»
Úplné znenie zákona 363/2005 Z.z.
(úplné znenie zákona č. 428/2002 Z.z. o ochrane osobných údajov )
Autor: predseda Národnej rady SR
Platnosť od: 12.8.2005
Účinnosť od: 1.5.2005
Uverejnené v Zbierke zákonov č. 154/2005 strana 3702
JE ÚPLNÝM ZNENÍM PREDPISOV:
428/2002 Z.z.
OBLASŤ: Správne právo
363/2005 Z.z.
PREDSEDA
NÁRODNEJ RADY SLOVENSKEJ REPUBLIKY
vyhlasuje
úplné znenie zákona č. 428/2002 Z. z. o ochrane osobných údajov,
ako vyplýva zo zmien a doplnení vykonaných zákonom č. 602/2003 Z. z.,
zákonom č. 576/2004 Z. z. a zákonom č. 90/2005 Z. z.
ZÁKON
o ochrane osobných údajov
Národná rada Slovenskej republiky sa uzniesla na tomto zákone:
PRVÁ ČASŤ
ZÁKLADNÉ USTANOVENIA
Predmet a pôsobnosť zákona
§ 1
(1) Tento zákon upravuje
a) ochranu osobných údajov fyzických osôb pri ich spracúvaní,
b) zásady spracúvania osobných údajov,
c) bezpečnosť osobných údajov,
d) ochranu práv dotknutých osôb,
e) cezhraničný tok osobných údajov,
f) registráciu a evidenciu informačných systémov,
g) zriadenie, postavenie a pôsobnosť Úradu na ochranu osobných údajov Slovenskej republiky (ďalej len úrad ).
(2)
Tento zákon sa vzťahuje na orgány štátnej správy, orgány územnej
samosprávy, iné orgány verejnej moci, ako aj na ostatné právnické osoby a
fyzické osoby, ktoré spracúvajú osobné údaje, určujú účel a prostriedky
spracúvania alebo poskytujú osobné údaje na spracúvanie.
(3) Tento zákon sa vzťahuje aj na prevádzkovateľov, ktorí nemajú sídlo alebo trvalý pobyt na území
a) Slovenskej republiky, ale sú umiestnení v zahraničí na mieste, kde
sa uplatňuje právny poriadok Slovenskej republiky prednostne na základe
medzinárodného práva verejného,
b) členského štátu Európskej únie,
ak na účely spracúvania osobných údajov využívajú úplne alebo čiastočne
automatizované alebo iné ako automatizované prostriedky spracúvania
umiestnené na území Slovenskej republiky, pričom tieto prostriedky
spracúvania nie sú využívané výlučne len na prenos osobných údajov cez
územie členských štátov Európskej únie; v takomto prípade prevádzkovateľ
postupuje podľa § 23a ods. 3.
(4) Tento zákon sa vzťahuje na
osobné údaje systematicky spracúvané úplne alebo čiastočne
automatizovanými prostriedkami spracúvania alebo inými ako
automatizovanými prostriedkami spracúvania, ktoré sú súčasťou
informačného systému alebo sú určené na spracúvanie v informačnom
systéme.
§ 2
(1) Ustanovenia § 5 ods. 4, § 6 ods. 1
až 4, § 10 ods. 1, 2 a 8, § 20 ods. 1, § 27 a 32 sa nevzťahujú na
spracúvanie osobných údajov nevyhnutných na zabezpečenie verejného
záujmu, ak prevádzkovateľ plní povinnosti výslovne ustanovené osobitným
zákonom určené na zaistenie
a) bezpečnosti Slovenskej republiky,
b) obrany Slovenskej republiky,
c) verejného poriadku a bezpečnosti,
d) predchádzania, zamedzovania, odhaľovania a dokumentovania trestnej
činnosti, zisťovania jej páchateľov, vyšetrovania a stíhania trestných
činov,
e) významného ekonomického alebo finančného záujmu
Slovenskej republiky alebo Európskej únie vrátane menových, rozpočtových
a daňových záležitostí,
f) výkonu kontroly, dohľadu, dozoru alebo
uplatňovania regulácie v súvislosti s výkonom verejnej moci vo veciach
uvedených v písmenách c), d) a e), alebo
g) ochrany dotknutej osoby alebo práv a slobôd iných osôb.
(2)
Prevádzkovateľom registra o osobách právoplatne odsúdených súdmi v
trestnom konaní, ako aj o osobách, proti ktorým bolo prokurátormi alebo
súdmi právoplatne rozhodnuté o podmienečnom zastavení trestného stíhania
alebo o schválení zmieru, môže byť len štátny orgán ustanovený
osobitným zákonom.1)
§ 2a
Tento zákon sa nevzťahuje na ochranu osobných údajov, ktoré
a) spracúva fyzická osoba pre vlastnú potrebu v rámci výlučne osobných
alebo domácich činností, ako je vedenie osobného adresára alebo
korešpondencia,
b) boli získané náhodne bez predchádzajúceho
určenia účelu a prostriedkov spracúvania, bez zámeru ich ďalšieho
spracúvania v usporiadanom systéme podľa osobitných kritérií a nie sú
ďalej systematicky spracúvané.
Vymedzenie niektorých pojmov
§ 3
Osobné údaje
Osobnými
údajmi sú údaje týkajúce sa určenej alebo určiteľnej fyzickej osoby,
pričom takou osobou je osoba, ktorú možno určiť priamo alebo nepriamo,
najmä na základe všeobecne použiteľného identifikátora alebo na základe
jednej či viacerých charakteristík alebo znakov, ktoré tvoria jej
fyzickú, fyziologickú, psychickú, mentálnu, ekonomickú, kultúrnu alebo
sociálnu identitu.
§ 4
(1) Na účely tohto zákona sa ďalej rozumie
a) spracúvaním osobných údajov vykonávanie akýchkoľvek operácií alebo
súboru operácií s osobnými údajmi, napr. ich získavanie, zhromažďovanie,
zaznamenávanie, usporadúvanie, prepracúvanie alebo zmena, vyhľadávanie,
prehliadanie, preskupovanie, kombinovanie, premiestňovanie, využívanie,
uchovávanie, likvidácia, ich prenos, poskytovanie, sprístupňovanie
alebo zverejňovanie,
b) poskytovaním osobných údajov odovzdávanie
osobných údajov na spracúvanie inému prevádzkovateľovi alebo inému
zástupcovi prevádzkovateľa, alebo jeho sprostredkovateľovi,
c)
sprístupňovaním osobných údajov oznámenie osobných údajov alebo
umožnenie prístupu k nim inej právnickej osobe alebo fyzickej osobe s
výnimkou dotknutej osoby alebo oprávnenej osoby, ktorá ich nebude
spracúvať ako prevádzkovateľ, zástupca prevádzkovateľa alebo
sprostredkovateľ,
d) zverejňovaním osobných údajov publikovanie,
uverejnenie alebo vystavenie osobných údajov na verejnosti
prostredníctvom masovokomunikačných prostriedkov, verejne prístupných
počítačových sietí, verejným vykonaním alebo vystavením diela, 2)
verejným vyhlásením, uvedením vo verejnom zozname, v registri alebo v
operáte, 3) ich umiestnením na úradnej tabuli alebo na inom verejne
prístupnom mieste,
e) likvidáciou osobných údajov zrušenie osobných
údajov rozložením, vymazaním alebo fyzickým zničením hmotných nosičov
tak, aby sa z nich osobné údaje nedali reprodukovať,
f) blokovaním
osobných údajov uvedenie osobných údajov do takého stavu, v ktorom sú
neprístupné a je zabránené akejkoľvek manipulácii s nimi,
g)
informačným systémom akýkoľvek usporiadaný súbor, sústava alebo databáza
obsahujúca jeden alebo viac osobných údajov, ktoré sú systematicky
spracúvané na potreby dosiahnutia účelu podľa osobitných kritérií a
podmienok s použitím automatizovaných, čiastočne automatizovaných alebo
iných ako automatizovaných prostriedkov spracúvania bez ohľadu na to, či
ide o systém centralizovaný, decentralizovaný alebo distribuovaný na
funkčnom alebo geografickom základe, napríklad kartotéka, zoznam,
register, operát, záznam alebo sústava obsahujúca spisy, doklady,
zmluvy, potvrdenia, posudky, hodnotenia, testy,
h) účelom
spracúvania osobných údajov vopred jednoznačne vymedzený alebo
ustanovený zámer spracúvania osobných údajov, ktorý sa viaže na určitú
činnosť,
i) súhlasom dotknutej osoby akýkoľvek slobodne daný
výslovný a zrozumiteľný prejav vôle, ktorým dotknutá osoba na základe
poskytnutých informácií vedome vyjadruje súhlas so spracúvaním svojich
osobných údajov,
j) cezhraničným tokom osobných údajov prenos
osobných údajov mimo územia Slovenskej republiky subjektom so sídlom
alebo s trvalým pobytom v cudzine alebo ich výmena s týmito subjektmi,
k) anonymizovaným údajom osobný údaj upravený do takej formy, v ktorej ho nemožno priradiť dotknutej osobe, ktorej sa týka,
l) adresou súbor údajov o pobyte fyzickej osoby, do ktorého patria
názov ulice, orientačné, prípadne súpisné číslo domu, názov obce,
prípadne názov časti obce, poštové smerovacie číslo, názov okresu, názov
štátu,
m) všeobecne použiteľným identifikátorom trvalý
identifikačný osobný údaj dotknutej osoby, ktorý zabezpečuje jej
jednoznačnosť v informačných systémoch,
n) biometrickým údajom
osobný údaj fyzickej osoby, na základe ktorého je jednoznačne a
nezameniteľne určiteľná, napr. odtlačok prsta, odtlačok dlane, analýza
deoxyribonukleovej kyseliny, profil deoxyribonukleovej kyseliny,
o)
auditom bezpečnosti informačného systému nezávislé odborné posúdenie
spoľahlivosti a celkovej bezpečnosti informačného systému z hľadiska
zabezpečenia dôvernosti, integrity a dostupnosti spracúvaných osobných
údajov,
p) treťou krajinou štát, ktorý nie je členským štátom Európskej únie,
r) verejným záujmom dôležitý záujem štátu realizovaný pri výkone
verejnej moci, ktorý prevažuje nad oprávneným záujmom fyzickej osoby
alebo viacerých fyzických osôb, prináša majetkový prospech alebo iný
prospech ostatným fyzickým osobám alebo mnohým z nich a bez jeho
realizácie by mohli vzniknúť rozsiahle alebo nenahraditeľné škody,
s) podmienkami spracúvania osobných údajov prostriedky a spôsob
spracúvania osobných údajov, ako aj ďalšie požiadavky, kritériá alebo
pokyny súvisiace so spracúvaním osobných údajov alebo vykonanie úkonov,
ktoré slúžia na dosiahnutie účelu spracúvania či už pred začatím
spracúvania osobných údajov alebo v priebehu ich spracúvania.
(2)
Prevádzkovateľom je orgán štátnej správy, orgán územnej samosprávy, iný
orgán verejnej moci alebo iná právnická osoba alebo fyzická osoba,
ktorá sama alebo spoločne s inými určuje účel a prostriedky spracúvania
osobných údajov. Ak účel, prípadne aj prostriedky spracúvania osobných
údajov ustanovuje osobitný zákon, prevádzkovateľom je ten, koho na
plnenie účelu spracúvania ustanoví zákon alebo kto splní zákonom
ustanovené podmienky. To platí aj vtedy, ak tak ustanovuje právny akt
Európskych spoločenstiev a Európskej únie.
(3)
Sprostredkovateľom je orgán štátnej správy, orgán územnej samosprávy,
iný orgán verejnej moci alebo iná právnická osoba alebo fyzická osoba,
ktorá spracúva osobné údaje v mene prevádzkovateľa alebo zástupcu
prevádzkovateľa.
(4) Oprávnenou osobou je každá fyzická osoba,
ktorá prichádza do styku s osobnými údajmi v rámci svojho
pracovnoprávneho vzťahu, štátnozamestnaneckého pomeru, služobného
pomeru, členského vzťahu, na základe poverenia, zvolenia alebo
vymenovania alebo v rámci výkonu verejnej funkcie, ktorá môže osobné
údaje spracúvať len na základe pokynu prevádzkovateľa, zástupcu
prevádzkovateľa alebo sprostredkovateľa, ak tento zákon alebo osobitný
zákon neustanovuje inak.
(5) Dotknutou osobou je každá fyzická osoba, o ktorej sa spracúvajú osobné údaje.
(6)
Zástupcom prevádzkovateľa je právnická osoba alebo fyzická osoba, ktorá
na území Slovenskej republiky zastupuje prevádzkovateľa so sídlom alebo
s trvalým pobytom v tretej krajine.
(7) Treťou stranou je orgán
štátnej správy, orgán územnej samosprávy, iný orgán verejnej moci alebo
iná právnická osoba alebo fyzická osoba iná ako dotknutá osoba, vlastný
prevádzkovateľ alebo zástupca prevádzkovateľa, jeho sprostredkovateľ a
ich oprávnené osoby.
(8) Príjemcom je orgán štátnej správy, orgán
územnej samosprávy, iný orgán verejnej moci alebo iná právnická osoba
alebo fyzická osoba, ktorej sú osobné údaje poskytnuté alebo
sprístupnené; prevádzkovateľ, ktorý je oprávnený spracúvať osobné údaje
na základe § 2 ods. 1 písm. f) a úrad pri plnení úloh ustanovených týmto
zákonom, sa nepovažuje za príjemcu.
DRUHÁ ČASŤ
PRÁVA, POVINNOSTI
A ZODPOVEDNOSŤ PRI SPRACÚVANÍ
OSOBNÝCH ÚDAJOV
PRVÁ HLAVA
ZÁSADY SPRACÚVANIA OSOBNÝCH ÚDAJOV
§ 5
Prevádzkovateľ a sprostredkovateľ
(1) Osobné údaje môže spracúvať iba prevádzkovateľ a sprostredkovateľ.
(2)
Sprostredkovateľ je oprávnený spracúvať osobné údaje len v rozsahu a za
podmienok dojednaných s prevádzkovateľom v písomnej zmluve alebo v
písomnom poverení. Sprostredkovateľ je oprávnený spracúvať osobné údaje
len v rozsahu a za podmienok dojednaných s prevádzkovateľom alebo so
súhlasom prevádzkovateľa aj so sprostredkovateľom v písomnej zmluve,
alebo v písomnom poverení.
(3) Prevádzkovateľ dbá pri výbere
sprostredkovateľa najmä na jeho záruky, pokiaľ ide o opatrenia v oblasti
technickej, organizačnej a personálnej bezpečnosti (§ 15 ods. 1).
Prevádzkovateľ nesmie zveriť spracúvanie osobných údajov
sprostredkovateľovi, ak by tým mohli byť ohrozené práva a právom
chránené záujmy dotknutých osôb.
(4) Ak prevádzkovateľ poveril
spracúvaním sprostredkovateľa až po získaní osobných údajov, oznámi to
dotknutým osobám pri najbližšom kontakte s nimi, najneskôr však do troch
mesiacov od poverenia sprostredkovateľa. To platí aj vtedy, ak
spracúvanie osobných údajov prevezme iný prevádzkovateľ.
(5)
Zástupca prevádzkovateľa je povinný konať v rozsahu práv a povinností
ustanovených týmto zákonom prevádzkovateľovi. Ustanovenia tohto zákona,
podľa ktorých ukladá úrad prevádzkovateľovi, aby niečo vykonal, niečoho
sa zdržal alebo niečo strpel, sa rovnako vzťahujú aj na zástupcu
prevádzkovateľa.
§ 6
Základné povinnosti prevádzkovateľa
(1) Prevádzkovateľ je povinný
a) pred začatím spracúvania osobných údajov jednoznačne a konkrétne
vymedziť účel spracúvania osobných údajov; účel spracúvania musí byť
jasný a nesmie byť v rozpore s Ústavou Slovenskej republiky, ústavnými
zákonmi, zákonmi a medzinárodnými zmluvami, ktorými je Slovenská
republika viazaná,
b) určiť prostriedky a spôsob spracúvania osobných údajov, prípadne ďalšie podmienky spracúvania osobných údajov,
c) získavať osobné údaje výlučne na vymedzený alebo ustanovený účel; je
neprípustné získavať osobné údaje pod zámienkou iného účelu alebo inej
činnosti,
d) zabezpečiť, aby sa spracúvali len také osobné údaje,
ktoré svojím rozsahom a obsahom zodpovedajú účelu ich spracúvania a sú
nevyhnutné na jeho dosiahnutie,
e) získavať osobné údaje na
rozdielne účely osobitne a zabezpečiť, aby sa osobné údaje spracúvali a
využívali výlučne spôsobom, ktorý zodpovedá účelu, na ktorý boli
zhromaždené; je neprípustné združovať osobné údaje, ktoré boli získané
na rozdielne účely,
f) spracúvať len správne, úplné a podľa potreby
aktualizované osobné údaje vo vzťahu k účelu spracúvania; nesprávne a
neúplné osobné údaje je prevádzkovateľ povinný blokovať a bez zbytočného
odkladu opraviť alebo doplniť; nesprávne a neúplné osobné údaje, ktoré
nemožno opraviť alebo doplniť tak, aby boli správne a úplné,
prevádzkovateľ zreteľne označí a zlikviduje ihneď, ako to okolnosti
dovolia,
g) zabezpečiť, aby zhromaždené osobné údaje boli
spracúvané vo forme umožňujúcej identifikáciu dotknutých osôb počas doby
nie dlhšej, ako je nevyhnutné na dosiahnutie účelu spracúvania,
h)
zlikvidovať tie osobné údaje, ktorých účel spracúvania sa skončil; po
skončení účelu spracúvania možno osobné údaje ďalej spracúvať len za
podmienok ustanovených v odseku 3,
i) spracúvať osobné údaje v
súlade s dobrými mravmi a konať spôsobom, ktorý neodporuje tomuto zákonu
ani iným všeobecne záväzným právnym predpisom a ani ich neobchádza;
súhlas dotknutej osoby si nesmie prevádzkovateľ vynucovať a ani
podmieňovať hrozbou odmietnutia zmluvného vzťahu, služby, tovaru alebo
povinnosti ustanovenej prevádzkovateľovi alebo sprostredkovateľovi
zákonom.
(2) Prevádzkovateľ nemá povinnosť podľa odseku 1 písm.
a) len vtedy, ak účel spracúvania osobných údajov ustanovuje osobitný
zákon v súlade s podmienkami uvedenými v odseku 1 písm. a).
Prevádzkovateľ nemá povinnosť určiť prostriedky a spôsob spracúvania
osobných údajov podľa odseku 1 písm. b) len vtedy, ak ich ustanovuje
všeobecne záväzný právny predpis. Ostatné povinnosti podľa odseku 1
písm. c) až h) a písm. i) časti vety pred bodkočiarkou, je
prevádzkovateľ povinný dodržiavať aj počas spracúvania osobných údajov
na základe osobitného zákona; týmto nie je dotknuté ustanovenie § 7 ods.
6 prvej vety vrátane jej časti za bodkočiarkou.
