Zákon o ochrane osobných údajov

Zákon č. 18/2018 Z.z.

Sledovať zmeny
Panel nástrojov

Zákon o ochrane osobných údajov

Zákon č. 18/2018 Z.z.

§ 41 – Oznámenie porušenia ochrany osobných údajov dotknutej osobe

Trvalý odkaz
Jednoducho
(1)
Ak dôjde k úniku osobných údajov, ktorý môže vážne ohroziť práva človeka, ten, kto údaje spracúva, mu to musí oznámiť čo najskôr.
(2)
V oznámení musí byť jasný a jednoduchý popis toho, čo sa stalo, a informácie a opatrenia podľa § 40 ods. 4 písm. b) až d).
(3)
Oznámenie sa nevyžaduje, ak:
a)
boli použité dostatočné technické a organizačné opatrenia, napríklad šifrovanie alebo iné opatrenia, ktoré robia údaje nečitateľné pre nepovolané osoby,
b)
boli prijaté ďalšie kroky, ktoré odstránili vysoké riziko poškodenia práv,
c)
by bolo príliš náročné oznámiť to každému; vtedy treba informovať verejnosť alebo zabezpečiť, aby sa človek dozvedel o úniku rovnako účinným spôsobom.
(4)
Ak ten, kto údaje spracúva, ešte únik neoznámil, úrad môže po posúdení pravdepodobnosti vysokého rizika požadovať, aby tak urobil, alebo rozhodnúť, že platí niektorý z dôvodov uvedených v odseku 3.
Originál
(1)
Prevádzkovateľ je povinný bez zbytočného odkladu oznámiť dotknutej osobe porušenie ochrany osobných údajov, ak takéto porušenie ochrany osobných údajov môže viesť k vysokému riziku pre práva fyzickej osoby.
(2)
Oznámenie podľa odseku 1 musí obsahovať jasne a jednoducho formulovaný opis povahy porušenia ochrany osobných údajov a informácie a opatrenia podľa § 40 ods. 4 písm. b) až d) .
(3)
Oznámenie podľa odseku 1 sa nevyžaduje, ak
a)
prevádzkovateľ prijal primerané technické a organizačné ochranné opatrenia a uplatnil ich na osobné údaje, ktorých sa porušenie ochrany osobných údajov týka, a to najmä šifrovanie alebo iné opatrenia, na základe ktorých sú osobné údaje nečitateľné pre osoby, ktoré nie sú oprávnené mať k nim prístup,
b)
prevádzkovateľ prijal následné opatrenia na zabezpečenie vysokého rizika porušenia práv dotknutej osoby podľa odseku 1,
c)
by to vyžadovalo neprimerané úsilie; prevádzkovateľ je povinný informovať verejnosť alebo prijať iné opatrenie na zabezpečenie toho, že dotknutá osoba bude informovaná rovnako efektívnym spôsobom.
(4)
Ak prevádzkovateľ ešte porušenie ochrany osobných údajov neoznámil dotknutej osobe, úrad môže po zvážení pravdepodobnosti porušenia ochrany osobných údajov vedúceho k vysokému riziku požadovať, aby tak urobil, alebo môže rozhodnúť, že je splnená niektorá z podmienok uvedených v odseku 3.

