osoby sú stanovené príkladným výpočtom, teda nie je vylúčené, aby zodpovedná osoba vykonávala aj iné činnosti spadajúce pod ochranu osobných údajov, ktorými ju prevádzkovateľ alebo sprostredkovateľ poverí, a ktoré nebudú negatívne zasahovať do výkonu úloh zodpovednej osoby podľa tohto zákona prípadne nepovedú ku konfliktu záujmov.

K § 47

Stanovuje podmienky, za ktorých sa môže vykonať prenos osobných údajov, do tretej krajiny alebo medzinárodnej organizácii, sa môže uskutočniť len vtedy, ak prevádzkovateľ a sprostredkovateľ dodržiavajú podmienky, vrátane podmienok následného prenosu osobných údajov z predmetnej tretej krajiny alebo od predmetnej medzinárodnej organizácie do inej tretej krajiny alebo inej medzinárodnej organizácii. Cieľom je neohroziť úroveň ochrany osobných údajov fyzických osôb a zaručiť dodržiavanie podmienok ustanovených týmto zákonom, osobitnými predpismi alebo medzinárodnými zmluvami, ktorými je Slovenská republika viazaná.

K § 48

46

Ustanovenie upravuje podmienky, na základe ktorých je možný prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii.

odsek 1

Prvou z podmienok je existencia rozhodnutia Európskej komisie (ďalej len „Komisia“ alebo aj „Európska komisia“) o primeranosti úrovne ochrany osobných údajov, ktoré zverejňuje na svojom webovom sídle a ktoré následne zverejňuje aj úrad vo forme hypertextového odkazu na svojom webovom sídle. Takéto rozhodnutie zaisťuje právnu istotu a jednotnosť v celej Únii, pokiaľ ide o tretiu krajinu alebo medzinárodnú organizáciu, ktorá sa považuje za tretiu krajinu alebo medzinárodnú organizáciu poskytujúcu takúto dostatočnú úroveň ochrany. V takýchto prípadoch sa prenosy osobných údajov do takejto tretej krajiny alebo medzinárodnej organizácii môžu uskutočňovať bez potreby získania ďalšieho povolenia od úradu.

odsek 2

Komisia môže dospieť k záveru, že tretia krajina, územie alebo určený sektor v tretej krajine, alebo medzinárodná organizácia už nezaručujú primeranú úroveň ochrany osobných údajov. V dôsledku toho by sa mal prenos osobných údajov do tejto tretej krajiny alebo medzinárodnej organizácii zakázať. Primerané záruky možno charakterizovať ako formu opatrenia na kompenzáciu za nedostatočnú ochranu údajov v tretej krajine prostredníctvom primeraných záruk pre dotknutú osobu. Tieto záruky by mali zabezpečiť súlad s požiadavkami na ochranu údajov a právami dotknutých osôb primeranými spracúvaniu v rámci Únie, vrátane dostupnosti vymáhateľných práv dotknutých osôb a účinných prostriedkov nápravy, vrátane účinných prostriedkov správnej a súdnej nápravy a možnosti domáhať sa náhrady škody v Únii alebo tretej krajine.

odsek 3

Ustanovuje formy primeraných záruk.

odsek 4

Povolenie úradu na prenos osobných údajov do tretích krajín alebo medzinárodným organizáciám by sa malo získať v prípade, že záruky sú stanovené v administratívnych dojednaniach, ktoré nie sú právne záväzné (napr. zmluvné doložky v zmluve medzi sprostredkovateľom a ďalším sprostredkovateľom alebo ustanovenia v administratívnych dojednaniach medzi orgánmi verejnej moci).

K § 49

Stanovuje podmienky kedy úrad schvaľuje záväzné vnútropodnikové pravidlá a ich minimálne obsahové náležitosti.

K § 50

Niektoré tretie krajiny prijímajú zákony, iné právne predpisy a iné právne akty, ktoré priamo regulujú spracovateľské činnosti fyzických a právnických osôb v rámci jurisdikcie členských štátov, Slovenskú republiku nevynímajúc. To môže zahŕňať rozsudky súdov alebo tribunálov alebo rozhodnutia správnych orgánov tretích krajín, v ktorých sa od prevádzkovateľa alebo sprostredkovateľa vyžaduje prenos alebo poskytnutie osobných údajov a ktoré nie sú založené na platnej medzinárodnej dohode, napríklad zmluve o vzájomnej právnej pomoci, medzi žiadajúcou treťou krajinou a Európskou úniou alebo členským štátom. Extrateritoriálne uplatňovanie týchto zákonov, iných právnych predpisov a iných právnych aktov môže byť v rozpore s medzinárodným právom a môže ohroziť ochranu fyzických osôb zaručenú Európskym právom a Slovenskou republikou v tomto zákone.

47

Prenosy osobných údajov vyplývajúce z extrateritoriality právnych predpisov tretích krajín budú povolené, len ak sa splnia podmienky uvedené v tomto zákone alebo osobitnom predpise pre prenosy do tretích krajín a ak rozhodnutia na základe ktorých má dôjsť k prenosu osobných údajov sú založené na medzinárodnej dohode, ako napríklad zmluve o vzájomnej právnej pomoci. Môže ísť okrem iného o prípad, keď je poskytnutie potrebné z dôležitého dôvodu verejného záujmu ustanoveného v osobitnom predpise, ktorému prevádzkovateľ podlieha.

K § 51

Výnimky v tomto ustanovení uvedené sa uplatnia predovšetkým na prenosy údajov, ak dotknutá osoba dala výslovný súhlas a boli jej poskytnuté zákonom stanovené informácie, ak je prenos občasný a potrebný v súvislosti so zmluvou alebo právnym nárokom, a to bez ohľadu na to, či ide o súdne konanie alebo správne či iné mimosúdne konanie, alebo ak si to vyžadujú dôležité dôvody verejného záujmu stanovené v osobitnom predpise alebo ak je prenos realizovaný z registra vytvoreného na základe osobitného predpisu a určeného na nahliadanie zo strany verejnosti alebo osôb s oprávneným záujmom. V poslednom uvedenom prípade by tento prenos nemal zahŕňať osobné údaje v ich celistvosti alebo celé kategórie osobných údajov obsiahnutých v registri a ak je register určený na nahliadanie zo strany osôb s oprávneným záujmom, prenos by sa mal vykonať len na požiadanie takýchto osôb alebo vtedy, ak majú byť takéto osoby príjemcami údajov, pričom sa vezmú plne do úvahy záujmy a práva dotknutej osoby. Výnimky v tomto ustanovení uvedené sa uplatnia aj na prenosy údajov, ak ide o závažné dôvody verejného záujmu, napríklad v prípadoch medzinárodnej výmeny údajov medzi orgánmi hospodárskej súťaže, daňovými alebo colnými správami, medzi orgánmi finančného dohľadu, medzi útvarmi zodpovednými za otázky sociálneho zabezpečenia alebo za verejné zdravie, napríklad v prípade sledovania kontaktu, pokiaľ ide o nákazlivé choroby, alebo s cieľom obmedziť a/alebo vylúčiť doping zo športu. Prenos osobných údajov by sa mal tiež považovať za zákonný, ak je potrebný na ochranu záujmu, ktorý je podstatný pre životne dôležité záujmy dotknutej osoby alebo inej osoby, vrátane telesnej integrity alebo života, ak dotknutá osoba nemôže vyjadriť súhlas. Akýkoľvek prenos osobných údajov dotknutej osoby, ktorá nie je fyzicky alebo právne spôsobilá na udelenie súhlasu medzinárodnej humanitárnej organizácii s cieľom plniť úlohy uložené ženevskými dohovormi alebo v súlade s medzinárodným humanitárnym právom uplatniteľným na ozbrojené konflikty, by sa mohol považovať za potrebný zo závažného dôvodu verejného záujmu alebo z dôvodu životného záujmu dotknutej osoby.

Prenosy, ktoré možno označiť za neopakujúce sa a ktoré sa týkajú len obmedzeného počtu dotknutých osôb, by tiež mohli byť možné na účely závažných oprávnených záujmov prevádzkovateľa, keď nad týmito záujmami neprevažujú záujmy alebo práva dotknutej osoby a keď prevádzkovateľ posúdil všetky okolnosti prenosu údajov.

Prevádzkovateľ by mal osobitne prihliadať na povahu osobných údajov, účel a trvanie navrhovanej spracovateľskej operácie či operácií, ako aj na situáciu v krajine pôvodu, v tretej krajine a krajine konečného určenia a mal by poskytnúť náležité záruky na ochranu práv fyzických osôb, pokiaľ ide o spracúvanie ich osobných údajov. Takéto prenosy by mali byť možné len v prípadoch, v ktorých nie sú dané iné dôvody na prenos. Na účely vedeckého alebo historického výskumu alebo na štatistické účely by sa mali zohľadniť oprávnené očakávania spoločnosti týkajúce sa prehĺbenia znalostí. Prevádzkovateľ by mal informovať o prenose ako aj o závažných oprávnených záujmoch, ktoré prevádzkovateľ sleduje tak úrad ako aj dotknutú osobu.

K § 52

V tretej časti zákona sa transponuje smernica 2016/680, teda sa v nej ustanovujú pravidlá ochrany fyzických osôb pri spracúvaní osobných údajov príslušnými orgánmi na účely predchádzania a odhaľovania trestnej činnosti, zisťovania páchateľov trestných činov, vyšetrovania trestných činov, stíhania trestných činov alebo na účely výkonu rozhodnutí v trestnom konaní vrátane ochrany pred ohrozením verejného poriadku a predchádzania takémuto ohrozeniu (ďalej len „plnenie úloh na účely trestného konania“). Príslušnými orgánmi sú v zmysle požiadaviek smernice Policajný zbor, Vojenská

48

polícia, Zbor väzenskej a justičnej stráže, finančná správa, prokuratúra a súdy. Na postup príslušných orgánov pri spracúvaní osobných údajov na plnenie úloh na účely trestného konania sa vzťahujú § 6, § 8, § 11, § 12, § 13 ods. 2 tohto zákona rovnako.

K § 53

Osobné údaje by mali byť primerané a relevantné vzhľadom na účely, na ktoré sa spracúvajú. Osobné údaje by sa mali spracúvať len vtedy, ak účel spracúvania nebolo možné za primeraných podmienok dosiahnuť inými prostriedkami.

K § 54

Osobné údaje musia byť uchovávané vo forme, ktorá umožňuje identifikáciu dotknutých osôb najviac dovtedy, kým je to potrebné na dosiahnutie účelu spracúvania.

K § 55

Na to, aby bolo spracúvanie osobných údajov zákonné, by malo byť nevyhnutné na plnenie úloh na účely trestného konania príslušným orgánom na základe práva Únie alebo nášho vnútroštátneho práva. Plnenie úloh na účely trestného konania inštitucionálne zverené príslušným orgánom im umožňuje vyžadovať od fyzických osôb alebo im prikazovať, aby vyhoveli ich žiadostiam. V takomto prípade by právnym dôvodom na spracúvanie osobných údajov príslušnými orgánmi nemal byť súhlas dotknutej osoby v zmysle nariadenia (EÚ) 2016/679. Ak sa od dotknutej osoby požaduje splnenie zákonnej povinnosti, dotknutá osoba nemá skutočnú a slobodnú voľbu, takže reakcia dotknutej osoby by sa nemohla považovať za slobodné vyjadrenie jej vôle. To však nebráni ustanoviť prostredníctvom osobitného predpisu, že dotknutá osoba môže súhlasiť so spracúvaním svojich osobných údajov na plnenie úloh na účely trestného konania, ako sú napríklad testy DNA pri vyšetrovaní trestného činu alebo monitorovanie jej polohy pomocou technických prostriedkov pri výkone trestných sankcií.

Ak osobné údaje pôvodne získal príslušný orgán pri plnení úloh na účely trestného konania, nariadenie (EÚ) 2016/679, resp. druhá časť zákona by sa mali uplatňovať na spracúvanie týchto údajov na iné účely, než na tieto účely, ak je takéto spracúvanie prípustné podľa práva Únie alebo nášho vnútroštátneho práva. Pravidlá nariadenia (EÚ) 2016/679, resp. druhej časti zákona by sa mali uplatňovať najmä na prenos osobných údajov na účely, ktoré nepatria do rozsahu pôsobnosti tejto (tretej) časti zákona. Na spracúvanie osobných údajov príjemcom, ktorý nie je príslušným orgánom alebo ktorý nekoná ako príslušný orgán a ktorému osobné údaje zákonne poskytol príslušný orgán, by sa malo vzťahovať nariadenie (EÚ) 2016/679, resp. druhá časť zákona.

