Zákon o spotrebiteľských úveroch a o iných úveroch a pôžičkách pre spotrebiteľov a o zmene a doplnení niektorých zákonov 129/2010 účinný od 25.05.2018 do 30.06.2018

Vládny návrh zákona o ochrane osobných údajov a o zmene a doplnení niektorých zákonov

DÔVODOVÁ SPRÁVA

A. VŠEOBECNÁ ČASŤ

Účelom návrhu zákona o ochrane osobných údajov a o zmene a doplnení niektorých zákonov (ďalej len „návrh zákona“) je dosiahnuť súlad vnútroštátneho právneho poriadku pre oblasť ochrany osobných údajov s Nariadením Európskeho parlamentu a rady (EÚ) č. 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (Ú. v.  EÚ L 119,4.5.2016) (ďalej len „nariadenie“), ktoré vstúpilo do platnosti dňa 24. mája 2016 s dvojročným prechodným obdobím na zosúladenie sa s vnútroštátnymi právnymi poriadkami členských štátov, teda aj právnym poriadkom Slovenskej republiky. Nariadenie sa začne uplatňovať od 25. mája 2018. Nariadenie ruší smernicu Európskeho parlamentu a Rady 95/46/ES o ochrane jednotlivcov pri spracovaní osobných údajov a voľnom pohybe týchto údajov (Ú. v. ES L 281, 23.11.1995) v znení (Ú. v. ES L 284, 31.10.2003) (ďalej len „smernica 95/46“).

Návrhom zákona sa zároveň transponuje Smernica Európskeho parlamentu a rady (EÚ) č. 2016/680 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií a o voľnom pohybe takýchto údajov a o zrušení rámcového rozhodnutia Rady 2008/977/SVV (Ú. v. EÚ L 119, 4.5.2016) (ďalej len „smernica“) do právneho poriadku Slovenskej republiky.

Nariadenie a smernica vytvárajú nový modernizovaný právny rámec ochrany osobných údajov,  ktorý má za cieľ zabezpečiť rešpektovanie základných práv a slobôd, predovšetkým práva na ochranu osobných údajov v prostredí nových a stále častejšie používaných informačných a komunikačných technológií a zároveň podporiť posilňovanie a zbližovanie ekonomík členských štátov Európskej únie v rámci vnútorného trhu Európskej únie. Nový právny rámec ochrany osobných údajov zohľadňuje zmeny v oblasti spracúvania osobných údajov za obdobie viac ako dvadsiatich rokov od prijatia smernice 95/46.

V súčasnosti sa osobné údaje v omnoho väčšej miere spracúvajú tak v rámci verejného, ako aj súkromného sektora a vykonáva sa ich „prenos“ prostredníctvom informačno - komunikačných technológií, tak v rámci krajín Európskej únie, ako aj do tretích krajín, či už zaručujúcich alebo nezaručujúcich primeranú ochranu osobných údajov na základe rozhodnutí Európskej Komisie o primeranosti a tiež medzinárodným organizáciám. Nemožno opomenúť ani rozšírenie globálneho podnikania, výskyt materských spoločností a ich dcérskych spoločností so sídlom a prevádzkarňami v rôznych krajinách sveta a s tým spojeného globálneho spracúvania a prenosov osobných údajov.

Zmeny nastali aj v oblasti uchovávania osobných údajov; osobné údaje sú uchovávané postupne stále viac v elektronickej podobe prostredníctvom tzv. „cloudových služieb“. Úložiská osobných údajov, tzv. „cloudy“, sa často nachádzajú mimo územia Európskej únie alebo Európy. Návrh zákona prináša komplexnú, prepracovanú a precizovanú úpravu práv dotknutých osôb.

Spracúvanie osobných údajov je potrebné a nevyhnutné aj na účely zabezpečenia činnosti orgánov verejnej moci spojených s plnením ich funkcií podľa zákona. Je potrebné zabezpečiť ochranu osobných údajov v súlade s medzinárodnými záväzkami Slovenskej republiky a ústavnými garanciami. Z tohto dôvodu predkladaný návrh zákona je implementačným aktom pre nariadenie a zároveň sa ním transponuje do právneho poriadku smernica. Návrh zákona predstavuje komplexný právny rámec ochrany osobných údajov pre spracovateľské operácie s osobnými údajmi, ktoré sa vykonávajú v rámci činností, ktoré nespadajú do pôsobnosti práva Európskej únie, a ktorý je zosúladený a do najvyššej možnej miery konzistentný s právnou úpravou ochrany osobných údajov v nariadení. Týmto postupom sa predchádza vytvoreniu právneho vákua v oblasti ochrany osobných údajov, keďže návrhom zákona bude zrušený zákon č. 122/2013 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov v znení zákona č. 84/2014 Z. z. a dve vyhlášky úradu k nemu prislúchajúce.
 
Ochrana osobných údajov sa dotýka celého právneho poriadku Slovenskej republiky, návrh zákona zabezpečuje prostredníctvom priamych noviel súlad identifikovaných osobitných právnych predpisov upravujúcich spracúvanie osobných údajov s návrhom zákona, nariadením, ako aj smernicou. Takto bude zaistený plynulý výkon činností a úloh dotknutých subjektov, vrátane požiadaviek vyplývajúcich zo smernice pre tzv. „príslušné orgány“.

Na úrovni európskeho práva a medzinárodnej spolupráce si prijatím novej právnej úpravy Slovenská republika splní svoje záväzky vyplývajúce jej z členstva v Európskej únii. Nezosúladenie vnútroštátneho právneho poriadku s nariadením a netransponovanie smernice by mohlo byť Európskou komisiou považované za nesplnenie povinností vyplývajúcich Slovenskej republike z primárneho práva Európskej únie (Zmluva o Európskej únii a Zmluva o fungovaní Európskej únie), následne by Európska komisia na základe článku 258 Zmluvy o fungovaní Európskej únie mohla predložiť túto záležitosť Súdnemu dvoru Európskej únie.

Súčasný legislatívny rámec úpravy všeobecnej ochrany osobných údajov tvoria najmä tieto právne predpisy: ústavný zákon č. 460/1992 Zb. Ústava Slovenskej republiky v znení neskorších predpisov, zákon č. 122/2013 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov v znení zákona č. 84/2014 Z. z.  (ďalej len „zákon č. 122/2013 Z. z.“), vyhláška č. 164/2013 Z. z. Vyhláška Úradu na ochranu osobných údajov Slovenskej republiky o rozsahu a dokumentácii bezpečnostných opatrení  v znení vyhlášky úradu č. 117/2014 Z. z., vyhláška č. 165/2013 Z. z. Vyhláška Úradu na ochranu osobných údajov Slovenskej republiky, ktorou sa ustanovujú podrobnosti o skúške fyzickej osoby na výkon funkcie zodpovednej osoby, zákon č. 40/1964 Zb. Občiansky zákonník v znení neskorších predpisov.

Cieľom novej právnej úpravy je zabezpečiť jednotnú právnu reguláciu ochrany osobných údajov v právnom poriadky Slovenskej republiky a zaistiť tak výkon práv dotknutých osôb a kontrolu nad spracúvaním ich osobných údajov a tak podporiť dôveru dotknutých osôb v právny rámec zabezpečujúci ich základné ľudské práva, najmä právo na súkromie a tiež upraviť práva a povinnosti prevádzkovateľov a sprostredkovateľov s dôrazom na materiálne plnenie stanovených povinností a zaistenie reálnej bezpečnosti spracúvania osobných údajov. Návrh zákona upravuje úlohy a právomoci úradu, ako dozorného orgánu nad ochranou osobných údajov vrátane ich rozšírenia pre oblasť vzájomnej spolupráce medzi dozornými orgánmi v jednotlivých členských štátoch Európskej únie. Návrhom zákona dochádza k potrebnej aktualizácii terminológie v rámci právneho poriadku Slovenskej republiky spojenej so spracúvaním osobných údajov a nových spôsobov spracúvania.
 
Nová právna úprava preto v prvej a druhej časti navrhovanej právnej úpravy stanuje pravidlá spracúvania osobných údajov pre prevádzkovateľov a sprostredkovateľov, na ktoré sa nevzťahujú pravidlá ochrany fyzických osôb pri pracúvaní osobných údajov a pravidlá týkajúce sa voľného pohybu osobných údajov podľa nariadenia.
Tretia časť navrhovanej právnej úpravy stanuje pravidlá spracúvania osobných údajov pre prevádzkovateľov, ktorými sú príslušné orgány pri spracúvaní osobných údajov na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií na základe transpozície smernice.
Štvrtá časť navrhovanej právnej úpravy vo svojich ustanoveniach je tzv. implementačnou/vykonávacou časťou zákona, ktorá dopĺňa osobitné pravidlá spracúvania osobných údajov stanovené nariadením. Návrh zákona vo vzťahu k spracúvaniu v rámci tejto časti upravuje spracovateľské operácie, ktoré nariadenie výslovne ukladá alebo umožňuje jednotlivým členským štátom upraviť osobitnou vnútroštátnou úpravu; ide o úpravu členského štátu využijúc tzv. splnomocňujúce ustanovenia nariadenia. Konkrétne ide o osobitné úpravy spracúvania osobných údajov upravujúce pravidlá spracúvania osobných údajov na akademické, umelecké, literárne účely; pravidlá spracúvania osobných údajov v súvislosti so zamestnaním; spracúvanie národného identifikačného čísla a prenos osobitnej kategórie osobných údajov do tretích krajín, ktoré nezaručujú primeranú úroveň ochrany osobných údajov, spracúvanie genetických údajov, biometrických údajov a údajov týkajúcich sa zdravia; ako aj úprava spracúvania osobných údajov  na vedecké účely, účely historického výskumu alebo štatistické účely. Zároveň nariadenie určuje členským štátom prijať pravidlá týkajúce sa postavenia a organizácie dozorného orgánu v rámci vnútroštátneho právneho poriadku členského štátu, ako aj procesné pravidlá pre výkon kontroly a konania o ochrane osobných údajov dozorným orgánom.
Piata časť návrhu zákona je venovaná úradu, jeho pôsobnosti, právomociam a jeho personálnemu aparátu. Je venovaná tiež kódexom správania, certifikátom, procesu akreditácie, monitorujúcemu a certifikačnému subjektu. Tretia hlava piatej časti je venovaná kontrole, štvrtá hlava konaniu o ochrane osobných údajov. Piata hlava je venovaná pokutám, správnym deliktom a poriadkovým pokutám, teda sankciám.
Šiesta časť upravuje spoločné, prechodné a záverečné ustanovenia.
Nasledujú novelizačné články priamych noviel, od čl. II po čl. XIII, článok XIV ustanovuje predpokladanú účinnosť návrhu zákona.


Návrh zákona zachováva zásady spracúvania osobných údajov doteraz uplatňované v zákone č. 122/2013 Z. z.

Vo vzťahu k právnym základom spracúvania stanovuje návrh zákona tieto prípady zákonného spracúvania
1.    spracúvanie na základe súhlasu dotknutej osoby
2.    spracúvanie bez súhlasu dotknutej osoby na účely nevyhnutné na plnenie zmluvy, ak zmluvnou stranou je dotknutá osoba, alebo aby sa na základe žiadosti dotknutej osoby vykonali opatrenia pred uzavretím zmluvy,
3.    spracúvanie nevyhnutné na splnenie zákonnej povinnosti prevádzkovateľa;
4.    spracúvanie nevyhnutné, na ochranu životne dôležitých záujmov dotknutej osoby alebo inej fyzickej osoby;
5.    spracúvanie nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi;
6.    spracúvanie nevyhnutné na účely oprávnených záujmov, ktoré sleduje prevádzkovateľ alebo tretia strana, s výnimkou prípadov, keď nad takýmito záujmami prevažujú záujmy alebo základné práva a slobody dotknutej osoby, ktoré si vyžadujú ochranu osobných údajov, najmä ak je dotknutou osobu dieťa, pričom tento právny základ sa nevzťahuje na spracúvanie vykonávané orgánmi verejnej moci pri výkone ich úloh;
7.    spracúvanie nevyhnutné na účely akademické, umelecké, literárne alebo na účely informovania v masovokomunikačných prostriedkoch;
8.    prevádzkovateľ, ktorý je zamestnávateľom dotknutej osoby, je oprávnený sprístupniť, poskytovať alebo zverejniť jej osobné údaje v rozsahu titul, meno, priezvisko, pracovné, služobné alebo funkčné zaradenie, odborný útvar, miesto výkonu práce, telefónne číslo, faxové číslo alebo elektronická pošta na pracovisko a identifikačné údaje zamestnávateľa, ak je to potrebné v súvislosti s plnením pracovných, služobných alebo funkčných povinností dotknutej osoby. Sprístupnenie, poskytovanie alebo zverejnenie osobných údajov nemôže narušiť vážnosť, dôstojnosť a bezpečnosť dotknutej osoby.
9.    prevádzkovateľ môže spracúvať genetické údaje, biometrické údaje a údaje týkajúce sa zdravia aj na právnom základe uvedenom v osobitnom predpise alebo medzinárodnej zmluve, ktorou je Slovenská republika viazaná;
10.    právne základy uvedené v súvislosti so spracúvaním osobitnej kategórie osobných údajov (rasový a etnický pôvod, politické názory, náboženské a filozofické presvedčenie alebo členstvo v odborových organizáciách, genetické údaje, biometrické údaje na individuálnu identifikáciu fyzickej osoby, údaje týkajúce sa zdravia, údaje  týkajúce sa sexuálneho života alebo sexuálnej orientácie fyzickej osoby).

Nová právna úprava výslovne stanovuje, že súhlas dotknutej osoby musí byť jasne oddeliteľný od iných podmienok a dojednaní a tiež, že súhlas dotknutej osoby je možné kedykoľvek odvolať bez uvedenia dôvodu. Zároveň sa stanuje veková hranica pre zákonné spracúvanie osobných údajov detí v súvislosti s ponukou služieb informačnej spoločnosti.

Novým legislatívnym rámcom sa posilňujú práva dotknutých osôb. Vyžaduje sa informačná povinnosť smerom k dotknutej osobe v širšom rozsahu, ktorá umožňuje jednoduchší výkon práv dotknutých osôb. Dotknutým osobám sa explicitne garantujú  práva doteraz vyplývajúce iba z judikatúry alebo aplikačnej praxe dozorných orgánov (právo na prístup k údajom vrátane kópií spracúvaných osobných údajov, právo na zabudnutie, právo na obmedzenie spracúvania) a tiež sa upravujú a stanovujú  nové práva (právo na prenosnosť údajov).

Návrhom zákona sa zrušujú administratívne povinnosti prevádzkovateľov spojené so spracúvaním osobných údajov plnené ex ante, pred začatím spracúvania, a to oznamovacia povinnosť, povinnosť osobitnej registrácie a evidenčná povinnosť. Nahrádzajú sa novými inštitútmi, ktoré zdôrazňujú materiálne, nie formálne zabezpečenie súladu spracúvania osobných údajov s právnymi predpismi a spočívajú v prijatí resp. realizácii opatrení na zaistenie bezpečnosti osobných údajov primeraných rizikám, ktoré sú s konkrétnymi spracovateľskými operáciami spojené (záznamy o spracovateľských činnostiach, posúdenie vplyvu na ochranu údajov). Vo vzťahu k úradu a dotknutým osobám sa stanovuje nová povinnosť, oznamovať zistené a preukázané porušenie ochrany osobných údajov zo strany prevádzkovateľov. Návrhom zákona sa tiež zrušuje povinnosť úspešného absolvovania skúšky pred úradom na výkon funkcie zodpovednej osoby, i keď podmienka odborných kvalít a spôsobilosti osoby na výkon funkcie zodpovednej osoby ostáva zachovaná. Stanovujú sa prípady, kedy je určenie zodpovednej osoby obligatórne.

Návrh zákona reflektuje tiež existenciu nových nástrojov zaistenia bezpečnosti osobných údajov v zariadeniach, v ktorých sú dnes už bežne spracúvané osobné údaje (napríklad mobilné telefóny, tablety, počítačové programy, mobilné aplikácie), ide o tzv. špecificky navrhnutú a štandardnú ochranu údajov, primerané politiky ochrany osobných údajov, certifikáciu a prijatie a dodržiavanie schválených kódexov správania. Návrh zákona splnomocňuje úrad na vydanie vykonávacích podzákonných predpisov, ktorými sa ustanovia podrobnosti týkajúce sa výkonu niektorých činností úradu alebo stanovia spresňujúce informácie; vykonávacími predpismi sa nebudú ukladať nové práva, povinnosti a právomoci nad rámec navrhovaného zákona.

Návrh zákona má pozitívny a súčasne negatívny vplyv na rozpočet verejnej správy, má pozitívny a aj negatívny vplyv na podnikateľské prostredie, pozitívne sociálne vplyvy a má pozitívny vplyv na informatizáciu spoločnosti. Je bez vplyvu na životné prostredie. Podrobnosti o dopadoch návrhu zákona je možné vidieť v priložených analýzach vplyvov a celkové zhodnotenie v Doložke vybraných vplyvov k návrhu zákona.

Návrh zákona nie je predmetom vnútrokomunitárneho pripomienkového konania.

Návrh zákona je v súlade s Ústavou Slovenskej republiky, ústavnými zákonmi, nálezmi Ústavného súdu Slovenskej republiky, medzinárodnými zmluvami, ktorými je Slovenská republika viazaná, zákonmi Slovenskej republiky a zároveň je v súlade s právom Európskej únie.

Navrhovaná právna úprava rešpektuje a odráža medzinárodné záväzky Slovenskej republiky v oblasti ochrany osobných údajov, a to najmä Dohovor o ochrane ľudských práv a základných slobôd v znení protokolov (Oznámenie Federálneho ministerstva zahraničných vecí č. 209/1992 Zb. v znení neskorších predpisov), Dohovor o ochrane jednotlivcov pri automatizovanom spracovaní osobných údajov týkajúci sa orgánov dozoru a cezhraničných tokov údajov  (oznámenie Ministerstva zahraničných vecí Slovenskej republiky č. 49/2001 Z. z.), Dodatkový protokol k Dohovoru o ochrane jednotlivcov pri automatizovanom spracovaní osobných údajov týkajúci sa orgánov dozoru a cezhraničných tokov údajov (oznámenie Ministerstva zahraničných vecí Slovenskej republiky č. 20/2005 Z. z.).

V rámci všeobecnej ochrany osobných údajov predpisovej základne Slovenskej republiky sa bude uplatňovať:

1.    pre spracúvanie osobných údajov v rámci činností, ktoré podliehajú právu Európskej únie tak nariadenie, ako aj návrh zákona, s výnimkou 1 časti až 3 časti návrhu zákona,
2.    pre spracúvanie osobných údajov v rámci činností, ktoré nepodliehajú právu Európskej únie návrh zákona ako celok,
3.    pre spracúvanie osobných údajov na účely plnenia trestného konania príslušným orgánom návrh zákona, s výnimkou vybraných ustanovení 3 časti návrhu zákona.

V zmysle vyššie uvedeného je rozhodujúce pre správnu identifikáciu, či subjekt podlieha aj 1 časti a 2 časti návrhu zákona v zmysle bodu 1 a 2 vyššie uvedeného posúdiť, či samotná činnosť, v rámci ktorej dochádza k spracúvaniu osobných údajov podlieha právu Európskej únie alebo nie. Keďže právna úprava nariadenia ako aj 1 časti a 2 časti návrhu zákona sú v princípe totožné, čo sa týka rozsahu, ako aj obsahu povinností a práv v oblasti ochrany osobných údajov, tento rozdiel sa „stráca“.   

Doložka zlučiteľnosti
právneho predpisu s právom Európskej únie


1.    Predkladateľ právneho predpisu:
      Úrad na ochranu osobných údajov Slovenskej republiky

2.    Názov návrhu právneho predpisu:
        Návrh zákona o ochrane osobných údajov a o zmene a doplnení niektorých zákonov

3.    Problematika návrhu právneho predpisu:

a)    je upravená v práve Európskej únie

- primárnom

-    čl. 6 a čl. 39 Zmluvy o Európskej únii
-    čl. 16 Zmluvy o fungovaní Európskej únie
-    čl. 8 Charty základných práv Európskej únie

- sekundárnom (prijatom po nadobudnutím platnosti Lisabonskej zmluvy, ktorou sa mení a dopĺňa Zmluva o Európskom spoločenstve a Zmluva o Európskej únii – po 30. novembri 2009)

1.    legislatívne akty

-    Nariadenie Európskeho parlamentu a rady (EÚ) č. 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov)
-    Smernica Európskeho parlamentu a Rady (EÚ) 2016/680 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií a o voľnom pohybe takýchto údajov a o zrušení rámcového rozhodnutia Rady 2008/977/SVV

2.    nelegislatívne akty

-    Rozhodnutie Komisie z 5. februára 2010 o štandardných zmluvných doložkách pre prenos osobných údajov spracovateľom usadeným v tretích krajinách podľa smernice Európskeho parlamentu a Rady 95/46/ES (2010/87/EÚ) (Ú. v. EÚ L 39, 12. 2. 2010)
-    Rozhodnutie Komisie z 5. marca 2010 podľa smernice Európskeho parlamentu a Rady 95/46/ES o primeranej ochrane osobných údajov poskytovanej faerským zákonom o spracovaní osobných údajov (2010/146/EÚ) (Ú. v. EÚ L 58, 9.3.2010)
-    Rozhodnutie Komisie z 19. októbra 2010 podľa smernice Európskeho parlamentu a Rady 95/46/ES o primeranej ochrane osobných údajov v Andorre (2010/625/EÚ) (Ú. v. EÚ L 277, 21.10.2010)
-    Rozhodnutie Komisie z 31. januára 2011 podľa smernice Európskeho parlamentu a Rady 95/46/ES o primeranej ochrane osobných údajov Izraelským štátom, pokiaľ ide o automatizované spracovanie osobných údajov (2011/61/EÚ) (Ú. v. EÚ L 27, 1.2.2011)

- sekundárnom (prijatom pred nadobudnutím platnosti Lisabonskej zmluvy, ktorou sa mení a dopĺňa Zmluva o Európskom spoločenstve a Zmluva o Európskej únii – do 30. novembra 2009)

-    Smernica Európskeho parlamentu a Rady 95/46/EHS z 24. októbra 1995 o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov (Mimoriadne vydanie Ú. v. EÚ, kap.13/ zv.15) v platnom znení
-    Rozhodnutie Komisie z 26. júla 2000 podľa smernice Európskeho parlamentu a Rady 95/46/ES o primeranej ochrane osobných údajov poskytovaných vo Švajčiarsku (2000/518/ES) (Mimoriadne vydanie Ú. v. EÚ, kap.16/ zv. 1)
-    Rozhodnutie Komisie z 26. júla 2000 v súlade so smernicou Európskeho parlamentu a Rady 95/46/ES o primeranosti ochrany poskytovanej zásadami bezpečného prístavu a súvisiacimi často kladenými otázkami vydanými Ministerstvom obchodu USA (2000/520/ES) (Mimoriadne vydanie Ú. v. EÚ, kap. 16/ zv. 1)
-    Rozhodnutie Komisie z 15. júna 2001 o štandardných zmluvných doložkách na prenos osobných údajov do tretích krajín podľa smernice 95/46/ES (2001/497/ES) (Mimoriadne vydanie Ú. v. EÚ, kap.13/ zv. 26) v platnom znení
-    Rozhodnutie Komisie z 20. decembra 2001 podľa smernice 95/46/ES Európskeho parlamentu a Rady o primeranej ochrane osobných údajov poskytovaných kanadským Zákonom o ochrane osobných informácií a elektronických dokumentoch (2002/2/ES) (Mimoriadne vydanie Ú. v. EÚ, kap.13/ zv. 27)
-    Rozhodnutie Komisie z 30. júna 2003 podľa smernice 95/46/ES Európskeho parlamentu a Rady o primeranej ochrane osobných údajov v Argentíne (2003/490/3S) (Mimoriadne vydanie Ú. v. EÚ, kap.13/ zv. 31)
-    Rozhodnutie Komisie z 21. novembra 2003 o primeranej ochrane osobných údajov na Guernsey (2003/821/ES) (Mimoriadne vydanie Ú. v. EÚ, kap.16/ zv. 1)
-    Rozhodnutie Komisie z 28. apríla 2004 o primeranej ochrane osobných údajov na ostrove Man (2004/411/ES) (Mimoriadne vydanie Ú. v. EÚ, kap.13/ zv. 34)
-    Rozhodnutie Komisie z 8. mája 2008 podľa smernice Európskeho parlamentu a Rady 95/46/ES o primeranej ochrane osobných údajov v Jersey (2008/393/ES) (Ú. v. EÚ L 138, 28.5.2008)
-    Rámcové rozhodnutie Rady 2008/977/SVV z 27. novembra 2008 o ochrane osobných údajov spracúvaných v rámci policajnej a justičnej spolupráce v trestných veciach

b)    je obsiahnutá v judikatúre Súdneho dvora Európskej únie

-    Rozhodnutie Súdneho dvora vo veci C-101/01 proti Bodil Lindqvist (2003)
-    Rozhodnutie Súdneho dvora vo veci C-524/06 Heinz Huber proti Spolkovej republike Nemecko (2008)
-    Rozhodnutie Súdneho dvora vo veci C 553/07 College van burgemeester en wethouders van Rotterdam proti E. E. Rijkeboer (2009)
-    Rozhodnutie súdneho dvora v spojenej veci C-92/09 a C-93/09 Volker und Markus Schecke GbR (C 92/09) a Hartmut Eifert (C 93/09) proti Spolkovej krajine Hesensko (2010)
-    Rozhodnutie Súdneho dvora vo veci C-518/07 Komisia Európskych spoločenstiev proti Spolkovej republike Nemecko (2010)
-    Rozhodnutie Súdneho dvora vo veci C-131/12 Google Spain SL a Google Inc. proti Agencia Española de Protección de Datos (AEPD) a Mariovi Costejovi Gonzálezovi (2014)
-    Rozhodnutie Súdneho dvora vo veci C-212/13 František Ryneš proti Úřad pro ochranu osobních údajů (2014)
-    Rozhodnutie Súdneho dvora vo veci C-230/14 Weltimmo s.r.o. proti Nemzeti Adatvédelmi és Információszabadság Hatóság (2015)
-    Rozhodnutie Súdneho dvora vo veci C-362/14 Maximillian Schrems proti Data Protection Commissioner (2015)

4.    Záväzky Slovenskej republiky vo vzťahu k Európskej únii:

a)    lehota na prebratie smernice alebo lehota na implementáciu nariadenia alebo rozhodnutia

-    lehota na implementáciu Nariadenia Európskeho parlamentu a Rady (EÚ) č. 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (Ú. v. EÚ L 119/1, 4.5.2016) - 25. máj 2018
-    lehota na prebratie Smernice Európskeho parlamentu a Rady (EÚ) 2016/680 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií a o voľnom pohybe takýchto údajov a o zrušení rámcového rozhodnutia Rady 2008/977/SVV (Ú. v. EÚ L 119/89, 4.5.2016) – 6. máj 2018

b)    lehota určená na predloženie návrhu právneho predpisu na rokovanie vlády podľa určenia gestorských ústredných orgánov štátnej správy zodpovedných za transpozíciu smerníc a vypracovanie tabuliek zhody k návrhom všeobecne záväzných právnych predpisov

-    Nie je určená.

c)    informácia o konaní začatom proti Slovenskej republike o porušení podľa čl. 258 až 260 Zmluvy o fungovaní Európskej únie

-    Bezpredmetné.

d)    informácia o právnych predpisoch, v ktorých sú preberané smernice už prebraté spolu s uvedením rozsahu tohto prebratia

-    Bezpredmetné.

5.    Stupeň zlučiteľnosti návrhu právneho predpisu s právom Európskej únie:

-    Úplný.

6.    Gestor a spolupracujúce rezorty:

   Ministerstvo spravodlivosti Slovenskej republiky
   Ministerstvo vnútra Slovenskej republiky
   Úrad na ochranu osobných údajov Slovenskej republiky























B. Osobitná časť

K čl. I

K § 1

Návrh zákona upravuje ochranu osobných údajov fyzických osôb v súlade s čl. 19 ods. 3 a čl. 22 ods. 1 Ústavy Slovenskej republiky. Predmetom úpravy návrhu zákona je ochrana práv fyzických osôb pred neoprávneným spracúvaním ich osobných údajov. Návrh zákona tiež upravuje práva, povinnosti a zodpovednosť subjektov pri spracúvaní osobných údajov fyzických osôb a postavenie, pôsobnosť a organizáciu Úradu na ochranu osobných údajov Slovenskej republiky (ďalej len „úrad“).

