Zákon č. 52/1998 Z. z.Zákon o ochrane osobných údajov v informačných systémoch

https://www.zakonypreludi.sk/zz/1998-52

(v znení č. 241/2001 Z. z.)

Čiastka 19/1998
Platnosť od 27.02.1998 do31.08.2002
Účinnosť od 01.11.2001 do31.08.2002
Zrušený 428/2002 Z. z.
Znenie 01.11.2001

52

ZÁKON

z 3. februára 1998

o ochrane osobných údajov v informačných systémoch

Národná rada Slovenskej republiky sa uzniesla na tomto zákone:


PRVÁ ČASŤ

ZÁKLADNÉ USTANOVENIA

§ 1

Predmet zákona

(1) Tento zákon upravuje

a) ochranu osobných údajov1) pri spracúvaní v informačných systémoch a

b) ochranu každého pred neoprávneným zhromažďovaním, zverejňovaním alebo iným zneužívaním údajov o svojej osobe2) (ďalej len „osobné údaje“).

(2) Tento zákon neupravuje ochranu osobných údajov spracúvaných fyzickou osobou v rámci výlučne osobných alebo domácich činností.

§ 2

Účel zákona

Účelom zákona je

a) chrániť základné práva a slobody fyzických osôb pri spracúvaní ich osobných údajov,

b) ustanoviť práva a povinnosti fyzických osôb pri poskytovaní osobných údajov do informačného systému a práva, povinnosti a zodpovednosť právnických osôb a fyzických osôb, ktoré sa zúčastňujú na spracúvaní osobných údajov,

c) ustanoviť práva a povinnosti prevádzkovateľov informačného systému, sprostredkovateľov a dotknutých osôb pri poskytovaní osobných údajov z informačného systému,

d) ustanoviť podmienky cezhraničného toku osobných údajov,

e) ustanoviť podmienky spôsobu registrácie informačných systémov, ktoré obsahujú osobné údaje,

f) upraviť postavenie a pôsobnosť orgánu štátneho dozoru nad ochranou osobných údajov v informačných systémoch,

g) ustanoviť sankcie za porušenie zákona.

§ 3

Vymedzenie niektorých pojmov

Na účely tohto zákona sa rozumejú

a) osobnými údajmi údaje týkajúce sa určitej alebo určiteľnej fyzickej osoby, pričom takou osobou je osoba, ktorú možno určiť priamo alebo nepriamo, najmä na základe identifikačného čísla alebo na základe jednej či viacerých charakteristík alebo znakov, ktoré tvoria jej fyzickú, fyziologickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu,

b) spracúvaním osobných údajov vykonávanie akýchkoľvek potrebných operácií alebo súboru operácií s osobnými údajmi, napr. ich získavanie, zhromažďovanie, zaznamenávanie, usporadúvanie, uchovávanie, prepracúvanie alebo zmena, vyhľadávanie, prehliadanie, využívanie, sprístupnenie pomocou prenosu, rozširovanie, preskupovanie alebo kombinovanie,

c) informačným systémom obsahujúcim osobné údaje sústava osobných údajov, ktoré sú spracúvané podľa osobitných organizačných podmienok s použitím automatizovaných alebo neautomatizovaných prostriedkov spracúvania,

d) poskytovaním osobných údajov ich odovzdávanie alebo sprístupnenie inej právnickej osobe alebo fyzickej osobe s výnimkou dotknutej osoby, prevádzkovateľa, sprostredkovateľa alebo oprávnenej osoby,

e) likvidáciou osobných údajov zrušenie osobných údajov rozložením, vymazaním alebo fyzickým zničením hmotných nosičov tak, aby sa z nich osobné údaje nedali reprodukovať,

f) súhlasom dotknutej osoby akýkoľvek slobodne daný výslovný a zrozumiteľný prejav vôle, ktorým dotknutá osoba vyjadruje súhlas so spravovaním svojich osobných údajov,

g) prevádzkovateľom informačného systému právnická osoba, fyzická osoba alebo iný subjekt, ktorý spracúva osobné údaje a ktorý zároveň určuje ciele a prostriedky spracúvania; ak účel spracúvania neustanovuje osobitný zákon, zodpovedá za jeho vymedzenie,

h) sprostredkovateľom právnická osoba alebo fyzická osoba, ktorá spracúva osobné údaje v mene prevádzkovateľa, a to na základe zmluvy alebo poverenia prevádzkovateľa,

i) oprávnenou osobou každá fyzická osoba, ktorá prichádza do styku s osobnými údajmi v rámci svojho pracovného pomeru alebo obdobného pracovného vzťahu alebo v rámci výkonu verejnej funkcie, ktorá osobné údaje smie spracúvať len na základe pokynu prevádzkovateľa alebo sprostredkovateľa, ak to od nej nevyžaduje osobitný zákon,

j) dotknutou osobou každá fyzická osoba, o ktorej vypovedajú osobné údaje v informačnom systéme,

k) užívateľom právnická osoba alebo fyzická osoba, ktorá používa osobné údaje z informačného systému s výnimkou dotknutej osoby, prevádzkovateľa, sprostredkovateľa alebo oprávnenej osoby,

l) cezhraničným tokom osobných údajov prenos osobných údajov mimo územia Slovenskej republiky právnickým osobám alebo fyzickým osobám so sídlom alebo s trvalým pobytom v cudzine alebo ich výmena s týmito osobami.

