Zákon o ochrane osobných údajov

§ 1 – Predmet úpravy

Trvalý odkaz

Jednoducho

Tento zákon upravuje:

a)

ochranu ľudí pred nepovoleným spracovaním ich osobných údajov,

b)

práva, povinnosti a zodpovednosť pri spracovaní osobných údajov,

c)

postavenie, právomoci a organizáciu Úradu na ochranu osobných údajov Slovenskej republiky (ďalej len „úrad").

Originál

Tento zákon upravuje

a)

ochranu práv fyzických osôb pred neoprávneným spracúvaním ich osobných údajov,

b)

práva, povinnosti a zodpovednosť pri spracúvaní osobných údajov fyzických osôb,

c)

postavenie, pôsobnosť a organizáciu Úradu na ochranu osobných údajov Slovenskej republiky (ďalej len „úrad“).

§ 2 – Čo sú osobné údaje

Trvalý odkaz

Jednoducho

Osobné údaje sú informácie o človeku, ktorého poznáme alebo vieme zistiť. Môže ísť o meno, priezvisko, rodné číslo, polohu alebo internetový profil. Zahŕňajú to aj údaje o jeho tele, zdraví, génoch, mysli, vzdelaní, práci, kultúre alebo spoločenskom postavení.

Originál

Osobnými údajmi sú údaje týkajúce sa identifikovanej fyzickej osoby alebo identifikovateľnej fyzickej osoby, ktorú možno identifikovať priamo alebo nepriamo, najmä na základe všeobecne použiteľného identifikátora, iného identifikátora, ako je napríklad meno, priezvisko, identifikačné číslo, lokalizačné údaje, 1 ) alebo online identifikátor, alebo na základe jednej alebo viacerých charakteristík alebo znakov, ktoré tvoria jej fyzickú identitu, fyziologickú identitu, genetickú identitu, psychickú identitu, mentálnu identitu, ekonomickú identitu, kultúrnu identitu alebo sociálnu identitu.

§ 3 – Rozsah pôsobnosti zákona o GDPR

Trvalý odkaz

Jednoducho

(1)

Tento zákon platí pre spracovanie osobných údajov počítačom alebo čiastočne počítačom. Platí aj pre spracovanie bez počítača, ak údaje patria do informačného systému alebo majú do neho patriť.

(2)

Zákon platí aj pre spracovanie údajov podľa osobitného predpisu o ochrane osobných údajov. Na takéto spracovanie sa však nevzťahujú § 2, § 5 a druhá a tretia časť tohto zákona.

(3)

Zákon platí aj keď polícia, vojenská polícia, väzenská stráž, finančná správa, prokuratúra alebo súdy spracúvajú údaje na účely trestného konania. Z druhej časti tohto zákona sa na takéto spracovanie vzťahujú len § 52, § 59, § 67 a § 73.

(4)

Zákon platí pre spracovanie údajov:

a)

organizáciami so sídlom, pobočkou alebo prevádzkou na Slovensku, aj keď údaje spracúvajú v zahraničí,

b)

organizáciami mimo Slovenska, ak sa tam uplatňuje slovenský právny poriadok podľa medzinárodného práva,

c)

ľudí, ktorí sú na Slovensku, ak organizácia nie je v členskom štáte EÚ a spracúvanie súvisí s ponúkaním tovarov či služieb alebo so sledovaním ich správania na Slovensku.

(5)

Zákon sa nevzťahuje na spracovanie údajov:

a)

jednotlivcom pre vlastnú osobnú alebo domácu potrebu,

b)

Slovenskou informačnou službou a Vojenským spravodajstvom,

c)

Národným bezpečnostným úradom pri bezpečnostných previerkach a pri príprave podkladov na rozhodovanie o sudcovskej spôsobilosti,

d)

zosnulých osôb.

Originál

(1)

Tento zákon sa vzťahuje na spracúvanie osobných údajov vykonávané úplne alebo čiastočne automatizovanými prostriedkami a na spracúvanie osobných údajov inými než automatizovanými prostriedkami, ak ide o osobné údaje, ktoré tvoria súčasť informačného systému alebo sú určené na to, aby tvorili súčasť informačného systému.

(2)

Tento zákon, okrem § 2 , § 5 , druhej a tretej časti zákona, sa vzťahuje na spracúvanie osobných údajov, na ktoré sa vzťahuje osobitný predpis o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov. 2 )

(3)

Tento zákon sa vzťahuje na spracúvanie osobných údajov Policajným zborom, Vojenskou políciou, Zborom väzenskej a justičnej stráže, Finančnou správou, prokuratúrou a súdmi (ďalej len „príslušný orgán“) na účely predchádzania a odhaľovania trestnej činnosti, zisťovania páchateľov trestných činov, stíhania trestných činov alebo na účely výkonu rozhodnutí v trestnom konaní vrátane ochrany pred ohrozením verejného poriadku a predchádzania takémuto ohrozeniu (ďalej len „plnenie úloh na účely trestného konania“); z druhej časti tohto zákona sa na spracúvanie osobných údajov podľa predchádzajúcej časti vety vzťahujú len ustanovenia uvedené v § 52 , § 59 , § 67 a § 73 .

(4)

Tento zákon sa vzťahuje na spracúvanie osobných údajov

a)

v rámci činnosti prevádzkovateľa alebo sprostredkovateľa, ktorého sídlo, miesto podnikania, organizačná zložka, prevádzkareň alebo trvalý pobyt je na území Slovenskej republiky, a to bez ohľadu na to, či sa spracúvanie osobných údajov vykonáva na území Slovenskej republiky alebo mimo územia Slovenskej republiky,

b)

v rámci činnosti prevádzkovateľa alebo sprostredkovateľa, ktorého sídlo, miesto podnikania, organizačná zložka, prevádzkareň alebo trvalý pobyt nie je na území Slovenskej republiky, ale je v mieste, kde sa na základe medzinárodného práva verejného uplatňuje právny poriadok Slovenskej republiky,

c)

dotknutej osoby, ktorá sa nachádza na území Slovenskej republiky, prevádzkovateľom alebo sprostredkovateľom, ktorého sídlo, miesto podnikania, organizačná zložka, prevádzkareň alebo trvalý pobyt nie je v členskom štáte, pričom spracúvanie osobných údajov súvisí

(5)

Tento zákon sa nevzťahuje na spracúvanie osobných údajov

a)

fyzickou osobou v rámci výlučne osobnej činnosti alebo domácej činnosti,

b)

Slovenskou informačnou službou, 3 ) Vojenským spravodajstvom, 4 )

c)

Národným bezpečnostným úradom na účely vykonávania bezpečnostných previerok a na účely zabezpečovania podkladov na rozhodovanie Súdnej rady Slovenskej republiky o splnení predpokladov sudcovskej spôsobilosti, 5 )

d)

zosnulých osôb.

§ 4 – Prenos údajov do zahraničia

Trvalý odkaz

Jednoducho

Osobné údaje môžu voľne prúdiť medzi Slovenskom a ostatnými krajinami EÚ. Slovensko nebude zakazovať ani obmedzovať prenos údajov s odôvodnením, že ide o ochranu osobného súkromia.

Originál

Voľný pohyb osobných údajov medzi Slovenskou republikou a členskými štátmi sa zaručuje; Slovenská republika neobmedzí ani nezakáže prenos osobných údajov z dôvodu ochrany základných práv fyzických osôb, najmä ich práva na súkromie v súvislosti so spracúvaním ich osobných údajov.

