Zákon o ochrane osobných údajov

Zákon č. 18/2018 Z.z.

Sledovať zmeny
Panel nástrojov

Zákon o ochrane osobných údajov

Zákon č. 18/2018 Z.z.

§ 46 – Úlohy zodpovednej osoby

Trvalý odkaz
Jednoducho
(1)
Zodpovedná osoba najmä:
a)
Informuje a radí prevádzkovateľovi, sprostredkovateľovi a ich zamestnancom o povinnostiach podľa zákona, osobitných predpisov a medzinárodných zmlúv na ochranu osobných údajov.
b)
Kontroluje, či sa dodržiavajú zákony a pravidlá na ochranu údajov. Dozerá na rozdelenie úloh, školenie zamestnancov a kontroly spracovania.
c)
Na požiadanie radí pri posudzovaní vplyvu spracovania na ochranu údajov a sleduje jeho vykonávanie podľa § 42.
d)
Spolupracuje s Úradom na ochranu osobných údajov pri plnení jeho úloh.
e)
Je kontaktným miestom pre Úrad v otázkach spracovania údajov. Zabezpečuje predchádzajúce konzultácie podľa § 43 a prípadne aj ďalšie konzultácie.
(2)
Pri výkone svojich úloh zodpovedná osoba primerane zohľadňuje riziká spojené so spracovaním údajov. Berie do úvahy povahu, rozsah, kontext a účel spracovania.
Originál
(1)
Zodpovedná osoba najmä
a)
poskytuje informácie a poradenstvo prevádzkovateľovi alebo sprostredkovateľovi a zamestnancom, ktorí vykonávajú spracúvanie osobných údajov, o ich povinnostiach podľa tohto zákona, osobitných predpisov alebo medzinárodných zmlúv, ktorými je Slovenská republika viazaná, týkajúcich sa ochrany osobných údajov,
b)
monitoruje súlad s týmto zákonom, osobitnými predpismi alebo medzinárodnými zmluvami, ktorými je Slovenská republika viazaná, týkajúcimi sa ochrany osobných údajov a s pravidlami prevádzkovateľa alebo sprostredkovateľa súvisiacimi s ochranou osobných údajov vrátane rozdelenia povinností, zvyšovania povedomia a odbornej prípravy osôb, ktoré sú zapojené do spracovateľských operácií a súvisiacich auditov ochrany osobných údajov,
c)
poskytuje na požiadanie poradenstvo, ak ide o posúdenie vplyvu na ochranu osobných údajov a monitorovanie jeho vykonávania podľa § 42 ,
d)
spolupracuje s úradom pri plnení svojich úloh,
e)
plní úlohy kontaktného miesta pre úrad v súvislosti s otázkami týkajúcimi sa spracúvania osobných údajov vrátane predchádzajúcej konzultácie podľa § 43 a podľa potreby aj konzultácie v iných veciach.
(2)
Zodpovedná osoba pri výkone svojich úloh náležite zohľadňuje riziko spojené so spracovateľskými operáciami, pričom berie do úvahy povahu, rozsah, kontext a účel spracúvania osobných údajov.

§ 47 – Všeobecná zásada prenosu

Trvalý odkaz
Jednoducho

Osobné údaje, ktoré sa spracúvajú alebo majú byť spracované po prenose, sa môžu poslať do krajiny mimo EÚ alebo medzinárodnej organizácie len za určitých podmienok. Tieto podmienky musia dodržať prevádzkovateľ aj sprostredkovateľ. Platia tiež pre prípad, keď sa tieto údaje posielajú ďalej z tejto krajiny alebo organizácie do ďalšej krajiny mimo EÚ.

Originál

Prenos osobných údajov, ktoré sa spracúvajú alebo sú určené na spracúvanie po prenose do tretej krajiny alebo medzinárodnej organizácii, sa môže uskutočniť len vtedy, ak prevádzkovateľ a sprostredkovateľ dodržiavajú podmienky vrátane podmienok následného prenosu osobných údajov z predmetnej tretej krajiny alebo od predmetnej medzinárodnej organizácie do inej tretej krajiny alebo inej medzinárodnej organizácii.