DRUHÁ ČASŤ

OCHRANA OSOBNÝCH ÚDAJOV V INFORMAČNÝCH SYSTÉMOCH

§ 4

Súhlas dotknutej osoby

(1) Spracúvanie osobných údajov sa smie vykonávať iba so súhlasom dotknutej osoby. Tento súhlas sa nevyžaduje, ak to ustanovuje osobitný zákon3).

(2) Iný ako dotknutá osoba môže poskytnúť do informačného systému osobné údaje o dotknutej osobe len s jej súhlasom. To neplatí, ak sa poskytujú osobné údaje do informačného systému za podmienok ustanovených osobitným zákonom4).

(3) Súhlas podľa odseku 1 sa nevyžaduje, ak sa spracúvajú osobné údaje výlučne pre potreby umeleckého alebo literárneho vyjadrenia.

(4) Ak dotknutá osoba nemá spôsobilosť na právne úkony, súhlas podľa odseku 1 môže poskytnúť zákonný zástupca5).

(5) Ak dotknutá osoba nežije, súhlas podľa odseku 1 môže poskytnúť blízka osoba6).

(6) Podmienka súhlasu je splnená, ak ide o osobné údaje, na ktorých zverejnenie dala súhlas dotknutá osoba. Takto zverejnené údaje nie sú chránené podľa tohto zákona.

§ 5

Zodpovednosť za pravdivosť osobných údajov

Za pravdivosť osobných údajov je zodpovedný ten, kto ich do informačného systému obsahujúceho osobné údaje (ďalej len „informačný systém“) poskytol.

§ 6

Získavanie osobných údajov

(1) Ten, kto získava osobné údaje, je povinný na požiadanie dotknutej osoby preukázať svoju totožnosť a vopred oznámiť dotknutej osobe alebo inej fyzickej osobe, od ktorej osobné údaje požaduje,

a) totožnosť prevádzkovateľa informačného systému (ďalej len „prevádzkovateľ“), ak koná v jeho mene,

b) účel získavania osobných údajov,

c) dobrovoľnosť alebo povinnosť poskytovať požadované osobné údaje,

d) zákon, ktorý ustanovuje povinnosť poskytnúť požadované osobné údaje a následky odmietnutia poskytnúť osobné údaje,

e) predpokladaný okruh užívateľov.

(2) Ten, kto získava osobné údaje podľa odseku 1 písm. d), je povinný preukázať sa oprávnením na túto činnosť, ak toto oprávnenie nevyplýva zo zákona.

(3) Oprávnenie na získavanie osobných údajov vydáva prevádzkovateľ alebo sprostredkovateľ.

§ 7

Spracúvanie osobných údajov

(1) Spracúvanie osobných údajov môže vykonávať iba prevádzkovateľ a sprostredkovateľ. To isté platí aj pri likvidácii osobných údajov.

(2) Sprostredkovateľ je oprávnený vykonávať spracúvanie osobných údajov za podmienok a v rozsahu určených v písomnej zmluve alebo v písomnom poverení.

(3) Prevádzkovateľ musí zabezpečiť, aby sa nespracúvali osobné údaje, ktoré

a) svojím rozsahom a obsahom sú nezlučiteľné s daným účelom spracúvania, pričom ďalšie spracúvanie osobných údajov na historické, štatistické a vedecké účely sa nepovažuje za nezlučiteľné, alebo

b) sú časovo alebo vecne neaktuálne vo vzťahu k účelu spracúvania.

(4) Prevádzkovateľ po splnení účelu spracovania zabezpečí bezodkladnú likvidáciu osobných údajov, ak osobitný zákon neustanovuje inak7).

(5) Pri spracúvaní osobných údajov možno využiť na účely určenia fyzickej osoby všeobecne použiteľný identifikátor, ak je tento upravený osobitným zákonom8).

§ 8

Spracúvanie osobitných kategórií osobných údajov

(1) Spracúvať osobitné kategórie osobných údajov, ktoré odhaľujú rasový alebo etnický pôvod, politické názory, náboženskú vieru alebo svetonázor, členstvo v odboroch a údaje týkajúce sa zdravia alebo pohlavného života a odsúdenia, sa zakazuje.

(2) Ustanovenie odseku 1 neplatí, ak

a) dotknutá osoba dala výslovný súhlas na spracovanie týchto údajov, alebo

b) spracúvanie vyžaduje osobitný zákon, najmä pre potreby trestného konania, výkonu právoplatných rozhodnutí alebo obranných a bezpečnostných záujmov štátu; v týchto prípadoch vykonáva dozor nad spracúvaním štátny orgán určený osobitným zákonom9), alebo

c) spracúvanie je nevyhnutné na ochranu životne dôležitých záujmov dotknutej osoby, ak je táto fyzicky alebo právne nespôsobilá na vydanie súhlasu a nemožno získať súhlas jej zákonného zástupcu, alebo

d) spracúvanie vykonáva v rámci oprávnenej činnosti združenie alebo iná nezárobková inštitúcia s politickými, filozofickými, náboženskými, ekonomickými alebo odborárskymi cieľmi, a to pod podmienkou, že toto spracúvanie sa týka iba členov tejto inštitúcie a že tieto údaje sa neposkytnú bez súhlasu dotknutej osoby iným osobám ako sprostredkovateľovi alebo oprávneným osobám, alebo

e) spracúvanie sa týka osobných údajov, ktoré dotknutá osoba zverejnila alebo sú nevyhnutné pri uplatňovaní jej právneho nároku, alebo

f) spracúvanie sa požaduje na účely preventívnej medicíny, lekárskej diagnostiky, nemocenského poistenia a dôchodkového zabezpečenia, poskytovania liečebnej starostlivosti alebo na účely riadenia služieb zdravotníckej starostlivosti a ak tieto údaje spracúva zdravotnícke zariadenie alebo Sociálna poisťovňa.

