Zákon o ochrane osobných údajov a o zmene a doplnení niektorých zákonov 122/2013 účinný od 15.04.2014 do 24.05.2018

§ 4
Vymedzenie základných pojmov

(1)
Osobnými údajmi sú údaje týkajúce sa určenej alebo určiteľnej fyzickej osoby, pričom takou osobou je osoba, ktorú možno určiť priamo alebo nepriamo, najmä na základe všeobecne použiteľného identifikátora alebo na základe jednej či viacerých charakteristík alebo znakov, ktoré tvoria jej fyzickú, fyziologickú, psychickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu.
(2)
Na účely tohto zákona sa rozumie
a)
dotknutou osobou každá fyzická osoba, ktorej sa osobné údaje týkajú,
b)
prevádzkovateľom každý, kto sám alebo spoločne s inými vymedzí účel spracúvania osobných údajov, určí podmienky ich spracúvania a spracúva osobné údaje vo vlastnom mene; ak účel, prípadne aj podmienky spracúvania osobných údajov ustanovuje zákon, priamo vykonateľný právne záväzný akt Európskej únie alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná, prevádzkovateľom je ten, kto je na plnenie účelu spracúvania za prevádzkovateľa ustanovený alebo kto spĺňa zákonom, priamo vykonateľným právne záväzným aktom Európskej únie alebo medzinárodnou zmluvou, ktorou je Slovenská republika viazaná, ustanovené podmienky,
c)
zástupcom prevádzkovateľa každý, kto na území Slovenskej republiky zastupuje prevádzkovateľa so sídlom, organizačnou zložkou, prevádzkarňou alebo trvalým pobytom v tretej krajine,
d)
sprostredkovateľom každý, kto spracúva osobné údaje v mene prevádzkovateľa, v rozsahu a za podmienok dojednaných s prevádzkovateľom v písomnej zmluve podľa § 8 a v súlade s týmto zákonom,
e)
oprávnenou osobou každá fyzická osoba, ktorá prichádza do styku s osobnými údajmi v rámci svojho pracovnoprávneho vzťahu, štátnozamestnaneckého pomeru, služobného pomeru, členského vzťahu, na základe poverenia, zvolenia alebo vymenovania, alebo v rámci výkonu verejnej funkcie, a ktorá spracúva osobné údaje v rozsahu a spôsobom určeným v poučení podľa § 21,
f)
treťou stranou každý, kto nie je dotknutou osobou, prevádzkovateľom poskytujúcim osobné údaje, jeho zástupcom, sprostredkovateľom alebo oprávnenou osobou,
g)
príjemcom každý, komu sú osobné údaje poskytnuté alebo sprístupnené, pričom príjemcom môže byť aj tretia strana; prevádzkovateľ, ktorý spracúva osobné údaje na základe § 3 ods. 1 písm. g), a úrad, ktorý plní úlohy ustanovené týmto zákonom, sa nepovažujú za príjemcu.
(3)
Na účely tohto zákona sa ďalej rozumie
a)
spracúvaním osobných údajov vykonávanie operácií alebo súboru operácií s osobnými údajmi, najmä ich získavanie, zhromažďovanie, šírenie, zaznamenávanie, usporadúvanie, prepracúvanie alebo zmena, vyhľadávanie, prehliadanie, preskupovanie, kombinovanie, premiestňovanie, využívanie, uchovávanie, blokovanie, likvidácia, ich cezhraničný prenos, poskytovanie, sprístupňovanie alebo zverejňovanie; niektorými operáciami s osobnými údajmi sa podľa prvej vety rozumie
1.
poskytovaním osobných údajov odovzdávanie osobných údajov tretej strane, ktorá ich ďalej spracúva,
2.
sprístupňovaním osobných údajov oznámenie osobných údajov alebo umožnenie prístupu k nim príjemcovi, ktorý ich ďalej nespracúva,
3.
zverejňovaním osobných údajov publikovanie, uverejnenie alebo vystavenie osobných údajov na verejnosti prostredníctvom masovokomunikačných prostriedkov, verejne prístupných počítačových sietí, verejným vykonaním alebo vystavením diela,8) verejným vyhlásením, uvedením vo verejnom zozname, v registri alebo v operáte,9) ich umiestnením na úradnej tabuli alebo na inom verejne prístupnom mieste,
4.
cezhraničným prenosom osobných údajov prenos osobných údajov mimo územia Slovenskej republiky a na územie Slovenskej republiky,
5.
likvidáciou osobných údajov zrušenie osobných údajov rozložením, vymazaním alebo fyzickým zničením hmotných nosičov tak, aby sa z nich osobné údaje nedali reprodukovať,
6.
blokovaním osobných údajov dočasné alebo trvalé pozastavenie spracúvania osobných údajov, počas ktorého možno vykonávať len tie operácie s osobnými údajmi, ktoré sú nevyhnutné na splnenie povinnosti uloženej týmto zákonom,
b)
informačným systémom osobných údajov informačný systém, v ktorom sa na vopred vymedzený alebo ustanovený účel systematicky spracúva alebo má spracúvať akýkoľvek usporiadaný súbor osobných údajov prístupných podľa určených kritérií, bez ohľadu na to, či ide o informačný systém centralizovaný, decentralizovaný alebo distribuovaný na funkčnom alebo geografickom základe (ďalej len „informačný systém“); informačným systémom sa na účely tohto zákona rozumie aj súbor osobných údajov, ktoré sú spracúvané alebo pripravené na spracúvanie čiastočne automatizovanými alebo inými ako automatizovanými prostriedkami spracúvania,
c)
účelom spracúvania osobných údajov vopred jednoznačne vymedzený alebo ustanovený zámer spracúvania osobných údajov, ktorý sa viaže na určitú činnosť,
d)
súhlasom dotknutej osoby akýkoľvek slobodne daný výslovný a zrozumiteľný prejav vôle, ktorým dotknutá osoba na základe poskytnutých informácií vyjadruje súhlas so spracúvaním svojich osobných údajov,
e)
podmienkami spracúvania osobných údajov prostriedky a spôsob spracúvania osobných údajov, ako aj ďalšie požiadavky, kritériá alebo pokyny súvisiace so spracúvaním osobných údajov alebo vykonanie úkonov, ktoré slúžia na dosiahnutie účelu spracúvania či už pred začatím spracúvania osobných údajov, alebo v priebehu ich spracúvania,
f)
biometrickým údajom osobný údaj fyzickej osoby označujúci jej biologickú alebo fyziologickú vlastnosť alebo charakteristiku, na základe ktorej je jednoznačne a nezameniteľne určiteľná; biometrickým údajom je najmä odtlačok prsta, odtlačok dlane, analýza deoxyribonukleovej kyseliny,
g)
všeobecne použiteľným identifikátorom trvalý identifikačný osobný údaj dotknutej osoby, ktorý zabezpečuje jej jednoznačnosť v informačných systémoch,
h)
adresou súbor údajov o pobyte fyzickej osoby, do ktorého patria názov ulice, orientačné, prípadne súpisné číslo domu, názov obce, prípadne názov časti obce, poštové smerovacie číslo, názov okresu, názov štátu,
i)
anonymizovaným údajom osobný údaj upravený do takej podoby, v ktorej ho nemožno priradiť dotknutej osobe, ktorej sa týka,
j)
priestorom prístupným verejnosti priestor, do ktorého možno voľne vstupovať a v ktorom sa možno voľne zdržiavať bez časového obmedzenia alebo vo vymedzenom čase, pričom iné obmedzenia, ak existujú a sú osobou splnené, nemajú vplyv na vstup a voľný pohyb osoby v tomto priestore, alebo je to priestor, ktorý tak označuje osobitný zákon,
k)
členským štátom štát, ktorý je členským štátom Európskej únie alebo zmluvnou stranou Dohody o Európskom hospodárskom priestore,
l)
treťou krajinou krajina, ktorá nie je členským štátom Európskej únie alebo zmluvnou stranou Dohody o Európskom hospodárskom priestore,
m)
verejným záujmom dôležitý záujem štátu realizovaný pri výkone verejnej moci, ktorý prevažuje nad oprávneným záujmom fyzickej osoby alebo viacerých fyzických osôb a bez jeho realizácie by mohli vzniknúť rozsiahle alebo nenahraditeľné škody.

