428/2002 Z.z.
ZÁKON
z 3. júla 2002
o ochrane osobných údajov
Zmena: 428/2002 Z.z.
Zmena: 602/2003 Z.z.
Zmena: 576/2004 Z.z.
Zmena: 90/2005 Z.z.
Zmena: 583/2008 Z.z.
Národná rada Slovenskej republiky sa uzniesla na tomto zákone:
PRVÁ ČASŤ
ZÁKLADNÉ USTANOVENIA
Predmet a pôsobnosť zákona
§ 1
(1) Tento zákon upravuje
a) ochranu osobných údajov fyzických osôb pri ich spracúvaní,
b) zásady spracúvania osobných údajov,
c) bezpečnosť osobných údajov,
d) ochranu práv dotknutých osôb,
e) cezhraničný tok osobných údajov,
f) registráciu a evidenciu informačných systémov,
g) zriadenie, postavenie a pôsobnosť Úradu na ochranu osobných
údajov Slovenskej republiky (ďalej len "úrad").
(2) Tento zákon sa vzťahuje na orgány štátnej správy, orgány
územnej samosprávy, iné orgány verejnej moci, ako aj na ostatné
právnické osoby a fyzické osoby, ktoré spracúvajú osobné údaje,
určujú účel a prostriedky spracúvania alebo poskytujú osobné údaje
na spracúvanie.
(3) Tento zákon sa vzťahuje aj na prevádzkovateľov, ktorí
nemajú sídlo alebo trvalý pobyt na území
a) Slovenskej republiky, ale sú umiestnení v zahraničí na mieste,
kde sa uplatňuje právny poriadok Slovenskej republiky
prednostne na základe medzinárodného práva verejného,
b) členského štátu Európskej únie, ak na účely spracúvania
osobných údajov využívajú úplne alebo čiastočne automatizované
alebo iné ako automatizované prostriedky spracúvania
umiestnené na území Slovenskej republiky, pričom tieto
prostriedky spracúvania nie sú využívané výlučne len na prenos
osobných údajov cez územie členských štátov Európskej únie;
v takomto prípade prevádzkovateľ postupuje podľa § 23a ods. 3.
(4) Tento zákon sa vzťahuje na osobné údaje systematicky
spracúvané úplne alebo čiastočne automatizovanými prostriedkami
spracúvania alebo inými ako automatizovanými prostriedkami
spracúvania, ktoré sú súčasťou informačného systému alebo sú
určené na spracúvanie v informačnom systéme.
§ 2
(1) Ustanovenia § 5 ods. 4, § 6 ods. 1 až 4, § 10 ods. 1,
2 a 8, § 20 ods. 1, § 27 a 32 sa nevzťahujú na spracúvanie
osobných údajov nevyhnutných na zabezpečenie verejného záujmu, ak
prevádzkovateľ plní povinnosti výslovne ustanovené osobitným
zákonom určené na zaistenie
a) bezpečnosti Slovenskej republiky,
b) obrany Slovenskej republiky,
c) verejného poriadku a bezpečnosti,
d) predchádzania, zamedzovania, odhaľovania a dokumentovania
trestnej činnosti, zisťovania jej páchateľov, vyšetrovania
a stíhania trestných činov,
e) významného ekonomického alebo finančného záujmu Slovenskej
republiky alebo Európskej únie vrátane menových, rozpočtových
a daňových záležitostí,
f) výkonu kontroly, dohľadu, dozoru alebo uplatňovania regulácie
v súvislosti s výkonom verejnej moci vo veciach uvedených
v písmenách c), d) a e), alebo
g) ochrany dotknutej osoby alebo práv a slobôd iných osôb.
(2) Prevádzkovateľom registra o osobách právoplatne odsúdených
súdmi v trestnom konaní, ako aj o osobách, proti ktorým bolo
prokurátormi alebo súdmi právoplatne rozhodnuté o podmienečnom
zastavení trestného stíhania alebo o schválení zmieru, môže byť
len štátny orgán ustanovený osobitným zákonom. 1)
§ 2a
Tento zákon sa nevzťahuje na ochranu osobných údajov, ktoré
a) spracúva fyzická osoba pre vlastnú potrebu v rámci výlučne
osobných alebo domácich činností, ako je vedenie osobného
adresára alebo korešpondencia,
b) boli získané náhodne bez predchádzajúceho určenia účelu
a prostriedkov spracúvania, bez zámeru ich ďalšieho
spracúvania v usporiadanom systéme podľa osobitných kritérií
a nie sú ďalej systematicky spracúvané.
Vymedzenie niektorých pojmov
§ 3
Osobné údaje
Osobnými údajmi sú údaje týkajúce sa určenej alebo určiteľnej
fyzickej osoby, pričom takou osobou je osoba, ktorú možno určiť
priamo alebo nepriamo, najmä na základe všeobecne použiteľného
identifikátora alebo na základe jednej či viacerých charakteristík
alebo znakov, ktoré tvoria jej fyzickú, fyziologickú, psychickú,
mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu.
§ 4
(1) Na účely tohto zákona sa ďalej rozumie
a) spracúvaním osobných údajov vykonávanie akýchkoľvek operácií
alebo súboru operácií s osobnými údajmi, napr. ich získavanie,
zhromažďovanie, zaznamenávanie, usporadúvanie, prepracúvanie
alebo zmena, vyhľadávanie, prehliadanie, preskupovanie,
kombinovanie, premiestňovanie, využívanie, uchovávanie,
likvidácia, ich prenos, poskytovanie, sprístupňovanie alebo
zverejňovanie,
b) poskytovaním osobných údajov odovzdávanie osobných údajov na
spracúvanie inému prevádzkovateľovi alebo inému zástupcovi
prevádzkovateľa, alebo jeho sprostredkovateľovi,
c) sprístupňovaním osobných údajov oznámenie osobných údajov
alebo umožnenie prístupu k nim inej právnickej osobe alebo
fyzickej osobe s výnimkou dotknutej osoby alebo oprávnenej
osoby, ktorá ich nebude spracúvať ako prevádzkovateľ, zástupca
prevádzkovateľa alebo sprostredkovateľ,
d) zverejňovaním osobných údajov publikovanie, uverejnenie alebo
vystavenie osobných údajov na verejnosti prostredníctvom
masovokomunikačných prostriedkov, verejne prístupných
počítačových sietí, verejným vykonaním alebo vystavením
diela, 2) verejným vyhlásením, uvedením vo verejnom zozname,
v registri alebo v operáte, 3) ich umiestnením na úradnej
tabuli alebo na inom verejne prístupnom mieste,
e) likvidáciou osobných údajov zrušenie osobných údajov
rozložením, vymazaním alebo fyzickým zničením hmotných nosičov
tak, aby sa z nich osobné údaje nedali reprodukovať,
f) blokovaním osobných údajov uvedenie osobných údajov do takého
stavu, v ktorom sú neprístupné a je zabránené akejkoľvek
manipulácii s nimi,
g) informačným systémom akýkoľvek usporiadaný súbor, sústava
alebo databáza obsahujúca jeden alebo viac osobných údajov,
ktoré sú systematicky spracúvané na potreby dosiahnutia účelu
podľa osobitných kritérií a podmienok s použitím
automatizovaných, čiastočne automatizovaných alebo iných ako
automatizovaných prostriedkov spracúvania bez ohľadu na to, či
ide o systém centralizovaný, decentralizovaný alebo
distribuovaný na funkčnom alebo geografickom základe,
napríklad kartotéka, zoznam, register, operát, záznam alebo
sústava obsahujúca spisy, doklady, zmluvy, potvrdenia,
posudky, hodnotenia, testy,
h) účelom spracúvania osobných údajov vopred jednoznačne
vymedzený alebo ustanovený zámer spracúvania osobných údajov,
ktorý sa viaže na určitú činnosť,
i) súhlasom dotknutej osoby akýkoľvek slobodne daný výslovný
a zrozumiteľný prejav vôle, ktorým dotknutá osoba na základe
poskytnutých informácií vedome vyjadruje súhlas so spracúvaním
svojich osobných údajov,
j) cezhraničným tokom osobných údajov prenos osobných údajov mimo
územia Slovenskej republiky subjektom so sídlom alebo
s trvalým pobytom v cudzine alebo ich výmena s týmito
subjektmi,
k) anonymizovaným údajom osobný údaj upravený do takej formy,
v ktorej ho nemožno priradiť dotknutej osobe, ktorej sa týka,
l) adresou súbor údajov o pobyte fyzickej osoby, do ktorého
patria názov ulice, orientačné, prípadne súpisné číslo domu,
názov obce, prípadne názov časti obce, poštové smerovacie
číslo, názov okresu, názov štátu,
m) všeobecne použiteľným identifikátorom trvalý identifikačný
osobný údaj dotknutej osoby, ktorý zabezpečuje jej
jednoznačnosť v informačných systémoch,
n) biometrickým údajom osobný údaj fyzickej osoby, na základe
ktorého je jednoznačne a nezameniteľne určiteľná, napr.
odtlačok prsta, odtlačok dlane, analýza deoxyribonukleovej
kyseliny, profil deoxyribonukleovej kyseliny,
o) auditom bezpečnosti informačného systému nezávislé odborné
posúdenie spoľahlivosti a celkovej bezpečnosti informačného
systému z hľadiska zabezpečenia dôvernosti, integrity
a dostupnosti spracúvaných osobných údajov,
p) treťou krajinou štát, ktorý nie je členským štátom Európskej
únie,
r) verejným záujmom dôležitý záujem štátu realizovaný pri výkone
verejnej moci, ktorý prevažuje nad oprávneným záujmom fyzickej
osoby alebo viacerých fyzických osôb, prináša majetkový
prospech alebo iný prospech ostatným fyzickým osobám alebo
mnohým z nich a bez jeho realizácie by mohli vzniknúť
rozsiahle alebo nenahraditeľné škody,
s) podmienkami spracúvania osobných údajov prostriedky a spôsob
spracúvania osobných údajov, ako aj ďalšie požiadavky,
kritériá alebo pokyny súvisiace so spracúvaním osobných údajov
alebo vykonanie úkonov, ktoré slúžia na dosiahnutie účelu
spracúvania či už pred začatím spracúvania osobných údajov,
alebo v priebehu ich spracúvania.
(2) Prevádzkovateľom je orgán štátnej správy, orgán územnej
samosprávy, iný orgán verejnej moci alebo iná právnická osoba
alebo fyzická osoba, ktorá sama alebo spoločne s inými určuje účel
a prostriedky spracúvania osobných údajov. Ak účel, prípadne aj
prostriedky spracúvania osobných údajov ustanovuje osobitný zákon,
prevádzkovateľom je ten, koho na plnenie účelu spracúvania
ustanoví zákon alebo kto splní zákonom ustanovené podmienky. To
platí aj vtedy, ak tak ustanovuje právny akt Európskych
spoločenstiev a Európskej únie.
(3) Sprostredkovateľom je orgán štátnej správy, orgán územnej
samosprávy, iný orgán verejnej moci alebo iná právnická osoba
alebo fyzická osoba, ktorá spracúva osobné údaje v mene
prevádzkovateľa alebo zástupcu prevádzkovateľa.
(4) Oprávnenou osobou je každá fyzická osoba, ktorá prichádza
do styku s osobnými údajmi v rámci svojho pracovnoprávneho vzťahu,
štátnozamestnaneckého pomeru, služobného pomeru, členského vzťahu,
na základe poverenia, zvolenia alebo vymenovania alebo v rámci
výkonu verejnej funkcie, ktorá môže osobné údaje spracúvať len na
základe pokynu prevádzkovateľa, zástupcu prevádzkovateľa alebo
sprostredkovateľa, ak tento zákon alebo osobitný zákon
neustanovuje inak.
(5) Dotknutou osobou je každá fyzická osoba, o ktorej sa
spracúvajú osobné údaje.
(6) Zástupcom prevádzkovateľa je právnická osoba alebo fyzická
osoba, ktorá na území Slovenskej republiky zastupuje
prevádzkovateľa so sídlom alebo s trvalým pobytom v tretej
krajine.
(7) Treťou stranou je orgán štátnej správy, orgán územnej
samosprávy, iný orgán verejnej moci alebo iná právnická osoba
alebo fyzická osoba iná ako dotknutá osoba, vlastný prevádzkovateľ
alebo zástupca prevádzkovateľa, jeho sprostredkovateľ a ich
oprávnené osoby.
(8) Príjemcom je orgán štátnej správy, orgán územnej
samosprávy, iný orgán verejnej moci alebo iná právnická osoba
alebo fyzická osoba, ktorej sú osobné údaje poskytnuté alebo
sprístupnené; prevádzkovateľ, ktorý je oprávnený spracúvať osobné
údaje na základe § 2 ods. 1 písm. f) a úrad pri plnení úloh
ustanovených týmto zákonom, sa nepovažuje za príjemcu.
DRUHÁ ČASŤ
PRÁVA, POVINNOSTI A ZODPOVEDNOSŤ PRI SPRACÚVANÍ OSOBNÝCH ÚDAJOV
PRVÁ HLAVA
ZÁSADY SPRACÚVANIA OSOBNÝCH ÚDAJOV
§ 5
Prevádzkovateľ a sprostredkovateľ
(1) Osobné údaje môže spracúvať iba prevádzkovateľ
a sprostredkovateľ.
(2) Sprostredkovateľ je oprávnený spracúvať osobné údaje len
v rozsahu a za podmienok dojednaných s prevádzkovateľom v písomnej
zmluve alebo v písomnom poverení. Sprostredkovateľ je oprávnený
spracúvať osobné údaje len v rozsahu a za podmienok dojednaných
s prevádzkovateľom alebo so súhlasom prevádzkovateľa aj so
sprostredkovateľom v písomnej zmluve, alebo v písomnom poverení.
(3) Prevádzkovateľ dbá pri výbere sprostredkovateľa najmä na
jeho záruky, pokiaľ ide o opatrenia v oblasti technickej,
organizačnej a personálnej bezpečnosti (§ 15 ods. 1).
Prevádzkovateľ nesmie zveriť spracúvanie osobných údajov
sprostredkovateľovi, ak by tým mohli byť ohrozené práva a právom
chránené záujmy dotknutých osôb.
(4) Ak prevádzkovateľ poveril spracúvaním sprostredkovateľa až
po získaní osobných údajov, oznámi to dotknutým osobám pri
najbližšom kontakte s nimi, najneskôr však do troch mesiacov od
poverenia sprostredkovateľa. To platí aj vtedy, ak spracúvanie
osobných údajov prevezme iný prevádzkovateľ.
(5) Zástupca prevádzkovateľa je povinný konať v rozsahu práv
a povinností ustanovených týmto zákonom prevádzkovateľovi.
Ustanovenia tohto zákona, podľa ktorých ukladá úrad
prevádzkovateľovi, aby niečo vykonal, niečoho sa zdržal alebo
niečo strpel, sa rovnako vzťahujú aj na zástupcu prevádzkovateľa.
§ 6
Základné povinnosti prevádzkovateľa
(1) Prevádzkovateľ je povinný
a) pred začatím spracúvania osobných údajov jednoznačne
a konkrétne vymedziť účel spracúvania osobných údajov; účel
spracúvania musí byť jasný a nesmie byť v rozpore s Ústavou
Slovenskej republiky, ústavnými zákonmi, zákonmi
a medzinárodnými zmluvami, ktorými je Slovenská republika
viazaná,
b) určiť prostriedky a spôsob spracúvania osobných údajov,
prípadne ďalšie podmienky spracúvania osobných údajov,
c) získavať osobné údaje výlučne na vymedzený alebo ustanovený
účel; je neprípustné získavať osobné údaje pod zámienkou iného
účelu alebo inej činnosti,
d) zabezpečiť, aby sa spracúvali len také osobné údaje, ktoré
svojím rozsahom a obsahom zodpovedajú účelu ich spracúvania
a sú nevyhnutné na jeho dosiahnutie,
e) získavať osobné údaje na rozdielne účely osobitne
a zabezpečiť, aby sa osobné údaje spracúvali a využívali
výlučne spôsobom, ktorý zodpovedá účelu, na ktorý boli
zhromaždené; je neprípustné združovať osobné údaje, ktoré boli
získané na rozdielne účely,
f) spracúvať len správne, úplné a podľa potreby aktualizované
osobné údaje vo vzťahu k účelu spracúvania; nesprávne
a neúplné osobné údaje je prevádzkovateľ povinný blokovať
a bez zbytočného odkladu opraviť alebo doplniť; nesprávne
a neúplné osobné údaje, ktoré nemožno opraviť alebo doplniť
tak, aby boli správne a úplné, prevádzkovateľ zreteľne označí
a zlikviduje ihneď, ako to okolnosti dovolia,
g) zabezpečiť, aby zhromaždené osobné údaje boli spracúvané vo
forme umožňujúcej identifikáciu dotknutých osôb počas doby nie
dlhšej, ako je nevyhnutné na dosiahnutie účelu spracúvania,
h) zlikvidovať tie osobné údaje, ktorých účel spracúvania sa
skončil; po skončení účelu spracúvania možno osobné údaje
ďalej spracúvať len za podmienok ustanovených v odseku 3,
i) spracúvať osobné údaje v súlade s dobrými mravmi a konať
spôsobom, ktorý neodporuje tomuto zákonu ani iným všeobecne
záväzným právnym predpisom a ani ich neobchádza; súhlas
dotknutej osoby si nesmie prevádzkovateľ vynucovať a ani
podmieňovať hrozbou odmietnutia zmluvného vzťahu, služby,
tovaru alebo povinnosti ustanovenej prevádzkovateľovi alebo
sprostredkovateľovi zákonom.
(2) Prevádzkovateľ nemá povinnosť podľa odseku 1 písm. a) len
vtedy, ak účel spracúvania osobných údajov ustanovuje osobitný
zákon v súlade s podmienkami uvedenými v odseku 1 písm. a).
Prevádzkovateľ nemá povinnosť určiť prostriedky a spôsob
spracúvania osobných údajov podľa odseku 1 písm. b) len vtedy, ak
ich ustanovuje všeobecne záväzný právny predpis. Ostatné
povinnosti podľa odseku 1 písm. c) až h) a písm. i) časti vety
pred bodkočiarkou, je prevádzkovateľ povinný dodržiavať aj počas
spracúvania osobných údajov na základe osobitného zákona; týmto
nie je dotknuté ustanovenie § 7 ods. 6 prvej vety vrátane jej
časti za bodkočiarkou.
(3) Ďalšie spracúvanie zhromaždených osobných údajov na
historické, vedecké alebo štatistické účely sa nepovažuje za
nezlučiteľné s pôvodným účelom spracúvania vymedzeným v súlade
s odsekom 1 písm. a) alebo ustanoveným podľa odseku 2 prvej vety.
Po skončení pôvodného účelu spracúvania je prípustné zhromaždené
osobné údaje ďalej spracúvať v nevyhnutnom rozsahu na historické,
vedecké alebo štatistické účely len vtedy, ak prevádzkovateľ
a) zaručí, že spracúvané osobné údaje nepoužije v rozpore
s oprávnenými záujmami dotknutej osoby a svojím konaním nebude
neoprávnene zasahovať do práva na ochranu jej osobnosti
a súkromia,
b) takéto osobné údaje náležite označí a anonymizuje ihneď, ako
to bude možné alebo zlikviduje, keď sa stanú nepotrebnými.
