Hatályos 2019. szeptember 1-től 2021. október 31-ig
Tt. 18/2018.
Törvény
A SZEMÉLYES ADATOK VÉDELMÉRŐL,
valamint egyes törvények módosításáról és kiegészítéséről
Kelt: 2017. november 29-én
Módosítva:
Tt. 221/2019., hatályos 2019. szeptember 1-től
A Szlovák Köztársaság Nemzeti Tanácsa a következő törvényt fogadta el:
I. cikkely
ELSŐ RÉSZ
Alapvető rendelkezések
1. §
A szabályozás tárgya
A jelen törvény szabályozza
a) a természetes személyek jogainak védelmét személyes adataik feldolgozása során, a magánéletükbe történő jogosulatlan beavatkozás ellen,
b) a természetes személyek személyes adatainak feldolgozása során gyakorolt jogokat, kötelezettségeket és felelősséget,
c) a Szlovák Köztársaság Személyes Adatokat Védő Hivatalának (a továbbiakban csak „hivatal“) jogállását, hatáskörét és szervezeti felépítését.
2. §
A személyes adatok azok az adatok, amelyek egy meghatározott vagy közvetve, illetve közvetlenül meghatározható természetes személyre vonatkoznak, elsősorban az általánosan használható azonosító jele alapján, vagy más azonosítója, elsősorban az utó- és családi neve, személyi száma, helymeghatározó adatai1) vagy online azonosítója, esetleg egy vagy több jellemzője vagy jegye alapján, amelyek az ő fizikai, fiziológiai, genetikai, szellemi, mentális, gazdasági, kulturális vagy szociális azonosságát képezik.
3. §
A törvény hatálya
(1) A jelen törvény vonatkozik minden, részben vagy egészében automatizált eszközökkel elvégzett adatfeldolgozásra és a személyes adatok nem automatizált eszközökkel végzett feldolgozására, ha olyan személyes adatok feldolgozásáról van szó, amelyek információs rendszerek részét képezik vagy arra szolgálnak, hogy információs rendszerek alkotóelemét képezzék.
(2) A jelen törvény, a 2. §, 5. §, a törvény második és harmadik része kivételével, vonatkozik azoknak az adatoknak a feldolgozására, amelyekre külön személyes adatvédelmi jogszabály vonatkozik, a természetes személyek adatainak védelme és az ilyen adatok szabad mozgása vonatkozásában.2)
(3) A jelen törvény vonatkozik a személyes adatok Rendőri Testület, Katonai Rendészet, az igazságügyi rendészet és börtönőrség, a Pénzügyi Igazgatóság, az ügyészség és bíróság (a továbbiakban csak „illetékes hatóság) általi kezelésére a bűnmegelőző és -feltáró, bűncselekmény elkövetőinek kilétét megállapító, bűncselekményeket megtorló eljárásban, vagy a büntetőeljárásban meghozott döntések végrehajtása céljából folyó eljárásokra, beleértve a közrend veszélyeztetése elleni védelmet és az ilyen veszély megelőzését (a továbbiakban csak „bünteőeljárási célú feladatok teljesítése”); a jelen törvény második részéből az előbbi mondat szerinti személyes adatok feldolgozására csak az 52., 59., 67. és 73. §-ba foglalt rendelkezések vonatkoznak.
(4) A jelen törvény vonatkozik a személyes adatok kezelésére
a) a szolgáltató üzemeltetői vagy közvetítői tevékenysége keretében, ha a székhelye, vállalkozási helyszíne, szervezeti egysége, részlege vagy állandó lakhelye a Szlovák Köztársaság területén van, tekintet nélkül arra, hogy az adatkezelést a Szlovák Köztársaság területén vagy a Szlovák Köztársaság területén kívül végzi,
b) a szolgáltató üzemeltetői vagy közvetítői tevékenysége keretében, ha a székhelye, vállalkozási helyszíne, szervezeti egysége, részlege vagy állandó lakhelye nem a Szlovák Köztársaság területén, hanem külföldön található, olyan helyen, ahol a nemzetközi közjog alapján a Szlovák Köztársaság jogrendje elsőbbséget élvezve érvényesül,
c) amikor az érintett személy, mely a Szlovák Köztársaság területén található, üzemeltető vagy közvetítő, melynek székhelye, vállalkozási helye, szervezeti egysége, részlege vagy állandó lakhelye nem tagállamban van, miközben a személyes adatkezelése
1. az érintett személynek a Szlovák Köztársaság területén folyó árukínálattal vagy szolgáltatás felkínálásával áll összefüggésben, tekintet nélkül arra, hogy az érintett személytől igényel-e vagy nem igényel térítést, vagy
2. a Szlovák Köztársaság területén való viselkedésének megfigyelésével kapcsolatos.
(5) A jelen törvény nem vonatkozik azon személyes adatok kezelésére, amelyeket
a) a természetes személy dolgoz fel, kizárólag személyes vagy otthoni tevékenységei során,
b) a Szlovák Információs Szolgálat3) vagy a Katonai Hírszerzés4) dolgoz fel,
c) a Nemzetbiztonsági Hivatal dolgoz fel biztonsági ellenőrzések céljából és a Szlovák Köztársaság Bírói Tanácsa részére a bírói alkalmasság5) feltételei teljesülésének eldöntése céljából.
4. §
A személyes adatok szabad mozgása a Szlovák Köztársaság és a tagállamok között biztosítva van; a Szlovák Köztársaság nem korlátozza és nem akadályozza a személyes adatok átvitelét a természetes személyek alapvető jogainak védelme jogcímén, főként a magánélet védelméhez való joguk érvényesítése végett a személyes adatok kezelésével összefüggésben.
5. §
Alapvető fogalmak értelmezése
A jelen törvény céljaira
a) az érintett személy beleegyezése bármilyen komoly, szabadon kifejezett, konkrét, érthető és egyértelmű akaratnyilvánítás, amellyel az érintett személy nyilatkozatban vagy egyértelmű megerősítő cselekedettel kifejezi egyetértését személyes adatainak feldolgozásával,
b) a genetikai adat egy természetes személy örökölt vagy szerzett genetikai jellemzőire vonatkozó személyes adat, amely az adott személy fiziológiájára vagy egészségi állapotára vonatkozó egyedi információkat hordoz, és amely elsősorban az említett természetes személyből vett biológiai minta elemzéséből ered,
c) a biometrikus adat személyes adat, mely egy természetes személy testi, fiziológiai vagy viselkedési jellemzőire vonatkozó olyan sajátos technikai eljárásokkal nyert személyes adat, amely lehetővé teszi vagy megerősíti a természetes személy egyedi azonosítását, ilyen például az arckép vagy a daktiloszkópiai adat,
d) egészségügyi személyes adat egy természetes személy testi vagy pszichikai egészségi állapotára vonatkozó személyes adat, ideértve a természetes személy számára nyújtott egészségügyi ellátásra vagy szolgáltatásokra vonatkozó olyan adatot is, amely információt árul el a természetes személy egészségi állapotáról,
e) adatkezelés a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés, tekintet nélkül arra, hogy automatizált eszközökkel vagy nem automatizált eszközökkel történik;
f) a személyes adatok kezelésének korlátozása a tárolt személyes adatok megjelölése jövőbeli kezelésük korlátozása céljából,
g) profilalkotás a személyes adatok automatizált kezelésének bármely olyan formája, amelynek során a személyes adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők és személyiségi jegyek alapján értékelésére, különösen az érintett szmély jegyeinek és jellemzőinek elemzésére és előrejelzésére használják ki a munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz, érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódóan,
h) álnevesítés a személyes adatok olyan módon történő kezelése, amelynek következtében további információk felhasználása nélkül többé már nem állapítható meg, hogy a személyes adat mely konkrét természetes személyre vonatkozik, feltéve, hogy az ilyen további információt külön tárolják, és technikai és szervezési intézkedések megtételével biztosított, hogy azonosított vagy azonosítható természetes személyekhez ezt a személyes adatot nem lehet kapcsolni,
i) naplófájl a felhasználó automatizált információs rendszerben végzett tevékenységi folyamatának rögzítése,
j) kódolás a személyes adatok átalakítása oly módon, melynek következtében az ismételt adatkezelés csak az olyan megválasztott paraméter megadása után lehetséges, amilyen a rejtjelkulcs vagy a jelszó,
k) online azonosító az alkalmazás, az eszköz vagy protokoll által hozzárendelt azonosító, főként IP-cím, cookie-k, az információs rendszer belépési adata, rádiófrekvenciás azonosító, mely nyomokat hagyhat, melyek elsősorban az egyedi azonosítókkal vagy más információkkal társítva az érintett személy profiljának
létrehozására vagy azonosítására szolgálhatnak,
l) információs rendszer a személyes adatok bármely módon – centralizált, decentralizált vagy funkcionális vagy földrajzi szempontok szerint – tagolt állománya, amely meghatározott ismérvek alapján hozzáférhető rendszer,
m) a személyes adatok védelmének megsértése a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi,
n) érintett személy minden olyan természetes személy, akinek a személyes adatait kezelik,
o) adatkezelő mindenki, aki önállóan vagy másokkal együttműködve a személyes adatok kezelésének céljait és eszközeit a saját nevében meghatározza; az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó szempontokat külön jogszabály vagy a Szlovák Köztársaságra kötelező érvénnyel bíró nemzetközi szerződés határozhatja meg, ha az adatkezelés céljait és eszközeit az ilyen előírás vagy a ilyen szerződés határozza meg,
p) adatfeldolgozó az a személy, amely az adatkezelő nevében személyes adatokat kezel,
q) címzett mindenki, akinek a személyes adatot a rendelkezésére bocsátják, függetlenül attól, hogy harmadik fél-e; azon közhatalmi szervek, amelyek egy egyedi vizsgálat keretében a külön jogszabállyal vagy a Szlovák Köztársaságra kötelező érvénnyel bíró nemzetközi szerződéssel összhangban férhetnek hozzá személyes adatokhoz, nem minősülnek címzettnek, az említett adatokat e közhatalmi szervek az adatkezelés céljainak megfelelően és az alkalmazandó adatvédelmi szabályoknak megfelelően kezelik,
r) harmadik fél mindenki, aki nem érintett személy, aki vagy amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy más személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak,
s) adatvédelmi tisztviselő az adatkezelő vagy adatfeldolgozó által kijelölt személy, aki a jelen törvény szerinti feladatokat teljesíti,
t) képviselő az a tagállam tevékenységi hellyel, szervezeti egységgel, részleggel vagy lakóhellyel rendelkező és az adatkezelő vagy adatfeldolgozó által a 35. § alapján írásban megbízott természetes vagy jogi személy, aki vagy amely az adatkezelőt vagy adatfeldolgozót képviseli,
u) vállalkozás a gazdasági tevékenységet folytató természetes személy- vállalkozó vagy a jogi személy, függetlenül a jogi formájától, ideértve a rendszeres gazdasági tevékenységet folytató személyegyesítő társaságokat és egyesületeket is, melyek rendszeres gazdasági tevékenységet folytatnak,
v) vállalkozáscsoport az ellenőrző vállalkozás és az általa ellenőrzött vállalkozások,
w) tevékenységi központ
1. az Európai Unión belüli központi ügyvitel helye az egynél több tagállamban tevékenységi hellyel rendelkező adatkezelő esetében, ha azonban a személyes adatok kezelésének céljaira és eszközeire vonatkozó döntéseket az adatkezelő egy Európai Unión belüli másik tevékenységi helyén hozzák meg, és az utóbbi tevékenységi hely rendelkezik hatáskörrel az ilyen döntések végrehajtatására, az említett döntéseket meghozó tevékenységi helyet kell tevékenységi központnak tekinteni,
2. az Európai Unión belüli központi ügyvitelének helye az egynél több tagállamban tevékenységi hellyel rendelkező adatfeldolgozó esetében, vagy ha az adatfeldolgozó az Európai Unióban nem rendelkezik központi ügyviteli hellyel, akkor az adatfeldolgozónak az az Európai Unión belüli tevékenységi helye, ahol az adatfeldolgozó tevékenységi helyén folytatott tevékenységekkel összefüggésben végzett fő adatkezelési tevékenységek zajlanak, mégpedig olyan mértékben, amekkorára az adatfeldolgozóra a jelen törvény szerint meghatározott kötelezettségek vonatkoznak,
x) belső vállalati szabályok a személyes adatok védelmére vonatkozó szabályzat, amelyet a Szlovák Köztársaság területén székhellyel, tevékenységi hellyel, szervezeti egységgel, részleggel vagy állandó lakhellyel rendelkező adatkezelő vagy adatfeldolgozó a harmadik országbeli adatkezelő vagy adatfeldolgozó részére történő továbbítása vagy ilyen továbbítások sorozata tekintetében követ,
y) magatartási kódex az érintett személy személyes adatainak védelmére vonatkozó magatartási szabályrendszer, melynek betartására az adatkezelő vagy adatfeldolgozó kötelezte magát,
z) nemzetközi szervezet a szervezet és annak ellenőrzött egységei, melyek a nemzetközi közjognak alávetve működnek, vagy bármilyen más jogalany, mely két vagy több állam szerződésével jött létre, vagy egy ilyen szerődés alapján,
aa) tagállam az az állam, mely tagja az Európai Uniónak vagy szerződéses fele az Európai Gazdasági Térségről szóló szerződésnek,
ab) harmadik ország az az ország, amely nem tagállam,
ac) a hivatal alalmazottja a szerződéses vagy külön jogszabály6) szerinti szerződéseshez hasonló munkaviszonyú alkalmazott vagy az állami alkalmazott, aki állami szolgálatot tölt be külön jogszabály7) szerinti állami alkalmazotti munkaviszonyban.
MÁSODIK RÉSZ
Általános rendelkezések a személyes adatok védelme érdekében a kezelésük során
ELSŐ FEJEZET
A személyes adatok kezelésének elvei
6. §
Törvényességi követelmény
Személyes adatok csak törvényes módon kezelhetők és úgy, hogy az érintett személy alapvető jogai ne sérüljenek.
7. §
A célok korlátozásának elve
Személyes adatok csak konkrétan meghatározott, kimondottan közzétett és törvényes célból gyűjthetők, és nem kerülhetnek további kezelésre olyan módon, amely ezzel a céllal nem egyeztethető össze; a személyes adat további kezelése archiválás céljából, tudományos célra, történelmi kutatás céljából vagy statisztikai célból, ha az összhangban áll a külön jogszabállyal8) és ha az érintett személy jogai arányos védelmének elve érvényesül a 78. § 8. bek. értelmében, nem tekinthető az eredeti céllal összegyeztethetetlennek.
8. §
A személyi adatok adattakarékossága
A kezelt személyes adatoknak az adatkezelés céljai szempontjából arányosnak, relevánsak és a szükséges mennyiségre korlátozottnak kell lenniük.
9. §
Adathelyességi elv
A kezelt személyes adatoknak pontosnak és szükség esetén naprakésznek kell lenniük; észszerű és hatékony intézkedéseket kell tenni annak biztosítása érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék.
10. §
A korlátozott tárolhatóság elve
A személyes adatok tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé; a személyes adatok ennél hosszabb ideig történő tárolására akkor kerülhet sor, ha kezelésükre archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból kerül majd sor külön jogszabály8) értelmében, és ha az érintett személy jogai arányos védelmének elve garantáltan érvényesül a 78. § 8. bek. értelmében.
11. §
Az integritás és bizalmasság elve
A személyes adatok kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, a személyes adatok jogosulatlan vagy jogellenes kezelésével, a személyes adatok véletlen elvesztésével, törlésével vagy károsodásával szembeni védelmet is ideértve.
12. §
A felelősség elve
Az adatkezelő felelős a személyes adatok alapvető kezelési eleveinek való megfelelésért, a személyes adatok feldolgozási módjának összhangjáért a személyes adatkezelés elveivel, és köteles ezen összhang meglétét a hatóság felkérésére megfelelően igazolni.
13. §
Az adatkezelés jogszerűsége
(1) A személyes adatok kezelése kizárólag akkor jogszerű, amennyiben legalább az alábbi jogi alapelvek egyike teljesül:
a) az érintett személy hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez,
b) az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett személy az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő intézkedések megtételéhez szükséges,
c) a személyes adatok kezelése az adatkezelőre vonatkozó külön jogszabály vagy a Szlovák Köztársaságra nézve kötelező érvényű nemzetközi szerződés teljesítéséhez szükséges,
d) a személyes adatok kezelése az érintett vagy egy másik természetes személy életének védelme, egészségének védelme vagy vagyonának védelme érdekében szükséges,
e) az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges,
f) az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai, amelyek személyes adatainak a védelmét teszik szükségessé, különösen, ha az érintett gyermek; ez a jogalap nem alkalmazható a közhatalmi szervek által feladataik ellátása során végzett adatkezelésére.
(2) A személyes adatok kezelésére vonatkozó 1. bekezdés c) és e) pontjába foglalt jogalapot a jelen törvényben, külön jogszabályban vagy a Szlovák Köztársaságra nézve kötelező érvényű nemzetközi szerződésben kell megalapozni; külön jogszabályban kell rendelkezni a személyes adatok kezelésének céljáról, az érintett személyek kategóriájáról és a kezelt személyes adatok jegyzékéről vagy a kezelt személyes adatok terjedelméről. A kezelt személyes adatok külön jogszabály alapján az információs rendszerekből csak akkor nyújthatók, átvihetők vagy közzétehetők, ha külön jogszabály határozza meg az adatszolgáltatás vagy közzététel célját, vagy a feldolgozott személyes adatok terjedelmét, melyek kiadhatók vagy nyilvánosságra hozhatók, illetve a címzetteket, melyeknek a személyes adatok kiadhatók.
(3) Ha az adatgyűjtés céljától eltérő célból történő adatkezelés nem az érintett hozzájárulásán vagy külön jogszabály rendelkezésén alapul, az adatkezelő annak eldöntésére, hogy az eltérő célú adatkezelés összeegyeztethető-e azzal a céllal, amelyből a személyes adatokat eredetileg gyűjtötték, többek között figyelembe veszi
a) a személyes adatok gyűjtésének céljai és a tervezett további személyes adatkezelés céljai közötti esetleges kapcsolatokat,
b) a személyes adatok gyűjtésének körülményeit, különös tekintettel az érintett személy és az adatkezelő közötti kapcsolatokra,
c) a személyes adatok jellegét, különösen pedig azt, hogy a 16. § szerinti különleges kategóriájú személyes adatok kezeléséről van-e szó, illetve, hogy büntetőjogi felelősség megállapítására és bűncselekmény vagy szabálysértés megállapítására vonatkozó adatoknak a 17. § szerinti kezeléséről van-e szó,
d) azt, hogy az érintettek személyre nézve milyen esetleges következményekkel járna az adatok tervezett további kezelése,
e) megfelelő garanciák meglétét, ami jelenthet titkosítást vagy álnevesítést is.
14. §
A személyes adatok kezeléséhez való hozzájárulás nyújtásának feltételei
(1) A személyes adatok kezelésének jogalapja az érintett személy egyetértése, az adatkezelőnek kötelezően képesnek kell lennie annak igazolására, hogy az érintett személy hozzájárulását adta személyes adatai kezeléséhez.
(2) Ha az adatkezelő az érintett személy hozzájárulását kéri személyes adatai kezeléséhez, ennek a hozzájárulásnak el kell különülnie egyéb más tényektől, és egyértelműen világos módon, illetve érthető és könnyen hozzáférhető formában kell azt kifejeznie.
(3) Az érintett személy jogosult arra, hogy a személyes adatai kezelésére vonatkozó hozzájárulását bármikor visszavonja. A hozzájárulás visszavonása nem érinti a hozzájáruláson alapuló, a visszavonás előtti adatkezelés jogszerűségét; a hozzájárulás megadása előtt az érintett személyt erről tájékoztatni kell. A hozzájárulás visszavonását ugyanolyan módon kell lehetővé tenni, mint annak megadását.
(4) Annak megállapítása során, hogy a hozzájárulás szabad akaratból adták-e meg, a lehető legnagyobb mértékben figyelembe kell venni egyebek mellett azt a tényt, hogy a szerződés teljesítésének – beleértve a szolgáltatások nyújtását is – feltételéül szabták-e az olyan személyes adatok kezeléséhez való hozzájárulást, amelyek nem szükségesek a szerződés teljesítéséhez.
15. §
A hozzájárulás nyújtásának digitális társadalmi szolgáltatásokkal kapcsolatos feltételei
(1) Az adatkezelő a digitális társadalom szolgáltatásainak kínálatával9) kapcsolatosan akkor kezeli törvényesen az érintett személy személyes adatait annak hozzájárulása alapján, ha ez érintett személy betöltötte 16. életévét. Ha az érintett személy 16 éven aluli, az ilyen adatkezelés csak akkor és olyan mértékben törvényes, amekkora mértékben ahhoz a törvényes képviselője10) a hozzájárulását vagy engedélyét megadta.
(2) Az adatkezelő köteles megfelelő igyekezet kifejteni annak érdekében, hogy meggyőződjön róla, hogy az érintett személy törvényes képviselője hozzájulását vagy egyetértését a személyes adatok 1. bekezdés szerinti módon megadta, szem előtt tartva az elérhető technológiát.
16. §
A személyes adatok különleges kategóriáinak kezelése
(1) A személyes adatok különleges kategóriáinak kezelése tilos. Különleges kategóriájú személyes adatok azok az adatok, amelyek feltárják a természetes személy faji vagy etnikai származását, politikai véleményét, vallási vagy világnézeti meggyőződését, tagságát a szakszervezetben, valamint a természetes személyek genetikai és biometrikus adatait, az egészségi állapotára vagy a természetes személy szexuális életére vagy szexuális irányultságára vonatkozó adatokat.
(2) A személyes adatok különleges kategóriái kezelésének tilalma nem érvényes, ha:
a) az érintett személy kifejezett hozzájárulását adta az említett személyes adatok legalább egy konkrét célból történő kezeléséhez; a hozzájárulás érvénytelen, ha annak nyújtását külön jogszabály kizárja,
b) az adatkezelés az adatkezelőnek vagy az érintett személynek külön jogszabályokból fakadó, a foglalkoztatást, valamint a szociális biztonságot és szociális védelmet vagy egészségbiztosítást szabályozó külön jogszabályokból,11) a Szlovák Köztársaságra nézve kötelező érvényű nemzetközi szerződésből fakadó kötelezettségei teljesítése és konkrét jogai gyakorlása érdekében szükséges, vagy a kollektív szerződésből kifolyólag, ha az az érintett személynek arányos alapvető jogokat és érdekeket védő garanciákat nyújt,
c) az adatkezelés az érintett személy vagy más természetes személy létfontosságú érdekeinek védelméhez szükséges, ha az érintett fizikai vagy jogi cselekvőképtelensége folytán nem képes a hozzájárulását megadni;
d) az adatkezelés valamely egyesület, alapítvány, vagy közhasznú szolgáltatást nyújtó nonprofit szervezet, politikai párt vagy politikai mozgalom, szakszervezet, államilag elismert egyház vagy vallási közösség megfelelő garanciák mellett végzett jogszerű tevékenysége keretében történik, és ez az adatkezelés kizárólag az ilyen szervezet tagjaira, vagy olyan természetes személyekre vonatkozik, akik a szervezettel rendszeres kapcsolatban állnak a szervezet céljaihoz kapcsolódóan, a személyes adatok kizárólag belső célokat szolgálnak, és a személyes adatokat nem teszik hozzáférhetővé más címzetteknek az érintett személyek írásos vagy más hiteles módon bizonyítható hozzájárulása nélkül,
e) az adatkezelés olyan személyes adatokra vonatkozik, amelyeket az érintett személy kifejezetten nyilvánosságra hozott,
f) az adatkezelés jogigények12) érvényesítéséhez vagy a bíróságok igazságszolgáltatási feladatkörének végrehajtásához kell,
g) az adatkezelés a jelen törvény, külön jogszabály vagy a Szlovák Köztársaságra nézve kötelező érvényű nemzetközi szerződés szerinti közérdek miatt szükséges, amely arányos az elérni kívánt céllal, tiszteletben tartja a személyes adatok védelméhez való jog lényeges tartalmát, és az érintett személy alapvető jogainak és érdekeinek biztosítására megfelelő és konkrét intézkedéseket ír elő,
h) az adatkezelés a megelőző munkahelyi egészségügyi célokból, egészségügyi ellátás és egészségügyi ellátással kapcsolatos szolgáltatás nyújtása céljából vagy egészségügyi általános biztosítás nyújtása céljából szükséges, ha az ilyen adatokat az egészségügyi ellátás nyújtója, az egészségbiztosító, az egészségügyi szolgáltatás nyújtásához kapcsolódó tevékenységeket végző személy vagy az egészségügyi ellátás felügyeletét gyakorló személy végzi, vagy nevében a szakmailag alkalmas jogosult személy, akit titoktartási kötelesség köt a tudomására jutott tényekre vonatkozóan, melyekről tevékenysége végzése közben megismert, és köteles a szakmai etikai alapelvek betartására,
i) az adatkezelés nélkülözhetetlen a rendőrök és katonák szociális biztosításához és szociális ellátás-nyújtásához, állami szociális járadékok folyósításához, az egészségileg súlyosan károsult természetes személy társadalmi beilleszkedésének támogatásához,13) szociális szolgáltatások nyújtásához, gyermekvédelmi és szociális gyámsági intézkedések végrehajtásához vagy segítségnyújtáshoz anyagi szükséghelyzetben, vagy az adatkezelés szükséges a munkajogi területet érintő és munkaügyi szolgáltatásokat érintő adatok kezelőjének, ha erre külön jogszabály14) vagy a Szlovák Köztársaságra nézve kötelező érvényű nemzetközi szerződés jogosítja fel,
j) az adatkezelés a népegészségügy területét érintő olyan közérdekből szükséges, mint a határokon át terjedő súlyos egészségügyi veszélyekkel szembeni védelem vagy a magas szintű és biztonságos egészségügyi ellátás, gyógyszerek, dietetikai élelmiszerek és gyógyászati segédeszközök biztosítása, és ha az a jelen törvény, külön jogszabály vagy a a Szlovák Köztársaságra nézve kötelező érvényű nemzetközi szerződés alapján történik, amely megfelelő és konkrét intézkedésekről rendelkezik az érintett személy jogait védő garanciákra, különösen a titoktartási kötelezettségre vonatkozóan,15)
k) az adatkezelés archiválás céljából, tudományos célból, történelmi kutatási célból vagy statisztikai célból szükséges a jelen törvény, külön jogszabály vagy a Szlovák Köztársaságra nézve kötelező érvényű nemzetközi szerződés alapján, tiszteletben tartva a személyes adatok védelméhez való jog lényeges tartalmát, és az érintett személy alapvető jogainak és érdekeinek biztosítására megfelelő és konkrét intézkedéseket ír elő.
17. §
Szemelyés adatkezelés bűncselekményben vagy szabálysértésben elismert bűnösséggel kapcsolatosan
A külön jogszabály szerinti16) büntetésnyilvántartásban személyes adatokat csak állami hatóság kezelhet. Elismert bűncselekmény vagy szabálysértés elkövetésével kapcsolatos személyes adatokat vagy a kapcsolódó biztonsági intézkedésekre vonatkozó személyes adatok kezelését végezni kizárólag külön jogszabály vagy a Szlovák Köztársaságra nézve kötelező érvényű nemzetközi szerződés alapján, melyek az érintett személy alapvető jogainak védelmében megfelelő garanciát nyújtanak.
18. §
Azonosítást nem igénylő adatkezelés
(1) Ha azok a célok, amelyek érdekében az adatkezelő a személyes adatokat kezeli, megkövetelik vagy megkövetelték az adatkezelőtől, hogy azonosítsa az érintett személyt, az adatkezelő nem köteles utólagos kiegészítő információkat megőrizni, beszerezni vagy kezelni csak annak érdekében, hogy azonosítsa az érintett személyt, és megfeleljen a jelen törvénynek.
(2) Ha az 1. bekezdésében említett esetekben az adatkezelő bizonyítani tudja, hogy nincs abban a helyzetben, hogy azonosítsa az érintett személyt, ha ez lehetséges, erről őt megfelelő módon tájékoztatja. Ilyen esetekben a 21–26. § nem alkalmazandó, kivéve, ha az érintett abból a célból, hogy az említett rendelkezések szerinti jogait gyakorolja, az azonosítását lehetővé tevő kiegészítő információkat nyújt.
MÁSODIK FEJEZET
Az érintett személy jogai
ELSŐ SZAKASZ
Tájékoztás és személyes adatokhoz való hozzáférés
19. §
Adatszolgáltatás, ha a személyes adatokat az érintett személytől szerzik be
(1) Ha az érintett személytől a személyére vonatkozó adatokat szereznek be, az adatkezelő köteles az adatbeszerzés nyomán rendelkezésre bocsátani
a) az adatkezelő és megbízott képviselője azonosító adatait és elérhetőségeit,
b) az adatvédelmi tisztviselő elérhetőségeit, ha ilyen személy kijelölésre került,
c) a személyes adatok kezelésének céljait, melyekre a személyes adatok szolgálnak, valamint a személyes adatok kezelésének jogalapját is,
d) az adatkezelő vagy harmadik fél jogos érdekeit, ha a személyes adatokat a 13. § 1. bek. f) pontja szerint kezelik,
e) a címzett azonosító adatait vagy a címzett kategóriáját, ha ilyen létezik,
f) a tájákoztatást arra vonatkozóan, hogy az adatkezelőnek szándékában áll a személyes adatokat harmadik országba vagy nemzetközi szervezethet továbbítani, a harmadik ország vagy nemzetközi szervezet azonosító adatait, valamint a tájékoztatást, hogy az Európai Bizottságnak (a továbbiakban csak „Bizottság”) létezik vagy nem létezik határozata az arányossági elvekről vagy megfelelő garanciákról, vagy a másolatok megszerzésére vonakozó arányossági elvről vagy megfelelő garanciáról, illetve a tájékoztatást arról, hol lettek elérhetővé téve, ha a kezelőnek a 48. § 2. bek., 49. § vagy 51. § 1 és 2. bek. szerinti adatátvitel áll a szándékában.
(2) Az 1. bekezdés szerinti tájékoztatáson kívül az adatkezelő köteles a személyes adatok megszerzése idején az érintett személyt felvilágosítani
a) a személyes adatok tárolásának időtartamáról; ha ez nem lehetséges, ezen időtartam meghatározásának szempontjairól,
b) az érintett személy azon jogáról, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, jogosult kérni azok helyesbítését, személyes adatainak törlését vagy kezelésének korlátozását, és kifogást emelhet az ilyen személyes adatok kezelése ellen, ugyanúgy az adattovábbításhoz való jog ellen,
c) a hozzájárulás bármely időpontban történő visszavonásához való jogáról,
d) a 100. § szerinti eljárás kezdeményezésének a jogáról,
e) arról, hogy a személyes adatok nyújtása törvényben előírt kötelesség, szerződésből fakadó kötelesség vagy olyan követelmény, melyhez szerződéskötés szükségeltetik, valamint arról, hogy az érintett személy köteles-e személyes adatait rendelkezésre bocsátani, illetve a személyes adatok rendelkezésre bocsátásának megtagadásával járó következményekről,
f) az automatizált individuális döntéshozatal fennállásának tényéről, ideértve a 28. § 1. és 4. bek. szerinti profilalkotást; ezekben az esetekben az adatkezelő tájékoztatja az érintett személyt az alkalmazott eljárásokról, azok jelentőségéről és az ilyen adatkezelés érintettre nézve várható következményeiről.
(3) Ha az adatkezelő a személyes adatokon a gyűjtésük céljától eltérő célból további adatkezelést kíván végezni, a további adatkezelést megelőzően köteles tájékoztatni az érintett személyt erről az eltérő célról és a 2. bekezdésben említett minden releváns kiegészítő információról, amennyiben az adatkezelő fenntartja szándékát a személyes adatok további kezelésére a gyűjtésük céljától eltérő célból.
(4) Az 1–3. bekezdés nem alkalmazandó abban a mértékben, amilyenben az érintett személynek már rendelkezésére bocsátották az információkat az adatfeldolgozás előtt.
20. §
Tájékoztatási kötelességek, ha a személyes adatokat nem az érintett személytől szerezték meg
(1) Ha a személyes adatokat nem az érintet személytől szerezték meg, az adatkezelő köteles az érintett személy rendelkezésére bocsátani a következő információkat:
a) az adatkezelőnek és – ha van ilyen megbízott – az adatkezelő képviselőjének az azonosító adatait és elérhetőségeit,
b) a adatvédelmi tisztviselő elérhetőségeit, ha van ilyen,
c) a személyes adatok tervezett kezelésének céljat, valamint az adatkezelés jogalapját,
d) a kezelt személyes adatok kategóriáit,
e) a személyes adatok címzettjeit vagy a címzettek kategóriáit, ha van ilyen,
f) adott esetben annak tényét, hogy az adatkezelő valamely harmadik országbeli címzett vagy valamely nemzetközi szervezet részére kívánja továbbítani a személyes adatokat, a harmadik ország vagy nemzetközi szervezet azonosító adatait, továbbá a Bizottság megfelelőségi határozatának létét vagy annak hiányát, vagy adattovábbítás esetén a megfelelő és alkalmas garanciák megjelölését, valamint az ezek másolatának megszerzésére szolgáló módokra vagy az elérhetőségükre való hivatkozásat, ha az adatkezelőnek a 48. § 2. bek., 49. § vagy 51. § 1 és 2. bek. szerinti adatátvitel áll a szándékában.
(2) Az 1. bekezdésben említett információk mellett az adatkezelő az érintett személy rendelkezésére bocsátja a következő kiegészítő információkat:
a) a személyes adatok tárolásának időtartama; ha ez nem lehetséges, ezen időtartam meghatározásának szempontjait,
b) ha az adatkezelés a 13. § 1. bekezdésének f) pontján alapul, az adatkezelő vagy harmadik fél jogos érdekeiről,
c) az érintett személy azon jogáról, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, az adatai helyesbítését, törlését vagy kezelésének korlátozását, és kifogást emelhet a személyes adatai kezelése ellen, valamint az érintett adattovábbításhoz való jogáról,
d) a hozzájárulás bármely időpontban való visszavonásához való jogáról,
e) a 100. § szerinti eljárás kezdeményézasének jogáról, f) a személyes adatok forrásáról, melyből a személyes adatok származnak, esetleg arról, hogy az adatok nyilvánosan hozzáférhető forrásokból származnak-e,
g) az automatizált individuális döntéshozatal fennállásának tényéről, ideértve a 28. § 1. és 4. bek. szerinti profilalkotást; ezekben az esetekben az adatkezelő tájékoztatja az érintett személyt az alkalmazott eljárásokról, azok jelentőségéről és az ilyen adatkezelés érintettre nézve várható következményeiről.
(3) Az adatkezelő az 1. és 2. bekezdés szerinti tájékoztatást az alábbiak szerint köteles megadni:
a) a személyes adatok kezelésének konkrét körülményeit tekintetbe véve, a személyes adatok megszerzésétől számított észszerű határidőn, de legkésőbb egy hónapon belül;
b) ha a személyes adatokat az érintett személlyel való kapcsolattartás céljára használják, legalább az érintett személlyel való első kapcsolatfelvétel alkalmával, vagy
c) ha várhatóan más címzettel is közlik a személyes adatokat, legkésőbb a személyes adatok más címzettel való első alkalommal történő közlésekor.
(4) Ha az adatkezelő a személyes adatokon a megszerzésük céljától eltérő célból további adatkezelést kíván végezni, a további adatkezelést megelőzően köteles tájékoztatni az érintett személyt erről az eltérő célról és a 2. bekezdésben említett minden releváns kiegészítő információról, amennyiben az adatkezelőnek továbbra is szándékában áll a személyes adatokat a megszerzés céljától eltérő célok érdekében kezelni.
(5) Az 1–4. bekezdést nem kell alkalmazni:
a) olyan mértékben, amilyen mértékben az érintett már rendelkezik az információkkal,
b) amilyen mértékben a szóban forgó információk rendelkezésre bocsátása lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényelne, különösen a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból, a 78. § 8. bekezdésében foglalt feltételek és garanciák figyelembevételével végzett adatkezelés esetében, vagy amennyiben az 1. bekezdésében említett kötelezettség valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné ezen adatkezelés céljainak elérését; ilyen esetekben az adatkezelőnek megfelelő intézkedéseket kell hoznia – az információk nyilvánosan elérhetővé tételét is ideértve – az érintett személy jogainak és jogos érdekeinek védelme érdekében.
c) olyan mértékben, amilyenben az adat megszerzését vagy közlését kifejezetten előírja az adatkezelőre alkalmazandó külön jogszabály, amely az érintett személy jogainak és jogos érdekeinek védelmét szolgáló megfelelő garanciákról rendelkezik, vagy
d) ha a személyes adatokat bizalmasan kell kezelni külön jogszabályban előírt szakmai titoktartási kötelezettség alapján.15)
21. §
A személyes adatokhoz való hozzáférés joga
(1) Az érintett személy jogosult arra, hogy az adatkezelőtől igazolást kapjon arra vonatkozóan, hogy a rá vonatkozó személyes adatok kezelése folyamatban van-e. Ha az adatkezelő ilyen személyes adatokat kezel, az érintett személy jogosult arra, hogy a személyes adatokhoz és a következő információkhoz hozzáférést kapjon:
a) az adatkezelés céljai,
b) a kezelt személyes adatok kategóriái,
c) azon címzettek vagy címzettek kategóriái, akikkel, illetve amelyekkel a személyes adatokat közölték vagy közölni fogják, ideértve különösen a harmadik országbeli címzetteket, illetve a nemzetközi szervezeteket, ha ez lehetséges,
d) a személyes adatok tárolásának tervezett időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai,
e) az érintett személy azon joga, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatok helyesbítését, törlését vagy kezelésének korlátozását, és kifogást emelhet az ilyen személyes adatok kezelése ellen,
f) eljárás kezdeményezésémek joga a 100. § szerint,
g) ha az adatokat nem az érintett személytől gyűjtötték, a forrásukra vonatkozó minden elérhető információ,
h) a 28. § 1. és 4. bekezdésében említett automatizált döntéshozatal ténye, ideértve a profilalkotást is; ezekben az esetekben az adatkezelő köteles az érintett személyt az alkalmazott eljárásra és arra vonatkozó érthető információkkal ellátni, hogy az ilyen adatkezelés milyen jelentőséggel bír, és az érintett személyre nézve milyen várható következményekkel jár,
(2) Ha személyes adatoknak harmadik országba vagy nemzetközi szervezet részére történő továbbítására kerül sor, az érintett jogosult arra, hogy tájékoztatást kapjon a továbbításra vonatkozóan a 48. § 2–4. bekezdése szerinti megfelelő garanciákról,
(3) Az adatkezelő az adatkezelés tárgyát képező személyes adatok másolatát az érintett rendelkezésére bocsátja. Az érintett által kért további másolatokért az adatkezelő az adminisztratív költségeken alapuló, észszerű mértékű díjat számíthat fel. Az adatkezelő az érintett személynek a személyes adatokat olyan formában köteles kiadni, amilyenben az érintett kéri.
(4) A 3. bekezdésben említett személyes adatok igénylésére vonatkozó jog nem érintheti hátrányosan más természetes személyek jogait.
MÁSODIK SZAKASZ
Személyes adatok helyesbítése és törlése, kezelésének korlátozása
22. §
A személyes adatok helyesbítésének joga
Az érintett személy jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat. Figyelembe véve az adatkezelés célját, az érintett személy jogosult arra, hogy kérje a hiányos személyes adatok kiegészítését.
23. §
A személyes adatok törlésének joga
(1) Az érintett személy jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat.
(2) Az adatkezelő köteles arra, hogy a személyes adatokat indokolatlan késedelem nélkül törölje, ha az érintett személy érvényesíti 1. bekezdés szerinti töröltetési jogát, ha
a) a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték,
b) az érintett személy visszavonja a 13. § 1. bekezdésének a) pontja vagy a 16. § 2. bekezdésének a) pontja értelmében az adatkezelés alapját képező hozzájárulását, és aszemélyes adatok kezelésének nincs más jogalapja,
c) az érintett személy a 27. § 1. bekezdése alapján kifogást emel adatai kezelése ellen, és nincs semmilyen jogszerű ok az adatkezelésre, vagy az érintett a 27. § 2. bekezdése alapján kifogást emel az adatkezelés ellen,
d) a személyes adatokat jogellenesen kezelték,
e) a személyes adatokat az adatkezelőre alkalmazandó ezen törvény, külön jogszabály vagy nemzetközi szerződés által előírt jogi kötelezettség teljesítéséhez törölni kell,
f) a személyes adatok gyűjtésére a 15. § 1. bekezdésében említett, információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került sor.
(3) Ha az adatkezelő nyilvánosságra hozta a személyes adatot és az 1. bekezdés értelmében azt törölni köteles, párhuzamos arányos biztonsági intézkedés megtételére köteles, beleértve az elérhető technológia intézkedéseket és tekintettel a megvalósítás költségeire megteszi az elvárható lépéseket annak érdekében, hogy tájékoztassa az adatokat kezelő más adatkezelőket, hogy az érintett személy kérelmezte tőlük a szóban forgó személyes adatokra mutató linkek vagy e személyes adatok másolatának, illetve másodpéldányának törlését.
(4) Az 1. és 2. bekezdés nem alkalmazandó, amennyiben az adatkezelés szükséges:
a) a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog gyakorlása céljából,
b) a személyes adatok kezelését előíró, az adatkezelőre vonatkozó ezen törvény, külön jogszabály vagy a Szlovák Köztársaságra nézve kötelező érvényű nemzetközi szerződés szerinti kötelezettség teljesítése során, illetve közérdekből vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlása keretében végzett feladat végrehajtása céljából,
c) a 16. § 2. bekezdése h)–j) pontjának megfelelően a közegészségügy területét érintő közérdek alapján,
d) a 78. § 8. bekezdésével összhangban közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból, amennyiben az 1. bekezdésben említett jog valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné ezt az adatkezelést, vagy
e) jogi igények előterjesztéséhez, érvényesítéséhez.
24. §
A személyes adatok kezelésének korlátozásához való jog
(1) Az érintett személy jogosult arra, hogy az adatkezelő korlátozza a személyes adatainak kezelést, ha:
a) az érintett személy kifogásolja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az adatkezelő ellenőrizze a személyes adatok pontosságát,
b) az adatkezelés jogellenes, és az érintett kifogást emel az adatok törlése ellen, helyette kéri azok felhasználásának korlátozását,
c) az adatkezelőnek már nincs szüksége a személyes adatokra az adatkezelés céljából, de az érintett személy igényli azokat jogi igények érvényesítéséhez, vagy
d) az érintett személy a 27. § 1. bekezdése szerint kifogást emelt az adatkezelés ellen, arra az időtartamra vonatkozóan, amíg megállapításra nem kerül, hogy az adatkezelő jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben.
(2) Ha az adatkezelés az 1. bekezdés alapján korlátozás alá esik, az ilyen személyes adatokat a tárolás kivételével csak az érintett hozzájárulásával, vagy jogi igények előterjesztéséhez, a személyiség védelméhez, vagy közérdek fennállása esetén lehet kezelni.
(3) Az adatkezelő az érintett személyt, akinél az 1. bekezdés alapján korlátozták az adatkezelést, az adatkezelő köteles adatkezelés korlátozásának feloldásáról előzetesen tájékoztatni.
25. §
A személyes adatok helyesbítéséhez, törléséhez, vagy az adatkezelés korlátozásához kapcsolódó értesítési kötelezettség
(1) Az adatkezelő köteles tájékoztatni a címzettet a 22. §, a 23. § 1. bekezdése, vagy a 24. § szerinti valamennyi helyesbítésről, törlésről vagy adatkezelés-korlátozásról, ha ez lehetetlennek nem bizonyul, vagy nem igényel aránytalanul nagy erőfeszítést.
(2) Az érintett személyt, annak kérésére az adatkezelő tájékoztatja az 1. bekezdés szerinti címzettekről.
HARMADIK SZAKASZ
A továbbításhoz való jog, kifogásolási jog és az automatizált egyedi döntéshozatal
26. §
Jog a személyes adatok továbbításához
(1) Az érintett személy jogosult arra, hogy a rá vonatkozó, általa egy adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, általánosan használt és géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, ha az műszakilag lehetséges és ha:
a) az adatkezelés a 13. § 1. bekezdésének a) pontja, a 16. § 2. bekezdésének a) pontja vagy a 13. § 1. bekezdésének b) pontja szerint valósul meg, és
b) az adatkezelés automatizált módon történik.
(2) Az 1. bekezdés szerinti jog gyakorlása nem érinti az érintett személy 23. §-ban rögzített jogait. A továbbításhoz való jog nem alkalmazandó abban az esetben, ha az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítványai gyakorlásának keretében végzett feladat végrehajtásához szükséges.
(3) Az 1. bekezdésben említett jog nem érintheti hátrányosan más személyek jogait.
27. §
A személyes adatok kezelésével szembeni kifogásoláshoz való jog
(1) Az érintett személy jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor kifogást emeljen személyes adatainak a 13. § 1. bekezdésének e) vagy f) pontján alapuló kezelésével szemben, ideértve az említett rendelkezéseken alapuló profilalkotást is. Ebben az esetben az adatkezelő a személyes adatokat nem kezelheti tovább, kivéve, ha az adatkezelő bizonyítja, hogy az adatkezelést olyan kényszerítő erejű okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel vagy jogaival szemben, vagy amelyeket jogi igények érvényesítése indokol.
(2) Ha a személyes adatok kezelése közvetlen üzletszerzés érdekében, beleértve a profilalkotást is, történik, az érintett személy jogosult arra, hogy bármikor kifogást emeljen a rá vonatkozó személyes adatok e célból történő kezelésével szemben abban a terjedelemben, amelyben az a közvetlen üzletszerzéshez kapcsolódik. Ha az érintett személy ellenvetéssel él személyes adatai közvetlen üzletszerzés céljából történő kezelése ellen, az adatkezelő a személyes adatait közvetlen üzletszerzés céljaira tovább nem kezelheti.
(3) Az 1. és 2. bekezdésben említett jogra az adatkezelőnek legkésőbb az érintett személlyel való első kapcsolatfelvétel során kifejezetten fel kell hívnia figyelmet, és az erre vonatkozó tájékoztatást egyértelműen és minden más információtól elkülönítve kell megjelenítenie.
(4) Az információs társadalommal összefüggő szolgáltatások igénybevételéhez kapcsolódóan az érintett személynek jogában áll kifogást emelni a műszaki előírásokon alapuló automatizált eszközök útján is.
(5) Az érintett személy jogosult arra, hogy a saját helyzetével kapcsolatos okokból kifogást emeljen a rá vonatkozó személyes adatok kezelésével szemben, kivéve azokat az eseteket, amikor az adatkezelésre közérdekű okból végzett feladat végrehajtása érdekében van szükség és ha a személyes adatok kezelésére a 78. § 1. bekezdésének megfelelően tudományos és történelmi kutatási célból vagy statisztikai célból kerül sor.
28. §
Automatizált döntéshozatal egyedi ügyekben, beleértve a profilalkotást
(1) Az érintett személy jogosult arra, hogy ne terjedjen ki rá az olyan, kizárólag automatizált adatkezelésen – ideértve a profilalkotást is – alapuló döntés hatálya, amely rá nézve joghatással járna vagy őt hasonlóképpen jelentős mértékben érintené.
(2) Az 1. bekezdés nem alkalmazandó abban az esetben, ha a döntés:
a) az érintett személy és az adatkezelő közötti szerződés megkötése vagy teljesítése érdekében szükséges,
b) meghozatalát az adatkezelőre alkalmazandó olyan külön jogszabály vagy a Szlovák Köztársaságra nézve kötelező érvényű nemzetközi szerződés teszi lehetővé, amely az érintett személy jogainak és jogos érdekeinek védelmét szolgáló megfelelő intézkedéseket is megállapít, vagy
c) az érintett kifejezett hozzájárulásán alapul.
(3) A 2. bekezdés a) és c) pontjában említett esetekben az adatkezelő köteles megfelelő intézkedéseket tenni az érintett személy jogainak és jogos érdekeinek védelme érdekében, ideértve az érintettnek főként azt a jogát, hogy a nem automatizált módon meghozott döntést az adatkezelő felülvizsgálja, az álláspontját kifejezhesse, és a döntést megtámadhassa.
(4) A 2. bekezdésben említett döntések nem alapulhatnak a személyes adatoknak a 16. § 1. bekezdésében említett különleges kategóriáin, kivéve, ha a 16. § 2. bekezdésének a) vagy g) pontja alkalmazandó, és az érintett személy jogainak és jogos érdekeinek védelme érdekében megfelelő intézkedések megtételére került sor.
NEGYEDIK SZAKASZ
Az adatkezelő kötelességei az érintett személy jogainak érvényesítése során
29. §
(1) Az adatkezelő köteles megfelelő intézkedéseket meghozni és az érintett személynek a 19. és 20. § értelmében tájékoztatást adni a 21–28. és 41. § szerint a személyes adatai kezelésére vonatkozóan, tömör, átlátható, közérthető és könnyen elérhető formában, világos megfogalmazásban, főként a gyermekeknek szóló tájékoztatások esetében. A tájékoztatást köteles papír alapú írásos formában vagy elektronikus formájú írásban nyújtani, rendszerint olyan formában, amilyenben a kérvény benyújtásra került. Ha az érintett személy azt kimondottan kéri, az adatkezelő szóban is tájékoztathatja, amennyiben az érintett személy a személyazonosságát más módon igazolja.
(2) Az adatkezelő együttműködik az érintett személlyel a 21–28. § szerinti jogainak érvényesítése során. A 18. § 2. bek. szerinti esetekben az adatkezelő nem utasíthatja el az érintett személy kérése szerinti eljárást a 21–28. § szerinti jogainak érvényesítése során, ha nem bizonyítja, hogy az érintett személyt nem lehet azonosítani.
(3) Az adatkezelő a kérvény kézbesítésétől számított 30 napon belül köteles tájékoztatni az érintett személyt azokról az intézkedésekről, amelyeket a 21–28. § szerint benyújtott kérvénye alapján foganatosítottak. A feltüntetett határidőt indokolt esetben, a kérvények komplexitására és számára való tekintettel további két hónappal meghosszabbíthatja, mégpedig ismételten is. Az adatkezelő a kérvény kézbesítésétől számított egy hónapon belül köteles minden ilyen határidő-hosszabbításról tájékoztatni az érintett személyt, feltüntetve a határidő-hosszabbítás okait. Ha az érintett személy elektronikus formában nyújtotta be kérvényét, az adatkezelő elektronikus formában tájékoztatm amennyiben az érintett személy nem más formában kért tájékoztatást.
(4) Ha az adatkezelő nem hoz intézkedéseket az érintett személy kérvénye értelmében, köteles a kérvény kézbesítésétől számított egy hónapon belül tájékoztatni az érintett személyt tétlensége indokairól és arról a lehetőségről, hogy indítványt nyújthat be a 100. § szerint a hivatalnál.
(5) A 19. és 20. § szerinti tájékoztatás és a 21–28. § szerint elfogadott intézkedésekről szóló jelentés térítésmentes. Ha az érintett személy kérvénye nyilvánvalóan idokolatlan vagy aránytalan főleg ismétlődő jellege miatt, az adatkezelő jogosult
a) arányos térítést kérni, mely figyelembe veszi az információnyújtás adminisztrációs költségeit vagy vagy a jelentés adminisztrációs költségeit, illetve arányos térítést kérni a követelt intézkedések megvalósításának adminisztrációs költségeihez, vagy
b) elutasítani a kérvény szerint való eljárást.
(6) A kérvény nyilvánvaló indokolatlanságát vagy a kérvény aránytalanságát az adatkezelőnek kell bizonyítani.
(7) Az adatkezelő az érintett személy kilétének megállapításához szükséges kiegészítő tájékoztató adatok megadását kérheti, ha megalapozott kétségei támadnak a 21–27. § szerint kérvényt benyújtó természetes személy kilétét illetően; a 18. § rendelkezéseit ez nem befolyásolja.
(8) A tájékoztatást, melyet az érintett személynek a 19–21. § értelmében nyújtanak, megadhatják standardizált ikonok kombinációjában is a célból, hogy jól látható, világos és érthető áttekintést adjanak a személyes adatok tervezett kezeléséről. A standardizált ikonoknak géppel olvashatónak kell lenniük, ha elektronikus formában használják azokat.
(9) A tudnivalóknak, melyeket a standardizált ikonoknak tartalmazniuk kell és a standardizált ikonok meghatározásának menetét általános érvényű rendeletben szabályozzák, melyet a hivatal bocsát ki.
ÖTÖDIK SZAKASZ
Korlátozások
30. §
Az érintett személy jogainak korlátozása
(1) Az adatkezelő vgy adatfeldolgozó külön jogszabályban vagy a Szlovák Köztársaságra nézve kötelező érvényű nemzetközi szerződés értelmében jogosult korlátozni a 19–29. §-ban és a 41. §-ban taglalt kötelességek és jogok körét, valamint a 6–12. § szerinti alapelveket, ha azok a 19–29. § szerinti jogokat és kötelességeket érintik, amennyiben az ilyen korlátozás elrendelésének célja, hogy biztosítsa
a) a Szlovák Köztársaság biztonságát,
b) a Szlovák Köztársaság védelmét,
c) a közrendet,
d) a büntetőeljárási célzatú feladatok végrehajtását,
e) más, az Európai Unió vagy a Szlovák Köztársaság általánosan közérdekű céljait, elsősorban az Európai Unió vagy a Szlovák Köztársaság fontos gazdasági vagy fontos pénzügyi érdekét, beleértve a monetáris, költségvetési és adóügyeket, közegészségügyet vagy szociális biztonságot,
f) a bíróságok és bírósági eljárások függetlenségének védelmét,
g) a szabályozás alá eső foglalkozások vagy szabályozás alá vont szaktevékenységek etikai elvei megsértésének megelőzését,
h) a megfigyelő tevékenységet, az ellenőrző tevékenységet vagy a közhatalom gyakorlásával kapcsolatos szabályozó szerepet az a)–e) és g) pont szerinti esetekben,
i) az érintett személy vagy más személy jogainak védelmét,
j) a jogigény érvényesíthetőségét,
k) a gazdasági mobilitást.
(2) Az adatkezelő vagy adatfeldolgozó csak akkor járhat el az 1. bekezdés értelmében, ha arról a külön jogszabály vagy a Szlovák Köztársaságra nézve kötelező érvényű nemzetközi szerződés rendelkezik legalább
a) a személyes adatok kezelésének céljáról vagy a személyes adatok kategóriáinak céljáról,
b) a személyes adatok kategóriájáról,
c) az alkalmazható korlátozás mértékéről,
d) a garanciákról a személyes adatokkal való visszaélés ellen, vagy törvényellen hozzáférés vagy törvényellenes adatátvitel ellen,
e) az adatkezelő vagy az adatkezelők kategóriáinak meghatározásáról,
f) a kezelt személyes adatok és érvényesíthető garanciák megőrzési határidejéről, tekintettel a személyes adatok jellegére, mennyiségére vagy a kezelt személyes adatok kategóriájára,
g) az érintett személyre vonatkozó kockázatokra és
h) az érintett személy jogára, hogy a korlátozásról tájékoztatást kapjon, amennyiben az nem veszélyezteti a korlátozás célját.
HARMADIK FEJEZET
Az adatkezelő és adatfeldolgozó jogai és kötelességei
ELSŐ SZAKASZ
Az adatkezelő és adatfeldolgozó általános kötelességei
31. §
Adatkezelő
(1) Az adatkezelő a személyesadat-kezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak biztosítása és bizonyítása céljából, hogy a személyes adatok kezelése e törvénnyel összhangban történik. Ezeket az intézkedéseket az adatkezelő felülvizsgálja és szükség esetén naprakésszé teszi.
(2) Ha az az adatkezelési tevékenység vonatkozásában arányos, az 1. bekezdésben említett intézkedések részeként az adatkezelő megfelelő belső adatvédelmi szabályokat is alkalmaz.
(3) A 85. § szerinti jóváhagyott magatartási kódexekhez vagy a 86. § szerinti jóváhagyott tanúsítási mechanizmushoz való csatlakozás felhasználható annak bizonyítása részeként, hogy az adatkezelő teljesíti 1. bekezdés szerinti kötelezettségeit.
(4) Az adatkezelő köteles rendszeres időközönként felülvizsgálni a személyes adatok kezelése céljainak fennállását és azokk teljesülése után felesleges halogatás nélkül biztosítani a személyes adatok törlését; ez nem érvényes, ha a személyes adatok levéltári adattár17) részét képezik.
(5) Az adatkezelő külön jogszabály értelmében18) biztosítja azon levéltári adattár kivonását a forgalomból, amely személyes adatokat tartalmaz.
32. §
A személyes adatok különleges és általános érvényű védelme
(1) Az adatkezelő a személyes adatok kezelésének megkezdése előtt köteles különlegesen megtervezett adatvédelmi szabályokat foganatosítani, melynek lényege olyan megfelelő technikai és szervezési intézkedések – főként álnevesítés – végrehajtása, amelyek célja az adatvédelmi alapelvek megvalósítása és a 6–12. §-ba foglalt alapelvek betartása.
(2) Az adatkezelő köteles az 1. bekezdés szerinti különleges adatvédelmi elvek megtervezése során figyelembe venni a személyes adatok védelmével kapcsolatos legújabb ismereteket, az 1. bekezdés szerinti intézkedések végrehajtásának költségeit, a gyűjtött személyes adatok jellegét, mennyiségét, kontextusait és a személyes adatok gyűjtésének célját és a személyes adatok kezelésének változó valószínűségű és súlyosságú kockázatait, melyeket az érintett személy jogaira nézve az adatkezelés jelent.
(3) Az adatkezelő megfelelő általános adatvédelmi elveket bevezetni, melynek lényege a megfelelő technikai és szervezési intézkedések végrehajtása annak biztosítására, hogy kizárólag olyan személyes adatok kezelésére kerüljön sor, amelyek az adott konkrét adatkezelési cél szempontjából szükségesek, minimalizálnia a gyűjtött személyes adatok mennyiségét, kezelésük mértékét, tárolásuk időtartamát és hozzáférhetőségüket. Az adatkezelő köteles biztosítani, hogy a személyes adatok a természetes személy beavatkozása nélkül ne válhassanak hozzáférhetővé meghatározatlan számú személy számára.
(4) Az 1–3. bekezdésében előírt követelmények teljesítését az adatkezelő a 86. § szerinti tanúsítvannyal felhasználásával bizonyíthatja.
33. §
Közös adatkezelők
(1) Közös adatkezelőknek minősül a személyesadat-kezelés céljait és eszközeit megállapodásban közösen meghatározó két vagy több adatkezelő. A közös adatkezelők kötelesk átlátható módon meghatározni mindegyikük felelősségét a jelen törvény szerinti kötelességek és feladatok teljesítésében, különösen az érintett személy jogainak gyakorlásával és a 19. és a 20. §-ban említett információk rendelkezésre bocsátásával kapcsolatos feladataikkal összefüggő felelősségük megoszlását, amennyiben az adatkezelőkre vonatkozó felelősség megoszlását nem határozza meg külön jogszabály vagy a Szlovák Köztársaságra nézve kötelező érvényú nemzetközi egyezmény. A megállapodásban az érintett személyek számára kapcsolattartó helyet kell kijelölni.
(2) Az 1. bekezdésben említett megállapodás alapelveit az adatkezelő köteles az érintett személy rendelkezésére bocsátani, elsősorban a szerződő felek azonosítását, a szerződés tárgyát, a szerződés érvényességének időtartamát, az érintett személy jogérvényesítését szabályozó rendelkezéseket, az adatkezelők tájékoztatásnyújtási kötelességét a 19. és 20. § értelmében, valamint az érintett személy kapcsolattartási helyét.
(3) Az érintett személy az 1. bekezdésben említett megállapodás feltételeitől függetlenül mindegyik adatkezelő vonatkozásában és mindegyik adatkezelővel szemben gyakorolhatja a jogait.
34. §
Az adatfeldolgozó
(1) Ha a személyes adatok kezelését az adatkezelő nevében más végzi, az adatkezelő kizárólag olyan adatfeldolgozót vehet igénybe, aki vagy amely megfelelő garanciákat nyújt megfelelő technikai és szervezési intézkedések végrehajtására úgy, hogy a személyes adatok kezelése megfeleljen a jelen törvény követelményeinek és biztosítsa az érintett személy jogainak védelmét. Az adatkezelő személyes adatok feldolgozására való előző mondat szerinti megbízásához nem szükséges az érintett személy hozzájárulása.