§ 48 – Prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii

Trvalý odkaz
Jednoducho
(1)
Osobné údaje možno poslať do zahraničia alebo medzinárodnej organizácii, ak Európska komisia rozhodla, že táto krajina alebo organizácia zabezpečuje dostatočnú ochranu. Taký prenos nevyžaduje zvláštne povolenie.
(2)
Ak komisia také rozhodnutie nevydala, údaje možno poslať len so zabezpečením primeraných záruk ochrany.
(3)
Tieto záruky možno nastaviť bez toho, aby ste žiadali úrad o povolenie, prostredníctvom:
a)
medzinárodnej zmluvy, ktorou je Slovensko viazané,
b)
vnútropodnikových pravidiel podľa § 49,
c)
štandardnej doložky o ochrane údajov, ktorú prijala komisia,
d)
štandardnej doložky, ktorú prijal úrad,
e)
schváleného kódexu správania podľa § 85 spolu so záväzkom prevádzkovateľa alebo sprostredkovateľa v zahraničí uplatňovať tieto záruky vrátane práv dotknutej osoby, alebo
f)
certifikátu podľa § 86 spolu so záväzkom prevádzkovateľa alebo sprostredkovateľa v zahraničí uplatňovať tieto záruky vrátane práv dotknutej osoby.
(4)
Primerané záruky možno zabezpečiť aj na základe povolenia úradu, najmä:
a)
zmluvnými doložkami medzi prevádzkovateľom alebo sprostredkovateľom a príjemcom v zahraničí alebo medzinárodnej organizácii, alebo
b)
ustanoveniami v dohodách medzi štátnymi orgánmi a verejnými inštitúciami, ktoré zahŕňajú účinné prostriedky na uplatnenie práva dotknutej osoby podať návrh na začatie konania podľa § 100 a na inú právnu ochranu podľa osobitného predpisu.
Originál
(1)
Prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii sa môže uskutočniť, ak Komisia rozhodla, že tretia krajina, územie alebo jeden či viaceré určené odvetvia v danej tretej krajine alebo medzinárodná organizácia zaručujú primeranú úroveň ochrany osobných údajov. Taký prenos nevyžaduje osobitné povolenie.
(2)
Ak neexistuje rozhodnutie Komisie podľa odseku 1, prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii sa môže uskutočniť len vtedy, ak sa poskytnú primerané záruky ochrany osobných údajov.
(3)
Primerané záruky podľa odseku 2 sa môžu ustanoviť bez toho, aby bolo potrebné žiadať úrad o osobitné povolenie, prostredníctvom
a)
medzinárodnej zmluvy, ktorou je Slovenská republika viazaná,
b)
vnútropodnikových pravidiel podľa § 49 ,
c)
štandardnej doložky o ochrane údajov, ktoré prijala Komisia,
d)
štandardnej doložky o ochrane údajov, ktoré prijal úrad,
e)
schváleného kódexu správania podľa § 85 spolu so záväzkami prevádzkovateľa alebo sprostredkovateľa v tretej krajine spočívajúcimi v uplatňovaní primeraných záruk, a to aj ak ide o práva dotknutej osoby, alebo
f)
certifikátu podľa § 86 spolu so záväzkom prevádzkovateľa alebo sprostredkovateľa v tretej krajine spočívajúcim v uplatňovaní primeraných záruk, a to aj ak ide o práva dotknutej osoby.
(4)
Primerané záruky podľa odseku 2 sa môžu tiež zabezpečiť na základe povolenia úradu najmä
a)
zmluvnými doložkami medzi prevádzkovateľom alebo sprostredkovateľom a prevádzkovateľom, sprostredkovateľom alebo príjemcom v tretej krajine alebo medzinárodnej organizácii, alebo
b)
ustanoveniami v administratívnych dohodách medzi orgánmi verejnej moci alebo verejnoprávnymi inštitúciami, ktoré zahŕňajú účinné prostriedky na uplatnenie práva dotknutej osoby na podanie návrhu na začatie konania podľa § 100 a na inú právnu ochranu podľa osobitného predpisu. 19 )