(4) Prevádzkovateľ, ktorý poveril spracúvaním osobných údajov
sprostredkovateľa, je povinný zabezpečiť, aby sprostredkovateľ
dodržiaval povinnosti ustanovené v odseku 1 písm. c) až i)
a odseku 3.
(5) V prípade pochybnosti o tom, či spracúvané osobné údaje
svojím rozsahom, obsahom a spôsobom spracúvania alebo využívania
zodpovedajú účelu ich spracúvania, či sú s daným účelom
spracúvania zlučiteľné alebo časovo a vecne neaktuálne vo vzťahu
k tomuto účelu, rozhodne úrad. Stanovisko úradu je záväzné.
§ 7
Súhlas dotknutej osoby
(1) Osobné údaje možno spracúvať len so súhlasom dotknutej
osoby, ak tento zákon neustanovuje inak. Týmto nie sú dotknuté
ustanovenia odseku 5 prvej vety, § 8 ods. 4 písm. b), § 9 ods. 1,
§ 9 ods. 1 písm. b) a c), § 10 ods. 6, § 23 ods. 4 písm. a)
a § 23 ods. 5.
(2) Ak prevádzkovateľ spracúva osobné údaje na základe súhlasu
dotknutej osoby, je povinný v prípade pochybností preukázať úradu
kedykoľvek na jeho žiadosť, že súhlasom disponuje. Súhlas sa
preukazuje zvukovým alebo zvukovo-obrazovým záznamom alebo čestným
vyhlásením toho, kto poskytol osobné údaje do informačného
systému, prípadne iným hodnoverným spôsobom. Písomný súhlas
preukazuje prevádzkovateľ úradu dokladom, ktorý potvrdzuje
poskytnutie súhlasu. Dôkaz o súhlase obsahuje najmä údaj o tom,
kto súhlas poskytol, komu sa tento súhlas dáva, na aký účel,
zoznam alebo rozsah osobných údajov, dobu platnosti súhlasu
a podmienky jeho odvolania. Súhlas daný v písomnej forme je bez
vlastnoručného podpisu toho, kto súhlas dáva, neplatný.
(3) Súhlas podľa odseku 1 sa nevyžaduje, ak sa osobné údaje
spracúvajú na základe osobitného zákona, 4) ktorý ustanovuje
zoznam osobných údajov, účel ich spracúvania a okruh dotknutých
osôb. Spracúvané osobné údaje o dotknutej osobe možno
z informačného systému poskytnúť, sprístupniť alebo zverejniť len
vtedy, ak osobitný zákon ustanovuje účel poskytovania,
sprístupňovania alebo zverejňovania, zoznam osobných údajov, ktoré
možno poskytnúť, sprístupniť alebo zverejniť, ako aj tretie
strany, ktorým sa osobné údaje poskytujú, prípadne okruh
príjemcov, ktorým sa osobné údaje sprístupňujú, ak tento zákon
neustanovuje inak. Týmto nie je dotknuté ustanovenie § 9 ods. 1
písm. a).
(4) Ďalej bez súhlasu uvedeného v odseku 1 možno osobné údaje
spracúvať len vtedy, ak
a) spracúvanie osobných údajov je nevyhnutné na účely tvorby
umeleckých alebo literárnych diel, pre potreby informovania
verejnosti masovokomunikačnými prostriedkami a ak osobné údaje
spracúva prevádzkovateľ, ktorému to vyplýva z predmetu jeho
činnosti; to neplatí, ak spracúvaním osobných údajov na takýto
účel prevádzkovateľ porušuje právo dotknutej osoby na ochranu
jej osobnosti a súkromia alebo takéto spracúvanie osobných
údajov bez súhlasu dotknutej osoby vylučuje osobitný zákon
alebo medzinárodná zmluva, ktorou je Slovenská republika
viazaná,
b) spracúvanie osobných údajov je nevyhnutné na plnenie zmluvy,
v ktorej vystupuje dotknutá osoba ako jedna zo zmluvných strán
alebo na zavedenie predzmluvných vzťahov alebo opatrení na
žiadosť dotknutej osoby,
c) spracúvanie osobných údajov je nevyhnutné na ochranu života,
zdravia alebo majetku dotknutej osoby alebo inej fyzickej
osoby, ktorá nemá spôsobilosť na právne úkony alebo je fyzicky
nespôsobilá na vydanie súhlasu, a ak nemožno získať súhlas jej
zákonného zástupcu,
d) predmetom spracúvania sú výlučne titul, meno, priezvisko
a adresa dotknutej osoby bez možnosti priradiť k nim ďalšie
jej osobné údaje a ich využitie je určené výhradne pre potreby
prevádzkovateľa v poštovom styku s dotknutou osobou
a evidencie týchto údajov; ak je predmetom činnosti
prevádzkovateľa priamy marketing, uvedené osobné údaje môže
poskytovať, bez možnosti ich sprístupňovania a zverejňovania,
len vtedy, ak sú poskytované inému prevádzkovateľovi, ktorý má
rovnaký predmet činnosti výhradne na účely priameho
marketingu, a dotknutá osoba písomne neuplatnila námietku
podľa § 20 ods. 3 písm. c),
e) sa spracúvajú už zverejnené osobné údaje; v týchto prípadoch
treba osobné údaje náležite označiť,
f) spracúvanie osobných údajov je nevyhnutné na splnenie
dôležitej úlohy realizovanej vo verejnom záujme, alebo
g) spracúvanie osobných údajov je nevyhnutné na ochranu zákonných
práv a právom chránených záujmov prevádzkovateľa alebo tretej
strany za predpokladu, že pri takomto spracúvaní osobných
údajov prevádzkovateľ a tretia strana rešpektuje základné
práva a slobody dotknutej osoby a svojím konaním neoprávnene
nezasahuje do práva na ochranu jej osobnosti a súkromia.
(5) Osobné údaje o dotknutej osobe možno získať od inej osoby
a spracúvať v informačnom systéme len s predchádzajúcim písomným
súhlasom dotknutej osoby. To neplatí, ak poskytnutím osobných
údajov o dotknutej osobe do informačného systému iná osoba chráni
svoje zákonné práva alebo právom chránené záujmy, alebo oznamuje
skutočnosti, ktoré odôvodňujú uplatnenie právnej zodpovednosti
dotknutej osoby, alebo sa osobné údaje spracúvajú na základe
osobitného zákona podľa odseku 3 alebo § 9 ods. 1 písm. a). Ten,
kto takto osobné údaje spracúva, musí vedieť preukázať úradu
kedykoľvek na jeho žiadosť, že ich získal v súlade s týmto
zákonom.
(6) Zoznam osobných údajov podľa odseku 3 a § 9 ods. 1
písm. a) možno nahradiť rozsahom osobných údajov len vtedy, ak
vzhľadom na účel spracúvania osobných údajov ustanovený
v osobitnom zákone sa nedajú vopred konkrétne určiť jednotlivé
osobné údaje, ktoré majú byť predmetom spracúvania; prevádzkovateľ
je povinný pri takomto spracúvaní osobných údajov postupovať podľa
§ 6 ods. 1 písm. d) s výnimkou tých prevádzkovateľov, ktorí
spracúvajú osobné údaje na účely súdneho konania a v súvislosti
s ním. Zoznam tretích strán podľa odseku 3 a § 9 ods. 1 písm. a)
možno nahradiť určením okruhu tretích strán len vtedy, ak vzhľadom
na povahu veci nemožno vopred špecifikovať jednotlivé tretie
strany, ktorým sa osobné údaje poskytujú, alebo ak tretie strany
tvoria skupinu subjektov s rovnakým predmetom činnosti
a vykonávajú spracúvanie osobných údajov na rovnaký alebo rovnaké
účely, prípadne ak zloženie takejto skupiny podlieha neustálej
zmene.
(7) Ten, kto mieni zverejniť osobné údaje dotknutej osoby,
nesmie svojím konaním neoprávnene zasahovať do práva na ochranu
jej osobnosti a súkromia; ich zverejnenie nesmie byť v rozpore
s oprávnenými záujmami dotknutej osoby. 7)
(8) Ak dotknutá osoba nemá spôsobilosť na právne úkony v plnom
rozsahu, 8) súhlas vyžadovaný podľa tohto zákona môže poskytnúť
jej zákonný zástupca. 9)
(9) Ak dotknutá osoba nežije, súhlas vyžadovaný podľa tohto
zákona môže poskytnúť jej blízka osoba. 10) Súhlas nie je platný,
ak čo len jedna blízka osoba písomne vyslovila nesúhlas.
(10) Ustanovenie odseku 6 sa použije aj v prípadoch, keď sa
postupuje podľa § 5 ods. 2 alebo § 10 ods. 1 alebo 2.
(11) Osobné údaje dotknutej osoby možno poskytnúť
z informačného systému inej právnickej osobe, fyzickej osobe,
prípadne subjektu v cudzine len spolu s písomným dokladom o danom
súhlase, ak tento zákon takýto súhlas vyžaduje; ten, kto osobné
údaje takto poskytuje, môže písomný doklad o danom súhlase
nahradiť písomným vyhlásením prevádzkovateľa o udelení súhlasu
dotknutými osobami, ak prevádzkovateľ vie preukázať, že písomný
súhlas dotknutých osôb bol daný.
(12) Osobné údaje podľa odseku 4 písm. c) a podľa § 9 ods. 1
písm. b) možno spracúvať bez súhlasu dotknutej osoby len po dobu,
kým nezaniknú dôvody, ktoré neumožňovali získať súhlas dotknutej
osoby. Ak dôvody zanikli, ten kto osobné údaje spracúva, zabezpečí
súhlas dotknutej osoby.
(13) Ten, kto tvrdí, že spracúva zverejnené osobné údaje, na
požiadanie preukáže úradu, že spracúvané osobné údaje boli už
zverejnené.
(14) Užívateľ môže sprístupnené osobné údaje o dotknutej osobe
spracúvať len pre vlastnú potrebu výlučne v rámci osobných alebo
domácich činností.
§ 8
Osobitné kategórie osobných údajov
(1) Spracúvať osobné údaje, ktoré odhaľujú rasový alebo
etnický pôvod, politické názory, náboženskú vieru alebo
svetonázor, členstvo v politických stranách alebo politických
hnutiach, členstvo v odborových organizáciách a údaje týkajúce sa
zdravia alebo pohlavného života, sa zakazuje.
(2) Pri spracúvaní osobných údajov možno využiť na účely
určenia fyzickej osoby všeobecne použiteľný identifikátor
ustanovený osobitným zákonom 11) len vtedy, ak jeho použitie je
nevyhnutné na dosiahnutie daného účelu spracúvania. Spracúvať iný
identifikátor, ktorý v sebe skrýva charakteristiky dotknutej
osoby, alebo zverejňovať všeobecne použiteľný identifikátor sa
zakazuje.
(3) Spracúvanie osobných údajov o porušení ustanovení
predpisov trestného práva, priestupkového práva alebo občianskeho
práva, ako aj o výkone právoplatných rozsudkov alebo rozhodnutí
môže vykonávať len ten, komu to umožňuje osobitný zákon. 12)
(4) Spracúvanie biometrických údajov možno vykonávať len za
podmienok ustanovených v osobitnom zákone, ak
a) to prevádzkovateľovi vyplýva výslovne zo zákona, alebo
b) na spracúvanie dala písomný súhlas dotknutá osoba.
(5) Spracúvanie osobných údajov o psychickej identite
fyzickej osoby alebo o jej psychickej pracovnej spôsobilosti môže
vykonávať len psychológ alebo ten, komu to umožňuje osobitný
zákon. 13)
§ 9
Výnimky z obmedzení pri spracúvaní osobitných kategórií osobných údajov
(1) Zákaz spracúvania osobných údajov ustanovený v § 8 ods. 1
neplatí, ak dotknutá osoba dala písomný súhlas na ich spracúvanie
alebo ak
a) spracúvanie vyžaduje osobitný zákon, ktorý ustanovuje zoznam
osobných údajov, účel ich spracúvania a okruh dotknutých osôb;
spracúvané osobné údaje o dotknutej osobe možno z informačného
systému poskytnúť, sprístupniť alebo zverejniť len vtedy, ak
osobitný zákon ustanovuje účel poskytovania, sprístupňovania
alebo zverejňovania, zoznam osobných údajov, ktoré možno
poskytnúť, sprístupniť alebo zverejniť, ako aj tretie strany,
ktorým sa osobné údaje poskytujú, prípadne okruh príjemcov,
ktorým sa osobné údaje sprístupňujú, ak tento zákon
neustanovuje inak, alebo
b) spracúvanie je nevyhnutné na ochranu životne dôležitých
záujmov dotknutej osoby alebo inej fyzickej osoby, ktorá nemá
spôsobilosť na právne úkony alebo je fyzicky nespôsobilá na
vydanie písomného súhlasu, a ak nemožno získať písomný súhlas
jej zákonného zástupcu, alebo
c) spracúvanie vykonáva v rámci oprávnenej činnosti občianske
združenie, nadácia alebo nezisková organizácia poskytujúca
všeobecne prospešné služby, politická strana alebo politické
hnutie, odborová organizácia, štátom uznaná cirkev alebo
náboženská spoločnosť a toto spracúvanie sa týka iba ich
členov alebo tých fyzických osôb, ktoré sú s nimi vzhľadom na
ich ciele v pravidelnom styku, osobné údaje slúžia výlučne pre
ich vnútornú potrebu a nebudú poskytnuté tretej strane bez
písomného súhlasu dotknutej osoby, alebo
d) spracúvanie sa týka osobných údajov, ktoré dotknutá osoba
zverejnila alebo sú nevyhnutné pri uplatňovaní jej právneho
nároku, alebo
e) ide o spracúvanie na účely poskytovania zdravotnej
starostlivosti a na účely vykonávania verejného zdravotného
poistenia, ak tieto údaje spracúva poskytovateľ zdravotnej
starostlivosti, zdravotná poisťovňa alebo Úrad pre dohľad nad
zdravotnou starostlivosťou alebo
f) ide o spracúvanie v sociálnom poistení, v sociálnom
zabezpečení policajtov a vojakov, na účely poskytovania
sociálnej pomoci alebo pomoci v hmotnej núdzi, alebo je
spracúvanie nevyhnutné na účely plnenia povinností alebo
uplatnenie zákonných práv prevádzkovateľa zodpovedného za
spracúvanie v oblasti pracovného práva a v službách
zamestnanosti a ak to prevádzkovateľovi vyplýva z osobitného
zákona. 13a)
(2) Písomný súhlas dotknutej osoby daný podľa odseku 1 je
neplatný, ak jeho poskytnutie vylučuje osobitný zákon.
(3) Ustanovenie § 8 ods. 4 sa nepoužije, ak sa spracúvajú
biometrické údaje s výnimkou analýzy deoxyribonukleovej kyseliny
a profilu deoxyribonukleovej kyseliny fyzických osôb na účely
evidencie alebo identifikácie vstupu do citlivých, osobitne
chránených objektov, vyhradených priestorov alebo prístupu do
technických zariadení alebo prístrojov s vysokou mierou rizika
a ak ide výlučne o vnútornú potrebu prevádzkovateľa.
§ 10
Získavanie osobných údajov
(1) Prevádzkovateľ, ktorý mieni získať od dotknutej osoby jej
osobné údaje, je povinný najneskôr pri ich získavaní informovať
dotknutú osobu a bez vyzvania jej vopred oznámiť
a) názov a sídlo alebo trvalý pobyt prevádzkovateľa; ak za
prevádzkovateľa so sídlom alebo s trvalým pobytom v tretej
krajine koná na území Slovenskej republiky zástupca
prevádzkovateľa, aj jeho názov a sídlo alebo trvalý pobyt,
b) názov a sídlo alebo trvalý pobyt sprostredkovateľa, ak v mene
prevádzkovateľa alebo zástupcu prevádzkovateľa získava osobné
údaje sprostredkovateľ; v takomto prípade je povinný včas
oznámiť dotknutej osobe informácie podľa tohto odseku
sprostredkovateľ,
c) účel spracúvania osobných údajov a
d) ďalšie doplňujúce informácie v takom rozsahu, v akom sú
s ohľadom na všetky okolnosti spracúvania osobných údajov
potrebné pre dotknutú osobu na zaručenie jej práv a právom
chránených záujmov, najmä právo byť informovaná o podmienkach
spracúvania svojich osobných údajov
1. preukázanie totožnosti oprávnenej osoby, ktorá získava
osobné údaje alebo preukázanie príslušnosti oprávnenej
osoby hodnoverným dokladom k tomu subjektu, v mene ktorého
koná; oprávnená osoba je povinná takejto žiadosti dotknutej
osoby bez zbytočného odkladu vyhovieť,
2. poučenie o dobrovoľnosti alebo povinnosti poskytnúť
požadované osobné údaje; ak sa dotknutá osoba sama
rozhoduje o poskytnutí svojich osobných údajov,
prevádzkovateľ oznámi dotknutej osobe, na základe akého
právneho podkladu mieni spracúvať jej osobné údaje; ak
dotknutej osobe povinnosť poskytnúť osobné údaje vyplýva
z osobitného zákona, prevádzkovateľ oznámi dotknutej osobe
zákon, ktorý jej túto povinnosť ukladá a upovedomí ju
o následkoch odmietnutia poskytnúť osobné údaje,
3. tretie strany, ak sa predpokladá alebo je zrejmé, že im
budú osobné údaje poskytnuté,
4. okruh príjemcov, ak sa predpokladá alebo je zrejmé, že im
budú osobné údaje sprístupnené,
5. formu zverejnenia, ak majú byť osobné údaje zverejnené,
6. tretie krajiny, ak sa predpokladá alebo je zrejmé, že sa do
týchto krajín uskutoční prenos osobných údajov,
7. poučenie o existencii práv dotknutej osoby.
(2) Ak osobné údaje o dotknutej osobe nezískal prevádzkovateľ
priamo od tejto dotknutej osoby, je povinný bez zbytočného
odkladu, najneskôr však v čase pred ich prvým poskytnutím tretej
strane, ak sa takéto poskytovanie predpokladalo už pri získavaní
osobných údajov, oznámiť dotknutej osobe informácie podľa odseku
1 písm. a) až c) a ďalšie doplňujúce informácie v takom rozsahu,
v akom sú s ohľadom na všetky okolnosti spracúvania osobných
údajov potrebné pre dotknutú osobu na zaručenie jej práv a právom
chránených záujmov, najmä právo byť informovaná o podmienkach
spracúvania svojich osobných údajov
a) poučenie o možnosti rozhodnúť o spracúvaní získaných osobných
údajov,
b) zoznam osobných údajov,
c) tretie strany, ak sa predpokladá alebo je zrejmé, že im budú
osobné údaje poskytnuté,
d) okruh príjemcov, ak sa predpokladá alebo je zrejmé, že im budú
osobné údaje sprístupnené,
e) formu zverejnenia, ak majú byť osobné údaje zverejnené,
f) tretie krajiny, ak sa predpokladá alebo je zrejmé, že sa do
týchto krajín uskutoční prenos osobných údajov,
g) poučenie o existencii práv dotknutej osoby.