§ 9

Zodpovednosť za správnosť a aktuálnosť osobných údajov

(1) Prevádzkovateľ je povinný zabezpečiť správnosť a aktuálnosť osobných údajov. Za správny sa považuje taký osobný údaj, ktorý sa poskytol v súlade s § 5.

(2) Prevádzkovateľ je povinný spracúvať len také osobné údaje, ktoré obsahom a rozsahom zodpovedajú účelu ich spracovania.

(3) Na zabezpečenie aktuálnosti osobných údajov prevádzkovateľ je povinný opraviť alebo likvidovať tie osobné údaje, ktoré sa v priebehu spracúvania stanú neaktuálnymi.

§ 10

Zodpovednosť za bezpečnosť osobných údajov

Prevádzkovateľ a sprostredkovateľ zodpovedajú za bezpečnosť osobných údajov tým, že ich chránia pred odcudzením, stratou, poškodením, neoprávneným prístupom, zmenou alebo rozširovaním. Na ten účel musia prijať primerané technické a organizačné opatrenia zodpovedajúce spôsobu spracovania, ako aj spôsobu likvidácie osobných údajov.

§ 11

Poučenie

Prevádzkovateľ je povinný poučiť právnické osoby a fyzické osoby, ktoré majú prístup k informačnému systému, o ich právach a povinnostiach ustanovených týmto zákonom a o zodpovednosti za ich porušenie.

§ 12

Povinnosť mlčanlivosti

(1) Prevádzkovateľ a sprostredkovateľ sú povinní zachovávať mlčanlivosť o osobných údajoch, ktoré spracúvajú. Povinnosť mlčanlivosti trvá aj po ukončení spracovania. Povinnosť mlčanlivosti nemajú, ak je to podľa osobitného zákona nevyhnutné pre orgány činné v trestnom konaní; tým nie sú dotknuté ustanovenia osobitných zákonov10).

(2) Oprávnená osoba má povinnosť mlčanlivosti o osobných údajoch, s ktorými príde do styku; tie nesmie využiť ani pre osobnú potrebu a bez súhlasu prevádzkovateľa ich nesmie nikomu sprístupniť.

(3) Povinnosť mlčanlivosti podľa odseku 2 platí aj pre iné fyzické osoby, ktoré v rámci svojej činnosti (napr. údržba a servis technických prostriedkov) prídu do styku s osobnými údajmi u prevádzkovateľa alebo sprostredkovateľa.

(4) Povinnosť mlčanlivosti podľa odseku 2 trvá aj po zániku funkcie oprávnenej osoby alebo po ukončení jej pracovného pomeru alebo obdobného pracovného vzťahu.

(5) Ustanovenia odsekov 1 až 4 neplatia vo vzťahu k orgánu štátneho dozoru nad ochranou osobných údajov v informačných systémoch (§ 28 a § 29 ods. 2).

§ 13

Práva dotknutej osoby

(1) Dotknutá osoba má právo od prevádzkovateľa písomne vyžadovať

a) informácie o svojich osobných údajoch v priebehu ich spracúvania, ktoré obsahujú registračné číslo informačného systému, ak bolo pridelené, názov prevádzkovateľa, jeho adresu a identifikačné číslo, účel spracúvania, charakteristiku opatrení na zabezpečenie ochrany osobných údajov v nevyhnutnom rozsahu a predpokladaný okruh užívateľov,

b) opravu nesprávnych alebo neaktuálnych osobných údajov v priebehu spracúvania, ak to vyžaduje jeho účel,

c) likvidáciu jej osobných údajov, ak bol splnený účel ich spracúvania,

d) likvidáciu jej osobných údajov, ak došlo k porušeniu zákona.

(2) Právo dotknutej osoby môže byť obmedzené len podľa odseku 1 písm. c) a d) pod podmienkou, že jeho uplatnením by bola porušená ochrana dotknutej osoby alebo boli porušené práva a slobody iných osôb.

(3) Dotknutá osoba na základe bezplatnej žiadosti má právo namietať voči spracovaniu takých jej osobných údajov, o ktorých predpokladá, že budú spracované na účely priameho marketingu.

(4) Dotknutá osoba má právo nepodrobiť sa rozhodnutiu prevádzkovateľa, ktoré by malo pre ňu právne účinky alebo významný dosah, ak sa takéto rozhodnutie automaticky vydá výlučne na základe úkonov automatizovaného spracúvania jej osobných údajov. Toto právo môže byť obmedzené iba v prípade, ak to ustanovuje osobitný zákon11), v ktorom sú zakotvené opatrenia na zabezpečenie oprávnených záujmov dotknutej osoby.

(5) Dotknutá osoba môže po zistení, že s jej osobnými údajmi sa neoprávnene nakladalo, podať o tom oznámenie orgánu štátneho dozoru (§ 25).