(2) Az adatfeldolgozó az adatkezelő előzetesen írásban tett eseti vagy általános felhatalmazása nélkül további adatfeldolgozót nem vehet igénybe. Általános írásbeli felhatalmazás birtokában az adatfeldolgozó köteles előre tájékoztatni az adatkezelőt további adatfeldolgozó igénybevételéről.
(3) Az adatfeldolgozó által végzett adatkezelést szerződés vagy más jogi aktus szabályozza, mely köti az adatfeldolgozót az adatkezelővel szemben, és amelyben le van fektetve az adatkezelés tárgya, időtartama, jellege és célja, a személyes adatok jegyzéke vagy mennyisége, az érintett személyek kategóriái, valamint az adatkezelő kötelezettségei és jogai. A szerződés vagy más jogi aktus különösen előírja, hogy az adatfeldolgozó:
a) a személyes adatokat kizárólag az adatkezelő írásbeli utasításai alapján kezeli, beleértve a személyes adatoknak valamely harmadik ország vagy nemzetközi szervezet számára való továbbítását is, kivéve, ha az adatkezelést az adatfeldolgozóra alkalmazandó külön jogszabály vagy a Szlovák Köztársaságra nézve kötelező érvényű nemzetközi egyezmény írja elő; ebben az esetben erről a külön jogszabályról vagy a Szlovák Köztársaságra nézve kötelező érvényű nemzetközi egyezményről az adatfeldolgozó az adatkezelőt a személyesadat-kezelést megelőzően értesíti, kivéve, ha az adatkezelő értesítését a külön jogszabály vagy a Szlovák Köztársaságra nézve kötelező érvényű nemzetközi egyezmény fontos közérdekből tiltja,
b) biztosítja azt, hogy a személyes adatok kezelésére feljogosított személyek a megismert adatokra vonatkozóan titoktartási kötelezettséget vállalnak, ha nem állnak külön jogszabályon15) alapuló megfelelő titoktartási kötelezettség alatt,
c) meghozza a 39. §-ban előírt intézkedéseket,
d) tiszteletben tartja a további adatfeldolgozó igénybevételére vonatkozóan a 2. és 5. bekezdésben említett feltételeket,
e) a személyesadat-kezelés jellegének figyelembevételével megfelelő technikai és szervezési intézkedésekkel a lehetséges mértékben segíti az adatkezelőt abban, hogy teljesíteni tudja kötelezettségét az érintett személy második rész második fejezete szerinti jogainak gyakorlásához kapcsolódó kérelmek megválaszolása tekintetében,
f) segíti az adatkezelőt a 39–43. § szerinti kötelezettségek teljesítésében, figyelembe véve az személyesadat-kezelés jellegét és az adatfeldolgozó rendelkezésére álló információkat,
g) a személyesadat-kezelési szolgáltatás nyújtásának befejezését követően az adatkezelő döntése alapján minden személyes adatot töröl vagy visszajuttat az adatkezelőnek, és törli a személyes adatokat tartalmazó meglévő másolatokat, kivéve, ha külön jogszabály vagy a Szlovák Köztársaságra nézve kötelező érvényű nemzetközi egyezmény a személyes adatok megőrzését írja elő,
h) a személyesadat-kezelési szolgáltatás nyújtásának befejezését követően az adatkezelő döntése alapján minden személyes adatot töröl vagy visszajuttat az adatkezelőnek, és törli a személyes adatokat tartalmazó meglévő másolatokat, ha külön jogszabály vagy a Szlovák Köztársaságra nézve kötelező érvényű nemzetközi egyezmény a személyes adatok megőrzését írja elő,
i) az adatkezelő rendelkezésére bocsát minden olyan információt, amely a kötelezettségek teljesítésének igazolásához szükséges, és elősegíti az adatkezelő által vagy az általa megbízott más ellenőr által végzett személyesadat-védelmi auditokat.
(4) Az adatfeldolgozó haladéktalanul tájékoztatja az adatkezelőt, ha úgy véli, hogy annak valamely utasítása sérti ezen törvény vagy a Szlovák Köztársaságra nézve kötelező érvényű nemzetközi egyezmény adatvédelmi rendelkezéseit.
(5) Ha az adatfeldolgozó bizonyos, az adatkezelő nevében végzett különleges adatkezelési tevékenységekhez további adatfeldolgozó szolgáltatásait is igénybe veszi, erre a további adatfeldolgozóra szerződésben vagy más jogi aktusban ugyanolyan az adatvédelmi kötelezettségeket kell telepíteni a személyes adatok védelme vonatkozásában, mint amilyenek az adatkezelő és az adatfeldolgozó között a 3. bekezdés szerint létrejött szerződésben vagy egyéb jogi aktusban szerepelnek, különösen úgy, hogy a további adatfeldolgozónak megfelelő garanciákat kell nyújtania a megfelelő technikai és szervezési intézkedések végrehajtására, és ezáltal biztosítania kell, hogy a személyes adatok kezelése megfeleljen a jelen törvény követelményeinek. Ha a további adatfeldolgozó nem teljesíti személyesadat-védelmi kötelezettségeit, az őt megbízó adatfeldolgozó teljes felelősséggel tartozik az adatkezelő felé a további adatfeldolgozó kötelezettségeinek a teljesítéséért.
(6) A 85. § szerint jóváhagyott magatartási kódexekhez vagy a 86. § szerinti jóváhagyott tanúsítási mechanizmushoz való csatlakozással az adatfeldolgozó bizonyíthatja, hogy teljesíti az 1. és 5. bekezdésben említett személyesadat-védelmi garanciákat.
(7) A 3. és 5. bekezdésben említett szerződést vagy más jogi aktust írásban vagy elektronikus formátumban kell megkötni.
(8) Az adatfeldolgozót, aki vagy amely e törvényt megsértve maga határozza meg az adatkezelés céljait és eszközeit, akkor őt az adott személysadat-kezelés tekintetében adatkezelőnek kell tekinteni; a 38., és a 104–106. § rendelkezései nem sérülnek.
35. §
Az adatkezelő vagy az adatfeldolgozó képviselője
(1) Az adatkezelő vagy adatfeldolgozó, aki vagy amely nem rendelkezik tagállami székhellyel, szervezeti egységgel, részleggel vagy állandó lakhellyel, köteles írásban tagállami területi képviselőt megbízni, ha a Szlovák Köztársaság területén található érintett személy személyes adatait kezeli, miközben adatkezelői tevékenysége
a) az érintett személynek a Szlovák Köztársaság területén megvalósuló áru- vagy szolgáltatáskínálattal kapcsolatos tekintet nélkül arra, hogy az érintett személytől kérnek-e térítési díjat vagy nem, vagy
b) a Szlovák Köztársaság területén tapasztalt viselkedésével függ össze.
(2) Az 1. bekezdésébe foglalt kötelezettséget nem kell alkalmazni:
a) az alkalmi jellegű adatkezelésre, amely nem terjed ki sem a személyes adatoknak a 16. § 1. bekezdésében említett különleges kategóriáira, sem a 17. §-ban említett, büntetőjogi felelősség megállapítására vonatkozó határozatokra és szabálysértésekre vonatkozó személyes adatok nagy számban történő kezelésére, és amely – figyelembe véve az adatkezelés jellegét, körülményeit, hatókörét és céljait – valószínűsíthetően nem jelent kockázatot a természetes személyek jogaira nézve, vagy
b) közhatalmi vagy egyéb, közfeladatot ellátó szervekre.
(3) A hivatal vagy az érintett személy tájékoztatást kérhet a személyesadat-kezeléssel összefüggő minden ügyben, az e törvénynek való megfelelés biztosítása érdekében, s ezt az adatkezelő vagy az adatfeldolgozó mellett az adatkezelő vagy az adatfeldolgozó képviselőtől is kérheti.
(4) Az a tény, hogy az adatkezelő vagy az adatfeldolgozó képviselőt jelöl ki, nem érinti az érintett személy 100. § szerinti vagy más külön jogszabály szerinti,19) adatkezelővel vagy az adatfeldolgozóval szembeni keresetindításhoz való jogát.
36. §
Az adatkezelő vagy az adatfeldolgozó irányítása alatt végzett személyesadat-kezelés
Az adatfeldolgozó és bármely, az adatkezelő vagy az adatfeldolgozó nevében eljáró, a személyes adatokhoz hozzáféréssel rendelkező személy ezeket az adatokat csak az adatkezelő utasításának megfelelően vagy külön jogszabály vagy a Szlovák Köztársaságra nézve kötelező érvényű nemzetközi egyezmény alapján kezelheti.
37. §
Az adatkezelési tevékenységek nyilvántartása
(1) Minden adatkezelő és – ha van ilyen – az adatkezelő képviselője a felelősségébe tartozóan végzett adatkezelési tevékenységekről nyilvántartást vezet. E nyilvántartás a következő információkat tartalmazza:
a) az adatkezelő azonosító adatai és elérhetősége, valamint – ha van ilyen – a közös adatkezelőnek, az adatkezelő képviselőjének és az adatvédelmi tisztviselőnek az azonosító adatai és elérhetősége,
b) a személyes adatok kezelésének céljai,
c) az érintettszemélyek kategóriáinak, valamint a személyes adatok kategóriáinak ismertetése,
d) olyan címzettek kategóriái, akikkel a személyes adatokat közlik vagy közölni fogják, ideértve a harmadik országbeli címzetteket vagy nemzetközi szervezeteket,
e) a harmadik ország vagy a nemzetközi szervezet azonosítása,ha az adatkezelő a személyes adatokat harmadik országba vagy nemzetközi szervezet részére továbbítja, valamint az 51. § 1. ás 2. bekezdése szerinti továbbítás esetében a megfelelő garanciák leírása,
f) a különböző személyesadat-kategóriák törlésére előirányzott határidők,
g) a 39. § 1. bekezdésében említett technikai és szervezési intézkedések általános leírása.
(2) Minden adatfeldolgozó és az adatfeldolgozó képviselője nyilvántartást vezet az adatkezelő nevében végzett adatkezelési tevékenységek minden kategóriájáról. A nyilvántartás a következő információkat tartalmazza:
a) az adatfeldolgozó vagy adatkezelők azonosító adatai és elérhetőségei, és minden olyan adatkezelő azonosító adata és elérhetőségei, amelynek vagy akinek a nevében az adatfeldolgozó eljár, továbbá – ha van ilyen – az adatkezelő vagy az adatfeldolgozó képviselőjének, valamint az adatvédelmi tisztviselőnek az azonosító adatai és elérhetőségei,
b) az egyes adatkezelők nevében végzett adatkezelési tevékenységek kategóriái,
c) a személyes adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítása esetében a harmadik ország vagy a nemzetközi szervezet azonosítása, valamint az 51. § 1. bekezdése szerinti továbbítás esetében a megfelelő garanciák leírása,
d) a 39. § 1. bekezdésében említett technikai és szervezési intézkedések általános leírása.
(3) Az 1. és 2. bekezdésben említett nyilvántartást írásban vagy az elektronikus formátumban kell vezetni.
(4) Az adatkezelő vagy az adatfeldolgozó, valamint – ha van ilyen – az adatkezelő vagy az adatfeldolgozó képviselője megkeresés alapján a hivatal részére rendelkezésére bocsátja az adatkezelési tevékenységek nyilvántartását.
(5) Az 1. és 2. bekezdésbe foglalt kötelezettségek nem vonatkoznak a 250 főnél kevesebb személyt foglalkoztató vállalkozásra, kivéve, ha az általa végzett személyesadat-kezelés az érintett személyek jogainak védelmére nézve valószínűsíthetően kockázattal jár, ha az adatkezelés alkalmi jellegű, vagy ha az adatkezelés nem terjed ki a személyes adatok 16. § 1. bekezdésében említett különleges személyesadat-kategóriáira vagy a 17. §-ban említett, büntetőjogi felelősség megállapítására és szabálysértésekre vonatkozó határozatokra vonatkozó személyes adatoknak a kezelésére.
(6) Az adatkezelési tevékenységek nyilvántartásának mintját a hivatal a honlapján közzéteszi.
38. §
Kártérítési igény és felelősség
(1) Minden személy, akit anyagi kár ér vagy nem anyagi kár ér a jelen törvény megszegése miatt, kártalanításra jogosult20) az adatkezelőtől vagy adatfeldolgozótól.
(2) Az adatkezelő, aki vagy amely személyes adatok kezelésében vett részt, felelős a törvénysértő adatkezelési tevékenységgel okozott kárért. Az adatfeldolgozó a személyes adatok kezelésével okozott kárért csak akkor felelős, ha nem teljesítette 34–39. §, 40. § 3. bek., 45. §, 51. § 3. bek. szerinti kötelességeit, vagy ha az adatkezelő törvénnyel összhangban álló utasításításait túllépte vagy azokkal ellentétesen cselekedett.
(3) Az adatkezelő vagy az adatfeldolgozó akkor szabadul fel a 2. bekezdés szerinti felelőssége alól, ha bizonyítja, hogy a kárt nem ő okozta.
(4) Ha ugyanazon személyes adatok kezelésében egynél több adatkezelő vagy adatfeldolgozó vett részt, vagy az adatkezelő és adatfeldolgozó közösen végezte azt és a 2. és 3. bekezdés értelmében felelősek a személyes adatok kezelésével okozott károkért, a károkozásért közösen és egyenlő mértékben viselik a felelősséget.
(5) Ha az adatkezelő vagy adatfeldolgozó a 4. bekezdéssel összhangban teljes összegben kifizette a kártalanítási összegét, joga van a többi, ugyanazon személyes adatok kezelésében részt vevő adatkezelőtől vagy adatfeldolgozótól a 2. bekezdésben lefektetett szabályok szerint általuk viselt kértérítési felelősséggel arányos a kártérítési összegrész megtérítését kérni.
MÁSODIK SZAKASZ
A személyes adatok biztonsága
39. §
Az adatkezelés biztonsága
(1) Az adatkezelő és az adatfeldolgozó a tudomány és technológia állása és a megvalósítás költségei, továbbá a személyesadat-kezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja, főleg az alaábbi intézkedésekkel:
a) a személyes adatok álnevesítése és titkosítása,
b) a személyes adatok kezelésére használt rendszerek és szolgáltatások folyamatos bizalmas jellegének biztosítása, integritása, rendelkezésre állása és ellenálló képessége,
c) fizikai vagy műszaki incidens esetén az arra való képesség, hogy a személyes adatokhoz való hozzáférés és az adatok rendelkezésre állása kellő időben visszaállítható,
d) a személyesadat-kezelés biztonságának garantálására hozott technikai és szervezési intézkedések hatékonyságának rendszeres tesztelésére, felmérésére és értékelésére szolgáló eljárás.
(2) A biztonság megfelelő szintjének meghatározásakor kifejezetten figyelembe kell venni a személyesadat-kezelésből eredő olyan kockázatokat, amelyek különösen a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítéséből, elvesztéséből, megváltoztatásából, jogosulatlan nyilvánosságra hozatalából vagy az azokhoz való jogosulatlan hozzáférésből erednek.
(3) Az adatkezelő, illetve az adatfeldolgozó 85. § szerinti jóváhagyott magatartási kódexekhez vagy a 86. § szerinti jóváhagyott tanúsítási mechanizmushoz való csatlakozását felhasználhatja annak bizonyítására, hogy az 1. bekezdésében meghatározott követelményeket teljesíti.
(4) Az adatkezelő és az adatfeldolgozó köteles biztosítani, hogy az adatkezelő vagy az adatfeldolgozó irányítása alatt eljáró, a személyes adatokhoz hozzáféréssel rendelkező természetes személy kizárólag az adatkezelő utasításának megfelelően vagy külön jogszabály vagy a Szlovák Köztársaságra nézve kötelező érvényű nemzetközi szerződés alapján kezelhesse az említett adatokat.
40. §
Személyesadat-védelmi incidens bejelentése a felügyeleti hatóságnak
(1) A személyesadat-védelmi incidenst az adatkezelő 72 órán belül azt követően, hogy az adatvédelmi incidens a tudomására jutott, bejelenti felügyeleti hivatalnak; ez nem érvényes, ha valószínűsíthető, hogy az adatvédelmi incidens nem jár kockázattal a természetes személyek jogaira nézve.
(2) Ha az adatkezelő a bejelentési kötelességét nem teljesíti az 1. bekezdésnek megfelelően, a késedelem indokait igazolnia kell.
(3) Az adatfeldolgozó az adatvédelmi incidenst, az arról való tudomásszerzését követően indokolatlan késedelem nélkül bejelenti az adatkezelőnek.
(4) Az 1. bekezdésben említett bejelentésben legalább:
a) ismertetni kell az adatvédelmi incidens jellegét, beleértve – ha lehetséges – az érintett személyek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát,
b) közölni kell az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó hely nevét és elérhetőségeit,
c) ismertetni kell az adatvédelmi incidens valószínűsíthető következményeit,
d) ismertetni kell az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket, ha arra szükség van.
(5) Az adatkezelő köteles a 4. bekezdés szerint tájékoztatást nyújtani olyan mértékben, amilyenben az 1. bekezdés szerinti tájékoztató kiadása idején a rendelkezésére állnak a tények; ha az 1. bekezdés szerinti tájékoztatás idején az adatkezelő nem ismer minden, a 4. bekezdés szerinti információt, amint tudomást szerez róluk, indokolatlan késedelem nélkül közli azokat.
(6) Az adatkezelő köteles nyilvántartani minden, az 1. bekezdés szerinti adatvédelmi incidenst, beleértve az adatvédelmi incidenshez kapcsolódó tényeket, azok következményeit és az orvoslásukra tett intézkedéseket.
41. §
Az érintett személy tájékoztatása az adatvédelmi incidensről
(1) Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira nézve, az adatkezelő indokolatlan késedelem nélkül tájékoztatja az érintett személyt az adatvédelmi incidensről.
(2) Az 1. bekezdésben említett, az érintett részére adott tájékoztatásban világosan és közérthetően ismertetni kell az adatvédelmi incidens jellegét, és közölni kell 40. § 4. bekezdésének b)–d) pontjában említett információkat és intézkedéseket.
(3) Nem kell az 1. bekezdésben említettek szerint tájékoztatni, ha
a) az adatkezelő megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az adatvédelmi incidens által érintett személyes adatok tekintetében alkalmazták, különösen azokat az intézkedéseket – mint például a titkosítás vagy más intézkedés alkalmazása –, amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat,
b) az adatkezelő az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják az érintett jogaira jelentett, az 1. bekezdésben említett magas kockázat kizárását,
c) a tájékoztatás aránytalan erőfeszítést tenne szükségessé; az adatkezelő köteles az érintett személyeket nyilvánosan közzétett információk útján tájékoztatni, vagy más intézkedést meghozni, amely biztosítja az érintett személyek hasonlóan hatékony tájékoztatását.
(4) Ha az adatkezelő még nem értesítette az érintett személyt az adatvédelmi incidensről, a felügyeleti hatóság, miután mérlegelte, hogy az adatvédelmi incidens valószínűsíthetően magas kockázattal jár-e, elrendelheti az érintett személyek tájékoztatását, vagy megállapíthatja a 3. bekezdésben említett feltételek valamelyikének teljesülését.
HARMADIK SZAKASZ
Adatvédelmi hatásvizsgálat és előzetes konzultáció
42. §
Adatvédelmi hatásvizsgálat
(1) Ha a személyesadat-kezelés valamely – különösen új technológiákat alkalmazó – típusa, tekintettel annak jellegére, hatókörére, körülményére és céljaira, valószínűsíthetően magas kockázattal jár a természetes személyek jogaira nézve, akkor az adatkezelő az adatkezelést megelőzően kötelezően hatásvizsgálatot végez arra vonatkozóan, hogy a tervezett adatkezelési műveletek a személyes adatok védelmét hogyan érintik. Egymáshoz hasonló típusú adatkezelési műveletek, amelyek egymáshoz hasonló magas kockázatokat jelentenek, egyetlen hatásvizsgálat keretei között is értékelhetőek.
(2) Ha van kijelölt adatvédelmi tisztviselő, az adatkezelő az adatvédelmi hatásvizsgálat elvégzésekor az adatvédelmi tisztviselő szakmai tanácsát köteles kikérni.
(3) Az adatvédelmi hatásvizsgálatot különösen az alábbi esetekben kell elvégezni:
a) természetes személyekre vonatkozó egyes személyes jellemzők olyan módszeres és kiterjedt értékelése, amely automatizált adatkezelésen – ideértve a profilalkotást is –alapul, és amelyre az érintett természetes személy tekintetében joghatással bíró vagy a természetes személyt hasonlóképpen jelentős mértékben érintő döntések épülnek,
b) a 16. § 1. bekezdésében említett személyes adatok különleges kategóriái, vagy a 17. §-ban említett, büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó személyes adatok nagy számban történő kezelése, vagy
c) nyilvános helyek nagymértékű, módszeres megfigyelése.
(4) Az adatvédelmi hatásvizsgálat mindenképpen kiterjed
a) a tervezett adatkezelési műveletek módszeres leírására és az adatkezelés céljainak ismertetésére, beleértve adott esetben az adatkezelő által érvényesíteni kívánt jogos érdeket,
b) az adatkezelés céljaira figyelemmel az adatkezelési műveletek szükségességi és arányossági vizsgálatára,
c) az érintett személy jogait érintő kockázatok vizsgálatára, és
d) a kockázatok minimalizálását célzó intézkedések bemutatására, ideértve a személyes adatok védelmét és az e törvénnyel való összhang igazolását szolgáló, az érintettek és más személyek jogait és jogos érdekeit figyelembe vevő garanciákat, biztonsági intézkedéseket és mechanizmusokat.
(5) Az adatkezelő vagy adatfeldolgozó által végrehajtott adatkezelési műveletek hatásvizsgalálatakor a felügyeleti hatóság figyelembe veszi, hogy az adatkezelő vagy adatfeldolgozó a 85. § értelmében jóváhagyott magatartási kódexszel vagy a 86. § szerint jóváhagyott tanúsítvánnyal összhangban jár-e el, különösképpen annak személyesadat-védelmi vonatkozásait illetően.
(6) Az adatkezelő jogosult kikérni az érintett személy vagy az érdekeit képviselő szervezet véleményét a tervezett adatkezelésről; az üzleti érdekek vagy a közérdek védelme, vagy az adatkezelési műveletek biztonsága nem sérülhet.
(7) Az adatkezelő köteles elbírálni, hogy a személyes adatok kezelése az adatvédelmi hatásvizsgálatnak megfelelően történik-e, leginkább akkor, ha az adatkezelési műveletek által jelentett kockázat megváltozik.
43. §
Előzetes konzultáció
(1) Ha a 42. §-ban előírt adatvédelmi hatásvizsgálat világosan megállapítja, hogy az adatkezelés valószínűsíthetően magas kockázattal jár a természetes személyre nézve, a személyes adatok kezelését megelőzően az adatkezelő konzultál a felügyeleti hatósággal.
(2) Ha a felügyeleti hatóság véleménye szerint az 1. bekezdés szerint tervezett adatkezelés megsértené e törvényt – különösen, ha az adatkezelő a kockázatot nem elégséges módon azonosította vagy csökkentette –, a felügyeleti hatóság az adatkezelőnek és adott esetben az adatfeldolgozónak nyolc héten belül írásban tanácsot ad. Ezt a határidőt – a tervezett adatkezelés összetettségétől függően – a hivatal hat héttel meghosszabbíthatja; a felügyeleti hatóság a megkeresés kézhezvételétől számított egy hónapon belül tájékoztatja az adatkezelőt vagy adott esetben az adatfeldolgozót a meghosszabbításról és a késedelem okairól. Az említett időtartamok felfüggeszthetők arra az időtartamra, amíg a felügyeleti hatóság nem jut hozzá azokhoz az információkhoz, amelyeket a konzultáció céljából kért.
(3) Az adatkezelő a felügyeleti hatósággal folytatott, 1. bekezdés szerinti konzultáció során a felügyeleti hatóságot tájékoztatja:
a) a személyesadat-kezelésben részt vevő, 1. bekezdés szerinti előzetes konzultáció kötelessége alá eső adatkezelő, közös adatkezelők és adatfeldolgozók feladatköreiről, különösen vállalkozáscsoporton belüli adatkezelés esetén,
b) a tervezett adatkezelés céljairól és végrehajtásuk eszközeiről,
c) az érintett személyek e törvény értelmében fennálló jogainak védelmében hozott intézkedésekről és garanciákról,
d) az adatvédelmi tisztviselő elérhetőségeiről, ha ilyet kijelöltek,
e) a 42. § szerinti adatvédelmi hatásvizsgálatról, és
f) a felügyeleti hatóság által kért minden egyéb információról.
NEGYEDIK SZAKASZ
Adatvédelmi tisztviselő
44. §
Az adatvédelmi tisztviselő kijelölése
(1) Az adatkezelő és az adatfeldolgozó adatvédelmi tisztviselőt jelöl ki minden olyan esetben, amikor:
a) az adatkezelést közhatalmi szervek vagy egyéb, közfeladatot ellátó szervek végzik, kivéve az igazságszolgáltatási feladatkörükben eljáró bíróságokat,
b) az adatkezelő vagy az adatfeldolgozó fő tevékenységei olyan adatkezelési műveleteket foglalnak magukban, amelyek jellegüknél, hatókörüknél vagy céljaiknál fogva az érintettszemélyek rendszeres és szisztematikus, nagymértékű megfigyelését teszik szükségessé, vagy
c) az adatkezelő vagy az adatfeldolgozó fő tevékenységei a személyes adatok 16. § szerinti különleges kategóriáinak nagy számban történő kezelését vagy a 17. §-ban említett, büntetőjogi felelősség megállapítására vonatkozó bűncselekményekre és szabálysértésekre vonatkozó adatok nagy számban történő kezelését foglalják magukba.
(2) A vállalkozáscsoport közös felelős adatvédelmi tisztviselőt is kijelölhet, ha az a személy képes a vállalkozáscsoport minden vállalkozásánál ellátni 46. § szerinti feladatait.
(3) Ha az adatkezelő vagy az adatfeldolgozó közhatalmi szerv vagy egyéb, közfeladatot ellátó szerv, közös felelős adatvédelmi tisztviselő jelölhető ki több ilyen szerv vagy intézmény számára, az adott szervek szervezeti felépítésének és méretének figyelembe vételével.
(4) Az 1. bekezdésbe foglaltaktól eltérő esetekben az adatkezelő vagy az adatfeldolgozó, illetve az adatkezelők vagy adatfeldolgozók kategóriáit képviselő egyesületek és egyéb szervezetek felelős adatvédelmi tisztviselőt jelölhetnek ki. Az adatkezelőket vagy adatfeldolgozókat képviselő ilyen egyesületek és egyéb jogalanyok nevében a felelős adatvédelmi tisztviselő eljárhat.
(5) Az 1. bekezdésbe foglaltaktól eltérő esetekben az adatkezelő vagy az adatfeldolgozó, illetve az adatkezelők vagy adatfeldolgozók kategóriáit képviselő egyesületek és egyéb szervezetek kötelesek felelős adatvédelmi tisztviselőt kijelölni, ha azt külön jogszabály vagy a Szlovák Köztársaságra nézve kötelező érvényű nemzetközi szerződés előírja. Az adatkezelőket vagy adatfeldolgozókat képviselő ilyen egyesületek és egyéb jogalanyok nevében a felelős adatvédelmi tisztviselő eljárhat.
(6) A felelős adatvédelmi tisztviselőt szakmai rátermettség és különösen az adatvédelmi jog és gyakorlati eljárás szakértői szintű ismerete, valamint a 46. §-ban említett feladatok ellátására való alkalmasság alapján kell kijelölni.
(7) A felelős adatvédelmi tisztviselő az adatkezelő vagy az adatfeldolgozó alkalmazottja lehet, vagy szerződés keretében láthatja el a feladatait.
(8) Az adatkezelő vagy az adatfeldolgozó köteles honlapján közzétenni a kijelölt felelős adatvédelmi tisztviselő elérhetőségeit, és azokat közölni a felügyeleti hatósággal.
45. §
Az adatvédelmi tisztviselő jogállása
(1) Az adatkezelő és az adatfeldolgozó biztosítja, hogy az adatvédelmi tisztviselő a személyes adatok védelmével kapcsolatos összes tevékenységét megfelelő módon és időben végezhesse.
(2) Az adatkezelő és az adatfeldolgozó köteles együttműködni a felelős adatvédelmi tisztviselővel a 46. §-ban említett feladatai ellátásában főleg azáltal, hogy biztosítja számára azokat az forrásokat, amelyek e feladatok végrehajtásához, a személyes adatokhoz és az adatkezelési műveletekhez való hozzáféréshez, valamint a szakértői szintű ismereteinek fenntartásához szükségesek.
(3) Az adatkezelő és az adatfeldolgozó köteles biztosítani, hogy a felelős adatvédelmi tisztviselő a 46. §-ban említett feladatai ellátásával kapcsolatban utasításokat senkitől ne fogadjon el. Az adatkezelő vagy az adatfeldolgozó a felelős adatvédelmi tisztviselőt 46. §-ban említett feladatai ellátásával összefüggésben nem válthatja le és szankcióval nem sújthatja. A felelős adatvédelmi tisztviselő közvetlenül az adatkezelő vagy az adatfeldolgozó törvényes képviselőjének tartozik felelősséggel.
(4) Az érintett személy a személyes adatai kezeléséhez és az adatkezeléssel kapcsolatos jogai gyakorlásához kapcsolódó valamennyi kérdésben a felelős adatvédelmi tisztviselőhöz fordulhat.
(5) A felelős adatvédelmi tisztviselőt feladatai teljesítésével kapcsolatban a jelen törvényben vagy külön jogszabályban15) meghatározott titoktartási kötelezettség köti.
(6) A felelős adatvédelmi tisztviselő a 46. §-ban meghatározottól eltérő más feladatokat és kötelezettségeket is elláthat. Az adatkezelő vagy az adatfeldolgozó biztosítja, hogy e feladatokból ne fakadjon összeférhetetlenség.
46. §
Az adatvédelmi tisztviselő feladatai
(1) Az adatvédelmi tisztviselő főként a következő feladatokat látja el:
a) tájékoztat és szakmai tanácsot ad az adatkezelő vagy az adatfeldolgozó, továbbá az adatkezelést végző alkalmazottak részére a jelen törvény, külön jogszabály vagy a Szlovák Köztársaságra nézve kötelező érvényű nemzetközi szerződés szerinti kötelezettségeikkel kapcsolatban,
b) ellenőrzi a jelen törvénynek, valamint külön jogszabálynak vagy a Szlovák Köztársaságra nézve kötelező érvényű, adatvédelemre vonatkozó nemzetközi szerződésnek, továbbá az adatkezelő vagy az adatfeldolgozó személyes adatok védelmével kapcsolatos belső szabályainak való megfelelést, ideértve a feladatkörök kijelölését, az adatkezelési műveletekben részt vevő személyzet tudatosság-növelését és képzését, valamint a kapcsolódó auditokat is,
c) kérésre szakmai tanácsot ad az adatvédelmi hatásvizsgálatra vonatkozóan, valamint nyomon követi a hatásvizsgálat 42. § szerinti elvégzését,
d) feladatai végzése során együttműködik a felügyeleti hatósággal, és
e) az adatkezeléssel összefüggő ügyekben – ideértve a 43. §-ban említett előzetes konzultációt és szükség esetén más konzultációt is – kapcsolattartó pontként szolgál a felügyeleti hatóság felé.
(2) A felelős adatvédelmi tisztviselő feladatait az adatkezelési műveletekhez fűződő kockázat megfelelő figyelembevételével, az adatkezelés jellegére, hatókörére, körülményére és céljára is tekintettel végzi.
NEGYEDIK FEJEZET
A személyes adatok harmadik országokba vagy nemzetközi szervezetek részére történő továbbítása
47. §
Az adattovábbítás általános elve
Személyes adatok továbbítására – ideértve a személyes adatok harmadik országból vagy nemzetközi szervezettől egy további harmadik országba vagy további nemzetközi szervezet részére történő újbóli továbbítását is –, melyeket harmadik országba vagy nemzetközi szervezet részére történő továbbításukat követően adatkezelésnek vetnek alá vagy szándékoznak alávetni, csak abban az esetben kerülhet sor, ha az adatkezelő és az adatfeldolgozó teljesíti a rögzített feltételeket.
48. §
A személyes adatok harmadik országokba vagy nemzetközi szervezetek részére történő továbbítása
(1) Személyes adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítására akkor kerülhet sor, ha a Bizottság megállapította, hogy a harmadik ország, a harmadik ország valamely területe, vagy egy vagy több meghatározott ágazata, vagy a szóban forgó nemzetközi szervezet megfelelő védelmi szintet biztosít. Az ilyen adattovábbításhoz nem szükséges külön engedély.
(2) Ha a Bizottság nem hozott határozatot az 1. bekezdés értelmében, személyes adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítására akkor kerülhet sor, ha megfelelő védelmi garanciákat nyújtanak.
(3) A 2. bekezdés szerinti védelmi garanciák anélkül is meghatározhatók, hogy a hatóságtól külön engedélyt kérnének, a következő tényezők figyelembe vételével:
a) a Szlovák Köztársaságra nézve kötelező érvényű nemzetközi szerződés,
b) vállalkozások 49. § szerinti belső szabályzatai,
c) a Bizottság által jóváhagyott általános adatvédelmi kikötések,
d) a felügyeleti hatóság által jóváhagyott adatvédelmi kikötések,
e) a 85. § szerint jóváhagyott magatartási kódex együttesen a harmadik ország beli adatkezelő vagy adatfeldolgozó kötelezettségvállalásával megfelelő garanciák nyújtására, kimondottan az érintett személy jogainak védelme céljából, vagy
f) a 86. § szerinti tanúsítvány együttesen a harmadik orszá beli adatkezelő vagy adatfeldolgozó kötelezettségvállalásával megfelelő garanciák nyújtására, kimondottan az érintett személy jogainak védelme céljából.
(4) Megfelelő védelmi garanciák nyújtása a 2. bekezdés értelmében biztosítható a felügyeleti hatóság engedélye alapján is, főként
a) szerződésben lefektetett kikötésekkel az adatkezelő vagy adatfeldolgozó és a harmadik országbeli adatkezelő vagy adatfeldolgozó vagy a nemzetközi szervezet között, vagy
b) közhatalmi vagy egyéb, közfeladatot ellátó szervek között létrejött, közigazgatási megállapodásba beillesztett rendelkezésekkel, melyek hatákony eszközöket tartalmaznak az érintett személyek tényleges jogavédelméhez 100. § szerinti indítvány benyújtására és más jogvédelemhez külön jogszabály19) alapján..
49. §
Vállalatok belső szabályai
(1) A felügyeleti hatóság jóváhagyja a belső vállalati szabályokat, ha az:
a) a vállalkozáscsoport vagy a közös gazdasági tevékenységet folytató vállalkozások csoportja minden érintett tagjára, beleértve az alkalmazottakat is, jogilag kötelező erejű, alkalmazandó és általuk érvényesített,
b) kifejezetten rendelkezik az érintetteknek a személyes adataik kezelése tekintetében kikényszeríthető jogairól, és
c) megfelel a 2. bekezdés szerinti követelményeknek.
(2) A belső vállalati szabályok tartalmazzák legalább:
a) a vállalkozáscsoport vagy közös gazdasági tevékenységet folytató vállalkozások csoportja minden egyes tagjának szervezeti felépítését és az elérhetőségét,
b) az adattovábbításokat vagy a továbbítások sorozatát, beleértve a személyes adatok kategóriáit, az adatkezelés fajtáját és céljait, az érintett személyek fajtáit és a szóban forgó harmadik ország vagy országok azonosítását,
c) a szabályzat jogilag kötelező jellegét az adatkezelőre és adatfeldolgozóra nézve,
d) az általános adatvédelmi elvek alkalmazását, különösen a célhoz kötöttséget, az adattakarékosságot, a korlátozott tárolási időtartamokat, az adatminőséget, a speciálisan megtervezett és alapértelmezett adatvédelmet, az adatkezelés jogalapját, a személyes adatok különleges kategóriáinak kezelése jogalapját, az adatbiztonságot garantáló intézkedéseket, valamint az olyan szervezeteknek történő újbóli továbbítás feltételeit, amelyekre nézve nem kötelezőek a kötelező erejű a belső vállalati szabály,
e) az érintett személyek személyes adataik kezelése tekintetében fennálló jogait és e jogok gyakorlásának módjait, beleértve a kizárólag automatizált adatkezelésen – ideértve a 28. § szerinti profilalkotást is – alapuló döntések alóli mentesülés jogát, az érintett 100. §-ban meghatározott jogát, hogy eljárást indíthat, továbbá más, külön jogszabály szerinti19) jogorvoslathoz való jogát, valamint a belső vállalati szabályok megsértése esetén a kártérítéshez való jogát,
f) a Szlovák Köztársaságban tevékenységi hellyel, szervezeti egységgel, részleggel vagy állandó lakhellyel rendelkező adatkezelő vagy adatfeldolgozó nyilatkozatát, melyben elsismeri felelősségét abban az esetben, ha a belső vállalati szabályokat a csoportnak a tagállamok valamelyikében tevékenységi hellyel, szervezeti egységgel, részleggel vagy állandó lakhellyel nem rendelkező bármely érintett tagja megsérti; az adatkezelő vagy adatfeldolgozó részben vagy egészben csak akkor mentesül e felelőség alól, ha bizonyítja, hogy tagja nem felelős a kár előidézésében,
g) azt, hogy a 19. és a 20. §-ban említetten kívül miként biztosítják az érintett személyeknek a belső vállalati szabályokra, különösen az e bekezdés d)–f) pontja szerinti rendelkezésekre vonatkozó információkat,
h) az adatvédelmi tisztviselő vagy más személy vagy jogalany feladatait, vagy a belső vállalati szabályoknak való megfelelés betartását, valamint a képzés és a panaszkezelés nyomon követési folyamatát,
i) a panasztételi eljárásokat,
j) a belső vállalati szabályoknak való megfelelés ellenőrzésének biztosítására szolgáló, a vállalkozáscsoporton vagy közös gazdasági tevékenységet folytató vállalkozások csoportján belüli mechanizmusokat melyek tartalmazzák az adatvédelmi auditokat és az érintett személyek jogainak védelmét szolgáló korrekciós intézkedéseket biztosító mechanizmusokat; az ilyen eredményeit közölni kell a h) pontban említett adatvédelmi tisztviselővel vagy szervezettel, valamint a vállalkozáscsoportot vagy a közös gazdasági tevékenységet folytató vállalkozások csoportját ellenőrző vállalkozás törvényes képviselőjével, és kérésre az illetékes felügyeleti hatóság rendelkezésére kell bocsátani őket,
k) a belső vállalati szabályok változásainak bejelentésére és rögzítésére, valamint e változásoknak a felügyeleti hatóság számára történő bejelentésére szolgáló mechanizmusokat,
l) a belső vállalati szabályoknak a vállalkozáscsoport vagy közös gazdasági tevékenységet folytató vállalkozások csoportjának tagjai általi betartásának biztosítása érdekében a felügyeleti hatósággal folytatott együttműködési mechanizmust, beleértve különösen azt, hogy a felügyeleti hatóság számára elérhetővé teszik az intézkedések e bekezdés j) pontja szerinti ellenőrzésének eredményeit,
m) arra vonatkozó mechanizmusokat, hogy hogyan kell jelenteni az illetékes felügyeleti hatóság számára a vállalkozáscsoport vagy közös gazdasági tevékenységet folytató vállalkozások csoportjának tagjára valamely harmadik országban vonatkozó azon jogszabályokat, amelyek valószínűsíthetően jelentős mértékben hátrányosan érintenék a belső vállalati szabályokban előírt garanciákat, valamint
n) a személyes adatokba állandó jelleggel vagy rendszeresen betekintő természetes személyeknek nyújtandó megfelelő adatvédelmi képzést.
50. §
A Szlovák Köztársaság jogrendje által nem engedélyezett adattovábbítás és adatközlés
Valamely harmadik ország bíróságának, törvényszékének vagy közigazgatási hatóságának olyan ítélete, amely valamely adatkezelő vagy adatfeldolgozó számára személyes adatok továbbítását vagy közlését írja elő, kizárólag akkor ismerhető el vagy hajtható végre, ha az a Szlovák Köztársaságra vagy az Európai Unióra nézve kötelező érvényű, az adatok megismerését igénylő harmadik országgal megkötött nemzetközi megállapodáson alapul.
51. §
Különleges helyzetekben biztosított kivételek
(1) A 48. § 1. bekezdése szerinti megfelelőségi határozat, illetve a 48. § 2–4. bekezdése szerinti megfelelő garanciák hiányában – beleértve a belső vállalati szabályokat is –, a személyes adatok harmadik ország vagy nemzetközi szervezet részére történő továbbítására, vagy többszöri továbbítására csak az alábbi feltételek legalább egyikének teljesülése esetén kerülhet sor:
a) az érintett személy kifejezetten hozzájárulását adta a tervezett továbbításhoz azt követően, hogy tájékoztatták az adattovábbításból eredő – a megfelelőségi határozat és a megfelelő garanciák hiányából fakadó – esetleges kockázatokról,
b) az adattovábbítás az érintett személy és az adatkezelő közötti szerződés teljesítéséhez, vagy az érintett személy kérésére meghozott, szerződést megelőző intézkedések végrehajtásához szükséges,
c) az adattovábbítás az adatkezelő és valamely más természetes vagy jogi személy közötti, az érintett érdekét szolgáló szerződés megkötéséhez vagy teljesítéséhez szükséges,
d) az adattovábbítás külön jogszabály szerinti vagy a Szlovák Köztársaságra nézve kötelező érvényű nemzetközi szerződésen alapuló fontos közérdekből szükséges,
e) az adattovábbítás az éritt személy jogi igényének előterjesztése, érvényesítése és védelme miatt szükséges,
f) az adattovábbítás az érintett vagy valamely más személy életének, egészségének vagy vagyonának védelme miatt szükséges, ha az érintett személy fizikailag vagy jogilag képtelen a hozzájárulás megadására, vagy
g) a továbbított adatok olyan nyilvántartásból származnak, amely a különleges jog vagy a Szlovák Köztársaságra nézve kötelező érvényű nemzetközi szerződés értelmében a nyilvánosság tájékoztatását szolgálja, és amely a nyilvánosság számára betekintés céljából hozzáférhető, de csak ha külön jogszabály vagy a Szlovák Köztársaságra nézve kötelező érvényű nemzetközi szerződés által megállapított feltételek teljesülnek.
(2) Ha az adattovábbítás nem alapulhat a 48. § rendelkezésein, és az 1. bekezdésben említett egyedi helyzetekre vonatkozó eltérések egyike sem alkalmazandó, harmadik országok és nemzetközi szervezetek részére történő adattovábbítás csak akkor történhet, ha
a) az adattovábbítás nem ismétlődő jellegű,
b) csak korlátozott számú érintett személyre vonatkozik,
c) az adatkezelés az adatkezelő olyan kényszerítő erejű jogos érdekében szükséges, amely érdekhez képest nem élveznek elsőbbséget az érintett személyek jogai és érdekei, és
d) az adatkezelő az adattovábbítás minden körülményét megvizsgálta, és e vizsgálat alapján megfelelő garanciákat nyújtott a személyes adatok védelme tekintetében.
(3) Az adatkezelőnek előzetesen tájékoztatnia kell a felügyeleti hatóságot a 2. bekezdés szerinti adattovábbításról. Az adatkezelő a 19. és a 20. §-ban említett információk nyújtásán kívül az érintett személyt tájékoztatja a 2. bekezdés szerinti adattovábbításról, valamint az adatkezelő kényszerítő erejű jogos érdekéről a 19. §-ban megszabott határidőn belül.
(4) Az 1. bekezdés g) pontja szerinti adattovábbítás nem érintheti a nyilvántartásban szereplő személyes adatok vagy személyes adatok kategóriáinak összességét. Ha a nyilvántartásba kizárólag olyan személyek tekinthetnek be, akiknek ehhez jogos érdeke fűződik, az adattovábbításra kizárólag e személyek kérelmére kerülhet sor, illetve abban az esetben, ha ők a címzettek.
(5) Az 1. bekezdés a)–c) pontjai, valamint a 2. bekezdése nem alkalmazandó a közhatalmi szervek által közhatalmi jogosítványaik gyakorlása során végzett tevékenységekre.
HARMADIK RÉSZ
A természetes személyek személyes adatai védelmének szabályai illetékes hatóságok általi adatkezelés esetében
ELSŐ FEJEZET
A személyes adatok kezelésének alapelvei
52. §
A büntetőjogi felelősség megállapítására vonatkozó személyes adatoknak a kezelésével kapcsolatok feladatokra egyaránt vonatkoznak a 6. §, a 8. §, a 9. §, a 11. §, 12. és 13. § 2. bekezdésének rendelkezései.
53. §
Az adatkezelési célok korlátozásának elve
Személyes adatok gyűjtése csak meghatározott, egyértelmű és jogszerű célból történhet, és azok nem kezelhetők ezekkel a célokkal össze nem egyeztethető módon; ugyanazon illetékes hatóság vagy más illetékes hatóság jogosult a személyes adatok kezelésére archiválás céljából, tudományos célból, történelmi kutatási célból vagy statisztikai célból büntetőjogi felelősség megállapítására vonatkozó feladatokkal kapcsolatosan, ha megfelelő adatvédelmi garanciákat léptetnek életbe.
54. §
Az adatmegőrzés minimalizásának elve
A személyes adatokat olyan formában kell tárolni, amely az érintett személy azonosítását legfeljebb addig teszi lehetővé, amíg azt az adatkezelés célja szükségessé teszi.
55. §
Az adatkezelés törvényessége
(1) Az illetékes hatóság jogosult személyes adatok kezelésére büntetőjogi felelősség megállapítására vonatkozó feladatokkal kapcsolatosan a jelen törvénnyel összhangban, külön jogszabály vagy a Szlovák Köztársaságra nézve kötelező érvényú nemzetközi szerződés értelmében.
(2) Személyes adatokat kezelni büntetőjogi felelősség megállapítására vonatkozó feladatokkal kapcsolatosan, ha azok más célból kerültek kezelésre, akkor lehetséges, ha a személyes adatok büntetőjogi felelősség megállapítására vonatkozó feladatokkal kapcsolatos kezelése szükségszerű és arányos mértékű.
(3) Az illetékes hatóság jogosult személyes adatok más célból való kezelésére, mint a büntetőjogi eljárással kapcsolatosan, ha az összeegyeztethető a kezelés eredeti céljával és ha az az ezen más cél szempontjából szükségszerű és arányos mértékű. A személyes adatok más célból való kezelésére külön jogszabály2) vonatkozik, ha személyes adatok olyan tevékenységekkel kapcsolatos kezeléséről van szó, amely az Európai Unió jogrendjének hatálya alá esik; ha személyes adatok olyan tevékenységekkel kapcsolatos kezeléséről van szó, amely nem tartozik az Európai Unió jogrendjének hatálya alá, a személyes adatok más célú kezelésére a jelen törvény rendelkezései vonatkoznak, kivéve a törvény ezen részét.
(4) Ha az illetékes hatóság más tevékenységet végez, mint a büntetőjogi eljárásokkal kapcsolatos feladatok ellátása, a személyes adatok más tevékenységekkel kapcsolatos kezelésére külön jogszabály2) vonatkozik, amennyiben az Európai Unió jogrendjének alávetett tevékenységekről van szó; ha személyes adatok kezelése amely nem tartozik az Európai Unió jogrendjének alávetett tevékenységhez, a személyes adatok más célú kezelésére a jelen törvény rendelkezései vonatkoznak, kivéve a törvény ezen részét.
56. §
Személyes adatok különleges kategóriáinak kezelése
(1) Különleges személyes adatokat az illetékes hatóság csak akkor kezelhet, ha
a) azt bizonyíthatóan az érintett személy bocsátotta a rendelkezésére,
b) a kezelésük elengedhetetlen külön jogszabály vagy a Szlovák Köztársaságra nézve kötelező érvényű nemzetközi szerződés szerint, vagy
c) a kezelésük elengedhetetlen az érintett személy vagy más természetes személy életének, egészségének és vagyonának védelme érdekében.
(2) Az illetékes hatóság köteles a személyes adatok kezelése során megfelelő garanciákat foganatosítani az érintett személy jogainak védelme érdekében.
57. §
Az érintett személyek kategóriái
Az illetékes hatóság, amennyiben az lehetséges, köteles különbséget tenni az érintett személyek különböző kategóriáinak személyes adatai között, főként akik:
a) olyan személyek, akik esetében megalapozottan valószínűsíthető, hogy bűncselekmény követtek el vagy fognak elkövetni,
b) bűncselekmény elkövetéséért elítélt személyek,
c) bűncselekmény áldozatai vagy olyan személyek, akik esetében bizonyos tények alapján megalapozottan valószínűsíthető, hogy bűncselekmény áldozatai vagy áldozattá válhatnak,
d) más, bűncselekménnyel kapcsolatos harmadik személyek, mégpedig olyan személyek, akik felszólíthatók, hogy büntetőeljárásban tanúskodjanak, személyek, akik bűncselekmény elkövetéséről információt nyújthatnak, vagy az a) vagy b) pontban említett személy kapcsolattartói vagy társai.
58. §
A személyes adatok eredete és valóságtartalma
(1) Amennyiben az lehetséges, az illetékes hatóság megkülönbözteti a tényeken alapuló személyes adatokat és a szubjektív értékelésekből származó személyes adatokat.
(2) Az illetékes hatóság az adatátvitel megvalósítása előtt ellenőrzi a személyes adatok helyességét, teljességét és időszerűségét, ha az lehetséges, és intézkedéseket hoz annak biztosítása érdekében, hogy nem nyújtson vagy adjon át olyan személyes adatokat, amelyek hibásak, hiányosak vagy elavultak.
(3) Az illetékes adatokhoz átadás vagy átvitel esetén hozzáférhető információkat csatol, amelyek a fogadó illetések hatóságnak lehetővé teszik a kapott adatok helyessége, teljessége és időszerűsége mértékének elbírálását, amennyiben azt a körülmények engedik. A helytelen személyes adatokat az illetékes hatóság nem adhatja tovább vagy viheti át; a nem hiteles személyes adatokat adatátvitel vagy adatszolgáltatás esetén az illetékes hatóság köteles megjelölni és köteles feltűnteni a megbízhatóságuk mértékét. Ha az illetékes hatóság adatátvitel vagy adatszolgáltatás esetén jogosulatlanul jár el vagy helytelen személyes adatokat nyújt, köteles felesleges halogatás nélkül tájékoztatni róla a fogadó felet és felkérni az adatkezelés címzettjeit, akiknek ilyen adatokat közvetített, hogy haladéktalanul javítsák ki, egészítsék ki, töröljék azokat, vagy korlátozzák az ilyen személyes adatok kezelését.
MÁSODIK FEJEZET
Az érintett személy jogai
59. §
Az illetékes hatóságok büntetőeljárási célú adatkezelési feladatainak eljárására teljes mértékben vonatkoznak a 29. § rendelkezései.
60. §
Tájékoztatások, melyeket elérhetővé kell tenni vagy ki kell adni az érintett személynek
(1) Az illetékes hatóság honlapján mindenképpen nyilvánosságra hozza:
a) azonosító adatait és elérhetőségeit,
b) az adatvédelmi tisztviselő elérhetőségeit,
c) az adatkezelés célját, melyre a személyes adatok szolgálnak,
d) a hatóság elérhetőségeit,
e) a tájékoztatást a 100. § szerinti eljárás indításának lehetőségéről,
f) a tájékoztatást, hogy az érintett személy kérheti az illetékes hatóságtól a személyes adataihoz való hozzáférést, a személyes adatai javítását, törlését vagy kezelésük korlátozását.
(2) Az érintett személy kérésére az illetékes hatóság különleges esetben köteles az érintett személyt tájékoztatni
a) a személyes adatok kezelésének jogalapjáról,
b) a személyes adatok tárolásának időtartamárók; ha ez nem lehetséges, a tájékoztatást a meghatározásának feltételeiről,
c) a személyes adatok címzettjeiről, beleértve a harmadik országbeli címzetteket és nemzetközi szervezeteket,
d) más tényekről, különösen akkor, ha a személyes adatokat az érintett személy tudta nélkül kezelik.
61. §
A személyes adatokhoz való hozzáférés joga
Az érintett személynek joga van az illetékes hatóságtól igazolást kérni arról, hogy kezelnek-e rá vonatkozó személyes adatokat, és ha igen, joga van hozzáférést kapni ezekhez a személyes adatokhoz és tájékoztatást kapni arról, hogy
a) milyen céllal kezelik személyes adatait és mi az adatai kezelésének törvényes alapja,
b) személyes adatai mely kategóriáit kezelik,
c) a címzettekről vagy címzettek kategóriáiról, melyeknek a személyes adatait átadták vagy át fogják adni, elsősorban a harmadik országbeli címzettekről vagy nemzetközi szervezetekről,
d) a személyes adatok tárolásának időtartamáról; ha ez lehetetlen, az időtartam meghatározásának szempontjairól,
e) joga van az illetékes hatóságnál kérni személyes adatai kijavítását vagy törlését, vagy a személyes adatok kezelésének korlátozását, vagy kifogással élhet személyes adatai kezelésével szemben,
f) a hivatal elérhetőségének adatairól,
g) joga van eljárást indítani a 100. § rendelkezései értelmében,
h) a személyes adatok milyen forrásból származnak, ha ilyenek hozzáférhetőek.
62. §
Jog a személyes adatok kijavításához, a személyes adatok törléséhez és e jogok korlátozása
(1) Az érintett személynek joga van ahhoz, hogy az illetékes hatóság felesleges halogatás nélkül kijavítsa hibás személyes adatait, melyek rá vonatkoznak. A személyes adatok kezelésének céljára való tekinettel az érintett személynek joga van hiányos személyes adatainak kiegészítéséhez.
(2) Az érintett személynek joga van ahhoz, hogy az illetékes hatóság felesleges halogatás nélkül törölje a rá vonatkozó személyes adatokat, és az illetékes hatóság köteles felesleges halogatás nélkül törölni a személyes adatokat, ha
a) a személyes adatok kezelése a személyesadat-kezelésre vonatkozó, 52–55. §-ban lefektetett elvekbe ütközik,
b) a személyes adatok kezelése az 56. § elveibe ütközik, vagy
c) a személyes adatok törlése elengedhetetlen a jelen törvény szerinti, külön jogszabályból vagy a Szlovák Köztársaságra nézve kötelező érvényű nemzetközi szerződésből fakadó kötelességek teljesítése végett.
(3) Törlés helyett az illetékes hatóság korlátozza a személyes adatok kezelését, ha
a) az érintett személy megtámadta személyes adatai helyességét és azok helyességét vagy helytelenségét nem lehet eldönteni, vagy
b) a személyes adatokat bizonyítás céljából meg kell őrizni.
(4) Ha a személyes adatok kezelése a 3. bekezdés a) pontja szerint korlátozásra kerül, az illetékes hatóság köteles a személyesadat-kezelés korlátozásának feloldása előtt e tényről tájékoztatni az érintett személyt.
(5) Az illetékes hatóság köteles az érintett személyt írásban tájékoztatni az 1. bekezdésben lefektetett adatjavításhoz való joga, a 2. bekezdés szerinti adattörléshez való joga vagy a 3. bekezdés szerinti adatkezelés-korlátozási joga elutasításáról és az elutasítás indokairól.
63. §
A tájékoztatás korlátozása és az érintett személy jogainak korlátozása
(1) Az illetékes hatóság elnapolhatja a tájékoztást, korlátozhatja a tájékoztatást vagy elhagyhatja a 60. § 2. bekezdése szerinti tájékoztatást, teljes egészében vagy részlegesen korlátozhatja a 61. § szerinti hozzáféréshez való jogot vagy teljes egészében vagy részlegesen korlátozhatja a 65. § 5. bekezdése szerinti tájékoztatási kötelességét, ha
a) az a hatósági eljárás vagy bírósági eljárás vagy nyomozás befolyásolását vagy meghiúsulását vonhatná maga után,
b) veszélyeztethetné a büntetőeljárás céljait szolgáló feladatok teljesítését,
c) az szükséges a közrend vagy az állambiztonság védelmének biztosítása érdekében, vagy
d) az szükséges más személyek jogainak védelme érdekében.
(2) Külön jogszabály meghatározhatja a személyes adatok azon kategóriáit, amelyekre az 1. bekezdés rendelkezései vonatkoznak.
(3) Az illetékes hatóság köteles az érintett személyt írásban tájékoztatni a 61. §-ban lefektetett adathozzáférési joga elutasításáról vagy hozzáférési joga korlátozásáról, és az elutasítás vagy korlátozás indokairól; ez nem érvényes, ha az ilyen tájékoztatással veszélybe sodorná az 1. bekezdés szerinti célokat.
(4) Az illetékes hatóság köteles dokumentálni a tényekból fakadó indokokat vagy a jogi indokokat, melyek alapján a 61. § szerinti hozzáférési jogot korlátozta, ezt kérésre fel kell mutatnia a felügyeleti hivatalnak.
(5) Ha az illetékes hatóság korlátozza a tájékoztatásnyújtást vagy korlátozza az érintett személy jogait az 1. bekezdés értelmében, köteles az érintett személyt írásban tájékoztatni azon jogáról, hogy a 100. § szerint értelmében eljárást kezdeményezhet, beleértve a jogát az illetékes hatóság 1. és 3. bekezdés szerinti eljárása törvényességének felügyeleti hatóság általi felülvizsgálatát, valamint az érintett személy jogai védelmének egyéb fajtáit.19)
64. §
Értesítés a személyes adatok kijavításáról, törléséről vagy kezelésének korlátozásáról
Az illetékes hatóság köteles értesítést kiadni a helytelen személyes adatok kijavítását az illetékes hatóságnak, melytől a helytelen személyes adatokat megkapta. Ha az illetékes hatóság a helytelen személyes adatokat kijavítja, törli vagy kezelésüket korlátozza a 62. § 1–3. bekezdése értelmében, tájékoztatja róla a címzettet, aki vagy amely szintén köteles az ilyen személyes adatokat kijavítani, törölni vagy kezelésüket korlátozni.
65. §
A 61–64. § rendelkezései nem érvényesek, ha olyan személyes adatokról van szó, amelyek nyomozati iratok vagy bírósági periratok részét képezik büntetőjogi eljárás keretében; a jelen rendelkezésekben feltüntetett jogok külön jogszabály21) szerint érvényesíthetők.
66. §
Automatizált döntéshozatal egyedi ügyekben
(1) Az érintett személy jogosult arra, hogy az illetékes hatóság rá nézve kedvezőtlen joghatással járó döntése ne alapulhasson kizárólag automatizált adatkezelésen – ideértve a profilalkotást is –, ha külön jogszabály vagy a Szlovák Köztársaságra nézve kötelező érvényű nemzetközi szerződés másként nem rendelkezik. A külön jogszabálynak vagy a Szlovák Köztársaságra nézve kötelező érvényű nemzetközi szerződésnek elegendő garanciát kell tartalmaznia az érintett személy jogainak védelmére nézve, főként arra, hogy meggyőződhessen róla, hogy az illetékes hatóság nem automatizált adatkezeléssel hozta meg a döntését.
(2) Az 1. bekezdés szerinti döntés nem alapulhat személyi adatok különleges kategóriáin, ha nem érvényesülhetnek megfelelő az érintett személy jogait és törvényből fakadó érdekeit biztosító intézkedések.
(3) A profilalkotás, mely a személyes adatok különleges kategóriái alapján személyek diszkriminációjához vezet, tilos.
HARMADIK FEJEZET
Az illetékes hatóság és az adatfeldolgozó kötelességei
67. §
Az illetékes hatóság büntetőeljárás céljait szolgáló személyesadat-kezelésére egyenlő mértékben vonatkoznak a 31. §, a 32. §, a 33. § 1. és 3. bek., a 34. §, a 36. §, a 37. §, a 39–41. §, a 42. § 1–5. és 7. bek. és a 44–46. § rendelkezései.
68. §
(1) Az illetékes hatóság háromévente egyszer felülvizsgálja, hogy a kezelt személyes adatok továbbra is szükségeke-e a büntetőeljárás céljait szolgáló feladatok teljesítéséhez, ha külön jogszabály másként nem rendelkezik.