(3) Informácie podľa odseku 1 netreba dotknutej osobe
oznamovať, ak s ohľadom na všetky okolnosti vie prevádzkovateľ
úradu kedykoľvek na jeho žiadosť preukázať, že v čase získavania
osobných údajov boli všetky potrebné informácie dotknutej osobe už
známe. Informácie podľa odseku 2 netreba dotknutej osobe
oznamovať, ak
a) s ohľadom na všetky okolnosti vie prevádzkovateľ úradu
kedykoľvek na jeho žiadosť preukázať, že všetky potrebné
informácie boli v čase rozhodujúcej udalosti dotknutej osobe
už známe,
b) spracúvanie osobných údajov umožňuje osobitný zákon alebo
medzinárodná zmluva, ktorou je Slovenská republika viazaná,
c) predmetom spracúvania sú výlučne zverejnené osobné údaje,
alebo
d) spracúvané osobné údaje sú určené na účely tvorby umeleckých
alebo literárnych diel alebo pre potreby informovania
verejnosti masovokomunikačnými prostriedkami za podmienok
ustanovených v § 7 ods. 4 písm. a) časti vety pred
bodkočiarkou, ako aj na historický výskum alebo vedecký výskum
a vývoj, alebo sú určené na účely štátnej štatistiky a ak
vzhľadom na všetky okolnosti vie prevádzkovateľ úradu
kedykoľvek na jeho žiadosť preukázať, že poskytnutie takýchto
informácií je objektívne nemožné alebo by si vyžiadalo
neúmerne vysoké náklady a mimoriadne úsilie.
(4) Prevádzkovateľ, ktorý získava osobné údaje na účely
identifikácie fyzickej osoby pri jej jednorazovom vstupe do jeho
priestorov, je oprávnený od nej požadovať meno, priezvisko, titul
a číslo občianskeho preukazu 14) alebo číslo služobného preukazu,
alebo číslo cestovného dokladu, 15) štátnu príslušnosť
a preukázanie pravdivosti poskytnutých osobných údajov
predkladaným dokladom. Ak sa fyzická osoba preukáže podľa
osobitného zákona, 16) je prevádzkovateľ oprávnený od nej
požadovať len evidenčné číslo služobného preukazu. V týchto
prípadoch sa odsek 1 nepoužije.
(5) Prevádzkovateľ alebo sprostredkovateľ, ktorý v priestoroch
prístupných verejnosti získava, poskytuje alebo sprístupňuje
osobné údaje, zabezpečí diskrétnosť pri ich spracúvaní.
(6) Získavať osobné údaje nevyhnutné na dosiahnutie účelu
spracúvania kopírovaním, skenovaním alebo iným zaznamenávaním
úradných dokladov na nosič informácií možno len vtedy, ak s tým
dotknutá osoba písomne súhlasí alebo ak to osobitný zákon výslovne
umožňuje bez súhlasu dotknutej osoby. 17) Súhlas dotknutej osoby
si prevádzkovateľ ani sprostredkovateľ nesmú vynucovať ani
podmieňovať hrozbou odmietnutia zmluvného vzťahu, služby, tovaru
alebo povinnosti ustanovenej prevádzkovateľovi alebo
sprostredkovateľovi zákonom.
(7) Priestor prístupný verejnosti možno monitorovať pomocou
videozáznamu alebo audiozáznamu len na účely verejného poriadku
a bezpečnosti, odhaľovania kriminality alebo narušenia bezpečnosti
štátu, a to len vtedy, ak priestor je zreteľne označený ako
monitorovaný. Označenie monitorovaného priestoru sa nevyžaduje, ak
tak ustanovuje osobitný zákon. Vyhotovený záznam možno využiť len
na účely trestného konania alebo konania o priestupkoch, ak
osobitný zákon neustanovuje inak.
(8) Prevádzkovateľ, ktorý získa osobné údaje uvedené v § 7
ods. 4 písm. d) bez vedomia dotknutej osoby alebo priamo od nej,
poskytne jej pri prvom kontakte informácie podľa odseku 1 a ak sú
spracúvané na účely priameho marketingu, oboznámi ju aj s právom
písomne namietať proti ich poskytovaniu a využívaniu v poštovom
styku.
(9) Prevádzkovatelia, ktorých predmetom činnosti je priamy
marketing, vedú zoznam poskytnutých osobných údajov podľa § 7
ods. 4 písm. d) v rozsahu meno, priezvisko, titul a adresa
dotknutej osoby, dátum ich poskytnutia, prípadne dátum, od ktorého
platí zákaz ich ďalšieho poskytovania podľa § 13 ods. 6, a názov
právnickej osoby alebo fyzickej osoby, ktorej boli uvedené osobné
údaje poskytnuté. Zoznam v rovnakom rozsahu vedú aj právnické
osoby a fyzické osoby, ktorým boli tieto osobné údaje poskytnuté.
§ 11
Pravdivosť osobných údajov
Do informačného systému možno poskytnúť len pravdivé osobné
údaje. Za nepravdivosť osobných údajov zodpovedá ten, kto ich do
informačného systému poskytol.
§ 12
Správnosť a aktuálnosť osobných údajov
(1) Správnosť a aktuálnosť osobných údajov zabezpečuje
prevádzkovateľ. Za správny sa považuje taký osobný údaj, ktorý sa
poskytol v súlade s § 11.
(2) Osobný údaj sa považuje za správny, kým sa nepreukáže
opak.
§ 13
Likvidácia osobných údajov
(1) Prevádzkovateľ po splnení účelu spracúvania zabezpečí
bezodkladne likvidáciu osobných údajov.
(2) Prevádzkovateľ zabezpečí bezodkladne likvidáciu osobných
údajov okrem osobných údajov uvedených v § 7 ods. 4 písm. d) aj
vtedy, ak
a) zanikli dôvody, ktoré neumožňovali získať súhlas dotknutej
osoby (§ 7 ods. 12), a súhlas nebol daný, alebo
b) dotknutá osoba uplatní námietku podľa § 20 ods. 3 písm. a);
ďalej prevádzkovateľ postupuje podľa odseku 5.
(3) Odsek 1 sa nepoužije, ak
a) osobitný zákon ustanovuje lehotu, 18) ktorá neumožňuje osobné
údaje bezodkladne zlikvidovať; prevádzkovateľ zabezpečí
likvidáciu osobných údajov bezodkladne po uplynutí zákonom
ustanovenej lehoty,
b) sú osobné údaje súčasťou archívnych dokumentov, 19)
c) sa písomný, obrazový, zvukový alebo iný záznam obsahujúci
osobné údaje zaradí do predarchívnej starostlivosti; 20) počas
predarchívnej starostlivosti sa nesmú vykonávať žiadne
operácie spracúvania s osobnými údajmi s výnimkou ich
uchovávania a využiť ich možno len na účely občianskoprávneho
konania, trestného konania alebo správneho konania.
(4) Úschovné lehoty písomných, obrazových, zvukových a iných
záznamov, ktoré obsahujú osobné údaje a sú zaradené do
predarchívnej starostlivosti, možno stanoviť len na dobu
nevyhnutnú na uplatnenie práv alebo povinností ustanovených
zákonom. 21)
(5) Ak dotknutá osoba uplatní námietku podľa § 20 ods. 3
písm. b), prevádzkovateľ bezodkladne skončí využívanie osobných
údajov uvedených v § 7 ods. 4 písm. d) v poštovom styku.
(6) Ak dotknutá osoba uplatní námietku podľa § 20 ods. 3
písm. c), prevádzkovateľ to bezodkladne písomne oznámi každému,
komu osobné údaje uvedené v § 7 ods. 4 písm. d) poskytol; zákaz
ďalšieho poskytovania tu uvedených osobných údajov platí pre
prevádzkovateľa a každého, komu ich prevádzkovateľ poskytol odo
dňa nasledujúceho po dni doručenia námietky dotknutej osoby,
prípadne doručenia písomného oznámenia prevádzkovateľa.
(7) Ak vyhotovený záznam podľa § 10 ods. 7 nie je využitý na
účely trestného konania alebo konania o priestupkoch, ten, kto ho
vyhotovil, ho zlikviduje najneskôr v lehote siedmich dní odo dňa
nasledujúceho po dni, v ktorom bol záznam vyhotovený, ak osobitný
zákon neustanovuje inak.
(8) zrušený od 1.5.2005.
§ 14
Oznámenie o vykonaní opravy alebo likvidácie
(1) Opravu alebo likvidáciu osobných údajov oznámi
prevádzkovateľ do 30 dní od ich vykonania dotknutej osobe
a každému, komu ich poskytol.
(2) Od oznámenia možno upustiť, ak sa neoznámením opravy alebo
likvidácie osobných údajov neporušia práva dotknutej osoby.
DRUHÁ HLAVA
BEZPEČNOSŤ OSOBNÝCH ÚDAJOV
§ 15
Zodpovednosť za bezpečnosť osobných údajov
(1) Za bezpečnosť osobných údajov zodpovedá prevádzkovateľ
a sprostredkovateľ tým, že ich chráni pred náhodným, ako aj
nezákonným poškodením a zničením, náhodnou stratou, zmenou,
nedovoleným prístupom a sprístupnením, ako aj pred akýmikoľvek
inými neprípustnými formami spracúvania. Na tento účel prijme
primerané technické, organizačné a personálne opatrenia
zodpovedajúce spôsobu spracúvania, pričom berie do úvahy najmä
a) použiteľné technické prostriedky,
b) rozsah možných rizík, ktoré sú spôsobilé narušiť bezpečnosť
alebo funkčnosť informačného systému,
c) dôvernosť a dôležitosť spracúvaných osobných údajov.
(2) Opatrenia podľa odseku 1 prijme prevádzkovateľ
a sprostredkovateľ vo forme bezpečnostného projektu informačného
systému (ďalej len "bezpečnostný projekt") a zabezpečí jeho
vypracovanie, ak
a) sú v informačnom systéme spracúvané osobitné kategórie
osobných údajov podľa § 8 a informačný systém je prepojený na
verejne prístupnú počítačovú sieť alebo je prevádzkovaný
v počítačovej sieti, ktorá je prepojená na verejne prístupnú
počítačovú sieť,
b) sú v informačnom systéme spracúvané osobitné kategórie
osobných údajov podľa § 8; v tomto prípade prevádzkovateľ
a sprostredkovateľ len zdokumentuje prijaté technické,
organizačné a personálne opatrenia v rozsahu, ktorý ustanovuje
§ 16 ods. 3 písm. c) a ods. 6, alebo
c) informačný systém slúži na zabezpečenie verejného záujmu podľa
§ 2 ods. 1; ustanovenie § 16 sa pri vypracúvaní bezpečnostného
projektu nepoužije len vtedy, ak pre konkrétny prípad je tu
súčasne povinnosť vypracovať bezpečnostný projekt podľa
osobitného zákona. 21a)
(3) Na požiadanie úradu prevádzkovateľ a sprostredkovateľ
preukážu rozsah a obsah prijatých technických, organizačných
a personálnych opatrení podľa odseku 1 alebo 2.
(4) Ak sú predmetom kontroly informačné systémy podľa odseku
2, úrad má právo požadovať od prevádzkovateľa alebo
sprostredkovateľa predloženie hodnotiacej správy o výsledku auditu
bezpečnosti informačného systému (ďalej len "hodnotiaca správa"),
ak sú vážne pochybnosti o jeho bezpečnosti alebo o praktickom
uplatňovaní opatrení uvedených v bezpečnostnom projekte.
Hodnotiacu správu, nie staršiu ako dva roky, bezodkladne predloží
prevádzkovateľ alebo sprostredkovateľ úradu, inak zabezpečí
vykonanie auditu bezpečnosti informačného systému na vlastné
náklady a predloží hodnotiacu správu najneskôr do troch mesiacov
odo dňa uloženia povinnosti.
(5) Audit bezpečnosti informačného systému môže vykonať iba
externá, odborne spôsobilá právnická osoba alebo fyzická osoba,
ktorá sa nepodieľala na vypracovaní bezpečnostného projektu
predmetného informačného systému, a nie sú pochybnosti o jej
nezaujatosti.
§ 16
Bezpečnostný projekt
(1) Bezpečnostný projekt vymedzuje rozsah a spôsob
technických, organizačných a personálnych opatrení potrebných na
eliminovanie a minimalizovanie hrozieb a rizík pôsobiacich na
informačný systém z hľadiska narušenia jeho bezpečnosti,
spoľahlivosti a funkčnosti.
(2) Bezpečnostný projekt sa spracúva v súlade so základnými
pravidlami bezpečnosti informačného systému vydanými
bezpečnostnými štandardmi, právnymi predpismi a medzinárodnými
zmluvami, ktorými je Slovenská republika viazaná.
(3) Bezpečnostný projekt obsahuje najmä
a) bezpečnostný zámer,
b) analýzu bezpečnosti informačného systému,
c) bezpečnostné smernice.
(4) Bezpečnostný zámer vymedzuje základné bezpečnostné ciele,
ktoré je potrebné dosiahnuť na ochranu informačného systému pred
ohrozením jeho bezpečnosti, a obsahuje najmä
a) formuláciu základných bezpečnostných cieľov a minimálne
požadovaných bezpečnostných opatrení,
b) špecifikáciu technických, organizačných a personálnych
opatrení na zabezpečenie ochrany osobných údajov v informačnom
systéme a spôsob ich využitia,
c) vymedzenie okolia informačného systému a jeho vzťah k možnému
narušeniu bezpečnosti,
d) vymedzenie hraníc určujúcich množinu zvyškových rizík.
(5) Analýza bezpečnosti informačného systému je podrobný
rozbor stavu bezpečnosti informačného systému, ktorá obsahuje
najmä
a) kvalitatívnu analýzu rizík, v rámci ktorej sa identifikujú
hrozby pôsobiace na jednotlivé aktíva informačného systému
spôsobilé narušiť jeho bezpečnosť alebo funkčnosť; výsledkom
kvalitatívnej analýzy rizík je zoznam hrozieb, ktoré môžu
ohroziť dôvernosť, integritu a dostupnosť spracúvaných
osobných údajov, s uvedením rozsahu možného rizika, návrhov
opatrení, ktoré eliminujú alebo minimalizujú vplyv rizík,
a s vymedzením súpisu nepokrytých rizík,
b) použitie bezpečnostných štandardov a určenie iných metód
a prostriedkov ochrany osobných údajov; súčasťou analýzy
bezpečnosti informačného systému je posúdenie zhody
navrhnutých bezpečnostných opatrení s použitými bezpečnostnými
štandardmi, metódami a prostriedkami.
(6) Bezpečnostné smernice upresňujú a aplikujú závery
vyplývajúce z bezpečnostného projektu na konkrétne podmienky
prevádzkovaného informačného systému a obsahujú najmä
a) popis technických, organizačných a personálnych opatrení
vymedzených v bezpečnostnom projekte a ich využitie
v konkrétnych podmienkach,
b) rozsah oprávnení a popis povolených činností jednotlivých
oprávnených osôb, spôsob ich identifikácie a autentizácie pri
prístupe k informačnému systému,
c) rozsah zodpovednosti oprávnených osôb a osoby zodpovednej za
dohľad nad ochranou osobných údajov (§ 19),
d) spôsob, formu a periodicitu výkonu kontrolných činností
zameraných na dodržiavanie bezpečnosti informačného systému,
e) postupy pri haváriách, poruchách a iných mimoriadnych
situáciách vrátane preventívnych opatrení na zníženie vzniku
mimoriadnych situácií a možností efektívnej obnovy stavu pred
haváriou.
§ 17
Poučenie
Prevádzkovateľ alebo sprostredkovateľ je povinný poučiť
oprávnené osoby o právach a povinnostiach ustanovených týmto
zákonom a o zodpovednosti za ich porušenie. Poučenie vykoná
prevádzkovateľ alebo sprostredkovateľ pred vydaním prvého pokynu
oprávnenej osobe na vykonanie akejkoľvek spracovateľskej operácie
s osobnými údajmi. Oprávnená osoba poučenie potvrdí svojím
podpisom; o poučení prevádzkovateľ alebo sprostredkovateľ vedie
písomný záznam.
§ 18
Povinnosť mlčanlivosti
(1) Prevádzkovateľ a sprostredkovateľ sú povinní zachovávať
mlčanlivosť o osobných údajoch, ktoré spracúvajú. Povinnosť
mlčanlivosti trvá aj po ukončení spracovania. Povinnosť
mlčanlivosti nemajú, ak je to podľa osobitného zákona nevyhnutné
na plnenie úloh orgánov činných v trestnom konaní; tým nie sú
dotknuté ustanovenia osobitných zákonov. 22)
(2) Oprávnená osoba je povinná zachovávať mlčanlivosť
o osobných údajoch, s ktorými príde do styku; tie nesmie využiť
ani pre osobnú potrebu a bez súhlasu prevádzkovateľa ich nesmie
zverejniť a nikomu poskytnúť ani sprístupniť.
(3) Povinnosť mlčanlivosti podľa odseku 2 platí aj pre iné
fyzické osoby, ktoré v rámci svojej činnosti (napr. údržba
a servis technických prostriedkov) prídu do styku s osobnými
údajmi u prevádzkovateľa alebo sprostredkovateľa.
(4) Povinnosť mlčanlivosti podľa odseku 2 trvá aj po zániku
funkcie oprávnenej osoby alebo po skončení jej pracovného pomeru
alebo obdobného pracovného vzťahu, ako aj štátnozamestnaneckého
pomeru alebo vzťahu podľa odseku 3.
(5) Odseky 1 až 4 a ustanovená povinnosť mlčanlivosti
prevádzkovateľov, sprostredkovateľov a oprávnených osôb podľa
osobitných predpisov 23) sa nepoužijú vo vzťahu k úradu pri plnení
jeho úloh (§ 38 až 44).
§ 19
Dohľad nad ochranou osobných údajov
(1) Za výkon dohľadu nad ochranou osobných údajov spracúvaných
podľa tohto zákona zodpovedá prevádzkovateľ.
(2) Ak prevádzkovateľ zamestnáva viac ako päť osôb, výkonom
dohľadu písomne poverí zodpovednú osobu alebo viaceré zodpovedné
osoby, ktoré dozerajú na dodržiavanie zákonných ustanovení pri
spracúvaní osobných údajov.
(3) Odborné vyškolenie zodpovednej osoby alebo viacerých
zodpovedných osôb zabezpečí prevádzkovateľ. Rozsah odborného
školenia zodpovedá najmä obsahu tohto zákona a úlohám z neho
vyplývajúcim, ako aj obsahu medzinárodných zmlúv o ochrane
osobných údajov, 24) ktoré boli vyhlásené spôsobom ustanoveným
zákonom. Úrad môže od prevádzkovateľa žiadať podanie dôkazu
o vykonanom odbornom školení.
(4) Zodpovedná osoba posúdi pred začatím spracúvania osobných
údajov v informačnom systéme, či ich spracúvaním nevzniká
nebezpečenstvo narušenia práv a slobôd dotknutých osôb. Zistenie
narušenia práv a slobôd dotknutých osôb pred začatím spracúvania
alebo porušenia zákonných ustanovení v priebehu spracúvania
osobných údajov zodpovedná osoba bezodkladne písomne oznámi
prevádzkovateľovi; ak prevádzkovateľ po upozornení bezodkladne
nevykoná nápravu, oznámi to zodpovedná osoba úradu.