§ 5 – Vymedzenie základných pojmov

Trvalý odkaz

Jednoducho

Na účely tohto zákona sa rozumie

a)

súhlasom to, že človek dobrovoľne, s rozumom a jasne povedal alebo ukázal, že súhlasí so spracovaním svojich údajov,

b)

genetickými údajmi informácie o génoch človeka, ktoré zdedil alebo získal. Hovoria niečo unikátne o jeho tele alebo zdraví. Získavajú sa napríklad z biologickej vzorky,

c)

biometrickými údajmi informácie získané špeciálnou technikou o tele, tvári, odtlačkoch prstov alebo správaní človeka, ktoré ho jednoznačne identifikujú,

d)

údajmi týkajúcimi sa zdravia informácie o fyzickom alebo duševnom zdraví človeka, vrátane údajov o poskytnutej zdravotnej starostlivosti,

e)

spracúvaním osobných údajov akákoľvek práca s nimi. Ide o zbieranie, ukladanie, triedenie, zmenu, posielanie, mazanie alebo iné použitie. Platí to pre počítače aj pre papier,

f)

obmedzením spracúvania označenie uložených údajov tak, aby sa s nimi v budúcnosti pracovalo len obmedzene,

g)

profilovaním automatické hodnotenie človeka na základe jeho údajov. Používa sa na analýzu jeho práce, zdravia, záujmov, správania alebo pohybu,

h)

pseudonymizáciou úprava údajov tak, že bez špeciálnych dodatočných informácií nemožno zistiť, komu patria. Tieto dodatočné informácie sa musia uchovávať oddelene a bezpečne,

i)

logom záznam o tom, čo konkrétny používateľ robil v počítačovom systéme,

j)

šifrovaním zmena údajov do kódu, ktorý prečítate až po zadaní hesla alebo špeciálneho kľúča,

k)

online identifikátorom napríklad IP adresa, cookies alebo prihlasovacie meno. V kombinácii s inými údajmi môže slúžiť na identifikáciu konkrétneho človeka,

l)

informačným systémom usporiadaný súbor údajov, ku ktorým sa dá pristupovať podľa určených pravidiel. Môže byť v jednej budove alebo rozptýlený,

m)

porušením ochrany osobných údajov bezpečnostný incident, keď dôjde k neoprávnenému zničeniu, strate, zmene alebo prístupu k údajom,

n)

dotknutou osobou každý človek, o ktorom sa spracúvajú osobné údaje,

o)

prevádzkovateľom ten, kto rozhoduje, načo a ako sa budú údaje spracovávať. Môže ísť o jednu alebo viac osôb. Niekedy ho určuje zákon,

p)

sprostredkovateľom ten, kto spracováva údaje za prevádzkovateľa a koná v jeho mene,

q)

príjemcom každý, komu sa poskytnú osobné údaje. Nie je ním štátny orgán, ktorý údaje spracováva podľa osobitného zákona,

r)

treťou stranou ktokoľvek iný okrem dotknutej osoby, prevádzkovateľa a sprostredkovateľa. Nepatria sem ani ľudia poverení spracovaním údajov,

s)

zodpovednou osobou ten, koho firma určila na dohľad nad ochranou údajov podľa tohto zákona,

t)

zástupcom firma alebo človek v členskom štáte EÚ, ktorého prevádzkovateľ poveril podľa § 35,

u)

podnikom živnostník alebo firma, ktorá robí biznis, bez ohľadu na právnu formu,

v)

skupinou podnikov materská firma a jej dcérske firmy, ktoré ovláda,

w)

hlavnou prevádzkarňou

x)

vnútropodnikovými pravidlami interné postupy na ochranu údajov, ktoré firma dodržiava pri posielaní údajov do krajín mimo EÚ,

y)

kódexom správania pravidlá ochrany údajov, ktoré sa firma dobrovoľne zaviazala dodržiavať,

z)

medzinárodnou organizáciou organizácia založená dohodou medzi štátmi alebo jej podriadené subjekty, ktoré sa riadia medzinárodným právom,

aa) členským štátom krajina Európskej únie alebo krajina Európskeho hospodárskeho priestoru,

ab) treťou krajinou každá krajina, ktorá nie je členským štátom EÚ,

ac) zamestnancom úradu človek v pracovnom pomere alebo štátny zamestnanec, ktorý pracuje na úrade na ochranu osobných údajov.

Originál

Na účely tohto zákona sa rozumie

a)

súhlasom dotknutej osoby akýkoľvek vážny a slobodne daný, konkrétny, informovaný a jednoznačný prejav vôle dotknutej osoby vo forme vyhlásenia alebo jednoznačného potvrdzujúceho úkonu, ktorým dotknutá osoba vyjadruje súhlas so spracúvaním svojich osobných údajov,

b)

genetickými údajmi osobné údaje týkajúce sa zdedených genetických charakteristických znakov fyzickej osoby alebo nadobudnutých genetických charakteristických znakov fyzickej osoby, ktoré poskytujú jedinečné informácie o fyziológii alebo zdraví tejto fyzickej osoby a ktoré vyplývajú najmä z analýzy biologickej vzorky danej fyzickej osoby,

c)

biometrickými údajmi osobné údaje, ktoré sú výsledkom osobitného technického spracúvania osobných údajov týkajúcich sa fyzických charakteristických znakov fyzickej osoby, fyziologických charakteristických znakov fyzickej osoby alebo behaviorálnych charakteristických znakov fyzickej osoby a ktoré umožňujú jedinečnú identifikáciu alebo potvrdzujú jedinečnú identifikáciu tejto fyzickej osoby, ako najmä vyobrazenie tváre alebo daktyloskopické údaje,

d)

údajmi týkajúcimi sa zdravia osobné údaje týkajúce sa fyzického zdravia alebo duševného zdravia fyzickej osoby vrátane údajov o poskytovaní zdravotnej starostlivosti alebo služieb súvisiacich s poskytovaním zdravotnej starostlivosti, ktorými sa odhaľujú informácie o jej zdravotnom stave,

e)

spracúvaním osobných údajov spracovateľská operácia alebo súbor spracovateľských operácií s osobnými údajmi alebo so súbormi osobných údajov, najmä získavanie, zaznamenávanie, usporadúvanie, štruktúrovanie, uchovávanie, zmena, vyhľadávanie, prehliadanie, využívanie, poskytovanie prenosom, šírením alebo iným spôsobom, preskupovanie alebo kombinovanie, obmedzenie, vymazanie, bez ohľadu na to, či sa vykonáva automatizovanými prostriedkami alebo neautomatizovanými prostriedkami,

f)

obmedzením spracúvania osobných údajov označenie uchovávaných osobných údajov s cieľom obmedziť ich spracúvanie v budúcnosti,

g)

profilovaním akákoľvek forma automatizovaného spracúvania osobných údajov spočívajúceho v použití osobných údajov na vyhodnotenie určitých osobných znakov alebo charakteristík týkajúcich sa fyzickej osoby, najmä na analýzu alebo predvídanie znakov alebo charakteristík dotknutej osoby súvisiacich s jej výkonnosťou v práci, majetkovými pomermi, zdravím, osobnými preferenciami, záujmami, spoľahlivosťou, správaním, polohou alebo pohybom,

h)

pseudonymizáciou spracúvanie osobných údajov spôsobom, že ich nie je možné priradiť ku konkrétnej dotknutej osobe bez použitia dodatočných informácií, ak sa takéto dodatočné informácie uchovávajú oddelene a vzťahujú sa na ne technické a organizačné opatrenia na zabezpečenie toho, aby osobné údaje nebolo možné priradiť identifikovanej fyzickej osobe alebo identifikovateľnej fyzickej osobe,

i)

logom záznam o priebehu činnosti používateľa v automatizovanom informačnom systéme,

j)

šifrovaním transformácia osobných údajov spôsobom, ktorým opätovné spracúvanie je možné len po zadaní zvoleného parametra, ako je kľúč alebo heslo,

k)

online identifikátorom identifikátor poskytnutý aplikáciou, nástrojom alebo protokolom, najmä IP adresa, cookies, prihlasovacie údaje do online služieb, rádiofrekvenčná identifikácia, ktoré môžu zanechávať stopy, ktoré sa najmä v kombinácii s jedinečnými identifikátormi alebo inými informáciami môžu použiť na vytvorenie profilu dotknutej osoby a na jej identifikáciu,

l)

informačným systémom akýkoľvek usporiadaný súbor osobných údajov, ktoré sú prístupné podľa určených kritérií, bez ohľadu na to, či ide o systém centralizovaný, decentralizovaný alebo distribuovaný na funkčnom základe alebo geografickom základe,

m)

porušením ochrany osobných údajov porušenie bezpečnosti, ktoré vedie k náhodnému alebo nezákonnému zničeniu, strate, zmene alebo k neoprávnenému poskytnutiu prenášaných, uchovávaných osobných údajov alebo inak spracúvaných osobných údajov, alebo k neoprávnenému prístupu k nim,

n)

dotknutou osobou každá fyzická osoba, ktorej osobné údaje sa spracúvajú,

o)

prevádzkovateľom každý, kto sám alebo spoločne s inými vymedzí účel a prostriedky spracúvania osobných údajov a spracúva osobné údaje vo vlastnom mene; prevádzkovateľ alebo konkrétne požiadavky na jeho určenie môžu byť ustanovené v osobitnom predpise alebo medzinárodnej zmluve, ktorou je Slovenská republika viazaná, ak takýto predpis alebo táto zmluva ustanovuje účel a prostriedky spracúvania osobných údajov,

