Ochrana osobných údajov

ZÁKON

z 30. apríla 2013

o ochrane osobných údajov a o zmene a doplnení niektorých zákonov

Národná rada Slovenskej republiky sa uzniesla na tomto zákone:


Čl. I

PRVÁ ČASŤ

ZÁKLADNÉ USTANOVENIA

§ 1

Predmet úpravy

Tento zákon upravuje

a) ochranu práv fyzických osôb pred neoprávneným zasahovaním do ich súkromného života pri spracúvaní ich osobných údajov,

b) práva, povinnosti a zodpovednosť pri spracúvaní osobných údajov fyzických osôb,

c) postavenie, pôsobnosť a organizáciu Úradu na ochranu osobných údajov Slovenskej republiky (ďalej len „úrad“).

Pôsobnosť zákona

§ 2

(1) Tento zákon sa vzťahuje na každého, kto spracúva osobné údaje, určuje účel a prostriedky spracúvania alebo poskytuje osobné údaje na spracúvanie.

(2) Tento zákon sa vzťahuje aj na prevádzkovateľov, ktorí nemajú sídlo, organizačnú zložku, prevádzkareň alebo trvalý pobyt na území

a) Slovenskej republiky, ale sú umiestnení v zahraničí na mieste, kde sa uplatňuje právny poriadok Slovenskej republiky prednostne na základe medzinárodného práva verejného,

b) členského štátu, ak na účely spracúvania osobných údajov využívajú úplne alebo čiastočne automatizované alebo iné ako automatizované prostriedky spracúvania umiestnené na území Slovenskej republiky, pričom tieto prostriedky spracúvania nie sú využívané výlučne len na prenos osobných údajov cez územie členských štátov; v takom prípade prevádzkovateľ postupuje podľa § 7.

(3) Tento zákon sa vzťahuje na osobné údaje systematicky spracúvané úplne alebo čiastočne automatizovanými prostriedkami spracúvania alebo inými ako automatizovanými prostriedkami spracúvania, ktoré sú súčasťou informačného systému alebo sú určené na spracúvanie v informačnom systéme.

§ 3

(1) Ustanovenia § 6 ods. 2 až 5, § 8 ods. 5, § 15 ods. 1, 2 a 8, § 28 ods. 1 a § 44 sa nevzťahujú na spracúvanie osobných údajov nevyhnutných na zabezpečenie verejného záujmu, ak prevádzkovateľ plní povinnosti výslovne ustanovené osobitným zákonom určené na zaistenie

a) bezpečnosti Slovenskej republiky,1)

b) obrany Slovenskej republiky,2)

c) verejného poriadku a bezpečnosti,3)

d) predchádzania, zamedzovania, odhaľovania a dokumentovania trestnej činnosti, zisťovania jej páchateľov, vyšetrovania a stíhania páchateľov trestných činov,4)

e) odhaľovania porušení etického kódexu v regulovaných povolaniach a regulovaných odborných činnostiach,5)

f) významného ekonomického alebo finančného záujmu Slovenskej republiky alebo Európskej únie vrátane menových, rozpočtových a daňových záležitostí,6)

g) výkonu kontroly, dohľadu, dozoru alebo uplatňovania regulácie v súvislosti s výkonom verejnej moci vo veciach uvedených v písmenách c) až f), alebo

h) ochrany dotknutej osoby alebo práv a slobôd iných osôb.

(2) Tento zákon sa nevzťahuje na osobné údaje, ktoré

a) fyzická osoba spracúva pre vlastnú potrebu v rámci výlučne osobných alebo domácich činností, najmä vedenie osobného adresára alebo korešpondencie,

b) boli získané náhodne bez predchádzajúceho určenia účelu a prostriedkov spracúvania, bez zámeru ich ďalšieho spracúvania v usporiadanom systéme podľa osobitných kritérií a nie sú ďalej systematicky spracúvané.

(3) Týmto zákonom nie je dotknuté právo na ochranu osobnosti.7)

§ 4

Vymedzenie základných pojmov

(1) Osobnými údajmi sú údaje týkajúce sa určenej alebo určiteľnej fyzickej osoby, pričom takou osobou je osoba, ktorú možno určiť priamo alebo nepriamo, najmä na základe všeobecne použiteľného identifikátora alebo na základe jednej či viacerých charakteristík alebo znakov, ktoré tvoria jej fyzickú, fyziologickú, psychickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu.