(5) Prevádzkovateľ, ktorý písomne poveril výkonom dohľadu nad
ochranou osobných údajov zodpovednú osobu, je povinný o tom
písomne informovať úrad bez zbytočného odkladu, najneskôr do 30
dní odo dňa poverenia zodpovednej osoby doporučenou zásielkou.
Prevádzkovateľ oznámi úradu tieto údaje:
a) názov, sídlo alebo trvalý pobyt, právnu formu a identifikačné
číslo prevádzkovateľa alebo zástupcu prevádzkovateľa,
b) titul, meno, priezvisko a dátum narodenia zodpovednej osoby,
c) pracovné zaradenie zodpovednej osoby,
d) dátum začiatku platnosti písomného poverenia zodpovednej
osoby,
e) vyhlásenie prevádzkovateľa o tom, že zodpovedná osoba spĺňa
podmienky ustanovené v odseku 12.
(6) Prevádzkovateľ oznámi úradu poverenie jednej zodpovednej
osoby, a to aj vtedy, ak výkonom dohľadu nad ochranou osobných
údajov súčasne poveril viac zodpovedných osôb. Ak prevádzkovateľ
nahradí zodpovednú osobu, ktorú nahlásil úradu, inou zodpovednou
osobou, postupuje podľa odseku 5.
(7) Zodpovedná osoba zabezpečuje
a) potrebnú súčinnosť s úradom pri plnení úloh patriacich do jeho
pôsobnosti; na požiadanie je zodpovedná osoba povinná úradu
kedykoľvek predložiť svoje písomné poverenie, písomné
oznámenia vystavené pre prevádzkovateľa podľa odseku 4,
preukázať rozsah získaných vedomostí odborným školením,
b) povinnosti podľa odseku 4,
c) dohľad nad plnením základných povinností prevádzkovateľa podľa
§ 6,
d) poučenie oprávnených osôb podľa § 17,
e) vybavovanie žiadostí dotknutých osôb podľa § 20 až 22,
f) realizáciu technických, organizačných a personálnych opatrení
a dohliada na ich aplikáciu v praxi; ak je prevádzkovateľ
povinný vypracovať bezpečnostný projekt v súlade s § 16 alebo
dokumentáciu podľa § 15 ods. 2 písm. b), zabezpečuje ich
vypracovanie,
g) dohľad pri výbere sprostredkovateľa podľa § 5 ods. 3 a 4,
prípravu písomnej zmluvy alebo písomného poverenia pre
sprostredkovateľa v súlade s § 5 ods. 2 a zodpovedá za jeho
obsah; počas trvania zmluvného vzťahu alebo poverenia
preveruje dodržiavanie dohodnutých podmienok,
h) dohľad nad cezhraničným tokom osobných údajov,
i) prihlásenie informačných systémov na osobitnú registráciu
a oznamovanie zmien a odhlásenie informačných systémov
z osobitnej registrácie; o informačných systémoch, ktoré
nepodliehajú registrácii, vedie evidenciu v rozsahu
ustanovenom týmto zákonom podľa § 29 a 30 a zabezpečuje jej
sprístupnenie komukoľvek, kto o to požiada v súlade s § 32.
(8) Prevádzkovateľ, ktorý zamestnáva menej ako šesť osôb, môže
výkonom dohľadu nad ochranou osobných údajov písomne poveriť
zodpovednú osobu, ktorá dozerá na dodržiavanie zákonných
ustanovení pri spracúvaní osobných údajov.
(9) Prevádzkovateľ, ktorý zamestnáva menej ako šesť osôb
a výkonom dohľadu nad ochranou osobných údajov písomne nepoveril
zodpovednú osobu, je povinný prihlásiť na registráciu tie
informačné systémy, ktoré podľa tohto zákona podliehajú
registrácii podľa § 25.
(10) Prevádzkovateľ je povinný umožniť zodpovednej osobe
nezávislý výkon dohľadu nad ochranou osobných údajov a prijať jej
oprávnené návrhy; upozornenie na nedostatky alebo vyslovenie
požiadavky zodpovednou osobou v súvislosti s plnením jej
povinností podľa odseku 7 sa nesmie stať podnetom ani dôvodom na
konanie zo strany prevádzkovateľa, ktoré by zodpovednej osobe
spôsobilo ujmu.
(11) Úrad je oprávnený uložiť prevádzkovateľovi povinnosť
písomne poveriť dohľadom nad ochranou osobných údajov inú
zodpovednú osobu, ak sa preukáže, že písomne poverená zodpovedná
osoba neplnila alebo nedostatočne plnila povinnosti podľa odseku
7, alebo práva a povinnosti uložené prevádzkovateľovi týmto
zákonom nesprávne posudzovala alebo ich nesprávne uplatňovala
v praxi, alebo nespĺňa podmienky ustanovené v odseku 12.
Prevádzkovateľ je povinný bez zbytočného odkladu úradu vyhovieť
a dohľadom písomne poveriť inú zodpovednú osobu; ak tomu bránia
dôvody hodné osobitného zreteľa, ktoré vie prevádzkovateľ úradu
hodnoverne preukázať, úrad určí prevádzkovateľovi lehotu, dokedy
je povinný vymeniť zodpovednú osobu, prípadne prihlásiť informačné
systémy na registráciu.
(12) Zodpovednou osobou môže byť len fyzická osoba, ktorá má
spôsobilosť na právne úkony v plnom rozsahu a spĺňa podmienku
bezúhonnosti podľa § 35 ods. 4 prvej vety; bezúhonnosť sa
preukazuje doložením výpisu z registra trestov nie starším ako tri
mesiace, ktorý je prevádzkovateľ povinný uchovávať počas doby
výkonu funkcie zodpovednej osoby. Zodpovednou osobou nemôže byť
fyzická osoba, ktorá je štatutárnym orgánom prevádzkovateľa
a fyzická osoba, ktorá je oprávnená konať v mene štatutárneho
orgánu prevádzkovateľa. Zodpovedná osoba má postavenie oprávnenej
osoby prevádzkovateľa.
TRETIA HLAVA
OCHRANA PRÁV DOTKNUTÝCH OSÔB
§ 20
Práva dotknutej osoby
(1) Dotknutá osoba má právo na základe písomnej žiadosti od
prevádzkovateľa vyžadovať
a) vo všeobecne zrozumiteľnej forme informácie o stave
spracúvania svojich osobných údajov v informačnom systéme
v rozsahu podľa § 26 ods. 3; pri vydaní rozhodnutia podľa
odseku 4 písm. b) je dotknutá osoba oprávnená oboznámiť sa
s postupom spracúvania a vyhodnocovania operácií,
b) vo všeobecne zrozumiteľnej forme presné informácie o zdroji,
z ktorého získal jej osobné údaje na spracúvanie,
c) vo všeobecne zrozumiteľnej forme odpis jej osobných údajov,
ktoré sú predmetom spracúvania,
d) opravu jej nesprávnych, neúplných alebo neaktuálnych osobných
údajov, ktoré sú predmetom spracúvania,
e) likvidáciu jej osobných údajov, ak bol splnený účel ich
spracúvania podľa § 13 ods. 1; ak sú predmetom spracúvania
úradné doklady obsahujúce osobné údaje, môže požiadať o ich
vrátenie,
f) likvidáciu jej osobných údajov, ktoré sú predmetom
spracúvania, ak došlo k porušeniu zákona.
(2) Právo dotknutej osoby možno obmedziť len podľa odseku 1
písm. d) a e), ak takéto obmedzenie vyplýva z osobitného zákona
alebo jeho uplatnením by bola porušená ochrana dotknutej osoby,
alebo by boli porušené práva a slobody iných osôb.
(3) Dotknutá osoba na základe bezplatnej písomnej žiadosti má
právo u prevádzkovateľa namietať voči
a) spracúvaniu jej osobných údajov, o ktorých predpokladá, že sú
alebo budú spracúvané na účely priameho marketingu bez jej
súhlasu a žiadať ich likvidáciu,
b) využívaniu osobných údajov uvedených v § 7 ods. 4 písm. d) na
účely priameho marketingu v poštovom styku, alebo
c) poskytovaniu osobných údajov uvedených v § 7 ods. 4 písm. d)
na účely priameho marketingu.
(4) Dotknutá osoba na základe bezplatnej písomnej žiadosti
alebo osobne, ak vec neznesie odklad, má právo u prevádzkovateľa
kedykoľvek namietať
a) voči spracúvaniu osobných údajov v prípadoch podľa § 7 ods. 4
písm. a), e), f) alebo g) vyslovením oprávnených dôvodov alebo
predložením dôkazov o neoprávnenom zasahovaní do jej práv
a právom chránených záujmov, ktoré sú alebo môžu byť
v konkrétnom prípade takýmto spracúvaním osobných údajov
poškodené; ak tomu nebránia zákonné dôvody a preukáže sa, že
námietka dotknutej osoby je oprávnená, prevádzkovateľ je
povinný osobné údaje, ktorých spracúvanie dotknutá osoba
namietala, bez zbytočného odkladu blokovať a zlikvidovať
ihneď, ako to okolnosti dovolia,
b) a nepodrobiť sa rozhodnutiu prevádzkovateľa, ktoré by malo pre
ňu právne účinky alebo významný dosah, ak sa takéto
rozhodnutie vydá výlučne na základe úkonov automatizovaného
spracúvania jej osobných údajov. Dotknutá osoba má právo
žiadať prevádzkovateľa o preskúmanie vydaného rozhodnutia
metódou odlišnou od automatizovanej formy spracúvania, pričom
prevádzkovateľ je povinný žiadosti dotknutej osoby vyhovieť,
a to tak, že rozhodujúcu úlohu pri preskúmaní rozhodnutia bude
mať oprávnená osoba; o spôsobe preskúmania a výsledku zistenia
prevádzkovateľ informuje dotknutú osobu v lehote podľa § 21
ods. 3. Dotknutá osoba nemá toto právo iba v prípade, ak to
ustanovuje osobitný zákon, v ktorom sú opatrenia na
zabezpečenie oprávnených záujmov dotknutej osoby, alebo ak
rozhodnutie bolo prijaté v priebehu uzatvárania alebo plnenia
zmluvy uzatváranej medzi prevádzkovateľom a dotknutou osobou
za predpokladu, že sa vyhovelo požiadavke dotknutej osoby,
ktorá je obsahom zmluvy, alebo dotknutej osobe bolo na základe
dohody udelené právo kedykoľvek počas platnosti zmluvy
uplatniť svoj názor.
(5) Dotknutá osoba má právo nesúhlasiť s rozhodnutím
prevádzkovateľa podľa § 23 ods. 5 a odmietnuť prenos svojich
osobných údajov do tretej krajiny, ktorá nezaručuje primeranú
úroveň ochrany osobných údajov, ak sa má prenos vykonať na základe
§ 23 ods. 4 písm. a).
(6) Dotknutá osoba pri podozrení, že jej osobné údaje sa
neoprávnene spracúvajú, môže podať o tom oznámenie úradu.
(7) Ak dotknutá osoba nemá spôsobilosť na právne úkony v plnom
rozsahu, 8) jej práva môže uplatniť zákonný zástupca. 9)
(8) Ak dotknutá osoba nežije, jej práva, ktoré mala podľa
tohto zákona, môže uplatniť blízka osoba. 10)
§ 21
Poskytnutie informácií dotknutej osobe
(1) Požiadavky dotknutej osoby podľa § 20 ods. 1 písm. a), d)
až f) splní prevádzkovateľ bezplatne.
(2) Informácie podľa § 20 ods. 1 písm. b) a c) prevádzkovateľ
poskytne dotknutej osobe bezplatne s výnimkou úhrady vo výške,
ktorá nesmie prekročiť výšku materiálnych nákladov spojených so
zhotovením kópií, so zadovážením technických nosičov a s odoslaním
informácie dotknutej osobe, ak osobitný zákon neustanovuje
inak. 26)
(3) Prevádzkovateľ vyhovie požiadavkám dotknutej osoby podľa
§ 20 a písomne ju informuje najneskoršie do 30 dní od ich
prijatia.
ŠTVRTÁ HLAVA
CEZHRANIČNÝ TOK OSOBNÝCH ÚDAJOV
§ 23
Prenos osobných údajov do tretích krajín
(1) Ak tretia krajina zaručuje primeranú úroveň ochrany
osobných údajov, prenos osobných údajov do tejto tretej krajiny
možno vykonať za predpokladu, že dotknutej osobe boli poskytnuté
informácie podľa § 10 ods. 1 alebo 2, alebo bola splnená niektorá
z podmienok uvedených v § 10 ods. 3.
(2) Primeranosť úrovne ochrany osobných údajov sa hodnotí na
základe všetkých okolností súvisiacich s prenosom. Osobitne sa
pritom posudzujú príslušné právne predpisy v cieľovej krajine vo
vzťahu k povahe osobných údajov, účel a trvanie ich spracúvania.
(3) Prenos osobných údajov do tretej krajiny, ktorá nezaručuje
primeranú úroveň ochrany osobných údajov, možno vykonať len vtedy,
ak sa takýto prenos uskutočňuje na základe rozhodnutia Európskej
komisie alebo ak je splnená niektorá z podmienok uvedených
v odseku 4.
(4) V prípade, že cieľová krajina nezaručuje primeranú úroveň
ochrany, možno prenos vykonať pod podmienkou, že
a) dotknutá osoba dala naň písomný súhlas s vedomím, že cieľová
krajina nezaručuje primeranú úroveň ochrany,
b) je nevyhnutný na plnenie zmluvy medzi dotknutou osobou
a prevádzkovateľom alebo na zavedenie predzmluvných opatrení
na žiadosť dotknutej osoby,
c) je nevyhnutný na uzavretie zmluvy alebo plnenie zmluvy, ktorú
prevádzkovateľ uzavrel v záujme dotknutej osoby s iným
subjektom,
d) je nevyhnutný na plnenie medzinárodnej zmluvy, ktorou je
Slovenská republika viazaná, alebo vyplýva zo zákona z dôvodu
dôležitého verejného záujmu alebo pri preukazovaní,
uplatňovaní alebo obhajovaní právneho nároku,
e) je nevyhnutný na ochranu životne dôležitých záujmov dotknutej
osoby, alebo
f) sa týka osobných údajov, ktoré sú súčasťou zoznamov, registrov
alebo operátov a ktoré sú vedené a verejne prístupné podľa
osobitných zákonov alebo sú podľa nich prístupné tým, ktorí
preukážu právny nárok pri splnení zákonom ustanovených
podmienok na ich sprístupnenie.
(5) Ak sa prevádzkovateľ rozhodne vykonať prenos osobných
údajov do tretej krajiny, ktorá nezaručuje primeranú úroveň
ochrany až po ich získaní, oznámi dotknutej osobe pred prenosom
osobných údajov dôvod svojho rozhodnutia a oboznámi ju s právom
odmietnuť takýto prenos podľa § 20 ods. 5, ak sa má prenos vykonať
pod podmienkou uvedenou v odseku 4 písm. a); prevádzkovateľ je
oprávnený vykonať navrhovaný prenos osobných údajov až po obdržaní
písomného súhlasu dotknutej osoby.
(6) Ak prevádzkovateľ poverí spracúvaním osobných údajov
subjekt v cudzine, ktorý ich spracúva v mene prevádzkovateľa, ten
je oprávnený spracúvať osobné údaje len v rozsahu a za podmienok
dojednaných s prevádzkovateľom v písomnej zmluve. Obsah zmluvy
musí byť vypracovaný v súlade so štandardnými zmluvnými
podmienkami ustanovenými na prenos osobných údajov subjektom
v cudzine, ktoré ich spracúvajú v mene prevádzkovateľa.
(7) Na prenos osobných údajov podľa odseku 6 sa vyžaduje
súhlas úradu.
(8) Ten, kto vykonáva prenos osobných údajov, zaručí ich
bezpečnosť (§ 15 ods. 1) aj pri tranzite.
(9) Ochrana osobných údajov, prenesených na územie Slovenskej
republiky od subjektov so sídlom alebo s trvalým pobytom
v cudzine, sa vykonáva v súlade s týmto zákonom.
(10) V prípade pochybnosti o tom, či možno vykonať cezhraničný
tok osobných údajov, rozhodne úrad. Stanovisko úradu je záväzné.
§ 23a
Prenos osobných údajov v rámci členských štátov Európskej únie
(1) Voľný pohyb osobných údajov medzi Slovenskou republikou
a členskými štátmi Európskej únie sa zaručuje; Slovenská republika
neobmedzí ani nezakáže prenos osobných údajov z dôvodov ochrany
základných práv a slobôd fyzických osôb, najmä ich práva na
súkromie v súvislosti so spracúvaním ich osobných údajov.
(2) Prevádzkovateľ so sídlom alebo s trvalým pobytom na území
Slovenskej republiky, ktorý zároveň spracúva osobné údaje
prostredníctvom svojej organizačnej zložky alebo viacerých
organizačných zložiek na území jedného alebo viacerých členských
štátov Európskej únie, je povinný prijať opatrenia a zabezpečiť,
aby každá jeho organizačná zložka spracúvala osobné údaje v súlade
s právnym poriadkom platným v tom členskom štáte, v ktorom má
príslušná organizačná zložka sídlo.
(3) Prevádzkovateľ, ktorý nemá sídlo alebo trvalý pobyt na
území členského štátu Európskej únie, a na účely spracúvania
osobných údajov využíva úplne alebo čiastočne automatizované alebo
iné ako automatizované prostriedky spracúvania umiestnené na území
Slovenskej republiky, pričom tieto prostriedky spracúvania nie sú
využívané výlučne len na prenos osobných údajov cez územie
členských štátov Európskej únie, je povinný pred začatím
spracúvania osobných údajov vymenovať svojho zástupcu, ktorý má
sídlo alebo trvalý pobyt na území Slovenskej republiky; tým nie je
dotknuté vnútroštátne právo tretej krajiny, v ktorej má
prevádzkovateľ sídlo alebo trvalý pobyt. Zástupca prevádzkovateľa
je povinný preukázať úradu kedykoľvek na jeho žiadosť originál
dokladu svojho vymenovania za zástupcu prevádzkovateľa. Pravosť
podpisov a odtlačku pečiatky prevádzkovateľa na origináli dokladu
musí byť overená orgánom štátu príslušným na jeho overenie alebo
notárom v príslušnom štáte s odtlačkom pečiatky zastupiteľského
úradu Slovenskej republiky v tomto štáte.
PIATA HLAVA
REGISTRÁCIA A EVIDENCIA INFORMAČNÝCH SYSTÉMOV
§ 24
Povinnosť registrácie a evidencie
Prevádzkovateľ registruje informačné systémy alebo vedie
o nich evidenciu v rozsahu a za podmienok ustanovených týmto
zákonom.
Registrácia
§ 25
Podmienky registrácie
(1) Registráciu informačných systémov vykonáva úrad bezplatne.