§ 8
Sprostredkovateľ

(1)
Prevádzkovateľ je oprávnený na základe písomnej zmluvy poveriť spracúvaním osobných údajov sprostredkovateľa. Na účely poverenia sprostredkovateľa spracúvaním osobných údajov podľa prvej vety sa súhlas dotknutej osoby nevyžaduje.
(2)
Prevádzkovateľ je pri výbere sprostredkovateľa povinný dbať na jeho odbornú, technickú, organizačnú a personálnu spôsobilosť a jeho schopnosť zaručiť bezpečnosť spracúvaných osobných údajov opatreniami podľa § 19 ods. 1. Prevádzkovateľ nesmie zveriť spracúvanie osobných údajov sprostredkovateľovi, ak by tým mohli byť ohrozené práva a právom chránené záujmy dotknutých osôb.
(3)
Prevádzkovateľ je povinný uzatvoriť so sprostredkovateľom zmluvu podľa odseku 1 pred začatím spracúvania osobných údajov, najneskôr v deň začatia spracúvania osobných údajov. Sprostredkovateľ je oprávnený spracúvať osobné údaje len v rozsahu, za podmienok a na účel dojednaný s prevádzkovateľom v zmluve a spôsobom podľa tohto zákona.
(4)
Zmluva podľa odseku 3 musí obsahovať
a)
údaje o zmluvných stranách (ďalej len „identifikačné údaje“)
1.
titul, meno, priezvisko, dátum narodenia a adresu trvalého pobytu, ak ide o fyzickú osobu,
2.
názov, právnu formu, adresu sídla a identifikačné číslo, ak ide o právnickú osobu,
3.
obchodné meno, adresu miesta podnikania a identifikačné číslo, ak ide o fyzickú osobu - podnikateľa,
b)
deň, od ktorého je sprostredkovateľ oprávnený začať so spracúvaním osobných údajov v mene prevádzkovateľa,
c)
účel spracúvania osobných údajov,
d)
názov informačného systému,
e)
zoznam osobných údajov, ktoré sa budú spracúvať; zoznam osobných údajov možno nahradiť rozsahom osobných údajov podľa § 10 ods. 4,
f)
okruh dotknutých osôb,
g)
podmienky spracúvania osobných údajov vrátane zoznamu povolených operácií s osobnými údajmi,
h)
vyhlásenie prevádzkovateľa, že pri výbere sprostredkovateľa postupoval podľa odseku 2 prvej vety,
i)
súhlas prevádzkovateľa na spracúvanie osobných údajov sprostredkovateľom prostredníctvom inej osoby, ak postupujú podľa odseku 5,
j)
dobu, na ktorú sa zmluva uzatvára,
k)
dátum uzatvorenia zmluvy a podpisy zmluvných strán.
(5)
Sprostredkovateľ vykonáva spracúvanie osobných údajov osobne, pokiaľ si s prevádzkovateľom písomne v zmluve nedohodne, že spracúvanie osobných údajov vykoná prostredníctvom inej osoby (ďalej len „subdodávateľ“). Subdodávateľ spracúva osobné údaje a zabezpečuje ich ochranu na zodpovednosť sprostredkovateľa. Ustanovenia tohto zákona o sprostredkovateľovi sa vzťahujú aj na subdodávateľa. Na subdodávateľa úrad nahliada ako na sprostredkovateľa.
(6)
Ak prevádzkovateľ poveril spracúvaním osobných údajov sprostredkovateľa až po získaní osobných údajov, je povinný zabezpečiť oznámenie tejto skutočnosti dotknutým osobám pri prvom kontakte s nimi, najneskôr však do troch mesiacov odo dňa poverenia sprostredkovateľa. To platí aj vtedy, ak spracúvanie osobných údajov prevezme právny nástupca prevádzkovateľa.12) Prevádzkovateľ nemusí dotknutej osobe informáciu podľa prvej vety oznamovať, ak sa v rovnakej lehote postupovalo podľa odseku 7.
(7)
Sprostredkovateľ je vždy povinný pri prvom kontakte s dotknutou osobou oznámiť, že spracúva jej osobné údaje v mene prevádzkovateľa na vymedzený alebo ustanovený účel, ak tento zákon neustanovuje inak.
(8)
Sprostredkovateľ je povinný dodržiavať povinnosti ustanovené prevádzkovateľovi v § 5 ods. 1, § 6 ods. 2 písm. c) až i), § 6 ods. 4, § 19 až 26, ak tento zákon neustanovuje inak.
(9)
Povinnosti prevádzkovateľa ustanovené v § 8 ods. 6, § 15 až 18 a § 28 až 32 môže vykonať sprostredkovateľ, ak sa tak výslovne dohodne v zmluve uzatvorenej s prevádzkovateľom podľa odseku 1.
(10)
Sprostredkovateľ zodpovedá za plnenie povinností podľa odseku 9 v rozsahu zmluvy uzatvorenej s prevádzkovateľom podľa odseku 1.

§ 10
Spracúvanie osobných údajov bez súhlasu dotknutej osoby

(1)
Prevádzkovateľ spracúva osobné údaje bez súhlasu dotknutej osoby, ak účel spracúvania osobných údajov, okruh dotknutých osôb a zoznam osobných údajov alebo ich rozsah podľa odseku 4 ustanovuje priamo vykonateľný právne záväzný akt Európskej únie, medzinárodná zmluva, ktorou je Slovenská republika viazaná, alebo tento zákon. Ak zoznam alebo rozsah osobných údajov nie je ustanovený, prevádzkovateľ môže spracúvať osobné údaje len v rozsahu a spôsobom, ktorý je nevyhnutný na dosiahnutie ustanoveného účelu spracúvania pri dodržaní povinností podľa § 6 ods. 2 písm. c) až f) a i).
(2)
Prevádzkovateľ ďalej spracúva osobné údaje bez súhlasu dotknutej osoby, ak účel spracúvania osobných údajov, okruh dotknutých osôb a zoznam osobných údajov ustanovuje osobitný zákon.13) Prevádzkovateľ spracúva osobné údaje len v rozsahu a spôsobom, ktorý ustanovuje osobitný zákon. Spracúvané osobné údaje možno z informačného systému poskytnúť, sprístupniť alebo zverejniť len vtedy, ak osobitný zákon ustanovuje účel poskytovania, sprístupňovania alebo zverejňovania, zoznam osobných údajov, ktoré možno poskytnúť, sprístupniť alebo zverejniť, ako aj tretie strany, ktorým sa osobné údaje poskytujú, prípadne okruh príjemcov, ktorým sa osobné údaje sprístupňujú, ak tento zákon neustanovuje inak.
(3)
Prevádzkovateľ spracúva osobné údaje bez súhlasu dotknutej osoby aj vtedy, ak
a)
spracúvanie osobných údajov je nevyhnutné na účely tvorby umeleckých alebo literárnych diel, pre potreby informovania verejnosti masovokomunikačnými prostriedkami a ak osobné údaje spracúva prevádzkovateľ, ktorému to vyplýva z predmetu jeho činnosti; to neplatí, ak spracúvaním osobných údajov na takýto účel prevádzkovateľ porušuje právo dotknutej osoby na ochranu jej osobnosti a súkromia alebo takéto spracúvanie osobných údajov bez súhlasu dotknutej osoby vylučuje osobitný zákon alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná,
b)
spracúvanie osobných údajov je nevyhnutné na plnenie zmluvy, v ktorej vystupuje dotknutá osoba ako jedna zo zmluvných strán, alebo v predzmluvných vzťahoch s dotknutou osobou alebo pri rokovaní o zmene zmluvy, ktoré sa uskutočňujú na žiadosť dotknutej osoby,
c)
spracúvanie osobných údajov je nevyhnutné na ochranu života, zdravia alebo majetku dotknutej osoby,
d)
predmetom spracúvania sú výlučne titul, meno, priezvisko a adresa dotknutej osoby bez možnosti priradiť k nim ďalšie jej osobné údaje a ich využitie je určené výhradne pre potreby prevádzkovateľa v poštovom styku s dotknutou osobou a evidencie týchto údajov; ak je predmetom činnosti prevádzkovateľa priamy marketing, uvedené osobné údaje môže poskytovať, bez možnosti ich sprístupňovania a zverejňovania, len vtedy, ak sú poskytované inému prevádzkovateľovi, ktorý má rovnaký predmet činnosti, výhradne na účely priameho marketingu, a dotknutá osoba písomne neuplatnila námietku podľa § 28 ods. 3 písm. c),
e)
sa spracúvajú osobné údaje, ktoré už boli zverejnené v súlade so zákonom a prevádzkovateľ ich náležite označil ako zverejnené; ten, kto tvrdí, že spracúva zverejnené osobné údaje, na požiadanie preukáže úradu, že spracúvané osobné údaje boli už zákonne zverejnené,
f)
spracúvanie osobných údajov je nevyhnutné na splnenie dôležitej úlohy realizovanej vo verejnom záujme, alebo
g)
spracúvanie osobných údajov je nevyhnutné na ochranu práv a právom chránených záujmov prevádzkovateľa alebo tretej strany, najmä osobné údaje spracúvané v rámci ochrany majetku, finančných alebo iných záujmov prevádzkovateľa a osobné údaje spracúvané na zabezpečenie bezpečnosti prevádzkovateľa prostredníctvom kamier alebo obdobných systémov; to neplatí, ak pri takomto spracúvaní osobných údajov prevažujú základné práva a slobody dotknutej osoby, ktoré podliehajú ochrane podľa tohto zákona.
(4)
Ak sa vzhľadom na účel spracúvania osobných údajov ustanovený v priamo vykonateľnom právne záväznom akte Európskej únie, medzinárodnej zmluve, ktorou je Slovenská republika viazaná, v tomto zákone a osobitnom zákone nedajú vopred konkrétne určiť jednotlivé osobné údaje, ktoré majú byť predmetom spracúvania, zoznam osobných údajov podľa odsekov 1 a 2 možno nahradiť rozsahom osobných údajov; prevádzkovateľ je povinný pri takomto spracúvaní osobných údajov postupovať podľa § 6 ods. 2 písm. d) okrem tých prevádzkovateľov, ktorí spracúvajú osobné údaje na účely súdneho konania a v súvislosti s ním. Zoznam tretích strán podľa odseku 2 možno nahradiť určením okruhu tretích strán len vtedy, ak vzhľadom na povahu veci nemožno vopred určiť jednotlivé tretie strany, ktorým sa osobné údaje poskytujú, alebo ak tretie strany tvoria skupinu subjektov s rovnakým predmetom činnosti a vykonávajú spracúvanie osobných údajov na rovnaký účel, prípadne ak zloženie takejto skupiny podlieha neustálej zmene.

§ 12

(1)
Osobné údaje o dotknutej osobe možno získať od inej fyzickej osoby a spracúvať v informačnom systéme len s predchádzajúcim písomným súhlasom dotknutej osoby. To neplatí, ak poskytnutím osobných údajov o dotknutej osobe do informačného systému iná fyzická osoba chráni svoje práva alebo právom chránené záujmy alebo oznamuje skutočnosti, ktoré odôvodňujú uplatnenie právnej zodpovednosti dotknutej osoby, alebo sa osobné údaje spracúvajú na základe osobitného zákona podľa § 10 ods. 2. Ten, kto takto osobné údaje spracúva, musí vedieť preukázať úradu kedykoľvek na jeho žiadosť, že ich získal v súlade s týmto zákonom.
(2)
Osobné údaje dotknutej osoby možno poskytnúť z informačného systému inej právnickej osobe alebo fyzickej osobe len spolu s písomným dokladom o danom súhlase, ak tento zákon takýto súhlas vyžaduje; ten, kto osobné údaje takto poskytuje, môže písomný doklad o danom súhlase nahradiť písomným vyhlásením prevádzkovateľa o udelení súhlasu dotknutou osobou, ak prevádzkovateľ vie preukázať, že písomný súhlas dotknutej osoby bol daný.
(3)
Prevádzkovateľ, ktorý je zamestnávateľom dotknutej osoby, je oprávnený sprístupniť, poskytovať alebo zverejniť jej osobné údaje v rozsahu titul, meno, priezvisko, pracovné, služobné alebo funkčné zaradenie, odborný útvar, miesto výkonu práce, telefónne číslo, faxové číslo alebo elektronická pošta na pracovisko a identifikačné údaje zamestnávateľa, ak je to potrebné v súvislosti s plnením pracovných, služobných alebo funkčných povinností dotknutej osoby. Sprístupnenie, poskytovanie alebo zverejnenie osobných údajov nemôže narušiť vážnosť, dôstojnosť a bezpečnosť dotknutej osoby.
(4)
Osobné údaje podľa § 10 ods. 3 písm. c) a podľa § 14 písm. c) možno spracúvať bez súhlasu dotknutej osoby len po dobu, kým nezaniknú dôvody, ktoré neumožňovali získať súhlas dotknutej osoby. Ak dôvody zanikli, ten, kto osobné údaje spracúva, zabezpečí súhlas dotknutej osoby.
(5)
Ten, kto má v úmysle zverejniť osobné údaje dotknutej osoby, nesmie svojím konaním neoprávnene zasahovať do práva na ochranu jej osobnosti a súkromia; zverejnenie osobných údajov nesmie byť v rozpore s oprávnenými záujmami dotknutej osoby.7)
(6)
Ak dotknutá osoba nemá spôsobilosť na právne úkony v plnom rozsahu,15) súhlas vyžadovaný podľa tohto zákona môže poskytnúť jej zákonný zástupca.16)
(7)
Ak dotknutá osoba nežije, súhlas vyžadovaný podľa tohto zákona môže poskytnúť jej blízka osoba.17) Súhlas nie je platný, ak čo len jedna blízka osoba písomne vyslovila nesúhlas.

