Zákon o ochrane osobných údajov

Zákon č. 18/2018 Z.z.

Sledovať zmeny
Panel nástrojov

Zákon o ochrane osobných údajov

Zákon č. 18/2018 Z.z.

§ 36 – Spracúvanie osobných údajov pod dohľadom prevádzkovateľa alebo sprostredkovateľa

Trvalý odkaz
Jednoducho

Sprostredkovateľ a každý, kto pracuje za prevádzkovateľa alebo sprostredkovateľa a má prístup k osobným údajom, ich môže spracúvať len podľa pokynov prevádzkovateľa. Môže tak urobiť aj bez jeho pokynov, ale len ak to povoľuje osobitný zákon alebo medzinárodná zmluva, ktorou je Slovensko viazané.

Originál

Sprostredkovateľ a každá osoba konajúca za prevádzkovateľa alebo sprostredkovateľa, ktorá má prístup k osobným údajom, môže spracúvať tieto osobné údaje len na základe pokynov prevádzkovateľa alebo podľa osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná.

§ 37 – Záznamy o spracovateľských činnostiach

Trvalý odkaz
Jednoducho
(1)
Prevádzkovateľ a jeho zástupca musia viesť záznamy o spracovaní osobných údajov. Tieto záznamy musia obsahovať:
a)
kontaktné údaje prevádzkovateľa, spoločného prevádzkovateľa, zástupcu a zodpovednej osoby,
b)
účel spracovania,
c)
aké údaje a o kom sa spracúvajú,
d)
komu sa údaje poskytujú aj do zahraničia,
e)
ak sa údaje posielajú mimo EÚ, kam a aké záruky sa použijú,
f)
ako dlho sa údaje uchovávajú,
g)
aké bezpečnostné opatrenia sa používajú.
(2)
Sprostredkovateľ a jeho zástupca musia viesť záznamy o spracovaní, ktoré robia pre prevádzkovateľa. Tieto záznamy musia obsahovať:
a)
kontaktné údaje sprostredkovateľa, prevádzkovateľa, zástupcov a zodpovednej osoby,
b)
aké údaje spracúvajú pre ktorého prevádzkovateľa,
c)
ak sa údaje posielajú mimo EÚ, kam a aké záruky sa použijú,
d)
aké bezpečnostné opatrenia sa používajú.
(3)
Záznamy si môžete viesť na papieri alebo v počítači.
(4)
Úradu musíte na požiadanie ukázať tieto záznamy.
(5)
Ak ste zamestnávateľ s menej ako 250 zamestnancami, záznamy nemusíte viesť, ak spracovanie: - neohrozuje práva ľudí, - je príležitostné, - nezahŕňa citlivé údaje ani údaje o trestných činoch.
(6)
Vzor záznamu zverejní úrad na svojej webovej stránke.
Originál
(1)
Prevádzkovateľ a zástupca prevádzkovateľa, ak bol poverený, je povinný viesť záznam o spracovateľských činnostiach, za ktoré je zodpovedný. Tento záznam musí obsahovať
a)
identifikačné údaje a kontaktné údaje prevádzkovateľa, spoločného prevádzkovateľa, zástupcu prevádzkovateľa, ak bol poverený, a zodpovednej osoby,
b)
účel spracúvania osobných údajov,
c)
opis kategórií dotknutých osôb a kategórií osobných údajov,
d)
kategórie príjemcov vrátane príjemcu v tretej krajine alebo medzinárodnej organizácii,
e)
označenie tretej krajiny alebo medzinárodnej organizácie, ak prevádzkovateľ zamýšľa prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii a dokumentáciu o primeraných zárukách, ak prevádzkovateľ zamýšľa prenos podľa § 51 ods. 1 a 2 ,
f)
predpokladané lehoty na vymazanie rôznych kategórií osobných údajov,
g)
všeobecný opis technických a organizačných bezpečnostných opatrení podľa § 39 ods. 1 .
(2)
Sprostredkovateľ a zástupca sprostredkovateľa, ak bol poverený, je povinný viesť záznam o kategóriách spracovateľských činností, ktoré vykonal v mene prevádzkovateľa. Tento záznam musí obsahovať
a)
identifikačné údaje a kontaktné údaje sprostredkovateľa a prevádzkovateľa, v mene ktorého sprostredkovateľ koná, zástupcu prevádzkovateľa alebo sprostredkovateľa, ak bol poverený, a zodpovednej osoby,
b)
kategórie spracúvania osobných údajov vykonávaného v mene každého prevádzkovateľa,
c)
označenie tretej krajiny alebo medzinárodnej organizácie, ak prevádzkovateľ zamýšľa prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii, a dokumentáciu o primeraných zárukách, ak prevádzkovateľ zamýšľa prenos podľa § 51 ods. 1 a 2 ,
d)
všeobecný opis technických a organizačných bezpečnostných opatrení podľa § 39 ods. 1 .
(3)
Záznamy podľa odsekov 1 a 2 sa vedú v listinnej podobe alebo elektronickej podobe.
(4)
Prevádzkovateľ alebo sprostredkovateľ a zástupca prevádzkovateľa alebo zástupca sprostredkovateľa, ak bol poverený, sú povinní na požiadanie sprístupniť záznam o spracovateľských činnostiach úradu.
(5)
Povinnosti podľa odsekov 1 a 2 sa nevzťahujú na zamestnávateľa s menej ako 250 zamestnancami, ak nie je pravdepodobné, že spracúvanie osobných údajov, ktoré vykonáva, povedie k riziku ochrany práv dotknutej osoby, ak je spracúvanie osobných údajov príležitostné alebo ak nezahŕňa osobitné kategórie osobných údajov podľa § 16 ods. 1 alebo osobné údaje týkajúce sa uznania viny za spáchanie trestného činu alebo priestupku podľa § 17 .
(6)
Vzor záznamu o spracovateľských činnostiach zverejní úrad na svojom webovom sídle.