(2) Povinnosť registrácie sa vzťahuje na všetky informačné
systémy, v ktorých sa spracúvajú osobné údaje úplne alebo
čiastočne automatizovanými prostriedkami spracúvania s výnimkou
tých informačných systémov, ktoré
a) podliehajú osobitnej registrácii podľa § 27 ods. 2,
b) podliehajú dohľadu zodpovednej osoby, ktorú písomne poveril
prevádzkovateľ podľa § 19 ods. 2 alebo 8 a ktorá vykonáva
dohľad nad ochranou osobných údajov podľa tohto zákona,
c) obsahujú osobné údaje fyzických osôb spracúvané na účely
plnenia predzmluvných vzťahov alebo uplatňovania práv
a povinností vyplývajúcich pre prevádzkovateľa z existujúceho
alebo ukončeného pracovnoprávneho vzťahu, služobného pomeru,
štátnozamestnaneckého pomeru alebo členského pomeru s týmito
fyzickými osobami vrátane osobných údajov ich blízkych
osôb, 10)
d) obsahujú osobné údaje o členstve osôb v odborovej organizácii,
ktoré sú jej členmi a ak tieto osobné údaje spracúva odborová
organizácia a využíva ich výlučne pre svoju vnútornú potrebu,
alebo obsahujú osobné údaje o náboženskej viere osôb
združených v štátom uznanej cirkvi alebo náboženskej
spoločnosti a ak tieto osobné údaje spracúva cirkev alebo
náboženská spoločnosť a využíva ich výlučne pre svoju vnútornú
potrebu, alebo obsahujú osobné údaje o členstve osôb
v politickej strane alebo v politickom hnutí, ktoré sú ich
členmi a ak tieto osobné údaje spracúva politická strana alebo
politické hnutie a využíva ich výlučne pre svoju vnútornú
potrebu, alebo
e) obsahujú osobné údaje potrebné na uplatňovanie práv alebo
plnenie povinností vyplývajúcich z osobitného zákona alebo sú
spracúvané na základe osobitného zákona.
(3) Súčasťou registrácie je pridelenie registračného čísla
informačnému systému a vydanie potvrdenia o jeho registrácii; ak
bola splnená podmienka podľa § 26 ods. 2, spracúvanie osobných
údajov v informačnom systéme nie je podmienené vydaním potvrdenia
o jeho registrácii.
(4) V prípade pochybnosti o tom, či informačný systém podlieha
registrácii, rozhodne úrad. Stanovisko úradu je záväzné.
§ 26
Prihlásenie na registráciu
(1) Za prihlásenie informačného systému na registráciu
zodpovedá jeho prevádzkovateľ.
(2) Prevádzkovateľ prihlási informačný systém na registráciu
pred začatím spracúvania osobných údajov.
(3) Pri prihlasovaní informačného systému na registráciu
prevádzkovateľ uvedie tieto údaje:
a) názov, sídlo alebo trvalý pobyt, právnu formu a identifikačné
číslo prevádzkovateľa,
b) meno a priezvisko štatutárneho orgánu prevádzkovateľa,
c) meno a priezvisko zodpovednej osoby vykonávajúcej dohľad nad
ochranou osobných údajov, ak sa vyžaduje jej poverenie (§ 19
ods. 2),
d) názov, sídlo alebo trvalý pobyt, právnu formu a identifikačné
číslo zástupcu prevádzkovateľa, ak koná na území Slovenskej
republiky za prevádzkovateľa so sídlom alebo trvalým pobytom
v tretej krajine; v takomto prípade sa v písmene a) uvedú
údaje o prevádzkovateľovi, ktorý vymenoval zástupcu
prevádzkovateľa,
e) meno a priezvisko štatutárneho orgánu alebo člena štatutárneho
orgánu zástupcu prevádzkovateľa; v takomto prípade sa
v písmene b) uvedú údaje o štatutárnom orgáne alebo o členovi
štatutárneho orgánu prevádzkovateľa, ktorý vymenoval zástupcu
prevádzkovateľa,
f) identifikačné označenie informačného systému,
g) účel spracúvania osobných údajov,
h) zoznam osobných údajov,
i) okruh dotknutých osôb,
j) okruh príjemcov, ak sa predpokladá alebo je zrejmé, že im budú
osobné údaje sprístupnené,
k) tretie strany, prípadne okruh tretích strán, ak sa predpokladá
alebo je zrejmé, že im budú osobné údaje poskytnuté,
l) tretie krajiny, ak sa predpokladá alebo je zrejmé, že sa do
týchto krajín uskutoční prenos osobných údajov a právny základ
cezhraničného toku,
m) právny základ informačného systému,
n) formu zverejnenia, ak sa zverejnenie osobných údajov vykonáva,
o) všeobecnú charakteristiku opatrení na zabezpečenie ochrany
osobných údajov,
p) dátum začatia spracúvania osobných údajov.
(4) Údaje v rozsahu podľa odseku 3 sa úradu odovzdávajú
v písomnej forme potvrdené štatutárnym orgánom prevádzkovateľa
alebo elektronicky vo forme databázového súboru s doloženým
výtlačkom obsahu súboru potvrdeným štatutárnym orgánom
prevádzkovateľa. Písomnú formu a formát databázového súboru určí
úrad. Doloženie výtlačku sa nepožaduje, ak databázový súbor je
opatrený elektronickým podpisom podľa osobitného zákona.
§ 27
Podmienky osobitnej registrácie
(1) Osobitnú registráciu informačných systémov vykonáva úrad
bezplatne.
(2) Osobitná registrácia sa vzťahuje na informačné systémy,
v ktorých prevádzkovateľ spracúva
a) aspoň jeden z osobných údajov uvedených v § 8 ods. 1,
a zároveň sa predpokladá alebo uskutočňuje ich prenos do
tretej krajiny alebo tretích krajín, ktoré nezaručujú
primeranú úroveň ochrany, na základe § 23 ods. 4 písm. a)
alebo c),
b) osobné údaje na základe § 7 ods. 4 písm. g), alebo
c) osobné údaje na základe § 9 ods. 3.
(3) Prevádzkovateľ je povinný prihlásiť informačný systém na
osobitnú registráciu na úrade pred začatím spracúvania osobných
údajov.
(4) Pri osobitnej registrácii prevádzkovateľ uvedie údaje
v rozsahu podľa § 26 ods. 3 a predloží podklady, ktoré sú
nevyhnutné na posúdenie predmetného spracúvania. Na prihlásenie
informačného systému na osobitnú registráciu sa primerane vzťahuje
§ 26 ods. 4.
(5) Úrad posúdi predložené údaje podľa odseku 4, preverí, či
spracúvaním osobných údajov nevzniká nebezpečenstvo narušenia práv
a slobôd dotknutých osôb a najneskôr do 60 dní odo dňa ich
prijatia rozhodne o tom, či spracúvanie osobných údajov povolí; ak
pri posudzovaní predložených údajov úrad zistí, že prihlásený
informačný systém nepodlieha osobitnej registrácii, oznámi to bez
zbytočného odkladu prevádzkovateľovi.
(6) V prípade pochybností si úrad vyžiada od prevádzkovateľa
ďalšie vysvetlenia alebo podklady. Počas tejto doby lehota podľa
odseku 5 neplynie.
(7) Súčasťou osobitnej registrácie je pridelenie registračného
čísla informačnému systému a vydanie potvrdenia o jeho
registrácii; prevádzkovateľ môže začať spracúvať osobné údaje
v informačnom systéme prihlásenom na osobitnú registráciu v deň
nasledujúci po dni, v ktorom úrad vydal potvrdenie.
(8) Na oznámenie zmien a odhlásenie informačného systému
z osobitnej registrácie sa vzťahuje ustanovenie § 28.
(9) Ak úrad spracúvanie osobných údajov v informačnom systéme
prihlásenom na osobitnú registráciu posúdi ako rizikové, zakáže
prevádzkovateľovi spracúvanie osobných údajov na daný účel.
Prevádzkovateľ je povinný rešpektovať rozhodnutie úradu a bez
zbytočného odkladu vykonať opatrenia, aby sa spracúvanie osobných
údajov neuskutočnilo.
§ 28
Oznámenie zmien a odhlásenie z registrácie
(1) Prevádzkovateľ do 15 dní písomne oznámi úradu akékoľvek
zmeny údajov podľa § 26 ods. 3 s výnimkou písmena p), ktoré
nastanú v priebehu spracúvania.
(2) Prevádzkovateľ do 15 dní odo dňa skončenia spracúvania
osobných údajov v informačnom systéme tento z registrácie písomne
odhlási. Súčasťou odhlásenia je dátum skončenia spracúvania
osobných údajov.
(3) Na oznámenie zmien údajov a odhlásenie informačného
systému z registrácie sa primerane použije § 26 ods. 4.
Evidencia
§ 29
Podmienky evidencie
(1) O informačných systémoch, ktoré nepodliehajú registrácii,
prevádzkovateľ vedie evidenciu, a to najneskôr odo dňa začatia
spracúvania údajov v týchto informačných systémoch.
(2) Odsek 1 sa nepoužije pre informačné systémy, ak
a) spracúvané osobné údaje slúžia výlučne pre potreby poštového
styku s dotknutými osobami a evidencie týchto údajov [§ 7
ods. 4 písm. d)], alebo
b) obsahujú osobné údaje, ktoré sa spracúvajú výlučne na účely
identifikácie osôb pri ich jednorazovom vstupe do priestorov
prevádzkovateľa (§ 10 ods. 4).
TRETIA ČASŤ
ÚRAD
PRVÁ HLAVA
POSTAVENIE A PÔSOBNOSŤ ÚRADU
§ 33
Pôsobnosť úradu
(1) Zriaďuje sa Úrad na ochranu osobných údajov Slovenskej
republiky, ktorý je orgánom štátnej správy s celoslovenskou
pôsobnosťou so sídlom v Bratislave.
(2) Úrad ako štátny orgán vykonáva dozor nad ochranou osobných
údajov nezávisle a podieľa sa na ochrane základných práv a slobôd
fyzických osôb pri spracúvaní ich osobných údajov.
(3) Ak osobné údaje spracúvajú spravodajské služby, dozor nad
ochranou osobných údajov podľa odseku 2 vykonáva Národná rada
Slovenskej republiky podľa osobitného zákona. 27)
(4) Úrad plní oznamovaciu povinnosť voči Európskej komisii
v oblasti ochrany osobných údajov.
(5) Úrad prijíma opatrenia na vykonanie rozhodnutí Európskej
komisie vydaných v oblasti ochrany osobných údajov.
(6) Úrad spolupracuje pri výkone dozoru nad ochranou osobných
údajov s obdobnými orgánmi dozoru v zahraničí.
§ 34
Postavenie úradu
(1) Úrad je rozpočtovou organizáciou. 28) Návrh rozpočtu
predkladá úrad ako súčasť kapitoly Všeobecná pokladničná
správa. Schválený rozpočet úradu môže znížiť v priebehu
kalendárneho roku iba Národná rada Slovenskej republiky.
(2) Podrobnosti o organizácii úradu upraví organizačný
poriadok.
§ 35
Predseda úradu
(1) Na čele úradu je predseda úradu.
(2) Predsedu úradu na návrh vlády Slovenskej republiky volí
a odvoláva Národná rada Slovenskej republiky. Návrh na voľbu
predsedu úradu na nové funkčné obdobie predkladá vláda Slovenskej
republiky Národnej rade Slovenskej republiky najneskôr 60 dní pred
uplynutím funkčného obdobia úradujúceho predsedu úradu. Funkčné
obdobie predsedu úradu je päť rokov a možno ho zvoliť najviac na
dve po sebe nasledujúce obdobia. Predseda úradu ostáva vo funkcii
aj po uplynutí funkčného obdobia, kým Národná rada Slovenskej
republiky nezvolí predsedu úradu na nové funkčné obdobie.
(3) Za predsedu úradu možno zvoliť občana, ktorý je voliteľný
za poslanca do Národnej rady Slovenskej republiky, je bezúhonný,
má vysokoškolské vzdelanie, má najmenej 10 rokov odbornej praxe
v oblasti informatiky alebo práva a dosiahol vek najmenej 35
rokov.
(4) Za bezúhonného občana sa na účely tohto zákona považuje
občan, ktorý nebol právoplatne odsúdený za úmyselný trestný čin
alebo za trestný čin, za ktorý mu bol uložený nepodmienečný trest
odňatia slobody. Bezúhonnosť sa preukazuje výpisom z registra
trestov, ktorý nie je starší ako tri mesiace.
(5) Predseda úradu nemôže byť členom politickej strany ani
politického hnutia.
(6) Platové a ďalšie náležitosti predsedu úradu určuje vláda
Slovenskej republiky podľa osobitného predpisu. 29)
(7) Počas výkonu funkcie nesmie predseda úradu podnikať ani
vykonávať inú zárobkovú činnosť s výnimkou vedeckej, pedagogickej,
publicistickej, literárnej alebo umeleckej činnosti a správy
vlastného majetku a majetku svojich maloletých detí.
(8) Počas výkonu funkcie je predseda úradu oprávnený
oboznamovať sa s utajovanými skutočnosťami podľa osobitného
predpisu. 30)
(9) Počas funkčného obdobia i po jeho skončení je predseda
úradu povinný zachovávať mlčanlivosť o skutočnostiach týkajúcich
sa obsahu osobných údajov, o ktorých sa dozvedel počas výkonu
svojej funkcie.
(10) Od povinnosti mlčanlivosti môže predsedu úradu pre
konkrétny prípad oslobodiť Národná rada Slovenskej republiky.
(11) Za svoju činnosť zodpovedá predseda úradu Národnej rade
Slovenskej republiky.
(12) Pred uplynutím funkčného obdobia zaniká výkon funkcie
predsedu úradu
a) vzdaním sa funkcie,
b) stratou voliteľnosti za poslanca Národnej rady Slovenskej
republiky,
c) nadobudnutím právoplatnosti rozsudku, ktorým bol odsúdený za
úmyselný trestný čin alebo ktorým bol odsúdený za trestný čin
a súd nerozhodol v jeho prípade o podmienečnom odložení výkonu
trestu odňatia slobody,
d) výkonom činnosti, ktorá je nezlučiteľná s výkonom jeho
funkcie, alebo
e) smrťou.
(13) Národná rada môže odvolať z funkcie predsedu úradu,
a) ak mu zdravotný stav dlhodobo, najmenej však počas jedného
roka, nedovoľuje riadne vykonávať povinnosti vyplývajúce
z jeho funkcie,
b) ak porušil povinnosť zachovávať mlčanlivosť o skutočnostiach
týkajúcich sa obsahu osobných údajov, o ktorých sa dozvedel
v súvislosti s výkonom svojej funkcie. Predseda úradu je
odvolaný z funkcie dňom nasledujúcim po dni, keď mu bolo
doručené rozhodnutie Národnej rady Slovenskej republiky
o odvolaní z funkcie.
§ 36
Podpredseda úradu
(1) Predsedu úradu v čase jeho neprítomnosti zastupuje
podpredseda úradu. Podpredseda úradu okrem toho plní úlohy,
ktorými ho poverí predseda úradu.
(2) Podpredsedu úradu vymenúva a odvoláva vláda Slovenskej
republiky na návrh predsedu úradu.
(3) Na výkon funkcie podpredsedu úradu sa primerane použijú
ustanovenia § 35 ods. 3 až 5, 7, 9 a 12.
(4) Od povinnosti mlčanlivosti môže podpredsedu úradu pre
konkrétny prípad oslobodiť predseda úradu.
§ 37
Vrchný inšpektor a inšpektori
(1) Činnosť inšpektorov riadi vrchný inšpektor.
(2) Inšpektori vykonávajú kontrolnú činnosť a sú vecne
príslušní na plnenie úloh úradu.
(3) Inšpektorov vymenúva a odvoláva vláda Slovenskej republiky
na návrh predsedu úradu. Za inšpektora možno vymenovať občana,
ktorý je voliteľný za poslanca Národnej rady Slovenskej republiky,
je bezúhonný, má vysokoškolské vzdelanie a najmenej trojročnú
odbornú prax v oblasti informatiky alebo práva a dosiahol vek
najmenej 30 rokov. Vrchného inšpektora vymenúva a odvoláva vláda
Slovenskej republiky na návrh predsedu úradu z radov inšpektorov,
ktorí majú odbornú prax najmenej päť rokov a dosiahli vek najmenej
35 rokov.
(4) Funkčné obdobie vrchného inšpektora je päť rokov a do
funkcie ho možno vymenovať opakovane. Na výkon funkcie vrchného
inšpektora platia primerane odseky 2 a 6 a ustanovenia § 35
ods. 4, 5, 7, 12 a 13.
(5) Na výkon funkcie inšpektora platia primerane ustanovenia
§ 35 ods. 4, 5, 7, 12 a 13. Okrem dôvodov uvedených v § 35
ods. 13 možno inšpektora z funkcie odvolať pre
a) opakované neplnenie úloh uvedených v § 38 ods. 1 písm. f) a h)
alebo pre sústavné menej závažné porušovanie pracovnej
disciplíny a ak v posledných šiestich mesiacoch predseda úradu
inšpektora opakovane písomne vyzval na odstránenie nedostatkov
a inšpektor ich v primeranej lehote neodstránil, alebo
b) hrubé zanedbanie povinnosti uloženej inšpektorovi týmto
zákonom [§ 38 ods. 1 písm. f) a h)], ak nepreukáže, že
zavinenie nespôsobil alebo mu nemohol zabrániť, alebo pre
hrubé porušenie pracovnej disciplíny.
(6) Počas pracovného pomeru i po jeho skončení sú inšpektori
a ďalší zamestnanci úradu povinní zachovávať mlčanlivosť
o skutočnostiach týkajúcich sa obsahu osobných údajov, o ktorých
sa dozvedeli v súvislosti s výkonom svojej práce; použitie
osobných údajov pri plnení úloh úradu alebo v súvislosti s ich
plnením v súlade s ustanoveniami tohto zákona alebo osobitného
zákona sa nepovažuje za porušenie povinnosti mlčanlivosti. Od
povinnosti mlčanlivosti môže inšpektorov a ďalších zamestnancov
úradu pre konkrétny prípad oslobodiť predseda úradu.
DRUHÁ HLAVA
ČINNOSŤ ÚRADU
§ 38
Úlohy úradu
(1) Úrad pri výkone dozoru nad ochranou osobných údajov plní
tieto úlohy:
a) priebežne sleduje stav ochrany osobných údajov, registráciu
informačných systémov a vedenie evidencie o informačných
systémoch,
b) odporúča prevádzkovateľom opatrenia na zabezpečenie ochrany
osobných údajov v informačných systémoch; na tento účel vydáva
v rozsahu svojej pôsobnosti odporúčania pre prevádzkovateľov,
c) pri pochybnostiach o tom, či spracúvané osobné údaje svojím
rozsahom, obsahom a spôsobom spracúvania a využívania
zodpovedajú účelu ich spracúvania, sú s daným účelom
spracúvania zlučiteľné alebo sú časovo a vecne neaktuálne vo
vzťahu k tomuto účelu, vydáva záväzné stanovisko,
d) pri pochybnostiach o cezhraničnom toku osobných údajov vydáva
záväzné stanovisko,
e) pri pochybnostiach o registrácii informačného systému vydáva
záväzné stanovisko,
f) prešetruje oznámenia podané podľa § 45, alebo koná na základe
podnetu alebo z vlastnej iniciatívy podľa § 44a a na
odstránenie nedostatkov vydáva opatrenia na nápravu,
g) pri podozrení z porušenia povinností uložených týmto zákonom
môže predvolať prevádzkovateľa alebo sprostredkovateľa
s cieľom podať vysvetlenia,
h) kontroluje spracúvanie osobných údajov v informačných
systémoch,
i) ukladá sankcie pri zistení porušenia povinností uvedených
v tomto zákone,
j) podáva oznámenie 31) orgánom činným v trestnom konaní pri
podozrení, že ide o trestný čin,
k) vykonáva registráciu informačných systémov a zabezpečuje
sprístupnenie stavu registrácie,
l) podieľa sa na príprave všeobecne záväzných právnych predpisov
v oblasti ochrany osobných údajov,
m) v rozsahu svojej pôsobnosti vydáva všeobecne záväzné právne
predpisy,
n) vyjadruje sa k návrhom zákonov a k návrhom ostatných všeobecne
záväzných právnych predpisov, v ktorých sa upravuje
spracúvanie osobných údajov,
o) predkladá Národnej rade Slovenskej republiky správu o stave
ochrany osobných údajov najmenej raz za dva roky.
