Zákon o ochrane osobných údajov

Zákon č. 18/2018 Z.z.

Sledovať zmeny
Panel nástrojov

Zákon o ochrane osobných údajov

Zákon č. 18/2018 Z.z.

§ 16 – Spracúvanie osobitných kategórií osobných údajov

Trvalý odkaz
Jednoducho
(1)
Spracovanie citlivých údajov je zakázané. Citlivé údaje sú informácie o rasovom alebo etnickom pôvode, politických názoroch, náboženskom vyznaní, filozofickom presvedčení, členstve v odboroch, genetických a biometrických údajoch, zdravotnom stave, sexuálnom živote alebo sexuálnej orientácii človeka.
(2)
Tento zákaz neplatí, ak:
a)
človek dal jasný súhlas na konkrétny účel; súhlas je neplatný, ak ho zákon zakazuje,
b)
ide o pracovné právo, sociálne zabezpečenie, sociálnu ochranu alebo verejné zdravotné poistenie podľa zákona, medzinárodnej zmluvy alebo kolektívnej zmluvy, ak tieto právne predpisy dostatočne chránia práva človeka,
c)
ide o ochranu života, zdravia alebo majetku človeka, ktorý nemôže dať súhlas,
d)
ide o činnosť občianskych združení, nadácií, neziskoviek, politických strán, odborov, cirkví alebo náboženských spoločností pre ich členov alebo ľudí, s ktorými pravidelne komunikujú; údaje slúžia len pre ich vnútornú potrebu a nedajú sa iným bez písomného alebo inak preukázateľného súhlasu človeka,
e)
človek sám zverejnil svoje údaje,
f)
ide o uplatnenie právneho nároku alebo súdne konanie,
g)
ide o verejný záujem podľa zákona alebo medzinárodnej zmluvy, ktoré sú primerané, rešpektujú podstatu práva na ochranu údajov a stanovujú konkrétne opatrenia na ochranu práv človeka,
h)
ide o pracovnú medicínu, zdravotnú starostlivosť alebo verejné zdravotné poistenie, ak to robí lekár, zdravotná poisťovňa alebo iná oprávnená osoba viazaná mlčanlivosťou a profesijnou etikou,
i)
ide o sociálne poistenie, sociálne zabezpečenie policajtov a vojakov, štátne sociálne dávky, podporu zamestnanosti, sociálne služby, ochranu detí, sociálnu kuratelu, pomoc v hmotnej núdzi alebo pracovnoprávne povinnosti podľa zákona alebo medzinárodnej zmluvy,
j)
ide o verejný záujem v oblasti zdravia, napríklad ochranu pred vážnymi cezhraničnými hrozbami alebo kvalitu zdravotnej starostlivosti, liekov a pomôcok podľa zákona alebo medzinárodnej zmluvy, ktoré chránia práva človeka, najmä mlčanlivosťou,
k)
ide o archívy, vedu, historický výskum alebo štatistiku podľa zákona alebo medzinárodnej zmluvy, ktoré sú primerané, rešpektujú ochranu údajov a chránia práva človeka.
Originál
(1)
Zakazuje sa spracúvanie osobitných kategórií osobných údajov. Osobitnými kategóriami osobných údajov sú údaje, ktoré odhaľujú rasový pôvod alebo etnický pôvod, politické názory, náboženskú vieru, filozofické presvedčenie, členstvo v odborových organizáciách, genetické údaje, biometrické údaje, údaje týkajúce sa zdravia alebo údaje týkajúce sa sexuálneho života alebo sexuálnej orientácie fyzickej osoby.
(2)
Zákaz spracúvania osobitných kategórií osobných údajov neplatí, ak
a)
dotknutá osoba vyjadrila výslovný súhlas so spracúvaním týchto osobných údajov aspoň na jeden konkrétny účel; súhlas je neplatný, ak jeho poskytnutie vylučuje osobitný predpis,
b)
spracúvanie je nevyhnutné na účel plnenia povinností a výkonu osobitných práv prevádzkovateľa alebo dotknutej osoby v oblasti pracovného práva, práva sociálneho zabezpečenia, sociálnej ochrany alebo verejného zdravotného poistenia podľa osobitného predpisu, 11 ) medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, alebo podľa kolektívnej zmluvy, ak poskytujú primerané záruky ochrany základných práv a záujmov dotknutej osoby,
c)
