90/2005 Z. z.
Časová verzia predpisu účinná od 01.05.2005 do 30.06.2013
90
ZÁKON
z 3. februára 2005,
ktorým sa mení a dopĺňa zákon č. 428/2002 Z. z. o ochrane osobných údajov v znení neskorších predpisov
Národná rada Slovenskej republiky sa uzniesla na tomto zákone:
Čl. I
Zákon č. 428/2002 Z. z. o ochrane osobných údajov v znení zákona č. 602/2003 Z. z. a zákona č. 576/2004 Z. z. sa mení a dopĺňa takto:
1.
V § 1 ods. 1 písm. g) a § 33 ods. 1 sa za slová „osobných údajov“ vkladajú slová „Slovenskej republiky“.
2.
§ 1 sa dopĺňa odsekmi 3 a 4, ktoré znejú:
„(3)
Tento zákon sa vzťahuje aj na prevádzkovateľov, ktorí nemajú sídlo alebo trvalý pobyt na území
a)
Slovenskej republiky, ale sú umiestnení v zahraničí na mieste, kde sa uplatňuje právny poriadok Slovenskej republiky prednostne na základe medzinárodného práva verejného,
b)
členského štátu Európskej únie, ak na účely spracúvania osobných údajov využívajú úplne alebo čiastočne automatizované alebo iné ako automatizované prostriedky spracúvania umiestnené na území Slovenskej republiky, pričom tieto prostriedky spracúvania nie sú využívané výlučne len na prenos osobných údajov cez územie členských štátov Európskej únie; v takomto prípade prevádzkovateľ postupuje podľa § 23a ods. 3.
(4)
Tento zákon sa vzťahuje na osobné údaje systematicky spracúvané úplne alebo čiastočne automatizovanými prostriedkami spracúvania alebo inými ako automatizovanými prostriedkami spracúvania, ktoré sú súčasťou informačného systému alebo sú určené na spracúvanie v informačnom systéme.“.
3.
§ 2 znie:
§2
(1)
Ustanovenia § 5 ods. 4, § 6 ods. 1 až 4, § 10 ods. 1, 2 a 8, § 20 ods. 1, § 27 a 32 sa nevzťahujú na spracúvanie osobných údajov nevyhnutných na zabezpečenie verejného záujmu, ak prevádzkovateľ plní povinnosti výslovne ustanovené osobitným zákonom určené na zaistenie
a)
bezpečnosti Slovenskej republiky,
b)
obrany Slovenskej republiky,
c)
verejného poriadku a bezpečnosti,
d)
predchádzania, zamedzovania, odhaľovania a dokumentovania trestnej činnosti, zisťovania jej páchateľov, vyšetrovania a stíhania trestných činov,
e)
významného ekonomického alebo finančného záujmu Slovenskej republiky alebo Európskej únie vrátane menových, rozpočtových a daňových záležitostí,
f)
výkonu kontroly, dohľadu, dozoru alebo uplatňovania regulácie v súvislosti s výkonom verejnej moci vo veciach uvedených v písmenách c), d) a e), alebo
g)
ochrany dotknutej osoby alebo práv a slobôd iných osôb.
(2)
Prevádzkovateľom registra o osobách právoplatne odsúdených súdmi v trestnom konaní, ako aj o osobách, proti ktorým bolo prokurátormi alebo súdmi právoplatne rozhodnuté o podmienečnom zastavení trestného stíhania alebo o schválení zmieru, môže byť len štátny orgán ustanovený osobitným zákonom.1)“.
Poznámka pod čiarou k odkazu 1 znie:
„1)
Napríklad § 40 ods. 2 písm. d) zákona č. 153/2001 Z. z. o prokuratúre, zákon č. 311/1999 Z. z. o registri trestov v znení neskorších predpisov.“.
4.
Za § 2 sa vkladá § 2a, ktorý znie:
§2a
Tento zákon sa nevzťahuje na ochranu osobných údajov, ktoré
a)
spracúva fyzická osoba pre vlastnú potrebu v rámci výlučne osobných alebo domácich činností, ako je vedenie osobného adresára alebo korešpondencia,
b)
boli získané náhodne bez predchádzajúceho určenia účelu a prostriedkov spracúvania, bez zámeru ich ďalšieho spracúvania v usporiadanom systéme podľa osobitných kritérií a nie sú ďalej systematicky spracúvané.“.
5.
V § 4 ods. 1 písmená b) a c) znejú:
„b)
poskytovaním osobných údajov odovzdávanie osobných údajov na spracúvanie inému prevádzkovateľovi alebo inému zástupcovi prevádzkovateľa, alebo jeho sprostredkovateľovi,
c)
sprístupňovaním osobných údajov oznámenie osobných údajov alebo umožnenie prístupu k nim inej právnickej osobe alebo fyzickej osobe s výnimkou dotknutej osoby alebo oprávnenej osoby, ktorá ich nebude spracúvať ako prevádzkovateľ, zástupca prevádzkovateľa alebo sprostredkovateľ,“.
6.
V § 4 ods. 1 písmeno g) znie:
„g)
informačným systémom akýkoľvek usporiadaný súbor, sústava alebo databáza obsahujúca jeden alebo viac osobných údajov, ktoré sú systematicky spracúvané na potreby dosiahnutia účelu podľa osobitných kritérií a podmienok s použitím automatizovaných, čiastočne automatizovaných alebo iných ako automatizovaných prostriedkov spracúvania bez ohľadu na to, či ide o systém centralizovaný, decentralizovaný alebo distribuovaný na funkčnom alebo geografickom základe, napríklad kartotéka, zoznam, register, operát, záznam alebo sústava obsahujúca spisy, doklady, zmluvy, potvrdenia, posudky, hodnotenia, testy,“.
7.
V § 4 ods. 1 písm. i) sa za slovo „osoba“ vkladajú slová „na základe poskytnutých informácií vedome“.
8.
V § 4 sa odsek 1 dopĺňa písmenami p) až s), ktoré znejú:
„p)
treťou krajinou štát, ktorý nie je členským štátom Európskej únie,
r)
verejným záujmom dôležitý záujem štátu realizovaný pri výkone verejnej moci, ktorý prevažuje nad oprávneným záujmom fyzickej osoby alebo viacerých fyzických osôb, prináša majetkový prospech alebo iný prospech ostatným fyzickým osobám alebo mnohým z nich a bez jeho realizácie by mohli vzniknúť rozsiahle alebo nenahraditeľné škody,
s)
podmienkami spracúvania osobných údajov prostriedky a spôsob spracúvania osobných údajov, ako aj ďalšie požiadavky, kritériá alebo pokyny súvisiace so spracúvaním osobných údajov alebo vykonanie úkonov, ktoré slúžia na dosiahnutie účelu spracúvania či už pred začatím spracúvania osobných údajov, alebo v priebehu ich spracúvania.“.
9.
V § 4 odseky 2 až 4 znejú:
„(2)
Prevádzkovateľom je orgán štátnej správy, orgán územnej samosprávy, iný orgán verejnej moci alebo iná právnická osoba alebo fyzická osoba, ktorá sama alebo spoločne s inými určuje účel a prostriedky spracúvania osobných údajov. Ak účel, prípadne aj prostriedky spracúvania osobných údajov ustanovuje osobitný zákon, prevádzkovateľom je ten, koho na plnenie účelu spracúvania ustanoví zákon alebo kto splní zákonom ustanovené podmienky. To platí aj vtedy, ak tak ustanovuje právny akt Európskych spoločenstiev a Európskej únie.
(3)
Sprostredkovateľom je orgán štátnej správy, orgán územnej samosprávy, iný orgán verejnej moci alebo iná právnická osoba alebo fyzická osoba, ktorá spracúva osobné údaje v mene prevádzkovateľa alebo zástupcu prevádzkovateľa.
(4)
Oprávnenou osobou je každá fyzická osoba, ktorá prichádza do styku s osobnými údajmi v rámci svojho pracovnoprávneho vzťahu, štátnozamestnaneckého pomeru, služobného pomeru, členského vzťahu, na základe poverenia, zvolenia alebo vymenovania alebo v rámci výkonu verejnej funkcie, ktorá môže osobné údaje spracúvať len na základe pokynu prevádzkovateľa, zástupcu prevádzkovateľa alebo sprostredkovateľa, ak tento zákon alebo osobitný zákon neustanovuje inak.“.
10.
V § 4 odsek 6 znie:
„(6)
Zástupcom prevádzkovateľa je právnická osoba alebo fyzická osoba, ktorá na území Slovenskej republiky zastupuje prevádzkovateľa so sídlom alebo s trvalým pobytom v tretej krajine.“.
11.
§ 4 sa dopĺňa odsekmi 7 a 8, ktoré znejú:
„(7)
Treťou stranou je orgán štátnej správy, orgán územnej samosprávy, iný orgán verejnej moci alebo iná právnická osoba alebo fyzická osoba iná ako dotknutá osoba, vlastný prevádzkovateľ alebo zástupca prevádzkovateľa, jeho sprostredkovateľ a ich oprávnené osoby.
(8)
Príjemcom je orgán štátnej správy, orgán územnej samosprávy, iný orgán verejnej moci alebo iná právnická osoba alebo fyzická osoba, ktorej sú osobné údaje poskytnuté alebo sprístupnené; prevádzkovateľ, ktorý je oprávnený spracúvať osobné údaje na základe § 2 ods. 1 písm. f) a úrad pri plnení úloh ustanovených týmto zákonom, sa nepovažuje za príjemcu.“.
12.
V § 5 ods. 2 sa na konci pripája táto veta: „Sprostredkovateľ je oprávnený spracúvať osobné údaje len v rozsahu a za podmienok dojednaných s prevádzkovateľom alebo so súhlasom prevádzkovateľa aj so sprostredkovateľom v písomnej zmluve, alebo v písomnom poverení.“.
13.
V § 5 odsek 5 znie:
„(5)
Zástupca prevádzkovateľa je povinný konať v rozsahu práv a povinností ustanovených týmto zákonom prevádzkovateľovi. Ustanovenia tohto zákona, podľa ktorých ukladá úrad prevádzkovateľovi, aby niečo vykonal, niečoho sa zdržal alebo niečo strpel, sa rovnako vzťahujú aj na zástupcu prevádzkovateľa.“.
14.
Nadpis pod § 6 znie:
„Základné povinnosti prevádzkovateľa“.
15.