(2) Predmetom dozoru nad ochranou osobných údajov nie sú spory
zo zmluvných alebo predzmluvných vzťahov prevádzkovateľov alebo
sprostredkovateľov a dotknutých osôb alebo iných fyzických osôb
alebo právnických osôb, na ktorých prejednávanie a rozhodovanie sú
príslušné súdy alebo iné orgány podľa osobitných predpisov.
(3) Ak úrad zistí skutočnosti nasvedčujúce tomu, že zákon, iný
všeobecne záväzný právny predpis alebo prevádzkovateľom vydaný
vnútorný predpis porušuje základné práva a slobody fyzických osôb
pri spracúvaní ich osobných údajov, predseda úradu môže podať
podnet na jeho zmenu alebo zrušenie príslušnému orgánu.
Kontrolná činnosť
§ 39
Oprávnenia a povinnosti kontrolného orgánu
(1) Vrchný inšpektor a ostatní inšpektori (ďalej len
"kontrolný orgán"), ako aj predseda úradu a podpredseda úradu sú
oprávnení
a) vstupovať na pozemky, do budov alebo miestností prevádzok
a zariadení prevádzkovateľa a sprostredkovateľa,
b) vyžadovať od prevádzkovateľa, sprostredkovateľa a ich
zamestnancov (ďalej len "kontrolovaná osoba"), aby im
v určenej lehote poskytli doklady, iné písomnosti, vyjadrenia
a informácie, údaje spracúvané na pamäťových médiách vrátane
technických nosičov údajov, výpisy a zdrojové kódy programov,
ak ich vlastní, a ďalšie materiály potrebné na výkon kontroly,
originály alebo kópie a v odôvodnených prípadoch im umožnili
odoberať kópie aj mimo priestorov kontrolovanej osoby,
c) požadovať v primeranej lehote od kontrolovanej osoby úplné
a pravdivé ústne a písomné informácie, vyjadrenia
a vysvetlenia ku kontrolovaným a súvisiacim skutočnostiam
a k zisteným nedostatkom,
d) vyžadovať súčinnosť kontrolovanej osoby,
e) vstupovať do informačných systémov do úrovne správcu systému
v rozsahu potrebnom na vykonanie kontroly,
f) overovať totožnosť kontrolovaných osôb a fyzických osôb, ktoré
v mene kontrolovaných osôb konajú.
(2) Kontrolný orgán je povinný
a) vopred oznámiť kontrolovanej osobe predmet kontroly a pred
začatím kontroly preukázať svoju príslušnosť k úradu,
b) vypracovať protokol o vykonaní kontroly (ďalej len
"protokol"),
c) uvádzať do protokolu kontrolné zistenia,
d) oboznámiť kontrolovanú osobu s kontrolnými zisteniami
a vyžiadať si od nej písomné vyjadrenie ku všetkým
skutočnostiam, ktoré odôvodňujú uplatnenie právnej
zodpovednosti; vznesené námietky proti uvádzaným kontrolným
zisteniam z hľadiska ich pravdivosti, úplnosti
a preukázateľnosti uviesť do protokolu,
e) odovzdať kontrolovanej osobe jedno vyhotovenie protokolu alebo
záznamu o kontrole alebo ich kópie,
f) písomne potvrdiť kontrolovanej osobe prevzatie kópií dokladov,
písomných dokumentov, kópií pamäťových médií a iných
materiálov a zabezpečiť ich riadnu ochranu pred stratou,
zničením, poškodením a zneužitím.
(3) Protokol obsahuje názov, sídlo alebo trvalý pobyt
kontrolovanej osoby, miesto a čas vykonania kontroly, predmet
kontroly, kto kontrolu vykonal, preukázané kontrolné zistenia,
vyjadrenia kontrolovanej osoby ku kontrolným zisteniam, dátum
vypracovania protokolu, mená, pracovné zaradenie a vlastnoručné
podpisy kontrolného orgánu a zodpovedných zamestnancov
kontrolovanej osoby, ktorí boli s obsahom protokolu oboznámení,
a dátum oboznámenia sa s protokolom. Ak sa kontrolovaná osoba
odmietne oboznámiť sa s obsahom protokolu, vyjadriť sa ku
kontrolným zisteniam alebo podpísať protokol, uvedie sa táto
skutočnosť v protokole.
(4) Ak sa kontrolou zistí porušenie povinností ustanovených
týmto zákonom, kontrolný orgán postupuje pri ukladaní opatrení na
odstránenie kontrolou zistených nedostatkov podľa § 46.
(5) Ak sa kontrolou nezistí porušenie povinností ustanovených
týmto zákonom alebo iným zákonom, 32) kontrolný orgán vypracuje
len záznam o kontrole. Pri jeho vypracovaní sa postupuje primerane
podľa odseku 3.
§ 40
Oprávnenia a povinnosti kontrolovanej osoby
(1) Kontrolovaná osoba je oprávnená v čase oboznámenia sa
s kontrolnými zisteniami vzniesť námietky proti uvádzaným
kontrolným zisteniam z hľadiska ich pravdivosti, úplnosti
a preukázateľnosti.
(2) Kontrolovaná osoba je povinná
a) vytvoriť kontrolnému orgánu primerané podmienky na výkon
kontroly a spracovanie kontrolných zistení,
b) poskytovať kontrolnému orgánu potrebnú súčinnosť v súlade
s oprávneniami podľa § 39 ods. 1 a zdržať sa konania, ktoré by
mohlo mariť výkon kontroly,
c) dostaviť sa v určenej lehote na oboznámenie sa s obsahom
protokolu na miesto určené kontrolným orgánom,
d) po oboznámení sa s kontrolnými zisteniami podpísať protokol
alebo záznam o kontrole; odmietnutie oboznámenia sa s obsahom
protokolu alebo odmietnutie podpísania protokolu kontrolovanou
osobou nemá vplyv na dôsledky vyplývajúce z obsahu tohto
dokumentu,
e) písomne predložiť kontrolnému orgánu v určených lehotách
opatrenia prijaté na odstránenie kontrolou zistených
nedostatkov a písomnú správu o splnení týchto opatrení.
§ 41
Prizvané osoby
(1) Ak je to odôvodnené osobitnou povahou kontrolnej úlohy,
môže kontrolný orgán prizvať na vykonanie kontroly iné fyzické
osoby. Účasť týchto fyzických osôb na kontrole sa považuje za iný
úkon vo všeobecnom záujme. Na prizvané osoby sa primerane vzťahujú
ustanovenia § 37 ods. 6 a § 39 ods. 1.
(2) Kontrolu nemôžu vykonávať prizvané osoby, o ktorých so
zreteľom na ich vzťah k predmetu kontroly alebo na vzťah ku
kontrolovanej osobe možno mať pochybnosti o ich nezaujatosti.
Prizvané osoby, ktoré samy vedia o skutočnostiach zakladajúcich
pochybnosti o ich nepredpojatosti, oznámia tieto skutočnosti bez
zbytočného odkladu úradu.
(3) Kontrolovaná osoba môže písomne vzniesť preukázateľné
námietky o zaujatosti prizvanej osoby. Prizvaná osoba môže do
rozhodnutia o námietkach zaujatosti vykonať pri kontrole len
úkony, ktoré nedovoľujú odklad.
(4) O námietkach zaujatosti a o oznámení predpojatosti
rozhodne predseda úradu. Rozhodnutie predsedu úradu v tejto veci
je konečné.
§ 42
(1) Plnením konkrétnej úlohy pri výkone kontroly možno poveriť
ďalších zamestnancov úradu. Na poverených zamestnancov úradu sa
primerane vzťahuje ustanovenie § 39 ods. 1 a 2 písm. a).
(2) Inšpektori a poverení zamestnanci úradu, ktorí samy vedia
o skutočnostiach zakladajúcich pochybnosti o ich nepredpojatosti
vo vzťahu k predmetu kontroly alebo ku kontrolovanej osobe,
oznámia tieto skutočnosti bez zbytočného odkladu predsedovi úradu.
Ak predseda úradu uzná, že k predpojatosti došlo, osobu z konania
vo veci vylúči.
Súčinnosť
§ 44
(1) Orgány štátnej správy, orgány územnej samosprávy, iné
orgány verejnej moci, prevádzkovatelia a sprostredkovatelia
poskytujú úradu potrebnú pomoc pri plnení jeho úloh (§ 38).
(2) Prevádzkovateľ a sprostredkovateľ poskytujú úradu pri
plnení jeho úloh všetky ním požadované údaje v určenej lehote.
(3) Prevádzkovateľ a sprostredkovateľ sa dostavia na
predvolanie úradu s cieľom podať vysvetlenia v určenej lehote.
(4) Prevádzkovateľ a sprostredkovateľ sú povinní strpieť
všetky úkony úradu smerujúce k vyšetreniu okolností potrebných na
objektívne posúdenie prešetrovanej veci.
Konanie
§ 44a
(1) Konanie vo veciach upravených týmto zákonom, na ktoré sa
nevzťahuje všeobecný predpis o správnom konaní, je začaté dňom,
keď voči prevádzkovateľovi, sprostredkovateľovi alebo inej
právnickej osobe alebo fyzickej osobe (ďalej len "účastník
konania") urobil úrad prvý úkon. Ak sa konanie začína na podnet
účastníka konania, dňom začatia konania je deň doručenia podnetu
úradu.
(2) Účastníkom konania je ten, o koho právach alebo
povinnostiach sa má konať. Za účastníka konania, ktorým nie je
fyzická osoba, koná štatutárny orgán, prípadne jeho zamestnanec
alebo člen, ktorý sa preukáže písomným poverením štatutárneho
orgánu, že je oprávnený za neho konať, pokiaľ jednotlivé
ustanovenia tohto zákona neustanovujú inak. Účastník konania sa
môže nechať v konaní zastupovať. V tej istej veci môže mať
účastník konania súčasne len jedného zástupcu, ktorému udelí
písomne splnomocnenie na celé konanie, alebo len na určité úkony.
Splnomocnenie na zastupovanie účastníka konania, ktorým nie je
fyzická osoba, musí byť udelené osobou, ktorá je oprávnená konať
v jeho mene.
(3) Konanie je neverejné. Týmto nie je dotknuté ustanovenie
§ 48.
(4) Na dokazovanie možno použiť všetky prostriedky, ktorými
možno zistiť a objasniť skutočný stav veci a ktoré sú v súlade
s právnymi predpismi. Dôkazmi sú najmä vyjadrenia účastníkov
konania, výpovede svedkov, listiny, znalecké posudky alebo odborné
posudky, správy, vyjadrenia a potvrdenia orgánov alebo iných
právnických osôb a fyzických osôb, zverejnené informácie,
obhliadky a kontrolné zistenia. Ako dôkaz možno použiť namiesto
originálu listiny alebo originálu akéhokoľvek záznamu aj ich
rozmnoženinu v tlačenej, fotografickej, zvukovej,
zvukovo-obrazovej alebo v inej všeobecne zrozumiteľnej forme, ak
je umiestnená na bežne dostupnom nosiči informácií.
(5) Úrad môže namiesto dôkazu pripustiť čestné vyhlásenie
fyzickej osoby. Čestné vyhlásenie úrad nepripustí, ak tomu bráni
všeobecný záujem alebo ak by tým bola porušená rovnosť medzi
účastníkmi konania. Čestným vyhlásením nemožno nahradiť znalecký
posudok. V čestnom vyhlásení je fyzická osoba povinná uviesť
pravdivé údaje. Úrad musí upozorniť fyzickú osobu na právne
následky nepravdivého čestného vyhlásenia.
(6) Úrad môže ustanoviť znalca alebo znalcov podľa osobitného
predpisu, 33a) ak je na odborné posúdenie skutočností dôležitých
pre rozhodnutie vo veci potrebný znalecký posudok a uložiť
ustanovenému znalcovi, aby samostatne písomne vypracoval znalecký
posudok, alebo aby sa v znaleckom posudku vyjadril k otázkam,
ktoré mu položil úrad. Na tento účel úrad ustanovenému znalcovi
sprístupní potrebné údaje zo spisu. V súvislosti s vypracovaním
znaleckého posudku môže úrad uložiť účastníkovi konania, aby
poskytol ustanovenému znalcovi všetky podstatné informácie,
predložil alebo sprístupnil všetky potrebné listiny, podklady
alebo predmety, alebo umožnil prístup k technickému a programovému
vybaveniu informačného systému, podal mu potrebné vysvetlenia,
alebo aby niečo vykonal alebo znášal, ak je to potrebné na podanie
znaleckého posudku.
(7) Účastník konania je povinný navrhnúť na podporu svojich
tvrdení dôkazy, ktoré sú mu známe. Úrad rozhodne, ktoré
z navrhnutých dôkazov sa vykonajú a vykoná aj iné dôkazy, ktoré
účastníci konania nenavrhli, ak sú potrebné na zistenie
a objasnenie skutočného stavu veci. Skutočnosti všeobecne známe
alebo známe úradu z jeho činnosti netreba dokazovať.
(8) Úrad hodnotí dôkazy podľa svojej voľnej úvahy, a to každý
dôkaz jednotlivo a všetky dôkazy v ich vzájomnej súvislosti;
pritom prihliada na všetko, čo v konaní vyšlo najavo.
(9) Dôležité písomnosti, najmä opatrenia a rozhodnutia sa
účastníkovi konania, adresátovi, alebo osobe, ktorá sa preukáže
jeho splnomocnením na preberanie zásielok, doručujú poštou ako
doporučená zásielka s doručenkou a poznámkou "do vlastných rúk".
Písomnosti, ktoré sú určené účastníkovi konania, ktorým nie je
fyzická osoba, doručujú sa osobám alebo členom oprávneným za tento
subjekt prijímať písomnosti alebo tomu, kto je oprávnený za tento
subjekt konať. Písomnosti určené advokátovi možno doručovať tiež
advokátskym koncipientom a iným pracovníkom, ktorí sú u advokáta
pracovne činní a sú advokátom poverení na prijímanie zásielok.
(10) Ak nebol adresát zásielky, ktorá sa má doručiť do
vlastných rúk, zastihnutý, hoci sa v mieste doručenia zdržiava,
doručovateľ ho vhodným spôsobom upovedomí, že zásielku príde znovu
doručiť v určený deň a hodinu. Ak nový pokus o doručenie zostane
bezvýsledný, doručovateľ uloží zásielku na pošte a adresáta o tom
vhodným spôsobom upovedomí. Ak si adresát nevyzdvihne zásielku do
troch dní od uloženia, posledný deň tejto lehoty sa považuje za
deň doručenia, aj keď sa adresát o uložení nedozvedel.
(11) Ak si adresát vyhradí doručovanie zásielok do poštového
priečinka, pošta adresátovi oznámi príchod zásielky, možnosť
prevzatia a odbernú lehotu na predpísanom tlačive, ktoré vloží do
poštového priečinka. Ak si adresát na základe dohody preberá
zásielky na pošte a nemá pridelený poštový priečinok, pošta tieto
zásielky neoznamuje. V obidvoch prípadoch sa dátum príchodu
zásielky považuje za dátum uloženia. Ak si adresát nevyzdvihne
zásielku do troch dní od uloženia, posledný deň tejto lehoty sa
považuje za deň doručenia, aj keď sa adresát o uložení nedozvedel.
(12) Účastník konania, ktorý sa zdržiava v cudzine alebo tam
má sídlo alebo trvalý pobyt, je povinný na doručovanie zásielok
určiť si svojho zástupcu so sídlom alebo s trvalým pobytom na
území Slovenskej republiky a včas písomne úradu oznámiť jeho meno,
priezvisko a adresu.
(13) Písomnosť je doručená ihneď, ako ju účastník konania
prevezme alebo pošta doporučenú zásielku vrátila ako nedoručiteľnú
alebo ak doručenie zásielky bolo zmarené konaním alebo opomenutím
účastníka konania. Ak adresát bezdôvodne odoprel zásielku prijať,
písomnosť je doručená dňom, keď sa jej prijatie odoprelo; na to
musí doručovateľ adresáta upozorniť.
(14) Ak je to potrebné, úrad určí na vykonanie úkonu v konaní
lehotu, ak ju neustanovuje tento zákon. Do lehoty sa nezapočítava
deň, keď došlo ku skutočnosti určujúcej začiatok lehoty. Lehoty
určené podľa týždňov, mesiacov alebo rokov sa končia uplynutím
toho dňa, ktorý sa svojím označením zhoduje s dňom, keď došlo ku
skutočnosti určujúcej začiatok lehoty, a ak taký deň v mesiaci nie
je, lehota sa končí posledným dňom mesiaca. Ak koniec lehoty
pripadne na sobotu, nedeľu alebo na deň pracovného pokoja, je
posledným dňom lehoty najbližší nasledujúci pracovný deň. Lehota
je zachovaná, ak sa posledný deň lehoty podanie podá na úrad alebo
ak sa odovzdá na poštovú prepravu. V pochybnostiach sa považuje
lehota za zachovanú, ak sa nepreukáže opak.
(15) Trovy, ktoré v konaní vznikli účastníkovi konania, znáša
účastník konania. Trovy konania, ktoré vznikli úradu, znáša úrad.
(16) Konanie začaté z vlastnej iniciatívy úradu možno
zastaviť, ak odpadol dôvod konania alebo ak sa v priebehu konania
preukázalo, že nie sú dostatočné dôvody na jeho pokračovanie,
alebo ak účastník konania zomrel.
§ 44b
V konaní o uložení sankcie za porušenie tohto zákona podľa
§ 49 alebo § 50 je účastníkom konania prevádzkovateľ alebo
sprostredkovateľ, alebo fyzická osoba, ktorej má byť podľa tohto
zákona uložená pokuta; konanie o uložení sankcie za porušenie
tohto zákona začína úrad z vlastnej iniciatívy podľa všeobecného
predpisu o správnom konaní a len na účely uloženia pokuty.
Rozhodnutie o uložení pokuty môže úrad vydať bez ďalšieho
dokazovania a zisťovania podkladov pre rozhodnutie, 33b) ak na
základe preukázaných kontrolných zistení alebo vykonaných dôkazov
v priebehu konania, ktoré odôvodňujú uplatnenie právnej
zodpovednosti účastníka konania podľa tohto zákona, má úrad
dostatočne zistené a preukázané, že došlo k porušeniu ustanovení
tohto zákona, alebo na základe zisteného porušenia ustanovenia
§ 40 ods. 2 písm. a) alebo b) kontrolovanou osobou.
