ako prevádzkovateľ informačného systému zverejňujem za účelom dodržiavania spravodlivosti a transparentnosti voči dotknutým osobám toto vyhlásenie o ochrane osobných údajov pod názvom
ZÁKON 18/2018 Z.z.
z 29. novembra 2017
o ochrane osobných údajov a o zmene a doplnení niektorých zákonov
Čl.I
PRVÁ ČASŤ
ZÁKLADNÉ USTANOVENIA
§ 1
Predmet úpravy
Tento zákon upravuje
a) ochranu práv fyzických osôb pred neoprávneným spracúvaním ich osobných údajov,
b) práva, povinnosti a zodpovednosť pri spracúvaní osobných údajov fyzických osôb,
c) postavenie, pôsobnosť a organizáciu Úradu na ochranu osobných údajov Slovenskej republiky (ďalej len "úrad").
§ 2
Osobnými údajmi sú údaje týkajúce sa identifikovanej fyzickej osoby alebo identifikovateľnej fyzickej osoby, ktorú možno identifikovať priamo alebo nepriamo, najmä na základe všeobecne použiteľného identifikátora, iného identifikátora, ako je napríklad meno, priezvisko, identifikačné číslo, lokalizačné údaje,1) alebo online identifikátor, alebo na základe jednej alebo viacerých charakteristík alebo znakov, ktoré tvoria jej fyzickú identitu, fyziologickú identitu, genetickú identitu, psychickú identitu, mentálnu identitu, ekonomickú identitu, kultúrnu identitu alebo sociálnu identitu.
§ 3
Pôsobnosť
(1) Tento zákon sa vzťahuje na spracúvanie osobných údajov vykonávané úplne alebo čiastočne automatizovanými prostriedkami a na spracúvanie osobných údajov inými než automatizovanými prostriedkami, ak ide o osobné údaje, ktoré tvoria súčasť informačného systému alebo sú určené na to, aby tvorili súčasť informačného systému.
(2) Tento zákon, okrem § 2, § 5, druhej a tretej časti zákona, sa vzťahuje na spracúvanie osobných údajov, na ktoré sa vzťahuje osobitný predpis o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov.2)
(3) Tento zákon sa vzťahuje na spracúvanie osobných údajov Policajným zborom, Vojenskou políciou, Zborom väzenskej a justičnej stráže, Finančnou správou, prokuratúrou a súdmi (ďalej len "príslušný orgán") na účely predchádzania a odhaľovania trestnej činnosti, zisťovania páchateľov trestných činov, stíhania trestných činov alebo na účely výkonu rozhodnutí v trestnom konaní vrátane ochrany pred ohrozením verejného poriadku a predchádzania takémuto ohrozeniu (ďalej len "plnenie úloh na účely trestného konania"); z druhej časti tohto zákona sa na spracúvanie osobných údajov podľa predchádzajúcej časti vety vzťahujú len ustanovenia uvedené v § 52, § 59, § 67 a § 73.
(4) Tento zákon sa vzťahuje na spracúvanie osobných údajov
a) v rámci činnosti prevádzkovateľa alebo sprostredkovateľa, ktorého sídlo, miesto podnikania, organizačná zložka, prevádzkareň alebo trvalý pobyt je na území Slovenskej republiky, a to bez ohľadu na to, či sa spracúvanie osobných údajov vykonáva na území Slovenskej republiky alebo mimo územia Slovenskej republiky,
b) v rámci činnosti prevádzkovateľa alebo sprostredkovateľa, ktorého sídlo, miesto podnikania, organizačná zložka, prevádzkareň alebo trvalý pobyt nie je na území Slovenskej republiky, ale je v mieste, kde sa na základe medzinárodného práva verejného uplatňuje právny poriadok Slovenskej republiky,
c) dotknutej osoby, ktorá sa nachádza na území Slovenskej republiky, prevádzkovateľom alebo sprostredkovateľom, ktorého sídlo, miesto podnikania, organizačná zložka, prevádzkareň alebo trvalý pobyt nie je v členskom štáte, pričom spracúvanie osobných údajov súvisí
1. s ponukou tovaru alebo služieb tejto dotknutej osobe na území Slovenskej republiky bez ohľadu na to, či sa od dotknutej osoby vyžaduje platba alebo nie, alebo
2. so sledovaním jej správania na území Slovenskej republiky.
(5) Tento zákon sa nevzťahuje na spracúvanie osobných údajov
a) fyzickou osobou v rámci výlučne osobnej činnosti alebo domácej činnosti,
b) Slovenskou informačnou službou,3) Vojenským spravodajstvom,4)
c) Národným bezpečnostným úradom na účely vykonávania bezpečnostných previerok a na účely zabezpečovania podkladov na rozhodovanie Súdnej rady Slovenskej republiky o splnení predpokladov sudcovskej spôsobilosti.5)
(6) Tento zákon sa nevzťahuje na spracúvanie osobných údajov zosnulých osôb, ku spracovaniu ktorých dochádza na vedecký účel, na štatistický účel, na účel umeleckej činnosti, tlačového spravodajstva, rozhlasového a televízneho vysielania, archivácie, dokumentačnej činnosti, historického výskumu, činností pohrebísk, umiestnenia pamätníkov a pamätných tabúľ, konania spomienkových podujatí a piety v rozsahu nevyhnutnom pre jeho naplnenie.
§ 4
Voľný pohyb osobných údajov medzi Slovenskou republikou a členskými štátmi sa zaručuje; Slovenská republika neobmedzí ani nezakáže prenos osobných údajov z dôvodu ochrany základných práv fyzických osôb, najmä ich práva na súkromie v súvislosti so spracúvaním ich osobných údajov.
§ 5
Vymedzenie základných pojmov
Na účely tohto zákona sa rozumie
a) súhlasom dotknutej osoby akýkoľvek vážny a slobodne daný, konkrétny, informovaný a jednoznačný prejav vôle dotknutej osoby vo forme vyhlásenia alebo jednoznačného potvrdzujúceho úkonu, ktorým dotknutá osoba vyjadruje súhlas so spracúvaním svojich osobných údajov,
b) genetickými údajmi osobné údaje týkajúce sa zdedených genetických charakteristických znakov fyzickej osoby alebo nadobudnutých genetických charakteristických znakov fyzickej osoby, ktoré poskytujú jedinečné informácie o fyziológii alebo zdraví tejto fyzickej osoby a ktoré vyplývajú najmä z analýzy biologickej vzorky danej fyzickej osoby,
c) biometrickými údajmi osobné údaje, ktoré sú výsledkom osobitného technického spracúvania osobných údajov týkajúcich sa fyzických charakteristických znakov fyzickej osoby, fyziologických charakteristických znakov fyzickej osoby alebo behaviorálnych charakteristických znakov fyzickej osoby a ktoré umožňujú jedinečnú identifikáciu alebo potvrdzujú jedinečnú identifikáciu tejto fyzickej osoby, ako najmä vyobrazenie tváre alebo daktyloskopické údaje,
d) údajmi týkajúcimi sa zdravia osobné údaje týkajúce sa fyzického zdravia alebo duševného zdravia fyzickej osoby vrátane údajov o poskytovaní zdravotnej starostlivosti alebo služieb súvisiacich s poskytovaním zdravotnej starostlivosti, ktorými sa odhaľujú informácie o jej zdravotnom stave,
e) spracúvaním osobných údajov spracovateľská operácia alebo súbor spracovateľských operácií s osobnými údajmi alebo so súbormi osobných údajov, najmä získavanie, zaznamenávanie, usporadúvanie, štruktúrovanie, uchovávanie, zmena, vyhľadávanie, prehliadanie, využívanie, poskytovanie prenosom, šírením alebo iným spôsobom, preskupovanie alebo kombinovanie, obmedzenie, vymazanie, bez ohľadu na to, či sa vykonáva automatizovanými prostriedkami alebo neautomatizovanými prostriedkami,
f) obmedzením spracúvania osobných údajov označenie uchovávaných osobných údajov s cieľom obmedziť ich spracúvanie v budúcnosti,
g) profilovaním akákoľvek forma automatizovaného spracúvania osobných údajov spočívajúceho v použití osobných údajov na vyhodnotenie určitých osobných znakov alebo charakteristík týkajúcich sa fyzickej osoby, najmä na analýzu alebo predvídanie znakov alebo charakteristík dotknutej osoby súvisiacich s jej výkonnosťou v práci, majetkovými pomermi, zdravím, osobnými preferenciami, záujmami, spoľahlivosťou, správaním, polohou alebo pohybom,
h) pseudonymizáciou spracúvanie osobných údajov spôsobom, že ich nie je možné priradiť ku konkrétnej dotknutej osobe bez použitia dodatočných informácií, ak sa takéto dodatočné informácie uchovávajú oddelene a vzťahujú sa na ne technické a organizačné opatrenia na zabezpečenie toho, aby osobné údaje nebolo možné priradiť identifikovanej fyzickej osobe alebo identifikovateľnej fyzickej osobe,
i) logom záznam o priebehu činnosti používateľa v automatizovanom informačnom systéme,
j) šifrovaním transformácia osobných údajov spôsobom, ktorým opätovné spracúvanie je možné len po zadaní zvoleného parametra, ako je kľúč alebo heslo,
k) online identifikátorom identifikátor poskytnutý aplikáciou, nástrojom alebo protokolom, najmä IP adresa, cookies, prihlasovacie údaje do online služieb, rádiofrekvenčná identifikácia, ktoré môžu zanechávať stopy, ktoré sa najmä v kombinácii s jedinečnými identifikátormi alebo inými informáciami môžu použiť na vytvorenie profilu dotknutej osoby a na jej identifikáciu,
l) informačným systémom akýkoľvek usporiadaný súbor osobných údajov, ktoré sú prístupné podľa určených kritérií, bez ohľadu na to, či ide o systém centralizovaný, decentralizovaný alebo distribuovaný na funkčnom základe alebo geografickom základe,
m) porušením ochrany osobných údajov porušenie bezpečnosti, ktoré vedie k náhodnému alebo nezákonnému zničeniu, strate, zmene alebo k neoprávnenému poskytnutiu prenášaných, uchovávaných osobných údajov alebo inak spracúvaných osobných údajov, alebo k neoprávnenému prístupu k nim,
n) dotknutou osobou každá fyzická osoba, ktorej osobné údaje sa spracúvajú,
o) prevádzkovateľom každý, kto sám alebo spoločne s inými vymedzí účel a prostriedky spracúvania osobných údajov a spracúva osobné údaje vo vlastnom mene; prevádzkovateľ alebo konkrétne požiadavky na jeho určenie môžu byť ustanovené v osobitnom predpise alebo medzinárodnej zmluve, ktorou je Slovenská republika viazaná, ak takýto predpis alebo táto zmluva ustanovuje účel a prostriedky spracúvania osobných údajov,
p) sprostredkovateľom každý, kto spracúva osobné údaje v mene prevádzkovateľa,
q) príjemcom každý, komu sa osobné údaje poskytnú bez ohľadu na to, či je treťou stranou; za príjemcu sa nepovažuje orgán verejnej moci, ktorý spracúva osobné údaje na základe osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, v súlade s pravidlami ochrany osobných údajov vzťahujúcimi sa na daný účel spracúvania osobných údajov,
r) treťou stranou každý, kto nie je dotknutou osobou, prevádzkovateľ, sprostredkovateľ alebo inou fyzickou osobou, ktorá na základe poverenia prevádzkovateľa alebo sprostredkovateľa spracúva osobné údaje,
s) zodpovednou osobou osoba určená prevádzkovateľom alebo sprostredkovateľom, ktorá plní úlohy podľa tohto zákona,
t) zástupcom fyzická osoba alebo právnická osoba so sídlom, miestom podnikania, organizačnou zložkou, prevádzkarňou alebo trvalým pobytom v členskom štáte, ktorú prevádzkovateľ alebo sprostredkovateľ písomne poveril podľa § 35,
u) podnikom fyzická osoba - podnikateľ alebo právnická osoba vykonávajúca hospodársku činnosť bez ohľadu na jej právnu formu vrátane združení fyzických osôb alebo združení právnických osôb, ktoré pravidelne vykonávajú hospodársku činnosť,
v) skupinou podnikov ovládajúci podnik a ním ovládané podniky,
w) hlavnou prevádzkarňou
1. miesto centrálnej správy prevádzkovateľa v Európskej únii, ak ide o prevádzkovateľa s prevádzkarňami vo viac než jednom členskom štáte, okrem prípadu, keď sa rozhodnutia o účeloch a prostriedkoch spracúvania osobných údajov prijímajú v inej prevádzkarni prevádzkovateľa v Európskej únii a táto iná prevádzkareň má právomoc presadiť vykonanie takýchto rozhodnutí, pričom v takom prípade sa za hlavnú prevádzkareň považuje prevádzkareň, ktorá takéto rozhodnutia prijala,
2. miesto centrálnej správy sprostredkovateľa v Európskej únii, ak ide o sprostredkovateľa s prevádzkarňami vo viac než jednom členskom štáte alebo ak sprostredkovateľ nemá centrálnu správu v Európskej únii, prevádzkareň sprostredkovateľa v Európskej únii, v ktorej sa v kontexte činností prevádzkarne sprostredkovateľa uskutočňujú hlavné spracovateľské činnosti, a to v rozsahu, v akom sa na sprostredkovateľa vzťahujú osobitné povinnosti podľa tohto zákona,
x) vnútropodnikovými pravidlami postupy ochrany osobných údajov, ktoré dodržiava prevádzkovateľ alebo sprostredkovateľ so sídlom, miestom podnikania, organizačnou zložkou, prevádzkarňou alebo trvalým pobytom na území Slovenskej republiky na účely prenosu osobných údajov prevádzkovateľovi alebo sprostredkovateľovi v tretej krajine,
y) kódexom správania súbor pravidiel ochrany osobných údajov dotknutej osoby, ktorý sa prevádzkovateľ alebo sprostredkovateľ zaviazal dodržiavať,
z) medzinárodnou organizáciou organizácia a jej podriadené subjekty, ktoré sa riadia medzinárodným právom verejným, alebo akýkoľvek iný subjekt, ktorý bol zriadený dohodou medzi dvoma alebo viacerými krajinami alebo na základe takejto dohody,
aa) členským štátom štát, ktorý je členským štátom Európskej únie alebo zmluvnou stranou Dohody o Európskom hospodárskom priestore,
ab) treťou krajinou krajina, ktorá nie je členským štátom,
ac) zamestnancom úradu zamestnanec v pracovnom pomere alebo v obdobnom pracovnom vzťahu podľa osobitného predpisu6) alebo štátny zamestnanec, ktorý vykonáva štátnu službu v štátnozamestnaneckom pomere podľa osobitného predpisu.7)
DRUHÁ ČASŤ
VŠEOBECNÉ PRAVIDLÁ OCHRANY OSOBNÝCH ÚDAJOV FYZICKÝCH OSÔB PRI ICH SPRACÚVANÍ
PRVÁ HLAVA
ZÁSADY SPRACÚVANIA OSOBNÝCH ÚDAJOV
§ 6
Zásada zákonnosti
Osobné údaje možno spracúvať len zákonným spôsobom a tak, aby nedošlo k porušeniu základných práv dotknutej osoby.
§ 7
Zásada obmedzenia účelu
Osobné údaje sa môžu získavať len na konkrétne určený, výslovne uvedený a oprávnený účel a nesmú sa ďalej spracúvať spôsobom, ktorý nie je zlučiteľný s týmto účelom; ďalšie spracúvanie osobných údajov na účel archivácie, na vedecký účel, na účel historického výskumu alebo na štatistický účel, ak je v súlade s osobitným predpisom8) a ak sú dodržané primerané záruky ochrany práv dotknutej osoby podľa § 78 ods. 8, sa nepovažuje za nezlučiteľné s pôvodným účelom.