V § 6 odseky 1 až 4 znejú:
„(1)
Prevádzkovateľ je povinný
a)
pred začatím spracúvania osobných údajov jednoznačne a konkrétne vymedziť účel spracúvania osobných údajov; účel spracúvania musí byť jasný a nesmie byť v rozpore s Ústavou Slovenskej republiky, ústavnými zákonmi, zákonmi a medzinárodnými zmluvami, ktorými je Slovenská republika viazaná,
b)
určiť prostriedky a spôsob spracúvania osobných údajov, prípadne ďalšie podmienky spracúvania osobných údajov,
c)
získavať osobné údaje výlučne na vymedzený alebo ustanovený účel; je neprípustné získavať osobné údaje pod zámienkou iného účelu alebo inej činnosti,
d)
zabezpečiť, aby sa spracúvali len také osobné údaje, ktoré svojím rozsahom a obsahom zodpovedajú účelu ich spracúvania a sú nevyhnutné na jeho dosiahnutie,
e)
získavať osobné údaje na rozdielne účely osobitne a zabezpečiť, aby sa osobné údaje spracúvali a využívali výlučne spôsobom, ktorý zodpovedá účelu, na ktorý boli zhromaždené; je neprípustné združovať osobné údaje, ktoré boli získané na rozdielne účely,
f)
spracúvať len správne, úplné a podľa potreby aktualizované osobné údaje vo vzťahu k účelu spracúvania; nesprávne a neúplné osobné údaje je prevádzkovateľ povinný blokovať a bez zbytočného odkladu opraviť alebo doplniť; nesprávne a neúplné osobné údaje, ktoré nemožno opraviť alebo doplniť tak, aby boli správne a úplné, prevádzkovateľ zreteľne označí a zlikviduje ihneď, ako to okolnosti dovolia,
g)
zabezpečiť, aby zhromaždené osobné údaje boli spracúvané vo forme umožňujúcej identifikáciu dotknutých osôb počas doby nie dlhšej, ako je nevyhnutné na dosiahnutie účelu spracúvania,
h)
zlikvidovať tie osobné údaje, ktorých účel spracúvania sa skončil; po skončení účelu spracúvania možno osobné údaje ďalej spracúvať len za podmienok ustanovených v odseku 3,
i)
spracúvať osobné údaje v súlade s dobrými mravmi a konať spôsobom, ktorý neodporuje tomuto zákonu ani iným všeobecne záväzným právnym predpisom a ani ich neobchádza; súhlas dotknutej osoby si nesmie prevádzkovateľ vynucovať a ani podmieňovať hrozbou odmietnutia zmluvného vzťahu, služby, tovaru alebo povinnosti ustanovenej prevádzkovateľovi alebo sprostredkovateľovi zákonom.
(2)
Prevádzkovateľ nemá povinnosť podľa odseku 1 písm. a) len vtedy, ak účel spracúvania osobných údajov ustanovuje osobitný zákon v súlade s podmienkami uvedenými v odseku 1 písm. a). Prevádzkovateľ nemá povinnosť určiť prostriedky a spôsob spracúvania osobných údajov podľa odseku 1 písm. b) len vtedy, ak ich ustanovuje všeobecne záväzný právny predpis. Ostatné povinnosti podľa odseku 1 písm. c) až h) a písm. i) časti vety pred bodkočiarkou, je prevádzkovateľ povinný dodržiavať aj počas spracúvania osobných údajov na základe osobitného zákona; týmto nie je dotknuté ustanovenie § 7 ods. 6 prvej vety vrátane jej časti za bodkočiarkou.
(3)
Ďalšie spracúvanie zhromaždených osobných údajov na historické, vedecké alebo štatistické účely sa nepovažuje za nezlučiteľné s pôvodným účelom spracúvania vymedzeným v súlade s odsekom 1 písm. a) alebo ustanoveným podľa odseku 2 prvej vety. Po skončení pôvodného účelu spracúvania je prípustné zhromaždené osobné údaje ďalej spracúvať v nevyhnutnom rozsahu na historické, vedecké alebo štatistické účely len vtedy, ak prevádzkovateľ
a)
zaručí, že spracúvané osobné údaje nepoužije v rozpore s oprávnenými záujmami dotknutej osoby a svojím konaním nebude neoprávnene zasahovať do práva na ochranu jej osobnosti a súkromia,
b)
takéto osobné údaje náležite označí a anonymizuje ihneď, ako to bude možné alebo zlikviduje, keď sa stanú nepotrebnými.
(4)
Prevádzkovateľ, ktorý poveril spracúvaním osobných údajov sprostredkovateľa, je povinný zabezpečiť, aby sprostredkovateľ dodržiaval povinnosti ustanovené v odseku 1 písm. c) až i) a odseku 3.“.
16.
V § 7 odseky 1 až 6 znejú:
„(1)
Osobné údaje možno spracúvať len so súhlasom dotknutej osoby, ak tento zákon neustanovuje inak. Týmto nie sú dotknuté ustanovenia odseku 5 prvej vety, § 8 ods. 4 písm. b), § 9 ods. 1, § 9 ods. 1 písm. b) a c), § 10 ods. 6, § 23 ods. 4 písm. a) a § 23 ods. 5.
(2)
Ak prevádzkovateľ spracúva osobné údaje na základe súhlasu dotknutej osoby, je povinný v prípade pochybností preukázať úradu kedykoľvek na jeho žiadosť, že súhlasom disponuje. Súhlas sa preukazuje zvukovým alebo zvukovo-obrazovým záznamom alebo čestným vyhlásením toho, kto poskytol osobné údaje do informačného systému, prípadne iným hodnoverným spôsobom. Písomný súhlas preukazuje prevádzkovateľ úradu dokladom, ktorý potvrdzuje poskytnutie súhlasu. Dôkaz o súhlase obsahuje najmä údaj o tom, kto súhlas poskytol, komu sa tento súhlas dáva, na aký účel, zoznam alebo rozsah osobných údajov, dobu platnosti súhlasu a podmienky jeho odvolania. Súhlas daný v písomnej forme je bez vlastnoručného podpisu toho, kto súhlas dáva, neplatný.
(3)
Súhlas podľa odseku 1 sa nevyžaduje, ak sa osobné údaje spracúvajú na základe osobitného zákona,4) ktorý ustanovuje zoznam osobných údajov, účel ich spracúvania a okruh dotknutých osôb. Spracúvané osobné údaje o dotknutej osobe možno z informačného systému poskytnúť, sprístupniť alebo zverejniť len vtedy, ak osobitný zákon ustanovuje účel poskytovania, sprístupňovania alebo zverejňovania, zoznam osobných údajov, ktoré možno poskytnúť, sprístupniť alebo zverejniť, ako aj tretie strany, ktorým sa osobné údaje poskytujú, prípadne okruh príjemcov, ktorým sa osobné údaje sprístupňujú, ak tento zákon neustanovuje inak. Týmto nie je dotknuté ustanovenie § 9 ods. 1 písm. a).
(4)
Ďalej bez súhlasu uvedeného v odseku 1 možno osobné údaje spracúvať len vtedy, ak
a)
spracúvanie osobných údajov je nevyhnutné na účely tvorby umeleckých alebo literárnych diel, pre potreby informovania verejnosti masovokomunikačnými prostriedkami a ak osobné údaje spracúva prevádzkovateľ, ktorému to vyplýva z predmetu jeho činnosti; to neplatí, ak spracúvaním osobných údajov na takýto účel prevádzkovateľ porušuje právo dotknutej osoby na ochranu jej osobnosti a súkromia alebo takéto spracúvanie osobných údajov bez súhlasu dotknutej osoby vylučuje osobitný zákon alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná,
b)
spracúvanie osobných údajov je nevyhnutné na plnenie zmluvy, v ktorej vystupuje dotknutá osoba ako jedna zo zmluvných strán alebo na zavedenie predzmluvných vzťahov alebo opatrení na žiadosť dotknutej osoby,
c)
spracúvanie osobných údajov je nevyhnutné na ochranu života, zdravia alebo majetku dotknutej osoby alebo inej fyzickej osoby, ktorá nemá spôsobilosť na právne úkony alebo je fyzicky nespôsobilá na vydanie súhlasu, a ak nemožno získať súhlas jej zákonného zástupcu,
d)
predmetom spracúvania sú výlučne titul, meno, priezvisko a adresa dotknutej osoby bez možnosti priradiť k nim ďalšie jej osobné údaje a ich využitie je určené výhradne pre potreby prevádzkovateľa v poštovom styku s dotknutou osobou a evidencie týchto údajov; ak je predmetom činnosti prevádzkovateľa priamy marketing, uvedené osobné údaje môže poskytovať, bez možnosti ich sprístupňovania a zverejňovania, len vtedy, ak sú poskytované inému prevádzkovateľovi, ktorý má rovnaký predmet činnosti výhradne na účely priameho marketingu, a dotknutá osoba písomne neuplatnila námietku podľa § 20 ods. 3 písm. c),
e)
sa spracúvajú už zverejnené osobné údaje; v týchto prípadoch treba osobné údaje náležite označiť,
f)
spracúvanie osobných údajov je nevyhnutné na splnenie dôležitej úlohy realizovanej vo verejnom záujme, alebo
g)
spracúvanie osobných údajov je nevyhnutné na ochranu zákonných práv a právom chránených záujmov prevádzkovateľa alebo tretej strany za predpokladu, že pri takomto spracúvaní osobných údajov prevádzkovateľ a tretia strana rešpektuje základné práva a slobody dotknutej osoby a svojím konaním neoprávnene nezasahuje do práva na ochranu jej osobnosti a súkromia.
(5)
Osobné údaje o dotknutej osobe možno získať od inej osoby a spracúvať v informačnom systéme len s predchádzajúcim písomným súhlasom dotknutej osoby. To neplatí, ak poskytnutím osobných údajov o dotknutej osobe do informačného systému iná osoba chráni svoje zákonné práva alebo právom chránené záujmy, alebo oznamuje skutočnosti, ktoré odôvodňujú uplatnenie právnej zodpovednosti dotknutej osoby, alebo sa osobné údaje spracúvajú na základe osobitného zákona podľa odseku 3 alebo § 9 ods. 1 písm. a). Ten, kto takto osobné údaje spracúva, musí vedieť preukázať úradu kedykoľvek na jeho žiadosť, že ich získal v súlade s týmto zákonom.
(6)
Zoznam osobných údajov podľa odseku 3 a § 9 ods. 1 písm. a) možno nahradiť rozsahom osobných údajov len vtedy, ak vzhľadom na účel spracúvania osobných údajov ustanovený v osobitnom zákone sa nedajú vopred konkrétne určiť jednotlivé osobné údaje, ktoré majú byť predmetom spracúvania; prevádzkovateľ je povinný pri takomto spracúvaní osobných údajov postupovať podľa § 6 ods. 1 písm. d) s výnimkou tých prevádzkovateľov, ktorí spracúvajú osobné údaje na účely súdneho konania a v súvislosti s ním. Zoznam tretích strán podľa odseku 3 a § 9 ods. 1 písm. a) možno nahradiť určením okruhu tretích strán len vtedy, ak vzhľadom na povahu veci nemožno vopred špecifikovať jednotlivé tretie strany, ktorým sa osobné údaje poskytujú, alebo ak tretie strany tvoria skupinu subjektov s rovnakým predmetom činnosti a vykonávajú spracúvanie osobných údajov na rovnaký alebo rovnaké účely, prípadne ak zloženie takejto skupiny podlieha neustálej zmene.“.
Poznámky pod čiarou k odkazom 5 a 6 sa vypúšťajú.“.
17.
V § 7 odsek 10 znie:
„(10)
Ustanovenie odseku 6 sa použije aj v prípadoch, keď sa postupuje podľa § 5 ods. 2 alebo § 10 ods. 1 alebo 2.“.
18.