p)

sprostredkovateľom každý, kto spracúva osobné údaje v mene prevádzkovateľa,

q)

príjemcom každý, komu sa osobné údaje poskytnú bez ohľadu na to, či je treťou stranou; za príjemcu sa nepovažuje orgán verejnej moci, ktorý spracúva osobné údaje na základe osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, v súlade s pravidlami ochrany osobných údajov vzťahujúcimi sa na daný účel spracúvania osobných údajov,

r)

treťou stranou každý, kto nie je dotknutou osobou, prevádzkovateľ, sprostredkovateľ alebo inou fyzickou osobou, ktorá na základe poverenia prevádzkovateľa alebo sprostredkovateľa spracúva osobné údaje,

s)

zodpovednou osobou osoba určená prevádzkovateľom alebo sprostredkovateľom, ktorá plní úlohy podľa tohto zákona,

t)

zástupcom fyzická osoba alebo právnická osoba so sídlom, miestom podnikania, organizačnou zložkou, prevádzkarňou alebo trvalým pobytom v členskom štáte, ktorú prevádzkovateľ alebo sprostredkovateľ písomne poveril podľa § 35 ,

u)

podnikom fyzická osoba – podnikateľ alebo právnická osoba vykonávajúca hospodársku činnosť bez ohľadu na jej právnu formu vrátane združení fyzických osôb alebo združení právnických osôb, ktoré pravidelne vykonávajú hospodársku činnosť,

v)

skupinou podnikov ovládajúci podnik a ním ovládané podniky,

w)

hlavnou prevádzkarňou

x)

vnútropodnikovými pravidlami postupy ochrany osobných údajov, ktoré dodržiava prevádzkovateľ alebo sprostredkovateľ so sídlom, miestom podnikania, organizačnou zložkou, prevádzkarňou alebo trvalým pobytom na území Slovenskej republiky na účely prenosu osobných údajov prevádzkovateľovi alebo sprostredkovateľovi v tretej krajine,

y)

kódexom správania súbor pravidiel ochrany osobných údajov dotknutej osoby, ktorý sa prevádzkovateľ alebo sprostredkovateľ zaviazal dodržiavať,

z)

medzinárodnou organizáciou organizácia a jej podriadené subjekty, ktoré sa riadia medzinárodným právom verejným, alebo akýkoľvek iný subjekt, ktorý bol zriadený dohodou medzi dvoma alebo viacerými krajinami alebo na základe takejto dohody, aa) členským štátom štát, ktorý je členským štátom Európskej únie alebo zmluvnou stranou Dohody o Európskom hospodárskom priestore, ab) treťou krajinou krajina, ktorá nie je členským štátom, ac) zamestnancom úradu zamestnanec v pracovnom pomere alebo v obdobnom pracovnom vzťahu podľa osobitného predpisu 6 ) alebo štátny zamestnanec, ktorý vykonáva štátnu službu v štátnozamestnaneckom pomere podľa osobitného predpisu. 7 )

§ 6 – Zásada zákonnosti

Trvalý odkaz

Jednoducho

Osobné údaje môžete spracovávať len podľa zákona. Nesmiete pritom porušiť základné práva človeka, ktorého sa to týka.

Originál

Osobné údaje možno spracúvať len zákonným spôsobom a tak, aby nedošlo k porušeniu základných práv dotknutej osoby.

§ 7 – Zásada obmedzenia účelu

Trvalý odkaz

Jednoducho

Osobné údaje môžete získavať len na jasný a povolený účel. Nesmiete ich ďalej spracúvať spôsobom, ktorý s ním nesúhlasí.

Výnimka platí pre archívy, vedu, históriu alebo štatistiku. Ak postupujete podľa zákona a chránite práva osôb, ktorých sa to týka, neodporuje to pôvodnému účelu.

Originál

Osobné údaje sa môžu získavať len na konkrétne určený, výslovne uvedený a oprávnený účel a nesmú sa ďalej spracúvať spôsobom, ktorý nie je zlučiteľný s týmto účelom; ďalšie spracúvanie osobných údajov na účel archivácie, na vedecký účel, na účel historického výskumu alebo na štatistický účel, ak je v súlade s osobitným predpisom 8 ) a ak sú dodržané primerané záruky ochrany práv dotknutej osoby podľa § 78 ods. 7 , sa nepovažuje za nezlučiteľné s pôvodným účelom.

§ 8 – Zásada minimalizácie osobných údajov

Trvalý odkaz

Jednoducho

Osobné údaje musia byť primerané a relevantné. Nesmú prekročiť nevyhnutný rozsah daný účelom.

Originál

Spracúvané osobné údaje musia byť primerané, relevantné a obmedzené na nevyhnutný rozsah daný účelom, na ktorý sa spracúvajú.

§ 9 – Zásada správnosti

Trvalý odkaz

Jednoducho

Osobné údaje musia byť správne. Ak treba, aktualizujeme ich. Ak sú nesprávne, musíme ich bez odkladu opraviť alebo vymazať.

Originál

Spracúvané osobné údaje musia byť správne a podľa potreby aktualizované; musia sa prijať primerané a účinné opatrenia na zabezpečenie toho, aby sa osobné údaje, ktoré sú nesprávne z hľadiska účelov, na ktoré sa spracúvajú, bez zbytočného odkladu vymazali alebo opravili.

§ 10 – Zásada minimalizácie uchovávania

Trvalý odkaz

Jednoducho

Osobné údaje uchovávajte len tak dlho, ako ich potrebujete na daný účel. Nesmú byť uchované tak, aby sa dala zistiť identita človeka, dlhšie ako je to nutné.

Môžete ich mať dlhšie len vtedy, ak ich používate výlučne na archiváciu, vedu, historický výskum alebo štatistiku podľa osobitného predpisu. Musíte pritom dodržiavať primerané záruky ochrany práv dotknutej osoby podľa § 78 ods. 7.

Originál

Osobné údaje musia byť uchovávané vo forme, ktorá umožňuje identifikáciu dotknutej osoby najneskôr dovtedy, kým je to potrebné na účel, na ktorý sa osobné údaje spracúvajú; osobné údaje sa môžu uchovávať dlhšie, ak sa majú spracúvať výlučne na účel archivácie, na vedecký účel, na účel historického výskumu alebo na štatistický účel na základe osobitného predpisu 8 ) a ak sú dodržané primerané záruky ochrany práv dotknutej osoby podľa § 78 ods. 7.

§ 11 – Zásada integrity a dôvernosti

Trvalý odkaz

Jednoducho

Osobné údaje musíte spracovávať bezpečne. Použite vhodné technické a organizačné opatrenia, ktoré ochránia údaje pred použitím bez povolenia alebo proti zákonu, pred náhodnou stratou, zmazaním alebo poškodením.

Originál

Osobné údaje musia byť spracúvané spôsobom, ktorý prostredníctvom primeraných technických a organizačných opatrení zaručuje primeranú bezpečnosť osobných údajov vrátane ochrany pred neoprávneným spracúvaním osobných údajov, nezákonným spracúvaním osobných údajov, náhodnou stratou osobných údajov, výmazom osobných údajov alebo poškodením osobných údajov.

§ 12 – Zásada zodpovednosti

Trvalý odkaz

Jednoducho

Prevádzkovateľ musí dodržiavať základné pravidlá spracovania osobných údajov. Musí tiež zabezpečiť, aby ich spracovanie bolo v súlade s týmito pravidlami. Na požiadanie úradu musí tento súlad dokázať.

Originál

Prevádzkovateľ je zodpovedný za dodržiavanie základných zásad spracúvania osobných údajov, za súlad spracúvania osobných údajov so zásadami spracúvania osobných údajov a je povinný tento súlad so zásadami spracúvania osobných údajov na požiadanie úradu preukázať.

§ 13 – Zákonnosť spracúvania

Trvalý odkaz

Jednoducho

(1)

Osobné údaje smie spracúvať len vtedy, ak má na to aspoň jeden z týchto dôvodov:

a)

človek súhlasil so spracovaním na konkrétny účel,

b)

ide o plnenie zmluvy alebo prípravu zmluvy na žiadosť človeka,

c)

to vyžaduje osobitný zákon alebo medzinárodná zmluva,

d)

ide o ochranu života, zdravia alebo majetku človeka či inej osoby,

e)

ide o verejný záujem alebo výkon verejnej moci, alebo

f)

ide o oprávnený záujem prevádzkovateľa alebo tretej strany, pokiaľ neprevažujú práva človeka (najmä ak ide o dieťa); toto sa nevzťahuje na úrady pri výkone ich úloh.