§ 8
Zásada minimalizácie osobných údajov
Spracúvané osobné údaje musia byť primerané, relevantné a obmedzené na nevyhnutný rozsah daný účelom, na ktorý sa spracúvajú.
§ 9
Zásada správnosti
Spracúvané osobné údaje musia byť správne a podľa potreby aktualizované; musia sa prijať primerané a účinné opatrenia na zabezpečenie toho, aby sa osobné údaje, ktoré sú nesprávne z hľadiska účelov, na ktoré sa spracúvajú, bez zbytočného odkladu vymazali alebo opravili.
§ 10
Zásada minimalizácie uchovávania
Osobné údaje musia byť uchovávané vo forme, ktorá umožňuje identifikáciu dotknutej osoby najneskôr dovtedy, kým je to potrebné na účel, na ktorý sa osobné údaje spracúvajú; osobné údaje sa môžu uchovávať dlhšie, ak sa majú spracúvať výlučne na účel archivácie, na vedecký účel, na účel historického výskumu alebo na štatistický účel na základe osobitného predpisu8) a ak sú dodržané primerané záruky ochrany práv dotknutej osoby podľa § 78 ods. 8.
§ 11
Zásada integrity a dôvernosti
Osobné údaje musia byť spracúvané spôsobom, ktorý prostredníctvom primeraných technických a organizačných opatrení zaručuje primeranú bezpečnosť osobných údajov vrátane ochrany pred neoprávneným spracúvaním osobných údajov, nezákonným spracúvaním osobných údajov, náhodnou stratou osobných údajov, výmazom osobných údajov alebo poškodením osobných údajov.
§ 12
Zásada zodpovednosti
Prevádzkovateľ je zodpovedný za dodržiavanie základných zásad spracúvania osobných údajov, za súlad spracúvania osobných údajov so zásadami spracúvania osobných údajov a je povinný tento súlad so zásadami spracúvania osobných údajov na požiadanie úradu preukázať.
§ 13
Zákonnosť spracúvania
(1) Spracúvanie osobných údajov je zákonné, ak sa vykonáva na základe aspoň jedného z týchto právnych základov:
a) dotknutá osoba vyjadrila súhlas so spracúvaním svojich osobných údajov aspoň na jeden konkrétny účel,
b) spracúvanie osobných údajov je nevyhnutné na plnenie zmluvy, ktorej zmluvnou stranou je dotknutá osoba, alebo na vykonanie opatrenia pred uzatvorením zmluvy na základe žiadosti dotknutej osoby,
c) spracúvanie osobných údajov je nevyhnutné podľa osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná,
d) spracúvanie osobných údajov je nevyhnutné na ochranu života, zdravia alebo majetku dotknutej osoby alebo inej fyzickej osoby,
e) spracúvanie osobných údajov je nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi, alebo
f) spracúvanie osobných údajov je nevyhnutné na účel oprávnených záujmov prevádzkovateľa alebo tretej strany okrem prípadov, keď nad týmito záujmami prevažujú záujmy alebo práva dotknutej osoby vyžadujúce si ochranu osobných údajov, najmä ak je dotknutou osobou dieťa; tento právny základ sa nevzťahuje na spracúvanie osobných údajov orgánmi verejnej moci pri plnení ich úloh.
(2) Právny základ na spracúvanie osobných údajov podľa odseku 1 písm. c) a e) musí byť ustanovený v tomto zákone, osobitnom predpise alebo v medzinárodnej zmluve, ktorou je Slovenská republika viazaná; osobitný zákon musí ustanovovať účel spracúvania osobných údajov, kategóriu dotknutých osôb a zoznam spracúvaných osobných údajov alebo rozsah spracúvaných osobných údajov. Spracúvané osobné údaje na základe osobitného zákona možno z informačného systému poskytnúť, preniesť alebo zverejniť len vtedy, ak osobitný zákon ustanovuje účel poskytovania alebo účel zverejňovania, zoznam spracúvaných osobných údajov alebo rozsah spracúvaných osobných údajov, ktoré možno poskytnúť alebo zverejniť, prípadne príjemcov, ktorým sa osobné údaje poskytnú.
(3) Ak spracúvanie osobných údajov na iný účel ako na účel, na ktorý boli osobné údaje získané, nie je založené na súhlase dotknutej osoby alebo na osobitnom predpise, prevádzkovateľ na zistenie toho, či je spracúvanie osobných údajov na iný účel zlučiteľné s účelom, na ktorý boli osobné údaje pôvodne získané, okrem iného musí zohľadniť
a) akúkoľvek súvislosť medzi účelom, na ktorý sa osobné údaje pôvodne získali, a účelom zamýšľaného ďalšieho spracúvania osobných údajov,
b) okolnosti, za akých sa osobné údaje získali, najmä okolnosti týkajúce sa vzťahu medzi dotknutou osobou a prevádzkovateľom,
c) povahu osobných údajov, najmä či sa spracúvajú osobitné kategórie osobných údajov podľa § 16 alebo osobné údaje týkajúce sa uznania viny za spáchanie trestného činu alebo priestupku podľa § 17,
d) možné následky zamýšľaného ďalšieho spracúvania osobných údajov pre dotknutú osobu a
e) existenciu primeraných záruk, ktoré môžu zahŕňať šifrovanie alebo pseudonymizáciu.
§ 14
Podmienky poskytnutia súhlasu so spracúvaním osobných údajov
(1) Ak je spracúvanie osobných údajov založené na súhlase dotknutej osoby, prevádzkovateľ je povinný kedykoľvek vedieť preukázať, že dotknutá osoba poskytla súhlas so spracúvaním svojich osobných údajov.
(2) Ak prevádzkovateľ žiada o udelenie súhlasu na spracovanie osobných údajov dotknutú osobu, tento súhlas musí byť odlíšený od iných skutočností a musí byť vyjadrený jasne a v zrozumiteľnej a ľahko dostupnej forme.
(3) Dotknutá osoba má právo kedykoľvek odvolať súhlas so spracovaním osobných údajov, ktoré sa jej týkajú. Odvolanie súhlasu nemá vplyv na zákonnosť spracúvania osobných údajov založeného na súhlase pred jeho odvolaním; pred poskytnutím súhlasu musí byť dotknutá osoba o tejto skutočnosti informovaná. Dotknutá osoba môže súhlas odvolať rovnakým spôsobom, akým súhlas udelila.
(4) Pri posudzovaní, či bol súhlas poskytnutý slobodne, sa najmä zohľadní skutočnosť, či sa plnenie zmluvy vrátane poskytnutia služby podmieňuje súhlasom so spracúvaním osobných údajov, ktorý nie je na plnenie tejto zmluvy nevyhnutný.
§ 15
Podmienky poskytnutia súhlasu v súvislosti so službami informačnej spoločnosti
(1) Prevádzkovateľ v súvislosti s ponukou služieb informačnej spoločnosti9) spracúva osobné údaje na základe súhlasu dotknutej osoby zákonne, ak dotknutá osoba dovŕšila 16 rokov veku. Ak má dotknutá osoba menej ako 16 rokov, takéto spracúvanie osobných údajov je zákonné iba za podmienky a v rozsahu, v akom takýto súhlas poskytol alebo schválil jej zákonný zástupca.10)
(2) Prevádzkovateľ je povinný vynaložiť primerané úsilie, aby si overil, že zákonný zástupca dotknutej osoby poskytol alebo schválil súhlas so spracúvaním osobných údajov podľa odseku 1, pričom zohľadní dostupnú technológiu.
§ 16
Spracúvanie osobitných kategórií osobných údajov
(1) Zakazuje sa spracúvanie osobitných kategórií osobných údajov. Osobitnými kategóriami osobných údajov sú údaje, ktoré odhaľujú rasový pôvod alebo etnický pôvod, politické názory, náboženskú vieru, filozofické presvedčenie, členstvo v odborových organizáciách, genetické údaje, biometrické údaje, údaje týkajúce sa zdravia alebo údaje týkajúce sa sexuálneho života alebo sexuálnej orientácie fyzickej osoby.
(2) Zákaz spracúvania osobitných kategórií osobných údajov neplatí, ak
a) dotknutá osoba vyjadrila výslovný súhlas so spracúvaním týchto osobných údajov aspoň na jeden konkrétny účel; súhlas je neplatný, ak jeho poskytnutie vylučuje osobitný predpis,
b) spracúvanie je nevyhnutné na účel plnenia povinností a výkonu osobitných práv prevádzkovateľa alebo dotknutej osoby v oblasti pracovného práva, práva sociálneho zabezpečenia, sociálnej ochrany alebo verejného zdravotného poistenia podľa osobitného predpisu,11) medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, alebo podľa kolektívnej zmluvy, ak poskytujú primerané záruky ochrany základných práv a záujmov dotknutej osoby,
c) spracúvanie je nevyhnutné na ochranu života, zdravia alebo majetku dotknutej osoby alebo inej fyzickej osoby, ak dotknutá osoba nie je fyzicky spôsobilá alebo právne spôsobilá vyjadriť svoj súhlas,
d) spracúvanie vykonáva v rámci oprávnenej činnosti občianske združenie, nadácia alebo nezisková organizácia poskytujúca všeobecne prospešné služby, politická strana alebo politické hnutie, odborová organizácia, štátom uznaná cirkev alebo náboženská spoločnosť a toto spracúvanie sa týka iba ich členov alebo tých fyzických osôb, ktoré sú s nimi vzhľadom na ich ciele v pravidelnom styku, osobné údaje slúžia výlučne pre ich vnútornú potrebu a nebudú poskytnuté príjemcovi bez písomného alebo inak hodnoverne preukázateľného súhlasu dotknutej osoby,
e) spracúvanie sa týka osobných údajov, ktoré dotknutá osoba preukázateľne zverejnila,
f) spracúvanie je nevyhnutné na uplatnenie právneho nároku,12) alebo pri výkone súdnej právomoci,
g) spracúvanie je nevyhnutné z dôvodu verejného záujmu na základe tohto zákona, osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, ktoré sú primerané vzhľadom na sledovaný cieľ, rešpektujú podstatu práva na ochranu osobných údajov a ustanovujú vhodné a konkrétne opatrenia na zabezpečenie základných práv a záujmov dotknutej osoby,
h) spracúvanie je nevyhnutné na účel preventívneho pracovného lekárstva, poskytovania zdravotnej starostlivosti a služieb súvisiacich s poskytovaním zdravotnej starostlivosti alebo na účel vykonávania verejného zdravotného poistenia, ak tieto údaje spracúva poskytovateľ zdravotnej starostlivosti, zdravotná poisťovňa, osoba vykonávajúca služby súvisiace s poskytovaním zdravotnej starostlivosti alebo osoba vykonávajúca dohľad nad zdravotnou starostlivosťou a v jej mene odborne spôsobilá oprávnená osoba, ktorá je viazaná povinnosťou mlčanlivosti o skutočnostiach, o ktorých sa dozvedela pri výkone svojej činnosti, a povinnosťou dodržiavať zásady profesijnej etiky,
i) spracúvanie je nevyhnutné na účel sociálneho poistenia, sociálneho zabezpečenia policajtov a vojakov, poskytovania štátnych sociálnych dávok, podpory sociálneho začlenenia fyzickej osoby s ťažkým zdravotným postihnutím do spoločnosti,13) poskytovania sociálnych služieb, vykonávania opatrení sociálnoprávnej ochrany detí a sociálnej kurately alebo na účel poskytovania pomoci v hmotnej núdzi, alebo je spracúvanie nevyhnutné na účel plnenia povinností alebo uplatnenia práv prevádzkovateľa zodpovedného za spracúvanie v oblasti pracovného práva a v oblasti služieb zamestnanosti, ak to prevádzkovateľovi vyplýva z osobitného predpisu14) alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná,
j) spracúvanie je nevyhnutné z dôvodu verejného záujmu v oblasti verejného zdravia, ako je ochrana proti závažným cezhraničným ohrozeniam zdravia alebo zabezpečenie vysokej úrovne kvality a bezpečnosti zdravotnej starostlivosti, liekov, dietetických potravín alebo zdravotníckych pomôcok, na základe tohto zákona, osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, ktorými sa ustanovujú vhodné a konkrétne opatrenia na ochranu práv dotknutej osoby, najmä povinnosť mlčanlivosti,15)
k) spracúvanie je nevyhnutné na účel archivácie, na vedecký účel, na účel historického výskumu alebo na štatistický účel podľa tohto zákona, osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, ktoré sú primerané vzhľadom na sledovaný cieľ, rešpektujú podstatu práva na ochranu osobných údajov a ustanovené vhodné a konkrétne opatrenia na zabezpečenie základných práv a záujmov dotknutej osoby.
§ 17
Spracúvanie osobných údajov týkajúcich sa uznania viny za spáchanie trestného činu alebo priestupku
Prevádzkovateľom na účel spracúvania osobných údajov v registri trestov podľa osobitného predpisu16) môže byť len štátny orgán. Spracúvať osobné údaje týkajúce sa uznania viny za spáchanie trestného činu alebo priestupku alebo súvisiacich bezpečnostných opatrení možno len na základe osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, ktoré poskytujú primerané záruky ochrany práv dotknutej osoby.
§ 18
Spracúvanie osobných údajov bez potreby identifikácie
(1) Ak si účel, na ktorý prevádzkovateľ spracúva osobné údaje, vyžaduje alebo vyžadoval od prevádzkovateľa, aby identifikoval dotknutú osobu, prevádzkovateľ nie je povinný uchovávať, získať alebo spracúvať dodatočné informácie na zistenie totožnosti dotknutej osoby výlučne na to, aby dosiahol súlad s týmto zákonom.
(2) Ak v prípadoch uvedených v odseku 1 prevádzkovateľ vie preukázať, že dotknutú osobu nie je schopný identifikovať, je povinný ju o tom primeraným spôsobom informovať, ak je to možné. V takých prípadoch sa § 21 až 26 neuplatňujú okrem toho, ak dotknutá osoba na účel vykonania svojich práv podľa uvedených ustanovení poskytne dodatočné informácie umožňujúce jej identifikáciu.
DRUHÁ HLAVA
PRÁVA DOTKNUTEJ OSOBY
PRVÝ DIEL
INFORMÁCIE A PRÍSTUP K OSOBNÝM ÚDAJOM
§ 19
Poskytované informácie, ak osobné údaje sú získané od dotknutej osoby
(1) Ak sa od dotknutej osoby získavajú osobné údaje, ktoré sa jej týkajú, je prevádzkovateľ povinný poskytnúť dotknutej osobe pri ich získavaní
a) identifikačné údaje a kontaktné údaje prevádzkovateľa a zástupcu prevádzkovateľa, ak bol poverený,
b) kontaktné údaje zodpovednej osoby, ak je určená,
c) účel spracúvania osobných údajov, na ktorý sú osobné údaje určené, ako aj právny základ spracúvania osobných údajov,
d) oprávnené záujmy prevádzkovateľa alebo tretej strany, ak sa osobné údaje spracúvajú podľa § 13 ods. 1 písm. f),
e) identifikáciu príjemcu alebo kategóriu príjemcu, ak existuje,
f) informáciu o tom, že prevádzkovateľ zamýšľa preniesť osobné údaje do tretej krajiny alebo medzinárodnej organizácii, identifikáciu tretej krajiny alebo medzinárodnej organizácie, informáciu o existencii alebo neexistencii rozhodnutia Európskej komisie (ďalej len "Komisia") o primeranosti alebo odkaz na primerané záruky alebo vhodné záruky a prostriedky na získanie ich kópie alebo informáciu o tom, kde boli sprístupnené, ak prevádzkovateľ zamýšľa prenos podľa § 48 ods. 2, § 49 alebo § 51 ods. 1 a 2.