(2) Az illetékes hatóság feljegyzést vezet azokról az adatkezelési tevékenységekről, amelyekért felelős. Az adatkezelési tevékenységről szóló feljegyzésnek a 37. §-ban szereplő adatok mellett tartalmaznia kell a tájékoztatást, hogy
a) profilalkotást használt, ha az illetékes hatóság szándéka a profilalkotás,
b) az adatkezelési művelet jogi alapjáról, beleértve az adatátvitelt is, melyre a személyes adatokat szánja.
69. §
A naplófájlok nyilvántartása
(1) Az illetékes hatóság a személyes adatok megszerzésében, letöltésében, átadásában – beleértve a továbbítást az automatikus adatkezelési folyamatokban – megőrzi a naplófájlokat. A letöltési és továbbadási naplófájlból egyértelműen meg kell tudni határozni a letöltés vagy továbbadás okát, dátumát és időpontját, valamint a személyes adatokat letöltő vagy továbbadó személy azonosító adatait, illetve a címzettek kilétét.
(2) Az illetékes hatóság kizárólag a személyes adatok kezelése törvényességének ellenőrzése és követése céljából használja fel és tárolja a naplófájlokat, a személyes adatok integritása és biztonsága érdekében és büntető eljárási célokból.
(3) Az illetékes hatóság és az adatfeldolgozója kérésre a hivatal rendelkezésére bocsátja a naplófájlokat, ha azok elérhetők.
70. §
Előzetes konzultáció
(1) Az illetékes hatóság előzetes konzultációt valósít meg a felügyeleti hatósággal azon személyes adatok kezelése előtt, amelyek az új információs rendszer fogják képezni, ha a 42. § szerinti adatvédelmi hatásvizsgálatból egyértelmű, hogy az ilyen adatkezelés nagyfokú kockázatot hordoz a természetes személyekre nézve, amennyiben az illetékes hatóság nem léptet életbe e kockázatot csökkentő intézkedéseket vagy a kezelés típusával, főként az új technológiákkal, mechanizmusokkal és eljárásmódokkal kapcsolatos intézkedéseket, ha azokhoz az érintett személy jogai megsértésének nagyfokú kockázata társul.
(2) Az illetékes hatóság az előzetes konzultációval együtt az általa elvégzett, 42. § szerinti adatvédelmi hatásvizsgálatot is a hivatal részére bocsátja, valamint a hivatal kérésére minden további adatot, amelyek lehetővé teszik a hivatal részére megítélni a személyes adatok kezelésének összhangját a jelen törvénnyel és főként az érintett személyt fenyegető veszélyt az adatvédelem és az összefüggő biztosítékok szempontjából.
(3) Ha a hivatal úgy véli, hogy az 1. bekezdés szerinti adatkezelés törvénysértő lehetne, főleg, ha az illetékes hatóság nem megfelelő mértékben azonosította be a kockázatot vagy alábecsülte a kockázatot, a hivatal az előzetes konzultációt kérő kérvény beérkezésétől számított hat héten belül az illetékes hatóságnak vagy az adatkezelőjének is írásbeli tanácsadást nyújt. A hivatal a tervezett személyesadat-kezelés bonyolultságára való tekintettel az előző mondat szerinti határidőt egy hónappal meghosszabbíthatja; a határidő meghosszabbításáról és annak okairól a hivatal értesíti az adatkezelőt, esetleg az adatfeldolgozót is, a konzultációs kérelem kézhez vételétől számított egy hónapon belül. A hivatal tanácsadói határidejének múlása szünetel mindaddig, míg a hivatal nem kapja meg azokat az információkat, amelyeket az előzetes konzultáció céljaira bekért.
(4) A további adatkezelési műveleteket, melyekre vonatkozóan előzetes konzultációs kötelezettséget írnak elő az illetékes hatóságnak az 1. bekezdés értelmében, általános érvényű jogszabály határozza meg, melyet a felügyeleti hivatal ad ki.
71. §
A személyes adatok kezelésének biztonsága
Az illetékes hatóság vagy az illetékes hatóság adatfeldolgozója az automatizált adatkezelési eljárásban a kockázatok kiértékelése után intézkedést hoz
a) a berendezésekhez való hozzáférés ellenőrzéséről, hogy megakadályozza illektéktelenek hozzáférését a személyes adatok kezelését szolgáló azon berendezésekhez, melyeket a személyesadat-feldolgozásra használnak,
b) a személyes adatokat tartalmazó adathordozók ellenőrzéséről, hogy elejét vegye a személyes adatokat tartalmazó adathordozók olvasásának, a személyes adatokat tartalmazó adathordozók másolásának, a személyes adatokat tartalmazó adathordozók módosításának vagy a személyes adatokat tartalmazó adathordozók törlésének,
c) a személyes adatok tárolásának ellenőrzéséről, hogy elejét vegye személyes adatok illetéktelen elhelyezésének az információs rendszerekben és a személyes adatok illetéktelen letöltésének az információs rendszerekből, személyes adatok módosításának az információs rendszerekben vagy személyes adatok törlésének az információs rendszerekből,
d) az információs rendszerhez való hozzáférés ellenőrzését, hogy megakadályozza az automatizált adatkezelési rendszerek arra illetéktelenek általi használatát az adatátvitelre szolgáló berendezések segítségével,
e) a személyes adatokhoz való hozzáférés ellenőrzését annak biztosítása érdekében, hogy az automatizált adatkezelési rendszer használatára jogosult személyek csak azokhoz a személyes adatokhoz jussanak hozzá, amelykre a hozzáférési jogosítványuk vonatkozik,
f) az adatátvitel ellenőrzését annak biztosítása érdekében, hogy ellenőrizze és azonosítsa azon jogalanyokat, akik vagy amelyek a személyes adatokat megkapták vagy akiknek vagy amelyeknek továbbítva lettek, vagy ellenőrizze és azonosítsa azokat a jogalanyokat, akik vagy amelyek a személyes adatokat megkaphatják vagy akiknek vagy amelyeknek továbbítva lehetnek adatátvitelre szolgáló berendezések közvetítésével,
g) az adatok információs rendszerekbe történő elhelyezését annak biztosítása érdekében, hogy ellenőrizhető és megállapítható lesz, mely személyek helyezték el a személyes adatokat az automatizált adatkezelési rendszerben, hogy mikor és ki helyezte el azokat,
h) az adatforgalom ellenőrzését, hogy elejét vegyék a személyes adatok illetéktelenek általi olvasásának, a személyes adatok másolásának, a személyes adatok módosításának vagy a személyes adatok törlésének adatátvitel alatt vagy a személyesadat-hordozók szállítása alatt,
i) a személyes adatok megújítását annak biztosítása érdekében, hogy az istallált rendszerek felújíthatók, ha üzemzavar áll be rajtuk,
j) az információs rendszer megbízhatóságának biztosítását annak érdekében, hogy e rendszer funkciói működnek, és jelzik a hibákat a funkciókon belül,
k) az információs rendszer integritásának biztosítását, hogy a tárolt személyes adatok nem sérülhetnek meg, ha a rendszerben üzemzavar lép fel.
72. §
A személyesadat-védelem sérülésének bejelentése
(1) Az illetékes hatóság köteles indokolatlan késedelem nélkül bejelenteni a 40. § 4. bek. szerinti adatokat a büntetőeljáráshoz kapcsolódó feladatok teljesítésére jogosult tagállam illetékes hatóságának, ha a személyes adatok védelmének sérelme olyan személyes adatokat tartalmaz, melyek átvitelét olyan tagállam illetékes hatósága hajtotta végre, amely büntetőeljáráshoz kapcsolódó feladatok teljesítésére jogosult, vagy az adatokat címzettje ilyen hatóság volt.
(2) Az illetékes hatóság a 41. § szerint előírt bejelentést elnapolhatja az adatvédelmi incidensről, korlátozhatja az adatvédelmi incidensről szóló bejelentést vagy eltekinthet az adatvédelmi incidens bejelentésétől az érintett személy vonatkozásában, ha
a) azzal befolyásolhatná vagy meghiúsíthatná a hatósági eljárást, vagy a bírósági eljárást vagy viszgálatot,
b) veszélyeztethetné a büntetőjogi eljárással kapcsolatos feladatok teljesítését,
c) az szükséges a közrend védelmének biztosítása, az állambiztonság érdekében, vagy
d) az szükséges más személyek jogainak védelme érdekében.
NEGYEDIK FEJEZET
Személyes adatok átvitele harmadik országba vagy nemzetközi szervezethez
73. §
(1) Az illetékes hatóság büntetőeljárás céljait szolgáló személyesadat-kezelési feladatellátására egyenlő mértékben vonatkoznak a 48. § 1. bek. és az 50. §-ban lefektetett rendelkezések.
(2) A büntetőeljárási feladatokat ellátó illetékes hatóságok és a büntetőeljárási feladatokat ellátó illetékes tagállami hatóságok közötti adatátvitel garantált, ha az ilyen adatátvitelt külön jogszabály szerint vagy a Szlovák Köztársaságra nézve kötelező érvényű nemzetközi szerződés megköveteli.
74. §
Az adatátvitel általános alapelvei
(1) Azon személyes adatok átvitelét, amelyeket harmadik országba történő vagy nemzetközi szervezethez való átvitel céljából kezelnek vagy átvitelt követő kezelésre szánnak, beleértve a személyes adat későbbi újabb átvitelét más harmadik országba vagy más nemzetközi szervezethez, az illetékes hatóság csak akkor hajthatja végre, ha
a) az adatátvitel büntetőeljárás feladatainak teljesítése céljából szükséges,
b) a személyes adatokat harmadik országbeli üzemeltetőnek vagy nemzetközi szervezetnek továbbítják, amely büntetőeljárás feladatainak teljesítésére jogosult hatóság, amennyiben a 77. § 1. bekezdése másként nem rendelkezik,
c) a tagállam belső jogrendjével összhangban engedélyt adtott az adatátvitelre még az adatátvitel megvalósulása előtt, amennyiben más tagállamból származó személyes adatok átviteléről vagy átadásáról van szó,
d) a Bizottság határozatot hozott az arányosságról a 48. § 1. bek. értelmében, vagy megfelelő garanciákat nyújtottak vagy megfelelő garanciák léteznek a 75. § értelmében, vagy különleges esetekre vonatkozóan érvényesek a 76. § szerinti kivételek,
e) későbbi újabb adatátvitel esetén más harmadik országba vagy más nemzetközi szervezethez, az illetékes hatóság, amely az eredeti adatátvitelt végrehajtotta, vagy a Szlovák Köztársaság más illetékes hatósága engedélyt ad ki a további adatátvitelre, mégpedig a releváns tények alapos mérlegelésével, beleértve a bűncselekmény súlyosságát, a célt, mely érdekében a személyes adatok átvitelére eredetileg sor került, valamint a személyes adatok védelmének színvonalát a harmadik országban vagy a nemzetközi szervezetnél, ahová vagy amelyhez a személyes adatok további átvitele történik.
(2) Személyes adat későbbi újabb átvitelét más harmadik országba vagy más nemzetközi szervezethez az 1. bekezdés c) pontja szerinti tagállami engedély nélkül csak akkor lehet megvalósítani, ha az adatátvitel elengedhetetlenül szükséges a tagállam vagy harmadik ország közvetelen és komoly közbiztonsági fenyegetettségének vagy alapvető érdekei veszélyeztetésének végett, és az előzetes engedélyezés megszerzésre nincs idő;az előzetes engedély kiadására jogosult hatóságot e zényről haladéktalanul tájékoztatni kell.
(3) Ha az illetékes hatóság olyan személyesadat-továbbítást hajt végre, amelynek a kezelésére külön jogszabály szerinti külön kezelési feltételek vonatkoznak, e feltételekről és a feltételek betartásának kötelességéről tájékoztatnia kell a címzettet. Személyes adatok más tagállam beli címzettnek vagy ügynökségnek, hatóságnak vagy az Európai Unió szervének történő továbbítása esetén az illetékes hatóság nem alkalmazhat más feltételeket, csak olyanokat, amilyenek a személyes adatok átvitelére a Szlovák Köztársaságban vonatkoznak.
75. §
Megfelelő garanciák
(1) Ha nem létezik Bizottság által meghozott megfelelőségi határozat a 48. § 1. bekezdése szerint, az illetékes hatóság csak abban az esetben továbbíthat személyes adatokat harmadik országba vagy nemzetközi szervezet részére, ha
a) külön jogszabály vagy a Szlovák Köztársaságra nézve kötelező erejű nemzetközi szerződés megfelelő garanciákat biztosít a személyes adatok védelmére, vagy
b) az illetékes hatóság elbírálta a személyes adatok átvitelének körülményeit és arra a következtetésre jutott, hogy megfelelő garanciák állnak fenn a személyes adatok védelmére.
(2) Az illetékes hatóság tájékoztatja a felügyeleti hivatalt az 1. bekezdés b) pontja szerinti adatátviteli kategóriákról.
(3) Ha az illetékes hatóság 1. bekezdés b) pontja szerinti adatátvitelt hajt végre, az adatátvitelt dokumentálnia kell; a dokumentációt kérésre bemutatja a felügyeleti hivatalnak. A dokumentációban fel kell tünteni az adatátvitel dátumát és időpontját, a címzett illetékes hatóságról szóló tájékoztatást, a személyes adatok átvitelének indoklását és a továbbított személyes adatokat.
(4) A Bizottság által meghozott döntéssel a 48. § 1. bekezdése szerinti megfelelőségi határozat megszüntetéséről, módosításáról vagy felfüggesztéséről, nem változik az 1. bekezdés és a 76. § zerinti adatátvitel feltételrendszere.
76. §
Kivételek különleges helyzet esetén
(1) Ha nem létezik Bizottság által meghozott megfelelőségi határozat a 48. § 1. bekezdése vagy a 75. § szerint, az illetékes hatóság csak abban az esetben továbbíthat személyes adatokat harmadik országba vagy nemzetközi szervezet részére, ha az adatátvitel szükségszerű
a) az érintett személy vagy más személy életének, egészségének vagy vagyonának védelme érdekében,
b) az érintett személy jogos érdekeinek védelme érdekében, ha külön jogszabály vagy a Szlovák Köztársaságra nézve kötelező érvényű nemzetközi szerződés úgy rendelkezik,
c) a tagállam vagy harmadik ország közbiztonsága komoly és közvetlen veszélyeztetésének megelőzése végett,
d) egyedi esetekben büntetőeljárási feladatok teljesítése céljából, vagy
e) egyedi esetben jogigények érvényesítéséhez büntetőeljárási feladatok teljesítésével összefüggésben.
(2) Az 1. bekezdés szerinti adatátvitel nem valósítható meg, ha az illetékes hatóság, amely az adatátvitelt végrehajtja, úgy dönt, hogy az érintett személy jogai felülírják az 1. bekezdés d) és e) pontja szerinti adatátvitelhez fűződő közérdeket.
(3) Ha az adatátvitel az 1. bekezdés szerint valósul meg, az adatátvitelt dokumentálnia kell; a dokumentációt kérésre bemutatja a felügyeleti hivatalnak. A dokumentációban fel kell tünteni az adatátvitel dátumát és időpontját, a címzett illetékes hatóságról szóló tájékoztatást, a személyes adatok átvitelének indoklását és az átadott személyes adatokat.
77. §
Személyes adatok átvitele harmadik ország címzettjének
(1) Az illetékes hatóság egyedi esetekben személyesadat-átvitelt hajthat végre harmadik országban székhellyel, vállalkozási hellyel, szervezeti egységgel, üzemrészleggel vagy állandó lakhellyel bíró címzettnek, ha az adatátvitel más, jelen törvényben meghatározott feltételei mellett
a) az adatátvitel az azt megvalósító illetékes hatóság büntetőeljárási feladatainak teljesítése céljából szükséges,
b) az adatátvitelt megvalósító illetékes hatóság eldönti, hogy az érintett személy jogai nem írják felül az adatátvitelhez fűződő közérdeket, melyből az adatátvitel szükségszerűsége fakad,
c) az adatátvitelt megvalósító illetékes hatóság úgy véli, hogy az adatátvitel annak a hatóságnak, mely a harmadik országban a büntetőeljárási feladatok teljesítésére hivatott, nem hatékony vagy alkalmatlan, főként azért, mert az adatátvitel megfelelő időhorizontban nem hajtható végre,
d) az adatátvitelt megvalósító harmadik országbeli illetékes hatóságot, mely a büntetőeljárási feladatok teljesítésére hivatott, felesleges késedelem nélkül tájékoztatni kell, kivéve azon eseteket, amikor az ilyen intézkedés hatástalan vagy alkalmatlan lenne, és
e) az adatátvitelt megvalósító illetékes hatóság tájékoztatja a címzettet a konkrét célról vagy célokról, melyekre a címzett a továbbított adatokat kezelheti, ha az ilyen kezelés elengedhetetlen.
(2) Az 1. bekezdés szerinti harmadik országbeli címzettnek történő adatátvitellel nem sérül a Szlovák Köztársaságra nézvé kötelező joghatályú büntetőjogi igazságügyi és rendőri együttműködési nemzetközi szerződés.
(3) Az illetékes hatóságnak, mely adatátvitelt hajt végre az 1. bekezdés szerint, erről tájékoztatnia kell a felügyeleti hivatalt.
(4) Ha az illetékes hatóság adatátvitelt valósít meg az 1. bekezdés értelmében, azt dokumentálnia kell.
NEGYEDIK RÉSZ
A személyes adatok törvényben előírt kezelésének különleges esetei
78. §
(1) Az adatkezelő az érintett személy beleegyezése nélkül kezelhet személyes adatokat akkor is, ha a személyes adatok kezelése feltétlenül szükséges tudományos, művészeti vagy irodalmi célokból; ez nem érvényes, ha a személyes adatok ilyen célú kezelésével az adatkezelő megsérti az érintett személy személyiségvédelmi jogait vagy magánélete védelméhez fűződő jogait, vagy az ilyen, az érintett személy beleegyezése nélküli adatkezelést külön jogszabály vagy a Szlovák Köztársaságra nézve kötelező érvényű nemzetközi szerződés kizárja.
(2) Az adatkezelő az érintett személy beleegyezése nélkül kezelhet személyes adatokat akkor is, ha a személyes adatok kezelése feltétlenül szükséges tömegtájékoztatási eszközökön keresztüli tájékoztatás céljából és ha a személyes adatokat olyan adatkezelő kezeli, amelynek az a vállalkozói tevékenysége tárgyából ered; ez nem érvényes, ha a személyes adatok ilyen kezelésével sérül az érintett személy személyiségvédelemhez fűződő joga, vagy az ilyen, az érintett személy beleegyezése nélküli adatkezelést külön jogszabály vagy magánélete védelméhez fűződő joga, vagy ha azt külön jogszabály vagy a Szlovák Köztársaságra nézve kötelező érvényű nemzetközi szerződés kizárja.
(3) Az adatkezelő, mely az érintett személy munkáltatója, jogosult a személyes adatai továbbítására vagy a személyes adatai közzétételére a tudományos címe, családi és utóneve, munkabeosztása, szolgálati beosztása, tisztsége, alkalmazotti személyi száma vagy alkalmazotti nyilvántartási száma, szakalakulata, munkavégzési helye, telefonszáma, fax-száma, munkahelyi elektronikus levélcíme és munkáltatója azonosító adatai mértékében, ha ez munkafeladatai, szolgálati feladatai vagy a tisztségével kapcsolatos feladatok teljesítése végett szükséges. A személyes adatok kiadása vagy továbbítása nem sértheti az érintett személy komolyságát, méltóságát és biztonságát.
(4) A személyes adatok kezelése során a természetes személy azonosításának céljaira csak akkor használható fel az általánosan alkalmazott, külön jogszabály szerinti azonosító,22) ha annak használata feltétlenül szükséges az adatkezelés adott céljának eléréséhez. Az egyetértést az általánosan alkalmazott azonosító használatával kimondottan meg kell adni és nem nem zárhatja ki ezt külön jogszabály sem, ha az érintett személy hozzájárulásán nyugvó jogalap teremti meg a feltételt az adatkezelésre. Az általánosan alkalmazott azonosítót nyilvánosságra hozni tilos; ez nem érvényes, ha az általánosan alkalmazott azonosítót maga az érintett személy teszi közzé.
(5) Az adatkezelő genetikai adatokat, biometrikus adatokat és egészségügyi adatokat törvényből eredő vagy a Szlovák Köztársaságra nézve kötelező érvényű nemzetközi szerződésből fakadó felhatalmazással is kezelhet.
(6) Az érintett személyről más személytől származó személyes adatokat gyűjteni és kezelni információs rendszerben csak az érintett személy előzetes írásbeli hozzájárulásával lehet; ez nem érvényes, ha az érintett személy személyes adatainak információs rendszerbe történő átadásával a másik természetes személy a saját jogait vagy jogos érdekeit védve olyan tényeket jelent be, amelyek indokolják az érintett személy törvényes felelősségét, vagy a személyes adatok kezelése a külön jogszabály 13. § 1. bek. c) és e) pontja alapján történik. Annak, aki az ilyen személyes adatokat kezeli, képesnek kell lennie a felügyeleti hivatal kérésére igazolni, hogy az adatokat a jelen törvénnyel összhangban szerezte meg.
(7) Ha az érintett személy elhalálozott, a jelen törvény vagy külön jogszabály2) által megkövetelt beleegyezést közeli hozzátartozója23) adhatja meg. A beleegyezés érvénytelen, ha csak egyetlen közeli hozzátartozó is egyet nem értését fejezi ki írásban.
(8) Az archiválási, tudományos kutatási, történelmi kutatási vagy statisztikai célból végzett személyesadat-kezelés során az adatkezelő vagy adatfeldolgozó köteles megfelelő garanciákat biztosítani az érintett személy jogainak védelme érdekében. Ezek a garanciák tartalmazzák a megfelelő és hatékony technikai és szervezési intézkedéseket, főként az adatminimalizálás és álnevesítés elvei betartásának biztosítása terén.
(9) Ha tudományos kutatási, történelmi kutatási vagy statisztikai célból végzett személyesadat-kezelés történik, az érintett személy jogait a 21. §, a 22. §, a 24. § és 27. § vagy külön jogszabály24) vagy a Szlovák Köztársaságra nézve kötelező érvényű nemzetközi szerződés alapján korlátozni lehet, amennyiben megfelelő garanciákat és feltételeket biztosítanak a 6. bekezdés értelmében arra, hogy ha az érintett személy ezen jogai valószínűsíthetően lehetlenné tennék vagy megnehezítenék e célok elérését, és az érintett személy jogainak ilyen korlátozása szükségszerű a célok elérése érdekében.
(10) Ha archiválási célból végzett személyesadat-kezelés történik, az érintett személy jogait a 21. §, a 22. §, a 24. § és 27. § vagy külön jogszabály25) vagy a Szlovák Köztársaságra nézve kötelező érvényű nemzetközi szerződés alapján korlátozni lehet, amennyiben megfelelő garanciákat és feltételeket biztosítanak a 6. bekezdés értelmében arra, hogy ha az érintett személy ezen jogai valószínűsíthetően lehetlenné tennék vagy megnehezítenék e célok elérését, és az érintett személy jogainak ilyen korlátozása szükségszerű a célok elérése érdekében.
(11) Az adatkezelő és az adatfeldolgozó a biztonsági intézkedések meghozatalakor és az adatvédelmi hatásvizsgálat során megfelelő módon jár el, összhangban a nemzetközi szabványokkal is biztonsági előírásokkal.
Titoktartás
79. §
(1) Az adatkezelő és az adatfeldolgozó köteles a titoktartásra az általa kezelt személyes adatokkal kapcsolatosan. A titoktartási kötelesség az adatkezelés megszűnése után is fennáll.
(2) Az adatkezelő és az adatfeldolgozó köteles a személyes adatokkal kapcsolatosan titoktartásra kötelezni azokat a természetes személyeket, akik a személyes adatokhoz az adatkezelőnél és az adatfeldolgozónál hozzáférnek. Az előbbi mondat szerinti titoktartási kötelesség a természetes személy munkaviszonya, állami alkalmazotti jogviszonya, szolgálati jogviszonya vagy ezekhez hasonló jogviszonya megszűnése után is fennáll.
(3) Az 1. és 2. bekezdés szerinti titoktartási kötelesség megtartása nem érvényes, amennyiben az szükséges bíróságok vagy bűnüldöző szervek külön jogszabály szerinti feladatainak ellátásához; ez nem befolyásolja a külön jogszabály szerinti titoktartási rendelkezéseit.26)
(4) Az 1. és 2. bekezdés, a 45. § 5. bek. szerinti titoktartási rendelkezéseket nem alkalmazzák a felügyeleti hivatallal szembeni feladatok jelen törvény vagy különleges törvény2) szerinti teljesítése során.
ÖTÖDIK RÉSZ
A hivatal
ELSŐ FEJEZET
A hivatal jogállása, hatásköre szervezeti felépítése
80. §
A hivatal jogállása
(1) A hivatal országos hatáskörű államigazgatási hatóság, mely természetes személyek alapvető jogainak védelmében vesz részt a személyes adataik kezelésének területén, és felügyeletet gyakorol a személyes adatok védelme felett, beleértve az illetékes hatóságok által büntetőeljárási feladatok ellátása során végzett adatkezelést is, amennyiben a 81. § 7. és 8. bekezdése másként nem rendelkezik.
(2) A hivatal székhelye Pozsony.
(3) A hivatal a személyes adatok védelmét ellátó felügyeleti hatóságként székhelyén kívüli kihelyezett részlegeket hozhat létre és szüntethet meg, és meghatározhatja azok területi illetékességét.
(4) A hivatal hatásköre gyakorlása során függetlenül jár el, és az alkotmányhoz, az alkotmányos törvényekhez, a törvényekhez, egyéb általános érvényű jogszabályokhoz és a Szlovák Köztársaságra nézve kötelező érvényű nemzetközi szerződésekhez igazodva jár el.
(5) A hivatal költségvetési szervezet.27) A költségvetése tervét a hivatal a költségvetés Általános kincstári igazgatás fejezetének részeként terjeszti elő. A hivatal jóváhagyott költségvetését a naptári év folyamán csak a Szlovák Köztársaság Nemzeti Tanácsa csökkentheti.
(6) A hivatal szervezeti felépítésének részleteit a hivatal szervezeti rendje tartalmazza, melyet a hivatal elnöke bocsát ki.
81. §
A hivatal feladatai
(1) A hivatal a jelen törvény vagy külön jogszabály28) szerinti felügyeleti hatóság, olyan feladatokat teljesít és jogköröket gyakorol, amelyeket a jelen törvény vagy külön jogszabály29) ráruház.
(2) A hivatal
a) nyomon követi a jelen törvény érvényesülését,
b) véleményt mond a törvényjavaslatokról és általános érvényű jogszabályokról, melyek az adatkezelést érintik,
c) adatvédelmi kérdésekben konzultációt nyújt,
d) módszertanilag irányítja az adatkezelőket és adatfeldolgozókat a személyes adatok kezelését illetően,
e) növeli a népesség tudatosságát a személyes adataik kezeléséből fakadó kockázatok és a személyes adataik kezelésével kapcsolatos jogaik terén,
f) növeli az adatkezelők és adatfeldolgozók tudatosságát jelen törvényből fakadó kötelességeik terén,
g) kérésre tájékoztatja az érintett személyt a jelen törvény szerinti jogai érvényesítésének módjairól és e célból együttműködik a tagállamok felügyeleti hatóságaival,30)
h) a személyes adatok védelme felett gyakorolt felügyelet során ellenőrzi az illetékes hatóság személyesadat-kezelésének törvényességét az érintett személy 63. § 5. bek. szerinti jogai gyakorlása esetén és tájékoztatja az érintett személyt a felülvizsgálat eredményéről 30 napon belül attól a naptól számítva, amikor a felülvizsgálati kérvényt benyújtották, vagy azokról az okokról, amelyek miatt a felülvizsgálatra nem került sor, valamint az érintett személy jogáról, hogy keresetet nyújthat be a 100. § szerint és másfajta, külön jogszabály19) szerinti jogvédelemről,
i) figyeli főként az információs és kommunikációs technológiák és az üzleti praktikák fejlődését, ha azok kihatnak a személyes adatok védelmére,
j) együttműködik az Európai Adatvédelmi Testülettel a személyes adatok védelme területén,31)
k) legalább évente egy alkalommal jelentést terjeszt a Szlovák Köztársaság Nemzeti Tanácsa elé a személyesadat-védelem állapotáról; a személyesadat-védelem állapotáról szóló jelentést közzéteszi saját honlapján és az Európai Adatvédelmi Testület és a Bizottság rendelkezésére bocsátja,
l) együttműködik más tagállamok felügyeleti hatóságaival, beleértve az adatcserét, és kölcsönösségi alapon segítséget nyújt a közös fellépésben a személyes adatok jelen törvény vagy külön jogszabály32) szerinti védelmének biztosítása során.
(3) A hivatal feladatai teljesítése során jogosult
a) elrendelni az adatkezelőnek és adatfeldolgozónak, esetleg az adatkezelő vagy adatfeldolgozó képviselőjének, ha ilyen kijelölésre került, hogy bocsásson rendelkezésére olyan adatokat, amelyek feladatai teljesítéséhez nélkülözhetetlenek,
b) hozzáférést kapni az adatkezelő vagy adatfeldolgozó személyes adataihoz és információihoz, amelyek feladatai teljesítéséhez nélkülözhetetlenek; a külön jogszabály26) által előírt titoktartási rendelkezések érvényben maradnak,
c) belépni az adatkezelő vagy adatfeldolgozó helyiségeibe, valamint bármilyen, a személyes adatok kezelésére szolgáló berendezésébe és eszközébe, mégpedig a feladata teljesítéséhez elengedhetetlenül szükséges mértékben, amennyiben ehhez nincs szükség külön jogszabályban33) előírt engedélyre,
d) figyelmeztetni az adatkezelőt vagy adatfeldolgozót arra, hogy a tervezett adatkezelési műveletek valószínűleg megsértik a jelen törvény vagy külön jogszabály2) rendelkezéseit,
e) intézkedést jóvátételi elrendelni, bírságot kiróni a 104. § szerint vagy közigazgatási bírságot kivetni a 105. § szerint, ha az adatkezelő, adatfeldolgozó, a megfigyelést végző jogalany vagy a tanúsító jogalany megsérti a jelen törvény vagy külön jogszabály2) rendelkezéseit,
f) elrendelni, hogy az adatkezelő vagy adatfeldolgozó tegyen eleget az érintett személy kérésének, mellyel jelen törvény vagy külön jogszabály2) szerinti jogait érvényesíti,
g) elrendelni, hogy az adatkezelő vagy adatfeldolgozó adatkezelési műveleteit szükség szerint és meghatározott módon, záros határidőn belül összehangolja a jelen törvény vagy külön jogszabály2) rendelkezéseivel,
h) elrendelni, hogy az adatkezelő vagy adatfeldolgozó az adatvédelmi incidensről tájékoztassa az érintett személyt,
i) elrendelni az adatkezelés átmeneti korlátozását vagy az adatkezelés tartós korlátozását,
j) berendelni az adatkezelőt vagy adatfeldolgozót magyarázatkérés végett, ha a jelen törvény, külön jogszabály vagy a Szlovák Köztársaságra nézve kötelező érvényű nemzetközi szerződés által előírt kötelesség megsértésének gyanúja merül fel,
k) intézkedéseket ajánlani az adatkezelőnek vagy adatfeldolgozónak az információs rendszerében tárolt személyes adatok védelme érdekében,
l) elrendelni az adatátvitel leállítását harmadik országbeli címzettnek vagy nemzetközi szervezetnek.
(4) Az 1. és 2. bekezdés szerinti feladatok teljesítésén kívül a hivatal
a) teljesíti bejelentési kötelezettségét a Bizottság irányában a személyes adatok védelme területén,
b) intézkedéseket hoz a Bizottság személyes adatok védelmére vonatkozóan kiadott döntéseinek végrehajtása érdekében,
c) az adatvédelmi felügyelet ellátása során együttműködik más tagállamok felügyelő testületeivel és a hasonló felügyeleti hatóságokkal a tagállamok területén kívüli helyeken.
(5) Nem képezik adatvédelmi felügyeleti tevékenység tárgyát az adatkezelő vagy adatfeldolgozó szerződéses kapcsolataiból fakadó viták, vagy az adatkezelő vagy adatfeldolgozó érintett személlyel vagy más személlyel megkötött előszerződésből fakadó vitái, melyek letárgyalására és elbírálására a bíróságok vagy más, külön jogszabály szerinti hatóságok hivatottak.
(6) A hivatal az adminisztrációs költségeinek megfelelő arányos térítési díjat számlázhat ki vagy elutasíthatja a kérvény alapján történő eljárást, ha a kérvény nyilvánvalóan megalapozatlan vagy eltúlzott, különösképpen az ismétlődő jellege miatt. A nyilvánvaló megalapozatlanságot vagy eltúlzottségot a hivatal bizonyítja.
(7) Ha a személyes adatokat bíróság kezeli bírósági jogköreinek gyakorlása során, a 90–98. § szerinti felügyeleti hatásköröket a Szlovák Köztársaság Igazságügyi Minisztériuma látja el.
(8) Ha a személyes adatokat a Nemzetbiztonsági Hivatal kezeli külön jogszabály5) alapján, a 90–98. § szerinti adatvédelmi hatásköröket a Szlovák Köztársaság Nemzeti Tanácsa látja el külön jogszabály34) szerint.
82. §
A hivatal elnöke
(1) A hivatal élén az elnök áll, akit a Szlovák Köztársaság Nemzeti Tanácsa választ meg és hív vissza a Szlovák Köztársaság Kormányának javaslata alapján.
(2) A hivatal elnökének megbízatási ideje öt év, és legfeljebb két egymást követő megbízatási időszakra választható meg ugyanaz a személy. A hivatal elnöke megbízatási ideje letelte után hivatalában marad mindaddig, míg a Szlovák Köztársaság Nemzeti Tanácsa meg nem választja az új elnököt.
(3) A hivatal elnökévé az a személy választható meg, aki a Szlovák Köztársaság állampolgára, aki megválasztható a Szlovák Köztársaság Nemzeti Tanácsába, felsőszintű mesterfokú végzettsége van, legalább kétéves tapasztalattal bír adatvédelem területén, valamint feddhetetlen.
(4) Feddhetetlen a jelen törvény céljaira az a személy, akit jogerősen nem ítéltek el szándékos bűncselekmény miatt vagy bűncselekmény miatt, mely esetében a szabadságvesztés-büntetést nem függesztették fel ideiglenesen, ha a bíróság ítélete vagy törvényi rendelkezés alapján nem tekintenek rá úgy, mintha nem lett volna elítélve vagy minha a büntetése alól nem mentesülést volna.
(5) A hivatal elnöke tisztsége gyakorlása során függetlenül jár el, jelen törvény szerinti feladatainak ellátása, illetve hatásköreinek gyakorlása során nem állhat külső befolyásolás alatt, legyen az közvetlen vagy közvetett, és senkitől nem fogadhat el vagy követelhet utasításokat.
(6) A hivatal elnöke köteles tartózkodni minden olyan tevékenységtől, amely a jelen törvény vagy külön jogszabály35) értelmében összeegyeztethetetlen a kötelességeivel.
(7) A hivatal elnöke állami alkalmazott külön jogszabály7) szerint. A hivatal elnökének a Szlovák Köztársaság nemzetgazdasági alkalmazott előző naptári évi – egész euróra felkerekített – átlagos nominális bére négyszeres összegében megállapított fizetés jár. A hivatal elnökének bérezési és egyéb feltételeit a Szlovák Köztársaság Kormánya határozza meg.
(8) A hivatal elnökének tisztsége a megbízatási ideje lejártával vagy megbízatási idejét követően az új elnök 2. bekezdés szerinti megválasztásával szűnik meg.
(9) A megbízatási idő lejrárta előtt a tisztség betöltése megszűnik
a) a tisztségről való lemondással,
b) a Szlovák Köztársaság Nemzeti Tanácsába történő megválaszthatóság megszűnésével,
c) ítélet jogerőre emelkedésével, melyben szándékos bűncselekmény miatt elítélik őt, vagy melyben bűncselekmény miatt elítélik és szabságvesztés-büntetésének letöltését feltételesen nem halasztják el,
d) olyan tevékenység végzésével, mely összeegyeztethetetlen a 6. bekezdés szerinti kötelességeivel, vagy
e) elhalálozással vagy a hivatal elnökének holttá nyilvánításával jogerős bírósági határozatban.
(10) A hivatal elnöke tisztségéből visszahívható, ha
a) egészségi állapota hosszú távon, legkevesebb azonban egy éven á tnem teszi lehetővé, hogy tisztségéből fakadó kötelességeit rendesen ellássa,
b) megszegte az 5. bekezdés szerinti függetlenség kötelességét, vagy
c) megsértette a titoktartási kötelességét olyan tények esetében, melyeket tisztsége gyakorlása során ismert meg a 84. § értelmében.
83. §
A hivatal alelnöke
(1) A hivatal alelnöke helyettesíti a hivatal elnökét, tisztségébe a hivatal elnökének javaslatára a Szlovák Köztársaság Kormánya nevezi ki vagy hívja onnan vissza. A hivatal alelnöke állami alkalmazott külön jogszabály7) szerint.
(2) A hivatal alelnökének megbízatási ideje öt év, és legfeljebb két egymást követő megbízatási időszakra nevezhető ki ugyanaz a személy. A hivatal alelnöke megbízatási ideje letelte után hivatalában marad mindaddig, míg a Szlovák Köztársaság Kormánya ki nem nevezi az új alelnököt.
(3) A hivatal alelnöki tisztségének gyakorlására egyenlő mértékben vonatkoznak a 82. § 3–6. bekezdésének és 8–10. bekezdésének rendelkezései.
84. §
Titoktartási kötelesség
(1) A hivatal elnöke, a hivatal alelnöke és a hivatal alkalmazottja köteles betartani titoktartási kötelességét azon tényekkel kapcsolatosan, amelyeket a jelen törvény vagy külön jogszabály2) szerinti feladatai teljesítése során megismert, s ez a kötelessége tisztsége, állami alkalmazitti jogviszonya, munkaviszonya vagy ehhez hasonló munkajogviszonya megszűnése után is fennmarad.
(2) Az 1. bekezdés szerinti titoktartási kötelesség nem érvényes, amennyiben az szükséges bíróságok vagy bűnüldöző szervek külön jogszabály36) szerinti feladatainak ellátásához; ez nem befolyásolja a külön jogszabály szerinti titoktartási rendelkezéseket.37)
(3) Az 1. bekezdés szerinti titoktartási kötelesség alól a hivatal alelnökét és a hivatal alkalmazottait a hivatal elnöke mentheti fel. Az 1. bekezdés szerinti titoktartási kötelesség alól a hivatal elnökét konkrét esetre vonatkozóan a Szlovák Köztársaság Nemzeti Tanácsa mentheti fel.
MÁSODIK FEJEZET
Magatartási kódex, tanúsítvány és akkreditáció
85. §
Magatartási kódex
(1) Az adatkezelők és adatfeldolgozók kategóriáit képviselő szövetség, vagy más, az adatkezelők és adatfeldolgozók kategóriáit képviselő jogalany magatartási kódexet fogadhat el, elsősorban a jelen törvény vagy a külön jogszabály2) alkalmazásának pontosítása céljából a külön jogszabály38) szerinti magatartási kódex tárgyával kapcsolatosan.
(2) A magatartási kódex felügyeleti hivatal általi jóváhagyása nem mentesíti az adatkezelőt vagy adatfeldolgozót a jelen törvény vagy külön jogszabály2) éltal előírt kötelességei betartása alól.
(3) A magatartási kódextervezet jóváhagyásának kérvényét, a jóváhagyott magatartási kódex módosítási kérelmét vagy a jóváhagyott magatartási kódex kiterjesztésének javaslatát a felügyeleti hivatalnak az 1. bekezdés szerinti szövetség vagy más jogalany nyújtja be (a továbbiakban csak „kérvényező”).
(4) A magatartási kódex jóváhagyási kérvényének tartalmaznia kell
a) a kérvényező azonosító adatait,
b) a kérvényező nevében eljárni jogosult törvényes képviselő vagy személy családi és utónevét,
c) a jelzést, hogy magatartásikódex-javaslatról, jóváhagyott magatartási kódex módosításáról vagy jóváhagyott magatartási kódex kiterjesztéséről van-e szó,
d) a szövetség eljárását, mellyel a szövetség tagja kötelezi magát a jóváhagyott magatartási kódex betartására,
e) az adatkezelő vagy adatfeldolgozó kötelezettségvállalását, hogy aláveti magát a jóváhagyott magatartási kódex betartása megfigyelésének, összhangban a magatartási kódex betartását követő monitorozási eljárásokkal és szabályokkal,
f) az adatkezelő vagy adatfeldolgozó jogainak leírását a jóváhagyott magatartási kódex betartásának megfigyelése során,
g) annak a tárgynak a feltüntetését, melyre a magatartásikódex-javaslat, a jóváhagyott magatartási kódex módosítása vagy a jóváhagyott magatartási kódex kiterjesztése vonatkozik,
h) a személyes adatok kezelésének célja, melyre a személyes adatok szolgálnak, valamint a személyes adatok kezelésének jogi alapjai,
i) a személyes adatok kategóriái,
j) az érintett személyek kategóriái,
k) a személyes adatok címzettjének vagy címzettjeinek kategóriái, ha ilyenek léteznek,
l) az adatkezelő tevékenységek leírása, tájékoztatás, hogy van-e automatikus egyéni döntéshozatal, tájékoztatás, hogy létezik-e profilalkotás,
m) a kérvényező eljárásának leírása az érintett személy jogérvényesítési eljárásáról,
n) a tájékoztatást, hogy a magatartási kódex tervezete az adatkezelési tevékenységekre több tagállamban vonatkozik,
o) a harmadik ország vagy nemzetközi szervezet azonosítóit személyes adatok átvitele esetén és a tájékoztatást a megfelelő garanciákról az ilyen adatátvitel esetében,
p) a magatartási kódex betartása ellenőrzésének elfogadott szabályait és eljárásrendjét.
(5) A 4. bekezdés szerint magatartásikódex-javaslat jóváhagyását kérvényezőnek mellékelnie kell
a) a magatartásikódex-javaslatot, a jóváhagyott magatartási kódex módosító javaslatát vagy a jóváhagyott magatartási kódex kiterjesztésének javaslatát, mégpedig angol nyelven is, ha az több tagállamban végzett adatkezelési tevékenységre vonatkozik,
b) az igazolást a közigazgatási illeték befizetéséről,
c) egyéb információkat és alapanyagokat, melyek feltétlenül szükségesek annak eldöntéséhez, hogy a magatartásikódex-javaslat összhangban áll a jelen törvénnyel vagy a külön jogszabállyal.2)
(6) Ha a magatartásikódex-javaslat nem felel meg a 4. és 5. bekezdésben támasztott követelményeknek, vagy ha a magatartási kódex jóváhagyási folyamatában kétségek merülnek fel a jelen törvénnyel vagy különleges jogszabállyal2) való összhangja vonatkozásában, a hivatal felszólítja a kérvényezőt az adatok kiegészítésére záros határidőn belül, mely nem lehet 15 napnál rövidebb; ez alatt az idő alatt a magatartási kódex jóváhagyási határideje szünetel.
(7) A magatartási kódex jóváhagyási eljárásának résztvevője a kérvényező, aki a 4. bekezdés szerinti kérvényt benyújtotta.
(8) Ha a magatartási kódex jóváhagyási folyamata során a hivatal megállapította, hogy az nem áll összhangban a jelen törvénnyel vagy külön jogszabállyal,2) felszólítja a kérvényezőt a megállapított ellentmondás kiküszöbölésére záros határidőn belül, mely nem lehet 30 napnál rövidebb; az ellentmondás kiküszöbölésére adott határidő idején a magatartási kódex jóváhagyási határidejének múlása szünetel. A kérelmező megalapozott kérelmére a megadott határidő legfeljebb 60 nappal meghosszabítható.
(9) A hivatal leállítja a magatartási kódex jóváhagyási eljárását, ha a kérvényező
a) nem küszöböli ki a kérvény hiányosságait a 6. bekezdés szerinti határidőn belül,
b) nem küszöböli ki a hivatal által megállapított hiányosságokat a 8. bekezdés szerint megszabott határidőben.
(10) A hivatal a magatartási kódex jóváhagyásáról, a jóváhagyott magatartási kódex módosításáról vagy a jóváhagyott magatartási kódex bővítéséről az eljárás megkezdésétől számított 90 napon belül dönt.
(11) Ha a magatartásikódex-, a jóváhagyott magatartási kódex módosításáról vagy a jóváhagyott magatartási kódex bővítéséről szóló javaslatot külön jogszabály39) szerint az Európai Adatvédelmi Testület elé kell beterjeszteni, a 10. bekezdés szerinti határidő nem telik a magatartásikódex-, a jóváhagyott magatartási kódex módosításáról vagy a jóváhagyott magatartási kódex bővítéséről szóló javaslat Európai Adatvédelmi Tanács elé terjesztésének napjától addig a napig, amíg az Európai Adatvédelmi Tanács külön jogszabály szerinti40) állásfoglalása a hivatalnak kézbesítésre nem kerül.
(12) A hivatal a magatartási kódex 4. és 5. bekezdés szerinti jóváhagyási kérvényének és a csatolt dokumentumoknak az átvizsgálását követően határozatot ad ki a magatartási kódex, a jóváhagyott magatartási kódex módosításának vagy a jóváhagyott magatartási kódex bővítésének jóváhagyásáról, ha a magatartásikódex-, a jóváhagyott magatartási kódex módosításáról vagy a jóváhagyott magatartási kódex bővítéséről szóló javaslat a jelen törvénnyel vagy külön jogszabállyal2) összhangban áll és megfelelő adatvédelmi garanciákat biztosít.
(13) A magatartási kódex, a jóváhagyott magatartási kódex módosításának vagy a jóváhagyott magatartási kódex bővítésének jóváhagyását kimondó határozat ellen kifogás nem emelhető.
(14) A magatartási kódex, a jóváhagyott magatartási kódex módosításának vagy a jóváhagyott magatartási kódex bővítésének jóváhagyását elutasító határozat ellen kifogás emelhető, melyet a hivatal elnöke bírál el.
(15) Az adatkezelők vagy adatfeldolgozüók kategóriáját képviselő szövetség vagy más, az adatkezelők vagy adatfeldolgozüók kategóriáját képviselő jogalany, melynek a magatartási kódexét, a jóváhagyott magatartási kódexének a módosítását vagy a jóváhagyott magatartási kódexének bővítését a hivatal jóváhagyta, köteles legkésőbb a megállapítástól számított 15 napon belül jelenteni a hivatalnak a 4. bekezdés a) és d) pontja szerinti változásokat.
86. §
Tanúsítvány
(1) A tanúsítvány kiadását, a tanúsítvány megújítását vagy a tanúsítvány elvételét olyan jogalany végzi, amely arra akkreditációt szerzett a 88. § értelmében a jelen törvénnyel összhangban (a továbbiakban „tanúsító jogalany), vagy a hivatal.
(2) Az adatkezelő vagy adatfeldolgozó az adatkezelés jelen törvénnyel vagy külön jogszabállyal2) való összhangjának és az adatvédelem megfelelő garanciáinak igazolása céljából tanúsítvány kiadását vagy tanúsítvány megújítását kérheti a hivataltól vagy a tanúsító jogalanytól. A tanúsítványt legfeljebb három év időtartamra adják ki vagy újítják meg.
(3) A hivatal vagy a tanúsító jogalany elbírálja a 2. bekezdés szerinti adatkezelő vagy adatfeldolgozó adatkezelésének és a megfelelő adatvédelmi garanciáinak összhangját a jelen törvénnyel, az ezen törvényben előírt tanúsítási követelmények szerint. A tanúsítvány kiadása nem mentesíti az adatkezelőt vagy adatfeldolgozót a jelen törvénnyel vagy külön jogszabállyal2) előírt felelőssége alól, sem a hivatal e törvény szerinti jogkörei nem változnak.
(4) A tanúsítvány közokirat.
(5) A hivatal honlapján teszi közzé a tanúsítványokat.
(6) A tanúsítvány kiadását vagy a tanúsítvány megújítását kérő kérvénynek tartalmaznia kell
a) a kérvényző azonosító adatait,
b) a kérvényező törvényes képviselőjének vagy a kérvényező nevében eljárni jogosult személynek a családi és utónevét,
c) az adatvédelmi tisztviselő elérhetőségeit, ha ilyet kijelöltek,
d) a tanúsítás tárgyát, melyre a tanúsítást kiadták,
e) a személyes adatok kezelésének célját,
f) a személyes adatok kezelésének jogalapját,
g) az érintett személyek kategóriáit,
h) a személyes adatok kategóriáit,
i) a személyes adatok címzettjeinek vagy címzettjei kategóriáinak azonosító adatait, ha ilyenek léteznek,
j) az adatkezelési tevékenységek leírását, beleértve a tájékoztatást, hogy fennáll-e az automatikus egyedi döntéshozatal, beleértve a profilalkotást,
k) a kérvényező eljárásának leírását az érintett személy jogérvényesítése során,
l) adatátvitel esetén a harmadik országok vagy nemzetközi szervezetek azonosító adatai.
(7) A kérvényező a 6. bekezdés szerinti kérvényhez csatolja
a) a tanúsítvány kiadásához szükséges műszaki és biztonsági dokumentációt,
b) hat hónapnál nem régebbi adatvédelmi audit eredményét,
c) a tanúsítási feltételek teljesülését igazoló iratokat,
d) az adatátviteli garanciák leírását harmadik országokba vagy nemzetközi szervezethez történő adatátvitel esetére,
e) az igazolást a közigazgatási illeték befizetéséről,
f) egyéb információkat és alapanyagokat, melyek szükségesek a jelen törvénnyel vagy külön jogszabállyal2) való összhang megítélése és a tanúsítási eljárás betartása végett.
(8)) Ha a tanúsítvány kiadási kérvénye vagy a tanúsítvány megújítási kérvénye nem felel meg a 6. és 7. bekezdésben támasztott követelményeknek, vagy ha a tanúsítványkiadás vagy tanúsítványmegújítás jóváhagyási folyamatában kétségek merülnek fel a tanúsítási követelmények teljesülésével kapcsolatosan, a hivatal felszólítja a kérvényezőt az alapanyagok kiegészítésére záros határidőn belül, mely nem lehet 15 napnál rövidebb; ez alatt az idő alatt a tanúsításkiadás vagy tanúsításmegújítás jóváhagyási határideje szünetel.
(9) Ha a hivatal a tanúsítványkiadási vagy tanúsítványmegújítási eljárás során a jelen törvénnyel vagy külön jogszabállyal2) való ellentmondást állapít meg, felszólítja a kérvényezőt a feltárt ellentmondás kiküszöbölésére záros határidőn belül, mely nem lehet rövidebb 30 napnál; ez alatt az idő alatt a tanúsításkiadás vagy tanúsításmegújítás jóváhagyási határideje szünetel. A kérvényző idokokkal alátámasztott kérése esetén a kiszabott határidőt a hivatal legfeljebb 60 napra meghosszabbíthatja.
(10) A hivatal a tanúsításkiadási vagy tanúsításmegújítási eljárást leállítja, ha a kérvényező a határidőn belül nem küszöböli ki
a) a kérvény hiányosságait és a felmerül kétségeket a 8. bekezdésben megadott határidőben,
b) a hivatal által feltárt hiányosságokat a 9. bekezdésben megadott határidőben.
(11) A hivatal a tanúsítás kiadásáról vagy a tanúsítás megújításáról az eljárás megkezdésétől számított 90 napon belül dönt.
(12) A hivatal a tanúsításkiadási vagy tanúsításmegújítási kérvény és a csatolt dokumentumok átvizsgálását követően határozatot ad ki a tanúsítvány jóváhagyásáról, ha a kérvényező teljesíti a tanúsítási feltételeket, a tanúsítási eljárás feltételeit és ha adatkezelési eljárásai a jelen törvénnyel vagy külön jogszabállyal2) összhangban állnak, és az általa foganatosított megfelelő adatvédelmi garanciák megfelelő biztosítékot nyújtanak a jelen törvénnyel vagy külön jogszabállyal2) összhangban.
(13) A hivatal a tanúsításkiadási vagy tanúsításmegújítási kérvény jóváhagyást kimondó határozat alapján három évre szóló tanúsítványt ad ki a kérvényezőnek, mely tartalmazza
a) a hivatal azonosító adatait,
b) a kérvényező azonosító adatait,
c) a tanúsítvány tárgyát,
d) a tanúsított feltételeket, melyek alapján a tanúsítás kiadásra került,
e) a tanúsítvány számát,
f) a tanúsítvány kiadásának dátumát; ha tanúsításmegújításról van szó, a korábbi tanúsítvány kiadásának dátumát is,
g) a tanúsítvány érvényességének idejét,
h) a hivatal bélyegzőjének lenyomatát és a hivatal nevében eljárásra jogosult személy aláírását, családi és utóneve, valamint tisztsége feltüntetését.
(14) A tanúsítvány kiadásáról és tanúsításmegújításról kiadott határozat ellen kifogás nem emelhető.
(15) A tanúsítványkiadást és a tanúsításmegújítást elutasító határozat ellen kifogás emelhető, melyet a hivatal elnöke bírál el.
(16) Az adatkezelő vagy adatfeldolgozó, akinek tanúsítást adtak ki vagy a tanúsítványát megújították (a továbbiakban csak „tanúsított személy”) továbbra is teljesíti a tanúsítvány kiadásának jelen törvény szerinti követelményeit és feltételeit, a hivatal a tanúsított személy – a korábbi tanúsítvány vagy megújított tanúsítvány lejárta előtt legkésőbb hat hónappal benyújtott – kérvénye alapján dönt a tanúsítvány további három évre szóló meghosszabbításáról. A tanúsítványmegújítási eljárásra megfelelő mértékben vonatkoznak a tanúsítványkiadási követelmények.
(17) Ha a tanúsított személy tanúsítvány-megújítási kérvényt nyújt be kevesebb mint hat hónappal a tanúsítvány lejárta előtt, az ilyen kérvényt a hivatal figyelmen kívül hagyja. Ez nem érinti az ilyen tanúsított személy jogát, hogy tanúsítvány kiadása iránti kérvényt nyújtson be a 6. és 7. bekezdés szerint.
(18) A tanúsított személy a tanúsítvány érvényességének ideje alatt köteles
a) teljesíteni a jelen törvényben meghatározott kötelességeket és a tanúsítvány kiadására előírt követelményeket, összhangban a tanúsítvány megadását kimondó határozattal,
b) a változás létrejöttét követően legkésőbb 15 belül a változás beálltának napjától számítva írásban bejelenteni a hivatalnak a tanúsítvány megadását kimondó határozatot érintő bármilyen változást,
c) lehetővé tenni a hivatalnak a jelen törvény szerinti felügyelet végrehajtását,
d) archiválni a külön jogszabály szerinti41) tanúsítási eljárás végrehajtásával kapcsolatos dokumentumokat.
(19) A tanúsítási követelményeket, a tanúsítási eljárás feltételeit, a műszaki és biztonsági dokumentáció tartalmi kellékeit és az adatvédelmi audit végrehajtásának feltételeit, beleértve az adatvédelmi átvilágítást végző auditor szakismereteire vonatkozókat is, a hivatal az általa kiadott általános érvényű rendeletben határozza meg.
87. §
Monitorozó jogalany
(1) A személyes adatok jelen törvény vagy külön jogszabály2) kezelésének összhangját a magatartási kódexszel olyan jogalany követi nyomon, amely megfelel a jelen törvény vagy külön jogszabály2) által előírt akkraditációs követelményeknek és feltételeknek és a hivataltól akkreditációt kapott a jelen törvénnyel összhangban (a továbbiakban csak „monitorozó jogalany”).
(2) A hivatal által a közhatalmi szervek és közintézmények részére jóváhagyott magatartási kódexek nem esnek a jelen törvény szerinti monitorozó jogalany tevékenysége alá; ez nincs hatással a hivatal felügyelő tevékenységének jelen törvény szerinti gyakorlására.
(3) A monitorozó jogalany lehet jogi személy vagy természetes személy-vállalkozó, mely megfelelő műszaki és szervezeti adottságokkal rendelkezik a magatartási kódex nyomonkövetésének végzéséhez és amely erre megkapta az akkreditációt.
(4) A monitorozó jogalany jogosult
a) nyomon követni a személyes adatok jelen törvény vagy külön jogszabály2) szerinti, olyan adatkezelő vagy adatfeldolgozó általi kezelésének összhangját, aki tagja a szövetségnek, mely kötelezte magát a jóváhagyott magatartási kódex betartására,
b) arányos intézkedéseket hozni a magatartási kódex adatkezelő vagy adatfeldolgozó általi megsértése esetén,
c) ideiglenesen leállítani a jóváhagyott magatartási kódex kötelező jellegét az adatkezelő vagy adatfeldolgozó esetében, mely kötelezte magát a magatartási kódex betartására,
d) megszüntetni a jóváhagyott magatartási kódex kötelező voltát az adatkezelő vagy adatfeldolgozó esetében, mely kötelezte magát a magatartási kódex betartására.
(5) A 4. bekezdés szerinti intézkedésekről és azok okairól a monitorozó jogalany az intézkedések elfogadásától számított 15 napon belül köteles írásban tájékoztatni a hivatalt. Ez nem befolyásolja a magatartásikódex-nyomonkövetése alá eső adatkezelő vagy adatfeldolgozó kötelességét, hogy a jelen törvény vagy külön jogszabály2) rendelkezéseit betartsa.
(6) Az akkreditációs kérvénynek tartalmaznia kell
a) a kérvényző azonosító adatait,
b) a kérvényező törvényes képviselőjének vagy a kérvényező nevében eljárni jogosult személynek a családi és utónevét,
c) a magatartási kódex tárgyát.38)
(7) A 6. bekezdés szerinti kérvényhez a kérvényező csatolja
a) a magatartási kódex nyomonkövetéséhez elengedhetetlenül szükséges műszaki és biztonsági dokumentációt,
b) a kérvényező függetlenségét igazoló dokumentumokat,
c) a kérvényező és a monitorozásnak alávetett jogalany közti érdekütközések rendezésének eljárását és módját, mely sérthetné a magatartási kódex nyomonkövetésének objektivitását vagy a transzparencia elvét az érintett személy és a nyilvánosság számára; az érdekütközés főleg olyan helyzeteket ölel fel , amikor a kérvényező, aki befolyásolhatja a magatartási kódex nyomonkövetésének eredményét vagy lefolyását, közvetlen pénzügyi érdekkel vagy közvetett pénzügyi érdekkel, gazdasági érdekkel vagy más személyes érdekkel kapcsolódik össze, mely a magatartási kódex monitorozásával kapcsolatosan a függetlenség veszélyeztetésének minősíthető,
d) kérvényező magatartásikódex-monitorozást végző személyeinek szakképzettségi követelményeire vonatkozó dokumentumokat,
e) a tevékenységzés végzésének szabályait és eljárását, főként az adatkezelő és adatfeldolgozó magatartásikódex-betartásának nyomonkövetési folyamatát, a magatartási kódex adatkezelő és adatfeldolgozó általi végrehajtásának kimutatását, az adatkezelő és adatfeldolgozó adatkezelési tevékenységei összhangjának kimutatását a magatartási kódex tárgyával, az összhang nyomonkövetésének gyakoriságát,
f) a dokumentumentumokat, melyek alátámasztják, hogy a magatartásikódex-ellenőrző tevékenység szabályai és eljárásrendjei átláthatók az érintett személy és a nyilvánosság számára,
g) a magatartásikódex-monitoring auditjának eredményét,
h) az közigazgatási illeték befizetéséről szóló igazolás,
i) további információkat és alapanyagokat, melyek feltétlenül szükségesek annak megítéléséhez, hogy fennáll az összhang a jelen törvény vagy külön jogszabály2) értelmében, valamint az akkreditációs kérvény elbírálásához.
(8) Ha az akkreditációs kérvény nem teljesíti a 6. vagy 7. bekezdés szerinti kellékeket, vagy ha az akkreditációs eljárás során kétségek merülnek a követelmények és feltételek teljesítésének igazolása vonatkozásában, a hivatal felszólítja a kérvényezőt a hiányosságok kiküszöbölésére záros határidőben, mely nem lehet rövidebb 15 napnál; ez alatt az időszak alatt az akkreditáció megadásának határideje nem telik.