§ 15
Získavanie osobných údajov

(1)
Prevádzkovateľ, ktorý pripravuje spracúvanie osobných údajov dotknutej osoby, je povinný pred ich získavaním dotknutej osobe vopred oznámiť tieto informácie:
a)
identifikačné údaje prevádzkovateľa a zástupcu prevádzkovateľa, ak bol vymenovaný,
b)
identifikačné údaje sprostredkovateľa; to neplatí, ak prevádzkovateľ pri získavaní osobných údajov nepostupuje podľa § 8,
c)
účel spracúvania osobných údajov,
d)
zoznam osobných údajov alebo rozsah osobných údajov podľa § 10 ods. 4 prvej vety a
e)
doplňujúce informácie, ktoré sú s ohľadom na všetky okolnosti a podmienky spracúvania osobných údajov potrebné pre dotknutú osobu na zaručenie jej práv a právom chránených záujmov v rozsahu najmä
1.
preukázanie totožnosti oprávnenej osoby, ktorá získava osobné údaje, alebo preukázanie príslušnosti oprávnenej osoby hodnoverným dokladom k tomu subjektu, v mene ktorého koná; oprávnená osoba je povinná takejto žiadosti dotknutej osoby bez zbytočného odkladu vyhovieť,
2.
poučenie o dobrovoľnosti alebo povinnosti poskytnúť požadované osobné údaje; ak prevádzkovateľ získava osobné údaje dotknutej osoby na základe súhlasu dotknutej osoby podľa § 11, oznámi jej aj čas platnosti súhlasu, a ak dotknutej osobe povinnosť poskytnúť osobné údaje vyplýva z priamo vykonateľného právne záväzného aktu Európskej únie, medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, alebo zákona, prevádzkovateľ oznámi dotknutej osobe právny základ, ktorý jej túto povinnosť ukladá, a upovedomí ju o následkoch odmietnutia poskytnúť osobné údaje,
3.
tretie strany, ak sa predpokladá alebo je zrejmé, že im budú osobné údaje poskytnuté,
4.
okruh príjemcov, ak sa predpokladá alebo je zrejmé, že im budú osobné údaje sprístupnené,
5.
formu zverejnenia, ak majú byť osobné údaje zverejnené,
6.
tretie krajiny, ak sa predpokladá alebo je zrejmé, že sa do týchto krajín uskutoční prenos osobných údajov,
7.
poučenie o právach dotknutej osoby.
(2)
Ak osobné údaje o dotknutej osobe nezískal prevádzkovateľ priamo od tejto dotknutej osoby, je povinný bez zbytočného odkladu, najneskôr však v čase pred ich prvým poskytnutím tretej strane, ak sa takéto poskytovanie predpokladá, oznámiť dotknutej osobe informácie podľa odseku 1 písm. a) až c) a ďalšie doplňujúce informácie, pokiaľ sú potrebné s ohľadom na špecifické okolnosti, za ktorých sú osobné údaje získavané na zabezpečenie zákonného spracúvania, najmä
a)
poučenie o možnosti rozhodnúť o spracúvaní získaných osobných údajov,
b)
zoznam osobných údajov,
c)
tretie strany, ak sa predpokladá alebo je zrejmé, že im budú osobné údaje poskytnuté,
d)
okruh príjemcov, ak sa predpokladá alebo je zrejmé, že im budú osobné údaje sprístupnené,
e)
formu zverejnenia, ak majú byť osobné údaje zverejnené,
f)
tretie krajiny, ak sa predpokladá alebo je zrejmé, že sa do týchto krajín uskutoční prenos osobných údajov,
g)
poučenie o právach dotknutej osoby.
(3)
Informácie podľa odseku 1 netreba dotknutej osobe oznamovať, ak prevádzkovateľ vie úradu kedykoľvek na jeho žiadosť preukázať, že jej boli už predtým poskytnuté alebo ak prevádzkovateľ spracúva osobné údaje podľa § 10 ods. 1 a 2. Informácie podľa odseku 2 netreba dotknutej osobe oznamovať, ak prevádzkovateľ
a)
vie úradu kedykoľvek na jeho žiadosť preukázať, že jej boli už predtým poskytnuté,
b)
spracúva osobné údaje podľa § 10 ods. 1 a 2,
c)
spracúva osobné údaje na účel ustanovený v § 10 ods. 3 písm. a),
d)
spracúva osobné údaje na historický výskum alebo vedecký výskum a vývoj, alebo na účely štatistiky a poskytnutie takýchto informácií je objektívne nemožné alebo by bolo možné len s vyvinutím neprimeraného úsilia, alebo
e)
spracúva osobné údaje podľa § 10 ods. 3 písm. e).
(4)
Prevádzkovateľ, ktorý získava osobné údaje na účely identifikácie fyzickej osoby pri jej jednorazovom vstupe do jeho priestorov, je oprávnený od nej požadovať titul, meno, priezvisko a číslo občianskeho preukazu,23) číslo služobného preukazu alebo číslo cestovného dokladu,24) štátnu príslušnosť a preukázanie pravdivosti poskytnutých osobných údajov predkladaným dokladom. Ak sa fyzická osoba preukáže podľa osobitného zákona,25) je prevádzkovateľ oprávnený od nej požadovať len evidenčné číslo služobného preukazu a názov orgánu, ktorý služobný preukaz vydal. V oboch prípadoch sa odsek 1 nepoužije.
(5)
Prevádzkovateľ, ktorý v priestoroch prístupných verejnosti získava, poskytuje alebo sprístupňuje osobné údaje, zabezpečí ich primeranú ochranu podľa § 19.
(6)
Získavať osobné údaje nevyhnutné na dosiahnutie účelu spracúvania kopírovaním, skenovaním alebo iným zaznamenávaním úradných dokladov na nosič informácií možno len vtedy, ak s tým dotknutá osoba písomne súhlasí alebo ak to osobitný zákon výslovne umožňuje bez súhlasu dotknutej osoby.26) To neplatí, ak ide o získavanie osobných údajov na účely a v rozsahu údajov podľa odseku 4 ich zaznamenávaním z úradného dokladu automatizovanými prostriedkami spracúvania a o získavanie osobných údajov na účely uzatvorenia pracovnoprávneho alebo obdobného vzťahu.
(7)
Priestor prístupný verejnosti možno monitorovať len na účely ochrany verejného poriadku a bezpečnosti, odhaľovania kriminality, narušenia bezpečnosti štátu, ochrany majetku alebo zdravia, a to len vtedy, ak je priestor zreteľne označený ako monitorovaný; monitorovaný priestor je prevádzkovateľ povinný zreteľne označiť bez ohľadu na to, či sa snímaný obraz alebo zvuk zaznamenáva na nosič informácií. Označenie monitorovaného priestoru sa nevyžaduje, ak tak ustanovuje osobitný zákon. Vyhotovený záznam možno využiť len na účely trestného konania alebo konania o priestupkoch, ak osobitný zákon neustanovuje inak.
(8)
Prevádzkovateľ, ktorý získa osobné údaje uvedené v § 10 ods. 3 písm. d) bez vedomia dotknutej osoby alebo priamo od nej, poskytne jej pri prvom kontakte informácie podľa odseku 1, a ak sú spracúvané na účely priameho marketingu, oboznámi ju výslovne aj s právom písomne namietať proti ich poskytovaniu a využívaniu v poštovom styku.
(9)
Prevádzkovateľ, ktorého predmetom činnosti je priamy marketing, vedie zoznam poskytnutých osobných údajov podľa § 10 ods. 3 písm. d) v rozsahu titul, meno, priezvisko a adresa dotknutej osoby, dátum ich poskytnutia, prípadne dátum, od ktorého platí zákaz ich ďalšieho poskytovania podľa § 17 ods. 6, a názov právnickej osoby alebo fyzickej osoby, ktorej boli uvedené osobné údaje poskytnuté. Zoznam v rovnakom rozsahu vedie aj právnická osoba a fyzická osoba, ktorej boli tieto osobné údaje poskytnuté.

§ 19
Zodpovednosť za bezpečnosť osobných údajov

(1)
Za bezpečnosť osobných údajov zodpovedá prevádzkovateľ. Prevádzkovateľ je povinný chrániť spracúvané osobné údaje pred ich poškodením, zničením, stratou, zmenou, neoprávneným prístupom a sprístupnením, poskytnutím alebo zverejnením, ako aj pred akýmikoľvek inými neprípustnými spôsobmi spracúvania. Na tento účel prijme primerané technické, organizačné a personálne opatrenia (ďalej len „bezpečnostné opatrenia“) zodpovedajúce spôsobu spracúvania osobných údajov, pričom berie do úvahy najmä použiteľné technické prostriedky, dôvernosť a dôležitosť spracúvaných osobných údajov, ako aj rozsah možných rizík, ktoré sú spôsobilé narušiť bezpečnosť alebo funkčnosť informačného systému.
(2)
Bezpečnostné opatrenia podľa odseku 1 prevádzkovateľ zdokumentuje v bezpečnostnom projekte informačného systému (ďalej len „bezpečnostný projekt“), ak
a)
v informačnom systéme prepojenom s verejne prístupnou počítačovou sieťou spracúva osobitné kategórie osobných údajov podľa § 13, alebo
b)
informačný systém slúži na zabezpečenie verejného záujmu podľa § 3 ods. 1; ustanovenie § 20 sa pri vypracúvaní bezpečnostného projektu nepoužije len vtedy, ak pre konkrétny prípad je tu súčasne povinnosť vypracovať bezpečnostný projekt podľa osobitného predpisu.29)
(3)
Prevádzkovateľ je povinný bez zbytočného odkladu zabezpečovať aktualizáciu bezpečnostných opatrení prijatých podľa odsekov 1 a 2 tak, aby zodpovedala prijatým zmenám pri spracúvaní osobných údajov, a to až do ukončenia spracúvania osobných údajov v informačnom systéme.
(4)
Na požiadanie úradu prevádzkovateľ preukáže rozsah a obsah bezpečnostných opatrení podľa odsekov 1 a 2.