(3) Ďalšie
spracúvanie zhromaždených osobných údajov na historické, vedecké alebo
štatistické účely sa nepovažuje za nezlučiteľné s pôvodným účelom
spracúvania vymedzeným v súlade s odsekom 1 písm. a) alebo ustanoveným
podľa odseku 2 prvej vety. Po skončení pôvodného účelu spracúvania je
prípustné zhromaždené osobné údaje ďalej spracúvať v nevyhnutnom rozsahu
na historické, vedecké alebo štatistické účely len vtedy, ak
prevádzkovateľ
a) zaručí, že spracúvané osobné údaje nepoužije v
rozpore s oprávnenými záujmami dotknutej osoby a svojím konaním nebude
neoprávnene zasahovať do práva na ochranu jej osobnosti a súkromia,
b) takéto osobné údaje náležite označí a anonymizuje ihneď, ako to bude možné alebo zlikviduje, keď sa stanú nepotrebnými.
(4)
Prevádzkovateľ, ktorý poveril spracúvaním osobných údajov
sprostredkovateľa, je povinný zabezpečiť, aby sprostredkovateľ
dodržiaval povinnosti ustanovené v odseku 1 písm. c) až i) a odseku 3.
(5)
V prípade pochybnosti o tom, či spracúvané osobné údaje svojím
rozsahom, obsahom a spôsobom spracúvania alebo využívania zodpovedajú
účelu ich spracúvania, či sú s daným účelom spracúvania zlučiteľné alebo
časovo a vecne neaktuálne vo vzťahu k tomuto účelu, rozhodne úrad.
Stanovisko úradu je záväzné.
§ 7
Súhlas dotknutej osoby
(1)
Osobné údaje možno spracúvať len so súhlasom dotknutej osoby, ak tento
zákon neustanovuje inak. Týmto nie sú dotknuté ustanovenia odseku 5
prvej vety, § 8 ods. 4 písm. b), § 9 ods. 1, § 9 ods. 1 písm. b) a c), §
10 ods. 6, § 23 ods. 4 písm. a) a § 23 ods. 5.
(2) Ak
prevádzkovateľ spracúva osobné údaje na základe súhlasu dotknutej osoby,
je povinný v prípade pochybností preukázať úradu kedykoľvek na jeho
žiadosť, že súhlasom disponuje. Súhlas sa preukazuje zvukovým alebo
zvukovo-obrazovým záznamom alebo čestným vyhlásením toho, kto poskytol
osobné údaje do informačného systému, prípadne iným hodnoverným
spôsobom. Písomný súhlas preukazuje prevádzkovateľ úradu dokladom, ktorý
potvrdzuje poskytnutie súhlasu. Dôkaz o súhlase obsahuje najmä údaj o
tom, kto súhlas poskytol, komu sa tento súhlas dáva, na aký účel, zoznam
alebo rozsah osobných údajov, dobu platnosti súhlasu a podmienky jeho
odvolania. Súhlas daný v písomnej forme je bez vlastnoručného podpisu
toho, kto súhlas dáva, neplatný.
(3) Súhlas podľa odseku 1 sa
nevyžaduje, ak sa osobné údaje spracúvajú na základe osobitného zákona,
4) ktorý ustanovuje zoznam osobných údajov, účel ich spracúvania a okruh
dotknutých osôb. Spracúvané osobné údaje o dotknutej osobe možno z
informačného systému poskytnúť, sprístupniť alebo zverejniť len vtedy,
ak osobitný zákon ustanovuje účel poskytovania, sprístupňovania alebo
zverejňovania, zoznam osobných údajov, ktoré možno poskytnúť,
sprístupniť alebo zverejniť, ako aj tretie strany, ktorým sa osobné
údaje poskytujú, prípadne okruh príjemcov, ktorým sa osobné údaje
sprístupňujú, ak tento zákon neustanovuje inak. Týmto nie je dotknuté
ustanovenie § 9 ods. 1 písm. a).
(4) Ďalej bez súhlasu uvedeného v odseku 1 možno osobné údaje spracúvať len vtedy, ak
a) spracúvanie osobných údajov je nevyhnutné na účely tvorby umeleckých
alebo literárnych diel, pre potreby informovania verejnosti
masovokomunikačnými prostriedkami a ak osobné údaje spracúva
prevádzkovateľ, ktorému to vyplýva z predmetu jeho činnosti; to neplatí,
ak spracúvaním osobných údajov na takýto účel prevádzkovateľ porušuje
právo dotknutej osoby na ochranu jej osobnosti a súkromia alebo takéto
spracúvanie osobných údajov bez súhlasu dotknutej osoby vylučuje
osobitný zákon alebo medzinárodná zmluva, ktorou je Slovenská republika
viazaná,
b) spracúvanie osobných údajov je nevyhnutné na plnenie
zmluvy, v ktorej vystupuje dotknutá osoba ako jedna zo zmluvných strán
alebo na zavedenie predzmluvných vzťahov alebo opatrení na žiadosť
dotknutej osoby,
c) spracúvanie osobných údajov je nevyhnutné na
ochranu života, zdravia alebo majetku dotknutej osoby alebo inej
fyzickej osoby, ktorá nemá spôsobilosť na právne úkony alebo je fyzicky
nespôsobilá na vydanie súhlasu, a ak nemožno získať súhlas jej zákonného
zástupcu,
d) predmetom spracúvania sú výlučne titul, meno,
priezvisko a adresa dotknutej osoby bez možnosti priradiť k nim ďalšie
jej osobné údaje a ich využitie je určené výhradne pre potreby
prevádzkovateľa v poštovom styku s dotknutou osobou a evidencie týchto
údajov; ak je predmetom činnosti prevádzkovateľa priamy marketing,
uvedené osobné údaje môže poskytovať, bez možnosti ich sprístupňovania a
zverejňovania, len vtedy, ak sú poskytované inému prevádzkovateľovi,
ktorý má rovnaký predmet činnosti výhradne na účely priameho marketingu,
a dotknutá osoba písomne neuplatnila námietku podľa § 20 ods. 3 písm.
c),
e) sa spracúvajú už zverejnené osobné údaje; v týchto prípadoch treba osobné údaje náležite označiť,
f) spracúvanie osobných údajov je nevyhnutné na splnenie dôležitej úlohy realizovanej vo verejnom záujme, alebo
g) spracúvanie osobných údajov je nevyhnutné na ochranu zákonných práv a
právom chránených záujmov prevádzkovateľa alebo tretej strany za
predpokladu, že pri takomto spracúvaní osobných údajov prevádzkovateľ a
tretia strana rešpektuje základné práva a slobody dotknutej osoby a
svojím konaním neoprávnene nezasahuje do práva na ochranu jej osobnosti a
súkromia.
(5) Osobné údaje o dotknutej osobe možno získať od
inej osoby a spracúvať v informačnom systéme len s predchádzajúcim
písomným súhlasom dotknutej osoby. To neplatí, ak poskytnutím osobných
údajov o dotknutej osobe do informačného systému iná osoba chráni svoje
zákonné práva alebo právom chránené záujmy, alebo oznamuje skutočnosti,
ktoré odôvodňujú uplatnenie právnej zodpovednosti dotknutej osoby, alebo
sa osobné údaje spracúvajú na základe osobitného zákona podľa odseku 3
alebo § 9 ods. 1 písm. a). Ten, kto takto osobné údaje spracúva, musí
vedieť preukázať úradu kedykoľvek na jeho žiadosť, že ich získal v
súlade s týmto zákonom.
(6) Zoznam osobných údajov podľa odseku 3
a § 9 ods. 1 písm. a) možno nahradiť rozsahom osobných údajov len
vtedy, ak vzhľadom na účel spracúvania osobných údajov ustanovený v
osobitnom zákone sa nedajú vopred konkrétne určiť jednotlivé osobné
údaje, ktoré majú byť predmetom spracúvania; prevádzkovateľ je povinný
pri takomto spracúvaní osobných údajov postupovať podľa § 6 ods. 1 písm.
d) s výnimkou tých prevádzkovateľov, ktorí spracúvajú osobné údaje na
účely súdneho konania a v súvislosti s ním. Zoznam tretích strán podľa
odseku 3 a § 9 ods. 1 písm. a) možno nahradiť určením okruhu tretích
strán len vtedy, ak vzhľadom na povahu veci nemožno vopred špecifikovať
jednotlivé tretie strany, ktorým sa osobné údaje poskytujú, alebo ak
tretie strany tvoria skupinu subjektov s rovnakým predmetom činnosti a
vykonávajú spracúvanie osobných údajov na rovnaký alebo rovnaké účely,
prípadne ak zloženie takejto skupiny podlieha neustálej zmene.
(7)
Ten, kto mieni zverejniť osobné údaje dotknutej osoby, nesmie svojím
konaním neoprávnene zasahovať do práva na ochranu jej osobnosti a
súkromia; ich zverejnenie nesmie byť v rozpore s oprávnenými záujmami
dotknutej osoby.7)
(8) Ak dotknutá osoba nemá spôsobilosť na
právne úkony v plnom rozsahu, 8) súhlas vyžadovaný podľa tohto zákona
môže poskytnúť jej zákonný zástupca.9)
(9) Ak dotknutá osoba
nežije, súhlas vyžadovaný podľa tohto zákona môže poskytnúť jej blízka
osoba.10) Súhlas nie je platný, ak čo len jedna blízka osoba písomne
vyslovila nesúhlas.
(10) Ustanovenie odseku 6 sa použije aj v prípadoch, keď sa postupuje podľa § 5 ods. 2 alebo § 10 ods. 1 alebo 2.
(11)
Osobné údaje dotknutej osoby možno poskytnúť z informačného systému
inej právnickej osobe, fyzickej osobe, prípadne subjektu v cudzine, len
spolu s písomným dokladom o danom súhlase, ak tento zákon takýto súhlas
vyžaduje; ten, kto osobné údaje takto poskytuje, môže písomný doklad o
danom súhlase nahradiť písomným vyhlásením prevádzkovateľa o udelení
súhlasu dotknutými osobami, ak prevádzkovateľ vie preukázať, že písomný
súhlas dotknutých osôb bol daný.
(12) Osobné údaje podľa odseku 4
písm. c) a podľa § 9 ods. 1 písm. b) možno spracúvať bez súhlasu
dotknutej osoby len po dobu, kým nezaniknú dôvody, ktoré neumožňovali
získať súhlas dotknutej osoby. Ak dôvody zanikli, ten, kto osobné údaje
spracúva, zabezpečí súhlas dotknutej osoby.
(13) Ten, kto tvrdí,
že spracúva zverejnené osobné údaje, na požiadanie preukáže úradu, že
spracúvané osobné údaje boli už zverejnené.
(14) Užívateľ môže
sprístupnené osobné údaje o dotknutej osobe spracúvať len pre vlastnú
potrebu výlučne v rámci osobných alebo domácich činností.
§ 8
Osobitné kategórie osobných údajov
(1)
Spracúvať osobné údaje, ktoré odhaľujú rasový alebo etnický pôvod,
politické názory, náboženskú vieru alebo svetonázor, členstvo v
politických stranách alebo politických hnutiach, členstvo v odborových
organizáciách a údaje týkajúce sa zdravia alebo pohlavného života, sa
zakazuje.
(2) Pri spracúvaní osobných údajov možno využiť na
účely určenia fyzickej osoby všeobecne použiteľný identifikátor
ustanovený osobitným zákonom11) len vtedy, ak jeho použitie je
nevyhnutné na dosiahnutie daného účelu spracúvania. Spracúvať iný
identifikátor, ktorý v sebe skrýva charakteristiky dotknutej osoby,
alebo zverejňovať všeobecne použiteľný identifikátor sa zakazuje.
(3)
Spracúvanie osobných údajov o porušení ustanovení predpisov trestného
práva, priestupkového práva alebo občianskeho práva, ako aj o výkone
právoplatných rozsudkov alebo rozhodnutí, môže vykonávať len ten, komu
to umožňuje osobitný zákon.12)
(4) Spracúvanie biometrických údajov možno vykonávať len za podmienok ustanovených v osobitnom zákone, ak
a) to prevádzkovateľovi vyplýva výslovne zo zákona, alebo
b) na spracúvanie dala písomný súhlas dotknutá osoba.
(5)
Spracúvanie osobných údajov o psychickej identite fyzickej osoby alebo o
jej psychickej pracovnej spôsobilosti môže vykonávať len psychológ
alebo ten, komu to umožňuje osobitný zákon.13)
§ 9
Výnimky z obmedzení pri spracúvaní
osobitných kategórií osobných údajov
(1)
Zákaz spracúvania osobných údajov ustanovený v § 8 ods. 1 neplatí, ak
dotknutá osoba dala písomný súhlas na ich spracúvanie alebo ak
a) spracúvanie vyžaduje osobitný zákon, ktorý ustanovuje zoznam osobných
údajov, účel ich spracúvania a okruh dotknutých osôb; spracúvané osobné
údaje o dotknutej osobe možno z informačného systému poskytnúť,
sprístupniť alebo zverejniť len vtedy, ak osobitný zákon ustanovuje účel
poskytovania, sprístupňovania alebo zverejňovania, zoznam osobných
údajov, ktoré možno poskytnúť, sprístupniť alebo zverejniť, ako aj
tretie strany, ktorým sa osobné údaje poskytujú, prípadne okruh
príjemcov, ktorým sa osobné údaje sprístupňujú, ak tento zákon
neustanovuje inak, alebo
b) spracúvanie je nevyhnutné na ochranu
životne dôležitých záujmov dotknutej osoby alebo inej fyzickej osoby,
ktorá nemá spôsobilosť na právne úkony alebo je fyzicky nespôsobilá na
vydanie písomného súhlasu, a ak nemožno získať písomný súhlas jej
zákonného zástupcu, alebo
c) spracúvanie vykonáva v rámci oprávnenej
činnosti občianske združenie, nadácia alebo nezisková organizácia
poskytujúca všeobecne prospešné služby, politická strana alebo politické
hnutie, odborová organizácia, štátom uznaná cirkev alebo náboženská
spoločnosť a toto spracúvanie sa týka iba ich členov alebo tých
fyzických osôb, ktoré sú s nimi vzhľadom na ich ciele v pravidelnom
styku, osobné údaje slúžia výlučne pre ich vnútornú potrebu a nebudú
poskytnuté tretej strane bez písomného súhlasu dotknutej osoby, alebo
d) spracúvanie sa týka osobných údajov, ktoré dotknutá osoba zverejnila
alebo sú nevyhnutné pri uplatňovaní jej právneho nároku, alebo
e)
ide o spracúvanie na účely poskytovania zdravotnej starostlivosti a na
účely vykonávania verejného zdravotného poistenia, ak tieto údaje
spracúva poskytovateľ zdravotnej starostlivosti, zdravotná poisťovňa
alebo Úrad pre dohľad nad zdravotnou starostlivosťou alebo
f) ide o
spracúvanie v sociálnom poistení, v sociálnom zabezpečení policajtov a
vojakov, na účely poskytovania sociálnej pomoci alebo pomoci v hmotnej
núdzi, alebo je spracúvanie nevyhnutné na účely plnenia povinností alebo
uplatnenie zákonných práv prevádzkovateľa zodpovedného za spracúvanie v
oblasti pracovného práva a v službách zamestnanosti a ak to
prevádzkovateľovi vyplýva z osobitného zákona.13a)
(2) Písomný súhlas dotknutej osoby daný podľa odseku 1 je neplatný, ak jeho poskytnutie vylučuje osobitný zákon.
(3)
Ustanovenie § 8 ods. 4 sa nepoužije, ak sa spracúvajú biometrické údaje
s výnimkou analýzy deoxyribonukleovej kyseliny a profilu
deoxyribonukleovej kyseliny fyzických osôb na účely evidencie alebo
identifikácie vstupu do citlivých, osobitne chránených objektov,
vyhradených priestorov alebo prístupu do technických zariadení alebo
prístrojov s vysokou mierou rizika a ak ide výlučne o vnútornú potrebu
prevádzkovateľa.
§ 10
Získavanie osobných údajov
(1)
Prevádzkovateľ, ktorý mieni získať od dotknutej osoby jej osobné údaje,
je povinný najneskôr pri ich získavaní informovať dotknutú osobu a bez
vyzvania jej vopred oznámiť
a) názov a sídlo alebo trvalý pobyt
prevádzkovateľa; ak za prevádzkovateľa so sídlom alebo s trvalým
pobytom v tretej krajine koná na území Slovenskej republiky zástupca
prevádzkovateľa, aj jeho názov a sídlo alebo trvalý pobyt,
b) názov
a sídlo alebo trvalý pobyt sprostredkovateľa, ak v mene prevádzkovateľa
alebo zástupcu prevádzkovateľa získava osobné údaje sprostredkovateľ; v
takomto prípade je povinný včas oznámiť dotknutej osobe informácie
podľa tohto odseku sprostredkovateľ,
c) účel spracúvania osobných údajov a
d) ďalšie doplňujúce informácie v takom rozsahu, v akom sú s ohľadom na
všetky okolnosti spracúvania osobných údajov potrebné pre dotknutú
osobu na zaručenie jej práv a právom chránených záujmov, najmä právo byť
informovaná o podmienkach spracúvania svojich osobných údajov
1.
preukázanie totožnosti oprávnenej osoby, ktorá získava osobné údaje
alebo preukázanie príslušnosti oprávnenej osoby hodnoverným dokladom k
tomu subjektu, v mene ktorého koná; oprávnená osoba je povinná takejto
žiadosti dotknutej osoby bez zbytočného odkladu vyhovieť,
2.
poučenie o dobrovoľnosti alebo povinnosti poskytnúť požadované osobné
údaje; ak sa dotknutá osoba sama rozhoduje o poskytnutí svojich osobných
údajov, prevádzkovateľ oznámi dotknutej osobe, na základe akého
právneho podkladu mieni spracúvať jej osobné údaje; ak dotknutej osobe
povinnosť poskytnúť osobné údaje vyplýva z osobitného zákona,
prevádzkovateľ oznámi dotknutej osobe zákon, ktorý jej túto povinnosť
ukladá a upovedomí ju o následkoch odmietnutia poskytnúť osobné údaje,
3. tretie strany, ak sa predpokladá alebo je zrejmé, že im budú osobné údaje poskytnuté,
4. okruh príjemcov, ak sa predpokladá alebo je zrejmé, že im budú osobné údaje sprístupnené,
5. formu zverejnenia, ak majú byť osobné údaje zverejnené,
6. tretie krajiny, ak sa predpokladá alebo je zrejmé, že sa do týchto krajín uskutoční prenos osobných údajov,
7. poučenie o existencii práv dotknutej osoby.
(2)
Ak osobné údaje o dotknutej osobe nezískal prevádzkovateľ priamo od
tejto dotknutej osoby, je povinný bez zbytočného odkladu, najneskôr však
v čase pred ich prvým poskytnutím tretej strane, ak sa takéto
poskytovanie predpokladalo už pri získavaní osobných údajov, oznámiť
dotknutej osobe informácie podľa odseku 1 písm. a) až c) a ďalšie
doplňujúce informácie v takom rozsahu, v akom sú s ohľadom na všetky
okolnosti spracúvania osobných údajov potrebné pre dotknutú osobu na
zaručenie jej práv a právom chránených záujmov, najmä právo byť
informovaná o podmienkach spracúvania svojich osobných údajov
a) poučenie o možnosti rozhodnúť o spracúvaní získaných osobných údajov,
b) zoznam osobných údajov,
c) tretie strany, ak sa predpokladá alebo je zrejmé, že im budú osobné údaje poskytnuté,
d) okruh príjemcov, ak sa predpokladá alebo je zrejmé, že im budú osobné údaje sprístupnené,
e) formu zverejnenia, ak majú byť osobné údaje zverejnené,
f) tretie krajiny, ak sa predpokladá alebo je zrejmé, že sa do týchto krajín uskutoční prenos osobných údajov,
g) poučenie o existencii práv dotknutej osoby.