(9) Ha a hivatal a 11. bekezdés szerinti eljárás során megállapítja, hogy sérül az összhang a jelen törvénnyel vagy a külön jogszabállyal,2) felszólítja a kérvényezőt a hiányosságok kiküszöbölésére záros határidőben, mely nem lehet rövidebb 30 napnál; ez alatt az időszak alatt a 11. bekezdés szerinti határidő nem telik. A kérvényező indokolt kéremle alapján a hivatal ezt a határidő 60 nappal meghosszabbíthatja.
(10) A hivatal a 11. bekezdés szerinti eljárást leállítja, ha a kérvényező nem küszöböli ki
a) a kérvény hiányosságait és a felmerül kétségeket a 8. bekezdésben megadott határidőben,
b) a hivatal által feltárt hiányosságokat a 9. bekezdésben megadott határidőben.
(11) A hivatal az akkreditáció megadásáról az eljárás megkezdésétől számított 90 napon belül dönt.
(12) A hivatal a 6. és 7. bekezdés szerinti akkreditációs kérvény és a csatolt dokumentumok átvizsgálását követően határozatot ad ki az akkreditáció megadásáról, ha a kérvényező teljesíti a feltételeket, megfelelő szakismerettel bír a magatartási kódex tárgya vonatkozásában és teljesíti az akkreditáció megadásának követelményeit és feltételet a jelen törvénnyel összhangban.
(13) A hivatal az akkreditáció megadásáról szóló határozat alapján a monitorozó jogalanynak tanúsítványt ad ki az akkreditáció megadásáról, mely tartalmazza
a) a hivatal azonosító adatait,
b) a kérvényező azonosító adatait,
c) az akkreditáció tárgyát,
d) az akkreditációs tanúsítvány számát,
e) az akkreditációs tanúsítvány kiadásának dátumát,
f) a hivatal bélyegzőjének lenyomatát és a hivatal nevében eljárásra jogosult személy aláírását, családi és utóneve, valamint tisztsége feltüntetését.
(14) Az akkreditációs tanúsítvány közokirat.
(15) Az akkreditációt megadó határozat ellen jogorvoslatnak helye nincs.
(16) Az akkreditációt elutasító határozat ellen jogorvoslattal lehet élni, melyről a hivatal elnöke dönt.
(17) A hivatal közzéteszi a webhelyén az akkreditáció megadásáról szóló határozatokat.
(18) Ha bebizonyosodik, hogy a monitozó jogalany magatartásikódex-monitorozást folytat a jelen törvénybe vagy külön jogszabályba,2) a jó erkölcsökbe, az akkreditációs tanúsítványba ütköző módon, vagy a továbbiakban már nem teljesíti az akkreditáció elnyerésének feltételeit, a hivatal három hónapra felfüggeszti az akkreditációját és lehetővé teszi, hogy jóvátélei intézkedéseket hajtson végre. Ha az akkreditált szubjektum a megadott határidőn belül a megadott intézkedéseket nem valósítja meg, a hivatal határozatban megsemmisíti az akkreditációját. A monitorozó jogalany, akinek akkreditációját megszüntették, újra akkreditációs kérvényt nyújthat be.
(19) A monitorozó személy köteles
a) teljesíteni a jelen törvényben meghatározott kötelességeket és akkreditációs követelményeket az akkreditációs határozatban előírtakkal összhangban,
b) a létrejöttét követően legkésőbb 15 napon belül a változás beálltának napjától számítva írásban bejelenteni a hivatalnak bármilyen változást,
c) tájékoztatbi az érintett adatkezelőt vagy adatfeldolgozót a magatartási kódexe monitorozásának jogosságáról és a monitorozás tárgyáról, részletesen és érthetően tájékoztatni a biztonsági intézkedésekről, szabályokról és a magatartási kódex monitorozási eljárásáról, valamint tájékoztatni a magatartási kódex tárgyának betartása monitorozást követő lehetséges jogi következményeiről a jóváhagyott magatartási kódex monitorozásának végrehajtása előtt,
d) haladéktalanul tájékoztatni az érintett adatkezelőt vagy adatfeldolgozót az elfogadott intézkedésekről, ha a 4. bekezdés szerint a magatartási kódex megsértését állapították meg az érintett adatkezelőnél vagy adatfeldolgozónál,
e) betartani a függetlenség elvét,
f) archiválni a külön jogszabály szerinti42) magatartásikódex-monitorozási eljárás végrehajtásával kapcsolatos dokumentumokat.
(20) Az akkreditáció kiadásának követelményeit, az akkreditációs eljárás feltételeit, a műszaki és biztonsági dokumentáció tartalmi kellékeit és a magatartásikódex-monitorozási audit végrehajtásának feltételeit, beleértve az átvilágítást végző auditor szakismereteire vonatkozókat is, a hivatal az általa kiadott általános érvényű rendeletben határozza meg.
88. §
Tanúsító jogalany
(1) A tanúsítás kiadását, megújítását vagy visszavonását tanúsító jogalany végzi, mely teljesíti a tanúskiadásra jogosító követelményeket és feltételeket a jelen törvény vagy külön jogszabály43) értelmében, és a hivataltól erre a jelen törvénnyel összhangban akkreditációt kapott.
(2) Tanúsító jogalany lehet jogi személy vagy természetes személy-vállalkozó, melynek megfelelő szintű szakismeretei vannak adatvédelem területén és rendelkezik tanúsítási eljáráshoz szükséges műszaki és szervezési feltételekkel, valamint e tevékenységre akkreditációt kapott.
(3) A tanúsító jogalany felelős az adatkezelő vagy adatfeldolgozó esetében az adatkezelés és megfelelő adatvédelmi biztonságok meglétének és a jelen törvénnyel vagy külön jogszabállyal2) való összhangjának elbírálásáért, melynek alapján tanúsítványt ad ki, tanúsítványt újít meg vagy tanúsítványt von vissza.
(4) Az akkreditációs kérvénynek tartalmaznia kell
a) a kérvényző azonosító adatait,
b) a kérvényező törvényes képviselőjének vagy a kérvényező nevében eljárni jogosult személynek a családi és utónevét,
c) a tanúsítási követelmények tárgyát.
(5) A kérvényező a 4. bekezdés szerinti kérvényhez csatolja
a) a tanúsítási eljáráshoz elengedhetetlenül szükséges műszaki és biztonsági dokumentációt,
b) a kérvényező és a tanúsítványt kérő vagy tanúsítvány megújítását kérő adatkezelő vagy adatfeldolgozó közti érdekütközések rendezésének eljárását és módját, mely sérthetné vagy korlátozhatná a tanúsítvány kiadásának vagy tanúsítvány megújításának objektivitását, vagy sérthetné a transzparencia elvét az érintett személy és a nyilvánosság számára; az érdekütközés főleg olyan helyzeteket ölel fel, amikor a kérvényező, aki befolyásolhatja tanúsítványkiadás vagy tanúsítványmegújítás a eredményét vagy lefolyását, közvetlen pénzügyi érdekkel vagy közvetett pénzügyi érdekkel, gazdasági érdekkel vagy más személyes érdekkel kapcsolódik össze, mely a tanúsítványkiadással vagy tanúsítványmegújítással kapcsolatosan a függetlensége veszélyeztetésének minősíthető,
c) a kérvényező tanúsítási eljárást végző személyeinek szakképzettségi követelményeire vonatkozó dokumentumokat,
d) a tanúsítási tevékenységzés végzésének szabályait és eljárását, főként az tanúsítványkiadási, rendszeres tanúsítványellenőrzési, tanúsítványmegújítási és tanúsítvány-visszavonási eljárásokat
e) a nyilatkozatot a tanúsítási eljárás tanúsítási követelményeinek betartására vonatkozóan,
f) a dokumentumentumokat, melyek igazolják a kiadott tanúsítvány megsértésével kapcsolatos panaszok intézésének eljárásmódját és szabályait, vagy annak a módját, ahogyan az érintett adatkezelő vagy adatfeldolgozó által a tanúsítványba foglalt jogosultságokat végrehajtják,
g) a dokumentumentumokat, melyek igazolják a kiadott tanúsítvány megsértésével kapcsolatos panaszok intézésének szabályai és eljárásrendjei átláthatók az érintett személy és a nyilvánosság számára,
h) a tanúsítási eljárás auditjának eredményét,
i) a bizonylatot a közigazgatási illeték befizetéséről,
j) további információkat és alapanyagokat, melyek feltétlenül szükségesek annak megítéléséhez, hogy fennáll az összhang a jelen törvény vagy külön jogszabály2) értelmében, valamint az akkreditációs kérvény elbírálásához.
(6) Ha az akkreditációs kérvény nem teljesíti a 4. vagy 5. bekezdés szerinti kellékeket, vagy ha a 9. bekezdés szerinti akkreditációs eljárás során kétségek merülnek fel a követelmények és feltételek teljesítésének igazolása vonatkozásában, a hivatal felszólítja a kérvényezőt a hiányosságok kiküszöbölésére záros határidőben, mely nem lehet rövidebb 15 napnál; ez alatt az időszak alatt az akkreditáció megadásának 9. bekezdés szerinti határideje nem telik.
(7) Ha a hivatal a 9. bekezdés szerinti eljárás során megállapítja, hogy sérül az összhang a jelen törvénnyel vagy a külön jogszabállyal,2) felszólítja a kérvényezőt a hiányosságok kiküszöbölésére záros határidőben, mely nem lehet rövidebb 30 napnál; ez alatt az időszak alatt a határidő nem telik. A kérvényező indokolt kéremle alapján a hivatal ezt a határidő 60 nappal meghosszabbíthatja.
(8) A hivatal az akkreditációs eljárást leállítja, ha a kérvényező nem küszöböli ki
a) a kérvény hiányosságait és a felmerül kétségeket a 6. bekezdésben megadott határidőben,
b) a hivatal által feltárt hiányosságokat a 7. bekezdésben megadott határidőben.
(9) A hivatal az akkreditáció megadásáról az eljárás megkezdésétől számított 90 napon belül dönt.
(10) A hivatal a 4. és 5. bekezdés szerinti akkreditációs kérvény és a csatolt dokumentumok átvizsgálását követően határozatot ad ki az akkreditáció megadásáról, ha a kérvényező teljesíti a feltételeket, hogy megfelelő szakismerettel bír az adatvédelem vonatkozásában és teljesíti az akkreditáció megadásának követelményeit és feltételet a jelen törvénnyel összhangban.
(11) A hivatal az akkreditáció megadásáról szóló határozat alapján a tanúsító jogalanynak tanúsítványt ad ki az akkreditáció megadásáról, mely tartalmazza
a) a hivatal azonosító adatait,
b) a kérvényező azonosító adatait,
c) az akkreditáció tárgyát,
d) az akkreditációs tanúsítvány számát,
e) az akkreditációs tanúsítvány kiadásának dátumát; ha tanúsítványmegújításról van szó, a korábbi akkreditációs kiadásának dátumát is,
f) az akkreditációs bizonylat érvényességi idejét,
g) a hivatal bélyegzőjének lenyomatát és a hivatal nevében eljárásra jogosult személy aláírását, családi és utóneve, valamint tisztsége feltüntetését.
(12) Az akkreditációs tanúsítvány közokirat.
(13) Az akkreditációt megadó határozat ellen jogorvoslatnak helye nincs.
(14) Az akkreditációt elutasító határozat ellen jogorvoslattal lehet élni, melyről a hivatal elnöke dönt.
(15) A hivatal közzéteszi a webhelyén tanúsító jogalanyok jegyzékét és a jóváhagyott tanúsítási követelményeket.
(16) Ha a tanúsító jogalany megfelelő szinten teljesíti az adatvédelmi szakmai ismeretekre vonatkozó követelményeket, teljesíti a követelményeket a jelen törvény szerinti akkreditáció kiadására, a hivatal az akkreditáció-megújítási tanúsító jogalany – a korábbi tanúsítvány vagy megújított tanúsítvány lejárta előtt legkésőbb hat hónappal benyújtott – kérvénye alapján dönt a tanúsítvány további öt évre szóló meghosszabbításáról. Az akkreditáció-megújítási eljárásra megfelelő mértékben vonatkoznak az akkreditációkiadási követelmények.
(17) Ha a tanúsító jogalany az akkreditáció-megújítási kérvényt nyújt be kevesebb mint hat hónappal az akkreditáció érvényességének lejárta előtt, az ilyen kérvényt a hivatal figyelmen kívül hagyja. Ez nem érinti az ilyen szervezet jogát, hogy kérvényt nyújtson be a 4. és 5. bekezdés szerint.
(18) Ha bebizonyosodik, hogy a tanúsító jogalany tanúsítási eljárást – beleértve a tanúsítványkiadást és -visszavonást – folytat a jelen törvénybe vagy külön jogszabályba,2) a jó erkölcsökbe, az akkreditációs tanúsítványba ütköző módon, vagy a továbbiakban már nem teljesíti az akkreditáció elnyerésének feltételeit, a hivatal három hónapra felfüggeszti az akkreditációját és elrendeli, hogy a tanúsított személy jóvátélei intézkedéseket hajtson végre. Ha a tanúsító jogalany a megadott határidőn belül az intézkedéseket nem valósítja meg, a hivatal határozatban megsemmisíti az akkreditációját. A szervezet, akinek akkreditációját megszüntették, újra akkreditációs kérvényt nyújthat be.
(19) Az akkreditáció kiadásának követelményeit, az akkreditációs eljárás feltételeit, a műszaki és biztonsági dokumentáció tartalmi kellékeit és a tanúsítási eljárás auditja végrehajtásának feltételeit, beleértve az átvilágítást végző auditor szakismereteire vonatkozókat is, a hivatal az általa kiadott általános érvényű rendeletben határozza meg.
89. §
A tanúsító jogalany kötelességei
(1) A tanúsító jogalany jogosult az akkreditációs tanúsítványa szerinti mértékben adatakezelői vagy adatfeldolgozói tanúsítványokat kiadni, vagy tanúsítványokat megújítani hároméves időtartamra.
(2) A tanúsító jogalany a tanúsítvány kiadása vagy megújítása előtt a hivatalnak bejelenti
a) annak azonosító adatait,
b) a kiadott tanúsítvány számát,
c) az adatkezelő vagy adatfeldolgozó azonosító adatait, mely tanúsítvány kiadását kéri vagy a tanúsított személy azonosító adatait, mely tanúsítmegújítást kér,
d) a tanúsítvány tárgyát,
e) a tanúsítási követelmények kijelölését,
f) a tanúsítvány kiadásának vagy ki nem adásának indokat.
(3) Ha az értesítés nem teljesíti a 2. bekezdés szerinti kellékeket, a hivatal felszólítja a tanúsító jogalanyt a hiányosságok kiküszöbölésére záros határidőben, mely nem lehet rövidebb 15 napnál; ez alatt az időszak alatt a 4. bekezdés szerinti határideje nem telik.
(4) A hivatal a tanúsítvány megadásának vagy a tanúsítvány megújításának engedélyezéséről az eljárás megkezdésétől számított 60 napon belül dönt.
(5) A 4. bekezdés szerinti eljárásban a hivatal nem vizsgálja a tanúsítási követelményeket vagy a tanúsításmegújítás követelményeit.
(6) A hivatal a tanúsító jogalany általi tanúsítványkiadásának vagy tanúsítványmegújításának engedélyezésével nem mentesíti az adatkezelőt vagy adatfeldolgozót a jelen törvény és külön jogszabály2) szerinti felelőssége betartása alól.
(7) Ha a hivatal a tanúsító jogalany általi tanúsítványkiadás vagy tanúsítványmegújítás engedélyezési eljárásának során megállapítja, hogy sérül az összhang a jelen törvénnyel vagy a külön jogszabállyal,2) nem engedélyezi a tanúsító jogalanynak a tanúsítvány kiadását vagy megújítását és erről határozatot ad ki.
(8) A hivatal tanúsító jogalany általi tanúsítványkiadást vagy tanúsítványmegújítást engedélyező határozata ellen jogorvoslatnak helye nincs.
(9) A hivatal tanúsító jogalany általi tanúsítványkiadást vagy tanúsítványmegújítást elutasító határozata ellen jogorvoslattal lehet élni, melyről a hivatal elnöke dönt.
(10) A tanúsító jogalany a tanúsítvány megadásától vagy megújításától vagy elvételétől számított 15 napon belül bejelenti a hivatalnak:
a) az érintett azonosító adatait,
b) a neki kiadott tanúsítvány számát,
c) az érintetett adatkezelő vagy adatfeldolgozó azonosító adatait,
d) a tanúsítvány tárgyát,
e) a tanúsítvány számát,
f) a tanúsítvány kiadásának, megőjításának vagy visszavonásának okait.
(11) A tanúsító jogalany által kiadott tanúsítvány tartalmazza
a) a tanúsító jogalany azonosító adatait, beleértve az akkreditációs tanúsítványa számát,
b) a kérvényező azonosító adatait,
c) a tanúsítvány tárgyát,
d) a tanúsítási követelmények megjelölését, mely alapján a tanúsítvány kiadásra került,
e) a tanúsítvány számát,
f) a tanúsítvány kiadásának dátumát; ha tanúsítványmegújításról van szó, a korábbi tanúsítvány kiadásának dátumát is,
g) a tanúsító jogalany bélyegzőjének lenyomatát és a nevében eljárásra jogosult személy aláírását, családi és utóneve feltüntetését.
(12) A tanúsító jogalany köteles
a) teljesíteni a jelen törvényben megszabott követelményeket és az akkreditációs határozattal összhangban álló akkreditációs feltételeket,
b) legkésőbb 15 napon belül jelenteni a hivatalnak a kiadott akkreditációjában bekövetkezett változásokat,
c) lehetővé tenni a hivatalnak a jelen törvény szerinti felügyelet gyakorlását,
d) betartani a függetlenség elvét,
e) archiválni a tanúsítási eljárásaival kapcsolatos dokumentumokat külön jogszabály41) szerint.
HARMADIK FEJEZET
Ellenőrzés
90. §
Az ellenőrzés megkezdése
(1) A személyes adatok kezelésének, a hivatal által a 85. § értelmében jóváhagyott magatartási kódex betartásának, a személyesadat-kezelés és a 86. § szerint kiadott tanúsítvány összhangjának, valamint a 87. és 88. § szerint kiadott akkreditált tanúsítványkiadási bizonylat betartásának ellenőrzését (a továbbiakban csak „ellenőrzés”) a hivatal végzi az alkalmazottaiból összeállított ellenőrző szerve (a továbbiakban csak „ellenőrző szerv”) útján.
(2) Az ellenőrző szerv mindenegyes tagja a vezető alkalmazott írásbeli megbízása elepján végzi az ellenőrzést; ha a vezető alkalmazott az ellenőrző szerv tagja, az ellenőrző szerv tagjai az ellenőrzést a hivatal elnökének írásbeli megbízása alapján végzik.
(3) Az ellenőrző szerv tagjának a hivatal alkalmazottjának kell lennie, aki feddhetetlen, megfelelő szakképesítése és szakmai gyakorlata van a hivatal felügyeleti tevékenységei területén.
(4) Az ellenőrzés végrehajtását elrendelő írásbeli megbízásnak tartalmaznia kell
a) a hivatal azonosító adatait,
b) az ellenőrzött személy azonosító adatait,
c) az ellenőrző szerv ellenőrzést végző tagjának családi és utónevét, tudományos címét,
d) a hivatal hivatalos bélyegzőjének lenyomatát és az aláírást.
(5) Az ellenőrzésvégzés megbízólevelének mintáját a hivatal a honlapján közzéteszi.
(6) Az ellenőrzés az ellenőrzésről szóló értesítés adatkezelő vagy adatfeldolgozó, – és ha ilyen van – az adatkezelő vagy adatfeldolgozó képviselője általi kézhezvételének napjával kezdődik, vagy azon a napon, amikor a 87. § szerinti monitorozó jogalanynak vagy a 88. § szerinti tanúsító jogalanynak kézbesítésre került (a továbbiakban csak „ellenőrzött személy”).
(7) Az ellenőrző szerv ellenőrzési terv alapján végzi az ellenőrzést, vagy akkor, ha felmerül a gyanú, hogy kötelességszegésre került sor a jelen törvény vagy külön jogszabály2) szerinti adatkezelés során, vagy adatvédelmi eljárás keretében.
(8) Az ellenőrzés végzése során az ellenőrző szerv köteles úgy eljárni, hogy az ellenőrzött személy jogai és jogos érdekei ne sérüljenek.
91. §
Az ellenőrző szerv elfogultsága
(1) Az ellenőrző szerv tagja, aki tudomást szerzett olyan tényekről, melyek alapos gyanút vetnek fel az elfogulatlanság vagy az ellenőrző szerv egy másik tagjának elfogulatlanságát illetően, köteles ezeket a tényeket felesleges halogatás nélkül írásban bejelenteni annak, aki őt a 90. § 2. bek. értelmében megbízta.
(2) Ha az ellenőrzött személynek kétségei vannak az ellenőrző szerv vagy annak tagja elfogulatlanságát illetően, tekintettel viszonyára az érintett ellenőrzéshez vagy az ellenőrzött személyhez, jogosult az indokait feltüntető írásbeli ellenvetéssel élni 15 napon belül attól a naptól számítva, amikor erről a tényről tudomást szerzett. Az ellenvetés benyújtásának halasztó hatálya nincs; az ellenőrző szerv az első mondat értelmében az ellenőrzés során csak olyan feladatokat hajthat végre, amelyek nem tűrnek halasztást.
(3) Az ellenőrzött személy elfogultsági ellenvetéséről és az ellenőrző szerv tagja elleni elfogultsági bejelentésről az dönt, akit az ellenőrző szerv a 80. § 2. bek. értelmében megbízott, mégpedig 10 napon belül az ellenvetés érvényesítésétől számítva, és az írásbeli határozatot kézbesíti annak, aki az ellenvetést érvényesítette. Az elfogultsági ellenvetésről szóló határozat és az ellenőrző szerv tagja elleni elfogultsági bejelentésről szóló határozat ellen jogorvoslatnak helye nincs.
92. §
Az ellenőrző szerv kötelességei
Az ellenőrző szerv köteles
a) az ellenőrzött személyt előre, írásban tájékoztatni az ellenőrzés tárgyáról; ha az ellenőrzés előzetes bejelentése meghíúsíthatná az ellenőrzés célját vagy lényegesen nehezítené az ellenőrzés lefolytatását, az ellenőrzés tárgya közvetlenül az ellenőrzés megkezdése előtt is bejelenthető az ellenőrzött személynek,
b) írásban értesíteni az ellenőrzés dátumáról és időpontjáról legalább az ellenőrzés megkezdése előtt tíz nappal; ha az ellenőrzés előzetes bejelentése meghíúsíthatná az ellenőrzés célját vagy lényegesen nehezítené az ellenőrzés lefolytatását, az ellenőrzés megkezdése közvetlenül az ellenőrzés megkezdése előtt is bejelenthető,
c) az ellenőrzés megkezdése előtt és az ellenőrzött személy kérésére bármikor az ellenőrzés végrahajtására való felhatalmazással és a szolgálati igazolvánnyal igazolni magát,
d) jegyzőkönyvet kidolgozni az ellenőrzés lefolytatásáról,
e) jelentést kidolgozni az ellenőrzésről, melyben fel vannak tüntetve az ellenőrzés megállapításai (a továbbiakban csak „protokoll”), vagy feljegyzést készíteni az ellenőrzésről,
f) feltüntetni az ellenőrzött személy észrevételeit a 95. § 2. bek. a) pontja szerint a protokollban vagy ellenőrzési feljegyzésben,
g) jegyzőkönyvet kidolgozni a 93. § j) pontja és a 94. § a) pontja szerinti magyarázatnyújtásról,
h) átadni az ellenőrzött személynek az ellenőrzés lefolytatásáról készített jegyzőkönyv, a magyarázatnyújtási jegyzőkönyv, a protokoll vagy ellenőrzési feljegyzés egy példányát,
i) írásban igazolni az ellenőrzött személynek dokumentumok eredetiének vagy dokumentumok másolatainak, írásos dokumentumoknak, adathordozó egységek másolatainak, egyáb anyagoknak és bizonyítékoknak az átvételét, valamint biztosítani ezek védelmét az elvesztésük, megsemmisülésük, megkárosításuk vagy a velük való visszaélés ellen,
j) elbírálni az ellenőrzés protokollba foglalt megállapítása elleni ellenvetések megalapozottságát, és a protokollhoz csatolt záradékba belefoglalni a megalapozottságot és tájékoztatni erről az ellenőrzött személyt,
k) megtárgyalni a protokollt az ellenőrzött személlyel és jegyzőkönyvet készíteni a tárgyalás lefolytatásáról.
93. §
Az ellenőrző szerv jogosultságai
Az ellenőrző szerv jogosult
a) belépni az ellenőrzött jogalany létesítményeibe és területére, ha erre külön jogszabály33) alapján nem szükséges engedély,
b) a szabad hozzáférésre az eszközökhöz és berendezésekhez, melyek az ellenőrzött jogalany általi személyesadat-kezelésre szolgálnak vagy szolgálhatnak, vagy erre kellene szolgálniuk,
c) hozzáférni az automatikus adatkezelő eszközökön kezelt adatokhoz a rendszergazda hozzáférésének megfelelő szinten, beleértve az ellenőrzés végrehajtásáhot szükséges mértéket is,
d) ellenőrizni az ellenőrzött személy nevében eljáró vagy az ellenőrző szervvel együttműködő természetes személyek kilétét,
e) megkövetelni az ellenőrzött személytől, hogy a megadott határidőn belül adja át az ellenőrző szervnek iratai eredetijét vagy másolatát, egyéb iratokat, nyilatkozatokat és tájékoztatásokat, az adathordozó eszközökön tárolt személyes adatokat, beleértve a műszaki adathordozókat, a programok kivonatait és forráskódjait, ha ilyenekkel rendelkezik vagy azok a rendelkezésére állnak a beszerzésük feltételeivel összhangban, valamint egyéb, az ellenőrzés lefolytatásához szükséges anyagokat vagy alapanyagokat, és indokolt esetbentegye lehetővé az eredeti iratok vagy iratmásolatok az ellenőrzött személy létesítményén kívülre vinni,
f) megfelelő határidő megadásával az ellenőrzött személytől teljes és valós, szóbeli és írásbeli tájékoztatást, állásfoglalást és magyarázatot kérni az ellenőrzött tényekkel és az ellenőrzéssel összefüggő tényekkel kapcsolatosan,
g) dokumentálni az ellenőrzéssel összefüggő bizonyítékokat fotódokumentáció készítésével, hangfelvétellel, videofelvétellelvagy audiovizuális felvétellel, akár az érintett személy beleegyézése nélkül is,
h) megkövetelni az ellenőrzött személy együttműködését az ellenőrzés tárgyának mértékében,
i) megkövetelni az együttműködést az ellenőrzés helyszínén más, nem ellenőrzött személytől is, elsősorban az ellenőrzött személy adatfeldolgozójától és annak alkalmazottaitól, vagy más személyektől, ha megalapozottan feltételezhető, hogy a tevékenysüg összefügg az ellenőrzés tárgyával, vagy ha az szükséges az ellenőrzés tárgyával összefüggő tények tisztázása érdekében,
j) berendelni adott időpontban és adott helyszínre az ellenőrzött személyt és az ellenőrzött személytől eltérő személyt is az ellenőrzés tárgyát érintő magyarázat megadása céljából,
k) közös műveleteket végrehajtani más tagállamok felügyelőhatóságaival külön jogszabály44) értelmében.
94. §
Az ellenőrzött személy kötelességei
Az ellenőrzött személy köteles
a) eltűrni az ellenőrzés végrehajtását és az ellenőrző szervnek megfelelő körülményeket teremteni az ellenőrzés végrehajtásához az ellenőrzés során megállapított adatok feldolgozásához,
b) megadni a szükséges együttműködést az ellenőrző szervnek az ellenőrzés rendes lefolytatásához, főként a megfelelő biztonsági színvonal dokumentálásakor, tekintettel a kockázatokra, melyeket a személyes adatok kezelése hordoz az adatkezelőnél és adatfeldolgozónál,
c) az ellenőrzés ideje alatt biztosítani az ellenőrző szervnek a szabad és biztonságos hozzáférést a berendezésekhez, eszközökhöz és információs rendszerekhez,
d) az ellenőrző szervvel együttműködni annak kérése szerint, összhangban a 93. § szerinti jogosultságaival és tartózkodni olyan cselekményektől, melyekkel az ellenőrzés végrehajtását meghiúsíthatná,
e) az ellenőrző szerv beidézésére megjelenni, az ellenőrzés tárgyához kapcsolódó magyarázatnyújtás céljából,
f) a megadott határidőn belül átadni az ellenőrző szervnek az okiratok eredetijét vagy másolatát, más iratokat, állásfoglalásokat és információkat, az adathordozókon kezelt személyes adatokat, beleértve a személyes adatok műszaki adathordozót, a programok kivonatait és forráskódjait, ha ilyenekkel rendelkezik, valamint egyéb, az ellenőrzés lefolytatásához szükséges anyagokat vagy alapanyagokat, és indokolt esetben lehetővé tenni az eredeti iratok vagy iratmásolatok átvételét az ellenőrzött személy létesítményén kívüli helyen,
g) az ellenőrzött személynek teljes és valós, szóbeli és írásbeli tájékoztatást, állásfoglalást és magyarázatot adni az ellenőrzött tényekkel és az ellenőrzéssel összefüggő tényekkel kapcsolatosan,
h) az ellenőrző szerv kérésére megjelenni a protokoll megvitatásán.
95. §
Az ellenőrzött személy jogai
Az ellenőrzött személy jogosult
a) folyamatosan véleményt mondani az ellenőrzés során feltárt tényekről,
b) megismerni a protokoll tartalmát és írásbeli kifogást emelni az ellenőrzés belefoglalt megállapításaival kapcsolatosan,
c) kérni az ellenőrző szervtől a 92. § b) és c) pontja szerinti tények igazolását,
d) kérni a kirendelt személytől a hivatal elnökének 96. § 2. bek. szerinti írásbeli megbízólevelének bemutatását,
e) kérni az ellenőrző szervtől a 93. § e) pontja szerint átvett eredeti okiratok vagy másolatok átvételének bizonylatát.
96. §
Kirendelt személy
(1) Az ellenőrző szerv az ellenőrzés végrehajtásához kirendelt természetes személyt vagy felügyelő hatósági tagot hívhat meg más tagállamból (a továbbiakban összegezve csak „kirendelt személy”), ha azt az ellenőrzés különleges jellege indokolja. A kirendelt személy részvétele az ellenőrzés során más közérdekű feladatellátásnak tenintendő.
(2) A kirendelt személy a hivatal elnökének írásbeli megbízása alapján vesz részt az ellenőrzésben; a kirendelésről az ellenőrző szerv értesíti az ellenőrzött személyt a 92. § a) pontja szerint.
(3) A kirendelt személy legkésőbb az ellenőrzés megkezdésekor írásbeli megbízással igazolja jogosultságát az ellenőrzött személynél való ellenőrzés végzésére a 90. § 2. bek. és a 92. § c) pontja szerint.
(4) A kirendelt személy titoktartási kötelem alatt áll azon tények vonatkozásában, melyeket az ellenőrzés végzése során megismer, s ez fennmarad az ellenőrzés lezárulta után is. A titoktartási kötelem alól a kirendelt személyt a hivatal elnöke mentheti fel. A más tagállambeli felügyelő hatóság képviselőjére mint kirendelt személyre a titoktartási kötelem nem terjed ki a más tagállambeli kiküldő felügyeleti hatóság viszonylatában, az ellenőrzésben való részvételével kapcsolatos feladataellátásához szükséges mértékben.
(5) A kirendelt személy nem hajthat végre jelen törvény vagy külön jogszabály2) szerinti feladatokat, ha – tekintettel az ellenőrzés tárgyához vagy az ellenőrzött személyhez fúződő viszonyára – kétség merülhet fel elfogulatlanságát illetően. A kirendelt személy, aki olyan tényeket ismer, amelyek elfogultságát megalapozhatják, felesleges halogatás nélkül jelenti ezeket a tényeket a hivatal elnőkének.
(6) Az ellenőrzött személy írásban nyújthat be megalapozott elfogultsági kifogást a kirendelt személlyel szemben. A kirendelt személy az elfogultsági kifogásokról való döntés meghozataláig csak olyan feladatokat láthat el az ellenőrzésben, amelyek nem tűrnek halasztást.
(7) A kirendelt személy által az 5. bek szerint benyújtott elfogultsági bejelentésről és az ellenőrzött személy által a 6. bek. szerint benyújtott elfogultsági kifogásról a hivatal elnöke a kézbesítéstől számított tíz napon belül dönt. A hivatal elnökének döntése ellen jogorvoslatnak helye nincs.
97. §
Az ellenőrzés lezárása
(1) Az ellenőrzés eredménye a protokoll vagy az ellenőrzési jegyzőkönyv.
(2) Ha az ellenőrzés személyesadat-kezelési hiányosságokat tárt fel, az ellenőrző szerv protokollt dolgoz ki, mely tartalmazza
a) a hivatal azonosító adatait,
b) az ellenőrzött személy azonosító adatait,
c) az ellenőrzés megkezdésének dátumát,
d) az ellenőrzés tárgyát,
e) a kimutatott ellenőrzési megállapításokat és indoklásukat,
f) az ellenőrző szerv ellenőrzést lefolytató tagjának családi és utónevét és akadémiai címét,
g) a protokoll kidolgázásának dátumát,
h) a hivatal hivatalos bélyegzőjének lenyomatát és az ellenőrző szerv tagjainak aláírását.
(3) Ha a 2. bekezdés szerinti protokoll az ellenőrzés megállapításaira vonatkozó mellékleteket tartalmaz, azok a protokoll részét képezik.
(4) Az ellenőrzött személy azt követően, hogy megismerte a protokollba foglalt ellenőrzési megállapításokat, jogosult a protokoll kézbesítésének napjától számított 21 napon belül írásbeli ellenvetéseket benyújtani. A később benyújtott ellenvetéseket az ellenőrző szerv nem veszi figyelembe.
(5) Ha az ellenőrzési megállapítások ellen ellenvetéseket nyújtanak be a 4. bek. értelmében, vagy ha a z ellenőrzés tárgyát érintő új tények derültek ki, az ellenőrző szerv megítéli azok tartalmának megalapozottságát és záradékot dolgoz ki róluk, mely a protokoll oszthatlan részét képezik. Ha az ellenőrző szerv nem veszi figyelembe az ellenőrzött személy kifogásait, kötelest azt a záradékban megindokolni; a kidolgozás során a 2. bekezdésnek megfelelően kell eljárni.
(6) Az ellenőrző szerv írásban tájékoztatja az ellenőrzött személyt a kifogások megvizsgálásának eredményéről a kifogások kézbesítési napjától számított 15 napon belül.
(7) Az ellenőrző szerv írásban szólítja fel az ellenőrzött személyt a protokoll megvitatására a kifogások megvizsgálásának eredményének 6. bekezdés szerinti kézbesítését követően, vagy a 4. bek. szerinti kifogásemelési határidő lejártát követően; az ellenőrző szerv a protokoll megvitatásáról jegyzőkönyvet készít, mely a protokoll részévé válik.
(8) Ha az ellenőrzés nem tár fel jelen törvény vagy külön jogszabály2) szerinti jogsértéseket, az ellenőrző szerv jegyzőkönyvet dolgoz kia z ellenőrzésről. A kidolgozás során arányos mértékben a 2. és 3. bekezdés szerint jár el.
(9) Az ellenőrzés lezárul
a) a protokoll megvitatásáról szóló jegyzőkönyv aláírásával,
b) a protokoll megvitatásáról szóló jegyzőkönyv aláírását elutasító napon, amiről az ellenőrző szerv a protokoll megvitatásáról szóló jegyzőkönyvben feljegyzést készít,
c) azon a napon, amikor a protokoll megvitatásáról szóló 7. bekezdés szerint írásbeli felszólításra nem jelenik meg az ellenőrzött személy, amiről az ellenőrző szerv feljegyzést készít a protokoll megvitatásáról szóló jegyzőkönyvben, vagy
d) a 8. bekezdés szerinti, az ellenőrzésről készült jegyzőkönyv kézbesítésének napján.
98. §
Az ellenőrzés lefolytatásra nem vonatkozik a külön jogszabály.45)
NEGYEDIK FEJEZET
Személyesadat-védelmi eljárás
99. §
Személyesadat-védelmi eljárás
(1) A személyesadat-védelmi eljárás (a továbbiakban csak „eljárás”) célja annak megállapítása, hogy sor került-e a természetes személyek jogainak megsértésére adataik kezelése során, vagy sérült-e a jelen törvény vagy külön jogszabály2) az adatvédelem terén, valamint hiányosságok esetén, ha az indokolt és célszerű, jóvátételi intézkedéseket elrendelése, esetleg adatvédelmi bírság kiszabása a jelen törvény vagy külön jogszabály2) megsértése miatt.
(2) Az eljárás nem nyilvános.
(3) Az eljárás résztvevője lehet
a) az érintett személy, aki eljárás megindítását kezdeményezte a 100. § szerint,
b) az adatkezelő,
c) az adatfeldolgozó,
d) a tanúsító jogalany,
e) a megfigyelő jogalany.
(4) Ha az érintett személy 100. § szerint benyújtott kezdeményezése olyan adatkezelőt vagy adatfeldolgozót érinti, melynél az adatkezelő vagy adatfeldolgozó fő részlegének az illetékes felügyelő szerve működik, vagy amely az adatkezelő vagy adatfeldolgozó egyetlen üzeme, vagy határokon átnyúló adatkezelést végző, külön jogszabály46) szerinti adatkezelő vagy adatfeldolgozó egyetlen üzeme (a továbbiakban csak „vezető felügyelő szerv”), a hivatal külön előírások47) szerint jár el.
(5) A hivatal értesíti az érintett személyt a vezető felügyelő szerv döntéséről. Ha a vezető felügyelő szerv az indítványt elutasítja vagy annak nem tesz eleget, vagy úgy dönt, hogy külön jogszabály értelmében47) azzal nem kíván foglalkozni, a hivatal eljárást indít a 100. § szerint.
(6) Ha a 4. bekezdés szerinti adatkezelés olyan adatkezelőt vagy adatfeldolgozót érint, mely a 13. § 1. bek. c) vagy e) pontja szerinti jogalapon kezel személyes adatokat, a tárgyban illetékesnek a hivatalt tekintik és a 4. bekezdés szerinti eljárás nem indul meg.
100. §
Eljárás megkezdése
(1) Az eljárás az érintett személy javaslatára kezdődik meg, vagy olyan személyére, aki azt állítja, hogy közvetlenül érintett a jelen törvénybe foglalt jogai miatt (a továbbiakban csak „indítványozó”), vagy javaslat nélkül indul meg.
(2) A hivatal javaslat nélkül is eljárást indít, ha a jelen törvény vagy külön jogszabály2) szerinti kötelességbetartás feletti felügyeleti jogköre gyakorlása közben ilyen megállapításra jut.
(3) Az 1. bekezdés szerinti eljáráskezdő indítványának (a továbbiakban csak „indítvány”) tartalmaznia kell
a) az indítványozó családi és utónevét, levélcímét és aláírását,
b) annak megjelölését, aki ellen az indítvány irányul, a családi és utóneve, állandó lakcíme, vagy megnevezése, székhelye és – ha ilyennel rendelkezik – statisztikai azonosító száma megadásával,
c) az indítvány tárgyát azon jogok megjelölésével, amelyeket az adatkezelés során megsérthettek,
d) az indítvány állításait alátámasztó bizonyítékokat,
e) az irat másolatát vagy egyéb bizonyítékot, mely igazolja a jelen törvény második részének második cikkelye szinti jogok vagy külön jogszabály2) szerinti jogok érvényesítését, ha az érintett személy ilyen jogát érvényesítette, vagy amennyiben az említett jogot nem érvényesítte a különleges méltánylást érdemlő indokok feltüntetése, ha az indítványt az érintett személy nyújtotta be.
(4) Az indítvány mintáját a hivatal közzéteszi a honlapján.
(5) A hivatal az indítványt végleg félreteszi, ha
a) ha az indítvány nyilvánvalóan indokolatlan,
b) az ügy, melyet az idítvány érint, bírósági eljárás tárgya vagy azt a bűnüldöző hatóság vizsgálja,
c) az indítványozó a hivatal kérésére sem volt hajlandó az együttműködésre, miközben az ő aktív részvétele nélkül az ügyet nem lehet elintézni; a hivatal az indítványozót értesíti a félretétel lehetőségéről,
d) az eseménytől, melyet az indítvány érint, a kézhezvétel napjáig három évnél hosszabb idő telt el.
(6) Ha az indítvány nem tartalmazza az indítványozó kiléte eltitkolásának kérelmét, a hivatal az indítványt a benne feltüntetett személyes adatok titkosítása nélkül intézi. Ha az indítvány tartalmazza az indítványozó kiléte eltitkolásának kérelmét, de az indítvány jellegéből adódóan az ügy nem intézhető az indítványt benyújtó személy egyes személyes adatainak feltüntetése nélkül, a hivatal ennek megállapítását követően e tényről tájékoztatja az indítványozót, egyben arra is figyelmezteti, hogy az indítványról csak akkor folytatja az eljárást, ha az indíványozó a kijelölt határidőn belül beleegyezését adja a javaslata intézéséhez szükséges személyes adat vagy adatai feltüntetéséhez.
(7) Ha az indítványt a hivatalnak nem az érintett, hanem más személy nyújtja be, az indítványt eljáráskezdeményezésnek tekintik ( a továbbiakban csak „kezdeményezés”) indítvány nélkül.
(8) A hivatal a kezdeményezésről a kézbesítéstől számított 30 napon belül állást foglal, és ha a kezdeményezést nem teszi félre az 5. bek. szerint, megindítja az eljárást és a 102. § szerint döntést hoz az ügyben.
(9) A hivatal a 8. bekezdés szerinti kezdeményezés intézésének módjáról a kézbesítéstől számított 30 napon belül értesíti a benyújtót.
101. §
Határidők
(1) A hivatal az eljárás megkezdésétől számított 90 napon belül döntés hoz. Indokolt esetben a hivatal ezt a határidőt arányos mértékben meghosszabbítja, legfeljebb azonban csak 180 napra. A határidő meghosszabbításáról a hivatal értesíti az eljárás résztvevőit.
(2) Ha az eljárás során ellenőrzést kell lefolytatni, az 1. bekezdés szerinti határidő múlása szünetel az ellenőrzés megkezdésének napjától az ellenőrzés lezárásának napjáig.
(3) Ha az eljárás során a hivatal megállapítja, hogy teljesültek a feltételek az eljárás külön jogszabály48) szerinti megszakítására, a hivatal az eljárást megszakítja, amiről tájékoztatja az eljárás résztvevőt.
102. §
Határozathozatal
(1) Ha a hivatal megállapítja az érintett személy jogainak megsértését vagy a jelen törvény vagy külön jogszabály2) által előírt adatvédelmi kötelességek elmulasztását az eljárás résztvevője által, határozatában
a) jóvátételi intézkedéseket írhat elő és határidőt szabhat ki az elrendelt intézkedés végrehajtására a 3. bek. értelmében, amennyiben az indokolt és célszerű,
b) megszüntetheti a jóváhagyott magatartási kódex kötelező jellegét az adatkezelő és adatfeldolgozó vonatkozásában, ha az kötelezte magát a jóváhagyott magatartási kódex betartására,
c) visszavonhatja a minősítést,
d) elrendelheti a tanúsító jogalanynak a minősítés visszavonását,
e) visszavonhatja az akkreditáció kiadásáról szóló bizonylatot,
f) bírságot szabhat ki a 104. § szerint.
(2) Ha a hivatal az 1. bekezdés szerinti eljárásban nem hoz döntést, mivel az eljárásban nem igazolódik be az érintett személy jogainak megsértése, vagy ha a jelen törvény vagy külön jogszabály2) által előírt adatvédelmi kötelességek elmulasztása az eljárás résztvevője által, a hivatal az eljárást leállítja.
(3) A hivatal jogosult kötelességeket megszabni az adatkezelőnek vagy adatfeldolgozónak, főként elrendelni
a) a megállapított hiányosságok és keletkezésük okainak kiküszöbölését a hivatal által megszabott határidőben,
b) műszaki és szervezési intézkedések elfogadását a természetes személyek jogbiztonságának kockázataival arányos mértékű szintje biztosítása céljából,
c) az adatkezelési műveletek személyes adatok védelmére gyakorolt hatásainak átvilágítását összhagban a jelen törvénnyel vagy külön jogszabállyal.2)
(4) Ha az érintett személy jogainak sérelme vagy az adatkezeléssel kapcsolatos kötelesség megsértése nem tűri a halasztást, a hivatal azonnali intézkedést hoz.
(5) Az adatkezelő vagy adatfeldolgozó köteles a hivatalt írásban tájékoztatni a kiszabott intézkedések teljesítéséről a hivatl által megadott határidőn belül.
103. §
(1) A 102. § szerinti határozat ellen kifogás nyújtható be, melyről a hivatal elnöke dönt.
(2) A kifogás benyújtója a benyújtott kifogást bővítheti vagy kiegészítheti további javaslattal vagy további pontokkal, de csak a kifogás benyújtására megadott határidőn belül.
ÖTÖDIK FEJEZET
Szabálysértések
104. §
(1) A hivatal 10 000 000 eurós bírságot szabhat ki, vagy ha vállalkozásról van szó, az előző évi könyvviteli zárása szerinti teljes világpiaci forgalma 2 %-át kitevő összegben attól függően, hogy melyik összeg nagyobb,
a) az adatkezelőre, beleértve a közhatalmi szervet vagy közintézményt, ha nem teljesíti vagy megsérti valamely, a 15. §, 18. §, 31–35. §, 37. §, 39–45. §, 79. § és 109. § által előírt kötelességét, vagy az Európai Parlament és Tanács (RU) 2016/679. sz., 2016. április 27-én kelt, a természetes személyek személyes adatainak – kezelésük közbeni – védelméről és az ilyen adatok szabad mozgásáról szóló rendeletének – mely megszünteti a 95/46/EK irányelvet (általános adatvédelmi rendelet) – (HL L 119., 2016. 5. 4., a továbbiakban csak „2016/679 (EU) rendelet) 8., 11., 25–39., 42. és 43. cikkét,
b) az illetékes hatóságra, ha nem teljesíti vagy megsérti a 67–72. § szerinti valamely kötelességét,
c) az adatfeldolgozóra, beleértve az adatfeldolgozói szerepet ellátó közhatalmi szervet és a közintézményt, ha nem teljesíti valamely a 34–37. §, 39. §, a 40. § 3. bek., a 44. §, a 45. §, a 69. § 3. bek., a 71. §, a 79. § és a 109. § által, vagy a 2016/679 (EU) rendelet 27–33., 37–39., 42. és 43. cikke által előírt kötelességét,
d) a tanúsító jogalanyra, ha nem teljesíti vagy megszegi valamely, a 88. és 89. § által, vagy a 2016/679 (EU) rendelet 42. és 43. cikke által előírt kötelességét,
e) a megfigyelő jogalanyra, ha nem teljesíti vagy megszegi valamely, a 87. § 5. és 19. bekezdése által, vagy a 2016/679 (EU) rendelet 41. cikkének 4. bek. által előírt kötelességét.
(2) A hivatal 20 000 000 eurós bírságot szabhat ki, vagy ha vállalkozásról van szó, az előző évi könyvviteli zárása szerinti teljes világpiaci forgalma 4 %-át kitevő összegben attól függően, hogy melyik összeg nagyobb, arra, aki
a) nem teljesítette vagy megsértette a személyesadat-kezelés alapelveinek valamelyikét, beleértve a hozzájárulás feltételeit a 6–14. §, a 16. § és az 52–58. § értelmében, vagy a 2016/679. (EU) rendelet 5–7. cikkét,
b) nem teljesítette vagy megsértette az érintett személy valamely, 19–29. § és 59–66. § szerinti jogát vagy a 2016/679. (EU) rendelet 12–22. cikke szerinti jogát,
c) nem teljesítette vagy megsértette valamely, a 49–51. § és a 73–77. § szerinti vagy a 2016/679. (EU) rendelet 44–49. cikke szerinti kötelességét a harmadik országbeli címzetthez vagy nemzetközi szervezethez történő adatátvitel során,
d) nem teljesítette vagy megsértette a 78. § szerinti személyesadat-kezelés törvényes kötelességeinek valamelyikét,
e) nem teljesítette az utasítást vagy nem tartotta be az átmeneti vagy tartós adatkezelés-korlátozást, vagy a hivatal által a 81. § 3. bek. értelmében vagy a 2016/679. (EU) rendelet 58. cikke szerinti adatátviteli tilalmat, vagy a 2016/679. (EU) rendelet 58. cikkének 1. bekezdésével ellentétesen nem engedélyezte a hozzáférést.
(3) Arra, aki nem teljesíti a hivatal által elrendelt 102. § 1. bek. a) pontja szerinti vagy a 2016/679. (EU) rendelet 58. cikkének 2. bekezdése szerint elrendelt intézkedéseket, a hivatal 20 000 000 eurós bírságot szabhat ki, vagy ha vállalkozásról van szó, az előző pénzügyi éve szerinti teljes világpiaci forgalma 4 %-át kitevő összegben attól függően, hogy melyik összeg nagyobb.
105. §
(1) A hivatal 2 000 eurós rendbírságot szabhat ki arra a személyre, aki vagy amely nem adatkezelő vagy adatfeldolgozó, ha nem működik együtt a kért mértékben a hivatallal 109. § vagy külön jogszabály2) szerinti felügyeleti tevékenységének végzése során.
(2) A hivatal rendbírságot szabhat ki az adatkezelőre vagy az adatfeldolgozóra, esetleg az adatkezelő vagy adatfeldolgozó képviselőjére
a) 20 000 euróig terjedő összegben, ha nem biztosít megfelelő körülményeket a 94. § a) pontja szerinti ellenőrzés lefolytatásához,
b) 10 000 euróig terjedő összegben, ha meghiúsítja a 94. § b –h) pontja szerinti ellenőrzés lefolytatását.
106. §
(1) A hivatal a közigazgatási bírságot és rendbírságot az egyes esetek körülményeinek függvényében állapítja meg. A bírság kiszabásáról való döntés során és nagyságának 104. § szerinti megállapításakor figyelembe veszi
a) a szabálysértés jellegét, súlyosságát és fennállásának időtartamát, a személyes adatok kezelésének célját és mértékét, valamint a hatások által érintett személyek számát, és – ha keletkezett – a kár nagyságát,
b) a személyesadat-védelem megsértésének esetleges okozását,
c) az intézkedéseket, melyeket az adatkezelő vagy adatfeldolgozó az érintett személyeket ért károk mérséklése érdekében elfogadott,
d) az adatkezelő vagy adatfeldolgozó felelősségének mértékét, tekintettel a műszaki és szervezési intézkedésekre, melyeket a 32., a 39. és a 42. § értelmében foganatosított,
e) az adatkezelő vagy adatfeldolgozó által okozott korábbi személyesadat-védelmi incidenseket,
f) a hivatallal való együttműködési hajlandóság mértékét személyesadat-védelmi sérelmek jóvátétele és a személyesadat-védelmi sérelmek negatív következményeinek csökkentése érdekében,
g) a személyesadat-kategóriákat, melyeket személyesadat-védelmi sérelem érint,
h) annak módját, ahogyan a hivatal a személyesadat-védelmi sérelemről tudomást szerzett, legfőképpen azt, hogy az adatkezelő vagy adatfeldolgozó a személyesadat-védelmi sérelmet bejelentette-e, és ha igen, mennyire részletesen,
i) az intézkedések teljesítését, ha az adatkezelőnél vagy adatfeldolgozónál korábbi eljárás során a 102. § 1. bek. szerint személyesadat-védelmi eljárásban ilyeneket elrendeltek,
j) a 85. § szerinti jóváhagyott magatartási kódexek, vagy a 86. § szerint kiadott tanúsítványok betartását,
k) a súlyosbító vagy enyhítő körülményeket, elsősorban a pénzügyi előnyöket vagy veszteségeket, melyeket megakadályoztak, közvetve vagy közvetlenül a személyesadat-védelmi sérelemmel összafüggésben.
(2) Ha az adatkezelő vagy adatfeldolgozó szándékosan vagy hanyagságból ugyanazokkal az adatkezelési műveletekkel vagy kapcsolódó adatkezelési műveletekkel a jelen törvény vagy külön jogszabály2) több rendelkezését megsérti, a bírság együttes összege nem haladhatja meg a legsúlyosabb személyesadat-védelmi sérelemért a 104. § szerint kiszabható bírság nagyságát.
(3) A 104. § szerinti bírság attól a naptól számított két éven belül szabható ki, amikor a hivatal a kötelességszegést megállapította, legkésőbb azonban öt éven belül attól a naptól számítva, amikor a kötelességszegésre sor került.
(4) A 105. § szerinti rendbírságot a hivatal ismételten kiveti, ha a kötelességet a megadott határidőn belül nem teljesítik.
(5) A 105. § szerinti rendbírság 6 hónapon belül szabható ki attól a naptól számítva, amikor a kötelességszegésre sor került.
(6) A közigazgatási bírságok és a rendbírságok az állami költségvetés bevételei.
HATODIK RÉSZ
Közös, átmeneti és zárórendelkezések
107. §
Közös rendelkezések
(1) A jelen törvény szerinti eljárásokra a közigazgatási eljárásrend vonatkozik, ha a 2. bekezdés másként nem rendelkezik.
(2) A közigazgatási eljárásrendet nem alkalmazzák az ellenőrző szerv 91. § szerinti elfogultsági döntéshozatalában, a kirendelt személlyel kapcsolatos 96. § 5–7. bek. szerinti elfogultsági döntéshozatalban, valamint az ötödik rész harmadik cikkelye szerinti ellenőrzés végrehajtására, kivéve az ellenőrzéssel kapcsolatos iratok kézbesítését.
(3) A feddhetetlenség 82. § 4. bek. és 83. § 3. bek. szerinti bizonyításának céljából a természetes személy rendelkezésre bocsátja a bűnügyi nyilvántartó49) kivonatának beszerzéséhez szükséges személyes adatait. Az első mondat szerinti adatokat a Szlovák Köztársaság Nemzeti Tanácsának Hivatala és a hivatal haladéktalanul, elektronikus formában és elektronikus kommunikáció útján továbbítja a Szlovák Köztársaság Főügyészségének a bűnügyi nyilvántartói kivonat kiadása végett.
108. §
(1) A hivatal általános érvényű rendeletet ad ki a 29. § 9. bek, a 70. § 4. bek., a 86. § 19. bek., a 87. § 20. bek. és a 88. § 19. bek. végrehajtásához.
(2) A további adatkezelési műveletek eseteit, melyek adatvédelmi hatásvizsgálatok alá esnek, és a jelen törvény szerinti adatvédelmi hatásvizsgálati eljárásokat általános érvényű jogszabály szabályozza, melyet a hivatal ad ki.
109. §
Együttműködés
Mindenki köteles a hivatallal megfelelő mértékben együttműködni annak feladatteljesítése és hatáskörgyakorlása során, valamint lehetővé tenni a hivatalnak a jelen törvény vagy külön jogszabály2) szerinti kötelességek és a jelen törvény szerint kiadott határozatok betartására irányuló felügyeleti tevékenységének végzését. Mindez nem befolyásolja a 81. § 7 –8. bekezdésének rendelkezéseit.
110. §
Átmeneti rendelkezések
(1) A korábban hatályos törvény szerinti Szlovák Köztársaság Adatvédelmi Hivatala a jelen törvény szerinti hivatal és külön jogszabály2) értelmében felügyeleti hatóság.
(2) A Szlovák Köztársaság Adatvédelmi Hivatalának az eddig hatályos törvény értelmében megválasztott elnöke az hivatal enöke a jelen törvény szerint is; mindez nem befolyásolja a megbízatási idejének múlását.
(3) A Szlovák Köztársaság Adatvédelmi Hivatal eddig hatályos törvény szerint kinevezett alelnöke a hivatal alelnöke a jelen törvény értelmében is; mindez nem befolyásolja a megbízatási idejének múlását.
(4) A hivatal eddig hatályos törvény alapján tisztségébe kinevezett főellenőrének a megbízatási ideje a jelen törvény hatályba lépésének napján lejár.
(5) Ha a főellenőr, akinek megbízatási ideje a 4. bek. értelmében lejárt, a hivatal alkalmazottja volt külön jogszabály7) szerinti állandó állami alkalmazotti jogviszonyban, a jelen törvény hatályba lépésének napjától külön jogszabály7) szerinti állandó állami alkalmazotti jogviszonyban lévő állami alkalmazott. Ha a főellenőr, akinek megbízatási ideje a 4. bek. értelmében lejárt, a hivatal alkalmazottja volt külön jogszabály7) szerinti ideiglenes állami alkalmazotti jogviszonyban, a jelen törvény hatályba lépésének napjától az állami alkalmazotti jogviszonya megszűnik.
(6) A hivatal ellenőrének tisztsége, akit az eddig hatályos törvény szerint neveztek ki, a jelen törvény hatályba lépésének napjával megszűnik.
(7) A hivatal ellenőre, akinek tisztsége a 6. bekezdés szerint megszűnt, a jelen törvény hatályba lépésének napjától külön jogszabály7) szerinti állami alkalmazottnak tekintendő.
(8) Az eddig hatályos törvény szerint megkezdett ellenőrzést az eddig hatályos törvény szerint kell befejezni.
(9) Az eddig hatályos törvény szerint megkezdett adatvédelmi eljárást és az eddig hatályos törvény szerint elindított bírságolási eljárást, mely jogerősen nem zárult le 2018. május 24-éig, az eddig hatályos törvény szerint kell lezárni.
(10) Az illetékes hatóság köteles biztosítani a 69. § szerinti naplófájlok vezetését az eddigi törvény szerint létrehozott személyes adatok információs rendszereiben 2023. május 6-ától; ha ez komoly problémát okozna az adott személyesadat-kezelő információs rendszer működése szempontjából, az illetékes hatóság köteles a 69. § szerinti naplófájlok vezetését legkésőbb 2026. május 6-áig biztosítani.
(11) A személyes adatok kezeléséhez a korábbi törvény szerint megadott hozzájárulás, mely összhangban áll a jelen törvénnyel vagy külön jogszabállyal,2) a 2018. május 25-étől hatályos törvény szerinti adatkezelési haozzájárulásnak tekintendő.
(12) Az eddig törvény szerint megbízott adatvédelmi tisztviselő, aki megfelel a jelen törvény vagy külön jogszabály2) által támasztott követelményeknek, adatvédelmi tisztviselőnek tekintendő a 2018. május 25-étől hatályos törvény szerint.
111. §
A jelen törvénnyel az Európai Unió mellékletben felsorolt kötelező érvényű jogi aktusai a jogrendbe illeszkednek.
112. §
Megszüntető rendelkezések
Megszűnnek az alábbi jogszabályok:
1. A Tt. 122/2013. sz., a személyes adatok védelméről és egyes más törvényi változásokról és kiegészításekről szóló törvénye a Tt. 84/2014. sz. törvénye megfogalmazásában,
2. a Szlovák Köztársaság Adatvédelmi Hivatala Tt. 164/2013. sz. rendelete a biztonsági intézkedések dokumentációjának részletességéről a Tt. 117/2017. sz. rendelet megfogalmazásában,
3. a Szlovák Köztársaság Adatvédelmi Hivatala Tt. 165/2013. sz. rendelete, mely meghatározza a felelős személy tisztségéhez szükséges vizsga részleteit a természetes személyek számára.
XVI. cikkely
A jelen törvény 2018. május 25-én lép hatályba.
Andrej Kiska s. k.
Andrej Danko s. k.
Robert Fico s. k.
1) A Tt. 351/2011. sz., az elektronikus kommukációról szóló törvénye a későbbi módosítások szerint, 57. § 2. bek.
2) Az európai Parlament és Tanács (EU) 2016/679. sz., 2016. április 27-én kelt rendelete a természetes személyek védelméről személyes adataik kezelése során és az ilyen adatok szabad mozgásáról, mely megszünteti a 95/46/EK irányelvet (általános adatvédelmi rendelet) (HL L 119., 2016. 5. 4.)
3) A Szlovák Köztársaság Nemzeti Tanácsának Tt. 46/1993. sz. a Szlovák Információs Szolgálatról szóló törvénye a Tt. 192/2011. sz. törvényének megfogalmazásában, 17. § 9. bek.