V § 9 ods. 1 písmeno a) znie:
„a)
spracúvanie vyžaduje osobitný zákon, ktorý ustanovuje zoznam osobných údajov, účel ich spracúvania a okruh dotknutých osôb; spracúvané osobné údaje o dotknutej osobe možno z informačného systému poskytnúť, sprístupniť alebo zverejniť len vtedy, ak osobitný zákon ustanovuje účel poskytovania, sprístupňovania alebo zverejňovania, zoznam osobných údajov, ktoré možno poskytnúť, sprístupniť alebo zverejniť, ako aj tretie strany, ktorým sa osobné údaje poskytujú, prípadne okruh príjemcov, ktorým sa osobné údaje sprístupňujú, ak tento zákon neustanovuje inak, alebo“.
19.
V § 9 ods. 1 písm. c) sa slová „členov, ktorí sú s nimi vzhľadom na ich ciele v pravidelnom styku, a osobné údaje slúžia výlučne pre ich vnútornú potrebu, alebo“ nahrádzajú slovami „členov alebo tých fyzických osôb, ktoré sú s nimi vzhľadom na ich ciele v pravidelnom styku, osobné údaje slúžia výlučne pre ich vnútornú potrebu a nebudú poskytnuté tretej strane bez písomného súhlasu dotknutej osoby, alebo“.
20.
V § 9 ods. 1 písmeno f) znie:
„f)
ide o spracúvanie v sociálnom poistení, v sociálnom zabezpečení policajtov a vojakov, na účely poskytovania sociálnej pomoci alebo pomoci v hmotnej núdzi, alebo je spracúvanie nevyhnutné na účely plnenia povinností alebo uplatnenie zákonných práv prevádzkovateľa zodpovedného za spracúvanie v oblasti pracovného práva a v službách zamestnanosti a ak to prevádzkovateľovi vyplýva z osobitného zákona.13a)“.
Poznámka pod čiarou k odkazu 13a znie:
„13a)
Zákon č. 461/2003 Z. z. o sociálnom poistení v znení neskorších predpisov, zákon č. 328/2002 Z. z. o sociálnom zabezpečení policajtov a vojakov a o zmene a doplnení niektorých zákonov v znení neskorších predpisov, zákon č. 195/1998 Z. z. o sociálnej pomoci v znení neskorších predpisov, zákon č. 599/2003 Z. z. o pomoci v hmotnej núdzi a o zmene a doplnení niektorých zákonov v znení neskorších predpisov, zákon č. 5/2004 Z. z. o službách zamestnanosti a o zmene a doplnení niektorých zákonov v znení neskorších predpisov.“.
21.
V § 9 odsek 3 znie:
„(3)
Ustanovenie § 8 ods. 4 sa nepoužije, ak sa spracúvajú biometrické údaje s výnimkou analýzy deoxyribonukleovej kyseliny a profilu deoxyribonukleovej kyseliny fyzických osôb na účely evidencie alebo identifikácie vstupu do citlivých, osobitne chránených objektov, vyhradených priestorov alebo prístupu do technických zariadení alebo prístrojov s vysokou mierou rizika a ak ide výlučne o vnútornú potrebu prevádzkovateľa.“.
22.
V § 10 odseky 1 až 3 znejú:
„(1)
Prevádzkovateľ, ktorý mieni získať od dotknutej osoby jej osobné údaje, je povinný najneskôr pri ich získavaní informovať dotknutú osobu a bez vyzvania jej vopred oznámiť
a)
názov a sídlo alebo trvalý pobyt prevádzkovateľa; ak za prevádzkovateľa so sídlom alebo s trvalým pobytom v tretej krajine koná na území Slovenskej republiky zástupca prevádzkovateľa, aj jeho názov a sídlo alebo trvalý pobyt,
b)
názov a sídlo alebo trvalý pobyt sprostredkovateľa, ak v mene prevádzkovateľa alebo zástupcu prevádzkovateľa získava osobné údaje sprostredkovateľ; v takomto prípade je povinný včas oznámiť dotknutej osobe informácie podľa tohto odseku sprostredkovateľ,
c)
účel spracúvania osobných údajov a
d)
ďalšie doplňujúce informácie v takom rozsahu, v akom sú s ohľadom na všetky okolnosti spracúvania osobných údajov potrebné pre dotknutú osobu na zaručenie jej práv a právom chránených záujmov, najmä právo byť informovaná o podmienkach spracúvania svojich osobných údajov
1.
preukázanie totožnosti oprávnenej osoby, ktorá získava osobné údaje alebo preukázanie príslušnosti oprávnenej osoby hodnoverným dokladom k tomu subjektu, v mene ktorého koná; oprávnená osoba je povinná takejto žiadosti dotknutej osoby bez zbytočného odkladu vyhovieť,
2.
poučenie o dobrovoľnosti alebo povinnosti poskytnúť požadované osobné údaje; ak sa dotknutá osoba sama rozhoduje o poskytnutí svojich osobných údajov, prevádzkovateľ oznámi dotknutej osobe, na základe akého právneho podkladu mieni spracúvať jej osobné údaje; ak dotknutej osobe povinnosť poskytnúť osobné údaje vyplýva z osobitného zákona, prevádzkovateľ oznámi dotknutej osobe zákon, ktorý jej túto povinnosť ukladá a upovedomí ju o následkoch odmietnutia poskytnúť osobné údaje,
3.
tretie strany, ak sa predpokladá alebo je zrejmé, že im budú osobné údaje poskytnuté,
4.
okruh príjemcov, ak sa predpokladá alebo je zrejmé, že im budú osobné údaje sprístupnené,
5.
formu zverejnenia, ak majú byť osobné údaje zverejnené,
6.
tretie krajiny, ak sa predpokladá alebo je zrejmé, že sa do týchto krajín uskutoční prenos osobných údajov,
7.
poučenie o existencii práv dotknutej osoby.
(2)
Ak osobné údaje o dotknutej osobe nezískal prevádzkovateľ priamo od tejto dotknutej osoby, je povinný bez zbytočného odkladu, najneskôr však v čase pred ich prvým poskytnutím tretej strane, ak sa takéto poskytovanie predpokladalo už pri získavaní osobných údajov, oznámiť dotknutej osobe informácie podľa odseku 1 písm. a) až c) a ďalšie doplňujúce informácie v takom rozsahu, v akom sú s ohľadom na všetky okolnosti spracúvania osobných údajov potrebné pre dotknutú osobu na zaručenie jej práv a právom chránených záujmov, najmä právo byť informovaná o podmienkach spracúvania svojich osobných údajov
a)
poučenie o možnosti rozhodnúť o spracúvaní získaných osobných údajov,
b)
zoznam osobných údajov,
c)
tretie strany, ak sa predpokladá alebo je zrejmé, že im budú osobné údaje poskytnuté,
d)
okruh príjemcov, ak sa predpokladá alebo je zrejmé, že im budú osobné údaje sprístupnené,
e)
formu zverejnenia, ak majú byť osobné údaje zverejnené,
f)
tretie krajiny, ak sa predpokladá alebo je zrejmé, že sa do týchto krajín uskutoční prenos osobných údajov,
g)
poučenie o existencii práv dotknutej osoby.
(3)
Informácie podľa odseku 1 netreba dotknutej osobe oznamovať, ak s ohľadom na všetky okolnosti vie prevádzkovateľ úradu kedykoľvek na jeho žiadosť preukázať, že v čase získavania osobných údajov boli všetky potrebné informácie dotknutej osobe už známe. Informácie podľa odseku 2 netreba dotknutej osobe oznamovať, ak
a)
s ohľadom na všetky okolnosti vie prevádzkovateľ úradu kedykoľvek na jeho žiadosť preukázať, že všetky potrebné informácie boli v čase rozhodujúcej udalosti dotknutej osobe už známe,
b)
spracúvanie osobných údajov umožňuje osobitný zákon alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná,
c)
predmetom spracúvania sú výlučne zverejnené osobné údaje, alebo
d)
spracúvané osobné údaje sú určené na účely tvorby umeleckých alebo literárnych diel alebo pre potreby informovania verejnosti masovokomunikačnými prostriedkami za podmienok ustanovených v § 7 ods. 4 písm. a) časti vety pred bodkočiarkou, ako aj na historický výskum alebo vedecký výskum a vývoj, alebo sú určené na účely štátnej štatistiky a ak vzhľadom na všetky okolnosti vie prevádzkovateľ úradu kedykoľvek na jeho žiadosť preukázať, že poskytnutie takýchto informácií je objektívne nemožné alebo by si vyžiadalo neúmerne vysoké náklady a mimoriadne úsilie.“.
23.
V § 12 odsek 2 znie:
„(2)
Osobný údaj sa považuje za správny, kým sa nepreukáže opak.“.
24.
V § 13 sa vypúšťa odsek 8.
25.
V § 15 odseky 1 a 2 znejú:
„(1)
Za bezpečnosť osobných údajov zodpovedá prevádzkovateľ a sprostredkovateľ tým, že ich chráni pred náhodným, ako aj nezákonným poškodením a zničením, náhodnou stratou, zmenou, nedovoleným prístupom a sprístupnením, ako aj pred akýmikoľvek inými neprípustnými formami spracúvania. Na tento účel prijme primerané technické, organizačné a personálne opatrenia zodpovedajúce spôsobu spracúvania, pričom berie do úvahy najmä
a)
použiteľné technické prostriedky,
b)
rozsah možných rizík, ktoré sú spôsobilé narušiť bezpečnosť alebo funkčnosť informačného systému,
c)
dôvernosť a dôležitosť spracúvaných osobných údajov.
(2)
Opatrenia podľa odseku 1 prijme prevádzkovateľ a sprostredkovateľ vo forme bezpečnostného projektu informačného systému (ďalej len „bezpečnostný projekt") a zabezpečí jeho vypracovanie, ak
a)
sú v informačnom systéme spracúvané osobitné kategórie osobných údajov podľa § 8 a informačný systém je prepojený na verejne prístupnú počítačovú sieť alebo je prevádzkovaný v počítačovej sieti, ktorá je prepojená na verejne prístupnú počítačovú sieť,
b)
sú v informačnom systéme spracúvané osobitné kategórie osobných údajov podľa § 8; v tomto prípade prevádzkovateľ a sprostredkovateľ len zdokumentuje prijaté technické, organizačné a personálne opatrenia v rozsahu, ktorý ustanovuje § 16 ods. 3 písm. c) a ods. 6, alebo
c)
informačný systém slúži na zabezpečenie verejného záujmu podľa § 2 ods. 1; ustanovenie § 16 sa pri vypracúvaní bezpečnostného projektu nepoužije len vtedy, ak pre konkrétny prípad je tu súčasne povinnosť vypracovať bezpečnostný projekt podľa osobitného zákona21a).“.
Poznámka pod čiarou k odkazu 21a znie:
„21a)
Zákon č. 215/2004 Z. z. o ochrane utajovaných skutočností a o zmene a doplnení niektorých zákonov.“.
26.
§ 17 vrátane nadpisu znie:
§17 Poučenie
Prevádzkovateľ alebo sprostredkovateľ je povinný poučiť oprávnené osoby o právach a povinnostiach ustanovených týmto zákonom a o zodpovednosti za ich porušenie. Poučenie vykoná prevádzkovateľ alebo sprostredkovateľ pred vydaním prvého pokynu oprávnenej osobe na vykonanie akejkoľvek spracovateľskej operácie s osobnými údajmi. Oprávnená osoba poučenie potvrdí svojím podpisom; o poučení prevádzkovateľ alebo sprostredkovateľ vedie písomný záznam.“.