§ 21
Poučenie oprávnenej osoby

(1)
Fyzická osoba sa stáva oprávnenou osobou dňom jej poučenia.
(2)
Prevádzkovateľ je povinný poučiť osobu podľa odseku 1 o jej právach a povinnostiach pri spracúvaní osobných údajov; poučenie obsahuje najmä vymedzenie rozsahu jej oprávnení, povolených činností a podmienok spracúvania osobných údajov. Prevádzkovateľ vykoná poučenie pred uskutočnením prvej operácie s osobnými údajmi oprávnenou osobou.
(3)
Prevádzkovateľ je povinný o poučení oprávnenej osoby vyhotoviť záznam, ktorý je povinný na požiadanie úradu hodnoverne preukázať.
(4)
Prevádzkovateľ je povinný opätovne poučiť oprávnenú osobu, ak došlo k podstatnej zmene jej pracovného, služobného alebo funkčného zaradenia, a tým sa významne zmenil obsah náplne jej pracovných činností, alebo sa podstatne zmenili podmienky spracúvania osobných údajov alebo rozsah spracúvaných osobných údajov v rámci jej pracovného, služobného alebo funkčného zaradenia.

§ 23
Podmienky poverenia zodpovednej osoby

(1)
Za výkon dohľadu nad ochranou osobných údajov spracúvaných podľa tohto zákona zodpovedá prevádzkovateľ.
(2)
Prevádzkovateľ, ktorý spracúva osobné údaje prostredníctvom oprávnených osôb, môže výkonom dohľadu písomne poveriť zodpovednú osobu alebo viaceré zodpovedné osoby, ktoré dozerajú na dodržiavanie zákonných ustanovení pri spracúvaní osobných údajov. Tým nie je dotknutá zodpovednosť prevádzkovateľa podľa odseku 1.
(3)
Ak prevádzkovateľ nepoverí zodpovednú osobu podľa odseku 2, je povinný oznámiť úradu tie informačné systémy, ktoré podľa tohto zákona podliehajú oznamovacej povinnosti podľa § 34. Povinnosť ustanovená prevádzkovateľovi podľa prvej vety sa nevzťahuje na sprostredkovateľa.
(4)
Zodpovedná osoba má postavenie oprávnenej osoby prevádzkovateľa s právom prístupu do informačných systémov prevádzkovateľa v rozsahu potrebnom na plnenie úloh podľa § 27.
(5)
Zodpovednou osobou môže byť len fyzická osoba, ktorá má spôsobilosť na právne úkony v plnom rozsahu, je bezúhonná a má platné potvrdenie úradu o absolvovaní skúšky podľa § 24.
(6)
Za bezúhonného sa na účely tohto zákona považuje ten, kto nebol právoplatne odsúdený za úmyselný trestný čin alebo za trestný čin, pri ktorom mu výkon trestu odňatia slobody nebol podmienečne odložený, ak sa podľa rozhodnutia súdu alebo na základe zákona nehľadí na neho, ako keby nebol odsúdený alebo odsúdenie mu nebolo zahladené. Bezúhonnosť sa preukazuje doloženým výpisom z registra trestov nie starším ako tri mesiace. Výpis z registra trestov fyzická osoba doloží prevádzkovateľovi najneskôr v deň poverenia podľa odseku 2. Prevádzkovateľ je povinný ho uchovávať spolu s poverením podľa odseku 8 počas celej doby výkonu funkcie zodpovednej osoby.
(7)
Povinnosť preukazovania bezúhonnosti podľa odseku 6 neplatí, ak fyzická osoba je povinná preukázať svoju bezúhonnosť na účely pracovného pomeru, štátnozamestnaneckého pomeru, služobného pomeru alebo obdobného pracovného vzťahu k prevádzkovateľovi podľa osobitného zákona.
(8)
Poverenie podľa odseku 2 obsahuje
a)
identifikačné údaje prevádzkovateľa,
b)
titul, meno, priezvisko a dátum narodenia poverenej zodpovednej osoby,
c)
dátum začiatku platnosti poverenia zodpovednej osoby,
d)
vyhlásenie prevádzkovateľa o tom, že poverená osoba spĺňa predpoklady podľa tohto zákona,
e)
číslo potvrdenia o absolvovaní skúšky podľa § 24 ods. 5 písm. c) a dátum vydania potvrdenia,
f)
výslovný súhlas s poverením a podpis poverenej zodpovednej osoby,
g)
odtlačok pečiatky prevádzkovateľa,
h)
dátum vyhotovenia poverenia a
i)
podpis štatutárneho orgánu prevádzkovateľa alebo inej osoby oprávnenej konať v mene prevádzkovateľa.

§ 26
Ukončenie poverenia zodpovednej osoby

(1)
Prevádzkovateľ je oprávnený kedykoľvek bez udania dôvodu poverenie zodpovednej osoby písomne odvolať.
(2)
Poverenie zodpovednej osoby zaniká
a)
smrťou zodpovednej osoby,
b)
dňom zániku prevádzkovateľa,
c)
dňom, keď zodpovedná osoba prestala spĺňať podmienky podľa § 23 ods. 5,
d)
uplynutím lehoty podľa § 24 ods. 6,
e)
dňom skončenia pracovného pomeru, štátnozamestnaneckého pomeru, služobného pomeru alebo obdobného pracovného vzťahu zodpovednej osoby, ak je zamestnancom prevádzkovateľa a písomne sa nedohodnú na pokračovaní výkonu funkcie zodpovednej osoby podľa tohto zákona, alebo
f)
dňom, keď prevádzkovateľ prevzal písomnú žiadosť zodpovednej osoby o zrušenie jej poverenia na výkon funkcie zodpovednej osoby, ak nedošlo k inej dohode o lehote zániku.
(3)
Ak prevádzkovateľ odvolá poverenie zodpovednej osoby podľa odseku 1, môže postupovať podľa § 23 ods. 2 a § 25 ods. 2. Ak dôjde k zániku poverenia zodpovednej osoby podľa odseku 2 písm. a), c) až f), prevádzkovateľ môže postupovať podľa § 23 ods. 2 a § 25 ods. 2.
(4)
Ak dôjde k zániku poverenia zodpovednej osoby podľa odseku 2 písm. b), prevádzkovateľ je povinný o tom bez zbytočného odkladu informovať úrad.
(5)
Ak prevádzkovateľ nepostupuje podľa odseku 3, je povinný bez zbytočného odkladu oznámiť úradu odvolanie poverenia alebo zánik poverenia zodpovednej osoby.
(6)
Úrad je oprávnený uložiť prevádzkovateľovi povinnosť písomne poveriť výkonom dohľadu nad ochranou osobných údajov inú fyzickú osobu, ak sa preukáže, že písomne poverená zodpovedná osoba nepostupovala pri zabezpečovaní úloh podľa § 27 ods. 1 a 2 v súlade s týmto zákonom. Prevádzkovateľ je povinný bez zbytočného odkladu úradu vyhovieť a výkonom dohľadu nad ochranou osobných údajov písomne poveriť inú fyzickú osobu.

§ 27
Povinnosti zodpovednej osoby

(1)
Zodpovedná osoba je povinná pred začatím spracúvania osobných údajov v informačnom systéme posúdiť, či ich spracúvaním nevzniká nebezpečenstvo narušenia práv a slobôd dotknutých osôb. Zistenie narušenia práv a slobôd dotknutých osôb pred začatím spracúvania alebo porušenia zákonných ustanovení v priebehu spracúvania osobných údajov je zodpovedná osoba povinná bez zbytočného odkladu písomne oznámiť prevádzkovateľovi.
(2)
Zodpovedná osoba je povinná zabezpečovať
a)
potrebnú súčinnosť s úradom pri plnení úloh patriacich do jeho pôsobnosti; na požiadanie je zodpovedná osoba povinná úradu kedykoľvek predložiť svoje písomné poverenie a písomné oznámenia podľa odseku 1,
b)
povinnosti podľa odseku 1,
c)
dohľad nad plnením základných povinností prevádzkovateľa podľa § 6,
d)
poučenie oprávnených osôb podľa § 21,
e)
vybavovanie žiadostí dotknutých osôb podľa § 28 až 30,
f)
prijatie bezpečnostných opatrení podľa § 19 ods. 1 a 2, dohliadať na ich aplikáciu v praxi a zabezpečovať ich aktualizáciu podľa § 19 ods. 3,
g)
dohľad nad výberom sprostredkovateľa, prípravu písomnej zmluvy so sprostredkovateľom a počas trvania zmluvného vzťahu preverovať dodržiavanie dohodnutých podmienok podľa § 8,
h)
dohľad nad cezhraničným prenosom osobných údajov podľa § 31 a 32,
i)
prihlásenie informačných systémov na osobitnú registráciu, ich odhlásenie alebo nahlasovanie zmien alebo zabezpečovať vedenie evidencie informačných systémov podľa § 34 až 44.
(3)
Zodpovedná osoba, ktorá prestane spĺňať podmienky podľa § 23 ods. 5, je povinná bez zbytočného odkladu oznámiť túto skutočnosť prevádzkovateľovi.

§ 33

Prevádzkovateľ je povinný oznámiť úradu informačné systémy, požiadať úrad o osobitnú registráciu informačných systémov alebo viesť o informačných systémoch evidenciu v rozsahu a za podmienok ustanovených týmto zákonom.