(2) Okrem informácií podľa odseku 1 je prevádzkovateľ povinný pri získavaní osobných údajov poskytnúť dotknutej osobe informácie o
a) dobe uchovávania osobných údajov; ak to nie je možné, informácie o kritériách jej určenia,
b) práve požadovať od prevádzkovateľa prístup k osobným údajom týkajúcich sa dotknutej osoby, o práve na opravu osobných údajov, o práve na vymazanie osobných údajov alebo o práve na obmedzenie spracúvania osobných údajov, o práve namietať spracúvanie osobných údajov, ako aj o práve na prenosnosť osobných údajov,
c) práve kedykoľvek svoj súhlas odvolať,
d) práve podať návrh na začatie konania podľa § 100,
e) tom, či je poskytovanie osobných údajov zákonnou požiadavkou alebo zmluvnou požiadavkou alebo požiadavkou, ktorá je potrebná na uzavretie zmluvy, a o tom, či je dotknutá osoba povinná poskytnúť osobné údaje, ako aj o možných následkoch neposkytnutia osobných údajov,
f) existencii automatizovaného individuálneho rozhodovania vrátane profilovania podľa § 28 ods. 1 a 4; v týchto prípadoch poskytne prevádzkovateľ dotknutej osobe informácie o použitom postupe, ako aj o význame a predpokladaných dôsledkoch takého spracúvania osobných údajov pre dotknutú osobu.
(3) Prevádzkovateľ je povinný poskytnúť dotknutej osobe pred ďalším spracúvaním osobných údajov informácie o inom účele a ďalšie relevantné informácie podľa odseku 2, ak má prevádzkovateľ v úmysle ďalej spracúvať osobné údaje na iný účel ako ten, na ktorý boli získané.
(4) Odseky 1 až 3 sa neuplatňujú v rozsahu, v akom boli informácie dotknutej osobe poskytnuté pred spracúvaním osobných údajov.
§ 20
Poskytované informácie, ak osobné údaje nie sú získané od dotknutej osoby
(1) Ak osobné údaje neboli získané od dotknutej osoby, prevádzkovateľ je povinný dotknutej osobe poskytnúť
a) identifikačné údaje a kontaktné údaje prevádzkovateľa a zástupcu prevádzkovateľa, ak bol poverený,
b) kontaktné údaje zodpovednej osoby, ak je určená,
c) účel spracúvania osobných údajov, na ktorý sú osobné údaje určené, ako aj právny základ spracúvania osobných údajov,
d) kategórie spracúvaných osobných údajov,
e) identifikáciu príjemcu alebo kategóriu príjemcu, ak existuje,
f) informáciu o tom, že prevádzkovateľ zamýšľa preniesť osobné údaje do tretej krajiny alebo medzinárodnej organizácii, identifikáciu tretej krajiny alebo medzinárodnej organizácie, informáciu o existencii alebo neexistencii rozhodnutia Komisie o primeranosti alebo odkaz na primerané záruky alebo vhodné záruky a prostriedky na získanie ich kópie alebo informáciu o tom, kde boli sprístupnené, ak prevádzkovateľ zamýšľa prenos podľa § 48 ods. 2, § 49 alebo § 51 ods. 1 a 2.
(2) Okrem informácií podľa odseku 1 je prevádzkovateľ povinný poskytnúť dotknutej osobe informácie o
a) dobe uchovávania osobných údajov; ak to nie je možné, informáciu o kritériách jej určenia,
b) oprávnených záujmoch prevádzkovateľa alebo tretej strany, ak sa spracúvajú osobné údaje podľa § 13 ods. 1 písm. f),
c) práve požadovať od prevádzkovateľa prístup k osobným údajom týkajúcich sa dotknutej osoby o práve na opravu osobných údajov, o práve na vymazanie osobných údajov alebo o práve na obmedzenie spracúvania osobných údajov, o práve namietať spracúvanie osobných údajov, ako aj o práve na prenosnosť osobných údajov,
d) práve kedykoľvek svoj súhlas odvolať,
e) práve podať návrh na začatie konania podľa § 100,
f) zdroji, z ktorého pochádzajú osobné údaje, prípadne informácie o tom, či pochádzajú z verejne prístupných zdrojov,
g) existencii automatizovaného individuálneho rozhodovania vrátane profilovania podľa § 28 ods. 1 a 4; v týchto prípadoch poskytne prevádzkovateľ dotknutej osobe informácie o použitom postupe, ako aj o význame automatizovaného individuálneho rozhodovania a predpokladaných dôsledkoch takého spracúvania osobných údajov pre dotknutú osobu.
(3) Prevádzkovateľ je povinný poskytnúť informácie podľa odsekov 1 a 2
a) najneskôr do jedného mesiaca po získaní osobných údajov, pričom zohľadní konkrétne okolnosti, za ktorých sa osobné údaje spracúvajú,
b) najneskôr v čase prvej komunikácie s touto dotknutou osobou, ak sa osobné údaje majú použiť na komunikáciu s dotknutou osobou, alebo
c) najneskôr vtedy, keď sa osobné údaje prvýkrát poskytnú, ak sa predpokladá poskytnutie osobných údajov ďalšiemu príjemcovi.
(4) Prevádzkovateľ je povinný poskytnúť dotknutej osobe pred ďalším spracúvaním osobných údajov informácie o inom účele a ďalšie relevantné informácie podľa odseku 2, ak má prevádzkovateľ v úmysle ďalej spracúvať osobné údaje na iný účel ako ten, na ktorý boli získané.
(5) Odseky 1 až 4 sa neuplatňujú
a) v rozsahu, v akom dotknutá osoba už dané informácie má,
b) v rozsahu, v akom sa poskytovanie týchto informácií ukáže ako nemožné alebo by si vyžadovalo neprimerané úsilie, najmä ak sa spracúvajú osobné údaje na účel archivácie, na vedecký účel, na účel historického výskumu alebo na štatistický účel, na ktorý sa vzťahujú podmienky a záruky podľa § 78 ods. 8, alebo ak je pravdepodobné, že povinnosť uvedená v odseku 1 znemožní alebo závažným spôsobom sťaží dosiahnutie cieľov takého spracúvania osobných údajov; prevádzkovateľ je v takom prípade povinný prijať vhodné opatrenia na ochranu práv a oprávnených záujmov dotknutej osoby vrátane sprístupnenia daných informácií verejnosti,
c) v rozsahu, v akom sa získanie týchto informácií alebo poskytnutie týchto informácií ustanovuje v osobitnom predpise, ktorý sa na prevádzkovateľa vzťahuje a v ktorom sú ustanovené primerané opatrenia na ochranu práv a oprávnených záujmov dotknutej osoby, alebo
d) ak osobné údaje musia zostať dôverné na základe povinnosti mlčanlivosti podľa osobitného predpisu.15)
§ 21
Právo na prístup k osobným údajom
(1) Dotknutá osoba má právo získať od prevádzkovateľa potvrdenie o tom, či sa spracúvajú osobné údaje, ktoré sa jej týkajú. Ak prevádzkovateľ takéto osobné údaje spracúva, dotknutá osoba má právo získať prístup k týmto osobným údajom a informácie o
a) účele spracúvania osobných údajov,
b) kategórii spracúvaných osobných údajov,
c) identifikácii príjemcu alebo o kategórii príjemcu, ktorému boli alebo majú byť osobné údaje poskytnuté, najmä o príjemcovi v tretej krajine alebo o medzinárodnej organizácii, ak je to možné,
d) dobe uchovávania osobných údajov; ak to nie je možné, informáciu o kritériách jej určenia,
e) práve požadovať od prevádzkovateľa opravu osobných údajov týkajúcich sa dotknutej osoby, ich vymazanie alebo obmedzenie ich spracúvania, alebo o práve namietať spracúvanie osobných údajov,
f) práve podať návrh na začatie konania podľa § 100,
g) zdroji osobných údajov, ak sa osobné údaje nezískali od dotknutej osoby,
h) existencii automatizovaného individuálneho rozhodovania vrátane profilovania podľa § 28 ods. 1 a 4; v týchto prípadoch poskytne prevádzkovateľ dotknutej osobe informácie najmä o použitom postupe, ako aj o význame a predpokladaných dôsledkoch takého spracúvania osobných údajov pre dotknutú osobu.
(2) Dotknutá osoba má právo byť informovaná o primeraných zárukách týkajúcich sa prenosu podľa § 48 ods. 2 až 4, ak sa osobné údaje prenášajú do tretej krajiny alebo medzinárodnej organizácii.
(3) Prevádzkovateľ je povinný poskytnúť dotknutej osobe jej osobné údaje, ktoré spracúva. Za opakované poskytnutie osobných údajov, o ktoré dotknutá osoba požiada, môže prevádzkovateľ účtovať primeraný poplatok zodpovedajúci administratívnym nákladom. Prevádzkovateľ je povinný poskytnúť osobné údaje dotknutej osobe spôsobom podľa jej požiadavky.
(4) Právo získať osobné údaje podľa odseku 3 nesmie mať nepriaznivé dôsledky na práva iných fyzických osôb.
DRUHÝ DIEL
OPRAVA A VYMAZANIE A OBMEDZENIE SPRACÚVANIA OSOBNÝCH ÚDAJOV
§ 22
Právo na opravu osobných údajov
Dotknutá osoba má právo na to, aby prevádzkovateľ bez zbytočného odkladu opravil nesprávne osobné údaje, ktoré sa jej týkajú. So zreteľom na účel spracúvania osobných údajov má dotknutá osoba právo na doplnenie neúplných osobných údajov.
§ 23
Právo na výmaz osobných údajov
(1) Dotknutá osoba má právo na to, aby prevádzkovateľ bez zbytočného odkladu vymazal osobné údaje, ktoré sa jej týkajú.
(2) Prevádzkovateľ je povinný bez zbytočného odkladu vymazať osobné údaje, ak dotknutá osoba uplatnila právo na výmaz podľa odseku 1, ak
a) osobné údaje už nie sú potrebné na účel, na ktorý sa získali alebo inak spracúvali,
b) dotknutá osoba odvolá súhlas podľa § 13 ods. 1 písm. a) alebo § 16 ods. 2 písm. a), na základe ktorého sa spracúvanie osobných údajov vykonáva, a neexistuje iný právny základ pre spracúvanie osobných údajov,
c) dotknutá osoba namieta spracúvanie osobných údajov podľa § 27 ods. 1 a neprevažujú žiadne oprávnené dôvody na spracúvanie osobných údajov alebo dotknutá osoba namieta spracúvanie osobných údajov podľa § 27 ods. 2,
d) osobné údaje sa spracúvajú nezákonne,
e) je dôvodom pre výmaz splnenie povinnosti podľa tohto zákona, osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, alebo
f) sa osobné údaje získavali v súvislosti s ponukou služieb informačnej spoločnosti podľa § 15 ods. 1.
(3) Ak prevádzkovateľ zverejnil osobné údaje a je povinný ich podľa odseku 1 vymazať, je zároveň povinný prijať primerané bezpečnostné opatrenia vrátane technických opatrení so zreteľom na dostupnú technológiu a náklady na ich vykonanie na účel informovania ostatných prevádzkovateľov, ktorí spracúvajú osobné údaje dotknutej osoby o jej žiadosti, aby títo prevádzkovatelia vymazali odkazy na jej osobné údaje a ich kópie alebo odpisy.
(4) Odseky 1 a 2 sa neuplatňujú, ak je spracúvanie osobných údajov potrebné
a) na uplatnenie práva na slobodu prejavu alebo práva na informácie,
b) na splnenie povinnosti podľa tohto zákona, osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, alebo na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi,
c) z dôvodov verejného záujmu v oblasti verejného zdravia v súlade s § 16 ods. 2 písm. h) až j),
d) na účel archivácie, na vedecký účel, na účel historického výskumu alebo na štatistický účel podľa § 78 ods. 8, ak je pravdepodobné, že právo podľa odseku 1 znemožní alebo závažným spôsobom sťaží dosiahnutie cieľov takého spracúvania, alebo
e) na uplatnenie právneho nároku.
§ 24
Právo na obmedzenie spracúvania osobných údajov
(1) Dotknutá osoba má právo na to, aby prevádzkovateľ obmedzil spracúvanie osobných údajov, ak
a) dotknutá osoba namieta správnosť osobných údajov, a to počas obdobia umožňujúceho prevádzkovateľovi overiť správnosť osobných údajov,
b) spracúvanie osobných údajov je nezákonné a dotknutá osoba namieta vymazanie osobných údajov a žiada namiesto toho obmedzenie ich použitia,
c) prevádzkovateľ už nepotrebuje osobné údaje na účel spracúvania osobných údajov, ale potrebuje ich dotknutá osoba na uplatnenie právneho nároku, alebo
d) dotknutá osoba namieta spracúvanie osobných údajov podľa § 27 ods. 1, a to až do overenia, či oprávnené dôvody na strane prevádzkovateľa prevažujú nad oprávnenými dôvodmi dotknutej osoby.
(2) Ak sa spracúvanie osobných údajov obmedzilo podľa odseku 1, okrem uchovávania môže osobné údaje prevádzkovateľ spracúvať len so súhlasom dotknutej osoby alebo na účel uplatnenia právneho nároku, na ochranu osôb alebo z dôvodov verejného záujmu.
(3) Dotknutú osobu, ktorej spracúvanie osobných údajov sa obmedzí podľa odseku 1, je prevádzkovateľ povinný informovať pred tým, ako bude obmedzenie spracúvania osobných údajov zrušené.
§ 25
Oznamovacia povinnosť v súvislosti s opravou, vymazaním alebo obmedzením spracúvania osobných údajov
(1) Prevádzkovateľ je povinný oznámiť príjemcovi opravu osobných údajov, vymazanie osobných údajov alebo obmedzenie spracúvania osobných údajov uskutočnené podľa § 22, § 23 ods. 1 alebo § 24, ak sa to neukáže ako nemožné alebo si to nevyžaduje neprimerané úsilie.
(2) Prevádzkovateľ o príjemcoch podľa odseku 1 informuje dotknutú osobu, ak to dotknutá osoba požaduje.
TRETÍ DIEL
PRÁVO NA PRENOSNOSŤ, PRÁVO NAMIETAŤ A AUTOMATIZOVANÉ INDIVIDUÁLNE ROZHODOVANIE
§ 26
Právo na prenosnosť osobných údajov
(1) Dotknutá osoba má právo získať osobné údaje, ktoré sa jej týkajú a ktoré poskytla prevádzkovateľovi, v štruktúrovanom, bežne používanom a strojovo čitateľnom formáte a má právo preniesť tieto osobné údaje ďalšiemu prevádzkovateľovi, ak je to technicky možné a ak
a) sa osobné údaje spracúvajú podľa § 13 ods. 1 písm. a), § 16 ods. 2 písm. a) alebo § 13 ods. 1 písm. b) a
b) spracúvanie osobných údajov sa vykonáva automatizovanými prostriedkami.
(2) Uplatnením práva uvedeného v odseku 1 nie je dotknuté právo podľa § 23. Právo na prenosnosť sa nevzťahuje na spracúvanie osobných údajov nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi.
(3) Právo podľa odseku 1 nesmie mať nepriaznivé dôsledky na práva iných osôb.
§ 27
Právo namietať spracúvanie osobných údajov
(1) Dotknutá osoba má právo namietať spracúvanie jej osobných údajov z dôvodu týkajúceho sa jej konkrétnej situácie vykonávané podľa § 13 ods. 1 písm. e) alebo písm. f) vrátane profilovania založeného na týchto ustanoveniach. Prevádzkovateľ nesmie ďalej spracúvať osobné údaje, ak nepreukáže nevyhnutné oprávnené záujmy na spracúvanie osobných údajov, ktoré prevažujú nad právami alebo záujmami dotknutej osoby, alebo dôvody na uplatnenie právneho nároku.