27.
§ 19 sa dopĺňa odsekmi 5 až 12, ktoré znejú:
„(5)
Prevádzkovateľ, ktorý písomne poveril výkonom dohľadu nad ochranou osobných údajov zodpovednú osobu, je povinný o tom písomne informovať úrad bez zbytočného odkladu, najneskôr do 30 dní odo dňa poverenia zodpovednej osoby doporučenou zásielkou. Prevádzkovateľ oznámi úradu tieto údaje:
a)
názov, sídlo alebo trvalý pobyt, právnu formu a identifikačné číslo prevádzkovateľa alebo zástupcu prevádzkovateľa,
b)
titul, meno, priezvisko a dátum narodenia zodpovednej osoby,
c)
pracovné zaradenie zodpovednej osoby,
d)
dátum začiatku platnosti písomného poverenia zodpovednej osoby,
e)
vyhlásenie prevádzkovateľa o tom, že zodpovedná osoba spĺňa podmienky ustanovené v odseku 12.
(6)
Prevádzkovateľ oznámi úradu poverenie jednej zodpovednej osoby, a to aj vtedy, ak výkonom dohľadu nad ochranou osobných údajov súčasne poveril viac zodpovedných osôb. Ak prevádzkovateľ nahradí zodpovednú osobu, ktorú nahlásil úradu, inou zodpovednou osobou, postupuje podľa odseku 5.
(7)
Zodpovedná osoba zabezpečuje
a)
potrebnú súčinnosť s úradom pri plnení úloh patriacich do jeho pôsobnosti; na požiadanie je zodpovedná osoba povinná úradu kedykoľvek predložiť svoje písomné poverenie, písomné oznámenia vystavené pre prevádzkovateľa podľa odseku 4, preukázať rozsah získaných vedomostí odborným školením,
b)
povinnosti podľa odseku 4,
c)
dohľad nad plnením základných povinností prevádzkovateľa podľa § 6,
d)
poučenie oprávnených osôb podľa § 17,
e)
vybavovanie žiadostí dotknutých osôb podľa § 20 až 22,
f)
realizáciu technických, organizačných a personálnych opatrení a dohliada na ich aplikáciu v praxi; ak je prevádzkovateľ povinný vypracovať bezpečnostný projekt v súlade s § 16 alebo dokumentáciu podľa § 15 ods. 2 písm. b), zabezpečuje ich vypracovanie,
g)
dohľad pri výbere sprostredkovateľa podľa § 5 ods. 3 a 4, prípravu písomnej zmluvy alebo písomného poverenia pre sprostredkovateľa v súlade s § 5 ods. 2 a zodpovedá za jeho obsah; počas trvania zmluvného vzťahu alebo poverenia preveruje dodržiavanie dohodnutých podmienok,
h)
dohľad nad cezhraničným tokom osobných údajov,
i)
prihlásenie informačných systémov na osobitnú registráciu a oznamovanie zmien a odhlásenie informačných systémov z osobitnej registrácie; o informačných systémoch, ktoré nepodliehajú registrácii, vedie evidenciu v rozsahu ustanovenom týmto zákonom podľa § 29 a 30 a zabezpečuje jej sprístupnenie komukoľvek, kto o to požiada v súlade s § 32.
(8)
Prevádzkovateľ, ktorý zamestnáva menej ako šesť osôb, môže výkonom dohľadu nad ochranou osobných údajov písomne poveriť zodpovednú osobu, ktorá dozerá na dodržiavanie zákonných ustanovení pri spracúvaní osobných údajov.
(9)
Prevádzkovateľ, ktorý zamestnáva menej ako šesť osôb a výkonom dohľadu nad ochranou osobných údajov písomne nepoveril zodpovednú osobu, je povinný prihlásiť na registráciu tie informačné systémy, ktoré podľa tohto zákona podliehajú registrácii podľa § 25.
(10)
Prevádzkovateľ je povinný umožniť zodpovednej osobe nezávislý výkon dohľadu nad ochranou osobných údajov a prijať jej oprávnené návrhy; upozornenie na nedostatky alebo vyslovenie požiadavky zodpovednou osobou v súvislosti s plnením jej povinností podľa odseku 7 sa nesmie stať podnetom ani dôvodom na konanie zo strany prevádzkovateľa, ktoré by zodpovednej osobe spôsobilo ujmu.
(11)
Úrad je oprávnený uložiť prevádzkovateľovi povinnosť písomne poveriť dohľadom nad ochranou osobných údajov inú zodpovednú osobu, ak sa preukáže, že písomne poverená zodpovedná osoba neplnila alebo nedostatočne plnila povinnosti podľa odseku 7, alebo práva a povinnosti uložené prevádzkovateľovi týmto zákonom nesprávne posudzovala alebo ich nesprávne uplatňovala v praxi, alebo nespĺňa podmienky ustanovené v odseku 12. Prevádzkovateľ je povinný bez zbytočného odkladu úradu vyhovieť a dohľadom písomne poveriť inú zodpovednú osobu; ak tomu bránia dôvody hodné osobitného zreteľa, ktoré vie prevádzkovateľ úradu hodnoverne preukázať, úrad určí prevádzkovateľovi lehotu, dokedy je povinný vymeniť zodpovednú osobu, prípadne prihlásiť informačné systémy na registráciu.
(12)
Zodpovednou osobou môže byť len fyzická osoba, ktorá má spôsobilosť na právne úkony v plnom rozsahu a spĺňa podmienku bezúhonnosti podľa § 35 ods. 4 prvej vety; bezúhonnosť sa preukazuje doložením výpisu z registra trestov nie starším ako tri mesiace, ktorý je prevádzkovateľ povinný uchovávať počas doby výkonu funkcie zodpovednej osoby. Zodpovednou osobou nemôže byť fyzická osoba, ktorá je štatutárnym orgánom prevádzkovateľa a fyzická osoba, ktorá je oprávnená konať v mene štatutárneho orgánu prevádzkovateľa. Zodpovedná osoba má postavenie oprávnenej osoby prevádzkovateľa.“.
28.
V § 20 ods. 1 písmená a) až d) znejú:
„a)
vo všeobecne zrozumiteľnej forme informácie o stave spracúvania svojich osobných údajov v informačnom systéme v rozsahu podľa § 26 ods. 3; pri vydaní rozhodnutia podľa odseku 4 písm. b) je dotknutá osoba oprávnená oboznámiť sa s postupom spracúvania a vyhodnocovania operácií,
b)
vo všeobecne zrozumiteľnej forme presné informácie o zdroji, z ktorého získal jej osobné údaje na spracúvanie,
c)
vo všeobecne zrozumiteľnej forme odpis jej osobných údajov, ktoré sú predmetom spracúvania,
d)
opravu jej nesprávnych, neúplných alebo neaktuálnych osobných údajov, ktoré sú predmetom spracúvania,“.
29.
V § 20 odseky 4 a 5 znejú:
„(4)
Dotknutá osoba na základe bezplatnej písomnej žiadosti alebo osobne, ak vec neznesie odklad, má právo u prevádzkovateľa kedykoľvek namietať
a)
voči spracúvaniu osobných údajov v prípadoch podľa § 7 ods. 4 písm. a), e), f) alebo g) vyslovením oprávnených dôvodov alebo predložením dôkazov o neoprávnenom zasahovaní do jej práv a právom chránených záujmov, ktoré sú alebo môžu byť v konkrétnom prípade takýmto spracúvaním osobných údajov poškodené; ak tomu nebránia zákonné dôvody a preukáže sa, že námietka dotknutej osoby je oprávnená, prevádzkovateľ je povinný osobné údaje, ktorých spracúvanie dotknutá osoba namietala, bez zbytočného odkladu blokovať a zlikvidovať ihneď, ako to okolnosti dovolia,
b)
a nepodrobiť sa rozhodnutiu prevádzkovateľa, ktoré by malo pre ňu právne účinky alebo významný dosah, ak sa takéto rozhodnutie vydá výlučne na základe úkonov automatizovaného spracúvania jej osobných údajov. Dotknutá osoba má právo žiadať prevádzkovateľa o preskúmanie vydaného rozhodnutia metódou odlišnou od automatizovanej formy spracúvania, pričom prevádzkovateľ je povinný žiadosti dotknutej osoby vyhovieť, a to tak, že rozhodujúcu úlohu pri preskúmaní rozhodnutia bude mať oprávnená osoba; o spôsobe preskúmania a výsledku zistenia prevádzkovateľ informuje dotknutú osobu v lehote podľa § 21 ods. 3. Dotknutá osoba nemá toto právo iba v prípade, ak to ustanovuje osobitný zákon, v ktorom sú opatrenia na zabezpečenie oprávnených záujmov dotknutej osoby, alebo ak rozhodnutie bolo prijaté v priebehu uzatvárania alebo plnenia zmluvy uzatváranej medzi prevádzkovateľom a dotknutou osobou za predpokladu, že sa vyhovelo požiadavke dotknutej osoby, ktorá je obsahom zmluvy, alebo dotknutej osobe bolo na základe dohody udelené právo kedykoľvek počas platnosti zmluvy uplatniť svoj názor.
(5)
Dotknutá osoba má právo nesúhlasiť s rozhodnutím prevádzkovateľa podľa § 23 ods. 5 a odmietnuť prenos svojich osobných údajov do tretej krajiny, ktorá nezaručuje primeranú úroveň ochrany osobných údajov, ak sa má prenos vykonať na základe § 23 ods. 4 písm. a).“.
Poznámka pod čiarou k odkazu 25 sa vypúšťa.
30.
V § 23 sa pod označenie paragrafu vkladá nadpis
„Prenos osobných údajov do tretích krajín“.
31.
V § 23 odsek 1 znie:
„(1)
Ak tretia krajina zaručuje primeranú úroveň ochrany osobných údajov, prenos osobných údajov do tejto tretej krajiny možno vykonať za predpokladu, že dotknutej osobe boli poskytnuté informácie podľa § 10 ods. 1 alebo 2, alebo bola splnená niektorá z podmienok uvedených v § 10 ods. 3.“.
32.
V § 23 odsek 3 znie:
„(3)
Prenos osobných údajov do tretej krajiny, ktorá nezaručuje primeranú úroveň ochrany osobných údajov, možno vykonať len vtedy, ak sa takýto prenos uskutočňuje na základe rozhodnutia Európskej komisie alebo ak je splnená niektorá z podmienok uvedených v odseku 4.“.
33.
V § 23 odsek 5 znie:
„(5)
Ak sa prevádzkovateľ rozhodne vykonať prenos osobných údajov do tretej krajiny, ktorá nezaručuje primeranú úroveň ochrany až po ich získaní, oznámi dotknutej osobe pred prenosom osobných údajov dôvod svojho rozhodnutia a oboznámi ju s právom odmietnuť takýto prenos podľa § 20 ods. 5, ak sa má prenos vykonať pod podmienkou uvedenou v odseku 4 písm. a); prevádzkovateľ je oprávnený vykonať navrhovaný prenos osobných údajov až po obdržaní písomného súhlasu dotknutej osoby.“.