4) A Szlovák Köztársaság Nemzeti Tanácsának Tt. 198/1994. sz. a Katonai elhárításról szóló törvénye a Tt. 444/2015. sz. törvényének megfogalmazásában, 17. § 6. bek.
A Tt. 218/2015. sz., a hivatásos katonák állami szolgálatáról és más törvénymódosításokról szóló törvénye, 14. § 7. bek.
5) A Tt. 215/2004. sz., titokvédelmi törvénye és más törvénymódosítások és kiegészítések a kásőbbi módosítások szerint
6) A Tt. 552/2003. sz., a közérdekű munkavégzésről szóló törvénye a későbbi módosítások szerint
7) A Tt. 55/2017. sz., az állami szolgálatról és más törvények kiegészítéséről szóló törvénye
8) Pl. a Szlovák Köztársaság Nemzeti Tanácsának Tt. 171/1993. sz., a Rendőri Testületről szóló törvénye a későbbi módosítások szerint, a Tt. 540/2001. sz., az állami statisztikákról szóló törvénye a későbbi módosítások szerint, a Tt. 395/2002. sz. a levéltárakról és nyilvántartókról szóló törvénye a későbbi módosítások szerint, vagy a Tt. 553/2002. sz. az irathozzárésről és az 1939-1945 közti állambiztonsági testületek tevékenységének dokumentumairól, valamint a Nemzeti Emlékezet Intézete létrehozásáról és egyes törvényi változásokról (a nemzeti emlékezet törvénye) szóló törvénye a későbbi módosítások szerint
9) A Tt. 22/2004. sz., az elektronikus kereskedelemről és a Tt. 128/2002. sz., a belpiac fogyasztóvédelmi célú állami ellenőrzéséről szóló törvénye és más törvénymódosítások a Tt. 284/2002. sz. törvénye megfogalmazásában
10) A Tt. 36/2005. sz. családjogi törvénye és más törvénymódosítások a későbbi módosítások szerint
11) Pl. a Munka Törvénykönyve a későbbi módosítások szerint, a Tt. 461/2003. sz., a szociális biztosításról szóló törvénye a későbbi módosítások szerint, vagy a Tt. 2/2004. sz., a foglalkoztatási szolgáltatásokról szóló törvénye a későbbi módosítások szerint
12) Pl. a Polgári Törvénykönyv, a Kereskedelmi Törvénykönyv, a Tt. 250/2007. sz. fogyasztóvédelmi törvénye és a Szlovák Köztársaság Nemzeti Tanácsa Tt. 372/1990. sz. szabálysértési törvénye a későbbi módosítások szerint, a Tt. 90/2016. sz., a lakáshitelekről szóló törvénye és msá törvénymódosítások a későbbi módosítások szerint
13) A Tt. 447/2008. sz., a súlyos egészségkárosodás pénzügyi kompenzálásáról és más törvényi változásokról szóló törvénye a későbbi módosítások szerint
14) A Tt. 328/2002. sz., a rendőrök és katonák szociális biztosításáról szóló törvénye és egyéb törvényi kiegészítések a későbbi módosítások szerint
15) Pl. a Tt. 576/2004. sz., az egészségügyi ellátásról, az egészségügyi ellátással összefüggő szolgáltatásoknyújtásáról szóló törvénye és egyes törvények kiegészítése, a későbbi módosítások szerint
16) A Tt. 330/2007. sz. büntetésnyilvántartásról szóló törvénye és egyes törvények kiegészítése, a későbbi módosítások szerint
17) A Tt. 395/2002. sz. törvénye 2. §-ának 15. bek. a későbbi módosítások szerint
18) A Tt. 395/2002. sz. törvényének 20. §-a a későbbi módosítások szerint
19) Pl. a Polgári peres eljárásrend, a Közigazgatás peres eljárásrend
20) A Polgári peres eljárásrend
21) A Tt. 757/2004. sz., a bíróságokról szóló törvénye és egyes törvények kiegészítése a későbbi módosítások szerint
Büntetőperes eljárás
22) A Szlovák Köztársaság Nemzeti Tanácsának 301/1995. sz., a személyi számról szóló törvénye a Tt. 515/2003. sz. törvénye megfogalmazásában
23) A Polgári Törvénykönyv 116. §-a
24) A 2016/679. számú (EU) rendelet 15., 16., 18. és 21. cikke
25) A 2016/679. számú (EU) rendelet 15., 16., 18–21. cikke
26) Pl. a Szlovák Köztársaság Nemzeti Tanácsának 566/1992. sz. törvénye a Szlovák Nemzeti Bankról a későbbi előírások szerint, a Szlovák Köztársaság Nemzeti Tanácsának Tt. 46/1993. sz. törvénye a későbbi előírások szerint, a Szlovák Köztársaság Nemzeti Tanácsának Tt. 171/1993. sz. törvénye a későbbi előírások szerint, a Tt. 215/2004. sz törvénye a későbbi előírások szerint, a Tt. 563/2009. sz., a gépjárműadóról szóló törvénye és egyéb törvénymódosítások a későbbi előírások szerint, a Tt. 307/2014. sz. törvénye a társadalomellenes tevékenység bejelentésével összefüggő egyes intézkedésekről és egyes törvények változásairól szóló törvénye a későbbi előírások szerint
27) A Tt. 523/2004. sz., a közigazgatási költségvetési szabályokról szóló törvénye és más törvényi változások 21. § 1. és 5. bek. a) pontja, a későbbi előírások szerint
28) A 2016/679. számú (EU) rendelet 51. cikke
29) A 2016/679. számú (EU) rendelet 57. cikkének 1. bek. és 58. cikkének 1–3. bek.
30) Pl. a 2016/679. számú (EU) rendelet 56., 60–62. cikke
31) A 2016/679. számú (EU) rendelet 68. cikke
32) A 2016/679. számú (EU) rendelet 56., 60. cikke és 61. cikke 1–8. bekezdése
33) Pl. a Tt. 215/2004. sz. törvénye a későbbi módosítások szerint
34) A Szlovák Köztársaság Nemzeti Tanácsának Tt. 350/1996. sz., a Szlovák Köztársaság Nemzeti Tanácsának eljárási rendjéről szóló törvénye a Tt. 215/2004. sz. törvényének megfogalmazásában
35) A Tt. 357/2004. sz. alkotmánytörvénye a közérdek érvényeselüséről a köztisztséget betöltő személyek tevékenysége során, a Tt. 545/2005. sz. törvényének megfogalmazásában
A Tt. 55/2017. sz. törvényének 112. §-a
36) Pl. A Büntető perrendtartás, a Közigazgatási perrendtartás
37) A Tt. 215/2004. sz. törvénye 38. és 40. §-a a későbbi módosítások szerint
38) A 2016/679. számú (EU) rendelet 40. cikkének 2. bek.
39) A 2016/679. számú (EU) rendelet 40. cikkének 7. bek.
40) A 2016/679. számú (EU) rendelet 64. cikkének 1. bek. b) pontja
41) A Tt. 395/2002. sz. törvénye a későbbi módosítások szerint
42) A Tt. 395/2002. sz. törvénye a későbbi módosítások szerint
A 2016/679. számú (EU) rendelet 41. cikke
43) A 2016/679. számú (EU) rendelet 43. cikkének 2. és 3. bekezdése
44) A 2016/679. számú (EU) rendelet 62. cikke
45) A Szlovák Köztársaság Nemzeti Tanácsának Tt. 10/1996. sz., az államigazgatás ellenőrzéséről szóló törvénye a későbbi módosítások szerint
46) A 2016/679. számú (EU) rendelet 56. cikkének 1. bek.
47) A 2016/679. számú (EU) rendelet 56. cikke
48) A Tt. 71/1967. sz., a közigazgatási eljárásról (közigazgatási rendtartás) szóló törvénye a későbbi módosítások szerint
49) A Tt. 330/2007. sz. törvénye 10. §-ának 4. bek. a Tt. 91/2016. sz. törvényének megfogalmazásában
A Tt. 18/2018. sz. törvény melléklete
AZ EURÓPAI UNIÓ ÁTVETT KÖTELEZŐ ÉRVÉNYŰ JOGSZABÁLYAINAK JEGYZÉKE
Az Európai Parlament és a Tanács (EU) 2016/680 irányelve (2016. április 27.) a személyes adatoknak az illetékes hatóságok által a bűncselekmények megelőzése, nyomozása, felderítése, a vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából végzett kezelése tekintetében a természetes személyek védelméről és az ilyen adatok szabad áramlásáról, valamint a 2008/977/IB tanácsi kerethatározat hatályon kívül helyezéséről (HL L 119., 2016.5.4.).
Časová verzia účinná od 1. septembra 2019 do 31. októbra 2021
18/2018 Z. z.
Zákon
O OCHRANE OSOBNÝCH ÚDAJOV
a o zmene a doplnení niektorých zákonov
z 29. novembra 2017
Zmena:
221/2019 Z. z. s účinnosťou od 1. septembra 2019
Národná rada Slovenskej republiky sa uzniesla na tomto zákone:
Čl. I
PRVÁ ČASŤ
Základné ustanovenia
§ 1
Predmet úpravy
Tento zákon upravuje
a) ochranu práv fyzických osôb pred neoprávneným spracúvaním ich osobných údajov,
b) práva, povinnosti a zodpovednosť pri spracúvaní osobných údajov fyzických osôb,
c) postavenie, pôsobnosť a organizáciu Úradu na ochranu osobných údajov Slovenskej republiky (ďalej len „úrad“).
§ 2
Osobnými údajmi sú údaje týkajúce sa identifikovanej fyzickej osoby alebo identifikovateľnej fyzickej osoby, ktorú možno identifikovať priamo alebo nepriamo, najmä na základe všeobecne použiteľného identifikátora, iného identifikátora, ako je napríklad meno, priezvisko, identifikačné číslo, lokalizačné údaje,1) alebo online identifikátor, alebo na základe jednej alebo viacerých charakteristík alebo znakov, ktoré tvoria jej fyzickú identitu, fyziologickú identitu, genetickú identitu, psychickú identitu, mentálnu identitu, ekonomickú identitu, kultúrnu identitu alebo sociálnu identitu.
§ 3
Pôsobnosť
(1) Tento zákon sa vzťahuje na spracúvanie osobných údajov vykonávané úplne alebo čiastočne automatizovanými prostriedkami a na spracúvanie osobných údajov inými než automatizovanými prostriedkami, ak ide o osobné údaje, ktoré tvoria súčasť informačného systému alebo sú určené na to, aby tvorili súčasť informačného systému.
(2) Tento zákon, okrem § 2, § 5, druhej a tretej časti zákona, sa vzťahuje na spracúvanie osobných údajov, na ktoré sa vzťahuje osobitný predpis o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov.2)
(3) Tento zákon sa vzťahuje na spracúvanie osobných údajov Policajným zborom, Vojenskou políciou, Zborom väzenskej a justičnej stráže, Finančnou správou, prokuratúrou a súdmi (ďalej len „príslušný orgán“) na účely predchádzania a odhaľovania trestnej činnosti, zisťovania páchateľov trestných činov, stíhania trestných činov alebo na účely výkonu rozhodnutí v trestnom konaní vrátane ochrany pred ohrozením verejného poriadku a predchádzania takémuto ohrozeniu (ďalej len „plnenie úloh na účely trestného konania“); z druhej časti tohto zákona sa na spracúvanie osobných údajov podľa predchádzajúcej časti vety vzťahujú len ustanovenia uvedené v § 52, § 59, § 67 a § 73.
(4) Tento zákon sa vzťahuje na spracúvanie osobných údajov
a) v rámci činnosti prevádzkovateľa alebo sprostredkovateľa, ktorého sídlo, miesto podnikania, organizačná zložka, prevádzkareň alebo trvalý pobyt je na území Slovenskej republiky, a to bez ohľadu na to, či sa spracúvanie osobných údajov vykonáva na území Slovenskej republiky alebo mimo územia Slovenskej republiky,
b) v rámci činnosti prevádzkovateľa alebo sprostredkovateľa, ktorého sídlo, miesto podnikania, organizačná zložka, prevádzkareň alebo trvalý pobyt nie je na území Slovenskej republiky, ale je v mieste, kde sa na základe medzinárodného práva verejného uplatňuje právny poriadok Slovenskej republiky,
c) dotknutej osoby, ktorá sa nachádza na území Slovenskej republiky, prevádzkovateľom alebo sprostredkovateľom, ktorého sídlo, miesto podnikania, organizačná zložka, prevádzkareň alebo trvalý pobyt nie je v členskom štáte, pričom spracúvanie osobných údajov súvisí
1. s ponukou tovaru alebo služieb tejto dotknutej osobe na území Slovenskej republiky bez ohľadu na to, či sa od dotknutej osoby vyžaduje platba alebo nie, alebo
2. so sledovaním jej správania na území Slovenskej republiky.
(5) Tento zákon sa nevzťahuje na spracúvanie osobných údajov
a) fyzickou osobou v rámci výlučne osobnej činnosti alebo domácej činnosti,
b) Slovenskou informačnou službou,3) Vojenským spravodajstvom,4)
c) Národným bezpečnostným úradom na účely vykonávania bezpečnostných previerok a na účely zabezpečovania podkladov na rozhodovanie Súdnej rady Slovenskej republiky o splnení predpokladov sudcovskej spôsobilosti.5)
§ 4
Voľný pohyb osobných údajov medzi Slovenskou republikou a členskými štátmi sa zaručuje; Slovenská republika neobmedzí ani nezakáže prenos osobných údajov z dôvodu ochrany základných práv fyzických osôb, najmä ich práva na súkromie v súvislosti so spracúvaním ich osobných údajov.
§ 5
Vymedzenie základných pojmov
Na účely tohto zákona sa rozumie
a) súhlasom dotknutej osoby akýkoľvek vážny a slobodne daný, konkrétny, informovaný a jednoznačný prejav vôle dotknutej osoby vo forme vyhlásenia alebo jednoznačného potvrdzujúceho úkonu, ktorým dotknutá osoba vyjadruje súhlas so spracúvaním svojich osobných údajov,
b) genetickými údajmi osobné údaje týkajúce sa zdedených genetických charakteristických znakov fyzickej osoby alebo nadobudnutých genetických charakteristických znakov fyzickej osoby, ktoré poskytujú jedinečné informácie o fyziológii alebo zdraví tejto fyzickej osoby a ktoré vyplývajú najmä z analýzy biologickej vzorky danej fyzickej osoby,
c) biometrickými údajmi osobné údaje, ktoré sú výsledkom osobitného technického spracúvania osobných údajov týkajúcich sa fyzických charakteristických znakov fyzickej osoby, fyziologických charakteristických znakov fyzickej osoby alebo behaviorálnych charakteristických znakov fyzickej osoby a ktoré umožňujú jedinečnú identifikáciu alebo potvrdzujú jedinečnú identifikáciu tejto fyzickej osoby, ako najmä vyobrazenie tváre alebo daktyloskopické údaje,
d) údajmi týkajúcimi sa zdravia osobné údaje týkajúce sa fyzického zdravia alebo duševného zdravia fyzickej osoby vrátane údajov o poskytovaní zdravotnej starostlivosti alebo služieb súvisiacich s poskytovaním zdravotnej starostlivosti, ktorými sa odhaľujú informácie o jej zdravotnom stave,
e) spracúvaním osobných údajov spracovateľská operácia alebo súbor spracovateľských operácií s osobnými údajmi alebo so súbormi osobných údajov, najmä získavanie, zaznamenávanie, usporadúvanie, štruktúrovanie, uchovávanie, zmena, vyhľadávanie, prehliadanie, využívanie, poskytovanie prenosom, šírením alebo iným spôsobom, preskupovanie alebo kombinovanie, obmedzenie, vymazanie, bez ohľadu na to, či sa vykonáva automatizovanými prostriedkami alebo neautomatizovanými prostriedkami,
f) obmedzením spracúvania osobných údajov označenie uchovávaných osobných údajov s cieľom obmedziť ich spracúvanie v budúcnosti,
g) profilovaním akákoľvek forma automatizovaného spracúvania osobných údajov spočívajúceho v použití osobných údajov na vyhodnotenie určitých osobných znakov alebo charakteristík týkajúcich sa fyzickej osoby, najmä na analýzu alebo predvídanie znakov alebo charakteristík dotknutej osoby súvisiacich s jej výkonnosťou v práci, majetkovými pomermi, zdravím, osobnými preferenciami, záujmami, spoľahlivosťou, správaním, polohou alebo pohybom,
h) pseudonymizáciou spracúvanie osobných údajov spôsobom, že ich nie je možné priradiť ku konkrétnej dotknutej osobe bez použitia dodatočných informácií, ak sa takéto dodatočné informácie uchovávajú oddelene a vzťahujú sa na ne technické a organizačné opatrenia na zabezpečenie toho, aby osobné údaje nebolo možné priradiť identifikovanej fyzickej osobe alebo identifikovateľnej fyzickej osobe,
i) logom záznam o priebehu činnosti používateľa v automatizovanom informačnom systéme,
j) šifrovaním transformácia osobných údajov spôsobom, ktorým opätovné spracúvanie je možné len po zadaní zvoleného parametra, ako je kľúč alebo heslo,
k) online identifikátorom identifikátor poskytnutý aplikáciou, nástrojom alebo protokolom, najmä IP adresa, cookies, prihlasovacie údaje do online služieb, rádiofrekvenčná identifikácia, ktoré môžu zanechávať stopy, ktoré sa najmä v kombinácii s jedinečnými identifikátormi alebo inými informáciami môžu použiť na vytvorenie profilu dotknutej osoby a na jej identifikáciu,
l) informačným systémom akýkoľvek usporiadaný súbor osobných údajov, ktoré sú prístupné podľa určených kritérií, bez ohľadu na to, či ide o systém centralizovaný, decentralizovaný alebo distribuovaný na funkčnom základe alebo geografickom základe,
m) porušením ochrany osobných údajov porušenie bezpečnosti, ktoré vedie k náhodnému alebo nezákonnému zničeniu, strate, zmene alebo k neoprávnenému poskytnutiu prenášaných, uchovávaných osobných údajov alebo inak spracúvaných osobných údajov, alebo k neoprávnenému prístupu k nim,
n) dotknutou osobou každá fyzická osoba, ktorej osobné údaje sa spracúvajú,
o) prevádzkovateľom každý, kto sám alebo spoločne s inými vymedzí účel a prostriedky spracúvania osobných údajov a spracúva osobné údaje vo vlastnom mene; prevádzkovateľ alebo konkrétne požiadavky na jeho určenie môžu byť ustanovené v osobitnom predpise alebo medzinárodnej zmluve, ktorou je Slovenská republika viazaná, ak takýto predpis alebo táto zmluva ustanovuje účel a prostriedky spracúvania osobných údajov,
p) sprostredkovateľom každý, kto spracúva osobné údaje v mene prevádzkovateľa,
q) príjemcom každý, komu sa osobné údaje poskytnú bez ohľadu na to, či je treťou stranou; za príjemcu sa nepovažuje orgán verejnej moci, ktorý spracúva osobné údaje na základe osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, v súlade s pravidlami ochrany osobných údajov vzťahujúcimi sa na daný účel spracúvania osobných údajov,
r) treťou stranou každý, kto nie je dotknutou osobou, prevádzkovateľ, sprostredkovateľ alebo inou fyzickou osobou, ktorá na základe poverenia prevádzkovateľa alebo sprostredkovateľa spracúva osobné údaje,
s) zodpovednou osobou osoba určená prevádzkovateľom alebo sprostredkovateľom, ktorá plní úlohy podľa tohto zákona,
t) zástupcom fyzická osoba alebo právnická osoba so sídlom, miestom podnikania, organizačnou zložkou, prevádzkarňou alebo trvalým pobytom v členskom štáte, ktorú prevádzkovateľ alebo sprostredkovateľ písomne poveril podľa § 35,
u) podnikom fyzická osoba – podnikateľ alebo právnická osoba vykonávajúca hospodársku činnosť bez ohľadu na jej právnu formu vrátane združení fyzických osôb alebo združení právnických osôb, ktoré pravidelne vykonávajú hospodársku činnosť,
v) skupinou podnikov ovládajúci podnik a ním ovládané podniky,
w) hlavnou prevádzkarňou
1. miesto centrálnej správy prevádzkovateľa v Európskej únii, ak ide o prevádzkovateľa s prevádzkarňami vo viac než jednom členskom štáte, okrem prípadu, keď sa rozhodnutia o účeloch a prostriedkoch spracúvania osobných údajov prijímajú v inej prevádzkarni prevádzkovateľa v Európskej únii a táto iná prevádzkareň má právomoc presadiť vykonanie takýchto rozhodnutí, pričom v takom prípade sa za hlavnú prevádzkareň považuje prevádzkareň, ktorá takéto rozhodnutia prijala,
2. miesto centrálnej správy sprostredkovateľa v Európskej únii, ak ide o sprostredkovateľa s prevádzkarňami vo viac než jednom členskom štáte alebo ak sprostredkovateľ nemá centrálnu správu v Európskej únii, prevádzkareň sprostredkovateľa v Európskej únii, v ktorej sa v kontexte činností prevádzkarne sprostredkovateľa uskutočňujú hlavné spracovateľské činnosti, a to v rozsahu, v akom sa na sprostredkovateľa vzťahujú osobitné povinnosti podľa tohto zákona,
x) vnútropodnikovými pravidlami postupy ochrany osobných údajov, ktoré dodržiava prevádzkovateľ alebo sprostredkovateľ so sídlom, miestom podnikania, organizačnou zložkou, prevádzkarňou alebo trvalým pobytom na území Slovenskej republiky na účely prenosu osobných údajov prevádzkovateľovi alebo sprostredkovateľovi v tretej krajine,
y) kódexom správania súbor pravidiel ochrany osobných údajov dotknutej osoby, ktorý sa prevádzkovateľ alebo sprostredkovateľ zaviazal dodržiavať,
z) medzinárodnou organizáciou organizácia a jej podriadené subjekty, ktoré sa riadia medzinárodným právom verejným, alebo akýkoľvek iný subjekt, ktorý bol zriadený dohodou medzi dvoma alebo viacerými krajinami alebo na základe takejto dohody,
aa) členským štátom štát, ktorý je členským štátom Európskej únie alebo zmluvnou stranou Dohody o Európskom hospodárskom priestore,
ab) treťou krajinou krajina, ktorá nie je členským štátom,
ac) zamestnancom úradu zamestnanec v pracovnom pomere alebo v obdobnom pracovnom vzťahu podľa osobitného predpisu6) alebo štátny zamestnanec, ktorý vykonáva štátnu službu v štátnozamestnaneckom pomere podľa osobitného predpisu.7)
DRUHÁ ČASŤ
Všeobecné pravidlá ochrany osobných údajov fyzických osôb pri ich spracúvaní
PRVÁ HLAVA
Zásady spracúvania osobných údajov
§ 6
Zásada zákonnosti
Osobné údaje možno spracúvať len zákonným spôsobom a tak, aby nedošlo k porušeniu základných práv dotknutej osoby.
§ 7
Zásada obmedzenia účelu
Osobné údaje sa môžu získavať len na konkrétne určený, výslovne uvedený a oprávnený účel a nesmú sa ďalej spracúvať spôsobom, ktorý nie je zlučiteľný s týmto účelom; ďalšie spracúvanie osobných údajov na účel archivácie, na vedecký účel, na účel historického výskumu alebo na štatistický účel, ak je v súlade s osobitným predpisom8) a ak sú dodržané primerané záruky ochrany práv dotknutej osoby podľa § 78 ods. 8, sa nepovažuje za nezlučiteľné s pôvodným účelom.
§ 8
Zásada minimalizácie osobných údajov
Spracúvané osobné údaje musia byť primerané, relevantné a obmedzené na nevyhnutný rozsah daný účelom, na ktorý sa spracúvajú.
§ 9
Zásada správnosti
Spracúvané osobné údaje musia byť správne a podľa potreby aktualizované; musia sa prijať primerané a účinné opatrenia na zabezpečenie toho, aby sa osobné údaje, ktoré sú nesprávne z hľadiska účelov, na ktoré sa spracúvajú, bez zbytočného odkladu vymazali alebo opravili.
§ 10
Zásada minimalizácie uchovávania
Osobné údaje musia byť uchovávané vo forme, ktorá umožňuje identifikáciu dotknutej osoby najneskôr dovtedy, kým je to potrebné na účel, na ktorý sa osobné údaje spracúvajú; osobné údaje sa môžu uchovávať dlhšie, ak sa majú spracúvať výlučne na účel archivácie, na vedecký účel, na účel historického výskumu alebo na štatistický účel na základe osobitného predpisu8) a ak sú dodržané primerané záruky ochrany práv dotknutej osoby podľa § 78 ods. 8.
§ 11
Zásada integrity a dôvernosti
Osobné údaje musia byť spracúvané spôsobom, ktorý prostredníctvom primeraných technických a organizačných opatrení zaručuje primeranú bezpečnosť osobných údajov vrátane ochrany pred neoprávneným spracúvaním osobných údajov, nezákonným spracúvaním osobných údajov, náhodnou stratou osobných údajov, výmazom osobných údajov alebo poškodením osobných údajov.
§ 12
Zásada zodpovednosti
Prevádzkovateľ je zodpovedný za dodržiavanie základných zásad spracúvania osobných údajov, za súlad spracúvania osobných údajov so zásadami spracúvania osobných údajov a je povinný tento súlad so zásadami spracúvania osobných údajov na požiadanie úradu preukázať.
§ 13
Zákonnosť spracúvania
(1) Spracúvanie osobných údajov je zákonné, ak sa vykonáva na základe aspoň jedného z týchto právnych základov:
a) dotknutá osoba vyjadrila súhlas so spracúvaním svojich osobných údajov aspoň na jeden konkrétny účel,
b) spracúvanie osobných údajov je nevyhnutné na plnenie zmluvy, ktorej zmluvnou stranou je dotknutá osoba, alebo na vykonanie opatrenia pred uzatvorením zmluvy na základe žiadosti dotknutej osoby,
c) spracúvanie osobných údajov je nevyhnutné podľa osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná,
d) spracúvanie osobných údajov je nevyhnutné na ochranu života, zdravia alebo majetku dotknutej osoby alebo inej fyzickej osoby,
e) spracúvanie osobných údajov je nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi, alebo
f) spracúvanie osobných údajov je nevyhnutné na účel oprávnených záujmov prevádzkovateľa alebo tretej strany okrem prípadov, keď nad týmito záujmami prevažujú záujmy alebo práva dotknutej osoby vyžadujúce si ochranu osobných údajov, najmä ak je dotknutou osobou dieťa; tento právny základ sa nevzťahuje na spracúvanie osobných údajov orgánmi verejnej moci pri plnení ich úloh.
(2) Právny základ na spracúvanie osobných údajov podľa odseku 1 písm. c) a e) musí byť ustanovený v tomto zákone, osobitnom predpise alebo v medzinárodnej zmluve, ktorou je Slovenská republika viazaná; osobitný zákon musí ustanovovať účel spracúvania osobných údajov, kategóriu dotknutých osôb a zoznam spracúvaných osobných údajov alebo rozsah spracúvaných osobných údajov. Spracúvané osobné údaje na základe osobitného zákona možno z informačného systému poskytnúť, preniesť alebo zverejniť len vtedy, ak osobitný zákon ustanovuje účel poskytovania alebo účel zverejňovania, zoznam spracúvaných osobných údajov alebo rozsah spracúvaných osobných údajov, ktoré možno poskytnúť alebo zverejniť, prípadne príjemcov, ktorým sa osobné údaje poskytnú.
(3) Ak spracúvanie osobných údajov na iný účel ako na účel, na ktorý boli osobné údaje získané, nie je založené na súhlase dotknutej osoby alebo na osobitnom predpise, prevádzkovateľ na zistenie toho, či je spracúvanie osobných údajov na iný účel zlučiteľné s účelom, na ktorý boli osobné údaje pôvodne získané, okrem iného musí zohľadniť
a) akúkoľvek súvislosť medzi účelom, na ktorý sa osobné údaje pôvodne získali, a účelom zamýšľaného ďalšieho spracúvania osobných údajov,
b) okolnosti, za akých sa osobné údaje získali, najmä okolnosti týkajúce sa vzťahu medzi dotknutou osobou a prevádzkovateľom,
c) povahu osobných údajov, najmä či sa spracúvajú osobitné kategórie osobných údajov podľa § 16 alebo osobné údaje týkajúce sa uznania viny za spáchanie trestného činu alebo priestupku podľa § 17,
d) možné následky zamýšľaného ďalšieho spracúvania osobných údajov pre dotknutú osobu a
e) existenciu primeraných záruk, ktoré môžu zahŕňať šifrovanie alebo pseudonymizáciu.
§ 14
Podmienky poskytnutia súhlasu so spracúvaním osobných údajov
(1) Ak je spracúvanie osobných údajov založené na súhlase dotknutej osoby, prevádzkovateľ je povinný kedykoľvek vedieť preukázať, že dotknutá osoba poskytla súhlas so spracúvaním svojich osobných údajov.
(2) Ak prevádzkovateľ žiada o udelenie súhlasu na spracovanie osobných údajov dotknutú osobu, tento súhlas musí byť odlíšený od iných skutočností a musí byť vyjadrený jasne a v zrozumiteľnej a ľahko dostupnej forme.
(3) Dotknutá osoba má právo kedykoľvek odvolať súhlas so spracovaním osobných údajov, ktoré sa jej týkajú. Odvolanie súhlasu nemá vplyv na zákonnosť spracúvania osobných údajov založeného na súhlase pred jeho odvolaním; pred poskytnutím súhlasu musí byť dotknutá osoba o tejto skutočnosti informovaná. Dotknutá osoba môže súhlas odvolať rovnakým spôsobom, akým súhlas udelila.
(4) Pri posudzovaní, či bol súhlas poskytnutý slobodne, sa najmä zohľadní skutočnosť, či sa plnenie zmluvy vrátane poskytnutia služby podmieňuje súhlasom so spracúvaním osobných údajov, ktorý nie je na plnenie tejto zmluvy nevyhnutný.
§ 15
Podmienky poskytnutia súhlasu v súvislosti so službami informačnej spoločnosti
(1) Prevádzkovateľ v súvislosti s ponukou služieb informačnej spoločnosti9) spracúva osobné údaje na základe súhlasu dotknutej osoby zákonne, ak dotknutá osoba dovŕšila 16 rokov veku. Ak má dotknutá osoba menej ako 16 rokov, takéto spracúvanie osobných údajov je zákonné iba za podmienky a v rozsahu, v akom takýto súhlas poskytol alebo schválil jej zákonný zástupca.10)
(2) Prevádzkovateľ je povinný vynaložiť primerané úsilie, aby si overil, že zákonný zástupca dotknutej osoby poskytol alebo schválil súhlas so spracúvaním osobných údajov podľa odseku 1, pričom zohľadní dostupnú technológiu.
§ 16
Spracúvanie osobitných kategórií osobných údajov
(1) Zakazuje sa spracúvanie osobitných kategórií osobných údajov. Osobitnými kategóriami osobných údajov sú údaje, ktoré odhaľujú rasový pôvod alebo etnický pôvod, politické názory, náboženskú vieru, filozofické presvedčenie, členstvo v odborových organizáciách, genetické údaje, biometrické údaje, údaje týkajúce sa zdravia alebo údaje týkajúce sa sexuálneho života alebo sexuálnej orientácie fyzickej osoby.
(2) Zákaz spracúvania osobitných kategórií osobných údajov neplatí, ak
a) dotknutá osoba vyjadrila výslovný súhlas so spracúvaním týchto osobných údajov aspoň na jeden konkrétny účel; súhlas je neplatný, ak jeho poskytnutie vylučuje osobitný predpis,
b) spracúvanie je nevyhnutné na účel plnenia povinností a výkonu osobitných práv prevádzkovateľa alebo dotknutej osoby v oblasti pracovného práva, práva sociálneho zabezpečenia, sociálnej ochrany alebo verejného zdravotného poistenia podľa osobitného predpisu,11) medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, alebo podľa kolektívnej zmluvy, ak poskytujú primerané záruky ochrany základných práv a záujmov dotknutej osoby,
c) spracúvanie je nevyhnutné na ochranu života, zdravia alebo majetku dotknutej osoby alebo inej fyzickej osoby, ak dotknutá osoba nie je fyzicky spôsobilá alebo právne spôsobilá vyjadriť svoj súhlas,
d) spracúvanie vykonáva v rámci oprávnenej činnosti občianske združenie, nadácia alebo nezisková organizácia poskytujúca všeobecne prospešné služby, politická strana alebo politické hnutie, odborová organizácia, štátom uznaná cirkev alebo náboženská spoločnosť a toto spracúvanie sa týka iba ich členov alebo tých fyzických osôb, ktoré sú s nimi vzhľadom na ich ciele v pravidelnom styku, osobné údaje slúžia výlučne pre ich vnútornú potrebu a nebudú poskytnuté príjemcovi bez písomného alebo inak hodnoverne preukázateľného súhlasu dotknutej osoby,
e) spracúvanie sa týka osobných údajov, ktoré dotknutá osoba preukázateľne zverejnila,
f) spracúvanie je nevyhnutné na uplatnenie právneho nároku,12) alebo pri výkone súdnej právomoci,
g) spracúvanie je nevyhnutné z dôvodu verejného záujmu na základe tohto zákona, osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, ktoré sú primerané vzhľadom na sledovaný cieľ, rešpektujú podstatu práva na ochranu osobných údajov a ustanovujú vhodné a konkrétne opatrenia na zabezpečenie základných práv a záujmov dotknutej osoby,
h) spracúvanie je nevyhnutné na účel preventívneho pracovného lekárstva, poskytovania zdravotnej starostlivosti a služieb súvisiacich s poskytovaním zdravotnej starostlivosti alebo na účel vykonávania verejného zdravotného poistenia, ak tieto údaje spracúva poskytovateľ zdravotnej starostlivosti, zdravotná poisťovňa, osoba vykonávajúca služby súvisiace s poskytovaním zdravotnej starostlivosti alebo osoba vykonávajúca dohľad nad zdravotnou starostlivosťou a v jej mene odborne spôsobilá oprávnená osoba, ktorá je viazaná povinnosťou mlčanlivosti o skutočnostiach, o ktorých sa dozvedela pri výkone svojej činnosti, a povinnosťou dodržiavať zásady profesijnej etiky,
i) spracúvanie je nevyhnutné na účel sociálneho poistenia, sociálneho zabezpečenia policajtov a vojakov, poskytovania štátnych sociálnych dávok, podpory sociálneho začlenenia fyzickej osoby s ťažkým zdravotným postihnutím do spoločnosti,13) poskytovania sociálnych služieb, vykonávania opatrení sociálnoprávnej ochrany detí a sociálnej kurately alebo na účel poskytovania pomoci v hmotnej núdzi, alebo je spracúvanie nevyhnutné na účel plnenia povinností alebo uplatnenia práv prevádzkovateľa zodpovedného za spracúvanie v oblasti pracovného práva a v oblasti služieb zamestnanosti, ak to prevádzkovateľovi vyplýva z osobitného predpisu14) alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná,
j) spracúvanie je nevyhnutné z dôvodu verejného záujmu v oblasti verejného zdravia, ako je ochrana proti závažným cezhraničným ohrozeniam zdravia alebo zabezpečenie vysokej úrovne kvality a bezpečnosti zdravotnej starostlivosti, liekov, dietetických potravín alebo zdravotníckych pomôcok, na základe tohto zákona, osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, ktorými sa ustanovujú vhodné a konkrétne opatrenia na ochranu práv dotknutej osoby, najmä povinnosť mlčanlivosti,15)
k) spracúvanie je nevyhnutné na účel archivácie, na vedecký účel, na účel historického výskumu alebo na štatistický účel podľa tohto zákona, osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, ktoré sú primerané vzhľadom na sledovaný cieľ, rešpektujú podstatu práva na ochranu osobných údajov a ustanovené vhodné a konkrétne opatrenia na zabezpečenie základných práv a záujmov dotknutej osoby.
§ 17
Spracúvanie osobných údajov týkajúcich sa uznania viny za spáchanie trestného činu alebo priestupku
Prevádzkovateľom na účel spracúvania osobných údajov v registri trestov podľa osobitného predpisu16) môže byť len štátny orgán. Spracúvať osobné údaje týkajúce sa uznania viny za spáchanie trestného činu alebo priestupku alebo súvisiacich bezpečnostných opatrení možno len na základe osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, ktoré poskytujú primerané záruky ochrany práv dotknutej osoby.
§ 18
Spracúvanie osobných údajov bez potreby identifikácie
(1) Ak si účel, na ktorý prevádzkovateľ spracúva osobné údaje, vyžaduje alebo vyžadoval od prevádzkovateľa, aby identifikoval dotknutú osobu, prevádzkovateľ nie je povinný uchovávať, získať alebo spracúvať dodatočné informácie na zistenie totožnosti dotknutej osoby výlučne na to, aby dosiahol súlad s týmto zákonom.
(2) Ak v prípadoch uvedených v odseku 1 prevádzkovateľ vie preukázať, že dotknutú osobu nie je schopný identifikovať, je povinný ju o tom primeraným spôsobom informovať, ak je to možné. V takých prípadoch sa § 21 až 26 neuplatňujú okrem toho, ak dotknutá osoba na účel vykonania svojich práv podľa uvedených ustanovení poskytne dodatočné informácie umožňujúce jej identifikáciu.
DRUHÁ HLAVA
Práva dotknutej osoby
PRVÝ DIEL
Informácie a prístup k osobným údajom
§ 19
Poskytované informácie, ak osobné údaje sú získané od dotknutej osoby
(1) Ak sa od dotknutej osoby získavajú osobné údaje, ktoré sa jej týkajú, je prevádzkovateľ povinný poskytnúť dotknutej osobe pri ich získavaní
a) identifikačné údaje a kontaktné údaje prevádzkovateľa a zástupcu prevádzkovateľa, ak bol poverený,
b) kontaktné údaje zodpovednej osoby, ak je určená,
c) účel spracúvania osobných údajov, na ktorý sú osobné údaje určené, ako aj právny základ spracúvania osobných údajov,
d) oprávnené záujmy prevádzkovateľa alebo tretej strany, ak sa osobné údaje spracúvajú podľa § 13 ods. 1 písm. f),
e) identifikáciu príjemcu alebo kategóriu príjemcu, ak existuje,
f) informáciu o tom, že prevádzkovateľ zamýšľa preniesť osobné údaje do tretej krajiny alebo medzinárodnej organizácii, identifikáciu tretej krajiny alebo medzinárodnej organizácie, informáciu o existencii alebo neexistencii rozhodnutia Európskej komisie (ďalej len „Komisia“) o primeranosti alebo odkaz na primerané záruky alebo vhodné záruky a prostriedky na získanie ich kópie alebo informáciu o tom, kde boli sprístupnené, ak prevádzkovateľ zamýšľa prenos podľa § 48 ods. 2, § 49 alebo § 51 ods. 1 a 2.
(2) Okrem informácií podľa odseku 1 je prevádzkovateľ povinný pri získavaní osobných údajov poskytnúť dotknutej osobe informácie o
a) dobe uchovávania osobných údajov; ak to nie je možné, informácie o kritériách jej určenia,
b) práve požadovať od prevádzkovateľa prístup k osobným údajom týkajúcich sa dotknutej osoby, o práve na opravu osobných údajov, o práve na vymazanie osobných údajov alebo o práve na obmedzenie spracúvania osobných údajov, o práve namietať spracúvanie osobných údajov, ako aj o práve na prenosnosť osobných údajov,
c) práve kedykoľvek svoj súhlas odvolať,
d) práve podať návrh na začatie konania podľa § 100,
e) tom, či je poskytovanie osobných údajov zákonnou požiadavkou alebo zmluvnou požiadavkou alebo požiadavkou, ktorá je potrebná na uzavretie zmluvy, a o tom, či je dotknutá osoba povinná poskytnúť osobné údaje, ako aj o možných následkoch neposkytnutia osobných údajov,
f) existencii automatizovaného individuálneho rozhodovania vrátane profilovania podľa § 28 ods. 1 a 4; v týchto prípadoch poskytne prevádzkovateľ dotknutej osobe informácie o použitom postupe, ako aj o význame a predpokladaných dôsledkoch takého spracúvania osobných údajov pre dotknutú osobu.
(3) Prevádzkovateľ je povinný poskytnúť dotknutej osobe pred ďalším spracúvaním osobných údajov informácie o inom účele a ďalšie relevantné informácie podľa odseku 2, ak má prevádzkovateľ v úmysle ďalej spracúvať osobné údaje na iný účel ako ten, na ktorý boli získané.
(4) Odseky 1 až 3 sa neuplatňujú v rozsahu, v akom boli informácie dotknutej osobe poskytnuté pred spracúvaním osobných údajov.
§ 20
Poskytované informácie, ak osobné údaje nie sú získané od dotknutej osoby
(1) Ak osobné údaje neboli získané od dotknutej osoby, prevádzkovateľ je povinný dotknutej osobe poskytnúť
a) identifikačné údaje a kontaktné údaje prevádzkovateľa a zástupcu prevádzkovateľa, ak bol poverený,
b) kontaktné údaje zodpovednej osoby, ak je určená,
c) účel spracúvania osobných údajov, na ktorý sú osobné údaje určené, ako aj právny základ spracúvania osobných údajov,
d) kategórie spracúvaných osobných údajov,
e) identifikáciu príjemcu alebo kategóriu príjemcu, ak existuje,
f) informáciu o tom, že prevádzkovateľ zamýšľa preniesť osobné údaje do tretej krajiny alebo medzinárodnej organizácii, identifikáciu tretej krajiny alebo medzinárodnej organizácie, informáciu o existencii alebo neexistencii rozhodnutia Komisie o primeranosti alebo odkaz na primerané záruky alebo vhodné záruky a prostriedky na získanie ich kópie alebo informáciu o tom, kde boli sprístupnené, ak prevádzkovateľ zamýšľa prenos podľa § 48 ods. 2, § 49 alebo § 51 ods. 1 a 2.
(2) Okrem informácií podľa odseku 1 je prevádzkovateľ povinný poskytnúť dotknutej osobe informácie o
a) dobe uchovávania osobných údajov; ak to nie je možné, informáciu o kritériách jej určenia,
b) oprávnených záujmoch prevádzkovateľa alebo tretej strany, ak sa spracúvajú osobné údaje podľa § 13 ods. 1 písm. f),
c) práve požadovať od prevádzkovateľa prístup k osobným údajom týkajúcich sa dotknutej osoby o práve na opravu osobných údajov, o práve na vymazanie osobných údajov alebo o práve na obmedzenie spracúvania osobných údajov, o práve namietať spracúvanie osobných údajov, ako aj o práve na prenosnosť osobných údajov,
d) práve kedykoľvek svoj súhlas odvolať,
e) práve podať návrh na začatie konania podľa § 100,
f) zdroji, z ktorého pochádzajú osobné údaje, prípadne informácie o tom, či pochádzajú z verejne prístupných zdrojov,
g) existencii automatizovaného individuálneho rozhodovania vrátane profilovania podľa § 28 ods. 1 a 4; v týchto prípadoch poskytne prevádzkovateľ dotknutej osobe informácie o použitom postupe, ako aj o význame automatizovaného individuálneho rozhodovania a predpokladaných dôsledkoch takého spracúvania osobných údajov pre dotknutú osobu.
(3) Prevádzkovateľ je povinný poskytnúť informácie podľa odsekov 1 a 2
a) najneskôr do jedného mesiaca po získaní osobných údajov, pričom zohľadní konkrétne okolnosti, za ktorých sa osobné údaje spracúvajú,
b) najneskôr v čase prvej komunikácie s touto dotknutou osobou, ak sa osobné údaje majú použiť na komunikáciu s dotknutou osobou, alebo
c) najneskôr vtedy, keď sa osobné údaje prvýkrát poskytnú, ak sa predpokladá poskytnutie osobných údajov ďalšiemu príjemcovi.
(4) Prevádzkovateľ je povinný poskytnúť dotknutej osobe pred ďalším spracúvaním osobných údajov informácie o inom účele a ďalšie relevantné informácie podľa odseku 2, ak má prevádzkovateľ v úmysle ďalej spracúvať osobné údaje na iný účel ako ten, na ktorý boli získané.
(5) Odseky 1 až 4 sa neuplatňujú
a) v rozsahu, v akom dotknutá osoba už dané informácie má,
b) v rozsahu, v akom sa poskytovanie týchto informácií ukáže ako nemožné alebo by si vyžadovalo neprimerané úsilie, najmä ak sa spracúvajú osobné údaje na účel archivácie, na vedecký účel, na účel historického výskumu alebo na štatistický účel, na ktorý sa vzťahujú podmienky a záruky podľa § 78 ods. 8, alebo ak je pravdepodobné, že povinnosť uvedená v odseku 1 znemožní alebo závažným spôsobom sťaží dosiahnutie cieľov takého spracúvania osobných údajov; prevádzkovateľ je v takom prípade povinný prijať vhodné opatrenia na ochranu práv a oprávnených záujmov dotknutej osoby vrátane sprístupnenia daných informácií verejnosti,
c) v rozsahu, v akom sa získanie týchto informácií alebo poskytnutie týchto informácií ustanovuje v osobitnom predpise, ktorý sa na prevádzkovateľa vzťahuje a v ktorom sú ustanovené primerané opatrenia na ochranu práv a oprávnených záujmov dotknutej osoby, alebo
d) ak osobné údaje musia zostať dôverné na základe povinnosti mlčanlivosti podľa osobitného predpisu.15)
§ 21
Právo na prístup k osobným údajom
(1) Dotknutá osoba má právo získať od prevádzkovateľa potvrdenie o tom, či sa spracúvajú osobné údaje, ktoré sa jej týkajú. Ak prevádzkovateľ takéto osobné údaje spracúva, dotknutá osoba má právo získať prístup k týmto osobným údajom a informácie o
a) účele spracúvania osobných údajov,
b) kategórii spracúvaných osobných údajov,
c) identifikácii príjemcu alebo o kategórii príjemcu, ktorému boli alebo majú byť osobné údaje poskytnuté, najmä o príjemcovi v tretej krajine alebo o medzinárodnej organizácii, ak je to možné,
d) dobe uchovávania osobných údajov; ak to nie je možné, informáciu o kritériách jej určenia,
e) práve požadovať od prevádzkovateľa opravu osobných údajov týkajúcich sa dotknutej osoby, ich vymazanie alebo obmedzenie ich spracúvania, alebo o práve namietať spracúvanie osobných údajov,
f) práve podať návrh na začatie konania podľa § 100,
g) zdroji osobných údajov, ak sa osobné údaje nezískali od dotknutej osoby,
h) existencii automatizovaného individuálneho rozhodovania vrátane profilovania podľa § 28 ods. 1 a 4; v týchto prípadoch poskytne prevádzkovateľ dotknutej osobe informácie najmä o použitom postupe, ako aj o význame a predpokladaných dôsledkoch takého spracúvania osobných údajov pre dotknutú osobu.
(2) Dotknutá osoba má právo byť informovaná o primeraných zárukách týkajúcich sa prenosu podľa § 48 ods. 2 až 4, ak sa osobné údaje prenášajú do tretej krajiny alebo medzinárodnej organizácii.
(3) Prevádzkovateľ je povinný poskytnúť dotknutej osobe jej osobné údaje, ktoré spracúva. Za opakované poskytnutie osobných údajov, o ktoré dotknutá osoba požiada, môže prevádzkovateľ účtovať primeraný poplatok zodpovedajúci administratívnym nákladom. Prevádzkovateľ je povinný poskytnúť osobné údaje dotknutej osobe spôsobom podľa jej požiadavky.
(4) Právo získať osobné údaje podľa odseku 3 nesmie mať nepriaznivé dôsledky na práva iných fyzických osôb.
DRUHÝ DIEL
Oprava a vymazanie a obmedzenie spracúvania osobných údajov
§ 22
Právo na opravu osobných údajov
Dotknutá osoba má právo na to, aby prevádzkovateľ bez zbytočného odkladu opravil nesprávne osobné údaje, ktoré sa jej týkajú. So zreteľom na účel spracúvania osobných údajov má dotknutá osoba právo na doplnenie neúplných osobných údajov.
§ 23
Právo na výmaz osobných údajov
(1) Dotknutá osoba má právo na to, aby prevádzkovateľ bez zbytočného odkladu vymazal osobné údaje, ktoré sa jej týkajú.
(2) Prevádzkovateľ je povinný bez zbytočného odkladu vymazať osobné údaje, ak dotknutá osoba uplatnila právo na výmaz podľa odseku 1, ak
a) osobné údaje už nie sú potrebné na účel, na ktorý sa získali alebo inak spracúvali,
b) dotknutá osoba odvolá súhlas podľa § 13 ods. 1 písm. a) alebo § 16 ods. 2 písm. a), na základe ktorého sa spracúvanie osobných údajov vykonáva, a neexistuje iný právny základ pre spracúvanie osobných údajov,
c) dotknutá osoba namieta spracúvanie osobných údajov podľa § 27 ods. 1 a neprevažujú žiadne oprávnené dôvody na spracúvanie osobných údajov alebo dotknutá osoba namieta spracúvanie osobných údajov podľa § 27 ods. 2,
d) osobné údaje sa spracúvajú nezákonne,
e) je dôvodom pre výmaz splnenie povinnosti podľa tohto zákona, osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, alebo
f) sa osobné údaje získavali v súvislosti s ponukou služieb informačnej spoločnosti podľa § 15 ods. 1.
(3) Ak prevádzkovateľ zverejnil osobné údaje a je povinný ich podľa odseku 1 vymazať, je zároveň povinný prijať primerané bezpečnostné opatrenia vrátane technických opatrení so zreteľom na dostupnú technológiu a náklady na ich vykonanie na účel informovania ostatných prevádzkovateľov, ktorí spracúvajú osobné údaje dotknutej osoby o jej žiadosti, aby títo prevádzkovatelia vymazali odkazy na jej osobné údaje a ich kópie alebo odpisy.
(4) Odseky 1 a 2 sa neuplatňujú, ak je spracúvanie osobných údajov potrebné
a) na uplatnenie práva na slobodu prejavu alebo práva na informácie,
b) na splnenie povinnosti podľa tohto zákona, osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, alebo na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi,
c) z dôvodov verejného záujmu v oblasti verejného zdravia v súlade s § 16 ods. 2 písm. h) až j),
d) na účel archivácie, na vedecký účel, na účel historického výskumu alebo na štatistický účel podľa § 78 ods. 8, ak je pravdepodobné, že právo podľa odseku 1 znemožní alebo závažným spôsobom sťaží dosiahnutie cieľov takého spracúvania, alebo
e) na uplatnenie právneho nároku.
§ 24
Právo na obmedzenie spracúvania osobných údajov
(1) Dotknutá osoba má právo na to, aby prevádzkovateľ obmedzil spracúvanie osobných údajov, ak
a) dotknutá osoba namieta správnosť osobných údajov, a to počas obdobia umožňujúceho prevádzkovateľovi overiť správnosť osobných údajov,
b) spracúvanie osobných údajov je nezákonné a dotknutá osoba namieta vymazanie osobných údajov a žiada namiesto toho obmedzenie ich použitia,
c) prevádzkovateľ už nepotrebuje osobné údaje na účel spracúvania osobných údajov, ale potrebuje ich dotknutá osoba na uplatnenie právneho nároku, alebo
d) dotknutá osoba namieta spracúvanie osobných údajov podľa § 27 ods. 1, a to až do overenia, či oprávnené dôvody na strane prevádzkovateľa prevažujú nad oprávnenými dôvodmi dotknutej osoby.
(2) Ak sa spracúvanie osobných údajov obmedzilo podľa odseku 1, okrem uchovávania môže osobné údaje prevádzkovateľ spracúvať len so súhlasom dotknutej osoby alebo na účel uplatnenia právneho nároku, na ochranu osôb alebo z dôvodov verejného záujmu.
(3) Dotknutú osobu, ktorej spracúvanie osobných údajov sa obmedzí podľa odseku 1, je prevádzkovateľ povinný informovať pred tým, ako bude obmedzenie spracúvania osobných údajov zrušené.
§ 25
Oznamovacia povinnosť v súvislosti s opravou, vymazaním alebo obmedzením spracúvania osobných údajov
(1) Prevádzkovateľ je povinný oznámiť príjemcovi opravu osobných údajov, vymazanie osobných údajov alebo obmedzenie spracúvania osobných údajov uskutočnené podľa § 22, § 23 ods. 1 alebo § 24, ak sa to neukáže ako nemožné alebo si to nevyžaduje neprimerané úsilie.
(2) Prevádzkovateľ o príjemcoch podľa odseku 1 informuje dotknutú osobu, ak to dotknutá osoba požaduje.
TRETÍ DIEL
Právo na prenosnosť, právo namietať a automatizované individuálne rozhodovanie
§ 26
Právo na prenosnosť osobných údajov
(1) Dotknutá osoba má právo získať osobné údaje, ktoré sa jej týkajú a ktoré poskytla prevádzkovateľovi, v štruktúrovanom, bežne používanom a strojovo čitateľnom formáte a má právo preniesť tieto osobné údaje ďalšiemu prevádzkovateľovi, ak je to technicky možné a ak
a) sa osobné údaje spracúvajú podľa § 13 ods. 1 písm. a), § 16 ods. 2 písm. a) alebo § 13 ods. 1 písm. b) a
b) spracúvanie osobných údajov sa vykonáva automatizovanými prostriedkami.
(2) Uplatnením práva uvedeného v odseku 1 nie je dotknuté právo podľa § 23. Právo na prenosnosť sa nevzťahuje na spracúvanie osobných údajov nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi.
(3) Právo podľa odseku 1 nesmie mať nepriaznivé dôsledky na práva iných osôb.
§ 27
Právo namietať spracúvanie osobných údajov
(1) Dotknutá osoba má právo namietať spracúvanie jej osobných údajov z dôvodu týkajúceho sa jej konkrétnej situácie vykonávané podľa § 13 ods. 1 písm. e) alebo písm. f) vrátane profilovania založeného na týchto ustanoveniach. Prevádzkovateľ nesmie ďalej spracúvať osobné údaje, ak nepreukáže nevyhnutné oprávnené záujmy na spracúvanie osobných údajov, ktoré prevažujú nad právami alebo záujmami dotknutej osoby, alebo dôvody na uplatnenie právneho nároku.
(2) Dotknutá osoba má právo namietať spracúvanie osobných údajov, ktoré sa jej týkajú, na účel priameho marketingu vrátane profilovania v rozsahu, v akom súvisí s priamym marketingom. Ak dotknutá osoba namieta spracúvanie osobných údajov na účel priameho marketingu, prevádzkovateľ ďalej osobné údaje na účel priameho marketingu nesmie spracúvať.
(3) Prevádzkovateľ je povinný dotknutú osobu výslovne upozorniť na práva podľa odsekov 1 a 2 najneskôr pri prvej komunikácii s ňou, pričom informácia o tomto práve musí byť uvedená jasne a oddelene od akýchkoľvek iných informácií.
(4) V súvislosti s používaním služieb informačnej spoločnosti môže dotknutá osoba svoje právo namietať uplatňovať automatizovanými prostriedkami s použitím technických špecifikácií.
(5) Dotknutá osoba má právo namietať spracúvanie osobných údajov, ktoré sa jej týkajú, z dôvodov týkajúcich sa jej konkrétnej situácie, okrem prípadov, keď je spracúvanie osobných údajov nevyhnutné na plnenie úlohy z dôvodov verejného záujmu, ak sa osobné údaje spracúvajú na vedecký účel, na účel historického výskumu alebo na štatistický účel podľa § 78 ods. 8.
§ 28
Automatizované individuálne rozhodovanie vrátane profilovania
(1) Dotknutá osoba má právo na to, aby sa na ňu nevzťahovalo rozhodnutie, ktoré je založené výlučne na automatizovanom spracúvaní osobných údajov vrátane profilovania a ktoré má právne účinky, ktoré sa jej týkajú alebo ju obdobne významne ovplyvňujú.
(2) Odsek 1 sa neuplatňuje, ak je rozhodnutie
a) nevyhnutné na uzavretie zmluvy alebo plnenie zmluvy medzi dotknutou osobou a prevádzkovateľom,
b) vykonané na základe osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, a v ktorých sú zároveň ustanovené aj vhodné opatrenia zaručujúce ochranu práv a oprávnených záujmov dotknutej osoby, alebo
c) založené na výslovnom súhlase dotknutej osoby.
(3) V prípadoch podľa odseku 2 písm. a) a c) je prevádzkovateľ povinný vykonať vhodné opatrenia na ochranu práv a oprávnených záujmov dotknutej osoby, a to najmä práva na overenie rozhodnutia nie automatizovaným spôsobom zo strany prevádzkovateľa, práva vyjadriť svoje stanovisko a práva napadnúť rozhodnutie.
(4) Rozhodnutia podľa odseku 2 sa nesmú zakladať na osobitných kategóriách osobných údajov podľa § 16 ods. 1 okrem prípadov, ak sa uplatňuje § 16 ods. 2 písm. a) alebo písm. g) a súčasne sú zavedené vhodné opatrenia na zaručenie práv a oprávnených záujmov dotknutej osoby.
ŠTVRTÝ DIEL
Povinnosti prevádzkovateľa pri uplatňovaní práv dotknutej osoby
§ 29
(1) Prevádzkovateľ je povinný prijať vhodné opatrenia a poskytnúť dotknutej osobe informácie podľa § 19 a 20 a oznámenia podľa § 21 až 28 a 41, ktoré sa týkajú spracúvania jej osobných údajov, v stručnej, transparentnej, zrozumiteľnej a ľahko dostupnej forme, formulované jasne, a to najmä pri informáciách určených osobitne dieťaťu. Informácie je povinný poskytnúť v listinnej podobe alebo elektronickej podobe, spravidla v rovnakej podobe, v akej bola podaná žiadosť. Ak o to požiada dotknutá osoba, informácie môže prevádzkovateľ poskytnúť aj ústne, ak dotknutá osoba preukáže svoju totožnosť iným spôsobom.
(2) Prevádzkovateľ poskytuje súčinnosť dotknutej osobe pri uplatňovaní jej práv podľa § 21 až 28. V prípadoch uvedených v § 18 ods. 2 nemôže prevádzkovateľ odmietnuť konať na základe žiadosti dotknutej osoby pri výkone jej práv podľa § 21 až 28, ak nepreukáže, že dotknutú osobu nie je schopný identifikovať.
(3) Prevádzkovateľ je povinný poskytnúť dotknutej osobe informácie o opatreniach, ktoré sa prijali na základe jej žiadosti podľa § 21 až 28 do jedného mesiaca od doručenia žiadosti. Uvedenú lehotu môže prevádzkovateľ v odôvodnených prípadoch s ohľadom na komplexnosť a počet žiadostí predĺžiť o ďalšie dva mesiace, a to aj opakovane. Prevádzkovateľ je povinný informovať o každom takom predĺžení dotknutú osobu do jedného mesiaca od doručenia žiadosti spolu s dôvodmi predĺženia lehoty. Ak dotknutá osoba podala žiadosť v elektronickej podobe, prevádzkovateľ poskytne informácie v elektronickej podobe, ak dotknutá osoba nepožiadala o poskytnutie informácie iným spôsobom.
(4) Ak prevádzkovateľ neprijme opatrenia na základe žiadosti dotknutej osoby, je povinný do jedného mesiaca od doručenia žiadosti informovať dotknutú osobu o dôvodoch nekonania a o možnosti podať návrh podľa § 100 na úrad.
(5) Informácie podľa § 19 a 20 a oznámenia a opatrenia prijaté podľa § 21 až 28 a 41 sa poskytujú bezodplatne. Ak je žiadosť dotknutej osoby zjavne neopodstatnená alebo neprimeraná najmä pre jej opakujúcu sa povahu, prevádzkovateľ môže
a) požadovať primeraný poplatok zohľadňujúci administratívne náklady na poskytnutie informácií alebo primeraný poplatok zohľadňujúci administratívne náklady na oznámenie alebo primeraný poplatok zohľadňujúci administratívne náklady na uskutočnenie požadovaného opatrenia, alebo
b) odmietnuť konať na základe žiadosti.
(6) Zjavnú neopodstatnenosť žiadosti alebo neprimeranosť žiadosti preukazuje prevádzkovateľ.
