ZÁKON č. 428/2002 Z. z.
(o ochrane osobných údajov)
Autor: Národná rada SR
Platnosť od: 31.7.2002
Účinnosť od: 1.5.2005
Uverejnené v Zbierke zákonov č. 167/2002 strana 4403
ZMENY HĽADAJTE V PREDPISOCH:
602/2003 Z.z.
576/2004 Z.z.
90/2005 Z.z.
RUŠÍ PREDPIS:
52/1998 Z.z.
155/1998 Z.z.
RUŠÍ ČASTI PREDPISU:
241/2002 Z.z.
čl. II - (týkajúci sa zmien zrušeného zák. 52/1998 Z.z.);
OBLASŤ: Občianske právo - hmotné a Správne právo
POZNÁMKA:
Účinnosť s výnimkou - (§35 ods. 2 nadobúda účinnosť 1.12.2003);
ZÁKON č. 428/2002 Z. z. o ochrane osobných údajov
z 3. júla 2002
Zmena: 602/2003 Z.z.
Zmena: 576/2004 Z.z.
Zmena: 90/2005 Z.z.
Národná rada Slovenskej republiky sa uzniesla na tomto zákone:
PRVÁ ČASŤ
ZÁKLADNÉ USTANOVENIA
Predmet a pôsobnosť zákona
§ 1
(1) Tento zákon upravuje
a) ochranu osobných údajov fyzických osôb pri ich spracúvaní,
b) zásady spracúvania osobných údajov,
c) bezpečnosť osobných údajov,
d) ochranu práv dotknutých osôb,
e) cezhraničný tok osobných údajov,
f) registráciu a evidenciu informačných systémov,
g) zriadenie, postavenie a pôsobnosť Úradu na ochranu osobných údajov Slovenskej republiky (ďalej len "úrad").
(2) Tento zákon sa vzťahuje na orgány štátnej správy, orgány územnej samosprávy, iné orgány verejnej moci, ako aj na ostatné právnické osoby a fyzické osoby, ktoré spracúvajú osobné údaje, určujú účel a prostriedky spracúvania alebo poskytujú osobné údaje na spracúvanie.
(3) Tento zákon sa vzťahuje aj na prevádzkovateľov, ktorí nemajú sídlo alebo trvalý pobyt na území
a) Slovenskej republiky, ale sú umiestnení v zahraničí na mieste, kde sa uplatňuje právny poriadok Slovenskej republiky prednostne na základe medzinárodného práva verejného,
b) členského štátu Európskej únie, ak na účely spracúvania osobných údajov využívajú úplne alebo čiastočne automatizované alebo iné ako automatizované prostriedky spracúvania umiestnené na území Slovenskej republiky, pričom tieto prostriedky spracúvania nie sú využívané výlučne len na prenos osobných údajov cez územie členských štátov Európskej únie; v takomto prípade prevádzkovateľ postupuje podľa § 23a ods. 3.
(4) Tento zákon sa vzťahuje na osobné údaje systematicky spracúvané úplne alebo čiastočne automatizovanými prostriedkami spracúvania alebo inými ako automatizovanými prostriedkami spracúvania, ktoré sú súčasťou informačného systému alebo sú určené na spracúvanie v informačnom systéme.
§ 2
(1) Ustanovenia § 5 ods. 4, § 6 ods. 1 až 4, § 10 ods. 1, 2 a 8, § 20 ods. 1, § 27 a 32 sa nevzťahujú na spracúvanie osobných údajov nevyhnutných na zabezpečenie verejného záujmu, ak prevádzkovateľ plní povinnosti výslovne ustanovené osobitným zákonom určené na zaistenie
a) bezpečnosti Slovenskej republiky,
b) obrany Slovenskej republiky,
c) verejného poriadku a bezpečnosti,
d) predchádzania, zamedzovania, odhaľovania a dokumentovania trestnej činnosti, zisťovania jej páchateľov, vyšetrovania a stíhania trestných činov,
e) významného ekonomického alebo finančného záujmu Slovenskej republiky alebo Európskej únie vrátane menových, rozpočtových a daňových záležitostí,
f) výkonu kontroly, dohľadu, dozoru alebo uplatňovania regulácie v súvislosti s výkonom verejnej moci vo veciach uvedených v písmenách c), d) a e), alebo
g) ochrany dotknutej osoby alebo práv a slobôd iných osôb.
(2) Prevádzkovateľom registra o osobách právoplatne odsúdených súdmi v trestnom konaní, ako aj o osobách, proti ktorým bolo prokurátormi alebo súdmi právoplatne rozhodnuté o podmienečnom zastavení trestného stíhania alebo o schválení zmieru, môže byť len štátny orgán ustanovený osobitným zákonom. 1)
§ 2a
Tento zákon sa nevzťahuje na ochranu osobných údajov, ktoré
a) spracúva fyzická osoba pre vlastnú potrebu v rámci výlučne osobných alebo domácich činností, ako je vedenie osobného adresára alebo korešpondencia,
b) boli získané náhodne bez predchádzajúceho určenia účelu a prostriedkov spracúvania, bez zámeru ich ďalšieho spracúvania v usporiadanom systéme podľa osobitných kritérií a nie sú ďalej systematicky spracúvané.
Vymedzenie niektorých pojmov
§ 3
Osobné údaje
Osobnými údajmi sú údaje týkajúce sa určenej alebo určiteľnej fyzickej osoby, pričom takou osobou je osoba, ktorú možno určiť priamo alebo nepriamo, najmä na základe všeobecne použiteľného identifikátora alebo na základe jednej či viacerých charakteristík alebo znakov, ktoré tvoria jej fyzickú, fyziologickú, psychickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu.
§ 4
(1) Na účely tohto zákona sa ďalej rozumie
a) spracúvaním osobných údajov vykonávanie akýchkoľvek operácií alebo súboru operácií s osobnými údajmi, napr. ich získavanie, zhromažďovanie, zaznamenávanie, usporadúvanie, prepracúvanie alebo zmena, vyhľadávanie, prehliadanie, preskupovanie, kombinovanie, premiestňovanie, využívanie, uchovávanie, likvidácia, ich prenos, poskytovanie, sprístupňovanie alebo zverejňovanie,
b) poskytovaním osobných údajov odovzdávanie osobných údajov na spracúvanie inému prevádzkovateľovi alebo inému zástupcovi prevádzkovateľa, alebo jeho sprostredkovateľovi,
c) sprístupňovaním osobných údajov oznámenie osobných údajov alebo umožnenie prístupu k nim inej právnickej osobe alebo fyzickej osobe s výnimkou dotknutej osoby alebo oprávnenej osoby, ktorá ich nebude spracúvať ako prevádzkovateľ, zástupca prevádzkovateľa alebo sprostredkovateľ,
d) zverejňovaním osobných údajov publikovanie, uverejnenie alebo vystavenie osobných údajov na verejnosti prostredníctvom masovokomunikačných prostriedkov, verejne prístupných počítačových sietí, verejným vykonaním alebo vystavením diela, 2) verejným vyhlásením, uvedením vo verejnom zozname, v registri alebo v operáte, 3) ich umiestnením na úradnej tabuli alebo na inom verejne prístupnom mieste,
e) likvidáciou osobných údajov zrušenie osobných údajov rozložením, vymazaním alebo fyzickým zničením hmotných nosičov tak, aby sa z nich osobné údaje nedali reprodukovať,
f) blokovaním osobných údajov uvedenie osobných údajov do takého stavu, v ktorom sú neprístupné a je zabránené akejkoľvek manipulácii s nimi,
g) informačným systémom akýkoľvek usporiadaný súbor, sústava alebo databáza obsahujúca jeden alebo viac osobných údajov, ktoré sú systematicky spracúvané na potreby dosiahnutia účelu podľa osobitných kritérií a podmienok s použitím automatizovaných, čiastočne automatizovaných alebo iných ako automatizovaných prostriedkov spracúvania bez ohľadu na to, či ide o systém centralizovaný, decentralizovaný alebo distribuovaný na funkčnom alebo geografickom základe, napríklad kartotéka, zoznam, register, operát, záznam alebo sústava obsahujúca spisy, doklady, zmluvy, potvrdenia, posudky, hodnotenia, testy,
h) účelom spracúvania osobných údajov vopred jednoznačne vymedzený alebo ustanovený zámer spracúvania osobných údajov, ktorý sa viaže na určitú činnosť,
i) súhlasom dotknutej osoby akýkoľvek slobodne daný výslovný a zrozumiteľný prejav vôle, ktorým dotknutá osoba na základe poskytnutých informácií vedome vyjadruje súhlas so spracúvaním svojich osobných údajov,
j) cezhraničným tokom osobných údajov prenos osobných údajov mimo územia Slovenskej republiky subjektom so sídlom alebo s trvalým pobytom v cudzine alebo ich výmena s týmito subjektmi,
k) anonymizovaným údajom osobný údaj upravený do takej formy, v ktorej ho nemožno priradiť dotknutej osobe, ktorej sa týka,
l) adresou súbor údajov o pobyte fyzickej osoby, do ktorého patria názov ulice, orientačné, prípadne súpisné číslo domu, názov obce, prípadne názov časti obce, poštové smerovacie číslo, názov okresu, názov štátu,
m) všeobecne použiteľným identifikátorom trvalý identifikačný osobný údaj dotknutej osoby, ktorý zabezpečuje jej jednoznačnosť v informačných systémoch,
n) biometrickým údajom osobný údaj fyzickej osoby, na základe ktorého je jednoznačne a nezameniteľne určiteľná, napr. odtlačok prsta, odtlačok dlane, analýza deoxyribonukleovej kyseliny, profil deoxyribonukleovej kyseliny,
o) auditom bezpečnosti informačného systému nezávislé odborné posúdenie spoľahlivosti a celkovej bezpečnosti informačného systému z hľadiska zabezpečenia dôvernosti, integrity a dostupnosti spracúvaných osobných údajov,
p) treťou krajinou štát, ktorý nie je členským štátom Európskej únie,
r) verejným záujmom dôležitý záujem štátu realizovaný pri výkone verejnej moci, ktorý prevažuje nad oprávneným záujmom fyzickej osoby alebo viacerých fyzických osôb, prináša majetkový prospech alebo iný prospech ostatným fyzickým osobám alebo mnohým z nich a bez jeho realizácie by mohli vzniknúť rozsiahle alebo nenahraditeľné škody,
s) podmienkami spracúvania osobných údajov prostriedky a spôsob spracúvania osobných údajov, ako aj ďalšie požiadavky, kritériá alebo pokyny súvisiace so spracúvaním osobných údajov alebo vykonanie úkonov, ktoré slúžia na dosiahnutie účelu spracúvania či už pred začatím spracúvania osobných údajov, alebo v priebehu ich spracúvania.
(2) Prevádzkovateľom je orgán štátnej správy, orgán územnej samosprávy, iný orgán verejnej moci alebo iná právnická osoba alebo fyzická osoba, ktorá sama alebo spoločne s inými určuje účel a prostriedky spracúvania osobných údajov. Ak účel, prípadne aj prostriedky spracúvania osobných údajov ustanovuje osobitný zákon, prevádzkovateľom je ten, koho na plnenie účelu spracúvania ustanoví zákon alebo kto splní zákonom ustanovené podmienky. To platí aj vtedy, ak tak ustanovuje právny akt Európskych spoločenstiev a Európskej únie.
(3) Sprostredkovateľom je orgán štátnej správy, orgán územnej samosprávy, iný orgán verejnej moci alebo iná právnická osoba alebo fyzická osoba, ktorá spracúva osobné údaje v mene prevádzkovateľa alebo zástupcu prevádzkovateľa.
(4) Oprávnenou osobou je každá fyzická osoba, ktorá prichádza do styku s osobnými údajmi v rámci svojho pracovnoprávneho vzťahu, štátnozamestnaneckého pomeru, služobného pomeru, členského vzťahu, na základe poverenia, zvolenia alebo vymenovania alebo v rámci výkonu verejnej funkcie, ktorá môže osobné údaje spracúvať len na základe pokynu prevádzkovateľa, zástupcu prevádzkovateľa alebo sprostredkovateľa, ak tento zákon alebo osobitný zákon neustanovuje inak.
(5) Dotknutou osobou je každá fyzická osoba, o ktorej sa spracúvajú osobné údaje.
(6) Zástupcom prevádzkovateľa je právnická osoba alebo fyzická osoba, ktorá na území Slovenskej republiky zastupuje prevádzkovateľa so sídlom alebo s trvalým pobytom v tretej krajine.
(7) Treťou stranou je orgán štátnej správy, orgán územnej samosprávy, iný orgán verejnej moci alebo iná právnická osoba alebo fyzická osoba iná ako dotknutá osoba, vlastný prevádzkovateľ alebo zástupca prevádzkovateľa, jeho sprostredkovateľ a ich oprávnené osoby.
(8) Príjemcom je orgán štátnej správy, orgán územnej samosprávy, iný orgán verejnej moci alebo iná právnická osoba alebo fyzická osoba, ktorej sú osobné údaje poskytnuté alebo sprístupnené; prevádzkovateľ, ktorý je oprávnený spracúvať osobné údaje na základe § 2 ods. 1 písm. f) a úrad pri plnení úloh ustanovených týmto zákonom, sa nepovažuje za príjemcu.
DRUHÁ ČASŤ
PRÁVA, POVINNOSTI A ZODPOVEDNOSŤ PRI SPRACÚVANÍ OSOBNÝCH ÚDAJOV
PRVÁ HLAVA
ZÁSADY SPRACÚVANIA OSOBNÝCH ÚDAJOV
§ 5
Prevádzkovateľ a sprostredkovateľ
(1) Osobné údaje môže spracúvať iba prevádzkovateľ a sprostredkovateľ.
(2) Sprostredkovateľ je oprávnený spracúvať osobné údaje len v rozsahu a za podmienok dojednaných s prevádzkovateľom v písomnej zmluve alebo v písomnom poverení. Sprostredkovateľ je oprávnený spracúvať osobné údaje len v rozsahu a za podmienok dojednaných s prevádzkovateľom alebo so súhlasom prevádzkovateľa aj so sprostredkovateľom v písomnej zmluve, alebo v písomnom poverení.
(3) Prevádzkovateľ dbá pri výbere sprostredkovateľa najmä na jeho záruky, pokiaľ ide o opatrenia v oblasti technickej, organizačnej a personálnej bezpečnosti (§ 15 ods. 1). Prevádzkovateľ nesmie zveriť spracúvanie osobných údajov sprostredkovateľovi, ak by tým mohli byť ohrozené práva a právom chránené záujmy dotknutých osôb.
(4) Ak prevádzkovateľ poveril spracúvaním sprostredkovateľa až po získaní osobných údajov, oznámi to dotknutým osobám pri najbližšom kontakte s nimi, najneskôr však do troch mesiacov od poverenia sprostredkovateľa. To platí aj vtedy, ak spracúvanie osobných údajov prevezme iný prevádzkovateľ.
(5) Zástupca prevádzkovateľa je povinný konať v rozsahu práv a povinností ustanovených týmto zákonom prevádzkovateľovi. Ustanovenia tohto zákona, podľa ktorých ukladá úrad prevádzkovateľovi, aby niečo vykonal, niečoho sa zdržal alebo niečo strpel, sa rovnako vzťahujú aj na zástupcu prevádzkovateľa.
§ 6
Základné povinnosti prevádzkovateľa
(1) Prevádzkovateľ je povinný
a) pred začatím spracúvania osobných údajov jednoznačne a konkrétne vymedziť účel spracúvania osobných údajov; účel spracúvania musí byť jasný a nesmie byť v rozpore s Ústavou Slovenskej republiky, ústavnými zákonmi, zákonmi a medzinárodnými zmluvami, ktorými je Slovenská republika viazaná,
b) určiť prostriedky a spôsob spracúvania osobných údajov, prípadne ďalšie podmienky spracúvania osobných údajov,
c) získavať osobné údaje výlučne na vymedzený alebo ustanovený účel; je neprípustné získavať osobné údaje pod zámienkou iného účelu alebo inej činnosti,
d) zabezpečiť, aby sa spracúvali len také osobné údaje, ktoré svojím rozsahom a obsahom zodpovedajú účelu ich spracúvania a sú nevyhnutné na jeho dosiahnutie,
e) získavať osobné údaje na rozdielne účely osobitne a zabezpečiť, aby sa osobné údaje spracúvali a využívali výlučne spôsobom, ktorý zodpovedá účelu, na ktorý boli zhromaždené; je neprípustné združovať osobné údaje, ktoré boli získané na rozdielne účely,
f) spracúvať len správne, úplné a podľa potreby aktualizované osobné údaje vo vzťahu k účelu spracúvania; nesprávne a neúplné osobné údaje je prevádzkovateľ povinný blokovať a bez zbytočného odkladu opraviť alebo doplniť; nesprávne a neúplné osobné údaje, ktoré nemožno opraviť alebo doplniť tak, aby boli správne a úplné, prevádzkovateľ zreteľne označí a zlikviduje ihneď, ako to okolnosti dovolia,
g) zabezpečiť, aby zhromaždené osobné údaje boli spracúvané vo forme umožňujúcej identifikáciu dotknutých osôb počas doby nie dlhšej, ako je nevyhnutné na dosiahnutie účelu spracúvania,
h) zlikvidovať tie osobné údaje, ktorých účel spracúvania sa skončil; po skončení účelu spracúvania možno osobné údaje ďalej spracúvať len za podmienok ustanovených v odseku 3,
i) spracúvať osobné údaje v súlade s dobrými mravmi a konať spôsobom, ktorý neodporuje tomuto zákonu ani iným všeobecne záväzným právnym predpisom a ani ich neobchádza; súhlas dotknutej osoby si nesmie prevádzkovateľ vynucovať a ani podmieňovať hrozbou odmietnutia zmluvného vzťahu, služby, tovaru alebo povinnosti ustanovenej prevádzkovateľovi alebo sprostredkovateľovi zákonom.
(2) Prevádzkovateľ nemá povinnosť podľa odseku 1 písm. a) len vtedy, ak účel spracúvania osobných údajov ustanovuje osobitný zákon v súlade s podmienkami uvedenými v odseku 1 písm. a). Prevádzkovateľ nemá povinnosť určiť prostriedky a spôsob spracúvania osobných údajov podľa odseku 1 písm. b) len vtedy, ak ich ustanovuje všeobecne záväzný právny predpis. Ostatné povinnosti podľa odseku 1 písm. c) až h) a písm. i) časti vety pred bodkočiarkou, je prevádzkovateľ povinný dodržiavať aj počas spracúvania osobných údajov na základe osobitného zákona; týmto nie je dotknuté ustanovenie § 7 ods. 6 prvej vety vrátane jej časti za bodkočiarkou.