K § 2

Poskytuje definíciou osobného údaja. Zákon neupravuje konkrétny konečný zoznam údajov, ktoré sú považované za osobné údaje. Poskytuje tzv. demonštratívny výpočet charakteristík určujúcich fyzickú osobu. Uvedená definícia osobných údajov nevyžaduje, aby išlo o konkrétnu identitu fyzickej osoby, ale postačuje, aby za splnenia daných podmienok bola osoba identifikovateľná. Z vecnej stránky sa pojem osobných údajov vzťahuje na také údaje, ktoré sa týkajú identifikovanej alebo identifikovateľnej fyzickej osoby, t. j. určenej alebo určiteľnej, či už priamo alebo nepriamo. Z pohľadu ochrany osobných údajov sa „určiteľnosťou fyzickej osoby" rozumie taký stav, keď na základe jedného alebo viacerých dostupných údajov o danej osobe túto možno identifikovať.
Identifikácia sa realizuje prostredníctvom konkrétnych charakteristických znakov, t. j. „identifikátorov", ktoré možno priradiť ku konkrétnej fyzickej osobe (napr.: meno, priezvisko, tetovanie, zdravotné postihnutie, dátum narodenia, adresa a iné). Miera, do akej sú určité identifikátory dostačujúce pre dosiahnutie identifikácie konkrétnej fyzickej osoby závisí od komplexného posúdenia dostupných údajov v ich vzájomnej súvislosti a konkrétnej situácie. V závislosti od kvality, kvantity a druhu údajov sa v určitom momente konvertuje určiteľnosť do určenia konkrétnej fyzickej osoby. Fyzickú osobu považujeme za určenú, keď na základe dostupných údajov je jednoznačne identifikovaná a odlíšená od ostatných osôb v danom informačnom systéme, v ktorom sa osobné údaje spracúvajú. Na určenie toho, či je fyzická osoba identifikovateľná, sa majú vziať do úvahy všetky prostriedky, pri ktorých existuje primeraná pravdepodobnosť, že ich prevádzkovateľ alebo akákoľvek iná osoba využije, napríklad osobitným výberom, na priamu alebo nepriamu identifikáciu fyzickej osoby.

Osobnými údajmi môžu byť v konkrétnej situácii napríklad: titul, meno, priezvisko, adresa trvalého pobytu, dátum narodenia, rodné číslo, údaj o zdravotnom stave, konkrétne tetovanie, lokalizačný údaj, online identifikátor a pod.
Z pohľadu definície osobného údaja, ktorá je veľmi široká, nie je možné jednoznačne určiť rozdiel medzi fyzickou osobou - nepodnikateľom a fyzickou osobou – podnikateľom, a to najmä s ohľadom na skutočnosť, že fyzickú osobu je možné identifikovať nepriamo, najmä na základe jej charakteristík alebo znakov, ktoré tvoria jej ekonomickú identitu. Na základe uvedeného, samotný názov fyzickej osoby – podnikateľa ešte sám o sebe nie je osobným údajom. Ak k takémuto údaju priradíme ďalšie údaje, na základe ktorých je už možné identifikovať fyzickú osobu, napríklad rodné číslo alebo pobyt, pôjde o spracúvanie osobných údajov.  

Na základe toho, že z dostupných osobných údajov je možné identifikácia  fyzickej osoby, sa tento zákon logicky nevzťahuje a neuplatňuje na anonymné údaje, ktoré sa neviažu na identifikovanú alebo identifikovateľnú fyzickú osobu, ani na osobné údaje, ktoré sa stali anonymnými takým spôsobom, že dotknutá osoba nie je alebo už nie je na ich základe  identifikovateľná. Tento zákon sa preto netýka spracúvania  anonymných údajov vrátane ich spracúvania na štatistické účely alebo účely výskumu. 




K § 3

Upravuje vecnú a územnú pôsobnosť zákona.

odsek 1

Pozitívne je vecná pôsobnosť zákona vymedzená vo vzťahu k prostriedkom spracúvania, teda k tomu na čom, prípadne ako sú osobné údaje spracúvané. Primárne delenie prostriedkov spracúvania je na prostriedky spracúvania automatizované, teda používajúce napríklad počítačový program, alebo aplikáciu, druhou možnosťou je spracúvanie osobných údajov neautomatizovanou formou, napríklad vykonávaním zápisov osobných údajov fyzicky osobou do záznamovej knihy. Zákon sa vzťahuje na spracúvanie osobných údajov vykonávané prostredníctvom automatizovaných prostriedkov spracúvania (napr.: počítač, tablet, smartphone), ako aj na spracúvanie vykonávané prostredníctvom neautomatizovaných prostriedkov spracúvania (napr.: záznamová kniha, evidenčný zošit, papierová evidencia).
Zákon sa tiež vzťahuje na spracúvanie osobných údajov, ktoré je vykonávané kombináciou oboch vyššie uvedených prostriedkov spracúvania v rámci jedného informačného systému osobných údajov. Napríklad, ak je časť spracúvania osobných údajov na konkrétny účel vykonávaná na počítači a časť je vykonávaná formou záznamov v papierovej evidencii v neautomatizovanej forme. V prípade kombinovaného spracúvania osobných údajov automatizovanou formou a neautomatizovane je podstatné, ak sa má spracúvanie vykonávať v rámci jedného informačného systému, aby toto spracúvanie osobných údajov, bolo vykonávané na jeden účel a osobné údaje boli súčasťou jedného informačného systému osobných údajov. Praktickým príkladom kombinovaného využívania prostriedkov spracúvania v rámci jedného informačného systému osobných údajov je vedenie dochádzky zamestnancov v dochádzkovej knihe, papierová neautomatizovaná podoba, a vedenie dochádzky zamestnancov aj v elektronickej podobe, automatizovaná forma, napríklad priložením dochádzkovej karty zamestnanca k čítačke. Účel spracúvania je jeden, vedenie dochádzky, no prostriedky spracúvania na dosiahnutie účelu sú typovo dva, automatizovaný a neautomatizovaný.
Softvérový počítačový program nemusí byť vždy zároveň aj informačným systémom osobných údajov, nakoľko môže mať vymedzených viacero účelov spracúvania, prípadne sa v rámci jeho funkcionalít osobné údaje nemusia vôbec spracúvať.

odsek 2

Tento zákon sa vzťahuje na spracúvanie osobných údajov, na ktoré sa vzťahuje Nariadenia  Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (Ú. v. EÚ L 119, 4.5.2016) (ďalej len „nariadenie“) okrem § 5  a druhej a tretej časti zákona. Tento zákon sa okrem svojej druhej a tretej časti vzťahuje aj na spracúvanie osobných údajov na základe nariadenia .

odsek 3

Tento zákon sa vzťahuje na spracúvanie osobných údajov príslušnými orgánmi na účely predchádzania a odhaľovania trestnej činnosti, zisťovania páchateľov trestných činov, stíhania trestných činov alebo na účely výkonu rozhodnutí v trestnom konaní vrátane ochrany pred ohrozením verejného poriadku a predchádzania takémuto ohrozeniu (ďalej len „plnenie úloh na účely trestného konania“); z druhej časti tohto zákona sa na spracúvanie osobných údajov vzťahujú  len ustanovenia § 51, § 60, § 68 a 74. 

odsek 4

Vymedzuje vecnú pôsobnosť zákona negatívne. Stanovuje, na ktoré činnosti všeobecne, prípadne na ktoré spracovateľské činnosti alebo prevádzkovateľov pri výkone ich činností a kompetencií sa zákon nevzťahuje, a to napriek tomu, že pri nich k spracúvaniu osobných údajov dochádza.

Tento zákon sa nevzťahuje na spracúvanie osobných údajov fyzickou osobou pre jej vlastnú potrebu v rámci jej domácich činností (napr.: vedenia osobného diára, osobná korešpondencia prípadne vedenie denníka, či vytvorenie fotoalbumu). Aj pri takomto spracúvaní osobných údajov fyzickou osobou pre jej vlastnú potrebu nie je vylúčená ochrana osobnosti podľa § 11 až § 16 Občianskeho zákonníka.  Zákon sa tiež nevzťahuje na spracúvanie osobných údajov fyzických osôb, ktoré vykonáva na základe osobitných zákonov Slovenská informačné služba, Vojenské spravodajstvo a ktoré vykonáva Národný bezpečnostný úrad na účely vykonávania bezpečnostných previerok a na účely zabezpečovania podkladov pre rozhodovanie Súdnej rady Slovenskej republiky o splnení predpokladov sudcovskej spôsobilosti podľa osobitného zákona.

odsek 5

Pozitívnym spôsobom upravuje územnú pôsobnosť zákona.
Tento zákon sa vzťahuje na prevádzkovateľa alebo sprostredkovateľa
a)    so sídlom, miestom podnikania, organizačnou zložkou, prevádzkarňou alebo trvalým pobytom na území Slovenskej republiky, a to aj v prípade, ak spracúvanie osobných údajov je vykonávané mimo územia Slovenskej republiky,
b)    so sídlom, miestom podnikania, organizačnou zložkou, prevádzkarňou alebo trvalým pobytom na území, kde sa uplatňuje právo Slovenskej republiky podľa zásad medzinárodného práva verejného (napr.: zastupiteľské úrady Slovenskej republiky v zahraničí).

Tento zákon sa vzťahuje na spracúvanie osobných údajov fyzických osôb, dotknutých osôb, nachádzajúcich sa na území Slovenskej republiky, bez ohľadu na ich občianstvo alebo inú príslušnosť, ak spracúvanie ich osobných údajov vykonáva prevádzkovateľ alebo sprostredkovateľ, ktorého sídlo, miesto podnikania, organizačná zložka, prevádzkareň alebo trvalý pobyt nie je v členskom štáte, pričom ním vykonávané spracúvanie osobných údajov dotknutých osôb má súvis s ponukou tovarov alebo služieb dotknutým osobám na území  Slovenskej republiky, bez ohľadu na povinnosť zaplatenia za ponúkaný tovar alebo službu alebo spracúvanie osobných údajov takýmto prevádzkovateľom má súvis so sledovaním správania dotknutých osôb na území Slovenskej republiky.
Pod sledovaním správania dotknutej osoby si možno predstaviť napríklad sledovanie jej aktivít na internete, kde môže byť sledovaná aktivita danej osoby a táto následne spracúvaná ako osobný údaj danej fyzickej osoby. Za monitorovanie správania v prostredí internetu možno považovať napríklad spracúvanie preferencií na internete o danej fyzickej osobe prostredníctvom cookies, IP adresy pripojenia, MAC adresy zariadenia z ktorého osoba do internetovej siete pristupuje, alebo tiež sledovanie a následné spracúvanie geolokalizačných údajov. V určitých prípadoch za osobný údaj možno považovať aj informáciu o stránkach, ktoré osoba na internete navštívila, ku ktorým má alebo môže získať prístup poskytovateľ internetového pripojenia.


K § 4

Deklaratórne ustanovenie o tom, že voľný pohyb osobných údajov v rámci Európskej únie je zaručený, ak je vyžadovaný podľa osobitného predpisu so silou zákona, alebo nariadenia Európskej únie alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná.

K § 5

Vymedzuje základné pojmy a definuje ich význam na účel tohto zákona.

písmeno a)

Súhlas dotknutej osoby je jedným z právnych základov spracúvania osobných údajov. Súhlas by sa mal poskytnúť výslovným a jasným prejavom vôle, ktorý je slobodným, konkrétnym, informovaným a jednoznačným vyjadrením vôle dotknutej osoby so spracúvaním osobných údajov; forma písomného vyhlásenia vrátane vyhlásenia prostredníctvom elektronických prostriedkov alebo ústnym vyhlásením je za splnenia ostatných náležitostí súhlasu akceptovateľná. Zákon určuje konkrétne podmienky na udelenie súhlasu, ako aj na spracúvanie osobných údajov na tomto právnom základe . Zákon vyžaduje aktívnu účasť dotknutej osoby pri udeľovaní súhlasu, je teda potrebné formulovať súhlas tak, aby dotknutá osoba musela konať. Nečinnosť dotknutej osoby, respektíve nevyjadrenie nesúhlasu dotknutej osoby nemožno považovať za vyjadrenie súhlasu. Dotknutá osoba má k súhlasu vždy pristupovať aktívne a z jej strany je očakávaná aktivita.
V prípade, ak je predmetom spracúvania spracúvanie osobitnej kategórie osobných údajov, je potrebné, aby bol súhlas dotknutej osoby výslovný, teda taký, ktorý je oddelený od inej časti dokumentu, do ktorej môže byť včlenený a hlavne v ktorom je výslovne uvedené aké konkrétne osobitné kategórie osobných údajov majú na jeho základe byť predmetom spracúvania zo strany prevádzkovateľa a na aký účel.

písmeno b)

Genetický údaj možno vymedziť ako osobný údaj týkajúci sa zdedených alebo nadobudnutých genetických charakteristických znakov fyzickej osoby, ktoré sú najmä výsledkom analýzy biologických vzoriek danej fyzickej osoby, najmä analýzy chromozómov, deoxyribonukleovej kyseliny (DNA) alebo ribonukleovej kyseliny (RNA) alebo analýzy inej látky, ktorá umožňuje získanie rovnocenných informácií o konkrétnej dotknutej osobe. Genetické osobné údaje patria medzi osobitnú kategóriu osobných údajov, ktorá tiež býva označovaná, ako „citlivé osobné údaje“.

písmeno c)

Biometrický údaj možno definovať ako biologickú alebo fyziologickú vlastnosť alebo charakteristiku špecifickú pre konkrétneho jednotlivca a zároveň merateľnú veličinu, s určitým stupňom zohľadnenej pravdepodobnosti. Príkladom biometrických údajov sú odtlačky prstov, biometrický snímok sietnice oka, tvar tváre a vzdialenosti jednotlivých orgánov na nej, hlas, geometria ruky, geometria štruktúry žíl ruky alebo dlane určitého človeka alebo určitá hlboko zakorenená schopnosť alebo vlastnosť týkajúca sa správania konkrétneho jedinca (napr. vlastnoručný podpis spôsob jeho písania vyvíjanie tlaku na podložku, udieranie na klávesnicu, osobitný spôsob chôdze alebo artikulácie atď.; v tomto prípade ide o tzv. behaviorálnu biometriu).

písmeno d)

Osobné údaje týkajúce sa zdravia sú také osobné údaje, ktoré poskytujú informácie o minulom, súčasnom alebo možnom budúcom fyzickom alebo duševnom zdravotnom stave dotknutej osoby. Patria sem aj údaje o zdraví fyzickej osoby získané pri jej registrácii na účely poskytovania služieb zdravotnej starostlivosti, služieb súvisiacich s poskytovaním zdravotnej starostlivosti alebo sociálnych služieb. Medzi osobné údaje týkajúce sa zdravia patrí tiež číslo, symbol alebo osobitný údaj, ktorý bol fyzickej osobe pridelený na jej individuálnu identifikáciu na zdravotné účely, informácie získané na základe vykonania testov alebo prehliadok častí jej organizmu alebo skúmania jej telesných látok vrátane genetických údajov a biologických vzoriek a akékoľvek informácie o chorobe, zdravotnom postihnutí, riziku ochorenia, anamnéze, klinickej liečbe, alebo o fyziologickom alebo biomedicínskom stave dotknutej osoby bez ohľadu na zdroj týchto informácií, ktorým môže byť lekár alebo iného zdravotníckeho pracovníka, nemocnice ako inštitúcia, zdravotnícka pomôcka pridelená konkrétnej osobe alebo informácie pochádzajúce z vykonania diagnostického testu in vitro. Medzi údaje o zdraví patria aj informácie o zdraví konkrétnej osoby získané z mobilných aplikácií slúžiacich k monitorovaniu životných funkcií alebo fyziologických parametrov osoby.

písmeno e)

Spracúvaním osobných údajov je potrebné chápať každú spracovateľskú operáciu alebo niekoľko na seba nadväzujúcich operácií (nadväznosť v čase nie je podstatná), ktoré prevádzkovateľ alebo sprostredkovateľ  vykonáva na splnenie určitého vymedzeného účelu, systematicky, a to bez ohľadu na spôsob a využité prostriedky (alebo ich kombináciu) spracúvania. Spracúvanie môže byť vykonávané rôznymi spôsobmi, formou ľudskej činnosti, automatizovane, ide teda o charakteristiku toho, ako sú jednotlivé spracovateľské operácie u prevádzkovateľa alebo sprostredkovateľa vykonávané, technicky nastavené.

písmeno f)

Pri obmedzení spracúvania sú spracúvané osobné údaje označené na účely obmedzenia ich spracúvania do budúcnosti. Obmedzením nie je vždy potrebné chápať iba ich blokovanie, ale obmedzenie ich spracúvania napríklad na určitý účel. Osobné údaje, ktorých spracúvanie má byť obmedzené by takto v informačnom systéme mali byť označené. Pod obmedzením spracúvania osobných údajov si možnosť predstaviť napríklad ich presun v rámci prevádzkovateľa do iného informačného systému alebo ich zneprístupnenie dovnútra, alebo navonok, teda voči verejnosti (napr.: „stiahnutie“ zverejnených osobných údajov z určitého dôvodu, no ich zachovanie u prevádzkovateľa). Obmedzenie spracúvania môže byť vykonané na účely ochrany dotknutej osoby a uplatnenia si jej práv v prípade, že namieta spracúvanie týchto svojich osobných údajov, má pochybnosti o správnosti alebo zákonnosti ich spracúvania, prípadne ak odpadla potreba spracúvania osobných údajov prevádzkovateľom, avšak dotknutá osoba potrebuje spracúvať tieto osobné údaje u daného prevádzkovateľa napríklad na účely domáhania sa svojich právnych nárokov v budúcnosti.

písmeno g)

Profilovaním sa rozumie spracúvanie osobných údajov, na základe ktorého možno získať v závislosti od kvality a kvantity spracúvaných informácií relatívne ucelený profil dotknutej osoby, ktorý možno využiť s vysokým stupňom pravdepodobnosti na predpovedanie správania konkrétnej dotknutej osoby do budúcnosti.  Použitie profilovania je rozsiahle, jednou z možností jeho využitia, ktorá je na vzostupe je využívanie na vytvorenie cielenej reklamy na mieru konkrétneho jedinca. Na účely profilovania by mali byť používané primerané matematické alebo štatistické postupy, mali by byť prijaté technické a organizačné opatrenia tak, aby sa zabezpečilo, že faktory, ktoré vedú, alebo by mohli viesť k nesprávnosti osobných údajov sa opravia a riziko chýb sa minimalizuje. Zabezpečí sa tak zohľadnenie súvisiacich potenciálnych rizík pre záujmy a práva dotknutej osoby. Zabráni sa tiež diskriminačným účinkom na základe rasového alebo etnického pôvodu, politického názoru, náboženstva alebo presvedčenia, členstva v odborových organizáciách, genetického alebo zdravotného stavu či sexuálnej orientácie, alebo účinkom, ktoré vedú k opatreniam majúcim takéto účinky. Profilovanie založené na spracúvaní osobitných kategóriách osobných údajov je možné len za osobitných podmienok viažucich sa na spracúvania osobitnej kategórie osobných údajov.

písmeno h)

Pseudonymizácia je spracúvanie osobných údajov spočívajúce v takej ich forme, že dané údaje už následne nie je možné priradiť ku konkrétnej dotknutej osobe bez toho, aby sa na to museli použiť dodatočné informácie, ktoré by mali byť uchovávané oddelene a osobitne zabezpečené. Pseudonymizované údaje sú stále osobnými údajmi podliehajúcimi tomuto zákonu, prípadne nariadeniu, ide o jedno z bezpečnostných opatrení, ktoré môže prevádzkovateľ využiť, aby ním spracúvané osobné údaje chránil.
Rozdiel medzi anonymizovanými a pseudonymizovanými údajmi je v tom, že anonymizované údaje ani s použitím dodatočných informácií nemožno priradiť ku konkrétnej dotknutej osobe, naopak s pseudonymizovanými údajmi by to možné byť malo, pokiaľ nie je, ide o anonymizované osobné údaje, na ktoré sa tento zákon nevzťahuje.
Príkladom pseudonymizácie je, že osobné údaje „Eva Nová, narodená 12.12.1966, učiteľka“  sa zmenia na sadu písmen a číslic „456mnb2b4gr47sDR, učiteľka“ no informácia, že skôr uvedený kód patrí pani Eve Novej bude u prevádzkovateľa uchovávaná osobitne. Práve na základe spojenia zvlášť uchovanej informácie, že daný kód patrí Eve Novej bude stále možné zistiť, komu konkrétne kód patrí a daná dotknutá osoba bude stále v prostredí prevádzkovateľa identifikovateľná. Osobné údaje, ktoré boli pseudonymizované, a ktoré by sa mohli použitím dodatočných informácií priradiť ku konkrétnej fyzickej osobe, by sa mali považovať za informácie o identifikovateľnej fyzickej osobe.

písmeno i)

Vedenie logov, logovanie je bezpečnostné opatrenie, slúžiace k zaznamenávaniu akýchkoľvek zmien, prehliadania, poskytovania, prenosu, kombinovania alebo vymazávania osobných údajov v rámci informačného systému osobných údajov alebo ich pokusov o zmenu, ktoré je založené na zachytení údaja o tom, kto, kedy a akú zmenu v automatizovanom informačnom systéme osobných údajov vykonal alebo sa pokúšal vykonať. Výsledkom logovania je zaznamenávanie logov, ktoré následne môžu slúžiť na vykonávanie analýzy a na zaznamenávanie činnosti používateľa v automatizovanom informačnom systéme. Logom je tiež akékoľvek používateľské meno alebo heslo alebo iný prihlasovací údaj, ktorý slúži na prihlásenie používateľa do automatizovaného informačného systému osobných údajov.

písmeno j)

Šifrovanie znamená zmenu obsahu informácie na skupinu bezvýznamných znakov, kedy na to, aby sa skupina týchto znakov opätovne transformovala do pôvodnej zmysluplnej informácie je potrebné, aby prijímateľ správy disponoval správnym prístupovým kódom, heslom alebo iným, na to určeným parametrom.

písmeno k)

Online identifikátor alebo jednoznačný identifikátor využívaný pri vzájomnej komunikácii koncových zariadení užívateľov prostredníctvom komunikačných sietí. Takýmito identifikátormi sú napríklad IP adresa a cookies, či iné identifikátory využívajúce napríklad rádiovú frekvenciu (tzv. RFID identifikátory). Online identifikátor je osobným údajom konkrétnej fyzickej osoby pokiaľ ho je možné k tejto osobe jednoznačne priradiť, teda pokiaľ sa možno s najvyššou pravdepodobnosťou domnievať alebo je potvrdené, že koncové zariadenie je vo vlastníctve konkrétnej osoby, teda z neho možno aj na základe informácií  pochádzajúcich z identifikátorov vyčítať konkrétne aspekty správania a preferencií fyzickej osoby.

písmeno l)

Informačným systémom sa na účely tohto zákona rozumie akýkoľvek usporiadaný súbor, sústava alebo databáza určená na zhromažďovanie osobných údajov alebo obsahujúca osobné údaje fyzických osôb, ktoré sú systematicky spracúvané pre potreby dosiahnutia vopred vymedzeného alebo ustanoveného účelu podľa osobitných kritérií a podmienok s použitím automatizovaných, čiastočne automatizovaných alebo iných ako automatizovaných prostriedkov spracúvania bez ohľadu na to, či ide o systém centralizovaný, decentralizovaný alebo distribuovaný na funkčnom alebo geografickom základe. Jedným informačným systémom osobných údajov sa rozumie aj situácia, kedy prevádzkovateľ spracúva osobné údaje  viacerými prostriedkami spracúvania na jeden účel (papierová Evidencia dochádzky a čipová karta zamestnanca sú súčasťou dochádzky zamestnancov, teda napriek využitiu viacerých prostriedkov spracúvania ide o jeden informačný systém osobných údajov, nakoľko účelom je sledovanie a zaznamenávanie dochádzky zamestnancov viacerými spôsobmi).

písmeno m)

Za porušenie ochrany osobných údajov považujeme situácie, pri ktorých dochádza k nedovolenému resp. nezákonnému nakladaniu s osobnými údajmi, či už úmyselne alebo v dôsledku zanedbania povinností a opatrení prijatých na ich ochranu. Ak sa porušenie ochrany osobných údajov nerieši primeraným spôsobom a včas, môže fyzickým osobám spôsobiť ujmu na zdraví, majetkovú alebo nemajetkovú ujmu alebo akékoľvek iné závažné hospodárske či sociálne znevýhodnenie dotknutej fyzickej osoby. Porušenie ochrany môže byť vyvolané zvonka prevádzkovateľa alebo sprostredkovateľa, kybernetický útok alebo zvnútra prevádzkovateľa alebo sprostredkovateľa, pochybenie zamestnanca, a to tak úmyselné ako neúmyselné, ktoré povedie k narušeniu integrity, dostupnosti a dôvernosti osobných údajov.

písmeno n)

Dotknutou osobou je fyzická osoba, o ktorej sa osobné údaje spracúvajú, dotknutou osobou je osoba aj vtedy, ak sa jej osobné údaje spracúvané v informačnom systéme osobných údajov týkajú. Definícia dotknutej osoby korešponduje s článkom 8 Charty základných ľudských práv Európskej Únie a tiež s článkom 16 Zmluvy o fungovaní Európskej Únie.

písmeno o)

Prevádzkovateľom je každý, kto sám alebo spoločne s inými pred začatím spracúvania osobných údajov vymedzí účel spracúvania osobných údajov a prostriedky ich spracúvania. Prevádzkovateľ spracúva osobné údaje vo vlastnom mene. Účel spracúvania môže byť ustanovený v osobitnom predpise (prevádzkovateľ ho musí rešpektovať a dodržiavať, napr.: spracúvanie osobných údajov žiakov školou podľa školského zákona) alebo je prevádzkovateľovi daná možnosť, aby si ho vymedzil napríklad na základe zamerania jeho podnikateľskej činnosti rešpektujúc právny poriadok a legálne možnosti, ktoré mu ponúka.

písmeno p)

Sprostredkovateľom je každý, kto spracúva osobné údaje v mene prevádzkovateľa. Právny vzťah na základe ktorého dochádza k spracúvaniu osobných údajov sprostredkovateľom v mene prevádzkovateľa je založený na zmluve, plnej moci, poverení sprostredkovateľa  prevádzkovateľom. Minimálne náležitosti zmluvy medzi prevádzkovateľom a sprostredkovateľom, plnej moci alebo poverenia ustanovuje tento zákon alebo iný osobitný zákon v rámci právneho poriadku Slovenskej republiky. Sprostredkovateľ spracúva osobné údaje na právnom základe prevádzkovateľa, t.j. sprostredkovateľ nemá osobitný právny základ od prevádzkovateľa odlišný, ale spracúvanie osobných údajov vykonáva na základe podmienok a prostriedkov, ktoré určil prevádzkovateľ, alebo ktoré prevádzkovateľovi ustanovuje napríklad osobitný zákon.
Zákon nevylučuje, aby subjekt mal postavenie sprostredkovateľa, kedy vykonáva spracovateľské operácie v mene prevádzkovateľa a na základe jeho pokynov, prípadne aj postavenie sprostredkovateľa pre viacerých prevádzkovateľov, ako aj postavenie prevádzkovateľa pre svoje vlastné spracovateľské operácie, ktoré vykonáva vo svojom mene a sám si pre takéto spracúvanie určil účel, podmienky a primeraný právny základ (napríklad vedenie informačného systému personalistika a mzdy, informačného systému účtovníctvo, informačného systému registratúra).
Tak prevádzkovateľ, ako aj sprostredkovateľ, ak je prevádzkovateľom poverený spracúvať v jeho mene osobné údaje, obaja sú viazaní týmto zákonom, prípadne inými osobitnými zákonmi, ak tieto upravujú spracúvanie osobných údajov.

písmeno q)

Príjemcom na účely tohto zákona je každý, komu sú osobné údaje poskytnuté alebo sprístupnené, či sa jedná o tretiu stranu alebo nie. Orgány verejnej moci, ktoré môžu prijať osobné údaje v rámci konkrétneho zisťovania v súlade osobitným predpisom, sa však nepovažujú za príjemcov; spracúvanie uvedených údajov uvedenými orgánmi verejnej moci sa uskutočňuje v súlade s pravidlami ochrany osobných údajov v závislosti od účelov spracúvania im stanovených osobitnými právnymi predpismi. Najmä vo vzťahu k zodpovednej osobe je používaný aj pojem kategória príjemcov, možno si pod ňou predstaviť napríklad kategóriu prevádzkovateľov alebo sprostredkovateľov majúcich rovnaké alebo podobné podnikateľské zameranie, napríklad banky, poisťovne, živnostníkov s rovnakým predmetom podnikania a podobne.