(2) Na účely tohto zákona sa rozumie

a) dotknutou osobou každá fyzická osoba, ktorej sa osobné údaje týkajú,

b) prevádzkovateľom každý, kto sám alebo spoločne s inými vymedzí účel spracúvania osobných údajov, určí podmienky ich spracúvania a spracúva osobné údaje vo vlastnom mene; ak účel, prípadne aj podmienky spracúvania osobných údajov ustanovuje zákon, priamo vykonateľný právne záväzný akt Európskej únie alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná, prevádzkovateľom je ten, kto je na plnenie účelu spracúvania za prevádzkovateľa ustanovený alebo kto spĺňa zákonom, priamo vykonateľným právne záväzným aktom Európskej únie alebo medzinárodnou zmluvou, ktorou je Slovenská republika viazaná, ustanovené podmienky,

c) zástupcom prevádzkovateľa každý, kto na území Slovenskej republiky zastupuje prevádzkovateľa so sídlom, organizačnou zložkou, prevádzkarňou alebo trvalým pobytom v tretej krajine,

d) sprostredkovateľom každý, kto spracúva osobné údaje v mene prevádzkovateľa, v rozsahu a za podmienok dojednaných s prevádzkovateľom v písomnej zmluve podľa § 8 a v súlade s týmto zákonom,

e) oprávnenou osobou každá fyzická osoba, ktorá prichádza do styku s osobnými údajmi v rámci svojho pracovnoprávneho vzťahu, štátnozamestnaneckého pomeru, služobného pomeru, členského vzťahu, na základe poverenia, zvolenia alebo vymenovania, alebo v rámci výkonu verejnej funkcie, a ktorá spracúva osobné údaje v rozsahu a spôsobom určeným v poučení podľa § 21,

f) treťou stranou každý, kto nie je dotknutou osobou, prevádzkovateľom poskytujúcim osobné údaje, jeho zástupcom, sprostredkovateľom alebo oprávnenou osobou,

g) príjemcom každý, komu sú osobné údaje poskytnuté alebo sprístupnené, pričom príjemcom môže byť aj tretia strana; prevádzkovateľ, ktorý spracúva osobné údaje na základe § 3 ods. 1 písm. g), a úrad, ktorý plní úlohy ustanovené týmto zákonom, sa nepovažujú za príjemcu.

(3) Na účely tohto zákona sa ďalej rozumie

a) spracúvaním osobných údajov vykonávanie operácií alebo súboru operácií s osobnými údajmi, najmä ich získavanie, zhromažďovanie, šírenie, zaznamenávanie, usporadúvanie, prepracúvanie alebo zmena, vyhľadávanie, prehliadanie, preskupovanie, kombinovanie, premiestňovanie, využívanie, uchovávanie, blokovanie, likvidácia, ich cezhraničný prenos, poskytovanie, sprístupňovanie alebo zverejňovanie; niektorými operáciami s osobnými údajmi sa podľa prvej vety rozumie

1. poskytovaním osobných údajov odovzdávanie osobných údajov tretej strane, ktorá ich ďalej spracúva,

2. sprístupňovaním osobných údajov oznámenie osobných údajov alebo umožnenie prístupu k nim príjemcovi, ktorý ich ďalej nespracúva,

3. zverejňovaním osobných údajov publikovanie, uverejnenie alebo vystavenie osobných údajov na verejnosti prostredníctvom masovokomunikačných prostriedkov, verejne prístupných počítačových sietí, verejným vykonaním alebo vystavením diela,8) verejným vyhlásením, uvedením vo verejnom zozname, v registri alebo v operáte,9) ich umiestnením na úradnej tabuli alebo na inom verejne prístupnom mieste,

4. cezhraničným prenosom osobných údajov prenos osobných údajov mimo územia Slovenskej republiky a na územie Slovenskej republiky,

5. likvidáciou osobných údajov zrušenie osobných údajov rozložením, vymazaním alebo fyzickým zničením hmotných nosičov tak, aby sa z nich osobné údaje nedali reprodukovať,

6. blokovaním osobných údajov dočasné alebo trvalé pozastavenie spracúvania osobných údajov, počas ktorého možno vykonávať len tie operácie s osobnými údajmi, ktoré sú nevyhnutné na splnenie povinnosti uloženej týmto zákonom,

b) informačným systémom osobných údajov informačný systém, v ktorom sa na vopred vymedzený alebo ustanovený účel systematicky spracúva alebo má spracúvať akýkoľvek usporiadaný súbor osobných údajov prístupných podľa určených kritérií, bez ohľadu na to, či ide o informačný systém centralizovaný, decentralizovaný alebo distribuovaný na funkčnom alebo geografickom základe (ďalej len „informačný systém“); informačným systémom sa na účely tohto zákona rozumie aj súbor osobných údajov, ktoré sú spracúvané alebo pripravené na spracúvanie čiastočne automatizovanými alebo inými ako automatizovanými prostriedkami spracúvania,

c) účelom spracúvania osobných údajov vopred jednoznačne vymedzený alebo ustanovený zámer spracúvania osobných údajov, ktorý sa viaže na určitú činnosť,

d) súhlasom dotknutej osoby akýkoľvek slobodne daný výslovný a zrozumiteľný prejav vôle, ktorým dotknutá osoba na základe poskytnutých informácií vyjadruje súhlas so spracúvaním svojich osobných údajov,