(2)

Dôvody podľa písmen c) a e) musia byť uvedené v tomto zákone, osobitnom zákone alebo medzinárodnej zmluve. Osobitný zákon musí jasne určiť účel spracovania, koho sa to týka a aké konkrétne údaje sa spracúvajú. Údaje spracované podľa osobitného zákona možno poskytnúť, preniesť alebo zverejniť len vtedy, ak osobitný zákon povoľuje účel, rozsah údajov alebo príjemcov.

(3)

Ak sa údaje spracúvajú na iný účel, ako na aký sa získali, a nie je to na základe súhlasu alebo osobitného zákona, prevádzkovateľ musí zvážiť:

a)

súvislosť medzi pôvodným a novým účelom,

b)

okolnosti získania údajov, najmä vzťah medzi človekom a prevádzkovateľom,

c)

povahu údajov (či ide o citlivé údaje alebo údaje o trestných činoch),

d)

možné následky pre človeka,

e)

či existujú primerané záruky, napríklad šifrovanie alebo pseudonymizácia.

Originál

(1)

Spracúvanie osobných údajov je zákonné, ak sa vykonáva na základe aspoň jedného z týchto právnych základov:

a)

dotknutá osoba vyjadrila súhlas so spracúvaním svojich osobných údajov aspoň na jeden konkrétny účel,

b)

spracúvanie osobných údajov je nevyhnutné na plnenie zmluvy, ktorej zmluvnou stranou je dotknutá osoba, alebo na vykonanie opatrenia pred uzatvorením zmluvy na základe žiadosti dotknutej osoby,

c)

spracúvanie osobných údajov je nevyhnutné podľa osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná,

d)

spracúvanie osobných údajov je nevyhnutné na ochranu života, zdravia alebo majetku dotknutej osoby alebo inej fyzickej osoby,

e)

spracúvanie osobných údajov je nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi, alebo

f)

spracúvanie osobných údajov je nevyhnutné na účel oprávnených záujmov prevádzkovateľa alebo tretej strany okrem prípadov, keď nad týmito záujmami prevažujú záujmy alebo práva dotknutej osoby vyžadujúce si ochranu osobných údajov, najmä ak je dotknutou osobou dieťa; tento právny základ sa nevzťahuje na spracúvanie osobných údajov orgánmi verejnej moci pri plnení ich úloh.

(2)

Právny základ na spracúvanie osobných údajov podľa odseku 1 písm. c) a e) musí byť ustanovený v tomto zákone, osobitnom predpise alebo v medzinárodnej zmluve, ktorou je Slovenská republika viazaná; osobitný zákon musí ustanovovať účel spracúvania osobných údajov, kategóriu dotknutých osôb a zoznam spracúvaných osobných údajov alebo rozsah spracúvaných osobných údajov. Spracúvané osobné údaje na základe osobitného zákona možno z informačného systému poskytnúť, preniesť alebo zverejniť len vtedy, ak osobitný zákon ustanovuje účel poskytovania alebo účel zverejňovania, zoznam spracúvaných osobných údajov alebo rozsah spracúvaných osobných údajov, ktoré možno poskytnúť alebo zverejniť, prípadne príjemcov, ktorým sa osobné údaje poskytnú.

(3)

Ak spracúvanie osobných údajov na iný účel ako na účel, na ktorý boli osobné údaje získané, nie je založené na súhlase dotknutej osoby alebo na osobitnom predpise, prevádzkovateľ na zistenie toho, či je spracúvanie osobných údajov na iný účel zlučiteľné s účelom, na ktorý boli osobné údaje pôvodne získané, okrem iného musí zohľadniť

a)

akúkoľvek súvislosť medzi účelom, na ktorý sa osobné údaje pôvodne získali, a účelom zamýšľaného ďalšieho spracúvania osobných údajov,

b)

okolnosti, za akých sa osobné údaje získali, najmä okolnosti týkajúce sa vzťahu medzi dotknutou osobou a prevádzkovateľom,

c)

povahu osobných údajov, najmä či sa spracúvajú osobitné kategórie osobných údajov podľa § 16 alebo osobné údaje týkajúce sa uznania viny za spáchanie trestného činu alebo priestupku podľa § 17 ,

d)

možné následky zamýšľaného ďalšieho spracúvania osobných údajov pre dotknutú osobu a

e)

existenciu primeraných záruk, ktoré môžu zahŕňať šifrovanie alebo pseudonymizáciu.

§ 14 – Podmienky poskytnutia súhlasu so spracúvaním osobných údajov

Trvalý odkaz

Jednoducho

(1)

Ak spracúvame údaje na základe vášho súhlasu, musíme kedykoľvek vedieť dokázať, že ste nám ho dali.

(2)

Keď žiadame o súhlas, musí byť oddelený od iných informácií. Musíte ho jasne rozumieť a ľahko sa k nemu dostať.

(3)

Svoj súhlas môžete kedykoľvek odvolať. To neovplyvní spracovanie, ktoré už prebehlo. O tom vás musíme informovať vopred. Odvolať ho môžete rovnako, ako ste ho dali.

(4)

Keď sa zisťuje, či bol súhlas dobrovoľný, zohľadní sa najmä to, či bola služba ponúknutá len za podmienky súhlasu s vecami, ktoré na ňu nie sú potrebné.

Originál

(1)

Ak je spracúvanie osobných údajov založené na súhlase dotknutej osoby, prevádzkovateľ je povinný kedykoľvek vedieť preukázať, že dotknutá osoba poskytla súhlas so spracúvaním svojich osobných údajov.

(2)

Ak prevádzkovateľ žiada o udelenie súhlasu na spracovanie osobných údajov dotknutú osobu, tento súhlas musí byť odlíšený od iných skutočností a musí byť vyjadrený jasne a v zrozumiteľnej a ľahko dostupnej forme.

(3)

Dotknutá osoba má právo kedykoľvek odvolať súhlas so spracovaním osobných údajov, ktoré sa jej týkajú. Odvolanie súhlasu nemá vplyv na zákonnosť spracúvania osobných údajov založeného na súhlase pred jeho odvolaním; pred poskytnutím súhlasu musí byť dotknutá osoba o tejto skutočnosti informovaná. Dotknutá osoba môže súhlas odvolať rovnakým spôsobom, akým súhlas udelila.

(4)

Pri posudzovaní, či bol súhlas poskytnutý slobodne, sa najmä zohľadní skutočnosť, či sa plnenie zmluvy vrátane poskytnutia služby podmieňuje súhlasom so spracúvaním osobných údajov, ktorý nie je na plnenie tejto zmluvy nevyhnutný.

§ 15 – Podmienky poskytnutia súhlasu v súvislosti so službami informačnej spoločnosti

Trvalý odkaz

Jednoducho

(1)

Prevádzkovateľ môže spracúvať osobné údaje na základe súhlasu, len ak má človek aspoň 16 rokov. Ak má menej, musí súhlas dať alebo schváliť rodič alebo zákonný zástupca.

(2)

Prevádzkovateľ sa musí primerane snažiť overiť, že súhlas dal skutočne rodič alebo zákonný zástupca. Pri overovaní musí zohľadniť dostupnú technológiu.

Originál

(1)

Prevádzkovateľ v súvislosti s ponukou služieb informačnej spoločnosti 9 ) spracúva osobné údaje na základe súhlasu dotknutej osoby zákonne, ak dotknutá osoba dovŕšila 16 rokov veku. Ak má dotknutá osoba menej ako 16 rokov, takéto spracúvanie osobných údajov je zákonné iba za podmienky a v rozsahu, v akom takýto súhlas poskytol alebo schválil jej zákonný zástupca. 10 )

(2)

Prevádzkovateľ je povinný vynaložiť primerané úsilie, aby si overil, že zákonný zástupca dotknutej osoby poskytol alebo schválil súhlas so spracúvaním osobných údajov podľa odseku 1, pričom zohľadní dostupnú technológiu.

§ 16 – Spracúvanie osobitných kategórií osobných údajov

Trvalý odkaz

Jednoducho

(1)

Spracovanie citlivých údajov je zakázané. Citlivé údaje sú informácie o rasovom alebo etnickom pôvode, politických názoroch, náboženskom vyznaní, filozofickom presvedčení, členstve v odboroch, genetických a biometrických údajoch, zdravotnom stave, sexuálnom živote alebo sexuálnej orientácii človeka.