písmeno r)

Treťou stranou, na účely tohto zákona, je každý  subjekt súkromného sektora alebo orgán verejnej moci, alebo fyzická osoba, ktorá nie je prevádzkovateľom, sprostredkovateľom alebo dotknutou osobou. Treťou stranou sú aj osoby, ktoré nie sú priamo poverené spracúvaním osobných údajov prevádzkovateľom alebo sprostredkovateľom. Tretia strana je užší pojem ako príjemca. Príjemca je akýkoľvek subjekt, ktorému sa osobné údaje poskytujú, s výnimkou orgánov verejnej moci. Kategóriou príjemcu sa rozumejú ako finančné inštitúcie, poisťovne, banky, zamestnávatelia a pod.  

písmeno s)

Zodpovedná osoba je osoba určená prevádzkovateľom alebo sprostredkovateľom na základe jej odborných kvalít v zákonom stanovených situáciách vždy, inak dobrovoľne. Zodpovednou osobou môže byť tak zamestnanec prevádzkovateľa alebo sprostredkovateľa ako aj fyzická osoba vykonávajúca funkciu zodpovednej osoby na základe zmluvy. Základnou úlohou zodpovednej osoby je poskytovať informácie a poradenstvo prevádzkovateľovi a sprostredkovateľovi a ich zamestnancom pri spracúvaní osobných údajov a plnení úloh podľa tohto zákona. Úlohou zodpovednej osoby navonok je poskytovanie spolupráce úradu a vybavovanie žiadostí dotknutých osôb.

písmeno t)

Zástupcom prevádzkovateľa alebo sprostredkovateľa, ktorý nemá sídlo, miesto podnikania, organizačnou zložkou, prevádzkareň alebo trvalý pobyt v Európskej únii, spracúva osobné údaje dotknutých osôb, ktoré sa nachádzajú v Slovenskej republike, pričom vykonávané spracovateľské činnosti súvisia s ponukou tovaru alebo služieb takýmto dotknutým osobám v Slovenskej republike, bez ohľadu na to, či sa od dotknutej osoby vyžaduje platba, alebo súvisia so sledovaním ich správania sa, pokiaľ sa toto ich správanie uskutočňuje v Slovenskej republike je fyzická osoba alebo právnická osoba, ktorú si prevádzkovateľ alebo sprostredkovateľ písomne určí na to, aby konala v jeho mene v súvislosti s jeho povinnosťami podľa tohto zákona v rámci Slovenskej republiky. Prevádzkovateľ alebo sprostredkovateľ je povinný určiť sídlo zástupcu v jednom z členských štátov Európskej únie. 
Uvedené sa nevzťahuje na prípady, kedy vykonávané spracúvanie je občasné a nezahŕňa spracúvanie osobitných kategórií osobných údajov vo veľkom rozsahu alebo spracúvanie osobných údajov týkajúcich sa uznania viny za trestné činy a priestupky a nie je pravdepodobné, že povedie k riziku pre práva fyzických osôb, pričom sa zohľadní povaha, kontext, rozsah a účely spracúvania, alebo keď je prevádzkovateľ orgánom verejnej moci alebo verejnoprávnym subjektom.
Určenie takého zástupcu neovplyvňuje zodpovednosť alebo povinnosť prevádzkovateľa alebo sprostredkovateľa podľa tohto zákona. Takýto zástupca má vykonávať svoje úlohy podľa poverenia, ktoré dostal od prevádzkovateľa alebo sprostredkovateľa, a ktoré zahŕňa spoluprácu s úradom v súvislosti s opatreniami prijatými na zabezpečenie súladu s týmto zákonom. V prípade, že prevádzkovateľ alebo sprostredkovateľ nezabezpečia súlad, určený zástupca podlieha konaniam na presadenie práva.

písmeno u)

Podnikom sa rozumie fyzická osoba podnikateľ alebo právnická osoba v akejkoľvek forme vykonávajúca hospodársku podnikateľskú činnosť, a to tak sama, ako aj v spolupráci so svojimi partnermi.

písmeno v)

Skupinu podnikov zahŕňa riadiaci podnik a ním riadené podniky, pričom riadiaci podnik má dominantný vplyv na ostatné podniky pretože ich vlastní, alebo v dôsledku finančnej účasti alebo pravidiel upravujúcich činnosť podniku alebo v dôsledku jeho právomoci presadiť vykonávanie pravidiel ochrany osobných údajov.
Podnik, ktorý kontroluje spracúvanie osobných údajov v podnikoch, ktoré sú s ním prepojené sa považuje za skupinu podnikov (napr.: holdingy, koncerny, konzorciá).

písmeno w)

Hlavnou prevádzkarňou je miesto centrálnej správy prevádzkovateľa alebo sprostredkovateľa v Európskej únii.

písmeno x)

Záväzné vnútropodnikové pravidlá sú súčasťou internej politiky ochrany osobných údajov prevádzkovateľa alebo sprostredkovateľa, ktorý nimi definuje svoje postupy a pravidlá v rámci svojej obchodnej politiky s ohľadom na prenos mimo územia členských štátov Európskej únie. Možno ich považovať za istý druh bezpečnostného opatrenia, ktorým prevádzkovateľ a sprostredkovateľ zaisťujú primeranú úroveň ochrany spracúvaných osobných údajov v týchto tzv. tretích krajinách, ich častiach, prípadne medzinárodných organizáciách, ktoré takúto primeranú úroveň ochrany osobných údajov nezaručujú.

písmeno y)

Kódex správania je súbor  určitých ustanovení, ktorého účelom je upresniť, konkretizovať dodržiavanie jednotlivých povinností podľa tohto zákona týkajúcich sa spracúvania a ochrany osobných údajov s ohľadom na osobitné charakteristiky určitého odvetvia, pre ktoré konkrétny kódex správania bol schválený. Ku kódexom správania je možnosť pristúpiť a zaviazať sa ich dodržiavať dobrovoľne, ak však prevádzkovateľ pristúpi k schválenému kódexu správania je povinný ho ako súčasť bezpečnostných opatrení dodržiavať a uplatňovať.

písmeno z)

Medzinárodná organizácia je inštitucionalizovaná podoba medzinárodných vzťahov vznikajúca najčastejšie dohodou dvoch a viacerých krajín, ktoré určia aj jej podobu, stanovia jej orgány, podmienky jej fungovania a podmienky pristúpenia k takejto medzinárodnej organizácii.

písmeno aa)

Členským štátom sa rozumie štát, ktorý na účely tohto zákona  je členským štátom Európskej únie, alebo zmluvnou stranou Dohody o Európskom hospodárskom priestore.

písmeno bb)

Treťou krajinou sa rozumie krajina, ktorá nie je členským štátom Európskej únie, alebo zmluvnou stranou Dohody o Európskom hospodárskom priestore.

písmeno cc)

Zamestnanec úradu je osoba vykonávajúca prácu v pracovnom pomere alebo obdobnom pracovnom pomere v mene úradu a štátny zamestnanec.

K § 6

Zásady spracúvania osobných údajov sú základnými mantinelmi v rámci ktorých sa konkrétne spracúvanie osobných údajov fyzickej osoby posudzuje a vykonáva. Cieľom zásad spracúvania osobných údajov je vykonávanie spracúvania osobných údajov tak, aby boli rešpektované práva dotknutých osôb a aby spracúvaním osobných údajov nedochádzalo k porušovaniu práva na zachovanie ľudskej dôstojnosti alebo k iným neoprávneným zásahom do práva na ochranu súkromia.

Každé spracúvanie osobných údajov má byť zákonné, založené na legálnom právnom základe podľa § 13 tohto zákona. Spracúvanie nesmie byť protiprávne, nesmie prebiehať na nelegálnom právnom základe alebo samotný účel spracúvania nesmie byť nelegitímny.

K § 7

Spracúvané osobné údaje majú byť primerané, relevantné a obmedzené na zoznam alebo rozsah osobných údajov nevyhnutný vzhľadom na účel, na ktorý sa spracúvajú. Účel je základným obmedzujúcim faktorom najmä vo vzťahu k zoznamu alebo rozsahu spracúvaných osobných údajov a vo vzťahu k dobe spracúvania, ako aj uchovávania spracúvaných osobných údajov. Účel má byť vymedzený dostatočne jasne a určito, aby z neho bolo jasné, aké spracovateľské operácie na základe neho budú a nebudú prebiehať, alebo aké spracovateľské operácie dotknutá osoba môže očakávať, že s jej osobnými údajmi na základe jeho vymedzenia môžu prebiehať.
Spracúvať osobné údaje na iný účel, než na ktorý boli získané je zakázané, ibaže by tento iný účel úzko súvisel s pôvodným účelom spracúvania, bol s ním zlučiteľný.
Spracúvanie osobných údajov získaných na stanovený účel nevylučuje, aby takto získané osobné údaje nemohli byť spracúvané na tzv. privilegované účely, a to účely archivácie, na účely vedeckého alebo historického výskumu a na štatistické účely v súlade s týmto zákonom a vo vzťahu k primeraným zárukám pre práva dotknutej osoby. Tieto záruky obsahujú zavedenie primeraných a účinných technických a organizačných opatrení najmä s cieľom zabezpečiť dodržiavanie zásady minimalizácie údajov, pseudonymizácie, pokiaľ sa týmto opatrením môžu dosiahnuť uvedené účely. Ďalšie spracúvanie na účely archivácie, na účely vedeckého či historického výskumu alebo štatistické účely sa považuje za zlučiteľné so zákonnými spracovateľskými operáciami.

K § 8

Spracúvanie osobných údajov má byť úzko naviazané na účel spracúvania osobných údajov, a to najmä pokiaľ ide o zoznam alebo rozsah spracúvaných osobných údajov, ktorý by mal byť nevyhnutný na to, aby sa spracúvaním daných osobných údajov účel mohol dosiahnuť. Nie je správne, aby sa zoznam alebo rozsah osobných údajov umelo alebo dodatočne rozširoval vzhľadom na účel. Ak je účel a zoznam alebo rozsah osobných údajov stanovený zákonom, je potrebné ho rešpektovať, ak si zoznam alebo rozsah spracúvaných osobných údajov určuje prevádzkovateľ má dbať na to, aby ho zbytočne, nad rámec účelu nerozširoval.

K § 9

Osobné údaje spracúvané na určitý účel musia byť správne, presné a podľa potreby aktualizované tak, aby sa zabezpečilo, že sa osobné údaje, ktoré sú nesprávne sa bezodkladne vymažú alebo opravia. Ak nesprávny osobný údaj odhalí prevádzkovateľ má povinnosť ho opraviť, ak je to možné, ak nie, má povinnosť ho zlikvidovať. V prípade ak nesprávny osobný údaj zistí dotknutá osoba mala by sama iniciatívne kontaktovať prevádzkovateľa a požadovať opravu nesprávneho osobného údaja alebo jeho likvidáciu podľa tohto zákona, ak sa nesprávnosť údaju potvrdí, prevádzkovateľ má požiadavke  dotknutej osoby na opravu vyhovieť. Zásada aktuálnosti znamená tiež to, že prevádzkovateľ má povinnosť spracúvané osobné údaje pravidelne kontrolovať a aktualizovať (pravidelnosť kontroly je potrebné nastaviť s ohľadom na ujmu, ktorá môže vzniknúť dotknutej osobe pri spracúvaní nesprávneho osobného údaja prevádzkovateľom), a to aj po obsahovej stránke, nielen gramatickej, teda by sa nemalo stať, že osoba, ktorá uhradila svoj dlh bude v systéme prevádzkovateľa stále vedená ako dlžník, napriek tomu, že reálny aj právny stav tomu už nezodpovedá. Prevádzkovateľ nesie zodpovednosť za aktuálnosť osobného údaja v jeho informačnom systéme osobných údajov. V prípade, ak dotknutá osoba sama poskytne prevádzkovateľovi nesprávne osobné údaje za ich nesprávnosť v tomto prípade nenesie zodpovednosť prevádzkovateľ, iba že by mal možnosť, prípadne zákonom stanovenú povinnosť si ich správnosť preveriť.


K § 10

Zásada minimalizácie uchovávania spracúvaných osobných údajov, má za cieľ dosiahnuť, aby sa osobné údaje vo forme, kedy je ich možné priradiť ku konkrétnej fyzickej osobe spracúvali iba dovtedy, kým je to potrebné na dosiahnutie sledovaného účelu spracúvania. Akonáhle je tento cieľ spracúvania osobných údajov dosiahnutý je možné, aby sa osobné údaje už spracúvali iba na účely archivácie, na účely vedeckého alebo historického výskumu či na štatistické účely podľa osobitného predpisu za predpokladu prijatia primeraných technických a organizačných opatrení vyžadovaných týmto zákonom na ochranu práv dotknutých osôb.
Zásada minimalizácie uchovávania má za cieľ, aby sa osobné údaje uchovávali vo forme, ktorá umožňuje identifikáciu dotknutých osôb len v nevyhnutnom rozsahu len dovtedy, dokiaľ je to s ohľadom na účel spracúvania potrebné a nevyhnutné. Spracúvanie osobných údajov výlučne na účely archivácie, na účely vedeckého alebo historického výskumu či na štatistické účely v súlade s týmto zákonom je považované za výnimku z tejto zásady, teda nie je porušením tohto zákona.

K § 11

Osobné údaje by sa mali spracúvať tak, aby sa zabezpečila ich primeraná bezpečnosť a dôvernosť vrátane predchádzania neoprávnenému prístupu k osobným údajom a prostriedkom spracúvania osobných údajov. Prijaté bezpečnostné opatrenia musia byť adekvátne spracúvaným osobným údajom, a to tak po technickej, personálnej, ako aj po organizačnej stránke.

K § 12

Zásada zodpovednosti za spracúvané osobné údaje pre prevádzkovateľa znamená zodpovednosť za dodržiavanie všetkých povinností mu stanovených týmto zákonom a zásada zodpovednosti pre neho znamená aj povinnosť, aby vedel deklarovať navonok, že všetky požadované povinnosti si skutočne plní. Prevádzkovateľ pri prijímaní bezpečnostných opatrení a plnení si aj iných svojich povinností podľa tohto zákona musí vystupovať aktívne a snažiť sa splniť si všetky povinnosti tak, ako mu ich zákon ukladá. Zákon mu k preukazovaniu splnenia niektorých jeho povinností dáva nástroje, ako napríklad možnosť pristúpiť ku kódexom správania a využiť ich ako deklaratórne nástroje smerom von ohľadom ním prijatých bezpečnostných opatrení. Prevádzkovateľ je povinný prijať primerané a účinné opatrenia a vedieť preukázať súlad spracovateľských činností s týmto zákonom vrátane primeraných a účinnosti bezpečnostných opatrení. V uvedených opatreniach by sa mala zohľadniť povaha, rozsah, kontext a účel spracúvania a riziko pre práva fyzických osôb. Na účely prijatia zodpovednosti by mal prevádzkovateľ najmä prijímať adekvátne politiky ochrany osobných údajov, ktorými bude deklarovať svoju zodpovednosť za spracúvanie a ochranu osobných údajov. Prevádzkovateľ zodpovedá aj za spracúvanie osobných údajov ním povereného sprostredkovateľa, či so sprostredkovateľom dohodnutého ďalšieho sprostredkovateľa, ktorí spracúvajú osobné údaje v jeho mene a na základe jeho pokynov.
So zásadou zodpovednosti je spojené aj vedenie patričnej dokumentácie tak, aby v prípade potreby prevádzkovateľ vedel a mohol deklarovať, že vykonal posúdenie vplyvu, alebo opätovne hodnotil a snažil sa znížiť vysoké riziko, ktoré mu v rámci posúdenia vplyvu na osobné údaje, ako zvyškové vyšlo.

K § 13

odsek 1

Odsek taxatívne vymenúva právne základy spracúvania osobných údajov dotknutej osoby, situácie, kedy spracúvanie osobných údajov dotknutej osoby prebieha na legálnom, alebo legitímnom právnom základe.

Medzi právne základy spracúvania osobných údajov patrí súhlas dotknutej osoby ňou daný na jeden alebo viacero výslovne uvedených účelov. Súhlas by sa mal poskytnúť výslovným a jasným prejavom vôle, ktorý je slobodným, konkrétnym, informovaným a jednoznačným vyjadrením vôle dotknutej osoby so spracúvaním osobných údajov; forma písomného vyhlásenia vrátane vyhlásenia prostredníctvom elektronických prostriedkov alebo ústnym vyhlásením je za splnenia ostatných náležitostí súhlasu akceptovateľná. Zákon určuje konkrétne podmienky na udelenie súhlasu, ako aj na spracúvanie osobných údajov na tomto právnom základe . Zákon vyžaduje aktívnu účasť dotknutej osoby pri udeľovaní súhlasu, je teda potrebné formulovať súhlas tak, aby dotknutá osoba musela konať. Nečinnosť dotknutej osoby, respektíve nevyjadrenie nesúhlasu dotknutej osoby nemožno považovať za vyjadrenie súhlasu. Dotknutá osoba má k súhlasu vždy pristupovať aktívne a z jej strany je očakávaná aktivita.

Ďalším právnym základom spracúvania osobných údajov dotknutej osoby, je spracúvanie na účely plnenia zmluvy, ktorej je dotknutá osoba zmluvnou stranou, alebo ide o predzmluvné vzťahy vrátanie spracúvania osobných údajov na základe žiadosti dotknutej osoby. V prípade ak sa osobné údaje spracúvajú na účely predzmluvných alebo zmluvných vzťahov, kedy jednou zo zmluvných strán je dotknutá osoba je potrebné, aby sa v zmluve jednoznačne vymedzil predmet zmluvy, ktorý bude zároveň aj účelom spracúvania osobných údajov dotknutej osoby, napríklad dodanie tovaru alebo plnenie služby. Prevádzkovateľ je potom takýmto v zmluve naformulovaným účelom viazaný a nie je možné, aby ho prekročil. Taktiež nie je prípustné, aby sa pod právny titul predmetu zmluvy uvádzali iné predmety zmluvy, iné účely spracúvania, ktoré by rád prevádzkovateľ využil a osobné údaje získané od dotknutej osoby na predmet zmluvy tak využil a spracúval aj na iné účely so zmluvou a jej predmetom primárne nesúvisiace. V prípade, ak má prevádzkovateľ záujem spracúvať osobné údaje uvedené v zmluve aj na iný účel, je povinný si na takéto spracúvanie nájsť iný primeraný právny základ, napríklad súhlas dotknutej osoby. Ak by aj iné vedľajšie účely spracúvania, ktoré s predmetom zmluvy majú málo alebo nič spoločné sa v zmluve nachádzali, nemožno danú zmluvu považovať za právny základ aj pre takéto iné účely v nej uvedené. Fakt, že zmluva je naformulovaná nesprávne neznamená, že je možné na jej právnom základe spracúvať osobné údaje dotknutej osoby na účely s jej predmetom plnenia nesúvisiace, alebo od jej predmetu plnenia veľmi vzdialené, na ktoré je potrebné, aby si prevádzkovateľ získal od dotknutej osoby iný právny základ.

Medzi právne základy spracúvania osobných údajov bez súhlasu dotknutej osoby patrí spracúvanie osobných údajov na základe osobitného predpisu, ktorý takéto spracúvanie ustanovuje alebo ide o spracúvanie na základe medzinárodnej zmluvy, ktorou je Slovenská republika viazaná. Ide o zákonom stanovenú činnosť prevádzkovateľa, ktorému spracúvanie osobných údajov ustanovuje priamo právny predpis, osobitný zákon. V takom prípade nie je súhlas dotknutej osoby na takéto spracúvanie jej osobných údajov potrebný, nakoľko právnym základom je priamo osobitný zákon alebo medzinárodný zmluva, či zákon vydaný na jej plnenie. Takouto situáciou je napríklad spracúvanie osobných údajov v bankách na základe zákona o bankách alebo spracúvanie osobných údajov detí, dotknutých osôb, žiakov (študentov) na základe školského zákona. Osobitný zákon v takom prípade musí obsahovať základné charakteristiky daného spracúvania ustanovené v odseku 2. Obdobne sa spracúvanie osobných údajov vykonáva bez súhlasu dotknutej osoby na základe osobitného zákona, ak ide o spracúvanie osobných údajov dotknutej osoby, ktorej osobné údaje majú byť spracúvané  na plnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi. Definovanie spracovateľskej operácie na ktorú majú byť spracúvané osobné údaje na účely verejného záujmu alebo na účely plnenia povinnosti zverenej pri výkone verejnej moci prevádzkovateľovi musia byť zadefinované v osobitnom zákone.

Právny základ spracúvania osobných údajov na účely ochrany života, zdravia a alebo majetku dotknutej osoby alebo inej fyzickej osoby sa má využívať iba vo výnimočných prípadoch, pokiaľ na spracúvanie osobných údajov nie je možné využiť iný právny základ a pokiaľ je bezprostredne v ohrození život alebo zdravie dotknutej osoby alebo inej fyzickej osoby. Ide zväčša o hraničné životné situácie, kedy je získavanie iného právneho základu ťažké alebo nemožné. Príkladom spracúvania osobných údajov na tento účel je spracúvanie osobných údajov obetí alebo účastníkov dopravenej nehody (prehľadanie osoby na účely nájdenia jej dokladov a jej identifikácie a pod.), ktorí aj s ohľadom na utrpené zranenia alebo šok nie sú schopní alebo ochotní na spracúvanie ich osobných údajov, alebo osobných údajov iného poskytnúť súhlas. Získavanie dodatočného súhlasu potom, keď už je dotknutá osoba pri vedomí a schopná súhlas poskytnúť alebo iná fyzická osoba je schopná súhlas poskytnúť odpadá. Právny základ je možné použiť aj v prípadoch humanitárnych katastrof, ak si to situácia s ohľadom na stav obyvateľstva vyžaduje, je však potrebné dbať na to, aby tento právny základ nebol zneužívaný aj v prípadoch, kedy už jeho použitie možno hodnotiť sporne, napríklad ak osoba vníma a je schopná sa vyjadriť, či osobné údaje poskytnúť.

O oprávnený záujem, ako právny základ spracúvania osobných údajov, ide v tom prípade, keby medzi dotknutou osobou a prevádzkovateľom už existuje vzťah, napríklad ak je dotknutá osoba voči prevádzkovateľovi v postavení klienta. Existencia oprávneného záujmu si vždy vyžaduje dôkladné posúdenie vrátane posúdenia toho, či dotknutá osoba môže v danom čase a kontexte získavania osobných údajov primerane očakávať, že sa spracúvanie na tento účel zo strany prevádzkovateľa môže uskutočniť. Záujmy a práva dotknutej osoby by mohli prevážiť nad záujmami prevádzkovateľa najmä vtedy, ak sa osobné údaje spracúvajú za okolností, keď dotknuté osoby primerane neočakávajú ďalšie takéto  spracúvanie. Napríklad spracúvanie osobných údajov nevyhnutne potrebných na účely predchádzania podvodom predstavuje oprávnený záujem príslušného prevádzkovateľa, naopak spracúvanie osobných údajov na účely reklamnej a propagačnej činnosti  možno považovať za oprávnený záujem iba v takom prípade, ak táto činnosť prevádzkovateľa súvisí so službami, ktoré dotknutej osobe poskytol ako klientovi; tieto spracovateľské činnosti za oprávnené nemožno považovať vtedy, ak ich miera zo strany prevádzkovateľa prevyšuje samotný záujem dotknutej osoby o služby prevádzkovateľa, teda už možno hovoriť o obťažovaní dotknutej osoby zo strany prevádzkovateľa. Právny základ oprávneného záujmu sa nevzťahuje na spracúvanie orgánmi verejnej moci pri plnení ich úloh nakoľko jeho využitie orgánmi verejnej moci by rozširovalo im ustanovený právny základ spracúvania na základe osobitného predpisu minimálne so silou zákona.

odsek 2

Ustanovuje základné požiadavky kladené na osobitný predpis minimálne so silou zákona, ak má tento byť právnym základom pre spracúvanie osobných údajov bez súhlasu dotknutej osoby. Osobitný zákon, ktorý má byť právnym základom spracúvania osobných údajov fyzickej osoby má mať vo svojom normatívnom  texte ustanovený účel spracúvania osobných údajov, okruh dotknutých osôb, zoznam alebo rozsah osobných údajov, ktoré sa budú spracúvať. Je nevyhnutné, aby osobitný predpis so silou zákona stanovoval aj spôsob konkrétneho spracúvania osobných údajov, ak je to účelné a potrebné, napríklad, ak sa tieto budú zverejňovať na v zákone určenom mieste a v určenom rozsahu. Zákon má tiež obsahovať ustanovenia stanovujúce ktorým tretím stranám budú osobné údaje poskytnuté, prípadne, ktorým príjemcom sa osobné údaje sprístupnia. V prípade najmä starších právnych noriem je možné akceptovať aj, ak je minimálne účel spracúvania osobných údajov a dotknuté osoby ustanovené v právnej norme so silou zákona a zoznam alebo rozsah osobných údajov je  uvedený a spresnený vo vykonávacom právnom predpise.

odsek 3

Predmetný odsek ustanovuje výnimku zo zásady obmedzenia účelu v rámci spracovateľských operácii toho istého prevádzkovateľa, a len pre spracúvanie osobných údajov, ktoré neboli získané na právnom základe súhlasu dotknutej osoby alebo na právnom základe osobitného predpisu. Stanovuje pre prevádzkovateľa kritériá, ktoré musí zohľadniť a posúdiť, ak má v úmysle už takto získané osobné údaje spracúvať na iný, ďalší účel. Predmetom takéhoto posúdenia, tzv. testu zlučiteľnosti je, aby sa vylúčila možnosť, že spracúvanie na ďalší účel je s pôvodným účelom spracúvania nezlučiteľné, a teda nerealizovateľné.
Až na základe pozitívneho výsledku testu zlučiteľnosti a zohľadnenia v zákone uvedených kritérií môže prevádzkovateľ pristúpiť k spracúvaniu osobných údajov na iný účel, ako bol pôvodný na ktorý osobné údaje získal, ale na tom istom právnom základe, t. j. nie je tu samostatný, iný,  právny základ.

K § 14

Súhlas dotknutej osoby je jedným z právnych základov spracúvania osobných údajov, kedy o spracúvaní svojich osobných údajov rozhoduje výlučne dotknutá osoba. Prevádzkovateľ musí vedieť preukázať, že mu dotknutá osoba súhlas poskytla. Zákon výslovne neurčuje formu udelenia súhlasu, ale s ohľadom na požiadavku preukázania existencie udelenia súhlasu, má byť tento súhlas v písomnej forme, v elektronickej forme alebo v inak hodnovernej preukázateľnej forme (napríklad telefonická nahrávka udelenia súhlasu).  Z udeleného súhlasu musí byť zrejmé kto súhlas udelil, kedy bol súhlas udelený, aké informácie dostala dotknutá osoba pred udelením súhlasu (s akými  informáciami sa mohla oboznámiť napríklad na webovom sídle prevádzkovateľa), akým spôsobom bol súhlas udelený (elektronicky, písomne) a údaj o tom, že v istom čase bol súhlas dotknutou osobou odvolaný, ak sa tak stalo.

V prípade, ak je vyjadrenie súhlasu so spracúvaním osobných údajov súčasťou iného dokumentu alebo písomnosti (napr.: zmluvy), je potrebné, aby súhlas bol jasne a zreteľne oddelený, odlíšiteľný od týchto iných častí daného dokumentu, napríklad ako samostatný článok zmluvy, čím sa zabráni tomu, že ho dotknutá osoba  prehliadne a zaistí sa, že mu venuje dostatočnú pozornosť. Ak je súhlas včlenený do iného textu tak, že je pravdepodobné, že ujde pozornosti dotknutej osoby takéto jeho uvedenie by mohlo byť posúdené, ako porušenie tohto zákona a vyhlásenie urobené dotknutou osobou by bolo v tejto časti neplatné.

Dotknutá osoba má právo kedykoľvek súhlas odvolať, a to takými prostriedkami, a tak jednoducho ako ho poskytla (napr.: súhlas poskytnutý elektronicky má osoba právo elektronicky aj odvolať, nemusí však ísť o totožnú formu elektronického odvolania súhlasu; súhlas mohol byť poskytnutý formou predpripraveného elektronického formulára a na jeho odvolanie prevádzkovateľ zriadil samostatný e-mail, takáto forma  poskytnutia a aj odvolania súhlasu elektronickou formou je akceptovateľná, nakoľko jednoduchosť tak udelenia súhlasu, ako jeho odvolania je zachovaná). O možnosti súhlas odvolať musí byť dotknutá osoba pred jeho poskytnutím informovaná. Spracúvanie osobných údajov vykonané od momentu jeho poskytnutia do momentu jeho odvolania dotknutou osobou je zákonné a jeho odvolanie na zákonnosť tohto predchádzajúceho spracúvania osobných údajov fyzickej osoby nemá vplyv.