e) podmienkami spracúvania osobných údajov prostriedky a spôsob spracúvania osobných údajov, ako aj ďalšie požiadavky, kritériá alebo pokyny súvisiace so spracúvaním osobných údajov alebo vykonanie úkonov, ktoré slúžia na dosiahnutie účelu spracúvania či už pred začatím spracúvania osobných údajov, alebo v priebehu ich spracúvania,

f) biometrickým údajom osobný údaj fyzickej osoby označujúci jej biologickú alebo fyziologickú vlastnosť alebo charakteristiku, na základe ktorej je jednoznačne a nezameniteľne určiteľná; biometrickým údajom je najmä odtlačok prsta, odtlačok dlane, analýza deoxyribonukleovej kyseliny,

g) všeobecne použiteľným identifikátorom trvalý identifikačný osobný údaj dotknutej osoby, ktorý zabezpečuje jej jednoznačnosť v informačných systémoch,

h) adresou súbor údajov o pobyte fyzickej osoby, do ktorého patria názov ulice, orientačné, prípadne súpisné číslo domu, názov obce, prípadne názov časti obce, poštové smerovacie číslo, názov okresu, názov štátu,

i) anonymizovaným údajom osobný údaj upravený do takej podoby, v ktorej ho nemožno priradiť dotknutej osobe, ktorej sa týka,

j) priestorom prístupným verejnosti priestor, do ktorého možno voľne vstupovať a v ktorom sa možno voľne zdržiavať bez časového obmedzenia alebo vo vymedzenom čase, pričom iné obmedzenia, ak existujú a sú osobou splnené, nemajú vplyv na vstup a voľný pohyb osoby v tomto priestore, alebo je to priestor, ktorý tak označuje osobitný zákon,

k) členským štátom štát, ktorý je členským štátom Európskej únie alebo zmluvnou stranou Dohody o Európskom hospodárskom priestore,

l) treťou krajinou krajina, ktorá nie je členským štátom Európskej únie alebo zmluvnou stranou Dohody o Európskom hospodárskom priestore,

m) verejným záujmom dôležitý záujem štátu realizovaný pri výkone verejnej moci, ktorý prevažuje nad oprávneným záujmom fyzickej osoby alebo viacerých fyzických osôb a bez jeho realizácie by mohli vzniknúť rozsiahle alebo nenahraditeľné škody.

DRUHÁ ČASŤ

PRÁVA, POVINNOSTI A ZODPOVEDNOSŤ PRI SPRACÚVANÍ OSOBNÝCH ÚDAJOV

PRVÁ HLAVA

ZÁSADY SPRACÚVANIA OSOBNÝCH ÚDAJOV

§ 5

(1) Osobné údaje možno spracúvať len spôsobom ustanoveným týmto zákonom a v jeho medziach tak, aby nedošlo k porušeniu základných práv a slobôd dotknutých osôb, najmä k porušeniu ich práva na zachovanie ľudskej dôstojnosti alebo k iným neoprávneným zásahom do ich práva na ochranu súkromia.

(2) Osobné údaje môže spracúvať iba prevádzkovateľ a sprostredkovateľ.

(3) Prevádzkovateľom na účely spracúvania osobných údajov v registri trestov podľa osobitného zákona,10) môže byť len štátny orgán ustanovený zákonom.11)

§ 6

Prevádzkovateľ

(1) Spracúvať osobné údaje vo vlastnom mene môže len prevádzkovateľ. Prevádzkovateľ spracúva osobné údaje v súlade s § 9, spôsobom, ktorý je v súlade s dobrými mravmi, a to len na vymedzený alebo ustanovený účel.

(2) Prevádzkovateľ je povinný

a) pred začatím spracúvania osobných údajov vymedziť účel spracúvania osobných údajov; účel spracúvania osobných údajov musí byť jasný, vymedzený jednoznačne a konkrétne a musí byť v súlade s Ústavou Slovenskej republiky, ústavnými zákonmi, zákonmi a medzinárodnými zmluvami, ktorými je Slovenská republika viazaná,

b) určiť podmienky spracúvania osobných údajov tak, aby neobmedzil právo dotknutej osoby ustanovené zákonom,

c) získavať osobné údaje výlučne na vymedzený alebo ustanovený účel; je neprípustné získavať osobné údaje pod zámienkou iného účelu spracúvania alebo inej činnosti,

d) zabezpečiť, aby sa spracúvali len také osobné údaje, ktoré svojím rozsahom a obsahom zodpovedajú účelu ich spracúvania a sú nevyhnutné na jeho dosiahnutie,

e) zabezpečiť, aby sa osobné údaje spracúvali a využívali výlučne spôsobom, ktorý zodpovedá účelu, na ktorý boli zhromaždené; je neprípustné združovať osobné údaje, ktoré boli získané osobitne na rozdielne účely,

f) spracúvať len správne, úplné a podľa potreby aktualizované osobné údaje vo vzťahu k účelu spracúvania; nesprávne a neúplné osobné údaje je prevádzkovateľ povinný blokovať a bez zbytočného odkladu opraviť alebo doplniť; nesprávne a neúplné osobné údaje, ktoré nemožno opraviť alebo doplniť tak, aby boli správne a úplné, prevádzkovateľ zreteľne označí a bez zbytočného odkladu zlikviduje,