(3) Ďalšie spracúvanie zhromaždených osobných údajov na historické, vedecké alebo štatistické účely sa nepovažuje za nezlučiteľné s pôvodným účelom spracúvania vymedzeným v súlade s odsekom 1 písm. a) alebo ustanoveným podľa odseku 2 prvej vety. Po skončení pôvodného účelu spracúvania je prípustné zhromaždené osobné údaje ďalej spracúvať v nevyhnutnom rozsahu na historické, vedecké alebo štatistické účely len vtedy, ak prevádzkovateľ
a) zaručí, že spracúvané osobné údaje nepoužije v rozpore s oprávnenými záujmami dotknutej osoby a svojím konaním nebude neoprávnene zasahovať do práva na ochranu jej osobnosti a súkromia,
b) takéto osobné údaje náležite označí a anonymizuje ihneď, ako to bude možné alebo zlikviduje, keď sa stanú nepotrebnými.
(4) Prevádzkovateľ, ktorý poveril spracúvaním osobných údajov sprostredkovateľa, je povinný zabezpečiť, aby sprostredkovateľ dodržiaval povinnosti ustanovené v odseku 1 písm. c) až i) a odseku 3.
(5) V prípade pochybnosti o tom, či spracúvané osobné údaje svojím rozsahom, obsahom a spôsobom spracúvania alebo využívania zodpovedajú účelu ich spracúvania, či sú s daným účelom spracúvania zlučiteľné alebo časovo a vecne neaktuálne vo vzťahu k tomuto účelu, rozhodne úrad. Stanovisko úradu je záväzné.
§ 7
Súhlas dotknutej osoby
(1) Osobné údaje možno spracúvať len so súhlasom dotknutej osoby, ak tento zákon neustanovuje inak. Týmto nie sú dotknuté ustanovenia odseku 5 prvej vety, § 8 ods. 4 písm. b), § 9 ods. 1, § 9 ods. 1 písm. b) a c), § 10 ods. 6, § 23 ods. 4 písm. a) a § 23 ods. 5.
(2) Ak prevádzkovateľ spracúva osobné údaje na základe súhlasu dotknutej osoby, je povinný v prípade pochybností preukázať úradu kedykoľvek na jeho žiadosť, že súhlasom disponuje. Súhlas sa preukazuje zvukovým alebo zvukovo-obrazovým záznamom alebo čestným vyhlásením toho, kto poskytol osobné údaje do informačného systému, prípadne iným hodnoverným spôsobom. Písomný súhlas preukazuje prevádzkovateľ úradu dokladom, ktorý potvrdzuje poskytnutie súhlasu. Dôkaz o súhlase obsahuje najmä údaj o tom, kto súhlas poskytol, komu sa tento súhlas dáva, na aký účel, zoznam alebo rozsah osobných údajov, dobu platnosti súhlasu a podmienky jeho odvolania. Súhlas daný v písomnej forme je bez vlastnoručného podpisu toho, kto súhlas dáva, neplatný.
(3) Súhlas podľa odseku 1 sa nevyžaduje, ak sa osobné údaje spracúvajú na základe osobitného zákona, 4) ktorý ustanovuje zoznam osobných údajov, účel ich spracúvania a okruh dotknutých osôb. Spracúvané osobné údaje o dotknutej osobe možno z informačného systému poskytnúť, sprístupniť alebo zverejniť len vtedy, ak osobitný zákon ustanovuje účel poskytovania, sprístupňovania alebo zverejňovania, zoznam osobných údajov, ktoré možno poskytnúť, sprístupniť alebo zverejniť, ako aj tretie strany, ktorým sa osobné údaje poskytujú, prípadne okruh príjemcov, ktorým sa osobné údaje sprístupňujú, ak tento zákon neustanovuje inak. Týmto nie je dotknuté ustanovenie § 9 ods. 1 písm. a).
(4) Ďalej bez súhlasu uvedeného v odseku 1 možno osobné údaje spracúvať len vtedy, ak
a) spracúvanie osobných údajov je nevyhnutné na účely tvorby umeleckých alebo literárnych diel, pre potreby informovania verejnosti masovokomunikačnými prostriedkami a ak osobné údaje spracúva prevádzkovateľ, ktorému to vyplýva z predmetu jeho činnosti; to neplatí, ak spracúvaním osobných údajov na takýto účel prevádzkovateľ porušuje právo dotknutej osoby na ochranu jej osobnosti a súkromia alebo takéto spracúvanie osobných údajov bez súhlasu dotknutej osoby vylučuje osobitný zákon alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná,
b) spracúvanie osobných údajov je nevyhnutné na plnenie zmluvy, v ktorej vystupuje dotknutá osoba ako jedna zo zmluvných strán alebo na zavedenie predzmluvných vzťahov alebo opatrení na žiadosť dotknutej osoby,
c) spracúvanie osobných údajov je nevyhnutné na ochranu života, zdravia alebo majetku dotknutej osoby alebo inej fyzickej osoby, ktorá nemá spôsobilosť na právne úkony alebo je fyzicky nespôsobilá na vydanie súhlasu, a ak nemožno získať súhlas jej zákonného zástupcu,
d) predmetom spracúvania sú výlučne titul, meno, priezvisko a adresa dotknutej osoby bez možnosti priradiť k nim ďalšie jej osobné údaje a ich využitie je určené výhradne pre potreby prevádzkovateľa v poštovom styku s dotknutou osobou a evidencie týchto údajov; ak je predmetom činnosti prevádzkovateľa priamy marketing, uvedené osobné údaje môže poskytovať, bez možnosti ich sprístupňovania a zverejňovania, len vtedy, ak sú poskytované inému prevádzkovateľovi, ktorý má rovnaký predmet činnosti výhradne na účely priameho marketingu, a dotknutá osoba písomne neuplatnila námietku podľa § 20 ods. 3 písm. c),
e) sa spracúvajú už zverejnené osobné údaje; v týchto prípadoch treba osobné údaje náležite označiť,
f) spracúvanie osobných údajov je nevyhnutné na splnenie dôležitej úlohy realizovanej vo verejnom záujme, alebo
g) spracúvanie osobných údajov je nevyhnutné na ochranu zákonných práv a právom chránených záujmov prevádzkovateľa alebo tretej strany za predpokladu, že pri takomto spracúvaní osobných údajov prevádzkovateľ a tretia strana rešpektuje základné práva a slobody dotknutej osoby a svojím konaním neoprávnene nezasahuje do práva na ochranu jej osobnosti a súkromia.
(5) Osobné údaje o dotknutej osobe možno získať od inej osoby a spracúvať v informačnom systéme len s predchádzajúcim písomným súhlasom dotknutej osoby. To neplatí, ak poskytnutím osobných údajov o dotknutej osobe do informačného systému iná osoba chráni svoje zákonné práva alebo právom chránené záujmy, alebo oznamuje skutočnosti, ktoré odôvodňujú uplatnenie právnej zodpovednosti dotknutej osoby, alebo sa osobné údaje spracúvajú na základe osobitného zákona podľa odseku 3 alebo § 9 ods. 1 písm. a). Ten, kto takto osobné údaje spracúva, musí vedieť preukázať úradu kedykoľvek na jeho žiadosť, že ich získal v súlade s týmto zákonom.
(6) Zoznam osobných údajov podľa odseku 3 a § 9 ods. 1 písm. a) možno nahradiť rozsahom osobných údajov len vtedy, ak vzhľadom na účel spracúvania osobných údajov ustanovený v osobitnom zákone sa nedajú vopred konkrétne určiť jednotlivé osobné údaje, ktoré majú byť predmetom spracúvania; prevádzkovateľ je povinný pri takomto spracúvaní osobných údajov postupovať podľa § 6 ods. 1 písm. d) s výnimkou tých prevádzkovateľov, ktorí spracúvajú osobné údaje na účely súdneho konania a v súvislosti s ním. Zoznam tretích strán podľa odseku 3 a § 9 ods. 1 písm. a) možno nahradiť určením okruhu tretích strán len vtedy, ak vzhľadom na povahu veci nemožno vopred špecifikovať jednotlivé tretie strany, ktorým sa osobné údaje poskytujú, alebo ak tretie strany tvoria skupinu subjektov s rovnakým predmetom činnosti a vykonávajú spracúvanie osobných údajov na rovnaký alebo rovnaké účely, prípadne ak zloženie takejto skupiny podlieha neustálej zmene.
(7) Ten, kto mieni zverejniť osobné údaje dotknutej osoby, nesmie svojím konaním neoprávnene zasahovať do práva na ochranu jej osobnosti a súkromia; ich zverejnenie nesmie byť v rozpore s oprávnenými záujmami dotknutej osoby.7)
(8) Ak dotknutá osoba nemá spôsobilosť na právne úkony v plnom rozsahu, 8) súhlas vyžadovaný podľa tohto zákona môže poskytnúť jej zákonný zástupca.9)
(9) Ak dotknutá osoba nežije, súhlas vyžadovaný podľa tohto zákona môže poskytnúť jej blízka osoba.10) Súhlas nie je platný, ak čo len jedna blízka osoba písomne vyslovila nesúhlas.
(10) Ustanovenie odseku 6 sa použije aj v prípadoch, keď sa postupuje podľa § 5 ods. 2 alebo § 10 ods. 1 alebo 2.
(11) Osobné údaje dotknutej osoby možno poskytnúť z informačného systému inej právnickej osobe, fyzickej osobe, prípadne subjektu v cudzine len spolu s písomným dokladom o danom súhlase, ak tento zákon takýto súhlas vyžaduje; ten, kto osobné údaje takto poskytuje, môže písomný doklad o danom súhlase nahradiť písomným vyhlásením prevádzkovateľa o udelení súhlasu dotknutými osobami, ak prevádzkovateľ vie preukázať, že písomný súhlas dotknutých osôb bol daný.
(12) Osobné údaje podľa odseku 4 písm. c) a podľa § 9 ods. 1 písm. b) možno spracúvať bez súhlasu dotknutej osoby len po dobu, kým nezaniknú dôvody, ktoré neumožňovali získať súhlas dotknutej osoby. Ak dôvody zanikli, ten kto osobné údaje spracúva, zabezpečí súhlas dotknutej osoby.
(13) Ten, kto tvrdí, že spracúva zverejnené osobné údaje, na požiadanie preukáže úradu, že spracúvané osobné údaje boli už zverejnené.
(14) Užívateľ môže sprístupnené osobné údaje o dotknutej osobe spracúvať len pre vlastnú potrebu výlučne v rámci osobných alebo domácich činností.
§ 8
Osobitné kategórie osobných údajov
(1) Spracúvať osobné údaje, ktoré odhaľujú rasový alebo etnický pôvod, politické názory, náboženskú vieru alebo svetonázor, členstvo v politických stranách alebo politických hnutiach, členstvo v odborových organizáciách a údaje týkajúce sa zdravia alebo pohlavného života, sa zakazuje.
(2) Pri spracúvaní osobných údajov možno využiť na účely určenia fyzickej osoby všeobecne použiteľný identifikátor ustanovený osobitným zákonom11) len vtedy, ak jeho použitie je nevyhnutné na dosiahnutie daného účelu spracúvania. Spracúvať iný identifikátor, ktorý v sebe skrýva charakteristiky dotknutej osoby, alebo zverejňovať všeobecne použiteľný identifikátor sa zakazuje.
(3) Spracúvanie osobných údajov o porušení ustanovení predpisov trestného práva, priestupkového práva alebo občianskeho práva, ako aj o výkone právoplatných rozsudkov alebo rozhodnutí môže vykonávať len ten, komu to umožňuje osobitný zákon.12)
(4) Spracúvanie biometrických údajov možno vykonávať len za podmienok ustanovených v osobitnom zákone, ak
a) to prevádzkovateľovi vyplýva výslovne zo zákona, alebo
b) na spracúvanie dala písomný súhlas dotknutá osoba.
(5) Spracúvanie osobných údajov o psychickej identite fyzickej osoby alebo o jej psychickej pracovnej spôsobilosti môže vykonávať len psychológ alebo ten, komu to umožňuje osobitný zákon.13)
§ 9
Výnimky z obmedzení pri spracúvaní osobitných kategórií osobných údajov
(1) Zákaz spracúvania osobných údajov ustanovený v § 8 ods. 1 neplatí, ak dotknutá osoba dala písomný súhlas na ich spracúvanie alebo ak
a) spracúvanie vyžaduje osobitný zákon, ktorý ustanovuje zoznam osobných údajov, účel ich spracúvania a okruh dotknutých osôb; spracúvané osobné údaje o dotknutej osobe možno z informačného systému poskytnúť, sprístupniť alebo zverejniť len vtedy, ak osobitný zákon ustanovuje účel poskytovania, sprístupňovania alebo zverejňovania, zoznam osobných údajov, ktoré možno poskytnúť, sprístupniť alebo zverejniť, ako aj tretie strany, ktorým sa osobné údaje poskytujú, prípadne okruh príjemcov, ktorým sa osobné údaje sprístupňujú, ak tento zákon neustanovuje inak, alebo
b) spracúvanie je nevyhnutné na ochranu životne dôležitých záujmov dotknutej osoby alebo inej fyzickej osoby, ktorá nemá spôsobilosť na právne úkony alebo je fyzicky nespôsobilá na vydanie písomného súhlasu, a ak nemožno získať písomný súhlas jej zákonného zástupcu, alebo
c) spracúvanie vykonáva v rámci oprávnenej činnosti občianske združenie, nadácia alebo nezisková organizácia poskytujúca všeobecne prospešné služby, politická strana alebo politické hnutie, odborová organizácia, štátom uznaná cirkev alebo náboženská spoločnosť a toto spracúvanie sa týka iba ich členov alebo tých fyzických osôb, ktoré sú s nimi vzhľadom na ich ciele v pravidelnom styku, osobné údaje slúžia výlučne pre ich vnútornú potrebu a nebudú poskytnuté tretej strane bez písomného súhlasu dotknutej osoby, alebo
d) spracúvanie sa týka osobných údajov, ktoré dotknutá osoba zverejnila alebo sú nevyhnutné pri uplatňovaní jej právneho nároku, alebo
e) ide o spracúvanie na účely poskytovania zdravotnej starostlivosti a na účely vykonávania verejného zdravotného poistenia, ak tieto údaje spracúva poskytovateľ zdravotnej starostlivosti, zdravotná poisťovňa alebo Úrad pre dohľad nad zdravotnou starostlivosťou alebo.
f) ide o spracúvanie v sociálnom poistení, v sociálnom zabezpečení policajtov a vojakov, na účely poskytovania sociálnej pomoci alebo pomoci v hmotnej núdzi, alebo je spracúvanie nevyhnutné na účely plnenia povinností alebo uplatnenie zákonných práv prevádzkovateľa zodpovedného za spracúvanie v oblasti pracovného práva a v službách zamestnanosti a ak to prevádzkovateľovi vyplýva z osobitného zákona. 13a)
(2) Písomný súhlas dotknutej osoby daný podľa odseku 1 je neplatný, ak jeho poskytnutie vylučuje osobitný zákon.
(3) Ustanovenie § 8 ods. 4 sa nepoužije, ak sa spracúvajú biometrické údaje s výnimkou analýzy deoxyribonukleovej kyseliny a profilu deoxyribonukleovej kyseliny fyzických osôb na účely evidencie alebo identifikácie vstupu do citlivých, osobitne chránených objektov, vyhradených priestorov alebo prístupu do technických zariadení alebo prístrojov s vysokou mierou rizika a ak ide výlučne o vnútornú potrebu prevádzkovateľa.
§ 10
Získavanie osobných údajov
(1) Prevádzkovateľ, ktorý mieni získať od dotknutej osoby jej osobné údaje, je povinný najneskôr pri ich získavaní informovať dotknutú osobu a bez vyzvania jej vopred oznámiť
a) názov a sídlo alebo trvalý pobyt prevádzkovateľa; ak za prevádzkovateľa so sídlom alebo s trvalým pobytom v tretej krajine koná na území Slovenskej republiky zástupca prevádzkovateľa, aj jeho názov a sídlo alebo trvalý pobyt,
b) názov a sídlo alebo trvalý pobyt sprostredkovateľa, ak v mene prevádzkovateľa alebo zástupcu prevádzkovateľa získava osobné údaje sprostredkovateľ; v takomto prípade je povinný včas oznámiť dotknutej osobe informácie podľa tohto odseku sprostredkovateľ,
c) účel spracúvania osobných údajov a
d) ďalšie doplňujúce informácie v takom rozsahu, v akom sú s ohľadom na všetky okolnosti spracúvania osobných údajov potrebné pre dotknutú osobu na zaručenie jej práv a právom chránených záujmov, najmä právo byť informovaná o podmienkach spracúvania svojich osobných údajov
1. preukázanie totožnosti oprávnenej osoby, ktorá získava osobné údaje alebo preukázanie príslušnosti oprávnenej osoby hodnoverným dokladom k tomu subjektu, v mene ktorého koná; oprávnená osoba je povinná takejto žiadosti dotknutej osoby bez zbytočného odkladu vyhovieť,
2. poučenie o dobrovoľnosti alebo povinnosti poskytnúť požadované osobné údaje; ak sa dotknutá osoba sama rozhoduje o poskytnutí svojich osobných údajov, prevádzkovateľ oznámi dotknutej osobe, na základe akého právneho podkladu mieni spracúvať jej osobné údaje; ak dotknutej osobe povinnosť poskytnúť osobné údaje vyplýva z osobitného zákona, prevádzkovateľ oznámi dotknutej osobe zákon, ktorý jej túto povinnosť ukladá a upovedomí ju o následkoch odmietnutia poskytnúť osobné údaje,
3. tretie strany, ak sa predpokladá alebo je zrejmé, že im budú osobné údaje poskytnuté,
4. okruh príjemcov, ak sa predpokladá alebo je zrejmé, že im budú osobné údaje sprístupnené,
5. formu zverejnenia, ak majú byť osobné údaje zverejnené,
6. tretie krajiny, ak sa predpokladá alebo je zrejmé, že sa do týchto krajín uskutoční prenos osobných údajov,
7. poučenie o existencii práv dotknutej osoby.
(2) Ak osobné údaje o dotknutej osobe nezískal prevádzkovateľ priamo od tejto dotknutej osoby, je povinný bez zbytočného odkladu, najneskôr však v čase pred ich prvým poskytnutím tretej strane, ak sa takéto poskytovanie predpokladalo už pri získavaní osobných údajov, oznámiť dotknutej osobe informácie podľa odseku 1 písm. a) až c) a ďalšie doplňujúce informácie v takom rozsahu, v akom sú s ohľadom na všetky okolnosti spracúvania osobných údajov potrebné pre dotknutú osobu na zaručenie jej práv a právom chránených záujmov, najmä právo byť informovaná o podmienkach spracúvania svojich osobných údajov
a) poučenie o možnosti rozhodnúť o spracúvaní získaných osobných údajov,
b) zoznam osobných údajov,
c) tretie strany, ak sa predpokladá alebo je zrejmé, že im budú osobné údaje poskytnuté,
d) okruh príjemcov, ak sa predpokladá alebo je zrejmé, že im budú osobné údaje sprístupnené,
e) formu zverejnenia, ak majú byť osobné údaje zverejnené,
f) tretie krajiny, ak sa predpokladá alebo je zrejmé, že sa do týchto krajín uskutoční prenos osobných údajov,
g) poučenie o existencii práv dotknutej osoby.