(3)
Informácie podľa odseku 1 netreba dotknutej osobe oznamovať, ak s
ohľadom na všetky okolnosti vie prevádzkovateľ úradu kedykoľvek na jeho
žiadosť preukázať, že v čase získavania osobných údajov boli všetky
potrebné informácie dotknutej osobe už známe. Informácie podľa odseku 2
netreba dotknutej osobe oznamovať, ak
a) s ohľadom na všetky
okolnosti vie prevádzkovateľ úradu kedykoľvek na jeho žiadosť preukázať,
že všetky potrebné informácie boli v čase rozhodujúcej udalosti
dotknutej osobe už známe,
b) spracúvanie osobných údajov umožňuje osobitný zákon alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná,
c) predmetom spracúvania sú výlučne zverejnené osobné údaje, alebo
d) spracúvané osobné údaje sú určené na účely tvorby umeleckých alebo
literárnych diel alebo pre potreby informovania verejnosti
masovokomunikačnými prostriedkami za podmienok ustanovených v § 7 ods. 4
písm. a) časti vety pred bodkočiarkou, ako aj na historický výskum
alebo vedecký výskum a vývoj, alebo sú určené na účely štátnej
štatistiky a ak vzhľadom na všetky okolnosti vie prevádzkovateľ úradu
kedykoľvek na jeho žiadosť preukázať, že poskytnutie takýchto informácií
je objektívne nemožné alebo by si vyžiadalo neúmerne vysoké náklady a
mimoriadne úsilie.
(4) Prevádzkovateľ, ktorý získava osobné údaje
na účely identifikácie fyzickej osoby pri jej jednorazovom vstupe do
jeho priestorov, je oprávnený od nej požadovať meno, priezvisko, titul a
číslo občianskeho preukazu14) alebo číslo služobného preukazu, alebo
číslo cestovného dokladu, 15) štátnu príslušnosť a preukázanie
pravdivosti poskytnutých osobných údajov predkladaným dokladom. Ak sa
fyzická osoba preukáže podľa osobitného zákona, 16) je prevádzkovateľ
oprávnený od nej požadovať len evidenčné číslo služobného preukazu. V
týchto prípadoch sa odsek 1 nepoužije.
(5) Prevádzkovateľ alebo
sprostredkovateľ, ktorý v priestoroch prístupných verejnosti získava,
poskytuje alebo sprístupňuje osobné údaje, zabezpečí diskrétnosť pri ich
spracúvaní.
(6) Získavať osobné údaje nevyhnutné na dosiahnutie
účelu spracúvania kopírovaním, skenovaním alebo iným zaznamenávaním
úradných dokladov na nosič informácií možno len vtedy, ak s tým dotknutá
osoba písomne súhlasí alebo ak to osobitný zákon výslovne umožňuje bez
súhlasu dotknutej osoby.17) Súhlas dotknutej osoby si prevádzkovateľ ani
sprostredkovateľ nesmú vynucovať ani podmieňovať hrozbou odmietnutia
zmluvného vzťahu, služby, tovaru alebo povinnosti ustanovenej
prevádzkovateľovi alebo sprostredkovateľovi zákonom.
(7) Priestor
prístupný verejnosti možno monitorovať pomocou videozáznamu alebo
audiozáznamu len na účely verejného poriadku a bezpečnosti, odhaľovania
kriminality alebo narušenia bezpečnosti štátu, a to len vtedy, ak
priestor je zreteľne označený ako monitorovaný. Označenie monitorovaného
priestoru sa nevyžaduje, ak tak ustanovuje osobitný zákon. Vyhotovený
záznam možno využiť len na účely trestného konania alebo konania o
priestupkoch, ak osobitný zákon neustanovuje inak.
(8)
Prevádzkovateľ, ktorý získa osobné údaje uvedené v § 7 ods. 4 písm. d)
bez vedomia dotknutej osoby alebo priamo od nej, poskytne jej pri prvom
kontakte informácie podľa odseku 1 a ak sú spracúvané na účely priameho
marketingu, oboznámi ju aj s právom písomne namietať proti ich
poskytovaniu a využívaniu v poštovom styku.
(9) Prevádzkovatelia,
ktorých predmetom činnosti je priamy marketing, vedú zoznam
poskytnutých osobných údajov podľa § 7 ods. 4 písm. d) v rozsahu meno,
priezvisko, titul a adresa dotknutej osoby, dátum ich poskytnutia,
prípadne dátum, od ktorého platí zákaz ich ďalšieho poskytovania podľa §
13 ods. 6, a názov právnickej osoby alebo fyzickej osoby, ktorej boli
uvedené osobné údaje poskytnuté. Zoznam v rovnakom rozsahu vedú aj
právnické osoby a fyzické osoby, ktorým boli tieto osobné údaje
poskytnuté.
§ 11
Pravdivosť osobných údajov
Do
informačného systému možno poskytnúť len pravdivé osobné údaje. Za
nepravdivosť osobných údajov zodpovedá ten, kto ich do informačného
systému poskytol.
§ 12
Správnosť a aktuálnosť osobných údajov
(1)
Správnosť a aktuálnosť osobných údajov zabezpečuje prevádzkovateľ. Za
správny sa považuje taký osobný údaj, ktorý sa poskytol v súlade s § 11.
(2) Osobný údaj sa považuje za správny, kým sa nepreukáže opak.
§ 13
Likvidácia osobných údajov
(1) Prevádzkovateľ po splnení účelu spracúvania zabezpečí bezodkladne likvidáciu osobných údajov.
(2)
Prevádzkovateľ zabezpečí bezodkladne likvidáciu osobných údajov okrem
osobných údajov uvedených v § 7 ods. 4 písm. d) aj vtedy, ak
a) zanikli dôvody, ktoré neumožňovali získať súhlas dotknutej osoby (§ 7 ods. 12), a súhlas nebol daný, alebo
b) dotknutá osoba uplatní námietku podľa § 20 ods. 3 písm. a); ďalej prevádzkovateľ postupuje podľa odseku 5.
(3) Odsek 1 sa nepoužije, ak
a) osobitný zákon ustanovuje lehotu, 18) ktorá neumožňuje osobné údaje
bezodkladne zlikvidovať; prevádzkovateľ zabezpečí likvidáciu osobných
údajov bezodkladne po uplynutí zákonom ustanovenej lehoty,
b) sú osobné údaje súčasťou archívnych dokumentov, 19)
c) sa písomný, obrazový, zvukový alebo iný záznam obsahujúci osobné
údaje zaradí do predarchívnej starostlivosti;20) počas predarchívnej
starostlivosti sa nesmú vykonávať žiadne operácie spracúvania s osobnými
údajmi s výnimkou ich uchovávania a využiť ich možno len na účely
občianskoprávneho konania, trestného konania alebo správneho konania.
(4)
Úschovné lehoty písomných, obrazových, zvukových a iných záznamov,
ktoré obsahujú osobné údaje a sú zaradené do predarchívnej
starostlivosti, možno stanoviť len na dobu nevyhnutnú na uplatnenie práv
alebo povinností ustanovených zákonom.21)
(5) Ak dotknutá osoba
uplatní námietku podľa § 20 ods. 3 písm. b), prevádzkovateľ bezodkladne
skončí využívanie osobných údajov uvedených v § 7 ods. 4 písm. d) v
poštovom styku.
(6) Ak dotknutá osoba uplatní námietku podľa § 20
ods. 3 písm. c), prevádzkovateľ to bezodkladne písomne oznámi každému,
komu osobné údaje uvedené v § 7 ods. 4 písm. d) poskytol; zákaz ďalšieho
poskytovania tu uvedených osobných údajov platí pre prevádzkovateľa a
každého, komu ich prevádzkovateľ poskytol odo dňa nasledujúceho po dni
doručenia námietky dotknutej osoby, prípadne doručenia písomného
oznámenia prevádzkovateľa.
(7) Ak vyhotovený záznam podľa § 10
ods. 7 nie je využitý na účely trestného konania alebo konania o
priestupkoch, ten, kto ho vyhotovil, ho zlikviduje najneskôr v lehote
siedmich dní odo dňa nasledujúceho po dni, v ktorom bol záznam
vyhotovený, ak osobitný zákon neustanovuje inak.
§ 14
Oznámenie o vykonaní opravy alebo likvidácie
(1)
Opravu alebo likvidáciu osobných údajov oznámi prevádzkovateľ do 30 dní
od ich vykonania dotknutej osobe a každému, komu ich poskytol.
(2) Od oznámenia možno upustiť, ak sa neoznámením opravy alebo likvidácie osobných údajov neporušia práva dotknutej osoby.
DRUHÁ HLAVA
BEZPEČNOSŤ OSOBNÝCH ÚDAJOV
§ 15
Zodpovednosť za bezpečnosť osobných údajov
(1)
Za bezpečnosť osobných údajov zodpovedá prevádzkovateľ a
sprostredkovateľ tým, že ich chráni pred náhodným, ako aj nezákonným
poškodením a zničením, náhodnou stratou, zmenou, nedovoleným prístupom a
sprístupnením, ako aj pred akýmikoľvek inými neprípustnými formami
spracúvania. Na tento účel prijme primerané technické, organizačné a
personálne opatrenia zodpovedajúce spôsobu spracúvania, pričom berie do
úvahy najmä
a) použiteľné technické prostriedky,
b) rozsah možných rizík, ktoré sú spôsobilé narušiť bezpečnosť alebo funkčnosť informačného systému,
c) dôvernosť a dôležitosť spracúvaných osobných údajov.
(2)
Opatrenia podľa odseku 1 prijme prevádzkovateľ a sprostredkovateľ vo
forme bezpečnostného projektu informačného systému (ďalej len
bezpečnostný projekt ) a zabezpečí jeho vypracovanie, ak
a) sú v
informačnom systéme spracúvané osobitné kategórie osobných údajov podľa
§ 8 a informačný systém je prepojený na verejne prístupnú počítačovú
sieť alebo je prevádzkovaný v počítačovej sieti, ktorá je prepojená na
verejne prístupnú počítačovú sieť,
b) sú v informačnom systéme
spracúvané osobitné kategórie osobných údajov podľa § 8; v tomto prípade
prevádzkovateľ a sprostredkovateľ len zdokumentuje prijaté technické,
organizačné a personálne opatrenia v rozsahu, ktorý ustanovuje § 16 ods.
3 písm. c) a ods. 6, alebo
c) informačný systém slúži na
zabezpečenie verejného záujmu podľa § 2 ods. 1; ustanovenie § 16 sa pri
vypracúvaní bezpečnostného projektu nepoužije len vtedy, ak pre
konkrétny prípad je tu súčasne povinnosť vypracovať bezpečnostný projekt
podľa osobitného zákona.21a)
(3) Na požiadanie úradu
prevádzkovateľ a sprostredkovateľ preukážu rozsah a obsah prijatých
technických, organizačných a personálnych opatrení podľa odseku 1 alebo
2.
(4) Ak sú predmetom kontroly informačné systémy podľa odseku
2, úrad má právo požadovať od prevádzkovateľa alebo sprostredkovateľa
predloženie hodnotiacej správy o výsledku auditu bezpečnosti
informačného systému (ďalej len hodnotiaca správa ), ak sú vážne
pochybnosti o jeho bezpečnosti alebo o praktickom uplatňovaní opatrení
uvedených v bezpečnostnom projekte. Hodnotiacu správu, nie staršiu ako
dva roky, bezodkladne predloží prevádzkovateľ alebo sprostredkovateľ
úradu, inak zabezpečí vykonanie auditu bezpečnosti informačného systému
na vlastné náklady a predloží hodnotiacu správu najneskôr do troch
mesiacov odo dňa uloženia povinnosti.
(5) Audit bezpečnosti
informačného systému môže vykonať iba externá, odborne spôsobilá
právnická osoba alebo fyzická osoba, ktorá sa nepodieľala na vypracovaní
bezpečnostného projektu predmetného informačného systému, a nie sú
pochybnosti o jej nezaujatosti.
§ 16
Bezpečnostný projekt
(1)
Bezpečnostný projekt vymedzuje rozsah a spôsob technických,
organizačných a personálnych opatrení potrebných na eliminovanie a
minimalizovanie hrozieb a rizík pôsobiacich na informačný systém z
hľadiska narušenia jeho bezpečnosti, spoľahlivosti a funkčnosti.
(2)
Bezpečnostný projekt sa spracúva v súlade so základnými pravidlami
bezpečnosti informačného systému vydanými bezpečnostnými štandardmi,
právnymi predpismi a medzinárodnými zmluvami, ktorými je Slovenská
republika viazaná.
(3) Bezpečnostný projekt obsahuje najmä
a) bezpečnostný zámer,
b) analýzu bezpečnosti informačného systému,
c) bezpečnostné smernice.
(4)
Bezpečnostný zámer vymedzuje základné bezpečnostné ciele, ktoré je
potrebné dosiahnuť na ochranu informačného systému pred ohrozením jeho
bezpečnosti, a obsahuje najmä
a) formuláciu základných bezpečnostných cieľov a minimálne požadovaných bezpečnostných opatrení,
b) špecifikáciu technických, organizačných a personálnych opatrení na
zabezpečenie ochrany osobných údajov v informačnom systéme a spôsob ich
využitia,
c) vymedzenie okolia informačného systému a jeho vzťah k možnému narušeniu bezpečnosti,
d) vymedzenie hraníc určujúcich množinu zvyškových rizík.
(5) Analýza bezpečnosti informačného systému je podrobný rozbor stavu bezpečnosti informačného systému, ktorá obsahuje najmä
a) kvalitatívnu analýzu rizík, v rámci ktorej sa identifikujú hrozby
pôsobiace na jednotlivé aktíva informačného systému spôsobilé narušiť
jeho bezpečnosť alebo funkčnosť; výsledkom kvalitatívnej analýzy rizík
je zoznam hrozieb, ktoré môžu ohroziť dôvernosť, integritu a dostupnosť
spracúvaných osobných údajov, s uvedením rozsahu možného rizika, návrhov
opatrení, ktoré eliminujú alebo minimalizujú vplyv rizík, a s
vymedzením súpisu nepokrytých rizík,
b) použitie bezpečnostných
štandardov a určenie iných metód a prostriedkov ochrany osobných údajov;
súčasťou analýzy bezpečnosti informačného systému je posúdenie zhody
navrhnutých bezpečnostných opatrení s použitými bezpečnostnými
štandardmi, metódami a prostriedkami.
(6) Bezpečnostné smernice
upresňujú a aplikujú závery vyplývajúce z bezpečnostného projektu na
konkrétne podmienky prevádzkovaného informačného systému a obsahujú
najmä
a) popis technických, organizačných a personálnych
opatrení vymedzených v bezpečnostnom projekte a ich využitie v
konkrétnych podmienkach,
b) rozsah oprávnení a popis povolených
činností jednotlivých oprávnených osôb, spôsob ich identifikácie a
autentizácie pri prístupe k informačnému systému,
c) rozsah zodpovednosti oprávnených osôb a osoby zodpovednej za dohľad nad ochranou osobných údajov (§ 19),
d) spôsob, formu a periodicitu výkonu kontrolných činností zameraných na dodržiavanie bezpečnosti informačného systému,
e) postupy pri haváriách, poruchách a iných mimoriadnych situáciách
vrátane preventívnych opatrení na zníženie vzniku mimoriadnych situácií a
možností efektívnej obnovy stavu pred haváriou.
§ 17
Poučenie
Prevádzkovateľ
alebo sprostredkovateľ je povinný poučiť oprávnené osoby o právach a
povinnostiach ustanovených týmto zákonom a o zodpovednosti za ich
porušenie. Poučenie vykoná prevádzkovateľ alebo sprostredkovateľ pred
vydaním prvého pokynu oprávnenej osobe na vykonanie akejkoľvek
spracovateľskej operácie s osobnými údajmi. Oprávnená osoba poučenie
potvrdí svojím podpisom; o poučení prevádzkovateľ alebo sprostredkovateľ
vedie písomný záznam.
§ 18
Povinnosť mlčanlivosti
(1)
Prevádzkovateľ a sprostredkovateľ sú povinní zachovávať mlčanlivosť o
osobných údajoch, ktoré spracúvajú. Povinnosť mlčanlivosti trvá aj po
ukončení spracovania. Povinnosť mlčanlivosti nemajú, ak je to podľa
osobitného zákona nevyhnutné na plnenie úloh orgánov činných v trestnom
konaní; tým nie sú dotknuté ustanovenia osobitných zákonov.22)
(2)
Oprávnená osoba je povinná zachovávať mlčanlivosť o osobných údajoch, s
ktorými príde do styku; tie nesmie využiť ani pre osobnú potrebu a bez
súhlasu prevádzkovateľa ich nesmie zverejniť a nikomu poskytnúť ani
sprístupniť.
(3) Povinnosť mlčanlivosti podľa odseku 2 platí aj
pre iné fyzické osoby, ktoré v rámci svojej činnosti (napr. údržba a
servis technických prostriedkov) prídu do styku s osobnými údajmi u
prevádzkovateľa alebo sprostredkovateľa.
(4) Povinnosť
mlčanlivosti podľa odseku 2 trvá aj po zániku funkcie oprávnenej osoby
alebo po skončení jej pracovného pomeru alebo obdobného pracovného
vzťahu, ako aj štátnozamestnaneckého pomeru alebo vzťahu podľa odseku 3.
(5)
Odseky 1 až 4 a ustanovená povinnosť mlčanlivosti prevádzkovateľov,
sprostredkovateľov a oprávnených osôb podľa osobitných predpisov23) sa
nepoužijú vo vzťahu k úradu pri plnení jeho úloh (§ 38 až 44).
§ 19
Dohľad nad ochranou osobných údajov
(1) Za výkon dohľadu nad ochranou osobných údajov spracúvaných podľa tohto zákona zodpovedá prevádzkovateľ.
(2)
Ak prevádzkovateľ zamestnáva viac ako päť osôb, výkonom dohľadu písomne
poverí zodpovednú osobu alebo viaceré zodpovedné osoby, ktoré dozerajú
na dodržiavanie zákonných ustanovení pri spracúvaní osobných údajov.
(3)
Odborné vyškolenie zodpovednej osoby alebo viacerých zodpovedných osôb
zabezpečí prevádzkovateľ. Rozsah odborného školenia zodpovedá najmä
obsahu tohto zákona a úlohám z neho vyplývajúcim, ako aj obsahu
medzinárodných zmlúv o ochrane osobných údajov, 24) ktoré boli vyhlásené
spôsobom ustanoveným zákonom. Úrad môže od prevádzkovateľa žiadať
podanie dôkazu o vykonanom odbornom školení.
(4) Zodpovedná osoba
posúdi pred začatím spracúvania osobných údajov v informačnom systéme,
či ich spracúvaním nevzniká nebezpečenstvo narušenia práv a slobôd
dotknutých osôb. Zistenie narušenia práv a slobôd dotknutých osôb pred
začatím spracúvania alebo porušenia zákonných ustanovení v priebehu
spracúvania osobných údajov zodpovedná osoba bezodkladne písomne oznámi
prevádzkovateľovi; ak prevádzkovateľ po upozornení bezodkladne nevykoná
nápravu, oznámi to zodpovedná osoba úradu.