g) zabezpečiť, aby zhromaždené osobné údaje boli spracúvané vo forme umožňujúcej identifikáciu dotknutých osôb počas doby nie dlhšej, ako je nevyhnutné na dosiahnutie účelu spracúvania,

h) zlikvidovať tie osobné údaje, ktorých účel spracúvania sa skončil; po skončení účelu spracúvania možno osobné údaje ďalej spracúvať len za podmienok ustanovených v odseku 5,

i) spracúvať osobné údaje v súlade s dobrými mravmi a konať spôsobom, ktorý neodporuje zákonu.

(3) Prevádzkovateľ nemá povinnosť podľa odseku 2 písm. a) len vtedy, ak účel spracúvania osobných údajov ustanovuje osobitný zákon v súlade s podmienkami uvedenými v odseku 2 písm. a). Prevádzkovateľ nemá povinnosť určiť podmienky spracúvania osobných údajov podľa odseku 2 písm. b) len vtedy, ak ich ustanovuje všeobecne záväzný právny predpis. Ostatné povinnosti podľa odseku 2 písm. c) až i) je prevádzkovateľ povinný dodržiavať aj počas spracúvania osobných údajov na základe osobitného zákona; tým nie je dotknuté ustanovenie § 10 ods. 4 prvej vety.

(4) Zhromaždené osobné údaje na pôvodne určený účel prevádzkovateľ nemôže spracúvať na iný účel, ktorý je nezlučiteľný s pôvodným účelom spracúvania.

(5) Počas trvania pôvodne určeného účelu spracúvania osobných údajov, ako aj po jeho skončení je prípustné zhromaždené osobné údaje spracúvať v nevyhnutnom rozsahu na historický výskum, vedecký výskum a vývoj alebo na účely štatistiky, čo sa nepovažuje za nezlučiteľné s pôvodným účelom spracúvania. Takto spracúvané osobné údaje prevádzkovateľ nemôže použiť na podporu opatrení alebo rozhodnutí prijatých proti dotknutej osobe a nemôže ich využiť proti záujmom dotknutej osoby na obmedzenie jej základných práv a slobôd. Počas spracúvania osobných údajov na účely podľa prvej vety je prevádzkovateľ povinný ich označiť, anonymizovať ich, ak tým možno dosiahnuť účel spracúvania, a zlikvidovať ich ihneď, ako sa stanú nepotrebnými.

§ 7

Zástupca prevádzkovateľa

(1) Prevádzkovateľ, ktorý pripravuje spracúvanie osobných údajov podľa § 2 ods. 2 písm. b) je povinný pred začatím spracúvania vymenovať svojho zástupcu so sídlom, miestom podnikania alebo trvalým pobytom na území Slovenskej republiky.

(2) Zástupca prevádzkovateľa je povinný disponovať originálom dokladu svojho vymenovania za zástupcu prevádzkovateľa a ten preukázať úradu kedykoľvek na jeho žiadosť. Pravosť podpisov a odtlačku pečiatky prevádzkovateľa na origináli dokladu musí byť úradne osvedčená.

(3) Ustanovenia tohto zákona o prevádzkovateľovi sa v rovnakom rozsahu vzťahujú aj na zástupcu prevádzkovateľa.

§ 8

Sprostredkovateľ

(1) Prevádzkovateľ je oprávnený na základe písomnej zmluvy poveriť spracúvaním osobných údajov sprostredkovateľa. Na účely poverenia sprostredkovateľa spracúvaním osobných údajov podľa prvej vety sa súhlas dotknutej osoby nevyžaduje.

(2) Prevádzkovateľ je pri výbere sprostredkovateľa povinný dbať na jeho odbornú, technickú, organizačnú a personálnu spôsobilosť a jeho schopnosť zaručiť bezpečnosť spracúvaných osobných údajov opatreniami podľa § 19 ods. 1. Prevádzkovateľ nesmie zveriť spracúvanie osobných údajov sprostredkovateľovi, ak by tým mohli byť ohrozené práva a právom chránené záujmy dotknutých osôb.

(3) Prevádzkovateľ je povinný uzatvoriť so sprostredkovateľom zmluvu podľa odseku 1 pred začatím spracúvania osobných údajov, najneskôr v deň začatia spracúvania osobných údajov. Sprostredkovateľ je oprávnený spracúvať osobné údaje len v rozsahu, za podmienok a na účel dojednaný s prevádzkovateľom v zmluve a spôsobom podľa tohto zákona.