(2)

Tento zákaz neplatí, ak:

a)

človek dal jasný súhlas na konkrétny účel; súhlas je neplatný, ak ho zákon zakazuje,

b)

ide o pracovné právo, sociálne zabezpečenie, sociálnu ochranu alebo verejné zdravotné poistenie podľa zákona, medzinárodnej zmluvy alebo kolektívnej zmluvy, ak tieto právne predpisy dostatočne chránia práva človeka,

c)

ide o ochranu života, zdravia alebo majetku človeka, ktorý nemôže dať súhlas,

d)

ide o činnosť občianskych združení, nadácií, neziskoviek, politických strán, odborov, cirkví alebo náboženských spoločností pre ich členov alebo ľudí, s ktorými pravidelne komunikujú; údaje slúžia len pre ich vnútornú potrebu a nedajú sa iným bez písomného alebo inak preukázateľného súhlasu človeka,

e)

človek sám zverejnil svoje údaje,

f)

ide o uplatnenie právneho nároku alebo súdne konanie,

g)

ide o verejný záujem podľa zákona alebo medzinárodnej zmluvy, ktoré sú primerané, rešpektujú podstatu práva na ochranu údajov a stanovujú konkrétne opatrenia na ochranu práv človeka,

h)

ide o pracovnú medicínu, zdravotnú starostlivosť alebo verejné zdravotné poistenie, ak to robí lekár, zdravotná poisťovňa alebo iná oprávnená osoba viazaná mlčanlivosťou a profesijnou etikou,

i)

ide o sociálne poistenie, sociálne zabezpečenie policajtov a vojakov, štátne sociálne dávky, podporu zamestnanosti, sociálne služby, ochranu detí, sociálnu kuratelu, pomoc v hmotnej núdzi alebo pracovnoprávne povinnosti podľa zákona alebo medzinárodnej zmluvy,

j)

ide o verejný záujem v oblasti zdravia, napríklad ochranu pred vážnymi cezhraničnými hrozbami alebo kvalitu zdravotnej starostlivosti, liekov a pomôcok podľa zákona alebo medzinárodnej zmluvy, ktoré chránia práva človeka, najmä mlčanlivosťou,

k)

ide o archívy, vedu, historický výskum alebo štatistiku podľa zákona alebo medzinárodnej zmluvy, ktoré sú primerané, rešpektujú ochranu údajov a chránia práva človeka.

Originál

(1)

Zakazuje sa spracúvanie osobitných kategórií osobných údajov. Osobitnými kategóriami osobných údajov sú údaje, ktoré odhaľujú rasový pôvod alebo etnický pôvod, politické názory, náboženskú vieru, filozofické presvedčenie, členstvo v odborových organizáciách, genetické údaje, biometrické údaje, údaje týkajúce sa zdravia alebo údaje týkajúce sa sexuálneho života alebo sexuálnej orientácie fyzickej osoby.

(2)

Zákaz spracúvania osobitných kategórií osobných údajov neplatí, ak

a)

dotknutá osoba vyjadrila výslovný súhlas so spracúvaním týchto osobných údajov aspoň na jeden konkrétny účel; súhlas je neplatný, ak jeho poskytnutie vylučuje osobitný predpis,

b)

spracúvanie je nevyhnutné na účel plnenia povinností a výkonu osobitných práv prevádzkovateľa alebo dotknutej osoby v oblasti pracovného práva, práva sociálneho zabezpečenia, sociálnej ochrany alebo verejného zdravotného poistenia podľa osobitného predpisu, 11 ) medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, alebo podľa kolektívnej zmluvy, ak poskytujú primerané záruky ochrany základných práv a záujmov dotknutej osoby,

c)

spracúvanie je nevyhnutné na ochranu života, zdravia alebo majetku dotknutej osoby alebo inej fyzickej osoby, ak dotknutá osoba nie je fyzicky spôsobilá alebo právne spôsobilá vyjadriť svoj súhlas,

d)

spracúvanie vykonáva v rámci oprávnenej činnosti občianske združenie, nadácia alebo nezisková organizácia poskytujúca všeobecne prospešné služby, politická strana alebo politické hnutie, odborová organizácia, štátom uznaná cirkev alebo náboženská spoločnosť a toto spracúvanie sa týka iba ich členov alebo tých fyzických osôb, ktoré sú s nimi vzhľadom na ich ciele v pravidelnom styku, osobné údaje slúžia výlučne pre ich vnútornú potrebu a nebudú poskytnuté príjemcovi bez písomného alebo inak hodnoverne preukázateľného súhlasu dotknutej osoby,

e)

spracúvanie sa týka osobných údajov, ktoré dotknutá osoba preukázateľne zverejnila,

f)

spracúvanie je nevyhnutné na uplatnenie právneho nároku, 12 ) alebo pri výkone súdnej právomoci,

g)

spracúvanie je nevyhnutné z dôvodu verejného záujmu na základe tohto zákona, osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, ktoré sú primerané vzhľadom na sledovaný cieľ, rešpektujú podstatu práva na ochranu osobných údajov a ustanovujú vhodné a konkrétne opatrenia na zabezpečenie základných práv a záujmov dotknutej osoby,

h)

spracúvanie je nevyhnutné na účel preventívneho pracovného lekárstva, poskytovania zdravotnej starostlivosti a služieb súvisiacich s poskytovaním zdravotnej starostlivosti alebo na účel vykonávania verejného zdravotného poistenia, ak tieto údaje spracúva poskytovateľ zdravotnej starostlivosti, zdravotná poisťovňa, osoba vykonávajúca služby súvisiace s poskytovaním zdravotnej starostlivosti alebo osoba vykonávajúca dohľad nad zdravotnou starostlivosťou a v jej mene odborne spôsobilá oprávnená osoba, ktorá je viazaná povinnosťou mlčanlivosti o skutočnostiach, o ktorých sa dozvedela pri výkone svojej činnosti, a povinnosťou dodržiavať zásady profesijnej etiky,

i)

spracúvanie je nevyhnutné na účel sociálneho poistenia, sociálneho zabezpečenia policajtov a vojakov, poskytovania štátnych sociálnych dávok, podpory sociálneho začlenenia fyzickej osoby s ťažkým zdravotným postihnutím do spoločnosti, 13 ) poskytovania sociálnych služieb, vykonávania opatrení sociálnoprávnej ochrany detí a sociálnej kurately alebo na účel poskytovania pomoci v hmotnej núdzi, alebo je spracúvanie nevyhnutné na účel plnenia povinností alebo uplatnenia práv prevádzkovateľa zodpovedného za spracúvanie v oblasti pracovného práva a v oblasti služieb zamestnanosti, ak to prevádzkovateľovi vyplýva z osobitného predpisu 14 ) alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná,

j)

spracúvanie je nevyhnutné z dôvodu verejného záujmu v oblasti verejného zdravia, ako je ochrana proti závažným cezhraničným ohrozeniam zdravia alebo zabezpečenie vysokej úrovne kvality a bezpečnosti zdravotnej starostlivosti, liekov, dietetických potravín alebo zdravotníckych pomôcok, na základe tohto zákona, osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, ktorými sa ustanovujú vhodné a konkrétne opatrenia na ochranu práv dotknutej osoby, najmä povinnosť mlčanlivosti, 15 )

k)

spracúvanie je nevyhnutné na účel archivácie, na vedecký účel, na účel historického výskumu alebo na štatistický účel podľa tohto zákona, osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, ktoré sú primerané vzhľadom na sledovaný cieľ, rešpektujú podstatu práva na ochranu osobných údajov a ustanovené vhodné a konkrétne opatrenia na zabezpečenie základných práv a záujmov dotknutej osoby.

§ 17 – Spracúvanie osobných údajov týkajúcich sa uznania viny za spáchanie trestného činu alebo priestupku

Trvalý odkaz

Jednoducho

Osobné údaje v registri trestov môže spracovávať len štátny orgán.

Údaje o vine za trestný čin alebo priestupok a o súvisiacich bezpečnostných opatreniach môže štát spracovávať len podľa osobitného zákona alebo medzinárodnej zmluvy. Tieto musia dostatočne chrániť práva dotknutého človeka.

Originál

Prevádzkovateľom na účel spracúvania osobných údajov v registri trestov podľa osobitného predpisu 16 ) môže byť len štátny orgán. Spracúvať osobné údaje týkajúce sa uznania viny za spáchanie trestného činu alebo priestupku alebo súvisiacich bezpečnostných opatrení možno len na základe osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, ktoré poskytujú primerané záruky ochrany práv dotknutej osoby.