34.
Za § 23 sa vkladá § 23a, ktorý vrátane nadpisu znie:
§23a Prenos osobných údajov v rámci členských štátov Európskej únie
(1)
Voľný pohyb osobných údajov medzi Slovenskou republikou a členskými štátmi Európskej únie sa zaručuje; Slovenská republika neobmedzí ani nezakáže prenos osobných údajov z dôvodov ochrany základných práv a slobôd fyzických osôb, najmä ich práva na súkromie v súvislosti so spracúvaním ich osobných údajov.
(2)
Prevádzkovateľ so sídlom alebo s trvalým pobytom na území Slovenskej republiky, ktorý zároveň spracúva osobné údaje prostredníctvom svojej organizačnej zložky alebo viacerých organizačných zložiek na území jedného alebo viacerých členských štátov Európskej únie, je povinný prijať opatrenia a zabezpečiť, aby každá jeho organizačná zložka spracúvala osobné údaje v súlade s právnym poriadkom platným v tom členskom štáte, v ktorom má príslušná organizačná zložka sídlo.
(3)
Prevádzkovateľ, ktorý nemá sídlo alebo trvalý pobyt na území členského štátu Európskej únie, a na účely spracúvania osobných údajov využíva úplne alebo čiastočne automatizované alebo iné ako automatizované prostriedky spracúvania umiestnené na území Slovenskej republiky, pričom tieto prostriedky spracúvania nie sú využívané výlučne len na prenos osobných údajov cez územie členských štátov Európskej únie, je povinný pred začatím spracúvania osobných údajov vymenovať svojho zástupcu, ktorý má sídlo alebo trvalý pobyt na území Slovenskej republiky; tým nie je dotknuté vnútroštátne právo tretej krajiny, v ktorej má prevádzkovateľ sídlo alebo trvalý pobyt. Zástupca prevádzkovateľa je povinný preukázať úradu kedykoľvek na jeho žiadosť originál dokladu svojho vymenovania za zástupcu prevádzkovateľa. Pravosť podpisov a odtlačku pečiatky prevádzkovateľa na origináli dokladu musí byť overená orgánom štátu príslušným na jeho overenie alebo notárom v príslušnom štáte s odtlačkom pečiatky zastupiteľského úradu Slovenskej republiky v tomto štáte.“.
35.
V § 25 odseky 2 a 3 znejú:
„(2)
Povinnosť registrácie sa vzťahuje na všetky informačné systémy, v ktorých sa spracúvajú osobné údaje úplne alebo čiastočne automatizovanými prostriedkami spracúvania s výnimkou tých informačných systémov, ktoré
a)
podliehajú osobitnej registrácii podľa § 27 ods. 2,
b)
podliehajú dohľadu zodpovednej osoby, ktorú písomne poveril prevádzkovateľ podľa § 19 ods. 2 alebo 8 a ktorá vykonáva dohľad nad ochranou osobných údajov podľa tohto zákona,
c)
obsahujú osobné údaje fyzických osôb spracúvané na účely plnenia predzmluvných vzťahov alebo uplatňovania práv a povinností vyplývajúcich pre prevádzkovateľa z existujúceho alebo ukončeného pracovnoprávneho vzťahu, služobného pomeru, štátnozamestnaneckého pomeru alebo členského pomeru s týmito fyzickými osobami vrátane osobných údajov ich blízkych osôb,10)
d)
obsahujú osobné údaje o členstve osôb v odborovej organizácii, ktoré sú jej členmi a ak tieto osobné údaje spracúva odborová organizácia a využíva ich výlučne pre svoju vnútornú potrebu, alebo obsahujú osobné údaje o náboženskej viere osôb združených v štátom uznanej cirkvi alebo náboženskej spoločnosti a ak tieto osobné údaje spracúva cirkev alebo náboženská spoločnosť a využíva ich výlučne pre svoju vnútornú potrebu, alebo obsahujú osobné údaje o členstve osôb v politickej strane alebo v politickom hnutí, ktoré sú ich členmi a ak tieto osobné údaje spracúva politická strana alebo politické hnutie a využíva ich výlučne pre svoju vnútornú potrebu, alebo
e)
obsahujú osobné údaje potrebné na uplatňovanie práv alebo plnenie povinností vyplývajúcich z osobitného zákona alebo sú spracúvané na základe osobitného zákona.
(3)
Súčasťou registrácie je pridelenie registračného čísla informačnému systému a vydanie potvrdenia o jeho registrácii; ak bola splnená podmienka podľa § 26 ods. 2, spracúvanie osobných údajov v informačnom systéme nie je podmienené vydaním potvrdenia o jeho registrácii.“.
36.
V § 26 ods. 3 písmená d) a e) znejú:
„d)
názov, sídlo alebo trvalý pobyt, právnu formu a identifikačné číslo zástupcu prevádzkovateľa, ak koná na území Slovenskej republiky za prevádzkovateľa so sídlom alebo trvalým pobytom v tretej krajine; v takomto prípade sa v písmene a) uvedú údaje o prevádzkovateľovi, ktorý vymenoval zástupcu prevádzkovateľa,
e)
meno a priezvisko štatutárneho orgánu alebo člena štatutárneho orgánu zástupcu prevádzkovateľa; v takomto prípade sa v písmene b) uvedú údaje o štatutárnom orgáne alebo o členovi štatutárneho orgánu prevádzkovateľa, ktorý vymenoval zástupcu prevádzkovateľa,“.
37.
V § 26 ods. 3 písmená j) až l) znejú:
„j)
okruh príjemcov, ak sa predpokladá alebo je zrejmé, že im budú osobné údaje sprístupnené,
k)
tretie strany, prípadne okruh tretích strán, ak sa predpokladá alebo je zrejmé, že im budú osobné údaje poskytnuté,
l)
tretie krajiny, ak sa predpokladá alebo je zrejmé, že sa do týchto krajín uskutoční prenos osobných údajov a právny základ cezhraničného toku,“.
38.
§ 27 vrátane nadpisu znie:
§27 Podmienky osobitnej registrácie
(1)
Osobitnú registráciu informačných systémov vykonáva úrad bezplatne.
(2)
Osobitná registrácia sa vzťahuje na informačné systémy, v ktorých prevádzkovateľ spracúva
a)
aspoň jeden z osobných údajov uvedených v § 8 ods. 1, a zároveň sa predpokladá alebo uskutočňuje ich prenos do tretej krajiny alebo tretích krajín, ktoré nezaručujú primeranú úroveň ochrany, na základe § 23 ods. 4 písm. a) alebo c),
b)
osobné údaje na základe § 7 ods. 4 písm. g), alebo
c)
osobné údaje na základe § 9 ods. 3.
(3)
Prevádzkovateľ je povinný prihlásiť informačný systém na osobitnú registráciu na úrade pred začatím spracúvania osobných údajov.
(4)
Pri osobitnej registrácii prevádzkovateľ uvedie údaje v rozsahu podľa § 26 ods. 3 a predloží podklady, ktoré sú nevyhnutné na posúdenie predmetného spracúvania. Na prihlásenie informačného systému na osobitnú registráciu sa primerane vzťahuje § 26 ods. 4.
(5)
Úrad posúdi predložené údaje podľa odseku 4, preverí, či spracúvaním osobných údajov nevzniká nebezpečenstvo narušenia práv a slobôd dotknutých osôb a najneskôr do 60 dní odo dňa ich prijatia rozhodne o tom, či spracúvanie osobných údajov povolí; ak pri posudzovaní predložených údajov úrad zistí, že prihlásený informačný systém nepodlieha osobitnej registrácii, oznámi to bez zbytočného odkladu prevádzkovateľovi.
(6)
V prípade pochybností si úrad vyžiada od prevádzkovateľa ďalšie vysvetlenia alebo podklady. Počas tejto doby lehota podľa odseku 5 neplynie.
(7)
Súčasťou osobitnej registrácie je pridelenie registračného čísla informačnému systému a vydanie potvrdenia o jeho registrácii; prevádzkovateľ môže začať spracúvať osobné údaje v informačnom systéme prihlásenom na osobitnú registráciu v deň nasledujúci po dni, v ktorom úrad vydal potvrdenie.
(8)
Na oznámenie zmien a odhlásenie informačného systému z osobitnej registrácie sa vzťahuje ustanovenie § 28.
(9)
Ak úrad spracúvanie osobných údajov v informačnom systéme prihlásenom na osobitnú registráciu posúdi ako rizikové, zakáže prevádzkovateľovi spracúvanie osobných údajov na daný účel. Prevádzkovateľ je povinný rešpektovať rozhodnutie úradu a bez zbytočného odkladu vykonať opatrenia, aby sa spracúvanie osobných údajov neuskutočnilo.“.
39.
§ 33 sa dopĺňa odsekmi 4 až 6, ktoré znejú:
„(4)
Úrad plní oznamovaciu povinnosť voči Európskej komisii v oblasti ochrany osobných údajov.
(5)
Úrad prijíma opatrenia na vykonanie rozhodnutí Európskej komisie vydaných v oblasti ochrany osobných údajov.
(6)
Úrad spolupracuje pri výkone dozoru nad ochranou osobných údajov s obdobnými orgánmi dozoru v zahraničí.“.
40.
V § 35 ods. 13 písm. b) sa slová „počas výkonu“ nahrádzajú slovami „v súvislosti s výkonom svojej“.
41.
V § 37 ods. 6 sa slová „počas výkonu svojej práce“ nahrádzajú slovami „v súvislosti s výkonom svojej práce; použitie osobných údajov pri plnení úloh úradu alebo v súvislosti s ich plnením v súlade s ustanoveniami tohto zákona alebo osobitného zákona sa nepovažuje za porušenie povinnosti mlčanlivosti“.
42.
V § 38 ods. 1 úvodnej vete sa za slovo „Úrad“ vkladajú slová „pri výkone dozoru nad ochranou osobných údajov“.
43.
V § 38 ods. 1 písmeno f) znie:
„f)
prešetruje oznámenia podané podľa § 45, alebo koná na základe podnetu alebo z vlastnej iniciatívy podľa § 44a a na odstránenie nedostatkov vydáva opatrenia na nápravu,“.
44.
V § 38 odsek 2 znie:
„(2)
Predmetom dozoru nad ochranou osobných údajov nie sú spory zo zmluvných alebo predzmluvných vzťahov prevádzkovateľov alebo sprostredkovateľov a dotknutých osôb alebo iných fyzických osôb alebo právnických osôb, na ktorých prejednávanie a rozhodovanie sú príslušné súdy alebo iné orgány podľa osobitných predpisov.“.
45.
V § 39 sa odsek 1 dopĺňa písmenami e) a f), ktoré znejú:
„e)
vstupovať do informačných systémov do úrovne správcu systému v rozsahu potrebnom na vykonanie kontroly,
f)
overovať totožnosť kontrolovaných osôb a fyzických osôb, ktoré v mene kontrolovaných osôb konajú.“.
46.