Ak príslušný orgán spracúva osobné údaje na iné účely ako na plnenie úloh na účely trestného konania, uplatňuje sa nariadenie (EÚ) 2016/679, resp. druhá časť zákona. Nariadenie (EÚ) 2016/679, resp. druhá časť zákona sa preto uplatňujú v prípadoch, keď príslušný orgán získava osobné údaje na iné účely a ďalej spracúva tieto osobné údaje s cieľom splniť zákonnú povinnosť, ktorá sa naň vzťahuje. Činnosti, ktoré vykonáva polícia alebo iné orgány, sa sústreďujú predovšetkým na predchádzanie trestným činom, ich vyšetrovanie, odhaľovanie alebo stíhanie, vrátane policajných činností, pri ktorých nie je vopred známe, či je skutok trestným činom. Medzi takéto činnosti môže patriť aj výkon právomoci prostredníctvom prijatia donucovacích opatrení, ako napríklad činnosť polície pri demonštráciách, významných športových podujatiach a nepokojoch. Zahŕňajú tiež udržiavanie verejného poriadku ako úlohy uloženej polícii alebo iným orgánom, ak je to potrebné na ochranu pred ohrozením verejnej bezpečnosti a základných záujmov spoločnosti chránených zákonom, ktoré môže viesť k spáchaniu trestného činu, a na predchádzanie takémuto ohrozeniu. Príslušné orgány môžu byť poverené ďalšími úlohami, ktoré nie sú nevyhnutne úlohami na účely trestného konania, v dôsledku čoho spracúvanie osobných údajov na tieto iné účely, patrí do rozsahu pôsobnosti nariadenia (EÚ) 2016/679, resp. druhej časti zákona.

49

K § 56

Osobné údaje, ktoré sú svojou povahou obzvlášť citlivé v súvislosti so základnými právami si zasluhujú osobitnú ochranu, keďže z kontextu ich spracúvania by mohli pre práva a slobody vyplývať významné riziká. Uvedené osobné údaje zahŕňajú osobné údaje, ktoré odhaľujú rasový alebo etnický pôvod. Takéto osobné údaje by sa nemali spracúvať, pokiaľ spracúvanie nepodlieha primeraným zárukám pre práva dotknutých osôb, ktoré sú ustanovené právnymi predpismi, pričom je prípustné v prípadoch povolených právnymi predpismi; ak spracúvanie ešte nie je povolené právnym predpisom, je nevyhnutné na ochranu životne dôležitých záujmov dotknutej alebo inej osoby; alebo ak sa spracúvanie týka údajov, ktoré preukázateľne zverejnila dotknutá osoba. Primerané záruky práv dotknutej osoby by mohli zahŕňať možnosť získať uvedené údaje iba v súvislosti s inými údajmi o dotknutej fyzickej osobe, možnosť primerane zabezpečiť získané údaje, prísnejšie pravidlá prístupu personálu príslušného orgánu k údajom a zákaz prenosu týchto údajov. Spracúvanie takýchto údajov by malo byť povolené právnymi predpismi, ak dotknutá osoba výslovne súhlasila so spracúvaním, ktoré je pre ňu obzvlášť citlivé. Súhlas dotknutej osoby by však sám osebe nemal poskytovať právny dôvod pre spracúvanie takýchto citlivých osobných údajov príslušnými orgánmi.

K § 57

K spracúvaniu osobných údajov v oblasti justičnej spolupráce v trestných veciach a v oblasti policajnej spolupráce nevyhnutne patrí spracúvanie osobných údajov, ktoré sa týkajú rôznych kategórií dotknutých osôb. Preto by sa tam, kde je to uplatniteľné, malo v čo najväčšom možnom rozsahu jasne rozlišovať medzi osobnými údajmi rôznych kategórií dotknutých osôb, ako sú podozrivé osoby, osoby odsúdené za spáchanie trestného činu, obete a iné osoby, ako sú svedkovia, osoby disponujúce relevantnými informáciami alebo kontaktné osoby a spoločníci podozrivých osôb a odsúdených páchateľov trestných činov.

K § 58

Príslušné orgány by mali zabezpečiť, aby sa osobné údaje, ktoré sú nesprávne, neúplné alebo už nie sú aktuálne, neprenášali ani nesprístupňovali. S cieľom zabezpečiť ochranu fyzických osôb, správnosť, úplnosť alebo mieru aktuálnosti a spoľahlivosť prenášaných alebo sprístupňovaných osobných údajov by mali príslušné orgány pri každom prenose osobných údajov podľa možnosti doplniť potrebné informácie.

K § 59

Na príslušné orgány vzťahuje iba § 28 z druhej časti tohto zákona..

K § 60

Dotknutej osobe by sa mali zo strany príslušných orgánov poskytnúť aspoň tieto informácie: označenie príslušného orgánu, kontaktné údaje zodpovednej osoby, účely spracúvania, právo podať sťažnosť a právo žiadať prístup k osobným údajom a ich opravu alebo vymazanie či obmedzenie spracúvania. Tieto informácie by sa mohli poskytnúť prostredníctvom webového sídla príslušného orgánu. S cieľom zaručiť spravodlivé spracúvanie vo vzťahu k dotknutej osobe a na to, aby mohla uplatňovať svoje práva, by mala byť okrem toho dotknutá osoba v osobitných prípadoch informovaná o právnom základe pre spracúvanie, o tom, ako dlho sa budú údaje uchovávať, účely spracúvania, kategórie príjemcov a prípadne ďalšie informácie.

K § 61

Fyzická osoba by mala mať právo na prístup k údajom, ktoré boli o nej získané, a toto právo aj jednoducho uplatňovať, aby si bola vedomá zákonnosti spracúvania a mohla si ju overiť. Každá

50

dotknutá osoba by preto mala mať právo vedieť a byť informovaná najmä o účeloch spracúvania údajov, kategóriách dotknutých osobných údajov a o dobe, počas ktorej sa budú údaje spracúvať, ako aj o príjemcoch osobných údajov atď. Na dodržanie tohto práva je dostatočné, aby mala dotknutá osoba k dispozícii úplné zhrnutie uvedených údajov v zrozumiteľnej forme, to znamená vo forme, ktorá umožňuje, aby bola dotknutá osoba informovaná o uvedených údajoch, aby si mohla uplatniť práva, ktoré jej tento zákon priznáva.

K § 62

Fyzická osoba by tiež mala mať právo na opravu nesprávnych osobných údajov, ktoré sa jej týkajú, ako aj právo na ich vymazanie, ak je spracúvanie takýchto údajov v rozpore so zákonom. Právom na opravu by však nemal byť napríklad dotknutý obsah svedeckej výpovede. Fyzická osoba by mala mať právo na obmedzenie spracúvania, ak napadne správnosť osobných údajov a nemožno určiť ich správnosť či nesprávnosť, alebo keď je potrebné osobné údaje uchovať na účely dokazovania. Namiesto vymazania osobných údajov by sa spracúvanie malo obmedziť najmä vtedy, keď sa v osobitnom prípade možno odôvodnene domnievať, že vymazanie by mohlo ovplyvniť oprávnené záujmy dotknutej osoby. V takomto prípade by sa obmedzené údaje mali spracúvať len na účely, ktoré zabránili ich vymazaniu. Metódy na obmedzenie spracúvania osobných údajov by okrem iného mohli zahŕňať presunutie vybraných údajov do iného systému spracúvania, napríklad na účely archivácie, alebo zamedzenie prístupu k nim. V automatizovaných informačných systémoch by sa obmedzenie spracúvania malo v zásade zabezpečiť technickými prostriedkami. Skutočnosť, že spracúvanie osobných údajov je obmedzené, by sa v systéme mala vyznačiť tak, aby bolo jednoznačné, že spracúvanie osobných údajov je obmedzené. Takáto oprava alebo vymazanie osobných údajov alebo obmedzenie spracúvania by sa mali oznámiť príjemcom, ktorým sa údaje poskytli, a príslušným orgánom, od ktorých nesprávne údaje pochádzajú. Príslušné orgány by takisto mali upustiť od ďalšieho šírenia takýchto údajov.

K § 63

Podľa tohto ustanovenia sa poskytovanie informácií dotknutým osobám odloží, obmedzí alebo sa od neho upustí, alebo sa úplne či čiastočne obmedzí prístup k ich osobným údajom, a to v takom rozsahu a na tak dlho, ako je toto opatrenie s náležitým zreteľom na práva a oprávnené záujmy dotknutej fyzickej osoby v demokratickej spoločnosti nevyhnutné a primerané, aby sa zabránilo mareniu úradného alebo súdneho zisťovania, vyšetrovania alebo konania, aby sa zabránilo ohrozeniu plnenia úloh na účely trestného konania, aby sa ochránila verejná bezpečnosť alebo národná bezpečnosť, alebo aby sa ochránili práva a slobody iných. Príslušný orgán by mal prostredníctvom konkrétneho a individuálneho preskúmania každého prípadu posúdiť, či by sa právo na prístup malo čiastočne alebo úplne obmedziť.

Akékoľvek zamietnutie alebo obmedzenie prístupu by malo byť dotknutej osobe v zásade oznámené písomne a malo by zahŕňať skutkové alebo právne dôvody, na ktorých je toto rozhodnutie založené.

K § 64

Oprava alebo vymazanie osobných údajov alebo obmedzenie spracúvania by sa mali oznámiť príslušným orgánom, od ktorých nesprávne údaje pochádzajú. Príjemcovia týchto údajov by takisto mali nimi spracúvané osobné údaje opraviť, vymazať alebo obmedziť ich spracúvanie.

K § 65

Keďže smernica 2016/680 nebráni členským štátom v tom, aby implementovali výkon práv dotknutých osôb na informácie, prístup a opravu alebo vymazanie osobných údajov a obmedzenie spracúvania počas trestného konania, ako aj prípadné obmedzenia týchto práv do vnútroštátnych predpisov upravujúcich trestné právo procesné, platí, že ak sa osobné údaje spracúvajú počas vyšetrovania trestného činu a súdneho konania v trestných veciach, uplatňovanie práva na informácie, prístup a

51

opravu alebo vymazanie osobných údajov a obmedzenie spracúvania sa vykonáva v súlade s Trestným poriadkom, resp. zákonom o súdoch.

K § 66

Dotknutá osoba by mala mať právo na to, aby sa na ňu nevzťahovalo rozhodnutie hodnotiace osobné aspekty s ňou súvisiace, ktoré je založené výlučne na automatizovanom spracúvaní a ktoré má pre túto osobu nepriaznivé právne účinky alebo významné dôsledky. V každom prípade by takéto spracúvanie malo podliehať primeraným zárukám vrátane poskytnutia určitých informácií dotknutej osobe a právu na iný ako automatizovaný zásah, ľudský zásah (kontrolu spracúvania, ktoré bolo primárne nastavené, aby bolo konané automatizovane formou algoritmu vykoná na základe žiadosti dotknutej osoby zamestnanec prevádzkovateľa, pôjde o fyzickú kontrolu automatizovaného spracúvania a prípadné odstránenie chýb ak vznikli napríklad nesprávnym nastavením algoritmu alebo jeho neoprávnenou zmenou alebo znefunkčnením), najmä vyjadriť svoj názor, dostať vysvetlenie k rozhodnutiu dosiahnutému po takomto posúdení alebo napadnúť toto rozhodnutie.

Profilovanie, ktoré vedie k diskriminácii fyzických osôb na základe osobných údajov, ktoré sú svojou povahou obzvlášť citlivé v súvislosti so základnými právami a slobodami, sa zakazuje.

K § 67

Vymedzuje ktoré ustanovenia sa vzťahujú na spracúvanie osobných údajov na príslušné orgány z druhej časti tohto zákona.

K § 68

Ustanovuje sa lehota na vymazanie osobných údajov a na pravidelné preskúmanie potreby uchovávania osobných údajov. Osobitný predpis môže túto lehotu vo vzťahu ku konkrétnemu príslušnému orgánu skrátiť aj na častejšie ako raz za tri roky.

Záznamy o spracovateľských činnostiach, ktoré vedú príslušné orgány, musia obsahovať aj informácie o použití profilovania a uvedenie právneho základu pre spracovateľské operácie.

K § 69

Logy by sa mali viesť pre operácie v systémoch automatizovaného spracúvania ako je získavanie, zmena, prehliadanie, poskytovanie vrátane prenosov, kombinovanie alebo vymazanie. Mali by sa zaznamenávať dôvody spracovateľských operácií, dátum a čas operácie a pokiaľ možno aj identifikačné údaje osoby, ktorá osobné údaje prehliadala alebo ich poskytla a totožnosť príjemcov. Logy by sa mali využívať výlučne na overovanie zákonnosti spracúvania, vlastné monitorovanie, zabezpečenie integrity a bezpečnosti údajov a na účely trestného konania. Vlastné monitorovanie by malo zahŕňať aj interné disciplinárne konanie príslušných orgánov.

K § 70

V určitých prípadoch by príslušný orgán alebo sprostredkovateľ mali uskutočniť s dozorným orgánom konzultácie pred spracúvaním s cieľom zabezpečiť účinnú ochranu práv dotknutých osôb.