Pri poskytovaní súhlasu dotknutej osoby nesmie prevádzkovateľ na dotknutú osobu vyvíjať nátlak ani iným spôsobom ovplyvňovať jej rozhodovanie, aby mu súhlas poskytla, takéto vyvíjanie nátlaku je v rozpore so zákonom. Nátlakom sa rozumie taká hrozba prevádzkovateľa, kedy neudelenie súhlasu dotknutou osobou bude mať za následok odmietnutie poskytnutia zmluvného vzťahu, neposkytnutie služby, alebo zamedzenie predaja či dostupnosti tovaru pre danú dotknutú osobu, za predpokladu, že sa súhlas netýka spracúvania osobných údajov nevyhnutných pre takéto uzatvorenie zmluvného vzťahu, poskytnutie služby alebo predaja tovaru, ale ide o taký súhlas na spracúvanie osobných údajov požadovaný od dotknutej osoby, ktorý so zmluvným vzťahom, poskytnutím služby alebo predajom tovaru nemá priamy súvis (napríklad súhlas požadovaný prevádzkovateľom na účely marketingu).

Aby sa zaistilo, že súhlas bude informovaný, dotknutá osoba si musí byť vedomá aspoň identity prevádzkovateľa a zamýšľaných účelov spracúvania osobných údajov, respektíve zo strany prevádzkovateľa musí byť najneskôr pri poskytnutí súhlasu dotknutou osobou splnená jeho informačná povinnosť podľa tohto zákona. Súhlas nemožno považovať za slobodný, ak dotknutá osoba nemá skutočnú alebo slobodnú voľbu alebo nemôže odmietnuť či odvolať súhlas bez nepriaznivých následkov pre ňu.

Súhlas nemusí byť považovaný za legitímny právny základ spracúvania osobných údajov v prípade, ak medzi postavením dotknutej osoby a prevádzkovateľom existuje jednoznačný nepomer, najmä ak je prevádzkovateľ orgánom, ktorému je zverený výkon verejnej moci, a preto je nepravdepodobné, že dotknutá osoba súhlas poskytla slobodne. Uvedené môže platiť aj v prípade pracovnoprávnych vzťahov, kedy je obzvlášť dôležité skúmať, či udelený súhlas dotknutou osobou, zamestnancom prevádzkovateľovi, zamestnávateľovi bol dobrovoľný, slobodný a vážny.

Súhlas sa nepovažuje za poskytnutý slobodne, ak nie je možné dať samostatný súhlas na jednotlivé účely spracúvania osobných údajov napriek tomu, že by to bolo v konkrétnom prípade vhodné, alebo ak sa plnenie zmluvy vrátane poskytnutia služby podmieňuje súhlasom, aj keď na takéto plnenie nie je takýto súhlas nevyhnutný.

Súhlas by sa mal vzťahovať na všetky spracovateľské činnosti vykonávané na ten istý účel alebo príbuzné a navzájom si blízke účely. Ak sa spracúvanie osobných údajov vykonáva na viaceré rôzne účely, súhlas by sa mal udeliť na všetky tieto účely samostatne, oddelene. Ak má dotknutá osoba poskytnúť súhlas elektronickými prostriedkami, požiadavka na jeho poskytnutie musí byť jasná a stručná a nemá pôsobiť zbytočne rušivo na používanie služby, pre ktorú sa poskytuje. Za udelenie súhlasu je považované napríklad aktívne označenie políčka pri návšteve internetového webového sídla („opt in“ udelenie súhlasu), aktívne zvolenie technických nastavení služieb informačnej spoločnosti alebo akékoľvek iné vyhlásenie či aktívny úkon, ktorý jasne znamená a dokazuje, že dotknutá osoba súhlasí s navrhovaným spracúvaním jej osobných údajov. Mlčanie, vopred označené políčka alebo nečinnosť dotknutej osoby sa za súhlas podľa tohto zákona nepovažujú.
Jedným z právnym základov prelomenia zákazu spracúvania osobitnej kategórie osobných údajov, automatizovaného individuálneho rozhodovania, vrátane profilovania podľa tohto zákona je udelenie výslovného súhlasu dotknutou osobou, čo znamená výslovný súhlas dotknutej osoby so spracúvaním tejto osobitnej kategórie osobných údajov alebo s takouto formou spracúvania. Je potrebné, aby prevádzkovateľ výslovne v takto naformulovanom súhlase uviedol, že na uvedený účel dotknutá osoba súhlasí so spracúvaním jej zdravotného stavu, teda osobitná kategória osobného údaja musí byť v súhlase výslovne zmienená, uvedená.

K § 15

Informačnú spoločnosť v zmysle spracúvania osobných údajov možno charakterizovať ako spoločnosť, ktorá používa moderné informačné a telekomunikačné technológie ako formu komunikácie navonok aj dovnútra a tiež ako formu získavania a poskytovania informácií alebo služieb. Hlavnou súčasťou informačnej spoločnosti všeobecne a aj následne konkrétnej informačnej spoločnosti v postavení prevádzkovateľa alebo sprostredkovateľa je internet; tento je využívaný ako hlavný komunikačný kanál na prijímanie, ale aj poskytovanie informácií a teda aj osobných údajov. Prostredníctvom internetovej siete informačné spoločnosti vykonávajú zásadný podiel svojej činnosti, je to ich prostriedok na získavanie nových zákazníkov, dotknutých osôb, a to tak dospelých, ako aj detí, prostriedok na poskytovanie služieb. Službou informačnej spoločnosti teda možno nazvať takú službu, ktorá je poskytovaná cez internet, respektíve, ktorej časť je poskytovaná cez internet, pričom internet je prostriedkom prostredníctvom ktorého zákazník vyjadruje svoj záujem o službu a tiež aj prípadný súhlas so spracúvaním svojich osobných údajov.

Osobitnú ochranu osobných údajov si zasluhujú deti, keďže sú si v menšej miere vedomé rizík a dôsledkov súvisiacich so spracúvaním ich osobných údajov, a to najmä v prípade, ak je záujem získavať ich osobné údaje prostredníctvom verejne prístupnej siete – internetu. V prípade ak prevádzkovateľ chce spracúvať osobné údaje detí, teda ponúka službu určenú priamo pre deti, je spracúvanie založené na súhlase dieťaťa zákonné iba vtedy, ak má dieťa v čase poskytnutia súhlasu 16 a viac rokov. V prípade, ak je služba adresovaná dieťaťu, ak je toto mladšie ako 16 rokov je spracúvanie jeho osobných údajov zákonné iba vtedy, ak ním daný súhlas schválil jeho zákonný zástupca alebo opatrovník, alebo ak zákonný zástupca, prípadne opatrovník súhlas so spracúvaním jeho osobných údajov sám v mene dieťaťa poskytol.

Prevádzkovateľ, pokiaľ ide o súhlas daný dieťaťom mladším ako 16 rokov, musí vynaložiť primerané úsilie na to, aby si overil, že súhlas mu poskytlo dieťa vo veku 16 rokov alebo staršie, prípadne, že súhlas schválil alebo poskytol jeho zákonný zástupca, či opatrovník, ak sa jedná o dieťa mladšie ako 16 rokov; overenie súhlasu môže vykonať napríklad formou otázky o dosiahnutom veku v čase poskytovania súhlasu alebo inak tak, aby využil všetky svoje možnosti na overenie si veku dieťaťa. Súhlas nositeľa rodičovských práv a povinností nie je potrebný v súvislosti s preventívnymi alebo poradenskými službami, ktoré sú ponúkané priamo dieťaťu (napr.: služby poskytované pre týrané deti, alebo deti zažívajúce násilie v rodine alebo šikanovanie v škole a pod.). Všetky informácie a každá komunikácia, pri ktorej sa spracúvanie zameriava na dieťa, musia byť formulované jasne a jednoducho, aby ich dieťa mohlo ľahko pochopiť.

Požadovanie súhlasu dieťaťa, ako dotknutej osoby, prípadne jeho schválenie zákonným zástupcom, prípadne jeho priame poskytnutie zákonným zástupcom nemá vplyv na iné samostatné rozhodovacie práva dieťaťa podľa iných osobitných predpisov; napríklad právo uzavrieť zmluvu a podobne.

K § 16

odsek 1

Osobitné kategórie osobných údajov sú taxatívne vymenované v texte zákona. Dôvodom na ich vymenovanie je fakt, že ide o citlivé osobné údaje, týkajúce sa fyzickej osoby, pri ktorých, ak by došlo k ich zneužitiu, nezákonnému spracúvaniu, mohlo by to pre dotknutú osobu predstavovať významný zásah do jej základných ľudských práv. Spracúvanie osobitnej kategórie osobných údajov sa vo všeobecnosti týmto zákonom zakazuje, je prípustné len v prípade splnenia taxatívne ustanovených výnimiek definovaných v odseku 2 tohto ustanovenia tohto zákona. V prípade splnenia podmienok ustanovených v odseku 2, prevádzkovateľ môže spracúvať osobitnú kategóriu osobných údajov, citlivé osobné údaje v súlade s týmto zákonom.

odsek 2

Spracúvať osobitné kategórie osobných údajov uvedených v odseku 1 sa generálne zakazuje. Ak by však niektorí prevádzkovatelia nemohli spracúvať aj osobitné kategórie osobných údajov, nemohli by si plniť im zákonom zverené povinnosti alebo uplatňovať svoje práva, taktiež dotknuté osoby by boli obmedzené v slobodnom nakladaní so svojimi osobnými údajmi.
Podmienky, za ktorých je možné spracúvanie osobitnej kategórie osobných údajov podľa odseku 1 preto tento zákon pripúšťa a taxatívne ich ustanovuje odsek 2.  Predstavujú primerané právne základy pre  spracúvanie citlivých osobných údajov, na základe ktorých je spracúvanie osobných údajov osobitnej kategórie týmto zákonom dovolené.

K § 17

Prevádzkovateľom v prípade spracúvania osobných údajov týkajúcich sa uznania viny za spáchanie trestného činu alebo priestupku v registri trestov môže byť iba štátny orgán, ak to má ustanovené osobitným zákonom. V podmienkach Slovenskej republiky je takýmto prevádzkovateľom Generálna prokuratúra Slovenskej republiky. Iný prevádzkovateľ môže spracúvať tieto osobné údaje  len ak ho nato oprávňuje osobitný predpis alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná, a to len v prípade, ak daný osobitný predpis alebo medzinárodná zmluva poskytuje primerané záruky ochrany pre práva dotknutej osoby v súvislosti so spracúvaním osobných údajov týkajúcich sa uznania viny za trestné činy a priestupky.

K § 18

V ustanovení sa prejavuje zásada minimalizácie údajov vo vzťahu k účelu spracúvania tak, že prevádzkovateľ je oprávnený spracúvať len minimálny rozsah osobných údajov o dotknutej osobe nevyhnutné potrebných na splnenie účelu spracúvania, teda ak už na primárny účel spracúvania nepotrebuje osobu identifikovať, nakoľko tento bol splnený, tak tieto nadbytočné osobné údaje, na základe ktorých by toho bol schopný nie je povinný iba na účely preukázania súladu s týmto zákonom uchovávať, ale je povinný ich zlikvidovať.
Príkladom dodržiavania zásady minimalizácie osobných údajov je, ak prevádzkovateľ je schopný na základe svojich technických možností spojiť IP adresu zákazníka s jeho konkrétnymi osobnými údajmi, ale nekoná tak, nakoľko takéto prepojenie pre neho nie je potrebné na účely predaja služby koncovému zákazníkovi, dotknutej osobe, ktorej presná identifikácia prevádzkovateľa nezaujíma, nakoľko účel spracúvania, predaj služby alebo tovaru už bol naplnený.
V prípade, ak by daná dotknutá osoba chcela, aby prevádzkovateľ vyhovel nejakej jej žiadosti a uplatnila by si voči  nemu právo dotknutej osoby napríklad na zamazanie jej IP adries u neho uložených je potrebné, aby mu sama dotknutá osoba poskytla dodatočné informácie o tom, ktoré IP adresy alebo online identifikátory jej koncových zariadení sa jej konkrétne týkajú, pretože tieto prepojenia si prevádzkovateľ na základe ich nepotrebnosti pre plnenie účelu predaja danej dotknutej osobe neukladal. Ak by sám prevádzkovateľ iniciatívne tieto údaje o dotknutej osobe spracúval, mohlo by takéto jeho spracúvanie týchto údajov o dotknutej osobe byť považované za porušenie zásady minimalizácie spracúvania osobných údajov.
V prípade, ak si dotknutá osoba uplatní voči prevádzkovateľovi právo a tento ju už nie je schopný identifikovať má povinnosť ju o tejto skutočnosti informovať, ak je to možné najmä s ohľadom na technické možnosti a to, že jej identifikácia je pre neho sťažená.

K § 19

odsek 1 a odsek 2

Taxatívne vymedzuje informácie, ktoré má prevádzkovateľ povinnosť poskytnúť dotknutej osobe, ak osobné údaje získava priamo od nej a poskytnutím ktorých sa má zabezpečiť informovanosť dotknutej osoby a transparentnosť spracúvania jej osobných údajov; tieto informácie je povinný prevádzkovateľ poskytnúť iniciatívne, nie až na základe žiadosti alebo vyzvania dotknutej osoby.
V prípade získavania osobných údajov od dotknutej osoby je potrebné, aby tieto informácie o zamýšľanej spracovateľskej operácii boli dotknutej osobe poskytnuté najneskôr pri získavaní jej osobných údajov, respektíve v dostatočnom časovom predstihu, jasne a zrozumiteľne a takým spôsobom, aby sa s týmito informáciami mohla skutočne oboznámiť a porozumela im. 

odsek 3

Stanovuje povinnosť prevádzkovateľa informovať dotknutú osobu, ak prevádzkovateľ chce osobné údaje spracúvať aj na iný účel, ako ten, na ktorý osobné údaje pôvodne získal v súlade s týmto zákonom (výnimka z obmedzenia účelu s povinnosťou vykonania testu zlučiteľnosti).

odsek 4

V prípade ak už dotknutá osoba informáciami podľa predchádzajúcich odsekov disponuje (napríklad jej už boli skoršie prevádzkovateľom poskytnuté) prevádzkovateľ jej ich opätovne ,poskytovať nemusí, poskytne jej iba tie, ktorými dotknutá osoba nedisponuje.

K § 20

odsek 1 a odsek 2

Taxatívne vymedzuje informácie, ktoré má prevádzkovateľ povinnosť poskytnúť dotknutej osobe, ak osobné údaje nezískal priamo od nej a poskytnutím ktorých sa má zabezpečiť informovanosť dotknutej osoby a transparentnosť spracúvania jej osobných údajov.

odsek 3

Stanovuje lehoty pre plnenie informačnej povinnosti prevádzkovateľa podľa odsekov 1 a 2 voči dotknutej osobe, ak prevádzkovateľ nezískal jej osobné údaje priamo od tejto dotknutej osoby. Informácie je povinný prevádzkovateľ poskytnúť v primeranej lehote po získaní osobných údajov od inej ako dotknutej osoby dotknutej osobe alebo je prevádzkovateľ povinný plniť si informačnú povinnosť voči dotknutej osobe najneskôr v čase prvej komunikácie s ňou, alebo v čase, keď sa osobné údaje prvýkrát poskytnú plánujú poskytnúť ďalšiemu príjemcovi.



odsek 4

Stanovuje povinnosť prevádzkovateľa informovať dotknutú osobu, ak chce osobné údaje spracúvať aj na iný účel, ako ten, na ktorý boli osobné údaje pôvodne získané v súlade s týmto zákonom (výnimka z obmedzenia účelu s povinnosťou vykonania testu zlučiteľnosti).

odsek 5

Ustanovuje taxatívne prípady a podmienky, kedy prevádzkovateľ za splnenia týchto podmienok, nemá povinnosť poskytnúť dotknutej osobe informácie podľa odsekov 1 až 4, ak osobné údaje prevádzkovateľ nezískal priamo od dotknutej osoby.
Ide o prípady, ak dotknutá osoba už informácie má, ak zaznamenanie alebo poskytnutie osobných údajov je stanovené osobitným predpisom, alebo medzinárodnou zmluvou, ktorou je Slovenská republika viazaná, alebo ak sa poskytnutie informácií dotknutej osobe prevádzkovateľom sa ukáže ako nemožné alebo by si vyžiadalo zo strany prevádzkovateľa vynaloženie neprimeraného úsilia. V tejto súvislosti by sa mal zohľadniť počet dotknutých osôb, vek údajov a všetky prijaté primerané záruky.

K § 21

odsek 1 a odsek 2

Dotknutá osoba má právo vedieť, či prevádzkovateľ o nej spracúva osobné údaje a v prípade, že tomu tak je, má právo na prístup k týmto osobným údajom a tiež právo, aby jej prevádzkovateľ poskytol okrem ním spracúvaných osobných údajov o nej aj taxatívne zákonom stanovené ďalšie informácie. Takéto informácie poskytuje prevádzkovateľ až na základe žiadosti dotknutej osoby a v lehotách v tomto zákone stanovených. Ak prevádzkovateľ spracúva v súvislosti s dotknutou osobou veľké množstvo osobných údajov, môže požadovať, aby pred tým, ako dotknutej osobe poskytne požadované informácie, dotknutá osoba spresnila, ktorých informácií alebo spracovateľských činností sa jej žiadosť týka. Uplatnenie práva dotknutou osobou  sa však nemôže stať podnetom ani dôvodom na konanie zo strany prevádzkovateľa, ktoré by dotknutej fyzickej osobe mohlo spôsobiť ujmu. V prípade, ak prevádzkovateľ prenáša osobné údaje dotknutej osoby do tretej krajiny alebo medzinárodnej organizácii má dotknutá osoba právo byť informovaná o primeraných zárukách týkajúcich sa týchto prenosov.

odsek 3 a odsek 4

Prevádzkovateľ má poskytnúť dotknutej osobe na jej žiadosť kópiu jej osobných údajov, ktoré o nej spracúva, pokiaľ si dotknutá osoba vyžiadala viac ako jednu kópiu jej osobných údajov, tak druhé a každé ďalšie poskytnutie kópie osobných údajov môže prevádzkovateľ spoplatniť primeraným poplatkom, ktorý zodpovedá administratívnym nákladom na vyhotovenie takejto kópie alebo kópií. V prípade, ak dotknutá osoba požaduje zaslanie kópie jej údajov elektronicky, prevádzkovateľ jej informácie poskytne elektronicky, pokiaľ si dotknutá osoba nestanovila iný spôsob poskytnutia. Uvedené ustanovenie prevádzkovateľovi dáva možnosť zaviesť administratívny poplatok, v prípade, ak tak urobí, mal by jeho zavedenie prezentovať transparentne, aby dotknutá osoba mala k dispozícií informáciu, že druhá a nasledujúca kópia, ktorou prevádzkovateľ plní žiadosť dotknutej osoby je spoplatnená. Prevádzkovateľ by mal informáciu o spoplatnení, ako aj výšku poplatku uviesť jasne a zreteľne, najlepšie na svojom webovom sídle alebo inak tak, aby o tom bola dotknutá osoba informovaná. Vyžiadaním si kópie osobných údajov nesmie byť dotknuté právo inej fyzickej osoby.
Vyššie uvedené nie je právom dotknutej osoby na poskytnutie samotných dokumentov, na základe ktorých dochádza k spracúvaniu osobných údajov prevádzkovateľom, t.j. je na posúdení samotného prevádzkovateľa v akej štrukturalizovanej forme poskytne osobné údaje pri dodržaní a splnení zákonných požiadaviek na transparentnosť poskytovaných informácii, oznámení a postupov plnenia  informačnej povinnosti podľa tohto zákona.    
   



K § 22

Dotknutá osoba má právo na opravu jej osobných údajov v informačných systémoch prevádzkovateľa. Spracúvanie nesprávnych osobných údajov dotknutej osoby môže dotknutej osobe spôsobiť ujmu majetkového aj nemajetkového charakteru; je v záujme dotknutej osoby, ako aj prevádzkovateľa, aby sa spracúvali vždy správne a aktuálne osobné údaje. Ak dotknutá osoba zistí, že osobné údaje, ktoré o nej prevádzkovateľ spracúva sú nesprávne, má ho o tom upovedomiť a požiadať, aby ich opravil a nesprávne osobné údaje zlikvidoval, pokiaľ nemá z iného osobitného zákona povinnosť aj nesprávne, teda skôr získané osobné údaje týkajúce sa dotknutej osoby archivovať. V prípade, ak dotknutá osoba zistí zrejmú nesprávnosť, tak môže aj formou listu, či osobnej návštevy prevádzkovateľa požiadať o opravu týchto nesprávnych údajov a už v rámci zaslaného listu, alebo osobnej návštevy u neho mu správne osobné údaje uviesť. V prípade, ak prevádzkovateľ z vlastnej činnosti zistí, že osobné údaje, ktoré o dotknutej osobe spracúva sú nesprávne, má ju o takomto svojom zistení vyrozumieť a požiadať, aby mu v ním stanovenej, prípadne v osobitnom zákone určenej lehote poskytla správne osobné údaje. Ďalšie uchovávanie osobných údajov týkajúcich sa dotknutej osoby by malo byť zákonné v prípadoch, keď je to potrebné na uplatnenie slobody prejavu a práva na informácie, na plnenie zákonnej povinnosti, na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi, z dôvodov verejného záujmu v oblasti verejného zdravia, na účely archivácie, na účely vedeckého alebo historického výskumu alebo na štatistické účely, alebo na preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov.

K § 23

odsek 1 a odsek 2

Dotknutá osoba má právo na to, aby jej osobné údaje boli vymazané, zlikvidované a prestali sa spracúvať, ak je naplnený niektorý zo zákonných dôvodov stanovených v tomto zákone. Dotknutá osoba si toto právo na výmaz, likvidáciu jej osobných údajov, môže uplatniť u prevádzkovateľa. V prípade, ak právo dotknutej osoby bude opodstatnené niektorým zo zákonných dôvodov podľa tohto ustanovenia tohto zákona, má dotknutá osoba právo na dosiahnutie tohto práva u prevádzkovateľa.
Zároveň v súlade so zásadou zákonnosti a zásadou zodpovednosti je prevádzkovateľ povinný pravidelne preverovať splnenie účelu spracúvania osobných údajov za účelom ich prípadného výmazu po splnení účelu spracúvania osobných údajov.

odsek 3

Ak prevádzkovateľ zverejnil osobné údaje dotknutej osoby a vznikla mu povinnosť ich na základe žiadosti dotknutej osoby vymazať, je povinný zverejnené osobné údaje týkajúce sa dotknutej osoby s ohľadom na svoje technologické možnosti a na prostriedky, ktorými osobné údaje zverejnil, vymazať.
V súlade s touto povinnosťou práva na výmaz alebo práva na zabudnutie vo vzťahu k online prostrediu, rozširuje sa právo na vymazanie pre dotknutú osobu aj tým, že prevádzkovateľ, ktorý osobné údaje dotknutej osoby zverejnil, je povinný informovať prevádzkovateľov, ktorí tieto osobné údaje tiež spracúvajú, o povinnosti ich tiež vymazať a taktiež vymazať všetky odkazy na tieto osobné údaje alebo kópie či repliky týchto osobných údajov. Pritom je prevádzkovateľ povinný prijať primerané kroky, pri zohľadnení dostupnej technológie a prostriedkoch spracúvania, ktoré má k dispozícii, vrátane technických opatrení na účely informovania prevádzkovateľov, ktorým osobné údaje poskytol a ktorí ich spracúvajú, že tieto osobné údaje sú povinní vymazať na základe predmetnej žiadosti dotknutej osoby.

odsek 4

Právo na výmaz osobných údajov dotknutej osoby podľa odseku 1 a odseku 2 tohto zákona sa neuplatní, ak sa uplatní čo aj len jeden z taxatívne uvedených zákonných dôvodov, na základe ktorých je potrebné osobné údaje dotknutej osoby aj naďalej spracúvať. Takéto spracúvanie dotknutá osoba musí strpieť a nemôže proti takémuto spracúvaniu osobných údajov uplatniť právo na výmaz.  

K § 24

odsek 1

Taxatívne stanovuje prípady, kedy je prevádzkovateľ povinný rešpektovať právo dotknutej osoby a obmedziť spracúvanie jej osobných údajov, kedy prevádzkovateľ počas uplatnenia si obmedzenia spracúvania dotknutou osobou, osobné údaje dotknutej osoby nespracúva, ale ich blokuje, prípadne ich počas tejto doby iba uchováva.

odsek 2

Ak prevádzkovateľ obmedzil na základe žiadosti dotknutej osoby spracúvanie osobných údajov tejto dotknutej osoby, môže prevádzkovateľ tieto osobné údaje, okrem uchovávania, spracúvať len so súhlasom dotknutej osoby, alebo na preukazovanie a obhajovanie právnych nárokov, alebo na ochranu práv inej fyzickej osoby alebo právnickej osoby, alebo z dôvodov dôležitého verejného záujmu stanoveného v osobitnom predpise so silou minimálne zákona.

odsek 3

Ak dotknutá osoba dosiahla obmedzenie spracúvania jej osobných údajov prevádzkovateľa je prevádzkovateľ povinný ju vopred informovať pred tým, ako bude toto obmedzenie spracúvania zrušené.

K § 25

Dotknutá osoba má právo, aby sa spracúvali len také jej osobné údaje, ktoré sú správne, nevyhnutné na dosiahnutie účelu a ich spracúvanie je založené na zákonnosti; v prípade ak došlo k oprave, vymazaniu alebo obmedzeniu spracúvania jej osobných údajov u prevádzkovateľa, a to bez ohľadu na to, či na základe žiadosti dotknutej osoby alebo na základe toho, že tak vykonal prevádzkovateľ z vlastnej činnosti je potrebné, aby o takejto oprave vymazaní alebo obmedzení spracúvania prevádzkovateľ informoval každého príjemcu, ktorému osobné údaje dotknutej osoby poskytol. Prevádzkovateľ nie je povinný informovať každého príjemcu, ak preukáže nemožnosť poskytnutia takejto informácie, alebo ak preukáže, že poskytnutie informácie si vyžaduje jeho neprimerané úsilie. Prevádzkovateľ je povinný o príjemcoch, ak to požaduje, informovať aj dotknutú osobu.

K § 26

odsek 1

S cieľom posilniť kontrolu nad vlastnými osobnými údajmi má dotknutá osoba v prípade, že sa spracúvanie osobných údajov vykonáva u prevádzkovateľa automatizovanými prostriedkami spracúvania, možnosť získať jej osobné údaje, ktoré poskytla prevádzkovateľovi v štruktúrovanom a interoperabilnom formáte a preniesť ich k ďalšiemu prevádzkovateľovi, a to bez toho, aby prvý prevádzkovateľ, ktorému ich poskytla,  jej v tom akokoľvek bránil alebo ju v tomto práve obmedzoval.

Toto platí v prípadoch, ak spracúvanie osobných údajov týkajúcich sa dotknutej osoby
a)    je založené na súhlase so spracúvaním osobných údajov poskytnutom samotnou dotknutou osobou alebo ak je spracúvanie osobných údajov založené na zmluvnom vzťahu, ktorého je dotknutá osoba zmluvnou stranou;
b)    je vykonávané u prevádzkovateľa automatizovanými prostriedkami spracúvania.

odsek 2

Uplatňovaním práva na prenosnosť osobných údajov nie je dotknuté právo dotknutej osoby požadovať výmaz jej osobných údajov a obmedzenie tohto práva na výmaz, podľa zákona. Právo na prenosnosť údajov nemá viesť k vymazaniu osobných údajov dotknutej osoby, ktoré poskytla na účely plnenia zmluvy, v takom rozsahu a počas takého obdobia, ako sú tieto osobné údaje potrebné na plnenie danej zmluvy. Právo na prenosnosť osobných údajov dotknutej osoby sa uplatňuje na tie jej osobné údaje, na ktorých spracúvanie poskytla dotknutá osoba súhlas alebo ak je spracúvanie potrebné na plnenie zmluvy. Toto právo na prenosnosť osobných údajov sa neuplatní, ak je spracúvanie založené na inom právnom základe, než je súhlas alebo zmluva. Zo samotnej povahy uvedeného práva vyplýva, že by sa nemalo uplatňovať voči prevádzkovateľom, ktorí spracúvajú osobné údaje týkajúce sa dotknutej osoby pri výkone ich verejných úloh, alebo sa nebude uplatňovať, ak je spracúvanie osobných údajov potrebné na plnenie zákonnej povinnosti, ktorá sa na prevádzkovateľa vzťahuje, alebo na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi.
Ak je to technicky možné, mala by mať dotknutá osoba právo na prenos osobných údajov priamo od jedného prevádzkovateľa k druhému prevádzkovateľovi.

odsek 3

Právo na prenosnosť údajov by sa malo vždy dotknúť len konkrétnej dotknutej osoby, ktorá si ho uplatňuje; jeho výkonom nemajú byť dotknuté práva iných osôb.