(4) Zmluva podľa odseku 3 musí obsahovať

a) údaje o zmluvných stranách (ďalej len „identifikačné údaje“)

1. titul, meno, priezvisko, dátum narodenia a adresu trvalého pobytu, ak ide o fyzickú osobu,

2. názov, právnu formu, adresu sídla a identifikačné číslo, ak ide o právnickú osobu,

3. obchodné meno, adresu miesta podnikania a identifikačné číslo, ak ide o fyzickú osobu – podnikateľa,

b) deň, od ktorého je sprostredkovateľ oprávnený začať so spracúvaním osobných údajov v mene prevádzkovateľa,

c) účel spracúvania osobných údajov,

d) názov informačného systému,

e) zoznam osobných údajov, ktoré sa budú spracúvať; zoznam osobných údajov možno nahradiť rozsahom osobných údajov podľa § 10 ods. 4,

f) okruh dotknutých osôb,

g) podmienky spracúvania osobných údajov vrátane zoznamu povolených operácií s osobnými údajmi,

h) vyhlásenie prevádzkovateľa, že pri výbere sprostredkovateľa postupoval podľa odseku 2 prvej vety,

i) súhlas prevádzkovateľa na spracúvanie osobných údajov sprostredkovateľom prostredníctvom inej osoby, ak postupujú podľa odseku 5,

j) dobu, na ktorú sa zmluva uzatvára,

k) dátum uzatvorenia zmluvy a podpisy zmluvných strán.

(5) Sprostredkovateľ vykonáva spracúvanie osobných údajov osobne, pokiaľ si s prevádzkovateľom písomne v zmluve nedohodne, že spracúvanie osobných údajov vykoná prostredníctvom inej osoby (ďalej len „subdodávateľ“). Subdodávateľ spracúva osobné údaje a zabezpečuje ich ochranu na zodpovednosť sprostredkovateľa. Ustanovenia tohto zákona o sprostredkovateľovi sa vzťahujú aj na subdodávateľa. Na subdodávateľa úrad nahliada ako na sprostredkovateľa.

(6) Ak prevádzkovateľ poveril spracúvaním osobných údajov sprostredkovateľa až po získaní osobných údajov, je povinný zabezpečiť oznámenie tejto skutočnosti dotknutým osobám pri prvom kontakte s nimi, najneskôr však do troch mesiacov odo dňa poverenia sprostredkovateľa. To platí aj vtedy, ak spracúvanie osobných údajov prevezme právny nástupca prevádzkovateľa.12) Prevádzkovateľ nemusí dotknutej osobe informáciu podľa prvej vety oznamovať, ak sa v rovnakej lehote postupovalo podľa odseku 7.

(7) Sprostredkovateľ je vždy povinný pri prvom kontakte s dotknutou osobou oznámiť, že spracúva jej osobné údaje v mene prevádzkovateľa na vymedzený alebo ustanovený účel, ak tento zákon neustanovuje inak.

(8) Sprostredkovateľ je povinný dodržiavať povinnosti ustanovené prevádzkovateľovi v § 5 ods. 1, § 6 ods. 2 písm. c) až i), § 6 ods. 4, § 19 až 26, ak tento zákon neustanovuje inak.

(9) Povinnosti prevádzkovateľa ustanovené v § 8 ods. 6, § 15 až 18 a § 28 až 32 môže vykonať sprostredkovateľ, ak sa tak výslovne dohodne v zmluve uzatvorenej s prevádzkovateľom podľa odseku 1.

(10) Sprostredkovateľ zodpovedá za plnenie povinností podľa odseku 9 v rozsahu zmluvy uzatvorenej s prevádzkovateľom podľa odseku 1.

Právny základ spracúvania osobných údajov

§ 9

(1) Prevádzkovateľ môže spracúvať osobné údaje len na základe priamo vykonateľného právne záväzného aktu Európskej únie, medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, ustanovení tohto zákona alebo osobitného zákona, alebo na základe súhlasu dotknutej osoby.

(2) Sprostredkovateľ môže spracúvať osobné údaje na základe priamo vykonateľného právne záväzného aktu Európskej únie, medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, ustanovení tohto zákona alebo osobitného zákona, alebo na základe súhlasu dotknutej osoby, len v rozsahu a za podmienok dojednaných v zmluve uzatvorenej s prevádzkovateľom podľa § 8 ods. 1.

§ 10

Spracúvanie osobných údajov bez súhlasu dotknutej osoby

(1) Prevádzkovateľ spracúva osobné údaje bez súhlasu dotknutej osoby, ak účel spracúvania osobných údajov, okruh dotknutých osôb a zoznam osobných údajov alebo ich rozsah podľa odseku 4 ustanovuje priamo vykonateľný právne záväzný akt Európskej únie, medzinárodná zmluva, ktorou je Slovenská republika viazaná, alebo tento zákon. Ak zoznam alebo rozsah osobných údajov nie je ustanovený, prevádzkovateľ môže spracúvať osobné údaje len v rozsahu a spôsobom, ktorý je nevyhnutný na dosiahnutie ustanoveného účelu spracúvania pri dodržaní povinností podľa § 6 ods. 2 písm. c) až f) a i).