spracúvanie je nevyhnutné na ochranu života, zdravia alebo majetku dotknutej osoby alebo inej fyzickej osoby, ak dotknutá osoba nie je fyzicky spôsobilá alebo právne spôsobilá vyjadriť svoj súhlas,
d)
spracúvanie vykonáva v rámci oprávnenej činnosti občianske združenie, nadácia alebo nezisková organizácia poskytujúca všeobecne prospešné služby, politická strana alebo politické hnutie, odborová organizácia, štátom uznaná cirkev alebo náboženská spoločnosť a toto spracúvanie sa týka iba ich členov alebo tých fyzických osôb, ktoré sú s nimi vzhľadom na ich ciele v pravidelnom styku, osobné údaje slúžia výlučne pre ich vnútornú potrebu a nebudú poskytnuté príjemcovi bez písomného alebo inak hodnoverne preukázateľného súhlasu dotknutej osoby,
e)
spracúvanie sa týka osobných údajov, ktoré dotknutá osoba preukázateľne zverejnila,
f)
spracúvanie je nevyhnutné na uplatnenie právneho nároku, 12 ) alebo pri výkone súdnej právomoci,
g)
spracúvanie je nevyhnutné z dôvodu verejného záujmu na základe tohto zákona, osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, ktoré sú primerané vzhľadom na sledovaný cieľ, rešpektujú podstatu práva na ochranu osobných údajov a ustanovujú vhodné a konkrétne opatrenia na zabezpečenie základných práv a záujmov dotknutej osoby,
h)
spracúvanie je nevyhnutné na účel preventívneho pracovného lekárstva, poskytovania zdravotnej starostlivosti a služieb súvisiacich s poskytovaním zdravotnej starostlivosti alebo na účel vykonávania verejného zdravotného poistenia, ak tieto údaje spracúva poskytovateľ zdravotnej starostlivosti, zdravotná poisťovňa, osoba vykonávajúca služby súvisiace s poskytovaním zdravotnej starostlivosti alebo osoba vykonávajúca dohľad nad zdravotnou starostlivosťou a v jej mene odborne spôsobilá oprávnená osoba, ktorá je viazaná povinnosťou mlčanlivosti o skutočnostiach, o ktorých sa dozvedela pri výkone svojej činnosti, a povinnosťou dodržiavať zásady profesijnej etiky,
i)
spracúvanie je nevyhnutné na účel sociálneho poistenia, sociálneho zabezpečenia policajtov a vojakov, poskytovania štátnych sociálnych dávok, podpory sociálneho začlenenia fyzickej osoby s ťažkým zdravotným postihnutím do spoločnosti, 13 ) poskytovania sociálnych služieb, vykonávania opatrení sociálnoprávnej ochrany detí a sociálnej kurately alebo na účel poskytovania pomoci v hmotnej núdzi, alebo je spracúvanie nevyhnutné na účel plnenia povinností alebo uplatnenia práv prevádzkovateľa zodpovedného za spracúvanie v oblasti pracovného práva a v oblasti služieb zamestnanosti, ak to prevádzkovateľovi vyplýva z osobitného predpisu 14 ) alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná,
j)
spracúvanie je nevyhnutné z dôvodu verejného záujmu v oblasti verejného zdravia, ako je ochrana proti závažným cezhraničným ohrozeniam zdravia alebo zabezpečenie vysokej úrovne kvality a bezpečnosti zdravotnej starostlivosti, liekov, dietetických potravín alebo zdravotníckych pomôcok, na základe tohto zákona, osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, ktorými sa ustanovujú vhodné a konkrétne opatrenia na ochranu práv dotknutej osoby, najmä povinnosť mlčanlivosti, 15 )
k)
spracúvanie je nevyhnutné na účel archivácie, na vedecký účel, na účel historického výskumu alebo na štatistický účel podľa tohto zákona, osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, ktoré sú primerané vzhľadom na sledovaný cieľ, rešpektujú podstatu práva na ochranu osobných údajov a ustanovené vhodné a konkrétne opatrenia na zabezpečenie základných práv a záujmov dotknutej osoby.

