Zákon o ochrane osobných údajov

Zákon č. 18/2018 Z.z.

Sledovať zmeny
Panel nástrojov

Zákon o ochrane osobných údajov

Zákon č. 18/2018 Z.z.

§ 101 – Lehoty v konaní úradu

Trvalý odkaz
Jednoducho
(1)
Úrad rozhodne do 90 dní od začatia konania. Ak je to potrebné, termín predĺži najviac o 180 dní. O predĺžení účastníkov písomne informuje.
(2)
Ak sa počas konania robí kontrola, termín na rozhodnutie sa nepočíta. Nebeží od začatia do ukončenia kontroly.
(3)
Ak úrad zistí, že sú splnené podmienky na prerušenie konania podľa osobitného predpisu, konanie preruší. Účastníkov o tom informuje.
Originál
(1)
Úrad rozhodne v konaní do 90 dní odo dňa začatia konania. V odôvodnených prípadoch úrad túto lehotu primerane predĺži, najviac však o 180 dní. O predĺžení lehoty úrad písomne informuje účastníkov konania.
(2)
Ak je počas konania potrebné vykonať kontrolu, lehota na vydanie rozhodnutia podľa odseku 1 neplynie odo dňa začatia kontroly do dňa ukončenia kontroly.
(3)
Ak počas konania úrad zistí splnenie podmienok na prerušenie konania podľa osobitného predpisu, 48 ) úrad konanie preruší, o čom informuje účastníkov konania.

§ 102 – Rozhodnutie úradu o porušení ochrany údajov

Trvalý odkaz
Jednoducho
(1)
Ak úrad zistí, že účastník konania porušil práva človeka alebo nesplnil povinnosti pri spracúvaní osobných údajov, môže rozhodnutím:
a)
nariadiť nápravu a stanoviť lehotu, ak je to potrebné,
b)
zrušiť záväznosť kódexu správania,
c)
odňať certifikát,
d)
nariadiť certifikačnej organizácii odňať certifikát,
e)
odňať osvedčenie o akreditácii,
f)
uložiť pokutu podľa § 104.
(2)
Ak úrad nezistí žiadne porušenie alebo nesplnenie povinností, konanie zastaví.
(3)
Úrad môže prevádzkovateľovi alebo sprostredkovateľovi nariadiť:
a)
odstrániť chyby a ich príčiny v danej lehote,
b)
zaviesť technické a organizačné opatrenia na ochranu údajov podľa rizík,
c)
posúdiť vplyv spracovania na ochranu osobných údajov.
(4)
Ak porušenie práv neznesie odklad, úrad vydá predbežné opatrenie.
(5)
Prevádzkovateľ alebo sprostredkovateľ musí písomne oznámiť úradu, že splnil nariadené opatrenia v stanovenej lehote.
Originál
(1)
Ak úrad zistí porušenie práv dotknutej osoby alebo nesplnenie povinností pri spracúvaní osobných údajov ustanovených týmto zákonom alebo osobitným predpisom 2 ) pre oblasť ochrany osobných údajov účastníkom konania, rozhodnutím môže
a)
uložiť opatrenia na nápravu a lehotu na vykonanie nariadeného opatrenia podľa odseku 3, ak je to dôvodné a účelné,
b)
zrušiť záväznosť schváleného kódexu správania pre prevádzkovateľa alebo sprostredkovateľa, ktorý sa zaviazal dodržiavať schválený kódex správania,
c)
odňať certifikát,
d)
nariadiť certifikačnému subjektu odňatie certifikátu,
e)
odňať osvedčenie o udelení akreditácie,
f)
uložiť pokutu podľa § 104 .
(2)
Ak úrad v konaní nerozhodne podľa odseku 1, ak sa v konaní nepreukáže porušenie práv dotknutej osoby alebo ak sa nepreukáže nesplnenie povinností pri spracúvaní osobných údajov ustanovených týmto zákonom alebo osobitným predpisom 2 ) účastníkom konania, úrad konanie zastaví.
(3)
Úrad je oprávnený uložiť povinnosť prevádzkovateľovi alebo sprostredkovateľovi, najmä nariadiť
a)
odstránenie zistených nedostatkov a príčin ich vzniku v úradom určenej lehote,
b)
prijatie technických a organizačných opatrení s cieľom zaistiť úroveň bezpečnosti primeranú rizikám pre práva fyzických osôb,
c)
posúdenie vplyvu spracovateľských operácií na ochranu osobných údajov v súlade s týmto zákonom alebo osobitným predpisom. 2 )
(4)
Ak porušenie práv dotknutej osoby alebo nesplnenie povinností pri spracúvaní osobných údajov neznesie odklad, úrad vydá predbežné opatrenie.
(5)
Prevádzkovateľ alebo sprostredkovateľ je povinný písomne informovať úrad o splnení uložených opatrení v úradom určenej lehote.