(5) Prevádzkovateľ,
ktorý písomne poveril výkonom dohľadu nad ochranou osobných údajov
zodpovednú osobu, je povinný o tom písomne informovať úrad bez
zbytočného odkladu, najneskôr do 30 dní odo dňa poverenia zodpovednej
osoby doporučenou zásielkou. Prevádzkovateľ oznámi úradu tieto údaje:
a) názov, sídlo alebo trvalý pobyt, právnu formu a identifikačné číslo prevádzkovateľa alebo zástupcu prevádzkovateľa,
b) titul, meno, priezvisko a dátum narodenia zodpovednej osoby,
c) pracovné zaradenie zodpovednej osoby,
d) dátum začiatku platnosti písomného poverenia zodpovednej osoby,
e) vyhlásenie prevádzkovateľa o tom, že zodpovedná osoba spĺňa podmienky ustanovené v odseku 12.
(6)
Prevádzkovateľ oznámi úradu poverenie jednej zodpovednej osoby, a to aj
vtedy, ak výkonom dohľadu nad ochranou osobných údajov súčasne poveril
viac zodpovedných osôb. Ak prevádzkovateľ nahradí zodpovednú osobu,
ktorú nahlásil úradu, inou zodpovednou osobou, postupuje podľa odseku 5.
(7) Zodpovedná osoba zabezpečuje
a) potrebnú súčinnosť s úradom pri plnení úloh patriacich do jeho
pôsobnosti; na požiadanie je zodpovedná osoba povinná úradu kedykoľvek
predložiť svoje písomné poverenie, písomné oznámenia vystavené pre
prevádzkovateľa podľa odseku 4, preukázať rozsah získaných vedomostí
odborným školením,
b) povinnosti podľa odseku 4,
c) dohľad nad plnením základných povinností prevádzkovateľa podľa § 6,
d) poučenie oprávnených osôb podľa § 17,
e) vybavovanie žiadostí dotknutých osôb podľa § 20 až 22,
f) realizáciu technických, organizačných a personálnych opatrení a
dohliada na ich aplikáciu v praxi; ak je prevádzkovateľ povinný
vypracovať bezpečnostný projekt v súlade s § 16 alebo dokumentáciu podľa
§ 15 ods. 2 písm. b), zabezpečuje ich vypracovanie,
g) dohľad pri
výbere sprostredkovateľa podľa § 5 ods. 3 a 4, prípravu písomnej zmluvy
alebo písomného poverenia pre sprostredkovateľa v súlade s § 5 ods. 2 a
zodpovedá za jeho obsah; počas trvania zmluvného vzťahu alebo poverenia
preveruje dodržiavanie dohodnutých podmienok,
h) dohľad nad cezhraničným tokom osobných údajov,
i) prihlásenie informačných systémov na osobitnú registráciu a
oznamovanie zmien a odhlásenie informačných systémov z osobitnej
registrácie; o informačných systémoch, ktoré nepodliehajú registrácii,
vedie evidenciu v rozsahu ustanovenom týmto zákonom podľa § 29 a 30 a
zabezpečuje jej sprístupnenie komukoľvek, kto o to požiada v súlade s §
32.
(8) Prevádzkovateľ, ktorý zamestnáva menej ako šesť osôb,
môže výkonom dohľadu nad ochranou osobných údajov písomne poveriť
zodpovednú osobu, ktorá dozerá na dodržiavanie zákonných ustanovení pri
spracúvaní osobných údajov.
(9) Prevádzkovateľ, ktorý zamestnáva
menej ako šesť osôb a výkonom dohľadu nad ochranou osobných údajov
písomne nepoveril zodpovednú osobu, je povinný prihlásiť na registráciu
tie informačné systémy, ktoré podľa tohto zákona podliehajú registrácii
podľa § 25.
(10) Prevádzkovateľ je povinný umožniť zodpovednej
osobe nezávislý výkon dohľadu nad ochranou osobných údajov a prijať jej
oprávnené návrhy; upozornenie na nedostatky alebo vyslovenie požiadavky
zodpovednou osobou v súvislosti s plnením jej povinností podľa odseku 7
sa nesmie stať podnetom ani dôvodom na konanie zo strany
prevádzkovateľa, ktoré by zodpovednej osobe spôsobilo ujmu.
(11)
Úrad je oprávnený uložiť prevádzkovateľovi povinnosť písomne poveriť
dohľadom nad ochranou osobných údajov inú zodpovednú osobu, ak sa
preukáže, že písomne poverená zodpovedná osoba neplnila alebo
nedostatočne plnila povinnosti podľa odseku 7, alebo práva a povinnosti
uložené prevádzkovateľovi týmto zákonom nesprávne posudzovala alebo ich
nesprávne uplatňovala v praxi, alebo nespĺňa podmienky ustanovené v
odseku 12. Prevádzkovateľ je povinný bez zbytočného odkladu úradu
vyhovieť a dohľadom písomne poveriť inú zodpovednú osobu; ak tomu bránia
dôvody hodné osobitného zreteľa, ktoré vie prevádzkovateľ úradu
hodnoverne preukázať, úrad určí prevádzkovateľovi lehotu, dokedy je
povinný vymeniť zodpovednú osobu, prípadne prihlásiť informačné systémy
na registráciu.
(12) Zodpovednou osobou môže byť len fyzická
osoba, ktorá má spôsobilosť na právne úkony v plnom rozsahu a spĺňa
podmienku bezúhonnosti podľa § 35 ods. 4 prvej vety; bezúhonnosť sa
preukazuje doložením výpisu z registra trestov nie starším ako tri
mesiace, ktorý je prevádzkovateľ povinný uchovávať počas doby výkonu
funkcie zodpovednej osoby. Zodpovednou osobou nemôže byť fyzická osoba,
ktorá je štatutárnym orgánom prevádzkovateľa a fyzická osoba, ktorá je
oprávnená konať v mene štatutárneho orgánu prevádzkovateľa. Zodpovedná
osoba má postavenie oprávnenej osoby prevádzkovateľa.
TRETIA HLAVA
OCHRANA PRÁV DOTKNUTÝCH OSÔB
§ 20
Práva dotknutej osoby
(1) Dotknutá osoba má právo na základe písomnej žiadosti od prevádzkovateľa vyžadovať
a) vo všeobecne zrozumiteľnej forme informácie o stave spracúvania
svojich osobných údajov v informačnom systéme v rozsahu podľa § 26 ods.
3; pri vydaní rozhodnutia podľa odseku 4 písm. b) je dotknutá osoba
oprávnená oboznámiť sa s postupom spracúvania a vyhodnocovania operácií,
b) vo všeobecne zrozumiteľnej forme presné informácie o zdroji, z ktorého získal jej osobné údaje na spracúvanie,
c) vo všeobecne zrozumiteľnej forme odpis jej osobných údajov, ktoré sú predmetom spracúvania,
d) opravu jej nesprávnych, neúplných alebo neaktuálnych osobných údajov, ktoré sú predmetom spracúvania,
e) likvidáciu jej osobných údajov, ak bol splnený účel ich spracúvania
podľa § 13 ods. 1; ak sú predmetom spracúvania úradné doklady obsahujúce
osobné údaje, môže požiadať o ich vrátenie,
f) likvidáciu jej osobných údajov, ktoré sú predmetom spracúvania, ak došlo k porušeniu zákona.
(2)
Právo dotknutej osoby možno obmedziť len podľa odseku 1 písm. d) a e),
ak takéto obmedzenie vyplýva z osobitného zákona alebo jeho uplatnením
by bola porušená ochrana dotknutej osoby, alebo by boli porušené práva a
slobody iných osôb.
(3) Dotknutá osoba na základe bezplatnej písomnej žiadosti má právo u prevádzkovateľa namietať voči
a) spracúvaniu jej osobných údajov, o ktorých predpokladá, že sú alebo
budú spracúvané na účely priameho marketingu bez jej súhlasu a žiadať
ich likvidáciu,
b) využívaniu osobných údajov uvedených v § 7 ods. 4 písm. d) na účely priameho marketingu v poštovom styku, alebo
c) poskytovaniu osobných údajov uvedených v § 7 ods. 4 písm. d) na účely priameho marketingu.
(4)
Dotknutá osoba na základe bezplatnej písomnej žiadosti alebo osobne, ak
vec neznesie odklad, má právo u prevádzkovateľa kedykoľvek namietať
a) voči spracúvaniu osobných údajov v prípadoch podľa § 7 ods. 4 písm.
a), e), f) alebo g) vyslovením oprávnených dôvodov alebo predložením
dôkazov o neoprávnenom zasahovaní do jej práv a právom chránených
záujmov, ktoré sú alebo môžu byť v konkrétnom prípade takýmto
spracúvaním osobných údajov poškodené; ak tomu nebránia zákonné dôvody a
preukáže sa, že námietka dotknutej osoby je oprávnená, prevádzkovateľ
je povinný osobné údaje, ktorých spracúvanie dotknutá osoba namietala,
bez zbytočného odkladu blokovať a zlikvidovať ihneď, ako to okolnosti
dovolia,
b) a nepodrobiť sa rozhodnutiu prevádzkovateľa, ktoré by
malo pre ňu právne účinky alebo významný dosah, ak sa takéto rozhodnutie
vydá výlučne na základe úkonov automatizovaného spracúvania jej
osobných údajov. Dotknutá osoba má právo žiadať prevádzkovateľa o
preskúmanie vydaného rozhodnutia metódou odlišnou od automatizovanej
formy spracúvania, pričom prevádzkovateľ je povinný žiadosti dotknutej
osoby vyhovieť, a to tak, že rozhodujúcu úlohu pri preskúmaní
rozhodnutia bude mať oprávnená osoba; o spôsobe preskúmania a výsledku
zistenia prevádzkovateľ informuje dotknutú osobu v lehote podľa § 21
ods. 3. Dotknutá osoba nemá toto právo iba v prípade, ak to ustanovuje
osobitný zákon, v ktorom sú opatrenia na zabezpečenie oprávnených
záujmov dotknutej osoby, alebo ak rozhodnutie bolo prijaté v priebehu
uzatvárania alebo plnenia zmluvy uzatváranej medzi prevádzkovateľom a
dotknutou osobou za predpokladu, že sa vyhovelo požiadavke dotknutej
osoby, ktorá je obsahom zmluvy, alebo dotknutej osobe bolo na základe
dohody udelené právo kedykoľvek počas platnosti zmluvy uplatniť svoj
názor.
(5) Dotknutá osoba má právo nesúhlasiť s rozhodnutím
prevádzkovateľa podľa § 23 ods. 5 a odmietnuť prenos svojich osobných
údajov do tretej krajiny, ktorá nezaručuje primeranú úroveň ochrany
osobných údajov, ak sa má prenos vykonať na základe § 23 ods. 4 písm.
a).
(6) Dotknutá osoba pri podozrení, že jej osobné údaje sa neoprávnene spracúvajú, môže podať o tom oznámenie úradu.
(7) Ak dotknutá osoba nemá spôsobilosť na právne úkony v plnom rozsahu, 8) jej práva môže uplatniť zákonný zástupca.9)
(8) Ak dotknutá osoba nežije, jej práva, ktoré mala podľa tohto zákona, môže uplatniť blízka osoba.10)
§ 21
Poskytnutie informácií dotknutej osobe
(1) Požiadavky dotknutej osoby podľa § 20 ods. 1 písm. a), d) až f) splní prevádzkovateľ bezplatne.
(2)
Informácie podľa § 20 ods. 1 písm. b) a c) prevádzkovateľ poskytne
dotknutej osobe bezplatne s výnimkou úhrady vo výške, ktorá nesmie
prekročiť výšku materiálnych nákladov spojených so zhotovením kópií, so
zadovážením technických nosičov a s odoslaním informácie dotknutej
osobe, ak osobitný zákon neustanovuje inak.26)
(3) Prevádzkovateľ
vyhovie požiadavkám dotknutej osoby podľa § 20 a písomne ju informuje
najneskoršie do 30 dní od ich prijatia.
§ 22
Oznámenie o obmedzení práv dotknutej osoby
Obmedzenie
práv dotknutej osoby podľa § 20 ods. 1 písm. d) a e) prevádzkovateľ
bezodkladne písomne oznámi dotknutej osobe a úradu.
ŠTVRTÁ HLAVA
CEZHRANIČNÝ TOK OSOBNÝCH ÚDAJOV
§ 23
Prenos osobných údajov do tretích krajín
(1)
Ak tretia krajina zaručuje primeranú úroveň ochrany osobných údajov,
prenos osobných údajov do tejto tretej krajiny možno vykonať za
predpokladu, že dotknutej osobe boli poskytnuté informácie podľa § 10
ods. 1 alebo 2, alebo bola splnená niektorá z podmienok uvedených v § 10
ods. 3.
(2) Primeranosť úrovne ochrany osobných údajov sa
hodnotí na základe všetkých okolností súvisiacich s prenosom. Osobitne
sa pri tom posudzujú príslušné právne predpisy v cieľovej krajine vo
vzťahu k povahe osobných údajov, účel a trvanie ich spracúvania.
(3)
Prenos osobných údajov do tretej krajiny, ktorá nezaručuje primeranú
úroveň ochrany osobných údajov, možno vykonať len vtedy, ak sa takýto
prenos uskutočňuje na základe rozhodnutia Európskej komisie alebo ak je
splnená niektorá z podmienok uvedených v odseku 4.
(4) V prípade, že cieľová krajina nezaručuje primeranú úroveň ochrany, možno prenos vykonať pod podmienkou, že
a) dotknutá osoba dala naň písomný súhlas s vedomím, že cieľová krajina nezaručuje primeranú úroveň ochrany,
b) je nevyhnutný na plnenie zmluvy medzi dotknutou osobou a
prevádzkovateľom alebo na zavedenie predzmluvných opatrení na žiadosť
dotknutej osoby,
c) je nevyhnutný na uzavretie zmluvy alebo plnenie
zmluvy, ktorú prevádzkovateľ uzavrel v záujme dotknutej osoby s iným
subjektom,
d) je nevyhnutný na plnenie medzinárodnej zmluvy, ktorou
je Slovenská republika viazaná, alebo vyplýva zo zákona z dôvodu
dôležitého verejného záujmu alebo pri preukazovaní, uplatňovaní alebo
obhajovaní právneho nároku,
e) je nevyhnutný na ochranu životne dôležitých záujmov dotknutej osoby, alebo
f) sa týka osobných údajov, ktoré sú súčasťou zoznamov, registrov alebo
operátov a ktoré sú vedené a verejne prístupné podľa osobitných zákonov
alebo sú podľa nich prístupné tým, ktorí preukážu právny nárok pri
splnení zákonom ustanovených podmienok na ich sprístupnenie.
(5)
Ak sa prevádzkovateľ rozhodne vykonať prenos osobných údajov do tretej
krajiny, ktorá nezaručuje primeranú úroveň ochrany až po ich získaní,
oznámi dotknutej osobe pred prenosom osobných údajov dôvod svojho
rozhodnutia a oboznámi ju s právom odmietnuť takýto prenos podľa § 20
ods. 5, ak sa má prenos vykonať pod podmienkou uvedenou v odseku 4 písm.
a); prevádzkovateľ je oprávnený vykonať navrhovaný prenos osobných
údajov až po obdržaní písomného súhlasu dotknutej osoby.
(6) Ak
prevádzkovateľ poverí spracúvaním osobných údajov subjekt v cudzine,
ktorý ich spracúva v mene prevádzkovateľa, ten je oprávnený spracúvať
osobné údaje len v rozsahu a za podmienok dojednaných s prevádzkovateľom
v písomnej zmluve. Obsah zmluvy musí byť vypracovaný v súlade so
štandardnými zmluvnými podmienkami ustanovenými na prenos osobných
údajov subjektom v cudzine, ktoré ich spracúvajú v mene prevádzkovateľa.
(7) Na prenos osobných údajov podľa odseku 6 sa vyžaduje súhlas úradu.
(8) Ten, kto vykonáva prenos osobných údajov, zaručí ich bezpečnosť (§ 15 ods. 1) aj pri tranzite.
(9)
Ochrana osobných údajov, prenesených na územie Slovenskej republiky od
subjektov so sídlom alebo s trvalým pobytom v cudzine, sa vykonáva v
súlade s týmto zákonom.
(10) V prípade pochybnosti o tom, či možno vykonať cezhraničný tok osobných údajov, rozhodne úrad. Stanovisko úradu je záväzné.
§ 23a
Prenos osobných údajov
v rámci členských štátov Európskej únie
(1)
Voľný pohyb osobných údajov medzi Slovenskou republikou a členskými
štátmi Európskej únie sa zaručuje; Slovenská republika neobmedzí ani
nezakáže prenos osobných údajov z dôvodov ochrany základných práv a
slobôd fyzických osôb, najmä ich práva na súkromie v súvislosti so
spracúvaním ich osobných údajov.
(2) Prevádzkovateľ so sídlom
alebo s trvalým pobytom na území Slovenskej republiky, ktorý zároveň
spracúva osobné údaje prostredníctvom svojej organizačnej zložky alebo
viacerých organizačných zložiek na území jedného alebo viacerých
členských štátov Európskej únie, je povinný prijať opatrenia a
zabezpečiť, aby každá jeho organizačná zložka spracúvala osobné údaje v
súlade s právnym poriadkom platným v tom členskom štáte, v ktorom má
príslušná organizačná zložka sídlo.
(3) Prevádzkovateľ, ktorý
nemá sídlo alebo trvalý pobyt na území členského štátu Európskej únie, a
na účely spracúvania osobných údajov využíva úplne alebo čiastočne
automatizované alebo iné ako automatizované prostriedky spracúvania
umiestnené na území Slovenskej republiky, pričom tieto prostriedky
spracúvania nie sú využívané výlučne len na prenos osobných údajov cez
územie členských štátov Európskej únie, je povinný pred začatím
spracúvania osobných údajov vymenovať svojho zástupcu, ktorý má sídlo
alebo trvalý pobyt na území Slovenskej republiky; tým nie je dotknuté
vnútroštátne právo tretej krajiny, v ktorej má prevádzkovateľ sídlo
alebo trvalý pobyt. Zástupca prevádzkovateľa je povinný preukázať úradu
kedykoľvek na jeho žiadosť originál dokladu svojho vymenovania za
zástupcu prevádzkovateľa. Pravosť podpisov a odtlačku pečiatky
prevádzkovateľa na origináli dokladu musí byť overená orgánom štátu
príslušným na jeho overenie alebo notárom v príslušnom štáte s odtlačkom
pečiatky zastupiteľského úradu Slovenskej republiky v tomto štáte.
PIATA HLAVA
REGISTRÁCIA A EVIDENCIA
INFORMAČNÝCH SYSTÉMOV
§ 24
Povinnosť registrácie a evidencie
Prevádzkovateľ registruje informačné systémy alebo vedie o nich evidenciu v rozsahu a za podmienok ustanovených týmto zákonom.
Registrácia
§ 25
Podmienky registrácie
(1) Registráciu informačných systémov vykonáva úrad bezplatne.