(3) Informácie podľa odseku 1 netreba dotknutej osobe oznamovať, ak s ohľadom na všetky okolnosti vie prevádzkovateľ úradu kedykoľvek na jeho žiadosť preukázať, že v čase získavania osobných údajov boli všetky potrebné informácie dotknutej osobe už známe. Informácie podľa odseku 2 netreba dotknutej osobe oznamovať, ak
a) s ohľadom na všetky okolnosti vie prevádzkovateľ úradu kedykoľvek na jeho žiadosť preukázať, že všetky potrebné informácie boli v čase rozhodujúcej udalosti dotknutej osobe už známe,
b) spracúvanie osobných údajov umožňuje osobitný zákon alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná,
c) predmetom spracúvania sú výlučne zverejnené osobné údaje, alebo
d) spracúvané osobné údaje sú určené na účely tvorby umeleckých alebo literárnych diel alebo pre potreby informovania verejnosti masovokomunikačnými prostriedkami za podmienok ustanovených v § 7 ods. 4 písm. a) časti vety pred bodkočiarkou, ako aj na historický výskum alebo vedecký výskum a vývoj, alebo sú určené na účely štátnej štatistiky a ak vzhľadom na všetky okolnosti vie prevádzkovateľ úradu kedykoľvek na jeho žiadosť preukázať, že poskytnutie takýchto informácií je objektívne nemožné alebo by si vyžiadalo neúmerne vysoké náklady a mimoriadne úsilie.
(4) Prevádzkovateľ, ktorý získava osobné údaje na účely identifikácie fyzickej osoby pri jej jednorazovom vstupe do jeho priestorov, je oprávnený od nej požadovať meno, priezvisko, titul a číslo občianskeho preukazu 14) alebo číslo služobného preukazu, alebo číslo cestovného dokladu, 15) štátnu príslušnosť a preukázanie pravdivosti poskytnutých osobných údajov predkladaným dokladom. Ak sa fyzická osoba preukáže podľa osobitného zákona, 16) je prevádzkovateľ oprávnený od nej požadovať len evidenčné číslo služobného preukazu. V týchto prípadoch sa odsek 1 nepoužije.
(5) Prevádzkovateľ alebo sprostredkovateľ, ktorý v priestoroch prístupných verejnosti získava, poskytuje alebo sprístupňuje osobné údaje, zabezpečí diskrétnosť pri ich spracúvaní.
(6) Získavať osobné údaje nevyhnutné na dosiahnutie účelu spracúvania kopírovaním, skenovaním alebo iným zaznamenávaním úradných dokladov na nosič informácií možno len vtedy, ak s tým dotknutá osoba písomne súhlasí alebo ak to osobitný zákon výslovne umožňuje bez súhlasu dotknutej osoby. 17) Súhlas dotknutej osoby si prevádzkovateľ ani sprostredkovateľ nesmú vynucovať ani podmieňovať hrozbou odmietnutia zmluvného vzťahu, služby, tovaru alebo povinnosti ustanovenej prevádzkovateľovi alebo sprostredkovateľovi zákonom.
(7) Priestor prístupný verejnosti možno monitorovať pomocou videozáznamu alebo audiozáznamu len na účely verejného poriadku a bezpečnosti, odhaľovania kriminality alebo narušenia bezpečnosti štátu, a to len vtedy, ak priestor je zreteľne označený ako monitorovaný. Označenie monitorovaného priestoru sa nevyžaduje, ak tak ustanovuje osobitný zákon. Vyhotovený záznam možno využiť len na účely trestného konania alebo konania o priestupkoch, ak osobitný zákon neustanovuje inak.
(8) Prevádzkovateľ, ktorý získa osobné údaje uvedené v § 7 ods. 4 písm. d) bez vedomia dotknutej osoby alebo priamo od nej, poskytne jej pri prvom kontakte informácie podľa odseku 1 a ak sú spracúvané na účely priameho marketingu, oboznámi ju aj s právom písomne namietať proti ich poskytovaniu a využívaniu v poštovom styku.
(9) Prevádzkovatelia, ktorých predmetom činnosti je priamy marketing, vedú zoznam poskytnutých osobných údajov podľa § 7 ods. 4 písm. d) v rozsahu meno, priezvisko, titul a adresa dotknutej osoby, dátum ich poskytnutia, prípadne dátum, od ktorého platí zákaz ich ďalšieho poskytovania podľa § 13 ods. 6, a názov právnickej osoby alebo fyzickej osoby, ktorej boli uvedené osobné údaje poskytnuté. Zoznam v rovnakom rozsahu vedú aj právnické osoby a fyzické osoby, ktorým boli tieto osobné údaje poskytnuté.
§ 11
Pravdivosť osobných údajov
Do informačného systému možno poskytnúť len pravdivé osobné údaje. Za nepravdivosť osobných údajov zodpovedá ten, kto ich do informačného systému poskytol.
§ 12
Správnosť a aktuálnosť osobných údajov
(1) Správnosť a aktuálnosť osobných údajov zabezpečuje prevádzkovateľ. Za správny sa považuje taký osobný údaj, ktorý sa poskytol v súlade s § 11.
(2) Osobný údaj sa považuje za správny, kým sa nepreukáže opak.
§ 13
Likvidácia osobných údajov
(1) Prevádzkovateľ po splnení účelu spracúvania zabezpečí bezodkladne likvidáciu osobných údajov.
(2) Prevádzkovateľ zabezpečí bezodkladne likvidáciu osobných údajov okrem osobných údajov uvedených v § 7 ods. 4 písm. d) aj vtedy, ak
a) zanikli dôvody, ktoré neumožňovali získať súhlas dotknutej osoby (§ 7 ods. 12), a súhlas nebol daný, alebo
b) dotknutá osoba uplatní námietku podľa § 20 ods. 3 písm. a); ďalej prevádzkovateľ postupuje podľa odseku 5.
(3) Odsek 1 sa nepoužije, ak
a) osobitný zákon ustanovuje lehotu, 18) ktorá neumožňuje osobné údaje bezodkladne zlikvidovať; prevádzkovateľ zabezpečí likvidáciu osobných údajov bezodkladne po uplynutí zákonom ustanovenej lehoty,
b) sú osobné údaje súčasťou archívnych dokumentov, 19)
c) sa písomný, obrazový, zvukový alebo iný záznam obsahujúci osobné údaje zaradí do predarchívnej starostlivosti;20) počas predarchívnej starostlivosti sa nesmú vykonávať žiadne operácie spracúvania s osobnými údajmi s výnimkou ich uchovávania a využiť ich možno len na účely občianskoprávneho konania, trestného konania alebo správneho konania.
(4) Úschovné lehoty písomných, obrazových, zvukových a iných záznamov, ktoré obsahujú osobné údaje a sú zaradené do predarchívnej starostlivosti, možno stanoviť len na dobu nevyhnutnú na uplatnenie práv alebo povinností ustanovených zákonom.21)
(5) Ak dotknutá osoba uplatní námietku podľa § 20 ods. 3 písm. b), prevádzkovateľ bezodkladne skončí využívanie osobných údajov uvedených v § 7 ods. 4 písm. d) v poštovom styku.
(6) Ak dotknutá osoba uplatní námietku podľa § 20 ods. 3 písm. c), prevádzkovateľ to bezodkladne písomne oznámi každému, komu osobné údaje uvedené v § 7 ods. 4 písm. d) poskytol; zákaz ďalšieho poskytovania tu uvedených osobných údajov platí pre prevádzkovateľa a každého, komu ich prevádzkovateľ poskytol odo dňa nasledujúceho po dni doručenia námietky dotknutej osoby, prípadne doručenia písomného oznámenia prevádzkovateľa.
(7) Ak vyhotovený záznam podľa § 10 ods. 7 nie je využitý na účely trestného konania alebo konania o priestupkoch, ten, kto ho vyhotovil, ho zlikviduje najneskôr v lehote siedmich dní odo dňa nasledujúceho po dni, v ktorom bol záznam vyhotovený, ak osobitný zákon neustanovuje inak.
§ 14
Oznámenie o vykonaní opravy alebo likvidácie
(1) Opravu alebo likvidáciu osobných údajov oznámi prevádzkovateľ do 30 dní od ich vykonania dotknutej osobe a každému, komu ich poskytol.
(2) Od oznámenia možno upustiť, ak sa neoznámením opravy alebo likvidácie osobných údajov neporušia práva dotknutej osoby.
DRUHÁ HLAVA
BEZPEČNOSŤ OSOBNÝCH ÚDAJOV
§ 15
Zodpovednosť za bezpečnosť osobných údajov
(1) Za bezpečnosť osobných údajov zodpovedá prevádzkovateľ a sprostredkovateľ tým, že ich chráni pred náhodným, ako aj nezákonným poškodením a zničením, náhodnou stratou, zmenou, nedovoleným prístupom a sprístupnením, ako aj pred akýmikoľvek inými neprípustnými formami spracúvania. Na tento účel prijme primerané technické, organizačné a personálne opatrenia zodpovedajúce spôsobu spracúvania, pričom berie do úvahy najmä
a) použiteľné technické prostriedky,
b) rozsah možných rizík, ktoré sú spôsobilé narušiť bezpečnosť alebo funkčnosť informačného systému,
c) dôvernosť a dôležitosť spracúvaných osobných údajov.
(2) Opatrenia podľa odseku 1 prijme prevádzkovateľ a sprostredkovateľ vo forme bezpečnostného projektu informačného systému (ďalej len bezpečnostný projekt ) a zabezpečí jeho vypracovanie, ak
a) sú v informačnom systéme spracúvané osobitné kategórie osobných údajov podľa § 8 a informačný systém je prepojený na verejne prístupnú počítačovú sieť alebo je prevádzkovaný v počítačovej sieti, ktorá je prepojená na verejne prístupnú počítačovú sieť,
b) sú v informačnom systéme spracúvané osobitné kategórie osobných údajov podľa § 8; v tomto prípade prevádzkovateľ a sprostredkovateľ len zdokumentuje prijaté technické, organizačné a personálne opatrenia v rozsahu, ktorý ustanovuje § 16 ods. 3 písm. c) a ods. 6, alebo
c) informačný systém slúži na zabezpečenie verejného záujmu podľa § 2 ods. 1; ustanovenie § 16 sa pri vypracúvaní bezpečnostného projektu nepoužije len vtedy, ak pre konkrétny prípad je tu súčasne povinnosť vypracovať bezpečnostný projekt podľa osobitného zákona 21a).
(3) Na požiadanie úradu prevádzkovateľ a sprostredkovateľ preukážu rozsah a obsah prijatých technických, organizačných a personálnych opatrení podľa odseku 1 alebo 2.
(4) Ak sú predmetom kontroly informačné systémy podľa odseku 2, úrad má právo požadovať od prevádzkovateľa alebo sprostredkovateľa predloženie hodnotiacej správy o výsledku auditu bezpečnosti informačného systému (ďalej len "hodnotiaca správa"), ak sú vážne pochybnosti o jeho bezpečnosti alebo o praktickom uplatňovaní opatrení uvedených v bezpečnostnom projekte. Hodnotiacu správu, nie staršiu ako dva roky, bezodkladne predloží prevádzkovateľ alebo sprostredkovateľ úradu, inak zabezpečí vykonanie auditu bezpečnosti informačného systému na vlastné náklady a predloží hodnotiacu správu najneskôr do troch mesiacov odo dňa uloženia povinnosti.
(5) Audit bezpečnosti informačného systému môže vykonať iba externá, odborne spôsobilá právnická osoba alebo fyzická osoba, ktorá sa nepodieľala na vypracovaní bezpečnostného projektu predmetného informačného systému, a nie sú pochybnosti o jej nezaujatosti.
§ 16
Bezpečnostný projekt
(1) Bezpečnostný projekt vymedzuje rozsah a spôsob technických, organizačných a personálnych opatrení potrebných na eliminovanie a minimalizovanie hrozieb a rizík pôsobiacich na informačný systém z hľadiska narušenia jeho bezpečnosti, spoľahlivosti a funkčnosti.
(2) Bezpečnostný projekt sa spracúva v súlade so základnými pravidlami bezpečnosti informačného systému vydanými bezpečnostnými štandardmi, právnymi predpismi a medzinárodnými zmluvami, ktorými je Slovenská republika viazaná.
(3) Bezpečnostný projekt obsahuje najmä
a) bezpečnostný zámer,
b) analýzu bezpečnosti informačného systému,
c) bezpečnostné smernice.
(4) Bezpečnostný zámer vymedzuje základné bezpečnostné ciele, ktoré je potrebné dosiahnuť na ochranu informačného systému pred ohrozením jeho bezpečnosti, a obsahuje najmä
a) formuláciu základných bezpečnostných cieľov a minimálne požadovaných bezpečnostných opatrení,
b) špecifikáciu technických, organizačných a personálnych opatrení na zabezpečenie ochrany osobných údajov v informačnom systéme a spôsob ich využitia,
c) vymedzenie okolia informačného systému a jeho vzťah k možnému narušeniu bezpečnosti,
d) vymedzenie hraníc určujúcich množinu zvyškových rizík.
(5) Analýza bezpečnosti informačného systému je podrobný rozbor stavu bezpečnosti informačného systému, ktorá obsahuje najmä
a) kvalitatívnu analýzu rizík, v rámci ktorej sa identifikujú hrozby pôsobiace na jednotlivé aktíva informačného systému spôsobilé narušiť jeho bezpečnosť alebo funkčnosť; výsledkom kvalitatívnej analýzy rizík je zoznam hrozieb, ktoré môžu ohroziť dôvernosť, integritu a dostupnosť spracúvaných osobných údajov, s uvedením rozsahu možného rizika, návrhov opatrení, kto é eliminujú alebo minimalizujú vplyv rizík, a s vymedzením súpisu nepokrytých rizík,
b) použitie bezpečnostný h štandardov a určenie iných metód a prostriedkov ochrany osobných údajov; súčasťou analýzy bezpečnosti informačného systému je posúdenie zhody navrhnutých bezpečnostných opatrení s použitými bezpečnostnými štandardmi, metódami a prostriedkami.
(6) Bezpečnostné smernice upresňujú a aplikujú závery vyplývajúce z bezpečnostného projektu na konkrétne podmienky prevádzkovaného informačného systému a obsahujú najmä
a) popis technických, organizačných a personálnych opatrení vymedzených v bezpečnostnom projekte a ich využitie v konkrétnych podmienkach,
b) rozsah oprávnení a popis povolených činností jednotlivých oprávnených osôb, spôsob ich identifikácie a autentizácie pri prístupe k informačnému systému,
c) rozsah zodpovednosti oprávnených osôb a osoby zodpovednej za dohľad nad ochranou osobných údajov (§ 19),
d) spôsob, formu a periodicitu výkonu kontrolných činností zameraných na dodržiavanie bezpečnosti informačného systému,
e) postupy pri haváriách, poruch&aa ute;ch a iných mimoriadnych situáciách vrátane preventívnych opatrení na zníženie vzniku mimoriadnych situácií a možností efektívnej obnovy stavu pred haváriou.
§ 17
Poučenie
Prevádzkovateľ alebo sprostredkovateľ je povinný poučiť oprávnené osoby o právach a povinnostiach ustanovených týmto zákonom a o zodpovednosti za ich porušenie. Poučenie vykoná prevádzkovateľ alebo sprostredkovateľ pred vydaním prvého pokynu oprávnenej osobe na vykonanie akejkoľvek spracovateľskej operácie s osobnými údajmi. Oprávnená osoba poučenie potvrdí svojím podpisom; o poučení prevádzkovateľ alebo sprostredkovateľ vedie písomný záznam.
§ 18
Povinnosť mlčanlivosti
(1) Prevádzkovateľ a sprostredkovateľ sú povinní zachovávať mlčanlivosť o osobných údajoch, ktoré spracúvajú. Povinnosť mlčanlivosti trvá aj po ukončení spracovania. Povinnosť mlčanlivosti nemajú, ak je to podľa osobitného zákona nevyhnutné na plnenie úloh orgánov činných v trestnom konaní; tým nie sú dotknuté ustanovenia osobitných zákonov.22)
(2) Oprávnená osoba je povinná zachovávať mlčanlivosť o osobných údajoch, s ktorými príde do styku; tie nesmie využiť ani pre osobnú potrebu a bez súhlasu prevádzkovateľa ich nesmie zverejniť a nikomu poskytnúť ani sprístupniť.
(3) Povinnosť mlčanlivosti podľa odseku 2 platí aj pre iné fyzické osoby, ktoré v rámci svojej činnosti (napr. údržba a servis technických prostriedkov) prídu do styku s osobnými údajmi u prevádzkovateľa alebo sprostredkovateľa.
(4) Povinnosť mlčanlivosti podľa odseku 2 trvá aj po zániku funkcie oprávnenej osoby alebo po skončení jej pracovného pomeru alebo obdobného pracovného vzťahu, ako aj štátnozamestnaneckého pomeru alebo vzťahu podľa odseku 3.
(5) Odseky 1 až 4 a ustanovená povinnosť mlčanlivosti prevádzkovateľov, sprostredkovateľov a oprávnených osôb podľa osobitných predpisov23) sa nepoužijú vo vzťahu k úradu pri plnení jeho úloh (§ 38 až 44).
§ 19
Dohľad nad ochranou osobných údajov
(1) Za výkon dohľadu nad ochranou osobných údajov spracúvaných podľa tohto zákona zodpovedá prevádzkovateľ.
(2) Ak prevádzkovateľ zamestnáva viac ako päť osôb, výkonom dohľadu písomne poverí zodpovednú osobu alebo viaceré zodpovedné osoby, ktoré dozerajú na dodržiavanie zákonných ustanovení pri spracúvaní osobných údajov.
(3) Odborné vyškolenie zodpovednej osoby alebo viacerých zodpovedných osôb zabezpečí prevádzkovateľ. Rozsah odborného školenia zodpovedá najmä obsahu tohto zákona a úlohám z neho vyplývajúcim, ako aj obsahu medzinárodných zmlúv o ochrane osobných údajov, 24) ktoré boli vyhlásené spôsobom ustanoveným zákonom. Úrad môže od prevádzkovateľa žiadať podanie dôkazu o vykonanom odbornom školení.
(4) Zodpovedná osoba posúdi pred začatím spracúvania osobných údajov v informačnom systéme, či ich spracúvaním nevzniká nebezpečenstvo narušenia práv a slobôd dotknutých osôb. Zistenie narušenia práv a slobôd dotknutých osôb pred začatím spracúvania alebo porušenia zákonných ustanovení v priebehu spracúvania osobných údajov zodpovedná osoba bezodkladne písomne oznámi prevádzkovateľovi; ak prevádzkovateľ po upozornení bezodkladne nevykoná nápravu, oznámi to zodpovedná osoba úradu.