§ 103 – Rozklad proti rozhodnutiu úradu

Trvalý odkaz
Jednoducho
(1)
Proti rozhodnutiu podľa § 102 môžete podať rozklad. O ňom rozhodne predseda úradu.
(2)
Rozklad môžete doplniť alebo rozšíriť o ďalšie návrhy alebo body len v lehote na jeho podanie.
Originál
(1)
Proti rozhodnutiu podľa § 102 možno podať rozklad, o ktorom rozhodne predseda úradu.
(2)
Podávateľ rozkladu môže rozšíriť podaný rozklad alebo doplniť podaný rozklad o ďalší návrh alebo o ďalšie body len v lehote určenej na podanie rozkladu.

§ 104 – Výška pokút za porušenie ochrany údajov

Trvalý odkaz
Jednoducho
(1)
Úrad môže dať pokutu až 10 miliónov eur. Ak ide o firmu, tak do výšky 2 % z jej celkového svetového obratu za minulý rok – platí vyššia suma. Týka sa to:
a)
prevádzkovateľa (vrátane štátnych úradov a inštitúcií), ktorý porušil povinnosti podľa zákona alebo nariadenia GDPR,
b)
príslušného orgánu, ktorý porušil povinnosti podľa § 67 až 72,
c)
sprostredkovateľa (vrátane štátnych úradov a inštitúcií), ktorý porušil povinnosti podľa zákona alebo GDPR,
d)
certifikačného subjektu, ktorý porušil povinnosti podľa § 88 a 89 alebo GDPR,
e)
monitorujúceho subjektu, ktorý porušil povinnosti podľa § 87 alebo GDPR.
(2)
Úrad môže dať pokutu až 20 miliónov eur. Ak ide o firmu, tak do výšky 4 % z jej celkového svetového obratu za minulý rok – platí vyššia suma. Pokutu dostane ten, kto:
a)
porušil základné pravidlá spracovania osobných údajov vrátane podmienok súhlasu,
b)
porušil práva dotknutej osoby,
c)
porušil pravidlá pri prenose údajov do tretej krajiny alebo medzinárodnej organizácie,
d)
porušil povinnosti pri zákonom povolenom spracovaní údajov podľa § 78,
e)
nedodržal príkaz úradu alebo dočasné či trvalé obmedzenie spracovania či prenosu údajov, alebo odmietol poskytnúť prístup k údajom.
(3)
Ak niekto nesplnil opatrenie nariadené úradom podľa § 102 ods. 1 písm. a) alebo podľa GDPR, úrad mu môže dať pokutu až 20 miliónov eur. Ak ide o firmu, tak do výšky 4 % z jej celkového svetového obratu za minulý rok – platí vyššia suma.
Originál
(1)
Úrad môže uložiť pokutu do 10 000 000 eur, alebo ak ide o podnik do 2 % celkového svetového ročného obratu za predchádzajúci účtovný rok, podľa toho, ktorá suma je vyššia,
a)
prevádzkovateľovi, vrátane orgánu verejnej moci a verejnoprávnym inštitúciám, za neplnenie alebo porušenie niektorej z povinností podľa § 15 , § 18 , § 31 až 35 , § 37 , § 39 až 45 , § 79 a § 109 alebo podľa čl. 8, čl. 11, čl. 25 až 39, čl. 42 a čl. 43 nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (Ú. v. EÚ L 119, 4. 5. 2016) (ďalej len „nariadenie (EÚ) 2016/679“),
b)
príslušnému orgánu za neplnenie alebo porušenie niektorej z povinností podľa § 67 až 72 ,
c)
sprostredkovateľovi vrátane orgánu verejnej moci a verejnoprávnej inštitúcii v postavení sprostredkovateľa, za neplnenie alebo porušenie niektorej z povinností podľa § 34 až 37 , § 39 , § 40 ods. 3 , § 44, § 45 , § 69 ods. 3 , § 71 , § 79 a § 109 alebo podľa čl. 27 až 33, čl. 37 až 39, čl. 42 a čl. 43 nariadenia (EÚ) 2016/679,
d)
certifikačnému subjektu za neplnenie alebo porušenie niektorej z povinností podľa § 88 a 89 alebo podľa čl. 42 a 43 nariadenia (EÚ) 2016/679,
e)
monitorujúcemu subjektu za neplnenie alebo porušenie niektorej z povinností podľa § 87 ods. 5 a 19 alebo podľa čl. 41 ods. 4 nariadenia (EÚ) 2016/679.
(2)
Úrad môže uložiť pokutu do 20 000 000 eur, alebo ak ide o podnik do 4 % celkového svetového ročného obratu za predchádzajúci účtovný rok, podľa toho, ktorá suma je vyššia, tomu, kto
a)
nesplnil alebo porušil niektorú zo základných zásad spracúvania osobných údajov vrátane podmienok súhlasu podľa § 6 až 14 , § 16 a § 52 až 58 alebo podľa čl. 5 až 7 a čl. 9 nariadenia (EÚ) 2016/679,
b)
nesplnil alebo porušil niektoré z práv dotknutej osoby podľa § 19 až 29 a § 59 až 66 alebo podľa čl. 12 až 22 nariadenia (EÚ) 2016/679,
c)
nesplnil alebo porušil niektorú z povinností pri prenose osobných údajov príjemcovi v tretej krajine alebo medzinárodnej organizácii podľa § 49 až 51 a § 73 až 77 alebo podľa čl. 44 až 49 nariadenia (EÚ) 2016/679,
d)
nesplnil alebo porušil niektorú z povinností zákonného spracúvania osobných údajov podľa § 78 ,
e)
nesplnil príkaz alebo nedodržal dočasné alebo trvalé obmedzenie spracúvania osobných údajov alebo pozastavenie prenosu osobných údajov nariadeného úradom podľa § 81 ods. 3 alebo podľa čl. 58 ods. 2 nariadenia (EÚ) 2016/679 alebo v rozpore s čl. 58 ods. 1 nariadenia (EÚ) 2016/679 neposkytol prístup.
(3)
Tomu, kto nesplnil úradom uložené opatrenie podľa § 102 ods. 1 písm. a) alebo čl. 58 ods. 2 nariadenia (EÚ) 2016/679, môže úrad uložiť pokutu do 20 000 000 eur, alebo ak ide o podnik do 4 % celkového svetového ročného obratu za predchádzajúci účtovný rok, podľa toho, ktorá suma je vyššia.