(2)
Povinnosť registrácie sa vzťahuje na všetky informačné systémy, v
ktorých sa spracúvajú osobné údaje úplne alebo čiastočne
automatizovanými prostriedkami spracúvania s výnimkou tých informačných
systémov, ktoré
a) podliehajú osobitnej registrácii podľa § 27 ods. 2,
b) podliehajú dohľadu zodpovednej osoby, ktorú písomne poveril
prevádzkovateľ podľa § 19 ods. 2 alebo 8 a ktorá vykonáva dohľad nad
ochranou osobných údajov podľa tohto zákona,
c) obsahujú osobné
údaje fyzických osôb spracúvané na účely plnenia predzmluvných vzťahov
alebo uplatňovania práv a povinností vyplývajúcich pre prevádzkovateľa z
existujúceho alebo ukončeného pracovnoprávneho vzťahu, služobného
pomeru, štátnozamestnaneckého pomeru alebo členského pomeru s týmito
fyzickými osobami vrátane osobných údajov ich blízkych osôb, 10)
d)
obsahujú osobné údaje o členstve osôb v odborovej organizácii, ktoré sú
jej členmi a ak tieto osobné údaje spracúva odborová organizácia a
využíva ich výlučne pre svoju vnútornú potrebu, alebo obsahujú osobné
údaje o náboženskej viere osôb združených v štátom uznanej cirkvi alebo
náboženskej spoločnosti a ak tieto osobné údaje spracúva cirkev alebo
náboženská spoločnosť a využíva ich výlučne pre svoju vnútornú potrebu,
alebo obsahujú osobné údaje o členstve osôb v politickej strane alebo v
politickom hnutí, ktoré sú ich členmi a ak tieto osobné údaje spracúva
politická strana alebo politické hnutie a využíva ich výlučne pre svoju
vnútornú potrebu, alebo
e) obsahujú osobné údaje potrebné na
uplatňovanie práv alebo plnenie povinností vyplývajúcich z osobitného
zákona alebo sú spracúvané na základe osobitného zákona.
(3)
Súčasťou registrácie je pridelenie registračného čísla informačnému
systému a vydanie potvrdenia o jeho registrácii; ak bola splnená
podmienka podľa § 26 ods. 2, spracúvanie osobných údajov v informačnom
systéme nie je podmienené vydaním potvrdenia o jeho registrácii.
(4) V prípade pochybnosti o tom, či informačný systém podlieha registrácii, rozhodne úrad. Stanovisko úradu je záväzné.
§ 26
Prihlásenie na registráciu
(1) Za prihlásenie informačného systému na registráciu zodpovedá jeho prevádzkovateľ.
(2) Prevádzkovateľ prihlási informačný systém na registráciu pred začatím spracúvania osobných údajov.
(3) Pri prihlasovaní informačného systému na registráciu prevádzkovateľ uvedie tieto údaje:
a) názov, sídlo alebo trvalý pobyt, právnu formu a identifikačné číslo prevádzkovateľa,
b) meno a priezvisko štatutárneho orgánu prevádzkovateľa,
c) meno a priezvisko zodpovednej osoby vykonávajúcej dohľad nad
ochranou osobných údajov, ak sa vyžaduje jej poverenie (§ 19 ods. 2),
d) názov, sídlo alebo trvalý pobyt, právnu formu a identifikačné číslo
zástupcu prevádzkovateľa, ak koná na území Slovenskej republiky za
prevádzkovateľa so sídlom alebo trvalým pobytom v tretej krajine; v
takomto prípade sa v písmene a) uvedú údaje o prevádzkovateľovi, ktorý
vymenoval zástupcu prevádzkovateľa,
e) meno a priezvisko
štatutárneho orgánu alebo člena štatutárneho orgánu zástupcu
prevádzkovateľa; v takomto prípade sa v písmene b) uvedú údaje o
štatutárnom orgáne alebo o členovi štatutárneho orgánu prevádzkovateľa,
ktorý vymenoval zástupcu prevádzkovateľa,
f) identifikačné označenie informačného systému,
g) účel spracúvania osobných údajov,
h) zoznam osobných údajov,
i) okruh dotknutých osôb,
j) okruh príjemcov, ak sa predpokladá alebo je zrejmé, že im budú osobné údaje sprístupnené,
k) tretie strany, prípadne okruh tretích strán, ak sa predpokladá alebo je zrejmé, že im budú osobné údaje poskytnuté,
l) tretie krajiny, ak sa predpokladá alebo je zrejmé, že sa do týchto
krajín uskutoční prenos osobných údajov a právny základ cezhraničného
toku,
m) právny základ informačného systému,
n) formu zverejnenia, ak sa zverejnenie osobných údajov vykonáva,
o) všeobecnú charakteristiku opatrení na zabezpečenie ochrany osobných údajov,
p) dátum začatia spracúvania osobných údajov.
(4)
Údaje v rozsahu podľa odseku 3 sa úradu odovzdávajú v písomnej forme
potvrdené štatutárnym orgánom prevádzkovateľa alebo elektronicky vo
forme databázového súboru s doloženým výtlačkom obsahu súboru potvrdeným
štatutárnym orgánom prevádzkovateľa. Písomnú formu a formát
databázového súboru určí úrad. Doloženie výtlačku sa nepožaduje, ak
databázový súbor je opatrený elektronickým podpisom podľa osobitného
zákona.
§ 27
Podmienky osobitnej registrácie
(1) Osobitnú registráciu informačných systémov vykonáva úrad bezplatne.
(2) Osobitná registrácia sa vzťahuje na informačné systémy, v ktorých prevádzkovateľ spracúva
a) aspoň jeden z osobných údajov uvedených v § 8 ods. 1, a zároveň sa
predpokladá alebo uskutočňuje ich prenos do tretej krajiny alebo tretích
krajín, ktoré nezaručujú primeranú úroveň ochrany, na základe § 23 ods.
4 písm. a) alebo c),
b) osobné údaje na základe § 7 ods. 4 písm. g), alebo
c) osobné údaje na základe § 9 ods. 3.
(3)
Prevádzkovateľ je povinný prihlásiť informačný systém na osobitnú
registráciu na úrade pred začatím spracúvania osobných údajov.
(4)
Pri osobitnej registrácii prevádzkovateľ uvedie údaje v rozsahu podľa §
26 ods. 3 a predloží podklady, ktoré sú nevyhnutné na posúdenie
predmetného spracúvania. Na prihlásenie informačného systému na osobitnú
registráciu sa primerane vzťahuje § 26 ods. 4.
(5) Úrad posúdi
predložené údaje podľa odseku 4, preverí, či spracúvaním osobných údajov
nevzniká nebezpečenstvo narušenia práv a slobôd dotknutých osôb a
najneskôr do 60 dní odo dňa ich prijatia rozhodne o tom, či spracúvanie
osobných údajov povolí; ak pri posudzovaní predložených údajov úrad
zistí, že prihlásený informačný systém nepodlieha osobitnej registrácii,
oznámi to bez zbytočného odkladu prevádzkovateľovi.
(6) V
prípade pochybností si úrad vyžiada od prevádzkovateľa ďalšie
vysvetlenia alebo podklady. Počas tejto doby lehota podľa odseku 5
neplynie.
(7) Súčasťou osobitnej registrácie je pridelenie
registračného čísla informačnému systému a vydanie potvrdenia o jeho
registrácii; prevádzkovateľ môže začať spracúvať osobné údaje v
informačnom systéme prihlásenom na osobitnú registráciu v deň
nasledujúcom po dni, v ktorom úrad vydal potvrdenie.
(8) Na oznámenie zmien a odhlásenie informačného systému z osobitnej registrácie sa vzťahuje ustanovenie § 28.
(9)
Ak úrad spracúvanie osobných údajov v informačnom systéme prihlásenom
na osobitnú registráciu posúdi ako rizikové, zakáže prevádzkovateľovi
spracúvanie osobných údajov na daný účel. Prevádzkovateľ je povinný
rešpektovať rozhodnutie úradu a bez zbytočného odkladu vykonať
opatrenia, aby sa spracúvanie osobných údajov neuskutočnilo.
§ 28
Oznámenie zmien a odhlásenie z registrácie
(1)
Prevádzkovateľ do 15 dní písomne oznámi úradu akékoľvek zmeny údajov
podľa § 26 ods. 3 s výnimkou písmena p), ktoré nastanú v priebehu
spracúvania.
(2) Prevádzkovateľ do 15 dní odo dňa skončenia
spracúvania osobných údajov v informačnom systéme tento z registrácie
písomne odhlási. Súčasťou odhlásenia je dátum skončenia spracúvania
osobných údajov.
(3) Na oznámenie zmien údajov a odhlásenie informačného systému z registrácie sa primerane použije § 26 ods. 4.
Evidencia
§ 29
Podmienky evidencie
(1)
O informačných systémoch, ktoré nepodliehajú registrácii,
prevádzkovateľ vedie evidenciu, a to najneskôr odo dňa začatia
spracúvania údajov v týchto informačných systémoch.
(2) Odsek 1 sa nepoužije pre informačné systémy, ak
a) spracúvané osobné údaje slúžia výlučne pre potreby poštového styku s
dotknutými osobami a evidencie týchto údajov [§ 7 ods. 4 písm. d)],
alebo
b) obsahujú osobné údaje, ktoré sa spracúvajú výlučne na
účely identifikácie osôb pri ich jednorazovom vstupe do priestorov
prevádzkovateľa (§ 10 ods. 4).
§ 30
Obsah evidencie
Evidencia podľa § 29 ods. 1 obsahuje údaje uvedené v § 26 ods. 3.
Sprístupnenie
stavu registrácie a evidencie
§ 31
Verejnosť registrácie
Registrácia
vedená podľa tohto zákona je verejná v rozsahu údajov podľa § 26 ods. 3
s uvedením registračného čísla informačného systému.
§ 32
Verejnosť evidencie
Evidencia
vedená podľa tohto zákona je verejná. Údaje z evidencie prevádzkovateľ
sprístupní bezplatne komukoľvek, kto o to požiada.
TRETIA ČASŤ
ÚRAD
PRVÁ HLAVA
POSTAVENIE A PÔSOBNOSŤ ÚRADU
§ 33
Pôsobnosť úradu
(1)
Zriaďuje sa Úrad na ochranu osobných údajov Slovenskej republiky, ktorý
je orgánom štátnej správy s celoslovenskou pôsobnosťou so sídlom v
Bratislave.
(2) Úrad ako štátny orgán vykonáva dozor nad ochranou
osobných údajov nezávisle a podieľa sa na ochrane základných práv a
slobôd fyzických osôb pri spracúvaní ich osobných údajov.
(3) Ak
osobné údaje spracúvajú spravodajské služby, dozor nad ochranou
osobných údajov podľa odseku 2 vykonáva Národná rada Slovenskej
republiky podľa osobitného zákona.27)
(4) Úrad plní oznamovaciu povinnosť voči Európskej komisii v oblasti ochrany osobných údajov.
(5) Úrad prijíma opatrenia na vykonanie rozhodnutí Európskej komisie vydaných v oblasti ochrany osobných údajov.
(6) Úrad spolupracuje pri výkone dozoru nad ochranou osobných údajov s obdobnými orgánmi dozoru v zahraničí.
§ 34
Postavenie úradu
(1)
Úrad je rozpočtovou organizáciou.28) Návrh rozpočtu predkladá úrad ako
súčasť kapitoly Úradu vlády Slovenskej republiky. Schválený rozpočet
úradu môže znížiť v priebehu kalendárneho roku iba Národná rada
Slovenskej republiky.
(2) Podrobnosti o organizácii úradu upraví organizačný poriadok.
§ 35
Predseda úradu
(1) Na čele úradu je predseda úradu.
(2)
Predsedu úradu na návrh vlády Slovenskej republiky volí a odvoláva
Národná rada Slovenskej republiky. Návrh na voľbu predsedu úradu na nové
funkčné obdobie predkladá vláda Slovenskej republiky Národnej rade
Slovenskej republiky najneskôr 60 dní pred uplynutím funkčného obdobia
úradujúceho predsedu úradu. Funkčné obdobie predsedu úradu je päť rokov a
možno ho zvoliť najviac na dve po sebe nasledujúce obdobia. Predseda
úradu ostáva vo funkcii aj po uplynutí funkčného obdobia, kým Národná
rada Slovenskej republiky nezvolí predsedu úradu na nové funkčné
obdobie.
(3) Za predsedu úradu možno zvoliť občana, ktorý je
voliteľný za poslanca do Národnej rady Slovenskej republiky, je
bezúhonný, má vysokoškolské vzdelanie, má najmenej 10 rokov odbornej
praxe v oblasti informatiky alebo práva a dosiahol vek najmenej 35
rokov.
(4) Za bezúhonného občana sa na účely tohto zákona
považuje občan, ktorý nebol právoplatne odsúdený za úmyselný trestný čin
alebo za trestný čin, za ktorý mu bol uložený nepodmienečný trest
odňatia slobody. Bezúhonnosť sa preukazuje výpisom z registra trestov,
ktorý nie je starší ako tri mesiace.
(5) Predseda úradu nemôže byť členom politickej strany ani politického hnutia.
(6) Platové a ďalšie náležitosti predsedu úradu určuje vláda Slovenskej republiky podľa osobitného predpisu.29)
(7)
Počas výkonu funkcie nesmie predseda úradu podnikať ani vykonávať inú
zárobkovú činnosť s výnimkou vedeckej, pedagogickej, publicistickej,
literárnej alebo umeleckej činnosti a správy vlastného majetku a majetku
svojich maloletých detí.
(8) Počas výkonu funkcie je predseda úradu oprávnený oboznamovať sa s utajovanými skutočnosťami podľa osobitného predpisu.30)
(9)
Počas funkčného obdobia i po jeho skončení je predseda úradu povinný
zachovávať mlčanlivosť o skutočnostiach týkajúcich sa obsahu osobných
údajov, o ktorých sa dozvedel počas výkonu svojej funkcie.
(10) Od povinnosti mlčanlivosti môže predsedu úradu pre konkrétny prípad oslobodiť Národná rada Slovenskej republiky.
(11) Za svoju činnosť zodpovedá predseda úradu Národnej rade Slovenskej republiky.
(12) Pred uplynutím funkčného obdobia zaniká výkon funkcie predsedu úradu
a) vzdaním sa funkcie,
b) stratou voliteľnosti za poslanca Národnej rady Slovenskej republiky,
c) nadobudnutím právoplatnosti rozsudku, ktorým bol odsúdený za
úmyselný trestný čin alebo ktorým bol odsúdený za trestný čin a súd
nerozhodol v jeho prípade o podmienečnom odložení výkonu trestu odňatia
slobody,
d) výkonom činnosti, ktorá je nezlučiteľná s výkonom jeho funkcie, alebo
e) smrťou.
(13) Národná rada Slovenskej republiky môže odvolať z funkcie predsedu úradu,
a) ak mu zdravotný stav dlhodobo, najmenej však počas jedného roka,
nedovoľuje riadne vykonávať povinnosti vyplývajúce z jeho funkcie,
b) ak porušil povinnosť zachovávať mlčanlivosť o skutočnostiach
týkajúcich sa obsahu osobných údajov, o ktorých sa dozvedel v súvislosti
s výkonom svojej funkcie.
Predseda úradu je odvolaný z funkcie
dňom nasledujúcim po dni, keď mu bolo doručené rozhodnutie Národnej rady
Slovenskej republiky o odvolaní z funkcie.
§ 36
Podpredseda úradu
(1)
Predsedu úradu v čase jeho neprítomnosti zastupuje podpredseda úradu.
Podpredseda úradu okrem toho plní úlohy, ktorými ho poverí predseda
úradu.
(2) Podpredsedu úradu vymenúva a odvoláva vláda Slovenskej republiky na návrh predsedu úradu.
(3) Na výkon funkcie podpredsedu úradu sa primerane použijú ustanovenia § 35 ods. 3 až 5, 7, 9 a 12.
(4) Od povinnosti mlčanlivosti môže podpredsedu úradu pre konkrétny prípad oslobodiť predseda úradu.
§ 37
Vrchný inšpektor a inšpektori
(1) Činnosť inšpektorov riadi vrchný inšpektor.
(2) Inšpektori vykonávajú kontrolnú činnosť a sú vecne príslušní na plnenie úloh úradu.
(3)
Inšpektorov vymenúva a odvoláva vláda Slovenskej republiky na návrh
predsedu úradu. Za inšpektora možno vymenovať občana, ktorý je voliteľný
za poslanca Národnej rady Slovenskej republiky, je bezúhonný, má
vysokoškolské vzdelanie a najmenej trojročnú odbornú prax v oblasti
informatiky alebo práva a dosiahol vek najmenej 30 rokov. Vrchného
inšpektora vymenúva a odvoláva vláda Slovenskej republiky na návrh
predsedu úradu z radov inšpektorov, ktorí majú odbornú prax najmenej päť
rokov a dosiahli vek najmenej 35 rokov.
(4) Funkčné obdobie
vrchného inšpektora je päť rokov a do funkcie ho možno vymenovať
opakovane. Na výkon funkcie vrchného inšpektora platia primerane odseky 2
a 6 a ustanovenia § 35 ods. 4, 5, 7, 12 a 13.
(5) Na výkon
funkcie inšpektora platia primerane ustanovenia § 35 ods. 4, 5, 7, 12 a
13. Okrem dôvodov uvedených v § 35 ods. 13 možno inšpektora z funkcie
odvolať pre
a) opakované neplnenie úloh uvedených v § 38 ods. 1
písm. f) a h) alebo pre sústavné menej závažné porušovanie pracovnej
disciplíny a ak v posledných šiestich mesiacoch predseda úradu
inšpektora opakovane písomne vyzval na odstránenie nedostatkov a
inšpektor ich v primeranej lehote neodstránil, alebo
b) hrubé
zanedbanie povinnosti uloženej inšpektorovi týmto zákonom [§ 38 ods. 1
písm. f) a h)], ak nepreukáže, že zavinenie nespôsobil alebo mu nemohol
zabrániť, alebo pre hrubé porušenie pracovnej disciplíny.
(6)
Počas pracovného pomeru i po jeho skončení sú inšpektori a ďalší
zamestnanci úradu povinní zachovávať mlčanlivosť o skutočnostiach
týkajúcich sa obsahu osobných údajov, o ktorých sa dozvedeli v
súvislosti s výkonom svojej práce; použitie osobných údajov pri plnení
úloh úradu alebo v súvislosti s ich plnením v súlade s ustanoveniami
tohto zákona alebo osobitného zákona sa nepovažuje za porušenie
povinnosti mlčanlivosti. Od povinnosti mlčanlivosti môže inšpektorov a
ďalších zamestnancov úradu pre konkrétny prípad oslobodiť predseda
úradu.
DRUHÁ HLAVA
ČINNOSŤ ÚRADU
§ 38
Úlohy úradu
(1) Úrad pri výkone dozoru nad ochranou osobných údajov plní tieto úlohy:
a) priebežne sleduje stav ochrany osobných údajov, registráciu
informačných systémov a vedenie evidencie o informačných systémoch,
b) odporúča prevádzkovateľom opatrenia na zabezpečenie ochrany osobných
údajov v informačných systémoch; na tento účel vydáva v rozsahu svojej
pôsobnosti odporúčania pre prevádzkovateľov,
c) pri pochybnostiach o
tom, či spracúvané osobné údaje svojím rozsahom, obsahom a spôsobom
spracúvania a využívania zodpovedajú účelu ich spracúvania, sú s daným
účelom spracúvania zlučiteľné alebo sú časovo a vecne neaktuálne vo
vzťahu k tomuto účelu, vydáva záväzné stanovisko,
d) pri pochybnostiach o cezhraničnom toku osobných údajov vydáva záväzné stanovisko,
e) pri pochybnostiach o registrácii informačného systému vydáva záväzné stanovisko,
f) prešetruje oznámenia podané podľa § 45, alebo koná na základe
podnetu alebo z vlastnej iniciatívy podľa § 44a a na odstránenie
nedostatkov vydáva opatrenia na nápravu,
g) pri podozrení z
porušenia povinností uložených týmto zákonom môže predvolať
prevádzkovateľa alebo sprostredkovateľa s cieľom podať vysvetlenia,
h) kontroluje spracúvanie osobných údajov v informačných systémoch,
i) ukladá sankcie pri zistení porušenia povinností uvedených v tomto zákone,
j) podáva oznámenie31) orgánom činným v trestnom konaní pri podozrení, že ide o trestný čin,
k) vykonáva registráciu informačných systémov a zabezpečuje sprístupnenie stavu registrácie,
l) podieľa sa na príprave všeobecne záväzných právnych predpisov v oblasti ochrany osobných údajov,
m) v rozsahu svojej pôsobnosti vydáva všeobecne záväzné právne predpisy,
n) vyjadruje sa k návrhom zákonov a k návrhom ostatných všeobecne
záväzných právnych predpisov, v ktorých sa upravuje spracúvanie osobných
údajov,
o) predkladá Národnej rade Slovenskej republiky správu o stave ochrany osobných údajov najmenej raz za dva roky.