§ 17 – Spracúvanie osobných údajov týkajúcich sa uznania viny za spáchanie trestného činu alebo priestupku

Trvalý odkaz
Jednoducho

Osobné údaje v registri trestov môže spracovávať len štátny orgán.

Údaje o vine za trestný čin alebo priestupok a o súvisiacich bezpečnostných opatreniach môže štát spracovávať len podľa osobitného zákona alebo medzinárodnej zmluvy. Tieto musia dostatočne chrániť práva dotknutého človeka.

Originál

Prevádzkovateľom na účel spracúvania osobných údajov v registri trestov podľa osobitného predpisu 16 ) môže byť len štátny orgán. Spracúvať osobné údaje týkajúce sa uznania viny za spáchanie trestného činu alebo priestupku alebo súvisiacich bezpečnostných opatrení možno len na základe osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, ktoré poskytujú primerané záruky ochrany práv dotknutej osoby.

§ 18 – Spracúvanie osobných údajov bez potreby identifikácie

Trvalý odkaz
Jednoducho
(1)
Ak účel spracovania údajov vyžaduje poznať totožnosť človeka, ten kto údaje spracúva nemusí zhromažďovať ďalšie informácie len preto, aby bol v poriadku podľa zákona.
(2)
Ak dokáže, že nevie zistiť, kto je daný človek, musí mu to oznámiť, ak je to možné. V takom prípade sa na neho nevzťahujú práva podľa § 21 až 26. Tieto práva mu vzniknú iba vtedy, keď sám poskytne informácie, ktoré umožnia jeho identifikáciu.
Originál
(1)
Ak si účel, na ktorý prevádzkovateľ spracúva osobné údaje, vyžaduje alebo vyžadoval od prevádzkovateľa, aby identifikoval dotknutú osobu, prevádzkovateľ nie je povinný uchovávať, získať alebo spracúvať dodatočné informácie na zistenie totožnosti dotknutej osoby výlučne na to, aby dosiahol súlad s týmto zákonom.
(2)
Ak v prípadoch uvedených v odseku 1 prevádzkovateľ vie preukázať, že dotknutú osobu nie je schopný identifikovať, je povinný ju o tom primeraným spôsobom informovať, ak je to možné. V takých prípadoch sa § 21 až 26 neuplatňujú okrem toho, ak dotknutá osoba na účel vykonania svojich práv podľa uvedených ustanovení poskytne dodatočné informácie umožňujúce jej identifikáciu.