§ 105 – Pokuty za maranie kontroly úradu

Trvalý odkaz
Jednoducho
(1)
Úrad môže pokutovať kohokoľvek (kto nie je prevádzkovateľ ani sprostredkovateľ), ak neposkytne požadovanú pomoc pri kontrole podľa § 109 alebo osobitného zákona. Pokuta môže byť až 2 000 eur.
(2)
Prevádzkovateľovi, sprostredkovateľovi alebo ich zástupcovi môže úrad dať pokutu:
a)
až 2 000 eur, ak nezabezpečí primerané podmienky na kontrolu podľa § 94 písm. a),
b)
až 10 000 eur, ak marí výkon kontroly podľa § 94 písm. b) až h).
Originál
(1)
Úrad môže uložiť poriadkovú pokutu do 2 000 eur osobe, ktorá nie je prevádzkovateľom alebo sprostredkovateľom, za neposkytnutie požadovanej súčinnosti úradu pri výkone dozoru podľa § 109 alebo osobitného predpisu. 2 )
(2)
Úrad môže uložiť poriadkovú pokutu prevádzkovateľovi alebo sprostredkovateľovi, prípadne zástupcovi prevádzkovateľa alebo sprostredkovateľa
a)
do 2 000 eur, ak nezabezpečí primerané podmienky na výkon kontroly podľa § 94 písm. a) ,
b)
do 10 000 eur, ak marí výkon kontroly podľa § 94 písm. b) až h) .

Načítané 5 z 113 paragrafov