§ 34

(1)
Oznamovacia povinnosť sa vzťahuje na všetky informačné systémy, v ktorých sa spracúvajú osobné údaje úplne alebo čiastočne automatizovanými prostriedkami spracúvania.
(2)
Oznamovacia povinnosť podľa odseku 1 sa nevzťahuje na informačné systémy, ktoré
a)
podliehajú osobitnej registrácii podľa § 37,
b)
podliehajú dohľadu zodpovednej osoby, ktorú písomne poveril prevádzkovateľ podľa § 23 a ktorá vykonáva dohľad nad ochranou osobných údajov podľa tohto zákona, okrem informačného systému, v ktorom sa spracúvajú osobné údaje na základe § 10 ods. 3 písm. g), ktorý vždy podlieha oznamovacej povinnosti; úrad môže rozhodnúť, že informačný systém, v ktorom sa spracúvajú osobné údaje na základe § 10 ods. 3 písm. g), podlieha osobitnej registrácii,
c)
obsahujú osobné údaje o členstve osôb v občianskom združení alebo odborovej organizácii, a ak tieto osobné údaje spracúvajú a využívajú výlučne pre svoju vnútornú potrebu, alebo obsahujú osobné údaje o náboženskej viere osôb združených v štátom uznanej cirkvi alebo náboženskej spoločnosti, a ak tieto osobné údaje spracúva cirkev alebo náboženská spoločnosť a využíva ich výlučne pre svoju vnútornú potrebu, alebo obsahujú osobné údaje o členstve osôb v politickej strane alebo v politickom hnutí, ktoré sú ich členmi, a ak tieto osobné údaje spracúva politická strana alebo politické hnutie a využíva ich výlučne pre svoju vnútornú potrebu, alebo
d)
obsahujú osobné údaje, ktoré sú spracúvané na základe zákona, priamo vykonateľného právne záväzného aktu Európskej únie alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná.

§ 35

(1)
Prevádzkovateľ je povinný oznámiť informačný systém podľa § 34 pred začatím spracúvania osobných údajov; oznámenie možno vykonať aj prostredníctvom elektronického formulára. Oznámenie musí obsahovať
a)
identifikačné údaje prevádzkovateľa,
b)
meno a priezvisko štatutárneho orgánu prevádzkovateľa alebo inej osoby oprávnenej konať v mene prevádzkovateľa,
c)
identifikačné údaje zástupcu prevádzkovateľa, ak je vymenovaný; ak prevádzkovateľ vymenoval svojho zástupcu, uvedie aj meno a priezvisko štatutárneho orgánu zástupcu prevádzkovateľa alebo inej osoby oprávnenej konať v mene zástupcu prevádzkovateľa,
d)
počet oprávnených osôb prevádzkovateľa,
e)
názov informačného systému,
f)
účel spracúvania osobných údajov,
g)
právny základ spracúvania osobných údajov,
h)
okruh dotknutých osôb,
i)
zoznam osobných údajov, alebo rozsah osobných údajov podľa § 10 ods. 4 prvej vety,
j)
tretie strany, prípadne okruh tretích strán, ak sa predpokladá alebo je zrejmé, že im budú osobné údaje poskytnuté a právny základ ich poskytovania,
k)
okruh príjemcov, ak sa predpokladá alebo je zrejmé, že im budú osobné údaje sprístupnené a právny základ ich sprístupnenia,
l)
spôsob zverejnenia, ak prevádzkovateľ osobné údaje zverejňuje a právny základ ich zverejnenia,
m)
tretie krajiny, ak sa predpokladá alebo je zrejmé, že sa do týchto krajín uskutoční prenos osobných údajov a právny základ ich prenosu,
n)
označenie bezpečnostných opatrení prijatých na zabezpečenie ochrany osobných údajov podľa § 19 ods. 1 a 2,
o)
deň, keď sa začnú spracúvať osobné údaje v informačnom systéme.
(2)
Vzor oznámenia informačného systému a príkladmý zoznam informačných systémov podľa odseku 1 zverejní úrad na svojom webovom sídle.

§ 36

(1)
Ak ide o informačný systém, ktorý podľa § 34 podlieha oznamovacej povinnosti a oznámenie spĺňa náležitosti podľa § 35 ods. 1, úrad informačnému systému pridelí identifikačné číslo. O splnení oznamovacej povinnosti vydá úrad na žiadosť prevádzkovateľa potvrdenie, ktoré obsahuje
a)
identifikačné údaje úradu,
b)
identifikačné údaje prevádzkovateľa; titul, meno, priezvisko a adresa trvalého pobytu, ak je prevádzkovateľom fyzická osoba,
c)
názov informačného systému,
d)
pridelené identifikačné číslo,
e)
titul, meno, priezvisko, funkciu a podpis zamestnanca úradu,
f)
dátum splnenia oznamovacej povinnosti a
g)
odtlačok úradnej pečiatky úradu.
(2)
Ak oznámenie nespĺňa náležitosti podľa § 35 ods. 1, úrad vyzve prevádzkovateľa na odstránenie nedostatkov v lehote, ktorú určí a ktorá nemôže byť kratšia ako sedem dní. Ak prevádzkovateľ neodstráni nedostatky v určenej lehote, úrad identifikačné číslo nepridelí a na oznámenie sa neprihliada.
(3)
Ak informačný systém podlieha oznamovacej povinnosti a prevádzkovateľ si splnil oznamovaciu povinnosť podľa § 35 ods. 1, je oprávnený začať so spracúvaním osobných údajov odo dňa oznámenia.
(4)
Ak informačný systém prevádzkovateľa po jeho oznámení začne spĺňať podmienky uvedené v § 34 ods. 2, prevádzkovateľ je povinný o tom bez zbytočného odkladu informovať úrad; úrad odníme identifikačné číslo, o čom bez zbytočného odkladu informuje prevádzkovateľa. Ak úrad zistí túto skutočnosť pri plnení úloh podľa tohto zákona z vlastnej iniciatívy, odníme identifikačné číslo, o čom bez zbytočného odkladu informuje prevádzkovateľa. Proti rozhodnutiu o odňatí identifikačného čísla nie je prípustný opravný prostriedok.

§ 37
Podmienky osobitnej registrácie

Osobitná registrácia sa vzťahuje na informačné systémy, v ktorých prevádzkovateľ spracúva
a)
osobné údaje na základe § 10 ods. 3 písm. g), ak o tom rozhodne úrad podľa § 34 ods. 2 písm. b),
b)
osobné údaje na základe § 13 ods. 5 písm. b), c) a d), alebo
c)
aspoň jeden z osobných údajov uvedených v § 13 ods. 1 a zároveň sa predpokladá prenos týchto osobných údajov do tretej krajiny, ktorá nezaručuje primeranú úroveň ochrany osobných údajov; osobitná registrácia sa nevyžaduje v prípadoch podľa § 31 ods. 9.

§ 40
Oznámenie zmien a odhlásenie osobitnej registrácie

(1)
Prevádzkovateľ je povinný do 15 dní písomne oznámiť úradu akékoľvek zmeny oznámených údajov a údajov prihlásených na osobitnú registráciu, ktoré nastanú v priebehu spracúvania; povinnosť oznámenia zmien sa nevzťahuje na počet oprávnených osôb podľa § 35 ods. 1 písm. d). Vzor žiadosti o oznámení zmien zverejní úrad na svojom webovom sídle.
(2)
Prevádzkovateľ je povinný do 15 dní odo dňa skončenia spracúvania osobných údajov písomne oznámiť ukončenie používania informačného systému podľa § 35 ods. 1 a písomne odhlásiť informačný systém z osobitnej registrácie. Pri písomnom oznámení podľa prvej vety je prevádzkovateľ povinný uviesť najmä svoje identifikačné údaje, názov odhlasovaného informačného systému, identifikačné alebo registračné číslo a dátum skončenia spracúvania osobných údajov. Vzor písomného oznámenia podľa prvej vety zverejní úrad na svojom webovom sídle.
(3)
Zmenu oznámených údajov podľa odseku 1 a oznámenie ukončenia používania informačného systému podľa odseku 2 možno vykonať aj prostredníctvom elektronického formulára.

§ 41
Poplatok za osobitnú registráciu


Za osobitnú registráciu a za zmenu osobitnej registrácie sa vyberá správny poplatok podľa osobitného predpisu.35)

§ 42
Sprístupnenie a zverejnenie oznámení a osobitnej registrácie

(1)
Údaje z oznámení v rozsahu podľa § 35 ods. 1 a osobitnej registrácie v rozsahu podľa § 38 ods. 1 je úrad povinný sprístupniť bezplatne komukoľvek, kto o to požiada.
(2)
Úrad prostredníctvom svojho webového sídla zverejňuje zoznam oznámení a osobitných registrácií v rozsahu
a)
názov a identifikačné číslo prevádzkovateľa informačného systému; titul, meno a priezvisko, ak je prevádzkovateľom fyzická osoba, a
b)
identifikačné alebo registračné číslo informačného systému.

§ 43
Podmienky evidencie

(1)
O informačných systémoch, ktoré nepodliehajú oznamovacej povinnosti alebo osobitnej registrácii, je prevádzkovateľ povinný viesť evidenciu, a to najneskôr odo dňa začatia spracúvania údajov v týchto informačných systémoch. Evidencia obsahuje údaje v rozsahu podľa § 35 ods. 1. Vzor evidencie zverejní úrad na svojom webovom sídle.
(2)
Prevádzkovateľ je povinný viesť a aktualizovať evidenciu podľa odseku 1 až do dňa ukončenia spracúvania osobných údajov v informačnom systéme; povinnosť aktualizácie sa nevzťahuje na počet oprávnených osôb podľa § 35 ods. 1 písm. d).