(2) Dotknutá osoba má právo namietať spracúvanie osobných údajov, ktoré sa jej týkajú, na účel priameho marketingu vrátane profilovania v rozsahu, v akom súvisí s priamym marketingom. Ak dotknutá osoba namieta spracúvanie osobných údajov na účel priameho marketingu, prevádzkovateľ ďalej osobné údaje na účel priameho marketingu nesmie spracúvať.
(3) Prevádzkovateľ je povinný dotknutú osobu výslovne upozorniť na práva podľa odsekov 1 a 2 najneskôr pri prvej komunikácii s ňou, pričom informácia o tomto práve musí byť uvedená jasne a oddelene od akýchkoľvek iných informácií.
(4) V súvislosti s používaním služieb informačnej spoločnosti môže dotknutá osoba svoje právo namietať uplatňovať automatizovanými prostriedkami s použitím technických špecifikácií.
(5) Dotknutá osoba má právo namietať spracúvanie osobných údajov, ktoré sa jej týkajú, z dôvodov týkajúcich sa jej konkrétnej situácie, okrem prípadov, keď je spracúvanie osobných údajov nevyhnutné na plnenie úlohy z dôvodov verejného záujmu, ak sa osobné údaje spracúvajú na vedecký účel, na účel historického výskumu alebo na štatistický účel podľa § 78 ods. 8.
§ 28
Automatizované individuálne rozhodovanie vrátane profilovania
(1) Dotknutá osoba má právo na to, aby sa na ňu nevzťahovalo rozhodnutie, ktoré je založené výlučne na automatizovanom spracúvaní osobných údajov vrátane profilovania a ktoré má právne účinky, ktoré sa jej týkajú alebo ju obdobne významne ovplyvňujú.
(2) Odsek 1 sa neuplatňuje, ak je rozhodnutie
a) nevyhnutné na uzavretie zmluvy alebo plnenie zmluvy medzi dotknutou osobou a prevádzkovateľom,
b) vykonané na základe osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, a v ktorých sú zároveň ustanovené aj vhodné opatrenia zaručujúce ochranu práv a oprávnených záujmov dotknutej osoby, alebo
c) založené na výslovnom súhlase dotknutej osoby.
(3) V prípadoch podľa odseku 2 písm. a) a c) je prevádzkovateľ povinný vykonať vhodné opatrenia na ochranu práv a oprávnených záujmov dotknutej osoby, a to najmä práva na overenie rozhodnutia nie automatizovaným spôsobom zo strany prevádzkovateľa, práva vyjadriť svoje stanovisko a práva napadnúť rozhodnutie.
(4) Rozhodnutia podľa odseku 2 sa nesmú zakladať na osobitných kategóriách osobných údajov podľa § 16 ods. 1 okrem prípadov, ak sa uplatňuje § 16 ods. 2 písm. a) alebo písm. g) a súčasne sú zavedené vhodné opatrenia na zaručenie práv a oprávnených záujmov dotknutej osoby.
ŠTVRTÝ DIEL
POVINNOSTI PREVÁDZKOVATEĽA PRI UPLATŇOVANÍ PRÁV DOTKNUTEJ OSOBY
§ 29
(1) Prevádzkovateľ je povinný prijať vhodné opatrenia a poskytnúť dotknutej osobe informácie podľa § 19 a 20 a oznámenia podľa § 21 až 28 a 41, ktoré sa týkajú spracúvania jej osobných údajov, v stručnej, transparentnej, zrozumiteľnej a ľahko dostupnej forme, formulované jasne, a to najmä pri informáciách určených osobitne dieťaťu. Informácie je povinný poskytnúť v listinnej podobe alebo elektronickej podobe, spravidla v rovnakej podobe, v akej bola podaná žiadosť. Ak o to požiada dotknutá osoba, informácie môže prevádzkovateľ poskytnúť aj ústne, ak dotknutá osoba preukáže svoju totožnosť iným spôsobom.
(2) Prevádzkovateľ poskytuje súčinnosť dotknutej osobe pri uplatňovaní jej práv podľa § 21 až 28. V prípadoch uvedených v § 18 ods. 2 nemôže prevádzkovateľ odmietnuť konať na základe žiadosti dotknutej osoby pri výkone jej práv podľa § 21 až 28, ak nepreukáže, že dotknutú osobu nie je schopný identifikovať.
(3) Prevádzkovateľ je povinný poskytnúť dotknutej osobe informácie o opatreniach, ktoré sa prijali na základe jej žiadosti podľa § 21 až 28 do jedného mesiaca od doručenia žiadosti. Uvedenú lehotu môže prevádzkovateľ v odôvodnených prípadoch s ohľadom na komplexnosť a počet žiadostí predĺžiť o ďalšie dva mesiace, a to aj opakovane. Prevádzkovateľ je povinný informovať o každom takom predĺžení dotknutú osobu do jedného mesiaca od doručenia žiadosti spolu s dôvodmi predĺženia lehoty. Ak dotknutá osoba podala žiadosť v elektronickej podobe, prevádzkovateľ poskytne informácie v elektronickej podobe, ak dotknutá osoba nepožiadala o poskytnutie informácie iným spôsobom.
(4) Ak prevádzkovateľ neprijme opatrenia na základe žiadosti dotknutej osoby, je povinný do jedného mesiaca od doručenia žiadosti informovať dotknutú osobu o dôvodoch nekonania a o možnosti podať návrh podľa § 100 na úrad.
(5) Informácie podľa § 19 a 20 a oznámenia a opatrenia prijaté podľa § 21 až 28 a 41 sa poskytujú bezodplatne. Ak je žiadosť dotknutej osoby zjavne neopodstatnená alebo neprimeraná najmä pre jej opakujúcu sa povahu, prevádzkovateľ môže
a) požadovať primeraný poplatok zohľadňujúci administratívne náklady na poskytnutie informácií alebo primeraný poplatok zohľadňujúci administratívne náklady na oznámenie alebo primeraný poplatok zohľadňujúci administratívne náklady na uskutočnenie požadovaného opatrenia, alebo
b) odmietnuť konať na základe žiadosti.
(6) Zjavnú neopodstatnenosť žiadosti alebo neprimeranosť žiadosti preukazuje prevádzkovateľ.
(7) Prevádzkovateľ môže požiadať o poskytnutie dodatočných informácií potrebných na potvrdenie totožnosti dotknutej osoby, ak má oprávnené pochybnosti o totožnosti fyzickej osoby, ktorá podáva žiadosť podľa § 21 až 27; ustanovenie § 18 tým nie je dotknuté.
(8) Informácie, ktoré sa majú poskytnúť dotknutej osobe podľa § 19 a 20, možno podať v kombinácii so štandardizovanými ikonami s cieľom poskytnúť dobre viditeľný, jasný a zrozumiteľný prehľad zamýšľaného spracúvania osobných údajov. Štandardizované ikony musia byť strojovo čitateľné, ak sú použité v elektronickej podobe.
(9) Informácie, ktoré majú byť obsiahnuté v štandardizovaných ikonách, a postupy určovania štandardizovaných ikon ustanoví všeobecne záväzný právny predpis, ktorý vydá úrad.
PIATY DIEL
OBMEDZENIA
§ 30
Obmedzenie práv dotknutej osoby
(1) Prevádzkovateľ alebo sprostredkovateľ môže za podmienok ustanovených osobitným predpisom alebo medzinárodnou zmluvou, ktorou je Slovenská republika viazaná, obmedziť rozsah povinností a práv podľa § 19 až 29 a podľa § 41, ako aj zásady podľa § 6 až 12, ak sa týkajú práv a povinností podľa § 19 až 29, ak je také obmedzenie ustanovené s cieľom zaistiť
a) bezpečnosť Slovenskej republiky,
b) obranu Slovenskej republiky,
c) verejný poriadok,
d) plnenie úloh na účely trestného konania,
e) iné dôležité ciele všeobecného verejného záujmu Európskej únie alebo Slovenskej republiky, najmä predmet dôležitého hospodárskeho záujmu alebo dôležitého finančného záujmu Európskej únie alebo Slovenskej republiky vrátane peňažných, rozpočtových a daňových záležitostí, verejného zdravia alebo sociálneho zabezpečenia,
f) ochranu nezávislosti súdnictva a súdnych konaní,
g) predchádzanie porušeniu etiky v regulovaných povolaniach alebo regulovaných odborných činnostiach,
h) monitorovaciu funkciu, kontrolnú funkciu alebo regulačnú funkciu spojenú s výkonom verejnej moci v prípadoch uvedených v písmenách a) až e) a g),
i) ochranu práv dotknutej osoby alebo iných osôb,
j) uplatnenie právneho nároku,
k) hospodársku mobilizáciu.
(2) Prevádzkovateľ alebo sprostredkovateľ môže postupovať podľa odseku 1 len vtedy, ak osobitný predpis alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná, ustanovuje aspoň
a) účel spracúvania osobných údajov alebo kategóriu spracúvania osobných údajov,
b) kategóriu osobných údajov,
c) rozsah zavedeného obmedzenia,
d) záruky zabraňujúce zneužitiu osobných údajov alebo nezákonnému prístupu alebo nezákonnému prenosu,
e) určenie prevádzkovateľa alebo kategórií prevádzkovateľov,
f) lehotu uchovávania a uplatniteľné záruky s ohľadom na povahu, rozsah a účel spracúvania osobných údajov alebo kategóriu spracúvania osobných údajov,
g) riziká pre práva dotknutej osoby a
h) práva dotknutej osoby na informovanie o obmedzení, ak tým nie je ohrozený účel obmedzenia.
TRETIA HLAVA
PRÁVA A POVINNOSTI PREVÁDZKOVATEĽA A SPROSTREDKOVATEĽA
PRVÝ DIEL
VŠEOBECNÉ POVINNOSTI PREVÁDZKOVATEĽA A SPROSTREDKOVATEĽA
§ 31
Prevádzkovateľ
(1) S ohľadom na povahu, rozsah a účel spracúvania osobných údajov a na riziká s rôznou pravdepodobnosťou a závažnosťou pre práva fyzickej osoby je prevádzkovateľ povinný prijať vhodné technické a organizačné opatrenia na zabezpečenie a preukázanie toho, že spracúvanie osobných údajov sa vykonáva v súlade s týmto zákonom. Uvedené opatrenia je prevádzkovateľ povinný podľa potreby aktualizovať.
(2) Opatrenia podľa odseku 1 zahŕňajú zavedenie primeraných postupov ochrany osobných údajov zo strany prevádzkovateľa, ak je to vzhľadom na spracovateľské činnosti primerané.
(3) Na preukázanie splnenia povinností podľa odseku 1 môže prevádzkovateľ použiť schválený kódex správania podľa § 85 alebo certifikát podľa § 86.
(4) Prevádzkovateľ je povinný pravidelne preverovať trvanie účelu spracúvania osobných údajov a po jeho splnení bez zbytočného odkladu zabezpečiť výmaz osobných údajov; to neplatí, ak osobné údaje sú súčasťou registratúrneho záznamu.17)
(5) Prevádzkovateľ zabezpečuje vyradenie registratúrneho záznamu, ktorý obsahuje osobné údaje, podľa osobitného predpisu.18)
§ 32
Špecificky navrhnutá a štandardná ochrana osobných údajov
(1) Prevádzkovateľ je povinný pred spracúvaním osobných údajov zaviesť a počas spracúvania osobných údajov mať zavedenú špecificky navrhnutú ochranu osobných údajov, ktorá spočíva v prijatí primeraných technických a organizačných opatrení, najmä vo forme pseudonymizácie, na účinné zavedenie primeraných záruk ochrany osobných údajov a dodržiavanie základných zásad podľa § 6 až 12.
(2) Prevádzkovateľ je povinný pri špecificky navrhnutej ochrane osobných údajov podľa odseku 1 zohľadniť najnovšie poznatky ochrany osobných údajov, náklady na vykonanie opatrení podľa odseku 1, povahu, rozsah, kontext a účel spracúvania osobných údajov a riziká spracúvania osobných údajov s rôznou pravdepodobnosťou a závažnosťou, ktoré spracúvanie osobných údajov predstavuje pre práva dotknutej osoby.
(3) Prevádzkovateľ je povinný zaviesť štandardnú ochranu osobných údajov, ktorá spočíva v prijatí primeraných technických a organizačných opatrení na zabezpečenie spracúvania osobných údajov len na konkrétny účel, minimalizácie množstva získaných osobných údajov a rozsahu ich spracúvania, doby uchovávania a dostupnosti osobných údajov. Prevádzkovateľ je povinný zabezpečiť, aby osobné údaje neboli bez zásahu fyzickej osoby štandardne prístupné neobmedzenému počtu fyzických osôb.
(4) Na preukázanie splnenia povinností podľa odsekov 1 až 3 môže prevádzkovateľ použiť certifikát podľa § 86.
§ 33
Spoloční prevádzkovatelia
(1) Spoločnými prevádzkovateľmi sú dvaja prevádzkovatelia alebo viacerí prevádzkovatelia, ktorí si dohodou určia účel a prostriedky spracúvania osobných údajov. V dohode sú zároveň povinní transparentne určiť zodpovednosť každého z nich za plnenie povinností a úloh podľa tohto zákona, najmä ak ide o vykonávanie práv dotknutej osoby, a svoje povinnosti poskytovať informácie podľa § 19 a 20, ak nie sú tieto povinnosti prevádzkovateľa ustanovené osobitným predpisom alebo medzinárodnou zmluvou, ktorou je Slovenská republika viazaná. V dohode sa tiež určí kontaktné miesto pre dotknutú osobu.
(2) Základné náležitosti dohody podľa odseku 1 je prevádzkovateľ povinný poskytnúť dotknutej osobe, a to najmä identifikáciu zmluvných strán, predmet zmluvy, dobu platnosti zmluvy, ustanovenia upravujúce výkon práv dotknutej osoby, povinnosti prevádzkovateľov poskytovať informácie podľa § 19 a 20 a kontaktné miesto pre dotknutú osobu.
(3) Bez ohľadu na podmienky dohody podľa odseku 1 môže dotknutá osoba uplatniť svoje práva u každého prevádzkovateľa a voči každému prevádzkovateľovi.
§ 34
Sprostredkovateľ
(1) Ak sa má spracúvanie osobných údajov uskutočniť v mene prevádzkovateľa, prevádzkovateľ môže poveriť len sprostredkovateľa, ktorý poskytuje dostatočné záruky na prijatie primeraných technických a organizačných opatrení tak, aby spracúvanie osobných údajov spĺňalo požiadavky tohto zákona a aby sa zabezpečila ochrana práv dotknutej osoby. Na poverenie sprostredkovateľa spracúvaním osobných údajov podľa prvej vety sa súhlas dotknutej osoby nevyžaduje.
(2) Sprostredkovateľ nesmie poveriť spracúvaním osobných údajov ďalšieho sprostredkovateľa bez predchádzajúceho osobitného písomného súhlasu prevádzkovateľa alebo všeobecného písomného súhlasu prevádzkovateľa. Sprostredkovateľ je povinný vopred informovať prevádzkovateľa o poverení ďalšieho sprostredkovateľa, ak sa poverenie vykonalo na základe všeobecného písomného súhlasu.