(2) Prevádzkovateľ ďalej spracúva osobné údaje bez súhlasu dotknutej osoby, ak účel spracúvania osobných údajov, okruh dotknutých osôb a zoznam osobných údajov ustanovuje osobitný zákon.13) Prevádzkovateľ spracúva osobné údaje len v rozsahu a spôsobom, ktorý ustanovuje osobitný zákon. Spracúvané osobné údaje možno z informačného systému poskytnúť, sprístupniť alebo zverejniť len vtedy, ak osobitný zákon ustanovuje účel poskytovania, sprístupňovania alebo zverejňovania, zoznam osobných údajov, ktoré možno poskytnúť, sprístupniť alebo zverejniť, ako aj tretie strany, ktorým sa osobné údaje poskytujú, prípadne okruh príjemcov, ktorým sa osobné údaje sprístupňujú, ak tento zákon neustanovuje inak.

(3) Prevádzkovateľ spracúva osobné údaje bez súhlasu dotknutej osoby aj vtedy, ak

a) spracúvanie osobných údajov je nevyhnutné na účely tvorby umeleckých alebo literárnych diel, pre potreby informovania verejnosti masovokomunikačnými prostriedkami a ak osobné údaje spracúva prevádzkovateľ, ktorému to vyplýva z predmetu jeho činnosti; to neplatí, ak spracúvaním osobných údajov na takýto účel prevádzkovateľ porušuje právo dotknutej osoby na ochranu jej osobnosti a súkromia alebo takéto spracúvanie osobných údajov bez súhlasu dotknutej osoby vylučuje osobitný zákon alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná,

b) spracúvanie osobných údajov je nevyhnutné na plnenie zmluvy, v ktorej vystupuje dotknutá osoba ako jedna zo zmluvných strán, alebo v predzmluvných vzťahoch s dotknutou osobou alebo pri rokovaní o zmene zmluvy, ktoré sa uskutočňujú na žiadosť dotknutej osoby,

c) spracúvanie osobných údajov je nevyhnutné na ochranu života, zdravia alebo majetku dotknutej osoby,

d) predmetom spracúvania sú výlučne titul, meno, priezvisko a adresa dotknutej osoby bez možnosti priradiť k nim ďalšie jej osobné údaje a ich využitie je určené výhradne pre potreby prevádzkovateľa v poštovom styku s dotknutou osobou a evidencie týchto údajov; ak je predmetom činnosti prevádzkovateľa priamy marketing, uvedené osobné údaje môže poskytovať, bez možnosti ich sprístupňovania a zverejňovania, len vtedy, ak sú poskytované inému prevádzkovateľovi, ktorý má rovnaký predmet činnosti, výhradne na účely priameho marketingu, a dotknutá osoba písomne neuplatnila námietku podľa § 28 ods. 3 písm. c),

e) sa spracúvajú osobné údaje, ktoré už boli zverejnené v súlade so zákonom a prevádzkovateľ ich náležite označil ako zverejnené; ten, kto tvrdí, že spracúva zverejnené osobné údaje, na požiadanie preukáže úradu, že spracúvané osobné údaje boli už zákonne zverejnené,

f) spracúvanie osobných údajov je nevyhnutné na splnenie dôležitej úlohy realizovanej vo verejnom záujme, alebo

g) spracúvanie osobných údajov je nevyhnutné na ochranu práv a právom chránených záujmov prevádzkovateľa alebo tretej strany, najmä osobné údaje spracúvané v rámci ochrany majetku, finančných alebo iných záujmov prevádzkovateľa a osobné údaje spracúvané na zabezpečenie bezpečnosti prevádzkovateľa prostredníctvom kamier alebo obdobných systémov; to neplatí, ak pri takomto spracúvaní osobných údajov prevažujú základné práva a slobody dotknutej osoby, ktoré podliehajú ochrane podľa tohto zákona.

(4) Ak sa vzhľadom na účel spracúvania osobných údajov ustanovený v priamo vykonateľnom právne záväznom akte Európskej únie, medzinárodnej zmluve, ktorou je Slovenská republika viazaná, v tomto zákone a osobitnom zákone nedajú vopred konkrétne určiť jednotlivé osobné údaje, ktoré majú byť predmetom spracúvania, zoznam osobných údajov podľa odsekov 1 a 2 možno nahradiť rozsahom osobných údajov; prevádzkovateľ je povinný pri takomto spracúvaní osobných údajov postupovať podľa § 6 ods. 2 písm. d) okrem tých prevádzkovateľov, ktorí spracúvajú osobné údaje na účely súdneho konania a v súvislosti s ním. Zoznam tretích strán podľa odseku 2 možno nahradiť určením okruhu tretích strán len vtedy, ak vzhľadom na povahu veci nemožno vopred určiť jednotlivé tretie strany, ktorým sa osobné údaje poskytujú, alebo ak tretie strany tvoria skupinu subjektov s rovnakým predmetom činnosti a vykonávajú spracúvanie osobných údajov na rovnaký účel, prípadne ak zloženie takejto skupiny podlieha neustálej zmene.