§ 42 – Posúdenie vplyvu na ochranu osobných údajov

Trvalý odkaz
Jednoducho
(1)
Ak spracovanie údajov – najmä cez nové technológie – môže vážne ohroziť práva ľudí, musíte predtým urobiť posúdenie vplyvu na ochranu údajov. Pre skupinu podobných operácií s podobným rizikom stačí jedno posúdenie.
(2)
Ak máte zodpovednú osobu, musíte s ňou konzultovať postupy počas vypracovávania posúdenia.
(3)
Posúdenie potrebujete najmä keď:
a)
systematicky a vo veľkom rozsahu hodnotíte osobné znaky cez automatizované spracovanie (vrátane profilovania) a z toho vyplývajú rozhodnutia s právnymi účinkami alebo vážnym dopadom na človeka,
b)
vo veľkom rozsahu spracúvate citlivé údaje podľa § 16 ods. 1 alebo údaje o trestných činoch podľa § 17,
c)
systematicky vo veľkom rozsahu sledujete verejne prístupné miesta.
(4)
Posúdenie musí obsahovať najmä:
a)
popis plánovaných operácií a účelu vrátane prípadného oprávneného záujmu,
b)
posúdenie, či operácie sú nutné a primerané k účelu,
c)
posúdenie rizík pre práva dotknutej osoby,
d)
opatrenia na odstránenie rizík vrátane bezpečnostných opatrení a mechanizmov na preukázanie súladu so zákonom, pričom zohľadníte práva a záujmy dotknutej osoby aj ďalších ľudí.
(5)
Úrad pri hodnotení zohľadňuje, či dodržiavate schválený kódex správania (§ 85) alebo certifikát (§ 86), najmä pri posudzovaní vplyvu.
(6)
Môžete požiadať dotknutú osobu alebo jej zástupcu o názor na plánované spracovanie. Nesmie to však ohroziť obchodné záujmy, verejný záujem ani bezpečnosť operácií.
(7)
Musíte overiť, či spracovanie zodpovedá posúdeniu, najmä keď sa zmení riziko.
Originál
(1)
Ak typ spracúvania osobných údajov, najmä s využitím nových technológií a s ohľadom na povahu, rozsah, kontext a účel spracúvania osobných údajov, môže viesť k vysokému riziku pre práva fyzických osôb, prevádzkovateľ je povinný pred spracúvaním osobných údajov vykonať posúdenie vplyvu plánovaných spracovateľských operácií na ochranu osobných údajov. Pre súbor podobných spracovateľských operácií, ktoré predstavujú podobné vysoké riziko, postačí jedno posúdenie.
(2)
Prevádzkovateľ je povinný počas vykonávania posúdenia vplyvu na ochranu osobných údajov konzultovať jednotlivé postupy so zodpovednou osobou, ak bola určená.
(3)
Posúdenie vplyvu na ochranu osobných údajov sa vyžaduje najmä, ak ide o
a)
systematické a rozsiahle hodnotenie osobných znakov alebo charakteristík týkajúcich sa dotknutej osoby, ktoré je založené na automatizovanom spracúvaní osobných údajov vrátane profilovania a z ktorého vychádzajú rozhodnutia s právnymi účinkami týkajúcimi sa dotknutej osoby alebo s podobne závažným vplyvom na ňu,
b)
spracúvanie vo veľkom rozsahu osobitných kategórií osobných údajov podľa § 16 ods. 1 alebo osobných údajov týkajúcich sa uznania viny za spáchanie trestného činu alebo priestupku podľa § 17 , alebo
c)
systematické monitorovanie verejne prístupných miest vo veľkom rozsahu.
(4)
Posúdenie vplyvu na ochranu osobných údajov obsahuje najmä
a)
systematický opis plánovaných spracovateľských operácií a účel spracúvania osobných údajov vrátane uvedenia prípadného oprávneného záujmu, ktorý sleduje prevádzkovateľ,
b)
posúdenie nutnosti a primeranosti spracovateľských operácií vo vzťahu k účelu,
c)
posúdenie rizika pre práva dotknutej osoby a
d)
opatrenia na elimináciu rizík vrátane záruk, bezpečnostných opatrení a mechanizmov na zabezpečenie ochrany osobných údajov a na preukázanie súladu s týmto zákonom s prihliadnutím na práva a oprávnené záujmy dotknutej osoby a ďalších fyzických osôb, ktorých sa to týka.
(5)
Pri posudzovaní dosahu spracovateľských operácií vykonávaných prevádzkovateľom alebo sprostredkovateľom úrad zohľadňuje, či prevádzkovateľ alebo sprostredkovateľ postupuje v súlade so schváleným kódexom správania podľa § 85 alebo certifikátom podľa § 86 , a to najmä na účely posúdenia vplyvu na ochranu osobných údajov.
(6)
Prevádzkovateľ je oprávnený získavať názory dotknutej osoby alebo organizácie, ktorá zastupuje jej záujmy, na zamýšľané spracúvanie osobných údajov; ochrana obchodných záujmov, verejného záujmu alebo bezpečnosť spracovateľských operácií nesmie byť dotknutá.
(7)
Prevádzkovateľ je povinný posúdiť, či sa spracúvanie osobných údajov uskutočňuje v súlade s posúdením vplyvu na ochranu osobných údajov, a to najmä, ak došlo k zmene rizika, ktoré predstavuje spracovateľská operácia.