K § 71

S cieľom zachovať bezpečnosť a predchádzať spracúvaniu, ktoré je v rozpore s týmto zákonom, by príslušný orgán alebo sprostredkovateľ mali posúdiť riziká súvisiace so spracúvaním a mali by prijať opatrenia na zmiernenie týchto rizík, ako napríklad šifrovanie. Takýmito opatreniami by sa mala zabezpečiť primeraná úroveň bezpečnosti vrátane dôvernosti a mali by sa zohľadniť najnovšie poznatky, náklady na vykonanie opatrení v súvislosti s rizikami a povahou osobných údajov, ktoré sa majú chrániť. Pri posudzovaní rizík v oblasti bezpečnosti údajov by sa mali zohľadniť riziká spojené so

52

spracúvaním údajov, ako sú napríklad náhodná alebo nezákonná likvidácia, strata, zmena alebo neoprávnené poskytovanie prenášaných, uchovávaných alebo inak spracúvaných osobných údajov alebo neoprávnený prístup k nim, ktoré by mohli viesť k ujme na zdraví, majetkovej alebo nemajetkovej ujme. Príslušný orgán a sprostredkovateľ by mali zabezpečiť, aby spracúvanie osobných údajov nevykonávali neoprávnené osoby.

K § 72

Ak sa porušenie ochrany osobných údajov nerieši primeraným spôsobom a včas, môže fyzickým osobám spôsobiť ujmu na zdraví, majetkovú alebo nemajetkovú ujmu, ako je napríklad strata kontroly nad svojimi osobnými údajmi alebo obmedzenie práv týchto osôb, diskriminácia, krádež totožnosti alebo podvod, finančná strata, neoprávnená reverzná pseudonymizácia, poškodenie dobrého mena, strata dôvernosti osobných údajov chránených profesijným tajomstvom alebo akékoľvek iné závažné hospodárske či sociálne znevýhodnenie dotknutej fyzickej osoby. Príslušný orgán by mal preto ihneď, ako sa dozvie, že došlo k porušeniu ochrany osobných údajov, najneskôr do 72 hodín od okamihu, ako sa dozvedel, že došlo k porušeniu ochrany osobných údajov, toto porušenie oznámiť dozornému orgánu s výnimkou prípadov, keď vie príslušný orgán v súlade so zásadou zodpovednosti preukázať, že nie je pravdepodobné, že porušenie ochrany osobných údajov povedie k riziku pre práva fyzických osôb. Ak nie je možné oznámenie podať do 72 hodín, malo by k oznámeniu pripojiť odôvodnenie omeškania, pričom informácie možno poskytnúť vo viacerých fázach bez ďalšieho zbytočného odkladu.

Ak porušenie ochrany osobných údajov pravdepodobne povedie k vysokému riziku pre práva fyzických osôb, mala by sa táto skutočnosť oznámiť fyzickým osobám, aby sa im umožnilo prijať potrebné preventívne opatrenia. V oznámení by sa mala uviesť povaha porušenia ochrany osobných údajov, ako aj odporúčania pre dotknutú fyzickú osobu o tom, ako zmierniť potenciálne nepriaznivé dôsledky. Dotknuté osoby by mali byť informované čo možno najskôr, v úzkej spolupráci s dozorným orgánom a v súlade s usmerneniami tohto alebo iného príslušného orgánu. Napríklad potreba zmierniť bezprostredné riziko škody by si vyžadovala promptné informovanie dotknutých osôb, zatiaľ čo potreba vykonať primerané opatrenia na zabránenie trvaniu alebo výskytu podobných porušení ochrany údajov môže vyžadovať viac času na informovanie. Ak nemožno zabrániť mareniu úradného alebo súdneho zisťovania, vyšetrovania alebo konania, zabrániť ohrozeniu plnenia úloh na účely trestného konania, či dosiahnuť ochranu verejnej bezpečnosti alebo národnej bezpečnosti alebo ochranu práv iných osôb prostredníctvom odkladu alebo obmedzenia informovania dotknutej osoby o porušení ochrany osobných údajov, možno vo výnimočných prípadoch od takéhoto oznámenia upustiť.

K § 73

Určuje, ktoré ustanovenia tohto zákona druhej časti sa vzťahujú na spracúvanie osobných údajov príslušnými orgánmi pri prenose osobných údajov do tretích krajín a medzinárodným organizáciám. Ustanovenie deklaruje že prenos osobných údajov medzi príslušnými orgánmi v rámci Európskej únie sa zaručuje ak sa takýto prenos vyžaduje podľa osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná.

K § 74

Prenos do tretej krajiny alebo medzinárodnej organizácii sa môže uskutočniť len vtedy, ak je to potrebné na plnenie úloh na účely trestného konania, pričom prevádzkovateľ v tretej krajine alebo medzinárodná organizácia je príslušným orgánom v zmysle tohto zákona. Prenos by mali uskutočniť len príslušné orgány konajúce ako prevádzkovatelia s výnimkou prípadov, keď sa sprostredkovateľom výslovne udelil pokyn uskutočniť prenos v mene príslušných orgánov. Takýto prenos sa môže uskutočniť v prípade, že Komisia rozhodla, že daná tretia krajina alebo medzinárodná organizácia zaručuje primeranú úroveň ochrany, ak sa poskytli primerané záruky, alebo ak platia výnimky pre osobitné situácie. Úroveň ochrany fyzických osôb by nemala byť ohrozená, keď sa osobné údaje prenášajú z Únie prevádzkovateľom, sprostredkovateľom alebo iným príjemcom v tretích krajinách alebo medzinárodným organizáciám, a to ani v prípadoch následného prenosu osobných údajov z tretej krajiny

53

alebo medzinárodnej organizácie prevádzkovateľom či sprostredkovateľom v rovnakej alebo inej tretej krajine alebo medzinárodnej organizácii.

V prípade prenosu osobných údajov do tretích krajín alebo medzinárodným organizáciám by sa takýto prenos mal uskutočniť iba po tom, čo ho povolil členský štát, od ktorého sa údaje získali. Záujmy efektívnej spolupráce v oblasti presadzovania práva si vyžadujú, aby v prípade, keď je ohrozenie verejnej bezpečnosti členského štátu alebo tretej krajiny alebo záujmov členského štátu také bezprostredné, že nie je možné včas získať predchádzajúce povolenie, príslušný orgán by mal mať možnosť uskutočniť prenos daných osobných údajov do dotknutej tretej krajiny alebo medzinárodnej organizácii bez takéhoto predchádzajúceho povolenia. Akékoľvek osobitné podmienky týkajúce sa prenosu by sa mali oznámiť tretím krajinám alebo medzinárodným organizáciám. Následné prenosy osobných údajov by mali podliehať predchádzajúcemu povoleniu príslušného orgánu, ktorý uskutočnil pôvodný prenos. Pri rozhodovaní o žiadosti o povolenie následného prenosu by mal príslušný orgán, ktorý uskutočnil pôvodný prenos, náležite zohľadniť všetky relevantné okolnosti vrátane závažnosti trestného činu, osobitných podmienok a účelu pôvodného prenosu údajov, povahy a podmienok výkonu trestných sankcií a úrovne ochrany osobných údajov v tretej krajine alebo medzinárodnej organizácii, do ktorej sa uskutočňuje následný prenos osobných údajov. Príslušný orgán, ktorý uskutočnil pôvodný prenos, by mal mať aj možnosť stanoviť osobitné podmienky pre následný prenos, ktoré možno popísať napríklad v manipulačných pravidlách.

Predmetné ustanovenia návrhu zákona súvisia, respektíve dopĺňajú príslušné ustanovenia druhej časti tohto zákona; nakoľko podstatou nie je úprava, či stanovenie podmienok prenosu, ale ustanovenie oznamovacej povinnosti príslušného orgánu pri porušení ochrany osobných údajov.

K § 75

Prenosy, ktoré nie sú založené na rozhodnutí o primeranosti, by sa mali umožniť len vtedy, ak sa poskytli primerané záruky v právne záväznom akte, ktorý zaručuje ochranu osobných údajov, alebo ak príslušný orgán posúdil všetky okolnosti sprevádzajúce prenos údajov a na základe tohto posúdenia dospel k záveru, že existujú primerané záruky ochrany osobných údajov. Právne záväznými aktmi môžu byť napríklad právne záväzné dvojstranné dohody, ktorých výkonu by sa mohli domáhať dotknuté osoby, zabezpečujúce súlad s požiadavkami na ochranu údajov a práva dotknutých osôb vrátane práva na účinný správny alebo súdny prostriedok nápravy. Príslušný orgán môže zohľadniť aj skutočnosť, že prenos osobných údajov bude podliehať povinnostiam zachovávania dôvernosti a zásade špecifickosti, čím sa zabezpečí, že údaje sa nebudú spracúvať na iné účely, než sú účely prenosu. Okrem toho by mal príslušný orgán zohľadniť, že osobné údaje sa nepoužijú na požadovanie, uloženie alebo vykonanie trestu smrti alebo akejkoľvek inej formy krutého alebo neľudského zaobchádzania. Hoci by sa uvedené podmienky mohli považovať za primerané záruky umožňujúce prenos údajov, príslušný orgán by mal mať možnosť vyžadovať dodatočné záruky.

K § 76

V prípadoch, keď neexistuje žiadne rozhodnutie o primeranosti ani primerané záruky, malo by byť možné uskutočniť prenos alebo kategóriu prenosov len v osobitných situáciách, ak je to nevyhnutné na ochranu životne dôležitých záujmov dotknutej osoby či inej osoby alebo na zabezpečenie oprávnených záujmov dotknutej osoby za podmienok v tomto ustanovení; na predchádzanie bezprostrednému a vážnemu ohrozeniu verejnej bezpečnosti členského štátu alebo tretej krajiny; v jednotlivom prípade na plnenie úloh na účely trestného konania; alebo v jednotlivom prípade na preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov. Uvedené výnimky by sa mali vykladať reštriktívne a nemali by umožňovať časté, hromadné a štruktúrované prenosy osobných údajov alebo rozsiahle prenosy údajov, ale mali by byť obmedzené na nevyhnutne potrebné údaje. Takéto prenosy musia byť zdokumentované a musia sa na požiadanie sprístupniť dozornému orgánu na účely monitorovania zákonnosti prenosu.

K § 77

54

Príslušné orgány uplatňujú platné dvojstranné alebo mnohostranné medzinárodné dohody uzavreté s tretími krajinami v oblasti justičnej spolupráce v trestných veciach a policajnej spolupráce na výmenu relevantných informácií, ktoré im umožňujú výkon ich úloh uložených zákonom. V zásade sa to uskutočňuje na základe spolupráce orgánov dotknutých tretích krajín príslušných na plnenie úloh na účely trestného konania alebo aspoň v spolupráci s nimi, niekedy dokonca aj vtedy, ak dvojstranná či mnohostranná medzinárodná dohoda neexistuje. V osobitných jednotlivých prípadoch však riadne postupy požadujúce nadviazanie kontaktu s takýmto orgánom v tretej krajine môžu byť neefektívne alebo nevhodné, najmä preto, že by sa presun nemohol uskutočniť včas, alebo preto, že tento orgán v tretej krajine nedodržiava zásady právneho štátu alebo medzinárodné normy a štandardy v oblasti ľudských práv, a preto by sa príslušné orgány mohli rozhodnúť, že uskutočnia prenos osobných údajov priamo príjemcom usadeným v týchto tretích krajinách. Možno tak postupovať vtedy, keď je naliehavo potrebné vykonať prenos osobných údajov na záchranu života osoby, ktorej hrozí, že sa stane obeťou trestného činu, alebo v záujme zabránenia bezprostrednému spáchaniu trestného činu vrátane terorizmu. Aj keby k takémuto presunu medzi príslušnými orgánmi a príjemcami usadenými v tretích krajinách malo dochádzať len v určitých jednotlivých prípadoch, v tomto zákone sa ustanovujú podmienky s cieľom úpravy takýchto prípadov. Uvedené ustanovenia by sa nemali považovať za výnimky zo žiadnych existujúcich dvojstranných alebo mnohostranných medzinárodných dohôd v oblasti justičnej spolupráce v trestných veciach a policajnej spolupráce.

K § 78

Týmto ustanovením došlo k prijatiu vnútroštátnej úpravy pre v nariadení určené oblasti ochrany osobných údajov. Nariadenie vo svojich splnomocňujúcich ustanoveniach umožnilo členským štátom Únie prijať vo vnútroštátnom práve legislatívne opatrenia pre oblasť ochrany osobných údajov, ktorými môžu určiť výnimky a odchýlky potrebné v týchto určených oblastiach ochrany osobných údajov, najmä na dosiahnutie rovnováhy medzi právami dotknutých osôb a spracovateľskej činnosti prevádzkovateľov. V prípade, že sa takéto výnimky alebo odchýlky členských štátov navzájom líšia, rozhodným právom je právo členského štátu, ktorému podlieha prevádzkovateľ.

odsek 1 až odsek 3

Ustanovuje podmienky spracúvania osobných údajov fyzickej dotknutej osoby kedy na spracúvanie osobných údajov dotknutej osoby za dodržania osobitne stanovených podmienok nie je potrebný súhlas dotknutej osoby.