§ 18 – Spracúvanie osobných údajov bez potreby identifikácie

Trvalý odkaz

Jednoducho

(1)

Ak účel spracovania údajov vyžaduje poznať totožnosť človeka, ten kto údaje spracúva nemusí zhromažďovať ďalšie informácie len preto, aby bol v poriadku podľa zákona.

(2)

Ak dokáže, že nevie zistiť, kto je daný človek, musí mu to oznámiť, ak je to možné. V takom prípade sa na neho nevzťahujú práva podľa § 21 až 26. Tieto práva mu vzniknú iba vtedy, keď sám poskytne informácie, ktoré umožnia jeho identifikáciu.

Originál

(1)

Ak si účel, na ktorý prevádzkovateľ spracúva osobné údaje, vyžaduje alebo vyžadoval od prevádzkovateľa, aby identifikoval dotknutú osobu, prevádzkovateľ nie je povinný uchovávať, získať alebo spracúvať dodatočné informácie na zistenie totožnosti dotknutej osoby výlučne na to, aby dosiahol súlad s týmto zákonom.

(2)

Ak v prípadoch uvedených v odseku 1 prevádzkovateľ vie preukázať, že dotknutú osobu nie je schopný identifikovať, je povinný ju o tom primeraným spôsobom informovať, ak je to možné. V takých prípadoch sa § 21 až 26 neuplatňujú okrem toho, ak dotknutá osoba na účel vykonania svojich práv podľa uvedených ustanovení poskytne dodatočné informácie umožňujúce jej identifikáciu.

§ 19 – Poskytované informácie, ak osobné údaje sú získané od dotknutej osoby

Trvalý odkaz

Jednoducho

(1)

Ak sa od vás získavajú osobné údaje, prevádzkovateľ vám pri ich zbieraní musí povedať:

a)

kto je a ako ho kontaktovať; ak má zástupcu, aj jeho kontakt,

b)

ako kontaktovať zodpovednú osobu, ak je určená,

c)

načo údaje použije a aký má právny dôvod,

d)

aké oprávnené záujmy má on alebo tretia strana, ak spracúva údaje podľa § 13 ods. 1 písm. f),

e)

komu údaje poskytne alebo aká skupina príjemcov ich dostane,

f)

či plánuje poslať údaje do tretej krajiny alebo medzinárodnej organizácii, ktorá krajina alebo organizácia to je, či Európska komisia rozhodla o primeranosti ochrany, alebo aké záruky sa použijú a kde si ich môžete pozrieť alebo získať kópiu, ak ide o prenos podľa § 48 ods. 2, § 49 alebo § 51 ods. 1 a 2.

(2)

Okrem toho vám musí povedať:

a)

ako dlho si údaje ponechá; ak to nevie, podľa čoho určí túto dobu,

b)

že máte právo vidieť svoje údaje, opraviť ich, vymazať, obmedziť ich spracúvanie, namietať proti spracúvaniu a preniesť ich inde,

c)

že môžete kedykoľvek odvolať súhlas,

d)

že môžete podať návrh na začatie konania podľa § 100,

e)

či musíte údaje poskytnúť zo zákona alebo zmluvy, či ste povinní ich dať a čo sa stane, ak ich neposkytnete,

f)

či sa o vás rozhoduje automaticky vrátane profilovania podľa § 28 ods. 1 a 4; vtedy musí vysvetliť, ako to funguje, a čo to pre vás znamená.

(3)

Ak chce prevádzkovateľ spracovať údaje na iný účel, ako na ktorý ste ich dali, musí vám predtým povedať o tom novom účele a ďalšie dôležité informácie z odseku 2.

(4)

Ak vám tieto informácie dali pred spracovaním údajov, odseky 1 až 3 sa na vás nevzťahujú.

Originál

(1)

Ak sa od dotknutej osoby získavajú osobné údaje, ktoré sa jej týkajú, je prevádzkovateľ povinný poskytnúť dotknutej osobe pri ich získavaní

a)

identifikačné údaje a kontaktné údaje prevádzkovateľa a zástupcu prevádzkovateľa, ak bol poverený,

b)

kontaktné údaje zodpovednej osoby, ak je určená,

c)

účel spracúvania osobných údajov, na ktorý sú osobné údaje určené, ako aj právny základ spracúvania osobných údajov,

d)

oprávnené záujmy prevádzkovateľa alebo tretej strany, ak sa osobné údaje spracúvajú podľa § 13 ods. 1 písm. f) ,

e)

identifikáciu príjemcu alebo kategóriu príjemcu, ak existuje,

f)

informáciu o tom, že prevádzkovateľ zamýšľa preniesť osobné údaje do tretej krajiny alebo medzinárodnej organizácii, identifikáciu tretej krajiny alebo medzinárodnej organizácie, informáciu o existencii alebo neexistencii rozhodnutia Európskej komisie (ďalej len „Komisia“) o primeranosti alebo odkaz na primerané záruky alebo vhodné záruky a prostriedky na získanie ich kópie alebo informáciu o tom, kde boli sprístupnené, ak prevádzkovateľ zamýšľa prenos podľa § 48 ods. 2 , § 49 alebo § 51 ods. 1 a 2 .

(2)

Okrem informácií podľa odseku 1 je prevádzkovateľ povinný pri získavaní osobných údajov poskytnúť dotknutej osobe informácie o

a)

dobe uchovávania osobných údajov; ak to nie je možné, informácie o kritériách jej určenia,

b)

práve požadovať od prevádzkovateľa prístup k osobným údajom týkajúcich sa dotknutej osoby, o práve na opravu osobných údajov, o práve na vymazanie osobných údajov alebo o práve na obmedzenie spracúvania osobných údajov, o práve namietať spracúvanie osobných údajov, ako aj o práve na prenosnosť osobných údajov,

c)

práve kedykoľvek svoj súhlas odvolať,

d)

práve podať návrh na začatie konania podľa § 100 ,

e)

tom, či je poskytovanie osobných údajov zákonnou požiadavkou alebo zmluvnou požiadavkou alebo požiadavkou, ktorá je potrebná na uzavretie zmluvy, a o tom, či je dotknutá osoba povinná poskytnúť osobné údaje, ako aj o možných následkoch neposkytnutia osobných údajov,

f)

existencii automatizovaného individuálneho rozhodovania vrátane profilovania podľa § 28 ods. 1 a 4 ; v týchto prípadoch poskytne prevádzkovateľ dotknutej osobe informácie o použitom postupe, ako aj o význame a predpokladaných dôsledkoch takého spracúvania osobných údajov pre dotknutú osobu.

(3)

Prevádzkovateľ je povinný poskytnúť dotknutej osobe pred ďalším spracúvaním osobných údajov informácie o inom účele a ďalšie relevantné informácie podľa odseku 2, ak má prevádzkovateľ v úmysle ďalej spracúvať osobné údaje na iný účel ako ten, na ktorý boli získané.

(4)

Odseky 1 až 3 sa neuplatňujú v rozsahu, v akom boli informácie dotknutej osobe poskytnuté pred spracúvaním osobných údajov.

§ 20 – Poskytované informácie, ak osobné údaje nie sú získané od dotknutej osoby

Trvalý odkaz

Jednoducho

(1)

Ak vaše údaje nezískal priamo od vás, musí vám prevádzkovateľ povedať:

a)

svoje meno a kontakt, prípadne kontakt svojho zástupcu,

b)

kontakt na zodpovednú osobu, ak ju má,

c)

načo údaje používa a prečo ich môže spracovávať (právny dôvod),

d)

aké konkrétne údaje o vás vedie,

e)

komu ich poskytuje alebo aké skupiny ľudí ich dostávajú,

f)

či ich plánuje poslať do zahraničia alebo medzinárodnej organizácii, kam presne, a či tam platia dostatočné pravidlá ochrany; ak nie, aké záruky používa a kde nájdete ich kópiu.