K § 27

odsek 1

Ak prevádzkovateľ spracúva osobné údaje dotknutej osoby na základe zákona, nakoľko je toto spracúvanie nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi alebo je spracúvanie nevyhnutné na účely oprávnených záujmov sledovaných prevádzkovateľom prípadne treťou stranou a ak nad takýmito záujmami neprevládajú záujmy a práva dotknutej osoby vyžadujúce si ochranu osobných údajov, najmä ak by šlo o ochranu osobných údajov spracúvaných o dieťati alebo ak ide o spracúvanie osobných údajov založených na profilovaní dotknutej osoby, spracúvanie takýchto osobných údajov má dotknutá osoba právo u prevádzkovateľa namietať.
Na základe žiadosti dotknutej osoby, ktorá namieta spracúvanie osobných údajov prevádzkovateľ takto namietané spracúvané osobné údaje nesmie ďalej spracúvať, iba ak by preukázal nevyhnutnosť takéhoto spracúvania a oprávnené dôvody prevažujúce nad záujmami, právami dotknutej osoby alebo by šlo o dôvody, účely spracúvania osobných údajov dotknutej osoby, kedy by spracúvanie osobných údajov dotknutej osoby prevádzkovateľom bolo potrebné na uplatňovanie právnych nárokov.
Právo namietať má dotknutá osoba najmä vtedy ak sa jej situácia súvisiaca so spracúvaním jej osobných údajov dotýka, teda ak sa domnieva, že spracúvanie vykonávané napríklad prevádzkovateľom na účely jeho oprávnených záujmov už obmedzuje jej práva alebo do nich zasahuje, napríklad obťažujúci marketing alebo notifikovanie dotknutej osoby zo strany prevádzkovateľa.

odsek 2 až odsek 4

Dotknutá osoba má právo namietať, ak sa jej osobné údaje spracúvajú na účely priameho marketingu, alebo ak sa jej osobné údaje spracúvajú na účely priameho marketingu vykonávaného formou profilovania.
Ak dotknutá osoba namietala spracúvanie osobných údajov na účely priameho marketingu alebo na účely priameho marketingu formou profilovania, tak prevádzkovateľ osobné údaje tejto dotknutej osoby už na takéto účely spracúvať nesmie.
Na právo namietať spracúvanie osobných údajov podľa odseku 1 a odseku 2 je prevádzkovateľ povinný dotknutú osobu, už pri prvej komunikácii s ňou (t.j. ešte pred získaním osobných údajov od dotknutej osoby ako aj pred samotným spracúvaním osobných údajov tejto dotknutej osoby) jasne, zrozumiteľne a oddelene od iných informácií výslovne upozorniť tak, aby si tohto svojho práva namietať bola vedomá.
Právo dotknutej osoby namietať v súvislosti s používaním služieb informačnej spoločnosti si môže dotknutá osoba uplatniť aj s využitím automatizovaných prostriedkov spracúvania s použitím technických špecifikácií (napr.: použitím na tento účel vytvorených aplikácií a pod.).

odsek 5

Právo namietať spracúvanie osobných údajov má dotknutá osoby z dôvodov týkajúcich sa jej konkrétnej situácie, okrem prípadov ak sa jej osobné údaje spracúvajú na účely vedeckého výskumu alebo historického výskumu, na štatistické účely, ak sú dodržané primerané záruky pre jej práva ako dotknutej osoby, ktorými sa rozumie napríklad pseudonymizácia. Právo namietať spracúvanie osobných údajov na účely uvedené v tomto odseku dotknutá osoba nemá tiež ak je spracúvanie jej osobných údajov nevyhnutné na plnenie úlohy z dôvodov verejného záujmu podľa príslušného ustanovenia tohto zákona.

K § 28

odsek 1

Rozhodnutím založeným na automatizovanom spracúvaní osobných údajov je také rozhodnutie, ktoré je za využitia spracúvania osobných údajov dotknutej osoby vykonané a vydané bez zásahu človeka, napríklad posúdenie nároku na príspevok iba na základe zadania stanovených parametrov a následného automatizovaného vyhodnotenia nároku aplikáciou alebo na to určeným algoritmom. Ide o generovanie takého rozhodnutia zo strany prevádzkovateľa, ktoré je riadené algoritmom, to znamená, že sa vopred nastavia parametre, ktoré dotknutá osoba odovzdá a ktoré sa do algoritmu zadajú, vstupné dáta, následne celý proces vyhodnocovania prebehne bez ľudského zásahu, automatizovane. V praxi sa stretávame s takýmito postupmi čoraz častejšia napríklad pri vyhodnocovaní toho, či osoba spĺňa kritériá, napríklad, či má dostatočné príjmy na to, aby dosiahla na bankový produkt, zároveň algoritmus je schopný jej osobné údaje porovnať s osobnými údajmi ľudí v databázach, ktorí sú voči bankám dlžníkmi. Všetko je vykonávané automatizovane, na základe nastavenia algoritmov. Takto generované rozhodnutie môže mať na dotknutú osobu významný vplyv (najmä vo forme významného finančného a právneho dopadu, kedy na základe takéhoto rozhodnutia môžu byť dotknutej osobe zmenený jej finančný status k horšiemu, napríklad rozhodnutím o nepriznaní príspevku alebo o povinnosti zaplatiť pokutu a pod.) jej osobe uložené povinnosti alebo sa môže rozhodnúť o , nakoľko automatizovane sa rozhoduje o jej právach a prípadných povinnostiach. Na základe automatizovaného spracúvania osobných údajov týkajúcich sa dotknutej osoby bude vydané rozhodnutie, ktoré bude mať na dotknutú osobu zásadný vplyv a ktoré bude voči nej zakladať právne účinky, nezriedka aj s významným finančným, či osobným dopadom. Je preto potrebné zaistiť, aby dotknutá osoba mohla voči takémuto automatizovanému rozhodnutiu namietať a požiadať prevádzkovateľa o preverenie jeho výsledku, ktoré bude vykonané inak, ako algoritmom, teda automatizovane, najlepšie formou kontroly prostredníctvom oprávnenej osoby prevádzkovateľa; teda ľudským, neautomatizovaným, zásahom do inak automatizovanej schémy tvorby rozhodovania.

odsek 2 a odsek 3

Dotknutá osoba nemá právo namietať automatizované individuálne rozhodovanie podľa odseku 1, ak je dané rozhodnutie nevyhnutné na uzavretie alebo plnenie zmluvy medzi dotknutou osobou a prevádzkovateľom alebo ak je založené na výslovnom súhlase dotknutej osoby s takouto formou jeho spracúvania. Automatizované rozhodovanie zasahuje do práv dotknutej osoby vo veľkej miere je preto potrebné, aby boli práva dotknutej osoby zaistené a aby v prípadoch automatizovaného rozhodovania podľa tohto zákona mala dotknutá osoba právo sa voči takému automatizovanému rozhodovaniu vyjadriť a právo napadnúť dané rozhodnutie. V prípade, ak by sa dotknutá osoba musela automaticky takému rozhodnutiu podrobiť a nemohla by proti nemu protestovať, bol by to závažný a zásadný zásah do jej práv, ktorý by z hľadiska práv a povinností bol veľmi nevyvážený; zachovanie práva na vyjadrenie sa voči takémuto rozhodnutiu a právo voči nemu namietať, protestovať, je zákonné a posilňuje to dôveru dotknutej osoby v možnosti preverenia týchto typov spracúvania osobných údajov dotknutej osoby, ktoré môžu mať na dotknutú osobu vplyv. 

odsek 4

Rozhodnutie založené na automatizovanom spracúvaní osobných údajov, ktoré môže mať na dotknutú osobu významný vplyv  a ktoré dotknuté osoby nemôžu namietať podľa odseku 2 tohto ustanovenia
sa nesmie zakladať na spracúvaní osobitnej kategórie osobných údajov, iba v prípade, ak platí, že na spracúvanie osobitnej kategórie osobných údajov dala dotknutá osoba výslovný súhlas alebo je takéto spracúvanie nevyhnutné z dôvodov významného verejného záujmu na základe osobitného predpisu, alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, ktoré vzhľadom na sledovaný cieľ spracúvania osobných údajov rešpektujú práva dotknutých osôb, a stanovuje vhodné a konkrétne opatrenia na zabezpečenie práv dotknutých osôb.

K § 29

odsek 1

Všetky informácie určené dotknutej osobe zo strany prevádzkovateľa jej majú byť poskytnuté v stručnej, ľahko prístupnej ľahko pochopiteľnej forme, formulované jasne a jednoducho, a ak je to vhodné a technicky možné aj ľahko zrakovo vnímateľné. Týka sa to najmä situácií, v ktorých veľký počet účastníkov a technologická zložitosť činnosti sťažujú dotknutej osobe zistiť a pochopiť, kým a na aké účely boli jej osobné údaje získané. Osobitne je potrebné, aby prevádzkovateľ uplatnil zásadu transparentnosti pri poskytovaní informácií deťom, ktorým je poskytovanie informácií potrebné prispôsobiť ich veku a rozumovým schopnostiam. Prevádzkovateľ tieto povinnosti môže splniť zverejnením adekvátnych informácií na svojom webovom sídle, ich fyzickou dostupnosťou v papierovej podobe vo priestoroch svojich pobočiek, ich distribúciou  formou e-mailov alebo doručením poštou, prípadne priamym informovaním prostredníctvom svojich zamestnancov. Prevádzkovateľ môže skombinovať niekoľko foriem informovania dotknutých osôb tak, aby sa ich informovanosť zaručila aj viacerými spôsobmi súbežne. Transparentnosť informácií najmä pri uplatňovaní si práv dotknutej osoby je osobitne dôležitá. Ustanovenie taxatívne nestanovuje v akej forme má prevádzkovateľ informovanie dotknutej osoby vykonávať, o tom vzhľadom na spracovateľské operácie a svoje možnosti rozhoduje prevádzkovateľ sám, zákon mu iba stanovuje podmienky, ktoré je potrebné, aby pri plnení informačnej povinnosti dodržal.

odsek 2

Prevádzkovateľ uľahčuje dotknutej osobe výkon jej práv, ak si ich voči nemu uplatňuje. V prípade ak prevádzkovateľ nevie identifikovať dotknutú osobu, ktorá si uplatní právo dotknutej osoby a ona mu poskytne osobné údaje na účely jej identifikácie a ľahšieho uplatnenia si svojich práv dotknutej osoby, nesmie prevádzkovateľ takúto jej iniciatívu odmietnuť, a to práve z dôvodu, že ide o uplatnenie si práv dotknutej osoby. Prevádzkovateľ nemôže vyhovieť právu dotknutej osoby iba vtedy, ak preukáže, že dotknutú osobu napriek svojej maximálne vynaloženej snahe, nie je schopný identifikovať.

odsek 3 a odsek 4

Na základe žiadosti dotknutej osoby je prevádzkovateľ povinný konať a prijať adekvátne opatrenia, o ktorých je povinný dotknutú osobu informovať najneskôr do mesiaca od doručenia žiadosti dotknutej osoby. V odôvodnených prípadoch (napríklad zlučovanie podniku, prechod alebo prevod časti prevádzkovateľa na iného prevádzkovateľa v zmysle Obchodného zákonníka, kedy môže byť dočasne jeho informačné systémy paralyzované) môže prevádzkovateľ lehotu predĺžiť, a to o dva mesiace, pričom každé predĺženie lehoty je povinný dotknutej osobe oznámiť. S ohľadom na zásady spracúvania, ako aj transparentnosť postupov pri plnení si informačnej povinnosti by takéto predĺženie lehoty na plnenie si tejto informačnej povinnosti malo byť len zo závažných dôvodov na strane prevádzkovateľa, napríklad s ohľadom na časovú náročnosť prijatia primeraných a účinných bezpečnostných opatrení potrebných  v súvislosti s uplatnením práva dotknutej osoby. Pokiaľ ide o spôsob konania a informovania zo strany prevádzkovateľa, ten by mal rešpektovať prostriedky, aké použila dotknutá osoba na podanie žiadosti, teda ak sa táto na prevádzkovateľa obrátila elektronicky, mal by jej odpovedať elektronicky, ak si dotknutá osoba nestanovila iný spôsob, ktorý jej vyhovuje viac. V prípade, že na základe žiadosti dotknutej osoby prevádzkovateľ nekonal, neprijal žiadne opatrenia, je povinný o tom dotknutú osobu informovať a taktiež jej uviesť dôvody, pre ktoré nekonal a tiež ju informovať o tom, že sa môže podať návrh na začatie konanie na úrad.

odsek 5 a odsek 6

Žiadosť dotknutej osoby je prevádzkovateľ povinný vybaviť bezplatne. V prípade ak sú žiadosti dotknutej osoby opakujúceho sa charakteru a rovnakého obsahu alebo sú neprimerané a neopodstatnené a dotknutá osoba prípadne ani na základe výzvy prevádzkovateľa ich obsah nedoplní, prevádzkovateľ môže ich vybavenie spoplatniť, a to vo výške administratívnych nákladov potrebných na ich vybavenie, prípadne môže prevádzkovateľ odmietnuť na základe takejto žiadosti dotknutej osoby konať. Bremeno preukázania toho, že žiadosť dotknutej osoby bola neprimeraná alebo neopodstatnená znáša prevádzkovateľ.

odsek 7

Ak sa na prevádzkovateľa so žiadosťou dotknutej osoby obráti taká dotknutá osoba, ktorú na základe poskytnutých údajov o nej nie je schopný prevádzkovateľ jednoznačne identifikovať je oprávnený, na účely riadneho vybavenia žiadosti dotknutej osoby ju požiadať o poskytnutie dodatočných, doplňujúcich informácií na účely potvrdenia jej totožnosti.

odsek 8

Prevádzkovateľ môže informácie adresované dotknutej osobe podľa tohto zákona poskytnúť v písomnej podobe, ale taktiež formou štandardizovaných ikon, ktoré, ak sú použité v elektronickej podobe musia byť strojovo čitateľné. Ikony nemajú nahrádzať textovú informáciu, majú ju iba dopĺňať.

odsek 9

Obsah informácií obsiahnutých v štandardizovaných ikonách ustanoví úrad, ak to bude potrebné, vo vykonávacom predpise.

K § 30

Práva dotknutej osoby nie sú absolútne a v demokratickej spoločnosti sú opatrenia, ktorými sa sleduje vyššie dobro, vyšší záujem a v prípade ktorých je možné za zákonom stanovených podmienok obmedziť aj právo konkrétnej dotknutej osoby. Obmedzenie práv dotknutej osoby je možné len na základe osobitného predpisu a len ak takéto obmedzenie rešpektuje podstatu základných práv a je nevyhnutným a primeraným opatrením v demokratickej spoločnosti s cieľom zaistiť v ustanovení taxatívne uvedené opatrenia, vyššie dobrá pre spoločnosť na úkor obmedzenia práva jednej dotknutej osoby. Takto je možné obmedziť rozsah práv a povinností dotknutej osoby v týchto oblastiach:
a)    informačnej povinnosti prevádzkovateľa,
b)    práv dotknutej osoby, ako právo na opravu, právo na vymazanie, právo na obmedzenie spracúvania, právo na prenosnosť údajov, právo namietať, právo namietať proti automatizovanému individuálnemu rozhodovaniu, vrátane profilovania,
c)    oznámenia porušenia ochrany osobných údajov dotknutej osoby,
d)    zásad spracúvania osobných údajov, ak súvisia s informačnou povinnosťou alebo právami dotknutej osoby.
Na to, aby bolo obmedzenie práva dotknutej osoby možné, je potrebné, aby dôvody na základe ktorých sa má obmedzenie vykonať boli ustanovené v osobitných predpisoch a tieto boli dostatočne precizované čo do obsahu a popisu dôvodov, na základe ktorých je možné právo dotknutej osoby obmedziť. Odsek 1 výslovne a taxatívne uvádza situácie, kedy na základe tohto zákona je možné práva dotknutej osoby obmedziť na účely dosiahnutia vyššieho dobra v prospech spoločnosti alebo širšej skupiny ľudí. Odsek 2 stanovuje ako tieto podmienky musia byť v osobitnej právnej norme so silou minimálne zákona naformulované, aby boli ako podmienky obmedzenia práv dotknutej osoby zákonné.

K § 31

Zákonodarca stanovuje povinnosti a zodpovednosť prevádzkovateľa v súvislosti so spracúvaním osobných údajov, ktoré prevádzkovateľ vykonáva sám, spoločne s iným prevádzkovateľom alebo ktoré vykonáva v jeho mene prostredníctvom sprostredkovateľa. Prevádzkovateľ nesie zodpovednosť za zákonné spracúvanie osobných údajov. Je povinný prijať primerané a účinné opatrenia a má povinnosť vedieť preukázať súlad spracúvania s týmto zákonom, ako aj účinnosť a primeranosť ním prijatých opatrení na ochranu spracúvaných osobných údajov. Prevádzkovateľ je povinný vytvoriť také podmienky fungovania ním prevádzkovaných informačných systémov, ktoré zaručia ochranu osobných údajov pred ich poškodením, zničením, stratou, zmenou, neoprávneným prístupom, zneužitím a sprístupnením, poskytnutím alebo zverejnením, ako aj pred akýmikoľvek inými neprípustnými spôsobmi spracúvania.

Na preukázanie súladu postupov prevádzkovateľa s týmto zákonom prevádzkovateľovi môžu slúžiť úradom schválené kódexy správania, ku ktorým môže pristúpiť a deklarovať tak splnenie istého štandardu ochrany osobných údajov alebo certifikát vydaný úradom alebo certifikačným subjektom. Iným opatrením prevádzkovateľa, ako môže zaistiť bezpečnosť spracúvaných osobných údajov je, že bude pravidelne vykonávať preverovania spracúvaných osobných údajov s ohľadom na trvanie ich účelu a toho, či bol účel spracúvania už dosiahnutý, alebo nie, v prípade ak sa tak stalo má tiež pravidelne kontrolovať a vykonávať preverovanie a prípadnú potrebu vyraďovania záznamov z registratúrneho strediska, prípadne ich zaraďovanie do predarchívnej a následne archívnej starostlivosti. Prevádzkovateľ je tiež na zaistenie bezpečnosti a na prijatie svojej zodpovednosti a deklarovania plnenia opatrení povinný prijať adekvátne politiky ochrany osobných údajov smerom dovnútra aj navonok, ktoré možno považovať za jednu z foriem bezpečnostných opatrení, najmä po organizačnej a personálnej stránke.

K § 32

Prevádzkovateľ by mal nastaviť procesy a postupy ochrany osobných údajov a ich spracúvania, ktoré budú spĺňať najmä zásady špecificky navrhnutej ochrany údajov a štandardnej ochrany údajov.
Prevádzkovateľ je povinný prijať zodpovedajúci stupeň bezpečnostných opatrení (primerané a účinné opatrenia) k jednotlivým zisteným rizikám, ktoré súvisia so spracúvaním osobných údajov, na ich zmiernenie. Takýmito opatreniami sú štandardné bezpečnostné technické a organizačné opatrenia, ako napríklad pseudonymizácia osobných údajov, šifrovanie, logovanie,  minimalizácia údajov, poučenie osôb vykonávajúcich spracovateľské operácie, prístupová a kľúčová politika zohľadňujúca dôvernosť osobných údajov, zaistenie kontinuity spracúvania osobných údajov v prípade bezpečnostných incidentov a havárii, mlčanlivosť zamestnancov.
Zároveň zákon zakotvuje požiadavku, aby prevádzkovateľ vo vzťahu k jeho spracovateľským operáciám a rizikám, prijal takú špecificky navrhnutú ochranu osobných údajov zohľadňujúcu technické ako aj organizačné bezpečnostné opatrenia, ktorá zodpovedá najnovším poznatkom pri zohľadnení výšky nákladov a možností prevádzkovateľa na prijatie a vykonávanie týchto bezpečnostných opatrení. Táto požiadavka by sa mala zohľadniť najmä vo vzťahu k aplikáciám, službám a produktom, ktoré sú založené na spracúvaní osobných údajov, nakoľko je takúto ochranu a bezpečnostné opatrenia prevádzkovateľ povinný aplikovať a navrhovať už v čase, keď spracovateľskú operáciu kreuje, alebo určuje budúci účel spracúvania osobných údajov.  Platí, že  špecificky navrhnutá ochrana osobných údajov sa musí uplatniť na všetky spracovateľské činnosti v rámci produktového vybavenia zahŕňajúce spracúvanie osobných údajov, pokiaľ ide o už existujúce, tak je nevyhnutné, aby prevádzkovateľ vykonal všetky opatrenia na prijatie takýchto bezpečnostných opatrení, no s ohľadom na technické možnosti.
Stupeň špecifickej a štandardnej ochrany osobných údajov prijatý prevádzkovateľom môže deklarovať napríklad pristúpením k schválenému kódexu správania alebo certifikátu.
K § 33

Pokiaľ nie je podiel zodpovednosti spoločných prevádzkovateľov určený osobitným predpisom, zaväzuje toto ustanovenie dvoch a viacerých prevádzkovateľov, ktorí spoločne určili účel a podmienky spracúvania osobných údajov, upraviť vzájomné zodpovednostné vzťahy pri plnení práv a povinností podľa tohto zákona vzájomnou dohodou, zmluvou. V dohode sú spoloční prevádzkovatelia povinní určiť kontaktné miesto pre dotknutú osobu, ktorej osobné údaje spracúvajú a poskytnúť tejto dotknutej osobe základné časti tejto dohody, najmä identifikáciu jednotlivých prevádzkovateľov, predmet zmluvy, ustanovenia upravujúce delenie ich vzájomných právomocí vo vzťahu k dotknutej osoby a jej osobným údajov, v dohode tiež musia uviesť a stanoviť kontaktné miesto, kde si dotknutá osoba môže uplatniť svoje práva. Dohoda spoločných prevádzkovateľov má mať takú formu, aby jej existenciu vedeli hodnoverne preukázať, môže byť písomná, uzatvorená elektronicky alebo inak tak, aby v prípade pochybností jej existenciu mohol každý z prevádzkovateľov preukázať, ako aj splnenie si prístupu a poskytnutia informácií  dotknutej osobe.
Bez ohľadu na rozdelenie zodpovednosti spoločnými prevádzkovateľmi v ich vzájomnej dohode, zmluve, dotknutá osoba má právo uplatniť si svoje právo u každého prevádzkovateľa a svoj nárok voči každému prevádzkovateľovi.

K § 34

V prípade, ak sa prevádzkovateľ rozhodne vykonávať svoje spracovateľské činnosti prostredníctvom inej osoby, je povinný takúto inú osobu, sprostredkovateľa, poveriť na základe zmluvy, plnej moci, poverenia či iného právneho aktu podľa osobitného predpisu. Poverenie je chápané ako samostatný právny úkon, alebo ako súčasť iného právneho aktu zakladajúceho práva a povinnosti, napríklad zmluvy. Takto poverený sprostredkovateľ vykonáva spracovateľské činnosti len na základe pokynov prevádzkovateľa a v jeho mene v súlade s týmto zákonom. Zmluva v súlade so zákonom musí obsahovať najmä predmet a dobu spracúvania, podmienky a účel spracúvania, zoznam alebo rozsah a typ osobných údajov, kategóriu dotknutých osôb, povinnosti a práva prevádzkovateľa a ďalšie náležitosti podľa tohto zákona.

V prípade, ak osoba vykonáva spracovateľské činnosti v mene inej osoby, prevádzkovateľa, bez poverenia týmto prevádzkovateľom podľa tohto zákona, táto osoba má postavenie prevádzkovateľa a všetky povinnosti a zodpovednosti z tohto zákona plynúce prevádzkovateľovi.

Prevádzkovateľ má poverovať spracúvaním osobných údajov vo svojom mene len takých sprostredkovateľov, jednotlivo, alebo istú kategóriu sprostredkovateľov, ktorí poskytujú dostatočné záruky, a to najmä pokiaľ ide o odborné znalosti, spoľahlivosť a zdroje na to, že prijmú technické a organizačné opatrenia, ktoré budú spĺňať požiadavky tohto zákona, iného osobitného zákona vrátane požiadavky bezpečnosti spracúvania. Prevádzkovateľ nemôže zveriť spracúvanie osobných údajov sprostredkovateľovi, ak by tým mohli byť ohrozené práva a právom chránené záujmy dotknutých osôb. Ako prvok na preukázanie súladu s povinnosťami prevádzkovateľa sa môže použiť dodržiavanie úradom schváleného kódexu správania alebo certifikátu vydaného sprostredkovateľovi.

Nakoľko osobami oprávnenými spracúvať osobné údaje sú výlučne prevádzkovateľ a sprostredkovateľ, je nevyhnutné, aby sprostredkovateľ, takisto ako prevádzkovateľ rešpektoval a dodržiaval právo fyzických osôb, a to právo na ochranu súkromia a ochranu osobných údajov patriacich medzi práva a slobody garantované Ústavou Slovenskej republiky. Toto ustanovenie zaväzuje sprostredkovateľa, aby sa pri výkone spracúvania riadil zmluvou alebo osobitným predpisom, ktorým je viazaný voči prevádzkovateľovi a v ktorých sa stanovuje predmet a doba spracúvania, povaha a účely spracúvania, typ osobných údajov a kategórie dotknutých osôb. Ak bol sprostredkovateľ poverený spracúvaním osobných údajov, rozumie sa tým kontinuálny prechod spracúvania osobných údajov na sprostredkovateľa. Sprostredkovateľ vykonáva všetky úkony smerujúce na dosiahnutie účelu spracúvania v mene prevádzkovateľa.

Pokiaľ sprostredkovateľ zamýšľa zapojiť do spracúvania ďalšieho sprostredkovateľa, tzv. subdodávateľa, je povinný disponovať predchádzajúcim písomným osobitným  alebo všeobecným povolením, schválením zo strany prevádzkovateľa, že takéto zapojenie ďalšieho subjektu do spracúvania je možné. Ustanovenia upravujúce požiadavky na vzťah medzi prevádzkovateľom a sprostredkovateľom podľa tohto zákona sa obdobne použijú na vzťah medzi sprostredkovateľom a ďalším sprostredkovateľom (subdodávateľom).

V súlade so zásadou zodpovednosti za spracúvanie osobných údajov zodpovedá vždy prevádzkovateľ, t. j. aj za spracúvanie osobných údajov sprostredkovateľom, prípadne ďalším sprostredkovateľom (subdodávateľom). Sprostredkovateľ za spracúvanie osobných údajov dohodnutým spôsobom zodpovedá prevádzkovateľovi; v prípade ak je ustanovený ďalší sprostredkovateľ (subdodávateľ), tak tento zodpovedá sprostredkovateľovi. Sprostredkovateľ pri spracúvaní osobných údajov v mene prevádzkovateľa sám zodpovedá len za tie povinnosti, ktoré sú sprostredkovateľovi týmto zákonom priamo uložené, napríklad vedenie záznamov o spracovateľských činnostiach, poskytovanie súčinnosti úradu podľa tohto zákona alebo osobitného predpisu, povinnosť prijatia primeraných a účinných bezpečnostných opatrení, povinnosť oznámenia porušenia ochrany osobných údajov prevádzkovateľovi, povinnosť určiť zodpovednú osobu, v osobitných prípadoch povinnosť dodržiavať schválené kódexy správania, vydaný certifikát, či prípadne udelenú akreditáciu a dodržiavať podmienky pri prenosoch osobných údajov.

Ak sa sprostredkovateľ odchýli od pokynov prevádzkovateľa alebo bude spracúvanie osobných údajov vykonávať inak, ako bolo dohodnuté, najmä však rozšíri alebo zúži účel spracúvania alebo ho inak pozmení stáva sa na účely tohto zákona sám prevádzkovateľom a zodpovedá aj za prípadné škody, ktoré  takýmto spracúvaním dotknutým osobám vzniknú.