(7) Prevádzkovateľ môže požiadať o poskytnutie dodatočných informácií potrebných na potvrdenie totožnosti dotknutej osoby, ak má oprávnené pochybnosti o totožnosti fyzickej osoby, ktorá podáva žiadosť podľa § 21 až 27; ustanovenie § 18 tým nie je dotknuté.
(8) Informácie, ktoré sa majú poskytnúť dotknutej osobe podľa § 19 a 20, možno podať v kombinácii so štandardizovanými ikonami s cieľom poskytnúť dobre viditeľný, jasný a zrozumiteľný prehľad zamýšľaného spracúvania osobných údajov. Štandardizované ikony musia byť strojovo čitateľné, ak sú použité v elektronickej podobe.
(9) Informácie, ktoré majú byť obsiahnuté v štandardizovaných ikonách, a postupy určovania štandardizovaných ikon ustanoví všeobecne záväzný právny predpis, ktorý vydá úrad.
PIATY DIEL
Obmedzenia
§ 30
Obmedzenie práv dotknutej osoby
(1) Prevádzkovateľ alebo sprostredkovateľ môže za podmienok ustanovených osobitným predpisom alebo medzinárodnou zmluvou, ktorou je Slovenská republika viazaná, obmedziť rozsah povinností a práv podľa § 19 až 29 a podľa § 41, ako aj zásady podľa § 6 až 12, ak sa týkajú práv a povinností podľa § 19 až 29, ak je také obmedzenie ustanovené s cieľom zaistiť
a) bezpečnosť Slovenskej republiky,
b) obranu Slovenskej republiky,
c) verejný poriadok,
d) plnenie úloh na účely trestného konania,
e) iné dôležité ciele všeobecného verejného záujmu Európskej únie alebo Slovenskej republiky, najmä predmet dôležitého hospodárskeho záujmu alebo dôležitého finančného záujmu Európskej únie alebo Slovenskej republiky vrátane peňažných, rozpočtových a daňových záležitostí, verejného zdravia alebo sociálneho zabezpečenia,
f) ochranu nezávislosti súdnictva a súdnych konaní,
g) predchádzanie porušeniu etiky v regulovaných povolaniach alebo regulovaných odborných činnostiach,
h) monitorovaciu funkciu, kontrolnú funkciu alebo regulačnú funkciu spojenú s výkonom verejnej moci v prípadoch uvedených v písmenách a) až e) a g),
i) ochranu práv dotknutej osoby alebo iných osôb,
j) uplatnenie právneho nároku,
k) hospodársku mobilizáciu.
(2) Prevádzkovateľ alebo sprostredkovateľ môže postupovať podľa odseku 1 len vtedy, ak osobitný predpis alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná, ustanovuje aspoň
a) účel spracúvania osobných údajov alebo kategóriu spracúvania osobných údajov,
b) kategóriu osobných údajov,
c) rozsah zavedeného obmedzenia,
d) záruky zabraňujúce zneužitiu osobných údajov alebo nezákonnému prístupu alebo nezákonnému prenosu,
e) určenie prevádzkovateľa alebo kategórií prevádzkovateľov,
f) lehotu uchovávania a uplatniteľné záruky s ohľadom na povahu, rozsah a účel spracúvania osobných údajov alebo kategóriu spracúvania osobných údajov,
g) riziká pre práva dotknutej osoby a
h) práva dotknutej osoby na informovanie o obmedzení, ak tým nie je ohrozený účel obmedzenia.
TRETIA HLAVA
Práva a povinnosti prevádzkovateľa a sprostredkovateľa
PRVÝ DIEL
Všeobecné povinnosti prevádzkovateľa a sprostredkovateľa
§ 31
Prevádzkovateľ
(1) S ohľadom na povahu, rozsah a účel spracúvania osobných údajov a na riziká s rôznou pravdepodobnosťou a závažnosťou pre práva fyzickej osoby je prevádzkovateľ povinný prijať vhodné technické a organizačné opatrenia na zabezpečenie a preukázanie toho, že spracúvanie osobných údajov sa vykonáva v súlade s týmto zákonom. Uvedené opatrenia je prevádzkovateľ povinný podľa potreby aktualizovať.
(2) Opatrenia podľa odseku 1 zahŕňajú zavedenie primeraných postupov ochrany osobných údajov zo strany prevádzkovateľa, ak je to vzhľadom na spracovateľské činnosti primerané.
(3) Na preukázanie splnenia povinností podľa odseku 1 môže prevádzkovateľ použiť schválený kódex správania podľa § 85 alebo certifikát podľa § 86.
(4) Prevádzkovateľ je povinný pravidelne preverovať trvanie účelu spracúvania osobných údajov a po jeho splnení bez zbytočného odkladu zabezpečiť výmaz osobných údajov; to neplatí, ak osobné údaje sú súčasťou registratúrneho záznamu.17)
(5) Prevádzkovateľ zabezpečuje vyradenie registratúrneho záznamu, ktorý obsahuje osobné údaje, podľa osobitného predpisu.18)
§ 32
Špecificky navrhnutá a štandardná ochrana osobných údajov
(1) Prevádzkovateľ je povinný pred spracúvaním osobných údajov zaviesť a počas spracúvania osobných údajov mať zavedenú špecificky navrhnutú ochranu osobných údajov, ktorá spočíva v prijatí primeraných technických a organizačných opatrení, najmä vo forme pseudonymizácie, na účinné zavedenie primeraných záruk ochrany osobných údajov a dodržiavanie základných zásad podľa § 6 až 12.
(2) Prevádzkovateľ je povinný pri špecificky navrhnutej ochrane osobných údajov podľa odseku 1 zohľadniť najnovšie poznatky ochrany osobných údajov, náklady na vykonanie opatrení podľa odseku 1, povahu, rozsah, kontext a účel spracúvania osobných údajov a riziká spracúvania osobných údajov s rôznou pravdepodobnosťou a závažnosťou, ktoré spracúvanie osobných údajov predstavuje pre práva dotknutej osoby.
(3) Prevádzkovateľ je povinný zaviesť štandardnú ochranu osobných údajov, ktorá spočíva v prijatí primeraných technických a organizačných opatrení na zabezpečenie spracúvania osobných údajov len na konkrétny účel, minimalizácie množstva získaných osobných údajov a rozsahu ich spracúvania, doby uchovávania a dostupnosti osobných údajov. Prevádzkovateľ je povinný zabezpečiť, aby osobné údaje neboli bez zásahu fyzickej osoby štandardne prístupné neobmedzenému počtu fyzických osôb.
(4) Na preukázanie splnenia povinností podľa odsekov 1 až 3 môže prevádzkovateľ použiť certifikát podľa § 86.
§ 33
Spoloční prevádzkovatelia
(1) Spoločnými prevádzkovateľmi sú dvaja prevádzkovatelia alebo viacerí prevádzkovatelia, ktorí si dohodou určia účel a prostriedky spracúvania osobných údajov. V dohode sú zároveň povinní transparentne určiť zodpovednosť každého z nich za plnenie povinností a úloh podľa tohto zákona, najmä ak ide o vykonávanie práv dotknutej osoby, a svoje povinnosti poskytovať informácie podľa § 19 a 20, ak nie sú tieto povinnosti prevádzkovateľa ustanovené osobitným predpisom alebo medzinárodnou zmluvou, ktorou je Slovenská republika viazaná. V dohode sa tiež určí kontaktné miesto pre dotknutú osobu.
(2) Základné náležitosti dohody podľa odseku 1 je prevádzkovateľ povinný poskytnúť dotknutej osobe, a to najmä identifikáciu zmluvných strán, predmet zmluvy, dobu platnosti zmluvy, ustanovenia upravujúce výkon práv dotknutej osoby, povinnosti prevádzkovateľov poskytovať informácie podľa § 19 a 20 a kontaktné miesto pre dotknutú osobu.
(3) Bez ohľadu na podmienky dohody podľa odseku 1 môže dotknutá osoba uplatniť svoje práva u každého prevádzkovateľa a voči každému prevádzkovateľovi.
§ 34
Sprostredkovateľ
(1) Ak sa má spracúvanie osobných údajov uskutočniť v mene prevádzkovateľa, prevádzkovateľ môže poveriť len sprostredkovateľa, ktorý poskytuje dostatočné záruky na prijatie primeraných technických a organizačných opatrení tak, aby spracúvanie osobných údajov spĺňalo požiadavky tohto zákona a aby sa zabezpečila ochrana práv dotknutej osoby. Na poverenie sprostredkovateľa spracúvaním osobných údajov podľa prvej vety sa súhlas dotknutej osoby nevyžaduje.
(2) Sprostredkovateľ nesmie poveriť spracúvaním osobných údajov ďalšieho sprostredkovateľa bez predchádzajúceho osobitného písomného súhlasu prevádzkovateľa alebo všeobecného písomného súhlasu prevádzkovateľa. Sprostredkovateľ je povinný vopred informovať prevádzkovateľa o poverení ďalšieho sprostredkovateľa, ak sa poverenie vykonalo na základe všeobecného písomného súhlasu.
(3) Spracúvanie osobných údajov sprostredkovateľom sa riadi zmluvou alebo iným právnym úkonom, ktorý zaväzuje sprostredkovateľa voči prevádzkovateľovi a v ktorom je ustanovený predmet a doba spracúvania, povaha a účel spracúvania, zoznam alebo rozsah osobných údajov, kategórie dotknutých osôb a povinnosti a práva prevádzkovateľa. V zmluve alebo inom právnom úkone sa musí najmä ustanoviť, že sprostredkovateľ je povinný
a) spracúvať osobné údaje len na základe písomných pokynov prevádzkovateľa, a to aj vtedy, ak ide o prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii okrem prenosu na základe osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná; sprostredkovateľ je pri takom prenose povinný oznámiť prevádzkovateľovi túto požiadavku pred spracúvaním osobných údajov, ak osobitný predpis alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná, takéto oznámenie nezakazuje z dôvodov verejného záujmu,
b) zabezpečiť, aby sa osoby oprávnené spracúvať osobné údaje zaviazali, že zachovajú mlčanlivosť o informáciách, o ktorých sa dozvedeli, ak nie sú viazané povinnosťou mlčanlivosti podľa osobitného zákona,15)
c) vykonať opatrenia podľa § 39,
d) dodržiavať podmienky zapojenia ďalšieho sprostredkovateľa podľa odsekov 2 a 5,
e) po zohľadnení povahy spracúvania osobných údajov v čo najväčšej miere poskytnúť súčinnosť prevádzkovateľovi vhodnými technickými a organizačnými opatreniami pri plnení jeho povinnosti prijímať opatrenia na základe žiadosti dotknutej osoby podľa druhej časti druhej hlavy,
f) poskytnúť súčinnosť prevádzkovateľovi pri zabezpečovaní plnenia povinností podľa § 39 až 43 s prihliadnutím na povahu spracúvania osobných údajov a informácie dostupné sprostredkovateľovi,
g) vymazať osobné údaje alebo vrátiť prevádzkovateľovi osobné údaje po ukončení poskytovania služieb týkajúcich sa spracúvania osobných údajov na základe rozhodnutia prevádzkovateľa a vymazať existujúce kópie, ktoré obsahujú osobné údaje, ak osobitný predpis alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná, nepožaduje uchovávanie týchto osobných údajov,
h) po ukončení poskytovania služieb týkajúcich sa spracúvania osobných údajov na základe rozhodnutia prevádzkovateľa osobné údaje vymazať alebo vrátiť prevádzkovateľovi a vymazať existujúce kópie, ktoré obsahujú osobné údaje, ak osobitný predpis alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná, nepožaduje uchovávanie týchto osobných údajov,
i) poskytnúť prevádzkovateľovi informácie potrebné na preukázanie splnenia povinností a poskytnúť súčinnosť v rámci auditu ochrany osobných údajov a kontroly zo strany prevádzkovateľa alebo audítora, ktorého poveril prevádzkovateľ.
(4) Sprostredkovateľ je povinný bez zbytočného odkladu informovať prevádzkovateľa, ak má za to, že sa pokynom prevádzkovateľa porušuje tento zákon, osobitný predpis alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná, ktoré sa týkajú ochrany osobných údajov.
(5) Ak sprostredkovateľ zapojí do vykonávania osobitných spracovateľských činností v mene prevádzkovateľa ďalšieho sprostredkovateľa, tomuto ďalšiemu sprostredkovateľovi v zmluve alebo inom právnom úkone je povinný uložiť rovnaké povinnosti týkajúce sa ochrany osobných údajov, ako sú ustanovené v zmluve alebo v inom právnom úkone medzi prevádzkovateľom a sprostredkovateľom podľa odseku 3, a to najmä poskytnutie dostatočných záruk na prijatie primeraných technických a organizačných opatrení tak, aby spracúvanie osobných údajov spĺňalo požiadavky tohto zákona. Zodpovednosť voči prevádzkovateľovi nesie pôvodný sprostredkovateľ, ak ďalší sprostredkovateľ nesplní svoje povinnosti týkajúce sa ochrany osobných údajov.
(6) Sprostredkovateľ môže preukázať splnenie dostatočných záruk uvedených v odsekoch 1 a 5 schváleným kódexom správania podľa § 85 alebo certifikátom podľa § 86.
(7) Zmluva alebo iný právny úkon podľa odsekov 3 a 5 sa musí uzatvoriť v listinnej podobe alebo elektronickej podobe.
(8) Sprostredkovateľ, ktorý porušil tento zákon tým, že určí účel a prostriedky spracúvania osobných údajov, sa považuje v súvislosti s týmto spracúvaním osobných údajov za prevádzkovateľa; ustanovenie § 38 a § 104 až 106 tým nie je dotknuté.
§ 35
Zástupca prevádzkovateľa alebo zástupca sprostredkovateľa
(1) Prevádzkovateľ alebo sprostredkovateľ, ktorý nemá sídlo, organizačnú zložku, prevádzkareň alebo trvalý pobyt v členskom štáte, je povinný písomne poveriť svojho zástupcu na území členského štátu, ak vykonáva spracúvanie osobných údajov dotknutej osoby, ktorá sa nachádza na území Slovenskej republiky, pričom spracovateľská činnosť súvisí
a) s ponukou tovaru alebo služieb tejto dotknutej osobe na území Slovenskej republiky bez ohľadu na to, či sa od dotknutej osoby vyžaduje platba alebo nie, alebo
b) so sledovaním ich správania na území Slovenskej republiky.
(2) Povinnosť podľa odseku 1 sa nevzťahuje na
a) spracúvanie osobných údajov, ktoré je občasné, nezahŕňa vo veľkom rozsahu spracúvanie osobitných kategórií osobných údajov podľa § 16 ods. 1 alebo spracúvanie osobných údajov týkajúcich sa uznania viny za spáchanie trestného činu alebo priestupku podľa § 17 a nie je pravdepodobné, že s ohľadom na povahu, kontext, rozsah alebo účel spracúvania povedie k riziku pre práva fyzických osôb, alebo
b) orgán verejnej moci alebo verejnoprávnu inštitúciu.
(3) Úrad a dotknutá osoba môžu požadovať informácie týkajúce sa spracúvania osobných údajov na účely zabezpečenia súladu s týmto zákonom okrem prevádzkovateľa a sprostredkovateľa aj zástupcu prevádzkovateľa alebo zástupcu sprostredkovateľa.
(4) Poverením zástupcu prevádzkovateľom alebo sprostredkovateľom nie je dotknuté právo dotknutej osoby na podanie návrhu na začatie konania podľa § 100 ani na inú právnu ochranu podľa osobitného predpisu,19) ktoré možno uplatniť proti prevádzkovateľovi alebo sprostredkovateľovi.
§ 36
Spracúvanie osobných údajov pod dohľadom prevádzkovateľa alebo sprostredkovateľa
Sprostredkovateľ a každá osoba konajúca za prevádzkovateľa alebo sprostredkovateľa, ktorá má prístup k osobným údajom, môže spracúvať tieto osobné údaje len na základe pokynov prevádzkovateľa alebo podľa osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná.
§ 37
Záznamy o spracovateľských činnostiach
(1) Prevádzkovateľ a zástupca prevádzkovateľa, ak bol poverený, je povinný viesť záznam o spracovateľských činnostiach, za ktoré je zodpovedný. Tento záznam musí obsahovať
a) identifikačné údaje a kontaktné údaje prevádzkovateľa, spoločného prevádzkovateľa, zástupcu prevádzkovateľa, ak bol poverený, a zodpovednej osoby,
b) účel spracúvania osobných údajov,
c) opis kategórií dotknutých osôb a kategórií osobných údajov,
d) kategórie príjemcov vrátane príjemcu v tretej krajine alebo medzinárodnej organizácii,
e) označenie tretej krajiny alebo medzinárodnej organizácie, ak prevádzkovateľ zamýšľa prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii a dokumentáciu o primeraných zárukách, ak prevádzkovateľ zamýšľa prenos podľa § 51 ods. 1 a 2,
f) predpokladané lehoty na vymazanie rôznych kategórií osobných údajov,
g) všeobecný opis technických a organizačných bezpečnostných opatrení podľa § 39 ods. 1.
(2) Sprostredkovateľ a zástupca sprostredkovateľa, ak bol poverený, je povinný viesť záznam o kategóriách spracovateľských činností, ktoré vykonal v mene prevádzkovateľa. Tento záznam musí obsahovať
a) identifikačné údaje a kontaktné údaje sprostredkovateľa a prevádzkovateľa, v mene ktorého sprostredkovateľ koná, zástupcu prevádzkovateľa alebo sprostredkovateľa, ak bol poverený, a zodpovednej osoby,
b) kategórie spracúvania osobných údajov vykonávaného v mene každého prevádzkovateľa,
c) označenie tretej krajiny alebo medzinárodnej organizácie, ak prevádzkovateľ zamýšľa prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii, a dokumentáciu o primeraných zárukách, ak prevádzkovateľ zamýšľa prenos podľa § 51 ods. 1 a 2,
d) všeobecný opis technických a organizačných bezpečnostných opatrení podľa § 39 ods. 1.
(3) Záznamy podľa odsekov 1 a 2 sa vedú v listinnej podobe alebo elektronickej podobe.
(4) Prevádzkovateľ alebo sprostredkovateľ a zástupca prevádzkovateľa alebo zástupca sprostredkovateľa, ak bol poverený, sú povinní na požiadanie sprístupniť záznam o spracovateľských činnostiach úradu.
(5) Povinnosti podľa odsekov 1 a 2 sa nevzťahujú na zamestnávateľa s menej ako 250 zamestnancami, ak nie je pravdepodobné, že spracúvanie osobných údajov, ktoré vykonáva, povedie k riziku ochrany práv dotknutej osoby, ak je spracúvanie osobných údajov príležitostné alebo ak nezahŕňa osobitné kategórie osobných údajov podľa § 16 ods. 1 alebo osobné údaje týkajúce sa uznania viny za spáchanie trestného činu alebo priestupku podľa § 17.
(6) Vzor záznamu o spracovateľských činnostiach zverejní úrad na svojom webovom sídle.
§ 38
Právo na náhradu škody a zodpovednosť
(1) Každá osoba, ktorej vznikla majetková ujma alebo nemajetková ujma v dôsledku porušenia tohto zákona, má právo na náhradu škody20) od prevádzkovateľa alebo sprostredkovateľa.
(2) Prevádzkovateľ, ktorý sa zúčastnil na spracúvaní osobných údajov, je zodpovedný za škodu spôsobenú nezákonným spracúvaním. Sprostredkovateľ zodpovedá za škodu spôsobenú spracúvaním osobných údajov, len ak nesplnil povinnosti podľa § 34 až 37, § 39, § 40 ods. 3, § 44, § 45, § 51 ods. 3 alebo ak konal nad rámec alebo v rozpore s pokynmi prevádzkovateľa, ktoré boli v súlade so zákonom.
(3) Prevádzkovateľ alebo sprostredkovateľ sa môže zbaviť zodpovednosti podľa odseku 2, ak preukáže, že vznik škody nezavinil.
(4) Ak sa na tom istom spracúvaní osobných údajov zúčastnil viac než jeden prevádzkovateľ alebo sprostredkovateľ alebo prevádzkovateľ aj sprostredkovateľ spoločne a sú podľa odsekov 2 a 3 zodpovední za škodu spôsobenú spracúvaním osobných údajov, za škodu zodpovedajú spoločne a nerozdielne.
(5) Ak prevádzkovateľ alebo sprostredkovateľ v súlade s odsekom 4 uhradil náhradu škody v plnej výške, má právo žiadať od ostatných prevádzkovateľov alebo sprostredkovateľov zapojených do toho istého spracúvania osobných údajov tú časť náhrady škody, ktorá zodpovedá ich podielu zodpovednosti za škodu za podmienok ustanovených v odseku 2.
DRUHÝ DIEL
Bezpečnosť osobných údajov
§ 39
Bezpečnosť spracúvania
(1) Prevádzkovateľ a sprostredkovateľ sú povinní prijať so zreteľom na najnovšie poznatky, na náklady na vykonanie opatrení, na povahu, rozsah, kontext a účel spracúvania osobných údajov a na riziká s rôznou pravdepodobnosťou a závažnosťou pre práva fyzických osôb primerané technické a organizačné opatrenia na zaistenie úrovne bezpečnosti primeranej tomuto riziku, pričom uvedené opatrenia môžu zahŕňať najmä
a) pseudonymizáciu a šifrovanie osobných údajov,
b) zabezpečenie trvalej dôvernosti, integrity, dostupnosti a odolnosti systémov spracúvania osobných údajov,
c) proces obnovy dostupnosti osobných údajov a prístup k nim v prípade fyzického incidentu alebo technického incidentu,
d) proces pravidelného testovania, posudzovania a hodnotenia účinnosti technických a organizačných opatrení na zaistenie bezpečnosti spracúvania osobných údajov.
(2) Pri posudzovaní primeranej úrovne bezpečnosti sa prihliada na riziká, ktoré predstavuje spracúvanie osobných údajov, a to najmä náhodné zničenie alebo nezákonné zničenie, strata, zmena alebo neoprávnené poskytnutie prenášaných osobných údajov, uchovávaných osobných údajov alebo inak spracúvaných osobných údajov, alebo neoprávnený prístup k takýmto osobným údajom.
(3) Súlad s požiadavkami uvedenými v odseku 1 možno preukázať schváleným kódexom správania podľa § 85 alebo certifikátom podľa § 86.
(4) Prevádzkovateľ a sprostredkovateľ sú povinní zabezpečiť, aby fyzická osoba konajúca za prevádzkovateľa alebo sprostredkovateľa, ktorá má prístup k osobným údajom, spracúvala tieto údaje len na základe pokynov prevádzkovateľa alebo podľa osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná.
§ 40
Oznámenie porušenia ochrany osobných údajov úradu
(1) Prevádzkovateľ je povinný oznámiť úradu porušenie ochrany osobných údajov do 72 hodín po tom, ako sa o ňom dozvedel; to neplatí, ak nie je pravdepodobné, že porušenie ochrany osobných údajov povedie k riziku pre práva fyzickej osoby.
(2) Ak prevádzkovateľ nesplní oznamovaciu povinnosť podľa odseku 1, musí zmeškanie lehoty zdôvodniť.
(3) Sprostredkovateľ je povinný oznámiť prevádzkovateľovi porušenie ochrany osobných údajov bez zbytočného odkladu po tom, ako sa o ňom dozvedel.
(4) Oznámenie podľa odseku 1 musí obsahovať najmä
a) opis povahy porušenia ochrany osobných údajov vrátane, ak je to možné, kategórií a približného počtu dotknutých osôb, ktorých sa porušenie týka, a kategórií a približného počtu dotknutých záznamov o osobných údajoch,
b) kontaktné údaje zodpovednej osoby alebo iného kontaktného miesta, kde možno získať viac informácií,
c) opis pravdepodobných následkov porušenia ochrany osobných údajov,
d) opis opatrení prijatých alebo navrhovaných prevádzkovateľom na nápravu porušenia ochrany osobných údajov vrátane opatrení na zmiernenie jeho potenciálnych nepriaznivých dôsledkov, ak je to potrebné.
(5) Prevádzkovateľ je povinný poskytnúť informácie podľa odseku 4 v rozsahu, v akom sú mu známe v čase oznámenia podľa odseku 1; ak v čase oznámenia podľa odseku 1 nie sú prevádzkovateľovi známe všetky informácie podľa odseku 4, poskytne ich bezodkladne po tom, čo sa o nich dozvie.
(6) Prevádzkovateľ je povinný zdokumentovať každý prípad porušenia ochrany osobných údajov podľa odseku 1 vrátane skutočností spojených s porušením ochrany osobných údajov, jeho následky a prijaté opatrenia na nápravu.
§ 41
Oznámenie porušenia ochrany osobných údajov dotknutej osobe
(1) Prevádzkovateľ je povinný bez zbytočného odkladu oznámiť dotknutej osobe porušenie ochrany osobných údajov, ak takéto porušenie ochrany osobných údajov môže viesť k vysokému riziku pre práva fyzickej osoby.
(2) Oznámenie podľa odseku 1 musí obsahovať jasne a jednoducho formulovaný opis povahy porušenia ochrany osobných údajov a informácie a opatrenia podľa § 40 ods. 4 písm. b) až d).
(3) Oznámenie podľa odseku 1 sa nevyžaduje, ak
a) prevádzkovateľ prijal primerané technické a organizačné ochranné opatrenia a uplatnil ich na osobné údaje, ktorých sa porušenie ochrany osobných údajov týka, a to najmä šifrovanie alebo iné opatrenia, na základe ktorých sú osobné údaje nečitateľné pre osoby, ktoré nie sú oprávnené mať k nim prístup,
b) prevádzkovateľ prijal následné opatrenia na zabezpečenie vysokého rizika porušenia práv dotknutej osoby podľa odseku 1,
c) by to vyžadovalo neprimerané úsilie; prevádzkovateľ je povinný informovať verejnosť alebo prijať iné opatrenie na zabezpečenie toho, že dotknutá osoba bude informovaná rovnako efektívnym spôsobom.
(4) Ak prevádzkovateľ ešte porušenie ochrany osobných údajov neoznámil dotknutej osobe, úrad môže po zvážení pravdepodobnosti porušenia ochrany osobných údajov vedúceho k vysokému riziku požadovať, aby tak urobil, alebo môže rozhodnúť, že je splnená niektorá z podmienok uvedených v odseku 3.
TRETÍ DIEL
Posúdenie vplyvu na ochranu osobných údajov a predchádzajúca konzultácia
§ 42
Posúdenie vplyvu na ochranu osobných údajov
(1) Ak typ spracúvania osobných údajov, najmä s využitím nových technológií a s ohľadom na povahu, rozsah, kontext a účel spracúvania osobných údajov, môže viesť k vysokému riziku pre práva fyzických osôb, prevádzkovateľ je povinný pred spracúvaním osobných údajov vykonať posúdenie vplyvu plánovaných spracovateľských operácií na ochranu osobných údajov. Pre súbor podobných spracovateľských operácií, ktoré predstavujú podobné vysoké riziko, postačí jedno posúdenie.
(2) Prevádzkovateľ je povinný počas vykonávania posúdenia vplyvu na ochranu osobných údajov konzultovať jednotlivé postupy so zodpovednou osobou, ak bola určená.
(3) Posúdenie vplyvu na ochranu osobných údajov sa vyžaduje najmä, ak ide o
a) systematické a rozsiahle hodnotenie osobných znakov alebo charakteristík týkajúcich sa dotknutej osoby, ktoré je založené na automatizovanom spracúvaní osobných údajov vrátane profilovania a z ktorého vychádzajú rozhodnutia s právnymi účinkami týkajúcimi sa dotknutej osoby alebo s podobne závažným vplyvom na ňu,
b) spracúvanie vo veľkom rozsahu osobitných kategórií osobných údajov podľa § 16 ods. 1 alebo osobných údajov týkajúcich sa uznania viny za spáchanie trestného činu alebo priestupku podľa § 17, alebo
c) systematické monitorovanie verejne prístupných miest vo veľkom rozsahu.
(4) Posúdenie vplyvu na ochranu osobných údajov obsahuje najmä
a) systematický opis plánovaných spracovateľských operácií a účel spracúvania osobných údajov vrátane uvedenia prípadného oprávneného záujmu, ktorý sleduje prevádzkovateľ,
b) posúdenie nutnosti a primeranosti spracovateľských operácií vo vzťahu k účelu,
c) posúdenie rizika pre práva dotknutej osoby a
d) opatrenia na elimináciu rizík vrátane záruk, bezpečnostných opatrení a mechanizmov na zabezpečenie ochrany osobných údajov a na preukázanie súladu s týmto zákonom s prihliadnutím na práva a oprávnené záujmy dotknutej osoby a ďalších fyzických osôb, ktorých sa to týka.
(5) Pri posudzovaní dosahu spracovateľských operácií vykonávaných prevádzkovateľom alebo sprostredkovateľom úrad zohľadňuje, či prevádzkovateľ alebo sprostredkovateľ postupuje v súlade so schváleným kódexom správania podľa § 85 alebo certifikátom podľa § 86, a to najmä na účely posúdenia vplyvu na ochranu osobných údajov.
(6) Prevádzkovateľ je oprávnený získavať názory dotknutej osoby alebo organizácie, ktorá zastupuje jej záujmy, na zamýšľané spracúvanie osobných údajov; ochrana obchodných záujmov, verejného záujmu alebo bezpečnosť spracovateľských operácií nesmie byť dotknutá.
(7) Prevádzkovateľ je povinný posúdiť, či sa spracúvanie osobných údajov uskutočňuje v súlade s posúdením vplyvu na ochranu osobných údajov, a to najmä, ak došlo k zmene rizika, ktoré predstavuje spracovateľská operácia.
§ 43
Predchádzajúca konzultácia
(1) Prevádzkovateľ je povinný s úradom uskutočniť konzultáciu pred spracúvaním osobných údajov, ak je z posúdenia vplyvu na ochranu osobných údajov podľa § 42 zrejmé, že spracúvanie osobných údajov povedie k vysokému riziku pre práva fyzických osôb, ak prevádzkovateľ neprijme opatrenia na zmiernenie tohto rizika.
(2) Ak sa úrad domnieva, že zamýšľané spracúvanie osobných údajov podľa odseku 1 bude v rozpore s týmto zákonom, najmä ak prevádzkovateľ nedostatočne identifikoval riziko alebo zmiernil riziko, úrad do ôsmich týždňov od prijatia žiadosti o konzultáciu poskytne prevádzkovateľovi, prípadne aj sprostredkovateľovi, písomné poradenstvo. Úrad môže s ohľadom na zložitosť zamýšľaného spracúvania osobných údajov predĺžiť lehotu podľa predchádzajúcej vety o šesť týždňov; predĺženie lehoty a dôvody predĺženia úrad písomne oznámi prevádzkovateľovi, prípadne aj sprostredkovateľovi do jedného mesiaca od prijatia žiadosti o konzultáciu. Lehota na poskytnutie poradenstva neplynie, kým úrad nezíska informácie, o ktoré požiadal na účely konzultácie.
(3) Počas konzultácií s úradom podľa odseku 1 je prevádzkovateľ povinný poskytnúť úradu
a) informácie o povinnostiach prevádzkovateľa, ktoré má v súvislosti s jeho spracovateľskou činnosťou podliehajúcou predchádzajúcej konzultácii podľa odseku 1, o spoločných prevádzkovateľoch a sprostredkovateľoch zapojených do spracúvania osobných údajov, najmä pri spracúvaní osobných údajov v rámci skupiny podnikov,
b) informácie o účeloch zamýšľaného spracúvania osobných údajov a prostriedkoch na jeho vykonanie,
c) informácie o opatreniach a zárukách poskytnutých na ochranu práv dotknutej osoby podľa tohto zákona,
d) kontaktné údaje zodpovednej osoby, ak je určená,
e) posúdenie vplyvu na ochranu osobných údajov podľa § 42 a
f) ďalšie informácie, o ktoré úrad požiada.
ŠTVRTÝ DIEL
Zodpovedná osoba
§ 44
Určenie zodpovednej osoby
(1) Prevádzkovateľ a sprostredkovateľ sú povinní určiť zodpovednú osobu, ak
a) spracúvanie osobných údajov vykonáva orgán verejnej moci alebo verejnoprávna inštitúcia okrem súdov pri výkone ich súdnej právomoci,
b) hlavnými činnosťami prevádzkovateľa alebo sprostredkovateľa sú spracovateľské operácie, ktoré si vzhľadom na svoju povahu, rozsah alebo účel vyžadujú pravidelné a systematické monitorovanie dotknutej osoby vo veľkom rozsahu, alebo
c) hlavnými činnosťami prevádzkovateľa alebo sprostredkovateľa je spracúvanie osobitných kategórií osobných údajov podľa § 16 vo veľkom rozsahu alebo spracúvanie osobných údajov týkajúcich sa uznania viny za spáchanie trestného činu alebo priestupku podľa § 17 vo veľkom rozsahu.
(2) Skupina podnikov môže určiť jednu zodpovednú osobu, ak táto osoba bude spôsobilá plniť úlohy podľa § 46 pre každý podnik zo skupiny podnikov.
(3) Ak je prevádzkovateľom alebo sprostredkovateľom orgán verejnej moci alebo verejnoprávna inštitúcia, môže byť pre viaceré takéto orgány alebo inštitúcie určená jedna zodpovedná osoba, pričom sa zohľadní ich rozsah a ich organizačná štruktúra.
(4) Okrem prípadov podľa odseku 1 zodpovednú osobu môže určiť prevádzkovateľ alebo sprostredkovateľ alebo združenia a iné subjekty zastupujúce kategórie prevádzkovateľov alebo sprostredkovateľov. Zodpovedná osoba môže konať v mene takých združení a iných subjektov zastupujúcich prevádzkovateľov alebo sprostredkovateľov.
(5) Okrem prípadov podľa odseku 1 je prevádzkovateľ alebo sprostredkovateľ alebo združenia a iné subjekty zastupujúce kategórie prevádzkovateľov alebo sprostredkovateľov povinný určiť zodpovednú osobu, ak sa to vyžaduje v osobitnom predpise alebo medzinárodnej zmluve, ktorou je Slovenská republika viazaná. Zodpovedná osoba môže konať v mene takýchto združení a iných subjektov zastupujúcich prevádzkovateľov alebo sprostredkovateľov.
(6) Zodpovedná osoba sa určí na základe jej odborných kvalít, a to najmä na základe jej odborných znalostí práva a postupov v oblasti ochrany osobných údajov a na základe spôsobilosti plniť úlohy podľa § 46.
(7) Zodpovedná osoba môže byť zamestnancom prevádzkovateľa alebo sprostredkovateľa alebo môže plniť úlohy na základe zmluvy.
(8) Prevádzkovateľ a sprostredkovateľ sú povinní zverejniť, napríklad na ich webovom sídle, kontaktné údaje zodpovednej osoby, ak je určená, a oznámiť ich úradu.
§ 45
Postavenie zodpovednej osoby
(1) Prevádzkovateľ a sprostredkovateľ sú povinní zabezpečiť, aby zodpovedná osoba riadne a včas vykonávala činnosti súvisiace s ochranou osobných údajov.
(2) Prevádzkovateľ a sprostredkovateľ sú povinní poskytnúť zodpovednej osobe pri plnení úloh podľa § 46 potrebnú súčinnosť; najmä sú povinní jej poskytnúť prostriedky potrebné na plnenie týchto úloh a prístup k osobným údajom a spracovateľským operáciám, ako aj zabezpečiť udržiavanie jej odborných znalostí.
(3) Prevádzkovateľ a sprostredkovateľ sú povinní zabezpečiť, aby zodpovedná osoba v súvislosti s plnením úloh podľa § 46 nedostávala žiadne pokyny. Prevádzkovateľ ani sprostredkovateľ ju nesmú odvolať alebo postihovať za výkon jej úloh podľa § 46. Zodpovedná osoba je pri plnení úloh podľa § 46 priamo zodpovedná štatutárnemu orgánu prevádzkovateľa alebo štatutárnemu orgánu sprostredkovateľa.
(4) Dotknutá osoba môže kontaktovať zodpovednú osobu s otázkami týkajúcimi sa spracúvania jej osobných údajov a uplatňovania jej práv podľa tohto zákona.
(5) Zodpovedná osoba je v súvislosti s výkonom svojich úloh viazaná povinnosťou mlčanlivosti v súlade s týmto zákonom alebo osobitným predpisom.15)
(6) Zodpovedná osoba môže plniť aj iné úlohy a povinnosti ako podľa § 46; prevádzkovateľ alebo sprostredkovateľ sú povinní zabezpečiť, aby žiadna z takýchto iných úloh alebo povinností neviedla ku konfliktu záujmov.
§ 46
Úlohy zodpovednej osoby
(1) Zodpovedná osoba najmä
a) poskytuje informácie a poradenstvo prevádzkovateľovi alebo sprostredkovateľovi a zamestnancom, ktorí vykonávajú spracúvanie osobných údajov, o ich povinnostiach podľa tohto zákona, osobitných predpisov alebo medzinárodných zmlúv, ktorými je Slovenská republika viazaná, týkajúcich sa ochrany osobných údajov,
b) monitoruje súlad s týmto zákonom, osobitnými predpismi alebo medzinárodnými zmluvami, ktorými je Slovenská republika viazaná, týkajúcimi sa ochrany osobných údajov a s pravidlami prevádzkovateľa alebo sprostredkovateľa súvisiacimi s ochranou osobných údajov vrátane rozdelenia povinností, zvyšovania povedomia a odbornej prípravy osôb, ktoré sú zapojené do spracovateľských operácií a súvisiacich auditov ochrany osobných údajov,
c) poskytuje na požiadanie poradenstvo, ak ide o posúdenie vplyvu na ochranu osobných údajov a monitorovanie jeho vykonávania podľa § 42,
d) spolupracuje s úradom pri plnení svojich úloh,
e) plní úlohy kontaktného miesta pre úrad v súvislosti s otázkami týkajúcimi sa spracúvania osobných údajov vrátane predchádzajúcej konzultácie podľa § 43 a podľa potreby aj konzultácie v iných veciach.
(2) Zodpovedná osoba pri výkone svojich úloh náležite zohľadňuje riziko spojené so spracovateľskými operáciami, pričom berie do úvahy povahu, rozsah, kontext a účel spracúvania osobných údajov.
ŠTVRTÁ HLAVA
Prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii
§ 47
Všeobecná zásada prenosu
Prenos osobných údajov, ktoré sa spracúvajú alebo sú určené na spracúvanie po prenose do tretej krajiny alebo medzinárodnej organizácii, sa môže uskutočniť len vtedy, ak prevádzkovateľ a sprostredkovateľ dodržiavajú podmienky vrátane podmienok následného prenosu osobných údajov z predmetnej tretej krajiny alebo od predmetnej medzinárodnej organizácie do inej tretej krajiny alebo inej medzinárodnej organizácii.
§ 48
Prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii
(1) Prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii sa môže uskutočniť, ak Komisia rozhodla, že tretia krajina, územie alebo jeden či viaceré určené odvetvia v danej tretej krajine alebo medzinárodná organizácia zaručujú primeranú úroveň ochrany osobných údajov. Taký prenos nevyžaduje osobitné povolenie.
(2) Ak neexistuje rozhodnutie Komisie podľa odseku 1, prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii sa môže uskutočniť len vtedy, ak sa poskytnú primerané záruky ochrany osobných údajov.
(3) Primerané záruky podľa odseku 2 sa môžu ustanoviť bez toho, aby bolo potrebné žiadať úrad o osobitné povolenie, prostredníctvom
a) medzinárodnej zmluvy, ktorou je Slovenská republika viazaná,
b) vnútropodnikových pravidiel podľa § 49,
c) štandardnej doložky o ochrane údajov, ktoré prijala Komisia,
d) štandardnej doložky o ochrane údajov, ktoré prijal úrad,
e) schváleného kódexu správania podľa § 85 spolu so záväzkami prevádzkovateľa alebo sprostredkovateľa v tretej krajine spočívajúcimi v uplatňovaní primeraných záruk, a to aj ak ide o práva dotknutej osoby, alebo
f) certifikátu podľa § 86 spolu so záväzkom prevádzkovateľa alebo sprostredkovateľa v tretej krajine spočívajúcim v uplatňovaní primeraných záruk, a to aj ak ide o práva dotknutej osoby.
(4) Primerané záruky podľa odseku 2 sa môžu tiež zabezpečiť na základe povolenia úradu najmä
a) zmluvnými doložkami medzi prevádzkovateľom alebo sprostredkovateľom a prevádzkovateľom, sprostredkovateľom alebo príjemcom v tretej krajine alebo medzinárodnej organizácii, alebo
b) ustanoveniami v administratívnych dohodách medzi orgánmi verejnej moci alebo verejnoprávnymi inštitúciami, ktoré zahŕňajú účinné prostriedky na uplatnenie práva dotknutej osoby na podanie návrhu na začatie konania podľa § 100 a na inú právnu ochranu podľa osobitného predpisu.19)
§ 49
Vnútropodnikové pravidlá
(1) Úrad schváli vnútropodnikové pravidlá, ak
a) sa vzťahujú na každého člena skupiny podnikov alebo zoskupenia podnikov zapojených do spoločnej hospodárskej činnosti vrátane ich zamestnancov a títo členovia ich uplatňujú,
b) sa nimi upravujú vnútorné postupy pre uplatnenie práv dotknutej osoby, ak ide o spracúvanie osobných údajov, a
c) spĺňajú požiadavky podľa odseku 2.
(2) Vo vnútropodnikových pravidlách sa uvedie aspoň
a) štruktúra a kontaktné údaje skupiny podnikov alebo zoskupenia podnikov zapojených do spoločnej hospodárskej činnosti a každého z ich členov,
b) prenos osobných údajov alebo súbor prenosov vrátane kategórií osobných údajov, typu spracúvania a jeho účelov, typu dotknutých osôb a identifikácia predmetnej tretej krajiny alebo krajín,
c) ich záväznosť pre prevádzkovateľa a sprostredkovateľa,
d) uplatňovanie všeobecných zásad ochrany osobných údajov, najmä obmedzenie účelu, minimalizácia osobných údajov, obmedzenie lehoty uchovávania, kvalita osobných údajov, špecificky navrhnutá a štandardná ochrana osobných údajov, právny základ pre spracúvanie osobných údajov, spracúvanie osobitných kategórií osobných údajov, opatrenia na zaistenie bezpečnosti osobných údajov, ako aj požiadavky v súvislosti s následnými prenosmi subjektom, ktoré nie sú viazané vnútropodnikovými pravidlami,
e) právo dotknutej osoby v súvislosti so spracúvaním osobných údajov a prostriedky na uplatnenie týchto práv vrátane práva na to, aby sa na ne nevzťahovalo rozhodovanie založené výlučne na automatizovanom spracúvaní vrátane profilovania podľa § 28, práva na podanie návrhu na začatie konania podľa § 100 a na inú právnu ochranu práva podľa osobitného predpisu19) a práva na náhradu škody za porušenie vnútropodnikových pravidiel,
f) vyhlásenie, že prevádzkovateľ alebo sprostredkovateľ so sídlom, organizačnou zložkou, prevádzkarňou alebo trvalým pobytom na území Slovenskej republiky prijíma zodpovednosť za porušenia vnútropodnikových pravidiel ktorýmkoľvek z dotknutých členov, ktorý nemá sídlo, organizačnú zložku, prevádzkareň alebo trvalý pobyt v členskom štáte; prevádzkovateľ alebo sprostredkovateľ je úplne oslobodený alebo čiastočne oslobodený od tejto zodpovednosti, len ak preukáže, že spôsobenú škodu nezavinil,
g) spôsob, akým sa okrem spôsobov podľa § 19 a 20 poskytujú dotknutej osobe informácie o vnútropodnikových pravidlách, najmä ak ide o ustanovenia podľa písmen d) až f),
h) úloha zodpovednej osoby alebo inej osoby alebo subjektu zodpovedného za monitorovanie dodržiavania vnútropodnikových pravidiel, ako aj za monitorovanie odbornej prípravy a vybavovania sťažností,
i) postup týkajúci sa podávania sťažností,
j) mechanizmus, ktorý má v rámci skupiny podnikov alebo zoskupenia podnikov zapojených do spoločnej hospodárskej činnosti zabezpečiť overovanie dodržiavania vnútropodnikových pravidiel a ktorý zahŕňa audity ochrany osobných údajov a metódy na zabezpečenie opatrení na nápravu s cieľom chrániť práva dotknutej osoby; výsledky overovania oznamujú zodpovednej osobe alebo subjektu uvedenému v písmene h) a štatutárnemu orgánu riadiaceho podniku skupiny podnikov alebo zoskupenia podnikov zapojených do spoločnej hospodárskej činnosti a na požiadanie poskytujú úradu,
k) mechanizmus ohlasovania a zaznamenávania zmien pravidiel a ohlasovania týchto zmien úradu,
l) mechanizmus spolupráce s úradom na zabezpečenie dodržiavania pravidiel, najmä poskytovania výsledkov overovania podľa písmena j) úradu,
m) mechanizmus ohlasovania právnych požiadaviek, ktorým prevádzkovateľ alebo sprostredkovateľ podlieha v tretej krajine a ktoré pravdepodobne budú mať podstatné nepriaznivé následky na záruky poskytované vnútropodnikovými pravidlami úradu, a
n) primeraná odborná príprava fyzických osôb, ktoré majú stály alebo pravidelný prístup k osobným údajom, v oblasti ochrany osobných údajov.
§ 50
Prenos alebo poskytnutie osobných údajov, ktoré právny poriadok v Slovenskej republike nepovoľuje
Rozhodnutie súdu, rozhodnutie tribunálu alebo rozhodnutie správneho orgánu tretej krajiny, ktoré od prevádzkovateľa alebo sprostredkovateľa vyžaduje preniesť osobné údaje alebo poskytnúť osobné údaje, môže byť uznané alebo vykonateľné len vtedy, ak je v súlade s medzinárodnou zmluvou uzavretou s treťou krajinou, ktorou je Slovenská republika alebo Európska únia viazaná.
§ 51
Výnimky pre osobitné situácie
(1) Ak neexistuje rozhodnutie o primeranosti podľa § 48 ods. 1 ani primerané záruky podľa § 48 ods. 2 až 4 vrátane vnútropodnikových pravidiel, prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii sa môže uskutočniť len vtedy, ak
a) dotknutá osoba vyjadrila výslovný súhlas s navrhovaným prenosom po tom, ako bola informovaná o možných rizikách takého prenosu z dôvodu neexistencie rozhodnutia o primeranosti a primeraných záruk,
b) prenos je nevyhnutný na plnenie zmluvy medzi dotknutou osobou a prevádzkovateľom alebo na vykonanie predzmluvných opatrení prijatých na žiadosť dotknutej osoby,
c) prenos je nevyhnutný na uzatvorenie zmluvy alebo plnenie zmluvy uzatvorenej v záujme dotknutej osoby medzi prevádzkovateľom a inou osobou,
d) prenos je nevyhnutný z verejného záujmu podľa osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná,
e) prenos je nevyhnutný na uplatnenie právneho nároku dotknutej osoby,
f) prenos je nevyhnutný na ochranu života, zdravia alebo majetku dotknutej osoby alebo inej fyzickej osoby, ak je dotknutá osoba fyzicky nespôsobilá alebo právne nespôsobilá vyjadriť súhlas, alebo
g) prenos sa uskutočňuje z registra, ktorý je podľa osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, určený na poskytovanie informácií verejnosti a do ktorého môže nahliadať verejnosť, pričom musia byť splnené podmienky nahliadania podľa tohto zákona, osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná.
(2) Ak prenos nemožno uskutočniť podľa § 48 a nemožno ani uplatniť žiadnu výnimku pre osobitnú situáciu podľa odseku 1, prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii sa môže uskutočniť len vtedy, ak
a) prenos nie je opakujúcej sa povahy,
b) prenos sa týka len obmedzeného počtu dotknutých osôb,
c) prenos je nevyhnutný na účel závažných oprávnených záujmov prevádzkovateľa, nad ktorými neprevažujú práva alebo záujmy dotknutej osoby, a
d) prevádzkovateľ posúdil okolnosti sprevádzajúce prenos osobných údajov a na základe tohto posúdenia poskytol vhodné záruky ochrany osobných údajov.
(3) Prevádzkovateľ je povinný o prenose podľa odseku 2 vopred informovať úrad. Prevádzkovateľ je okrem poskytnutia informácií podľa § 19 a 20 povinný informovať dotknutú osobu o prenose podľa odseku 2 a o svojich oprávnených záujmoch v lehotách podľa § 19 a 20. Prevádzkovateľ alebo sprostredkovateľ zdokumentujú posúdenie, ako aj vhodné záruky v záznamoch o spracovateľských činnostiach podľa § 37.
(4) Prenos podľa odseku 1 písm. g) nesmie zahŕňať osobné údaje alebo celé kategórie osobných údajov, ktoré obsahuje register. Ak je register určený na nahliadanie pre osoby s oprávneným záujmom, prenos sa môže uskutočniť iba na žiadosť týchto osôb alebo vtedy, keď majú byť tieto osoby príjemcami.
(5) Odsek 1 písm. a) až c) a odsek 2 sa nevzťahujú na činnosti, ktoré vykonávajú orgány verejnej moci pri výkone verejnej moci.
TRETIA ČASŤ
Osobitné pravidlá ochrany osobných údajov fyzických osôb pri ich spracúvaní príslušnými orgánmi
PRVÁ HLAVA
Zásady spracúvania osobných údajov
§ 52
Na postup príslušných orgánov pri spracúvaní osobných údajov na plnenie úloh na účely trestného konania sa vzťahujú § 6, § 8, § 9, § 11, § 12 a § 13 ods. 2 rovnako.
§ 53
Zásada obmedzenia účelu
Osobné údaje musia byť získavané na konkrétne určený, výslovne uvedený a oprávnený účel a nesmú sa ďalej spracúvať spôsobom, ktorý nie je zlučiteľný s týmto účelom; ten istý príslušný orgán alebo iný príslušný orgán je oprávnený spracúvať osobné údaje na archiváciu, na vedecký účel, na účel historického výskumu alebo na štatistický účel v súvislosti s plnením úloh na účely trestného konania, ak prijme primerané záruky ochrany práv dotknutej osoby.
§ 54
Zásada minimalizácie uchovávania
Osobné údaje musia byť uchovávané vo forme, ktorá umožňuje identifikáciu dotknutej osoby najneskôr dovtedy, kým je to potrebné na účel, na ktorý sa osobné údaje spracúvajú.
§ 55
Zákonnosť spracúvania
(1) Príslušný orgán je oprávnený spracúvať osobné údaje na plnenie úloh na účely trestného konania podľa tohto zákona, osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná.
(2) Spracúvať osobné údaje na plnenie úloh na účely trestného konania, ktoré boli pôvodne získané na iný účel, je možné, ak spracúvanie osobných údajov je na účel trestného konania nevyhnutné a primerané.
(3) Príslušný orgán je oprávnený osobné údaje spracúvať aj na iný účel, ako je plnenie úloh na účely trestného konania, ak to je zlučiteľné s účelom, na ktorý sa zhromaždili, a ak spracúvanie je na tento iný účel nevyhnutné a primerané. Na spracúvanie osobných údajov na iný účel sa vzťahuje osobitný predpis,2) ak ide o spracúvanie osobných údajov v rámci činnosti, ktorá patrí do pôsobnosti práva Európskej únie; ak nejde o spracúvanie v rámci činnosti, ktorá patrí do pôsobnosti práva Európskej únie, na spracúvanie osobných údajov na iný účel sa vzťahuje tento zákon okrem tejto časti.
(4) Ak príslušný orgán vykonáva iné činnosti, ako je plnenie úloh na účely trestného konania, na spracúvanie osobných údajov na iné činnosti sa vzťahuje osobitný predpis,2) ak ide o spracúvanie osobných údajov v rámci činnosti, ktorá patrí do pôsobnosti práva Európskej únie; ak nejde o spracúvanie osobných údajov v rámci činnosti, ktorá patrí do pôsobnosti práva Európskej únie, na spracúvanie osobných údajov na iné činnosti sa vzťahuje tento zákon okrem tejto časti.
§ 56
Spracúvanie osobitných kategórií osobných údajov
(1) Osobitné kategórie osobných údajov môže príslušný orgán spracúvať len vtedy, ak
a) ich preukázateľne poskytla dotknutá osoba,
b) je ich spracúvanie nevyhnutné podľa osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, alebo
c) je ich spracúvanie nevyhnutné na ochranu života, zdravia alebo majetku dotknutej osoby alebo inej fyzickej osoby.
(2) Príslušný orgán musí pri spracúvaní osobitných kategórií osobných údajov prijať primerané záruky na ochranu práv dotknutej osoby.
§ 57
Kategórie dotknutých osôb
Príslušný orgán je, ak je to možné, povinný rozlišovať medzi osobnými údajmi rôznych kategórií dotknutých osôb, ako sú najmä
a) osoby, u ktorých sa možno odôvodnene domnievať, že spáchali alebo majú v úmysle spáchať trestný čin,
b) osoby odsúdené za spáchanie trestného činu,
c) obete trestného činu alebo osoby, u ktorých sú na základe určitých skutočností dôvody domnievať sa, že sú alebo by mohli byť obeťami trestného činu,
d) iné tretie osoby v súvislosti s trestným činom, a to najmä osoby, ktoré môžu byť vyzvané, aby svedčili v rámci trestného konania, osoby, ktoré môžu poskytnúť informácie o trestných činoch, alebo kontaktné osoby alebo spoločníci niektorej z osôb podľa písmen a) a b).
§ 58
Pôvod a pravdivosť osobných údajov
(1) Príslušný orgán označí, ak je to možné, osobné údaje založené na skutočnostiach a osobné údaje založené na osobných hodnoteniach.
(2) Príslušný orgán pred poskytnutím osobných údajov alebo pred prenosom osobných údajov overí ich správnosť, úplnosť a aktuálnosť, ak je to možné, a prijme opatrenia na zabezpečenie toho, aby sa neposkytovali alebo neprenášali osobné údaje, ktoré sú nesprávne, neúplné alebo neaktuálne.
(3) Príslušný orgán k poskytnutiu a prenosu osobných údajov pripojí dostupné informácie, ktoré umožnia prijímajúcemu príslušnému orgánu posúdiť ich mieru správnosti, úplnosti, aktuálnosti a spoľahlivosti, ak to okolnosti dovoľujú. Nesprávne osobné údaje príslušný orgán nemôže poskytovať a prenášať; neoverené osobné údaje príslušný orgán musí pri poskytovaní alebo prenose takto označiť a musí uviesť mieru ich spoľahlivosti. Ak príslušný orgán neoprávnene poskytne osobné údaje alebo neoprávnene prenesie osobné údaje alebo poskytne nesprávne osobné údaje alebo prenesie nesprávne osobné údaje, je povinný bez zbytočného odkladu informovať príjemcu a žiadať príjemcov osobných údajov, ktorým sa také osobné údaje poskytli, aby ich bez zbytočného odkladu opravili, doplnili, vymazali alebo aby obmedzili spracúvanie takých osobných údajov.
DRUHÁ HLAVA
Práva dotknutej osoby
§ 59
Na postup príslušných orgánov pri spracúvaní osobných údajov na plnenie úloh na účely trestného konania sa vzťahuje § 29 rovnako.
§ 60
Informácie, ktoré sa majú sprístupniť alebo poskytnúť dotknutej osobe
(1) Príslušný orgán na svojom webovom sídle sprístupní najmä
a) svoje identifikačné údaje a kontaktné údaje,
b) kontaktné údaje zodpovednej osoby,
c) informácie o účele spracúvania, na ktoré sú osobné údaje určené,
d) kontaktné údaje úradu,
e) informácie o práve podať návrh na začatie konania podľa § 100,
f) informácie o práve žiadať od príslušného orgánu prístup k osobným údajom, ktoré sa dotknutej osoby týkajú, ich opravu, vymazanie alebo obmedzenie ich spracúvania.
(2) Na žiadosť dotknutej osoby je príslušný orgán povinný poskytnúť v osobitných prípadoch dotknutej osobe informácie o
a) právnom základe spracúvania osobných údajov,
b) dobe uchovávania osobných údajov; ak to nie je možné, informáciu o kritériách jej určenia,
c) kategóriách príjemcov osobných údajov, a to aj v tretej krajine a medzinárodnej organizácii,
d) o iných skutočnostiach, najmä ak sa osobné údaje získali bez vedomia dotknutej osoby.
§ 61
Právo na prístup k osobným údajom
Dotknutá osoba má právo získať od príslušného orgánu potvrdenie o tom, či sa spracúvajú osobné údaje, ktoré sa jej týkajú, a ak to tak je, má právo získať prístup k týmto osobným údajom a informácie o
a) účele spracúvania osobných údajov a právnom základe spracúvania osobných údajov,
b) kategórii spracúvaných osobných údajov,
c) príjemcovi alebo kategórii príjemcov, ktorým boli alebo majú byť osobné údaje poskytnuté, najmä o príjemcovi v tretej krajine alebo o medzinárodnej organizácii,
d) dobe uchovávania osobných údajov; ak to nie je možné, informáciu o kritériách jej určenia,
e) práve žiadať od príslušného orgánu opravu osobných údajov týkajúcich sa dotknutej osoby alebo ich vymazanie alebo obmedzenie spracúvania osobných údajov alebo práve namietať spracúvanie osobných údajov,
f) kontaktných údajoch úradu,
g) práve podať návrh na začatie konania podľa § 100,
h) zdroji osobných údajov, ak sú dostupné.
§ 62
Právo na opravu osobných údajov, právo na vymazanie osobných údajov a obmedzenie týchto práv
(1) Dotknutá osoba má právo na to, aby príslušný orgán bez zbytočného odkladu opravil nesprávne osobné údaje, ktoré sa jej týkajú. So zreteľom na účel spracúvania osobných údajov má dotknutá osoba právo na doplnenie neúplných osobných údajov.
(2) Dotknutá osoba má právo na to, aby príslušný orgán bez zbytočného odkladu vymazal osobné údaje, ktoré sa jej týkajú, a príslušný orgán je povinný bez zbytočného odkladu vymazať osobné údaje, ak
a) spracúvanie osobných údajov je v rozpore so zásadami spracúvania osobných údajov podľa § 52 až 55,
b) spracúvanie osobných údajov je v rozpore s § 56, alebo
c) výmaz osobných údajov je nevyhnutný na účel splnenia povinností podľa tohto zákona, osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná.
(3) Namiesto vymazania príslušný orgán obmedzí spracúvanie osobných údajov, ak
a) dotknutá osoba napadla správnosť osobných údajov a ich správnosť alebo nesprávnosť nemožno určiť, alebo
b) osobné údaje sa musia zachovať na účely dokazovania.
(4) Ak je obmedzené spracúvanie osobných údajov podľa odseku 3 písm. a), príslušný orgán je povinný pred zrušením obmedzenia spracúvania osobných údajov o tom dotknutú osobu informovať.
(5) Príslušný orgán je povinný písomne informovať dotknutú osobu o zamietnutí práva na opravu podľa odseku 1, práva na vymazanie podľa odseku 2 alebo obmedzenie spracúvania osobných údajov podľa odseku 3 a o dôvodoch zamietnutia.
§ 63
Obmedzenie poskytnutia informácií a práv dotknutej osoby
(1) Príslušný orgán môže odložiť poskytnutie informácií, obmedziť poskytnutie informácií alebo upustiť od poskytnutia informácií podľa § 60 ods. 2, úplne alebo čiastočne obmedziť právo na prístup podľa § 61 alebo môže úplne alebo čiastočne obmedziť povinnosť informovať podľa § 62 ods. 5, ak
a) by mohlo dôjsť k ovplyvňovaniu alebo mareniu úradného postupu alebo súdneho postupu alebo šetrenia,
b) by mohlo dôjsť k ohrozeniu plnenia úloh na účely trestného konania,
c) je to potrebné na zabezpečenie ochrany verejného poriadku alebo bezpečnosti štátu, alebo
d) je to potrebné na ochranu práv iných osôb.
(2) Osobitný predpis môže ustanoviť kategórie spracúvania osobných údajov, na ktoré sa vzťahuje odsek 1.
(3) Príslušný orgán je povinný písomne informovať dotknutú osobu o zamietnutí práva na prístup alebo obmedzení práva na prístup podľa § 61 a o dôvodoch tohto zamietnutia alebo obmedzenia; to neplatí, ak by sa poskytnutím takej informácie ohrozil účel podľa odseku 1.