§ 11

Súhlas dotknutej osoby

(1) Ak sa na spracúvanie osobných údajov neuplatňuje § 10, prevádzkovateľ je oprávnený spracúvať osobné údaje len so súhlasom dotknutej osoby.

(2) Ak prevádzkovateľ spracúva osobné údaje podľa odseku 1 a vzniknú pochybnosti o udelení súhlasu dotknutej osoby, prevádzkovateľ je povinný úradu hodnoverne preukázať, že mu dotknutá osoba súhlas poskytla.

(3) Súhlas dotknutej osoby si prevádzkovateľ nesmie vynucovať a ani podmieňovať hrozbou odmietnutia zmluvného vzťahu, služby, tovaru alebo povinnosti ustanovenej prevádzkovateľovi právne záväzným aktom Európskej únie, medzinárodnou zmluvou, ktorou je Slovenská republika viazaná, alebo zákonom.

(4) Súhlas sa preukazuje zvukovým alebo zvukovo-obrazovým záznamom alebo čestným vyhlásením toho, kto poskytol osobné údaje do informačného systému, alebo iným hodnoverným spôsobom. Písomný súhlas sa preukazuje dokladom, ktorý potvrdzuje poskytnutie súhlasu. Dôkaz o súhlase obsahuje najmä údaj o tom, kto súhlas poskytol, komu sa tento súhlas dáva, na aký účel, zoznam alebo rozsah osobných údajov a čas platnosti súhlasu. Súhlas daný v písomnej podobe je bez vlastnoručného podpisu toho, kto súhlas dáva, neplatný. Za súhlas v písomnej podobe sa považuje aj súhlas podpísaný zaručeným elektronickým podpisom.14)

§ 12

(1) Osobné údaje o dotknutej osobe možno získať od inej fyzickej osoby a spracúvať v informačnom systéme len s predchádzajúcim písomným súhlasom dotknutej osoby. To neplatí, ak poskytnutím osobných údajov o dotknutej osobe do informačného systému iná fyzická osoba chráni svoje práva alebo právom chránené záujmy alebo oznamuje skutočnosti, ktoré odôvodňujú uplatnenie právnej zodpovednosti dotknutej osoby, alebo sa osobné údaje spracúvajú na základe osobitného zákona podľa § 10 ods. 2. Ten, kto takto osobné údaje spracúva, musí vedieť preukázať úradu kedykoľvek na jeho žiadosť, že ich získal v súlade s týmto zákonom.

(2) Osobné údaje dotknutej osoby možno poskytnúť z informačného systému inej právnickej osobe alebo fyzickej osobe len spolu s písomným dokladom o danom súhlase, ak tento zákon takýto súhlas vyžaduje; ten, kto osobné údaje takto poskytuje, môže písomný doklad o danom súhlase nahradiť písomným vyhlásením prevádzkovateľa o udelení súhlasu dotknutou osobou, ak prevádzkovateľ vie preukázať, že písomný súhlas dotknutej osoby bol daný.

(3) Prevádzkovateľ, ktorý je zamestnávateľom dotknutej osoby, je oprávnený sprístupniť, poskytovať alebo zverejniť jej osobné údaje v rozsahu titul, meno, priezvisko, pracovné, služobné alebo funkčné zaradenie, odborný útvar, miesto výkonu práce, telefónne číslo, faxové číslo alebo elektronická pošta na pracovisko a identifikačné údaje zamestnávateľa, ak je to potrebné v súvislosti s plnením pracovných, služobných alebo funkčných povinností dotknutej osoby. Sprístupnenie, poskytovanie alebo zverejnenie osobných údajov nemôže narušiť vážnosť, dôstojnosť a bezpečnosť dotknutej osoby.

(4) Osobné údaje podľa § 10 ods. 3 písm. c) a podľa § 14 písm. c) možno spracúvať bez súhlasu dotknutej osoby len po dobu, kým nezaniknú dôvody, ktoré neumožňovali získať súhlas dotknutej osoby. Ak dôvody zanikli, ten, kto osobné údaje spracúva, zabezpečí súhlas dotknutej osoby.

(5) Ten, kto má v úmysle zverejniť osobné údaje dotknutej osoby, nesmie svojím konaním neoprávnene zasahovať do práva na ochranu jej osobnosti a súkromia; zverejnenie osobných údajov nesmie byť v rozpore s oprávnenými záujmami dotknutej osoby.7)

(6) Ak dotknutá osoba nemá spôsobilosť na právne úkony v plnom rozsahu,15) súhlas vyžadovaný podľa tohto zákona môže poskytnúť jej zákonný zástupca.16)

(7) Ak dotknutá osoba nežije, súhlas vyžadovaný podľa tohto zákona môže poskytnúť jej blízka osoba.17) Súhlas nie je platný, ak čo len jedna blízka osoba písomne vyslovila nesúhlas.