(3) Spracúvanie osobných údajov sprostredkovateľom sa riadi zmluvou alebo iným právnym úkonom, ktorý zaväzuje sprostredkovateľa voči prevádzkovateľovi a v ktorom je ustanovený predmet a doba spracúvania, povaha a účel spracúvania, zoznam alebo rozsah osobných údajov, kategórie dotknutých osôb a povinnosti a práva prevádzkovateľa. V zmluve alebo inom právnom úkone sa musí najmä ustanoviť, že sprostredkovateľ je povinný
a) spracúvať osobné údaje len na základe písomných pokynov prevádzkovateľa, a to aj vtedy, ak ide o prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii okrem prenosu na základe osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná; sprostredkovateľ je pri takom prenose povinný oznámiť prevádzkovateľovi túto požiadavku pred spracúvaním osobných údajov, ak osobitný predpis alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná, takéto oznámenie nezakazuje z dôvodov verejného záujmu,
b) zabezpečiť, aby sa osoby oprávnené spracúvať osobné údaje zaviazali, že zachovajú mlčanlivosť o informáciách, o ktorých sa dozvedeli, ak nie sú viazané povinnosťou mlčanlivosti podľa osobitného zákona,15)
c) vykonať opatrenia podľa § 39,
d) dodržiavať podmienky zapojenia ďalšieho sprostredkovateľa podľa odsekov 2 a 5,
e) po zohľadnení povahy spracúvania osobných údajov v čo najväčšej miere poskytnúť súčinnosť prevádzkovateľovi vhodnými technickými a organizačnými opatreniami pri plnení jeho povinnosti prijímať opatrenia na základe žiadosti dotknutej osoby podľa druhej časti druhej hlavy,
f) poskytnúť súčinnosť prevádzkovateľovi pri zabezpečovaní plnenia povinností podľa § 39 až 43 s prihliadnutím na povahu spracúvania osobných údajov a informácie dostupné sprostredkovateľovi,
g) vymazať osobné údaje alebo vrátiť prevádzkovateľovi osobné údaje po ukončení poskytovania služieb týkajúcich sa spracúvania osobných údajov na základe rozhodnutia prevádzkovateľa a vymazať existujúce kópie, ktoré obsahujú osobné údaje, ak osobitný predpis alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná, nepožaduje uchovávanie týchto osobných údajov,
h) po ukončení poskytovania služieb týkajúcich sa spracúvania osobných údajov na základe rozhodnutia prevádzkovateľa osobné údaje vymazať alebo vrátiť prevádzkovateľovi a vymazať existujúce kópie, ktoré obsahujú osobné údaje, ak osobitný predpis alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná, nepožaduje uchovávanie týchto osobných údajov,
i) poskytnúť prevádzkovateľovi informácie potrebné na preukázanie splnenia povinností a poskytnúť súčinnosť v rámci auditu ochrany osobných údajov a kontroly zo strany prevádzkovateľa alebo audítora, ktorého poveril prevádzkovateľ.
(4) Sprostredkovateľ je povinný bez zbytočného odkladu informovať prevádzkovateľa, ak má za to, že sa pokynom prevádzkovateľa porušuje tento zákon, osobitný predpis alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná, ktoré sa týkajú ochrany osobných údajov.
(5) Ak sprostredkovateľ zapojí do vykonávania osobitných spracovateľských činností v mene prevádzkovateľa ďalšieho sprostredkovateľa, tomuto ďalšiemu sprostredkovateľovi v zmluve alebo inom právnom úkone je povinný uložiť rovnaké povinnosti týkajúce sa ochrany osobných údajov, ako sú ustanovené v zmluve alebo v inom právnom úkone medzi prevádzkovateľom a sprostredkovateľom podľa odseku 3, a to najmä poskytnutie dostatočných záruk na prijatie primeraných technických a organizačných opatrení tak, aby spracúvanie osobných údajov spĺňalo požiadavky tohto zákona. Zodpovednosť voči prevádzkovateľovi nesie pôvodný sprostredkovateľ, ak ďalší sprostredkovateľ nesplní svoje povinnosti týkajúce sa ochrany osobných údajov.
(6) Sprostredkovateľ môže preukázať splnenie dostatočných záruk uvedených v odsekoch 1 a 5 schváleným kódexom správania podľa § 85 alebo certifikátom podľa § 86.
(7) Zmluva alebo iný právny úkon podľa odsekov 3 a 5 sa musí uzatvoriť v listinnej podobe alebo elektronickej podobe.
(8) Sprostredkovateľ, ktorý porušil tento zákon tým, že určí účel a prostriedky spracúvania osobných údajov, sa považuje v súvislosti s týmto spracúvaním osobných údajov za prevádzkovateľa; ustanovenie § 38 a § 104 až 106 tým nie je dotknuté.
§ 35
Zástupca prevádzkovateľa alebo zástupca sprostredkovateľa
(1) Prevádzkovateľ alebo sprostredkovateľ, ktorý nemá sídlo, organizačnú zložku, prevádzkareň alebo trvalý pobyt v členskom štáte, je povinný písomne poveriť svojho zástupcu na území členského štátu, ak vykonáva spracúvanie osobných údajov dotknutej osoby, ktorá sa nachádza na území Slovenskej republiky, pričom spracovateľská činnosť súvisí
a) s ponukou tovaru alebo služieb tejto dotknutej osobe na území Slovenskej republiky bez ohľadu na to, či sa od dotknutej osoby vyžaduje platba alebo nie, alebo
b) so sledovaním ich správania na území Slovenskej republiky.
(2) Povinnosť podľa odseku 1 sa nevzťahuje na
a) spracúvanie osobných údajov, ktoré je občasné, nezahŕňa vo veľkom rozsahu spracúvanie osobitných kategórií osobných údajov podľa § 16 ods. 1 alebo spracúvanie osobných údajov týkajúcich sa uznania viny za spáchanie trestného činu alebo priestupku podľa § 17 a nie je pravdepodobné, že s ohľadom na povahu, kontext, rozsah alebo účel spracúvania povedie k riziku pre práva fyzických osôb, alebo
b) orgán verejnej moci alebo verejnoprávnu inštitúciu.
(3) Úrad a dotknutá osoba môžu požadovať informácie týkajúce sa spracúvania osobných údajov na účely zabezpečenia súladu s týmto zákonom okrem prevádzkovateľa a sprostredkovateľa aj zástupcu prevádzkovateľa alebo zástupcu sprostredkovateľa.
(4) Poverením zástupcu prevádzkovateľom alebo sprostredkovateľom nie je dotknuté právo dotknutej osoby na podanie návrhu na začatie konania podľa § 100 ani na inú právnu ochranu podľa osobitného predpisu,19) ktoré možno uplatniť proti prevádzkovateľovi alebo sprostredkovateľovi.
§ 36
Spracúvanie osobných údajov pod dohľadom prevádzkovateľa alebo sprostredkovateľa
Sprostredkovateľ a každá osoba konajúca za prevádzkovateľa alebo sprostredkovateľa, ktorá má prístup k osobným údajom, môže spracúvať tieto osobné údaje len na základe pokynov prevádzkovateľa alebo podľa osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná.
§ 37
Záznamy o spracovateľských činnostiach
(1) Prevádzkovateľ a zástupca prevádzkovateľa, ak bol poverený, je povinný viesť záznam o spracovateľských činnostiach, za ktoré je zodpovedný. Tento záznam musí obsahovať
a) identifikačné údaje a kontaktné údaje prevádzkovateľa, spoločného prevádzkovateľa, zástupcu prevádzkovateľa, ak bol poverený, a zodpovednej osoby,
b) účel spracúvania osobných údajov,
c) opis kategórií dotknutých osôb a kategórií osobných údajov,
d) kategórie príjemcov vrátane príjemcu v tretej krajine alebo medzinárodnej organizácii,
e) označenie tretej krajiny alebo medzinárodnej organizácie, ak prevádzkovateľ zamýšľa prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii a dokumentáciu o primeraných zárukách, ak prevádzkovateľ zamýšľa prenos podľa § 51 ods. 1 a 2,
f) predpokladané lehoty na vymazanie rôznych kategórií osobných údajov,
g) všeobecný opis technických a organizačných bezpečnostných opatrení podľa § 39 ods. 1.
(2) Sprostredkovateľ a zástupca sprostredkovateľa, ak bol poverený, je povinný viesť záznam o kategóriách spracovateľských činností, ktoré vykonal v mene prevádzkovateľa. Tento záznam musí obsahovať
a) identifikačné údaje a kontaktné údaje sprostredkovateľa a prevádzkovateľa, v mene ktorého sprostredkovateľ koná, zástupcu prevádzkovateľa alebo sprostredkovateľa, ak bol poverený, a zodpovednej osoby,
b) kategórie spracúvania osobných údajov vykonávaného v mene každého prevádzkovateľa,
c) označenie tretej krajiny alebo medzinárodnej organizácie, ak prevádzkovateľ zamýšľa prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii, a dokumentáciu o primeraných zárukách, ak prevádzkovateľ zamýšľa prenos podľa § 51 ods. 1 a 2,
d) všeobecný opis technických a organizačných bezpečnostných opatrení podľa § 39 ods. 1.
(3) Záznamy podľa odsekov 1 a 2 sa vedú v listinnej podobe alebo elektronickej podobe.
(4) Prevádzkovateľ alebo sprostredkovateľ a zástupca prevádzkovateľa alebo zástupca sprostredkovateľa, ak bol poverený, sú povinní na požiadanie sprístupniť záznam o spracovateľských činnostiach úradu.
(5) Povinnosti podľa odsekov 1 a 2 sa nevzťahujú na zamestnávateľa s menej ako 250 zamestnancami, ak nie je pravdepodobné, že spracúvanie osobných údajov, ktoré vykonáva, povedie k riziku ochrany práv dotknutej osoby, ak je spracúvanie osobných údajov príležitostné alebo ak nezahŕňa osobitné kategórie osobných údajov podľa § 16 ods. 1 alebo osobné údaje týkajúce sa uznania viny za spáchanie trestného činu alebo priestupku podľa § 17.
(6) Vzor záznamu o spracovateľských činnostiach zverejní úrad na svojom webovom sídle.
§ 38
Právo na náhradu škody a zodpovednosť
(1) Každá osoba, ktorej vznikla majetková ujma alebo nemajetková ujma v dôsledku porušenia tohto zákona, má právo na náhradu škody20) od prevádzkovateľa alebo sprostredkovateľa.
(2) Prevádzkovateľ, ktorý sa zúčastnil na spracúvaní osobných údajov, je zodpovedný za škodu spôsobenú nezákonným spracúvaním. Sprostredkovateľ zodpovedá za škodu spôsobenú spracúvaním osobných údajov, len ak nesplnil povinnosti podľa § 34 až 37, § 39, § 40 ods. 3, § 44, § 45, § 51 ods. 3 alebo ak konal nad rámec alebo v rozpore s pokynmi prevádzkovateľa, ktoré boli v súlade so zákonom.
(3) Prevádzkovateľ alebo sprostredkovateľ sa môže zbaviť zodpovednosti podľa odseku 2, ak preukáže, že vznik škody nezavinil.
(4) Ak sa na tom istom spracúvaní osobných údajov zúčastnil viac než jeden prevádzkovateľ alebo sprostredkovateľ alebo prevádzkovateľ aj sprostredkovateľ spoločne a sú podľa odsekov 2 a 3 zodpovední za škodu spôsobenú spracúvaním osobných údajov, za škodu zodpovedajú spoločne a nerozdielne.
(5) Ak prevádzkovateľ alebo sprostredkovateľ v súlade s odsekom 4 uhradil náhradu škody v plnej výške, má právo žiadať od ostatných prevádzkovateľov alebo sprostredkovateľov zapojených do toho istého spracúvania osobných údajov tú časť náhrady škody, ktorá zodpovedá ich podielu zodpovednosti za škodu za podmienok ustanovených v odseku 2.
DRUHÝ DIEL
BEZPEČNOSŤ OSOBNÝCH ÚDAJOV
§ 39
Bezpečnosť spracúvania
(1) Prevádzkovateľ a sprostredkovateľ sú povinní prijať so zreteľom na najnovšie poznatky, na náklady na vykonanie opatrení, na povahu, rozsah, kontext a účel spracúvania osobných údajov a na riziká s rôznou pravdepodobnosťou a závažnosťou pre práva fyzických osôb primerané technické a organizačné opatrenia na zaistenie úrovne bezpečnosti primeranej tomuto riziku, pričom uvedené opatrenia môžu zahŕňať najmä
a) pseudonymizáciu a šifrovanie osobných údajov,
b) zabezpečenie trvalej dôvernosti, integrity, dostupnosti a odolnosti systémov spracúvania osobných údajov,
c) proces obnovy dostupnosti osobných údajov a prístup k nim v prípade fyzického incidentu alebo technického incidentu,
d) proces pravidelného testovania, posudzovania a hodnotenia účinnosti technických a organizačných opatrení na zaistenie bezpečnosti spracúvania osobných údajov.
(2) Pri posudzovaní primeranej úrovne bezpečnosti sa prihliada na riziká, ktoré predstavuje spracúvanie osobných údajov, a to najmä náhodné zničenie alebo nezákonné zničenie, strata, zmena alebo neoprávnené poskytnutie prenášaných osobných údajov, uchovávaných osobných údajov alebo inak spracúvaných osobných údajov, alebo neoprávnený prístup k takýmto osobným údajom.
(3) Súlad s požiadavkami uvedenými v odseku 1 možno preukázať schváleným kódexom správania podľa § 85 alebo certifikátom podľa § 86.
(4) Prevádzkovateľ a sprostredkovateľ sú povinní zabezpečiť, aby fyzická osoba konajúca za prevádzkovateľa alebo sprostredkovateľa, ktorá má prístup k osobným údajom, spracúvala tieto údaje len na základe pokynov prevádzkovateľa alebo podľa osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná.
§ 40
Oznámenie porušenia ochrany osobných údajov úradu
(1) Prevádzkovateľ je povinný oznámiť úradu porušenie ochrany osobných údajov do 72 hodín po tom, ako sa o ňom dozvedel; to neplatí, ak nie je pravdepodobné, že porušenie ochrany osobných údajov povedie k riziku pre práva fyzickej osoby.
(2) Ak prevádzkovateľ nesplní oznamovaciu povinnosť podľa odseku 1, musí zmeškanie lehoty zdôvodniť.
(3) Sprostredkovateľ je povinný oznámiť prevádzkovateľovi porušenie ochrany osobných údajov bez zbytočného odkladu po tom, ako sa o ňom dozvedel.
(4) Oznámenie podľa odseku 1 musí obsahovať najmä
a) opis povahy porušenia ochrany osobných údajov vrátane, ak je to možné, kategórií a približného počtu dotknutých osôb, ktorých sa porušenie týka, a kategórií a približného počtu dotknutých záznamov o osobných údajoch,
b) kontaktné údaje zodpovednej osoby alebo iného kontaktného miesta, kde možno získať viac informácií,
c) opis pravdepodobných následkov porušenia ochrany osobných údajov,
d) opis opatrení prijatých alebo navrhovaných prevádzkovateľom na nápravu porušenia ochrany osobných údajov vrátane opatrení na zmiernenie jeho potenciálnych nepriaznivých dôsledkov, ak je to potrebné.
(5) Prevádzkovateľ je povinný poskytnúť informácie podľa odseku 4 v rozsahu, v akom sú mu známe v čase oznámenia podľa odseku 1; ak v čase oznámenia podľa odseku 1 nie sú prevádzkovateľovi známe všetky informácie podľa odseku 4, poskytne ich bezodkladne po tom, čo sa o nich dozvie.
(6) Prevádzkovateľ je povinný zdokumentovať každý prípad porušenia ochrany osobných údajov podľa odseku 1 vrátane skutočností spojených s porušením ochrany osobných údajov, jeho následky a prijaté opatrenia na nápravu.
§ 41
Oznámenie porušenia ochrany osobných údajov dotknutej osobe
(1) Prevádzkovateľ je povinný bez zbytočného odkladu oznámiť dotknutej osobe porušenie ochrany osobných údajov, ak takéto porušenie ochrany osobných údajov môže viesť k vysokému riziku pre práva fyzickej osoby.