TRETIA HLAVA
OPATRENIA NA NÁPRAVU
§ 45
Prešetrenie oznámenia
(1) Úrad pri výkone dozoru nad ochranou osobných údajov
využíva aj oznámenia a podnety právnických osôb a fyzických osôb
(ďalej len "oznámenie") týkajúce sa podozrenia z porušovania
povinností alebo podmienok určených týmto zákonom. Oznámenie sa
úradu podáva písomne.
(2) Oznámenie môže okrem dotknutej osoby podať úradu podľa
§ 20 ods. 6 aj fyzická osoba, ktorá tvrdí, že je priamo dotknutá
vo svojich právach ustanovených týmto zákonom (ďalej len
"oznamovateľ").
(3) Úrad oznámenie odloží, ak
a) vec, ktorej sa oznámenie týka, nepatrí do jeho pôsobnosti,
b) náležitosti uvedené v odseku 9 neboli na výzvu úradu doplnené
alebo spresnené v určenej lehote,
c) oznamovateľ neposkytne úradu na jeho požiadanie potrebnú
súčinnosť, pričom bez jeho aktívnej účasti nemožno vec
vybaviť,
d) oznamovateľ trvá na utajení svojej totožnosti napriek tomu, že
bez použitia jeho osobných údajov alebo niektorých jeho údajov
podľa odseku 9 písm. a) nemožno vec vybaviť,
e) oznamovateľ podá opakované oznámenie po uplynutí lehoty podľa
odseku 14.
(4) Úrad môže oznámenie odložiť, ak zistí, že
a) vec, ktorej sa oznámenie týka, prejednáva súd alebo orgán
činný v trestnom konaní,
b) od opatrenia alebo udalosti, ktorých sa oznámenie týka,
uplynul v deň doručenia oznámenia čas dlhší ako tri roky,
c) oznámenie je zjavne neopodstatnené,
d) neobsahuje meno, priezvisko, adresu trvalého pobytu a podpis
oznamovateľa; takéto oznámenie sa považuje za anonymné,
e) ide o oznámenie vo veci, ktorú už úrad vybavil a opakované
oznámenie neobsahuje nové skutočnosti.
(5) O odložení oznámenia a dôvodoch jeho odloženia úrad
upovedomí toho, kto oznámenie podal; to neplatí, ak ide o anonymné
oznámenie. Odložené oznámenie sa považuje za vybavené.
(6) Oznámenie nie je prípustné, ak oznamovateľ pred jeho
podaním neuplatnil svoje právo podľa § 20, ktoré mu tento zákon
poskytuje. Úrad oznámenie odloží a poučí oznamovateľa o uplatnení
práv podľa § 20.
(7) Úrad neodloží oznámenie, aj keď sa nesplnila podmienka
podľa odseku 6 len vtedy, ak oznamovateľ hodnoverne preukáže, že
túto podmienku nesplnil z dôvodov hodných osobitného zreteľa.
(8) Šetrenie je začaté dňom doručenia písomného oznámenia
úradu. Prijatie oznámenia potvrdí úrad oznamovateľovi, ak
oznámenie nebolo podané osobne.
(9) Oznámenie musí obsahovať najmä
a) meno, priezvisko, adresu trvalého pobytu a podpis
oznamovateľa,
b) označenie toho, proti komu oznámenie smeruje; názov alebo meno
a priezvisko, sídlo alebo trvalý pobyt, prípadne právnu formu
a identifikačné číslo,
c) predmet oznámenia s označením, ktoré práva sa podľa tvrdenia
oznamovateľa pri spracúvaní osobných údajov porušili,
d) dôkazy na podporu tvrdení uvedených v oznámení,
e) kópiu listiny preukazujúcej uplatnenie práva podľa § 20, ak sa
takéto právo mohlo uplatniť alebo uvedenie dôvodov hodných
osobitného zreteľa.
(10) Ak oznámenie neobsahuje predpísané náležitosti podľa
odseku 9, nie je zrozumiteľné, alebo ak sú na jeho náležité
vybavenie potrebné údaje, ktoré sa v oznámení neuvádzajú, úrad
vyzve oznamovateľa, aby v určenej lehote nie kratšej ako sedem dní
odstránil nedostatky. Súčasne upozorní oznamovateľa na dôsledky
neodstránenia nedostatkov na ďalší priebeh šetrenia. V čase, keď
oznamovateľ mešká s plnením tejto povinnosti, lehota podľa odseku
12 neplynie.
(11) Ak oznámenie podľa odseku 9 neobsahuje požiadavku
oznamovateľa na utajenie jeho totožnosti, úrad vybavuje oznámenie
bez utajenia osobných údajov uvedených v odseku 9 písm. a). Ak
v oznámení podľa odseku 9 oznamovateľ požiada úrad o utajenie
svojej totožnosti, ale charakter oznámenia neumožňuje jeho
prešetrenie bez uvedenia niektorého údaja alebo údajov
o oznamovateľovi, úrad po zistení tejto skutočnosti o tom
upovedomí oznamovateľa. Zároveň oznamovateľa upozorní, že vo
vybavovaní oznámenia sa bude pokračovať len v prípade, ak
v určenej lehote písomne udelí úradu súhlas s uvedením určitého
potrebného údaja alebo údajov o svojej osobe na použitie v rámci
šetrenia.
(12) Úrad prešetrí a vybaví písomné oznámenie oznamovateľa
v lehote 60 dní odo dňa jeho prijatia. Vrchný inšpektor môže túto
lehotu v odôvodnených prípadoch primerane predĺžiť, najviac však
o šesť mesiacov. O predĺžení lehoty úrad písomne upovedomí
oznamovateľa.
(13) Úrad v lehote podľa odseku 12 písomne informuje
oznamovateľa o výsledku prešetrenia oznámenia, v ktorom uvedie
práva oznamovateľa ustanovené týmto zákonom, ktoré boli porušené.
Ak úrad nezistí porušenie práv oznamovateľa, písomne ho informuje
o tejto skutočnosti bez zbytočného odkladu, najneskôr však
v lehote podľa odseku 12. Oznámenie sa považuje za vybavené
doručením písomnej informácie o výsledku prešetrenia oznámenia
oznamovateľovi.
(14) Oznámenie v tej istej veci možno opakovať v lehote 30 dní
odo dňa doručenia výsledku o prešetrení oznámenia; ak oznámenie
neobsahuje nové skutočnosti, úrad postupuje podľa odseku 4
písm. e). Ak úrad opakované oznámenie neodložil alebo ak zistil,
že obsahuje nové skutočnosti, vrchný inšpektor preskúma pôvodné
oznámenie, či bolo správne vybavené; o výsledku písomne informuje
oznamovateľa, pričom postupuje obdobne podľa odseku 13.
Preskúmanie oznámenia vrchným inšpektorom je konečné.
(15) V prípade, že v rovnakej veci, v akej už bolo vybavené
oznámenie iného oznamovateľa, podá oznámenie ďalší oznamovateľ bez
uvedenia nových skutočností, jeho oznámenie netreba znovu
prešetrovať, ale treba ho upovedomiť bez zbytočného odkladu
o výsledku vybavenia pôvodného oznámenia, najneskôr však v lehote
podľa odseku 12 prvej vety.
(16) Podanie oznámenia nesmie byť oznamovateľovi na ujmu; to
neplatí, ak sa obsahom svojho oznámenia dopustí oznamovateľ
trestného činu alebo priestupku.
(17) Oznámenie podané inou právnickou osobou alebo fyzickou
osobou ako oznamovateľom sa vybavuje ako konanie začaté z vlastnej
iniciatívy úradu, ak sa po preskúmaní oznámenia preukáže, že je tu
dôvod na začatie šetrenia. Na žiadosť právnickej osoby alebo
fyzickej osoby, ktorá oznámenie podala, úrad potvrdí prijatie
oznámenia; výsledok šetrenia jej úrad neoznamuje. Právnická osoba
alebo fyzická osoba, ktorá oznámenie podala, sa nepovažuje za
účastníka konania.
§ 46
Opatrenie
(1) Úrad
a) pred začatím spracúvania osobných údajov alebo v priebehu
spracúvania osobných údajov v rozsahu nevyhnutne potrebnom na
zabezpečenie účelu konania môže dočasným opatrením uložiť
prevádzkovateľovi alebo sprostredkovateľovi, aby niečo
vykonal, niečoho sa zdržal alebo niečo strpel; pri podozrení
z porušenia povinnosti uloženej týmto zákonom vyzve
prevádzkovateľa alebo sprostredkovateľa na okamžité blokovanie
osobných údajov alebo na dočasné skončenie tej činnosti, ktorá
by mohla plnenie takejto povinnosti ohroziť,
b) ak zistí, že prevádzkovateľ alebo sprostredkovateľ nesplnil
alebo porušil niektorú z povinností alebo niektoré povinnosti
ustanovené týmto zákonom, pri plnení niektorej z povinností
alebo niektorých povinností obchádzal ustanovenia tohto
zákona, nedodržal alebo obchádzal podmienky ustanovené týmto
zákonom, alebo spracúva alebo spracúval osobné údaje v rozpore
s týmto zákonom, je oprávnený uložiť prevádzkovateľovi alebo
sprostredkovateľovi, aby v určenej lehote vykonal opatrenia na
odstránenie zistených nedostatkov a príčin ich vzniku. Úrad je
ďalej oprávnený prevádzkovateľovi alebo sprostredkovateľovi
1. uložiť povinnosť zabezpečiť vypracovanie alebo doplnenie
dokumentácie alebo bezpečnostného projektu v súlade s týmto
zákonom v určenej lehote,
2. uložiť povinnosť prijať technické, organizačné a personálne
opatrenia zodpovedajúce spôsobu spracúvania v určenej
lehote,
3. zakázať spracúvať tie osobné údaje, ktorých spracúvanie je
v rozpore s ustanoveniami tohto zákona,
4. zakázať spracúvanie, ktoré je v rozpore s ustanoveniami
tohto zákona,
5. nariadiť odstránenie alebo likvidáciu osobných údajov
v určenej lehote, ak sú alebo boli neoprávnene spracúvané a
6. uložiť prevádzkovateľovi povinnosť zrušiť písomné poverenie
alebo písomnú zmluvu so sprostredkovateľom v určenej
lehote.
(2) Prevádzkovateľ a sprostredkovateľ bezodkladne vyhovejú
požiadavkám úradu podľa odseku 1 a v určenej lehote informujú
o ich splnení úrad.
(3) Prevádzkovateľ a sprostredkovateľ sú oprávnení písomne
podať námietky proti opatreniu uloženému podľa odseku 1 písm. a)
do troch dní odo dňa jeho doručenia. Námietky proti takémuto
opatreniu nemajú odkladný účinok.
(4) Prevádzkovateľ a sprostredkovateľ sú oprávnení písomne
podať námietky proti opatreniu uloženému podľa odseku 1 písm. b)
do siedmich dní odo dňa jeho doručenia. Námietky proti takémuto
opatreniu majú odkladný účinok.
(5) O námietke prevádzkovateľa alebo sprostredkovateľa podanej
podľa odseku 3 rozhodne predseda úradu do 15 dní a o námietke
podanej podľa odseku 4 rozhodne do 60 dní odo dňa ich prijatia.
(6) Rozhodnutie predsedu úradu o námietkach je konečné.
(7) Písomné vyhotovenie výzvy na vykonanie opatrenia a písomné
vyhotovenie rozhodnutia o námietkach sa oznamuje doručením do
vlastných rúk.
(8) Opatrenie uložené podľa odseku 1 písm. a) môže úrad
zrušiť; účinnosť stráca dňom oznámenia opatrenia v predmetnej veci
podľa odseku 1 písm. b).
§ 48
Zverejnenie porušenia zákona
(1) Ak úrad zistí porušenie povinností ustanovených týmto
zákonom alebo obchádzanie ustanovení tohto zákona alebo osobitného
zákona, 32) môže predseda úradu alebo vrchný inšpektor zverejniť
obchodné meno alebo názov, sídlo alebo trvalý pobyt, identifikačné
číslo, ak ho má pridelené a právnu formu toho, kto sa dopustil
protiprávneho konania a
a) výrok vykonateľného opatrenia a odôvodnenie opatrenia alebo
ich časti podľa § 46 okrem osobných údajov, ak ich obsahujú,
b) výrok vykonateľného rozhodnutia a odôvodnenie rozhodnutia
alebo ich časti podľa § 49 alebo § 50 okrem osobných údajov,
ak ich obsahujú, alebo
c) charakteristiku skutkového stavu porušenia ochrany osobných
údajov.
(2) Predseda úradu alebo vrchný inšpektor môže uložiť
prevádzkovateľovi alebo sprostredkovateľovi povinnosť zverejniť
skutočnosti v rozsahu podľa odseku 1 písm. c) v hromadných
informačných prostriedkoch.
(3) Prevádzkovateľ je povinný splniť povinnosť uloženú
predsedom úradu alebo vrchným inšpektorom podľa odseku 2.
Štatutárny orgán prevádzkovateľa je povinný zabezpečiť zverejnenie
oznamu v hromadných informačných prostriedkoch v rozsahu podľa
odseku 1 písm. c) na vlastné náklady prevádzkovateľa; obsah,
formu, hromadný informačný prostriedok a najneskorší termín
zverejnenia oznamu určí predseda úradu alebo vrchný inšpektor.
(4) Povinnosť podľa odseku 3 sa vzťahuje aj na
sprostredkovateľa.
ŠTVRTÁ HLAVA
SANKCIE ZA PORUŠENIE ZÁKONA
§ 49
Správne delikty
(1) Úrad môže uložiť pokutu od 50 000 Sk do 10 000 000 Sk
prevádzkovateľovi alebo sprostredkovateľovi, ktorý
a) nesplnil alebo porušil niektorú z povinností alebo niektoré
povinnosti ustanovené v § 5, 6, 7, 10, alebo pri plnení
niektorej z povinností alebo niektorých povinností
ustanovených v § 5, 6, 7, 10 obchádzal ustanovenia tohto
zákona, alebo spracúva alebo spracúval osobné údaje v rozpore
s § 5, 6, 7, 10,
b) nesplnil alebo porušil niektorú z povinností alebo niektoré
povinnosti ustanovené v § 8, 9, alebo spracúva alebo spracúval
osobitné kategórie osobných údajov v rozpore s § 8, 9, alebo
c) neprijal primerané technické, organizačné a personálne
opatrenia zodpovedajúce spôsobu spracúvania alebo nepreukázal
alebo nevedel preukázať úradu na jeho žiadosť uplatňovanie
opatrení v praxi podľa § 15 ods. 1, 3, alebo neprijal
primerané technické, organizačné a personálne opatrenia
zodpovedajúce spôsobu spracúvania vo forme bezpečnostného
projektu alebo nepredložil úradu na jeho žiadosť bezpečnostný
projekt, pričom bol povinný zabezpečiť jeho vypracovanie podľa
§ 15 ods. 2, 3, alebo predložil bezpečnostný projekt, ktorý
neobsahoval náležitosti ustanovené týmto zákonom podľa § 16,
alebo nepredložil úradu na jeho žiadosť zdokumentované
technické, organizačné a personálne opatrenia zodpovedajúce
spôsobu spracúvania alebo nezdokumentoval technické,
organizačné a personálne opatrenia v rozsahu ustanovenom týmto
zákonom, pričom bol povinný takúto dokumentáciu vypracovať
podľa § 15 ods. 2 písm. b), alebo preukázateľne zanedbal
uplatňovanie alebo neuplatňoval technické, organizačné
a personálne opatrenia zodpovedajúce spôsobu spracúvania
v praxi uvedené v bezpečnostnom projekte alebo v dokumentácii
podľa § 15 ods. 2 písm. b).
(2) Úrad môže uložiť pokutu od 50 000 Sk do 5 000 000 Sk
prevádzkovateľovi alebo sprostredkovateľovi, ktorý
a) nesplnil alebo porušil niektorú z povinností alebo niektoré
povinnosti ustanovené v § 13, alebo spracúva alebo spracúval
osobné údaje v rozpore s § 13,
b) na žiadosť úradu nezabezpečil vykonanie auditu bezpečnosti
informačného systému alebo zabezpečil vykonanie auditu
bezpečnosti informačného systému v rozpore s týmto zákonom
alebo včas nepredložil hodnotiacu správu podľa § 15 ods. 4,
5, alebo predložil hodnotiacu správu, ktorá nekonkretizuje
zistené nedostatky,
c) včas nepoučil svoje oprávnené osoby alebo nevedel úradu
hodnoverne preukázať, že poučenie oprávnených osôb vykonal
včas, alebo nepredložil na požiadanie úradu písomný záznam
o poučení oprávnených osôb podľa § 17, alebo
d) vykonal prenos osobných údajov do tretích krajín v rozpore
s § 23, alebo spracúva alebo spracúval osobné údaje v rozpore
s niektorou z podmienok alebo niektorými podmienkami
ustanovenými v § 23, § 23a ods. 2, 3, alebo nesplnil niektorú
z podmienok alebo niektoré podmienky ustanovené v § 23, § 23a
ods. 2, 3.
(3) Úrad môže uložiť pokutu od 30 000 Sk do 3 000 000 Sk
prevádzkovateľovi, ktorý
a) nesplnil povinnosť osobitnej registrácie informačného systému
podľa § 27, alebo nesplnil niektorú z povinností alebo
niektoré povinnosti súvisiace s osobitnou registráciou
vyplývajúce z tohto zákona podľa § 28,
b) nesplnil povinnosť registrácie informačného systému podľa
tohto zákona, alebo nesplnil niektorú z povinností alebo
niektoré povinnosti súvisiace s registráciou informačného
systému podľa § 28,
c) písomne nepoveril zodpovednú osobu výkonom dohľadu nad
ochranou osobných údajov alebo nevie hodnoverne preukázať jej
písomné poverenie podľa § 19 ods. 2, alebo nezabezpečil
odborné vyškolenie zodpovednej osoby v súlade s týmto zákonom
podľa § 19 ods. 3, alebo
d) preukázateľne neumožnil, rušil, maril alebo inak sťažoval
zodpovednej osobe plnenie jej povinností ustanovených týmto
zákonom, alebo nerešpektoval oprávnené písomné oznámenia
zodpovednej osoby podľa § 19 ods. 4, 7, 10.
(4) Úrad môže uložiť pokutu od 10 000 Sk do 1 000 000 Sk
prevádzkovateľovi, ktorý
a) nesplnil oznamovaciu povinnosť o oprave alebo likvidácii
osobných údajov podľa § 14,
b) písomne poveril zodpovednou osobou fyzickú osobu, ktorá
nespĺňa niektorú podmienku alebo niektoré podmienky ustanovené
v § 19 ods. 12, alebo nevie preukázať výpisom z registra
trestov bezúhonnosť zodpovednej osoby, alebo nesplnil alebo
porušil niektorú z povinností alebo niektoré povinnosti
ustanovené v § 19 ods. 5, 6, alebo nesplnil povinnosť uloženú
úradom podľa § 19 ods. 11,
c) nesplnil oprávnené požiadavky dotknutej osoby alebo pri ich
vybavovaní nepostupoval v súlade s týmto zákonom, alebo
neposkytol dotknutej osobe informácie v zákonom stanovenej
lehote, alebo neinformoval dotknutú osobu spôsobom, ktorý
ustanovuje zákon podľa § 20, 21,
d) nevykonal oznámenie o obmedzení práv dotknutej osoby podľa
§ 22, alebo
e) nesplnil povinnosť vedenia evidencie informačného systému
podľa § 29, 30, alebo odmietol údaje z evidencie sprístupniť
podľa § 32.
