Zákon o ochrane osobných údajov

Zákon č. 18/2018 Z.z.

Sledovať zmeny
Panel nástrojov

Zákon o ochrane osobných údajov

Zákon č. 18/2018 Z.z.

§ 31 – Bezpečnosť osobných údajov prevádzkovateľa

Trvalý odkaz
Jednoducho
(1)
Prevádzkovateľ musí podľa povahy, rozsahu a účelu spracúvania údajov a podľa rizík pre ľudí prijať vhodné technické a organizačné opatrenia. Tieto opatrenia musia zabezpečiť a ukázať, že spracúvanie údajov prebieha v súlade so zákonom. Ak je to potrebné, musí ich aktualizovať.
(2)
Tieto opatrenia zahŕňajú zavedenie vhodných postupov ochrany údajov, ak to zodpovedá spracovateľským činnostiam.
(3)
Aby dokázal, že plní tieto povinnosti, môže použiť schválený kódex správania podľa § 85 alebo certifikát podľa § 86.
(4)
Prevádzkovateľ musí pravidelne kontrolovať, či ešte trvá účel spracúvania údajov. Keď sa účel splní, musí údaje bez zbytočného odkladu vymazať. To neplatí, ak sú údaje súčasťou registratúrneho záznamu. 17 )
(5)
Prevádzkovateľ musí zabezpečiť vyradenie registratúrneho záznamu s osobnými údajmi podľa osobitného predpisu. 18 )
Originál
(1)
S ohľadom na povahu, rozsah a účel spracúvania osobných údajov a na riziká s rôznou pravdepodobnosťou a závažnosťou pre práva fyzickej osoby je prevádzkovateľ povinný prijať vhodné technické a organizačné opatrenia na zabezpečenie a preukázanie toho, že spracúvanie osobných údajov sa vykonáva v súlade s týmto zákonom. Uvedené opatrenia je prevádzkovateľ povinný podľa potreby aktualizovať.
(2)
Opatrenia podľa odseku 1 zahŕňajú zavedenie primeraných postupov ochrany osobných údajov zo strany prevádzkovateľa, ak je to vzhľadom na spracovateľské činnosti primerané.
(3)
Na preukázanie splnenia povinností podľa odseku 1 môže prevádzkovateľ použiť schválený kódex správania podľa § 85 alebo certifikát podľa § 86 .
(4)
Prevádzkovateľ je povinný pravidelne preverovať trvanie účelu spracúvania osobných údajov a po jeho splnení bez zbytočného odkladu zabezpečiť výmaz osobných údajov; to neplatí, ak osobné údaje sú súčasťou registratúrneho záznamu. 17 )
(5)
Prevádzkovateľ zabezpečuje vyradenie registratúrneho záznamu, ktorý obsahuje osobné údaje, podľa osobitného predpisu. 18 )