(2) Oznámenie podľa odseku 1 musí obsahovať jasne a jednoducho formulovaný opis povahy porušenia ochrany osobných údajov a informácie a opatrenia podľa § 40 ods. 4 písm. b) až d).
(3) Oznámenie podľa odseku 1 sa nevyžaduje, ak
a) prevádzkovateľ prijal primerané technické a organizačné ochranné opatrenia a uplatnil ich na osobné údaje, ktorých sa porušenie ochrany osobných údajov týka, a to najmä šifrovanie alebo iné opatrenia, na základe ktorých sú osobné údaje nečitateľné pre osoby, ktoré nie sú oprávnené mať k nim prístup,
b) prevádzkovateľ prijal následné opatrenia na zabezpečenie vysokého rizika porušenia práv dotknutej osoby podľa odseku 1,
c) by to vyžadovalo neprimerané úsilie; prevádzkovateľ je povinný informovať verejnosť alebo prijať iné opatrenie na zabezpečenie toho, že dotknutá osoba bude informovaná rovnako efektívnym spôsobom.
(4) Ak prevádzkovateľ ešte porušenie ochrany osobných údajov neoznámil dotknutej osobe, úrad môže po zvážení pravdepodobnosti porušenia ochrany osobných údajov vedúceho k vysokému riziku požadovať, aby tak urobil, alebo môže rozhodnúť, že je splnená niektorá z podmienok uvedených v odseku 3.
TRETÍ DIEL
POSÚDENIE VPLYVU NA OCHRANU OSOBNÝCH ÚDAJOV A PREDCHÁDZAJÚCA KONZULTÁCIA
§ 42
Posúdenie vplyvu na ochranu osobných údajov
(1) Ak typ spracúvania osobných údajov, najmä s využitím nových technológií a s ohľadom na povahu, rozsah, kontext a účel spracúvania osobných údajov, môže viesť k vysokému riziku pre práva fyzických osôb, prevádzkovateľ je povinný pred spracúvaním osobných údajov vykonať posúdenie vplyvu plánovaných spracovateľských operácií na ochranu osobných údajov. Pre súbor podobných spracovateľských operácií, ktoré predstavujú podobné vysoké riziko, postačí jedno posúdenie.
(2) Prevádzkovateľ je povinný počas vykonávania posúdenia vplyvu na ochranu osobných údajov konzultovať jednotlivé postupy so zodpovednou osobou, ak bola určená.
(3) Posúdenie vplyvu na ochranu osobných údajov sa vyžaduje najmä, ak ide o
a) systematické a rozsiahle hodnotenie osobných znakov alebo charakteristík týkajúcich sa dotknutej osoby, ktoré je založené na automatizovanom spracúvaní osobných údajov vrátane profilovania a z ktorého vychádzajú rozhodnutia s právnymi účinkami týkajúcimi sa dotknutej osoby alebo s podobne závažným vplyvom na ňu,
b) spracúvanie vo veľkom rozsahu osobitných kategórií osobných údajov podľa § 16 ods. 1 alebo osobných údajov týkajúcich sa uznania viny za spáchanie trestného činu alebo priestupku podľa § 17, alebo
c) systematické monitorovanie verejne prístupných miest vo veľkom rozsahu.
(4) Posúdenie vplyvu na ochranu osobných údajov obsahuje najmä
a) systematický opis plánovaných spracovateľských operácií a účel spracúvania osobných údajov vrátane uvedenia prípadného oprávneného záujmu, ktorý sleduje prevádzkovateľ,
b) posúdenie nutnosti a primeranosti spracovateľských operácií vo vzťahu k účelu,
c) posúdenie rizika pre práva dotknutej osoby a
d) opatrenia na elimináciu rizík vrátane záruk, bezpečnostných opatrení a mechanizmov na zabezpečenie ochrany osobných údajov a na preukázanie súladu s týmto zákonom s prihliadnutím na práva a oprávnené záujmy dotknutej osoby a ďalších fyzických osôb, ktorých sa to týka.
(5) Pri posudzovaní dosahu spracovateľských operácií vykonávaných prevádzkovateľom alebo sprostredkovateľom úrad zohľadňuje, či prevádzkovateľ alebo sprostredkovateľ postupuje v súlade so schváleným kódexom správania podľa § 85 alebo certifikátom podľa § 86, a to najmä na účely posúdenia vplyvu na ochranu osobných údajov.
(6) Prevádzkovateľ je oprávnený získavať názory dotknutej osoby alebo organizácie, ktorá zastupuje jej záujmy, na zamýšľané spracúvanie osobných údajov; ochrana obchodných záujmov, verejného záujmu alebo bezpečnosť spracovateľských operácií nesmie byť dotknutá.
(7) Prevádzkovateľ je povinný posúdiť, či sa spracúvanie osobných údajov uskutočňuje v súlade s posúdením vplyvu na ochranu osobných údajov, a to najmä, ak došlo k zmene rizika, ktoré predstavuje spracovateľská operácia.
§ 43
Predchádzajúca konzultácia
(1) Prevádzkovateľ je povinný s úradom uskutočniť konzultáciu pred spracúvaním osobných údajov, ak je z posúdenia vplyvu na ochranu osobných údajov podľa § 42 zrejmé, že spracúvanie osobných údajov povedie k vysokému riziku pre práva fyzických osôb, ak prevádzkovateľ neprijme opatrenia na zmiernenie tohto rizika.
(2) Ak sa úrad domnieva, že zamýšľané spracúvanie osobných údajov podľa odseku 1 bude v rozpore s týmto zákonom, najmä ak prevádzkovateľ nedostatočne identifikoval riziko alebo zmiernil riziko, úrad do ôsmich týždňov od prijatia žiadosti o konzultáciu poskytne prevádzkovateľovi, prípadne aj sprostredkovateľovi, písomné poradenstvo. Úrad môže s ohľadom na zložitosť zamýšľaného spracúvania osobných údajov predĺžiť lehotu podľa predchádzajúcej vety o šesť týždňov; predĺženie lehoty a dôvody predĺženia úrad písomne oznámi prevádzkovateľovi, prípadne aj sprostredkovateľovi do jedného mesiaca od prijatia žiadosti o konzultáciu. Lehota na poskytnutie poradenstva neplynie, kým úrad nezíska informácie, o ktoré požiadal na účely konzultácie.
(3) Počas konzultácií s úradom podľa odseku 1 je prevádzkovateľ povinný poskytnúť úradu
a) informácie o povinnostiach prevádzkovateľa, ktoré má v súvislosti s jeho spracovateľskou činnosťou podliehajúcou predchádzajúcej konzultácii podľa odseku 1, o spoločných prevádzkovateľoch a sprostredkovateľoch zapojených do spracúvania osobných údajov, najmä pri spracúvaní osobných údajov v rámci skupiny podnikov,
b) informácie o účeloch zamýšľaného spracúvania osobných údajov a prostriedkoch na jeho vykonanie,
c) informácie o opatreniach a zárukách poskytnutých na ochranu práv dotknutej osoby podľa tohto zákona,
d) kontaktné údaje zodpovednej osoby, ak je určená,
e) posúdenie vplyvu na ochranu osobných údajov podľa § 42 a
f) ďalšie informácie, o ktoré úrad požiada.
ŠTVRTÝ DIEL
ZODPOVEDNÁ OSOBA
§ 44
Určenie zodpovednej osoby
(1) Prevádzkovateľ a sprostredkovateľ sú povinní určiť zodpovednú osobu, ak
a) spracúvanie osobných údajov vykonáva orgán verejnej moci alebo verejnoprávna inštitúcia okrem súdov pri výkone ich súdnej právomoci,
b) hlavnými činnosťami prevádzkovateľa alebo sprostredkovateľa sú spracovateľské operácie, ktoré si vzhľadom na svoju povahu, rozsah alebo účel vyžadujú pravidelné a systematické monitorovanie dotknutej osoby vo veľkom rozsahu, alebo
c) hlavnými činnosťami prevádzkovateľa alebo sprostredkovateľa je spracúvanie osobitných kategórií osobných údajov podľa § 16 vo veľkom rozsahu alebo spracúvanie osobných údajov týkajúcich sa uznania viny za spáchanie trestného činu alebo priestupku podľa § 17 vo veľkom rozsahu.
(2) Skupina podnikov môže určiť jednu zodpovednú osobu, ak táto osoba bude spôsobilá plniť úlohy podľa § 46 pre každý podnik zo skupiny podnikov.
(3) Ak je prevádzkovateľom alebo sprostredkovateľom orgán verejnej moci alebo verejnoprávna inštitúcia, môže byť pre viaceré takéto orgány alebo inštitúcie určená jedna zodpovedná osoba, pričom sa zohľadní ich rozsah a ich organizačná štruktúra.
(4) Okrem prípadov podľa odseku 1 zodpovednú osobu môže určiť prevádzkovateľ alebo sprostredkovateľ alebo združenia a iné subjekty zastupujúce kategórie prevádzkovateľov alebo sprostredkovateľov. Zodpovedná osoba môže konať v mene takých združení a iných subjektov zastupujúcich prevádzkovateľov alebo sprostredkovateľov.
(5) Okrem prípadov podľa odseku 1 je prevádzkovateľ alebo sprostredkovateľ alebo združenia a iné subjekty zastupujúce kategórie prevádzkovateľov alebo sprostredkovateľov povinný určiť zodpovednú osobu, ak sa to vyžaduje v osobitnom predpise alebo medzinárodnej zmluve, ktorou je Slovenská republika viazaná. Zodpovedná osoba môže konať v mene takýchto združení a iných subjektov zastupujúcich prevádzkovateľov alebo sprostredkovateľov.
(6) Zodpovedná osoba sa určí na základe jej odborných kvalít, a to najmä na základe jej odborných znalostí práva a postupov v oblasti ochrany osobných údajov a na základe spôsobilosti plniť úlohy podľa § 46.
(7) Zodpovedná osoba môže byť zamestnancom prevádzkovateľa alebo sprostredkovateľa alebo môže plniť úlohy na základe zmluvy.
(8) Prevádzkovateľ a sprostredkovateľ sú povinní zverejniť, napríklad na ich webovom sídle, kontaktné údaje zodpovednej osoby, ak je určená, a oznámiť ich úradu.
§ 45
Postavenie zodpovednej osoby
(1) Prevádzkovateľ a sprostredkovateľ sú povinní zabezpečiť, aby zodpovedná osoba riadne a včas vykonávala činnosti súvisiace s ochranou osobných údajov.
(2) Prevádzkovateľ a sprostredkovateľ sú povinní poskytnúť zodpovednej osobe pri plnení úloh podľa § 46 potrebnú súčinnosť; najmä sú povinní jej poskytnúť prostriedky potrebné na plnenie týchto úloh a prístup k osobným údajom a spracovateľským operáciám, ako aj zabezpečiť udržiavanie jej odborných znalostí.
(3) Prevádzkovateľ a sprostredkovateľ sú povinní zabezpečiť, aby zodpovedná osoba v súvislosti s plnením úloh podľa § 46 nedostávala žiadne pokyny. Prevádzkovateľ ani sprostredkovateľ ju nesmú odvolať alebo postihovať za výkon jej úloh podľa § 46. Zodpovedná osoba je pri plnení úloh podľa § 46 priamo zodpovedná štatutárnemu orgánu prevádzkovateľa alebo štatutárnemu orgánu sprostredkovateľa.
(4) Dotknutá osoba môže kontaktovať zodpovednú osobu s otázkami týkajúcimi sa spracúvania jej osobných údajov a uplatňovania jej práv podľa tohto zákona.
(5) Zodpovedná osoba je v súvislosti s výkonom svojich úloh viazaná povinnosťou mlčanlivosti v súlade s týmto zákonom alebo osobitným predpisom.15)
(6) Zodpovedná osoba môže plniť aj iné úlohy a povinnosti ako podľa § 46; prevádzkovateľ alebo sprostredkovateľ sú povinní zabezpečiť, aby žiadna z takýchto iných úloh alebo povinností neviedla ku konfliktu záujmov.
§ 46
Úlohy zodpovednej osoby
(1) Zodpovedná osoba najmä
a) poskytuje informácie a poradenstvo prevádzkovateľovi alebo sprostredkovateľovi a zamestnancom, ktorí vykonávajú spracúvanie osobných údajov, o ich povinnostiach podľa tohto zákona, osobitných predpisov alebo medzinárodných zmlúv, ktorými je Slovenská republika viazaná, týkajúcich sa ochrany osobných údajov,
b) monitoruje súlad s týmto zákonom, osobitnými predpismi alebo medzinárodnými zmluvami, ktorými je Slovenská republika viazaná, týkajúcimi sa ochrany osobných údajov a s pravidlami prevádzkovateľa alebo sprostredkovateľa súvisiacimi s ochranou osobných údajov vrátane rozdelenia povinností, zvyšovania povedomia a odbornej prípravy osôb, ktoré sú zapojené do spracovateľských operácií a súvisiacich auditov ochrany osobných údajov,
c) poskytuje na požiadanie poradenstvo, ak ide o posúdenie vplyvu na ochranu osobných údajov a monitorovanie jeho vykonávania podľa § 42,
d) spolupracuje s úradom pri plnení svojich úloh,
e) plní úlohy kontaktného miesta pre úrad v súvislosti s otázkami týkajúcimi sa spracúvania osobných údajov vrátane predchádzajúcej konzultácie podľa § 43 a podľa potreby aj konzultácie v iných veciach.
(2) Zodpovedná osoba pri výkone svojich úloh náležite zohľadňuje riziko spojené so spracovateľskými operáciami, pričom berie do úvahy povahu, rozsah, kontext a účel spracúvania osobných údajov.
ŠTVRTÁ HLAVA
PRENOS OSOBNÝCH ÚDAJOV DO TRETEJ KRAJINY ALEBO MEDZINÁRODNEJ ORGANIZÁCII
§ 47
Všeobecná zásada prenosu
Prenos osobných údajov, ktoré sa spracúvajú alebo sú určené na spracúvanie po prenose do tretej krajiny alebo medzinárodnej organizácii, sa môže uskutočniť len vtedy, ak prevádzkovateľ a sprostredkovateľ dodržiavajú podmienky vrátane podmienok následného prenosu osobných údajov z predmetnej tretej krajiny alebo od predmetnej medzinárodnej organizácie do inej tretej krajiny alebo inej medzinárodnej organizácii.
§ 48
Prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii
(1) Prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii sa môže uskutočniť, ak Komisia rozhodla, že tretia krajina, územie alebo jeden či viaceré určené odvetvia v danej tretej krajine alebo medzinárodná organizácia zaručujú primeranú úroveň ochrany osobných údajov. Taký prenos nevyžaduje osobitné povolenie.
(2) Ak neexistuje rozhodnutie Komisie podľa odseku 1, prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii sa môže uskutočniť len vtedy, ak sa poskytnú primerané záruky ochrany osobných údajov.
(3) Primerané záruky podľa odseku 2 sa môžu ustanoviť bez toho, aby bolo potrebné žiadať úrad o osobitné povolenie, prostredníctvom
a) medzinárodnej zmluvy, ktorou je Slovenská republika viazaná,
b) vnútropodnikových pravidiel podľa § 49,
c) štandardnej doložky o ochrane údajov, ktoré prijala Komisia,
d) štandardnej doložky o ochrane údajov, ktoré prijal úrad,
e) schváleného kódexu správania podľa § 85 spolu so záväzkami prevádzkovateľa alebo sprostredkovateľa v tretej krajine spočívajúcimi v uplatňovaní primeraných záruk, a to aj ak ide o práva dotknutej osoby, alebo
f) certifikátu podľa § 86 spolu so záväzkom prevádzkovateľa alebo sprostredkovateľa v tretej krajine spočívajúcim v uplatňovaní primeraných záruk, a to aj ak ide o práva dotknutej osoby.