(5) Prevádzkovateľ, ktorý písomne poveril výkonom dohľadu nad ochranou osobných údajov zodpovednú osobu, je povinný o tom písomne informovať úrad bez zbytočného odkladu, najneskôr do 30 dní odo dňa poverenia zodpovednej osoby doporučenou zásielkou. Prevádzkovateľ oznámi úradu tieto údaje:
a) názov, sídlo alebo trvalý pobyt, právnu formu a identifikačné číslo prevádzkovateľa alebo zástupcu prevádzkovateľa,
b) titul, meno, priezvisko a dátum narodenia zodpovednej osoby,
c) pracovné zaradenie zodpovednej osoby,
d) dátum začiatku platnosti písomného poverenia zodpovednej osoby,
e) vyhlásenie prevádzkovateľa o tom, že zodpovedná osoba spĺňa podmienky ustanovené v odseku 12.
(6) Prevádzkovateľ oznámi úradu poverenie jednej zodpovednej osoby, a to aj vtedy, ak výkonom dohľadu nad ochranou osobných údajov súčasne poveril viac zodpovedných osôb. Ak prevádzkovateľ nahradí zodpovednú osobu, ktorú nahlásil úradu, inou zodpovednou osobou, postupuje podľa odseku 5.
(7) Zodpovedná osoba zabezpečuje
a) potrebnú súčinnosť s úradom pri plnení úloh patriacich do jeho pôsobnosti; na požiadanie je zodpovedná osoba povinná úradu kedykoľvek predložiť svoje písomné poverenie, písomné oznámenia vystavené pre prevádzkovateľa podľa odseku 4, preukázať rozsah získaných vedomostí odborným školením,
b) povinnosti podľa odseku 4,
c) dohľad nad plnením základných povinností prevádzkovateľa podľa § 6,
d) poučenie oprávnených osôb podľa § 17,
e) vybavovanie žiadostí dotknutých osôb podľa § 20 až 22,
f) realizáciu technických, organizačných a personálnych opatrení a dohliada na ich aplikáciu v praxi; ak je prevádzkovateľ povinný vypracovať bezpečnostný projekt v súlade s § 16 alebo dokumentáciu podľa § 15 ods. 2 písm. b), zabezpečuje ich vypracovanie,
g) dohľad pri výbere sprostredkovateľa podľa § 5 ods. 3 a 4, prípravu písomnej zmluvy alebo písomného poverenia pre sprostredkovateľa v súlade s § 5 ods. 2 a zodpovedá za jeho obsah; počas trvania zmluvného vzťahu alebo poverenia preveruje dodržiavanie dohodnutých podmienok,
h) dohľad nad cezhraničným tokom osobných údajov,
i) prihlásenie informačných systémov na osobitnú registráciu a oznamovanie zmien a odhlásenie informačných systémov z osobitnej registrácie; o informačných systémoch, ktoré nepodliehajú registrácii, vedie evidenciu v rozsahu ustanovenom týmto zákonom podľa § 29 a 30 a zabezpečuje jej sprístupnenie komukoľvek, kto o to požiada v súlade s § 32.
(8) Prevádzkovateľ, ktorý zamestnáva menej ako šesť osôb, môže výkonom dohľadu nad ochranou osobných údajov písomne poveriť zodpovednú osobu, ktorá dozerá na dodržiavanie zákonných ustanovení pri spracúvaní osobných údajov.
(9) Prevádzkovateľ, ktorý zamestnáva menej ako šesť osôb a výkonom dohľadu nad ochranou osobných údajov písomne nepoveril zodpovednú osobu, je povinný prihlásiť na registráciu tie informačné systémy, ktoré podľa tohto zákona podliehajú registrácii podľa § 25.
(10) Prevádzkovateľ je povinný umožniť zodpovednej osobe nezávislý výkon dohľadu nad ochranou osobných údajov a prijať jej oprávnené návrhy; upozornenie na nedostatky alebo vyslovenie požiadavky zodpovednou osobou v súvislosti s plnením jej povinností podľa odseku 7 sa nesmie stať podnetom ani dôvodom na konanie zo strany prevádzkovateľa, ktoré by zodpovednej osobe spôsobilo ujmu.
(11) Úrad je oprávnený uložiť prevádzkovateľovi povinnosť písomne poveriť dohľadom nad ochranou osobných údajov inú zodpovednú osobu, ak sa preukáže, že písomne poverená zodpovedná osoba neplnila alebo nedostatočne plnila povinnosti podľa odseku 7, alebo práva a povinnosti uložené prevádzkovateľovi týmto zákonom nesprávne posudzovala alebo ich nesprávne uplatňovala v praxi, alebo nespĺňa podmienky ustanovené v odseku 12. Prevádzkovateľ je povinný bez zbytočného odkladu úradu vyhovieť a dohľadom písomne poveriť inú zodpovednú osobu; ak tomu bránia dôvody hodné osobitného zreteľa, ktoré vie prevádzkovateľ úradu hodnoverne preukázať, úrad určí prevádzkovateľovi lehotu, dokedy je povinný vymeniť zodpovednú osobu, prípadne prihlásiť informačné systémy na registráciu.
(12) Zodpovednou osobou môže byť len fyzická osoba, ktorá má spôsobilosť na právne úkony v plnom rozsahu a spĺňa podmienku bezúhonnosti podľa § 35 ods. 4 prvej vety; bezúhonnosť sa preukazuje doložením výpisu z registra trestov nie starším ako tri mesiace, ktorý je prevádzkovateľ povinný uchovávať počas doby výkonu funkcie zodpovednej osoby. Zodpovednou osobou nemôže byť fyzická osoba, ktorá je štatutárnym orgánom prevádzkovateľa a fyzická osoba, ktorá je oprávnená konať v mene štatutárneho orgánu prevádzkovateľa. Zodpovedná osoba má postavenie oprávnenej osoby prevádzkovateľa.
TRETIA HLAVA
OCHRANA PRÁV DOTKNUTÝCH OSÔB
§ 20
Práva dotknutej osoby
(1) Dotknutá osoba má právo na základe písomnej žiadosti od prevádzkovateľa vyžadovať
a) vo všeobecne zrozumiteľnej forme informácie o stave spracúvania svojich osobných údajov v informačnom systéme v rozsahu podľa § 26 ods. 3; pri vydaní rozhodnutia podľa odseku 4 písm. b) je dotknutá osoba oprávnená oboznámiť sa s postupom spracúvania a vyhodnocovania operácií,
b) vo všeobecne zrozumiteľnej forme presné informácie o zdroji, z ktorého získal jej osobné údaje na spracúvanie,
c) vo všeobecne zrozumiteľnej forme odpis jej osobných údajov, ktoré sú predmetom spracúvania,
d) opravu jej nesprávnych, neúplných alebo neaktuálnych osobných údajov, ktoré sú predmetom spracúvania,
e) likvidáciu jej osobných údajov, ak bol splnený účel ich spracúvania podľa § 13 ods. 1; ak sú predmetom spracúvania úradné doklady obsahujúce osobné údaje, môže požiadať o ich vrátenie,
f) likvidáciu jej osobných údajov, ktoré sú predmetom spracúvania, ak došlo k porušeniu zákona.
(2) Právo dotknutej osoby možno obmedziť len podľa odseku 1 písm. d) a e), ak takéto obmedzenie vyplýva z osobitného zákona alebo jeho uplatnením by bola porušená ochrana dotknutej osoby, alebo by boli porušené práva a slobody iných osôb.
(3) Dotknutá osoba na základe bezplatnej písomnej žiadosti má právo u prevádzkovateľa namietať voči
a) spracúvaniu jej osobných údajov, o ktorých predpokladá, že sú alebo budú spracúvané na účely priameho marketingu bez jej súhlasu a žiadať ich likvidáciu,
b) využívaniu osobných údajov uvedených v § 7 ods. 4 písm. d) na účely priameho marketingu v poštovom styku, alebo
c) poskytovaniu osobných údajov uvedených v § 7 ods. 4 písm. d) na účely priameho marketingu.
(4) Dotknutá osoba na základe bezplatnej písomnej žiadosti alebo osobne, ak vec neznesie odklad, má právo u prevádzkovateľa kedykoľvek namietať
a) voči spracúvaniu osobných údajov v prípadoch podľa § 7 ods. 4 písm. a), e), f) alebo g) vyslovením oprávnených dôvodov alebo predložením dôkazov o neoprávnenom zasahovaní do jej práv a právom chránených záujmov, ktoré sú alebo môžu byť v konkrétnom prípade takýmto spracúvaním osobných údajov poškodené; ak tomu nebránia zákonné dôvody a preukáže sa, že námietka dotknutej osoby je oprávnená, prevádzkovateľ je povinný osobné údaje, ktorých spracúvanie dotknutá osoba namietala, bez zbytočného odkladu blokovať a zlikvidovať ihneď, ako to okolnosti dovolia,
b) a nepodrobiť sa rozhodnutiu prevádzkovateľa, ktoré by malo pre ňu právne účinky alebo významný dosah, ak sa takéto rozhodnutie vydá výlučne na základe úkonov automatizovaného spracúvania jej osobných údajov. Dotknutá osoba má právo žiadať prevádzkovateľa o preskúmanie vydaného rozhodnutia metódou odlišnou od automatizovanej formy spracúvania, pričom prevádzkovateľ je povinný žiadosti dotknutej osoby vyhovieť, a to tak, že rozhodujúcu úlohu pri preskúmaní rozhodnutia bude mať oprávnená osoba; o spôsobe preskúmania a výsledku zistenia prevádzkovateľ informuje dotknutú osobu v lehote podľa § 21 ods. 3. Dotknutá osoba nemá toto právo iba v prípade, ak to ustanovuje osobitný zákon, v ktorom sú opatrenia na zabezpečenie oprávnených záujmov dotknutej osoby, alebo ak rozhodnutie bolo prijaté v priebehu uzatvárania alebo plnenia zmluvy uzatváranej medzi prevádzkovateľom a dotknutou osobou za predpokladu, že sa vyhovelo požiadavke dotknutej osoby, ktorá je obsahom zmluvy, alebo dotknutej osobe bolo na základe dohody udelené právo kedykoľvek počas platnosti zmluvy uplatniť svoj názor.
(5) Dotknutá osoba má právo nesúhlasiť s rozhodnutím prevádzkovateľa podľa § 23 ods. 5 a odmietnuť prenos svojich osobných údajov do tretej krajiny, ktorá nezaručuje primeranú úroveň ochrany osobných údajov, ak sa má prenos vykonať na základe § 23 ods. 4 písm. a).
(6) Dotknutá osoba pri podozrení, že jej osobné údaje sa neoprávnene spracúvajú, môže podať o tom oznámenie úradu.
(7) Ak dotknutá osoba nemá spôsobilosť na právne úkony v plnom rozsahu, 8) jej práva môže uplatniť zákonný zástupca.9)
(8) Ak dotknutá osoba nežije, jej práva, ktoré mala podľa tohto zákona, môže uplatniť blízka osoba.10)
§ 21
Poskytnutie informácií dotknutej osobe
(1) Požiadavky dotknutej osoby podľa § 20 ods. 1 písm. a), d) až f) splní prevádzkovateľ bezplatne.
(2) Informácie podľa § 20 ods. 1 písm. b) a c) prevádzkovateľ poskytne dotknutej osobe bezplatne s výnimkou úhrady vo výške, ktorá nesmie prekročiť výšku materiálnych nákladov spojených so zhotovením kópií, so zadovážením technických nosičov a s odoslaním informácie dotknutej osobe, ak osobitný zákon neustanovuje inak.26)
(3) Prevádzkovateľ vyhovie požiadavkám dotknutej osoby podľa § 20 a písomne ju informuje najneskoršie do 30 dní od ich prijatia.
§ 22
Oznámenie o obmedzení práv dotknutej osoby
Obmedzenie práv dotknutej osoby podľa § 20 ods. 1 písm. d) a e) prevádzkovateľ bezodkladne písomne oznámi dotknutej osobe a úradu.
ŠTVRTÁ HLAVA
CEZHRANIČNÝ TOK OSOBNÝCH ÚDAJOV
§ 23
Prenos osobných údajov do tretích krajín
(1) Ak tretia krajina zaručuje primeranú úroveň ochrany osobných údajov, prenos osobných údajov do tejto tretej krajiny možno vykonať za predpokladu, že dotknutej osobe boli poskytnuté informácie podľa § 10 ods. 1 alebo 2, alebo bola splnená niektorá z podmienok uvedených v § 10 ods. 3.
(2) Primeranosť úrovne ochrany osobných údajov sa hodnotí na základe všetkých okolností súvisiacich s prenosom. Osobitne sa pritom posudzujú príslušné právne predpisy v cieľovej krajine vo vzťahu k povahe osobných údajov, účel a trvanie ich spracúvania.
(3) Prenos osobných údajov do tretej krajiny, ktorá nezaručuje primeranú úroveň ochrany osobných údajov, možno vykonať len vtedy, ak sa takýto prenos uskutočňuje na základe rozhodnutia Európskej komisie alebo ak je splnená niektorá z podmienok uvedených v odseku 4.
(4) V prípade, že cieľová krajina nezaručuje primeranú úroveň ochrany, možno prenos vykonať pod podmienkou, že
a) dotknutá osoba dala naň písomný súhlas s vedomím, že cieľová krajina nezaručuje primeranú úroveň ochrany,
b) je nevyhnutný na plnenie zmluvy medzi dotknutou osobou a prevádzkovateľom alebo na zavedenie predzmluvných opatrení na žiadosť dotknutej osoby,
c) je nevyhnutný na uzavretie zmluvy alebo plnenie zmluvy, ktorú prevádzkovateľ uzavrel v záujme dotknutej osoby s iným subjektom,
d) je nevyhnutný na plnenie medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, alebo vyplýva zo zákona z dôvodu dôležitého verejného záujmu alebo pri preukazovaní, uplatňovaní alebo obhajovaní právneho nároku,
e) je nevyhnutný na ochranu životne dôležitých záujmov dotknutej osoby, alebo
f) sa týka osobných údajov, ktoré sú súčasťou zoznamov, registrov alebo operátov a ktoré sú vedené a verejne prístupné podľa osobitných zákonov alebo sú podľa nich prístupné tým, ktorí preukážu právny nárok pri splnení zákonom ustanovených podmienok na ich sprístupnenie.
(5) Ak sa prevádzkovateľ rozhodne vykonať prenos osobných údajov do tretej krajiny, ktorá nezaručuje primeranú úroveň ochrany až po ich získaní, oznámi dotknutej osobe pred prenosom osobných údajov dôvod svojho rozhodnutia a oboznámi ju s právom odmietnuť takýto prenos podľa § 20 ods. 5, ak sa má prenos vykonať pod podmienkou uvedenou v odseku 4 písm. a); prevádzkovateľ je oprávnený vykonať navrhovaný prenos osobných údajov až po obdržaní písomného súhlasu dotknutej osoby.
(6) Ak prevádzkovateľ poverí spracúvaním osobných údajov subjekt v cudzine, ktorý ich spracúva v mene prevádzkovateľa, ten je oprávnený spracúvať osobné údaje len v rozsahu a za podmienok dojednaných s prevádzkovateľom v písomnej zmluve. Obsah zmluvy musí byť vypracovaný v súlade so štandardnými zmluvnými podmienkami ustanovenými na prenos osobných údajov subjektom v cudzine, ktoré ich spracúvajú v mene prevádzkovateľa.
(7) Na prenos osobných údajov podľa odseku 6 sa vyžaduje súhlas úradu.
(8) Ten, kto vykonáva prenos osobných údajov, zaručí ich bezpečnosť (§ 15 ods. 1) aj pri tranzite.
(9) Ochrana osobných údajov, prenesených na územie Slovenskej republiky od subjektov so sídlom alebo s trvalým pobytom v cudzine, sa vykonáva v súlade s týmto zákonom.
(10) V prípade pochybnosti o tom, či možno vykonať cezhraničný tok osobných údajov, rozhodne úrad. Stanovisko úradu je záväzné.
§ 23a
Prenos osobných údajov v rámci členských štátov
Európskej únie
(1) Voľný pohyb osobných údajov medzi Slovenskou republikou a členskými štátmi Európskej únie sa zaručuje; Slovenská republika neobmedzí ani nezakáže prenos osobných údajov z dôvodov ochrany základných práv a slobôd fyzických osôb, najmä ich práva na súkromie v súvislosti so spracúvaním ich osobných údajov.
(2) Prevádzkovateľ so sídlom alebo s trvalým pobytom na území Slovenskej republiky, ktorý zároveň spracúva osobné údaje prostredníctvom svojej organizačnej zložky alebo viacerých organizačných zložiek na území jedného alebo viacerých členských štátov Európskej únie, je povinný prijať opatrenia a zabezpečiť, aby každá jeho organizačná zložka spracúvala osobné údaje v súlade s právnym poriadkom platným v tom členskom štáte, v ktorom má príslušná organizačná zložka sídlo.
(3) Prevádzkovateľ, ktorý nemá sídlo alebo trvalý pobyt na území členského štátu Európskej únie, a na účely spracúvania osobných údajov využíva úplne alebo čiastočne automatizované alebo iné ako automatizované prostriedky spracúvania umiestnené na území Slovenskej republiky, pričom tieto prostriedky spracúvania nie sú využívané výlučne len na prenos osobných údajov cez územie členských štátov Európskej únie, je povinný pred začatím spracúvania osobných údajov vymenovať svojho zástupcu, ktorý má sídlo alebo trvalý pobyt na území Slovenskej republiky; tým nie je dotknuté vnútroštátne právo tretej krajiny, v ktorej má prevádzkovateľ sídlo alebo trvalý pobyt. Zástupca prevádzkovateľa je povinný preukázať úradu kedykoľvek na jeho žiadosť originál dokladu svojho vymenovania za zástupcu prevádzkovateľa. Pravosť podpisov a odtlačku pečiatky prevádzkovateľa na origináli dokladu musí byť overená orgánom štátu príslušným na jeho overenie alebo notárom v príslušnom štáte s odtlačkom pečiatky zastupiteľského úradu Slovenskej republiky v tomto štáte.
PIATA HLAVA
REGISTRÁCIA A EVIDENCIA INFORMAČNÝCH SYSTÉMOV
§ 24
Povinnosť registrácie a evidencie
Prevádzkovateľ registruje informačné systémy alebo vedie o nich evidenciu v rozsahu a za podmienok ustanovených týmto zákonom.
Registrácia
§ 25
Podmienky registrácie
(1) Registráciu informačných systémov vykonáva úrad bezplatne.