§ 19 – Poskytované informácie, ak osobné údaje sú získané od dotknutej osoby

Trvalý odkaz
Jednoducho
(1)
Ak sa od vás získavajú osobné údaje, prevádzkovateľ vám pri ich zbieraní musí povedať:
a)
kto je a ako ho kontaktovať; ak má zástupcu, aj jeho kontakt,
b)
ako kontaktovať zodpovednú osobu, ak je určená,
c)
načo údaje použije a aký má právny dôvod,
d)
aké oprávnené záujmy má on alebo tretia strana, ak spracúva údaje podľa § 13 ods. 1 písm. f),
e)
komu údaje poskytne alebo aká skupina príjemcov ich dostane,
f)
či plánuje poslať údaje do tretej krajiny alebo medzinárodnej organizácii, ktorá krajina alebo organizácia to je, či Európska komisia rozhodla o primeranosti ochrany, alebo aké záruky sa použijú a kde si ich môžete pozrieť alebo získať kópiu, ak ide o prenos podľa § 48 ods. 2, § 49 alebo § 51 ods. 1 a 2.
(2)
Okrem toho vám musí povedať:
a)
ako dlho si údaje ponechá; ak to nevie, podľa čoho určí túto dobu,
b)
že máte právo vidieť svoje údaje, opraviť ich, vymazať, obmedziť ich spracúvanie, namietať proti spracúvaniu a preniesť ich inde,
c)
že môžete kedykoľvek odvolať súhlas,
d)
že môžete podať návrh na začatie konania podľa § 100,
e)
či musíte údaje poskytnúť zo zákona alebo zmluvy, či ste povinní ich dať a čo sa stane, ak ich neposkytnete,
f)
či sa o vás rozhoduje automaticky vrátane profilovania podľa § 28 ods. 1 a 4; vtedy musí vysvetliť, ako to funguje, a čo to pre vás znamená.
(3)
Ak chce prevádzkovateľ spracovať údaje na iný účel, ako na ktorý ste ich dali, musí vám predtým povedať o tom novom účele a ďalšie dôležité informácie z odseku 2.
(4)
Ak vám tieto informácie dali pred spracovaním údajov, odseky 1 až 3 sa na vás nevzťahujú.
Originál
(1)
Ak sa od dotknutej osoby získavajú osobné údaje, ktoré sa jej týkajú, je prevádzkovateľ povinný poskytnúť dotknutej osobe pri ich získavaní
a)
identifikačné údaje a kontaktné údaje prevádzkovateľa a zástupcu prevádzkovateľa, ak bol poverený,
b)
kontaktné údaje zodpovednej osoby, ak je určená,
c)
účel spracúvania osobných údajov, na ktorý sú osobné údaje určené, ako aj právny základ spracúvania osobných údajov,
d)
oprávnené záujmy prevádzkovateľa alebo tretej strany, ak sa osobné údaje spracúvajú podľa § 13 ods. 1 písm. f) ,
e)
identifikáciu príjemcu alebo kategóriu príjemcu, ak existuje,
f)
informáciu o tom, že prevádzkovateľ zamýšľa preniesť osobné údaje do tretej krajiny alebo medzinárodnej organizácii, identifikáciu tretej krajiny alebo medzinárodnej organizácie, informáciu o existencii alebo neexistencii rozhodnutia Európskej komisie (ďalej len „Komisia“) o primeranosti alebo odkaz na primerané záruky alebo vhodné záruky a prostriedky na získanie ich kópie alebo informáciu o tom, kde boli sprístupnené, ak prevádzkovateľ zamýšľa prenos podľa § 48 ods. 2 , § 49 alebo § 51 ods. 1 a 2 .
(2)
Okrem informácií podľa odseku 1 je prevádzkovateľ povinný pri získavaní osobných údajov poskytnúť dotknutej osobe informácie o
a)
dobe uchovávania osobných údajov; ak to nie je možné, informácie o kritériách jej určenia,
b)
práve požadovať od prevádzkovateľa prístup k osobným údajom týkajúcich sa dotknutej osoby, o práve na opravu osobných údajov, o práve na vymazanie osobných údajov alebo o práve na obmedzenie spracúvania osobných údajov, o práve namietať spracúvanie osobných údajov, ako aj o práve na prenosnosť osobných údajov,
c)
práve kedykoľvek svoj súhlas odvolať,
d)
práve podať návrh na začatie konania podľa § 100 ,
e)
tom, či je poskytovanie osobných údajov zákonnou požiadavkou alebo zmluvnou požiadavkou alebo požiadavkou, ktorá je potrebná na uzavretie zmluvy, a o tom, či je dotknutá osoba povinná poskytnúť osobné údaje, ako aj o možných následkoch neposkytnutia osobných údajov,
f)
existencii automatizovaného individuálneho rozhodovania vrátane profilovania podľa § 28 ods. 1 a 4 ; v týchto prípadoch poskytne prevádzkovateľ dotknutej osobe informácie o použitom postupe, ako aj o význame a predpokladaných dôsledkoch takého spracúvania osobných údajov pre dotknutú osobu.
(3)
Prevádzkovateľ je povinný poskytnúť dotknutej osobe pred ďalším spracúvaním osobných údajov informácie o inom účele a ďalšie relevantné informácie podľa odseku 2, ak má prevádzkovateľ v úmysle ďalej spracúvať osobné údaje na iný účel ako ten, na ktorý boli získané.
(4)
Odseky 1 až 3 sa neuplatňujú v rozsahu, v akom boli informácie dotknutej osobe poskytnuté pred spracúvaním osobných údajov.