§ 32 – Špecificky navrhnutá a štandardná ochrana osobných údajov

Trvalý odkaz
Jednoducho
(1)
Pred spracovaním osobných údajov musí prevádzkovateľ zaviesť špeciálnu ochranu. Táto ochrana musí fungovať aj počas celého spracovania. Ide o vhodné technické a organizačné opatrenia, najmä pseudonymizáciu (skrytie totožnosti). Cieľom je ochrániť dáta a dodržiavať základné pravidlá podľa § 6 až 12.
(2)
Pri tejto ochrane musí prevádzkovateľ myslieť na najnovšie poznatky o ochrane dát. Zohľadní aj náklady na opatrenia, povahu a rozsah údajov, kontext a účel spracovania. Posúdi aj riziká – aká je pravdepodobnosť a vážnosť problémov pre práva dotknutej osoby.
(3)
Prevádzkovateľ musí zaviesť aj štandardnú ochranu. To znamená technické a organizačné opatrenia na spracovanie údajov len na konkrétny účel. Zároveň musí znížiť množstvo údajov a ich rozsah na minimum, skrátiť dobu uchovávania a obmedziť dostupnosť. Osobné údaje nesmú byť bežne prístupné komukoľvek, ale len vtedy, ak to dotknutá osoba povolí.
(4)
Ak chce prevádzkovateľ dokázať, že splnil povinnosti z odsekov 1 až 3, môže použiť certifikát podľa § 86.
Originál
(1)
Prevádzkovateľ je povinný pred spracúvaním osobných údajov zaviesť a počas spracúvania osobných údajov mať zavedenú špecificky navrhnutú ochranu osobných údajov, ktorá spočíva v prijatí primeraných technických a organizačných opatrení, najmä vo forme pseudonymizácie, na účinné zavedenie primeraných záruk ochrany osobných údajov a dodržiavanie základných zásad podľa § 6 až 12 .
(2)
Prevádzkovateľ je povinný pri špecificky navrhnutej ochrane osobných údajov podľa odseku 1 zohľadniť najnovšie poznatky ochrany osobných údajov, náklady na vykonanie opatrení podľa odseku 1, povahu, rozsah, kontext a účel spracúvania osobných údajov a riziká spracúvania osobných údajov s rôznou pravdepodobnosťou a závažnosťou, ktoré spracúvanie osobných údajov predstavuje pre práva dotknutej osoby.
(3)
Prevádzkovateľ je povinný zaviesť štandardnú ochranu osobných údajov, ktorá spočíva v prijatí primeraných technických a organizačných opatrení na zabezpečenie spracúvania osobných údajov len na konkrétny účel, minimalizácie množstva získaných osobných údajov a rozsahu ich spracúvania, doby uchovávania a dostupnosti osobných údajov. Prevádzkovateľ je povinný zabezpečiť, aby osobné údaje neboli bez zásahu fyzickej osoby štandardne prístupné neobmedzenému počtu fyzických osôb.
(4)
Na preukázanie splnenia povinností podľa odsekov 1 až 3 môže prevádzkovateľ použiť certifikát podľa § 86 .

§ 33 – Spoloční prevádzkovatelia

Trvalý odkaz
Jednoducho
(1)
Ak dvaja alebo viacerí prevádzkovatelia spolu dohodnú, na čo a ako budú spracovávať osobné údaje, sú spoločnými prevádzkovateľmi. V dohode musia jasne určiť, kto z nich za čo zodpovedá. Ide najmä o zabezpečenie práv dotknutej osoby a poskytovanie informácií (ak to neurčuje iný zákon alebo medzinárodná zmluva). Dohoda musí obsahovať aj kontaktné miesto pre dotknutú osobu.
(2)
Prevádzkovateľ musí dotknutej osobe dať základné informácie o dohode: kto sú zmluvné strany, o čo ide, ako dlho platí, ako možno uplatniť práva, povinnosti poskytovať informácie a kontaktné miesto.
(3)
Bez ohľadu na dohodu môže dotknutá osoba uplatniť svoje práva u ktoréhokoľvek prevádzkovateľa.
Originál
(1)
Spoločnými prevádzkovateľmi sú dvaja prevádzkovatelia alebo viacerí prevádzkovatelia, ktorí si dohodou určia účel a prostriedky spracúvania osobných údajov. V dohode sú zároveň povinní transparentne určiť zodpovednosť každého z nich za plnenie povinností a úloh podľa tohto zákona, najmä ak ide o vykonávanie práv dotknutej osoby, a svoje povinnosti poskytovať informácie podľa § 19 a 20 , ak nie sú tieto povinnosti prevádzkovateľa ustanovené osobitným predpisom alebo medzinárodnou zmluvou, ktorou je Slovenská republika viazaná. V dohode sa tiež určí kontaktné miesto pre dotknutú osobu.
(2)
Základné náležitosti dohody podľa odseku 1 je prevádzkovateľ povinný poskytnúť dotknutej osobe, a to najmä identifikáciu zmluvných strán, predmet zmluvy, dobu platnosti zmluvy, ustanovenia upravujúce výkon práv dotknutej osoby, povinnosti prevádzkovateľov poskytovať informácie podľa § 19 a 20 a kontaktné miesto pre dotknutú osobu.
(3)
Bez ohľadu na podmienky dohody podľa odseku 1 môže dotknutá osoba uplatniť svoje práva u každého prevádzkovateľa a voči každému prevádzkovateľovi.