§ 49 – Vnútropodnikové pravidlá

Trvalý odkaz
Jednoducho
(1)
Úrad schváli interné pravidlá skupiny firiem, ak:
a)
platia pre každého člena skupiny vrátane zamestnancov a všetci ich dodržiavajú,
b)
upravujú, ako si uplatňuje práva človek, ktorému patria údaje, a
c)
spĺňajú požiadavky z odseku 2.
(2)
Tieto pravidlá musia obsahovať aspoň:
a)
štruktúru a kontaktné údaje skupiny a každého jej člena,
b)
aké údaje sa prenášajú, aký typ spracovania a na aký účel, koho sa to týka a do ktorej tretej krajiny údaje idú,
c)
záväznosť pravidiel pre toho, kto údaje spracúva, aj pre sprostredkovateľa,
d)
dodržiavanie zásad ochrany údajov: obmedzenie účelu, čo najmenej údajov, kratšie uchovávanie, kvalita údajov, špeciálna aj bežná ochrana, právny základ spracovania, spracovanie citlivých údajov, bezpečnostné opatrenia a pravidlá pre ďalší prenos údajov subjektom mimo tejto skupiny,
e)
práva človeka, ktorému patria údaje, a ako si ich uplatní – vrátane práva, aby o ňom nerozhodoval iba počítač (podľa § 28), práva podať sťažnosť (podľa § 100), práva na inú právnu ochranu a náhrady škody za porušenie týchto pravidiel,
f)
vyhlásenie, že firma so sídlom na Slovensku zodpovedá za porušenie pravidiel aj členmi skupiny mimo EÚ; zbaví sa zodpovednosti len ak dokáže, že škodu nespôsobila,
g)
ako sa informuje človek o týchto pravidlách (najmä o bodoch d až f) okrem spôsobov podľa § 19 a 20,
h)
kto kontroluje dodržiavanie pravidiel, školenia a vybavuje sťažnosti (zodpovedná osoba alebo iný subjekt),
i)
postup pri podávaní sťažností,
j)
systém kontroly dodržiavania pravidiel v rámci skupiny vrátane auditov a nápravných opatrení; výsledky sa oznámia zodpovednej osobe, vedeniu hlavnej firmy a na požiadanie aj úradu,
k)
ako sa zmeny pravidiel zaznamenávajú a oznamujú úradu,
l)
ako sa spolupracuje s úradom, najmä sa mu poskytujú výsledky kontrol z bodu j,
m)
ako sa oznamujú právne predpisy v tretej krajine, ktoré by mohli ohroziť ochranu údajov podľa týchto pravidiel, a
n)
odborné školenie ľudí, ktorí prichádzajú do styku s osobnými údajmi.
Originál
(1)
Úrad schváli vnútropodnikové pravidlá, ak
a)
sa vzťahujú na každého člena skupiny podnikov alebo zoskupenia podnikov zapojených do spoločnej hospodárskej činnosti vrátane ich zamestnancov a títo členovia ich uplatňujú,
b)
sa nimi upravujú vnútorné postupy pre uplatnenie práv dotknutej osoby, ak ide o spracúvanie osobných údajov, a
c)
spĺňajú požiadavky podľa odseku 2.
(2)
Vo vnútropodnikových pravidlách sa uvedie aspoň
a)
štruktúra a kontaktné údaje skupiny podnikov alebo zoskupenia podnikov zapojených do spoločnej hospodárskej činnosti a každého z ich členov,
b)
prenos osobných údajov alebo súbor prenosov vrátane kategórií osobných údajov, typu spracúvania a jeho účelov, typu dotknutých osôb a identifikácia predmetnej tretej krajiny alebo krajín,
c)
ich záväznosť pre prevádzkovateľa a sprostredkovateľa,
d)
uplatňovanie všeobecných zásad ochrany osobných údajov, najmä obmedzenie účelu, minimalizácia osobných údajov, obmedzenie lehoty uchovávania, kvalita osobných údajov, špecificky navrhnutá a štandardná ochrana osobných údajov, právny základ pre spracúvanie osobných údajov, spracúvanie osobitných kategórií osobných údajov, opatrenia na zaistenie bezpečnosti osobných údajov, ako aj požiadavky v súvislosti s následnými prenosmi subjektom, ktoré nie sú viazané vnútropodnikovými pravidlami,