§ 46
Pôsobnosť úradu

(1)
Úrad pri výkone dozoru nad ochranou osobných údajov plní tieto úlohy:
a)
vykonáva dozor nad dodržiavaním povinností ustanovených zákonom pri spracúvaní osobných údajov,
b)
priebežne sleduje stav ochrany osobných údajov, plnenie oznamovacej povinnosti, osobitnú registráciu informačných systémov a vedenie evidencie o informačných systémoch,
c)
prijíma návrhy a podnety týkajúce sa podozrenia z porušovania povinností ustanovených zákonom pri spracúvaní osobných údajov alebo koná z vlastnej iniciatívy,
d)
vykonáva kontrolu spracúvania osobných údajov v informačných systémoch,
e)
pri podozrení z porušenia povinností uložených týmto zákonom môže predvolať prevádzkovateľa alebo sprostredkovateľa,
f)
na odstránenie zistených nedostatkov rozhodnutím ukladá opatrenia na nápravu,
g)
ukladá sankcie pri zistení porušenia povinností uvedených v tomto zákone,
h)
odporúča prevádzkovateľom opatrenia na zabezpečenie ochrany osobných údajov v informačných systémoch; na tento účel v rozsahu svojej pôsobnosti vydáva odporúčania pre prevádzkovateľov,
i)
umožňuje splnenie oznamovacej povinnosti a vykonáva osobitnú registráciu informačných systémov a zabezpečuje zverejnenie ich stavu,
j)
vedie register zodpovedných osôb,
k)
poskytuje konzultácie v oblasti ochrany osobných údajov,
l)
v rozsahu svojej pôsobnosti vydáva záväzné stanoviská,
m)
metodicky usmerňuje prevádzkovateľov a sprostredkovateľov pri spracúvaní osobných údajov,
n)
vykonáva skúšky zodpovedných osôb a vydáva potvrdenia o ich absolvovaní,
o)
vydáva súhlas na prenos osobných údajov do tretích krajín, ktoré nezaručujú primeranú úroveň ochrany,
p)
na účely cezhraničného prenosu osobných údajov do tretích krajín, ktoré nezaručujú primeranú úroveň ochrany, schvaľuje záväzné vnútropodnikové pravidlá prevádzkovateľa,
q)
podieľa sa na príprave všeobecne záväzných právnych predpisov v oblasti ochrany osobných údajov,
r)
vyjadruje sa k návrhom zákonov a k návrhom ostatných všeobecne záväzných právnych predpisov, v ktorých sa upravuje spracúvanie osobných údajov,
s)
v rozsahu svojej pôsobnosti vydáva všeobecne záväzné právne predpisy,
t)
predkladá Národnej rade Slovenskej republiky správu o stave ochrany osobných údajov najmenej raz za dva roky; správu o stave ochrany osobných údajov zverejňuje úrad na svojom webovom sídle,
u)
zverejňuje na svojom webovom sídle vzory poučení oprávnenej osoby podľa § 21.
(2)
Okrem plnenia úloh podľa odseku 1 úrad ďalej
a)
plní oznamovaciu povinnosť voči Európskej komisii v oblasti ochrany osobných údajov,
b)
prijíma opatrenia na vykonanie rozhodnutí Európskej komisie vydaných v oblasti ochrany osobných údajov a
c)
spolupracuje pri výkone dozoru nad ochranou osobných údajov s obdobnými orgánmi dozoru v zahraničí.
(3)
Ak úrad zistí skutočnosti nasvedčujúce tomu, že zákon, iný všeobecne záväzný právny predpis alebo prevádzkovateľom vydaný vnútorný predpis porušuje základné práva a slobody fyzických osôb pri spracúvaní ich osobných údajov, predseda úradu môže podať podnet na jeho zmenu alebo zrušenie orgánu, ktorý tento predpis prijal.
(4)
Predmetom dozoru nad ochranou osobných údajov nie sú spory zo zmluvných alebo predzmluvných vzťahov medzi prevádzkovateľmi alebo sprostredkovateľmi a dotknutými osobami alebo inými fyzickými osobami, alebo právnickými osobami, na ktorých prejednávanie a rozhodovanie sú príslušné súdy alebo iné orgány podľa osobitných zákonov.
(5)
Ak osobné údaje spracúvajú spravodajské služby a Národný bezpečnostný úrad, dozor nad ochranou osobných údajov vykonáva Národná rada Slovenskej republiky podľa osobitného predpisu.37)

§ 47
Predseda úradu

(1)
Na čele úradu je predseda, ktorého volí a odvoláva Národná rada Slovenskej republiky na návrh vlády Slovenskej republiky.
(2)
Funkčné obdobie predsedu úradu je päť rokov a možno ho zvoliť najviac na dve po sebe nasledujúce funkčné obdobia. Predseda úradu ostáva vo funkcii aj po uplynutí funkčného obdobia, kým Národná rada Slovenskej republiky nezvolí nového predsedu.
(3)
Za predsedu úradu možno zvoliť občana Slovenskej republiky, ktorý je voliteľný do Národnej rady Slovenskej republiky, má spôsobilosť na právne úkony v plnom rozsahu, má vysokoškolské vzdelanie druhého stupňa a je bezúhonný podľa § 23 ods. 6 prvá a druhá veta.
(4)
Predseda úradu je povinný zachovávať mlčanlivosť o skutočnostiach, o ktorých sa dozvedel počas výkonu svojej funkcie, a to aj po skončení výkonu svojej funkcie. Od povinnosti mlčanlivosti môže predsedu úradu v konkrétnom prípade oslobodiť Národná rada Slovenskej republiky.
(5)
Za svoju činnosť predseda úradu zodpovedá Národnej rade Slovenskej republiky.
(6)
Predseda úradu má počas výkonu svojej funkcie postavenie vedúceho služobného úradu podľa osobitného zákona.38)
(7)
Pred uplynutím funkčného obdobia výkon funkcie predsedu úradu zaniká
a)
vzdaním sa funkcie,
b)
stratou voliteľnosti do Národnej rady Slovenskej republiky,
c)
nadobudnutím právoplatnosti rozsudku, ktorým bol odsúdený za úmyselný trestný čin alebo ktorým bol odsúdený za trestný čin a výkon trestu mu nebol podmienečne odložený,
d)
výkonom činnosti, ktorá je nezlučiteľná s výkonom jeho funkcie podľa osobitného predpisu,39) alebo
e)
smrťou.
(8)
Predseda úradu môže byť z funkcie odvolaný, ak
a)
mu zdravotný stav dlhodobo, najmenej však počas jedného roka, nedovoľuje riadne vykonávať povinnosti vyplývajúce z jeho funkcie,
b)
porušil povinnosť zachovávať mlčanlivosť o skutočnostiach, o ktorých sa dozvedel v súvislosti s výkonom svojej funkcie.
(9)
Platové a ďalšie náležitosti predsedu úradu určuje vláda Slovenskej republiky podľa osobitného predpisu.38)

§ 49
Vrchný inšpektor úradu

(1)
Na čele inšpektorov je vrchný inšpektor úradu, ktorého vymenúva a odvoláva vláda Slovenskej republiky na návrh predsedu úradu.
(2)
Za vrchného inšpektora možno vymenovať občana,40) ktorý má spôsobilosť na právne úkony v plnom rozsahu, je bezúhonný, má vysokoškolské vzdelanie druhého stupňa a najmenej päťročnú odbornú prax v oblasti informatiky alebo práva a dosiahol vek najmenej 35 rokov.
(3)
Funkčné obdobie vrchného inšpektora je päť rokov a do funkcie ho možno vymenovať najviac na dve po sebe nasledujúce obdobia. Vrchný inšpektor ostáva vo funkcii aj po uplynutí funkčného obdobia, kým vláda Slovenskej republiky nevymenuje nového vrchného inšpektora.
(4)
Vrchného inšpektora možno z funkcie odvolať, ak
a)
mu zdravotný stav dlhodobo, najmenej však počas šiestich mesiacov, nedovoľuje riadne vykonávať povinnosti vyplývajúce z jeho funkcie,
b)
porušil povinnosť zachovávať mlčanlivosť o skutočnostiach, o ktorých sa dozvedel v súvislosti s výkonom svojej funkcie, alebo
c)
opakovane neplní úlohy ustanovené v § 46 ods. 1 písm. a) a d) alebo porušuje služobnú disciplínu, a ak v posledných šiestich mesiacoch predseda úradu vrchného inšpektora úradu opakovane písomne vyzval na odstránenie nedostatkov a vrchný inšpektor úradu ich v primeranej lehote neodstránil.
(5)
Vrchný inšpektor úradu sa z funkcie odvolá, ak hrubo zanedbal povinnosti uložené týmto zákonom, ak nepreukáže, že zavinenie nespôsobil alebo mu nemohol zabrániť, alebo pre hrubé porušenie služobnej disciplíny.
(6)
Pred uplynutím funkčného obdobia výkon funkcie vrchného inšpektora úradu zaniká
a)
vzdaním sa funkcie,
b)
nadobudnutím právoplatnosti rozsudku, ktorým bol odsúdený za úmyselný trestný čin alebo ktorým bol odsúdený za trestný čin a výkon trestu mu nebol podmienečne odložený,
c)
výkonom činnosti, ktorá je nezlučiteľná s výkonom jeho funkcie, alebo
d)
smrťou.

§ 61

(1)
Protokol a informácie, ktoré obsahuje dokumentácia súvisiaca s výkonom kontroly podľa tohto zákona, sa nesprístupňujú podľa osobitného zákona.42)
(2)
Na výkon kontroly sa nevzťahuje osobitný zákon o kontrole v štátnej správe.43)
(3)
Na doručovanie písomností pri výkone kontroly sa vzťahuje všeobecný predpis o správnom konaní.43a)

§ 64
Lehoty

(1)
Úrad rozhodne o návrhu navrhovateľa v lehote do 60 dní odo dňa začatia konania. V odôvodnených prípadoch úrad túto lehotu primerane predĺži, najviac však o šesť mesiacov. O predĺžení lehoty úrad písomne informuje účastníkov konania.
(2)
Úrad posúdi podnet fyzickej osoby alebo právnickej osoby podľa § 63 ods. 5 v lehote 15 dní odo dňa jeho doručenia. Ak úrad nepostupuje podľa § 63 ods. 6, začne konanie a vo veci rozhodne v lehote podľa odseku 1.
(3)
Ak je počas konania začatého na základe návrhu navrhovateľa alebo na základe vlastnej iniciatívy podľa § 63 ods. 7 potrebné vykonať kontrolu, lehota na vybavenie návrhu podľa odseku 1 neplynie odo dňa začatia kontroly až do dňa skončenia kontroly. Výsledok kontroly je podkladom na rozhodnutie vo veci.

§ 66

O rozklade podanom proti rozhodnutiu podľa § 65 rozhodne predseda úradu.