Za § 44 sa vkladajú § 44a a 44b, ktoré vrátane nadpisu nad paragrafmi znejú:
„Konanie
§44a
(1)
Konanie vo veciach upravených týmto zákonom, na ktoré sa nevzťahuje všeobecný predpis o správnom konaní, je začaté dňom, keď voči prevádzkovateľovi, sprostredkovateľovi alebo inej právnickej osobe alebo fyzickej osobe (ďalej len „účastník konania") urobil úrad prvý úkon. Ak sa konanie začína na podnet účastníka konania, dňom začatia konania je deň doručenia podnetu úradu.
(2)
Účastníkom konania je ten, o koho právach alebo povinnostiach sa má konať. Za účastníka konania, ktorým nie je fyzická osoba, koná štatutárny orgán, prípadne jeho zamestnanec alebo člen, ktorý sa preukáže písomným poverením štatutárneho orgánu, že je oprávnený za neho konať, pokiaľ jednotlivé ustanovenia tohto zákona neustanovujú inak. Účastník konania sa môže nechať v konaní zastupovať. V tej istej veci môže mať účastník konania súčasne len jedného zástupcu, ktorému udelí písomne splnomocnenie na celé konanie, alebo len na určité úkony. Splnomocnenie na zastupovanie účastníka konania, ktorým nie je fyzická osoba, musí byť udelené osobou, ktorá je oprávnená konať v jeho mene.
(3)
Konanie je neverejné. Týmto nie je dotknuté ustanovenie § 48.
(4)
Na dokazovanie možno použiť všetky prostriedky, ktorými možno zistiť a objasniť skutočný stav veci a ktoré sú v súlade s právnymi predpismi. Dôkazmi sú najmä vyjadrenia účastníkov konania, výpovede svedkov, listiny, znalecké posudky alebo odborné posudky, správy, vyjadrenia a potvrdenia orgánov alebo iných právnických osôb a fyzických osôb, zverejnené informácie, obhliadky a kontrolné zistenia. Ako dôkaz možno použiť namiesto originálu listiny alebo originálu akéhokoľvek záznamu aj ich rozmnoženinu v tlačenej, fotografickej, zvukovej, zvukovo-obrazovej alebo v inej všeobecne zrozumiteľnej forme, ak je umiestnená na bežne dostupnom nosiči informácií.
(5)
Úrad môže namiesto dôkazu pripustiť čestné vyhlásenie fyzickej osoby. Čestné vyhlásenie úrad nepripustí, ak tomu bráni všeobecný záujem alebo ak by tým bola porušená rovnosť medzi účastníkmi konania. Čestným vyhlásením nemožno nahradiť znalecký posudok. V čestnom vyhlásení je fyzická osoba povinná uviesť pravdivé údaje. Úrad musí upozorniť fyzickú osobu na právne následky nepravdivého čestného vyhlásenia.
(6)
Úrad môže ustanoviť znalca alebo znalcov podľa osobitného predpisu,33a) ak je na odborné posúdenie skutočností dôležitých pre rozhodnutie vo veci potrebný znalecký posudok a uložiť ustanovenému znalcovi, aby samostatne písomne vypracoval znalecký posudok, alebo aby sa v znaleckom posudku vyjadril k otázkam, ktoré mu položil úrad. Na tento účel úrad ustanovenému znalcovi sprístupní potrebné údaje zo spisu. V súvislosti s vypracovaním znaleckého posudku môže úrad uložiť účastníkovi konania, aby poskytol ustanovenému znalcovi všetky podstatné informácie, predložil alebo sprístupnil všetky potrebné listiny, podklady alebo predmety, alebo umožnil prístup k technickému a programovému vybaveniu informačného systému, podal mu potrebné vysvetlenia, alebo aby niečo vykonal alebo znášal, ak je to potrebné na podanie znaleckého posudku.
(7)
Účastník konania je povinný navrhnúť na podporu svojich tvrdení dôkazy, ktoré sú mu známe. Úrad rozhodne, ktoré z navrhnutých dôkazov sa vykonajú a vykoná aj iné dôkazy, ktoré účastníci konania nenavrhli, ak sú potrebné na zistenie a objasnenie skutočného stavu veci. Skutočnosti všeobecne známe alebo známe úradu z jeho činnosti netreba dokazovať.
(8)
Úrad hodnotí dôkazy podľa svojej voľnej úvahy, a to každý dôkaz jednotlivo a všetky dôkazy v ich vzájomnej súvislosti; pritom prihliada na všetko, čo v konaní vyšlo najavo.
(9)
Dôležité písomnosti, najmä opatrenia a rozhodnutia sa účastníkovi konania, adresátovi, alebo osobe, ktorá sa preukáže jeho splnomocnením na preberanie zásielok, doručujú poštou ako doporučená zásielka s doručenkou a poznámkou „do vlastných rúk". Písomnosti, ktoré sú určené účastníkovi konania, ktorým nie je fyzická osoba, doručujú sa osobám alebo členom oprávneným za tento subjekt prijímať písomnosti alebo tomu, kto je oprávnený za tento subjekt konať. Písomnosti určené advokátovi možno doručovať tiež advokátskym koncipientom a iným pracovníkom, ktorí sú u advokáta pracovne činní a sú advokátom poverení na prijímanie zásielok.
(10)
Ak nebol adresát zásielky, ktorá sa má doručiť do vlastných rúk, zastihnutý, hoci sa v mieste doručenia zdržiava, doručovateľ ho vhodným spôsobom upovedomí, že zásielku príde znovu doručiť v určený deň a hodinu. Ak nový pokus o doručenie zostane bezvýsledný, doručovateľ uloží zásielku na pošte a adresáta o tom vhodným spôsobom upovedomí. Ak si adresát nevyzdvihne zásielku do troch dní od uloženia, posledný deň tejto lehoty sa považuje za deň doručenia, aj keď sa adresát o uložení nedozvedel.
(11)
Ak si adresát vyhradí doručovanie zásielok do poštového priečinka, pošta adresátovi oznámi príchod zásielky, možnosť prevzatia a odbernú lehotu na predpísanom tlačive, ktoré vloží do poštového priečinka. Ak si adresát na základe dohody preberá zásielky na pošte a nemá pridelený poštový priečinok, pošta tieto zásielky neoznamuje. V obidvoch prípadoch sa dátum príchodu zásielky považuje za dátum uloženia. Ak si adresát nevyzdvihne zásielku do troch dní od uloženia, posledný deň tejto lehoty sa považuje za deň doručenia, aj keď sa adresát o uložení nedozvedel.
(12)
Účastník konania, ktorý sa zdržiava v cudzine alebo tam má sídlo alebo trvalý pobyt, je povinný na doručovanie zásielok určiť si svojho zástupcu so sídlom alebo s trvalým pobytom na území Slovenskej republiky a včas písomne úradu oznámiť jeho meno, priezvisko a adresu.
(13)
Písomnosť je doručená ihneď, ako ju účastník konania prevezme alebo pošta doporučenú zásielku vrátila ako nedoručiteľnú alebo ak doručenie zásielky bolo zmarené konaním alebo opomenutím účastníka konania. Ak adresát bezdôvodne odoprel zásielku prijať, písomnosť je doručená dňom, keď sa jej prijatie odoprelo; na to musí doručovateľ adresáta upozorniť.
(14)
Ak je to potrebné, úrad určí na vykonanie úkonu v konaní lehotu, ak ju neustanovuje tento zákon. Do lehoty sa nezapočítava deň, keď došlo ku skutočnosti určujúcej začiatok lehoty. Lehoty určené podľa týždňov, mesiacov alebo rokov sa končia uplynutím toho dňa, ktorý sa svojím označením zhoduje s dňom, keď došlo ku skutočnosti určujúcej začiatok lehoty, a ak taký deň v mesiaci nie je, lehota sa končí posledným dňom mesiaca. Ak koniec lehoty pripadne na sobotu, nedeľu alebo na deň pracovného pokoja, je posledným dňom lehoty najbližší nasledujúci pracovný deň. Lehota je zachovaná, ak sa posledný deň lehoty podanie podá na úrad alebo ak sa odovzdá na poštovú prepravu. V pochybnostiach sa považuje lehota za zachovanú, ak sa nepreukáže opak.
(15)
Trovy, ktoré v konaní vznikli účastníkovi konania, znáša účastník konania. Trovy konania, ktoré vznikli úradu, znáša úrad.
(16)
Konanie začaté z vlastnej iniciatívy úradu možno zastaviť, ak odpadol dôvod konania alebo ak sa v priebehu konania preukázalo, že nie sú dostatočné dôvody na jeho pokračovanie, alebo ak účastník konania zomrel.
§44b
V konaní o uložení sankcie za porušenie tohto zákona podľa § 49 alebo § 50 je účastníkom konania prevádzkovateľ alebo sprostredkovateľ, alebo fyzická osoba, ktorej má byť podľa tohto zákona uložená pokuta; konanie o uložení sankcie za porušenie tohto zákona začína úrad z vlastnej iniciatívy podľa všeobecného predpisu o správnom konaní a len na účely uloženia pokuty. Rozhodnutie o uložení pokuty môže úrad vydať bez ďalšieho dokazovania a zisťovania podkladov pre rozhodnutie,33b) ak na základe preukázaných kontrolných zistení alebo vykonaných dôkazov v priebehu konania, ktoré odôvodňujú uplatnenie právnej zodpovednosti účastníka konania podľa tohto zákona, má úrad dostatočne zistené a preukázané, že došlo k porušeniu ustanovení tohto zákona, alebo na základe zisteného porušenia ustanovenia § 40 ods. 2 písm. a) alebo b) kontrolovanou osobou.“.
Poznámky pod čiarou k odkazom 33a a 33b znejú:
„33a)
Zákon č. 382/2004 Z. z. o znalcoch, tlmočníkoch a prekladateľoch a o zmene a doplnení niektorých zákonov.
33b)
§ 32 až 40 zákona č. 71/1967 Zb. o správnom konaní (správny poriadok) v znení zákona č. 527/2003 Z. z.“.
Súčasne sa vypúšťa poznámka pod čiarou k odkazu 34.“.
47.
§ 45 vrátane nadpisu znie:
§45 Prešetrenie oznámenia
(1)
Úrad pri výkone dozoru nad ochranou osobných údajov využíva aj oznámenia a podnety právnických osôb a fyzických osôb (ďalej len „oznámenie") týkajúce sa podozrenia z porušovania povinností alebo podmienok určených týmto zákonom. Oznámenie sa úradu podáva písomne.
(2)
Oznámenie môže okrem dotknutej osoby podať úradu podľa § 20 ods. 6 aj fyzická osoba, ktorá tvrdí, že je priamo dotknutá vo svojich právach ustanovených týmto zákonom (ďalej len „oznamovateľ").
(3)
Úrad oznámenie odloží, ak
a)
vec, ktorej sa oznámenie týka, nepatrí do jeho pôsobnosti,
b)
náležitosti uvedené v odseku 9 neboli na výzvu úradu doplnené alebo spresnené v určenej lehote,
c)
oznamovateľ neposkytne úradu na jeho požiadanie potrebnú súčinnosť, pričom bez jeho aktívnej účasti nemožno vec vybaviť,
d)
oznamovateľ trvá na utajení svojej totožnosti napriek tomu, že bez použitia jeho osobných údajov alebo niektorých jeho údajov podľa odseku 9 písm. a) nemožno vec vybaviť,
e)
oznamovateľ podá opakované oznámenie po uplynutí lehoty podľa odseku 14.