(2)
Predmetom dozoru nad ochranou osobných údajov nie sú spory zo zmluvných
alebo predzmluvných vzťahov prevádzkovateľov alebo sprostredkovateľov a
dotknutých osôb alebo iných fyzických osôb alebo právnických osôb, na
ktorých prejednávanie a rozhodovanie sú príslušné súdy alebo iné orgány
podľa osobitných predpisov.
(3) Ak úrad zistí skutočnosti
nasvedčujúce tomu, že zákon, iný všeobecne záväzný právny predpis alebo
prevádzkovateľom vydaný vnútorný predpis porušuje základné práva a
slobody fyzických osôb pri spracúvaní ich osobných údajov, predseda
úradu môže podať podnet na jeho zmenu alebo zrušenie príslušnému orgánu.
Kontrolná činnosť
§ 39
Oprávnenia a povinnosti kontrolného orgánu
(1) Vrchný inšpektor a ostatní inšpektori (ďalej len kontrolný orgán ), ako aj predseda úradu a podpredseda úradu sú oprávnení
a) vstupovať na pozemky, do budov alebo miestností prevádzok a zariadení prevádzkovateľa a sprostredkovateľa,
b) vyžadovať od prevádzkovateľa, sprostredkovateľa a ich zamestnancov
(ďalej len kontrolovaná osoba ), aby im v určenej lehote poskytli
doklady, iné písomnosti, vyjadrenia a informácie, údaje spracúvané na
pamäťových médiách vrátane technických nosičov údajov, výpisy a zdrojové
kódy programov, ak ich vlastní, a ďalšie materiály potrebné na výkon
kontroly, originály alebo kópie a v odôvodnených prípadoch im umožnili
odoberať kópie aj mimo priestorov kontrolovanej osoby,
c) požadovať
v primeranej lehote od kontrolovanej osoby úplné a pravdivé ústne a
písomné informácie, vyjadrenia a vysvetlenia ku kontrolovaným a
súvisiacim skutočnostiam a k zisteným nedostatkom,
d) vyžadovať súčinnosť kontrolovanej osoby,
e) vstupovať do informačných systémov do úrovne správcu systému v rozsahu potrebnom na vykonanie kontroly,
f) overovať totožnosť kontrolovaných osôb a fyzických osôb, ktoré v mene kontrolovaných osôb konajú.
(2) Kontrolný orgán je povinný
a) vopred oznámiť kontrolovanej osobe predmet kontroly a pred začatím kontroly preukázať svoju príslušnosť k úradu,
b) vypracovať protokol o vykonaní kontroly (ďalej len protokol ),
c) uvádzať do protokolu kontrolné zistenia,
d) oboznámiť kontrolovanú osobu s kontrolnými zisteniami a vyžiadať si
od nej písomné vyjadrenie ku všetkým skutočnostiam, ktoré odôvodňujú
uplatnenie právnej zodpovednosti; vznesené námietky proti uvádzaným
kontrolným zisteniam z hľadiska ich pravdivosti, úplnosti a
preukázateľnosti uviesť do protokolu,
e) odovzdať kontrolovanej osobe jedno vyhotovenie protokolu alebo záznamu o kontrole alebo ich kópie,
f) písomne potvrdiť kontrolovanej osobe prevzatie kópií dokladov,
písomných dokumentov, kópií pamäťových médií a iných materiálov a
zabezpečiť ich riadnu ochranu pred stratou, zničením, poškodením a
zneužitím.
(3) Protokol obsahuje názov, sídlo alebo trvalý pobyt
kontrolovanej osoby, miesto a čas vykonania kontroly, predmet kontroly,
kto kontrolu vykonal, preukázané kontrolné zistenia, vyjadrenia
kontrolovanej osoby ku kontrolným zisteniam, dátum vypracovania
protokolu, mená, pracovné zaradenie a vlastnoručné podpisy kontrolného
orgánu a zodpovedných zamestnancov kontrolovanej osoby, ktorí boli s
obsahom protokolu oboznámení, a dátum oboznámenia sa s protokolom. Ak sa
kontrolovaná osoba odmietne oboznámiť sa s obsahom protokolu, vyjadriť
sa ku kontrolným zisteniam alebo podpísať protokol, uvedie sa táto
skutočnosť v protokole.
(4) Ak sa kontrolou zistí porušenie
povinností ustanovených týmto zákonom, kontrolný orgán postupuje pri
ukladaní opatrení na odstránenie kontrolou zistených nedostatkov podľa §
46.
(5) Ak sa kontrolou nezistí porušenie povinností
ustanovených týmto zákonom alebo iným zákonom, 32) kontrolný orgán
vypracuje len záznam o kontrole. Pri jeho vypracovaní sa postupuje
primerane podľa odseku 3.
§ 40
Oprávnenia a povinnosti kontrolovanej osoby
(1)
Kontrolovaná osoba je oprávnená v čase oboznámenia sa s kontrolnými
zisteniami vzniesť námietky proti uvádzaným kontrolným zisteniam z
hľadiska ich pravdivosti, úplnosti a preukázateľnosti.
(2) Kontrolovaná osoba je povinná
a) vytvoriť kontrolnému orgánu primerané podmienky na výkon kontroly a spracovanie kontrolných zistení,
b) poskytovať kontrolnému orgánu potrebnú súčinnosť v súlade s
oprávneniami podľa § 39 ods. 1 a zdržať sa konania, ktoré by mohlo mariť
výkon kontroly,
c) dostaviť sa v určenej lehote na oboznámenie sa s obsahom protokolu na miesto určené kontrolným orgánom,
d) po oboznámení sa s kontrolnými zisteniami podpísať protokol alebo
záznam o kontrole; odmietnutie oboznámenia sa s obsahom protokolu alebo
odmietnutie podpísania protokolu kontrolovanou osobou nemá vplyv na
dôsledky vyplývajúce z obsahu tohto dokumentu,
e) písomne predložiť
kontrolnému orgánu v určených lehotách opatrenia prijaté na odstránenie
kontrolou zistených nedostatkov a písomnú správu o splnení týchto
opatrení.
§ 41
Prizvané osoby
(1) Ak je to
odôvodnené osobitnou povahou kontrolnej úlohy, môže kontrolný orgán
prizvať na vykonanie kontroly iné fyzické osoby. Účasť týchto fyzických
osôb na kontrole sa považuje za iný úkon vo všeobecnom záujme. Na
prizvané osoby sa primerane vzťahujú ustanovenia § 37 ods. 6 a § 39 ods.
1.
(2) Kontrolu nemôžu vykonávať prizvané osoby, o ktorých so
zreteľom na ich vzťah k predmetu kontroly alebo na vzťah ku
kontrolovanej osobe možno mať pochybnosti o ich nezaujatosti. Prizvané
osoby, ktoré samy vedia o skutočnostiach zakladajúcich pochybnosti o ich
nepredpojatosti, oznámia tieto skutočnosti bez zbytočného odkladu
úradu.
(3) Kontrolovaná osoba môže písomne vzniesť preukázateľné
námietky o zaujatosti prizvanej osoby. Prizvaná osoba môže do
rozhodnutia o námietkach zaujatosti vykonať pri kontrole len úkony,
ktoré nedovoľujú odklad.
(4) O námietkach zaujatosti a o oznámení
predpojatosti rozhodne predseda úradu. Rozhodnutie predsedu úradu v
tejto veci je konečné.
§ 42
(1) Plnením konkrétnej
úlohy pri výkone kontroly možno poveriť ďalších zamestnancov úradu. Na
poverených zamestnancov úradu sa primerane vzťahuje ustanovenie § 39
ods. 1 a 2 písm. a).
(2) Inšpektori a poverení zamestnanci úradu,
ktorí sami vedia o skutočnostiach zakladajúcich pochybnosti o ich
nepredpojatosti vo vzťahu k predmetu kontroly alebo ku kontrolovanej
osobe, oznámia tieto skutočnosti bez zbytočného odkladu predsedovi
úradu. Ak predseda úradu uzná, že k predpojatosti došlo, osobu z konania
vo veci vylúči.
§ 43
Na výkon kontroly sa nevzťahujú predpisy o kontrole v štátnej správe.33)
Súčinnosť
§ 44
(1)
Orgány štátnej správy, orgány územnej samosprávy, iné orgány verejnej
moci, prevádzkovatelia a sprostredkovatelia poskytujú úradu potrebnú
pomoc pri plnení jeho úloh (§ 38).
(2) Prevádzkovateľ a sprostredkovateľ poskytujú úradu pri plnení jeho úloh všetky ním požadované údaje v určenej lehote.
(3) Prevádzkovateľ a sprostredkovateľ sa dostavia na predvolanie úradu s cieľom podať vysvetlenia v určenej lehote.
(4)
Prevádzkovateľ a sprostredkovateľ sú povinní strpieť všetky úkony úradu
smerujúce k vyšetreniu okolností potrebných na objektívne posúdenie
prešetrovanej veci.
Konanie
§ 44a
(1) Konanie
vo veciach upravených týmto zákonom, na ktoré sa nevzťahuje všeobecný
predpis o správnom konaní, je začaté dňom, keď voči prevádzkovateľovi,
sprostredkovateľovi alebo inej právnickej osobe alebo fyzickej osobe
(ďalej len účastník konania ) urobil úrad prvý úkon. Ak sa konanie
začína na podnet účastníka konania, dňom začatia konania je deň
doručenia podnetu úradu.
(2) Účastníkom konania je ten, o koho
právach alebo povinnostiach sa má konať. Za účastníka konania, ktorým
nie je fyzická osoba, koná štatutárny orgán, prípadne jeho zamestnanec
alebo člen, ktorý sa preukáže písomným poverením štatutárneho orgánu, že
je oprávnený za neho konať, pokiaľ jednotlivé ustanovenia tohto zákona
neustanovujú inak. Účastník konania sa môže nechať v konaní zastupovať. V
tej istej veci môže mať účastník konania súčasne len jedného zástupcu,
ktorému udelí písomne splnomocnenie na celé konanie, alebo len na určité
úkony. Splnomocnenie na zastupovanie účastníka konania, ktorým nie je
fyzická osoba, musí byť udelené osobou, ktorá je oprávnená konať v jeho
mene.
(3) Konanie je neverejné. Týmto nie je dotknuté ustanovenie § 48.
(4)
Na dokazovanie možno použiť všetky prostriedky, ktorými možno zistiť a
objasniť skutočný stav veci a ktoré sú v súlade s právnymi predpismi.
Dôkazmi sú najmä vyjadrenia účastníkov konania, výpovede svedkov,
listiny, znalecké posudky alebo odborné posudky, správy, vyjadrenia a
potvrdenia orgánov alebo iných právnických osôb a fyzických osôb,
zverejnené informácie, obhliadky a kontrolné zistenia. Ako dôkaz možno
použiť namiesto originálu listiny alebo originálu akéhokoľvek záznamu aj
ich rozmnoženinu v tlačenej, fotografickej, zvukovej, zvukovo-obrazovej
alebo v inej všeobecne zrozumiteľnej forme, ak je umiestnená na bežne
dostupnom nosiči informácií.
(5) Úrad môže namiesto dôkazu
pripustiť čestné vyhlásenie fyzickej osoby. Čestné vyhlásenie úrad
nepripustí, ak tomu bráni všeobecný záujem alebo ak by tým bola porušená
rovnosť medzi účastníkmi konania. Čestným vyhlásením nemožno nahradiť
znalecký posudok. V čestnom vyhlásení je fyzická osoba povinná uviesť
pravdivé údaje. Úrad musí upozorniť fyzickú osobu na právne následky
nepravdivého čestného vyhlásenia.
(6) Úrad môže ustanoviť znalca
alebo znalcov podľa osobitného predpisu, 33a) ak je na odborné posúdenie
skutočností dôležitých pre rozhodnutie vo veci potrebný znalecký
posudok a uložiť ustanovenému znalcovi, aby samostatne písomne
vypracoval znalecký posudok, alebo aby sa v znaleckom posudku vyjadril k
otázkam, ktoré mu položil úrad. Na tento účel úrad ustanovenému
znalcovi sprístupní potrebné údaje zo spisu. V súvislosti s vypracovaním
znaleckého posudku môže úrad uložiť účastníkovi konania, aby poskytol
ustanovenému znalcovi všetky podstatné informácie, predložil alebo
sprístupnil všetky potrebné listiny, podklady alebo predmety, alebo
umožnil prístup k technickému a programovému vybaveniu informačného
systému, podal mu potrebné vysvetlenia, alebo aby niečo vykonal alebo
znášal, ak je to potrebné na podanie znaleckého posudku.
(7)
Účastník konania je povinný navrhnúť na podporu svojich tvrdení dôkazy,
ktoré sú mu známe. Úrad rozhodne, ktoré z navrhnutých dôkazov sa
vykonajú a vykoná aj iné dôkazy, ktoré účastníci konania nenavrhli, ak
sú potrebné na zistenie a objasnenie skutočného stavu veci. Skutočnosti
všeobecne známe alebo známe úradu z jeho činnosti netreba dokazovať.
(8)
Úrad hodnotí dôkazy podľa svojej voľnej úvahy, a to každý dôkaz
jednotlivo a všetky dôkazy v ich vzájomnej súvislosti; pritom prihliada
na všetko, čo v konaní vyšlo najavo.
(9) Dôležité písomnosti,
najmä opatrenia a rozhodnutia sa účastníkovi konania, adresátovi, alebo
osobe, ktorá sa preukáže jeho splnomocnením na preberanie zásielok,
doručujú poštou ako doporučená zásielka s doručenkou a poznámkou do
vlastných rúk . Písomnosti, ktoré sú určené účastníkovi konania, ktorým
nie je fyzická osoba, doručujú sa osobám alebo členom oprávneným za
tento subjekt prijímať písomnosti alebo tomu, kto je oprávnený za tento
subjekt konať. Písomnosti určené advokátovi možno doručovať tiež
advokátskym koncipientom a iným pracovníkom, ktorí sú u advokáta
pracovne činní a sú advokátom poverení na prijímanie zásielok.
(10)
Ak nebol adresát zásielky, ktorá sa má doručiť do vlastných rúk,
zastihnutý, hoci sa v mieste doručenia zdržiava, doručovateľ ho vhodným
spôsobom upovedomí, že zásielku príde znovu doručiť v určený deň a
hodinu. Ak nový pokus o doručenie zostane bezvýsledný, doručovateľ uloží
zásielku na pošte a adresáta o tom vhodným spôsobom upovedomí. Ak si
adresát nevyzdvihne zásielku do troch dní od uloženia, posledný deň
tejto lehoty sa považuje za deň doručenia, aj keď sa adresát o uložení
nedozvedel.
(11) Ak si adresát vyhradí doručovanie zásielok do
poštového priečinka, pošta adresátovi oznámi príchod zásielky, možnosť
prevzatia a odbernú lehotu na predpísanom tlačive, ktoré vloží do
poštového priečinka. Ak si adresát na základe dohody preberá zásielky na
pošte a nemá pridelený poštový priečinok, pošta tieto zásielky
neoznamuje. V obidvoch prípadoch sa dátum príchodu zásielky považuje za
dátum uloženia. Ak si adresát nevyzdvihne zásielku do troch dní od
uloženia, posledný deň tejto lehoty sa považuje za deň doručenia, aj keď
sa adresát o uložení nedozvedel.
(12) Účastník konania, ktorý sa
zdržiava v cudzine alebo tam má sídlo alebo trvalý pobyt, je povinný na
doručovanie zásielok určiť si svojho zástupcu so sídlom alebo s trvalým
pobytom na území Slovenskej republiky a včas písomne úradu oznámiť jeho
meno, priezvisko a adresu.
(13) Písomnosť je doručená ihneď,
ako ju účastník konania prevezme alebo pošta doporučenú zásielku vrátila
ako nedoručiteľnú alebo ak doručenie zásielky bolo zmarené konaním
alebo opomenutím účastníka konania. Ak adresát bezdôvodne odoprel
zásielku prijať, písomnosť je doručená dňom, keď sa jej prijatie
odoprelo; na to musí doručovateľ adresáta upozorniť.
(14) Ak je
to potrebné, úrad určí na vykonanie úkonu v konaní lehotu, ak ju
neustanovuje tento zákon. Do lehoty sa nezapočítava deň, keď došlo ku
skutočnosti určujúcej začiatok lehoty. Lehoty určené podľa týždňov,
mesiacov alebo rokov sa končia uplynutím toho dňa, ktorý sa svojím
označením zhoduje s dňom, keď došlo ku skutočnosti určujúcej začiatok
lehoty, a ak taký deň v mesiaci nie je, lehota sa končí posledným dňom
mesiaca. Ak koniec lehoty pripadne na sobotu, nedeľu alebo na deň
pracovného pokoja, je posledným dňom lehoty najbližší nasledujúci
pracovný deň. Lehota je zachovaná, ak sa posledný deň lehoty podanie
podá na úrad alebo ak sa odovzdá na poštovú prepravu. V pochybnostiach
sa považuje lehota za zachovanú, ak sa nepreukáže opak.
(15) Trovy, ktoré v konaní vznikli účastníkovi konania, znáša účastník konania. Trovy konania, ktoré vznikli úradu, znáša úrad.
(16)
Konanie začaté z vlastnej iniciatívy úradu možno zastaviť, ak odpadol
dôvod konania alebo ak sa v priebehu konania preukázalo, že nie sú
dostatočné dôvody na jeho pokračovanie, alebo ak účastník konania
zomrel.
§ 44b
V konaní o uložení sankcie za porušenie
tohto zákona podľa § 49 alebo § 50 je účastníkom konania prevádzkovateľ
alebo sprostredkovateľ, alebo fyzická osoba, ktorej má byť podľa tohto
zákona uložená pokuta; konanie o uložení sankcie za porušenie tohto
zákona začína úrad z vlastnej iniciatívy podľa všeobecného predpisu o
správnom konaní a len na účely uloženia pokuty. Rozhodnutie o uložení
pokuty môže úrad vydať bez ďalšieho dokazovania a zisťovania podkladov
pre rozhodnutie, 33b) ak na základe preukázaných kontrolných zistení
alebo vykonaných dôkazov v priebehu konania, ktoré odôvodňujú uplatnenie
právnej zodpovednosti účastníka konania podľa tohto zákona, má úrad
dostatočne zistené a preukázané, že došlo k porušeniu ustanovení tohto
zákona, alebo na základe zisteného porušenia ustanovenia § 40 ods. 2
písm. a) alebo b) kontrolovanou osobou.