§ 68
Pokuta

(1)
Úrad môže uložiť pokutu od 300 eur do 3 000 eur prevádzkovateľovi, ktorý
a)
nezabezpečil správnosť a aktuálnosť osobných údajov podľa § 16 ods. 2,
b)
neoznámil zistené nedostatky tretím stranám podľa § 18 ods. 1 alebo nevie pri kontrole preukázať úradu, že upustenie od oznámenia podľa § 18 bolo dôvodné, alebo prijal oznámenie ako tretia strana a nevykonal opatrenia v rozsahu a spôsobom podľa § 18 ods. 2,
c)
nesplnil alebo porušil povinnosť hodnoverne preukázať vyhotovenie záznamu poučenia oprávnených osôb podľa § 21 ods. 3,
d)
nesplnil alebo porušil povinnosť vyhotoviť poverenie zodpovednej osoby podľa § 23 ods. 8,
e)
nesplnil alebo porušil oznamovaciu povinnosť podľa § 25 ods. 2 až 4,
f)
nesplnil alebo porušil povinnosť ukončenia poverenia zodpovednej osoby podľa § 26,
g)
nevykonal oznámenie o obmedzení práv dotknutej osoby podľa § 30,
h)
nesplnil alebo porušil povinnosť podľa § 35 ods. 1 a § 36 ods. 3 prvej vety,
i)
nesplnil alebo porušil povinnosť oznámenia zmien podľa § 40,
j)
nesplnil alebo porušil povinnosť vedenia evidencie informačného systému podľa § 43, alebo
k)
nesplnil alebo porušil povinnosť sprístupniť údaje z evidencie podľa § 44.
(2)
Úrad môže uložiť pokutu od 1 000 eur do 50 000 eur prevádzkovateľovi, ktorý
a)
nesplnil alebo porušil niektorú z povinností základných zásad spracúvania osobných údajov podľa § 5 až 7 a 9 až 12,
b)
pri výbere a poverovaní sprostredkovateľa nesplnil alebo porušil niektorú z povinností podľa § 8 ods. 2 až 5,
c)
pri získavaní osobných údajov nesplnil alebo porušil niektorú z povinností podľa § 15,
d)
nesplnil alebo porušil niektorú z povinností likvidácie osobných údajov podľa § 17,
e)
nesplnil alebo porušil niektorú z povinností bezpečnosti spracúvania osobných údajov podľa § 19 ods. 1 a 3 a § 20,
f)
nesplnil alebo porušil niektorú z povinností upravujúcich poučenie oprávnených osôb podľa § 21 ods. 2 a 4,
g)
pri výkone dohľadu nad ochranou osobných údajov nesplnil alebo porušil niektorú z povinností podľa § 23 ods. 2 a 5 až 7 a § 25 ods. 1,
h)
pri vybavovaní žiadosti dotknutej osoby nesplnil alebo porušil niektorú z povinností podľa § 28 a 29.
(3)
Úrad uloží pokutu od 1 000 eur do 200 000 eur prevádzkovateľovi, ktorý
a)
nesplnil alebo porušil povinnosť poveriť spracúvaním osobných údajov sprostredkovateľa na základe písomnej zmluvy podľa § 8 ods. 3 prvej vety,
b)
pri spracúvaní osobitnej kategórie osobných údajov nesplnil alebo porušil niektorú z povinností podľa § 13 a 14,
c)
nesplnil alebo porušil povinnosť mať vypracovaný bezpečnostný projekt podľa § 19 ods. 2,
d)
nevykonal prenos osobných údajov do tretích krajín podľa § 31 alebo nesplnil, alebo porušil niektorú z podmienok podľa § 31 a § 32 ods. 2, 3 a 4, alebo
e)
nesplnil alebo porušil povinnosť osobitnej registrácie informačného systému podľa § 37 a 38, § 39 ods. 5 a ods. 6 druhej vety.
(4)
Úrad môže uložiť pokutu od 300 eur do 3 000 eur sprostredkovateľovi, ktorý
a)
nezabezpečil správnosť a aktuálnosť osobných údajov podľa § 16 ods. 2,
b)
neoznámil zistené nedostatky tretím stranám podľa § 18 ods. 1 alebo nevie pri kontrole preukázať úradu, že upustenie od oznámenia podľa § 18 bolo dôvodné, alebo prijal oznámenie ako tretia strana a nevykonal opatrenia v rozsahu a spôsobom podľa § 18 ods. 2,
c)
nesplnil alebo porušil povinnosť hodnoverne preukázať vyhotovenie záznamu poučenia oprávnených osôb podľa § 21 ods. 3,
d)
nesplnil alebo porušil povinnosť vyhotoviť poverenie zodpovednej osoby podľa § 23 ods. 8,
e)
nesplnil alebo porušil oznamovaciu povinnosť podľa § 25 ods. 2 až 4,
f)
nesplnil alebo porušil povinnosť ukončenia poverenia zodpovednej osoby podľa § 26,
g)
nevykonal oznámenie o obmedzení práv dotknutej osoby podľa § 30.
(5)
Úrad môže uložiť pokutu od 1 000 eur do 50 000 eur sprostredkovateľovi, ktorý
a)
nesplnil alebo porušil niektorú z povinností základných zásad spracúvania osobných údajov podľa § 5 ods. 1, § 6 ods. 2 písm. c) až i), § 6 ods. 4,
b)
nesplnil alebo porušil niektorú z povinností sprostredkovateľa podľa § 8 ods. 6 a 7,
c)
pri získavaní osobných údajov nesplnil alebo porušil niektorú z povinností podľa § 15,
d)
nesplnil alebo porušil niektorú z povinností likvidácie osobných údajov podľa § 17,
e)
nesplnil alebo porušil niektorú z povinností bezpečnosti spracúvania osobných údajov podľa § 19 ods. 1 a 3 a § 20,
f)
nesplnil alebo porušil niektorú z povinností upravujúcich poučenie oprávnených osôb podľa § 21 ods. 2 a 4,
g)
pri výkone dohľadu nad ochranou osobných údajov nesplnil alebo porušil niektorú z povinností podľa § 23 ods. 2 a 5 až 7 a § 25 ods. 1,
h)
pri vybavovaní žiadosti dotknutej osoby nesplnil alebo porušil niektorú z povinností podľa § 28 a 29.
(6)
Úrad uloží pokutu od 1 000 eur do 200 000 eur sprostredkovateľovi, ktorý
a)
nesplnil alebo porušil povinnosť mať vypracovaný bezpečnostný projekt podľa § 19 ods. 2 alebo
b)
nevykonal prenos osobných údajov do tretích krajín podľa § 31, alebo nesplnil alebo porušil niektorú z podmienok podľa § 31 a § 32 ods. 2, 3 a 4.
(7)
Úrad môže uložiť pokutu od 150 eur do 2 000 eur tomu, kto
a)
poskytne osobné údaje v rozpore s § 12 ods. 1; to neplatí pre prevádzkovateľa a sprostredkovateľa,
b)
poskytne nepravdivé osobné údaje podľa § 16 ods. 1,
c)
nepostupoval v súlade s technickými, organizačnými alebo personálnymi opatreniami prijatými prevádzkovateľom alebo sprostredkovateľom podľa § 19 a 20,
d)
poruší povinnosť mlčanlivosti o osobných údajoch podľa § 22 alebo
e)
neposkytol úradu požadovanú súčinnosť pri výkone dozoru podľa tohto zákona.

§ 69
Poriadková pokuta

Úrad môže uložiť prevádzkovateľovi alebo sprostredkovateľovi poriadkovú pokutu
a)
do 1 000 eur, ak nezabezpečí primerané podmienky na výkon kontroly podľa § 57 písm. a),
b)
do 10 000 eur ak marí výkon kontroly požadovaný podľa § 57 písm. b),
c)
do 20 000 eur, ak oznam určený na zverejnenie podľa § 71 v hromadných informačných prostriedkoch nezverejnil vôbec alebo nezverejnil včas, alebo nezverejnil v určenej forme, alebo v určenom hromadnom informačnom prostriedku, alebo nedodržal určený obsah tohto oznamu, a to opakovane až do splnenia povinnosti,
d)
do 30 000 eur, ak nevykonal opatrenia uložené v rozhodnutí podľa § 65 ods. 1, 2 alebo úrad v určenej lehote včas neinformoval podľa § 65 ods. 4.

§ 72

(1)
Na konanie podľa tohto zákona sa vzťahuje všeobecný predpis o správnom konaní,41) ak v odseku 2 nie je ustanovené inak.
(2)
Všeobecný predpis o správnom konaní41) sa nevzťahuje na
a)
vykonávanie a absolvovanie skúšky fyzickej osoby na výkon funkcie zodpovednej osoby podľa § 24,
b)
oznamovaciu povinnosť podľa § 34 až 36 a
c)
výkon kontroly podľa § 52 až 61, okrem doručovania písomností pri výkone kontroly.

§ 76

(1)
Prevádzkovateľ uvedie do súladu s týmto zákonom do šiestich mesiacov odo dňa jeho účinnosti všetky informačné systémy, v ktorých spracúva osobné údaje.
(2)
Prevádzkovateľ je povinný zmluvný vzťah so sprostredkovateľom dať do súladu s týmto zákonom do dvoch rokov odo dňa účinnosti tohto zákona.
(3)
Prevádzkovateľ a sprostredkovateľ sú povinní vykonať poučenie oprávnených osôb v súlade s týmto zákonom do šiestich mesiacov odo dňa účinnosti tohto zákona.
(4)
Poverenia a oznámenia o poverení zodpovednej osoby podľa doterajšieho zákona sa považujú za poverenia a oznámenia o poverení zodpovednej osoby podľa tohto zákona. Prevádzkovateľ a sprostredkovateľ sú povinní písomne poveriť zodpovednú osobu a jej poverenie oznámiť úradu v súlade s týmto zákonom do jedného roka odo dňa účinnosti tohto zákona.
(5)
Registrácia udelená podľa doterajšieho zákona sa považuje za registráciu udelenú podľa tohto zákona. Prevádzkovateľ je povinný nanovo prihlásiť svoj informačný systém na registráciu v súlade s týmto zákonom do šiestich mesiacov odo dňa účinnosti tohto zákona, ak to zákon vyžaduje.
(6)
Osobitné registrácie udelené podľa doterajšieho zákona sa považujú za osobitné registrácie udelené podľa tohto zákona. Prevádzkovateľ je povinný nanovo prihlásiť svoj informačný systém na osobitnú registráciu v súlade s týmto zákonom do šiestich mesiacov odo dňa účinnosti tohto zákona, ak to zákon vyžaduje.
(7)
Bezpečnostné opatrenia, bezpečnostná smernica a bezpečnostný projekt vypracované podľa doterajšieho zákona sa účinnosťou tohto zákona považujú za bezpečnostné opatrenia vypracované podľa tohto zákona. Prevádzkovateľ a sprostredkovateľ sú povinní zosúladiť prijaté bezpečnostné opatrenia s týmto zákonom do deviatich mesiacov odo dňa účinnosti tohto zákona.
(8)
Súhlas so spracúvaním osobných údajov udelený podľa doterajšieho zákona sa účinnosťou tohto zákona považuje za súhlas so spracúvaním osobných údajov udelený podľa tohto zákona.