§ 38 – Právo na náhradu škody a zodpovednosť

Trvalý odkaz
Jednoducho
(1)
Ak vám vznikne majetková alebo nemajetková ujma porušením tohto zákona, máte právo žiadať náhradu od prevádzkovateľa alebo sprostredkovateľa.
(2)
Prevádzkovateľ zodpovedá za škodu spôsobenú nezákonným spracovaním osobných údajov. Sprostredkovateľ zodpovedá len vtedy, keď nesplnil povinnosti podľa tohto zákona alebo konal proti pokynom prevádzkovateľa.
(3)
Prevádzkovateľ alebo sprostredkovateľ sa môže zbaviť zodpovednosti, ak dokáže, že škodu nespôsobil.
(4)
Ak za škodu podľa odsekov 2 a 3 zodpovedá viac prevádzkovateľov alebo sprostredkovateľov, ktorí spoločne spracúvali údaje, zodpovedá každý z nich za celú škodu.
(5)
Ak niekto podľa odseku 4 zaplatil celú škodu, môže od ostatných požadovať ich podiel, ale len od tých, ktorí za ňu zodpovedajú podľa odseku 2.
Originál
(1)
Každá osoba, ktorej vznikla majetková ujma alebo nemajetková ujma v dôsledku porušenia tohto zákona, má právo na náhradu škody 20 ) od prevádzkovateľa alebo sprostredkovateľa.
(2)
Prevádzkovateľ, ktorý sa zúčastnil na spracúvaní osobných údajov, je zodpovedný za škodu spôsobenú nezákonným spracúvaním. Sprostredkovateľ zodpovedá za škodu spôsobenú spracúvaním osobných údajov, len ak nesplnil povinnosti podľa § 34 až 37 , § 39 , § 40 ods. 3 , § 44, § 45 , § 51 ods. 3 alebo ak konal nad rámec alebo v rozpore s pokynmi prevádzkovateľa, ktoré boli v súlade so zákonom.
(3)
Prevádzkovateľ alebo sprostredkovateľ sa môže zbaviť zodpovednosti podľa odseku 2, ak preukáže, že vznik škody nezavinil.
(4)
Ak sa na tom istom spracúvaní osobných údajov zúčastnil viac než jeden prevádzkovateľ alebo sprostredkovateľ alebo prevádzkovateľ aj sprostredkovateľ spoločne a sú podľa odsekov 2 a 3 zodpovední za škodu spôsobenú spracúvaním osobných údajov, za škodu zodpovedajú spoločne a nerozdielne.
(5)
Ak prevádzkovateľ alebo sprostredkovateľ v súlade s odsekom 4 uhradil náhradu škody v plnej výške, má právo žiadať od ostatných prevádzkovateľov alebo sprostredkovateľov zapojených do toho istého spracúvania osobných údajov tú časť náhrady škody, ktorá zodpovedá ich podielu zodpovednosti za škodu za podmienok ustanovených v odseku 2.