§ 20 – Poskytované informácie, ak osobné údaje nie sú získané od dotknutej osoby

Trvalý odkaz
Jednoducho
(1)
Ak vaše údaje nezískal priamo od vás, musí vám prevádzkovateľ povedať:
a)
svoje meno a kontakt, prípadne kontakt svojho zástupcu,
b)
kontakt na zodpovednú osobu, ak ju má,
c)
načo údaje používa a prečo ich môže spracovávať (právny dôvod),
d)
aké konkrétne údaje o vás vedie,
e)
komu ich poskytuje alebo aké skupiny ľudí ich dostávajú,
f)
či ich plánuje poslať do zahraničia alebo medzinárodnej organizácii, kam presne, a či tam platia dostatočné pravidlá ochrany; ak nie, aké záruky používa a kde nájdete ich kópiu.
(2)
Musí vám tiež povedať:
a)
ako dlho údaje uchováva alebo podľa čoho určí túto dobu,
b)
aké záujmy ho k tomu vedú, ak spracúva údaje podľa § 13 ods. 1 písm. f),
c)
aké máte práva – právo pozrieť si svoje údaje, opraviť ich, vymazať, obmedziť ich spracovanie, namietať proti nemu a preniesť údaje k niekomu inému,
d)
že môžete kedykoľvek vziať späť svoj súhlas,
e)
že môžete podať sťažnosť podľa § 100,
f)
odkiaľ údaje získal a či z verejných zdrojov,
g)
či o vás rozhoduje automaticky vrátane profilovania podľa § 28 ods. 1 a 4; ak áno, vysvetlí vám použitý postup, význam a dopady takéhoto rozhodovania na vás.
(3)
Tieto informácie vám dá:
a)
do jedného mesiaca od získania údajov, podľa konkrétnej situácie,
b)
najneskôr pri prvej komunikácii s vami, ak cez údaje s vami bude komunikovať,
c)
najneskôr keď ich prvýkrát pošle ďalšiemu príjemcovi.
(4)
Ak chce údaje použiť na iný účel, než načo ich získal, musí vám o tom povedať skôr, ako začne, a poskytnúť aj ďalšie dôležité informácie z odseku 2.
(5)
Tieto povinnosti neplatia:
a)
ak už dané informácie máte,
b)
ak by bolo nemožné ich poskytnúť alebo by to vyžadovalo príliš veľa námahy – najmä pri archivovaní, vedeckej práci, historickom výskume alebo štatistike podľa § 78 ods. 7, alebo ak by to znemožnilo dosiahnuť ciele spracovania; vtedy ale musí prijať opatrenia na ochranu vašich práv vrátane zverejnenia informácií,
c)
ak to upravuje osobitný zákon, ktorý obsahuje dostatočné opatrenia na ochranu vašich práv,
d)
ak musí údaje držať v tajnosti podľa zákona o mlčanlivosti.
Originál
(1)
Ak osobné údaje neboli získané od dotknutej osoby, prevádzkovateľ je povinný dotknutej osobe poskytnúť
a)
identifikačné údaje a kontaktné údaje prevádzkovateľa a zástupcu prevádzkovateľa, ak bol poverený,
b)
kontaktné údaje zodpovednej osoby, ak je určená,
c)
účel spracúvania osobných údajov, na ktorý sú osobné údaje určené, ako aj právny základ spracúvania osobných údajov,
d)
kategórie spracúvaných osobných údajov,
e)
identifikáciu príjemcu alebo kategóriu príjemcu, ak existuje,
f)
informáciu o tom, že prevádzkovateľ zamýšľa preniesť osobné údaje do tretej krajiny alebo medzinárodnej organizácii, identifikáciu tretej krajiny alebo medzinárodnej organizácie, informáciu o existencii alebo neexistencii rozhodnutia Komisie o primeranosti alebo odkaz na primerané záruky alebo vhodné záruky a prostriedky na získanie ich kópie alebo informáciu o tom, kde boli sprístupnené, ak prevádzkovateľ zamýšľa prenos podľa § 48 ods. 2 , § 49 alebo § 51 ods. 1 a 2 .