§ 34 – Poverenie sprostredkovateľa spracúvaním údajov

Trvalý odkaz
Jednoducho
(1)
Ak niekto spracúva údaje za vás, vyberte si sprostredkovateľa, ktorý zaručí ich bezpečnosť. Na takéto poverenie nepotrebujete súhlas dotknutej osoby.
(2)
Sprostredkovateľ nemôže dať údaje ďalšiemu sprostredkovateľovi bez vášho písomného súhlasu. Ak máte všeobecný súhlas, musí vás vopred informovať.
(3)
So sprostredkovateľom musíte mať zmluvu o tom, čo, ako a dokedy bude spracúvať. V zmluve musí byť najmä:
a)
Sprostredkovateľ pracuje len podľa vašich písomných pokynov. Ak ide o prenos do zahraničia, oznámi vám to vopred, pokiaľ to zákon nezakazuje.
b)
Zabezpečí, aby ľudia čo pracujú s údajmi, dodržiavali mlčanlivosť.
c)
Použije bezpečnostné opatrenia podľa § 39.
d)
Dodrží pravidlá pre zapojenie ďalšieho sprostredkovateľa.
e)
Pomôže vám vybaviť žiadosti ľudí o ich údaje.
f)
Pomôže vám plniť povinnosti podľa § 39 až 43.
g)
Po skončení spolupráce vymaže údaje alebo vám ich vráti. Zmaže aj kópie, ak to zákon nevyžaduje inak.
h)
Po skončení spolupráce vymaže údaje alebo vám ich vráti. Zmaže aj kópie, ak to zákon nevyžaduje inak.
i)
Dá vám informácie pre kontrolu a pomôže pri audite.
(4)
Ak sprostredkovateľ zistí, že vaše pokyny porušujú zákon, musí vám to povedať bez zbytočného odkladu.
(5)
Ak sprostredkovateľ zapojí ďalšieho sprostredkovateľa, musí mu dať rovnaké povinnosti. Za chyby tohto ďalšieho zodpovedá stále ten prvý.
(6)
Sprostredkovateľ môže dokázať svoju spoľahlivosť certifikátom alebo kódexom správania podľa § 85 a 86.
(7)
Zmluva musí byť uzatvorená písomne alebo elektronicky.
(8)
Ak sprostredkovateľ sám určí, načo a ako sa údaje spracujú, stáva sa prevádzkovateľom. To neovplyvňuje ustanovenia § 38 a § 104 až 106.
Originál
(1)
Ak sa má spracúvanie osobných údajov uskutočniť v mene prevádzkovateľa, prevádzkovateľ môže poveriť len sprostredkovateľa, ktorý poskytuje dostatočné záruky na prijatie primeraných technických a organizačných opatrení tak, aby spracúvanie osobných údajov spĺňalo požiadavky tohto zákona a aby sa zabezpečila ochrana práv dotknutej osoby. Na poverenie sprostredkovateľa spracúvaním osobných údajov podľa prvej vety sa súhlas dotknutej osoby nevyžaduje.
(2)
Sprostredkovateľ nesmie poveriť spracúvaním osobných údajov ďalšieho sprostredkovateľa bez predchádzajúceho osobitného písomného súhlasu prevádzkovateľa alebo všeobecného písomného súhlasu prevádzkovateľa. Sprostredkovateľ je povinný vopred informovať prevádzkovateľa o poverení ďalšieho sprostredkovateľa, ak sa poverenie vykonalo na základe všeobecného písomného súhlasu.
(3)
Spracúvanie osobných údajov sprostredkovateľom sa riadi zmluvou alebo iným právnym úkonom, ktorý zaväzuje sprostredkovateľa voči prevádzkovateľovi a v ktorom je ustanovený predmet a doba spracúvania, povaha a účel spracúvania, zoznam alebo rozsah osobných údajov, kategórie dotknutých osôb a povinnosti a práva prevádzkovateľa. V zmluve alebo inom právnom úkone sa musí najmä ustanoviť, že sprostredkovateľ je povinný
a)
spracúvať osobné údaje len na základe písomných pokynov prevádzkovateľa, a to aj vtedy, ak ide o prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii okrem prenosu na základe osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná; sprostredkovateľ je pri takom prenose povinný oznámiť prevádzkovateľovi túto požiadavku pred spracúvaním osobných údajov, ak osobitný predpis alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná, takéto oznámenie nezakazuje z dôvodov verejného záujmu,