(4)
Úrad môže oznámenie odložiť, ak zistí, že
a)
vec, ktorej sa oznámenie týka, prejednáva súd alebo orgán činný v trestnom konaní,
b)
od opatrenia alebo udalosti, ktorých sa oznámenie týka, uplynul v deň doručenia oznámenia čas dlhší ako tri roky,
c)
oznámenie je zjavne neopodstatnené,
d)
neobsahuje meno, priezvisko, adresu trvalého pobytu a podpis oznamovateľa; takéto oznámenie sa považuje za anonymné,
e)
ide o oznámenie vo veci, ktorú už úrad vybavil a opakované oznámenie neobsahuje nové skutočnosti.
(5)
O odložení oznámenia a dôvodoch jeho odloženia úrad upovedomí toho, kto oznámenie podal; to neplatí, ak ide o anonymné oznámenie. Odložené oznámenie sa považuje za vybavené.
(6)
Oznámenie nie je prípustné, ak oznamovateľ pred jeho podaním neuplatnil svoje právo podľa § 20, ktoré mu tento zákon poskytuje. Úrad oznámenie odloží a poučí oznamovateľa o uplatnení práv podľa § 20.
(7)
Úrad neodloží oznámenie, aj keď sa nesplnila podmienka podľa odseku 6 len vtedy, ak oznamovateľ hodnoverne preukáže, že túto podmienku nesplnil z dôvodov hodných osobitného zreteľa.
(8)
Šetrenie je začaté dňom doručenia písomného oznámenia úradu. Prijatie oznámenia potvrdí úrad oznamovateľovi, ak oznámenie nebolo podané osobne.
(9)
Oznámenie musí obsahovať najmä
a)
meno, priezvisko, adresu trvalého pobytu a podpis oznamovateľa,
b)
označenie toho, proti komu oznámenie smeruje; názov alebo meno a priezvisko, sídlo alebo trvalý pobyt, prípadne právnu formu a identifikačné číslo,
c)
predmet oznámenia s označením, ktoré práva sa podľa tvrdenia oznamovateľa pri spracúvaní osobných údajov porušili,
d)
dôkazy na podporu tvrdení uvedených v oznámení,
e)
kópiu listiny preukazujúcej uplatnenie práva podľa § 20, ak sa takéto právo mohlo uplatniť alebo uvedenie dôvodov hodných osobitného zreteľa.
(10)
Ak oznámenie neobsahuje predpísané náležitosti podľa odseku 9, nie je zrozumiteľné, alebo ak sú na jeho náležité vybavenie potrebné údaje, ktoré sa v oznámení neuvádzajú, úrad vyzve oznamovateľa, aby v určenej lehote nie kratšej ako sedem dní odstránil nedostatky. Súčasne upozorní oznamovateľa na dôsledky neodstránenia nedostatkov na ďalší priebeh šetrenia. V čase, keď oznamovateľ mešká s plnením tejto povinnosti, lehota podľa odseku 12 neplynie.
(11)
Ak oznámenie podľa odseku 9 neobsahuje požiadavku oznamovateľa na utajenie jeho totožnosti, úrad vybavuje oznámenie bez utajenia osobných údajov uvedených v odseku 9 písm. a). Ak v oznámení podľa odseku 9 oznamovateľ požiada úrad o utajenie svojej totožnosti, ale charakter oznámenia neumožňuje jeho prešetrenie bez uvedenia niektorého údaja alebo údajov o oznamovateľovi, úrad po zistení tejto skutočnosti o tom upovedomí oznamovateľa. Zároveň oznamovateľa upozorní, že vo vybavovaní oznámenia sa bude pokračovať len v prípade, ak v určenej lehote písomne udelí úradu súhlas s uvedením určitého potrebného údaja alebo údajov o svojej osobe na použitie v rámci šetrenia.
(12)
Úrad prešetrí a vybaví písomné oznámenie oznamovateľa v lehote 60 dní odo dňa jeho prijatia. Vrchný inšpektor môže túto lehotu v odôvodnených prípadoch primerane predĺžiť, najviac však o šesť mesiacov. O predĺžení lehoty úrad písomne upovedomí oznamovateľa.
(13)
Úrad v lehote podľa odseku 12 písomne informuje oznamovateľa o výsledku prešetrenia oznámenia, v ktorom uvedie práva oznamovateľa ustanovené týmto zákonom, ktoré boli porušené. Ak úrad nezistí porušenie práv oznamovateľa, písomne ho informuje o tejto skutočnosti bez zbytočného odkladu, najneskôr však v lehote podľa odseku 12. Oznámenie sa považuje za vybavené doručením písomnej informácie o výsledku prešetrenia oznámenia oznamovateľovi.
(14)
Oznámenie v tej istej veci možno opakovať v lehote 30 dní odo dňa doručenia výsledku o prešetrení oznámenia; ak oznámenie neobsahuje nové skutočnosti, úrad postupuje podľa odseku 4 písm. e). Ak úrad opakované oznámenie neodložil alebo ak zistil, že obsahuje nové skutočnosti, vrchný inšpektor preskúma pôvodné oznámenie, či bolo správne vybavené; o výsledku písomne informuje oznamovateľa, pričom postupuje obdobne podľa odseku 13. Preskúmanie oznámenia vrchným inšpektorom je konečné.
(15)
V prípade, že v rovnakej veci, v akej už bolo vybavené oznámenie iného oznamovateľa, podá oznámenie ďalší oznamovateľ bez uvedenia nových skutočností, jeho oznámenie netreba znovu prešetrovať, ale treba ho upovedomiť bez zbytočného odkladu o výsledku vybavenia pôvodného oznámenia, najneskôr však v lehote podľa odseku 12 prvej vety.
(16)
Podanie oznámenia nesmie byť oznamovateľovi na ujmu; to neplatí, ak sa obsahom svojho oznámenia dopustí oznamovateľ trestného činu alebo priestupku.
(17)
Oznámenie podané inou právnickou osobou alebo fyzickou osobou ako oznamovateľom sa vybavuje ako konanie začaté z vlastnej iniciatívy úradu, ak sa po preskúmaní oznámenia preukáže, že je tu dôvod na začatie šetrenia. Na žiadosť právnickej osoby alebo fyzickej osoby, ktorá oznámenie podala, úrad potvrdí prijatie oznámenia; výsledok šetrenia jej úrad neoznamuje. Právnická osoba alebo fyzická osoba, ktorá oznámenie podala, sa nepovažuje za účastníka konania.“.
48.
V § 46 ods. 1 písm. a) sa na začiatok vkladajú slová „pred začatím spracúvania osobných údajov alebo v priebehu spracúvania osobných údajov v rozsahu nevyhnutne potrebnom na zabezpečenie účelu konania môže dočasným opatrením uložiť prevádzkovateľovi alebo sprostredkovateľovi, aby niečo vykonal, niečoho sa zdržal alebo niečo strpel;“.
49.
V § 46 ods. 1 písmeno b) znie:
„b)
ak zistí, že prevádzkovateľ alebo sprostredkovateľ nesplnil alebo porušil niektorú z povinností alebo niektoré povinnosti ustanovené týmto zákonom, pri plnení niektorej z povinností alebo niektorých povinností obchádzal ustanovenia tohto zákona, nedodržal alebo obchádzal podmienky ustanovené týmto zákonom, alebo spracúva alebo spracúval osobné údaje v rozpore s týmto zákonom, je oprávnený uložiť prevádzkovateľovi alebo sprostredkovateľovi, aby v určenej lehote vykonal opatrenia na odstránenie zistených nedostatkov a príčin ich vzniku. Úrad je ďalej oprávnený prevádzkovateľovi alebo sprostredkovateľovi
1.
uložiť povinnosť zabezpečiť vypracovanie alebo doplnenie dokumentácie alebo bezpečnostného projektu v súlade s týmto zákonom v určenej lehote,
2.
uložiť povinnosť prijať technické, organizačné a personálne opatrenia zodpovedajúce spôsobu spracúvania v určenej lehote,
3.
zakázať spracúvať tie osobné údaje, ktorých spracúvanie je v rozpore s ustanoveniami tohto zákona,
4.
zakázať spracúvanie, ktoré je v rozpore s ustanoveniami tohto zákona,
5.
nariadiť odstránenie alebo likvidáciu osobných údajov v určenej lehote, ak sú alebo boli neoprávnene spracúvané a
6.
uložiť prevádzkovateľovi povinnosť zrušiť písomné poverenie alebo písomnú zmluvu so sprostredkovateľom v určenej lehote.“.
50.
§ 48 vrátane nadpisu znie:
§48 Zverejnenie porušenia zákona
(1)
Ak úrad zistí porušenie povinností ustanovených týmto zákonom alebo obchádzanie ustanovení tohto zákona alebo osobitného zákona32), môže predseda úradu alebo vrchný inšpektor zverejniť obchodné meno alebo názov, sídlo alebo trvalý pobyt, identifikačné číslo, ak ho má pridelené a právnu formu toho, kto sa dopustil protiprávneho konania a
a)
výrok vykonateľného opatrenia a odôvodnenie opatrenia alebo ich časti podľa § 46 okrem osobných údajov, ak ich obsahujú,
b)
výrok vykonateľného rozhodnutia a odôvodnenie rozhodnutia alebo ich časti podľa § 49 alebo § 50 okrem osobných údajov, ak ich obsahujú, alebo
c)
charakteristiku skutkového stavu porušenia ochrany osobných údajov.
(2)
Predseda úradu alebo vrchný inšpektor môže uložiť prevádzkovateľovi alebo sprostredkovateľovi povinnosť zverejniť skutočnosti v rozsahu podľa odseku 1 písm. c) v hromadných informačných prostriedkoch.
(3)
Prevádzkovateľ je povinný splniť povinnosť uloženú predsedom úradu alebo vrchným inšpektorom podľa odseku 2. Štatutárny orgán prevádzkovateľa je povinný zabezpečiť zverejnenie oznamu v hromadných informačných prostriedkoch v rozsahu podľa odseku 1 písm. c) na vlastné náklady prevádzkovateľa; obsah, formu, hromadný informačný prostriedok a najneskorší termín zverejnenia oznamu určí predseda úradu alebo vrchný inšpektor.
(4)
Povinnosť podľa odseku 3 sa vzťahuje aj na sprostredkovateľa.“.
51.