§ 43 – Predchádzajúca konzultácia

Trvalý odkaz
Jednoducho
(1)
Ak hodnotenie rizík ukáže, že spracovanie údajov môže vážne ohroziť práva ľudí, firma musí najprv konzultovať s Úradom na ochranu osobných údajov. Ak však prijme opatrenia na zníženie rizika, konzultovať nemusí.
(2)
Ak Úrad zistí, že plánované spracovanie odporuje zákonu – najmä ak firma nedostatočne posúdila riziká alebo ich neznížila – do ôsmich týždňov jej dá písomné stanovisko. Pri zložitých prípadoch môže lehotu predĺžiť o šesť týždňov; o predĺžení a dôvodoch informuje písomne do mesiaca. Lehota začne plynúť až vtedy, keď Úrad dostane všetky informácie, o ktoré požiadal.
(3)
Počas konzultácií musí firma Úradu poskytnúť:
a)
informácie o svojich povinnostiach, o ďalších firmách, ktoré sa na spracovaní podieľajú spoločne s ňou (najmä v rámci skupiny firiem), a o sprostredkovateľoch,
b)
na aký účel a akým spôsobom chce údaje spracovávať,
c)
aké opatrenia prijala na ochranu práv ľudí,
d)
kontakt na zodpovednú osobu, ak ju má,
e)
hodnotenie rizík podľa § 42,
f)
ďalšie informácie, o ktoré Úrad požiada.
Originál
(1)
Prevádzkovateľ je povinný s úradom uskutočniť konzultáciu pred spracúvaním osobných údajov, ak je z posúdenia vplyvu na ochranu osobných údajov podľa § 42 zrejmé, že spracúvanie osobných údajov povedie k vysokému riziku pre práva fyzických osôb, ak prevádzkovateľ neprijme opatrenia na zmiernenie tohto rizika.
(2)
Ak sa úrad domnieva, že zamýšľané spracúvanie osobných údajov podľa odseku 1 bude v rozpore s týmto zákonom, najmä ak prevádzkovateľ nedostatočne identifikoval riziko alebo zmiernil riziko, úrad do ôsmich týždňov od prijatia žiadosti o konzultáciu poskytne prevádzkovateľovi, prípadne aj sprostredkovateľovi, písomné poradenstvo. Úrad môže s ohľadom na zložitosť zamýšľaného spracúvania osobných údajov predĺžiť lehotu podľa predchádzajúcej vety o šesť týždňov; predĺženie lehoty a dôvody predĺženia úrad písomne oznámi prevádzkovateľovi, prípadne aj sprostredkovateľovi do jedného mesiaca od prijatia žiadosti o konzultáciu. Lehota na poskytnutie poradenstva neplynie, kým úrad nezíska informácie, o ktoré požiadal na účely konzultácie.
(3)
Počas konzultácií s úradom podľa odseku 1 je prevádzkovateľ povinný poskytnúť úradu
a)
informácie o povinnostiach prevádzkovateľa, ktoré má v súvislosti s jeho spracovateľskou činnosťou podliehajúcou predchádzajúcej konzultácii podľa odseku 1, o spoločných prevádzkovateľoch a sprostredkovateľoch zapojených do spracúvania osobných údajov, najmä pri spracúvaní osobných údajov v rámci skupiny podnikov,
b)
informácie o účeloch zamýšľaného spracúvania osobných údajov a prostriedkoch na jeho vykonanie,
c)
informácie o opatreniach a zárukách poskytnutých na ochranu práv dotknutej osoby podľa tohto zákona,
d)
kontaktné údaje zodpovednej osoby, ak je určená,
e)
posúdenie vplyvu na ochranu osobných údajov podľa § 42 a
f)
ďalšie informácie, o ktoré úrad požiada.