§ 14

Poskytnutie informácií dotknutej osobe

(1) Prevádzkovateľ je povinný poskytnúť dotknutej osobe informácie podľa § 13 ods. 1 písm. a) raz do roka bezplatne, ak o informácie písomne dotknutá osoba požiada; v ďalších prípadoch za dohodnutú cenu12) alebo za správny poplatok13).

(2) Prevádzkovateľ je povinný zabezpečiť splnenie požiadaviek podľa § 13 ods. 1 písm. b) až d) bezplatne.

(3) Prevádzkovateľ je povinný podľa § 13 vyhovieť požiadavkám dotknutej osoby a písomne ju informovať najneskoršie do 30 dní od ich prijatia.

§ 15

Oznámenie o obmedzení práv dotknutej osoby

Obmedzenie práv dotknutej osoby podľa § 13 ods. 1 musí prevádzkovateľ bezodkladne oznámiť dotknutej osobe a orgánu štátneho dozoru (§ 25).

§ 16

Oznámenie o vykonaní opravy

(1) Opravu alebo likvidáciu osobných údajov musí prevádzkovateľ do 30 dní od ich vykonania oznámiť každému, komu ich poskytol.

(2) Od oznámenia možno upustiť, ak sa neoznámením opravy neporušia práva dotknutej osoby.

§ 17

Dozor nad ochranou osobných údajov

(1) Za výkon dozoru nad ochranou osobných údajov spracovaných podľa tohto zákona zodpovedá prevádzkovateľ.

(2) Ak prevádzkovateľ zamestnáva viac ako päť osôb, výkonom dozoru písomne poverí zodpovednú osobu alebo viaceré zodpovedné osoby, ktoré dohliadajú na dodržiavanie zákonných ustanovení pri spracúvaní osobných údajov; zistenie porušenia sa musí bezodkladne oznámiť prevádzkovateľovi.

§ 18

Cezhraničný tok osobných údajov

(1) Prenos osobných údajov právnickým osobám alebo fyzickým osobám so sídlom alebo s trvalým pobytom v cudzine sa môže vykonať za predpokladu, že cieľová krajina zaručuje primeranú úroveň ochrany. Ten, kto vykonáva prenos osobných údajov, zodpovedá za ich bezpečnosť (§ 10) aj pri tranzite.

(2) Primeranosť úrovne ochrany osobných údajov (odsek 1) sa hodnotí na základe všetkých okolností súvisiacich s prenosom. Osobitne sa pri tom posudzujú príslušné právne predpisy v cieľovej krajine vo vzťahu k povahe osobných údajov, účel a trvanie ich spracúvania.

(3) V prípade, že cieľová krajina nezaručuje primeranú úroveň ochrany, možno prenos vykonať pod podmienkou, že

a) dotknutá osoba dala súhlas na navrhovaný prenos, alebo

b) je tento prenos nevyhnutný alebo sa vyžaduje zo zákona z dôvodu dôležitého verejného záujmu alebo pri dokazovaní, uplatňovaní alebo obhajovaní právneho nároku, alebo

c) je tento prenos nevyhnutný na ochranu životne dôležitých záujmov dotknutej osoby, alebo

d) prevádzkovateľ zabezpečí primerané záruky ochrany súkromia a základných práv a slobôd dotknutých osôb; takéto záruky musia byť vyjadrené v príslušných zmluvách.

(4) Na prenos osobných údajov podľa odseku 3 písm. d) sa vyžaduje súhlas orgánu štátneho dozoru (§ 25).

(5) Ochrana osobných údajov prenesených od právnických osôb alebo fyzických osôb so sídlom alebo s trvalým pobytom v cudzine sa musí vykonávať v súlade s ustanoveniami tohto zákona. Prevádzkovateľom môže byť iba subjekt pôsobiaci na území Slovenskej republiky podľa osobitných predpisov14).

TRETIA ČASŤ

REGISTRÁCIA INFORMAČNÝCH SYSTÉMOV

§ 19

Registrácia

(1) Informačné systémy je povinný prevádzkovateľ registrovať v rozsahu a za podmienok ustanovených týmto zákonom. Registráciu vykonáva Štatistický úrad Slovenskej republiky (ďalej len „úrad“). Úrad vykonáva registráciu bezplatne.

(2) Úrad je povinný na požiadanie poskytnúť všetky informácie týkajúce sa registrácie informačných systémov orgánu štátneho dozoru (§ 25) bezplatne.

(3) Registrácii nepodliehajú informačné systémy, ak

a) obsahujú osobné údaje tých osôb, ktoré sú s prevádzkovateľom v pracovnoprávnom pomere alebo v obdobnom pracovnom vzťahu, v členskom vzťahu, v učebnom pomere alebo vystupujú ako stránky, a ak ide výlučne o vnútornú potrebu prevádzkovateľa, alebo

b) obsahujú osobné údaje na účely zdravotného poistenia, nemocenského poistenia a dôchodkového zabezpečenia a poistenia v nezamestnanosti, alebo

c) obsahujú osobné údaje na účely materiálnej a inej podpory, na účely štátnych sociálnych dávok a dávok sociálnej starostlivosti, alebo

d) obsahujú osobné údaje osôb zúčastnených v konaní pred orgánom štátnej správy, prokuratúrou alebo pred súdom, alebo

e) obsahujú osobné údaje slúžiace na účely štátnej štatistiky, alebo

f) obsahujú také osobné údaje, ktoré slúžia prostriedkom verejných informácií výhradne pre ich informačnú činnosť, alebo

g) obsahujú osobné údaje na účely vedy a výskumu, alebo

h) obsahujú výlučne už zverejnené osobné údaje, alebo

i) to ustanovuje osobitný zákon15).