(2) Povinnosť registrácie sa vzťahuje na všetky informačné systémy, v ktorých sa spracúvajú osobné údaje úplne alebo čiastočne automatizovanými prostriedkami spracúvania s výnimkou tých informačných systémov, ktoré
a) podliehajú osobitnej registrácii podľa § 27 ods. 2,
b) podliehajú dohľadu zodpovednej osoby, ktorú písomne poveril prevádzkovateľ podľa § 19 ods. 2 alebo 8 a ktorá vykonáva dohľad nad ochranou osobných údajov podľa tohto zákona,
c) obsahujú osobné údaje fyzických osôb spracúvané na účely plnenia predzmluvných vzťahov alebo uplatňovania práv a povinností vyplývajúcich pre prevádzkovateľa z existujúceho alebo ukončeného pracovnoprávneho vzťahu, služobného pomeru, štátnozamestnaneckého pomeru alebo členského pomeru s týmito fyzickými osobami vrátane osobných údajov ich blízkych osôb, 10)
d) obsahujú osobné údaje o členstve osôb v odborovej organizácii, ktoré sú jej členmi a ak tieto osobné údaje spracúva odborová organizácia a využíva ich výlučne pre svoju vnútornú potrebu, alebo obsahujú osobné údaje o náboženskej viere osôb združených v štátom uznanej cirkvi alebo náboženskej spoločnosti a ak tieto osobné údaje spracúva cirkev alebo náboženská spoločnosť a využíva ich výlučne pre svoju vnútornú potrebu, alebo obsahujú osobné údaje o členstve osôb v politickej strane alebo v politickom hnutí, ktoré sú ich členmi a ak tieto osobné údaje spracúva politická strana alebo politické hnutie a využíva ich výlučne pre svoju vnútornú potrebu, alebo
e) obsahujú osobné údaje potrebné na uplatňovanie práv alebo plnenie povinností vyplývajúcich z osobitného zákona alebo sú spracúvané na základe osobitného zákona.
(3) Súčasťou registrácie je pridelenie registračného čísla informačnému systému a vydanie potvrdenia o jeho registrácii; ak bola splnená podmienka podľa § 26 ods. 2, spracúvanie osobných údajov v informačnom systéme nie je podmienené vydaním potvrdenia o jeho registrácii.
(4) V prípade pochybnosti o tom, či informačný systém podlieha registrácii, rozhodne úrad. Stanovisko úradu je záväzné.
§ 26
Prihlásenie na registráciu
(1) Za prihlásenie informačného systému na registráciu zodpovedá jeho prevádzkovateľ.
(2) Prevádzkovateľ prihlási informačný systém na registráciu pred začatím spracúvania osobných údajov.
(3) Pri prihlasovaní informačného systému na registráciu prevádzkovateľ uvedie tieto údaje:
a) názov, sídlo alebo trvalý pobyt, právnu formu a identifikačné číslo prevádzkovateľa,
b) meno a priezvisko štatutárneho orgánu prevádzkovateľa,
c) meno a priezvisko zodpovednej osoby vykonávajúcej dohľad nad ochranou osobných údajov, ak sa vyžaduje jej poverenie (§ 19 ods. 2),
d) názov, sídlo alebo trvalý pobyt, právnu formu a identifikačné číslo zástupcu prevádzkovateľa, ak koná na území Slovenskej republiky za prevádzkovateľa so sídlom alebo trvalým pobytom v tretej krajine; v takomto prípade sa v písmene a) uvedú údaje o prevádzkovateľovi, ktorý vymenoval zástupcu prevádzkovateľa,
e) meno a priezvisko štatutárneho orgánu alebo člena štatutárneho orgánu zástupcu prevádzkovateľa; v takomto prípade sa v písmene b) uvedú údaje o štatutárnom orgáne alebo o členovi štatutárneho orgánu prevádzkovateľa, ktorý vymenoval zástupcu prevádzkovateľa,
f) identifikačné označenie informačného systému,
g) účel spracúvania osobných údajov,
h) zoznam osobných údajov,
i) okruh dotknutých osôb,
j) okruh príjemcov, ak sa predpokladá alebo je zrejmé, že im budú osobné údaje sprístupnené,
k) tretie strany, prípadne okruh tretích strán, ak sa predpokladá alebo je zrejmé, že im budú osobné údaje poskytnuté,
l) tretie krajiny, ak sa predpokladá alebo je zrejmé, že sa do týchto krajín uskutoční prenos osobných údajov a právny základ cezhraničného toku,
m) právny základ informačného systému,
n) formu zverejnenia, ak sa zverejnenie osobných údajov vykonáva,
o) všeobecnú charakteristiku opatrení na zabezpečenie ochrany osobných údajov,
p) dátum začatia spracúvania osobných údajov.
(4) Údaje v rozsahu podľa odseku 3 sa úradu odovzdávajú v písomnej forme potvrdené štatutárnym orgánom prevádzkovateľa alebo elektronicky vo forme databázového súboru s doloženým výtlačkom obsahu súboru potvrdeným štatutárnym orgánom prevádzkovateľa. Písomnú formu a formát databázového súboru určí úrad. Doloženie výtlačku sa nepožaduje, ak databázový súbor je opatrený elektronickým podpisom podľa osobitného zákona.
§ 27
Podmienky osobitnej registrácie
(1) Osobitnú registráciu informačných systémov vykonáva úrad bezplatne.
(2) Osobitná registrácia sa vzťahuje na informačné systémy, v ktorých prevádzkovateľ spracúva
a) aspoň jeden z osobných údajov uvedených v § 8 ods. 1, a zároveň sa predpokladá alebo uskutočňuje ich prenos do tretej krajiny alebo tretích krajín, ktoré nezaručujú primeranú úroveň ochrany, na základe § 23 ods. 4 písm. a) alebo c),
b) osobné údaje na základe § 7 ods. 4 písm. g), alebo
c) osobné údaje na základe § 9 ods. 3.
(3) Prevádzkovateľ je povinný prihlásiť informačný systém na osobitnú registráciu na úrade pred začatím spracúvania osobných údajov.
(4) Pri osobitnej registrácii prevádzkovateľ uvedie údaje v rozsahu podľa § 26 ods. 3 a predloží podklady, ktoré sú nevyhnutné na posúdenie predmetného spracúvania. Na prihlásenie informačného systému na osobitnú registráciu sa primerane vzťahuje § 26 ods. 4.
(5) Úrad posúdi predložené údaje podľa odseku 4, preverí, či spracúvaním osobných údajov nevzniká nebezpečenstvo narušenia práv a slobôd dotknutých osôb a najneskôr do 60 dní odo dňa ich prijatia rozhodne o tom, či spracúvanie osobných údajov povolí; ak pri posudzovaní predložených údajov úrad zistí, že prihlásený informačný systém nepodlieha osobitnej registrácii, oznámi to bez zbytočného odkladu prevádzkovateľovi.
(6) V prípade pochybností si úrad vyžiada od prevádzkovateľa ďalšie vysvetlenia alebo podklady. Počas tejto doby lehota podľa odseku 5 neplynie.
(7) Súčasťou osobitnej registrácie je pridelenie registračného čísla informačnému systému a vydanie potvrdenia o jeho registrácii; prevádzkovateľ môže začať spracúvať osobné údaje v informačnom systéme prihlásenom na osobitnú registráciu v deň nasledujúci po dni, v ktorom úrad vydal potvrdenie.
(8) Na oznámenie zmien a odhlásenie informačného systému z osobitnej registrácie sa vzťahuje ustanovenie § 28.
(9) Ak úrad spracúvanie osobných údajov v informačnom systéme prihlásenom na osobitnú registráciu posúdi ako rizikové, zakáže prevádzkovateľovi spracúvanie osobných údajov na daný účel. Prevádzkovateľ je povinný rešpektovať rozhodnutie úradu a bez zbytočného odkladu vykonať opatrenia, aby sa spracúvanie osobných údajov neuskutočnilo.
§ 28
Oznámenie zmien a odhlásenie z registrácie
(1) Prevádzkovateľ do 15 dní písomne oznámi úradu akékoľvek zmeny údajov podľa § 26 ods. 3 s výnimkou písmena p), ktoré nastanú v priebehu spracúvania.
(2) Prevádzkovateľ do 15 dní odo dňa skončenia spracúvania osobných údajov v informačnom systéme tento z registrácie písomne odhlási. Súčasťou odhlásenia je dátum skončenia spracúvania osobných údajov.
(3) Na oznámenie zmien údajov a odhlásenie informačného systému z registrácie sa primerane použije § 26 ods. 4.
Evidencia
§ 29
Podmienky evidencie
(1) O informačných systémoch, ktoré nepodliehajú registrácii, prevádzkovateľ vedie evidenciu, a to najneskôr odo dňa začatia spracúvania údajov v týchto informačných systémoch.
(2) Odsek 1 sa nepoužije pre informačné systémy, ak
a) spracúvané osobné údaje slúžia výlučne pre potreby poštového styku s dotknutými osobami a evidencie týchto údajov [§ 7 ods. 4 písm. d)], alebo
b) obsahujú osobné údaje, ktoré sa spracúvajú výlučne na účely identifikácie osôb pri ich jednorazovom vstupe do priestorov prevádzkovateľa (§ 10 ods. 4).
§ 30
Obsah evidencie
Evidencia podľa § 29 ods. 1 obsahuje údaje uvedené v § 26 ods. 3.
Sprístupnenie stavu registrácie a evidencie
§ 31
Verejnosť registrácie
Registrácia vedená podľa tohto zákona je verejná v rozsahu údajov podľa § 26 ods. 3 s uvedením registračného čísla informačného systému.
§ 32
Verejnosť evidencie
Evidencia vedená podľa tohto zákona je verejná. Údaje z evidencie prevádzkovateľ sprístupní bezplatne komukoľvek, kto o to požiada.
TRETIA ČASŤ
ÚRAD
PRVÁ HLAVA
POSTAVENIE A PÔSOBNOSŤ ÚRADU
§ 33
Pôsobnosť úradu
(1) Zriaďuje sa Úrad na ochranu osobných údajov Slovenskej republiky, ktorý je orgánom štátnej správy s celoslovenskou pôsobnosťou so sídlom v Bratislave.
(2) Úrad ako štátny orgán vykonáva dozor nad ochranou osobných údajov nezávisle a podieľa sa na ochrane základných práv a slobôd fyzických osôb pri spracúvaní ich osobných údajov.
(3) Ak osobné údaje spracúvajú spravodajské služby, dozor nad ochranou osobných údajov podľa odseku 2 vykonáva Národná rada Slovenskej republiky podľa osobitného zákona.27)
(4) Úrad plní oznamovaciu povinnosť voči Európskej komisii v oblasti ochrany osobných údajov.
(5) Úrad prijíma opatrenia na vykonanie rozhodnutí Európskej komisie vydaných v oblasti ochrany osobných údajov.
(6) Úrad spolupracuje pri výkone dozoru nad ochranou osobných údajov s obdobnými orgánmi dozoru v zahraničí.
§ 34
Postavenie úradu
(1) Úrad je rozpočtovou organizáciou.28) Návrh rozpočtu predkladá úrad ako súčasť kapitoly Úradu vlády Slovenskej republiky. Schválený rozpočet úradu môže znížiť v priebehu kalendárneho roku iba Národná rada Slovenskej republiky.
§ 35
Predseda úradu
(1) Na čele úradu je predseda úradu.
(2) Predsedu úradu na návrh vlády Slovenskej republiky volí a odvoláva Národná rada Slovenskej republiky. Návrh na voľbu predsedu úradu na nové funkčné obdobie predkladá vláda Slovenskej republiky Národnej rade Slovenskej republiky najneskôr 60 dní pred uplynutím funkčného obdobia úradujúceho predsedu úradu. Funkčné obdobie predsedu úradu je päť rokov a možno ho zvoliť najviac na dve po sebe nasledujúce obdobia. Predseda úradu ostáva vo funkcii aj po uplynutí funkčného obdobia, kým Národná rada Slovenskej republiky nezvolí predsedu úradu na nové funkčné obdobie.
(3) Za predsedu úradu možno zvoliť občana, ktorý je voliteľný za poslanca do Národnej rady Slovenskej republiky, je bezúhonný, má vysokoškolské vzdelanie, má najmenej 10 rokov odbornej praxe v oblasti informatiky alebo práva a dosiahol vek najmenej 35 rokov.
(4) Za bezúhonného občana sa na účely tohto zákona považuje občan, ktorý nebol právoplatne odsúdený za úmyselný trestný čin alebo za trestný čin, za ktorý mu bol uložený nepodmienečný trest odňatia slobody. Bezúhonnosť sa preukazuje výpisom z registra trestov, ktorý nie je starší ako tri mesiace.
(5) Predseda úradu nemôže byť členom politickej strany ani politického hnutia.
(6) Platové a ďalšie náležitosti predsedu úradu určuje vláda Slovenskej republiky podľa osobitného predpisu.29)
(7) Počas výkonu funkcie nesmie predseda úradu podnikať ani vykonávať inú zárobkovú činnosť s výnimkou vedeckej, pedagogickej, publicistickej, literárnej alebo umeleckej činnosti a správy vlastného majetku a majetku svojich maloletých detí.
(8) Počas výkonu funkcie je predseda úradu oprávnený oboznamovať sa s utajovanými skutočnosťami podľa osobitného predpisu.30)
(9) Počas funkčného obdobia i po jeho skončení je predseda úradu povinný zachovávať mlčanlivosť o skutočnostiach týkajúcich sa obsahu osobných údajov, o ktorých sa dozvedel počas výkonu svojej funkcie.
(10) Od povinnosti mlčanlivosti môže predsedu úradu pre konkrétny prípad oslobodiť Národná rada Slovenskej republiky.
(11) Za svoju činnosť zodpovedá predseda úradu Národnej rade Slovenskej republiky.
(12) Pred uplynutím funkčného obdobia zaniká výkon funkcie predsedu úradu
a) vzdaním sa funkcie,
b) stratou voliteľnosti za poslanca Národnej rady Slovenskej republiky,
c) nadobudnutím právoplatnosti rozsudku, ktorým bol odsúdený za úmyselný trestný čin alebo ktorým bol odsúdený za trestný čin a súd nerozhodol v jeho prípade o podmienečnom odložení výkonu trestu odňatia slobody,
d)výkonom činnosti, ktorá je nezlučiteľná s výkonom jeho funkcie, alebo
e) smrťou.
(13) Národná rada môže odvolať z funkcie predsedu úradu,
a) ak mu zdravotný stav dlhodobo, najmenej však počas jedného roka, nedovoľuje riadne vykonávať povinnosti vyplývajúce z jeho funkcie,
b) ak porušil povinnosť zachovávať mlčanlivosť o skutočnostiach týkajúcich sa obsahu osobných údajov, o ktorých sa dozvedel v súvislosti s výkonom svojej funkcie.
Predseda úradu je odvolaný z funkcie dňom nasledujúcim po dni, keď mu bolo doručené rozhodnutie Národnej rady Slovenskej republiky o odvolaní z funkcie.
§ 36
Podpredseda úradu
(1) Predsedu úradu v čase jeho neprítomnosti zastupuje podpredseda úradu. Podpredseda úradu okrem toho plní úlohy, ktorými ho poverí predseda úradu.
(2) Podpredsedu úradu vymenúva a odvoláva vláda Slovenskej republiky na návrh predsedu úradu.
(3) Na výkon funkcie podpredsedu úradu sa primerane použijú ustanovenia § 35 ods. 3 až 5, 7, 9 a 12.
(4) Od povinnosti mlčanlivosti môže podpredsedu úradu pre konkrétny prípad oslobodiť predseda úradu.
§ 37
Vrchný inšpektor a inšpektori
(1) Činnosť inšpektorov riadi vrchný inšpektor.
(2) Inšpektori vykonávajú kontrolnú činnosť a sú vecne príslušní na plnenie úloh úradu.
(3) Inšpektorov vymenúva a odvoláva vláda Slovenskej republiky na návrh predsedu úradu. Za inšpektora možno vymenovať občana, ktorý je voliteľný za poslanca Národnej rady Slovenskej republiky, je bezúhonný, má vysokoškolské vzdelanie a najmenej trojročnú odbornú prax v oblasti informatiky alebo práva a dosiahol vek najmenej 30 rokov. Vrchného inšpektora vymenúva a odvoláva vláda Slovenskej republiky na návrh predsedu úradu z radov inšpektorov, ktorí majú odbornú prax najmenej päť rokov a dosiahli vek najmenej 35 rokov.
(4) Funkčné obdobie vrchného inšpektora je päť rokov a do funkcie ho možno vymenovať opakovane. Na výkon funkcie vrchného inšpektora platia primerane odseky 2 a 6 a ustanovenia § 35 ods. 4, 5, 7, 12 a 13.
(5) Na výkon funkcie inšpektora platia primerane ustanovenia § 35 ods. 4, 5, 7, 12 a 13. Okrem dôvodov uvedených v § 35 ods. 13 možno inšpektora z funkcie odvolať pre
a) opakované neplnenie úloh uvedených v § 38 ods. 1 písm. f) a h) alebo pre sústavné menej závažné porušovanie pracovnej disciplíny a ak v posledných šiestich mesiacoch predseda úradu inšpektora opakovane písomne vyzval na odstránenie nedostatkov a inšpektor ich v primeranej lehote neodstránil, alebo
b) hrubé zanedbanie povinnosti uloženej inšpektorovi týmto zákonom [§ 38 ods. 1 písm. f) a h)], ak nepreukáže, že zavinenie nespôsobil alebo mu nemohol zabrániť, alebo pre hrubé porušenie pracovnej disciplíny.
(6) Počas pracovného pomeru i po jeho skončení sú inšpektori a ďalší zamestnanci úradu povinní zachovávať mlčanlivosť o skutočnostiach týkajúcich sa obsahu osobných údajov, o ktorých sa dozvedeli v súvislosti s výkonom svojej práce; použitie osobných údajov pri plnení úloh úradu alebo v súvislosti s ich plnením v súlade s ustanoveniami tohto zákona alebo osobitného zákona sa nepovažuje za porušenie povinnosti mlčanlivosti. Od povinnosti mlčanlivosti môže inšpektorov a ďalších zamestnancov úradu pre konkrétny prípad oslobodiť predseda úradu.
DRUHÁ HLAVA
ČINNOSŤ ÚRADU
§ 38
Úlohy úradu
(1) Úrad pri výkone dozoru nad ochranou osobných údajov plní tieto úlohy:
a) priebežne sleduje stav ochrany osobných údajov, registráciu informačných systémov a vedenie evidencie o informačných systémoch,
b) odporúča prevádzkovateľom opatrenia na zabezpečenie ochrany osobných údajov v informačných systémoch; na tento účel vydáva v rozsahu svojej pôsobnosti odporúčania pre prevádzkovateľov,
c) pri pochybnostiach o tom, či spracúvané osobné údaje svojím rozsahom, obsahom a spôsobom spracúvania a využívania zodpovedajú účelu ich spracúvania, sú s daným účelom spracúvania zlučiteľné alebo sú časovo a vecne neaktuálne vo vzťahu k tomuto účelu, vydáva záväzné stanovisko,
d) pri pochybnostiach o cezhraničnom toku osobných údajov vydáva záväzné stanovisko,
e) pri pochybnostiach o registrácii informačného systému vydáva záväzné stanovisko,
f) prešetruje oznámenia podané podľa § 45, alebo koná na základe podnetu alebo z vlastnej iniciatívy podľa § 44a a na odstránenie nedostatkov vydáva opatrenia na nápravu,
g) pri podozrení z porušenia povinností uložených týmto zákonom môže predvolať prevádzkovateľa alebo sprostredkovateľa s cieľom podať vysvetlenia,
h) kontroluje spracúvanie osobných údajov v informačných systémoch,
i) ukladá sankcie pri zistení porušenia povinností uvedených v tomto zákone,
j) podáva oznámenie31) orgánom činným v trestnom konaní pri podozrení, že ide o trestný čin,
k) vykonáva registráciu informačných systémov a zabezpečuje sprístupnenie stavu registrácie,
l) podieľa sa na príprave všeobecne záväzných právnych predpisov v oblasti ochrany osobných údajov,
m) v rozsahu svojej pôsobnosti vydáva všeobecne záväzné právne predpisy,
n) vyjadruje sa k návrhom zákonov a k návrhom ostatných všeobecne záväzných právnych predpisov, v ktorých sa upravuje spracúvanie osobných údajov,
o) predkladá Národnej rade Slovenskej republiky správu o stave ochrany osobných údajov najmenej raz za dva roky.