§ 39 – Bezpečnosť spracúvania

Trvalý odkaz
Jednoducho
(1)
Prevádzkovateľ aj sprostredkovateľ musia zohľadniť aktuálne poznatky, náklady, povahu spracúvania a riziká. Musia prijať primerané opatrenia na ochranu údajov. Môže ísť o:
a)
pseudonymizáciu a šifrovanie,
b)
zabezpečenie toho, že k údajom sa dostanú len oprávnení ľudia, že zostanú nezmenené, dostupné a systém bude odolný,
c)
plán, ako obnoviť údaje po incidente,
d)
pravidelné kontrolovanie, či opatrenia fungujú.
(2)
Pri hodnotení bezpečnosti sa prihliada na riziká poškodenia, straty, zmeny alebo neoprávneného sprístupnenia údajov, a to aj pri ich prenose, uchovávaní alebo inom spracúvaní.
(3)
Splnenie týchto pravidiel možno preukázať schváleným kódexom správania alebo certifikátom.
(4)
Prevádzkovateľ aj sprostredkovateľ musia zabezpečiť, aby osoby pracujúce za nich a majúce prístup k údajom spracúvali tieto údaje len podľa pokynov alebo podľa zákona či medzinárodnej zmluvy.
Originál
(1)
Prevádzkovateľ a sprostredkovateľ sú povinní prijať so zreteľom na najnovšie poznatky, na náklady na vykonanie opatrení, na povahu, rozsah, kontext a účel spracúvania osobných údajov a na riziká s rôznou pravdepodobnosťou a závažnosťou pre práva fyzických osôb primerané technické a organizačné opatrenia na zaistenie úrovne bezpečnosti primeranej tomuto riziku, pričom uvedené opatrenia môžu zahŕňať najmä
a)
pseudonymizáciu a šifrovanie osobných údajov,
b)
zabezpečenie trvalej dôvernosti, integrity, dostupnosti a odolnosti systémov spracúvania osobných údajov,
c)
proces obnovy dostupnosti osobných údajov a prístup k nim v prípade fyzického incidentu alebo technického incidentu,
d)
proces pravidelného testovania, posudzovania a hodnotenia účinnosti technických a organizačných opatrení na zaistenie bezpečnosti spracúvania osobných údajov.
(2)
Pri posudzovaní primeranej úrovne bezpečnosti sa prihliada na riziká, ktoré predstavuje spracúvanie osobných údajov, a to najmä náhodné zničenie alebo nezákonné zničenie, strata, zmena alebo neoprávnené poskytnutie prenášaných osobných údajov, uchovávaných osobných údajov alebo inak spracúvaných osobných údajov, alebo neoprávnený prístup k takýmto osobným údajom.
(3)
Súlad s požiadavkami uvedenými v odseku 1 možno preukázať schváleným kódexom správania podľa § 85 alebo certifikátom podľa § 86 .
(4)
Prevádzkovateľ a sprostredkovateľ sú povinní zabezpečiť, aby fyzická osoba konajúca za prevádzkovateľa alebo sprostredkovateľa, ktorá má prístup k osobným údajom, spracúvala tieto údaje len na základe pokynov prevádzkovateľa alebo podľa osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná.

§ 40 – Oznámenie porušenia ochrany osobných údajov úradu

Trvalý odkaz
Jednoducho
(1)
Keď prevádzkovateľ zistí únik osobných údajov, musí to oznámiť úradu do 72 hodín. Ak únik neohrozí práva ľudí, oznamovať nemusí.
(2)
Ak mešká s oznámením, musí vysvetliť, prečo nestihol lehotu.
(3)
Sprostredkovateľ musí okamžite povedať prevádzkovateľovi o úniku, keď sa o ňom dozvie.
(4)
Oznámenie musí obsahovať:
a)
popis úniku, koľko ľudí sa to týka a aké údaje unikli,
b)
kontakt na zodpovedného človeka,
c)
aké následky môže únik mať,
d)
čo robia na nápravu a ako zmierňujú škody.
(5)
Prevádzkovateľ v oznámení uvedie len to, čo práve vie. Ostatné informácie doplní hneď, ako sa o nich dozvie.
(6)
Prevádzkovateľ si musí zapísať každý únik: čo sa stalo, aké to malo následky a ako to vyriešil.
Originál
(1)
Prevádzkovateľ je povinný oznámiť úradu porušenie ochrany osobných údajov do 72 hodín po tom, ako sa o ňom dozvedel; to neplatí, ak nie je pravdepodobné, že porušenie ochrany osobných údajov povedie k riziku pre práva fyzickej osoby.
(2)
Ak prevádzkovateľ nesplní oznamovaciu povinnosť podľa odseku 1, musí zmeškanie lehoty zdôvodniť.
(3)
Sprostredkovateľ je povinný oznámiť prevádzkovateľovi porušenie ochrany osobných údajov bez zbytočného odkladu po tom, ako sa o ňom dozvedel.
(4)
Oznámenie podľa odseku 1 musí obsahovať najmä
a)
opis povahy porušenia ochrany osobných údajov vrátane, ak je to možné, kategórií a približného počtu dotknutých osôb, ktorých sa porušenie týka, a kategórií a približného počtu dotknutých záznamov o osobných údajoch,
b)
kontaktné údaje zodpovednej osoby alebo iného kontaktného miesta, kde možno získať viac informácií,
c)
opis pravdepodobných následkov porušenia ochrany osobných údajov,
d)
opis opatrení prijatých alebo navrhovaných prevádzkovateľom na nápravu porušenia ochrany osobných údajov vrátane opatrení na zmiernenie jeho potenciálnych nepriaznivých dôsledkov, ak je to potrebné.
(5)
Prevádzkovateľ je povinný poskytnúť informácie podľa odseku 4 v rozsahu, v akom sú mu známe v čase oznámenia podľa odseku 1; ak v čase oznámenia podľa odseku 1 nie sú prevádzkovateľovi známe všetky informácie podľa odseku 4, poskytne ich bezodkladne po tom, čo sa o nich dozvie.
(6)
Prevádzkovateľ je povinný zdokumentovať každý prípad porušenia ochrany osobných údajov podľa odseku 1 vrátane skutočností spojených s porušením ochrany osobných údajov, jeho následky a prijaté opatrenia na nápravu.

Načítané 5 z 113 paragrafov