(4) Ustanovenie odseku 3 s výnimkou písmena i) neplatí, ak sa v informačnom systéme spracúvajú osobitné kategórie osobných údajov podľa § 8 ods. 2.

(5) V prípade pochybnosti o tom, či informačný systém podlieha registrácii, rozhodne orgán štátneho dozoru (§ 25).

§ 20

Prihlásenie na registráciu a oznámenie zmien

(1) Za prihlásenie informačného systému na registráciu zodpovedá jeho prevádzkovateľ.

(2) Prevádzkovateľ je povinný prihlásiť informačný systém na registráciu pred začatím spracúvania osobných údajov.

(3) Pri prihlasovaní informačného systému na registráciu je prevádzkovateľ povinný uviesť tieto údaje:

a) názov prevádzkovateľa,

b) adresu prevádzkovateľa,

c) identifikačné číslo prevádzkovateľa,

d) meno zodpovednej osoby vykonávajúcej dozor nad ochranou osobných údajov v informačnom systéme,

e) účel spracúvania osobných údajov,

f) typy osobných údajov,

g) okruh dotknutých osôb,

h) právny základ informačného systému,

i) predpokladaný okruh užívateľov informačného systému,

j) názvy cieľových krajín a právny základ cezhraničného toku osobných údajov, ak sa predpokladá ich cezhraničný tok,

k) charakteristiku opatrení na zabezpečenie ochrany osobných údajov,

l) predpokladaný dátum a hodinu začatia spracúvania osobných údajov.

(4) Prevádzkovateľ musí do 15 dní písomne oznámiť úradu akékoľvek zmeny údajov podľa odseku 3, ktoré nastanú v priebehu spracúvania osobných údajov.

§ 21

Predbežná kontrola

(1) Úrad je povinný pred pridelením registračného čísla predložiť na posúdenie orgánu štátneho dozoru (§ 25) údaje podľa § 20 ods. 3.

(2) Orgán štátneho dozoru posúdi, či spracovaním osobných údajov nevzniká nebezpečenstvo narušenia práv a slobôd dotknutých osôb.

(3) V prípade pochybností si orgán štátneho dozoru vyžiada od prevádzkovateľa ďalšie vysvetlenie.

(4) Úrad pridelí registračné číslo (§ 22) až po získaní stanoviska orgánu štátneho dozoru.

§ 22

Registračné číslo

(1) Súčasťou registrácie je pridelenie registračného čísla informačnému systému, ktoré prevádzkovateľovi písomne oznámi úrad. Prevádzkovateľ ho uvedie vždy pri akomkoľvek komunikovaní o spracovaných osobných údajoch.

(2) Vydanie náhradného potvrdenia o pridelenom registračnom čísle podlieha spoplatneniu podľa osobitného predpisu16).

§ 23

Odhlásenie z registrácie

Prevádzkovateľ musí do 15 dní odo dňa ukončenia spracúvania osobných údajov v informačnom systéme tento z registrácie odhlásiť. Súčasťou odhlásenia je uvedenie dátumu a hodiny ukončenia spracúvania osobných údajov.

§ 24

Sprístupnenie stavu registrácie

Registrácia vedená podľa tohto zákona je verejná. Úrad zabezpečí sprístupnenie stavu registrácie v rozsahu údajov podľa § 20 ods. 3 a § 22.

ŠTVRTÁ ČASŤ

ŠTÁTNY DOZOR NAD OCHRANOU OSOBNÝCH ÚDAJOV V INFORMAČNÝCH SYSTÉMOCH

§ 25

(1) Štátny dozor nad ochranou osobných údajov v informačných systémoch vykonáva splnomocnenec na ochranu osobných údajov v informačných systémoch (ďalej len „splnomocnenec“).

(2) Splnomocnenec pri plnení svojich úloh je nezávislý a je viazaný len zákonom.

§ 26

Splnomocnenec

(1) Splnomocnenca na návrh predsedu Štatistického úradu Slovenskej republiky vymenúva a odvoláva vláda Slovenskej republiky.

(2) Za splnomocnenca možno vymenovať občiansky bezúhonnú osobu so štátnym občianstvom Slovenskej republiky, s vysokoškolským vzdelaním, s odbornou praxou v oblasti informatiky alebo práva minimálne 10 rokov a s vekom nad 30 rokov.

(3) Splnomocnenec je vymenovaný na obdobie piatich rokov a možno ho vymenovať najviac na dve po sebe nasledujúce obdobia.

(4) Splnomocnencom nemôže byť ten, kto štyri roky spätne, počítajúc odo dňa podania návrhu na splnomocnenca, bol

a) prezidentom Slovenskej republiky, alebo

b) poslancom Národnej rady Slovenskej republiky, alebo

c) členom vlády Slovenskej republiky, alebo

d) funkcionárom alebo plateným pracovníkom aparátu politickej strany alebo politického hnutia.

(5) Funkcia splnomocnenca je verejná funkcia. Platové náležitosti splnomocnenca určuje vláda Slovenskej republiky podľa osobitného predpisu17). Cestovné náhrady, ktoré vzniknú splnomocnencovi v súvislosti s plnením funkcie, sa poskytujú podľa osobitného predpisu18).