V § 49 odseky 1 až 4 znejú:
„(1)
Úrad môže uložiť pokutu od 50 000 Sk do 10 000 000 Sk prevádzkovateľovi alebo sprostredkovateľovi, ktorý
a)
nesplnil alebo porušil niektorú z povinností alebo niektoré povinnosti ustanovené v § 5, 6, 7, 10, alebo pri plnení niektorej z povinností alebo niektorých povinností ustanovených v § 5, 6, 7, 10 obchádzal ustanovenia tohto zákona, alebo spracúva alebo spracúval osobné údaje v rozpore s § 5, 6, 7, 10,
b)
nesplnil alebo porušil niektorú z povinností alebo niektoré povinnosti ustanovené v § 8, 9, alebo spracúva alebo spracúval osobitné kategórie osobných údajov v rozpore s § 8, 9, alebo
c)
neprijal primerané technické, organizačné a personálne opatrenia zodpovedajúce spôsobu spracúvania alebo nepreukázal alebo nevedel preukázať úradu na jeho žiadosť uplatňovanie opatrení v praxi podľa § 15 ods. 1, 3, alebo neprijal primerané technické, organizačné a personálne opatrenia zodpovedajúce spôsobu spracúvania vo forme bezpečnostného projektu alebo nepredložil úradu na jeho žiadosť bezpečnostný projekt, pričom bol povinný zabezpečiť jeho vypracovanie podľa § 15 ods. 2, 3, alebo predložil bezpečnostný projekt, ktorý neobsahoval náležitosti ustanovené týmto zákonom podľa § 16, alebo nepredložil úradu na jeho žiadosť zdokumentované technické, organizačné a personálne opatrenia zodpovedajúce spôsobu spracúvania alebo nezdokumentoval technické, organizačné a personálne opatrenia v rozsahu ustanovenom týmto zákonom, pričom bol povinný takúto dokumentáciu vypracovať podľa § 15 ods. 2 písm. b), alebo preukázateľne zanedbal uplatňovanie alebo neuplatňoval technické, organizačné a personálne opatrenia zodpovedajúce spôsobu spracúvania v praxi uvedené v bezpečnostnom projekte alebo v dokumentácii podľa § 15 ods. 2 písm. b).
(2)
Úrad môže uložiť pokutu od 50 000 Sk do 5 000 000 Sk prevádzkovateľovi alebo sprostredkovateľovi, ktorý
a)
nesplnil alebo porušil niektorú z povinností alebo niektoré povinnosti ustanovené v § 13, alebo spracúva alebo spracúval osobné údaje v rozpore s § 13,
b)
na žiadosť úradu nezabezpečil vykonanie auditu bezpečnosti informačného systému alebo zabezpečil vykonanie auditu bezpečnosti informačného systému v rozpore s týmto zákonom alebo včas nepredložil hodnotiacu správu podľa § 15 ods. 4, 5, alebo predložil hodnotiacu správu, ktorá nekonkretizuje zistené nedostatky,
c)
včas nepoučil svoje oprávnené osoby alebo nevedel úradu hodnoverne preukázať, že poučenie oprávnených osôb vykonal včas, alebo nepredložil na požiadanie úradu písomný záznam o poučení oprávnených osôb podľa § 17, alebo
d)
vykonal prenos osobných údajov do tretích krajín v rozpore s § 23, alebo spracúva alebo spracúval osobné údaje v rozpore s niektorou z podmienok alebo niektorými podmienkami ustanovenými v § 23, § 23a ods. 2, 3, alebo nesplnil niektorú z podmienok alebo niektoré podmienky ustanovené v § 23, § 23a ods. 2, 3.
(3)
Úrad môže uložiť pokutu od 30 000 Sk do 3 000 000 Sk prevádzkovateľovi, ktorý
a)
nesplnil povinnosť osobitnej registrácie informačného systému podľa § 27, alebo nesplnil niektorú z povinností alebo niektoré povinnosti súvisiace s osobitnou registráciou vyplývajúce z tohto zákona podľa § 28,
b)
nesplnil povinnosť registrácie informačného systému podľa tohto zákona, alebo nesplnil niektorú z povinností alebo niektoré povinnosti súvisiace s registráciou informačného systému podľa § 28,
c)
písomne nepoveril zodpovednú osobu výkonom dohľadu nad ochranou osobných údajov alebo nevie hodnoverne preukázať jej písomné poverenie podľa § 19 ods. 2, alebo nezabezpečil odborné vyškolenie zodpovednej osoby v súlade s týmto zákonom podľa § 19 ods. 3, alebo
d)
preukázateľne neumožnil, rušil, maril alebo inak sťažoval zodpovednej osobe plnenie jej povinností ustanovených týmto zákonom, alebo nerešpektoval oprávnené písomné oznámenia zodpovednej osoby podľa § 19 ods. 4, 7, 10.
(4)
Úrad môže uložiť pokutu od 10 000 Sk do 1 000 000 Sk prevádzkovateľovi, ktorý
a)
nesplnil oznamovaciu povinnosť o oprave alebo likvidácii osobných údajov podľa § 14,
b)
písomne poveril zodpovednou osobou fyzickú osobu, ktorá nespĺňa niektorú podmienku alebo niektoré podmienky ustanovené v § 19 ods. 12, alebo nevie preukázať výpisom z registra trestov bezúhonnosť zodpovednej osoby, alebo nesplnil alebo porušil niektorú z povinností alebo niektoré povinnosti ustanovené v § 19 ods. 5, 6, alebo nesplnil povinnosť uloženú úradom podľa § 19 ods. 11,
c)
nesplnil oprávnené požiadavky dotknutej osoby alebo pri ich vybavovaní nepostupoval v súlade s týmto zákonom, alebo neposkytol dotknutej osobe informácie v zákonom stanovenej lehote, alebo neinformoval dotknutú osobu spôsobom, ktorý ustanovuje zákon podľa § 20, 21,
d)
nevykonal oznámenie o obmedzení práv dotknutej osoby podľa § 22, alebo
e)
nesplnil povinnosť vedenia evidencie informačného systému podľa § 29, 30, alebo odmietol údaje z evidencie sprístupniť podľa § 32.“.
52.
V § 50 sa odsek 1 dopĺňa písmenami c) a d), ktoré znejú:
„c)
do 1 000 000 Sk, ak oznam určený na zverejnenie predsedom úradu alebo vrchným inšpektorom v hromadných informačných prostriedkoch nezverejnil vôbec, alebo nezverejnil včas, alebo nezverejnil v určenej forme alebo v určenom hromadnom informačnom prostriedku, alebo nedodržal určený obsah tohto oznamu podľa § 48 ods. 3, 4, a to opakovane až do splnenia povinnosti,
d)
do 2 000 000 Sk, ak neposkytol úradu súčinnosť podľa § 44 ods. 2, 3, 4, alebo nevyhovel požiadavkám úradu alebo úrad v určenej lehote včas neinformoval podľa § 46 ods. 1, 2.“.
53.
V § 51 ods. 2 písmeno e) znie:
„e)
prešetrenie oznámenia (§ 45),“.
54.
§ 51 sa dopĺňa odsekom 3, ktorý znie:
„(3)
Úrad zverejňuje na svojej internetovej stránke správu o stave ochrany osobných údajov po jej prerokovaní v Národnej rade Slovenskej republiky.“.
55.
§ 55 vrátane nadpisu znie:
§55 Prechodné ustanovenia k úpravám účinným od 1. mája 2005
(1)
Úrad na ochranu osobných údajov podľa doterajších predpisov je Úradom na ochranu osobných údajov Slovenskej republiky podľa tohto zákona. Ak sa v iných právnych predpisoch používa pojem „Úrad na ochranu osobných údajov" vo všetkých gramatických tvaroch, rozumie sa tým „Úrad na ochranu osobných údajov Slovenskej republiky" v príslušnom gramatickom tvare.
(2)
Písomné poverenie zodpovednej osoby vydané podľa doterajších predpisov sa považuje za písomné poverenie podľa tohto zákona, ak zodpovedná osoba spĺňa podmienky ustanovené v § 19 ods. 12, prevádzkovateľ oznámi úradu najneskôr do 30. júna 2005 údaje podľa § 19 ods. 5 a doloží potvrdenie alebo vyhlásenie o tom, že zodpovedná osoba bola odborne vyškolená.
(3)
Zodpovedná osoba, ktorá bola písomne poverená dohľadom nad ochranou osobných údajov podľa doterajších predpisov a nespĺňa podmienky ustanovené v § 19 ods. 12, musí byť odvolaná z funkcie zodpovednej osoby najneskôr do 30. júna 2005 a prevádzkovateľ je povinný písomne poveriť výkonom dohľadu inú zodpovednú osobu. Týmto nie je dotknuté ustanovenie § 19 ods. 5.
(4)
Prevádzkovatelia už fungujúcich informačných systémov, na ktoré sa podľa doterajších predpisov nevzťahovala osobitná registrácia podľa § 27, sú povinní prihlásiť ich na osobitnú registráciu najneskôr do 30. júna 2005, inak právo na spracúvanie osobných údajov v týchto informačných systémoch zanikne uplynutím tejto lehoty.
(5)
Predseda úradu do 31. decembra 2005 rozhodne o tom, či informačný systém prihlásený na registráciu a zaregistrovaný podľa doterajších predpisov možno považovať za zaregistrovaný podľa tohto zákona. Ak predseda úradu rozhodne, že takýto informačný systém nepodlieha registrácii podľa tohto zákona, úrad registráciu informačného systému zruší a v tej istej lehote zverejní na svojej internetovej stránke registračné čísla tých informačných systémov, ktorých registrácia bola zrušená.
(6)
Konania začaté a právoplatne neukončené pred nadobudnutím účinnosti tohto zákona sa dokončia podľa doterajších predpisov. Právne účinky úkonov, ktoré v konaní nastali pred nadobudnutím účinnosti tohto zákona, zostávajú zachované.
(7)
Na lehoty, ktoré v deň nadobudnutia účinnosti tohto zákona ešte neuplynuli, sa vzťahujú ustanovenia doterajších predpisov.
(8)
Prevádzkovatelia už fungujúcich informačných systémov sú povinní ich uviesť do súladu s týmto zákonom do 31. októbra 2005. Týmto nie sú dotknuté odseky 2 až 4.“.
56.
Za § 56 sa vkladá § 56a, ktorý znie:
§56a
Týmto zákonom sa preberá právny akt Európskych spoločenstiev a Európskej únie uvedený v prílohe.“.
57.
Zákon sa dopĺňa prílohou, ktorá znie:
„Príloha
k zákonu č. 428/2002 Z. z.
k zákonu č. 428/2002 Z. z.
ZOZNAM PREBERANÝCH PRÁVNYCH AKTOV EURÓPSKYCH SPOLOČENSTIEV A EURÓPSKEJ ÚNIE
Smernica Európskeho parlamentu a Rady 95/46/ES z 24. októbra 1995 o ochrane jednotlivcov pri spracúvaní osobných údajov a voľnom pohybe týchto údajov (Ú.v. ES, L 281, 23. 11. 1995) v znení nariadenia Európskeho parlamentu a Rady (ES) č. 1882/2003 z 29. septembra 2003 (Ú.v. EÚ L 284, 31. 10. 2003).“.
Čl. II
Predseda Národnej rady Slovenskej republiky sa splnomocňuje, aby v Zbierke zákonov Slovenskej republiky vyhlásil úplné znenie zákona č. 428/2002 Z. z. o ochrane osobných údajov, ako vyplýva zo zmien a doplnení vykonaných zákonom č. 602/2003 Z. z., zákonom č. 576/2004 Z. z. a týmto zákonom.
Čl. III
Tento zákon nadobúda účinnosť 1. mája 2005.
Ivan Gašparovič v. r.
Pavol Hrušovský v. r.
Mikuláš Dzurinda v. r.
Pavol Hrušovský v. r.
Mikuláš Dzurinda v. r.