TRETIA HLAVA
OPATRENIA NA NÁPRAVU
§ 45
Prešetrenie oznámenia
(1)
Úrad pri výkone dozoru nad ochranou osobných údajov využíva aj
oznámenia a podnety právnických osôb a fyzických osôb (ďalej len
oznámenie ) týkajúce sa podozrenia z porušovania povinností alebo
podmienok určených týmto zákonom. Oznámenie sa úradu podáva písomne.
(2)
Oznámenie môže okrem dotknutej osoby podať úradu podľa § 20 ods. 6 aj
fyzická osoba, ktorá tvrdí, že je priamo dotknutá vo svojich právach
ustanovených týmto zákonom (ďalej len oznamovateľ ).
(3) Úrad oznámenie odloží, ak
a) vec, ktorej sa oznámenie týka, nepatrí do jeho pôsobnosti,
b) náležitosti uvedené v odseku 9 neboli na výzvu úradu doplnené alebo spresnené v určenej lehote,
c) oznamovateľ neposkytne úradu na jeho požiadanie potrebnú súčinnosť, pričom bez jeho aktívnej účasti nemožno vec vybaviť,
d) oznamovateľ trvá na utajení svojej totožnosti napriek tomu, že bez
použitia jeho osobných údajov alebo niektorých jeho údajov podľa odseku 9
písm. a) nemožno vec vybaviť,
e) oznamovateľ podá opakované oznámenie po uplynutí lehoty podľa odseku 14.
(4) Úrad môže oznámenie odložiť, ak zistí, že
a) vec, ktorej sa oznámenie týka, prejednáva súd alebo orgán činný v trestnom konaní,
b) od opatrenia alebo udalosti, ktorých sa oznámenie týka, uplynul v deň doručenia oznámenia čas dlhší ako tri roky,
c) oznámenie je zjavne neopodstatnené,
d) neobsahuje meno, priezvisko, adresu trvalého pobytu a podpis oznamovateľa; takéto oznámenie sa považuje za anonymné,
e) ide o oznámenie vo veci, ktorú už úrad vybavil a opakované oznámenie neobsahuje nové skutočnosti.
(5)
O odložení oznámenia a dôvodoch jeho odloženia úrad upovedomí toho, kto
oznámenie podal; to neplatí, ak ide o anonymné oznámenie. Odložené
oznámenie sa považuje za vybavené.
(6) Oznámenie nie je
prípustné, ak oznamovateľ pred jeho podaním neuplatnil svoje právo podľa
§ 20, ktoré mu tento zákon poskytuje. Úrad oznámenie odloží a poučí
oznamovateľa o uplatnení práv podľa § 20.
(7) Úrad neodloží
oznámenie, aj keď sa nesplnila podmienka podľa odseku 6 len vtedy, ak
oznamovateľ hodnoverne preukáže, že túto podmienku nesplnil z dôvodov
hodných osobitného zreteľa.
(8) Šetrenie je začaté dňom
doručenia písomného oznámenia úradu. Prijatie oznámenia potvrdí úrad
oznamovateľovi, ak oznámenie nebolo podané osobne.
(9) Oznámenie musí obsahovať najmä
a) meno, priezvisko, adresu trvalého pobytu a podpis oznamovateľa,
b) označenie toho, proti komu oznámenie smeruje; názov alebo meno a
priezvisko, sídlo alebo trvalý pobyt, prípadne právnu formu a
identifikačné číslo,
c) predmet oznámenia s označením, ktoré práva sa podľa tvrdenia oznamovateľa pri spracúvaní osobných údajov porušili,
d) dôkazy na podporu tvrdení uvedených v oznámení,
e) kópiu listiny preukazujúcej uplatnenie práva podľa § 20, ak sa
takéto právo mohlo uplatniť alebo uvedenie dôvodov hodných osobitného
zreteľa.
(10) Ak oznámenie neobsahuje predpísané náležitosti
podľa odseku 9, nie je zrozumiteľné, alebo ak sú na jeho náležité
vybavenie potrebné údaje, ktoré sa v oznámení neuvádzajú, úrad vyzve
oznamovateľa, aby v určenej lehote nie kratšej ako sedem dní odstránil
nedostatky. Súčasne upozorní oznamovateľa na dôsledky neodstránenia
nedostatkov na ďalší priebeh šetrenia. V čase, keď oznamovateľ mešká s
plnením tejto povinnosti, lehota podľa odseku 12 neplynie.
(11)
Ak oznámenie podľa odseku 9 neobsahuje požiadavku oznamovateľa na
utajenie jeho totožnosti, úrad vybavuje oznámenie bez utajenia osobných
údajov uvedených v odseku 9 písm. a). Ak v oznámení podľa odseku 9
oznamovateľ požiada úrad o utajenie svojej totožnosti, ale charakter
oznámenia neumožňuje jeho prešetrenie bez uvedenia niektorého údaja
alebo údajov o oznamovateľovi, úrad po zistení tejto skutočnosti o tom
upovedomí oznamovateľa. Zároveň oznamovateľa upozorní, že vo vybavovaní
oznámenia sa bude pokračovať len v prípade, ak v určenej lehote písomne
udelí úradu súhlas s uvedením určitého potrebného údaja alebo údajov o
svojej osobe na použitie v rámci šetrenia.
(12) Úrad prešetrí a
vybaví písomné oznámenie oznamovateľa v lehote 60 dní odo dňa jeho
prijatia. Vrchný inšpektor môže túto lehotu v odôvodnených prípadoch
primerane predĺžiť, najviac však o šesť mesiacov. O predĺžení lehoty
úrad písomne upovedomí oznamovateľa.
(13) Úrad v lehote podľa
odseku 12 písomne informuje oznamovateľa o výsledku prešetrenia
oznámenia, v ktorom uvedie práva oznamovateľa ustanovené týmto zákonom,
ktoré boli porušené. Ak úrad nezistí porušenie práv oznamovateľa,
písomne ho informuje o tejto skutočnosti bez zbytočného odkladu,
najneskôr však v lehote podľa odseku 12. Oznámenie sa považuje za
vybavené doručením písomnej informácie o výsledku prešetrenia oznámenia
oznamovateľovi.
(14) Oznámenie v tej istej veci možno opakovať v
lehote 30 dní odo dňa doručenia výsledku o prešetrení oznámenia; ak
oznámenie neobsahuje nové skutočnosti, úrad postupuje podľa odseku 4
písm. e). Ak úrad opakované oznámenie neodložil alebo ak zistil, že
obsahuje nové skutočnosti, vrchný inšpektor preskúma pôvodné oznámenie,
či bolo správne vybavené; o výsledku písomne informuje oznamovateľa,
pričom postupuje obdobne podľa odseku 13. Preskúmanie oznámenia vrchným
inšpektorom je konečné.
(15) V prípade, že v rovnakej veci, v
akej už bolo vybavené oznámenie iného oznamovateľa, podá oznámenie ďalší
oznamovateľ bez uvedenia nových skutočností, jeho oznámenie netreba
znovu prešetrovať, ale treba ho upovedomiť bez zbytočného odkladu o
výsledku vybavenia pôvodného oznámenia, najneskôr však v lehote podľa
odseku 12 prvej vety.
(16) Podanie oznámenia nesmie byť
oznamovateľovi na ujmu; to neplatí, ak sa obsahom svojho oznámenia
dopustí oznamovateľ trestného činu alebo priestupku.
(17)
Oznámenie podané inou právnickou osobou alebo fyzickou osobou ako
oznamovateľom sa vybavuje ako konanie začaté z vlastnej iniciatívy
úradu, ak sa po preskúmaní oznámenia preukáže, že je tu dôvod na začatie
šetrenia. Na žiadosť právnickej osoby alebo fyzickej osoby, ktorá
oznámenie podala, úrad potvrdí prijatie oznámenia; výsledok šetrenia jej
úrad neoznamuje. Právnická osoba alebo fyzická osoba, ktorá oznámenie
podala, sa nepovažuje za účastníka konania.
§ 46
Opatrenie
(1) Úrad
a) pred začatím spracúvania osobných údajov alebo v priebehu
spracúvania osobných údajov v rozsahu nevyhnutne potrebnom na
zabezpečenie účelu konania môže dočasným opatrením uložiť
prevádzkovateľovi alebo sprostredkovateľovi, aby niečo vykonal, niečoho
sa zdržal alebo niečo strpel; pri podozrení z porušenia povinnosti
uloženej týmto zákonom vyzve prevádzkovateľa alebo sprostredkovateľa na
okamžité blokovanie osobných údajov alebo na dočasné skončenie tej
činnosti, ktorá by mohla plnenie takejto povinnosti ohroziť,
b) ak
zistí, že prevádzkovateľ alebo sprostredkovateľ nesplnil alebo porušil
niektorú z povinností alebo niektoré povinnosti ustanovené týmto
zákonom, pri plnení niektorej z povinností alebo niektorých povinností
obchádzal ustanovenia tohto zákona, nedodržal alebo obchádzal podmienky
ustanovené týmto zákonom, alebo spracúva alebo spracúval osobné údaje v
rozpore s týmto zákonom, je oprávnený uložiť prevádzkovateľovi alebo
sprostredkovateľovi, aby v určenej lehote vykonal opatrenia na
odstránenie zistených nedostatkov a príčin ich vzniku. Úrad je ďalej
oprávnený prevádzkovateľovi alebo sprostredkovateľovi
1. uložiť
povinnosť zabezpečiť vypracovanie alebo doplnenie dokumentácie alebo
bezpečnostného projektu v súlade s týmto zákonom v určenej lehote,
2. uložiť povinnosť prijať technické, organizačné a personálne opatrenia zodpovedajúce spôsobu spracúvania v určenej lehote,
3. zakázať spracúvať tie osobné údaje, ktorých spracúvanie je v rozpore s ustanoveniami tohto zákona,
4. zakázať spracúvanie, ktoré je v rozpore s ustanoveniami tohto zákona,
5. nariadiť odstránenie alebo likvidáciu osobných údajov v určenej lehote, ak sú alebo boli neoprávnene spracúvané a
6. uložiť prevádzkovateľovi povinnosť zrušiť písomné poverenie alebo písomnú zmluvu so sprostredkovateľom v určenej lehote.
(2)
Prevádzkovateľ a sprostredkovateľ bezodkladne vyhovejú požiadavkám
úradu podľa odseku 1 a v určenej lehote informujú o ich splnení úrad.
(3)
Prevádzkovateľ a sprostredkovateľ sú oprávnení písomne podať námietky
proti opatreniu uloženému podľa odseku 1 písm. a) do troch dní odo dňa
jeho doručenia. Námietky proti takémuto opatreniu nemajú odkladný
účinok.
(4) Prevádzkovateľ a sprostredkovateľ sú oprávnení
písomne podať námietky proti opatreniu uloženému podľa odseku 1 písm. b)
do siedmich dní odo dňa jeho doručenia. Námietky proti takémuto
opatreniu majú odkladný účinok.
(5) O námietke prevádzkovateľa
alebo sprostredkovateľa podanej podľa odseku 3 rozhodne predseda úradu
do 15 dní a o námietke podanej podľa odseku 4 rozhodne do 60 dní odo dňa
ich prijatia.
(6) Rozhodnutie predsedu úradu o námietkach je konečné.
(7)
Písomné vyhotovenie výzvy na vykonanie opatrenia a písomné vyhotovenie
rozhodnutia o námietkach sa oznamuje doručením do vlastných rúk.
(8)
Opatrenie uložené podľa odseku 1 písm. a) môže úrad zrušiť; účinnosť
stráca dňom oznámenia opatrenia v predmetnej veci podľa odseku 1 písm.
b).
§ 47
Ustanoveniami § 45 a 46 nie je dotknuté právo na súdnu ochranu.35)
§ 48
Zverejnenie porušenia zákona
(1)
Ak úrad zistí porušenie povinností ustanovených týmto zákonom alebo
obchádzanie ustanovení tohto zákona alebo osobitného zákona, 32) môže
predseda úradu alebo vrchný inšpektor zverejniť obchodné meno alebo
názov, sídlo alebo trvalý pobyt, identifikačné číslo, ak ho má pridelené
a právnu formu toho, kto sa dopustil protiprávneho konania a
a) výrok vykonateľného opatrenia a odôvodnenie opatrenia alebo ich časti podľa § 46 okrem osobných údajov, ak ich obsahujú,
b) výrok vykonateľného rozhodnutia a odôvodnenie rozhodnutia alebo ich
časti podľa § 49 alebo § 50 okrem osobných údajov, ak ich obsahujú,
alebo
c) charakteristiku skutkového stavu porušenia ochrany osobných údajov.
(2)
Predseda úradu alebo vrchný inšpektor môže uložiť prevádzkovateľovi
alebo sprostredkovateľovi povinnosť zverejniť skutočnosti v rozsahu
podľa odseku 1 písm. c) v hromadných informačných prostriedkoch.
(3)
Prevádzkovateľ je povinný splniť povinnosť uloženú predsedom úradu
alebo vrchným inšpektorom podľa odseku 2. Štatutárny orgán
prevádzkovateľa je povinný zabezpečiť zverejnenie oznamu v hromadných
informačných prostriedkoch v rozsahu podľa odseku 1 písm. c) na vlastné
náklady prevádzkovateľa; obsah, formu, hromadný informačný prostriedok a
najneskorší termín zverejnenia oznamu určí predseda úradu alebo vrchný
inšpektor.
(4) Povinnosť podľa odseku 3 sa vzťahuje aj na sprostredkovateľa.
ŠTVRTÁ HLAVA
SANKCIE ZA PORUŠENIE ZÁKONA
§ 49
Správne delikty
(1) Úrad môže uložiť pokutu od 50 000 Sk do 10 000 000 Sk prevádzkovateľovi alebo sprostredkovateľovi, ktorý
a) nesplnil alebo porušil niektorú z povinností alebo niektoré
povinnosti ustanovené v § 5, 6, 7, 10, alebo pri plnení niektorej z
povinností alebo niektorých povinností ustanovených v § 5, 6, 7, 10
obchádzal ustanovenia tohto zákona, alebo spracúva alebo spracúval
osobné údaje v rozpore s § 5, 6, 7, 10,
b) nesplnil alebo porušil
niektorú z povinností alebo niektoré povinnosti ustanovené v § 8, 9,
alebo spracúva alebo spracúval osobitné kategórie osobných údajov v
rozpore s § 8, 9, alebo
c) neprijal primerané technické, organizačné
a personálne opatrenia zodpovedajúce spôsobu spracúvania alebo
nepreukázal alebo nevedel preukázať úradu na jeho žiadosť uplatňovanie
opatrení v praxi podľa § 15 ods. 1, 3, alebo neprijal primerané
technické, organizačné a personálne opatrenia zodpovedajúce spôsobu
spracúvania vo forme bezpečnostného projektu alebo nepredložil úradu na
jeho žiadosť bezpečnostný projekt, pričom bol povinný zabezpečiť jeho
vypracovanie podľa § 15 ods. 2, 3, alebo predložil bezpečnostný projekt,
ktorý neobsahoval náležitosti ustanovené týmto zákonom podľa § 16,
alebo nepredložil úradu na jeho žiadosť zdokumentované technické,
organizačné a personálne opatrenia zodpovedajúce spôsobu spracúvania
alebo nezdokumentoval technické, organizačné a personálne opatrenia v
rozsahu ustanovenom týmto zákonom, pričom bol povinný takúto
dokumentáciu vypracovať podľa § 15 ods. 2 písm. b), alebo preukázateľne
zanedbal uplatňovanie alebo neuplatňoval technické, organizačné a
personálne opatrenia zodpovedajúce spôsobu spracúvania v praxi uvedené v
bezpečnostnom projekte alebo v dokumentácii podľa § 15 ods. 2 písm. b).
(2) Úrad môže uložiť pokutu od 50 000 Sk do 5 000 000 Sk prevádzkovateľovi alebo sprostredkovateľovi, ktorý
a) nesplnil alebo porušil niektorú z povinností alebo niektoré
povinnosti ustanovené v § 13, alebo spracúva alebo spracúval osobné
údaje v rozpore s § 13,
b) na žiadosť úradu nezabezpečil vykonanie
auditu bezpečnosti informačného systému alebo zabezpečil vykonanie
auditu bezpečnosti informačného systému v rozpore s týmto zákonom alebo
včas nepredložil hodnotiacu správu podľa § 15 ods. 4, 5, alebo predložil
hodnotiacu správu, ktorá nekonkretizuje zistené nedostatky,
c)
včas nepoučil svoje oprávnené osoby alebo nevedel úradu hodnoverne
preukázať, že poučenie oprávnených osôb vykonal včas, alebo nepredložil
na požiadanie úradu písomný záznam o poučení oprávnených osôb podľa §
17, alebo
d) vykonal prenos osobných údajov do tretích krajín v
rozpore s § 23, alebo spracúva alebo spracúval osobné údaje v rozpore s
niektorou z podmienok alebo niektorými podmienkami ustanovenými v § 23, §
23a ods. 2, 3, alebo nesplnil niektorú z podmienok alebo niektoré
podmienky ustanovené v § 23, § 23a ods. 2, 3.
(3) Úrad môže uložiť pokutu od 30 000 Sk do 3 000 000 Sk prevádzkovateľovi, ktorý
a) nesplnil povinnosť osobitnej registrácie informačného systému podľa §
27, alebo nesplnil niektorú z povinností alebo niektoré povinnosti
súvisiace s osobitnou registráciou vyplývajúce z tohto zákona podľa §
28,
b) nesplnil povinnosť registrácie informačného systému podľa
tohto zákona, alebo nesplnil niektorú z povinností alebo niektoré
povinnosti súvisiace s registráciou informačného systému podľa § 28,
c) písomne nepoveril zodpovednú osobu výkonom dohľadu nad ochranou
osobných údajov alebo nevie hodnoverne preukázať jej písomné poverenie
podľa § 19 ods. 2, alebo nezabezpečil odborné vyškolenie zodpovednej
osoby v súlade s týmto zákonom podľa § 19 ods. 3, alebo
d)
preukázateľne neumožnil, rušil, maril alebo inak sťažoval zodpovednej
osobe plnenie jej povinností ustanovených týmto zákonom, alebo
nerešpektoval oprávnené písomné oznámenia zodpovednej osoby podľa § 19
ods. 4, 7, 10.
(4) Úrad môže uložiť pokutu od 10 000 Sk do 1 000 000 Sk prevádzkovateľovi, ktorý
a) nesplnil oznamovaciu povinnosť o oprave alebo likvidácii osobných údajov podľa § 14,
b) písomne poveril zodpovednou osobou fyzickú osobu, ktorá nespĺňa
niektorú podmienku alebo niektoré podmienky ustanovené v § 19 ods. 12,
alebo nevie preukázať výpisom z registra trestov bezúhonnosť zodpovednej
osoby, alebo nesplnil alebo porušil niektorú z povinností alebo
niektoré povinnosti ustanovené v § 19 ods. 5, 6, alebo nesplnil
povinnosť uloženú úradom podľa § 19 ods. 11,
c) nesplnil oprávnené
požiadavky dotknutej osoby alebo pri ich vybavovaní nepostupoval v
súlade s týmto zákonom, alebo neposkytol dotknutej osobe informácie v
zákonom stanovenej lehote, alebo neinformoval dotknutú osobu spôsobom,
ktorý ustanovuje zákon podľa § 20, 21,
d) nevykonal oznámenie o obmedzení práv dotknutej osoby podľa § 22, alebo
e) nesplnil povinnosť vedenia evidencie informačného systému podľa §
29, 30, alebo odmietol údaje z evidencie sprístupniť podľa § 32.