(6) Splnomocnenec sa počas výkonu svojej funkcie zúčastňuje na zdravotnom poistení19), nemocenskom poistení a dôchodkovom zabezpečení20) rovnako ako zamestnanec v pracovnom pomere. Zamestnávateľom vo vzťahu k splnomocnencovi na účely zdravotného poistenia, nemocenského poistenia a dôchodkového zabezpečenia je Úrad vlády Slovenskej republiky.

(7) Splnomocnencovi počas výkonu funkcie patrí dovolenka na zotavenie; na jej účely sa primerane použijú ustanovenia osobitného zákona21).

(8) Počas výkonu funkcie nesmie splnomocnenec vykonávať inú zárobkovú činnosť s výnimkou vedeckej, pedagogickej, publicistickej, literárnej alebo umeleckej činnosti a správy vlastného majetku.

(9) Počas funkčného obdobia i po jeho skončení je splnomocnenec povinný zachovávať mlčanlivosť o skutočnostiach týkajúcich sa obsahu osobných údajov, o ktorých sa dozvedel počas výkonu svojej funkcie.

(10) Od povinnosti mlčanlivosti môže splnomocnenca pre konkrétny prípad oslobodiť vláda Slovenskej republiky.

(11) Za svoju činnosť zodpovedá splnomocnenec vláde Slovenskej republiky.

(12) Funkcia splnomocnenca zaniká

a) uplynutím funkčného obdobia (odsek 3), alebo

b) úmrtím, alebo

c) vzdaním sa funkcie, alebo

d) odvolaním z funkcie.

(13) Splnomocnenca možno z funkcie odvolať len z dôvodu

a) nezlučiteľnosti funkcie (odseky 4 a 8), alebo

b) neplnenia úloh (§ 28) v období dlhšom ako jeden rok, alebo

c) spáchania úmyselného trestného činu, za ktorý bol právoplatne odsúdený.

§ 27

Zabezpečenie výkonu úloh splnomocnenca

(1) Výkon úloh splnomocnenca zabezpečuje útvar inšpekcie ochrany osobných údajov (ďalej len „inšpekcia“). Inšpekcia je samostatný útvar Úradu vlády Slovenskej republiky. Zamestnanci inšpekcie sú v pracovnoprávnom vzťahu k Úradu vlády Slovenskej republiky a ich odmeňovanie sa riadi osobitným predpisom17).

(2) Náklady na výkon úloh splnomocnenca sa uhrádzajú z prostriedkov štátneho rozpočtu Slovenskej republiky. Návrh rozpočtu sa predkladá ako súčasť kapitoly Úradu vlády Slovenskej republiky a meniť ho môže iba Národná rada Slovenskej republiky.

§ 28

Úlohy splnomocnenca

Splnomocnenec vykonáva tieto hlavné úlohy:

a) rozhoduje v pochybnostiach o registrácii informačných systémov podľa § 19 ods. 5,

b) vykonáva predbežnú kontrolu informačných systémov prihlásených na registráciu (§ 20) a posudzuje ich z hľadiska možného nebezpečenstva narušenia práv a slobôd dotknutých osôb (§ 21 ods. 2),

c) priebežne sleduje stav ochrany osobných údajov v informačných systémoch a ich registráciu,

d) odporúča prevádzkovateľom opatrenia na zabezpečenie ochrany osobných údajov v informačných systémoch,

e) kontroluje spracúvanie osobných údajov v informačných systémoch; na ten účel má právo nahliadať do materiálov a získavať odpisy údajov od prevádzkovateľa a sprostredkovateľa,

f) na požiadanie prevádzkovateľa rozhoduje v prípade pochybnosti pri poskytovaní osobných údajov do zahraničia,

g) prijíma a vybavuje sťažnosti týkajúce sa porušenia ochrany osobných údajov v informačných systémoch,

h) pri podozrení z porušenia povinností uložených týmto zákonom môže predvolať prevádzkovateľa alebo sprostredkovateľa s cieľom podať vysvetlenia,

i) podáva oznámenie22) orgánom činným v trestnom konaní pri podozrení, že ide o trestný čin,

j) dáva podnety pri zistení porušenia povinností uvedených v tomto zákone,

k) podieľa sa na príprave všeobecne záväzných právnych predpisov v oblasti ochrany osobných údajov,

l) riadi činnosť útvaru inšpekcie,

m) predkladá vláde Slovenskej republiky a Národnej rade Slovenskej republiky správu o stave ochrany osobných údajov v informačných systémoch najmenej raz za jeden rok.

§ 29

Súčinnosť

(1) Orgány štátnej správy, obce a prevádzkovatelia sú povinní poskytovať splnomocnencovi potrebnú pomoc pri plnení jeho úloh (§ 28).

(2) Prevádzkovateľ a sprostredkovateľ sú povinní poskytnúť splnomocnencovi pri plnení jeho úloh všetky ním požadované údaje.

PIATA ČASŤ

OBČIANSKOPRÁVNA OCHRANA OSOBNÝCH ÚDAJOV

§ 30

(1) Ak sa v dôsledku nesplnenia povinnosti ustanovenej týmto zákonom spôsobila niekomu škoda, poškodený má nárok na primeranú finančnú náhradu23).

(2) O náhrade škody rozhoduje súd.

ŠIESTA ČASŤ

SANKCIE ZA PORUŠENIE ZÁKONA

§ 31

Pri porušení povinností vyplývajúcich z tohto zákona, ak nejde o trestný čin, sa postupuje podľa § 32 až 38.