(5) Úrad môže uložiť pokutu do 100 000 Sk tomu, kto
a) poskytne osobné údaje v rozpore s § 7 ods. 5; to neplatí pre
prevádzkovateľa a sprostredkovateľa,
b) poskytne nepravdivé osobné údaje (§ 11),
c) poruší povinnosť mlčanlivosti o osobných údajoch (§ 18), alebo
d) ako zodpovedná osoba písomne neupozorní prevádzkovateľa (§ 19
ods. 4).
(6) Pokutu podľa odsekov 1 až 4 a podľa § 50 môže úrad uložiť
opakovane, ak povinnosť nebola splnená v určenej lehote.
(7) Pri ukladaní pokút sa prihliadne najmä na závažnosť, čas
trvania a následky protiprávneho konania.
(8) Pokutu podľa odsekov 1 až 5 možno uložiť do jedného roka
odo dňa, keď úrad porušenie povinnosti zistil, najneskôr však do
troch rokov odo dňa, keď k porušeniu povinnosti došlo.
(9) Úrad môže v rozhodnutí o uložení pokuty súčasne povinnému
uložiť, aby v určenej lehote vykonal opatrenia na nápravu
následkov protiprávneho konania.
(10) Proti rozhodnutiu o uložení pokuty možno podať rozklad do
15 dní odo dňa jeho doručenia. O rozklade rozhodne predseda úradu
do 60 dní odo dňa jeho prijatia.
(11) Výnosy z pokút sú príjmom štátneho rozpočtu.
§ 50
Poriadkové pokuty
(1) Úrad môže uložiť prevádzkovateľovi alebo
sprostredkovateľovi poriadkovú pokutu
a) do 50 000 Sk, ak nezabezpečí primerané podmienky na výkon
kontroly [§ 40 ods. 2 písm. a)],
b) do 500 000 Sk, ak marí výkon kontroly [§ 40 ods. 2 písm. b)];
ak prevádzkovateľ alebo sprostredkovateľ preukáže, že marenie
výkonu kontroly zavinila oprávnená osoba, jeho zodpovednosť sa
obmedzí a zodpovednou sa stáva aj oprávnená osoba,
c) do 1 000 000 Sk, ak oznam určený na zverejnenie predsedom
úradu alebo vrchným inšpektorom v hromadných informačných
prostriedkoch nezverejnil vôbec, alebo nezverejnil včas, alebo
nezverejnil v určenej forme alebo v určenom hromadnom
informačnom prostriedku, alebo nedodržal určený obsah tohto
oznamu podľa § 48 ods. 3, 4, a to opakovane až do splnenia
povinnosti,
d) do 2 000 000 Sk, ak neposkytol úradu súčinnosť podľa § 44
ods. 2, 3, 4, alebo nevyhovel požiadavkám úradu alebo úrad
v určenej lehote včas neinformoval podľa § 46 ods. 1, 2.
(2) Poriadkovú pokutu možno uložiť do jedného roka odo dňa,
keď k porušeniu povinnosti došlo.
ŠTVRTÁ ČASŤ
SPOLOČNÉ, PRECHODNÉ A ZÁVEREČNÉ USTANOVENIA
§ 51
Spoločné ustanovenie
(1) Na konanie podľa tohto zákona sa vzťahuje všeobecný
predpis o správnom konaní, 36) ak tento zákon neustanovuje inak.
(2) Všeobecný predpis o správnom konaní sa nevzťahuje na
a) rozhodovanie v pochybnostiach podľa § 6 ods. 5, § 23 ods. 7
a 10 a § 25 ods. 4,
b) posudzovanie údajov o informačných systémoch prihlásených na
registráciu (§ 27),
c) poskytovanie informácií dotknutej osobe (§ 20 až 22),
d) rozhodovanie o námietkach zaujatosti a o oznámení
predpojatosti (§ 41),
e) prešetrenie oznámenia (§ 45),
f) na konanie o opatreniach (§ 46).
(3) Úrad zverejňuje na svojej internetovej stránke správu
o stave ochrany osobných údajov po jej prerokovaní v Národnej rade
Slovenskej republiky.
Prechodné ustanovenia
§ 52
(1) Prevádzkovatelia už fungujúcich informačných systémov
uvedú ich do súladu s týmto zákonom do šiestich mesiacov odo dňa
jeho účinnosti a ak to zákon vyžaduje, prihlásia ich v tejto
lehote na registráciu.
(2) Prevádzkovatelia, ktorí spracúvajú osobné údaje na základe
osobitného zákona, ktorý neustanovuje náležitosti podľa § 7
ods. 3, 5, 6 alebo podľa § 9 ods. 1 písm. a), môžu osobné údaje
spracúvať v rozsahu nevyhnutnom na dosiahnutie ustanoveného účelu
spracúvania bez súhlasu dotknutých osôb do 31. decembra 2005.
§ 53
(1) Záväzky orgánu štátneho dozoru nad ochranou osobných
údajov v informačných systémoch vyplývajúce z doterajšieho
predpisu prechádzajú dňom nadobudnutia účinnosti tohto zákona na
úrad.
(2) Práva a povinnosti z pracovnoprávnych vzťahov
splnomocnenca na ochranu osobných údajov v informačných systémoch
a zamestnancov Útvaru inšpekcie ochrany osobných údajov Úradu
vlády Slovenskej republiky prechádzajú dňom nadobudnutia účinnosti
tohto zákona na úrad v plnom rozsahu.
(3) Majetok štátu v správe Úradu vlády Slovenskej republiky
obstaraný na účely plnenia úloh štátneho dozoru nad ochranou
osobných údajov v informačných systémoch prechádza dňom
nadobudnutia účinnosti tohto zákona do správy úradu.
(4) Úrad vlády Slovenskej republiky zabezpečuje materiálnu
a technickú prevádzku úradu do 31. decembra 2002.
(5) Majetok štátu v správe Štatistického úradu Slovenskej
republiky, obstaraný na účely registrácie informačných systémov
obsahujúcich osobné údaje, prechádza dňom nadobudnutia účinnosti
tohto zákona do správy úradu.
(6) Záväzky vyplývajúce pre splnomocnenca na ochranu osobných
údajov v informačných systémoch z medzištátnych dohôd v oblasti
ochrany osobných údajov prechádzajú dňom nadobudnutia účinnosti
tohto zákona na úrad.
§ 54
(1) Splnomocnenec na ochranu osobných údajov v informačných
systémoch vymenovaný do funkcie podľa doterajšieho predpisu stáva
sa dňom účinnosti tohto zákona predsedom úradu a ostáva v tejto
funkcii do konca funkčného obdobia, na ktoré bol ako splnomocnenec
na ochranu osobných údajov v informačných systémoch vymenovaný.
(2) Predseda úradu v lehote dvoch mesiacov odo dňa účinnosti
tohto zákona rozhodne o tom, či informačný systém prihlásený na
registráciu podľa doterajších predpisov možno považovať za
zaregistrovaný podľa tohto zákona. Ak predseda úradu rozhodne, že
takýto informačný systém nepodlieha registrácii, oznámi to úrad
v tej istej lehote prevádzkovateľovi.
(3) Konania začaté pred dňom nadobudnutia účinnosti tohto
zákona sa dokončia podľa doterajších predpisov.
§ 55
Prechodné ustanovenia k úpravám účinným od 1. mája 2005
(1) Úrad na ochranu osobných údajov podľa doterajších
predpisov je Úradom na ochranu osobných údajov Slovenskej
republiky podľa tohto zákona. Ak sa v iných právnych predpisoch
používa pojem "Úrad na ochranu osobných údajov" vo všetkých
gramatických tvaroch, rozumie sa tým "Úrad na ochranu osobných
údajov Slovenskej republiky" v príslušnom gramatickom tvare.
(2) Písomné poverenie zodpovednej osoby vydané podľa
doterajších predpisov sa považuje za písomné poverenie podľa tohto
zákona, ak zodpovedná osoba spĺňa podmienky ustanovené v § 19
ods. 12, prevádzkovateľ oznámi úradu najneskôr do 30. júna 2005
údaje podľa § 19 ods. 5 a doloží potvrdenie alebo vyhlásenie
o tom, že zodpovedná osoba bola odborne vyškolená.
(3) Zodpovedná osoba, ktorá bola písomne poverená dohľadom nad
ochranou osobných údajov podľa doterajších predpisov a nespĺňa
podmienky ustanovené v § 19 ods. 12, musí byť odvolaná z funkcie
zodpovednej osoby najneskôr do 30. júna 2005 a prevádzkovateľ je
povinný písomne poveriť výkonom dohľadu inú zodpovednú osobu.
Týmto nie je dotknuté ustanovenie § 19 ods. 5.
(4) Prevádzkovatelia už fungujúcich informačných systémov, na
ktoré sa podľa doterajších predpisov nevzťahovala osobitná
registrácia podľa § 27, sú povinní prihlásiť ich na osobitnú
registráciu najneskôr do 30. júna 2005, inak právo na spracúvanie
osobných údajov v týchto informačných systémoch zanikne uplynutím
tejto lehoty.
(5) Predseda úradu do 31. decembra 2005 rozhodne o tom, či
informačný systém prihlásený na registráciu a zaregistrovaný podľa
doterajších predpisov možno považovať za zaregistrovaný podľa
tohto zákona. Ak predseda úradu rozhodne, že takýto informačný
systém nepodlieha registrácii podľa tohto zákona, úrad registráciu
informačného systému zruší a v tej istej lehote zverejní na svojej
internetovej stránke registračné čísla tých informačných systémov,
ktorých registrácia bola zrušená.
(6) Konania začaté a právoplatne neukončené pred nadobudnutím
účinnosti tohto zákona sa dokončia podľa doterajších predpisov.
Právne účinky úkonov, ktoré v konaní nastali pred nadobudnutím
účinnosti tohto zákona, zostávajú zachované.
(7) Na lehoty, ktoré v deň nadobudnutia účinnosti tohto zákona
ešte neuplynuli, sa vzťahujú ustanovenia doterajších predpisov.
(8) Prevádzkovatelia už fungujúcich informačných systémov sú
povinní ich uviesť do súladu s týmto zákonom do 31. októbra 2005.
Týmto nie sú dotknuté odseky 2 až 4.
Záverečné ustanovenia
§ 56
Prechod práv
Ak sa v právnych predpisoch uvádza označenie splnomocnenec na
ochranu osobných údajov, rozumie sa tým predseda úradu podľa tohto
zákona.
§ 56a
Týmto zákonom sa preberá právny akt Európskych spoločenstiev
a Európskej únie uvedený v prílohe.
§ 57
Zrušovacie ustanovenie
Zrušujú sa:
1. zákon č. 52/1998 Z.z. o ochrane osobných údajov v informačných
systémoch v znení zákona č. 241/2001 Z.z.,
2. vyhláška Štatistického úradu Slovenskej republiky č. 155/1998 Z.z., ktorou sa ustanovujú
podrobnosti o spôsobe, forme
a postupe pri registrácii informačného systému obsahujúceho
osobné údaje.
§ 58
Účinnosť
Tento zákon nadobúda účinnosť 1. septembra 2002 s výnimkou
§ 35 ods. 2, ktorý nadobúda účinnosť 1. decembra 2003.
Zákon č. 602/2003 Z.z. nadobudol účinnosť 1. januárom 2004.
Zákon č. 576/2004 Z.z. nadobudol účinnosť 1. januárom 2005.
Zákon č. 90/2005 Z.z. nadobudol účinnosť 1. májom 2005.
Zákon č. 583/2008 Z.z. nadobudol účinnosť 1. januárom 2009.
Rudolf Schuster v.r.
Jozef Migaš v.r.
Mikuláš Dzurinda v.r.
PRÍL.
ZOZNAM PREBERANÝCH PRÁVNYCH AKTOV EURÓPSKYCH SPOLOČENSTIEV
A EURÓPSKEJ ÚNIE
Smernica Európskeho parlamentu a Rady 95/46/ES z 24. októbra
1995 o ochrane jednotlivcov pri spracúvaní osobných údajov
a voľnom pohybe týchto údajov (Ú.v. ES, L 281, 23.11.1995) v znení
nariadenia Európskeho parlamentu a Rady (ES) č. 1882/2003
z 29. septembra 2003 (Ú.v. EÚ L 284, 31.10.2003).
1) Napríklad § 40 ods. 2 písm. d) zákona č. 153/2001 Z.z.
o prokuratúre, zákon č. 311/1999 Z.z. o registri trestov
v znení neskorších predpisov.
2) § 13 zákona č. 383/1997 Z.z. Autorský zákon a zákon, ktorým sa
mení a dopĺňa Colný zákon v znení neskorších predpisov.
3) Napríklad § 27 až 34 Obchodného zákonníka,
§ 8 a 68
zákona
Národnej rady Slovenskej republiky č. 162/1995 Z.z. o katastri
nehnuteľností a o zápise vlastníckych a iných práv
k nehnuteľnostiam (katastrálny zákon) v znení zákona
č. 255/2001 Z.z.,
§ 26 ods. 2 písm. e) zákona č. 195/2000 Z.z.
o telekomunikáciách.
4) Napríklad § 38 až 41 zákona Národnej rady Slovenskej republiky
č. 387/1996 Z.z. o zamestnanosti, § 11a ods. 2 zákona
Slovenskej národnej rady č. 542/1990 Zb. o štátnej správe
v školstve a školskej samospráve v znení zákona č. 416/2001
Z.z.
7) § 11 až 16 Občianskeho zákonníka.
8) § 8 Občianskeho zákonníka.
9) § 26 až 30 Občianskeho zákonníka.
10) § 116 Občianskeho zákonníka.
11) Zákon Národnej rady Slovenskej republiky č. 301/1995 Z.z.
o rodnom čísle.
12) Napríklad § 40 ods. 2 písm. d) zákona č. 153/2001 Z.z.,
§ 52
zákona Slovenskej národnej rady č. 372/1990 Zb. o priestupkoch
v znení neskorších predpisov, zákon Národnej rady Slovenskej
republiky č. 171/1993 Z.z. v znení neskorších predpisov.
13) Napríklad § 2 zákona Národnej rady Slovenskej republiky
č. 199/1994 Z.z. o psychologickej činnosti a Slovenskej komore
psychológov, zákon Slovenskej národnej rady č. 542/1990 Zb.
v znení neskorších predpisov.
13a) Zákon č. 328/2002 Z.z. o sociálnom zabezpečení policajtov
a vojakov a o zmene a doplnení niektorých zákonov v znení
neskorších predpisov.
14) Zákon Národnej rady Slovenskej republiky č. 162/1993 Z.z.
o občianskych preukazoch v znení neskorších predpisov.
15) Zákon č. 381/1997 Z.z. o cestovných dokladoch.
16) Napríklad § 8 zákona Národnej rady Slovenskej republiky
č. 46/1993 Z.z., § 8 zákona Národnej rady Slovenskej republiky
č. 198/1994 Z.z., § 14 ods. 1 písm. a) zákona Národnej rady
Slovenskej republiky č. 171/1993 Z.z. v znení neskorších
predpisov, § 9 zákona č. 124/1992 Zb.
17) Napríklad § 15 ods. 3 zákona č. 200/1998 Z.z. o štátnej službe
colníkov a o zmene a doplnení niektorých ďalších zákonov.
18) Napríklad § 31 a
32 zákona č. 563/1991 Zb. o účtovníctve
v znení zákona č. 336/1999 Z.z.
19) § 2 ods. 1 zákona Slovenskej národnej rady č. 149/1975 Zb.
o archívnictve v znení zákona č. 571/1991 Zb.
20) § 6 zákona Slovenskej národnej rady č. 149/1975 Zb. v znení
zákona č. 571/1991 Zb.
21) Napríklad § 101 až 110 Občianskeho zákonníka.
21a) Zákon č. 215/2004 Z.z. o ochrane utajovaných skutočností
a o zmene a doplnení niektorých zákonov.
22) Napríklad § 40 zákona Národnej rady Slovenskej republiky
č. 566/1992 Zb. o Národnej banke Slovenska v znení zákona
č. 149/2001 Z.z.
23) Napríklad § 6 ods. 1 zákona č. 150/2001 Z.z. o daňových
orgánoch a ktorým sa mení a dopĺňa zákon č. 440/2000 Z.z.
o správach finančnej kontroly, § 14 zákona č. 330/2000 Z.z.
o burze cenných papierov, § 134 zákona č. 566/2001 Z.z.
o cenných papieroch a investičných službách a o zmene
a doplnení niektorých zákonov (zákon o cenných papieroch),
§ 91 až 93 zákona č. 483/2001 Z.z. o bankách a o zmene
a doplnení niektorých zákonov, § 24 zákona Slovenskej národnej
rady č. 24/1991 Zb. o poisťovníctve v znení neskorších
predpisov, § 81 písm. e) a § 240 ods. 5
zákona č. 311/2001
Z.z. Zákonník práce, § 53 ods. 1 písm. e) zákona č. 312/2001
Z.z. o štátnej službe a o zmene a doplnení niektorých zákonov,
§ 9 ods. 2 písm. b) zákona č. 313/2001 Z.z. o verejnej službe,
§ 8 zákona č. 367/2000 Z.z.,
§ 80 zákona Národnej rady Slovenskej republiky č. 171/1993
Z.z. v znení neskorších predpisov, § 15 ods. 2 a
3 zákona
Národnej rady Slovenskej republiky č. 38/1993 Z.z.
o organizácii Ústavného súdu Slovenskej republiky o konaní
pred ním a o postavení jeho sudcov.
24) Napríklad Dohovor o ochrane jednotlivcov pri automatizovanom
spracovaní osobných údajov (oznámenie č. 49/2001 Z.z.).
26) Napríklad zákon Národnej rady Slovenskej republiky
č. 162/1995 Z.z. v znení neskorších predpisov.
27) § 60 zákona Národnej rady Slovenskej republiky č. 350/1996
Z.z. o rokovacom poriadku Národnej rady Slovenskej republiky.
28) § 21 ods. 1 a ods. 4 písm. a) zákona
Národnej rady Slovenskej
republiky č. 303/1995 Z.z. o rozpočtových pravidlách v znení
neskorších predpisov.
29) Zákon č. 312/2001 Z.z.
30) § 31 ods. 1 písm. h) zákona č. 241/2001 Z.z.
31) § 158 ods. 1 Trestného poriadku.
32) Napríklad § 178 a 257a Trestného zákona.
33) Zákon Národnej rady Slovenskej republiky č. 10/1996 Z.z.
o kontrole v štátnej správe.
33a) Zákon č. 382/2004 Z.z. o znalcoch, tlmočníkoch
a prekladateľoch a o zmene a doplnení niektorých zákonov.
33b) § 32 až 40 zákona č. 71/1967 Zb. o správnom konaní (správny
poriadok) v znení zákona č. 527/2003 Z.z.
35) § 247 a nasl. druhej hlavy Občianskeho súdneho poriadku.
36) Zákon č. 71/1967 Zb. o správnom konaní (správny poriadok).