e)
právo dotknutej osoby v súvislosti so spracúvaním osobných údajov a prostriedky na uplatnenie týchto práv vrátane práva na to, aby sa na ne nevzťahovalo rozhodovanie založené výlučne na automatizovanom spracúvaní vrátane profilovania podľa § 28 , práva na podanie návrhu na začatie konania podľa § 100 a na inú právnu ochranu práva podľa osobitného predpisu 19 ) a práva na náhradu škody za porušenie vnútropodnikových pravidiel,
f)
vyhlásenie, že prevádzkovateľ alebo sprostredkovateľ so sídlom, organizačnou zložkou, prevádzkarňou alebo trvalým pobytom na území Slovenskej republiky prijíma zodpovednosť za porušenia vnútropodnikových pravidiel ktorýmkoľvek z dotknutých členov, ktorý nemá sídlo, organizačnú zložku, prevádzkareň alebo trvalý pobyt v členskom štáte; prevádzkovateľ alebo sprostredkovateľ je úplne oslobodený alebo čiastočne oslobodený od tejto zodpovednosti, len ak preukáže, že spôsobenú škodu nezavinil,
g)
spôsob, akým sa okrem spôsobov podľa § 19 a 20 poskytujú dotknutej osobe informácie o vnútropodnikových pravidlách, najmä ak ide o ustanovenia podľa písmen d) až f),
h)
úloha zodpovednej osoby alebo inej osoby alebo subjektu zodpovedného za monitorovanie dodržiavania vnútropodnikových pravidiel, ako aj za monitorovanie odbornej prípravy a vybavovania sťažností,
i)
postup týkajúci sa podávania sťažností,
j)
mechanizmus, ktorý má v rámci skupiny podnikov alebo zoskupenia podnikov zapojených do spoločnej hospodárskej činnosti zabezpečiť overovanie dodržiavania vnútropodnikových pravidiel a ktorý zahŕňa audity ochrany osobných údajov a metódy na zabezpečenie opatrení na nápravu s cieľom chrániť práva dotknutej osoby; výsledky overovania oznamujú zodpovednej osobe alebo subjektu uvedenému v písmene h) a štatutárnemu orgánu riadiaceho podniku skupiny podnikov alebo zoskupenia podnikov zapojených do spoločnej hospodárskej činnosti a na požiadanie poskytujú úradu,
k)
mechanizmus ohlasovania a zaznamenávania zmien pravidiel a ohlasovania týchto zmien úradu,
l)
mechanizmus spolupráce s úradom na zabezpečenie dodržiavania pravidiel, najmä poskytovania výsledkov overovania podľa písmena j) úradu,
m)
mechanizmus ohlasovania právnych požiadaviek, ktorým prevádzkovateľ alebo sprostredkovateľ podlieha v tretej krajine a ktoré pravdepodobne budú mať podstatné nepriaznivé následky na záruky poskytované vnútropodnikovými pravidlami úradu, a
n)
primeraná odborná príprava fyzických osôb, ktoré majú stály alebo pravidelný prístup k osobným údajom, v oblasti ochrany osobných údajov.

§ 50 – Prenos alebo poskytnutie osobných údajov, ktoré právny poriadok v Slovenskej republike nepovoľuje

Trvalý odkaz
Jednoducho

Rozhodnutie súdu alebo úradu z krajiny mimo Európskej únie, ktoré žiada od firmy údaje o ľuďoch, platí na Slovensku len vtedy, ak to umožňuje zmluva medzi Slovenskom (alebo EÚ) a tou krajinou.

Originál

Rozhodnutie súdu, rozhodnutie tribunálu alebo rozhodnutie správneho orgánu tretej krajiny, ktoré od prevádzkovateľa alebo sprostredkovateľa vyžaduje preniesť osobné údaje alebo poskytnúť osobné údaje, môže byť uznané alebo vykonateľné len vtedy, ak je v súlade s medzinárodnou zmluvou uzavretou s treťou krajinou, ktorou je Slovenská republika alebo Európska únia viazaná.

Načítané 5 z 113 paragrafov