§ 44 – Určenie zodpovednej osoby

Trvalý odkaz
Jednoducho
(1)
Ten, kto spracúva osobné údaje (prevádzkovateľ), aj ten, kto to robí pre neho (sprostredkovateľ), musí mať zodpovednú osobu, ak:
a)
ide o štátny úrad alebo verejnú inštitúciu (okrem súdu pri súdnom konaní),
b)
hlavne sleduje ľudí vo veľkom rozsahu, alebo
c)
hlavne pracuje s citlivými údajmi alebo údajmi o trestných činoch vo veľkom rozsahu.
(2)
Skupina firiem môže mať jednu spoločnú zodpovednú osobu, ak tá zvládne úlohy pre všetky firmy v skupine.
(3)
Štátne úrady a verejné inštitúcie môžu mať spoločnú zodpovednú osobu, ak to vyhovuje ich veľkosti a organizácii.
(4)
Ak to zákon nevyžaduje, môžu si zodpovednú osobu určiť aj samotné firmy alebo ich združenia. Táto osoba môže konať aj v mene združenia.
(5)
Musia mať zodpovednú osobu aj vtedy, ak to prikazuje iný zákon alebo medzinárodná zmluva. Táto osoba môže konať aj v mene združenia.
(6)
Zodpovednú osobu vyberajú podľa odbornosti, najmä podľa znalostí o ochrane údajov a schopnosti plniť úlohy podľa zákona.
(7)
Môže to byť ich zamestnanec alebo niekto externý na základe zmluvy.
(8)
Musia zverejniť kontaktné údaje zodpovednej osoby (napríklad na webe) a oznámiť ich úradu.
Originál
(1)
Prevádzkovateľ a sprostredkovateľ sú povinní určiť zodpovednú osobu, ak
a)
spracúvanie osobných údajov vykonáva orgán verejnej moci alebo verejnoprávna inštitúcia okrem súdov pri výkone ich súdnej právomoci,
b)
hlavnými činnosťami prevádzkovateľa alebo sprostredkovateľa sú spracovateľské operácie, ktoré si vzhľadom na svoju povahu, rozsah alebo účel vyžadujú pravidelné a systematické monitorovanie dotknutej osoby vo veľkom rozsahu, alebo
c)
hlavnými činnosťami prevádzkovateľa alebo sprostredkovateľa je spracúvanie osobitných kategórií osobných údajov podľa § 16 vo veľkom rozsahu alebo spracúvanie osobných údajov týkajúcich sa uznania viny za spáchanie trestného činu alebo priestupku podľa § 17 vo veľkom rozsahu.
(2)
Skupina podnikov môže určiť jednu zodpovednú osobu, ak táto osoba bude spôsobilá plniť úlohy podľa § 46 pre každý podnik zo skupiny podnikov.
(3)
Ak je prevádzkovateľom alebo sprostredkovateľom orgán verejnej moci alebo verejnoprávna inštitúcia, môže byť pre viaceré takéto orgány alebo inštitúcie určená jedna zodpovedná osoba, pričom sa zohľadní ich rozsah a ich organizačná štruktúra.
(4)
Okrem prípadov podľa odseku 1 zodpovednú osobu môže určiť prevádzkovateľ alebo sprostredkovateľ alebo združenia a iné subjekty zastupujúce kategórie prevádzkovateľov alebo sprostredkovateľov. Zodpovedná osoba môže konať v mene takých združení a iných subjektov zastupujúcich prevádzkovateľov alebo sprostredkovateľov.
(5)
Okrem prípadov podľa odseku 1 je prevádzkovateľ alebo sprostredkovateľ alebo združenia a iné subjekty zastupujúce kategórie prevádzkovateľov alebo sprostredkovateľov povinný určiť zodpovednú osobu, ak sa to vyžaduje v osobitnom predpise alebo medzinárodnej zmluve, ktorou je Slovenská republika viazaná. Zodpovedná osoba môže konať v mene takýchto združení a iných subjektov zastupujúcich prevádzkovateľov alebo sprostredkovateľov.
(6)
Zodpovedná osoba sa určí na základe jej odborných kvalít, a to najmä na základe jej odborných znalostí práva a postupov v oblasti ochrany osobných údajov a na základe spôsobilosti plniť úlohy podľa § 46 .
(7)
Zodpovedná osoba môže byť zamestnancom prevádzkovateľa alebo sprostredkovateľa alebo môže plniť úlohy na základe zmluvy.
(8)
Prevádzkovateľ a sprostredkovateľ sú povinní zverejniť, napríklad na ich webovom sídle, kontaktné údaje zodpovednej osoby, ak je určená, a oznámiť ich úradu.