Ide o spracúvanie osobných údajov dotknutej osoby bez jej súhlasu na účely akademické, umelecké alebo literárne, alebo ak spracúvanie osobných údajov je nevyhnutné pre potreby informovania verejnosti masovokomunikačnými prostriedkami a ak osobné údaje spracúva prevádzkovateľ, ktorému to vyplýva z predmetu činnosti, prípadne ide o situáciu kedy je prevádzkovateľ zamestnávateľom dotknutej osoby a na účely a v súvislosti s plnením pracovných, služobných alebo funkčných povinností dotknutej osoby je oprávnený poskytovať alebo zverejniť jej osobné údaje v rozsahu titul, meno, priezvisko, pracovné, služobné zaradenia, funkčné zaradenie, osobné alebo zamestnanecké číslo zamestnanca, odborný útvar, miesto výkonu práce, telefónne číslo, faxové číslo, adresu elektronickej pošty na pracovisko a identifikačné údaje zamestnávateľa. Vo všetkých vyššie uvedených prípadoch je povinný rešpektovať právo dotknutej osoby na ochranu jej osobnosti a zvážiť, či je dané spracovateľská operácie skutočne nevyhnutná.

odsek 4

Pri spracúvaní osobných údajov možno využiť na účely identifikovania fyzickej osoby všeobecne použiteľný identifikátor - rodné číslo, ustanovený osobitným predpisom len vtedy, ak jeho použitie je nevyhnutné na dosiahnutie daného účelu spracúvania. Ak sa spracúva rodné číslo na právnom základe súhlasu dotknutej osoby, takýto súhlas musí byť výslovný a súčasne nesmie byť takéto spracúvanie rodného čísla zakázané osobitným predpisom. Zverejňovať všeobecne použiteľný identifikátor sa zakazuje.

55

odsek 5

Dáva prevádzkovateľ možnosť spracúvať genetické údaje, biometrické údaje a údaje týkajúce sa zdravia aj na právnom základe osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná. Ide o oprávnenie pre prevádzkovateľa, ktorý spracúvanie uvedených osobných údajov potrebuje na účely napríklad poskytovania zdravotnej starostlivosti poskytovanej na základe osobitných zákonov.

odsek 6

Ochrana osobných údajov dotknutej osoby je primárna a preto aj spracúvanie a získavanie osobných údajov o inej fyzickej osobe z informačného systému prevádzkovateľa je podmienené predchádzajúcim písomným súhlasom dotknutej osoby, povinnosť tento predchádzajúci súhlas získať neplatí, ak poskytnutím osobných údajov o dotknutej osobe do informačného systému iná fyzická osoba chráni svoje práva alebo právom chránené záujmy, alebo oznamuje skutočnosti, ktoré odôvodňujú uplatnenie právnej zodpovednosti dotknutej osoby, alebo sa osobné údaje spracúvajú na základe osobitného zákona podľa konkrétnych ustanovení tohto zákona. Ten, kto takto osobné údaje spracúva, musí vedieť preukázať úradu kedykoľvek na jeho žiadosť, že ich získal v súlade s týmto zákonom.

odsek 7

Stanovuje pravidlá spracúvania osobných údajov zosnulých osôb.

odsek 8 až 10

Na spracúvanie osobných údajov na účely archivácie, na účely vedeckého alebo historického výskumu či na štatistické účely sa vzťahujú primerané záruky ochrany práv a slobôd dotknutých osôb podľa tohto ustanovenia.

Spracúvanie osobných údajov na účely archivácie, a na vedecký alebo historický výskumu a štatistický sú tzv. privilegované účely, na ktoré sa vzťahuje výnimka zo zásady obmedzenia účelu, a teda ak prevádzkovateľ príjme primerané záruky ochrany osobných údajov, môže spracúvať osobné údaje na tieto privilegované účely na pôvodom právnom základe. Tieto záruky obsahujú zavedenie primeraných a účinných technických a organizačných opatrení najmä s cieľom zabezpečiť dodržiavanie zásady minimalizácie údajov, pseudonymizácie, pokiaľ sa týmto opatrením môžu dosiahnuť uvedené účely. Privilegovaný účel je účel v zásade zlučiteľný s pôvodným účelom bez potreby vykonania testu zlučiteľnosti. Ďalšie spracúvanie na účely archivácie, na účely vedeckého či historického výskumu alebo štatistické účely sa považuje za zlučiteľné so zákonnými spracovateľskými operáciami.

Nakoľko ide o privilegované účely je možné pri spracúvaní osobných údajov na tieto účely obmedziť aj práva dotknutej osoby, a to právo na prístup, právo na opravu, právo na obmedzenie a právo namietať, a na účely archivácie vo verejnom záujme aj právo na oznámenie a právo na prenosnosť podľa tohto zákona.

odsek 11

Stanovuje pre prevádzkovateľa a sprostredkovateľa povinnosť, aby pri prijímaní bezpečnostných opatrení a pri posudzovaní vplyvu na ochranu osobných údajov postupovali podľa tohto zákona alebo osobitného predpisu a primerane podľa medzinárodných noriem a štandardov bezpečnosti.

56

K § 79

Stanovuje povinnosť mlčanlivosti pre prevádzkovateľa a sprostredkovateľa o osobných údajoch, ktoré spracúvajú, pričom platí, že povinnosť mlčanlivosti obdobne platí aj pre zamestnancov prevádzkovateľa a sprostredkovateľa, ktorí z titulu svojej práce alebo vzhľadom na svoje povinnosti prídu do styku s osobnými údajmi, pre nich platí obdobne povinnosť zachovať mlčanlivosť, a to aj po skončení pracovného vzťahu u prevádzkovateľa alebo sprostredkovateľa.

Tento zákon tiež stanovuje výnimky, kedy sa povinnosť mlčanlivosti neuplatní, a to ak je to nevyhnutné na plnenie úloh súdu a orgánov činných v trestnom konaní podľa osobitného zákona, tým nie sú dotknuté ustanovenia o mlčanlivosti podľa osobitných predpisov, taktiež povinnosť mlčanlivosti neplatí a nepoužije sa vo vzťahu k úradu pri plnení úloh podľa tohto zákona.

K § 80

Na základe tohto zákona sa zriaďuje úrad, ako orgán štátnej správy s celoslovenskou pôsobnosťou, ktorý vykonáva dozor nad ochranou osobných údajov, vrátane dozoru nad ochranou osobných údajov spracúvaných príslušnými orgánmi, okrem prípadov podľa § 81 ods. 7 a 8 tohto zákona, a podieľa sa na ochrane práv fyzických osôb pri spracúvaní ich osobných údajov. Sídlom úradu je Bratislava. Úrad na plnenie úloh dozorného orgánu nad ochranou osobných údajov môže zriaďovať a zrušovať detašované pracoviská mimo svojho sídla a určovať územný obvod ich pôsobnosti. Úrad pri výkone svojej pôsobnosti postupuje nezávisle a riadi sa ústavou, ústavnými zákonmi, zákonmi, ostatnými všeobecne záväznými právnymi predpismi a medzinárodnými zmluvami, ktorými je Slovenská republika viazaná.

Úrad je rozpočtovou organizáciou, návrh rozpočtu predkladá úrad ako súčasť kapitoly Všeobecná pokladničná správa, schválený rozpočet úradu môže znížiť v priebehu kalendárneho roku iba Národná rada Slovenskej republiky.

Podrobnosti o organizácii úradu upraví organizačný poriadok úradu, ktorý vydá predseda úradu.

K § 81

Definuje pozitívnym výpočtom úlohy a právomoci, ktoré úrad vykonáva na základe tohto zákona a článku 57 až 59 nariadenia. Úrad ma pozitívnym spôsobom vymedzené úlohy, ktoré plní na základe tohto zákona alebo na základe nariadenia. V ustanovení sa pozitívnym spôsobom vymedzujú oprávnenia úradu, ktoré môže pri plnení svojich úloh vykonávať.

Stanovuje sa, že predmetom dozoru nad ochranou osobných údajov nie sú spory zo zmluvných alebo predzmluvných vzťahov medzi prevádzkovateľom alebo sprostredkovateľom a dotknutými osobami alebo inými fyzickými osobami, alebo právnickými osobami, na ktorých prejednávanie a rozhodovanie sú príslušné súdy alebo iné orgány podľa osobitných predpisov.

Úrad nie je príslušný na vykonávanie dozoru nad spracúvaním osobných údajov súdmi pri výkone ich súdnej právomoci, túto dozornú úlohu plní Ministerstvo spravodlivosti Slovenskej republiky. Taktiež úrad neplní dozornú právomoc voči Národnému bezpečnostnému úradu vykonávajúcemu spracúvanie podľa osobitného predpisu, dozor vykonáva v tomto prípade Národná rada Slovenskej republiky.

K § 82

Ustanovujú sa náležitosti týkajúce sa najvyššieho predstaviteľa úradu, štatutárneho orgánu úradu, ktorým je predseda úradu volený a odvolávaný Národnou radou Slovenskej republiky na návrh vlády Slovenskej republiky. Ustanovuje sa dĺžka jeho funkčného obdobia a možnosť jeho opakovanej voľky. Zákon ustanovuje náležitosti, ktoré musí splniť občan Slovenskej republiky na to, aby mohol byť za predsedu úradu zvolený. Ustanovujú sa situácie, kedy výkon funkcie predsedu zaniká a kedy predseda úradu môže byť z funkcie odvolaný. Platové náležitosti predsedu úradu určuje vláda.

K § 83

57

Vymedzuje a definuje podpredsedu úradu z hľadiska jeho kreovania a vymenovania do funkcie a taktiež určuje orgány, ktorým táto právomoc patrí. Podpredseda úradu zastupuje predsedu úradu a tiež sa na neho primerane vzťahujú v zákone špecifikované ustanovenia týkajúce sa predsedu úradu.

K § 84

Stanovuje povinnosť všetkých zamestnancov úradu, vrátane predsedu a podpredsedu úradu, aby boli pri svojej činnosti zaviazaní zachovávať mlčanlivosť o skutočnostiach, o ktorých sa dozvedia z titulu plnenia si svojich pracovných a služobných povinností.

Ustanovenie vymedzuje, že povinnosť mlčanlivosti sú povinní zamestnanci úradu dodržiavať nielen počas trvania ich funkčného obdobia alebo štátnozamestnaneckého pomeru, alebo ich výkonu práce vo verejnom záujme, ako aj po jeho skončení, nakoľko aj potom sú niektoré informácie a skutočnosti, ktoré sú im známe z ich pôsobenia na úrade zásadné a ich prezradením by mohlo dôjsť napríklad k ohrozeniu ochrany osobných údajov, a to napríklad prezradením bezpečnostných opatrení prevádzkovateľa. Povinnosť mlčanlivosti zamestnanec úradu nie je povinný dodržiavať a neplatí, ak je poskytnutie informácie potrebné a nevyhnutné na plnenie úloh súdu alebo orgánov činných v trestnom konaní podľa osobitného predpisu, ak tým nebude porušená povinnosť mlčanlivosti podľa iného predpisu. Oslobodiť od povinnosti mlčanlivosti zamestnancov môže predseda úradu a predsedu úradu Národná rada Slovenskej republiky.