(2)

Musí vám tiež povedať:

a)

ako dlho údaje uchováva alebo podľa čoho určí túto dobu,

b)

aké záujmy ho k tomu vedú, ak spracúva údaje podľa § 13 ods. 1 písm. f),

c)

aké máte práva – právo pozrieť si svoje údaje, opraviť ich, vymazať, obmedziť ich spracovanie, namietať proti nemu a preniesť údaje k niekomu inému,

d)

že môžete kedykoľvek vziať späť svoj súhlas,

e)

že môžete podať sťažnosť podľa § 100,

f)

odkiaľ údaje získal a či z verejných zdrojov,

g)

či o vás rozhoduje automaticky vrátane profilovania podľa § 28 ods. 1 a 4; ak áno, vysvetlí vám použitý postup, význam a dopady takéhoto rozhodovania na vás.

(3)

Tieto informácie vám dá:

a)

do jedného mesiaca od získania údajov, podľa konkrétnej situácie,

b)

najneskôr pri prvej komunikácii s vami, ak cez údaje s vami bude komunikovať,

c)

najneskôr keď ich prvýkrát pošle ďalšiemu príjemcovi.

(4)

Ak chce údaje použiť na iný účel, než načo ich získal, musí vám o tom povedať skôr, ako začne, a poskytnúť aj ďalšie dôležité informácie z odseku 2.

(5)

Tieto povinnosti neplatia:

a)

ak už dané informácie máte,

b)

ak by bolo nemožné ich poskytnúť alebo by to vyžadovalo príliš veľa námahy – najmä pri archivovaní, vedeckej práci, historickom výskume alebo štatistike podľa § 78 ods. 7, alebo ak by to znemožnilo dosiahnuť ciele spracovania; vtedy ale musí prijať opatrenia na ochranu vašich práv vrátane zverejnenia informácií,

c)

ak to upravuje osobitný zákon, ktorý obsahuje dostatočné opatrenia na ochranu vašich práv,

d)

ak musí údaje držať v tajnosti podľa zákona o mlčanlivosti.

Originál

(1)

Ak osobné údaje neboli získané od dotknutej osoby, prevádzkovateľ je povinný dotknutej osobe poskytnúť

a)

identifikačné údaje a kontaktné údaje prevádzkovateľa a zástupcu prevádzkovateľa, ak bol poverený,

b)

kontaktné údaje zodpovednej osoby, ak je určená,

c)

účel spracúvania osobných údajov, na ktorý sú osobné údaje určené, ako aj právny základ spracúvania osobných údajov,

d)

kategórie spracúvaných osobných údajov,

e)

identifikáciu príjemcu alebo kategóriu príjemcu, ak existuje,

f)

informáciu o tom, že prevádzkovateľ zamýšľa preniesť osobné údaje do tretej krajiny alebo medzinárodnej organizácii, identifikáciu tretej krajiny alebo medzinárodnej organizácie, informáciu o existencii alebo neexistencii rozhodnutia Komisie o primeranosti alebo odkaz na primerané záruky alebo vhodné záruky a prostriedky na získanie ich kópie alebo informáciu o tom, kde boli sprístupnené, ak prevádzkovateľ zamýšľa prenos podľa § 48 ods. 2 , § 49 alebo § 51 ods. 1 a 2 .

(2)

Okrem informácií podľa odseku 1 je prevádzkovateľ povinný poskytnúť dotknutej osobe informácie o

a)

dobe uchovávania osobných údajov; ak to nie je možné, informáciu o kritériách jej určenia,

b)

oprávnených záujmoch prevádzkovateľa alebo tretej strany, ak sa spracúvajú osobné údaje podľa § 13 ods. 1 písm. f) ,

c)

práve požadovať od prevádzkovateľa prístup k osobným údajom týkajúcich sa dotknutej osoby o práve na opravu osobných údajov, o práve na vymazanie osobných údajov alebo o práve na obmedzenie spracúvania osobných údajov, o práve namietať spracúvanie osobných údajov, ako aj o práve na prenosnosť osobných údajov,

d)

práve kedykoľvek svoj súhlas odvolať,

e)

práve podať návrh na začatie konania podľa § 100 ,

f)

zdroji, z ktorého pochádzajú osobné údaje, prípadne informácie o tom, či pochádzajú z verejne prístupných zdrojov,

g)

existencii automatizovaného individuálneho rozhodovania vrátane profilovania podľa § 28 ods. 1 a 4 ; v týchto prípadoch poskytne prevádzkovateľ dotknutej osobe informácie o použitom postupe, ako aj o význame automatizovaného individuálneho rozhodovania a predpokladaných dôsledkoch takého spracúvania osobných údajov pre dotknutú osobu.

(3)

Prevádzkovateľ je povinný poskytnúť informácie podľa odsekov 1 a 2

a)

najneskôr do jedného mesiaca po získaní osobných údajov, pričom zohľadní konkrétne okolnosti, za ktorých sa osobné údaje spracúvajú,

b)

najneskôr v čase prvej komunikácie s touto dotknutou osobou, ak sa osobné údaje majú použiť na komunikáciu s dotknutou osobou, alebo

c)

najneskôr vtedy, keď sa osobné údaje prvýkrát poskytnú, ak sa predpokladá poskytnutie osobných údajov ďalšiemu príjemcovi.

(4)

Prevádzkovateľ je povinný poskytnúť dotknutej osobe pred ďalším spracúvaním osobných údajov informácie o inom účele a ďalšie relevantné informácie podľa odseku 2, ak má prevádzkovateľ v úmysle ďalej spracúvať osobné údaje na iný účel ako ten, na ktorý boli získané.

(5)

Odseky 1 až 4 sa neuplatňujú

a)

v rozsahu, v akom dotknutá osoba už dané informácie má,

b)

v rozsahu, v akom sa poskytovanie týchto informácií ukáže ako nemožné alebo by si vyžadovalo neprimerané úsilie, najmä ak sa spracúvajú osobné údaje na účel archivácie, na vedecký účel, na účel historického výskumu alebo na štatistický účel, na ktorý sa vzťahujú podmienky a záruky podľa § 78 ods. 7 , alebo ak je pravdepodobné, že povinnosť uvedená v odseku 1 znemožní alebo závažným spôsobom sťaží dosiahnutie cieľov takého spracúvania osobných údajov; prevádzkovateľ je v takom prípade povinný prijať vhodné opatrenia na ochranu práv a oprávnených záujmov dotknutej osoby vrátane sprístupnenia daných informácií verejnosti,

c)

v rozsahu, v akom sa získanie týchto informácií alebo poskytnutie týchto informácií ustanovuje v osobitnom predpise, ktorý sa na prevádzkovateľa vzťahuje a v ktorom sú ustanovené primerané opatrenia na ochranu práv a oprávnených záujmov dotknutej osoby, alebo

d)

ak osobné údaje musia zostať dôverné na základe povinnosti mlčanlivosti podľa osobitného predpisu. 15 )

§ 21 – Právo na prístup k osobným údajom

Trvalý odkaz

Jednoducho

(1)

Máte právo vedieť, či niekto spracúva vaše osobné údaje. Ak áno, môžete si ich pozrieť a dozvedieť sa:

a)

načo ich používajú,

b)

aké údaje to sú,

c)

komu ich dali alebo dajú (najmä mimo EÚ),

d)

ako dlho ich uchovávajú,

e)

ako môžete údaje opraviť, vymazať, obmedziť spracovanie alebo namietať proti nemu,

f)

že môžete podať sťažnosť (podľa § 100),

g)

odkiaľ údaje získali, ak nie od vás,

h)

či o vás rozhodujú počítače (profilovanie) a čo to pre vás znamená.

(2)

Ak sa vaše údaje posielajú mimo EÚ, máte právo vedieť, ako sú chránené.

(3)

Prevádzkovateľ vám musí dať vaše údaje. Ak žiadate opakovane, môže si účtovať poplatok za administratívne náklady. Údaje vám dá tak, ako si žiadate.

(4)

Vaše právo získať údaje nesmie poškodiť práva iných ľudí.

Originál

(1)

Dotknutá osoba má právo získať od prevádzkovateľa potvrdenie o tom, či sa spracúvajú osobné údaje, ktoré sa jej týkajú. Ak prevádzkovateľ takéto osobné údaje spracúva, dotknutá osoba má právo získať prístup k týmto osobným údajom a informácie o

a)

účele spracúvania osobných údajov,

b)

kategórii spracúvaných osobných údajov,

c)

identifikácii príjemcu alebo o kategórii príjemcu, ktorému boli alebo majú byť osobné údaje poskytnuté, najmä o príjemcovi v tretej krajine alebo o medzinárodnej organizácii, ak je to možné,

d)

dobe uchovávania osobných údajov; ak to nie je možné, informáciu o kritériách jej určenia,

e)

práve požadovať od prevádzkovateľa opravu osobných údajov týkajúcich sa dotknutej osoby, ich vymazanie alebo obmedzenie ich spracúvania, alebo o práve namietať spracúvanie osobných údajov,

f)

práve podať návrh na začatie konania podľa § 100 ,

g)

zdroji osobných údajov, ak sa osobné údaje nezískali od dotknutej osoby,

h)

existencii automatizovaného individuálneho rozhodovania vrátane profilovania podľa § 28 ods. 1 a 4 ; v týchto prípadoch poskytne prevádzkovateľ dotknutej osobe informácie najmä o použitom postupe, ako aj o význame a predpokladaných dôsledkoch takého spracúvania osobných údajov pre dotknutú osobu.