§ 32

(1) Za porušenie povinností vyplývajúcich z tohto zákona (§ 33 a 34) možno ukladať pokuty.

(2) Pokuty podľa odseku 1 ukladá Úrad vlády Slovenskej republiky.

(3) Úrad vlády Slovenskej republiky rozhoduje na základe podnetu splnomocnenca.

§ 33

Pokutu do 1 000 000 Sk možno uložiť prevádzkovateľovi alebo sprostredkovateľovi, ktorý

a) spracúva osobné údaje v rozpore s § 4 alebo § 7,

b) spracúva osobitné kategórie osobných údajov v rozpore s § 8,

c) vykonáva spracúvanie s nesprávnymi, neaktuálnymi alebo neadekvátnymi osobnými údajmi, alebo osobné údaje po ukončení účelu spracúvania nezlikviduje (§ 9),

d) nevykoná potrebné opatrenia na ochranu osobných údajov pred odcudzením, stratou, poškodením, neoprávneným prístupom, zmenou alebo šírením (§ 10),

e) nepoučí právnické osoby a fyzické osoby, ktoré majú prístup k osobným údajom v informačnom systéme (§ 11),

f) nesplní povinnosť poskytnúť informácie dotknutej osobe (§ 14),

g) nesplní oznamovaciu povinnosť o oprave osobných údajov (§ 16),

h) prenesie osobné údaje v rozpore s § 18,

i) neposkytne požadované údaje (§ 29 ods. 2),

j) nevyhovie požiadavkám splnomocnenca (§ 37 ods. 1 a 2).

§ 34

(1) Pokutu do 10 000 Sk možno uložiť dotknutej osobe, ktorá úmyselne poskytne nepravdivé údaje (§ 5).

(2) Pokutu do 500 000 Sk možno uložiť inému ako dotknutej osobe, ak

a) úmyselne poskytne nepravdivé osobné údaje,

b) poruší mlčanlivosť o osobných údajoch.

§ 35

(1) Na konanie pri ukladaní pokút podľa § 33 a 34 sa vzťahujú všeobecné predpisy o správnom konaní24), ak tento zákon neustanovuje inak.

(2) Pri ukladaní pokút sa prihliadne najmä na závažnosť, čas trvania a následky protiprávneho konania.

(3) Pokutu podľa § 33 a 34 môže Úrad vlády Slovenskej republiky uložiť do jedného roka odo dňa podania podnetu, najneskôr však do dvoch rokov odo dňa, keď došlo k porušeniu povinnosti.

(4) Proti rozhodnutiu o uložení pokuty možno podať rozklad do 15 dní odo dňa jeho doručenia. Rozklad má odkladný účinok. O rozklade rozhodne vedúci Úradu vlády Slovenskej republiky do 30 dní.

(5) Právoplatné rozhodnutie o uložení pokuty je preskúmateľné súdom25).

(6) Pokuta uložená podľa § 33 a 34 je splatná do 30 dní odo dňa, keď rozhodnutie o jej uložení nadobudlo právoplatnosť.

(7) Výnosy z pokút sú príjmom štátneho rozpočtu Slovenskej republiky.

(8) Zaplatením pokuty nie sú dotknuté ustanovenia osobitných predpisov o náhrade škody26).

§ 36

(1) Prevádzkovateľovi, ktorý nesplní povinnosť registrácie informačného systému obsahujúceho osobné údaje a s tým súvisiace povinnosti vyplývajúce z tohto zákona, možno uložiť pokutu do 500 000 Sk a pri opakovanom nesplnení do 1 000 000 Sk.

(2) Pokutu podľa odseku 1 ukladá úrad na základe podnetu splnomocnenca.

(3) Pri ukladaní pokút podľa odseku 1 sa postupuje podľa ustanovení § 35.

§ 37

(1) Splnomocnenec pri zistení porušenia povinností podľa § 33 bezodkladne vyzve prevádzkovateľa na ukončenie tej spracovateľskej operácie, ktorou bola porušená povinnosť, alebo na zabezpečenie opatrení požadovaných splnomocnencom.

(2) Prevádzkovateľ je povinný bezodkladne vyhovieť požiadavkám podľa odseku 1 a informovať o tom splnomocnenca.

(3) Ak prevádzkovateľ neukončí vykonávanie príslušnej spracovateľskej operácie alebo nevykoná požadované opatrenia, splnomocnenec zverejní názov, adresu a identifikačné číslo prevádzkovateľa a charakteristiku skutkového stavu porušenia ochrany osobných údajov.

§ 38

Po právoplatnom rozhodnutí o uložení pokuty v prípadoch uvedených v § 33 môže splnomocnenec zverejniť údaje uvedené v § 37 ods. 3.

SIEDMA ČASŤ

SPOLOČNÉ A ZÁVEREČNÉ USTANOVENIA

§ 39

Splnomocňovacie ustanovenie

(1) Podrobnosti o spôsobe, forme a postupe pri registrácii informačného systému upraví všeobecne záväzný právny predpis, ktorý vydá úrad.

(2) Podrobnosti o postavení splnomocnenca upraví štatút, ktorý na návrh splnomocnenca schvaľuje vláda Slovenskej republiky.