b)
zabezpečiť, aby sa osoby oprávnené spracúvať osobné údaje zaviazali, že zachovajú mlčanlivosť o informáciách, o ktorých sa dozvedeli, ak nie sú viazané povinnosťou mlčanlivosti podľa osobitného zákona, 15 )
c)
vykonať opatrenia podľa § 39 ,
d)
dodržiavať podmienky zapojenia ďalšieho sprostredkovateľa podľa odsekov 2 a 5,
e)
po zohľadnení povahy spracúvania osobných údajov v čo najväčšej miere poskytnúť súčinnosť prevádzkovateľovi vhodnými technickými a organizačnými opatreniami pri plnení jeho povinnosti prijímať opatrenia na základe žiadosti dotknutej osoby podľa druhej časti druhej hlavy,
f)
poskytnúť súčinnosť prevádzkovateľovi pri zabezpečovaní plnenia povinností podľa § 39 až 43 s prihliadnutím na povahu spracúvania osobných údajov a informácie dostupné sprostredkovateľovi,
g)
vymazať osobné údaje alebo vrátiť prevádzkovateľovi osobné údaje po ukončení poskytovania služieb týkajúcich sa spracúvania osobných údajov na základe rozhodnutia prevádzkovateľa a vymazať existujúce kópie, ktoré obsahujú osobné údaje, ak osobitný predpis alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná, nepožaduje uchovávanie týchto osobných údajov,
h)
po ukončení poskytovania služieb týkajúcich sa spracúvania osobných údajov na základe rozhodnutia prevádzkovateľa osobné údaje vymazať alebo vrátiť prevádzkovateľovi a vymazať existujúce kópie, ktoré obsahujú osobné údaje, ak osobitný predpis alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná, nepožaduje uchovávanie týchto osobných údajov,
i)
poskytnúť prevádzkovateľovi informácie potrebné na preukázanie splnenia povinností a poskytnúť súčinnosť v rámci auditu ochrany osobných údajov a kontroly zo strany prevádzkovateľa alebo audítora, ktorého poveril prevádzkovateľ.
(4)
Sprostredkovateľ je povinný bez zbytočného odkladu informovať prevádzkovateľa, ak má za to, že sa pokynom prevádzkovateľa porušuje tento zákon, osobitný predpis alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná, ktoré sa týkajú ochrany osobných údajov.
(5)
Ak sprostredkovateľ zapojí do vykonávania osobitných spracovateľských činností v mene prevádzkovateľa ďalšieho sprostredkovateľa, tomuto ďalšiemu sprostredkovateľovi v zmluve alebo inom právnom úkone je povinný uložiť rovnaké povinnosti týkajúce sa ochrany osobných údajov, ako sú ustanovené v zmluve alebo v inom právnom úkone medzi prevádzkovateľom a sprostredkovateľom podľa odseku 3, a to najmä poskytnutie dostatočných záruk na prijatie primeraných technických a organizačných opatrení tak, aby spracúvanie osobných údajov spĺňalo požiadavky tohto zákona. Zodpovednosť voči prevádzkovateľovi nesie pôvodný sprostredkovateľ, ak ďalší sprostredkovateľ nesplní svoje povinnosti týkajúce sa ochrany osobných údajov.
(6)
Sprostredkovateľ môže preukázať splnenie dostatočných záruk uvedených v odsekoch 1 a 5 schváleným kódexom správania podľa § 85 alebo certifikátom podľa § 86 .
(7)
Zmluva alebo iný právny úkon podľa odsekov 3 a 5 sa musí uzatvoriť v listinnej podobe alebo elektronickej podobe.
(8)
Sprostredkovateľ, ktorý porušil tento zákon tým, že určí účel a prostriedky spracúvania osobných údajov, sa považuje v súvislosti s týmto spracúvaním osobných údajov za prevádzkovateľa; ustanovenie § 38 a § 104 až 106 tým nie je dotknuté.