(2)

Dotknutá osoba má právo byť informovaná o primeraných zárukách týkajúcich sa prenosu podľa § 48 ods. 2 až 4 , ak sa osobné údaje prenášajú do tretej krajiny alebo medzinárodnej organizácii.

(3)

Prevádzkovateľ je povinný poskytnúť dotknutej osobe jej osobné údaje, ktoré spracúva. Za opakované poskytnutie osobných údajov, o ktoré dotknutá osoba požiada, môže prevádzkovateľ účtovať primeraný poplatok zodpovedajúci administratívnym nákladom. Prevádzkovateľ je povinný poskytnúť osobné údaje dotknutej osobe spôsobom podľa jej požiadavky.

(4)

Právo získať osobné údaje podľa odseku 3 nesmie mať nepriaznivé dôsledky na práva iných fyzických osôb.

§ 22 – Právo na opravu osobných údajov

Trvalý odkaz

Jednoducho

Osoba má právo, aby ten, kto spracúva jej údaje, čo najskôr opravil chybné údaje. Podľa toho, na čo sa údaje používajú, môže tiež požiadať o doplnenie neúplných údajov.

Originál

Dotknutá osoba má právo na to, aby prevádzkovateľ bez zbytočného odkladu opravil nesprávne osobné údaje, ktoré sa jej týkajú. So zreteľom na účel spracúvania osobných údajov má dotknutá osoba právo na doplnenie neúplných osobných údajov.

§ 23 – Právo na výmaz osobných údajov

Trvalý odkaz

Jednoducho

(1)

Máte právo požiadať, aby firma alebo inštitúcia čo najskôr zmazala vaše osobné údaje.

(2)

Firma ich musí zmazať, ak ste o to požiadali a zároveň platí niektorý z týchto dôvodov:

a)

údaje už nepotrebuje na účel, na ktorý ich získala,

b)

ste odvolali súhlas a nemá na spracovanie iný dôvod,

c)

namietate spracovanie a firma nemá vážnejší dôvod pokračovať,

d)

údaje spracúva nezákonne,

e)

ju to ukladá zákon alebo medzinárodná zmluva,

f)

ide o údaje získané pri ponuke online služieb dieťaťu.

(3)

Ak firma údaje zverejnila a musí ich zmazať, musí informovať aj ostatné firmy, ktoré vaše údaje spracúvajú, aby ich tiež zmazali. Musí pri tom použiť primerané technické opatrenia (podľa toho, čo je technicky možné a koľko to stojí).

(4)

Právo na výmaz neplatí, ak sú údaje potrebné:

a)

na slobodu prejavu alebo právo na informácie,

b)

na splnenie zákona alebo úlohy vo verejnom záujme,

c)

na ochranu verejného zdravia,

d)

pre archívy, vedu alebo štatistiku – ak by výmaz zabránil dosiahnuť cieľ,

e)

na uplatnenie právneho nároku.

Originál

(1)

Dotknutá osoba má právo na to, aby prevádzkovateľ bez zbytočného odkladu vymazal osobné údaje, ktoré sa jej týkajú.

(2)

Prevádzkovateľ je povinný bez zbytočného odkladu vymazať osobné údaje, ak dotknutá osoba uplatnila právo na výmaz podľa odseku 1, ak

a)

osobné údaje už nie sú potrebné na účel, na ktorý sa získali alebo inak spracúvali,

b)

dotknutá osoba odvolá súhlas podľa § 13 ods. 1 písm. a) alebo § 16 ods. 2 písm. a) , na základe ktorého sa spracúvanie osobných údajov vykonáva, a neexistuje iný právny základ pre spracúvanie osobných údajov,

c)

dotknutá osoba namieta spracúvanie osobných údajov podľa § 27 ods. 1 a neprevažujú žiadne oprávnené dôvody na spracúvanie osobných údajov alebo dotknutá osoba namieta spracúvanie osobných údajov podľa § 27 ods. 2 ,

d)

osobné údaje sa spracúvajú nezákonne,

e)

je dôvodom pre výmaz splnenie povinnosti podľa tohto zákona, osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, alebo

f)

sa osobné údaje získavali v súvislosti s ponukou služieb informačnej spoločnosti podľa § 15 ods. 1 .

(3)

Ak prevádzkovateľ zverejnil osobné údaje a je povinný ich podľa odseku 1 vymazať, je zároveň povinný prijať primerané bezpečnostné opatrenia vrátane technických opatrení so zreteľom na dostupnú technológiu a náklady na ich vykonanie na účel informovania ostatných prevádzkovateľov, ktorí spracúvajú osobné údaje dotknutej osoby o jej žiadosti, aby títo prevádzkovatelia vymazali odkazy na jej osobné údaje a ich kópie alebo odpisy.

(4)

Odseky 1 a 2 sa neuplatňujú, ak je spracúvanie osobných údajov potrebné

a)

na uplatnenie práva na slobodu prejavu alebo práva na informácie,

b)

na splnenie povinnosti podľa tohto zákona, osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, alebo na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi,

c)

z dôvodov verejného záujmu v oblasti verejného zdravia v súlade s § 16 ods. 2 písm. h) až j) ,

d)

na účel archivácie, na vedecký účel, na účel historického výskumu alebo na štatistický účel podľa § 78 ods. 7 , ak je pravdepodobné, že právo podľa odseku 1 znemožní alebo závažným spôsobom sťaží dosiahnutie cieľov takého spracúvania, alebo

e)

na uplatnenie právneho nároku.

§ 24 – Právo na obmedzenie spracúvania osobných údajov

Trvalý odkaz

Jednoducho

(1)

Máte právo požiadať, aby firma obmedzila prácu s vašimi údajmi. Stane sa to, ak:

a)

pochybujete o správnosti údajov – platí to, kým firma overí, či sú správne,

b)

spracúvanie je nezákonné, ale nechcete údaje vymazať, len obmedziť ich používanie,

c)

firma údaje nepotrebuje, ale vy ich potrebujete na súdny spor, alebo

d)

namietate proti spracúvaniu založenému na oprávnenom alebo verejnom záujme – platí to, kým sa overí, či dôvody firmy prevažujú nad vašimi.

(2)

Po obmedzení môže firma údaje okrem uchovania použiť len so súhlasom alebo pre súdny spor, ochranu ľudí či verejný záujem.

(3)

Ak firma obmedzenie zruší, musí vás o tom vopred informovať.

Originál

(1)

Dotknutá osoba má právo na to, aby prevádzkovateľ obmedzil spracúvanie osobných údajov, ak

a)

dotknutá osoba namieta správnosť osobných údajov, a to počas obdobia umožňujúceho prevádzkovateľovi overiť správnosť osobných údajov,

b)

spracúvanie osobných údajov je nezákonné a dotknutá osoba namieta vymazanie osobných údajov a žiada namiesto toho obmedzenie ich použitia,

c)

prevádzkovateľ už nepotrebuje osobné údaje na účel spracúvania osobných údajov, ale potrebuje ich dotknutá osoba na uplatnenie právneho nároku, alebo

d)

dotknutá osoba namieta spracúvanie osobných údajov podľa § 27 ods. 1 , a to až do overenia, či oprávnené dôvody na strane prevádzkovateľa prevažujú nad oprávnenými dôvodmi dotknutej osoby.

(2)

Ak sa spracúvanie osobných údajov obmedzilo podľa odseku 1, okrem uchovávania môže osobné údaje prevádzkovateľ spracúvať len so súhlasom dotknutej osoby alebo na účel uplatnenia právneho nároku, na ochranu osôb alebo z dôvodov verejného záujmu.

(3)

Dotknutú osobu, ktorej spracúvanie osobných údajov sa obmedzí podľa odseku 1, je prevádzkovateľ povinný informovať pred tým, ako bude obmedzenie spracúvania osobných údajov zrušené.