Zákon o ochrane osobných údajov

Rozhodnutie príslušného orgánu, ktoré má na dotknutú osobu nepriaznivé právne účinky, nesmie byť založené výlučne na automatizovanom spracúvaní osobných údajov vrátane profilovania, ak osobitný predpis alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná, neustanovuje inak. Osobitým predpisom alebo medzinárodnou zmluvou, ktorou je Slovenská republika viazaná, musia byť ustanovené primerané záruky ochrany práv dotknutej osoby, najmä právo na overenie rozhodnutia nie automatizovaným spôsobom zo strany príslušného orgánu.

Rozhodnutie podľa odseku 1 nesmie byť založené na osobitných kategóriách osobných údajov, ak sa neuplatňujú vhodné opatrenia na zaručenie práv a oprávnených záujmov dotknutej osoby.

Profilovanie, ktoré vedie k diskriminácii osôb na základe osobitných kategórií osobných údajov, sa zakazuje.

Príslušný orgán raz za tri roky preverí, či sú spracúvané osobné údaje naďalej potrebné na plnenie úloh na účely trestného konania, ak osobitný predpis neustanovuje inak.

Príslušný orgán vedie záznamy o spracovateľských činnostiach, za ktoré je zodpovedný. Záznamy o spracovateľských činnostiach musia obsahovať okrem informácií podľa § 37 aj informácie o

Príslušný orgán pri získavaní, zmene, prehliadaní, poskytovaní vrátane prenosu, kombinovaní a vymazaní osobných údajov v systéme automatizovaného spracúvania uchováva logy. Z logov o prehliadaní a poskytovaní musí byť možné určiť dôvod, dátum a čas prehliadania alebo poskytovania a identifikačné údaje osoby, ktorá tieto osobné údaje prehliadala alebo ich poskytovala, ako aj totožnosť príjemcov.

Príslušný orgán využíva a uchováva logy výlučne na účely overovania zákonnosti spracúvania osobných údajov, vlastného monitorovania, na účely zabezpečenia integrity a bezpečnosti osobných údajov a na účely trestného konania.

Príslušný orgán a sprostredkovateľ príslušného orgánu na požiadanie sprístupnia logy úradu, ak sú dostupné.

Príslušný orgán uskutoční s úradom konzultáciu pred spracúvaním osobných údajov, ktoré má tvoriť súčasť nového informačného systému, ak je z posúdenia vplyvu na ochranu osobných údajov podľa § 42 zrejmé, že toto spracúvanie povedie k vysokému riziku pre práva fyzických osôb, ak príslušný orgán neprijme opatrenia na zmiernenie tohto rizika alebo sa s typom spracúvania, najmä s využitím nových technológií, mechanizmov alebo postupov, spája vysoké riziko porušenia práv dotknutej osoby.

Príslušný orgán spolu so žiadosťou o predchádzajúcu konzultáciu poskytne úradu aj posúdenie vplyvu na ochranu osobných údajov podľa § 42 , ktoré vykonal, a na požiadanie úradu aj ďalšie informácie, ktoré úradu umožnia posúdiť súlad spracúvania osobných údajov s týmto zákonom a najmä riziká z hľadiska ochrany osobných údajov dotknutej osoby a súvisiacich záruk.

Ak sa úrad domnieva, že by zamýšľané spracúvanie osobných údajov podľa odseku 1 bolo nezákonné, najmä ak príslušný orgán nedostatočne identifikoval riziko alebo zmiernil riziko, úrad do šiestich týždňov od prijatia žiadosti o konzultáciu poskytne príslušnému orgánu, prípadne aj sprostredkovateľovi, písomné poradenstvo. Úrad môže s ohľadom na zložitosť zamýšľaného spracúvania osobných údajov predĺžiť lehotu podľa predchádzajúcej vety o jeden mesiac; predĺženie lehoty a dôvody predĺženia úrad oznámi prevádzkovateľovi, prípadne aj sprostredkovateľovi, do jedného mesiaca od prijatia žiadosti o konzultáciu. Lehota na poskytnutie poradenstva úradom neplynie dovtedy, kým úrad nezíska informácie, o ktoré požiadal na účely predchádzajúcej konzultácie.

Ďalšie spracovateľské operácie pre príslušný orgán, ktoré podliehajú povinnosti uskutočniť predchádzajúce konzultácie podľa odseku 1, ustanoví všeobecne záväzný právny predpis, ktorý vydá úrad.