1)
Napríklad zákon Národnej rady Slovenskej republiky č. 46/1993 Z. z. o Slovenskej informačnej službe v znení neskorších predpisov, ústavný zákon č. 227/2002 Z. z. o bezpečnosti štátu v čase vojny, vojnového stavu, výnimočného stavu a núdzového stavu v znení neskorších predpisov, zákon č. 387/2002 Z. z. o riadení štátu v krízových situáciách mimo času vojny a vojnového stavu v znení neskorších predpisov, zákon č. 215/2004 Z. z. o ochrane utajovaných skutočností a o zmene a doplnení niektorých zákonov v znení neskorších predpisov.
2)
Napríklad zákon č. 319/2002 Z. z. o obrane Slovenskej republiky v znení neskorších predpisov, zákon č. 321/2002 Z. z. o ozbrojených silách Slovenskej republiky v znení neskorších predpisov, zákon č. 179/2011 Z. z. o hospodárskej mobilizácii a o zmene a doplnení zákona č. 387/2002 Z. z. o riadení štátu v krízových situáciách mimo času vojny a vojnového stavu v znení neskorších predpisov.
3)
Napríklad zákon Slovenskej národnej rady č. 564/1991 Zb. o obecnej polícii v znení neskorších predpisov, zákon Národnej rady Slovenskej republiky č. 171/1993 Z. z. o Policajnom zbore v znení neskorších predpisov.
4)
Napríklad Trestný poriadok v znení neskorších predpisov, zákon č. 297/2008 Z. z. o ochrane pred legalizáciou príjmov z trestnej činnosti a o ochrane pred financovaním terorizmu a o zmene a doplnení niektorých zákonov v znení neskorších predpisov.
5)
§ 2 písm. b) zákona č. 293/2007 Z. z. o uznávaní odborných kvalifikácií v znení neskorších predpisov.
6)
Napríklad zákon č. 523/2004 Z. z. o rozpočtových pravidlách verejnej správy a o zmene a doplnení niektorých zákonov v znení neskorších predpisov, zákon č. 563/2009 Z. z. o správe daní (daňový poriadok) a o zmene a doplnení niektorých zákonov v znení neskorších predpisov.
7)
§ 11 až 16 Občianskeho zákonníka v znení neskorších predpisov.
8)
§ 13 zákona č. 618/2003 Z. z. o autorskom práve a právach súvisiacich s autorským právom (autorský zákon) v znení neskorších predpisov.
9)
Napríklad § 27 až 34 Obchodného zákonníka v znení neskorších predpisov, § 8 a 68 zákona Národnej rady Slovenskej republiky č. 162/1995 Z. z. o katastri nehnuteľností a o zápise vlastníckych a iných práv k nehnuteľnostiam (katastrálny zákon) v znení neskorších predpisov.
10)
Zákon č. 330/2007 Z. z. o registri trestov a o zmene a doplnení niektorých zákonov v znení neskorších predpisov.
11)
§ 40 ods. 2 písm. d) zákona č. 153/2001 Z. z. o prokuratúre v znení neskorších predpisov.
12)
§ 69 Obchodného zákonníka v znení neskorších predpisov.
13)
Napríklad zákon Národnej rady Slovenskej republiky č. 40/1993 Z. z. o štátnom občianstve Slovenskej republiky v znení neskorších predpisov, zákon č. 483/2001 Z. z. o bankách a o zmene a doplnení niektorých zákonov v znení neskorších predpisov, zákon č. 305/2005 Z. z. o sociálnoprávnej ochrane detí a o sociálnej kuratele a o zmene a doplnení niektorých zákonov v znení neskorších predpisov, zákon č. 400/2009 Z. z. o štátnej službe a o zmene a doplnení niektorých zákonov v znení neskorších predpisov.
14)
§ 4 zákona č. 215/2002 Z. z. o elektronickom podpise a o zmene a doplnení niektorých zákonov v znení neskorších predpisov.
15)
§ 8 Občianskeho zákonníka v znení zákona č. 509/1991 Zb.
16)
§ 26 až 30 Občianskeho zákonníka v znení neskorších predpisov.
17)
§ 116 Občianskeho zákonníka.
18)
Zákon Národnej rady Slovenskej republiky č. 301/1995 Z. z. o rodnom čísle v znení neskorších predpisov.
19)
Napríklad § 33 zákona č. 578/2004 Z. z. o poskytovateľoch zdravotnej starostlivosti, zdravotníckych pracovníkoch, stavovských organizáciách v zdravotníctve a o zmene a doplnení niektorých zákonov v znení neskorších predpisov.
20)
Napríklad § 40 ods. 2 písm. d) zákona č. 153/2001 Z. z., zákon Národnej rady Slovenskej republiky č. 171/1993 Z. z. v znení neskorších predpisov.
21)
Zákon č. 447/2008 Z. z. o peňažných príspevkoch na kompenzáciu ťažkého zdravotného postihnutia a o zmene a doplnení niektorých zákonov v znení neskorších predpisov.
22)
Zákon č. 328/2002 Z. z. o sociálnom zabezpečení policajtov a vojakov a o zmene a doplnení niektorých zákonov v znení neskorších predpisov.
23)
Zákon č. 224/2006 Z. z. o občianskych preukazoch a o zmene a doplnení niektorých zákonov v znení neskorších predpisov.
24)
Zákon č. 647/2007 Z. z. o cestovných dokladoch a o zmene a doplnení niektorých zákonov v znení neskorších predpisov.
25)
Napríklad § 14 zákona Národnej rady Slovenskej republiky č. 171/1993 Z. z. v znení neskorších predpisov, § 70 ods. 6 zákona č. 215/2004 Z. z.
26)
Napríklad § 93a zákona č. 483/2001 Z. z. v znení neskorších predpisov.
27)
§ 2 ods. 15 zákona č. 395/2002 Z. z. o archívoch a registratúrach a o doplnení niektorých zákonov.
28)
§ 20 zákona č. 395/2002 Z. z. v znení zákona č. 216/2007 Z. z.
29)
Zákon č. 215/2004 Z. z. v znení neskorších predpisov.
30)
Napríklad § 40 zákona Národnej rady Slovenskej republiky č. 566/1992 Zb. o Národnej banke Slovenska v znení neskorších predpisov, § 23 zákona Národnej rady Slovenskej republiky č. 46/1993 Z. z. o Slovenskej informačnej službe v znení neskorších predpisov, § 80 zákona Národnej rady Slovenskej republiky č. 171/1993 Z. z. v znení neskorších predpisov, § 38 zákona č. 215/2004 Z. z., § 11 zákona č. 563/2009 Z. z. v znení neskorších predpisov.
31)
Napríklad zákon Národnej rady Slovenskej republiky č. 162/1995 Z. z. v znení neskorších predpisov.
32)
Napríklad rozhodnutie Komisie z 26. júla 2000 podľa smernice Európskeho parlamentu a Rady 95/46/ES o primeranej ochrane osobných údajov poskytovaných vo Švajčiarsku (2000/518/ES) (Mimoriadne vydanie Ú. v. EÚ, kap. 16/zv.1; Ú. v. ES L 215, 25. 8. 2000).
33)
Napríklad rozhodnutie Komisie z 5. februára 2010 o štandardných zmluvných doložkách pre prenos osobných údajov spracovateľom usadeným v tretích krajinách podľa smernice Európskeho parlamentu a Rady 95/46/ES (2010/87/EÚ) (Ú. v. EÚ L 39,12. 2. 2010), rozhodnutie Komisie z 15. júna 2001 o štandardných zmluvných doložkách na prenos osobných údajov do tretích krajín podľa smernice 95/46/ES (2001/497/ES) (Mimoriadne vydanie Ú. v. EÚ, kap. 13/zv. 26; Ú. v. ES L 181, 4. 7. 2001).
34)
Rozhodnutie Komisie z 26. júna 2000 v súlade so smernicou Európskeho parlamentu a Rady 95/46/ES o primeranosti ochrany poskytovanej zásadami „bezpečného prístavu“ a súvisiacimi často kladenými otázkami vydanými Ministerstvom obchodu USA (2000/520/ES) (Mimoriadne vydanie Ú. v. EÚ, kap. 16/zv.1; Ú. v. ES L 215, 25. 8. 2000).
35)
Zákon č. 145/1995 Z. z. o správnych poplatkoch v znení neskorších predpisov.
36)
§ 21 ods. 1 a ods. 5 písm. a) zákona č. 523/2004 Z. z. v znení neskorších predpisov.
37)
§ 60 zákona Národnej rady Slovenskej republiky č. 350/1996 Z. z. o rokovacom poriadku Národnej rady Slovenskej republiky v znení zákona č. 215/2004 Z. z.
38)
Zákon č. 400/2009 Z. z. v znení neskorších predpisov.
39)
Zákon č. 357/2004 Z. z. o ochrane verejného záujmu pri výkone funkcií verejných funkcionárov v znení zákona č. 545/2004 Z. z.
40)
§ 3 ods. 1 zákona č. 400/2009 Z. z. v znení neskorších predpisov.
41)
Zákon č. 71/1967 Zb. o správnom konaní (Správny poriadok) v znení neskorších predpisov.
42)
§ 11 ods. 1 písm. h) zákona č. 211/2000 Z. z. o slobodnom prístupe k informáciám a o zmene a doplnení niektorých zákonov (zákon o slobode informácií) v znení neskorších predpisov.
43)
Zákon Národnej rady Slovenskej republiky č. 10/1996 Z. z. o kontrole v štátnej správe v znení neskorších predpisov.
43a)
§ 25 a 26 zákona č. 71/1967 Zb. o správnom konaní (správny poriadok) v znení zákona č. 527/2003 Z. z.