(4) Príslušný orgán musí zdokumentovať skutkové dôvody alebo právne dôvody, na základe ktorých sa obmedzilo právo na prístup podľa § 61, a poskytnúť ich na požiadanie úradu.
(5) Ak príslušný orgán obmedzí poskytnutie informácií alebo obmedzí právo dotknutej osoby podľa odseku 1, je povinný dotknutú osobu písomne informovať o možnosti podania návrhu na začatie konania podľa § 100 vrátane možnosti uplatnenia práva na preverenie zákonnosti postupov príslušného orgánu podľa odsekov 1 a 3 úradom a o možnosti uplatnenia práv dotknutej osoby na inú právnu ochranu.19)
§ 64
Oznámenie opravy, vymazania alebo obmedzenia spracúvania osobných údajov
Príslušný orgán je povinný oznámiť opravu nesprávnych osobných údajov príslušnému orgánu, od ktorého nesprávne osobné údaje získal. Ak príslušný orgán nesprávne osobné údaje opraví, vymaže nesprávne osobné údaje alebo obmedzí ich spracúvanie podľa § 62 ods. 1 až 3, informuje o tom príjemcu, ktorý je také osobné údaje povinný opraviť, vymazať alebo obmedziť ich spracúvanie.
§ 65
Ustanovenia § 61 až 64 sa neuplatňujú, ak ide o osobné údaje, ktoré sú súčasťou vyšetrovacieho spisu alebo súdneho spisu v rámci trestného konania; práva uvedené v týchto ustanoveniach sa vykonávajú podľa osobitného predpisu.21)
§ 66
Automatizované individuálne rozhodovanie
(1) Rozhodnutie príslušného orgánu, ktoré má na dotknutú osobu nepriaznivé právne účinky, nesmie byť založené výlučne na automatizovanom spracúvaní osobných údajov vrátane profilovania, ak osobitný predpis alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná, neustanovuje inak. Osobitým predpisom alebo medzinárodnou zmluvou, ktorou je Slovenská republika viazaná, musia byť ustanovené primerané záruky ochrany práv dotknutej osoby, najmä právo na overenie rozhodnutia nie automatizovaným spôsobom zo strany príslušného orgánu.
(2) Rozhodnutie podľa odseku 1 nesmie byť založené na osobitných kategóriách osobných údajov, ak sa neuplatňujú vhodné opatrenia na zaručenie práv a oprávnených záujmov dotknutej osoby.
(3) Profilovanie, ktoré vedie k diskriminácii osôb na základe osobitných kategórií osobných údajov, sa zakazuje.
TRETIA HLAVA
Práva a povinnosti príslušného orgánu a sprostredkovateľa
§ 67
Na postup príslušných orgánov pri spracúvaní osobných údajov na plnenie úloh na účely trestného konania sa vzťahujú § 31, § 32, § 33 ods. 1 a 3, § 34, § 36, § 37, § 39 až 41, § 42 ods. 1 až 5 a 7 a § 44 až 46 rovnako.
§ 68
(1) Príslušný orgán raz za tri roky preverí, či sú spracúvané osobné údaje naďalej potrebné na plnenie úloh na účely trestného konania, ak osobitný predpis neustanovuje inak.
(2) Príslušný orgán vedie záznamy o spracovateľských činnostiach, za ktoré je zodpovedný. Záznamy o spracovateľských činnostiach musia obsahovať okrem informácií podľa § 37 aj informácie o
a) použití profilovania, ak príslušný orgán zamýšľa profilovanie,
b) právnom základe pre spracovateľské operácie vrátane prenosu, pre ktorý sú osobné údaje určené.
§ 69
Vedenie logov
(1) Príslušný orgán pri získavaní, zmene, prehliadaní, poskytovaní vrátane prenosu, kombinovaní a vymazaní osobných údajov v systéme automatizovaného spracúvania uchováva logy. Z logov o prehliadaní a poskytovaní musí byť možné určiť dôvod, dátum a čas prehliadania alebo poskytovania a identifikačné údaje osoby, ktorá tieto osobné údaje prehliadala alebo ich poskytovala, ako aj totožnosť príjemcov.
(2) Príslušný orgán využíva a uchováva logy výlučne na účely overovania zákonnosti spracúvania osobných údajov, vlastného monitorovania, na účely zabezpečenia integrity a bezpečnosti osobných údajov a na účely trestného konania.
(3) Príslušný orgán a sprostredkovateľ príslušného orgánu na požiadanie sprístupnia logy úradu, ak sú dostupné.
§ 70
Predchádzajúca konzultácia
(1) Príslušný orgán uskutoční s úradom konzultáciu pred spracúvaním osobných údajov, ktoré má tvoriť súčasť nového informačného systému, ak je z posúdenia vplyvu na ochranu osobných údajov podľa § 42 zrejmé, že toto spracúvanie povedie k vysokému riziku pre práva fyzických osôb, ak príslušný orgán neprijme opatrenia na zmiernenie tohto rizika alebo sa s typom spracúvania, najmä s využitím nových technológií, mechanizmov alebo postupov, spája vysoké riziko porušenia práv dotknutej osoby.
(2) Príslušný orgán spolu so žiadosťou o predchádzajúcu konzultáciu poskytne úradu aj posúdenie vplyvu na ochranu osobných údajov podľa § 42, ktoré vykonal, a na požiadanie úradu aj ďalšie informácie, ktoré úradu umožnia posúdiť súlad spracúvania osobných údajov s týmto zákonom a najmä riziká z hľadiska ochrany osobných údajov dotknutej osoby a súvisiacich záruk.
(3) Ak sa úrad domnieva, že by zamýšľané spracúvanie osobných údajov podľa odseku 1 bolo nezákonné, najmä ak príslušný orgán nedostatočne identifikoval riziko alebo zmiernil riziko, úrad do šiestich týždňov od prijatia žiadosti o konzultáciu poskytne príslušnému orgánu, prípadne aj sprostredkovateľovi, písomné poradenstvo. Úrad môže s ohľadom na zložitosť zamýšľaného spracúvania osobných údajov predĺžiť lehotu podľa predchádzajúcej vety o jeden mesiac; predĺženie lehoty a dôvody predĺženia úrad oznámi prevádzkovateľovi, prípadne aj sprostredkovateľovi, do jedného mesiaca od prijatia žiadosti o konzultáciu. Lehota na poskytnutie poradenstva úradom neplynie dovtedy, kým úrad nezíska informácie, o ktoré požiadal na účely predchádzajúcej konzultácie.
(4) Ďalšie spracovateľské operácie pre príslušný orgán, ktoré podliehajú povinnosti uskutočniť predchádzajúce konzultácie podľa odseku 1, ustanoví všeobecne záväzný právny predpis, ktorý vydá úrad.
§ 71
Bezpečnosť spracúvania osobných údajov
Príslušný orgán alebo sprostredkovateľ príslušného orgánu pri automatizovanom spracúvaní osobných údajov prijme na základe vyhodnotenia rizík opatrenia na
a) kontrolu prístupu k zariadeniam, aby sa zabránilo neoprávnenému prístupu k zariadeniam na spracúvanie osobných údajov, ktoré sa používajú na spracúvanie,
b) kontrolu nosičov osobných údajov, aby sa zabránilo neoprávnenému čítaniu nosičov osobných údajov, kopírovaniu nosičov osobných údajov, pozmeňovaniu nosičov osobných údajov alebo odstráneniu nosičov osobných údajov,
c) kontrolu uchovávania osobných údajov, aby sa zabránilo neoprávnenému vkladaniu osobných údajov do informačného systému a neoprávnenému prehliadaniu osobných údajov v informačnom systéme, pozmeňovaniu osobných údajov v informačnom systéme alebo vymazaniu osobných údajov z informačného systému,
d) kontrolu užívateľa informačného systému, aby sa zabránilo použitiu systémov automatizovaného spracúvania neoprávnenými osobami pomocou zariadenia na prenos osobných údajov,
e) kontrolu prístupu k osobným údajom, aby sa zabezpečilo, že osoby oprávnené používať systém automatizovaného spracúvania budú mať prístup iba k tým osobným údajom, na ktoré sa vzťahuje ich oprávnenie na prístup,
f) kontrolu prenosu údajov, aby sa zabezpečila možnosť overiť a zistiť subjekty, ktorým sa preniesli osobné údaje alebo poskytli osobné údaje, alebo overiť a zistiť subjekty, ktorým sa môžu preniesť osobné údaje, alebo poskytnúť osobné údaje prostredníctvom zariadenia na prenos osobných údajov,
g) kontrolu vkladania údajov do informačného systému, aby sa zabezpečilo, že bude možné overiť a zistiť, aké osobné údaje sa vložili do systému automatizovaného spracúvania, a kedy a kto ich tam vložil,
h) kontrolu prepravy osobných údajov, aby sa zabránilo neoprávnenému čítaniu osobných údajov, kopírovaniu osobných údajov, pozmeňovaniu osobných údajov alebo vymazaniu osobných údajov počas ich prenosu alebo počas prepravy nosiča osobných údajov,
i) obnovu osobných údajov, aby sa zabezpečilo, že sa inštalované systémy obnovia, ak dôjde k ich prerušeniu,
j) zabezpečenie spoľahlivosti informačného systému, aby sa zabezpečilo, že funkcie tohto systému fungujú a hlási sa výskyt chýb v jeho funkciách,
k) zabezpečenie integrity informačného systému, aby sa uchovávané osobné údaje nemohli poškodiť, ak nastane porucha tohto systému.
§ 72
Oznámenie porušenia ochrany osobných údajov
(1) Príslušný orgán je povinný bez zbytočného odkladu oznámiť informácie podľa § 40 ods. 4 orgánu členského štátu príslušnému na plnenie úloh na účely trestného konania, ak porušenie ochrany osobných údajov zahŕňa osobné údaje, ktorých prenos vykonal orgán členského štátu príslušný na plnenie úloh na účely trestného konania alebo ktoré boli prenesené takému orgánu.
(2) Príslušný orgán môže odložiť oznámenie o porušení ochrany osobných údajov, obmedziť oznámenie o porušení ochrany osobných údajov alebo upustiť od oznámenia porušenia ochrany osobných údajov dotknutej osobe podľa § 41, ak
a) by mohlo dôjsť k ovplyvňovaniu alebo mareniu úradného postupu alebo súdneho postupu alebo šetrenia,
b) by mohlo dôjsť k ohrozeniu plnenia úloh na účely trestného konania,
c) je to potrebné na zabezpečenie ochrany verejného poriadku alebo bezpečnosti štátu, alebo
d) je to potrebné na ochranu práv iných osôb.
ŠTVRTÁ HLAVA
Prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii
§ 73
(1) Na postup príslušných orgánov pri spracúvaní osobných údajov na plnenie úloh na účely trestného konania sa vzťahujú § 48 ods. 1 a § 50 rovnako.
(2) Prenos osobných údajov medzi príslušnými orgánmi a orgánmi členských štátov príslušnými na plnenie úloh na účely trestného konania sa zaručuje, ak sa taký prenos vyžaduje podľa osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná.
§ 74
Všeobecné zásady prenosu osobných údajov
(1) Prenos osobných údajov, ktoré sa spracúvajú alebo sú určené na spracúvanie po prenose do tretej krajiny alebo medzinárodnej organizácii, vrátane následného prenosu do ďalšej tretej krajiny či ďalšej medzinárodnej organizácii príslušný orgán môže uskutočniť len vtedy, ak
a) je prenos potrebný na plnenie úloh na účely trestného konania,
b) sa osobné údaje prenášajú prevádzkovateľovi v tretej krajine alebo medzinárodnej organizácii, ktorý je orgánom príslušným na plnenie úloh na účely trestného konania, ak nie je v § 77 ods. 1 ustanovené inak,
c) členský štát vydal povolenie na prenos v súlade so svojím vnútroštátnym právom, ak sa prenesú osobné údaje alebo poskytnú osobné údaje z iného členského štátu, ešte pred uskutočnením prenosu,
d) Komisia prijala rozhodnutie o primeranosti podľa § 48 ods. 1 alebo boli poskytnuté alebo existujú primerané záruky podľa § 75 alebo platia výnimky pre osobitné situácie podľa § 76,
e) pri následnom prenose do ďalšej tretej krajiny alebo medzinárodnej organizácii príslušný orgán, ktorý uskutočnil pôvodný prenos, alebo iný príslušný orgán v Slovenskej republike vydá povolenie na následný prenos, a to po náležitom zohľadnení relevantných faktorov vrátane závažnosti trestného činu, účelu, na ktorý sa osobné údaje pôvodne preniesli, a úrovne ochrany osobných údajov v tretej krajine alebo medzinárodnej organizácii, do ktorej sa osobné údaje následne prenášajú.
(2) Prenos bez predchádzajúceho povolenia členského štátu podľa odseku 1 písm. c) možno uskutočniť len vtedy, ak je prenos nevyhnutný na zabránenie bezprostrednému a vážnemu ohrozeniu verejnej bezpečnosti členského štátu alebo tretej krajiny, alebo základných záujmov členského štátu a predchádzajúce povolenie nie je možné získať včas; orgán zodpovedný za vydanie predchádzajúceho povolenia sa o tom musí informovať bez zbytočného odkladu.
(3) Ak príslušný orgán uskutočňuje prenos osobných údajov, na ktorých spracúvanie sa podľa osobitného predpisu vzťahujú osobitné podmienky spracúvania, musí o podmienkach a požiadavke dodržiavať ich informovať príjemcu. Pri prenose osobných údajov príjemcovi v inom členskom štáte alebo agentúre, úradu alebo orgánu Európskej únie nemôže príslušný orgán uplatňovať iné podmienky, ako sa uplatňujú na prenos osobných údajov v rámci Slovenskej republiky.
§ 75
Primerané záruky
(1) Ak neexistuje rozhodnutie Komisie o primeranosti podľa § 48 ods. 1, príslušný orgán môže uskutočniť prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii len vtedy, ak
a) osobitný predpis alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná, poskytuje primerané záruky ochrany osobných údajov, alebo
b) príslušný orgán posúdil okolnosti prenosu osobných údajov a dospel k záveru, že existujú primerané záruky ochrany osobných údajov.
(2) Príslušný orgán informuje úrad o kategóriách prenosov podľa odseku 1 písm. b).
(3) Ak príslušný orgán uskutočňuje prenos podľa odseku 1 písm. b), musí sa taký prenos zdokumentovať; dokumentácia sa na žiadosť poskytne úradu. V dokumentácii musí byť uvedený dátum a čas prenosu, informácie o prijímajúcom príslušnom orgáne, odôvodnenie prenosu osobných údajov a prenášané osobné údaje.
(4) Rozhodnutím Komisie o zrušení, zmene alebo pozastavení svojho rozhodnutia o primeranosti podľa § 48 ods. 1 nie je dotknutý prenos osobných údajov podľa odseku 1 a § 76.
§ 76
Výnimky pre osobitné situácie
(1) Ak neexistuje rozhodnutie Komisie o primeranosti podľa § 48 ods. 1 ani primerané záruky podľa § 75, prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii môže príslušný orgán uskutočniť len vtedy, ak je prenos nevyhnutný
a) na ochranu života, zdravia alebo majetku dotknutej osoby, alebo inej fyzickej osoby,
b) na zabezpečenie oprávnených záujmov dotknutej osoby, ak tak ustanovuje osobitný predpis alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná,
c) na predídenie bezprostredného a vážneho ohrozenia verejnej bezpečnosti členského štátu alebo tretej krajiny,
d) v osobitných prípadoch na plnenie úloh na účely trestného konania, alebo
e) v osobitných prípadoch na uplatnenie právneho nároku súvisiaceho s plnením úloh na účely trestného konania.
(2) Prenos osobných údajov podľa odseku 1 sa nesmie uskutočniť, ak príslušný orgán, ktorý prenos uskutočňuje, určí, že práva dotknutej osoby prevažujú nad verejným záujmom na prenose podľa odseku 1 písm. d) a e).
(3) Ak sa prenos osobných údajov uskutočňuje podľa odseku 1, musí sa taký prenos zdokumentovať; dokumentácia sa na žiadosť poskytne úradu. V dokumentácii musí byť uvedený dátum a čas prenosu, informácie o prijímajúcom príslušnom orgáne, odôvodnenie prenosu osobných údajov a prenášané osobné údaje.
§ 77
Prenos osobných údajov príjemcovi z tretej krajiny
(1) Príslušný orgán v osobitných prípadoch môže uskutočniť prenos osobných údajov príjemcovi so sídlom, miestom podnikania, organizačnou zložkou, prevádzkarňou alebo trvalým pobytom v tretej krajine, ak okrem iných podmienok prenosu osobných údajov ustanovených týmto zákonom
a) je prenos nevyhnutný na plnenie úlohy na účely trestného konania príslušného orgánu, ktorý prenos uskutočňuje,
b) príslušný orgán, ktorý prenos uskutočňuje, určí, že žiadne práva dotknutej osoby neprevažujú nad verejným záujmom, z ktorého v danom prípade vyplynula nevyhnutnosť prenosu,
c) príslušný orgán, ktorý prenos uskutočňuje, sa domnieva, že prenos orgánu, ktorý je v tretej krajine príslušný na plnenie úloh na účely trestného konania, je neefektívny alebo nevhodný, najmä preto, že prenos nemožno dosiahnuť v primeranom čase,
d) orgán, ktorý je v tretej krajine príslušný na plnenie úloh na účely trestného konania, je bez zbytočného odkladu informovaný, okrem prípadov, ak je také opatrenie neúčinné alebo nevhodné, a
e) príslušný orgán, ktorý prenos uskutočňuje, informuje príjemcu o konkrétnom účele alebo účeloch, na ktoré má príjemca tieto osobné údaje výlučne spracúvať, ak je také spracúvanie nevyhnutné.
(2) Prenosom príjemcovi z tretej krajiny podľa odseku 1 nie je dotknutá medzinárodná zmluva, ktorou je Slovenská republika viazaná v oblasti justičnej spolupráce v trestných veciach a policajnej spolupráce.
(3) Príslušný orgán, ktorý uskutočňuje prenos podľa odseku 1, musí o tom informovať úrad.
(4) Ak príslušný orgán uskutočňuje prenos podľa odseku 1, je povinný ho zdokumentovať.
ŠTVRTÁ ČASŤ
Osobitné situácie zákonného spracúvania osobných údajov
§ 78
(1) Prevádzkovateľ môže spracúvať osobné údaje bez súhlasu dotknutej osoby aj vtedy, ak spracúvanie osobných údajov je nevyhnutné na akademický účel, umelecký účel alebo literárny účel; to neplatí, ak spracúvaním osobných údajov na taký účel prevádzkovateľ porušuje právo dotknutej osoby na ochranu jej osobnosti alebo právo na ochranu súkromia alebo také spracúvanie osobných údajov bez súhlasu dotknutej osoby vylučuje osobitný predpis alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná.
(2) Prevádzkovateľ môže spracúvať osobné údaje bez súhlasu dotknutej osoby aj vtedy, ak spracúvanie osobných údajov je nevyhnutné pre potreby informovania verejnosti masovokomunikačnými prostriedkami a ak osobné údaje spracúva prevádzkovateľ, ktorému to vyplýva z predmetu činnosti; to neplatí, ak spracúvaním osobných údajov na taký účel prevádzkovateľ porušuje právo dotknutej osoby na ochranu jej osobnosti alebo právo na ochranu súkromia alebo také spracúvanie osobných údajov bez súhlasu dotknutej osoby vylučuje osobitný predpis alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná.
(3) Prevádzkovateľ, ktorý je zamestnávateľom dotknutej osoby, je oprávnený poskytovať jej osobné údaje alebo zverejniť jej osobné údaje v rozsahu titul, meno, priezvisko, pracovné zaradenie, služobné zaradenie, funkčné zaradenie, osobné číslo zamestnanca alebo zamestnanecké číslo zamestnanca, odborný útvar, miesto výkonu práce, telefónne číslo, faxové číslo, adresa elektronickej pošty na pracovisko a identifikačné údaje zamestnávateľa, ak je to potrebné v súvislosti s plnením pracovných povinností, služobných povinností alebo funkčných povinností dotknutej osoby. Poskytovanie osobných údajov alebo zverejnenie osobných údajov nesmie narušiť vážnosť, dôstojnosť a bezpečnosť dotknutej osoby.
(4) Pri spracúvaní osobných údajov možno využiť na účely identifikovania fyzickej osoby všeobecne použiteľný identifikátor podľa osobitného predpisu22) len vtedy, ak jeho využitie je nevyhnutné na dosiahnutie daného účelu spracúvania. Súhlas so spracúvaním všeobecne použiteľného identifikátora musí byť výslovný a nesmie ho vylučovať osobitný predpis, ak ide o jeho spracúvanie na právnom základe súhlasu dotknutej osoby. Zverejňovať všeobecne použiteľný identifikátor sa zakazuje; to neplatí, ak všeobecne použiteľný identifikátor zverejní sama dotknutá osoba.
(5) Prevádzkovateľ môže spracúvať genetické údaje, biometrické údaje a údaje týkajúce sa zdravia aj na právnom základe osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná.
(6) Osobné údaje o dotknutej osobe možno získať od inej fyzickej osoby a spracúvať v informačnom systéme len s predchádzajúcim písomným súhlasom dotknutej osoby; to neplatí, ak poskytnutím osobných údajov o dotknutej osobe do informačného systému iná fyzická osoba chráni svoje práva alebo právom chránené záujmy, oznamuje skutočnosti, ktoré odôvodňujú uplatnenie právnej zodpovednosti dotknutej osoby, alebo sa osobné údaje spracúvajú na základe osobitného zákona podľa § 13 ods. 1 písm. c) a e). Ten, kto také osobné údaje spracúva, musí vedieť preukázať úradu na jeho žiadosť, že ich získal v súlade s týmto zákonom.
(7) Ak dotknutá osoba nežije, súhlas vyžadovaný podľa tohto zákona alebo osobitného predpisu2) môže poskytnúť jej blízka osoba.23) Súhlas nie je platný, ak čo len jedna blízka osoba písomne vyslovila nesúhlas.
(8) Pri spracúvaní osobných údajov na účel archivácie, na vedecký účel, na účel historického výskumu alebo na štatistický účel je prevádzkovateľ a sprostredkovateľ povinný prijať primerané záruky pre práva dotknutej osoby. Tieto záruky obsahujú zavedenie primeraných a účinných technických a organizačných opatrení najmä na zabezpečenie dodržiavania zásady minimalizácie údajov a pseudonymizácie.
(9) Ak sa osobné údaje spracúvajú na vedecký účel, účel historického výskumu alebo na štatistický účel, môžu byť práva dotknutej osoby podľa § 21, § 22, § 24 a 27 alebo podľa osobitného predpisu24) obmedzené osobitným predpisom alebo medzinárodnou zmluvou, ktorou je Slovenská republika viazaná, ak sú prijaté primerané podmienky a záruky podľa odseku 6, ak by tieto práva dotknutej osoby pravdepodobne znemožnili alebo závažným spôsobom sťažili dosiahnutie týchto účelov a také obmedzenie práv dotknutej osoby je nevyhnutné na dosiahnutie týchto účelov.
(10) Ak sa osobné údaje spracúvajú na účel archivácie, môžu byť práva dotknutej osoby podľa § 21, § 22 a § 24 až 27 alebo podľa osobitného predpisu25) obmedzené osobitným predpisom, ak sú prijaté primerané podmienky a záruky podľa odseku 6, ak by tieto práva dotknutej osoby pravdepodobne znemožnili alebo závažným spôsobom sťažili dosiahnutie týchto účelov a také obmedzenie práv dotknutej osoby je nevyhnutné na dosiahnutie týchto účelov.
(11) Prevádzkovateľ a sprostredkovateľ pri prijímaní bezpečnostných opatrení a pri posudzovaní vplyvu na ochranu osobných údajov postupuje primerane podľa medzinárodných noriem a štandardov bezpečnosti.
Mlčanlivosť
§ 79
(1) Prevádzkovateľ a sprostredkovateľ je povinný zachovávať mlčanlivosť o osobných údajoch, ktoré spracúva. Povinnosť mlčanlivosti trvá aj po ukončení spracúvania osobných údajov.
(2) Prevádzkovateľ a sprostredkovateľ je povinný zaviazať mlčanlivosťou o osobných údajoch fyzické osoby, ktoré prídu do styku s osobnými údajmi u prevádzkovateľa alebo sprostredkovateľa. Povinnosť mlčanlivosti podľa prvej vety musí trvať aj po skončení pracovného pomeru, štátnozamestnaneckého pomeru, služobného pomeru alebo obdobného pracovného vzťahu tejto fyzickej osoby.
(3) Povinnosť mlčanlivosti podľa odsekov 1 a 2 neplatí, ak je to nevyhnutné na plnenie úloh súdu a orgánov činných v trestnom konaní podľa osobitného zákona; tým nie sú dotknuté ustanovenia o mlčanlivosti podľa osobitných predpisov.26)
(4) Ustanovenia o povinnosti mlčanlivosti podľa odsekov 1 a 2, § 45 ods. 5 sa nepoužijú vo vzťahu k úradu pri plnení jeho úloh podľa tohto zákona alebo osobitného predpisu.2)
PIATA ČASŤ
Úrad
PRVÁ HLAVA
Postavenie, pôsobnosť a organizácia úradu
§ 80
Postavenie úradu
(1) Úrad je orgánom štátnej správy s celoslovenskou pôsobnosťou, ktorý sa podieľa na ochrane základných práv fyzických osôb pri spracúvaní osobných údajov a ktorý vykonáva dozor nad ochranou osobných údajov vrátane dozoru nad ochranou osobných údajov spracúvaných príslušnými orgánmi pri plnení úloh na účely trestného konania, ak nie je v § 81 ods. 7 a 8 ustanovené inak.
(2) Sídlom úradu je Bratislava.
(3) Úrad na plnenie úloh dozorného orgánu nad ochranou osobných údajov môže zriaďovať a zrušovať detašované pracoviská mimo svojho sídla a určovať územný obvod ich pôsobnosti.
(4) Úrad pri výkone svojej pôsobnosti postupuje nezávisle a riadi sa ústavou, ústavnými zákonmi, zákonmi, ostatnými všeobecne záväznými právnymi predpismi a medzinárodnými zmluvami, ktorými je Slovenská republika viazaná.
(5) Úrad je rozpočtovou organizáciou.27) Návrh rozpočtu predkladá úrad ako súčasť kapitoly Všeobecná pokladničná správa. Schválený rozpočet úradu môže znížiť v priebehu kalendárneho roku iba Národná rada Slovenskej republiky.
(6) Podrobnosti o organizácii úradu upraví organizačný poriadok úradu, ktorý vydá predseda úradu.
§ 81
Úlohy úradu
(1) Úrad je dozorný orgán podľa tohto zákona alebo osobitného predpisu28) a plní úlohy a vykonáva právomoci, ktoré sú mu zverené podľa tohto zákona a podľa osobitného predpisu.29)
(2) Úrad
a) monitoruje uplatňovanie tohto zákona,
b) vyjadruje sa k návrhom zákonov a k návrhom ostatných všeobecne záväzných právnych predpisov, v ktorých sa upravuje spracúvanie osobných údajov,
c) poskytuje konzultácie v oblasti ochrany osobných údajov,
d) metodicky usmerňuje prevádzkovateľov a sprostredkovateľov pri spracúvaní osobných údajov,
e) zvyšuje povedomie verejnosti najmä v oblasti rizík a práv súvisiacich so spracúvaním osobných údajov,
f) zvyšuje povedomie prevádzkovateľov a sprostredkovateľov o ich povinnostiach podľa tohto zákona,
g) na požiadanie poskytuje informácie dotknutej osobe v súvislosti s uplatnením jej práv podľa tohto zákona a na tento účel spolupracuje s dozornými orgánmi iných členských štátov,30)
h) pri výkone dozoru nad ochranou osobných údajov preveruje zákonnosť spracúvania osobných údajov príslušným orgánom pri výkone práva dotknutou osobou podľa § 63 ods. 5 a informuje dotknutú osobu o výsledku preverenia do 30 dní odo dňa podania žiadosti o preverenie alebo o dôvodoch, prečo k prevereniu nedošlo, a o možnosti uplatnenia práva dotknutej osoby na podanie návrhu na začatie konania podľa § 100 a na inú právnu ochranu podľa osobitného predpisu,19)
i) monitoruje vývoj najmä informačných a komunikačných technológií a obchodných praktík, ak má dosah na ochranu osobných údajov,
j) spolupracuje s Európskym výborom pre ochranu údajov v oblasti ochrany osobných údajov,31)
k) predkladá Národnej rade Slovenskej republiky správu o stave ochrany osobných údajov najmenej raz za rok; správu o stave ochrany osobných údajov zverejňuje úrad na svojom webovom sídle a poskytuje ju Európskemu výboru pre ochranu údajov a Komisii,
l) spolupracuje s dozornými orgánmi iných členských štátov vrátane výmeny informácií a poskytuje im vzájomnú pomoc s cieľom zabezpečiť spoločný postup pri ochrane osobných údajov podľa tohto zákona a osobitného predpisu.32)
(3) Úrad je pri plnení svojich úloh oprávnený
a) nariadiť prevádzkovateľovi a sprostredkovateľovi, prípadne aj zástupcovi prevádzkovateľa alebo sprostredkovateľa, ak bol poverený, aby poskytli informácie, ktoré sú nevyhnutné na plnenie jeho úloh,
b) získať od prevádzkovateľa a sprostredkovateľa prístup k osobným údajom a informáciám, ktoré sú nevyhnutné na plnenie jeho úloh; tým nie sú dotknuté ustanovenia o mlčanlivosti podľa osobitných predpisov,26)
c) vstupovať do priestorov prevádzkovateľa a sprostredkovateľa, ako aj k akémukoľvek zariadeniu a prostriedkom na spracúvanie osobných údajov, a to v rozsahu nevyhnutnom na plnenie jeho úloh, ak na to nie je potrebné povolenie podľa osobitného predpisu,33)
d) upozorniť prevádzkovateľa alebo sprostredkovateľa na to, že plánované spracovateľské operácie pravdepodobne porušia ustanovenia tohto zákona alebo osobitného predpisu,2)
e) uložiť opatrenia na nápravu, pokutu podľa § 104 alebo poriadkovú pokutu podľa § 105, ak prevádzkovateľ, sprostredkovateľ, monitorujúci subjekt alebo certifikačný subjekt porušili ustanovenia tohto zákona alebo osobitného predpisu,2)
f) nariadiť prevádzkovateľovi alebo sprostredkovateľovi, aby vyhovel žiadosti dotknutej osoby o uplatnenie jej práv podľa tohto zákona alebo osobitného predpisu,2)
g) nariadiť prevádzkovateľovi alebo sprostredkovateľovi, aby svoje spracovateľské operácie zosúladil podľa potreby určeným spôsobom a v rámci určenej lehoty s ustanoveniami tohto zákona alebo osobitného predpisu,2)
h) nariadiť prevádzkovateľovi, aby porušenie ochrany osobných údajov oznámil dotknutej osobe,
i) nariadiť dočasné obmedzenie spracúvania osobných údajov alebo trvalé obmedzenie spracúvania osobných údajov,
j) predvolať prevádzkovateľa alebo sprostredkovateľa na účel podania vysvetlenia pri podozrení z porušenia povinností uložených týmto zákonom, osobitným predpisom alebo medzinárodnou zmluvou, ktorou je Slovenská republika viazaná,
k) odporučiť prevádzkovateľovi alebo sprostredkovateľovi opatrenia na zabezpečenie ochrany osobných údajov v informačných systémoch,
l) nariadiť pozastavenie prenosu osobných údajov príjemcovi v tretej krajine alebo medzinárodnej organizácii.
(4) Okrem plnenia úloh podľa odseku 1 a 2 úrad ďalej
a) plní oznamovaciu povinnosť voči Komisii v oblasti ochrany osobných údajov,
b) prijíma opatrenia na vykonanie rozhodnutí Komisie vydaných v oblasti ochrany osobných údajov,
c) spolupracuje pri výkone dozoru nad ochranou osobných údajov s dozornými orgánmi iných členských štátov a s obdobnými orgánmi dozoru mimo územia členských štátov.
(5) Predmetom dozoru nad ochranou osobných údajov nie sú spory zo zmluvných vzťahov alebo predzmluvných vzťahov medzi prevádzkovateľom alebo sprostredkovateľom a dotknutou osobou alebo inými osobami, na ktorých prejednávanie a rozhodovanie sú príslušné súdy alebo iné orgány podľa osobitných predpisov.
(6) Úrad môže účtovať primeraný poplatok zodpovedajúci administratívnym nákladom alebo môže odmietnuť konať na základe žiadosti, ak je žiadosť zjavne neopodstatnená alebo neprimeraná, najmä pre jej opakujúcu sa povahu. Zjavnú neopodstatnenosť alebo neprimeranosť žiadosti preukazuje úrad.
(7) Ak osobné údaje spracúvajú súdy pri výkone ich súdnej právomoci, dozor podľa § 90 až 98 nad ochranou osobných údajov vykonáva Ministerstvo spravodlivosti Slovenskej republiky.
(8) Ak osobné údaje spracúva Národný bezpečnostný úrad podľa osobitného predpisu,5) dozor podľa § 90 až 98 nad ochranou osobných údajov vykonáva Národná rada Slovenskej republiky podľa osobitného predpisu.34)
§ 82
Predseda úradu
(1) Na čele úradu je predseda, ktorého volí a odvoláva Národná rada Slovenskej republiky na návrh vlády Slovenskej republiky.
(2) Funkčné obdobie predsedu úradu je päť rokov a možno ho zvoliť najviac na dve po sebe nasledujúce funkčné obdobia. Predseda úradu zostáva vo funkcii aj po uplynutí funkčného obdobia, kým Národná rada Slovenskej republiky nezvolí nového predsedu.
(3) Za predsedu úradu možno zvoliť občana Slovenskej republiky, ktorý je voliteľný do Národnej rady Slovenskej republiky, má vysokoškolské vzdelanie druhého stupňa, má najmenej dvojročné skúsenosti v oblasti ochrany osobných údajov a je bezúhonný.
(4) Za bezúhonného sa na účely tohto zákona považuje ten, kto nebol právoplatne odsúdený za úmyselný trestný čin alebo za trestný čin, pri ktorom mu výkon trestu odňatia slobody nebol podmienečne odložený, ak sa podľa rozhodnutia súdu alebo na základe zákona nehľadí na neho, ako keby nebol odsúdený alebo odsúdenie mu nebolo zahladené. Bezúhonnosť sa preukazuje doloženým výpisom z registra trestov.
(5) Predseda úradu musí byť pri výkone svojej funkcie nezávislý a nesmie byť pri plnení svojich úloh a výkone svojich právomocí podľa tohto zákona pod vonkajším vplyvom, či už priamym alebo nepriamym, a nesmie od nikoho požadovať ani prijímať pokyny.
(6) Predseda úradu je povinný sa zdržať akéhokoľvek konania nezlučiteľného s jeho povinnosťami podľa tohto zákona a podľa osobitného predpisu.35)
(7) Predseda úradu je štátnym zamestnancom podľa osobitného predpisu.7) Predsedovi úradu patrí plat vo výške štvornásobku priemernej nominálnej mesačnej mzdy zamestnanca v národnom hospodárstve Slovenskej republiky za predchádzajúci kalendárny rok zaokrúhlený na celé euro nahor. Platové a ďalšie náležitosti predsedu úradu určuje vláda Slovenskej republiky.
(8) K zániku výkonu funkcie predsedu úradu dochádza uplynutím jeho funkčného obdobia alebo zvolením nového predsedu po uplynutí funkčného obdobia predsedu úradu podľa odseku 2.
(9) Pred uplynutím funkčného obdobia výkon funkcie zaniká
a) vzdaním sa funkcie,
b) stratou voliteľnosti do Národnej rady Slovenskej republiky,
c) nadobudnutím právoplatnosti rozsudku, ktorým bol odsúdený za úmyselný trestný čin alebo ktorým bol odsúdený za trestný čin a výkon trestu odňatia slobody mu nebol podmienečne odložený,
d) výkonom činnosti, ktorá je nezlučiteľná s jeho povinnosťami podľa odseku 6, alebo
e) smrťou alebo právoplatným rozhodnutím súdu o vyhlásení predsedu úradu za mŕtveho.
(10) Predseda úradu môže byť z funkcie odvolaný, ak
a) mu zdravotný stav dlhodobo, najmenej však počas jedného roka, nedovoľuje riadne vykonávať povinnosti vyplývajúce z jeho funkcie,
b) porušil povinnosť nezávislosti podľa odseku 5, alebo
c) porušil povinnosť mlčanlivosti o skutočnostiach, o ktorých sa dozvedel v súvislosti s výkonom svojej funkcie podľa § 84.
§ 83
Podpredseda úradu
(1) Predsedu úradu zastupuje podpredseda úradu, ktorého vymenúva a odvoláva vláda Slovenskej republiky na návrh predsedu úradu. Podpredseda úradu je štátnym zamestnancom podľa osobitného predpisu.7)
(2) Funkčné obdobie podpredsedu úradu je päť rokov a možno ho vymenovať najviac na dve po sebe nasledujúce funkčné obdobia. Podpredseda úradu zostáva vo funkcii aj po uplynutí funkčného obdobia, kým vláda Slovenskej republiky nevymenuje nového podpredsedu.
(3) Na výkon funkcie podpredsedu úradu sa § 82 ods. 3 až 6 a ods. 8 až 10 vzťahujú rovnako.
§ 84
Povinnosť mlčanlivosti
(1) Predseda úradu, podpredseda úradu a zamestnanci úradu sú povinní zachovávať mlčanlivosť o skutočnostiach, o ktorých sa dozvedeli počas plnenia úloh podľa tohto zákona alebo osobitného predpisu,2) a to aj po skončení výkonu svojej funkcie, štátnozamestnaneckého pomeru, pracovného pomeru alebo obdobného pracovného vzťahu.
(2) Povinnosť mlčanlivosti podľa odseku 1 neplatí, ak je to nevyhnutné na plnenie úloh súdu a orgánov činných v trestnom konaní podľa osobitného predpisu;36) tým nie sú dotknuté ustanovenia o mlčanlivosti podľa osobitného predpisu.37)
(3) Od povinnosti mlčanlivosti podľa odseku 1 môže podpredsedu úradu a zamestnancov úradu oslobodiť predseda úradu. Od povinnosti mlčanlivosti podľa odseku 1 môže predsedu úradu v konkrétnom prípade oslobodiť Národná rada Slovenskej republiky.
DRUHÁ HLAVA
Kódex správania, certifikát a akreditácia
§ 85
Kódex správania
(1) Združenie zastupujúce kategóriu prevádzkovateľov alebo sprostredkovateľov alebo iný subjekt zastupujúci kategóriu prevádzkovateľov alebo sprostredkovateľov môže prijať kódex správania, a to najmä na účely spresnenia uplatňovania tohto zákona alebo osobitného predpisu2) v súvislosti s predmetom kódexu správania podľa osobitného predpisu.38)
(2) Schválením kódexu správania zo strany úradu nie je dotknutá zodpovednosť prevádzkovateľa alebo zodpovednosť sprostredkovateľa dodržiavať tento zákon alebo osobitný predpis.2)
(3) Žiadosť o schválenie návrhu kódexu správania, návrhu zmeny schváleného kódexu správania alebo návrhu rozšírenia schváleného kódexu správania podáva úradu združenie alebo iný subjekt podľa odseku 1 (ďalej len „žiadateľ“).
(4) Žiadosť o schválenie kódexu správania musí obsahovať
a) identifikačné údaje žiadateľa,
b) meno a priezvisko štatutárneho zástupcu alebo osoby oprávnenej konať v mene žiadateľa,
c) označenie, či ide o návrh kódexu správania, návrh zmeny schváleného kódexu správania alebo návrh rozšírenia schváleného kódexu správania,
d) postup združenia, ktorým sa člen združenia zaväzuje dodržiavať schválený kódex správania,
e) záväzok prevádzkovateľa alebo sprostredkovateľa podrobiť sa monitorovaniu dodržiavania schváleného kódexu správania v súlade s pravidlami a postupmi na monitorovanie dodržiavania kódexu správania,
f) opis práv a povinností prevádzkovateľa alebo sprostredkovateľa pri výkone monitorovania dodržiavania schváleného kódexu správania,
g) uvedenie predmetu, na ktorý sa návrh kódexu správania, návrh zmeny schváleného kódexu správania alebo návrh rozšírenia schváleného kódexu správania vzťahuje,
h) účel spracúvania osobných údajov, na ktorý sú osobné údaje určené, ako aj právny základ spracúvania osobných údajov,
i) kategórie osobných údajov,
j) kategórie dotknutých osôb,
k) identifikáciu príjemcu alebo kategóriu príjemcu osobných údajov, ak existuje,
l) opis spracovateľských činností, informácie o existencii automatizovaného individuálneho rozhodovania a informácie o existencii profilovania,
m) opis postupu žiadateľa pri uplatnení práv dotknutou osobou,
n) informáciu, či sa návrh kódexu správania týka spracovateľských činností vo viacerých členských štátoch,
o) identifikáciu tretej krajiny alebo medzinárodnej organizácie pri prenose osobných údajov a informáciu o prijatých primeraných zárukách tohto prenosu,
p) prijaté pravidlá a postupy na monitorovanie dodržiavania kódexu správania.
(5) Žiadateľ k žiadosti o schválenie kódexu správania podľa odseku 4 musí priložiť
a) návrh kódexu správania, návrh zmeny schváleného kódexu správania alebo návrh rozšírenia schváleného kódexu správania, a to aj v anglickom jazyku, ak sa týka spracovateľských činností vo viacerých členských štátoch,
b) potvrdenie o zaplatení správneho poplatku,
c) ďalšie informácie a podklady nevyhnutné na posúdenie súladu návrhu kódexu správania s týmto zákonom alebo osobitným predpisom.2)
(6) Ak žiadosť o schválenie kódexu správania nespĺňa náležitosti podľa odsekov 4 a 5 alebo ak v konaní o schválenie kódexu správania vzniknú pochybnosti o preukázaní súladu s týmto zákonom alebo osobitným predpisom,2) úrad vyzve žiadateľa na doplnenie podkladov v lehote, ktorá nesmie byť kratšia ako 15 dní; počas tejto doby lehota v konaní o schválenie kódexu správania neplynie.
(7) Účastníkom konania o schválení kódexu správania je žiadateľ, ktorý podal žiadosť podľa odseku 4.
(8) Ak úrad počas konania o schválenie kódexu správania zistí nesúlad s týmto zákonom alebo osobitným predpisom,2) vyzve žiadateľa na odstránenie zisteného nesúladu v určenej lehote, ktorá nesmie byť kratšia ako 30 dní; počas plynutia lehoty na odstránenie zisteného nesúladu neplynie lehota v konaní o schválenie kódexu správania. Na odôvodnenú žiadosť žiadateľa úrad určenú lehotu môže predĺžiť najviac o 60 dní.
(9) Úrad konanie o schválenie kódexu správania zastaví, ak žiadateľ
a) neodstráni nedostatky žiadosti v lehote určenej podľa odseku 6,
b) neodstráni úradom zistené nedostatky v lehote určenej podľa odseku 8.
(10) Úrad rozhodne o schválení kódexu správania, o zmene schváleného kódexu správania alebo o rozšírení schváleného kódexu správania do 90 dní odo dňa začatia konania.
(11) Ak je potrebné predložiť návrh kódexu správania, návrh zmeny schváleného kódexu správania alebo návrh rozšírenia schváleného kódexu Európskemu výboru pre ochranu údajov podľa osobitného predpisu,39) lehota podľa odseku 10 neplynie odo dňa predloženia návrhu kódexu správania, návrhu zmeny schváleného kódexu správania alebo návrhu rozšírenia schváleného kódexu správania Európskemu výboru pre ochranu údajov až do dňa doručenia stanoviska Európskeho výboru pre ochranu údajov podľa osobitného predpisu40) úradu.
(12) Úrad po preskúmaní žiadosti o schválenie kódexu správania podľa odsekov 4 a 5 a súvisiacej dokumentácie vydá rozhodnutie o schválení kódexu správania, rozhodnutie o schválení zmeny schváleného kódexu správania alebo rozhodnutie o schválení rozšírenia schváleného kódexu správania, ak návrh kódexu správania, návrh zmeny schváleného kódexu správania alebo návrh rozšírenia schváleného kódexu správania je v súlade a poskytuje dostatočné primerané záruky ochrany osobných údajov podľa tohto zákona alebo osobitného predpisu.2)
(13) Proti rozhodnutiu o schválení kódexu správania, rozhodnutiu o zmene schváleného kódexu správania alebo rozhodnutiu o rozšírení schváleného kódexu správania nie je prípustný rozklad.
(14) Proti rozhodnutiu o neschválení kódexu správania, rozhodnutiu o neschválení zmeny schváleného kódexu správania alebo rozhodnutiu o neschválení rozšírenia schváleného kódexu správania je prípustný rozklad, o ktorom rozhodne predseda úradu.
(15) Úrad zverejňuje zoznam schválených kódexov správania na svojom webovom sídle.
(16) Združenie zastupujúce kategóriu prevádzkovateľov alebo sprostredkovateľov alebo iný subjekt zastupujúci kategóriu prevádzkovateľov alebo sprostredkovateľov, ktorému úrad schválil kódex správania, schválil návrh zmeny schváleného kódexu správania alebo schválil návrh rozšírenia schváleného kódexu správania, je povinný najneskôr do 15 dní odo dňa zistenia písomne oznámiť úradu zmeny podľa odseku 4 písm. a) a d).
§ 86
Certifikát
(1) Vydanie certifikátu, obnovu certifikátu alebo odňatie certifikátu vykonáva subjekt, ktorému bola udelená akreditácia podľa § 88 v súlade s týmto zákonom (ďalej len „certifikačný subjekt“), alebo úrad.
(2) Prevádzkovateľ alebo sprostredkovateľ na účely preukázania súladu spracúvania osobných údajov a existencie primeraných záruk ochrany osobných údajov podľa tohto zákona alebo osobitného predpisu2) môže požiadať úrad alebo certifikačný subjekt o vydanie certifikátu alebo obnovenie certifikátu. Certifikát sa vydá alebo obnoví najviac na obdobie troch rokov.
(3) Úrad alebo certifikačný subjekt posudzuje súlad spracúvania osobných údajov a existenciu primeraných záruk ochrany osobných údajov prevádzkovateľa alebo sprostredkovateľa podľa odseku 2 na základe certifikačných kritérií v súlade s týmto zákonom. Vydaním certifikátu nie je dotknutá zodpovednosť prevádzkovateľa alebo zodpovednosť sprostredkovateľa za dodržiavanie tohto zákona a osobitného predpisu2) ani nie sú dotknuté právomoci úradu podľa tohto zákona.
(4) Certifikát je verejnou listinou.
(5) Úrad zverejňuje vydané certifikáty na svojom webovom sídle.
(6) Žiadosť o vydanie certifikátu alebo žiadosť o obnovu certifikátu úradom musí obsahovať
a) identifikačné údaje žiadateľa,
b) meno a priezvisko štatutárneho orgánu žiadateľa alebo osoby oprávnenej konať v mene žiadateľa,
c) kontaktné údaje zodpovednej osoby, ak je určená,
d) predmet certifikátu, na ktorý sa má certifikát udeliť,
e) účel spracúvania osobných údajov,
f) právny základ spracúvania osobných údajov,
g) kategórie dotknutých osôb,
h) kategórie osobných údajov,
i) identifikáciu príjemcu alebo kategóriu príjemcu osobných údajov, ak existuje,
j) opis spracovateľských činností vrátane informácií o existencii automatizovaného individuálneho rozhodovania vrátane profilovania,
k) opis postupu žiadateľa pri uplatnení práv dotknutou osobou,
l) identifikáciu tretej krajiny alebo medzinárodnej organizácie pri prenose osobných údajov.
(7) Žiadateľ k žiadosti podľa odseku 6 priloží
a) technickú a bezpečnostnú dokumentáciu nevyhnutnú na vydanie certifikátu,
b) výsledok auditu ochrany osobných údajov nie starší ako šesť mesiacov,
c) dokumenty preukazujúce splnenie certifikačných kritérií,
d) opis primeraných záruk pri prenose osobných údajov do tretej krajiny alebo medzinárodnej organizácii,
e) potvrdenie o zaplatení správneho poplatku,
f) ďalšie informácie a podklady nevyhnutné na posúdenie súladu s týmto zákonom alebo osobitným predpisom2) a dodržania certifikačného postupu.
(8) Ak žiadosť o vydanie certifikátu alebo žiadosť o obnovu certifikátu nespĺňa náležitosti podľa odsekov 6 a 7 alebo ak v konaní o vydanie certifikátu alebo v konaní o obnovu certifikátu vzniknú pochybnosti o preukázaní splnenia certifikačných kritérií alebo podmienok na vydanie certifikátu, úrad vyzve žiadateľa na doplnenie podkladov v lehote, ktorá nesmie byť kratšia ako 15 dní; počas tejto doby lehota v konaní o vydanie certifikátu alebo v konaní o obnovu certifikátu neplynie.
(9) Ak úrad počas konania o vydanie certifikátu alebo konania o obnovu certifikátu zistí nesúlad s týmto zákonom alebo osobitným predpisom,2) vyzve žiadateľa na odstránenie zisteného nesúladu v určenej lehote, ktorá nesmie byť kratšia ako 30 dní; počas tejto doby lehota v konaní o vydanie certifikátu alebo v konaní o obnovu certifikátu neplynie. Na odôvodnenú žiadosť žiadateľa úrad určenú lehotu predĺži najviac o 60 dní.
(10) Úrad konanie o vydanie certifikátu alebo konanie o obnovu certifikátu zastaví, ak žiadateľ neodstráni
a) nedostatky žiadosti a vzniknuté pochybnosti podľa odseku 8 v určenej lehote,
b) úradom zistené nedostatky podľa odseku 9 v určenej lehote.
(11) Úrad rozhodne o vydaní certifikátu alebo obnove certifikátu do 90 dní odo dňa začatia konania.
(12) Úrad po preskúmaní žiadosti o vydanie certifikátu alebo žiadosti o obnovu certifikátu podľa odsekov 6 a 7 a súvisiacej dokumentácie vydá rozhodnutie o vydaní certifikátu, ak žiadateľ spĺňa certifikačné kritériá, spĺňa podmienky certifikačného postupu, ak jeho spracovateľské činnosti sú v súlade s týmto zákonom alebo osobitným predpisom2) a ak ním prijaté bezpečnostné opatrenia poskytujú dostatočné primerané záruky ochrany osobných údajov podľa tohto zákona alebo osobitného predpisu.2)
(13) Na základe rozhodnutia o vydaní certifikátu alebo rozhodnutia o obnove certifikátu úrad vydá žiadateľovi certifikát na obdobie troch rokov, ktorý obsahuje
a) identifikačné údaje úradu,
b) identifikačné údaje žiadateľa,
c) predmet certifikátu,
d) označenie certifikačných kritérií, na ktorých základe sa vydáva certifikát,
e) číslo certifikátu,
f) dátum vydania certifikátu; ak ide o obnovu certifikátu, aj dátum skoršieho vydania certifikátu,
g) dobu platnosti certifikátu,
h) odtlačok pečiatky úradu a podpis osoby oprávnenej konať v mene úradu s uvedením jej mena, priezviska a funkcie.
(14) Proti rozhodnutiu o vydaní certifikátu alebo rozhodnutiu o obnove certifikátu nie je prípustný rozklad.
(15) Proti rozhodnutiu o nevydaní certifikátu alebo rozhodnutiu o neobnovení certifikátu je prípustný rozklad, o ktorom rozhodne predseda úradu.
(16) Ak prevádzkovateľ alebo sprostredkovateľ, ktorému bol vydaný certifikát alebo obnovený certifikát (ďalej len „certifikovaná osoba“), naďalej spĺňa certifikačné kritériá a podmienky vydania certifikátu podľa tohto zákona, úrad na základe žiadosti certifikovanej osoby podanej najneskôr šesť mesiacov pred uplynutím platnosti certifikátu skôr vydaného alebo skôr obnoveného rozhodne o obnovení certifikátu na obdobie ďalších troch rokov. Na konanie o obnovenie certifikátu sa primerane použijú ustanovenia o vydaní certifikátu.
(17) Ak certifikovaná osoba podá žiadosť o obnovenie certifikátu v lehote menej ako šesť mesiacov pred uplynutím platnosti certifikátu, úrad na takú žiadosť neprihliada. Tým nie je dotknuté oprávnenie tejto certifikovanej osoby na podanie žiadosti o vydanie certifikátu podľa odsekov 6 a 7.
(18) Certifikovaná osoba je počas platnosti certifikátu povinná
a) spĺňať požiadavky ustanovené týmto zákonom a požiadavky na vydanie certifikátu v súlade s rozhodnutím o vydaní certifikátu,
b) najneskôr do 15 dní odo dňa vzniku zmeny písomne oznámiť úradu akékoľvek zmeny týkajúce sa rozhodnutia o vydaní certifikátu,
c) umožniť úradu vykonanie dozoru podľa tohto zákona,
d) archivovať dokumentáciu súvisiacu s výkonom certifikačného postupu podľa osobitného predpisu.41)
(19) Certifikačné kritériá, podmienky certifikačného postupu, obsahové náležitosti technickej a bezpečnostnej dokumentácie a podmienky výkonu auditu ochrany osobných údajov vrátane podmienok odborných znalostí audítora vykonávajúceho audit ochrany osobných údajov ustanoví všeobecne záväzný právny predpis, ktorý vydá úrad.
§ 87
Monitorujúci subjekt
(1) Monitorovanie súladu spracúvania osobných údajov podľa tohto zákona alebo osobitného predpisu2) s kódexom správania vykonáva subjekt, ktorý spĺňa kritériá a podmienky na udelenie akreditácie podľa tohto zákona alebo osobitného predpisu2) a bola mu udelená akreditácia úradom v súlade s týmto zákonom (ďalej len „monitorujúci subjekt“).
(2) Kódexy správania schválené úradom pre orgány verejnej moci a verejnoprávne inštitúcie nepodliehajú činnosti monitorovacieho subjektu podľa tohto zákona; tým nie je dotknutý výkon dozoru úradom podľa tohto zákona.
(3) Monitorujúcim subjektom môže byť právnická osoba alebo fyzická osoba – podnikateľ, ktorý má vytvorené technické a organizačné podmienky na vykonávanie monitorovania kódexu správania a ktorému bola udelená akreditácia.
(4) Monitorujúci subjekt je oprávnený
a) monitorovať súlad spracúvania osobných údajov podľa tohto zákona alebo osobitného predpisu2) prevádzkovateľom alebo sprostredkovateľom, ktorý je členom združenia, ktorý sa zaviazal dodržiavať schválený kódex správania,
b) prijať primerané opatrenia v prípadoch porušenia kódexu správania prevádzkovateľom alebo sprostredkovateľom,
c) dočasne pozastaviť záväznosť schváleného kódexu správania pre prevádzkovateľa alebo sprostredkovateľa, ktorý sa zaviazal dodržiavať schválený kódex správania,
d) zrušiť záväznosť schváleného kódexu správania pre prevádzkovateľa alebo sprostredkovateľa, ktorý sa zaviazal dodržiavať schválený kódex správania.
(5) O opatreniach podľa odseku 4 vrátane dôvodov prijatia takých opatrení je monitorujúci subjekt povinný písomne informovať úrad do 15 dní od ich prijatia. Tým nie je dotknutá zodpovednosť prevádzkovateľa alebo sprostredkovateľa, ktorý podlieha monitorovaniu kódexu správania, dodržiavať tento zákon alebo osobitný predpis.2)
(6) Žiadosť o udelenie akreditácie musí obsahovať
a) identifikačné údaje žiadateľa,
b) meno a priezvisko štatutárneho zástupcu žiadateľa alebo osoby oprávnenej konať v mene žiadateľa,
c) uvedenie predmetu kódexu správania.38)
(7) Žiadateľ k žiadosti podľa odseku 6 priloží
a) technickú a bezpečnostnú dokumentáciu nevyhnutnú pre monitorovanie kódexu správania,
b) dokumenty preukazujúce nezávislosť žiadateľa,
c) postup a spôsob vysporiadania sa s konfliktom záujmu medzi žiadateľom a subjektom podliehajúcim monitorovaniu, ktorý by mohol narušiť objektivitu monitorovania kódexu správania alebo obmedziť objektivitu monitorovania kódexu správania alebo porušiť princíp transparentnosti pre dotknutú osobu a verejnosť; konflikt záujmov zahŕňa najmä situáciu, ak žiadateľ, ktorý môže ovplyvniť výsledok alebo priebeh monitorovania kódexu správania, má priamy finančný záujem alebo nepriamy finančný záujem, ekonomický záujem alebo iný osobný záujem, ktorý možno považovať za ohrozenie jeho nezávislosti v súvislosti s monitorovaním kódexu správania,
d) dokumenty stanovujúce kvalifikačné požiadavky vo vzťahu k monitorovaniu kódexu správania osôb žiadateľa, ktoré budú vykonávať monitorovanie,
e) pravidlá a postupy výkonu činností, najmä procesy monitorovania dodržiavania kódexu správania prevádzkovateľom alebo sprostredkovateľom, spôsob preukázania vykonávania kódexu správania prevádzkovateľom alebo sprostredkovateľom, spôsob preukázania súladu spracovateľských činností prevádzkovateľa a sprostredkovateľa vo vzťahu k predmetu kódexu správania, frekvenciu monitorovania súladu,
f) dokumenty preukazujúce, že pravidlá a postupy na výkon monitorovania kódexu správania sú transparentné pre dotknutú osobu a verejnosť,
g) výsledok auditu výkonu monitorovania kódexu správania,
h) potvrdenie o zaplatení správneho poplatku,
i) ďalšie informácie a podklady, ktoré sú nevyhnutné na posúdenie súladu s týmto zákonom alebo osobitným predpisom2) a na posúdenie žiadosti o udelenie akreditácie.
(8) Ak žiadosť o udelenie akreditácie nespĺňa náležitosti podľa odsekov 6 a 7 alebo ak v konaní o udelenie akreditácie vzniknú pochybnosti o preukázaní splnenia kritérií alebo podmienok na udelenie akreditácie, úrad vyzve žiadateľa na odstránenie nedostatkov v lehote, ktorá nesmie byť kratšia ako 15 dní; počas tejto lehoty lehota v konaní o udelení akreditácie neplynie.
(9) Ak úrad počas konania podľa odseku 11 zistí nesúlad s týmto zákonom alebo osobitným predpisom,2) vyzve žiadateľa na odstránenie zisteného nesúladu v určenej lehote, ktorá nesmie byť kratšia ako 30 dní; počas tejto doby lehota podľa odseku 11 neplynie. Na odôvodnenú žiadosť žiadateľa úrad určenú lehotu predĺži najviac o 60 dní.
(10) Úrad konanie podľa odseku 11 zastaví, ak žiadateľ neodstráni
a) nedostatky žiadosti a vzniknuté pochybnosti podľa odseku 8 v určenej lehote,
b) úradom zistené nedostatky podľa odseku 9 v určenej lehote.
(11) Úrad rozhodne o udelení akreditácie do 90 dní odo dňa začatia konania.
(12) Úrad po preskúmaní žiadosti o udelenie akreditácie podľa odsekov 6 a 7 a súvisiacej dokumentácie vydá rozhodnutie o udelení akreditácie, ak žiadateľ spĺňa požiadavky, má primeranú úroveň odborných znalostí vo vzťahu k predmetu kódexu správania a spĺňa kritériá a podmienky na udelenie akreditácie podľa tohto zákona.
(13) Na základe rozhodnutia o udelení akreditácie úrad vydá monitorujúcemu subjektu osvedčenie o udelení akreditácie, ktoré obsahuje
a) identifikačné údaje úradu,
b) identifikačné údaje žiadateľa,
c) predmet akreditácie,
d) číslo osvedčenia o udelení akreditácie,
e) dátum vydania osvedčenia o udelení akreditácie,
f) odtlačok pečiatky úradu a podpis osoby oprávnenej konať v mene úradu s uvedením jej mena, priezviska a funkcie.
(14) Osvedčenie o udelení akreditácie je verejnou listinou.
(15) Proti rozhodnutiu o udelení akreditácie nie je prípustný rozklad.
(16) Proti rozhodnutiu o neudelení akreditácie je prípustný rozklad, o ktorom rozhodne predseda úradu.
(17) Úrad zverejňuje vydané osvedčenia o udelení akreditácie na svojom webovom sídle.