Po ukončení spracúvania v mene prevádzkovateľa má sprostredkovateľ podľa rozhodnutia prevádzkovateľa vrátiť alebo vymazať osobné údaje, pokiaľ podľa osobitného predpisu neexistuje požiadavka na ich uchovanie.

K § 35

odsek 1

Ak prevádzkovateľ alebo sprostredkovateľ nemá sídlo, miesto podnikania, organizačnú zložku, prevádzkareň alebo trvalý pobyt na území Únie, a vykonáva spracovateľské činnosti, ktoré súvisia s ponukou tovaru alebo služieb dotknutým osobám nachádzajúcimi sa na území Slovenskej republiky bez ohľadu na to, či sa od dotknutej osoby vyžaduje platba, alebo vykonávané spracúvanie súvisí so sledovaním správania dotknutých osôb nachádzajúcich sa na území Slovenskej republiky, je tento prevádzkovateľ alebo sprostredkovateľ povinný písomne poveriť zástupcu so sídlom alebo trvalým pobytom na území jedného z členských štátov Únie.

odsek 2

Ak spracúvanie osobných údajov vykonáva prevádzkovateľ alebo sprostredkovateľ povinnosť ustanoviť zástupcu prevádzkovateľa v členskom štáte Európskej únie sa ho netýka, ak je ním vykonávané spracúvanie osobných údajov občasné a nezahŕňa vo veľkom rozsahu spracúvanie osobitných kategórií osobných údajov alebo spracúvanie osobných údajov týkajúcich sa uznania viny za trestné činy a priestupky, a nie je pravdepodobné, že takéto jeho spracúvanie povedie k riziku pre práva fyzických osôb, pričom sa zohľadní povaha, kontext, rozsah a účely spracúvania. Ak spracúvanie osobných údajov vykonáva prevádzkovateľ alebo sprostredkovateľ povinnosť ustanoviť zástupcu prevádzkovateľa v členskom štáte Európskej únie sa ho netýka, ak ide o orgán verejnej moci alebo verejnoprávnu inštitúciu.

odsek 3

Zástupca koná v mene prevádzkovateľa alebo sprostredkovateľa a úrad a dotknuté osoby sa môžu naňho kedykoľvek obrátiť. Uvedené má byť výslovne určené písomným poverením prevádzkovateľa alebo sprostredkovateľa. V tomto poverení prevádzkovateľ alebo sprostredkovateľ určí svojmu zástupcovi jeho úlohy, okrem iného aj spoluprácu s úradom, a to v súvislosti s opatreniami prijatými na zabezpečenie súladu s týmto zákonom.

odsek 4

Zodpovednosť alebo povinnosť prevádzkovateľa alebo sprostredkovateľa podľa tohto zákona poverením zástupcu zostáva zachovaná, tak ako aj právo dotknutej osoby podať návrh na začatie konania podľa § 101 tohto zákona. Tiež zostáva zachované právo na právnu ochranu dotknutej osoby a postup podľa  Správneho súdneho poriadku, ktoré dotknutá osoba môže uplatniť proti samotnému prevádzkovateľovi alebo sprostredkovateľovi a nie ich zástupcovi.

K § 36

Sprostredkovateľ a každá osoba konajúca na základe zmluvy alebo iného právneho aktu, napríklad poverenia prevádzkovateľom alebo sprostredkovateľom, majúca na základe tejto zmluvy alebo poverenia prístup k osobným údajom, môže tieto spracúvať len na základe daných pokynov alebo poverenia prevádzkovateľa alebo sprostredkovateľa alebo podľa osobitného predpisu, alebo medzinárodnej zmluvy ktorou je Slovenská republika viazaná ak osobitný zákon alebo zmluva stanovuje konkrétne podmienky spracúvania.

K § 37

Ustanovenia určujú povinnosť prevádzkovateľa alebo sprostredkovateľa  a v príslušnom prípade aj zástupcu prevádzkovateľa a sprostredkovateľa viesť a uchovávať záznamy o spracovateľských činnostiach, za ktoré sú zodpovední a ktoré vykonávajú, na účely preukázania súladu s týmto zákonom. Obsah záznamov je taxatívne určený týmto zákonom, pričom je povinnosť viesť záznamy v písomnej podobe alebo v elektronickej podobe. Prevádzkovateľ, sprostredkovateľ a v niektorých prípadoch aj zástupca prevádzkovateľa a sprostredkovateľa sú povinní na požiadanie úradu mu tieto záznamy sprístupniť.

Prevádzkovateľ, sprostredkovateľ a ich zástupca nie je povinný viesť záznamy o spracovateľských činnostiach, ak kumulatívne spĺňa zákonom stanovené podmienky, a to
a)    zamestnáva menej ako 250 fyzických osôb,
b)    nie je pravdepodobné, že spracúvanie, ktoré vykonáva, povedie k riziku pre práva dotknutej osoby,
c)    je toto spracúvanie príležitostné,
d)    nezahŕňa osobitné kategórie osobných údajov,
e)    nezahŕňa osobné údaje týkajúce sa uznania viny za trestné činy a priestupky.

Úrad na svojom webovom sídle zverejní vzor záznamu o spracovateľských činnostiach.

K § 38

Prevádzkovateľ alebo sprostredkovateľ sú povinní nahradiť akúkoľvek škodu, ktorú môže dotknutá osoba utrpieť v dôsledku spracúvania osobných údajov, ktoré je v rozpore s týmto zákonom. Prevádzkovateľ alebo sprostredkovateľ nemajú takúto zodpovednosť, ak preukážu, že za škodu nenesú žiadnu zodpovednosť. Dotknuté osoby za utrpenú škodu majú dostať náhradu. Ak sú prevádzkovatelia alebo sprostredkovatelia zapojení do rovnakého spracúvania, zodpovedajú všetci spoločne a nerozdielne za celú škodu. Každý prevádzkovateľ alebo sprostredkovateľ, ktorý nahradil celú škodu, môže následne začať regresné konanie voči iným prevádzkovateľom alebo sprostredkovateľom zapojeným do toho istého spracúvania.

K § 39

Prevádzkovateľ a sprostredkovateľ sú povinní zohľadniť bezpečnostné riziká v rámci technických a organizačných opatrení, ktoré sú povinní prijať na účely zabezpečenia ochrany spracúvaných osobných údajov na účely minimalizácie možného narušenia spracúvania a tak vzniku škody alebo ohrozenia spracúvaných osobných údajov pre dotknuté osoby. Prijatými bezpečnostnými opatreniami sa má zaistiť primeraná úroveň bezpečnosti osobných údajov vrátane ich dôvernosti, integrity a dostupnosti, pričom by sa mali zohľadniť najnovšie poznatky a náklady na vykonanie opatrení ako aj hroziace riziká a povaha osobných údajov, ktoré sa prijatými bezpečnostnými opatreniami majú chrániť.
Na základe uvedeného prevádzkovateľ, ako aj sprostredkovateľ, zmapuje všetky spracovateľské činnosti v rámci  cyklu osobných údajov, t.j. proces získania osobných údajov do vnútorného prostredia prevádzkovateľa alebo sprostredkovateľa, priebeh nakladania s osobnými údajmi v prostredí prevádzkovateľa alebo sprostredkovateľa pri vykonávaní hlavnej ako aj vedľajšej či príležitostnej činnosti prevádzkovateľom alebo sprostredkovateľom, uchovávanie, likvidácia a uvoľnenie osobných údajov z vnútorného priestoru prevádzkovateľa – napr. poskytnutie tretím stranám, zverejnenie, prenos do tretích krajín alebo medzinárodnej organizácii.
Na základe zmapovania cyklu osobných údajov prevádzkovateľ alebo sprostredkovateľ objektívne posúdi všetky riziká súvisiace so spracúvaním osobných údajov, ako napríklad
a)    pravdepodobnosť a závažnosť rizika v závislosti od povahy, rozsahu, kontextu a účelov spracúvania osobných údajov,
b)    riziká spojené so spracúvaním osobných údajov v dôsledku  ich náhodného alebo protiprávneho zničenia, straty, zmeny, neoprávneného poskytnutia,  neoprávneného poskytnutia prenášaných osobných údajov,  neoprávneného prístupu k osobným údajom,
c)    dopady súvisiace s rizikami spracúvania ako napríklad ujma na zdraví, majetková alebo nemajetková ujmu, strata kontroly nad osobnými údajmi, obmedzenie práv dotknutých osôb, krádež identity, podvod, finančná strata, neoprávnená reverzná pseudonymizácia, poškodenie dobrého mena, strata dôvernosti osobných údajov chránených profesijným tajomstvom, alebo akékoľvek sociálne alebo hospodárske znevýhodnenie dotknutej osoby.
Na základe takéhoto posúdenia rizika prevádzkovateľ alebo sprostredkovateľ následne príjme zodpovedajúce  primerané a účinné bezpečnostné opatrenia, a to  napríklad
a)    technické, organizačné a personálne bezpečnostné opatrenia s ohľadom na účel spracúvania, zásady spracúvania osobných údajov, množstva osobných údajov, rozsahu osobných údajov, doby uchovávania a dostupnosti osobných údajov, ako napríklad pseudonymizáciu, šifrovanie, logovanie,  minimalizácia údajov, poučenie, prístupová a kľúčová politika dôvernosti osobných údajov, dostupnosť k údajom dotknutou osobou v rámci zásady transparentného prístupu a výkonu práv dotknutou osobou, kontinuita spracúvania v prípade bezpečnostných incidentov, mlčanlivosť,
b)    interné bezpečnostné pravidlá a postupy,
c)    uskutočňovanie penetračných testov na identifikáciu možných útokov na osobné údaje,
d)    vykonávanie testovacej, posudzovacej a hodnotiacej činnosti s ohľadom na cyklus spracúvania osobných údajov.

Prevádzkovateľ alebo sprostredkovateľ má pri spracúvaní osobných údajov prijať také bezpečnostné opatrenia, aby bol schopný v primeranej miere predchádzať bezpečnostným incidentom, a to tak fyzickým ako aj technickým, včas ich identifikovať s cieľom minimalizovať riziko narušenia dôvernosti, integrity a dostupnosti spracúvaných osobných údajov a tiež s cieľom minimalizovať prípadné škody, ktoré vznikli alebo môžu vzniknúť v dôsledku bezpečnostného incidentu na právach dotknutých osôb. Fyzickým incidentom rozumieme zlyhanie ľudského faktora, napríklad porušenie nastavených politík ochrany, porušenie „čínskych múrov“, vykonanie operácie, na ktorú osoba nemala oprávnenie, alebo aj len fyzická neopatrnosť zamestnanca, obliatie zariadenie, ktoré na istú dobu znefunkční chod prevádzkovateľových informačných systémov osobných údajov a môže tak ohroziť integritu spracúvaných osobných údajov. Technický incident je zlyhanie nastavených automatizovaných procesov, prípadne fyzické zlyhanie techniky v dôsledku opotrebovanie alebo výpadku elektrickej energie.

Prevádzkovateľ a aj sprostredkovateľ je povinný poučiť každú fyzickú osobu, ktorá, ako oprávnená osoba, vykonáva pre prevádzkovateľa alebo sprostredkovateľa spracovateľské činnosti, ako aj iné fyzické osoby, ktoré vykonávajú spracovateľské činnosti pre prevádzkovateľa alebo sprostredkovateľa na základe poverenia a majú prístup k osobným údajom prevádzkovateľa alebo sprostredkovateľa, aby dodržiavali a vykonávali spracovateľské operácie len na základe pokynov prevádzkovateľa alebo na základe osobitného predpisu, na základe ktorého táto fyzická osoba osobné údaje spracúva. Na základe uvedeného platí, že  povinnosť poučiť fyzickú osobu o dodržiavaní pokynov má tak prevádzkovateľ, ako aj sprostredkovateľ voči „svojim“ fyzickým osobám, ale povinnosť určiť pokyny, ktoré majú tieto fyzické osoby dodržiavať, má len prevádzkovateľ.

K § 40

Prevádzkovateľ alebo sprostredkovateľ spracúva osobné údaje dotknutej osoby. Obaja, tak prevádzkovateľ, ako aj sprostredkovateľ, sú v závislosti od toho, aké osobné údaje spracúvajú, povinní prijať ich adekvátnu ochranu a zamedziť alebo eliminovať na najnižšiu možnú mieru riziko ohrozenia spracúvaných osobných údajov, osobitne osobných údajov osobitnej kategórie. Môžu nastať situácie, kedy tak prevádzkovateľ, ako ani sprostredkovateľ napriek všetkej svojej odbornej starostlivosti, nebudú schopní zaistiť úplnú ochranu nimi spracúvaných osobných údajov tak, aby eliminovali všetky riziká a dôjde k porušeniu ochrany osobných údajov. V takom prípade je prevádzkovateľ povinný,  hneď ako sa o porušení bezpečnosti ním spracúvaných osobných údajov dozvie, analyzovať dané porušenie bezpečnostných opatrení, možný bezpečnostný incident, posúdiť jeho závažnosť a posúdiť,  či je spôsobilý viesť k riziku pre práva dotknutých osôb, teda či ho možno klasifikovať ako taký bezpečnostný incident ohrozujúci spracúvané osobné údaje. Ak prevádzkovateľ zhodnotí, že narušením bezpečnosti došlo zároveň aj ku vzniku bezpečnostného incidentu a ním spracúvané osobné údaje boli narušené, je povinný o tomto porušení ochrany osobných údajov informovať úrad, a to čo najskôr, ako sa o porušení ochrany spracúvaných osobných údajov dozvedel a má ju na základe svojich zistení za preukázanú, najneskôr však maximálne do 72 hodín odkedy sa o porušení dozvedel, t.j. kedy prevádzkovateľ má za preukázané, že k porušeniu ochrany osobných údajov vzniknutým porušením bezpečnostných opatrení došlo. Výnimkou z povinnosti oznámenia porušenia ochrany osobných údajov úradu sú situácie, keď vie prevádzkovateľ, v súlade so zásadou zodpovednosti preukázať, že nie je pravdepodobné, že porušenie ochrany osobných údajov povedie alebo viedlo k riziku pre práva dotknutých osôb. Povinnosť nahlasovať porušenie ochrany osobných údajov cez Jednotný informačný systém kybernetickej bezpečnosti (ďalej len „JISKB“) z tohto zákona prevádzkovateľovi priamo nevyplýva, v prípade ak bude tento JISKB jedným z kanálov nahlasovania porušenia ochrany spracúvaných osobných údajov bude toto upravené v osobitnom zákone o kybernetickej bezpečnosti.

Ak nie je možné, aby prevádzkovateľ oznámenie porušenia ochrany osobných údajov zaslal úradu do 72 hodín odkedy sa o porušení ochrany osobných údajov dozvedel a vyhodnotí ho ako porušenie ochrany osobných údajov s rizikom pre práva fyzických osôb, oznámenie úradu vykoná neskôr, prípadne úradu v danom momente oznámi všetky údaje, ktoré je schopný, ostatné doplní ihneď ako bude môcť. K oznámeniu je povinný  pripojiť odôvodnenie svojho omeškania, pričom informácie môže poskytnúť aj v etapách, no bez ďalšieho zbytočného odkladu.
Prevádzkovateľ v rámci vysporiadania sa s narušením ochrany osobných údajov musí súčasne riešiť viacero situácií. Ak prevádzkovateľ v čase, kedy sa o porušení ochrany osobných údajov dozvie, nie je schopný poskytnúť úradu v stanovenej lehote všetky informácie z dôvodu potreby zistenia všetkých relevantných skutočností, môže oznámenie porušenia ochrany osobných údajov vykonať následne, keď získa o všetkých požadovaných skutočnostiach  vedomosť, alebo ihneď, ako mu to aspoň čiastková náprava situácie dovolí; týmto ustanovením sa však neznižuje jeho povinnosť informovať úrad ihneď alebo maximálne do 72 hodín, ako sa o porušení ochrany osobných údajov dozvie, respektíve neskôr, aj po uplynutí 72 hodín, no s odôvodnením jeho omeškania.

V prípade, ak spracúva osobné údaje v mene prevádzkovateľa sprostredkovateľ, mechanizmus oznamovania porušenia ochrany osobných údajov úradu prebieha tak, že sprostredkovateľ vyrozumie prevádzkovateľa o porušení ochrany osobných údajov čo najskôr ako sa o porušení dozvedel. Následne prevádzkovateľ  porušenie ochrany osobných údajov oznámi úradu, spôsobom podľa zákona.

Oznámenie úradu o tom, že bola porušená ochrana spracúvaných osobných údajov je dôležité a je podstatné  stanoviť obsah takéhoto oznámenia úradu, aby informácie v ňom uvedené mali dostatočnú a potrebnú výpovednú hodnotu a úrad z nich vedel určiť, závažnosť rizika pre práva fyzických osôb. Náležitosti oznámenia porušenia  ochrany osobných údajov úradu ustanovuje odsek 4 tohto ustanovenia.

Porušenie ochrany osobných údajov je vždy závažnou skutočnosťou, bez ohľadu na riziko a mieru dopadu na práva dotknutých osôb.  Každé porušenie ochrany osobných údajov, ktoré prevádzkovateľ identifikuje, je potrebné zdokumentovať, a to aj v prípade, ak vyhodnotí porušenie ochrany osobných údajov, ako také, ktoré nie je potrebné oznamovať úradu. Dôkladné zdokumentovanie bezpečnostných incidentov je nápomocné prevádzkovateľovi, pri správnom nastavení  bezpečnostných opatrení, a tiež je dôležité pre posúdenie úradom,  ako prevádzkovateľ reaguje na bezpečnostné hrozby a porušenia ochrany osobných údajov. To platí tak pre tie porušenia, o ktorých prevádzkovateľ úrad vyrozumel, ako aj pre tie, ktoré úradu v rámci oznámenia porušenia ochrany osobných údajov nebol povinný oznamovať. Súčasťou dokumentovania porušenia ochrany osobných údajov je aj odôvodnenie, že bezpečnostný incident nie je rizikom pre práva fyzických osôb.

K § 41

Prevádzkovateľ, prípadne sprostredkovateľ nesie zodpovednosť za ochranu spracúvaných osobných údajov. V závislosti od toho, aké osobné údaje prevádzkovateľ spracúva, je povinný zabezpečiť ich adekvátnu ochranu tak, aby zamedzil alebo eliminoval na najnižšiu možnú mieru riziko ohrozenia ním spracúvaných osobných údajov, osobitne  osobných údajov osobitnej kategórie. Prevádzkovateľ  ani sprostredkovateľ, napriek všetkej svojej odbornej starostlivosti, nie sú za každých okolností schopní zaistiť úplnú ochranu nimi spracúvaných osobných údajov tak, aby eliminovali všetky riziká a dôjde k porušeniu ochrany osobných údajov. V takom prípade je prevádzkovateľ povinný, akonáhle sa o porušení ochrany ním spracúvaných osobných údajov dozvie, toto porušenie analyzovať, posúdiť jeho závažnosť, a to, či je spôsobilé viesť k riziku pre práva dotknutých osôb. V prípade, ak prevádzkovateľ zhodnotí, že porušenie ochrany osobných údajov pravdepodobne povedie k takémuto riziku , je povinný o tomto porušení ochrany osobných údajov informovať dotknutú osobu, aby mohla prijať, ak je to možné a vhodné, potrebné preventívne opatrenia.
Takéto informovanie dotknutých osôb by sa malo vykonať čo najskôr ako je to možné, aby dotknutá osoba mohla zmierniť bezprostredné riziko škody tým, že vykoná také úkony, ktorými môže aspoň sčasti eliminovať negatívne dôsledky porušenia ochrany jej osobných údajov, napríklad zablokovať svoje platobné karty, zmeniť prístupové heslo a podobne.

Význam informovania dotknutej osoby o narušení ochrany jej osobných údajov u prevádzkovateľa je dôležitý, podstatné je stanoviť obsah takéhoto oznámenia dotknutej osobe tak, aby informácie v ňom uvedené mali dostatočnú a zrozumiteľnú výpovednú hodnotu pre dotknutú osobu. Prevádzkovateľ pri koncipovaní oznámenia o porušení ochrany osobných údajov dotknutej osobe má pamätať na to, že informácie jej má poskytnúť jednoducho a jasne tak, aby dotknutej osobe boli zrozumiteľné, s ohľadom na rôznu kategóriu dotknutých osôb. Nie je preto vhodné, aby prevádzkovateľ pri oznamovaní porušenia ochrany osobných údajov dotknutej osobe poskytol informácie takým spôsobom a používal také technické či právne výrazy, ktoré by dotknutej osobe nemuseli byť zrozumiteľné.  Prevádzkovateľ by mal jazyk oznámenia dotknutej osobe určiť aj podľa toho, aké dotknuté osoby majú byť predmetom informovania, ak je možné ich kategorizovať, informácie by mal poskytnúť primerane ich odhadovaným odborným znalostiam a rozumovým schopnostiam. 

Odsek 3 taxatívne stanovuje výnimky, kedy oznámenie dotknutej osobe nie je vyžadované; na to, aby prevádzkovateľ nemusel plniť oznamovaciu povinnosť voči dotknutej osobe je postačujúce, ak prevádzkovateľ splní minimálne jednu zo stanovených výnimiek.

V prípade, ak prevádzkovateľ oznámil porušenie ochrany osobných údajov úradu, ale ešte tak nevykonal vo vzťahu k dotknutým osobám a hrozí, že porušenie ochrany by mohlo mať vo vzťahu k dotknutým osobám také následky, ktoré by mohli spôsobiť ohrozenie ich práv vo vysokej miere, môže úrad rozhodnúť vo vzťahu k prevádzkovateľovi a nariadiť mu, aby dotknuté osoby informoval o porušení ochrany ich osobných údajov, prípadne môže rozhodnúť, že prevádzkovateľ splnil jednu z podmienok - výnimiek, na základe ktorých podľa odseku 3 tohto ustanovenia nie je povinný o porušení ochrany osobných údajov dotknuté osoby vyrozumieť.
Pravdepodobnosť porušenia ochrany osobných údajov dotknutých osôb úrad posúdi na základe oznámenia prevádzkovateľa o porušení ochrany osobných údajov úradu. Úrad musí zohľadniť všetky v oznámení uvedené skutočnosti a na ich základe prevádzkovateľovi môže nariadiť, aby dotknuté osoby informoval, alebo aby tak nekonal, nakoľko sa v jeho prípade uplatní niektorá z výnimiek podľa odseku 3 tohto ustanovenia.

K § 42

odsek 1

Spracovateľské operácie, ktoré môžu viesť k vysokému riziku pre práva fyzických osôb z dôvodu ich povahy, rozsahu, kontextu a účelu môžu byť najmä tie, ktoré sú realizované prostredníctvom využitia  nových technológií alebo tie, ktoré sú nového druhu a v súvislosti s ktorými prevádzkovateľ ešte nevykonal posúdenie vplyvu na ochranu osobných údajov a ich bezpečnosť. V takých prípadoch je prevádzkovateľ povinný pred začiatkom spracúvania osobných údajov vykonať posúdenie vplyvu spracovateľských činností na ich ochranu, aby posúdil pravdepodobnosť a závažnosť vysokého rizika na práva dotknutých osôb, pričom zohľadní povahu, rozsah, kontext a účely spracúvania a zdroje rizika. Uvedené posúdenie vplyvu by malo zahŕňať najmä plánované opatrenia, záruky a mechanizmy na zmiernenie daného vysokého rizika, na zabezpečenie ochrany osobných údajov a na preukázanie súladu s týmto zákonom. 

Prevádzkovateľ pri posúdení vplyvu na ochranu osobných údajov pri vybraných v zákone určených spracovateľských operáciách, ktoré pravdepodobne povedú k vysokému riziku
a)    posúdi vplyv na ochranu osobných údajov ešte pred samotnou konkrétnou spracovateľskou operáciou, a to napríklad
i.    zmapuje cyklus toku osobných údajov, prostredie, v ktorom dochádza k spracúvaniu, časové rozhranie, podmienky spracúvania, posúdi rozsah, množstvo osobných údajov, účel ich spracúvania, vrátane prípadného oprávneného záujmu, ktorý sleduje,
ii.     posúdi nutnosť a primeranosť spracovateľských operácii vo vzťahu k účelu,
iii.    zhodnotí zdroj, povahu, osobitosť a závažnosť tohto vysokého rizika pre práva dotknutých osôb,
iv.    posúdi aké sú bezpečnostné, personálne/organizačné a technické prostriedky alebo opatrenia, záruky a mechanizmy na zabezpečenie ochrany osobných údajov a na preukázanie súladu so zákonom, najmä pri zohľadnení práv a oprávnených záujmov dotknutých osôb a iných osôb, ktorých sa spracovateľská operácia týka,
b)    zabezpečí posúdenie vplyvu na ochranu osobných údajov aj počas spracúvania týchto osobných údajov napríklad formou auditu ochrany osobných údajov alebo kontroly zodpovednej osoby alebo penetračnými testami pri spracovateľských operáciách,
c)    príjme primerané a účinné bezpečnostné opatrenia na zmiernenie vysokého rizika.

Ak je výsledkom posúdenia vplyvu zhodnotenie, že nie je možné prijať také účinné a primerané opatrenia, ktoré by zmiernili vysoké riziko (s ohľadom na najnovšie technológie a náklady na vykonanie týchto opatrení) vzniká  prevádzkovateľovi povinnosť predchádzajúcej konzultácie s úradom.

Posúdenie vplyvu možno v kontexte bezpečnostných opatrení prirovnať k posúdeniu spracovateľských činností, ktoré podľa predchádzajúcej právnej úpravy, podliehali povinnosti zdokumentovať prijaté primerané bezpečnostné opatrenia v bezpečnostnom projekte. Ak teda prevádzkovateľ podľa predchádzajúcej právnej úpravy má prijaté a zdokumentované bezpečnostné opatrenia alebo bezpečnostný projekt, môže tieto v kontexte vykonávaných spracovateľských operácií prehodnotiť v zmysle nových povinností podľa tohto zákona a najmä v kontexte ako ním identifikované riziká môžu mať dopad na spracúvané osobné údaje dotknutej osoby a na prípadnú škodu, ktorá by dotknutej osobe porušením integrity jej osobných údajov vznikla. V prípade, ak takýto bezpečnostný projekt podľa predchádzajúcej právnej úpravy je súladný s týmto zákonom v niektorých častiach, možno tieto použiť na preukázanie vykonaného posúdenia vplyvu podľa tohto zákona primerane.

odsek 2

Pokiaľ má prevádzkovateľ ustanovenú zodpovednú osobu, je povinný vykonať posúdenie vplyvu v súčinnosti s touto zodpovednou osobou a má sa s ňou o zamýšľaných opatreniach a eliminácii bezpečnostných rizík radiť.

odsek 3

Posúdenie vplyvu sa vyžaduje pri spracovateľských operáciách veľkého rozsahu, ktorých cieľom je spracúvať značný objem osobných údajov na regionálnej, vnútroštátnej alebo nadnárodnej úrovni, ktoré by mohli ovplyvniť veľký počet dotknutých osôb a ktoré pravdepodobne povedú k vysokému riziku, napríklad z hľadiska ich citlivosti, ak sa v súlade s dosiahnutým stavom technologických znalostí vo veľkom rozsahu využíva nová technológia, ako aj pri iných spracovateľských operáciách, ktoré predstavujú vysoké riziko pre práva dotknutých osôb, najmä ak je pre dotknuté osoby náročnejšie uplatniť svoje vlastné práva.
Posúdenie vplyvu na ochranu údajov sa má vykonať aj vtedy, keď sa osobné údaje spracúvajú s cieľom prijímať rozhodnutia, ktoré sa týkajú konkrétnych fyzických osôb, a ktoré sa prijímajú po akomkoľvek systematickom a rozsiahlom zhodnotení osobných aspektov súvisiacich s fyzickými osobami na základe profilovania týchto údajov alebo v nadväznosti na spracúvanie osobitných kategórií osobných údajov, biometrických údajov alebo údajov o uznaní viny za trestné činy a priestupky či súvisiacich bezpečnostných opatreniach.
Posúdenie vplyvu na ochranu údajov sa vyžaduje aj v prípade monitorovania verejne prístupných miest vo veľkom rozsahu, najmä ak sa používajú optické elektronické zariadenia, alebo v prípade akýchkoľvek iných operácií, ak je pravdepodobné, že spracúvanie povedie k vysokému riziku pre práva dotknutých osôb, najmä preto, lebo tieto operácie bránia dotknutým osobám uplatniť svoje právo alebo využiť službu alebo zmluvu, alebo preto, že sa systematicky vykonávajú vo veľkom rozsahu.