(2) Predmetom dozoru nad ochranou osobných údajov nie sú spory zo zmluvných alebo predzmluvných vzťahov prevádzkovateľov alebo sprostredkovateľov a dotknutých osôb alebo iných fyzických osôb alebo právnických osôb, na ktorých prejednávanie a rozhodovanie sú príslušné súdy alebo iné orgány podľa osobitných predpisov.
(3) Ak úrad zistí skutočnosti nasvedčujúce tomu, že zákon, iný všeobecne záväzný právny predpis alebo prevádzkovateľom vydaný vnútorný predpis porušuje základné práva a slobody fyzických osôb pri spracúvaní ich osobných údajov, predseda úradu môže podať podnet na jeho zmenu alebo zrušenie príslušnému orgánu.
Kontrolná činnosť
§ 39
Oprávnenia a povinnosti kontrolného orgánu
(1) Vrchný inšpektor a ostatní inšpektori (ďalej len "kontrolný orgán"), ako aj predseda úradu a podpredseda úradu sú oprávnení
a) vstupovať na pozemky, do budov alebo miestností prevádzok a zariadení prevádzkovateľa a sprostredkovateľa,
b) vyžadovať od prevádzkovateľa, sprostredkovateľa a ich zamestnancov (ďalej len "kontrolovaná osoba"), aby im v určenej lehote poskytli doklady, iné písomnosti, vyjadrenia a informácie, údaje spracúvané na pamäťových médiách vrátane technických nosičov údajov, výpisy a zdrojové kódy programov, ak ich vlastní, a ďalšie materiály potrebné na výkon kontroly, originály alebo kópie a v odôvodnených prípadoch im umožnili odoberať kópie aj mimo priestorov kontrolovanej osoby,
c) požadovať v primeranej lehote od kontrolovanej osoby úplné a pravdivé ústne a písomné informácie, vyjadrenia a vysvetlenia ku kontrolovaným a súvisiacim skutočnostiam a k zisteným nedostatkom,
d) vyžadovať súčinnosť kontrolovanej osoby,
e) vstupovať do informačných systémov do úrovne správcu systému v rozsahu potrebnom na vykonanie kontroly,
f) overovať totožnosť kontrolovaných osôb a fyzických osôb, ktoré v mene kontrolovaných osôb konajú.
(2) Kontrolný orgán je povinný
a) vopred oznámiť kontrolovanej osobe predmet kontroly a pred začatím kontroly preukázať svoju príslušnosť k úradu,
b) vypracovať protokol o vykonaní kontroly (ďalej len "protokol"),
c) uvádzať do protokolu kontrolné zistenia,
d) oboznámiť kontrolovanú osobu s kontrolnými zisteniami a vyžiadať si od nej písomné vyjadrenie ku všetkým skutočnostiam, ktoré odôvodňujú uplatnenie právnej zodpovednosti; vznesené námietky proti uvádzaným kontrolným zisteniam z hľadiska ich pravdivosti, úplnosti a preukázateľnosti uviesť do protokolu,
e) odovzdať kontrolovanej osobe jedno vyhotovenie protokolu alebo záznamu o kontrole alebo ich kópie,
f) písomne potvrdiť kontrolovanej osobe prevzatie kópií dokladov, písomných dokumentov, kópií pamäťových médií a iných materiálov a zabezpečiť ich riadnu ochranu pred stratou, zničením, poškodením a zneužitím.
(3) Protokol obsahuje názov, sídlo alebo trvalý pobyt kontrolovanej osoby, miesto a čas vykonania kontroly, predmet kontroly, kto kontrolu vykonal, preukázané kontrolné zistenia, vyjadrenia kontrolovanej osoby ku kontrolným zisteniam, dátum vypracovania protokolu, mená, pracovné zaradenie a vlastnoručné podpisy kontrolného orgánu a zodpovedných zamestnancov kontrolovanej osoby, ktorí boli s obsahom protokolu oboznámení, a dátum oboznámenia sa s protokolom. Ak sa kontrolovaná osoba odmietne oboznámiť sa s obsahom protokolu, vyjadriť sa ku kontrolným zisteniam alebo podpísať protokol, uvedie sa táto skutočnosť v protokole.
(4) Ak sa kontrolou zistí porušenie povinností ustanovených týmto zákonom, kontrolný orgán postupuje pri ukladaní opatrení na odstránenie kontrolou zistených nedostatkov podľa § 46.
(5) Ak sa kontrolou nezistí porušenie povinností ustanovených týmto zákonom alebo iným zákonom, 32) kontrolný orgán vypracuje len záznam o kontrole. Pri jeho vypracovaní sa postupuje primerane podľa odseku 3.
§ 40
Oprávnenia a povinnosti kontrolovanej osoby
(1) Kontrolovaná osoba je oprávnená v čase oboznámenia sa s kontrolnými zisteniami vzniesť námietky proti uvádzaným kontrolným zisteniam z hľadiska ich pravdivosti, úplnosti a preukázateľnosti.
(2) Kontrolovaná osoba je povinná
a) vytvoriť kontrolnému orgánu primerané podmienky na výkon kontroly a spracovanie kontrolných zistení,
b) poskytovať kontrolnému orgánu potrebnú súčinnosť v súlade s oprávneniami podľa § 39 ods. 1 a zdržať sa konania, ktoré by mohlo mariť výkon kontroly,
c) dostaviť sa v určenej lehote na oboznámenie sa s obsahom protokolu na miesto určené kontrolným orgánom,
d) po oboznámení sa s kontrolnými zisteniami podpísať protokol alebo záznam o kontrole; odmietnutie oboznámenia sa s obsahom protokolu alebo odmietnutie podpísania protokolu kontrolovanou osobou nemá vplyv na dôsledky vyplývajúce z obsahu tohto dokumentu,
e) písomne predložiť kontrolnému orgánu v určených lehotách opatrenia prijaté na odstránenie kontrolou zistených nedostatkov a písomnú správu o splnení týchto opatrení.
§ 41
Prizvané osoby
(1) Ak je to odôvodnené osobitnou povahou kontrolnej úlohy, môže kontrolný orgán prizvať na vykonanie kontroly iné fyzické osoby. Účasť týchto fyzických osôb na kontrole sa považuje za iný úkon vo všeobecnom záujme. Na prizvané osoby sa primerane vzťahujú ustanovenia § 37 ods. 6 a § 39 ods. 1.
(2) Kontrolu nemôžu vykonávať prizvané osoby, o ktorých so zreteľom na ich vzťah k predmetu kontroly alebo na vzťah ku kontrolovanej osobe možno mať pochybnosti o ich nezaujatosti. Prizvané osoby, ktoré samy vedia o skutočnostiach zakladajúcich pochybnosti o ich nepredpojatosti, oznámia tieto skutočnosti bez zbytočného odkladu úradu.
(3) Kontrolovaná osoba môže písomne vzniesť preukázateľné námietky o zaujatosti prizvanej osoby. Prizvaná osoba môže do rozhodnutia o námietkach zaujatosti vykonať pri kontrole len úkony, ktoré nedovoľujú odklad.
(4) O námietkach zaujatosti a o oznámení predpojatosti rozhodne predseda úradu. Rozhodnutie predsedu úradu v tejto veci je konečné.
§ 42
(1) Plnením konkrétnej úlohy pri výkone kontroly možno poveriť ďalších zamestnancov úradu. Na poverených zamestnancov úradu sa primerane vzťahuje ustanovenie § 39 ods. 1 a 2 písm. a).
(2) Inšpektori a poverení zamestnanci úradu, ktorí samy vedia o skutočnostiach zakladajúcich pochybnosti o ich nepredpojatosti vo vzťahu k predmetu kontroly alebo ku kontrolovanej osobe, oznámia tieto skutočnosti bez zbytočného odkladu predsedovi úradu. Ak predseda úradu uzná, že k predpojatosti došlo, osobu z konania vo veci vylúči.
§ 43
Na výkon kontroly sa nevzťahujú predpisy o kontrole v štátnej správe.33)
Súčinnosť
§ 44
(1) Orgány štátnej správy, orgány územnej samosprávy, iné orgány verejnej moci, prevádzkovatelia a sprostredkovatelia poskytujú úradu potrebnú pomoc pri plnení jeho úloh (§ 38).
(2) Prevádzkovateľ a sprostredkovateľ poskytujú úradu pri plnení jeho úloh všetky ním požadované údaje v určenej lehote.
(3) Prevádzkovateľ a sprostredkovateľ sa dostavia na predvolanie úradu s cieľom podať vysvetlenia v určenej lehote.
(4) Prevádzkovateľ a sprostredkovateľ sú povinní strpieť všetky úkony úradu smerujúce vyšetreniu okolností potrebných na objektívne posúdenie prešetrovanej veci.
Konanie
§ 44a
(1) Konanie vo veciach upravených týmto zákonom, na ktoré sa nevzťahuje v&scar n;eobecný predpis o správnom konaní, je začaté dňom, keď voči prevádzkovateľovi, sprostredkovateľovi alebo inej právnickej osobe alebo fyzickej osobe (ďalej len účastník konania ) urobil úrad prvý úkon. Ak sa konanie začína na podnet účastníka konania, dňom začatia konania je deň doručenia podnetu úradu.
(2) Účastníkom konania je ten, o koho právach alebo povinnostiach sa má konať. Za účastníka konania, ktorým nie je fyzická osoba, koná štatutárny orgán, prípadne jeho zamestnanec alebo člen, ktorý sa preukáže písomným poverením štatutárneho orgánu, že je oprávnený za neho konať, pokiaľ jednotlivé ustanovenia tohto zákona neustanovujú inak. Účastník konania sa môže nechať v konaní zastupovať. V tej istej veci môže mať účastník konania súčasne len jedného zástupcu, ktorému udelí písomne splnomocnenie na celé konanie, alebo len na určité úkony. Splnomocnenie na zastupovanie účastníka konania, ktorým nie je fyzická osoba, mus&iacu e; byť udelené osobou, ktorá je oprávnená konať v jeho mene.
(3) Konanie je neverejné. Týmto nie je dotknuté ustanovenie § 48.
(4) Na dokazovanie možno použiť všetky prostriedky, ktorými možno zistiť a objasniť skutočný stav veci a ktoré sú v súlade s právnymi predpismi. Dôkazmi sú najmä vyjadrenia účastníkov konania, výpovede svedkov, listiny, znalecké posudky alebo odborné posudky, správy, vyjadrenia a potvrdenia orgánov alebo iných právnických osôb a fyzických osôb, zverejnené informácie, obhliadky a kontrolné zistenia. Ako dôkaz možno použiť namiesto originálu listiny alebo originálu akéhokoľvek záznamu aj ich rozmnoženinu v tlačenej, fotografickej, zvukovej, zvukovo-obrazovej alebo v inej všeobecne zrozumiteľnej forme, ak je umiestnená na bežne dostupnom nosiči informácií.
(5) Úrad môže namiesto dôkazu pripustiť čestné vyhlásenie fyzickej osoby. Čestné vyhlásenie úrad nepripustí, ak tomu bráni všeobecný záujem alebo ak by tým bola porušená rovnosť medzi účastníkmi konania. Čestným vyhlásením nemožno nahradiť znalecký posudok. V čestnom vyhlásení je fyzická osoba povinná uviesť pravdivé údaje. Úrad musí upozorniť fyzickú osobu na právne následky nepravdivého čestného vyhlásenia.
(6) Úrad môže ustanoviť znalca alebo znalcov podľa osobitného predpisu, 33a) ak je na odborné posúdenie skutočností dôležitých pre rozhodnutie vo veci potrebný znalecký posudok a uložiť ustanovenému znalcovi, aby samostatne písomne vypracoval znalecký posudok, alebo aby sa v znaleckom posudku vyjadril k otázkam, ktoré mu položil úrad. Na tento účel úrad ustanovenému znalcovi sprístupní potrebné údaje zo spisu. V súvislosti s vypracovaním znaleckého posudku môže úrad uložiť účastníkovi konania, aby poskytol ustanovenému znalcovi všetky podstatné informácie, predložil alebo sprístupnil všetky potrebné listiny, podklady alebo predmety, alebo umožnil prístup k technickému a programovému vybaveniu informačného systému, podal mu potrebné vysvetlenia, alebo aby niečo vykonal alebo znášal, ak je to potrebné na podanie znaleckého posudku.
(7) Účastník konania je povinný navrhnúť na podporu svojich tvrdení dôkazy, ktoré sú mu známe. Úrad rozhodne, ktoré z navrhnutých dôkazov sa vykonajú a vykoná aj iné dôkazy, ktoré účastníci konania nenavrhli, ak sú potrebné na zistenie a objasnenie skutočného stavu veci. Skutočnosti všeobecne známe alebo známe úradu z jeho činnosti netreba dokazovať.
(8) Úrad hodnotí dôkazy podľa svojej voľnej úvahy, a to každý dôkaz jednotlivo a všetky dôkazy v ich vzájomnej súvislosti; pritom prihliada na všetko, čo v konaní vyšlo najavo.
(9) Dôležité písomnosti, najmä opatrenia a rozhodnutia sa účastníkovi konania, adresátovi, alebo osobe, ktorá sa preukáže jeho splnomocnením na preberanie zásielok, doručujú poštou ako doporučená zásielka s doručenkou a poznámkou do vlastných rúk . Písomnosti, ktoré sú určené účastníkovi konania, ktorým nie je fyzická osoba, doručujú sa osobám alebo členom oprávneným za tento subjekt prijímať písomnosti alebo tomu, kto je oprávnený za tento subjekt konať. Písomnosti určené advokátovi možno doručovať tiež advokátskym koncipientom a iným pracovníkom, ktorí sú u advokáta pracovne činní a sú advokátom poverení na prijímanie zásielok.
(10) Ak nebol adresát zásielky, ktorá sa má doručiť do vlastných rúk, zastihnutý, hoci sa v mieste doručenia zdržiava, doručovateľ ho vhodným spôsobom upovedomí, že zásielku príde znovu doručiť v určený deň a hodinu. Ak nový pokus o doručenie zostane bezvýsledný, doručovateľ uloží zásielku na pošte a adresáta o tom vhodným spôsobom upovedomí. Ak si adresát nevyzdvihne zásielku do troch dní od uloženia, posledný deň tejto lehoty sa považuje za deň doručenia, aj keď sa adresát o uložení nedozvedel.
(11) Ak si adresát vyhradí doručovanie zásielok do poštového priečinka, pošta adresátovi oznámi príchod zásielky, možnosť prevzatia a odbernú lehotu na predpísanom tlačive, ktoré vloží do poštového priečinka. Ak si adresát na základe dohody preberá zásielky na pošte a nemá pridelený poštový priečinok, pošta tieto zásielky neoznamuje. V obidvoch prípadoch sa dátum príchodu zásielky považuje za dátum uloženia. Ak si adresát nevyzdvihne zásielku do troch dní od uloženia, posledný deň tejto lehoty sa považuje za deň doručenia, aj keď sa adresát o uložení nedozvedel.
(12) Účastník konania, ktorý sa zdržiava v cudzine alebo tam má sídlo alebo trvalý pobyt, je povinný na doručovanie zásielok určiť si svojho zástupcu so sídlom alebo s trvalým pobytom na území Slovenskej republiky a včas písomne úradu oznámiť jeho meno, priezvisko a adresu.
(13) Písomnosť je doručená ihneď, ako ju účastník konania prevezme alebo pošta doporučenú zásielku vrátila ako nedoručiteľnú alebo ak doručenie zásielky bolo zmarené konaním alebo opomenutím účastníka konania. Ak adresát bezdôvodne odoprel zásielku prijať, písomnosť je doručená dňom, keď sa jej prijatie odoprelo; na to musí doručovateľ adresáta upozorniť.
(14) Ak je to potrebné, úrad určí na vykonanie úkonu v konaní lehotu, ak ju neustanovuje tento zákon. Do lehoty sa nezapočítava deň, keď došlo ku skutočnosti určujúcej začiatok lehoty. Lehoty určené podľa týždňov, mesiacov alebo rokov sa končia uplynutím toho dňa, ktorý sa svojím označením zhoduje s dňom, keď došlo ku skutočnosti určujúcej začiatok lehoty, a ak taký deň v mesiaci nie je, lehota sa končí posledným dňom mesiaca. Ak koniec lehoty pripadne na sobotu, nedeľu alebo na deň pracovného pokoja, je posledným dňom lehoty najbližší nasledujúci pracovný deň. Lehota je zachovaná, ak sa posledný deň lehoty podanie podá na úrad alebo ak sa odovzdá na poštovú prepravu. V pochybnostiach sa považuje lehota za zachovanú, ak sa nepreukáže opak.
(15) Trovy, ktoré v konaní vznikli účastníkovi konania, znáša účastník konania. Trovy konania, ktoré vznikli úradu, znáša úrad.
(16) Konanie začaté z vlastnej iniciatívy úradu možno zastaviť, ak odpadol dôvod konania alebo ak sa v priebehu konania preukázalo, že nie sú dostatočné dôvody na jeho pokračovanie, alebo ak účastník konania zomrel.
§ 44b
V konaní o uložení sankcie za porušenie tohto zákona podľa § 49 alebo § 50 je účastníkom konania prevádzkovateľ alebo sprostredkovateľ, alebo fyzická osoba, ktorej má byť podľa tohto zákona uložená pokuta; konanie o uložení sankcie za porušenie tohto zákona začína úrad z vlastnej iniciatívy podľa všeobecného predpisu o správnom konaní a len na účely uloženia pokuty. Rozhodnutie o uložení pokuty môže úrad vydať bez ďalšieho dokazovania a zisťovania podkladov pre rozhodnutie, 33b) ak na základe preukázaných kontrolných zistení alebo vykonaných dôkazov v priebehu konania, ktoré odôvodňujú uplatnenie právnej zodpovednosti účastníka konania podľa tohto zákona, má úrad dostatočne zistené a preukázané, že došlo k porušeniu ustanovení tohto zákona, alebo na základe zisteného porušenia ustanovenia § 40 ods. 2 písm. a) alebo b) kontrolovanou osobou.
TRETIA HLAVA
OPATRENIA NA NÁPRAVU
§ 45
Prešetrenie oznámenia
(1) Úrad pri výkone dozoru nad ochranou osobných údajov využíva aj oznámenia a podnety právnických osôb a fyzických osôb (ďalej len oznámenie ) týkajúce sa podozrenia z porušovania povinností alebo podmienok určených týmto zákonom. Oznámenie sa úradu podáva písomne.