(18) Ak sa preukáže, že monitorujúci subjekt vykonáva monitorovanie kódexu správania v rozpore s týmto zákonom alebo osobitným predpisom,2) dobrými mravmi, osvedčením o udelení akreditácie alebo ďalej nespĺňa požiadavky na udelenie akreditácie, úrad pozastaví platnosť akreditácie na tri mesiace a zároveň uloží monitorujúcemu subjektu vykonanie opatrení na nápravu. Ak monitorujúci subjekt v určenej lehote uložené opatrenia neprijme, úrad jeho akreditáciu rozhodnutím zruší. Monitorujúci subjekt, ktorému bola akreditácia zrušená, môže znova požiadať o udelenie akreditácie.
(19) Monitorujúci subjekt je povinný
a) spĺňať požiadavky ustanovené týmto zákonom a akreditačné požiadavky v súlade s rozhodnutím o udelení akreditácie,
b) písomne oznámiť úradu akékoľvek zmeny udelenej akreditácie do 15 dní odo dňa vzniku zmeny,
c) informovať dotknutého prevádzkovateľa alebo sprostredkovateľa o oprávnenosti monitorovať dodržiavanie kódexu správania a o predmete monitorovaného kódexu správania, podrobne a zrozumiteľne informovať o bezpečnostných opatreniach, pravidlách a o postupoch monitorovania kódexu správania a informovať o možných právnych dôsledkoch monitorovania dodržiavania predmetu kódexu správania pred výkonom monitorovania schváleného kódexu správania,
d) bez zbytočného odkladu informovať dotknutého prevádzkovateľa alebo sprostredkovateľa o prijatých opatreniach, ak bolo zistené porušenie dodržiavania kódexu správania dotknutého prevádzkovateľa alebo sprostredkovateľa podľa odseku 4,
e) dodržiavať zásadu nezávislosti,
f) archivovať dokumentáciu súvisiacu s monitorovaním kódexu správania podľa osobitného predpisu.42)
(20) Kritériá na udelenie akreditácie, podmienky akreditačného postupu, obsahové náležitosti technickej a bezpečnostnej dokumentácie a podmienky výkonu auditu monitorovania kódexu správania vrátane podmienok odborných znalostí audítora ustanoví všeobecne záväzný právny predpis, ktorý vydá úrad.
§ 88
Certifikačný subjekt
(1) Vydanie certifikátu, obnovu certifikátu alebo odňatie certifikátu vykonáva certifikačný subjekt, ktorý spĺňa kritériá a podmienky na udelenie akreditácie podľa tohto zákona alebo osobitného predpisu43) a bola mu udelená akreditácia úradom v súlade s týmto zákonom.
(2) Certifikačným subjektom môže byť právnická osoba alebo fyzická osoba – podnikateľ, ktorý má primeranú úroveň odborných znalostí vo vzťahu k ochrane osobných údajov a má vytvorené technické a organizačné podmienky na certifikačný postup a ktorému bola udelená akreditácia.
(3) Certifikačný subjekt je zodpovedný za posúdenie súladu spracúvania osobných údajov a existencie primeraných záruk ochrany osobných údajov podľa tohto zákona alebo osobitného predpisu2) prevádzkovateľa alebo sprostredkovateľa, na ktorého základe udelí certifikát, obnoví certifikát alebo odníme certifikát.
(4) Žiadosť o udelenie akreditácie musí obsahovať
a) identifikačné údaje žiadateľa,
b) meno a priezvisko štatutárneho orgánu žiadateľa alebo osoby oprávnenej konať v mene žiadateľa,
c) uvedenie predmetu certifikačných kritérií.
(5) Žiadateľ k žiadosti podľa odseku 4 musí priložiť
a) technickú a bezpečnostnú dokumentáciu nevyhnutnú pre certifikačný postup,
b) postup a spôsob vysporiadania sa s konfliktom záujmu medzi žiadateľom a prevádzkovateľom alebo sprostredkovateľom, ktorý požiadal o vydanie certifikátu alebo obnovu certifikátu, ktorý by mohol narušiť objektivitu vydania certifikátu alebo obnovy certifikátu alebo obmedziť objektivitu vydania certifikátu alebo obnovy certifikátu alebo porušiť princíp transparentnosti pre dotknutú osobu a verejnosť; konflikt záujmov zahŕňa najmä situáciu, ak žiadateľ, ktorý môže ovplyvniť výsledok alebo priebeh vydania alebo obnovy certifikátu, má priamy finančný záujem alebo nepriamy finančný záujem, ekonomický záujem alebo iný osobný záujem, ktorý možno považovať za ohrozenie jeho nezávislosti v súvislosti s vydaním alebo obnovením certifikátu,
c) dokumenty určujúce kvalifikačné požiadavky vo vzťahu k certifikačnému postupu osôb žiadateľa, ktoré budú realizovať certifikačný postup,
d) pravidlá a postupy výkonu certifikačného postupu vrátane postupu na vydanie certifikátu, pravidelné preskúmanie certifikátu, obnovu certifikátu a odňatie certifikátu,
e) vyhlásenie o dodržiavaní certifikačných kritérií pre certifikačný postup,
f) dokumenty preukazujúce postupy a pravidlá na vybavovanie sťažností týkajúcich sa porušení vydaného certifikátu alebo spôsobu, akým sú oprávnenia z certifikátu dotknutým prevádzkovateľom alebo sprostredkovateľom vykonávané,
g) dokumenty preukazujúce, že pravidlá a postupy vybavovania sťažností v súvislosti s vydaným certifikátom sú transparentné pre verejnosť,
h) výsledok auditu výkonu certifikačného postupu,
i) potvrdenie o zaplatení správneho poplatku,
j) ďalšie informácie a podklady, ktoré sú nevyhnutné na posúdenie súladu s týmto zákonom alebo osobitným predpisom2) na účely posúdenia žiadosti o udelenie akreditácie.
(6) Ak žiadosť o udelenie akreditácie nespĺňa náležitosti podľa odsekov 4 a 5 alebo ak v konaní podľa odseku 9 vzniknú pochybnosti o preukázaní splnenia kritérií alebo podmienok na udelenie akreditácie, úrad vyzve žiadateľa na odstránenie nedostatkov žiadosti v lehote, ktorá nesmie byť kratšia ako 15 dní; počas tejto doby lehota podľa odseku 9 neplynie.
(7) Ak úrad počas konania podľa odseku 9 zistí nesúlad s týmto zákonom alebo osobitným predpisom,2) vyzve žiadateľa na odstránenie zisteného nesúladu v určenej lehote, ktorá nesmie byť kratšia ako 30 dní; počas tejto doby lehota v konaní o udelenie akreditácie neplynie. Na odôvodnenú žiadosť žiadateľa úrad určenú lehotu predĺži najviac o 60 dní.
(8) Úrad konanie o udelení akreditácie zastaví, ak žiadateľ neodstráni
a) nedostatky žiadosti a vzniknuté pochybnosti podľa odseku 6 v určenej lehote,
b) úradom zistené nedostatky podľa odseku 7 v určenej lehote.
(9) Úrad rozhodne o udelení akreditácie do 90 dní odo dňa začatia konania.
(10) Úrad po preskúmaní žiadosti o udelenie akreditácie podľa odsekov 4 a 5 a súvisiacej dokumentácie vydá rozhodnutie o udelení akreditácie a schváli certifikačné kritériá, ak žiadateľ spĺňa požiadavky na primeranú úroveň odborných znalostí vo vzťahu k ochrane údajov a spĺňa kritériá a podmienky na udelenie akreditácie podľa tohto zákona.
(11) Na základe rozhodnutia o udelení akreditácie úrad vydá certifikačnému subjektu osvedčenie o udelení akreditácie na obdobie piatich rokov, ktoré obsahuje
a) identifikačné údaje úradu,
b) identifikačné údaje žiadateľa,
c) predmet akreditácie,
d) číslo osvedčenia o udelení akreditácie,
e) dátum vydania osvedčenia o udelení akreditácie; ak ide o obnovu udelenia akreditácie, aj dátum skoršieho vydania udelenia akreditácie,
f) dobu platnosti osvedčenia o udelení akreditácie,
g) odtlačok pečiatky úradu a podpis osoby oprávnenej konať v mene úradu s uvedením jej mena, priezviska a funkcie.
(12) Osvedčenie o udelení akreditácie je verejnou listinou.
(13) Proti rozhodnutiu o udelení akreditácie nie je prípustný rozklad.
(14) Proti rozhodnutiu o neudelení akreditácie je prípustný rozklad, o ktorom rozhodne predseda úradu.
(15) Úrad zverejní zoznam certifikačných subjektov a schválené certifikačné kritériá na svojom webovom sídle.
(16) Ak certifikačný subjekt spĺňa požiadavky na primeranú úroveň odborných znalostí vo vzťahu k ochrane osobných údajov, spĺňa kritériá a podmienky na udelenie akreditácie podľa tohto zákona, úrad na základe žiadosti certifikačného subjektu o obnovenie akreditácie podanej najneskôr šesť mesiacov pred uplynutím platnosti osvedčenia o udelení akreditácie rozhodne o obnovení akreditácie na obdobie ďalších piatich rokov. Na konanie o obnovenie akreditácie sa primerane použijú ustanovenia konania o udelenie akreditácie.
(17) Ak certifikačný subjekt podá žiadosť o obnovenie akreditácie v lehote menej ako šesť mesiacov pred uplynutím platnosti osvedčenia o udelení akreditácie, úrad na takú žiadosť neprihliada. Tým nie je dotknuté oprávnenie tohto subjektu na podanie žiadosti podľa odsekov 4 a 5.
(18) Ak sa preukáže, že certifikačný subjekt vykonáva certifikačný postup vrátane udeľovania certifikátu a odnímania certifikátu v rozpore s týmto zákonom alebo osobitným predpisom,2) dobrými mravmi, s vydaným osvedčením o udelení akreditácie alebo už nespĺňa požiadavky na udelenie akreditácie, úrad pozastaví platnosť akreditácie na tri mesiace a zároveň uloží certifikačnému subjektu vykonanie opatrení na nápravu. Ak certifikačný subjekt v určenej lehote uložené opatrenia neprijme, úrad jeho akreditáciu rozhodnutím zruší. Subjekt, ktorému bola akreditácia zrušená, môže znova požiadať o udelenie akreditácie.
(19) Kritériá na udelenie akreditácie, podmienky certifikačného postupu, certifikačné kritériá, obsahové náležitosti technickej a bezpečnostnej dokumentácie a podmienky výkonu auditu certifikačného postupu vrátane podmienok odborných znalostí audítora ustanoví všeobecne záväzný právny predpis, ktorý vydá úrad.
§ 89
Povinnosti certifikačného subjektu
(1) Certifikačný subjekt je oprávnený v rozsahu osvedčenia o udelení akreditácie vydať certifikát alebo obnoviť certifikát prevádzkovateľovi alebo sprostredkovateľovi na obdobie troch rokov.
(2) Certifikačný subjekt je povinný pred vydaním certifikátu alebo obnovením certifikátu oznámiť úradu
a) jeho identifikačné údaje,
b) číslo osvedčenia, ktoré mu bolo vydané,
c) identifikačné údaje prevádzkovateľa alebo sprostredkovateľa, ktorý žiada o vydanie certifikátu, alebo certifikovanej osoby, ktorá žiada o obnovu certifikátu,
d) predmet certifikátu,
e) označenie certifikačných kritérií,
f) dôvody vydania alebo obnovy certifikátu.
(3) Ak oznámenie nespĺňa náležitosti podľa odseku 2, úrad vyzve certifikačný subjekt na odstránenie nedostatkov v lehote, ktorá nesmie byť kratšia ako 15 dní; počas tejto lehoty lehota podľa odseku 4 neplynie.
(4) Úrad rozhodne o povolení vydania certifikátu alebo o povolení obnovy certifikátu certifikačným subjektom do 60 dní odo dňa začatia konania.
(5) V konaní podľa odseku 4 úrad neposudzuje splnenie certifikačných kritérií, podmienok na vydanie certifikátu alebo obnovu certifikátu.
(6) Povolením úradu na vydanie certifikátu alebo povolením úradu na obnovu certifikátu certifikačným subjektom nie je dotknutá zodpovednosť príslušného prevádzkovateľa alebo sprostredkovateľa za dodržiavanie tohto zákona a osobitného predpisu.2)
(7) Ak úrad počas konania o povolení vydania certifikátu alebo počas konania o povolení obnovy certifikátu certifikačným subjektom zistí nesúlad s týmto zákonom alebo osobitným predpisom2) nepovolí certifikačnému subjektu vydanie certifikátu alebo obnovu certifikátu, o čom vydá rozhodnutie.
(8) Proti rozhodnutiu o povolení vydania certifikátu alebo rozhodnutiu o povolení obnovy certifikátu certifikačným subjektom nie je prípustný rozklad.
(9) Proti rozhodnutiu o nepovolení vydania certifikátu alebo rozhodnutiu o nepovolení obnovy certifikátu certifikačným subjektom je prípustný rozklad, o ktorom rozhodne predseda úradu.
(10) Certifikačný subjekt je povinný do 15 dní od vydania certifikátu, obnovenia certifikátu alebo odňatia certifikátu oznámiť úradu:
a) jeho identifikačné údaje,
b) číslo osvedčenia, ktoré mu bolo vydané,
c) identifikačné údaje dotknutého prevádzkovateľa alebo sprostredkovateľa,
d) predmet certifikátu,
e) číslo certifikátu,
f) dôvody vydania, obnovy alebo odňatia certifikátu.
(11) Certifikát vydaný certifikačným subjektom obsahuje najmä
a) identifikačné údaje certifikačného subjektu vrátane čísla osvedčenia o udelení akreditácie,
b) identifikačné údaje žiadateľa,
c) predmet certifikátu,
d) označenie certifikačných kritérií, na základe ktorých sa certifikát vydáva,
e) číslo certifikátu,
f) dátum vydania certifikátu; ak ide o obnovu certifikátu, aj dátum skoršieho vydania certifikátu,
g) odtlačok pečiatky certifikačného subjektu a podpis osoby oprávnenej konať v mene certifikačného subjektu s uvedením jej mena, priezviska.
(12) Certifikačný subjekt je povinný
a) spĺňať požiadavky ustanovené týmto zákonom a akreditačné požiadavky v súlade s rozhodnutím o udelení akreditácie,
b) najneskôr do 15 dní písomne oznámiť úradu akékoľvek zmeny udelenej akreditácie,
c) umožniť úradu vykonanie dozoru podľa tohto zákona,
d) dodržiavať zásadu nezávislosti,
e) archivovať dokumentáciu súvisiacu s výkonom certifikačného postupu podľa osobitného predpisu.41)
TRETIA HLAVA
Kontrola
§ 90
Začatie kontroly
(1) Kontrolu spracúvania osobných údajov, kontrolu dodržiavania kódexu správania schváleného úradom podľa § 85, kontrolu súladu spracúvania osobných údajov s vydaným certifikátom podľa § 86 a kontrolu dodržiavania vydaného osvedčenia o udelení akreditácie podľa § 87 a § 88 (ďalej len „kontrola“) vykonáva úrad prostredníctvom kontrolného orgánu zloženého zo zamestnancov úradu (ďalej len „kontrolný orgán“).
(2) Každý člen kontrolného orgánu vykonáva kontrolu na základe písomného poverenia vedúceho zamestnanca; ak je vedúci zamestnanec členom kontrolného orgánu, členovia kontrolného orgánu vykonávajú kontrolu na základe písomného poverenia predsedu úradu.
(3) Člen kontrolného orgánu musí byť zamestnanec úradu, ktorý je bezúhonný, má príslušné odborné vzdelanie a prax v oblasti patriacej do dozornej činnosti úradu.
(4) Písomné poverenie na vykonanie kontroly obsahuje
a) identifikačné údaje úradu,
b) identifikačné údaje kontrolovanej osoby,
c) titul, meno a priezvisko člena kontrolného orgánu, ktorý má kontrolu vykonať,
d) odtlačok úradnej pečiatky a podpis.
(5) Vzor poverenia na vykonanie kontroly zverejní úrad na svojom webovom sídle.
(6) Kontrola je začatá dňom doručenia oznámenia o kontrole prevádzkovateľovi alebo sprostredkovateľovi, zástupcovi prevádzkovateľa alebo zástupcovi sprostredkovateľa, ak bol poverený, alebo monitorujúcemu subjektu podľa § 87, alebo certifikačnému subjektu podľa § 88 (ďalej len „kontrolovaná osoba“).
(7) Kontrolný orgán vykoná kontrolu na základe plánu kontrol alebo na základe podozrenia z porušenia povinností pri spracúvaní osobných údajov ustanovených týmto zákonom alebo osobitným predpisom2) alebo v rámci konania o ochrane osobných údajov.
(8) Pri výkone kontroly je kontrolný orgán povinný postupovať tak, aby neboli dotknuté práva a právom chránené záujmy kontrolovanej osoby.
§ 91
Zaujatosť kontrolného orgánu
(1) Člen kontrolného orgánu, ktorý sa dozvedel o skutočnostiach zakladajúcich pochybnosti o jeho nezaujatosti alebo pochybnosti o nezaujatosti iného člena kontrolného orgánu, je povinný tieto skutočnosti bez zbytočného odkladu písomne oznámiť tomu, kto ho poveril podľa § 90 ods. 2.
(2) Ak má kontrolovaná osoba pochybnosti o nezaujatosti kontrolného orgánu alebo jeho člena so zreteľom na jeho vzťah k predmetu kontroly alebo ku kontrolovanej osobe, je oprávnená podať písomné námietky s uvedením dôvodu najneskôr do 15 dní odo dňa, keď sa o tejto skutočnosti dozvedela. Podanie námietok nemá odkladný účinok; kontrolný orgán je podľa prvej vety oprávnený vykonať pri kontrole len také úkony, ktoré neznesú odklad.
(3) O námietkach zaujatosti kontrolovanej osoby a o oznámení zaujatosti člena kontrolného orgánu rozhodne ten, kto kontrolný orgán poveril podľa § 90 ods. 2 v lehote desiatich pracovných dní od ich uplatnenia a písomné vyhodnotenie rozhodnutia doručí tomu, kto námietku uplatnil. Proti rozhodnutiu o námietkach zaujatosti a proti rozhodnutiu o oznámení zaujatosti člena kontrolného orgánu nemožno podať rozklad.
§ 92
Povinnosti kontrolného orgánu
Kontrolný orgán je povinný
a) vopred písomne oznámiť kontrolovanej osobe predmet kontroly; ak by oznámenie o kontrole pred začatím výkonu kontroly mohlo viesť k zmareniu účelu kontroly alebo podstatnému sťaženiu výkonu kontroly, môže predmet kontroly oznámiť bezprostredne pred výkonom kontroly,
b) písomne oznámiť dátum a čas výkonu kontroly v lehote najmenej desiatich dní pred vykonaním kontroly; ak by oznámenie o začatí výkonu kontroly mohlo viesť k zmareniu účelu kontroly alebo podstatnému sťaženiu výkonu kontroly, môže začatie výkonu kontroly oznámiť bezprostredne pred výkonom kontroly,
c) pred začatím výkonu kontroly a kedykoľvek na požiadanie kontrolovanej osoby, sa preukázať poverením na vykonanie kontroly a služobným preukazom,
d) vypracovať zápisnicu o priebehu výkonu kontroly,
e) vypracovať protokol o kontrole, v ktorom sú uvedené kontrolné zistenia (ďalej len „protokol“), alebo záznam o kontrole,
f) uviesť vyjadrenia kontrolovanej osoby podľa § 95 písm. a) v protokole alebo zázname o kontrole,
g) vypracovať zápisnicu o podaní vysvetlenia podľa § 93 písm. j) a § 94 písm. e),
h) odovzdať kontrolovanej osobe jedno vyhotovenie zápisnice o priebehu výkonu kontroly, zápisnice o podaní vysvetlenia, protokolu alebo záznamu o kontrole,
i) písomne potvrdiť kontrolovanej osobe prevzatie originálu dokladov alebo kópií dokladov, písomných dokumentov, kópií pamäťových médií a iných materiálov a dôkazov a zabezpečiť ich riadnu ochranu pred ich stratou, zničením, poškodením alebo ich zneužitím,
j) posúdiť opodstatnenosť námietok ku kontrolným zisteniam uvedeným v protokole a zohľadniť opodstatnenosť námietok v dodatku k protokolu a oboznámiť s ním kontrolovanú osobu,
k) prerokovať protokol s kontrolovanou osobou a vyhotoviť zápisnicu o jeho prerokovaní.
§ 93
Oprávnenia kontrolného orgánu
Kontrolný orgán je oprávnený
a) vstupovať na pozemok a do priestorov kontrolovanej osoby, ak na to nie je potrebné povolenie podľa osobitného predpisu,33)
b) mať prístup k prostriedkom a zariadeniam, ktoré môžu slúžiť alebo slúžia, alebo mali slúžiť na spracúvanie osobných údajov kontrolovanou osobou,
c) mať prístup k údajom v automatizovaných prostriedkoch spracúvania do úrovne správcu systému vrátane v rozsahu potrebnom na vykonanie kontroly,
d) overovať totožnosť fyzických osôb, ktoré v mene kontrolovanej osoby konajú alebo poskytujú kontrolnému orgánu súčinnosť,
e) vyžadovať od kontrolovanej osoby, aby kontrolnému orgánu v určenej lehote poskytla originál dokladov alebo kópiu dokladov, iných písomností, vyjadrenia a informácie, osobné údaje spracúvané na pamäťových médiách vrátane technických nosičov osobných údajov, výpisy a zdrojové kódy programov, ak ich vlastní alebo má k dispozícii v súlade s podmienkami ich nadobudnutia, a ďalšie materiály alebo podklady potrebné na výkon kontroly a v odôvodnených prípadoch mu umožnila odoberať originály alebo kópie aj mimo priestorov kontrolovanej osoby,
f) požadovať v primeranej lehote od kontrolovanej osoby úplné a pravdivé ústne a písomné informácie, vyjadrenia a vysvetlenia ku kontrolovaným skutočnostiam a s kontrolou súvisiacim skutočnostiam,
g) zdokumentovať dôkazy súvisiace s výkonom kontroly vyhotovovaním fotodokumentácie, audiozáznamu, videozáznamu alebo audiovizuálneho záznamu, a to aj bez súhlasu dotknutej osoby,
h) vyžadovať aj inú súčinnosť kontrolovanej osoby v rozsahu predmetu kontroly,
i) vyžadovať poskytnutie súčinnosti na mieste výkonu kontroly aj od inej než kontrolovanej osoby, najmä od sprostredkovateľa kontrolovanej osoby a jeho zamestnancov, alebo iných osôb, ak je dôvod predpokladať, že ich činnosť má vzťah k predmetu kontroly alebo ak je to potrebné na objasnenie skutočností súvisiacich s predmetom kontroly,
j) predvolať v určenom čase a na určené miesto kontrolovanú osobu a aj inú než kontrolovanú osobu s cieľom podať vysvetlenie k predmetu kontroly,
k) vykonávať spoločné operácie spolu s dozornými orgánmi iných členských štátov podľa osobitného predpisu.44)
§ 94
Povinnosti kontrolovanej osoby
Kontrolovaná osoba je povinná
a) strpieť výkon kontroly a vytvoriť kontrolnému orgánu primerané podmienky na výkon kontroly a spracovanie kontrolných zistení,
b) poskytnúť kontrolnému orgánu súčinnosť nevyhnutnú na riadny výkon kontroly, najmä pri dokumentovaní primeranej úrovne bezpečnosti s ohľadom na riziká, ktoré predstavuje spracúvanie osobných údajov v podmienkach prevádzkovateľa a sprostredkovateľa,
c) v čase výkonu kontroly zabezpečiť kontrolnému orgánu dostupný a bezpečný prístup k zariadeniam, prostriedkom a k informačným systémom,
d) poskytnúť kontrolnému orgánu požadovanú súčinnosť v súlade s jeho oprávneniami podľa § 93 a zdržať sa konania, ktoré by mohlo mariť výkon kontroly,
e) dostaviť sa na predvolanie kontrolného orgánu s cieľom podať vysvetlenia k predmetu kontroly,
f) v určenej lehote poskytnúť kontrolnému orgánu originál alebo kópiu dokladov, iných písomností, vyjadrenia a informácie, osobné údaje spracúvané na pamäťových médiách vrátane technických nosičov osobných údajov, výpisy a zdrojové kódy programov, ak ich vlastní alebo má k dispozícii, a ďalšie materiály alebo podklady potrebné na výkon kontroly a v odôvodnených prípadoch umožniť odoberať originály alebo kópie aj mimo priestorov kontrolovanej osoby,
g) poskytnúť kontrolnému orgánu úplné a pravdivé ústne a písomné informácie, vyjadrenia a vysvetlenia ku kontrolovaným a s kontrolou súvisiacim skutočnostiam,
h) na požiadanie kontrolného orgánu sa dostaviť na prerokovanie protokolu.
§ 95
Oprávnenia kontrolovanej osoby
Kontrolovaná osoba je oprávnená
a) priebežne sa vyjadrovať ku skutočnostiam zisteným v priebehu kontroly,
b) oboznámiť sa s obsahom protokolu a podať písomné námietky po oboznámení sa s kontrolnými zisteniami v protokole,
c) vyžadovať od kontrolného orgánu preukázanie skutočností podľa § 92 písm. b) a c),
d) vyžadovať od prizvanej osoby preukázanie sa písomným poverením predsedu úradu podľa § 96 ods. 2,
e) vyžadovať od kontrolného orgánu potvrdenie o odobratí originálu dokladov alebo kópie dokladov podľa § 93 písm. e).
§ 96
Prizvaná osoba
(1) Kontrolný orgán môže prizvať na vykonanie kontroly inú fyzickú osobu alebo zástupcu dozorného orgánu z iného členského štátu (ďalej spolu len „prizvaná osoba“), ak je to odôvodnené osobitnou povahou kontroly. Účasť prizvanej osoby pri výkone kontroly sa považuje za iný úkon vo všeobecnom záujme.
(2) Prizvaná osoba sa zúčastňuje kontroly na základe písomného poverenia predsedu úradu; o prizvaní kontrolný orgán upovedomí kontrolovanú osobu podľa § 92 písm. a).
(3) Prizvaná osoba najneskôr pri začatí výkonu kontroly preukazuje svoje oprávnenie na vykonanie kontroly kontrolovanej osobe písomným poverením na vykonanie kontroly podľa § 90 ods. 2 a § 92 písm. c).
(4) Prizvaná osoba je povinná zachovávať mlčanlivosť o skutočnostiach, o ktorých sa dozvedela počas výkonu kontroly, a to aj po jej ukončení. Povinnosti mlčanlivosti môže prizvanú osobu zbaviť predseda úradu. Zástupca dozorného orgánu z iného členského štátu, ako prizvaná osoba, nie je viazaný povinnosťou mlčanlivosti vo vzťahu k vysielajúcemu dozornému orgánu iného členského štátu v rozsahu nevyhnutnom na plnenie úloh spojených s jeho účasťou na kontrole.
(5) Prizvaná osoba nemôže vykonávať úlohy podľa tohto zákona alebo osobitného predpisu,2) ak so zreteľom na jej vzťah k predmetu kontroly alebo ku kontrolovanej osobe možno mať pochybnosti o jej nezaujatosti. Prizvaná osoba, ktorá vie o skutočnostiach zakladajúcich pochybnosti o jej nezaujatosti, oznámi tieto skutočnosti bez zbytočného odkladu predsedovi úradu.
(6) Kontrolovaná osoba môže písomne vzniesť odôvodnené námietky o zaujatosti prizvanej osoby. Prizvaná osoba môže do rozhodnutia o námietkach zaujatosti vykonať v rámci kontroly len také úkony, ktoré neznesú odklad.
(7) O oznámení zaujatosti prizvanou osobou podľa odseku 5 a o námietkach zaujatosti kontrolovanej osoby podľa odseku 6 rozhodne predseda úradu v lehote do desiatich pracovných dní od ich doručenia. Proti rozhodnutiu predsedu úradu nemožno podať rozklad.
§ 97
Ukončenie kontroly
(1) Výsledkom kontroly je protokol alebo záznam o kontrole.
(2) Ak boli kontrolou zistené nedostatky pri spracúvaní osobných údajov, kontrolný orgán vypracuje protokol, ktorý obsahuje
a) identifikačné údaje úradu,
b) identifikačné údaje kontrolovanej osoby,
c) dátum začatia kontroly,
d) predmet kontroly,
e) preukázané kontrolné zistenia s ich odôvodnením,
f) titul, meno a priezvisko člena kontrolného orgánu, ktorý kontrolu vykonal,
g) dátum vypracovania protokolu,
h) odtlačok úradnej pečiatky úradu a podpisy členov kontrolného orgánu.
(3) Ak protokol podľa odseku 2 obsahuje prílohy preukazujúce kontrolné zistenia, tieto tvoria súčasť protokolu.
(4) Kontrolovaná osoba je po oboznámení sa s kontrolnými zisteniami v protokole oprávnená podať písomné námietky v lehote 21 dní odo dňa doručenia protokolu. Na neskôr podané námietky kontrolný orgán neprihliada.
(5) Ak sú proti kontrolným zisteniam podané námietky podľa odseku 4 alebo vyšli najavo nové skutočnosti, týkajúce sa predmetu kontroly, kontrolný orgán posúdi ich obsah z hľadiska ich opodstatnenosti a vypracuje o nich dodatok, ktorý je neoddeliteľnou súčasťou protokolu. Ak kontrolný orgán neakceptuje námietky kontrolovanej osoby, je povinný to v dodatku zdôvodniť; pri jeho vypracovaní sa postupuje primerane podľa odseku 2.
(6) Kontrolný orgán písomne informuje kontrolovanú osobu o výsledku preskúmania námietok v lehote 15 pracovných dní odo dňa doručenia námietok.
(7) Kontrolný orgán písomne vyzve kontrolovanú osobu na prerokovanie protokolu po doručení výsledku preskúmania námietok kontrolovanej osobe podľa odseku 6 alebo po márnom uplynutí lehoty na podanie námietok kontrolovanou osobou podľa odseku 4; kontrolný orgán vypracuje zápisnicu o prerokovaní protokolu, ktorá je súčasťou protokolu.
(8) Ak sa kontrolou nezistí porušenie povinností ustanovených týmto zákonom alebo osobitným predpisom,2) kontrolný orgán vypracuje záznam o kontrole. Pri jeho vypracovaní sa postupuje primerane podľa odsekov 2 a 3.
(9) Kontrola je ukončená
a) dňom podpísania zápisnice o prerokovaní protokolu,
b) dňom odmietnutia podpísať zápisnicu o prerokovaní protokolu, o čom kontrolný orgán vyhotoví v zápisnici o prerokovaní protokolu záznam,
c) dňom nedostavenia sa na prerokovanie protokolu na písomnú výzvu kontrolného orgánu podľa odseku 7, o čom kontrolný orgán vyhotoví v zápisnici o prerokovaní protokolu záznam, alebo
d) dňom doručenia záznamu o kontrole podľa odseku 8.
§ 98
Na výkon kontroly sa nevzťahuje osobitný predpis.45)
ŠTVRTÁ HLAVA
Konanie o ochrane osobných údajov
§ 99
Konanie o ochrane osobných údajov
(1) Účelom konania o ochrane osobných údajov (ďalej len „konanie“) je zistiť, či došlo k porušeniu práv fyzických osôb pri spracúvaní ich osobných údajov alebo došlo k porušeniu tohto zákona alebo osobitného predpisu2) v oblasti ochrany osobných údajov, a v prípade zistenia nedostatkov, ak je to dôvodné a účelné, uložiť opatrenia na nápravu, prípadne pokutu za porušenie tohto zákona alebo osobitného predpisu2) pre oblasť ochrany osobných údajov.
(2) Konanie je neverejné.
(3) Účastníkom konania môže byť
a) dotknutá osoba, ktorá podala návrh na začatie konania podľa § 100,
b) prevádzkovateľ,
c) sprostredkovateľ,
d) certifikačný subjekt,
e) monitorujúci subjekt.
(4) Ak sa návrh dotknutej osoby podľa § 100 týka prevádzkovateľa alebo sprostredkovateľa, pri ktorom je príslušný dozorný orgán hlavnej prevádzkarne alebo jedinej prevádzkarne prevádzkovateľa alebo sprostredkovateľa pre cezhraničné spracúvanie vykonávané zo strany prevádzkovateľa alebo sprostredkovateľa podľa osobitného predpisu (ďalej len „vedúci dozorný orgán“),46) úrad postupuje podľa osobitného predpisu.47)
(5) Úrad informuje dotknutú osobu o rozhodnutí vedúceho dozorného orgánu. Ak vedúci dozorný orgán návrh odmietne alebo mu nevyhovie, alebo rozhodne, že sa ním nebude zaoberať podľa osobitného predpisu,47) úrad začne konanie podľa § 100.
(6) Ak sa spracúvanie osobných údajov podľa odseku 4 týka prevádzkovateľa alebo sprostredkovateľa, ktorý spracúva osobné údaje na právnom základe podľa § 13 ods. 1 písm. c) alebo písm. e), za vecne príslušný sa považuje úrad a postup podľa odseku 4 sa neuplatní.
§ 100
Začatie konania
(1) Konanie sa začína na návrh dotknutej osoby alebo osoby, ktorá tvrdí, že je priamo dotknutá na svojich právach ustanovených týmto zákonom (ďalej len „navrhovateľ“), alebo bez návrhu.
(2) Úrad začne konanie bez návrhu aj na základe zistenia úradu pri výkone dozoru nad dodržiavaním povinností ustanovených týmto zákonom alebo osobitným predpisom.2)
(3) Návrh na začatie konania podľa odseku 1 (ďalej len „návrh“) musí obsahovať
a) meno, priezvisko, korešpondenčnú adresu a podpis navrhovateľa,
b) označenie toho, proti komu návrh smeruje s uvedením mena, priezviska, trvalého pobytu alebo názvu, sídla a identifikačného čísla, ak bolo pridelené,
c) predmet návrhu s označením práv, ktoré mali byť pri spracúvaní osobných údajov porušené,
d) dôkazy na podporu tvrdení uvedených v návrhu,
e) kópiu listiny alebo iný dôkaz preukazujúci uplatnenie práva podľa druhej časti druhej hlavy tohto zákona alebo osobitného predpisu,2) ak si takéto právo dotknutá osoba uplatnila, alebo uvedenie dôvodov hodných osobitného zreteľa o neuplatnení predmetného práva, ak návrh podala dotknutá osoba.
(4) Úrad uverejní vzor návrhu na svojom webovom sídle.
(5) Úrad návrh odloží, ak
a) návrh je zjavne neopodstatnený,
b) vec, ktorej sa návrh týka, prejednáva súd alebo orgán činný v trestnom konaní,
c) navrhovateľ neposkytol úradu na jeho žiadosť potrebnú súčinnosť, pričom bez jeho aktívnej účasti nemožno vec vybaviť; úrad navrhovateľa o možnosti odloženia návrhu upovedomí,
d) od udalosti, ktorej sa návrh týka, uplynuli v deň jeho doručenia viac ako tri roky.
(6) Ak návrh neobsahuje požiadavku na utajenie totožnosti navrhovateľa, úrad vybaví návrh bez utajenia osobných údajov uvedených v návrhu. Ak je v návrhu požiadavka na utajenie totožnosti, ale charakter návrhu neumožňuje jej vybavenie bez uvedenia niektorého údaja o osobe, ktorá návrh podala, úrad po zistení tejto skutočnosti o tom navrhovateľa upovedomí, pričom ho zároveň upozorní, že v návrhu bude pokračovať, len ak navrhovateľ v určenej lehote udelí úradu súhlas s uvedením údaja alebo údajov o svojej osobe potrebných na vybavenie návrhu.
(7) Ak návrh doručí úradu iná osoba ako dotknutá osoba, návrh sa považuje za podnet na začatie konania bez návrhu (ďalej len „podnet“).
(8) Úrad posúdi podnet do 30 dní odo dňa doručenia podnetu úradu, a ak podnet neodloží podľa odseku 5, začne konanie a vo veci rozhodne podľa § 102.
(9) O spôsobe vybavenia podnetu podľa odseku 8 úrad informuje podávateľa do 30 dní odo dňa doručenia podnetu úradu.
§ 101
Lehoty
(1) Úrad rozhodne v konaní do 90 dní odo dňa začatia konania. V odôvodnených prípadoch úrad túto lehotu primerane predĺži, najviac však o 180 dní. O predĺžení lehoty úrad písomne informuje účastníkov konania.
(2) Ak je počas konania potrebné vykonať kontrolu, lehota na vydanie rozhodnutia podľa odseku 1 neplynie odo dňa začatia kontroly do dňa ukončenia kontroly.
(3) Ak počas konania úrad zistí splnenie podmienok na prerušenie konania podľa osobitného predpisu,48) úrad konanie preruší, o čom informuje účastníkov konania.
§ 102
Rozhodnutie
(1) Ak úrad zistí porušenie práv dotknutej osoby alebo nesplnenie povinností pri spracúvaní osobných údajov ustanovených týmto zákonom alebo osobitným predpisom2) pre oblasť ochrany osobných údajov účastníkom konania, rozhodnutím môže
a) uložiť opatrenia na nápravu a lehotu na vykonanie nariadeného opatrenia podľa odseku 3, ak je to dôvodné a účelné,
b) zrušiť záväznosť schváleného kódexu správania pre prevádzkovateľa alebo sprostredkovateľa, ktorý sa zaviazal dodržiavať schválený kódex správania,
c) odňať certifikát,
d) nariadiť certifikačnému subjektu odňatie certifikátu,
e) odňať osvedčenie o udelení akreditácie,
f) uložiť pokutu podľa § 104.
(2) Ak úrad v konaní nerozhodne podľa odseku 1, ak sa v konaní nepreukáže porušenie práv dotknutej osoby alebo ak sa nepreukáže nesplnenie povinností pri spracúvaní osobných údajov ustanovených týmto zákonom alebo osobitným predpisom2) účastníkom konania, úrad konanie zastaví.
(3) Úrad je oprávnený uložiť povinnosť prevádzkovateľovi alebo sprostredkovateľovi, najmä nariadiť
a) odstránenie zistených nedostatkov a príčin ich vzniku v úradom určenej lehote,
b) prijatie technických a organizačných opatrení s cieľom zaistiť úroveň bezpečnosti primeranú rizikám pre práva fyzických osôb,
c) posúdenie vplyvu spracovateľských operácií na ochranu osobných údajov v súlade s týmto zákonom alebo osobitným predpisom.2)
(4) Ak porušenie práv dotknutej osoby alebo nesplnenie povinností pri spracúvaní osobných údajov neznesie odklad, úrad vydá predbežné opatrenie.
(5) Prevádzkovateľ alebo sprostredkovateľ je povinný písomne informovať úrad o splnení uložených opatrení v úradom určenej lehote.
§ 103
(1) Proti rozhodnutiu podľa § 102 možno podať rozklad, o ktorom rozhodne predseda úradu.
(2) Podávateľ rozkladu môže rozšíriť podaný rozklad alebo doplniť podaný rozklad o ďalší návrh alebo o ďalšie body len v lehote určenej na podanie rozkladu.
PIATA HLAVA
Správne delikty
§ 104
(1) Úrad môže uložiť pokutu do 10 000 000 eur, alebo ak ide o podnik do 2 % celkového svetového ročného obratu za predchádzajúci účtovný rok, podľa toho, ktorá suma je vyššia,
a) prevádzkovateľovi, vrátane orgánu verejnej moci a verejnoprávnym inštitúciám, za neplnenie alebo porušenie niektorej z povinností podľa § 15, § 18, § 31 až 35, § 37, § 39 až 45, § 79 a § 109 alebo podľa čl. 8, čl. 11, čl. 25 až 39, čl. 42 a čl. 43 nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (Ú. V. EÚ L 119, 4. 5. 2016) (ďalej len „nariadenie (EÚ) 2016/679“),
b) príslušnému orgánu za neplnenie alebo porušenie niektorej z povinností podľa § 67 až 72,
c) sprostredkovateľovi vrátane orgánu verejnej moci a verejnoprávnej inštitúcii v postavení sprostredkovateľa, za neplnenie alebo porušenie niektorej z povinností podľa § 34 až 37, § 39, § 40 ods. 3, § 44, § 45, § 69 ods. 3, § 71, § 79 a § 109 alebo podľa čl. 27 až 33, čl. 37 až 39, čl. 42 a čl. 43 nariadenia (EÚ) 2016/679,
d) certifikačnému subjektu za neplnenie alebo porušenie niektorej z povinností podľa § 88 a 89 alebo podľa čl. 42 a 43 nariadenia (EÚ) 2016/679,
e) monitorujúcemu subjektu za neplnenie alebo porušenie niektorej z povinností podľa § 87 ods. 5 a 19 alebo podľa čl. 41 ods. 4 nariadenia (EÚ) 2016/679.
(2) Úrad môže uložiť pokutu do 20 000 000 eur, alebo ak ide o podnik do 4 % celkového svetového ročného obratu za predchádzajúci účtovný rok, podľa toho, ktorá suma je vyššia, tomu, kto
a) nesplnil alebo porušil niektorú zo základných zásad spracúvania osobných údajov vrátane podmienok súhlasu podľa § 6 až 14, § 16 a § 52 až 58 alebo podľa čl. 5 až 7 a čl. 9 nariadenia (EÚ) 2016/679,
b) nesplnil alebo porušil niektoré z práv dotknutej osoby podľa § 19 až 29 a § 59 až 66 alebo podľa čl. 12 až 22 nariadenia (EÚ) 2016/679,
c) nesplnil alebo porušil niektorú z povinností pri prenose osobných údajov príjemcovi v tretej krajine alebo medzinárodnej organizácii podľa § 49 až 51 a § 73 až 77 alebo podľa čl. 44 až 49 nariadenia (EÚ) 2016/679,
d) nesplnil alebo porušil niektorú z povinností zákonného spracúvania osobných údajov podľa § 78,
e) nesplnil príkaz alebo nedodržal dočasné alebo trvalé obmedzenie spracúvania osobných údajov alebo pozastavenie prenosu osobných údajov nariadeného úradom podľa § 81 ods. 3 alebo podľa čl. 58 ods. 2 nariadenia (EÚ) 2016/679 alebo v rozpore s čl. 58 ods. 1 nariadenia (EÚ) 2016/679 neposkytol prístup.
(3) Tomu, kto nesplnil úradom uložené opatrenie podľa § 102 ods. 1 písm. a) alebo čl. 58 ods. 2 nariadenia (EÚ) 2016/679, môže úrad uložiť pokutu do 20 000 000 eur, alebo ak ide o podnik do 4 % celkového svetového ročného obratu za predchádzajúci účtovný rok, podľa toho, ktorá suma je vyššia.
§ 105
(1) Úrad môže uložiť poriadkovú pokutu do 2 000 eur osobe, ktorá nie je prevádzkovateľom alebo sprostredkovateľom, za neposkytnutie požadovanej súčinnosti úradu pri výkone dozoru podľa § 109 alebo osobitného predpisu.2)
(2) Úrad môže uložiť poriadkovú pokutu prevádzkovateľovi alebo sprostredkovateľovi, prípadne zástupcovi prevádzkovateľa alebo sprostredkovateľa
a) do 2 000 eur, ak nezabezpečí primerané podmienky na výkon kontroly podľa § 94 písm. a),
b) do 10 000 eur, ak marí výkon kontroly podľa § 94 písm. b) až h).
§ 106
(1) Úrad ukladá pokuty a poriadkové pokuty v závislosti od okolností každého jednotlivého prípadu. Pri rozhodovaní o uložení pokuty a určení jej výšky podľa § 104 úrad zohľadní najmä
a) povahu, závažnosť a trvanie porušenia, povahu, rozsah alebo účel spracúvania osobných údajov, ako aj počet dotknutých osôb, na ktoré malo vplyv, a rozsah škody, ak vznikla,
b) prípadné zavinenie porušenia ochrany osobných údajov
c) opatrenia, ktoré prevádzkovateľ alebo sprostredkovateľ prijal na zmiernenie škody, ktorú dotknuté osoby utrpeli,
d) mieru zodpovednosti prevádzkovateľa alebo sprostredkovateľa so zreteľom na technické a organizačné opatrenia, ktoré prijal podľa § 32, § 39 a § 42,
e) predchádzajúce porušenia ochrany osobných údajov zo strany prevádzkovateľa alebo sprostredkovateľa,
f) mieru spolupráce s úradom pri náprave porušenia ochrany osobných údajov a zmiernení možných nepriaznivých dôsledkov porušenia ochrany osobných údajov,
g) kategóriu osobných údajov, ktorých sa porušenie ochrany osobných údajov týka,
h) spôsob, akým sa úrad o porušení ochrany osobných údajov dozvedel, a najmä to, či prevádzkovateľ alebo sprostredkovateľ porušenie ochrany osobných údajov oznámili, a ak áno, v akom rozsahu,
i) splnenie opatrení prevádzkovateľom alebo sprostredkovateľom, ak boli skoršie v konaní o ochrane osobných údajov uložené také opatrenia podľa § 102 ods. 1,
j) dodržiavanie schválených kódexov správania podľa § 85 alebo vydaných certifikátov podľa § 86,
k) priťažujúce okolnosti alebo poľahčujúce okolnosti, najmä finančné výhody alebo straty, ktorým sa zabránilo, priamo alebo nepriamo v súvislosti s porušením ochrany osobných údajov.
(2) Ak prevádzkovateľ alebo sprostredkovateľ úmyselne alebo z nedbanlivosti tými istými spracovateľskými operáciami alebo súvisiacimi spracovateľskými operáciami poruší viacero ustanovení tohto zákona alebo osobitného predpisu,2) celková suma pokuty nesmie presiahnuť výšku ustanovenú za najzávažnejšie porušenie ochrany osobných údajov podľa § 104.
(3) Pokutu podľa § 104 možno uložiť do dvoch rokov odo dňa, keď úrad porušenie povinnosti zistil, najneskôr však do piatich rokov odo dňa, keď k porušeniu povinnosti došlo.
(4) Poriadkovú pokutu podľa § 105 úrad uloží opakovane, ak povinnosť nebola splnená v určenej lehote.
(5) Poriadkovú pokutu podľa § 105 možno uložiť do 6 mesiacov odo dňa, keď k porušeniu povinnosti došlo.
(6) Pokuty a poriadkové pokuty sú príjmom štátneho rozpočtu.
ŠIESTA ČASŤ
Spoločné, prechodné a záverečné ustanovenia
§ 107
Spoločné ustanovenia
(1) Na konania podľa tohto zákona sa vzťahuje správny poriadok, ak odsek 2 neustanovuje inak.
(2) Správny poriadok sa nepoužije na rozhodovanie o zaujatosti kontrolného orgánu podľa § 91, na rozhodovanie o zaujatosti prizvanej osoby podľa § 96 ods. 5 až 7 a na výkon kontroly podľa piatej časti tretej hlavy okrem doručovania písomností pri výkone kontroly.
(3) Na účel preukázania bezúhonnosti podľa § 82 ods. 4 a § 83 ods. 3 poskytne fyzická osoba údaje potrebné na vyžiadanie výpisu z registra trestov.49) Údaje podľa prvej vety Kancelária Národnej rady Slovenskej republiky a úrad bezodkladne zašlú v elektronickej podobe prostredníctvom elektronickej komunikácie Generálnej prokuratúre Slovenskej republiky na vydanie výpisu z registra trestov.
§ 108
(1) Úrad vydá všeobecne záväzný právny predpis na vykonanie § 29 ods. 9, § 70 ods. 4, § 86
ods. 19, § 87 ods. 20 a § 88 ods. 19.
(2) Ďalšie prípady spracovateľských operácií, ktoré podliehajú posúdeniu vplyvu na ochranu osobných údajov a postup pri posudzovaní vplyvu na ochranu osobných údajov podľa tohto zákona ustanoví všeobecne záväzný právny predpis, ktorý vydá úrad.
§ 109
Súčinnosť
Každý je povinný poskytnúť úradu potrebnú súčinnosť pri výkone jeho úloh a právomoci a umožniť úradu vykonať dozor nad dodržiavaním povinností podľa tohto zákona alebo osobitného predpisu2) a rozhodnutí vydaných na základe tohto zákona. Týmto nie sú dotknuté ustanovenia § 81 ods. 7 a 8.
§ 110
Prechodné ustanovenia
(1) Úrad na ochranu osobných údajov Slovenskej republiky podľa doterajšieho zákona je úradom podľa tohto zákona a dozorným orgánom podľa osobitného predpisu.2)
(2) Predseda Úradu na ochranu osobných údajov Slovenskej republiky zvolený do funkcie podľa doterajšieho zákona je predsedom úradu podľa tohto zákona; týmto nie je dotknuté plynutie jeho funkčného obdobia.
(3) Podpredseda Úradu na ochranu osobných údajov Slovenskej republiky vymenovaný do funkcie podľa doterajšieho zákona je podpredsedom úradu podľa tohto zákona; týmto nie je dotknuté plynutie jeho funkčného obdobia.
(4) Vykonávanie funkcie vrchného inšpektora úradu, ktorý bol vymenovaný do funkcie podľa doterajšieho zákona skončí dňom nadobudnutia účinnosti tohto zákona.
(5) Ak bol vrchný inšpektor úradu, ktorého vykonávanie funkcie skončilo podľa odseku 4, štátnym zamestnancom v stálej štátnej službe podľa osobitného predpisu,7) považuje sa odo dňa účinnosti tohto zákona za štátneho zamestnanca v stálej štátnej službe podľa osobitného predpisu.7) Ak bol vrchný inšpektor úradu, ktorého vykonávanie funkcie skončilo podľa odseku 4, štátnym zamestnancom v dočasnej štátnej službe podľa osobitného predpisu,7) skončí sa jeho štátnozamestnanecký pomer dňom nadobudnutia účinnosti tohto zákona.
(6) Vykonávanie funkcie inšpektora úradu, ktorý bol vymenovaný do funkcie podľa doterajšieho zákona, skončí dňom nadobudnutia účinnosti tohto zákona.
(7) Inšpektor úradu, ktorého funkcia skončila podľa odseku 6, sa odo dňa účinnosti tohto zákona považuje za štátneho zamestnanca podľa osobitného predpisu.7)
(8) Kontrola začatá podľa doterajšieho zákona sa dokončí podľa doterajšieho zákona.
(9) Konanie o ochrane osobných údajov podľa doterajšieho zákona a konanie o pokute podľa doterajšieho zákona začaté a právoplatne neskončené do 24. mája 2018 sa dokončí podľa doterajšieho zákona.
(10) Príslušný orgán je povinný zabezpečiť vedenie logov podľa § 69 v informačných systémoch osobných údajov zriadených podľa doterajších predpisov od 6. mája 2023; ak by to spôsobilo vážne problémy pre fungovanie daného informačného systému osobných údajov tak príslušný orgán je povinný zabezpečiť vedenie logov podľa § 69 najneskôr od 6. mája 2026.
(11) Súhlas so spracúvaním osobných údajov udelený podľa doterajšieho zákona, ktorý je v súlade s týmto zákonom alebo osobitným predpisom,2) sa považuje za súhlas so spracúvaním osobných údajov podľa predpisov účinných od 25. mája 2018.
(12) Zodpovedná osoba poverená podľa doterajšieho zákona, ktorá spĺňa podmienky podľa tohto zákona alebo osobitného predpisu,2) sa považuje za zodpovednú osobu podľa predpisov účinných od 25. mája 2018.
§ 111
Týmto zákonom sa preberajú právne záväzné akty Európskej únie uvedené v prílohe.
§ 112
Zrušovacie ustanovenie
Zrušujú sa:
1. Zákon č. 122/2013 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov v znení zákona č. 84/2014 Z. z.,
2. vyhláška Úradu na ochranu osobných údajov Slovenskej republiky č. 164/2013 Z. z. o rozsahu a dokumentácii bezpečnostných opatrení v znení vyhlášky č. 117/2014 Z. z.,
3. vyhláška Úradu na ochranu osobných údajov Slovenskej republiky č. 165/2013 Z. z., ktorou sa ustanovujú podrobnosti o skúške fyzickej osoby na výkon funkcie zodpovednej osoby.
Čl. XVI
Tento zákon nadobúda účinnosť 25. mája 2018.
Andrej Kiska v. r.
Andrej Danko v. r.
Robert Fico v. r.
1) § 57 ods. 2 zákona č. 351/2011 Z. z. o elektronických komunikáciách v znení neskorších predpisov.
2) Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (Ú. v. EÚ L 119, 4. 5. 2016).
3) § 17 ods. 9 zákona Národnej rady Slovenskej republiky č. 46/1993 Z. z. o Slovenskej informačnej službe v znení zákona č. 192/2011 Z. z.
4) § 17 ods. 6 zákona Národnej rady Slovenskej republiky č. 198/1994 Z. z. o Vojenskom spravodajstve v znení zákona
č. 444/2015 Z. z.
§ 14 ods. 7 zákona č. 281/2015 Z. z. o štátnej službe profesionálnych vojakov a o zmene a doplnení niektorých zákonov.
5) Zákon č. 215/2004 Z. z. o ochrane utajovaných skutočností a o zmene a doplnení niektorých zákonov v znení neskorších predpisov.
6) Zákon č. 552/2003 Z. z. o výkone práce vo verejnom záujme v znení neskorších predpisov.
7) Zákon č. 55/2017 Z. z. o štátnej službe a o zmene a doplnení niektorých zákonov.
8) Napríklad zákon Národnej rady Slovenskej republiky č. 171/1993 Z. z. o Policajnom zbore v znení neskorších predpisov, zákon č. 540/2001 Z. z. o štátnej štatistike v znení neskorších predpisov, zákon č. 395/2002 Z. z. o archívoch a registratúrach a o doplnení niektorých zákonov v znení neskorších predpisov alebo zákon č. 553/2002 Z. z. o sprístupnení dokumentov o činnosti bezpečnostných zložiek štátu 1939-1989 a o založení Ústavu pamäti národa a o doplnení niektorých zákonov (zákon o pamäti národa) v znení neskorších predpisov.
9) Zákon č. 22/2004 Z. z. o elektronickom obchode a o zmene a doplnení zákona č. 128/2002 Z. z. o štátnej kontrole vnútorného trhu vo veciach ochrany spotrebiteľa a o zmene a doplnení niektorých zákonov v znení zákona č. 284/2002 Z. z. v znení neskorších predpisov.
10) Zákon č. 36/2005 Z. z. o rodine a o zmene a doplnení niektorých zákonov v znení neskorších predpisov.
11) Napríklad Zákonník práce v znení neskorších predpisov, zákon č. 461/2003 Z. z. o sociálnom poistení v znení neskorších predpisov alebo zákon č. 5/2004 Z. z. o službách zamestnanosti a o zmene a doplnení niektorých zákonov v znení neskorších predpisov.
12) Napríklad Občiansky zákonník, Obchodný zákonník, zákon č. 250/2007 Z. z. o ochrane spotrebiteľa a o zmene zákona Slovenskej národnej rady č. 372/1990 Zb. o priestupkoch v znení neskorších predpisov v znení neskorších predpisov, zákon č. 90/2016 Z. z. o úveroch na bývanie a o zmene a doplnení niektorých zákonov v znení neskorších predpisov.
13) Zákon č. 447/2008 Z. z. o peňažných príspevkoch na kompenzáciu ťažkého zdravotného postihnutia a o zmene a doplnení niektorých zákonov v znení neskorších predpisov.
14) Zákon č. 328/2002 Z. z. o sociálnom zabezpečení policajtov a vojakov a o zmene a doplnení niektorých zákonov v znení neskorších predpisov.
15) Napríklad zákon č. 576/2004 Z. z. o zdravotnej starostlivosti, službách súvisiacich s poskytovaním zdravotnej starostlivosti a o zmene a doplnení niektorých zákonov v znení neskorších predpisov.
16) Zákon č. 330/2007 Z. z. o registri trestov a o zmene a doplnení niektorých zákonov v znení neskorších predpisov.
17) § 2 ods. 15 zákona č. 395/2002 Z. z. v znení neskorších predpisov.
18) § 20 zákona č. 395/2002 Z. z. v znení neskorších predpisov.
19) Napríklad Civilný sporový poriadok, Správny súdny poriadok.
20) Civilný sporový poriadok.
21) Zákon č. 757/2004 Z. z. o súdoch a o zmene a doplnení niektorých zákonov v znení neskorších predpisov.
Trestný poriadok.
22) Zákon Národnej rady Slovenskej republiky č. 301/1995 Z. z. o rodnom čísle v znení zákona č. 515/2003 Z. z.
23) § 116 Občianskeho zákonníka.
24) Čl. 15, 16, 18 a 21 nariadenia (EÚ) 2016/679.
25) Čl. 15, 16, 18 až 21 nariadenia (EÚ) 2016/679.
26) Napríklad zákon Národnej rady Slovenskej republiky č. 566/1992 Zb. o Národnej banke Slovenska v znení neskorších predpisov, zákon Národnej rady Slovenskej republiky č. 46/1993 Z. z. v znení neskorších predpisov, zákon Národnej rady Slovenskej republiky č. 171/1993 Z. z. v znení neskorších predpisov, zákon č. 215/2004 Z. z. v znení neskorších predpisov, zákon č. 563/2009 Z. z. o dani z motorových vozidiel a o zmene a doplnení niektorých zákonov v znení neskorších predpisov, zákon č. 307/2014 Z. z. o niektorých opatreniach súvisiacich s oznamovaním protispoločenskej činnosti a o zmene a doplnení niektorých zákonov v znení neskorších predpisov.
27) § 21 ods. 1 a ods. 5 písm. a) zákona č. 523/2004 Z. z. o rozpočtových pravidlách verejnej správy a o zmene a doplnení niektorých zákonov v znení neskorších predpisov.
28) Čl. 51 ods. 1 nariadenia (EÚ) 2016/679.
29) Čl. 57 ods. 1 a čl. 58 ods. 1 až 3 nariadenia (EÚ) 2016/679.
30) Napríklad čl. 56, 60 až 62 nariadenia (EÚ) 2016/679.
31) Čl. 68 nariadenia (EÚ) 2016/679.
32) Čl. 56, 60 a čl. 61 ods. 1 až 8 nariadenia (EÚ) 2016/679.
33) Napríklad zákon č. 215/2004 Z. z. v znení neskorších predpisov.
34) § 60 zákona Národnej rady Slovenskej republiky č. 350/1996 Z. z. o rokovacom poriadku Národnej rady Slovenskej republiky v znení zákona č. 215/2004 Z. z.
35) Ústavný zákon č. 357/2004 Z. z. o ochrane verejného záujmu pri výkone funkcií verejných funkcionárov v znení zákona č. 545/2005 Z. z.
§ 112 zákona č. 55/2017 Z. z.
36) Napríklad Trestný poriadok, Správny súdny poriadok.
37) § 38 a 40 zákona č. 215/2004 Z. z. v znení neskorších predpisov.
38) Čl. 40 ods. 2 nariadenia (EÚ) 2016/679.
39) Čl. 40 ods. 7 nariadenia (EÚ) 2016/679.
40) Čl. 64 ods. 1 písm. b) nariadenia (EÚ) 2016/679.
41) Zákon č. 395/2002 Z. z. v znení neskorších predpisov.
42) Zákon č. 395/2002 Z. z. v znení neskorších predpisov.
Čl. 41 nariadenia (EÚ) 2016/679.
43) Čl. 43 ods. 2 a 3 nariadenia (EÚ) 2016/679.
44) Čl. 62 nariadenia (EÚ) 2016/679.
45) Zákon Národnej rady Slovenskej republiky č. 10/1996 Z. z. o kontrole v štátnej správe v znení neskorších predpisov.
46) Čl. 56 ods. 1 nariadenia (EÚ) 2016/679.
47) Čl. 56 nariadenia (EÚ) 2016/679.
48) Zákon č. 71/1967 Zb. o správnom konaní (správny poriadok) v znení neskorších predpisov.
49) § 10 ods. 4 zákona č. 330/2007 Z. z. v znení zákona č. 91/2016 Z. z.
Príloha k zákonu č. 18/2018 Z. z.
ZOZNAM PREBERANÝCH PRÁVNE ZÁVÄZNÝCH AKTOV EURÓPSKEJ ÚNIE
Smernica Európskeho parlamentu a Rady (EÚ) 2016/680 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií a o voľnom pohybe takýchto údajov a o zrušení rámcového rozhodnutia Rady 2008/977/SVV (Ú. v. EÚ L 119, 4. 5. 2016).