K § 85

odsek 1 a 2

Vykonanie primeraných opatrení a preukázanie súladu prevádzkovateľom alebo sprostredkovateľom, najmä pokiaľ ide o identifikáciu rizika súvisiaceho so spracúvaním osobných údajov, na jeho posúdenie so zreteľom na pôvod, povahu, pravdepodobnosť a závažnosť, a na identifikáciu najlepších postupov na zmiernenie rizika pri spracúvaní osobných údajov sa môže prijať najmä na základe úradom schválených kódexov správania. Schváleným kódexom správania skupina prevádzkovateľov alebo sprostredkovateľov deklaruje, že predmet, na ktorý sa kódex správania vzťahuje a v kontexte predmetu aj spracovateľské operácie s osobnými údajmi sú vykonávané členmi kódexu správania v súlade so zákonom a nariadením. Navonok možno kódex správania považovať za deklarovanie súladu so zákonom a nariadením voči dotknutým osobám, úradu a iným prevádzkovateľom alebo sprostredkovateľom. Dovnútra prevádzkovateľa alebo sprostredkovateľa dodržiavanie schváleného kódexu správania znamená, že prevádzkovateľ alebo sprostredkovateľ musí činnosti a spracovateľské operácie, na ktoré má schválený kódex správania, mať v súlade so zákonom a nariadením, teda má aj svoje vnútorné procesy napríklad voči zamestnancom spracúvajúcim osobné údaje nastavené tak, aby boli súladné so zákonom a nariadením. Schválením kódexu správania nie je v nijakom smere dotknutá zodpovednosť prevádzkovateľa alebo sprostredkovateľa dodržiavať tento zákon, osobitný predpis alebo nariadenie.

odsek 3 až 6

Stanovuje sa kto podáva úradu žiadosť o schválenie návrhu kódexu správania, aké náležitosti musí žiadosť mať, aké doklady a písomnosti je potrebné k žiadosti priložiť. Je definovaný postup úradu v prípade, ak žiadateľ podal úradu neúplnú žiadosť alebo ak v konaní o schválení kódexu správania vzniknú pochybnosti o preukázaní súladu so zákonom a nariadením.

odsek 7 až 14

Ustanovuje sa priebeh konania o schválení kódexu správania a prípady, kedy je možné sa proti rozhodnutiu v konaní o schválení kódexu správania odvolať a kedy nie. O odvolaní rozhoduje predseda úradu.

odsek 15

58

Stanovuje sa, že úrad bude na svojom webovom sídle zverejňovať zoznam schválených kódexov správania.

odsek 16

Ustanovuje sa povinnosť pre združenie alebo iný subjekt zastupujúci prevádzkovateľov alebo sprostredkovateľov, ktorým bol schválený kódex správania, aby najneskôr do 15 dní odo dňa zistenia zmeny týkajúcej sa kódexu správania túto úradu písomne oznámili.

K § 86

odsek 1 a 2

Na účely preukázania súladu spracúvania osobných údajov a existencie primeraných záruk ochrany osobných údajov podľa tohto zákona alebo osobitného predpisu môže prevádzkovateľ alebo sprostredkovateľ požiadať úrad alebo certifikačný subjekt o vydanie alebo obnovenie certifikátu. Proces vydávania, odnímania a obnovy certifikátu má vo svojej kompetencii úrad a certifikačný subjekt akreditovaný úradom.

odsek 3

Úrad alebo certifikačný subjekt posudzuje v rámci konania o vydanie certifikátu súlad spracúvania osobných údajov a existenciu primeraných záruk ochrany osobných údajov prevádzkovateľa alebo sprostredkovateľa na základe certifikačných kritérií v súlade s týmto zákonom, pričom platí, že vydanie certifikátu neznižuje zodpovednosť prevádzkovateľa alebo sprostredkovateľa za dodržiavanie tohto zákona a nariadenia a nie sú ním ani dotknuté právomoci úradu.

odsek 4 až 8

Stanovuje sa kto podáva úradu žiadosť o vydanie certifikátu alebo jeho obnovu, aké náležitosti musí žiadosť mať, aké doklady a písomnosti je potrebné k žiadosti priložiť. Je definovaný postup úradu v prípade, ak žiadateľ podal úradu neúplnú žiadosť alebo ak v konaní o vydanie alebo obnovu certifikátu vzniknú pochybnosti o preukázaní súladu so zákonom a nariadením. Úrad bude na svojom webovom sídle zverejňovať vydané certifikáty.

odsek 9 až 15

Ustanovuje sa priebeh konania o vydanie alebo obnovu certifikátu a prípady, kedy je možné sa proti rozhodnutiu v konaní o vydanie certifikátu odvolať a kedy nie. O odvolaní rozhoduje predseda úradu. Ak je na základe rozhodnutia o vydaní certifikátu alebo jeho obnove rozhodnuté úrad vydá žiadateľovi certifikát na obdobie troch rokov. Stanovujú sa náležitosti certifikátu.

odsek 16 a 18

Stanovujú sa podmienky a lehoty pre žiadosť o obnovenie už vydaného certifikátu a konania o obnove certifikátu. Ustanovujú sa povinnosti, ktoré je certifikovaná osoba povinná v kontexte vydaného certifikátu dodržiavať.

odsek 19

Splnomocňovacie ustanovenie, na vydanie vykonávacieho predpisu úradu, ktorým sa stanovia certifikačné kritéria, podmienky certifikačného postupu, obsahové náležitosti technickej a bezpečnostnej dokumentácie a podmienky výkonu auditu ochrany osobných údajov vrátane podmienok odborných znalostí audítora. Audit ochrany osobných údajov je posúdenie stavu spracúvania osobných údajov v podmienkach prevádzkovateľa alebo sprostredkovateľa a jeho súladu s nariadením / zákonom, s medzinárodnými normami a štandardmi bezpečnosti ochrany osobných údajov (napr. ISO 27001, ISO 17065) a uznávanými národnými štandardmi (vykonávací právny predpis).

K § 87

59

odsek 1 až 3

Úradom schválené kódexy správania sa majú monitorovať, túto monitorovaciu činnosť vykonávajú subjekty akreditované úradom s dostatočným materiálnym a personálnym vybavením, ktoré v rámci posúdenia spôsobilosti žiadateľa o to, aby bol akreditovaný úradom posudzuje úrad. Stanovuje sa, kto môže byť akreditovaným monitorujúcim subjektom.

Kódexy správania schválené úradom pre orgány verejnej moci a verejnoprávne subjekty nepodliehajú činnosti monitorovacieho subjektu, tým nie sú dotknuté právomoci úradu podľa tohto zákona, vrátane dozornej činnosti úradu. Kódexy správania schválené úradom pre orgány verejnej moci a verejnoprávne subjekty môžu byť predmetom kontroly zo strany úradu, v rámci ktorej sa v zmysle vytýčeného predmetu kontroly bude môcť posudzovať súladnosť a dodržiavanie schváleného kódexu správania týchto subjektov.

odsek 4 a 5

Stanovujú sa oprávnenia monitorujúceho subjektu a tiež povinnosť a lehota o prijatých opatreniach informovať úrad.

odsek 6 až 9

Stanovuje sa kto podáva úradu žiadosť o akreditáciu monitorujúceho subjektu, aké náležitosti musí žiadosť mať, aké doklady a písomnosti je potrebné k žiadosti priložiť. Je definovaný postup úradu v prípade, ak žiadateľ podal úradu neúplnú žiadosť alebo ak v konaní o akreditáciu monitorujúceho subjektu vzniknú pochybnosti o preukázaní súladu so zákonom a nariadením.

odsek 10 až 12, 15,16

Ustanovuje sa priebeh a lehota na rozhodnutie v rámci konania o akreditáciu monitorujúceho subjektu a prípady, kedy je možné sa proti rozhodnutiu v konaní o akreditáciu monitorujúceho subjektu odvolať a kedy nie. Stanovuje sa, že o odvolaní rozhoduje predseda úradu.

odseky 13,14,17

Ustanovujú sa náležitosti osvedčenia o akreditácii. Stanovuje sa, že osvedčenie o akreditácii je verejnou listinou. Ustanovuje sa, že úrad na svojom webovom sídle zverejňuje vydané osvedčenia o akreditácii.

odsek 18

Stanovujú sa podmienky kedy úrad pozastaví platnosť akreditácie prípadne akreditáciu monitorujúceho subjektu zruší.

odsek 19

Stanovujú sa povinnosti akreditovaného monitorujúceho subjektu.

odsek 20

Splnomocňovacie ustanovenie, na základe ktorého úrad všeobecne záväzným právnym predpisom ustanoví kritéria na udelenie akreditácie, podmienky akreditačného postupu, obsahové náležitosti technickej a bezpečnostnej dokumentácie a podmienky výkonu auditu monitorovania kódexu správania vrátane podmienok odborných znalostí audítora.

K § 88

odsek 1 až 3

Posúdenie súladu spracúvania osobných údajov a existenciu primeraných záruk ochrany osobných údajov podľa tohto zákona a nariadenie posudzuje certifikačný subjekt, ktorý je akreditovaný úradom a ktorý spĺňa materiálne, personálne a technické predpoklady na to, aby mohol uvedenú činnosť vykonávať. Výsledkom tejto činnosti, posudzovania súladu procesov spracúvania nastavených prevádzkovateľom alebo sprostredkovateľom so zákonom alebo nariadením je vydanie certifikátu certifikačným subjektom, obnova certifikátu certifikačným subjektom alebo aj odňatie certifikátu

60

certifikačným subjektom. Certifikačným subjektom môže byť iba právnická osoba alebo fyzická osoba – podnikateľ.

odsek 4 až 10, 13, 14

Stanovuje sa kto podáva úradu žiadosť o udelenie akreditácie, aké náležitosti musí žiadosť mať, aké doklady a písomnosti je potrebné k žiadosti priložiť. Je definovaný postup úradu v prípade, ak žiadateľ podal úradu neúplnú žiadosť alebo ak v konaní o akreditáciu certifikačného subjektu vzniknú pochybnosti o preukázaní súladu so zákonom a nariadením. Ustanovuje sa priebeh konania o udelení akreditácie a prípady, kedy je možné sa proti rozhodnutiu v konaní o udelenie akreditácie odvolať a kedy nie. Stanovuje sa, že o odvolaní rozhoduje predseda úradu.

odsek 11, 12, 15

Na základe rozhodnutia o akreditácii je žiadateľovi úradom vydané osvedčenie o udelení akreditácie na obdobie piatych rokov; osvedčenie o má presne v zákone stanovené náležitosti a je verejnou listinou. Úrad zverejňuje zoznam certifikačných subjektov a schválené certifikačné kritéria na svojom webovom sídle.

odsek 16, 17

Stanovujú sa podmienky a lehota na podanie žiadosti o obnovenie akreditácie a konanie o obnovenie akreditácie. Sú ustanovené podmienky toho, v akom časovom predstihu je potrebné podať včas žiadosť o obnovenie akreditácie úradu a následky, ak sa podanie žiadosti o obnovenie akreditácie včas nestihne.

odsek 18

Stanovujú sa podmienky kedy úrad pozastaví platnosť akreditácie prípadne sa akreditácia certifikačného subjektu zruší.

odsek 19

Splnomocňovacie ustanovenie, na základe ktorého úrad všeobecne záväzným právnym predpisom ustanoví kritéria na udelenie akreditácie, podmienky certifikačného postupu, certifikačné kritéria, obsahové náležitosti technickej a bezpečnostnej dokumentácie a podmienky výkonu auditu certifikačného postupu vrátane podmienok odborných znalostí audítora.

K § 89

Stanovujú sa povinnosti certifikačného subjektu vo vzťahu k úradu a dotknutému prevádzkovateľovi alebo sprostredkovateľovi vo vzťahu k procesu vydania, obnovy alebo odňatia certifikátu.

K § 90

Kontrola je vykonávaná zamestnancami úradu, ktorí sa na tento účel stávajú členmi kontrolného orgánu, a to na základe písomného poverenia vedúceho zamestnanca alebo predsedu úradu. Pri rozhodnutí, ktorí zo zamestnancov sa v konkrétnom prípade stanú členmi kontrolného orgánu je braná do úvahy požiadavka na odborný a nestranný výkon kontroly a na príslušné vzdelanie a prípadnú prax. Kontrole podlieha prevádzkovateľ, sprostredkovateľ, prípade zástupca prevádzkovateľa alebo sprostredkovateľa lebo držiteľ osvedčenia o udelení akreditácie. Kontrolou sa rozumie kontrola spracúvania osobných údajov, kontrola dodržiavania schválených kódexov správania, kontrola súladu spracúvania osobných údajov s vydaným certifikátom a kontrola dodržiavania vydaného osvedčenia o udelení akreditácie.

Kontrolu môže kontrolný orgán (úrad) vykonávať na základe plánu kontrol alebo na základe skutočností, ktoré sa dozvedel v rámci svojej činnosti, na základe podozrenia z porušenia povinností pri spracúvaní osobných údajov, či na základe dopytu útvaru úradu v rámci konania o ochrane osobných údajov pri výkone dozornej činnosti. Začiatok kontroly je viazaný na doručenie oznámenia o kontrole kontrolovanej osobe.

61

Platí, že všetci členovia kontrolného orgánu sú povinní pri výkone kontroly postupovať tak, aby vykonali všetky potrebné kroky na zistenie reálneho stav spracúvania osobných údajov u kontrolovanej osoby v čase výkonu kontroly alebo bezprostredne pred ňou alebo na zistenie stavu spracúvania osobných údajov v inom čase predchádzajúcom kontrole, ak to podmienky spracúvania osobných údajov určené prevádzkovateľom umožňujú, a zároveň preverili všetky kritické body javiace nesúlad spracúvania osobných údajov so zákonom alebo nariadením. Pri tejto svojej činnosti musia postupovať tak, aby bezdôvodne nezasahovali do práv kontrolovanej osoby a nespôsobili jej tak ujmu, prípadne svojím postupom sami neohrozili spracúvanie osobných údajov.