(2) Oznámenie môže okrem dotknutej osoby podať úradu podľa § 20 ods. 6 aj fyzická osoba, ktorá tvrdí, že je priamo dotknutá vo svojich právach ustanovených týmto zákonom (ďalej len oznamovateľ ).
(3) Úrad oznámenie odloží, ak
a) vec, ktorej sa oznámenie týka, nepatrí do jeho pôsobnosti,
b) náležitosti uvedené v odseku 9 neboli na výzvu úradu doplnené alebo spresnené v určenej lehote,
c) oznamovateľ neposkytne úradu na jeho požiadanie potrebnú súčinnosť, pričom bez jeho aktívnej účasti nemožno vec vybaviť,
d) oznamovateľ trvá na utajení svojej totožnosti napriek tomu, že bez použitia jeho osobných údajov alebo niektorých jeho údajov podľa odseku 9 písm. a) nemožno vec vybaviť,
e) oznamovateľ podá opakované oznámenie po uplynutí lehoty podľa odseku 14.
(4) Úrad môže oznámenie odložiť, ak zistí, že
a) vec, ktorej sa oznámenie týka, prejednáva súd alebo orgán činný v trestnom konaní,
b) od opatrenia alebo udalosti, ktorých sa oznámenie týka, uplynul v deň doručenia oznámenia čas dlhší ako tri roky,
c) oznámenie je zjavne neopodstatnené,
d) neobsahuje meno, priezvisko, adresu trvalého pobytu a podpis oznamovateľa; takéto oznámenie sa považuje za anonymné,
e) ide o oznámenie vo veci, ktorú už úrad vybavil a opakované oznámenie neobsahuje nové skutočnosti.
(5) O odložení oznámenia a dôvodoch jeho odloženia úrad upovedomí toho, kto oznámenie podal; to neplatí, ak ide o anonymné oznámenie. Odložené oznámenie sa považuje za vybavené.
(6) Oznámenie nie je prípustné, ak oznamovateľ pred jeho podaním neuplatnil svoje právo podľa § 20, ktoré mu tento zákon poskytuje. Úrad oznámenie odloží a poučí oznamovateľa o uplatnení práv podľa § 20.
(7) Úrad neodloží oznámenie, aj keď sa nesplnila podmienka podľa odseku 6 len vtedy, ak oznamovateľ hodnoverne preukáže, že túto podmienku nesplnil z dôvodov hodných osobitného zreteľa.
(8) Šetrenie je začaté dňom doručenia písomného oznámenia úradu. Prijatie oznámenia potvrdí úrad oznamovateľovi, ak oznámenie nebolo podané osobne.
(9) Oznámenie musí obsahovať najmä
a) meno, priezvisko, adresu trvalého pobytu a podpis oznamovateľa,
b) označenie toho, proti komu oznámenie smeruje; názov alebo meno a priezvisko, sídlo alebo trvalý pobyt, prípadne právnu formu a identifikačné číslo,
c) predmet oznámenia s označením, ktoré práva sa podľa tvrdenia oznamovateľa pri spracúvaní osobných údajov porušili,
d) dôkazy na podporu tvrdení uvedených v oznámení,
e) kópiu listiny preukazujúcej uplatnenie práva podľa § 20, ak sa takéto právo mohlo uplatniť alebo uvedenie dôvodov hodných osobitného zreteľa.
(10) Ak oznámenie neobsahuje predpísané náležitosti podľa odseku 9, nie je zrozumiteľné, alebo ak sú na jeho náležité vybavenie potrebné údaje, ktoré sa v oznámení neuvádzajú, úrad vyzve oznamovateľa, aby v určenej lehote nie kratšej ako sedem dní odstránil nedostatky. Súčasne upozorní oznamovateľa na dôsledky neodstránenia nedostatkov na ďalší priebeh šetrenia. V čase, keď oznamovateľ mešká s plnením tejto povinnosti, lehota podľa odseku 12 neplynie.
(11) Ak oznámenie podľa odseku 9 neobsahuje požiadavku oznamovateľa na utajenie jeho totožnosti, úrad vybavuje oznámenie bez utajenia osobných údajov uvedených v odseku 9 písm. a). Ak v oznámení podľa odseku 9 oznamovateľ požiada úrad o utajenie svojej totožnosti, ale charakter oznámenia neumožňuje jeho prešetrenie bez uvedenia niektorého údaja alebo údajov o oznamovateľovi, úrad po zistení tejto skutočnosti o tom upovedomí oznamovateľa. Zároveň oznamovateľa upozorní, že vo vybavovaní oznámenia sa bude pokračovať len v prípade, ak v určenej lehote písomne udelí úradu súhlas s uvedením určitého potrebného údaja alebo údajov o svojej osobe na použitie v rámci šetrenia.
(12) Úrad prešetrí a vybaví písomné oznámenie oznamovateľa v lehote 60 dní odo dňa jeho prijatia. Vrchný inšpektor môže túto lehotu v odôvodnených prípadoch primerane predĺžiť, najviac však o šesť mesiacov. O predĺžení lehoty úrad písomne upovedomí oznamovateľa.
(13) Úrad v lehote podľa odseku 12 písomne informuje oznamovateľa o výsledku prešetrenia oznámenia, v ktorom uvedie práva oznamovateľa ustanovené týmto zákonom, ktoré boli porušené. Ak úrad nezistí porušenie práv oznamovateľa, písomne ho informuje o tejto skutočnosti bez zbytočného odkladu, najneskôr však v lehote podľa odseku 12. Oznámenie sa považuje za vybavené doručením písomnej informácie o výsledku prešetrenia oznámenia oznamovateľovi.
(14) Oznámenie v tej istej veci možno opakovať v lehote 30 dní odo dňa doručenia výsledku o prešetrení oznámenia; ak oznámenie neobsahuje nové skutočnosti, úrad postupuje podľa odseku 4 písm. e). Ak úrad opakované oznámenie neodložil alebo ak zistil, že obsahuje nové skutočnosti, vrchný inšpektor preskúma pôvodné oznámenie, či bolo správne vybavené; o výsledku písomne informuje oznamovateľa, pričom postupuje obdobne podľa odseku 13. Preskúmanie oznámenia vrchným inšpektorom je konečné.
(15) V prípade, že v rovnakej veci, v akej už bolo vybavené oznámenie iného oznamovateľa, podá oznámenie ďalší oznamovateľ bez uvedenia nových skutočností, jeho oznámenie netreba znovu prešetrovať, ale treba ho upovedomiť bez zbytočného odkladu o výsledku vybavenia pôvodného oznámenia, najneskôr však v lehote podľa odseku 12 prvej vety.
(16) Podanie oznámenia nesmie byť oznamovateľovi na ujmu; to neplatí, ak sa obsahom svojho oznámenia dopustí oznamovateľ trestného činu alebo priestupku.
(17) Oznámenie podané inou právnickou osobou alebo fyzickou osobou ako oznamovateľom sa vybavuje ako konanie začaté z vlastnej iniciatívy úradu, ak sa po preskúmaní oznámenia preukáže, že je tu dôvod na začatie šetrenia. Na žiadosť právnickej osoby alebo fyzickej osoby, ktorá oznámenie podala, úrad potvrdí prijatie oznámenia; výsledok šetrenia jej úrad neoznamuje. Právnická osoba alebo fyzická osoba, ktorá oznámenie podala, sa nepovažuje za účastníka konania.
§ 46
Opatrenie
(1) Úrad
a) pred začatím spracúvania osobných údajov alebo v priebehu spracúvania osobných údajov v rozsahu nevyhnutne potrebnom na zabezpečenie účelu konania môže dočasným opatrením uložiť prevádzkovateľovi alebo sprostredkovateľovi, aby niečo vykonal, niečoho sa zdržal alebo niečo strpel; pri podozrení z porušenia povinnosti uloženej týmto zákonom vyzve prevádzkovateľa alebo sprostredkovateľa na okamžité blokovanie osobných údajov alebo na dočasné skončenie tej činnosti, ktorá by mohla plnenie takejto povinnosti ohroziť,
b) ak zistí, že prevádzkovateľ alebo sprostredkovateľ nesplnil alebo porušil niektorú z povinností alebo niektoré povinnosti ustanovené týmto zákonom, pri plnení niektorej z povinností alebo niektorých povinností obchádzal ustanovenia tohto zákona, nedodržal alebo obchádzal podmienky ustanovené týmto zákonom, alebo spracúva alebo spracúval osobné údaje v rozpore s týmto zákonom, je oprávnený uložiť prevádzkovateľovi alebo sprostredkovateľovi, aby v určenej lehote vykonal opatrenia na odstránenie zistených nedostatkov a príčin ich vzniku. Úrad je ďalej oprávnený prevádzkovateľovi alebo sprostredkovateľovi
1. uložiť povinnosť zabezpečiť vypracovanie alebo doplnenie dokumentácie alebo bezpečnostného projektu v súlade s týmto zákonom v určenej lehote,
2. uložiť povinnosť prijať technické, organizačné a personálne opatrenia zodpovedajúce spôsobu spracúvania v určenej lehote,
3. zakázať spracúvať tie osobné údaje, ktorých spracúvanie je v rozpore s ustanoveniami tohto zákona,
4. zakázať spracúvanie, ktoré je v rozpore s ustanoveniami tohto zákona,
5. nariadiť odstránenie alebo likvidáciu osobných údajov v určenej lehote, ak sú alebo boli neoprávnene spracúvané a
6. uložiť prevádzkovateľovi povinnosť zrušiť písomné poverenie alebo písomnú zmluvu so sprostredkovateľom v určenej lehote.
(2) Prevádzkovateľ a sprostredkovateľ bezodkladne vyhovejú požiadavkám úradu podľa odseku 1 a v určenej lehote informujú o ich splnení úrad.
(3) Prevádzkovateľ a sprostredkovateľ sú oprávnení písomne podať námietky proti opatreniu uloženému podľa odseku 1 písm. a) do troch dní odo dňa jeho doručenia. Námietky proti takémuto opatreniu nemajú odkladný účinok.
(4) Prevádzkovateľ a sprostredkovateľ sú oprávnení písomne podať námietky proti opatreniu uloženému podľa odseku 1 písm. b) do siedmich dní odo dňa jeho doručenia. Námietky proti takémuto opatreniu majú odkladný účinok.
(5) O námietke prevádzkovateľa alebo sprostredkovateľa podanej podľa odseku 3 rozhodne predseda úradu do 15 dní a o námietke podanej podľa odseku 4 rozhodne do 60 dní odo dňa ich prijatia.
(6) Rozhodnutie predsedu úradu o námietkach je konečné.
(7) Písomné vyhotovenie výzvy na vykonanie opatrenia a písomné vyhotovenie rozhodnutia o námietkach sa oznamuje doručením do vlastných rúk.
(8) Opatrenie uložené podľa odseku 1 písm. a) môže úrad zrušiť; účinnosť stráca dňom oznámenia opatrenia v predmetnej veci podľa odseku 1 písm. b).
§ 47
Ustanoveniami § 45 a 46 nie je dotknuté právo na súdnu ochranu. 35)
§ 48
Zverejnenie porušenia zákona
(1) Ak úrad zistí porušenie povinností ustanovených týmto zákonom alebo obchádzanie ustanovení tohto zákona alebo osobitného zákona 32), môže predseda úradu alebo vrchný inšpektor zverejniť obchodné meno alebo názov, sídlo alebo trvalý pobyt, identifikačné číslo, ak ho má pridelené a právnu formu toho, kto sa dopustil protiprávneho konania a
a) výrok vykonateľného opatrenia a odôvodnenie opatrenia alebo ich časti podľa § 46 okrem osobných údajov, ak ich obsahujú,
b) výrok vykonateľného rozhodnutia a odôvodnenie rozhodnutia alebo ich časti podľa § 49 alebo § 50 okrem osobných údajov, ak ich obsahujú, alebo
c) charakteristiku skutkového stavu porušenia ochrany osobných údajov.
(2) Predseda úradu alebo vrchný inšpektor môže uložiť prevádzkovateľovi alebo sprostredkovateľovi povinnosť zverejniť skutočnosti v rozsahu podľa odseku 1 písm. c) v hromadných informačných prostriedkoch.
(3) Prevádzkovateľ je povinný splniť povinnosť uloženú predsedom úradu alebo vrchným inšpektorom podľa odseku 2. Štatutárny orgán prevádzkovateľa je povinný zabezpečiť zverejnenie oznamu v hromadných informačných prostriedkoch v rozsahu podľa odseku 1 písm. c) na vlastné náklady prevádzkovateľa; obsah, formu, hromadný informačný prostriedok a najneskorší termín zverejnenia oznamu určí predseda úradu alebo vrchný inšpektor.
(4) Povinnosť podľa odseku 3 sa vzťahuje aj na sprostredkovateľa.
ŠTVRTÁ HLAVA
SANKCIE ZA PORUŠENIE ZÁKONA
§ 49
Správne delikty
(1) Úrad môže uložiť pokutu od 50 000 Sk do 10 000 000 Sk prevádzkovateľovi alebo sprostredkovateľovi, ktorý
a) nesplnil alebo porušil niektorú z povinností alebo niektoré povinnosti ustanovené v § 5, 6, 7, 10, alebo pri plnení niektorej z povinností alebo niektorých povinností ustanovených v § 5, 6, 7, 10 obchádzal ustanovenia tohto zákona, alebo spracúva alebo spracúval osobné údaje v rozpore s § 5, 6, 7, 10,
b) nesplnil alebo porušil niektorú z povinností alebo niektoré povinnosti ustanovené v § 8, 9, alebo spracúva alebo spracúval osobitné kategórie osobných údajov v rozpore s § 8, 9, alebo
c) neprijal primerané technické, organizačné a personálne opatrenia zodpovedajúce spôsobu spracúvania alebo nepreukázal alebo nevedel preukázať úradu na jeho žiadosť uplatňovanie opatrení v praxi podľa § 15 ods. 1, 3, alebo neprijal primerané technické, organizačné a personálne opatrenia zodpovedajúce spôsobu spracúvania vo forme bezpečnostného projektu alebo nepredložil úradu na jeho žiadosť bezpečnostný projekt, pričom bol povinný zabezpečiť jeho vypracovanie podľa § 15 ods. 2, 3, alebo predložil bezpečnostný projekt, ktorý neobsahoval náležitosti ustanovené týmto zákonom podľa § 16, alebo nepredložil úradu na jeho žiadosť zdokumentované technické, organizačné a personálne opatrenia zodpovedajúce spôsobu spracúvania alebo nezdokumentoval technické, organizačné a personálne opatrenia v rozsahu ustanovenom týmto zákonom, pričom bol povinný takúto dokumentáciu vypracovať podľa § 15 ods. 2 písm. b), alebo preukázateľne zanedbal uplatňovanie alebo neuplatňoval technické, organizačné a personálne opatrenia zodpovedajúce spôsobu spracúvania v praxi uvedené v bezpečnostnom projekte alebo v dokumentácii podľa § 15 ods. 2 písm. b).
(2) Úrad môže uložiť pokutu od 50 000 Sk do 5 000 000 Sk prevádzkovateľovi alebo sprostredkovateľovi, ktorý
a) nesplnil alebo porušil niektorú z povinností alebo niektoré povinnosti ustanovené v § 13, alebo spracúva alebo spracúval osobné údaje v rozpore s § 13,
b) na žiadosť úradu nezabezpečil vykonanie auditu bezpečnosti informačného systému alebo zabezpečil vykonanie auditu bezpečnosti informačného systému v rozpore s týmto zákonom alebo včas nepredložil hodnotiacu správu podľa § 15 ods. 4, 5, alebo predložil hodnotiacu správu, ktorá nekonkretizuje zistené nedostatky,
c) včas nepoučil svoje oprávnené osoby alebo nevedel úradu hodnoverne preukázať, že poučenie oprávnených osôb vykonal včas, alebo nepredložil na požiadanie úradu písomný záznam o poučení oprávnených osôb podľa § 17, alebo
d) vykonal prenos osobných údajov do tretích krajín v rozpore s § 23, alebo spracúva alebo spracúval osobné údaje v rozpore s niektorou z podmienok alebo niektorými podmienkami ustanovenými v § 23, § 23a ods. 2, 3, alebo nesplnil niektorú z podmienok alebo niektoré podmienky ustanovené v § 23, § 23a ods. 2, 3.
(3) Úrad môže uložiť pokutu od 30 000 Sk do 3 000 000 Sk prevádzkovateľovi, ktorý
a) nesplnil povinnosť osobitnej registrácie informačného systému podľa § 27, alebo nesplnil niektorú z povinností alebo niektoré povinnosti súvisiace s osobitnou registráciou vyplývajúce z tohto zákona podľa § 28,
b) nesplnil povinnosť registrácie informačného systému podľa tohto zákona, alebo nesplnil niektorú z povinností alebo niektoré povinnosti súvisiace s registráciou informačného systému podľa § 28,
c) písomne nepoveril zodpovednú osobu výkonom dohľadu nad ochranou osobných údajov alebo nevie hodnoverne preukázať jej písomné poverenie podľa § 19 ods. 2, alebo nezabezpečil odborné vyškolenie zodpovednej osoby v súlade s týmto zákonom podľa § 19 ods. 3, alebo
d) preukázateľne neumožnil, rušil, maril alebo inak sťažoval zodpovednej osobe plnenie jej povinností ustanovených týmto zákonom, alebo nerešpektoval oprávnené písomné oznámenia zodpovednej osoby podľa § 19 ods. 4, 7, 10.
(4) Úrad môže uložiť pokutu od 10 000 Sk do 1 000 000 Sk prevádzkovateľovi, ktorý
a) nesplnil oznamovaciu povinnosť o oprave alebo likvidácii osobných údajov podľa § 14,
b) písomne poveril zodpovednou osobou fyzickú osobu, ktorá nespĺňa niektorú podmienku alebo niektoré podmienky ustanovené v § 19 ods. 12, alebo nevie preukázať výpisom z registra trestov bezúhonnosť zodpovednej osoby, alebo nesplnil alebo porušil niektorú z povinností alebo niektoré povinnosti ustanovené v § 19 ods. 5, 6, alebo nesplnil povinnosť uloženú úradom podľa § 19 ods. 11,
c) nesplnil oprávnené požiadavky dotknutej osoby alebo pri ich vybavovaní nepostupoval v súlade s týmto zákonom, alebo neposkytol dotknutej osobe informácie v zákonom stanovenej lehote, alebo neinformoval dotknutú osobu spôsobom, ktorý ustanovuje zákon podľa § 20, 21,
d) nevykonal oznámenie o obmedzení práv dotknutej osoby podľa § 22, alebo
e) nesplnil povinnosť vedenia evidencie informačného systému podľa § 29, 30, alebo odmietol údaje z evidencie sprístupniť podľa § 32.
(5) Úrad môže uložiť pokutu do 100 000 Sk tomu, kto
a) poskytne osobné údaje v rozpore s § 7 ods. 5; to neplatí pre prevádzkovateľa a sprostredkovateľa,
b) poskytne nepravdivé osobné údaje (§ 11),
c) poruší povinnosť mlčanlivosti o osobných údajoch (§ 18), alebo
d) ako zodpovedná osoba písomne neupozorní prevádzkovateľa (§ 19 ods. 4).