(4) Primerané záruky podľa odseku 2 sa môžu tiež zabezpečiť na základe povolenia úradu najmä
a) zmluvnými doložkami medzi prevádzkovateľom alebo sprostredkovateľom a prevádzkovateľom, sprostredkovateľom alebo príjemcom v tretej krajine alebo medzinárodnej organizácii, alebo
b) ustanoveniami v administratívnych dohodách medzi orgánmi verejnej moci alebo verejnoprávnymi inštitúciami, ktoré zahŕňajú účinné prostriedky na uplatnenie práva dotknutej osoby na podanie návrhu na začatie konania podľa § 100 a na inú právnu ochranu podľa osobitného predpisu.19)
§ 49
Vnútropodnikové pravidlá
(1) Úrad schváli vnútropodnikové pravidlá, ak
a) sa vzťahujú na každého člena skupiny podnikov alebo zoskupenia podnikov zapojených do spoločnej hospodárskej činnosti vrátane ich zamestnancov a títo členovia ich uplatňujú,
b) sa nimi upravujú vnútorné postupy pre uplatnenie práv dotknutej osoby, ak ide o spracúvanie osobných údajov, a
c) spĺňajú požiadavky podľa odseku 2.
(2) Vo vnútropodnikových pravidlách sa uvedie aspoň
a) štruktúra a kontaktné údaje skupiny podnikov alebo zoskupenia podnikov zapojených do spoločnej hospodárskej činnosti a každého z ich členov,
b) prenos osobných údajov alebo súbor prenosov vrátane kategórií osobných údajov, typu spracúvania a jeho účelov, typu dotknutých osôb a identifikácia predmetnej tretej krajiny alebo krajín,
c) ich záväznosť pre prevádzkovateľa a sprostredkovateľa,
d) uplatňovanie všeobecných zásad ochrany osobných údajov, najmä obmedzenie účelu, minimalizácia osobných údajov, obmedzenie lehoty uchovávania, kvalita osobných údajov, špecificky navrhnutá a štandardná ochrana osobných údajov, právny základ pre spracúvanie osobných údajov, spracúvanie osobitných kategórií osobných údajov, opatrenia na zaistenie bezpečnosti osobných údajov, ako aj požiadavky v súvislosti s následnými prenosmi subjektom, ktoré nie sú viazané vnútropodnikovými pravidlami,
e) právo dotknutej osoby v súvislosti so spracúvaním osobných údajov a prostriedky na uplatnenie týchto práv vrátane práva na to, aby sa na ne nevzťahovalo rozhodovanie založené výlučne na automatizovanom spracúvaní vrátane profilovania podľa § 28, práva na podanie návrhu na začatie konania podľa § 100 a na inú právnu ochranu práva podľa osobitného predpisu19) a práva na náhradu škody za porušenie vnútropodnikových pravidiel,
f) vyhlásenie, že prevádzkovateľ alebo sprostredkovateľ so sídlom, organizačnou zložkou, prevádzkarňou alebo trvalým pobytom na území Slovenskej republiky prijíma zodpovednosť za porušenia vnútropodnikových pravidiel ktorýmkoľvek z dotknutých členov, ktorý nemá sídlo, organizačnú zložku, prevádzkareň alebo trvalý pobyt v členskom štáte; prevádzkovateľ alebo sprostredkovateľ je úplne oslobodený alebo čiastočne oslobodený od tejto zodpovednosti, len ak preukáže, že spôsobenú škodu nezavinil,
g) spôsob, akým sa okrem spôsobov podľa § 19 a 20 poskytujú dotknutej osobe informácie o vnútropodnikových pravidlách, najmä ak ide o ustanovenia podľa písmen d) až f),
h) úloha zodpovednej osoby alebo inej osoby alebo subjektu zodpovedného za monitorovanie dodržiavania vnútropodnikových pravidiel, ako aj za monitorovanie odbornej prípravy a vybavovania sťažností,
i) postup týkajúci sa podávania sťažností,
j) mechanizmus, ktorý má v rámci skupiny podnikov alebo zoskupenia podnikov zapojených do spoločnej hospodárskej činnosti zabezpečiť overovanie dodržiavania vnútropodnikových pravidiel a ktorý zahŕňa audity ochrany osobných údajov a metódy na zabezpečenie opatrení na nápravu s cieľom chrániť práva dotknutej osoby; výsledky overovania oznamujú zodpovednej osobe alebo subjektu uvedenému v písmene h) a štatutárnemu orgánu riadiaceho podniku skupiny podnikov alebo zoskupenia podnikov zapojených do spoločnej hospodárskej činnosti a na požiadanie poskytujú úradu,
k) mechanizmus ohlasovania a zaznamenávania zmien pravidiel a ohlasovania týchto zmien úradu,
l) mechanizmus spolupráce s úradom na zabezpečenie dodržiavania pravidiel, najmä poskytovania výsledkov overovania podľa písmena j) úradu,
m) mechanizmus ohlasovania právnych požiadaviek, ktorým prevádzkovateľ alebo sprostredkovateľ podlieha v tretej krajine a ktoré pravdepodobne budú mať podstatné nepriaznivé následky na záruky poskytované vnútropodnikovými pravidlami úradu, a
n) primeraná odborná príprava fyzických osôb, ktoré majú stály alebo pravidelný prístup k osobným údajom, v oblasti ochrany osobných údajov.
§ 50
Prenos alebo poskytnutie osobných údajov, ktoré právny poriadok v Slovenskej republike nepovoľuje
Rozhodnutie súdu, rozhodnutie tribunálu alebo rozhodnutie správneho orgánu tretej krajiny, ktoré od prevádzkovateľa alebo sprostredkovateľa vyžaduje preniesť osobné údaje alebo poskytnúť osobné údaje, môže byť uznané alebo vykonateľné len vtedy, ak je v súlade s medzinárodnou zmluvou uzavretou s treťou krajinou, ktorou je Slovenská republika alebo Európska únia viazaná.
§ 51
Výnimky pre osobitné situácie
(1) Ak neexistuje rozhodnutie o primeranosti podľa § 48 ods. 1 ani primerané záruky podľa § 48 ods. 2 až 4 vrátane vnútropodnikových pravidiel, prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii sa môže uskutočniť len vtedy, ak
a) dotknutá osoba vyjadrila výslovný súhlas s navrhovaným prenosom po tom, ako bola informovaná o možných rizikách takého prenosu z dôvodu neexistencie rozhodnutia o primeranosti a primeraných záruk,
b) prenos je nevyhnutný na plnenie zmluvy medzi dotknutou osobou a prevádzkovateľom alebo na vykonanie predzmluvných opatrení prijatých na žiadosť dotknutej osoby,
c) prenos je nevyhnutný na uzatvorenie zmluvy alebo plnenie zmluvy uzatvorenej v záujme dotknutej osoby medzi prevádzkovateľom a inou osobou,
d) prenos je nevyhnutný z verejného záujmu podľa osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná,
e) prenos je nevyhnutný na uplatnenie právneho nároku dotknutej osoby,
f) prenos je nevyhnutný na ochranu života, zdravia alebo majetku dotknutej osoby alebo inej fyzickej osoby, ak je dotknutá osoba fyzicky nespôsobilá alebo právne nespôsobilá vyjadriť súhlas, alebo
g) prenos sa uskutočňuje z registra, ktorý je podľa osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, určený na poskytovanie informácií verejnosti a do ktorého môže nahliadať verejnosť, pričom musia byť splnené podmienky nahliadania podľa tohto zákona, osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná.
(2) Ak prenos nemožno uskutočniť podľa § 48 a nemožno ani uplatniť žiadnu výnimku pre osobitnú situáciu podľa odseku 1, prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii sa môže uskutočniť len vtedy, ak
a) prenos nie je opakujúcej sa povahy,
b) prenos sa týka len obmedzeného počtu dotknutých osôb,
c) prenos je nevyhnutný na účel závažných oprávnených záujmov prevádzkovateľa, nad ktorými neprevažujú práva alebo záujmy dotknutej osoby, a
d) prevádzkovateľ posúdil okolnosti sprevádzajúce prenos osobných údajov a na základe tohto posúdenia poskytol vhodné záruky ochrany osobných údajov.
(3) Prevádzkovateľ je povinný o prenose podľa odseku 2 vopred informovať úrad. Prevádzkovateľ je okrem poskytnutia informácií podľa § 19 a 20 povinný informovať dotknutú osobu o prenose podľa odseku 2 a o svojich oprávnených záujmoch v lehotách podľa § 19 a 20. Prevádzkovateľ alebo sprostredkovateľ zdokumentujú posúdenie, ako aj vhodné záruky v záznamoch o spracovateľských činnostiach podľa § 37.
(4) Prenos podľa odseku 1 písm. g) nesmie zahŕňať osobné údaje alebo celé kategórie osobných údajov, ktoré obsahuje register. Ak je register určený na nahliadanie pre osoby s oprávneným záujmom, prenos sa môže uskutočniť iba na žiadosť týchto osôb alebo vtedy, keď majú byť tieto osoby príjemcami.
(5) Odsek 1 písm. a) až c) a odsek 2 sa nevzťahujú na činnosti, ktoré vykonávajú orgány verejnej moci pri výkone verejnej moci.
TRETIA ČASŤ
OSOBITNÉ PRAVIDLÁ OCHRANY OSOBNÝCH ÚDAJOV FYZICKÝCH OSÔB PRI ICH SPRACÚVANÍ PRÍSLUŠNÝMI ORGÁNMI
PRVÁ HLAVA
ZÁSADY SPRACÚVANIA OSOBNÝCH ÚDAJOV
§ 52
Na postup príslušných orgánov pri spracúvaní osobných údajov na plnenie úloh na účely trestného konania sa vzťahujú § 6, § 8, § 9, § 11, § 12 a § 13 ods. 2 rovnako.
§ 53
Zásada obmedzenia účelu
Osobné údaje musia byť získavané na konkrétne určený, výslovne uvedený a oprávnený účel a nesmú sa ďalej spracúvať spôsobom, ktorý nie je zlučiteľný s týmto účelom; ten istý príslušný orgán alebo iný príslušný orgán je oprávnený spracúvať osobné údaje na archiváciu, na vedecký účel, na účel historického výskumu alebo na štatistický účel v súvislosti s plnením úloh na účely trestného konania, ak prijme primerané záruky ochrany práv dotknutej osoby.
§ 54
Zásada minimalizácie uchovávania
Osobné údaje musia byť uchovávané vo forme, ktorá umožňuje identifikáciu dotknutej osoby najneskôr dovtedy, kým je to potrebné na účel, na ktorý sa osobné údaje spracúvajú.
§ 55
Zákonnosť spracúvania
(1) Príslušný orgán je oprávnený spracúvať osobné údaje na plnenie úloh na účely trestného konania podľa tohto zákona, osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná.
(2) Spracúvať osobné údaje na plnenie úloh na účely trestného konania, ktoré boli pôvodne získané na iný účel, je možné, ak spracúvanie osobných údajov je na účel trestného konania nevyhnutné a primerané.
(3) Príslušný orgán je oprávnený osobné údaje spracúvať aj na iný účel, ako je plnenie úloh na účely trestného konania, ak to je zlučiteľné s účelom, na ktorý sa zhromaždili, a ak spracúvanie je na tento iný účel nevyhnutné a primerané. Na spracúvanie osobných údajov na iný účel sa vzťahuje osobitný predpis,2) ak ide o spracúvanie osobných údajov v rámci činnosti, ktorá patrí do pôsobnosti práva Európskej únie; ak nejde o spracúvanie v rámci činnosti, ktorá patrí do pôsobnosti práva Európskej únie, na spracúvanie osobných údajov na iný účel sa vzťahuje tento zákon okrem tejto časti.
(4) Ak príslušný orgán vykonáva iné činnosti, ako je plnenie úloh na účely trestného konania, na spracúvanie osobných údajov na iné činnosti sa vzťahuje osobitný predpis,2) ak ide o spracúvanie osobných údajov v rámci činnosti, ktorá patrí do pôsobnosti práva Európskej únie; ak nejde o spracúvanie osobných údajov v rámci činnosti, ktorá patrí do pôsobnosti práva Európskej únie, na spracúvanie osobných údajov na iné činnosti sa vzťahuje tento zákon okrem tejto časti.
§ 56
Spracúvanie osobitných kategórií osobných údajov
(1) Osobitné kategórie osobných údajov môže príslušný orgán spracúvať len vtedy, ak
a) ich preukázateľne poskytla dotknutá osoba,
b) je ich spracúvanie nevyhnutné podľa osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, alebo
c) je ich spracúvanie nevyhnutné na ochranu života, zdravia alebo majetku dotknutej osoby alebo inej fyzickej osoby.
(2) Príslušný orgán musí pri spracúvaní osobitných kategórií osobných údajov prijať primerané záruky na ochranu práv dotknutej osoby.
§ 57
Kategórie dotknutých osôb
Príslušný orgán je, ak je to možné, povinný rozlišovať medzi osobnými údajmi rôznych kategórií dotknutých osôb, ako sú najmä
a) osoby, u ktorých sa možno odôvodnene domnievať, že spáchali alebo majú v úmysle spáchať trestný čin,
b) osoby odsúdené za spáchanie trestného činu,
c) obete trestného činu alebo osoby, u ktorých sú na základe určitých skutočností dôvody domnievať sa, že sú alebo by mohli byť obeťami trestného činu,
d) iné tretie osoby v súvislosti s trestným činom, a to najmä osoby, ktoré môžu byť vyzvané, aby svedčili v rámci trestného konania, osoby, ktoré môžu poskytnúť informácie o trestných činoch, alebo kontaktné osoby alebo spoločníci niektorej z osôb podľa písmen a) a b).
§ 58
Pôvod a pravdivosť osobných údajov
(1) Príslušný orgán označí, ak je to možné, osobné údaje založené na skutočnostiach a osobné údaje založené na osobných hodnoteniach.
(2) Príslušný orgán pred poskytnutím osobných údajov alebo pred prenosom osobných údajov overí ich správnosť, úplnosť a aktuálnosť, ak je to možné, a prijme opatrenia na zabezpečenie toho, aby sa neposkytovali alebo neprenášali osobné údaje, ktoré sú nesprávne, neúplné alebo neaktuálne.
(3) Príslušný orgán k poskytnutiu a prenosu osobných údajov pripojí dostupné informácie, ktoré umožnia prijímajúcemu príslušnému orgánu posúdiť ich mieru správnosti, úplnosti, aktuálnosti a spoľahlivosti, ak to okolnosti dovoľujú. Nesprávne osobné údaje príslušný orgán nemôže poskytovať a prenášať; neoverené osobné údaje príslušný orgán musí pri poskytovaní alebo prenose takto označiť a musí uviesť mieru ich spoľahlivosti. Ak príslušný orgán neoprávnene poskytne osobné údaje alebo neoprávnene prenesie osobné údaje alebo poskytne nesprávne osobné údaje alebo prenesie nesprávne osobné údaje, je povinný bez zbytočného odkladu informovať príjemcu a žiadať príjemcov osobných údajov, ktorým sa také osobné údaje poskytli, aby ich bez zbytočného odkladu opravili, doplnili, vymazali alebo aby obmedzili spracúvanie takých osobných údajov.
DRUHÁ HLAVA
PRÁVA DOTKNUTEJ OSOBY
§ 59
Na postup príslušných orgánov pri spracúvaní osobných údajov na plnenie úloh na účely trestného konania sa vzťahuje § 29 rovnako.