Stanovujú sa tiež náležitosti poverenia na vykonanie kontroly, vzor poverenie zverejní úrad na svojom webovom sídle.

K § 91

Ustanovenie upravuje zaujatosť v rámci kontroly a postup v prípade, ak sa kontrolný orgán alebo kontrolovaná osoba sa dozvedeli o skutočnostiach zakladajúcich pochybnosti o zaujatosti kontrolného orgánu so zreteľom na jeho vzťah k predmetu kontroly alebo ku kontrolovanej osobe. Podanie námietok zaujatosti nemá odkladný účinok a kontrolný orgán je povinný v rámci už začatej kontroly vykonať aj napriek podaným námietkam len všetky také úkony, ktoré neznesú odklad.

O námietkach zaujatosti kontrolovanej osoby a o oznámení zaujatosti člena kontrolného orgánu rozhodne ten kto kontrolný orgán poveril v lehote 10 pracovných dní od ich uplatnenia. Písomné vyhodnotenie rozhodnutia sa doručí tomu, kto námietku uplatnil. Proti rozhodnutiu o námietkach zaujatosti a proti rozhodnutiu o oznámení zaujatosti člena kontrolného orgánu nemožno podať rozklad.

K § 92 a k § 93

Kontrolný orgán je pri výkone kontroly povinný postupovať v súlade so zákonom. Za týmto účelom, aby nedochádzalo k svojvoľnému konaniu kontrolného orgánu, zákon upravuje jeho povinnosti, na ktoré nadväzujú jeho oprávnenia podľa tohto zákona.

K § 94 a k § 95

Kontrolovaná osoba na účely riadneho výkonu kontroly je povinná svojím správaním a konaním vychádzať kontrolnému subjektu v ústrety, a to najmä na účely riadneho, správneho a podľa možnosti časom primeraného výkonu kontroly; jej povinnosti na tento účel zákon vymenúva taxatívne. Ďalej je kontrolovaná osoba povinná poskytovať kontrolnému orgánu pri výkone kontroly potrebnú súčinnosť v súlade s jeho oprávneniami a zdržať sa akéhokoľvek konania, ktoré by mohlo výkon kontroly mariť. Tento zákon taxatívnym výpočtom následne ustanovuje aj oprávnenia kontrolovanej osoby. Kontrola spracúvania osobných údajov sa vykonáva najmä v priestoroch kontrolovanej osoby, kde sa nachádzajú informačné systémy osobných údajov alebo kde je možné k nim mať priamy prístup. Výkonom kontroly sa myslí aj zaistenie vstupu do informačného systému kontrolovanej osoby alebo umožnenie prístupu do neho na účely kontroly a preverenie funkčnosti a aplikácie zavedených bezpečnostných opatrení a mechanizmov.

K § 96

Spracúvanie osobných údajov, ktoré podlieha kontrole úradom, prebieha za využitia rôznych technických a technologických prostriedkov, ktoré často zohľadňujú najnovšie trendy vo využívaní informačno-komunikačných technológií a sú náročné na odborné posúdenie. Zákon pamätá aj na prípady, keď je potrebné ku kontrole spracúvania osobných údajov v informačnom systéme prizvať odborníka zo špecifickej oblasti, ktorý poskytne úradu odborné stanovisko. Prizvaná osoba sa zúčastňuje kontroly spracúvania na základe písomného poverenia vedúceho zamestnanca a o jej účasti

62

na kontrole je povinný úrad kontrolovanú osobu upovedomiť. Účasť takejto osoby na kontrole sa považuje za iný úkon vo všeobecnom záujme, za ktorý jej patrí náhrada mzdy, prípadne platu vo výške priemerného zárobku podľa osobitného predpisu, pričom podmienky účasti tejto osoby na kontrole dohodne úrad s prizvanou osobou podľa ustanovení osobitných predpisov. Kontrolovaná osoba je oprávnená vzniesť preukázateľné námietky o zaujatosti prizvanej osoby. O námietkach bez možnosti odvolania sa proti rozhodnutiu rozhodne predseda úradu v zákonom stanovenej lehote.

K § 97 a k § 98

Ustanovenie upravuje spôsob ukončenia kontroly, ktorej výsledkom je protokol so zákonom taxatívne stanovenými náležitosťami, ak sa kontrolou zistí porušenie zákona alebo záznam o kontrole, ak sa kontrolou nezistí porušenie zákona. Protokol a jeho prílohy, tak ako aj dodatok k protokolu tvoria celok.

Kontrolovaná osoba sa s kontrolnými zisteniami v protokole má právo oboznámiť a môže sa k nim vyjadriť formou podania námietok v zákonom stanovenej lehote, nie je to jej povinnosť. V prípade, že námietky v zákonom stanovenej lehote neposkytne, má sa zato, že nemá námietky ku kontrolným zisteniam uvedeným v protokole. Podané námietky, ako aj prípadné nové skutočnosti úrad posúdi v zákonom stanovenej lehote a vyjadrí sa k nim formou dodatku k protokolu. Kontrolný orgán je povinný neprípustnosť námietok kontrolovanej osoby v dodatku zdôvodniť. O výsledku preskúmania námietok je povinný kontrolný orgán kontrolovanú osobu vyrozumieť písomne v zákonom stanovenej lehote. Ak sa kontrolovaná osoba odmietne oboznámiť s obsahom protokolu, vyjadriť sa ku kontrolným zisteniam alebo podpísať protokol, nemá to vplyv na dôsledky vyplývajúce z obsahu tohto dokumentu pre kontrolovanú osobu. Kontrola je ukončená dňom podpísania zápisnice o prerokovaní protokolu, alebo dňom odmietnutia podpísať zápisnicu o prerokovaní protokolu, dňom nedostavenia sa na prerokovanie protokolu na základe písomnej výzvy úradu alebo dňom doručenia záznamu o kontrole. Ak kontrolou neboli zistené porušenia kontrolný orgán vypracuje záznam o kontrole. Moment ukončenia kontroly je dôležitým údajom v kontexte konania o ochrane osobných údajov. Výkon kontroly spracúvania osobných údajov nie je výkonom kontroly podľa zákona Národnej rady Slovenskej republiky č. 10/1996 Z. z. o kontrole v štátnej správe v znení neskorších predpisov a na výkon kontroly sa zákon č. 71/1967 Zb. o správnom konaní (správny poriadok) v znení neskorších predpisov uplatní iba pri doručovaní písomností.

K § 99 až k § 103

Stanovujú účel a charakteristiku konania o ochrane osobných údajov. Účelom konania o ochrane osobných údajov je zistiť a preveriť či došlo k porušeniu práv fyzických osôb pri spracúvaní ich osobných údajov a v prípade zistenie porušenia a nedostatkov, ak je to dôvodené a účelné uložiť opatrenia na nápravu, prípadne pokutu. Konanie prebieha neverejne. Účastníkom konania môže byť dotknutá osoba, prevádzkovateľ, sprostredkovateľ, certifikačný a monitorujúci subjekt. V prípade, ak sa návrh na začatie konania týka prevádzkovateľa alebo sprostredkovateľa, kde príslušným orgánom je dozorný orgán, alebo vedúcim orgán je dozorný orgán iného členského štátu úrad v takom prípade postupuje v konaní podľa nariadenia.

Konanie sa začína na návrh dotknutej, alebo inej osoby tvrdiacej, ktorá tvrdí, že je dotknutá na svojich právach, alebo sa konanie začína bez návrhu. Ak návrh úradu doručí iná osoba ako dotknutá, návrh za považuje za podnet na začatie konania bez návrhu. Na posúdenie podnetu má úrad 30 od jeho doručenia, ak podnet neodloží začne konanie o ochrane osobných údajov a rozhodne vo veci. O spôsobe vybavenia podnetu je úrad povinný osobu, ktorá ho podala, písomne v stanovenej lehote informovať. Úrad začne konanie aj z vlastnej iniciatívy, ex officio, ak zistí pri výkone dozoru, že by práva fyzických osôb pri spracúvaní ich osobných údajov mohli byť porušené. Stanovujú sa základné náležitosti návrhu na začatie konania a podmienky, kedy úrad návrh odloží.

V prípade ak navrhovateľ iniciatívne nepožaduje v konaní utajenie svojej totožnosti úrad návrh vybaví bez utajenia osobných údajov navrhovateľa. V prípade ak navrhovateľ takúto požiadavku vzniesol, no konanie bez odtajnenia aspoň niektorých jeho osobných údajov nemôže pokračovať, je úrad povinný o tom navrhovateľ upovedomiť, pričom ho upozorní na to, že ak bude trvať na neodtajnení a neudelí úradu súhlas v konaní o návrhu nebude možné pokračovať.

63

Úrad má povinnosť v konaní rozhodnúť, ak je to možné do 90 dní od jeho začatia, ak je to odôvodnené úrad si môže lehotu na rozhodnutie predĺžiť maximálne o 180 dní, o čom je povinný písomne informovať účastníkov konania. Ak sa v rámci konania koná kontrola spracúvania osobných údajov lehota na vydanie rozhodnutia neplynie v čase konanie kontroly, teda od jej začatia až do dňa jej ukončenia. Ak počas konania sú splnené podmienky na prerušenie konania, úrad toto preruší a o tejto skutočnosti informuje účastníkov konania.

Ak sa konaním zistí porušenie práv dotknutej osoby alebo iné neplnenie povinností podľa tohto zákona alebo nariadenia úrad vydá rozhodnutie, ktorým môže uložiť opatrenie na nápravu, uložiť pokutu, vylúčiť z členstva kódexu správania, odňať certifikát, nariadiť certifikačnému subjektu odňatie certifikátu alebo odňať osvedčenie o udelení akreditácie. Ustanovujú sa náležitosti rozhodnutia úradu v konaní o ochrane osobných údajov. Proti rozhodnutiu úradu možno podať rozklad o ktorom rozhoduje predseda úradu. Podaný rozklad môže byť podávateľom rozšírený alebo doplnení o ďalší návrh alebo ďalšie body ako tie o ktorých bolo rozhodnuté iba v lehote určenej na podanie rozkladu.

V prípade ak akútne hrozí porušenie a porušovanie v právach dotknutej osoby a vec neznesie odklad, úrad je oprávnený vydať predbežné opatrenie, na odvrátenie vzniku väčších negatívnych následkov pre dotknutú osobu, ako už vznikli. Na základe uloženého predbežného opatrenia plnenie povinností ním uložených je prevádzkovateľ alebo sprostredkovateľ povinný úrad písomne informovať v lehote ním stanovenej.

K § 104 až k § 106

Za porušenie povinností ustanovených týmto zákon a nariadením možno diferencovane, podľa závažnosti, rozsahu a času trvania, následkov protiprávneho konania, prípadného opakovania takéhoto protiprávneho konania a miery ohrozenia súkromného a rodinného života, počtu dotknutých osôb a iných faktorov, ktoré musí brať úrad do úvahy uložiť pokutu a poriadkovú pokutu. K uloženiu pokuty úrad môže pristúpiť a ukladá ju jednorazovo, poriadkovú pokutu môže uložiť aj opakovane. Stanovujú sa premlčacie lehoty na ukladanie pokút a poriadkových pokút. Pokuty aj poriadkové pokuty sú príjmom štátneho rozpočtu.

Pokuty úrad môže uložiť na základe tohto zákona za správne delikty alebo za nesplnenie úradom uloženého opatrenia.

Úrad môže uložiť aj poriadkovú pokutu, a to inej osobe ako prevádzkovateľovi alebo prevádzkovateľovi, či sprostredkovateľovi, prípadne ich zástupcom.

K § 107 až k § 109

Stanovuje sa na ktoré konania podľa tohto zákona sa použije všeobecný predpis o správnom konaní a na ktoré sa nepoužije. ustanovuje sa, v ktorých prípadoch všeobecne záväzný právny predpis na vykonanie ustanovení tohto zákona.

Ustanovuje sa povinnosť poskytnúť súčinnosť úradu pri výkone jeho úloh a právomocí a pri výkone dozoru nad dodržiavaním povinností podľa tohto zákona alebo nariadenia a na základe rozhodnutí úradom vydaných, ktorá je všeobecná. Týmto stanovením súčinnosti nie je dotknutá povinnosť poskytovať súčinnosť pri výkone kontroly podľa tohto zákona.

K § 110 a k § 111

Navrhované ustanovenia sú prechodnými ustanoveniami, v rámci ktorých je potrebné sa vysporiadať s úradom a jeho funkcionármi novou právnou úpravou ochrany osobných údajov oproti súčasne platnej právnej úprave vo vzťahu k právam a povinnostiam prevádzkovateľov a sprostredkovateľov, ako aj

64

príslušných orgánov. Je taktiež potrebné sa vysporiadať s konaniami, ktoré boli začaté pred účinnosťou tohto zákona a stanoviť, podľa akých právnych predpisov budú dokončené. V prílohe sa uvádza, ktoré právne záväzné akty Európskej únie sa týmto navrhovaným zákonom preberajú.