(5) Úrad môže uložiť pokutu do 100 000 Sk tomu, kto
a) poskytne osobné údaje v rozpore s § 7 ods. 5; to neplatí pre prevádzkovateľa a sprostredkovateľa,
b) poskytne nepravdivé osobné údaje (§ 11),
c) poruší povinnosť mlčanlivosti o osobných údajoch (§ 18), alebo
d) ako zodpovedná osoba písomne neupozorní prevádzkovateľa (§ 19 ods. 4).
(6) Pokutu podľa odsekov 1 až 4 a podľa § 50 môže úrad uložiť opakovane, ak povinnosť nebola splnená v určenej lehote.
(7) Pri ukladaní pokút sa prihliadne najmä na závažnosť, čas trvania a následky protiprávneho konania.
(8)
Pokutu podľa odsekov 1 až 5 možno uložiť do jedného roka odo dňa, keď
úrad porušenie povinnosti zistil, najneskôr však do troch rokov odo dňa,
keď k porušeniu povinnosti došlo.
(9) Úrad môže v rozhodnutí o
uložení pokuty súčasne povinnému uložiť, aby v určenej lehote vykonal
opatrenia na nápravu následkov protiprávneho konania.
(10) Proti
rozhodnutiu o uložení pokuty možno podať rozklad do 15 dní odo dňa jeho
doručenia. O rozklade rozhodne predseda úradu do 60 dní odo dňa jeho
prijatia.
(11) Výnosy z pokút sú príjmom štátneho rozpočtu.
§ 50
Poriadkové pokuty
(1) Úrad môže uložiť prevádzkovateľovi alebo sprostredkovateľovi poriadkovú pokutu
a) do 50 000 Sk, ak nezabezpečí primerané podmienky na výkon kontroly [§ 40 ods. 2 písm. a)],
b) do 500 000 Sk, ak marí výkon kontroly [§ 40 ods. 2 písm. b)]; ak
prevádzkovateľ alebo sprostredkovateľ preukáže, že marenie výkonu
kontroly zavinila oprávnená osoba, jeho zodpovednosť sa obmedzí a
zodpovednou sa stáva aj oprávnená osoba,
c) do 1 000 000 Sk, ak
oznam určený na zverejnenie predsedom úradu alebo vrchným inšpektorom v
hromadných informačných prostriedkoch nezverejnil vôbec, alebo
nezverejnil včas, alebo nezverejnil v určenej forme alebo v určenom
hromadnom informačnom prostriedku, alebo nedodržal určený obsah tohto
oznamu podľa § 48 ods. 3, 4, a to opakovane až do splnenia povinnosti,
d) do 2 000 000 Sk, ak neposkytol úradu súčinnosť podľa § 44 ods. 2, 3,
4, alebo nevyhovel požiadavkám úradu alebo úrad v určenej lehote včas
neinformoval podľa § 46 ods. 1, 2.
(2) Poriadkovú pokutu možno uložiť do jedného roka odo dňa, keď k porušeniu povinnosti došlo.
ŠTVRTÁ ČASŤ
SPOLOČNÉ, PRECHODNÉ
A ZÁVEREČNÉ USTANOVENIA
§ 51
Spoločné ustanovenie
(1) Na konanie podľa tohto zákona sa vzťahuje všeobecný predpis o správnom konaní, 36) ak tento zákon neustanovuje inak.
(2) Všeobecný predpis o správnom konaní sa nevzťahuje na
a) rozhodovanie v pochybnostiach podľa § 6 ods. 5, § 23 ods. 7 a 10 a § 25 ods. 4,
b) posudzovanie údajov o informačných systémoch prihlásených na registráciu (§ 27),
c) poskytovanie informácií dotknutej osobe (§ 20 až 22),
d) rozhodovanie o námietkach zaujatosti a o oznámení predpojatosti (§ 41),
e) prešetrenie oznámenia (§ 45),
f) na konanie o opatreniach (§ 46).
(3)
Úrad zverejňuje na svojej internetovej stránke správu o stave ochrany
osobných údajov po jej prerokovaní v Národnej rade Slovenskej republiky.
Prechodné ustanovenia
§ 52
(1)
Prevádzkovatelia už fungujúcich informačných systémov uvedú ich do
súladu s týmto zákonom do šiestich mesiacov odo dňa jeho účinnosti a ak
to zákon vyžaduje, prihlásia ich v tejto lehote na registráciu.
(2)
Prevádzkovatelia, ktorí spracúvajú osobné údaje na základe osobitného
zákona, ktorý neustanovuje náležitosti podľa § 7 ods. 3, 5, 6 alebo
podľa § 9 ods. 1 písm. a), môžu osobné údaje spracúvať v rozsahu
nevyhnutnom na dosiahnutie ustanoveného účelu spracúvania bez súhlasu
dotknutých osôb do 31. decembra 2005.
§ 53
(1)
Záväzky orgánu štátneho dozoru nad ochranou osobných údajov v
informačných systémoch vyplývajúce z doterajšieho predpisu prechádzajú
dňom nadobudnutia účinnosti tohto zákona na úrad.
(2) Práva a
povinnosti z pracovnoprávnych vzťahov splnomocnenca na ochranu osobných
údajov v informačných systémoch a zamestnancov Útvaru inšpekcie ochrany
osobných údajov Úradu vlády Slovenskej republiky prechádzajú dňom
nadobudnutia účinnosti tohto zákona na úrad v plnom rozsahu.
(3)
Majetok štátu v správe Úradu vlády Slovenskej republiky obstaraný na
účely plnenia úloh štátneho dozoru nad ochranou osobných údajov v
informačných systémoch prechádza dňom nadobudnutia účinnosti tohto
zákona do správy úradu.
(4) Úrad vlády Slovenskej republiky zabezpečuje materiálnu a technickú prevádzku úradu do 31. decembra 2002.
(5)
Majetok štátu v správe Štatistického úradu Slovenskej republiky
obstaraný na účely registrácie informačných systémov obsahujúcich osobné
údaje, prechádza dňom nadobudnutia účinnosti tohto zákona do správy
úradu.
(6) Záväzky vyplývajúce pre splnomocnenca na ochranu
osobných údajov v informačných systémoch z medzištátnych dohôd v oblasti
ochrany osobných údajov prechádzajú dňom nadobudnutia účinnosti tohto
zákona na úrad.
§ 54
(1) Splnomocnenec na ochranu
osobných údajov v informačných systémoch vymenovaný do funkcie podľa
doterajšieho predpisu stáva sa dňom účinnosti tohto zákona predsedom
úradu a ostáva v tejto funkcii do konca funkčného obdobia, na ktoré bol
ako splnomocnenec na ochranu osobných údajov v informačných systémoch
vymenovaný.
(2) Predseda úradu v lehote dvoch mesiacov odo dňa
účinnosti tohto zákona rozhodne o tom, či informačný systém prihlásený
na registráciu podľa doterajších predpisov možno považovať za
zaregistrovaný podľa tohto zákona. Ak predseda úradu rozhodne, že takýto
informačný systém nepodlieha registrácii, oznámi to úrad v tej istej
lehote prevádzkovateľovi.
(3) Konania začaté pred dňom nadobudnutia účinnosti tohto zákona sa dokončia podľa doterajších predpisov.
§ 55
Prechodné ustanovenia
k úpravám účinným od 1. mája 2005
(1)
Úrad na ochranu osobných údajov podľa doterajších predpisov je Úradom
na ochranu osobných údajov Slovenskej republiky podľa tohto zákona. Ak
sa v iných právnych predpisoch používa pojem Úrad na ochranu osobných
údajov vo všetkých gramatických tvaroch, rozumie sa tým Úrad na
ochranu osobných údajov Slovenskej republiky v príslušnom gramatickom
tvare.
(2) Písomné poverenie zodpovednej osoby vydané podľa
doterajších predpisov sa považuje za písomné poverenie podľa tohto
zákona, ak zodpovedná osoba spĺňa podmienky ustanovené v § 19 ods. 12,
prevádzkovateľ oznámi úradu najneskôr do 30. júna 2005 údaje podľa § 19
ods. 5 a doloží potvrdenie alebo vyhlásenie o tom, že zodpovedná osoba
bola odborne vyškolená.
(3) Zodpovedná osoba, ktorá bola písomne
poverená dohľadom nad ochranou osobných údajov podľa doterajších
predpisov a nespĺňa podmienky ustanovené v § 19 ods. 12, musí byť
odvolaná z funkcie zodpovednej osoby najneskôr do 30. júna 2005 a
prevádzkovateľ je povinný písomne poveriť výkonom dohľadu inú zodpovednú
osobu. Týmto nie je dotknuté ustanovenie § 19 ods. 5.
(4)
Prevádzkovatelia už fungujúcich informačných systémov, na ktoré sa podľa
doterajších predpisov nevzťahovala osobitná registrácia podľa § 27, sú
povinní prihlásiť ich na osobitnú registráciu najneskôr do 30. júna
2005, inak právo na spracúvanie osobných údajov v týchto informačných
systémoch zanikne uplynutím tejto lehoty.
(5) Predseda úradu do
31. decembra 2005 rozhodne o tom, či informačný systém prihlásený na
registráciu a zaregistrovaný podľa doterajších predpisov možno považovať
za zaregistrovaný podľa tohto zákona. Ak predseda úradu rozhodne, že
takýto informačný systém nepodlieha registrácii podľa tohto zákona, úrad
registráciu informačného systému zruší a v tej istej lehote zverejní na
svojej internetovej stránke registračné čísla tých informačných
systémov, ktorých registrácia bola zrušená.
(6) Konania začaté a
právoplatne neukončené pred nadobudnutím účinnosti tohto zákona sa
dokončia podľa doterajších predpisov. Právne účinky úkonov, ktoré v
konaní nastali pred nadobudnutím účinnosti tohto zákona, zostávajú
zachované.
(7) Na lehoty, ktoré v deň nadobudnutia účinnosti tohto zákona ešte neuplynuli, sa vzťahujú ustanovenia doterajších predpisov.
(8)
Prevádzkovatelia už fungujúcich informačných systémov sú povinní ich
uviesť do súladu s týmto zákonom do 31. októbra 2005. Týmto nie sú
dotknuté odseky 2 až 4.
Záverečné ustanovenia
§ 56
Prechod práv
Ak
sa v právnych predpisoch uvádza označenie splnomocnenec na ochranu
osobných údajov, rozumie sa tým predseda úradu podľa tohto zákona.
§ 56a
Týmto zákonom sa preberá právny akt Európskych spoločenstiev a Európskej únie uvedený v prílohe.
§ 57
Zrušovacie ustanovenie
Zrušujú sa:
1. zákon č. 52/1998 Z. z. o ochrane osobných údajov v informačných systémoch v znení zákona č. 241/2001 Z. z.,
2. vyhláška Štatistického úradu Slovenskej republiky č. 155/1998 Z. z.,
ktorou sa ustanovujú podrobnosti o spôsobe, forme a postupe pri
registrácii informačného systému obsahujúceho osobné údaje.
§ 58
Účinnosť
Tento zákon nadobúda účinnosť 1. septembra 2002 s výnimkou § 35 ods. 2, ktorý nadobúda účinnosť 1. decembra 2003.
Zákon č. 602/2003 Z. z. nadobudol účinnosť 1. januára 2004.
Zákon č. 576/2004 Z. z. nadobudol účinnosť 1. januára 2005.
Zákon č. 90/2005 Z. z. nadobudol účinnosť 1. mája 2005.
Pavol Hrušovský v. r.
Príloha
k zákonu č. 428/2002 Z. z.
ZOZNAM PREBERANÝCH PRÁVNYCH AKTOV
EURÓPSKYCH SPOLOČENSTIEV A EURÓPSKEJ ÚNIE
Smernica
Európskeho parlamentu a Rady 95/46/ES z 24. októbra 1995 o ochrane
jednotlivcov pri spracúvaní osobných údajov a voľnom pohybe týchto
údajov (Ú. v. ES, L 281, 23. 11. 1995) v znení nariadenia Európskeho
parlamentu a Rady (ES) č. 1882/2003 z 29. septembra 2003 (Ú. v. EÚ L
284, 31. 10. 2003).
1) Napríklad § 40 ods. 2
písm. d) zákona č. 153/2001 Z. z. o prokuratúre, zákon č. 311/1999 Z.
z. o registri trestov v znení neskorších predpisov.
2) § 13 zákona č. 618/2003 Z. z. o autorskom práve a právach súvisiacich s autorským právom (autorský zákon).
3) Napríklad § 27 až 34 Obchodného zákonníka, § 8 a 68 zákona Národnej
rady Slovenskej republiky č. 162/1995 Z. z. o katastri nehnuteľností a o
zápise vlastníckych a iných práv k nehnuteľnostiam (katastrálny zákon) v
znení neskorších predpisov, § 50 ods. 2 písm. b) a e) zákona č.
610/2003 Z. z. o elektronických komunikáciách.
4) Napríklad § 33
zákona č. 5/2004 Z. z. o službách zamestnanosti a o zmene a doplnení
niektorých zákonov v znení zákona č. 82/2005 Z. z., § 29 ods. 7 zákona
č. 596/2003 Z. z. o štátnej správe v školstve a školskej samospráve a o
zmene a doplnení niektorých zákonov.
7) § 11 až 16 Občianskeho zákonníka.
8) § 8 Občianskeho zákonníka.
9) § 26 až 30 Občianskeho zákonníka.
10) § 116 Občianskeho zákonníka.
11) Zákon Národnej rady Slovenskej republiky č. 301/1995 Z. z. o rodnom čísle.
12) Napríklad § 40 ods. 2 písm. d) zákona č. 153/2001 Z. z., § 52
zákona Slovenskej národnej rady č. 372/1990 Zb. o priestupkoch v znení
neskorších predpisov, zákon Národnej rady Slovenskej republiky č.
171/1993 Z. z. o Policajnom zbore v znení neskorších predpisov.
13)
Napríklad § 2 zákona Národnej rady Slovenskej republiky č. 199/1994 Z.
z. o psychologickej činnosti a Slovenskej komore psychológov, zákon č.
596/2003 Z. z.
13a) Zákon č. 461/2003 Z. z. o sociálnom poistení v
znení neskorších predpisov, zákon č. 328/2002 Z. z. o sociálnom
zabezpečení policajtov a vojakov a o zmene a doplnení niektorých zákonov
v znení neskorších prepisov, zákon č. 195/1998 Z. z. o sociálnej pomoci
v znení neskorších predpisov, zákon č. 599/2003 Z. z. o pomoci v
hmotnej núdzi a o zmene a doplnení niektorých zákonov v znení neskorších
predpisov, zákon č. 5/2004 Z. z. v znení neskorších predpisov.
14) Zákon Národnej rady Slovenskej republiky č. 162/1993 Z. z. o občianskych preukazoch v znení neskorších predpisov.
15) Zákon č. 381/1997 Z. z. o cestovných dokladoch v znení neskorších predpisov.
16) Napríklad § 8 zákona Národnej rady Slovenskej republiky č. 46/1993
Z. z., § 8 zákona Národnej rady Slovenskej republiky č. 198/1994 Z. z., §
14 ods. 1 písm. a) zákona Národnej rady Slovenskej republiky č.
171/1993 Z. z. v znení neskorších predpisov, § 9 zákona č. 124/1992 Zb.
17) Napríklad § 15 ods. 4 zákona č. 200/1998 Z. z. o štátnej službe
colníkov a o zmene a doplnení niektorých ďalších zákonov v znení zákona
č. 464/2003 Z. z.
18) Napríklad § 35 zákona č. 431/2002 Z. z. o účtovníctve v znení zákona č. 561/2004 Z. z.
19) § 2 zákona č. 395/2002 Z. z. o archívoch a registratúrach a o doplnení niektorých zákonov.
20) § 2 ods. 12 zákona č. 395/2002 Z. z.
21) Napríklad § 101 až 110 Občianskeho zákonníka.
21a) Zákon č. 215/2004 Z. z. o ochrane utajovaných skutočností a o zmene a doplnení niektorých zákonov.
22) Napríklad § 40 zákona Národnej rady Slovenskej republiky č.
566/1992 Zb. o Národnej banke Slovenska v znení zákona č. 149/2001 Z. z.
23) Napríklad § 6 ods. 1 zákona č. 150/2001 Z. z. o daňových orgánoch a
ktorým sa mení a dopĺňa zákon č. 440/2000 Z. z. o správach finančnej
kontroly, § 17 zákona č. 429/2002 Z. z. o burze cenných papierov, § 134
zákona č. 566/2001 Z. z. o cenných papieroch a investičných službách a o
zmene a doplnení niektorých zákonov (zákon o cenných papieroch) v znení
neskorších predpisov, § 91 až 93 zákona č. 483/2001 Z. z. o bankách a o
zmene a doplnení niektorých zákonov v znení neskorších predpisov, § 41
zákona č. 95/2002 Z. z. o poisťovníctve a o zmene a doplnení niektorých
zákonov v znení neskorších predpisov, § 81 písm. f) a § 240 ods. 4
Zákonníka práce v znení zákona č. 210/2003 Z. z., § 53 ods. 1 písm. e)
zákona č. 312/2001 Z. z. o štátnej službe a o zmene a doplnení
niektorých zákonov v znení zákona č. 551/2003 Z. z., § 8 ods. 1 písm. c)
zákona č. 552/2003 Z. z. o výkone práce vo verejnom záujme, § 8 zákona
č. 367/2000 Z. z. o ochrane pred legalizáciou príjmov z trestnej
činnosti a o zmene a doplnení niektorých zákonov v znení zákona č.
445/2002 Z. z., § 80 zákona Národnej rady Slovenskej republiky č.
171/1993 Z. z. v znení neskorších predpisov, § 15 ods. 2 a 3 zákona
Národnej rady Slovenskej republiky č. 38/1993 Z. z. o organizácii
Ústavného súdu Slovenskej republiky, o konaní pred ním a o postavení
jeho sudcov.
24) Napríklad Dohovor o ochrane jednotlivcov pri
automatizovanom spracovaní osobných údajov (oznámenie č. 49/2001 Z. z.) v
znení Dodatkového protokolu (oznámenie č. 20/2005 Z. z.).
26) Napríklad zákon Národnej rady Slovenskej republiky č. 162/1995 Z. z. v znení neskorších predpisov.
27) § 60 zákona Národnej rady Slovenskej republiky č. 350/1996 Z. z. o
rokovacom poriadku Národnej rady Slovenskej republiky v znení zákona č.
215/2004 Z. z.
28) § 21 ods. 1 a ods. 5 písm. a) zákona č. 523/2004
Z. z. o rozpočtových pravidlách verejnej správy a o zmene a doplnení
niektorých zákonov.
29) Zákon č. 312/2001 Z. z. v znení neskorších predpisov.
30) § 84 ods. 5 zákona č. 215/2004 Z. z.
31) § 158 ods. 1 Trestného poriadku.
32) Napríklad § 178 a 257a Trestného zákona.
33) Zákon Národnej rady Slovenskej republiky č. 10/1996 Z. z. o kontrole v štátnej správe v znení neskorších predpisov.
33a) Zákon č. 382/2004 Z. z. o znalcoch, tlmočníkoch a prekladateľoch a o zmene a doplnení niektorých zákonov.
33b) § 32 až 40 zákona č. 71/1967 Zb. o správnom konaní (správny poriadok) v znení zákona č. 527/2003 Z. z.
35) § 247 a nasl. druhej hlavy Občianskeho súdneho poriadku.
36) Zákon č. 71/1967 Zb. v znení neskorších predpisov.
«
|