Na uľahčenie posúdenia, či ide o spracúvanie vo veľkom rozsahu, je potrebné, aby sa pri posudzovaní bral ohľad na dosah spracovateľskej operácie, teda či sa spracovateľská operácia dotkne veľkého počtu dotknutých osôb v pomere napríklad k celkovému počtu obyvateľov, zamestnancov firmy, ako veľký bude objem spracúvaných osobných údajov, ako dlho sa plánuje, že bude spracúvanie vykonávané.
Medzi príklady spracúvania osobných údajov vo veľkom rozsahu možno zaradiť napríklad spracúvanie cestovných údajov jednotlivcov využívajúcich mestskú hromadnú dopravu, spracúvanie geolokalizačných údajov zákazníkov medzinárodných sietí obchodov v reálnom čase na štatistické účely a iné. O spracúvanie osobných údajov vo veľkom rozsahu naopak nejde v prípade spracúvania osobných údajov lekárom o jeho jednotlivých pacientoch alebo v prípade spracúvania osobných údajov týkajúcich sa uznania viny za trestné činy a priestupky jednotlivým právnikom.

odsek 4

Stanovuje minimálny rozsah náležitostí, ktoré má posúdenie vplyvu obsahovať.

odsek 5

Združenia alebo iné orgány zastupujúce kategórie prevádzkovateľov alebo sprostredkovateľov by sa mali podnecovať k tomu, aby vypracovali kódexy správania, aby sa zohľadnili osobitné črty spracúvania v určitých odvetviach. V takýchto kódexoch správania by sa mali nastaviť povinnosti prevádzkovateľov a sprostredkovateľov so zreteľom na riziko, ktoré pravdepodobne vyplýva zo spracúvania osobných údajov, pokiaľ ide o práva fyzických osôb. V prípade, ak má prevádzkovateľ alebo skupina prevádzkovateľov vypracovaný kódex správania, ktorý možno do istej miery považovať za stanovenie istého štandardu spracúvania a nakladania s osobnými údajmi je možné a vhodné, aby úrad v rámci posudzovania dosahu predpokladaných spracovateľských operácií ich dosah porovnával a zohľadňoval aj v kontexte obsahu týchto úradom schválených kódexov správania. Mohla by sa tým eliminovať situácia, kedy bezpečnostné opatrenia prevádzkovateľa nedosahujú ani úroveň, ktorú na spracúvanie osobných údajov kladie úradom schválený kódex správania v danej oblasti.

odsek 6

Pri vypracúvaní bezpečnostných opatrení a posudzovaní vplyvov, ktoré môžu nastať pri konkrétnom type spracovateľskej operácie alebo aj pri viacerých zamýšľaných typoch spracovateľských operácií je vhodné, ak je to možné, aby prevádzkovateľ ním zamýšľané spracúvanie osobných údajov konzultoval s dotknutými osobami na účely posúdenia vplyvu takéhoto spracúvania. V prípade, ak pripomienky, výzvy a názory dotknutých osôb sú relevantné, prevádzkovateľ by mal na ne prihliadať. Prevádzkovateľ má povinnosť pri posúdení a kreovaní spracovateľskej operácie dbať aj na to, aby nedošlo k ohrozeniu verejného záujmu, ktorý by mal slúžiť v prospech väčšiny občanov a prinášať majetkový alebo iný prospech všetkým alebo mnohým občanom.

odsek 7

Prevádzkovateľ by sa mal pravidelne venovať opätovnému prehodnocovaniu spracúvania a porovnávaniu ním prijatých opatrení v závislosti na spracúvaných údajoch, a to najmä v prípadoch ak došlo k vzniku nového rizika prípadne už identifikované riziko sa zvýšilo.

K § 43

odsek 1

V prípade ak z posúdenia vplyvu ochrany osobných údajov vyplýva, že spracúvanie by viedlo k vysokému riziku pre práva dotknutých osôb (typ spracúvania; rozsah a frekvencia spracúvania, stupeň ochrany osobných údajov) v prípade, ak by prevádzkovateľ neprijal záruky, bezpečnostné opatrenia a mechanizmy na jeho zmiernenie, je prevádzkovateľ povinný pred začiatkom spracúvania osobných údajov požiadať úrad o predchádzajúcu konzultáciu. Prevádzkovateľ je povinný vykonať s úradom predchádzajúci konzultáciu, ak už využil všetky jemu dostupné a známe existujúce záruky, bezpečnostné opatrenia a mechanizmy na zmiernenie vysokého zvyškového rizika a súčasne sa prevádzkovateľ domnieva, že ani zvyškové riziko, ktoré vyšlo vysoké, sa nedá zmierniť primeranými prostriedkami, pokiaľ ide o dostupné technológie a náklady na vykonanie opatrení.   

odsek 2 a odsek 3

Účelom predchádzajúcej konzultácie je poradenská činnosť úradu prevádzkovateľovi prípadne sprostredkovateľovi k možným a existujúcim primeraným a účinným bezpečnostným opatreniam na zníženie vysokého zvyškového rizika, ktoré prevádzkovateľ nezohľadnil či neprijal, či napriek zohľadneniu nevie efektívne znížiť. Úrad taktiež na základe zaslanej žiadosti o predchádzajúcu konzultáciu posudzuje zákonnosť daného spracúvania a to, či je spracúvanie v súlade s týmto zákonom a osobitnými predpismi.

Úrad pri posudzovaní spracovateľských operácií primárne vychádza z faktov, ktoré mu poskytne prevádzkovateľ v žiadosti o predchádzajúcu konzultáciu, najmä zohľadňuje informácie o príslušných povinnostiach prevádzkovateľa, o spoločných prevádzkovateľoch a sprostredkovateľoch zapojených do spracúvania a to hlavne v prípade spracúvania v rámci skupiny podnikov. Úrad pri posudzovaní spracovateľských operácií tiež posudzuje informácie o účeloch zamýšľaného spracúvania a prostriedkoch na jeho vykonanie; informácie o opatreniach a zárukách poskytnutých na ochranu práv dotknutých osôb podľa tohto zákona; v príslušných prípadoch kontaktné údaje zodpovednej osoby; posúdenie vplyvu na ochranu údajov a akékoľvek ďalšie informácie, o ktoré úrad požiada.
V prípade, že úrad nemá všetky alebo dostatok potrebných informácií na posúdenie, môže si dodatočne tieto od prevádzkovateľa vyžiadať, pričom ten je povinný takejto žiadosti úradu vyhovieť v lehote, akú mu na poskytnutie určí v žiadosti o predloženie dodatočných informácií úrad.
Lehoty na poskytnutie poradenstva zo strany úradu sú určené v tomto zákone. Úrad má na poskytnutie písomného poradenstva od prijatia žiadosti 8 týždňov, ak je potrebné, má možnosť túto lehotu predĺžiť o 6 týždňov, podľa potreby a zložitosti posudzovania danej spracovateľskej operácie. Je v záujme prevádzkovateľa, aby už vo svojej žiadosti poskytol také množstvo informácií o zamýšľanej spracovateľskej operácii, aby úrad nemusel prevádzkovateľa žiadať o doplnenie. Ak však úrad v rámci tejto lehoty nezareaguje, nie je tým dotknutá žiadna jeho právomoc v súlade s jeho úlohami a stanovenými právomocami vrátane práva zakázať spracovateľskú operáciu.
Súčasťou konzultačného procesu môže byť predloženie výsledku posúdenia vplyvu na ochranu údajov úradu, ktoré sa vykonalo v súvislosti s daným spracúvaním.

K § 44

odsek 1

Uvedený odsek stanovuje spracovateľské operácie s osobnými údajmi pri ktorých, ak ich vykonávajú,  majú povinnosť určiť zodpovednú osobu, osobu s odbornými znalosťami práva a postupov v oblasti ochrany údajov.

odsek 2 a odsek 3

Prevádzkovatelia alebo sprostredkovatelia patriaci do jednej skupiny podnikov si môžu určiť jednu zodpovednú osobu za predpokladu, že takto spoločne ustanovená zodpovedná osoba bude mať možnosť reálne vykonávať a riadne si plniť svoje úlohy (napríklad v prípade vykonávania obhliadky serverov, kontroly bezpečnostných opatrení) a bude prístupná každému prevádzkovateľovi alebo sprostredkovateľovi (napríklad aj zo skupiny podnikov plniť povinnosti pre každý z nich samostatne) pre ktorých je ustanovená. Určenie jednej zodpovednej osoby je prípustné aj pre orgány verejne moci, za rovnakého predpokladu reálnej možnosti výkonu svojich úloh a dostupnosti pre každého prevádzkovateľa alebo sprostredkovateľa, a ak to organizačná štruktúra umožňuje. Zodpovedná osoba a jej poradenstvo má byť  ľahko dostupné, teda „služby“ zodpovednej osoby majú byť dostupné napríklad v tom zmysle, že nie je si potrebné termín na konzultáciu u nej vopred dohodnúť niekoľko týždňov vopred alebo že je, v prípade ak je to potrebné, flexibilná reagovať do niekoľkých hodín, napríklad ak sa u prevádzkovateľa vyskytne bezpečnostný incident.

odsek 4

S ohľadom na odsek 1 tohto ustanovenia, kedy prevádzkovateľ a sprostredkovateľ je povinný určiť zodpovednú osobu, prevádzkovateľ a sprostredkovateľ si môžu dobrovoľne určiť zodpovednú osobu, ak to uznajú za vhodné. Na takto ustanovenú zodpovednú osobu sa vzťahujú práva a povinnosti rovnako ako pri povinne určenej zodpovednej osobe prevádzkovateľom alebo sprostredkovateľom. V prípade ak si chcú združenia a iné subjekty zastupujúce kategórie prevádzkovateľov alebo sprostredkovateľov určiť zodpovednú osobu, je potrebné vnímať, že takýmito kategóriami prevádzkovateľov a sprostredkovateľov možno vnímať banky, neziskové organizácie, zamestnávateľov v istej oblasti, teda subjekty, ktoré majú isté príbuzenské znaky najmä pokiaľ ide o ich činnosť, ktorá je ich hlavnou podnikateľskou činnosťou.

odsek 5 až odsek 7

Zodpovedná osoba sa má určiť na základe jej odbornosti,  vedomostí, schopností, aby svoje povinnosti mohla vykonávať riadne a zodpovedne. Nie je potrebné, aby zodpovedná osoba bola kmeňovým zamestnancom prevádzkovateľa, nie je to ani vylúčené. Je vhodné, aby fyzická osoba na účely výkonu zodpovednej osoby vedela preukázať svoje vedomosti v oblasti ochrany osobných údajov, ako napríklad preukázaním sa o dosiahnutom vzdelaní, príslušnou praxou v práci s osobnými údajmi, úspešným absolvovaním workshopov, skúšok, alebo absolvovaním iných vzdelávacích aktivít a kurzov v oblasti ochrany osobných údajov. Potrebná úroveň odborných znalostí zodpovednej osoby by sa mala určiť najmä v závislosti od vykonávaných operácií s osobnými údajmi a od požadovanej ochrany osobných údajov u prevádzkovateľa alebo sprostredkovateľa. Takéto zodpovedné osoby, či už sú alebo nie sú zamestnancami prevádzkovateľa, by mali mať možnosť vykonávať svoje povinnosti a úlohy nezávisle.  Môžu ich vykonávať aj na základe zmluvy o poskytovaní služby, ak zodpovedná osoba nie je zamestnancom prevádzkovateľa alebo sprostredkovateľa.

odsek 8

Na účely plnenia činností zodpovednej osoby je potrebné, aby jej kontaktné údaje boli prevádzkovateľom a sprostredkovateľom zverejnené, a to tak aby boli kontaktné údaje zodpovednej osoby dostupné jednak zamestnancom daného prevádzkovateľa ale predovšetkým dotknutým osobám. Nakoľko zodpovedná osoba má poskytovať súčinnosť úradu je potrebné, aby aj úrad bol informovaný o jej určení, najneskôr momentom tohto ustanovenia. S týmto určením, či o zmene v osobe zodpovednej osoby je povinný prevádzkovateľ alebo sprostredkovateľ úrad bez meškania informovať.
Pokiaľ ide o zverejnené kontakty zodpovednej osoby zákon výslovne nevyžaduje, aby prevádzkovateľ zverejnil jej meno alebo priezvisko, je však potrebné aby zabezpečil zverejnenie kontaktu na ňu, ako zodpovednú osobu, na funkciu, to znamená, že uvedená povinnosť bude splnená aj vtedy, ak napríklad na svojom webovom sídle zverejní kontaktné údaje vo forme adresy a napríklad e-mailu na ktorom je zodpovedná osoba zastihnuteľná (napr.: zodpovednaosoba@menofirmy.sk, alebo v adrese uvedie: Kancelária Zodpovednej osoby spoločnosti s. r. o. podľa zákona č. ......, Pekná ulica 33, 963 33 Bratislava). Samozrejme nie je vylúčené, aby sa kontaktné údaje zodpovednej osoby skladali aj s jej reálneho mena a priezviska.  Pokiaľ ide o oznamovanie zodpovednej osoby úradu, je potrebné, aby úradu boli oznámené skutočné osobné údaje zodpovednej osoby. Oznámenie o určení zodpovednej osoby bude možné voči úradu vykonať rôznymi spôsobmi, a to napríklad e-mailom, poštou alebo osobne.

K § 45

Ak prevádzkovateľ a sprostredkovateľ majú povinnosť určiť zodpovednú osobu alebo sa dobrovoľne rozhodli ju určiť, je potrebné, aby ju riadne a včas zapojili do všetkých činností, ktoré sú pre ňu potrebné na to, aby si svoju funkciu zodpovednej osoby mohla riadne plniť. Je potrebné, aby od momentu jej určenia mala prístup do všetkých informačných a bezpečnostných systémov prevádzkovateľa alebo sprostredkovateľa.
V rámci neustáleho rozvoja informačno-komunikačných technológií je potrebné, aby sa zodpovedná osoba pravidelne vzdelávala, v čom by ju prevádzkovateľ alebo sprostredkovateľ mal podporovať, aj finančne, keďže zvyšovanie jej vedomostí a zručností prispeje k lepšej ochrane osobných údajov v rámci jeho informačných systémov osobných údajov.

Postavenie zodpovednej osoby je nezávislé a nestranné, a je zodpovedná osoba je povinná zachovávať mlčanlivosť v súvislosti s výkonom úloh zodpovednej osoby. Prevádzkovateľ a sprostredkovateľ môžu zasahovať do plnenia úloh zodpovednej osoby len ak sú princípy nestrannosti a nezávislosti zodpovednej osoby zachované. Ak zodpovedná osoba vykonáva iné činnosti pre prevádzkovateľa alebo sprostredkovateľa okrem úloh zodpovednej osoby, tieto nesmú byť v konflikte s jej činnosťou, ako zodpovednej osoby, či mať nepriaznivý vplyv na plnenie úloh zodpovednej osoby a na jej nezávislé postavenie. Zodpovedná osoba má mať priamu informačnú povinnosť (oznamovaciu linku) na najvyššie vedenie prevádzkovateľa alebo sprostredkovateľa zodpovedného za oblasť ochrany osobných údajov. Ak zodpovedná osoba svojou činnosťou zistí nedostatky alebo porušenia ochrany osobných údajov, či nesúlad so zákonom alebo osobitným predpisom pre oblasť ochrany osobných údajov, je povinná o tejto skutočnosti ihneď informovať prevádzkovateľa alebo sprostredkovateľa a súčasne má mať oprávnenia na zabezpečenie okamžitej nápravy a docielenie súladu s týmto zákonom pre oblasť ochrany osobných údajov. V prípade, ak zodpovedná osoba vykonáva funkciu zodpovednej osoby pre podnikateľa, napríklad v rámci jednoosobovej spoločnosti s ručením obmedzeným, podlieha priamo jemu, konateľovi, taktiež, ak je prevádzkovateľom živnostník, tak podlieha priamo jemu, ako najvyššiemu predstaviteľovi prevádzkovateľa alebo sprostredkovateľa.

K § 46

Stanovuje základné a podstatné úlohy, ktoré má zodpovedná osoba vykonávať a v súvislosti s ktorými je zodpovedná osoba povinná pri výkone týchto úloh zohľadniť riziká spojené so spracovateľskými operáciami (povahu, rozsah, kontext a účel). Úlohy zodpovednej osoby sú stanovené príkladným výpočtom, teda nie je vylúčené, aby zodpovedná osoba vykonávala aj iné činnosti  spadajúce pod ochranu osobných údajov, ktorými ju prevádzkovateľ alebo sprostredkovateľ poverí, a ktoré nebudú negatívne zasahovať do výkonu úloh zodpovednej osoby podľa tohto zákona prípadne nepovedú ku konfliktu záujmov.

K § 47

Stanovuje podmienky, za ktorých sa môže vykonať prenos osobných údajov, do tretej krajiny alebo medzinárodnej organizácii, sa môže uskutočniť len vtedy, ak prevádzkovateľ a sprostredkovateľ dodržiavajú podmienky, vrátane podmienok následného prenosu osobných údajov z predmetnej tretej krajiny alebo od predmetnej medzinárodnej organizácie do inej tretej krajiny alebo inej medzinárodnej organizácii. Cieľom je neohroziť úroveň ochrany osobných údajov fyzických osôb a zaručiť dodržiavanie podmienok ustanovených týmto zákonom, osobitnými predpismi alebo medzinárodnými zmluvami, ktorými je Slovenská republika viazaná.

K § 48

Ustanovenie upravuje podmienky, na základe ktorých je možný prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii.

odsek 1

Prvou z podmienok je existencia rozhodnutia Európskej komisie (ďalej len „Komisia“ alebo aj „Európska komisia“) o primeranosti úrovne ochrany osobných údajov, ktoré zverejňuje na svojom webovom sídle a ktoré následne zverejňuje aj úrad vo forme hypertextového odkazu na svojom webovom sídle. Takéto rozhodnutie zaisťuje právnu istotu a jednotnosť v celej Únii, pokiaľ ide o tretiu krajinu alebo medzinárodnú organizáciu, ktorá sa považuje za tretiu krajinu alebo medzinárodnú organizáciu poskytujúcu takúto  dostatočnú úroveň ochrany. V takýchto prípadoch sa prenosy osobných údajov do takejto tretej krajiny alebo medzinárodnej organizácii môžu uskutočňovať bez potreby získania ďalšieho povolenia od úradu.

odsek 2

Komisia môže dospieť k záveru, že tretia krajina, územie alebo určený sektor v tretej krajine, alebo medzinárodná organizácia už nezaručujú primeranú úroveň ochrany osobných údajov. V dôsledku toho by sa mal prenos osobných údajov do tejto tretej krajiny alebo medzinárodnej organizácii zakázať.   Primerané záruky možno charakterizovať ako formu opatrenia na kompenzáciu za nedostatočnú ochranu údajov v tretej krajine prostredníctvom primeraných záruk pre dotknutú osobu. Tieto záruky by mali zabezpečiť súlad s požiadavkami na ochranu údajov a právami dotknutých osôb primeranými spracúvaniu v rámci Únie, vrátane dostupnosti vymáhateľných práv dotknutých osôb a účinných prostriedkov nápravy, vrátane účinných prostriedkov správnej a súdnej nápravy a možnosti domáhať sa náhrady škody v Únii alebo tretej krajine.


odsek 3

Ustanovuje formy primeraných záruk.

odsek 4

Povolenie úradu na prenos osobných údajov do tretích krajín alebo medzinárodným organizáciám by sa malo získať v prípade, že záruky sú stanovené v administratívnych dojednaniach, ktoré nie sú právne záväzné (napr. zmluvné doložky v zmluve medzi sprostredkovateľom a ďalším sprostredkovateľom alebo ustanovenia v administratívnych dojednaniach medzi orgánmi verejnej moci).

K § 49

Stanovuje podmienky kedy úrad schvaľuje záväzné vnútropodnikové pravidlá a ich minimálne obsahové náležitosti.

K § 50

Niektoré tretie krajiny prijímajú zákony, iné právne predpisy a iné právne akty, ktoré priamo regulujú spracovateľské činnosti fyzických a právnických osôb v rámci jurisdikcie členských štátov, Slovenskú republiku nevynímajúc. To môže zahŕňať rozsudky súdov alebo tribunálov alebo rozhodnutia správnych orgánov tretích krajín, v ktorých sa od prevádzkovateľa alebo sprostredkovateľa vyžaduje prenos alebo poskytnutie osobných údajov a ktoré nie sú založené na platnej medzinárodnej dohode, napríklad zmluve o vzájomnej právnej pomoci, medzi žiadajúcou treťou krajinou a Európskou úniou alebo členským štátom. Extrateritoriálne uplatňovanie týchto zákonov, iných právnych predpisov a iných právnych aktov môže byť v rozpore s medzinárodným právom a môže ohroziť ochranu fyzických osôb zaručenú Európskym právom a Slovenskou republikou v tomto zákone.
Prenosy osobných údajov vyplývajúce z extrateritoriality právnych predpisov tretích krajín budú povolené, len ak sa splnia podmienky uvedené v tomto zákone alebo osobitnom predpise  pre prenosy do tretích krajín a ak rozhodnutia na základe ktorých má dôjsť k prenosu osobných údajov sú založené na medzinárodnej dohode, ako napríklad zmluve o vzájomnej právnej pomoci. Môže ísť okrem iného o prípad, keď je poskytnutie potrebné z dôležitého dôvodu verejného záujmu ustanoveného v osobitnom predpise, ktorému prevádzkovateľ podlieha.

K § 51

Výnimky v tomto ustanovení uvedené sa uplatnia predovšetkým na prenosy údajov, ak dotknutá osoba dala výslovný súhlas a boli jej poskytnuté zákonom stanovené informácie, ak je prenos občasný a potrebný v súvislosti so zmluvou alebo právnym nárokom, a to bez ohľadu na to, či ide o súdne konanie alebo správne či iné mimosúdne konanie, alebo ak si to vyžadujú dôležité dôvody verejného záujmu stanovené v osobitnom predpise alebo ak je prenos realizovaný z registra vytvoreného na základe osobitného predpisu a určeného na nahliadanie zo strany verejnosti alebo osôb s oprávneným záujmom. V poslednom uvedenom prípade by tento prenos nemal zahŕňať osobné údaje v ich celistvosti alebo celé kategórie osobných údajov obsiahnutých v registri a ak je register určený na nahliadanie zo strany osôb s oprávneným záujmom, prenos by sa mal vykonať len na požiadanie takýchto osôb alebo vtedy, ak majú byť takéto osoby príjemcami údajov, pričom sa vezmú plne do úvahy záujmy a práva dotknutej osoby. Výnimky v tomto ustanovení uvedené sa uplatnia aj na prenosy údajov, ak ide o závažné dôvody verejného záujmu, napríklad v prípadoch medzinárodnej výmeny údajov medzi orgánmi hospodárskej súťaže, daňovými alebo colnými správami, medzi orgánmi finančného dohľadu, medzi útvarmi zodpovednými za otázky sociálneho zabezpečenia alebo za verejné zdravie, napríklad v prípade sledovania kontaktu, pokiaľ ide o nákazlivé choroby, alebo s cieľom obmedziť a/alebo vylúčiť doping zo športu. Prenos osobných údajov by sa mal tiež považovať za zákonný, ak je potrebný na ochranu záujmu, ktorý je podstatný pre životne dôležité záujmy dotknutej osoby alebo inej osoby, vrátane telesnej integrity alebo života, ak dotknutá osoba nemôže vyjadriť súhlas. Akýkoľvek prenos osobných údajov dotknutej osoby, ktorá nie je fyzicky alebo právne spôsobilá na udelenie súhlasu medzinárodnej humanitárnej organizácii s cieľom plniť úlohy uložené ženevskými dohovormi alebo v súlade s medzinárodným humanitárnym právom uplatniteľným na ozbrojené konflikty, by sa mohol považovať za potrebný zo závažného dôvodu verejného záujmu alebo z dôvodu životného záujmu dotknutej osoby.

Prenosy, ktoré možno označiť za neopakujúce sa a ktoré sa týkajú len obmedzeného počtu dotknutých osôb, by tiež mohli byť možné na účely závažných oprávnených záujmov prevádzkovateľa, keď nad týmito záujmami neprevažujú záujmy alebo práva dotknutej osoby a keď prevádzkovateľ posúdil všetky okolnosti prenosu údajov.

Prevádzkovateľ by mal osobitne prihliadať na povahu osobných údajov, účel a trvanie navrhovanej spracovateľskej operácie či operácií, ako aj na situáciu v krajine pôvodu, v tretej krajine a krajine konečného určenia a mal by poskytnúť náležité záruky na ochranu práv fyzických osôb, pokiaľ ide o spracúvanie ich osobných údajov. Takéto prenosy by mali byť možné len v prípadoch, v ktorých nie sú dané iné dôvody na prenos. Na účely vedeckého alebo historického výskumu alebo na štatistické účely by sa mali zohľadniť oprávnené očakávania spoločnosti týkajúce sa prehĺbenia znalostí. Prevádzkovateľ by mal informovať o prenose ako aj o závažných oprávnených záujmoch, ktoré prevádzkovateľ sleduje tak úrad ako aj dotknutú osobu.

K  § 52

V tretej časti zákona sa transponuje smernica 2016/680, teda sa v nej ustanovujú pravidlá ochrany fyzických osôb pri spracúvaní osobných údajov príslušnými orgánmi na účely predchádzania a odhaľovania trestnej činnosti, zisťovania páchateľov trestných činov, vyšetrovania trestných činov, stíhania trestných činov alebo na účely výkonu rozhodnutí v trestnom konaní vrátane ochrany pred ohrozením verejného poriadku a predchádzania takémuto ohrozeniu (ďalej len „plnenie úloh na účely trestného konania“). Príslušnými orgánmi sú v zmysle požiadaviek smernice Policajný zbor, Vojenská polícia, Zbor väzenskej a justičnej stráže, finančná správa, prokuratúra a súdy. Na postup príslušných orgánov pri spracúvaní osobných údajov na plnenie úloh na účely trestného konania sa vzťahujú § 6, § 8, § 11, § 12, § 13 ods. 2 tohto zákona rovnako.

K § 53

Osobné údaje by mali byť primerané a relevantné vzhľadom na účely, na ktoré sa spracúvajú. Osobné údaje by sa mali spracúvať len vtedy, ak účel spracúvania nebolo možné za primeraných podmienok dosiahnuť inými prostriedkami.

K § 54

Osobné údaje musia byť uchovávané vo forme, ktorá umožňuje identifikáciu dotknutých osôb najviac dovtedy, kým je to potrebné na dosiahnutie účelu spracúvania.

K § 55

Na to, aby bolo spracúvanie osobných údajov zákonné, by malo byť nevyhnutné na plnenie úloh na účely trestného konania príslušným orgánom na základe práva Únie alebo nášho vnútroštátneho práva. Plnenie úloh na účely trestného konania inštitucionálne zverené príslušným orgánom im umožňuje vyžadovať od fyzických osôb alebo im prikazovať, aby vyhoveli ich žiadostiam. V takomto prípade by právnym dôvodom na spracúvanie osobných údajov príslušnými orgánmi nemal byť súhlas dotknutej osoby v zmysle nariadenia (EÚ) 2016/679. Ak sa od dotknutej osoby požaduje splnenie zákonnej povinnosti, dotknutá osoba nemá skutočnú a slobodnú voľbu, takže reakcia dotknutej osoby by sa nemohla považovať za slobodné vyjadrenie jej vôle. To však nebráni ustanoviť prostredníctvom osobitného predpisu, že dotknutá osoba môže súhlasiť so spracúvaním svojich osobných údajov na plnenie úloh na účely trestného konania, ako sú napríklad testy DNA pri vyšetrovaní trestného činu alebo monitorovanie jej polohy pomocou technických prostriedkov pri výkone trestných sankcií.

Ak osobné údaje pôvodne získal príslušný orgán pri plnení úloh na účely trestného konania, nariadenie (EÚ) 2016/679, resp. druhá časť zákona by sa mali uplatňovať na spracúvanie týchto údajov na iné účely, než na tieto účely, ak je takéto spracúvanie prípustné podľa práva Únie alebo nášho vnútroštátneho práva. Pravidlá nariadenia (EÚ) 2016/679, resp. druhej časti zákona by sa mali uplatňovať najmä na prenos osobných údajov na účely, ktoré nepatria do rozsahu pôsobnosti tejto (tretej) časti zákona. Na spracúvanie osobných údajov príjemcom, ktorý nie je príslušným orgánom alebo ktorý nekoná ako príslušný orgán a ktorému osobné údaje zákonne poskytol príslušný orgán, by sa malo vzťahovať nariadenie (EÚ) 2016/679, resp. druhá časť zákona.