K § 112

Ustanovenie uvádza, ktoré všeobecne záväzné právne predpisy sa s nadobudnutím účinnosti tohto zákona zrušujú.

K čl. II

Návrhom zákona dochádza aj k transpozícii smernice 2016/680 a keďže Vojenská polícia je jedným z príslušným orgánov v zmysle tejto smernice a bude sa na ňu vzťahovať štvrtá časť zákona (Osobitné pravidlá ochrany fyzických osôb pri spracúvaní osobných údajov príslušnými orgánmi), navrhuje sa zo zákona Národnej rady Slovenskej republiky č. 124/1992 Zb. o Vojenskej polícii v znení neskorších predpisov vypustiť, resp. upraviť ustanovenia, ktoré by boli duplicitné k právnej úpravy podľa predloženého návrhu zákona o ochrane osobných údajov.

K čl. III

Návrhom zákona dochádza aj k transpozícii smernice 2016/680 a keďže Policajný zbor je jedným z príslušným orgánov v zmysle tejto smernice a bude sa naňho vzťahovať štvrtá časť zákona (Osobitné pravidlá ochrany fyzických osôb pri spracúvaní osobných údajov príslušnými orgánmi), navrhuje sa zo zákona Národnej rady Slovenskej republiky č. 171/1993 Z. z. o Policajnom zbore v znení neskorších predpisov vypustiť, resp. upraviť ustanovenia, ktoré by boli duplicitné k právnej úpravy podľa predloženého návrhu zákona o ochrane osobných údajov.

K čl. IV

Navrhovaná právna úprava priamo súvisí s článkom 40 až 43 nariadenia, ktoré stanovujú postup certifikácie a jej sledovania a postup vypracúvania kódexov správania a ich sledovania ako prostriedok zvýšenia bezpečnosti spracúvania osobných údajov u prevádzkovateľov alebo sprostredkovateľov. Dodržiavanie schválených kódexov správania a dodržiavanie a monitorovanie subjektov s udelenou certifikáciou bude pre prevádzkovateľa alebo pre sprostredkovateľa možnosť, ako deklarovať súlad s týmto zákonom a s nariadením. Nakoľko v tomto procese bude mať zodpovednosť aj úrad za schválenie kódexov správania a udelenie monitorovacích právomocí subjektom je potrebné, aby bola zohľadnená časová náročnosť celého tohto procesu, čo sa zohľadní vo výške a rozsahu vyberaných správnych poplatkov. Zavedenie poplatkov predpokladá úpravu zákona č. 145/1995 Z. z. o správnych poplatkoch v znení neskorších právnych predpisov, kde sa navrhuje XXIII Časť „Ochrana osobných údajov“ zmeniť tak, ako je navrhované.

K čl. V

Návrhom zákona dochádza aj k transpozícii smernice 2016/680 a keďže Zbor väzenskej a justičnej stráže je jedným z príslušným orgánov v zmysle tejto smernice a bude sa naňho vzťahovať štvrtá časť zákona (Osobitné pravidlá ochrany fyzických osôb pri spracúvaní osobných údajov príslušnými orgánmi), navrhuje sa zo zákona č. 4/2001 Z. z. o Zbore väzenskej a justičnej stráže v znení neskorších predpisov vypustiť, resp. upraviť ustanovenia, ktoré by boli duplicitné k právnej úpravy podľa predloženého návrhu zákona o ochrane osobných údajov.

K čl. VI

Návrhom zákona dochádza aj k transpozícii smernice 2016/680 a keďže prokuratúra je jedným z príslušným orgánov v zmysle tejto smernice a bude sa na ňu vzťahovať štvrtá časť zákona (Osobitné

65

pravidlá ochrany fyzických osôb pri spracúvaní osobných údajov príslušnými orgánmi), navrhuje sa zo zákona č. 153/2001 Z. z. o prokuratúre v znení neskorších predpisov vypustiť, resp. upraviť ustanovenia, ktoré by boli duplicitné k právnej úpravy podľa predloženého návrhu zákona o ochrane osobných údajov.

K čl. VII

Návrhom nového zákona o ochrane osobných údajov dôjde aj k úprave práv dotknutej osoby, ktoré boli posilnené a ktoré dotknutej osobe dávajú možnosť požadovať od prevádzkovateľa informácie aké osobné údaje o dotknutej osobe spracúva, prípadne, komu boli získané osobné údaje poskytnuté. Ustanovenie § 92a ods. 5 zákona č. 483/2001 Z. z. o bankách a o zmene a doplnení niektorých zákonov je totožné svojím obsahom s právom dotknutej osoby – fyzickej osoby podľa § 22 tohto zákona; vo vzťahu k dotknutým osobám – právnickým osobám klientom banky, toto ustanovenie zostalo zachované. Vypustenie je tiež navrhované z dôvodu zosúladenia právnych predpisov Slovenskej republiky s nariadením. Na účely spresnenia uvedenia spracúvania osobných údajov bankou, ako prevádzkovateľom, bolo doplnené spracúvanie fotografie dotknutej osoby v prípade, ak sa spracúva doklad jej totožnosti na účely stanovené v zákone o bankách.

K čl. VIII

K bodom 1 a 2 (§ 2 písm. b) a f))

V rámci definícií sa zavádza pojem predikcia viditeľných fenotypových prejavov, ktorá nadväzuje na rozšírenie definície analýzy deoxyribonukleovej kyseliny. Zavedením definície sa reaguje na možnosť, v presne vyšpecifikovaných prípadoch, využiť najnovšie technologické postupy, ktoré už v súčasnej dobe umožňujú zistiť aj informácie ohľadom farby očí, farby vlasov alebo pigmentácie pokožky, ktoré môžu významným spôsobom zúžiť potencionálnu skupinu páchateľov závažných trestných činov alebo bližšie identifikovať mŕtvolu neznámej totožnosti alebo častí ľudského tela.

K bodu 3

Aktualizuje sa poznámka pod čiarou.

K bodu 4 (§ 3 ods. 1 písm. a))

Navrhovaná zmena zohľadňuje súčasný stav, keď Železničná polícia bola začlenená do Policajného zboru a preto jej uvádzanie v zákone je nadbytočné. Z rovnakého dôvodu sa navrhuje vypustenie poznámky pod čiarou k odkazu 3, týkajúcej sa zrušeného zákona č. 57/1998 Z. z. o Železničnej polícii.

K bodu 5 (§ 3 ods. 3)

Upravuje sa text vzhľadom na zaradenie Železničnej polície do Policajného zboru a zmenu Trestného poriadku, podľa ktorého súd nie je orgánom činným v trestnom konaní.

Zároveň sa navrhuje priznať kompetenciu odoberania vzoriek deoxyribonukleovej kyseliny aj príslušníkom Zboru väzenskej a justičnej stráže. Príslušníci Zboru väzenskej a justičnej stráže podľa § 21b zákona č. 4/2001 Z. z o Zbore väzenskej a justičnej stráže síce nemajú oprávnenie na odoberanie vzoriek deoxyribonukleovej kyseliny, ale túto kompetenciu im môže zákonodarca zveriť priamo zákonom č. 417/2002 Z. z. tak, ako je to v prípade príslušníkov Policajného zboru, ktorí v zmysle § 20a zákona o Policajnom zbore tiež nie sú splnomocnení odoberať vzorku deoxyribonukleovej kyseliny osobám vo výkone trestu odňatia slobody, túto kompetenciu im priznáva priamo zákon č. 417/2002 Z. z. Analogicky to platí pre všetky orgány činné v trestnom konaní, ktoré na odoberanie vzorky deoxyribonukleovej kyseliny splnomocňuje priamo zákon č. 417/2002 Z. z., hoci príslušné zákony im takéto oprávnenie nepriznávajú (napr. § 21b zákona č. 4/2001 Z. z. o Zbore väzenskej a justičnej stráže,

66

§ 21a zákona č. 652/2004 Z. z. o orgánoch štátnej správy v colníctve alebo zákon č. 124/1992 Zb. o Vojenskej polícii).

K bodu 6 (§ 4 ods. 2)

V § 4 sa navrhuje za odsek 1 vložiť nový odsek 2, v ktorom sa špecifikujú podmienky využitia predikcie viditeľných fenotypových prejavov, presne sa definujú závažné prípady odkazom pod čiarou 5b, ktorým sa odkazuje na § 11 ods. 3 Trestného zákona, ako aj trestných činov proti životu a zdraviu, trestných činov proti slobode a ľudskej dôstojnosti, čím sa vymedzuje okruh trestných činov, pri ktorých bude možné túto analýzu žiadať. Zároveň sa zavádza kumulatívna podmienka, že toto vyšetrenie môže byť vykonané len za podmienky, že nebola zistená zhoda v národnej databáze profilov deoxyribonukleovej kyseliny, ako aj v medzinárodných databázach profilov deoxyribonukleovej kyseliny členských štátov EÚ, s ktorými si Slovenská republika vymieňa údaje na základe rozhodnutia Rady (ES) 2008/616/SVV z 23. júna 2008 o vykonávaní rozhodnutia 2008/615/SVV o zintenzívnení cezhraničnej spolupráce, najmä v boji proti terorizmu a cezhraničnej trestnej činnosti.

K bodu 7 (§ 4 ods. 3)

Návrhom sa reaguje na rozhodnutie Rady 2008/616/SVV, kde sa v čl. 7 ods. 1 uvádza, že „členské štáty využívajú pre výmenu údajov o DNA existujúce normy, ako napríklad európsky štandardný súbor (ESS)“. Európsky štandardný súbor (ESS) bol vydaný v prílohe uznesenia Rady z 30. novembra 2009 o výmene výsledkov analýzy DNA (Ú. v. EÚ C 296/1 – 3, 5. decembra 2009). Na základe uvedeného sa tiež mení príloha č. 1.

K bodu 8 (§ 4 ods. 4)

V rámci tejto úpravy sa implementuje rozhodnutie Rady 2008/616/SVV z 23. júna 2008 o vykonávaní rozhodnutia 2008/615/SVV o zintenzívnení cezhraničnej spolupráce, najmä v boji proti terorizmu a cezhraničnej trestnej činnosti, kde sa v čl. 7 sa ukladá členským štátom povinnosť prijať opatrenia potrebné na zabezpečenie integrity profilov DNA poskytovaných alebo zaslaných na porovnávanie iným členským štátom a na zabezpečenie toho, aby tieto opatrenia spĺňali medzinárodné normy ako napríklad EN ISO/IEC 17025 – všeobecné požiadavky na kompetentnosť skúšobných a kalibračných laboratórií.

Z tohto uvedeného dôvodu navrhujeme, aby sa všetkým poskytovateľom forenzných služieb, ktorých služby sú využívané pre účely trestného konania, uložila povinnosť používať akreditované postupy.

K bodu 9 (§ 4 ods. 4 písm. a))

Znalci fyzické osoby a právnické osoby ako znalecké organizácie alebo znalecké ústavy sú podľa platnej právnej úpravy zapísané v zozname znalcov, tlmočníkov a prekladateľov, vedenom Ministerstvom spravodlivosti Slovenskej republiky na základe zákona č. 382/2004 Z. z. o znalcoch, tlmočníkoch a prekladateľoch a o zmene a doplnení niektorých zákonov v znení neskorších predpisov v oddiele na zápis znalcov. Kriminalistický a expertízny ústav Prezídia Policajného zboru je zapísaný ako znalecký ústav v odbore kriminalistika. Navrhovaná zmena aktualizuje použité pojmy a dáva do súladu znenie zákona so súčasným právnym stavom. „Zoznam ústavov a iných pracovísk špecializovaných na znaleckú činnosť“, uvedený v § 4 ods. 3 písm. a), sa viedol podľa zákona č. 36/1967 Zb. o znalcoch a tlmočníkoch, ktorý bol zrušený. Z týchto dôvodov sa navrhuje aj zmena poznámky pod čiarou k odkazu 6.

K bodu 10 (§ 4 ods. 5)

Upravuje sa text vzhľadom na zaradenie Železničnej polície do Policajného zboru a zmenu Trestného poriadku, podľa ktorého súd nie je orgánom činným v trestnom konaní.

K bodom 11 (§ 4 ods. 8)

Zmenou vnútorného odkazu sa reaguje na prečíslovanie odsekov v § 4.

67

K bodom 12 (§ 5 ods. 3 písm. b) druhý bod)

Upravuje sa rozsah požadovaných informácií, ktoré majú byť predložené spolu so vzorkou biologického materiálu, z ktorého ma byť metódami molekulárnej biológie a genetiky získaný DNA profil.

K bodu 13 (Poznámka pod čiarou k odkazu 7)

Navrhovaná zmena rešpektuje aktuálnu právnu úpravu, podľa ktorej osobitnými predpismi upravujúcimi postup pri poskytovaní údajov z databázy obsahujúcej profily deoxyribonukleovej kyseliny sú zákon o Policajnom zbore a zákon o ochrane osobných údajov.