(6) Pokutu podľa odsekov 1 až 4 a podľa § 50 môže úrad uložiť opakovane, ak povinnosť nebola splnená v určenej lehote.
(7) Pri ukladaní pokút sa prihliadne najmä na závažnosť, čas trvania a následky protiprávneho konania.
(8) Pokutu podľa odsekov 1 až 5 možno uložiť do jedného roka odo dňa, keď úrad porušenie povinnosti zistil, najneskôr však do troch rokov odo dňa, keď k porušeniu povinnosti došlo.
(9) Úrad môže v rozhodnutí o uložení pokuty súčasne povinnému uložiť, aby v určenej lehote vykonal opatrenia na nápravu následkov protiprávneho konania.
(10) Proti rozhodnutiu o uložení pokuty možno podať rozklad do 15 dní odo dňa jeho doručenia. O rozklade rozhodne predseda úradu do 60 dní odo dňa jeho prijatia.
(11) Výnosy z pokút sú príjmom štátneho rozpočtu.
§ 50
Poriadkové pokuty
(1) Úrad môže uložiť prevádzkovateľovi alebo sprostredkovateľovi poriadkovú pokutu
a) do 50 000 Sk, ak nezabezpečí primerané podmienky na výkon kontroly [§ 40 ods. 2 písm. a)],
b) do 500 000 Sk, ak marí výkon kontroly [§ 40 ods. 2 písm. b)]; ak prevádzkovateľ alebo sprostredkovateľ preukáže, že marenie výkonu kontroly zavinila oprávnená osoba, jeho zodpovednosť sa obmedzí a zodpovednou sa stáva aj oprávnená osoba,
c) do 1 000 000 Sk, ak oznam určený na zverejnenie predsedom úradu alebo vrchným inšpektorom v hromadných informačných prostriedkoch nezverejnil vôbec, alebo nezverejnil včas, alebo nezverejnil v určenej forme alebo v určenom hromadnom informačnom prostriedku, alebo nedodržal určený obsah tohto oznamu podľa § 48 ods. 3, 4, a to opakovane až do splnenia povinnosti,
d) do 2 000 000 Sk, ak neposkytol úradu súčinnosť podľa § 44 ods. 2, 3, 4, alebo nevyhovel požiadavkám úradu alebo úrad v určenej lehote včas neinformoval podľa § 46 ods. 1, 2.
(2) Poriadkovú pokutu možno uložiť do jedného roka odo dňa, keď k porušeniu povinnosti došlo.
ŠTVRTÁ ČASŤ
SPOLOČNÉ, PRECHODNÉ A ZÁVEREČNÉ USTANOVENIA
§ 51
Spoločné ustanovenie
(1) Na konanie podľa tohto zákona sa vzťahuje všeobecný predpis o správnom konaní, 36) ak tento zákon neustanovuje inak.
(2) Všeobecný predpis o správnom konaní sa nevzťahuje na
a) rozhodovanie v pochybnostiach podľa § 6 ods. 5, § 23 ods. 7 a 10 a § 25 ods. 4,
b) posudzovanie údajov o informačných systémoch prihlásených na registráciu (§ 27),
c) poskytovanie informácií dotknutej osobe (§ 20 až 22),
d) rozhodovanie o námietkach zaujatosti a o oznámení predpojatosti (§ 41),
e) prešetrenie oznámenia (§ 45),
f) na konanie o opatreniach (§ 46).
(3) Úrad zverejňuje na svojej internetovej stránke správu o stave ochrany osobných údajov po jej prerokovaní v Národnej rade Slovenskej republiky.
Prechodné ustanovenia
§ 52
(1) Prevádzkovatelia už fungujúcich informačných systémov uvedú ich do súladu s týmto zákonom do šiestich mesiacov odo dňa jeho účinnosti a ak to zákon vyžaduje, prihlásia ich v tejto lehote na registráciu.
(2) Prevádzkovatelia, ktorí spracúvajú osobné údaje na základe osobitného zákona, ktorý neustanovuje náležitosti podľa § 7 ods. 3, 5, 6 alebo podľa § 9 ods. 1 písm. a), môžu osobné údaje spracúvať v rozsahu nevyhnutnom na dosiahnutie ustanoveného účelu spracúvania bez súhlasu dotknutých osôb do 31. decembra 2005.
§ 53
(1) Záväzky orgánu štátneho dozoru nad ochranou osobných údajov v informačných systémoch vyplývajúce z doterajšieho predpisu prechádzajú dňom nadobudnutia účinnosti tohto zákona na úrad.
(2) Práva a povinnosti z pracovnoprávnych vzťahov splnomocnenca na ochranu osobných údajov v informačných systémoch a zamestnancov Útvaru inšpekcie ochrany osobných údajov Úradu vlády Slovenskej republiky prechádzajú dňom nadobudnutia účinnosti tohto zákona na úrad v plnom rozsahu.
(3) Majetok štátu v správe Úradu vlády Slovenskej republiky obstaraný na účely plnenia úloh štátneho dozoru nad ochranou osobných údajov v informačných systémoch prechádza dňom nadobudnutia účinnosti tohto zákona do správy úradu.
(4) Úrad vlády Slovenskej republiky zabezpečuje materiálnu a technickú prevádzku úradu do 31. decembra 2002.
(5) Majetok štátu v správe Štatistického úradu Slovenskej republiky, obstaraný na účely registrácie informačných systémov obsahujúcich osobné údaje, prechádza dňom nadobudnutia účinnosti tohto zákona do správy úradu.
(6) Záväzky vyplývajúce pre splnomocnenca na ochranu osobných údajov v informačných systémoch z medzištátnych dohôd v oblasti ochrany osobných údajov prechádzajú dňom nadobudnutia účinnosti tohto zákona na úrad.
§ 54
(1) Splnomocnenec na ochranu osobných údajov v informačných systémoch vymenovaný do funkcie podľa doterajšieho predpisu stáva sa dňom účinnosti tohto zákona predsedom úradu a ostáva v tejto funkcii do konca funkčného obdobia, na ktoré bol ako splnomocnenec na ochranu osobných údajov v informačných systémoch vymenovaný.
(2) Predseda úradu v lehote dvoch mesiacov odo dňa účinnosti tohto zákona rozhodne o tom, či informačný systém prihlásený na registráciu podľa doterajších predpisov možno považovať za zaregistrovaný podľa tohto zákona. Ak predseda úradu rozhodne, že takýto informačný systém nepodlieha registrácii, oznámi to úrad v tej istej lehote prevádzkovateľovi.
(3) Konania začaté pred dňom nadobudnutia účinnosti tohto zákona sa dokončia podľa doterajších predpisov.
§ 55
Prechodné ustanovenia k úpravám účinným
od 1. mája 2005
(1) Úrad na ochranu osobných údajov podľa doterajších predpisov je Úradom na ochranu osobných údajov Slovenskej republiky podľa tohto zákona. Ak sa v iných právnych predpisoch používa pojem Úrad na ochranu osobných údajov vo všetkých gramatických tvaroch, rozumie sa tým Úrad na ochranu osobných údajov Slovenskej republiky v príslušnom gramatickom tvare.
(2) Písomné poverenie zodpovednej osoby vydané podľa doterajších predpisov sa považuje za písomné poverenie podľa tohto zákona, ak zodpovedná osoba spĺňa podmienky ustanovené v § 19 ods. 12, prevádzkovateľ oznámi úradu najneskôr do 30. júna 2005 údaje podľa § 19 ods. 5 a doloží potvrdenie alebo vyhlásenie o tom, že zodpovedná osoba bola odborne vyškolená.
(3) Zodpovedná osoba, ktorá bola písomne poverená dohľadom nad ochranou osobných údajov podľa doterajších predpisov a nespĺňa podmienky ustanovené v § 19 ods. 12, musí byť odvolaná z funkcie zodpovednej osoby najneskôr do 30. júna 2005 a prevádzkovateľ je povinný písomne poveriť výkonom dohľadu inú zodpovednú osobu. Týmto nie je dotknuté ustanovenie § 19 ods. 5.
(4) Prevádzkovatelia už fungujúcich informačných systémov, na ktoré sa podľa doterajších predpisov nevzťahovala osobitná registrácia podľa § 27, sú povinní prihlásiť ich na osobitnú registráciu najneskôr do 30. júna 2005, inak právo na spracúvanie osobných údajov v týchto informačných systémoch zanikne uplynutím tejto lehoty.
(5) Predseda úradu do 31. decembra 2005 rozhodne o tom, či informačný systém prihlásený na registráciu a zaregistrovaný podľa doterajších predpisov možno považovať za zaregistrovaný podľa tohto zákona. Ak predseda úradu rozhodne, že takýto informačný systém nepodlieha registrácii podľa tohto zákona, úrad registráciu informačného systému zruší a v tej istej lehote zverejní na svojej internetovej stránke registračné čísla tých informačných systémov, ktorých registrácia bola zrušená.
(6) Konania začaté a právoplatne neukončené pred nadobudnutím účinnosti tohto zákona sa dokončia podľa doterajších predpisov. Právne účinky úkonov, ktoré v konaní nastali pred nadobudnutím účinnosti tohto zákona, zostávajú zachované.
(7) Na lehoty, ktoré v deň nadobudnutia účinnosti tohto zákona ešte neuplynuli, sa vzťahujú ustanovenia doterajších predpisov.
(8) Prevádzkovatelia už fungujúcich informačných systémov sú povinní ich uviesť do súladu s týmto zákonom do 31. októbra 2005. Týmto nie sú dotknuté odseky 2 až 4.
Záverečné ustanovenia
§ 56
Prechod práv
Ak sa v právnych predpisoch uvádza označenie splnomocnenec na ochranu osobných údajov, rozumie sa tým predseda úradu podľa tohto zákona.
§ 56a
Týmto zákonom sa preberá právny akt Európskych spoločenstiev a Európskej únie uvedený v prílohe.
§ 57
Zrušovacie ustanovenie
Zrušujú sa:
1. zákon č. 52/1998 Z. z. o ochrane osobných údajov v informačných systémoch v znení zákona č. 241/2001 Z. z.,
2. vyhláška Štatistického úradu Slovenskej republiky č. 155/1998 Z. z., ktorou sa ustanovujú podrobnosti o spôsobe, forme a postupe pri registrácii informačného systému obsahujúceho osobné údaje.
§ 58
Účinnosť
Tento zákon nadobúda účinnosť 1. septembra 2002 s výnimkou § 35 ods. 2, ktorý nadobúda účinnosť 1. decembra 2003.
Zákon č. 602/2003 Z.z. nadobúda účinnosť 1. januára 2004 okrem čl. I bodu 28, ktorý nadobúda účinnosť dňom nadobudnutia platnosti zmluvy o pristúpení Slovenskej republiky k Európskej únii.
Zákon č. 576/2004 Z.z. nadobúda účinnosť 1. januára 2005.
Zákon č. 90/2005 Z.z. nadobúda účinnosť 1. mája 2005.
Rudolf Schuster v. r.
Jozef Migaš v. r.
Mikuláš Dzurinda v. r.
-----------------------------------------------------------------------
1) Napríklad § 40 ods. 2 písm. d) zákona č. 153/2001 Z. z. o prokuratúre, zákon č. 311/1999 Z. z. o registri trestov v znení neskorších predpisov.
2) § 13 zákona č. 383/1997 Z. z. Autorský zákon a zákon, ktorým sa mení a dopĺňa Colný zákon v znení neskorších predpisov.
3) Napríklad § 27 až 34 Obchodného zákonníka, § 8 a 68 zákona Národnej rady Slovenskej republiky č. 162/1995 Z. z. o katastri nehnuteľností a o zápise vlastníckych a iných práv k nehnuteľnostiam (katastrálny zákon) v znení zákona č. 255/2001 Z. z., § 26 ods. 2 písm. e) zákona č. 195/2000 Z. z. o telekomunikáciách.
4) Napríklad § 38 až 41 zákona Národnej rady Slovenskej republiky č. 387/1996 Z. z. o zamestnanosti, § 11a ods. 2 zákona Slovenskej národnej rady č. 542/1990 Zb. o štátnej správe v školstve a školskej samospráve v znení zákona č. 416/2001 Z. z.
5) zrušená zákonom č. 90/2005 Z.z.
6) zrušená zákonom č. 90/2005 Z.z.
7) § 11 až 16 Občianskeho zákonníka.
8) § 8 Občianskeho zákonníka.
9) § 26 až 30 Občianskeho zákonníka.
10) § 116 Občianskeho zákonníka.
11) Zákon Národnej rady Slovenskej republiky č. 301/1995 Z. z. o rodnom čísle.
12) Napríklad § 40 ods. 2 písm. d) zákona č. 153/2001 Z. z., § 52 zákona Slovenskej národnej rady č. 372/1990 Zb. o priestupkoch v znení neskorších predpisov, zákon Národnej rady Slovenskej republiky č. 171/1993 Z. z. v znení neskorších predpisov.
13) Napríklad § 2 zákona Národnej rady Slovenskej republiky č. 199/1994 Z. z. o psychologickej činnosti a Slovenskej komore psychológov, zákon Slovenskej národnej rady č. 542/1990 Zb. v znení neskorších predpisov.
13a) Zákon č. 461/2003 Z. z. o sociálnom poistení v znení neskorších predpisov, zákon č. 328/2002 Z. z. o sociálnom zabezpečení policajtov a vojakov a o zmene a doplnení niektorých zákonov v znení neskorších predpisov, zákon č. 195/1998 Z. z. o sociálnej pomoci v znení neskorších predpisov, zákon č. 599/2003 Z. z. o pomoci v hmotnej núdzi a o zmene a doplnení niektorých zákonov v znení neskorších predpisov, zákon č. 5/2004 Z. z. o službách zamestnanosti a o zmene a doplnení niektorých zákonov v znení neskorších predpisov.
14) Zákon Národnej rady Slovenskej republiky č. 162/1993 Z. z. o občianskych preukazoch v znení neskorších predpisov.
15) Zákon č. 381/1997 Z. z. o cestovných dokladoch.
16) Napríklad § 8 zákona Národnej rady Slovenskej republiky č. 46/1993 Z. z., § 8 zákona Národnej rady Slovenskej republiky č. 198/1994 Z. z., § 14 ods. 1 písm. a) zákona Národnej rady Slovenskej republiky č. 171/1993 Z. z. v znení neskorších predpisov, § 9 zákona č. 124/1992 Zb.
17) Napríklad § 15 ods. 3 zákona č. 200/1998 Z. z. o štátnej službe colníkov a o zmene a doplnení niektorých ďalších zákonov.
18) Napríklad § 31 a 32 zákona č. 563/1991 Zb. o účtovníctve v znení zákona č. 336/1999 Z. z.
19) § 2 ods. 1 zákona Slovenskej národnej rady č. 149/1975 Zb. o archívnictve v znení zákona č. 571/1991 Zb.
20) § 6 zákona Slovenskej národnej rady č. 149/1975 Zb. v znení zákona č. 571/1991 Zb.
21) Napríklad § 101 až 110 Občianskeho zákonníka.
21a) Zákon č. 215/2004 Z. z. o ochrane utajovaných skutočností a o zmene a doplnení niektorých zákonov.
22) Napríklad § 40 zákona Národnej rady Slovenskej republiky č. 566/1992 Zb. o Národnej banke Slovenska v znení zákona č. 149/2001 Z. z.
23) Napríklad § 6 ods. 1 zákona č. 150/2001 Z. z. o daňových orgánoch a ktorým sa mení a dopĺňa zákon č. 440/2000 Z. z. o správach finančnej kontroly, § 14 zákona č. 330/2000 Z. z. o burze cenných papierov, § 134 zákona č. 566/2001 Z. z. o cenných papieroch a investičných službách a o zmene a doplnení niektorých zákonov (zákon o cenných papieroch), § 91 až 93 zákona č. 483/2001 Z. z. o bankách a o zmene a doplnení niektorých zákonov, § 24 zákona Slovenskej národnej rady č. 24/1991 Zb. o poisťovníctve v znení neskorších predpisov, § 81 písm. e) a § 240 ods. 5 zákona č. 311/2001 Z. z. Zákonník práce, § 53 ods. 1 písm. e) zákona č. 312/2001 Z. z. o štátnej službe a o zmene a doplnení niektorých zákonov, § 9 ods. 2 písm. b) zákona č. 313/2001 Z. z. o verejnej službe, § 8 zákona č. 367/2000 Z. z., § 80 zákona Národnej rady Slovenskej republiky č. 171/1993 Z. z. v znení neskorších predpisov, § 15 ods. 2 a 3 zákona Národnej rady Slovenskej republiky č. 38/1993 Z. z. o organizácii Ústavného súdu Slovenskej republiky o konaní pred ním a o postavení jeho sudcov.
24) Napríklad Dohovor o ochrane jednotlivcov pri automatizovanom spracovaní osobných údajov (oznámenie č. 49/2001 Z. z.).
25) zrušená zákonom č. 90/2005 Z.z.
26) Napríklad zákon Národnej rady Slovenskej republiky č. 162/1995 Z. z. v znení neskorších predpisov.
/27/ § 60 zákona Národnej rady Slovenskej republiky č. 350/1996 Z. z. o rokovacom poriadku Národnej rady Slovenskej republiky.
28) § 21 ods. 1 a ods. 4 písm. a) zákona Národnej rady Slovenskej republiky č. 303/1995 Z. z. o rozpočtových pravidlách v znení neskorších predpisov.
/29/ Zákon č. 312/2001 Z. z.
30) § 31 ods. 1 písm. h) zákona č. 241/2001 Z. z.
/31/ § 158 ods. 1 Trestného poriadku.
/32/ Napríklad § 178 a 257a Trestného zákona.
33) Zákon Národnej rady Slovenskej republiky č. 10/1996 Z. z. o kontrole v štátnej správe.
33a) Zákon č. 382/2004 Z. z. o znalcoch, tlmočníkoch a prekladateľoch a o zmene a doplnení niektorých zákonov.
33b) § 32 až 40 zákona č. 71/1967 Zb. o správnom konaní (správny poriadok) v znení zákona č. 527/2003 Z. z.
/34/ zrušená zákonom č. 90/2005 Z.z.
35) § 247 a nasl. druhej hlavy Občianskeho súdneho poriadku.
36) Zákon č. 71/1967 Zb. o správnom konaní (správny poriadok).
Príloha
k zákonu č. 428/2002 Z. z.
ZOZNAM PREBERANÝCH PRÁVNYCH AKTOV EURÓPSKYCH SPOLOČENSTIEV A EURÓPSKEJ ÚNIE
Smernica Európskeho parlamentu a Rady 95/46/ES z 24. októbra 1995 o ochrane jednotlivcov pri spracúvaní osobných údajov a voľnom pohybe týchto údajov (Ú.v. ES, L 281, 23. 11. 1995) v znení nariadenia Európskeho parlamentu a Rady (ES) č. 1882/2003 z 29. septembra 2003 (Ú.v. EÚ L 284, 31. 10. 2003).