§ 60
Informácie, ktoré sa majú sprístupniť alebo poskytnúť dotknutej osobe
(1) Príslušný orgán na svojom webovom sídle sprístupní najmä
a) svoje identifikačné údaje a kontaktné údaje,
b) kontaktné údaje zodpovednej osoby,
c) informácie o účele spracúvania, na ktoré sú osobné údaje určené,
d) kontaktné údaje úradu,
e) informácie o práve podať návrh na začatie konania podľa § 100,
f) informácie o práve žiadať od príslušného orgánu prístup k osobným údajom, ktoré sa dotknutej osoby týkajú, ich opravu, vymazanie alebo obmedzenie ich spracúvania.
(2) Na žiadosť dotknutej osoby je príslušný orgán povinný poskytnúť v osobitných prípadoch dotknutej osobe informácie o
a) právnom základe spracúvania osobných údajov,
b) dobe uchovávania osobných údajov; ak to nie je možné, informáciu o kritériách jej určenia,
c) kategóriách príjemcov osobných údajov, a to aj v tretej krajine a medzinárodnej organizácii,
d) o iných skutočnostiach, najmä ak sa osobné údaje získali bez vedomia dotknutej osoby.
§ 61
Právo na prístup k osobným údajom
Dotknutá osoba má právo získať od príslušného orgánu potvrdenie o tom, či sa spracúvajú osobné údaje, ktoré sa jej týkajú, a ak to tak je, má právo získať prístup k týmto osobným údajom a informácie o
a) účele spracúvania osobných údajov a právnom základe spracúvania osobných údajov,
b) kategórii spracúvaných osobných údajov,
c) príjemcovi alebo kategórii príjemcov, ktorým boli alebo majú byť osobné údaje poskytnuté, najmä o príjemcovi v tretej krajine alebo o medzinárodnej organizácii,
d) dobe uchovávania osobných údajov; ak to nie je možné, informáciu o kritériách jej určenia,
e) práve žiadať od príslušného orgánu opravu osobných údajov týkajúcich sa dotknutej osoby alebo ich vymazanie alebo obmedzenie spracúvania osobných údajov alebo práve namietať spracúvanie osobných údajov,
f) kontaktných údajoch úradu,
g) práve podať návrh na začatie konania podľa § 100,
h) zdroji osobných údajov, ak sú dostupné.
§ 62
Právo na opravu osobných údajov, právo na vymazanie osobných údajov a obmedzenie týchto práv
(1) Dotknutá osoba má právo na to, aby príslušný orgán bez zbytočného odkladu opravil nesprávne osobné údaje, ktoré sa jej týkajú. So zreteľom na účel spracúvania osobných údajov má dotknutá osoba právo na doplnenie neúplných osobných údajov.
(2) Dotknutá osoba má právo na to, aby príslušný orgán bez zbytočného odkladu vymazal osobné údaje, ktoré sa jej týkajú, a príslušný orgán je povinný bez zbytočného odkladu vymazať osobné údaje, ak
a) spracúvanie osobných údajov je v rozpore so zásadami spracúvania osobných údajov podľa § 52 až 55,
b) spracúvanie osobných údajov je v rozpore s § 56, alebo
c) výmaz osobných údajov je nevyhnutný na účel splnenia povinností podľa tohto zákona, osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná.
(3) Namiesto vymazania príslušný orgán obmedzí spracúvanie osobných údajov, ak
a) dotknutá osoba napadla správnosť osobných údajov a ich správnosť alebo nesprávnosť nemožno určiť, alebo
b) osobné údaje sa musia zachovať na účely dokazovania.
(4) Ak je obmedzené spracúvanie osobných údajov podľa odseku 3 písm. a), príslušný orgán je povinný pred zrušením obmedzenia spracúvania osobných údajov o tom dotknutú osobu informovať.
(5) Príslušný orgán je povinný písomne informovať dotknutú osobu o zamietnutí práva na opravu podľa odseku 1, práva na vymazanie podľa odseku 2 alebo obmedzenie spracúvania osobných údajov podľa odseku 3 a o dôvodoch zamietnutia.
§ 63
Obmedzenie poskytnutia informácií a práv dotknutej osoby
(1) Príslušný orgán môže odložiť poskytnutie informácií, obmedziť poskytnutie informácií alebo upustiť od poskytnutia informácií podľa § 60 ods. 2, úplne alebo čiastočne obmedziť právo na prístup podľa § 61 alebo môže úplne alebo čiastočne obmedziť povinnosť informovať podľa § 62 ods. 5, ak
a) by mohlo dôjsť k ovplyvňovaniu alebo mareniu úradného postupu alebo súdneho postupu alebo šetrenia,
b) by mohlo dôjsť k ohrozeniu plnenia úloh na účely trestného konania,
c) je to potrebné na zabezpečenie ochrany verejného poriadku alebo bezpečnosti štátu, alebo
d) je to potrebné na ochranu práv iných osôb.
(2) Osobitný predpis môže ustanoviť kategórie spracúvania osobných údajov, na ktoré sa vzťahuje odsek 1.
(3) Príslušný orgán je povinný písomne informovať dotknutú osobu o zamietnutí práva na prístup alebo obmedzení práva na prístup podľa § 61 a o dôvodoch tohto zamietnutia alebo obmedzenia; to neplatí, ak by sa poskytnutím takej informácie ohrozil účel podľa odseku 1.
(4) Príslušný orgán musí zdokumentovať skutkové dôvody alebo právne dôvody, na základe ktorých sa obmedzilo právo na prístup podľa § 61, a poskytnúť ich na požiadanie úradu.
(5) Ak príslušný orgán obmedzí poskytnutie informácií alebo obmedzí právo dotknutej osoby podľa odseku 1, je povinný dotknutú osobu písomne informovať o možnosti podania návrhu na začatie konania podľa § 100 vrátane možnosti uplatnenia práva na preverenie zákonnosti postupov príslušného orgánu podľa odsekov 1 a 3 úradom a o možnosti uplatnenia práv dotknutej osoby na inú právnu ochranu.19)
§ 64
Oznámenie opravy, vymazania alebo obmedzenia spracúvania osobných údajov
Príslušný orgán je povinný oznámiť opravu nesprávnych osobných údajov príslušnému orgánu, od ktorého nesprávne osobné údaje získal. Ak príslušný orgán nesprávne osobné údaje opraví, vymaže nesprávne osobné údaje alebo obmedzí ich spracúvanie podľa § 62 ods. 1 až 3, informuje o tom príjemcu, ktorý je také osobné údaje povinný opraviť, vymazať alebo obmedziť ich spracúvanie.
§ 65
Ustanovenia § 61 až 64 sa neuplatňujú, ak ide o osobné údaje, ktoré sú súčasťou vyšetrovacieho spisu alebo súdneho spisu v rámci trestného konania; práva uvedené v týchto ustanoveniach sa vykonávajú podľa osobitného predpisu.21)
§ 66
Automatizované individuálne rozhodovanie
(1) Rozhodnutie príslušného orgánu, ktoré má na dotknutú osobu nepriaznivé právne účinky, nesmie byť založené výlučne na automatizovanom spracúvaní osobných údajov vrátane profilovania, ak osobitný predpis alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná, neustanovuje inak. Osobitým predpisom alebo medzinárodnou zmluvou, ktorou je Slovenská republika viazaná, musia byť ustanovené primerané záruky ochrany práv dotknutej osoby, najmä právo na overenie rozhodnutia nie automatizovaným spôsobom zo strany príslušného orgánu.
(2) Rozhodnutie podľa odseku 1 nesmie byť založené na osobitných kategóriách osobných údajov, ak sa neuplatňujú vhodné opatrenia na zaručenie práv a oprávnených záujmov dotknutej osoby.
(3) Profilovanie, ktoré vedie k diskriminácii osôb na základe osobitných kategórií osobných údajov, sa zakazuje.
TRETIA HLAVA
PRÁVA A POVINNOSTI PRÍSLUŠNÉHO ORGÁNU A SPROSTREDKOVATEĽA
§ 67
Na postup príslušných orgánov pri spracúvaní osobných údajov na plnenie úloh na účely trestného konania sa vzťahujú § 31, § 32, § 33 ods. 1 a 3, § 34, § 36, § 37, § 39 až 41, § 42 ods. 1 až 5 a 7 a § 44 až 46 rovnako.
§ 68
(1) Príslušný orgán raz za tri roky preverí, či sú spracúvané osobné údaje naďalej potrebné na plnenie úloh na účely trestného konania, ak osobitný predpis neustanovuje inak.
(2) Príslušný orgán vedie záznamy o spracovateľských činnostiach, za ktoré je zodpovedný. Záznamy o spracovateľských činnostiach musia obsahovať okrem informácií podľa § 37 aj informácie o
a) použití profilovania, ak príslušný orgán zamýšľa profilovanie,
b) právnom základe pre spracovateľské operácie vrátane prenosu, pre ktorý sú osobné údaje určené.
§ 69
Vedenie logov
(1) Príslušný orgán pri získavaní, zmene, prehliadaní, poskytovaní vrátane prenosu, kombinovaní a vymazaní osobných údajov v systéme automatizovaného spracúvania uchováva logy. Z logov o prehliadaní a poskytovaní musí byť možné určiť dôvod, dátum a čas prehliadania alebo poskytovania a identifikačné údaje osoby, ktorá tieto osobné údaje prehliadala alebo ich poskytovala, ako aj totožnosť príjemcov.
(2) Príslušný orgán využíva a uchováva logy výlučne na účely overovania zákonnosti spracúvania osobných údajov, vlastného monitorovania, na účely zabezpečenia integrity a bezpečnosti osobných údajov a na účely trestného konania.
(3) Príslušný orgán a sprostredkovateľ príslušného orgánu na požiadanie sprístupnia logy úradu, ak sú dostupné.
§ 70
Predchádzajúca konzultácia
(1) Príslušný orgán uskutoční s úradom konzultáciu pred spracúvaním osobných údajov, ktoré má tvoriť súčasť nového informačného systému, ak je z posúdenia vplyvu na ochranu osobných údajov podľa § 42 zrejmé, že toto spracúvanie povedie k vysokému riziku pre práva fyzických osôb, ak príslušný orgán neprijme opatrenia na zmiernenie tohto rizika alebo sa s typom spracúvania, najmä s využitím nových technológií, mechanizmov alebo postupov, spája vysoké riziko porušenia práv dotknutej osoby.
(2) Príslušný orgán spolu so žiadosťou o predchádzajúcu konzultáciu poskytne úradu aj posúdenie vplyvu na ochranu osobných údajov podľa § 42, ktoré vykonal, a na požiadanie úradu aj ďalšie informácie, ktoré úradu umožnia posúdiť súlad spracúvania osobných údajov s týmto zákonom a najmä riziká z hľadiska ochrany osobných údajov dotknutej osoby a súvisiacich záruk.
(3) Ak sa úrad domnieva, že by zamýšľané spracúvanie osobných údajov podľa odseku 1 bolo nezákonné, najmä ak príslušný orgán nedostatočne identifikoval riziko alebo zmiernil riziko, úrad do šiestich týždňov od prijatia žiadosti o konzultáciu poskytne príslušnému orgánu, prípadne aj sprostredkovateľovi, písomné poradenstvo. Úrad môže s ohľadom na zložitosť zamýšľaného spracúvania osobných údajov predĺžiť lehotu podľa predchádzajúcej vety o jeden mesiac; predĺženie lehoty a dôvody predĺženia úrad oznámi prevádzkovateľovi, prípadne aj sprostredkovateľovi, do jedného mesiaca od prijatia žiadosti o konzultáciu. Lehota na poskytnutie poradenstva úradom neplynie dovtedy, kým úrad nezíska informácie, o ktoré požiadal na účely predchádzajúcej konzultácie.
(4) Ďalšie spracovateľské operácie pre príslušný orgán, ktoré podliehajú povinnosti uskutočniť predchádzajúce konzultácie podľa odseku 1, ustanoví všeobecne záväzný právny predpis, ktorý vydá úrad.
§ 71
Bezpečnosť spracúvania osobných údajov
Príslušný orgán alebo sprostredkovateľ príslušného orgánu pri automatizovanom spracúvaní osobných údajov prijme na základe vyhodnotenia rizík opatrenia na
a) kontrolu prístupu k zariadeniam, aby sa zabránilo neoprávnenému prístupu k zariadeniam na spracúvanie osobných údajov, ktoré sa používajú na spracúvanie,
b) kontrolu nosičov osobných údajov, aby sa zabránilo neoprávnenému čítaniu nosičov osobných údajov, kopírovaniu nosičov osobných údajov, pozmeňovaniu nosičov osobných údajov alebo odstráneniu nosičov osobných údajov,
c) kontrolu uchovávania osobných údajov, aby sa zabránilo neoprávnenému vkladaniu osobných údajov do informačného systému a neoprávnenému prehliadaniu osobných údajov v informačnom systéme, pozmeňovaniu osobných údajov v informačnom systéme alebo vymazaniu osobných údajov z informačného systému,
d) kontrolu užívateľa informačného systému, aby sa zabránilo použitiu systémov automatizovaného spracúvania neoprávnenými osobami pomocou zariadenia na prenos osobných údajov,
e) kontrolu prístupu k osobným údajom, aby sa zabezpečilo, že osoby oprávnené používať systém automatizovaného spracúvania budú mať prístup iba k tým osobným údajom, na ktoré sa vzťahuje ich oprávnenie na prístup,
f) kontrolu prenosu údajov, aby sa zabezpečila možnosť overiť a zistiť subjekty, ktorým sa preniesli osobné údaje alebo poskytli osobné údaje, alebo overiť a zistiť subjekty, ktorým sa môžu preniesť osobné údaje, alebo poskytnúť osobné údaje prostredníctvom zariadenia na prenos osobných údajov,
g) kontrolu vkladania údajov do informačného systému, aby sa zabezpečilo, že bude možné overiť a zistiť, aké osobné údaje sa vložili do systému automatizovaného spracúvania, a kedy a kto ich tam vložil,
h) kontrolu prepravy osobných údajov, aby sa zabránilo neoprávnenému čítaniu osobných údajov, kopírovaniu osobných údajov, pozmeňovaniu osobných údajov alebo vymazaniu osobných údajov počas ich prenosu alebo počas prepravy nosiča osobných údajov,
i) obnovu osobných údajov, aby sa zabezpečilo, že sa inštalované systémy obnovia, ak dôjde k ich prerušeniu,
j) zabezpečenie spoľahlivosti informačného systému, aby sa zabezpečilo, že funkcie tohto systému fungujú a hlási sa výskyt chýb v jeho funkciách,
k) zabezpečenie integrity informačného systému, aby sa uchovávané osobné údaje nemohli poškodiť, ak nastane porucha tohto systému.
§ 72
Oznámenie porušenia ochrany osobných údajov
(1) Príslušný orgán je povinný bez zbytočného odkladu oznámiť informácie podľa § 40 ods. 4 orgánu členského štátu príslušnému na plnenie úloh na účely trestného konania, ak porušenie ochrany osobných údajov zahŕňa osobné údaje, ktorých prenos vykonal orgán členského štátu príslušný na plnenie úloh na účely trestného konania alebo ktoré boli prenesené takému orgánu.
(2) Príslušný orgán môže odložiť oznámenie o porušení ochrany osobných údajov, obmedziť oznámenie o porušení ochrany osobných údajov alebo upustiť od oznámenia porušenia ochrany osobných údajov dotknutej osobe podľa § 41, ak
a) by mohlo dôjsť k ovplyvňovaniu alebo mareniu úradného postupu alebo súdneho postupu alebo šetrenia,
b) by mohlo dôjsť k ohrozeniu plnenia úloh na účely trestného konania,
c) je to potrebné na zabezpečenie ochrany verejného poriadku alebo bezpečnosti štátu, alebo
d) je to potrebné na ochranu práv iných osôb.