K bodu 14 (§ 8 ods. 1)

Dôvodom likvidácie údajov osôb z databázy vzoriek profilov DNA povereným útvarom je aj zastavenie trestného stíhania v prípravnom konaní z dôvodu, že je nepochybné, že sa nestal skutok, pre ktorý sa vedie trestné stíhanie, alebo že nie je tento skutok trestným činom a nie je dôvod na postúpenie veci. Navrhovaná zmena dáva do súladu vymenované dôvody s ustanoveniami Trestného poriadku tak ako sú uvedené v § 215 ods. 1 písm. a) a b). Tieto dôvody sa týkajú len zastavenia trestného stíhania vedeného vo veci, keď vyšetrovaný skutok nie je možné kvalifikovať ako trestný čin.

Návrh rozširuje dôvod likvidácie údajov z databázy povereným útvarom aj o prípad, kedy sa vyšetrovaním zistí, že vyšetrovaný skutok sa stal a tento skutok je trestným činom a trestné stíhanie je vedené proti obvinenému, pričom je v prípravnom konaní prokurátorom toto trestné stíhanie zastavené podľa § 215 ods. 1 písm. c) Trestného poriadku z dôvodu, že bez pochybností sa zistí, že skutok nespáchal obvinený. Po zastavení trestného stíhania obvineného sa ďalej trestné stíhanie vedie iba vo veci.

Poznámky pod čiarou k odkazom 8 až 12 v návrhu odkazujú na príslušné ustanovenia platného Trestného poriadku.

K bodu 15 (§ 8 ods. 3)

Doterajšia právna úprava vychádza z neplatného zákona č. 141/1961 Zb. o trestnom konaní súdnom (Trestný poriadok), v ktorom bol podľa § 12 ods. 1 orgánom činným v trestnom konaní aj súd. Podľa § 8 ods. 3 má orgán činný v trestnom konaní, ktorý skončil trestné konanie týkajúce sa osoby, ktorej profil deoxyribonukleovej kyseliny je uložený v databáze, povinnosť o tejto skutočnosti do troch pracovných dní od skončenia trestného konania informovať poverený útvar. Podľa platného Trestného poriadku súd nie je orgánom činným v trestnom konaní a preto v navrhovanej zmene sa súd uvádza osobitne ako subjekt, ktorý má tiež oznamovaciu povinnosť podľa § 8 ods. 3 zákona.

K bodu 16

Zmena prílohy č. 1 súvisí so zmenami v bode 6 (§ 4 ods. 3).

K bodu 17

V prílohe č. 2 sa zadefinoval nový formát oznamu o výsledku analýzy deoxyribonukleovej kyseliny, ktorý zohľadňuje navrhované zmeny v zákone.

K čl. IX

V súvislosti s procesom nakladania s jadrovými materiálmi je Slovenská republika viazaná plnením medzinárodných záväzkov vo vzťahu k ich kontrole a deklarácii, či nie sú využívané na iné, ako na mierové účely. Účelom systému evidencie a kontroly jadrových materiálov, tzv. zárukový systém, je zabrániť zneužívaniu jadrových materiálov, nezákonnému nakladaniu s nimi, zisťovať straty jadrových materiálov a poskytovať informácie, ktoré by mohli viesť k ich nájdeniu, a to nielen na národnej ale i medzinárodnej úrovni.

68

Po vstupe Slovenskej republiky do Európskej únie sa v Slovenskej republike začal uplatňovať systém tzv. integrovaných záruk medzi Európskym spoločenstvom pre atómovú energiu, Medzinárodnou agentúrou pre atómovú energiu a príslušným členským štátom. Za týmto účelom je potrebné zabezpečiť vstup určeným medzinárodným inšpektorom do jadrových zariadení v Slovenskej republike na vykonanie medzinárodnej inšpekcie.

Medzinárodní inšpektori sú menovaní na základe ustanovení v Dohode medzi Belgickým kráľovstvom, Dánskym kráľovstvom, Spolkovou republikou Nemecko, Írskou republikou, Talianskou republikou, Luxemburským veľkovojvodstvom, Holandským kráľovstvom, Európskym spoločenstvom pre atómovú energiu a Medzinárodnou agentúrou pre atómovú energiu o implementácii čl. III ods. 1 a 4 Zmluvy o nešírení jadrových zbraní a Dodatkovým protokolom k Dohode medzi Belgickým kráľovstvom, Dánskym kráľovstvom, Spolkovou republikou Nemecko, Írskou republikou, Talianskou republikou, Luxemburským veľkovojvodstvom, Holandským kráľovstvom, Európskym spoločenstvom pre atómovú energiu a Medzinárodnou agentúrou pre atómovú energiu o implementácii čl. III ods. 1 a 4 Zmluvy o nešírení jadrových zbraní (oznámenie Ministerstva zahraničných vecí Slovenskej republiky č. 36/2006 Z. z.), ako aj ustanovení článku 81 a 82 Zmluvy o založení Európskeho spoločenstva pre atómovú energiu (ďalej len „Zmluva o Euratome“). Úrad jadrového dozoru Slovenskej republiky okrem osobných údajov medzinárodných inšpektorov ďalej spracúva osobné údaje štátnych zamestnancov – inšpektorov a inšpektorov – čakateľov a ďalších osôb prizvaných na inšpekciu alebo medzinárodnú inšpekciu, ktoré na účely plnenia povinností držiteľa povolenia, konkrétne povinností v oblasti fyzickej ochrany, poskytuje držiteľovi povolenia v nevyhnutnom rozsahu potrebnom na overenie ich totožnosti pri vstupe do jadrových zariadení v Slovenskej republike.

K bodu 1

Ide o zosúladenie ustanovení § 26 atómového zákona s prijatým nariadením. Ustanovenie rieši sprístupnenie ako aj spracúvanie osobných údajov dotknutých osôb so zadefinovaním rozsahu osobných údajov a uvedením predkladaných povinných dokumentov na účel plnenia zákonnej povinnosti držiteľa povolenia spočívajúcej v kontrole vstupov a výstupov osôb do a z jadrového zariadenia.

K bodu 2

Ide o precizovanie právnej úpravy, u ktorých osôb, ktoré vstupujú alebo vystupujú do a z jadrového zariadenia, je možné spracovávať osobné údaje a za akým účelom. Vzhľadom na prepojenie s § 26 ods. 6 sa už rozsah osobných údajov dotknutých osôb neopakuje, ale len odkazuje na dané ustanovenie. Zároveň sa definuje oprávnenie úradu poskytnúť osobné údaje dotknutých osôb držiteľovi povolenia.

Pokiaľ ide o inšpektorov a inšpektorov - čakateľov, ide o osobné údaje štátnych zamestnancov zmysle zákona č. 400/2009 Z. z. o štátnej službe a o zmene a doplnení niektorých zákonov v znení neskorších predpisov, ktoré úrad poskytuje držiteľovi povolenia na účely plnenia zákonných povinností v oblasti fyzickej ochrany.

Ohľadom medzinárodných inšpektorov príslušné ustanovenie odráža požiadavku spracovávať osobné údaje vymenovaných medzinárodných inšpektorov, ktorých zoznamy sú pravidelne aktualizované a zasielané členským štátom medzinárodnými organizáciami (Európska komisia, Medzinárodná agentúra pre atómovú energiu), aby bol zabezpečený ich vstup do jadrových zariadení v Slovenskej republike s cieľom vykonať medzinárodnú inšpekciu podľa § 33 atómového zákona, kedy ak sa osoba nachádza v týchto zoznamoch, musí byť do jadrových zariadení po splnení príslušných podmienok vpustená.

Relevantnými pri medzinárodných inšpektoroch sú napríklad: Článok 9 a článok 85 Dohody medzi Belgickým kráľovstvom, Dánskym kráľovstvom, Spolkovou republikou Nemecko, Írskou republikou, Talianskou republikou, Luxemburským veľkovojvodstvom, Holandským kráľovstvom, Európskym spoločenstvom pre atómovú energiu a Medzinárodnou agentúrou pre atómovú energiu o implementácii čl. III ods. 1 a 4 Zmluvy o nešírení jadrových zbraní (oznámenie Ministerstva zahraničných vecí Slovenskej republiky č. 36/2006 Z. z.); Článok 11 Dodatkového protokolu k Dohode medzi Belgickým kráľovstvom, Dánskym kráľovstvom, Spolkovou republikou Nemecko, Írskou republikou, Talianskou republikou, Luxemburským veľkovojvodstvom, Holandským kráľovstvom, Európskym spoločenstvom

69

pre atómovú energiu a Medzinárodnou agentúrou pre atómovú energiu o implementácii čl. III ods. 1 a 4 Zmluvy o nešírení jadrových zbraní (oznámenie Ministerstva zahraničných vecí Slovenskej republiky č. 36/2006 Z. z.); Články 81 a 82 Zmluvy o Euratome; Článok XII. písm. A) bod 6. vyhlášky ministerstva zahraničných vecí č. 59/1958 Zb. o Stanovách Medzinárodnej agentúry pre atómovú energiu.

K čl. X

Návrhom zákona dochádza aj k transpozícii smernice 2016/680 a keďže finančná správa je jedným z príslušným orgánov v zmysle tejto smernice a bude sa na ňu vzťahovať štvrtá časť zákona (Osobitné pravidlá ochrany fyzických osôb pri spracúvaní osobných údajov príslušnými orgánmi), navrhuje sa zo zákona č. 652/2004 Z. z. o orgánoch štátnej správy v colníctve v znení neskorších predpisov vypustiť, resp. upraviť ustanovenia, ktoré by boli duplicitné k právnej úpravy podľa predloženého návrhu zákona o ochrane osobných údajov.

K čl. XI

Návrhom zákona dochádza aj k transpozícii smernice 2016/680 a keďže súdy sú jedným z príslušným orgánov v zmysle tejto smernice a bude sa na nich vzťahovať štvrtá časť zákona (Osobitné pravidlá ochrany fyzických osôb pri spracúvaní osobných údajov príslušnými orgánmi), navrhuje sa zo zákona č. 757/2004 Z. z. o súdoch v znení neskorších predpisov vypustiť, resp. upraviť ustanovenia, ktoré by boli duplicitné k právnej úpravy podľa predloženého návrhu zákona o ochrane osobných údajov.

K čl. XII

Návrhom nového zákona o ochrane osobných údajov dôjde aj k úprave práv dotknutej osoby, ktoré boli posilnené a ktoré dotknutej osobe dávajú možnosť požadovať od prevádzkovateľa informácie aké osobné údaje o dotknutej osobe spracúva, prípadne, komu boli získané osobné údaje poskytnuté. Ustanovenie § 7 ods. 13 zákona č. 129/2010 Z. z. o spotrebiteľských úveroch a o iných úveroch a pôžičkách pre spotrebiteľov a o zmene a doplnení niektorých zákonov je totožné svojím obsahom s navrhovaným § 22 a § 23 zákona, preto sa navrhuje jeho vypustenie. Vypustenie je tiež navrhované z dôvodu harmonizácie právnych predpisov Slovenskej republiky s nariadením. Aj napriek vypusteniu ustanovenia z textu zákona o spotrebiteľských úveroch práva pre klientov, spotrebiteľov fyzické osoby zostávajú zachované, ale v rámci nariadenia alebo v rámci návrhu zákona.

K čl. XIII

Návrhom nového zákona o ochrane osobných údajov dôjde aj k úprave práv dotknutej osoby, ktoré boli posilnené a ktoré dotknutej osobe dávajú možnosť požadovať od prevádzkovateľa informácie aké osobné údaje o dotknutej osobe spracúva, prípadne, komu boli získané osobné údaje poskytnuté. Ustanovenie § 72 ods. 13 zákona č. 39/2015 Z. z. o poisťovníctve a o zmene a doplnení niektorých zákonov je totožné svojím obsahom s navrhovaným § 22 a 23 návrhu zákona, preto sa navrhuje jeho vypustenie. Vypustenie je tiež navrhované z dôvodu harmonizácie právnych predpisov Slovenskej republiky s nariadením. Aj napriek vypusteniu ustanovenia z textu zákona o poisťovníctve práva pre klientov, spotrebiteľov fyzické osoby zostávajú zachované, ale v rámci nariadenia alebo v rámci návrhu zákona.

K čl. XIV

Článok upravuje navrhovaný termín účinnosti zákona, a to 25. máj 2018.

70

Príloha k zákonu:

ZOZNAM PREBERANÝCH PRÁVNE ZÁVÄZNÝCH AKTOV EURÓPSKEJ ÚNIE

V Bratislave, 20. septembra 2017

Robert Fico, v.r.

predseda vlády Slovenskej republiky

Soňa Pőtheová, v.r.

predsedníčka Úradu na ochranu osobných údajov Slovenskej republiky