§ 35 – Zástupca prevádzkovateľa alebo zástupca sprostredkovateľa

Trvalý odkaz
Jednoducho
(1)
Ak prevádzkovateľ alebo sprostredkovateľ nemá v EÚ sídlo, pobočku ani trvalý pobyt, musí mať písomne povereného zástupcu v EÚ. Platí to, ak spracúva údaje ľudí na Slovensku a ide o:
a)
ponuku tovaru alebo služieb na Slovensku (aj bezplatnú), alebo
b)
sledovanie správania ľudí na Slovensku.
(2)
Táto povinnosť sa netýka:
a)
príležitostného spracovania, ktoré nezahŕňa vo veľkom množstve citlivé údaje alebo údaje o trestných činoch a neohrozuje práva ľudí, alebo
b)
štátnych inštitúcií a orgánov verejnej moci.
(3)
Úrad na ochranu osobných údajov a dotknuté osoby môžu žiadať informácie o spracovaní údajov aj od zástupcu, nielen od prevádzkovateľa alebo sprostredkovateľa.
(4)
Ustanovenie zástupcu neuberá ľuďom právo podať sťažnosť ani inak sa brániť proti prevádzkovateľovi alebo sprostredkovateľovi.
Originál
(1)
Prevádzkovateľ alebo sprostredkovateľ, ktorý nemá sídlo, organizačnú zložku, prevádzkareň alebo trvalý pobyt v členskom štáte, je povinný písomne poveriť svojho zástupcu na území členského štátu, ak vykonáva spracúvanie osobných údajov dotknutej osoby, ktorá sa nachádza na území Slovenskej republiky, pričom spracovateľská činnosť súvisí
a)
s ponukou tovaru alebo služieb tejto dotknutej osobe na území Slovenskej republiky bez ohľadu na to, či sa od dotknutej osoby vyžaduje platba alebo nie, alebo
b)
so sledovaním ich správania na území Slovenskej republiky.
(2)
Povinnosť podľa odseku 1 sa nevzťahuje na
a)
spracúvanie osobných údajov, ktoré je občasné, nezahŕňa vo veľkom rozsahu spracúvanie osobitných kategórií osobných údajov podľa § 16 ods. 1 alebo spracúvanie osobných údajov týkajúcich sa uznania viny za spáchanie trestného činu alebo priestupku podľa § 17 a nie je pravdepodobné, že s ohľadom na povahu, kontext, rozsah alebo účel spracúvania povedie k riziku pre práva fyzických osôb, alebo
b)
orgán verejnej moci alebo verejnoprávnu inštitúciu.
(3)
Úrad a dotknutá osoba môžu požadovať informácie týkajúce sa spracúvania osobných údajov na účely zabezpečenia súladu s týmto zákonom okrem prevádzkovateľa a sprostredkovateľa aj zástupcu prevádzkovateľa alebo zástupcu sprostredkovateľa.
(4)
Poverením zástupcu prevádzkovateľom alebo sprostredkovateľom nie je dotknuté právo dotknutej osoby na podanie návrhu na začatie konania podľa § 100 ani na inú právnu ochranu podľa osobitného predpisu, 19 ) ktoré možno uplatniť proti prevádzkovateľovi alebo sprostredkovateľovi.

Načítané 5 z 113 paragrafov