(2)
Okrem informácií podľa odseku 1 je prevádzkovateľ povinný poskytnúť dotknutej osobe informácie o
a)
dobe uchovávania osobných údajov; ak to nie je možné, informáciu o kritériách jej určenia,
b)
oprávnených záujmoch prevádzkovateľa alebo tretej strany, ak sa spracúvajú osobné údaje podľa § 13 ods. 1 písm. f) ,
c)
práve požadovať od prevádzkovateľa prístup k osobným údajom týkajúcich sa dotknutej osoby o práve na opravu osobných údajov, o práve na vymazanie osobných údajov alebo o práve na obmedzenie spracúvania osobných údajov, o práve namietať spracúvanie osobných údajov, ako aj o práve na prenosnosť osobných údajov,
d)
práve kedykoľvek svoj súhlas odvolať,
e)
práve podať návrh na začatie konania podľa § 100 ,
f)
zdroji, z ktorého pochádzajú osobné údaje, prípadne informácie o tom, či pochádzajú z verejne prístupných zdrojov,
g)
existencii automatizovaného individuálneho rozhodovania vrátane profilovania podľa § 28 ods. 1 a 4 ; v týchto prípadoch poskytne prevádzkovateľ dotknutej osobe informácie o použitom postupe, ako aj o význame automatizovaného individuálneho rozhodovania a predpokladaných dôsledkoch takého spracúvania osobných údajov pre dotknutú osobu.
(3)
Prevádzkovateľ je povinný poskytnúť informácie podľa odsekov 1 a 2
a)
najneskôr do jedného mesiaca po získaní osobných údajov, pričom zohľadní konkrétne okolnosti, za ktorých sa osobné údaje spracúvajú,
b)
najneskôr v čase prvej komunikácie s touto dotknutou osobou, ak sa osobné údaje majú použiť na komunikáciu s dotknutou osobou, alebo
c)
najneskôr vtedy, keď sa osobné údaje prvýkrát poskytnú, ak sa predpokladá poskytnutie osobných údajov ďalšiemu príjemcovi.
(4)
Prevádzkovateľ je povinný poskytnúť dotknutej osobe pred ďalším spracúvaním osobných údajov informácie o inom účele a ďalšie relevantné informácie podľa odseku 2, ak má prevádzkovateľ v úmysle ďalej spracúvať osobné údaje na iný účel ako ten, na ktorý boli získané.
(5)
Odseky 1 až 4 sa neuplatňujú
a)
v rozsahu, v akom dotknutá osoba už dané informácie má,
b)
v rozsahu, v akom sa poskytovanie týchto informácií ukáže ako nemožné alebo by si vyžadovalo neprimerané úsilie, najmä ak sa spracúvajú osobné údaje na účel archivácie, na vedecký účel, na účel historického výskumu alebo na štatistický účel, na ktorý sa vzťahujú podmienky a záruky podľa § 78 ods. 7 , alebo ak je pravdepodobné, že povinnosť uvedená v odseku 1 znemožní alebo závažným spôsobom sťaží dosiahnutie cieľov takého spracúvania osobných údajov; prevádzkovateľ je v takom prípade povinný prijať vhodné opatrenia na ochranu práv a oprávnených záujmov dotknutej osoby vrátane sprístupnenia daných informácií verejnosti,
c)
v rozsahu, v akom sa získanie týchto informácií alebo poskytnutie týchto informácií ustanovuje v osobitnom predpise, ktorý sa na prevádzkovateľa vzťahuje a v ktorom sú ustanovené primerané opatrenia na ochranu práv a oprávnených záujmov dotknutej osoby, alebo
d)
ak osobné údaje musia zostať dôverné na základe povinnosti mlčanlivosti podľa osobitného predpisu. 15 )

Načítané 5 z 113 paragrafov