§ 40

Všeobecné obmedzenia

Ustanovenia zákona uvedené v § 4 ods. 1 a 2, § 6 ods. 1, § 7 ods. 4, § 12 ods. 1 a 2, § 13 ods. 1, § 14 vo vzťahu k § 13 ods. 1 písm. a), § 16, § 18 až 24 sa nepoužijú, ak je to podľa osobitného zákona nevyhnutné na zabezpečenie

a) vnútorného poriadku a bezpečnosti, alebo

b) obrany, alebo

c) ochrany utajovaných skutočností, alebo

d) trestného stíhania, alebo

e) dôležitého ekonomického alebo finančného záujmu štátu vrátane menových, rozpočtových a daňových záležitostí, alebo

f) ochrany dotknutej osoby alebo práv a slobôd iných osôb.


§ 41

Prechodné ustanovenie

Prevádzkovatelia už fungujúcich informačných systémov, na ktoré sa vzťahuje tento zákon, sú povinní odo dňa účinnosti zákona do šiestich mesiacov uviesť ich do súladu s týmto zákonom, a ak to tento zákon vyžaduje, prihlásiť ich v tejto lehote na registráciu.

§ 42

Zrušovacie ustanovenie

Zrušuje sa zákon č. 256/1992 Zb. o ochrane osobných údajov v informačných systémoch.

§ 43

Účinnosť

Tento zákon nadobúda účinnosť 1. marca 1998.


Michal Kováč v. r.

Ivan Gašparovič v. r.

Vladimír Mečiar v. r.

Poznámky pod čiarou

1) Článok 22 ods. 1 Ústavy Slovenskej republiky.

2) Článok 19 ods. 3 Ústavy Slovenskej republiky.

3) Napríklad § 1 ods. 1 písm. a) zákona Národnej rady Slovenskej republiky č. 45/1993 Z. z. o štátnych štatistických zisťovaniach vykonávaných u obyvateľstva.

4) Napríklad § 18 a 22 zákona Národnej rady Slovenskej republiky č. 274/1994 Z. z. o Sociálnej poisťovni; § 67 zákona Národnej rady Slovenskej republiky č. 387/1996 Z. z. o zamestnanosti.

5) § 26 až 30 Občianskeho zákonníka.

6) § 116 Občianskeho zákonníka.

7) Napríklad § 36 a 39 zákona Slovenskej národnej rady č. 80/1990 Zb. o voľbách do Slovenskej národnej rady v znení zákona Slovenskej národnej rady č. 104/1992 Zb. a zákona Národnej rady Slovenskej republiky č. 157/1994 Z. z.

8) Zákon Národnej rady Slovenskej republiky č. 301/1995 Z. z. o rodnom čísle.

9) Napríklad § 7 ods. 1 zákona Národnej rady Slovenskej republiky č. 314/1996 Z. z. o prokuratúre.

10) Napríklad § 38 zákona č. 21/1992 Zb. o bankách v znení neskorších predpisov; § 40 zákona Národnej rady Slovenskej republiky č. 566/1992 Zb. o Národnej banke Slovenska.

11) Napríklad § 121 a 122 zákona č. 100/1988 Zb. o sociálnom zabezpečení v znení neskorších predpisov.

12) § 3 zákona Národnej rady Slovenskej republiky č. 18/1996 Z. z. o cenách.

13) Zákon Národnej rady Slovenskej republiky č. 145/1995 Z. z. o správnych poplatkoch v znení neskorších predpisov.

14) § 21 Obchodného zákonníka.

15) Napríklad § 8 ods. 2 písm. g) zákona Národnej rady Slovenskej republiky č. 100/1996 Z. z. o ochrane štátneho tajomstva, služobného tajomstva, o šifrovej ochrane informácií a o zmene a doplnení Trestného zákona v znení neskorších predpisov; § 20a zákona č. 21/1992 Zb. o bankách v znení zákona Národnej rady Slovenskej republiky č. 58/1996 Z. z.

16) Položka 2 písm. a) sadzobníka správnych poplatkov, ktorý je prílohou zákona Národnej rady Slovenskej republiky č. 145/1995 Z. z. o správnych poplatkoch v znení zákona č. 1/1998 Z. z.

17) Zákon č. 143/1992 Zb. o plate a odmene za pracovnú pohotovosť v rozpočtových a v niektorých ďalších organizáciách a orgánoch v znení neskorších predpisov.

18) Zákon č. 119/1992 Zb. o cestovných náhradách v znení zákona Národnej rady Slovenskej republiky č. 53/1996 Z. z. a zákona Národnej rady Slovenskej republiky č. 323/1996 Z. z. (úplné znenie č. 29/1997 Z. z.).

19) Zákon Národnej rady Slovenskej republiky č. 273/1994 Z. z. o zdravotnom poistení, financovaní zdravotného poistenia, o zriadení Všeobecnej zdravotnej poisťovne a o zriaďovaní rezortných, odvetvových, podnikových a občianskych zdravotných poisťovní v znení neskorších predpisov.

20) Zákon Národnej rady Slovenskej republiky č. 274/1994 Z. z. v znení neskorších predpisov.

21) Zákonník práce.

22) § 158 ods. 1 Trestného poriadku.

23) § 11 až 16, § 442 až 450 Občianskeho zákonníka.

24) Zákon č. 71/1967 Zb. o správnom konaní (správny poriadok).

25) § 70 zákona č. 71/1967 Zb.; § 244 až 250k Občianskeho súdneho poriadku.

26) § 420 a nasl. Občianskeho zákonníka.