§ 45 – Postavenie zodpovednej osoby

Trvalý odkaz
Jednoducho
(1)
Prevádzkovateľ a sprostredkovateľ musia zabezpečiť, aby zodpovedná osoba riadne a načas vykonávala ochranu osobných údajov.
(2)
Musia jej pomáhať pri plnení úloh. Najmä jej musia dať prostriedky na prácu, prístup k údajom a operáciám, a zabezpečiť jej vzdelávanie.
(3)
Pri ochrane údajov jej nesmú dávať príkazy. Nesmú ju vyhodiť ani potrestať za túto prácu. Pri týchto úlohách odpovedá priamo vedeniu firmy.
(4)
Osoba, ktorej údaje spracúvajú, sa môže obrátiť na zodpovednú osobu s otázkami o spracovaní údajov a uplatňovaní svojich práv.
(5)
Pri svojej práci musí zachovávať mlčanlivosť podľa zákona.
(6)
Môže plniť aj iné úlohy, ale prevádzkovateľ alebo sprostredkovateľ musia zabezpečiť, aby tieto úlohy neviedli ku konfliktu záujmov.
Originál
(1)
Prevádzkovateľ a sprostredkovateľ sú povinní zabezpečiť, aby zodpovedná osoba riadne a včas vykonávala činnosti súvisiace s ochranou osobných údajov.
(2)
Prevádzkovateľ a sprostredkovateľ sú povinní poskytnúť zodpovednej osobe pri plnení úloh podľa § 46 potrebnú súčinnosť; najmä sú povinní jej poskytnúť prostriedky potrebné na plnenie týchto úloh a prístup k osobným údajom a spracovateľským operáciám, ako aj zabezpečiť udržiavanie jej odborných znalostí.
(3)
Prevádzkovateľ a sprostredkovateľ sú povinní zabezpečiť, aby zodpovedná osoba v súvislosti s plnením úloh podľa § 46 nedostávala žiadne pokyny. Prevádzkovateľ ani sprostredkovateľ ju nesmú odvolať alebo postihovať za výkon jej úloh podľa § 46 . Zodpovedná osoba je pri plnení úloh podľa § 46 priamo zodpovedná štatutárnemu orgánu prevádzkovateľa alebo štatutárnemu orgánu sprostredkovateľa.
(4)
Dotknutá osoba môže kontaktovať zodpovednú osobu s otázkami týkajúcimi sa spracúvania jej osobných údajov a uplatňovania jej práv podľa tohto zákona.
(5)
Zodpovedná osoba je v súvislosti s výkonom svojich úloh viazaná povinnosťou mlčanlivosti v súlade s týmto zákonom alebo osobitným predpisom. 15 )
(6)
Zodpovedná osoba môže plniť aj iné úlohy a povinnosti ako podľa § 46 ; prevádzkovateľ alebo sprostredkovateľ sú povinní zabezpečiť, aby žiadna z takýchto iných úloh alebo povinností neviedla ku konfliktu záujmov.

Načítané 5 z 113 paragrafov