§ 13

Osobitné kategórie osobných údajov

(1) Spracúvať osobné údaje, ktoré odhaľujú rasový alebo etnický pôvod, politické názory, náboženskú vieru alebo svetonázor, členstvo v politických stranách alebo politických hnutiach, členstvo v odborových organizáciách a údaje týkajúce sa zdravia alebo pohlavného života, sa zakazuje.

(2) Pri spracúvaní osobných údajov možno využiť na účely určenia fyzickej osoby všeobecne použiteľný identifikátor ustanovený osobitným zákonom18) len vtedy, ak jeho použitie je nevyhnutné na dosiahnutie daného účelu spracúvania. Spracúvať iný identifikátor, ktorý v sebe skrýva charakteristiky dotknutej osoby, alebo zverejňovať všeobecne použiteľný identifikátor sa zakazuje.

(3) Spracúvanie osobných údajov o psychickej identite fyzickej osoby alebo o jej psychickej pracovnej spôsobilosti môže vykonávať len psychológ alebo ten, komu to umožňuje osobitný zákon.19)

(4) Spracúvanie osobných údajov o porušení ustanovení zakladajúcich trestnú zodpovednosť alebo administratívnoprávnu zodpovednosť, môže vykonávať len ten, komu to umožňuje osobitný zákon.20)

(5) Prevádzkovateľ je oprávnený spracúvať biometrické údaje len vtedy, ak je to primerané účelu spracúvania a nevyhnutné na jeho dosiahnutie a ak

a) to prevádzkovateľovi vyplýva výslovne zo zákona,

b) dotknutá osoba dala na spracúvanie písomný alebo inak hodnoverne preukázateľný súhlas,

c) spracúvanie osobných údajov je nevyhnutné na plnenie zmluvy podľa § 10 ods. 3 písm. b), alebo

d) spracúvanie osobných údajov je nevyhnutné na účely podľa § 10 ods. 3 písm. g).

(6) Primeranosť, nevyhnutnosť a právny základ spracúvania biometrických údajov podľa odseku 5 písm. b) až d) posudzuje úrad v konaní podľa § 37 až 39.

§ 14

Výnimky z obmedzenia pri spracúvaní osobitných kategórií osobných údajov

Zákaz spracúvania osobných údajov podľa § 13 ods. 1 neplatí, ak

a) dotknutá osoba dala písomný alebo inak hodnoverne preukázateľný súhlas na ich spracúvanie; súhlas je neplatný, ak jeho poskytnutie vylučuje osobitný zákon,

b) právnym základom pre spracúvanie osobných údajov je osobitný zákon, právne záväzný akt Európskej únie alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná,

c) spracúvanie je nevyhnutné na ochranu životne dôležitých záujmov dotknutej osoby alebo inej fyzickej osoby, ak dotknutá osoba nemá spôsobilosť na právne úkony alebo fyzicky nie je spôsobilá na vydanie písomného súhlasu a ak nemožno získať písomný súhlas jej zákonného zástupcu,

d) spracúvanie vykonáva v rámci oprávnenej činnosti občianske združenie, nadácia alebo nezisková organizácia poskytujúca všeobecne prospešné služby, politická strana alebo politické hnutie, odborová organizácia, štátom uznaná cirkev alebo náboženská spoločnosť a toto spracúvanie sa týka iba ich členov alebo tých fyzických osôb, ktoré sú s nimi vzhľadom na ich ciele v pravidelnom styku, osobné údaje slúžia výlučne pre ich vnútornú potrebu a nebudú poskytnuté tretej strane bez písomného alebo inak hodnoverne preukázateľného súhlasu dotknutej osoby,

e) spracúvanie sa týka osobných údajov, ktoré dotknutá osoba sama zverejnila alebo sú nevyhnutné pri uplatňovaní jej právneho nároku,

f) ide o spracúvanie na účely poskytovania zdravotnej starostlivosti a na účely vykonávania verejného zdravotného poistenia, ak tieto údaje spracúva poskytovateľ zdravotnej starostlivosti, zdravotná poisťovňa, osoba vykonávajúca služby súvisiace s poskytovaním zdravotnej starostlivosti alebo osoba vykonávajúca dohľad nad zdravotnou starostlivosťou a v jej mene odborne spôsobilá oprávnená osoba, ktorá je viazaná povinnosťou mlčanlivosti o skutočnostiach tvoriacich profesijné tajomstvo a povinnosťou dodržiavať zásady profesijnej etiky, alebo

g) ide o spracúvanie v sociálnom poistení, v sociálnom zabezpečení policajtov a vojakov, na účely poskytovania štátnych sociálnych dávok, podporu sociálneho začlenenia fyzickej osoby s ťažkým zdravotným postihnutím do spoločnosti,21) poskytovania sociálnych služieb, vykonávania opatrení sociálnoprávnej ochrany detí a sociálnej kurately alebo poskytovania pomoci v hmotnej núdzi, alebo j