Ak príslušný orgán spracúva osobné údaje na iné účely ako na plnenie úloh na účely trestného konania, uplatňuje sa nariadenie (EÚ) 2016/679, resp. druhá časť zákona. Nariadenie (EÚ) 2016/679, resp. druhá časť zákona sa preto uplatňujú v prípadoch, keď príslušný orgán získava osobné údaje na iné účely a ďalej spracúva tieto osobné údaje s cieľom splniť zákonnú povinnosť, ktorá sa naň vzťahuje. Činnosti, ktoré vykonáva polícia alebo iné orgány, sa sústreďujú predovšetkým na predchádzanie trestným činom, ich vyšetrovanie, odhaľovanie alebo stíhanie, vrátane policajných činností, pri ktorých nie je vopred známe, či je skutok trestným činom. Medzi takéto činnosti môže patriť aj výkon právomoci prostredníctvom prijatia donucovacích opatrení, ako napríklad činnosť polície pri demonštráciách, významných športových podujatiach a nepokojoch. Zahŕňajú tiež udržiavanie verejného poriadku ako úlohy uloženej polícii alebo iným orgánom, ak je to potrebné na ochranu pred ohrozením verejnej bezpečnosti a základných záujmov spoločnosti chránených zákonom, ktoré môže viesť k spáchaniu trestného činu, a na predchádzanie takémuto ohrozeniu. Príslušné orgány môžu byť poverené ďalšími úlohami, ktoré nie sú nevyhnutne úlohami na účely trestného konania, v dôsledku čoho spracúvanie osobných údajov na tieto iné účely, patrí do rozsahu pôsobnosti nariadenia (EÚ) 2016/679, resp. druhej časti zákona.

K § 56

Osobné údaje, ktoré sú svojou povahou obzvlášť citlivé v súvislosti so základnými právami si zasluhujú osobitnú ochranu, keďže z kontextu ich spracúvania by mohli pre práva a slobody vyplývať významné riziká. Uvedené osobné údaje zahŕňajú osobné údaje, ktoré odhaľujú rasový alebo etnický pôvod. Takéto osobné údaje by sa nemali spracúvať, pokiaľ spracúvanie nepodlieha primeraným zárukám pre práva dotknutých osôb, ktoré sú ustanovené právnymi predpismi, pričom je prípustné v prípadoch povolených právnymi predpismi; ak spracúvanie ešte nie je povolené právnym predpisom, je nevyhnutné na ochranu životne dôležitých záujmov dotknutej alebo inej osoby; alebo ak sa spracúvanie týka údajov, ktoré preukázateľne zverejnila dotknutá osoba. Primerané záruky práv dotknutej osoby by mohli zahŕňať možnosť získať uvedené údaje iba v súvislosti s inými údajmi o dotknutej fyzickej osobe, možnosť primerane zabezpečiť získané údaje, prísnejšie pravidlá prístupu personálu príslušného orgánu k údajom a zákaz prenosu týchto údajov. Spracúvanie takýchto údajov by malo byť povolené právnymi predpismi, ak dotknutá osoba výslovne súhlasila so spracúvaním, ktoré je pre ňu obzvlášť citlivé. Súhlas dotknutej osoby by však sám osebe nemal poskytovať právny dôvod pre spracúvanie takýchto citlivých osobných údajov príslušnými orgánmi.

K § 57

K spracúvaniu osobných údajov v oblasti justičnej spolupráce v trestných veciach a v oblasti policajnej spolupráce nevyhnutne patrí spracúvanie osobných údajov, ktoré sa týkajú rôznych kategórií dotknutých osôb. Preto by sa tam, kde je to uplatniteľné, malo v čo najväčšom možnom rozsahu jasne rozlišovať medzi osobnými údajmi rôznych kategórií dotknutých osôb, ako sú podozrivé osoby, osoby odsúdené za spáchanie trestného činu, obete a iné osoby, ako sú svedkovia, osoby disponujúce relevantnými informáciami alebo kontaktné osoby a spoločníci podozrivých osôb a odsúdených páchateľov trestných činov.

K § 58

Príslušné orgány by mali zabezpečiť, aby sa osobné údaje, ktoré sú nesprávne, neúplné alebo už nie sú aktuálne, neprenášali ani nesprístupňovali. S cieľom zabezpečiť ochranu fyzických osôb, správnosť, úplnosť alebo mieru aktuálnosti a spoľahlivosť prenášaných alebo sprístupňovaných osobných údajov by mali príslušné orgány pri každom prenose osobných údajov podľa možnosti doplniť potrebné informácie.

K § 59

Na príslušné orgány vzťahuje iba § 28 z druhej časti tohto zákona..

K § 60

Dotknutej osobe by sa mali zo strany príslušných orgánov poskytnúť aspoň tieto informácie: označenie príslušného orgánu, kontaktné údaje zodpovednej osoby, účely spracúvania, právo podať sťažnosť a právo žiadať prístup k osobným údajom a ich opravu alebo vymazanie či obmedzenie spracúvania. Tieto informácie by sa mohli poskytnúť prostredníctvom webového sídla príslušného orgánu. S cieľom zaručiť spravodlivé spracúvanie vo vzťahu k dotknutej osobe a na to, aby mohla uplatňovať svoje práva, by mala byť okrem toho dotknutá osoba v osobitných prípadoch informovaná o právnom základe pre spracúvanie, o tom, ako dlho sa budú údaje uchovávať, účely spracúvania, kategórie príjemcov a prípadne ďalšie informácie.

K § 61

Fyzická osoba by mala mať právo na prístup k údajom, ktoré boli o nej získané, a toto právo aj jednoducho uplatňovať, aby si bola vedomá zákonnosti spracúvania a mohla si ju overiť. Každá dotknutá osoba by preto mala mať právo vedieť a byť informovaná najmä o účeloch spracúvania údajov, kategóriách dotknutých osobných údajov a o dobe, počas ktorej sa budú údaje spracúvať, ako aj o príjemcoch osobných údajov atď. Na dodržanie tohto práva je dostatočné, aby mala dotknutá osoba k dispozícii úplné zhrnutie uvedených údajov v zrozumiteľnej forme, to znamená vo forme, ktorá umožňuje, aby bola dotknutá osoba informovaná o uvedených údajoch, aby si mohla uplatniť práva, ktoré jej tento zákon priznáva.

K § 62

Fyzická osoba by tiež mala mať právo na opravu nesprávnych osobných údajov, ktoré sa jej týkajú, ako aj právo na ich vymazanie, ak je spracúvanie takýchto údajov v rozpore so zákonom. Právom na opravu by však nemal byť napríklad dotknutý obsah svedeckej výpovede. Fyzická osoba by mala mať právo na obmedzenie spracúvania, ak napadne správnosť osobných údajov a nemožno určiť ich správnosť či nesprávnosť, alebo keď je potrebné osobné údaje uchovať na účely dokazovania. Namiesto vymazania osobných údajov by sa spracúvanie malo obmedziť najmä vtedy, keď sa v osobitnom prípade možno odôvodnene domnievať, že vymazanie by mohlo ovplyvniť oprávnené záujmy dotknutej osoby. V takomto prípade by sa obmedzené údaje mali spracúvať len na účely, ktoré zabránili ich vymazaniu. Metódy na obmedzenie spracúvania osobných údajov by okrem iného mohli zahŕňať presunutie vybraných údajov do iného systému spracúvania, napríklad na účely archivácie, alebo zamedzenie prístupu k nim. V automatizovaných informačných systémoch by sa obmedzenie spracúvania malo v zásade zabezpečiť technickými prostriedkami. Skutočnosť, že spracúvanie osobných údajov je obmedzené, by sa v systéme mala vyznačiť tak, aby bolo jednoznačné, že spracúvanie osobných údajov je obmedzené. Takáto oprava alebo vymazanie osobných údajov alebo obmedzenie spracúvania by sa mali oznámiť príjemcom, ktorým sa údaje poskytli, a príslušným orgánom, od ktorých nesprávne údaje pochádzajú. Príslušné orgány by takisto mali upustiť od ďalšieho šírenia takýchto údajov.



K § 63

Podľa tohto ustanovenia sa poskytovanie informácií dotknutým osobám odloží, obmedzí alebo sa od neho upustí, alebo sa úplne či čiastočne obmedzí prístup k ich osobným údajom, a to v takom rozsahu a na tak dlho, ako je toto opatrenie s náležitým zreteľom na práva a oprávnené záujmy dotknutej fyzickej osoby v demokratickej spoločnosti nevyhnutné a primerané, aby sa zabránilo mareniu úradného alebo súdneho zisťovania, vyšetrovania alebo konania, aby sa zabránilo ohrozeniu plnenia úloh na účely trestného konania, aby sa ochránila verejná bezpečnosť alebo národná bezpečnosť, alebo aby sa ochránili práva a slobody iných. Príslušný orgán by mal prostredníctvom konkrétneho a individuálneho preskúmania každého prípadu posúdiť, či by sa právo na prístup malo čiastočne alebo úplne obmedziť.
Akékoľvek zamietnutie alebo obmedzenie prístupu by malo byť dotknutej osobe v zásade oznámené písomne a malo by zahŕňať skutkové alebo právne dôvody, na ktorých je toto rozhodnutie založené.

K § 64

Oprava alebo vymazanie osobných údajov alebo obmedzenie spracúvania by sa mali oznámiť príslušným orgánom, od ktorých nesprávne údaje pochádzajú. Príjemcovia týchto údajov by takisto mali nimi spracúvané osobné údaje opraviť, vymazať alebo obmedziť ich spracúvanie.

K § 65

Keďže smernica 2016/680 nebráni členským štátom v tom, aby implementovali výkon práv dotknutých osôb na informácie, prístup a opravu alebo vymazanie osobných údajov a obmedzenie spracúvania počas trestného konania, ako aj prípadné obmedzenia týchto práv do vnútroštátnych predpisov upravujúcich trestné právo procesné, platí, že ak sa osobné údaje spracúvajú počas vyšetrovania trestného činu a súdneho konania v trestných veciach, uplatňovanie práva na informácie, prístup a opravu alebo vymazanie osobných údajov a obmedzenie spracúvania sa vykonáva v súlade s Trestným poriadkom, resp. zákonom o súdoch.

K § 66

Dotknutá osoba by mala mať právo na to, aby sa na ňu nevzťahovalo rozhodnutie hodnotiace osobné aspekty s ňou súvisiace, ktoré je založené výlučne na automatizovanom spracúvaní a ktoré má pre túto osobu nepriaznivé právne účinky alebo významné dôsledky. V každom prípade by takéto spracúvanie malo podliehať primeraným zárukám vrátane poskytnutia určitých informácií dotknutej osobe a právu na iný ako automatizovaný zásah, ľudský zásah (kontrolu spracúvania, ktoré bolo primárne nastavené, aby bolo konané automatizovane formou algoritmu vykoná na základe žiadosti dotknutej osoby zamestnanec prevádzkovateľa, pôjde o fyzickú kontrolu automatizovaného spracúvania a prípadné odstránenie chýb ak vznikli napríklad nesprávnym nastavením algoritmu alebo jeho neoprávnenou zmenou alebo znefunkčnením), najmä vyjadriť svoj názor, dostať vysvetlenie k rozhodnutiu dosiahnutému po takomto posúdení alebo napadnúť toto rozhodnutie.
Profilovanie, ktoré vedie k diskriminácii fyzických osôb na základe osobných údajov, ktoré sú svojou povahou obzvlášť citlivé v súvislosti so základnými právami a slobodami, sa zakazuje.

K § 67

Vymedzuje ktoré ustanovenia sa vzťahujú na spracúvanie osobných údajov na príslušné orgány z druhej časti tohto zákona.

K § 68

Ustanovuje sa lehota na vymazanie osobných údajov a na pravidelné preskúmanie potreby uchovávania osobných údajov. Osobitný predpis môže túto lehotu vo vzťahu ku konkrétnemu príslušnému orgánu skrátiť aj na častejšie ako raz za tri roky.
Záznamy o spracovateľských činnostiach, ktoré vedú príslušné orgány, musia obsahovať aj informácie o použití profilovania a uvedenie právneho základu pre spracovateľské operácie.

K § 69

Logy by sa mali viesť pre operácie v systémoch automatizovaného spracúvania ako je získavanie, zmena, prehliadanie, poskytovanie vrátane prenosov, kombinovanie alebo vymazanie. Mali by sa zaznamenávať dôvody spracovateľských operácií, dátum a čas operácie a pokiaľ možno aj identifikačné údaje osoby, ktorá osobné údaje prehliadala alebo ich poskytla a totožnosť príjemcov. Logy by sa mali využívať výlučne na overovanie zákonnosti spracúvania, vlastné monitorovanie, zabezpečenie integrity a bezpečnosti údajov a na účely trestného konania. Vlastné monitorovanie by malo zahŕňať aj interné disciplinárne konanie príslušných orgánov.

K § 70

V určitých prípadoch by príslušný orgán alebo sprostredkovateľ mali uskutočniť s dozorným orgánom konzultácie pred spracúvaním s cieľom zabezpečiť účinnú ochranu práv dotknutých osôb.

K § 71

S cieľom zachovať bezpečnosť a predchádzať spracúvaniu, ktoré je v rozpore s týmto zákonom, by príslušný orgán alebo sprostredkovateľ mali posúdiť riziká súvisiace so spracúvaním a mali by prijať opatrenia na zmiernenie týchto rizík, ako napríklad šifrovanie. Takýmito opatreniami by sa mala zabezpečiť primeraná úroveň bezpečnosti vrátane dôvernosti a mali by sa zohľadniť najnovšie poznatky, náklady na vykonanie opatrení v súvislosti s rizikami a povahou osobných údajov, ktoré sa majú chrániť. Pri posudzovaní rizík v oblasti bezpečnosti údajov by sa mali zohľadniť riziká spojené so spracúvaním údajov, ako sú napríklad náhodná alebo nezákonná likvidácia, strata, zmena alebo neoprávnené poskytovanie prenášaných, uchovávaných alebo inak spracúvaných osobných údajov alebo neoprávnený prístup k nim, ktoré by mohli viesť k ujme na zdraví, majetkovej alebo nemajetkovej ujme. Príslušný orgán a sprostredkovateľ by mali zabezpečiť, aby spracúvanie osobných údajov nevykonávali neoprávnené osoby.

K § 72

Ak sa porušenie ochrany osobných údajov nerieši primeraným spôsobom a včas, môže fyzickým osobám spôsobiť ujmu na zdraví, majetkovú alebo nemajetkovú ujmu, ako je napríklad strata kontroly nad svojimi osobnými údajmi alebo obmedzenie práv týchto osôb, diskriminácia, krádež totožnosti alebo podvod, finančná strata, neoprávnená reverzná pseudonymizácia, poškodenie dobrého mena, strata dôvernosti osobných údajov chránených profesijným tajomstvom alebo akékoľvek iné závažné hospodárske či sociálne znevýhodnenie dotknutej fyzickej osoby. Príslušný orgán by mal preto ihneď, ako sa dozvie, že došlo k porušeniu ochrany osobných údajov, najneskôr do 72 hodín od okamihu, ako sa dozvedel, že došlo k porušeniu ochrany osobných údajov, toto porušenie oznámiť dozornému orgánu s výnimkou prípadov, keď vie príslušný orgán v súlade so zásadou zodpovednosti preukázať, že nie je pravdepodobné, že porušenie ochrany osobných údajov povedie k riziku pre práva fyzických osôb. Ak nie je možné oznámenie podať do 72 hodín, malo by k oznámeniu pripojiť odôvodnenie omeškania, pričom informácie možno poskytnúť vo viacerých fázach bez ďalšieho zbytočného odkladu.
Ak porušenie ochrany osobných údajov pravdepodobne povedie k vysokému riziku pre práva fyzických osôb, mala by sa táto skutočnosť oznámiť fyzickým osobám, aby sa im umožnilo prijať potrebné preventívne opatrenia. V oznámení by sa mala uviesť povaha porušenia ochrany osobných údajov, ako aj odporúčania pre dotknutú fyzickú osobu o tom, ako zmierniť potenciálne nepriaznivé dôsledky. Dotknuté osoby by mali byť informované čo možno najskôr, v úzkej spolupráci s dozorným orgánom a v súlade s usmerneniami tohto alebo iného príslušného orgánu. Napríklad potreba zmierniť bezprostredné riziko škody by si vyžadovala promptné informovanie dotknutých osôb, zatiaľ čo potreba vykonať primerané opatrenia na zabránenie trvaniu alebo výskytu podobných porušení ochrany údajov môže vyžadovať viac času na informovanie. Ak nemožno zabrániť mareniu úradného alebo súdneho zisťovania, vyšetrovania alebo konania, zabrániť ohrozeniu plnenia úloh na účely trestného konania, či dosiahnuť ochranu verejnej bezpečnosti alebo národnej bezpečnosti alebo ochranu práv iných osôb prostredníctvom odkladu alebo obmedzenia informovania dotknutej osoby o porušení ochrany osobných údajov, možno vo výnimočných prípadoch od takéhoto oznámenia upustiť.

K § 73

Určuje, ktoré ustanovenia tohto zákona druhej časti sa vzťahujú na spracúvanie osobných údajov príslušnými orgánmi pri prenose osobných údajov do tretích krajín a medzinárodným organizáciám. Ustanovenie deklaruje že prenos osobných údajov medzi príslušnými orgánmi v rámci Európskej únie sa zaručuje ak sa takýto prenos vyžaduje podľa osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná.

K § 74

Prenos do tretej krajiny alebo medzinárodnej organizácii sa môže uskutočniť len vtedy, ak je to potrebné na plnenie úloh na účely trestného konania, pričom prevádzkovateľ v tretej krajine alebo medzinárodná organizácia je príslušným orgánom v zmysle tohto zákona. Prenos by mali uskutočniť len príslušné orgány konajúce ako prevádzkovatelia s výnimkou prípadov, keď sa sprostredkovateľom výslovne udelil pokyn uskutočniť prenos v mene príslušných orgánov. Takýto prenos sa môže uskutočniť v prípade, že Komisia rozhodla, že daná tretia krajina alebo medzinárodná organizácia zaručuje primeranú úroveň ochrany, ak sa poskytli primerané záruky, alebo ak platia výnimky pre osobitné situácie. Úroveň ochrany fyzických osôb by nemala byť ohrozená, keď sa osobné údaje prenášajú z Únie prevádzkovateľom, sprostredkovateľom alebo iným príjemcom v tretích krajinách alebo medzinárodným organizáciám, a to ani v prípadoch následného prenosu osobných údajov z tretej krajiny alebo medzinárodnej organizácie prevádzkovateľom či sprostredkovateľom v rovnakej alebo inej tretej krajine alebo medzinárodnej organizácii.

V prípade prenosu osobných údajov do tretích krajín alebo medzinárodným organizáciám by sa takýto prenos mal uskutočniť iba po tom, čo ho povolil členský štát, od ktorého sa údaje získali. Záujmy efektívnej spolupráce v oblasti presadzovania práva si vyžadujú, aby v prípade, keď je ohrozenie verejnej bezpečnosti členského štátu alebo tretej krajiny alebo záujmov členského štátu také bezprostredné, že nie je možné včas získať predchádzajúce povolenie, príslušný orgán by mal mať možnosť uskutočniť prenos daných osobných údajov do dotknutej tretej krajiny alebo medzinárodnej organizácii bez takéhoto predchádzajúceho povolenia. Akékoľvek osobitné podmienky týkajúce sa prenosu by sa mali oznámiť tretím krajinám alebo medzinárodným organizáciám. Následné prenosy osobných údajov by mali podliehať predchádzajúcemu povoleniu príslušného orgánu, ktorý uskutočnil pôvodný prenos. Pri rozhodovaní o žiadosti o povolenie následného prenosu by mal príslušný orgán, ktorý uskutočnil pôvodný prenos, náležite zohľadniť všetky relevantné okolnosti vrátane závažnosti trestného činu, osobitných podmienok a účelu pôvodného prenosu údajov, povahy a podmienok výkonu trestných sankcií a úrovne ochrany osobných údajov v tretej krajine alebo medzinárodnej organizácii, do ktorej sa uskutočňuje následný prenos osobných údajov. Príslušný orgán, ktorý uskutočnil pôvodný prenos, by mal mať aj možnosť stanoviť osobitné podmienky pre následný prenos, ktoré možno popísať napríklad v manipulačných pravidlách.
Predmetné ustanovenia návrhu zákona súvisia, respektíve dopĺňajú príslušné ustanovenia druhej časti tohto zákona; nakoľko podstatou nie je úprava, či stanovenie podmienok prenosu, ale ustanovenie oznamovacej povinnosti príslušného orgánu pri porušení ochrany osobných údajov.

K § 75

Prenosy, ktoré nie sú založené na rozhodnutí o primeranosti, by sa mali umožniť len vtedy, ak sa poskytli primerané záruky v právne záväznom akte, ktorý zaručuje ochranu osobných údajov, alebo ak príslušný orgán posúdil všetky okolnosti sprevádzajúce prenos údajov a na základe tohto posúdenia dospel k záveru, že existujú primerané záruky ochrany osobných údajov. Právne záväznými aktmi môžu byť napríklad právne záväzné dvojstranné dohody, ktorých výkonu by sa mohli domáhať dotknuté osoby, zabezpečujúce súlad s požiadavkami na ochranu údajov a práva dotknutých osôb vrátane práva na účinný správny alebo súdny prostriedok nápravy. Príslušný orgán môže zohľadniť aj skutočnosť, že prenos osobných údajov bude podliehať povinnostiam zachovávania dôvernosti a zásade špecifickosti, čím sa zabezpečí, že údaje sa nebudú spracúvať na iné účely, než sú účely prenosu. Okrem toho by mal príslušný orgán zohľadniť, že osobné údaje sa nepoužijú na požadovanie, uloženie alebo vykonanie trestu smrti alebo akejkoľvek inej formy krutého alebo neľudského zaobchádzania. Hoci by sa uvedené podmienky mohli považovať za primerané záruky umožňujúce prenos údajov, príslušný orgán by mal mať možnosť vyžadovať dodatočné záruky.

K § 76

V prípadoch, keď neexistuje žiadne rozhodnutie o primeranosti ani primerané záruky, malo by byť možné uskutočniť prenos alebo kategóriu prenosov len v osobitných situáciách, ak je to nevyhnutné na ochranu životne dôležitých záujmov dotknutej osoby či inej osoby alebo na zabezpečenie oprávnených záujmov dotknutej osoby za podmienok v tomto ustanovení; na predchádzanie bezprostrednému a vážnemu ohrozeniu verejnej bezpečnosti členského štátu alebo tretej krajiny; v jednotlivom prípade na plnenie úloh na účely trestného konania; alebo v jednotlivom prípade na preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov. Uvedené výnimky by sa mali vykladať reštriktívne a nemali by umožňovať časté, hromadné a štruktúrované prenosy osobných údajov alebo rozsiahle prenosy údajov, ale mali by byť obmedzené na nevyhnutne potrebné údaje. Takéto prenosy musia byť zdokumentované a musia sa na požiadanie sprístupniť dozornému orgánu na účely monitorovania zákonnosti prenosu.

K § 77

Príslušné orgány uplatňujú platné dvojstranné alebo mnohostranné medzinárodné dohody uzavreté s tretími krajinami v oblasti justičnej spolupráce v trestných veciach a policajnej spolupráce na výmenu relevantných informácií, ktoré im umožňujú výkon ich úloh uložených zákonom. V zásade sa to uskutočňuje na základe spolupráce orgánov dotknutých tretích krajín príslušných na plnenie úloh na účely trestného konania alebo aspoň v spolupráci s nimi, niekedy dokonca aj vtedy, ak dvojstranná či mnohostranná medzinárodná dohoda neexistuje. V osobitných jednotlivých prípadoch však riadne postupy požadujúce nadviazanie kontaktu s takýmto orgánom v tretej krajine môžu byť neefektívne alebo nevhodné, najmä preto, že by sa presun nemohol uskutočniť včas, alebo preto, že tento orgán v tretej krajine nedodržiava zásady právneho štátu alebo medzinárodné normy a štandardy v oblasti ľudských práv, a preto by sa príslušné orgány mohli rozhodnúť, že uskutočnia prenos osobných údajov priamo príjemcom usadeným v týchto tretích krajinách. Možno tak postupovať vtedy, keď je naliehavo potrebné vykonať prenos osobných údajov na záchranu života osoby, ktorej hrozí, že sa stane obeťou trestného činu, alebo v záujme zabránenia bezprostrednému spáchaniu trestného činu vrátane terorizmu. Aj keby k takémuto presunu medzi príslušnými orgánmi a príjemcami usadenými v tretích krajinách malo dochádzať len v určitých jednotlivých prípadoch, v tomto zákone sa ustanovujú podmienky s cieľom úpravy takýchto prípadov. Uvedené ustanovenia by sa nemali považovať za výnimky zo žiadnych existujúcich dvojstranných alebo mnohostranných medzinárodných dohôd v oblasti justičnej spolupráce v trestných veciach a policajnej spolupráce.

K § 78

Týmto ustanovením došlo k prijatiu vnútroštátnej úpravy pre v nariadení určené oblasti ochrany osobných údajov. Nariadenie vo svojich splnomocňujúcich ustanoveniach umožnilo členským štátom Únie prijať vo vnútroštátnom práve legislatívne opatrenia pre oblasť ochrany osobných údajov, ktorými môžu určiť výnimky a odchýlky potrebné v týchto určených oblastiach ochrany osobných údajov, najmä na dosiahnutie rovnováhy medzi právami dotknutých osôb a spracovateľskej činnosti prevádzkovateľov. V prípade, že sa takéto výnimky alebo odchýlky členských štátov navzájom líšia, rozhodným právom je právo členského štátu, ktorému podlieha prevádzkovateľ.

odsek 1 až odsek 3

Ustanovuje podmienky spracúvania osobných údajov fyzickej dotknutej osoby kedy na spracúvanie osobných údajov dotknutej osoby za dodržania osobitne stanovených podmienok nie je potrebný súhlas dotknutej osoby.
Ide o spracúvanie osobných údajov dotknutej osoby bez jej súhlasu na účely akademické, umelecké alebo literárne, alebo ak spracúvanie osobných údajov je nevyhnutné pre potreby informovania verejnosti masovokomunikačnými prostriedkami a ak osobné údaje spracúva prevádzkovateľ, ktorému to vyplýva z predmetu činnosti, prípadne ide o situáciu kedy je prevádzkovateľ zamestnávateľom dotknutej osoby a na účely a v súvislosti s plnením pracovných, služobných alebo funkčných povinností dotknutej osoby je oprávnený poskytovať alebo zverejniť jej osobné údaje v rozsahu titul, meno, priezvisko, pracovné, služobné zaradenia, funkčné zaradenie, osobné alebo zamestnanecké číslo zamestnanca, odborný útvar, miesto výkonu práce, telefónne číslo, faxové číslo, adresu elektronickej pošty na pracovisko a identifikačné údaje zamestnávateľa. Vo všetkých vyššie uvedených prípadoch je povinný rešpektovať právo dotknutej osoby na ochranu jej osobnosti a zvážiť, či je dané spracovateľská operácie skutočne nevyhnutná.

odsek 4

Pri spracúvaní osobných údajov možno využiť na účely identifikovania fyzickej osoby všeobecne použiteľný identifikátor  - rodné číslo, ustanovený osobitným predpisom len vtedy, ak jeho použitie je nevyhnutné na dosiahnutie daného účelu spracúvania. Ak sa spracúva rodné číslo na právnom základe súhlasu dotknutej osoby, takýto súhlas musí byť výslovný a súčasne nesmie byť takéto spracúvanie rodného čísla zakázané osobitným predpisom. Zverejňovať všeobecne použiteľný identifikátor sa zakazuje.

odsek 5

Dáva prevádzkovateľ možnosť spracúvať genetické údaje, biometrické údaje a údaje týkajúce sa zdravia aj na právnom základe osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná.  Ide o oprávnenie pre prevádzkovateľa, ktorý spracúvanie uvedených osobných údajov potrebuje na účely napríklad poskytovania zdravotnej starostlivosti poskytovanej na základe osobitných zákonov.

odsek 6

Ochrana osobných údajov dotknutej osoby je primárna a preto aj spracúvanie a získavanie osobných údajov o inej fyzickej osobe z informačného systému prevádzkovateľa je podmienené  predchádzajúcim písomným súhlasom dotknutej osoby, povinnosť tento predchádzajúci súhlas získať neplatí, ak poskytnutím osobných údajov o dotknutej osobe do informačného systému iná fyzická osoba chráni svoje práva alebo právom chránené záujmy, alebo oznamuje skutočnosti, ktoré odôvodňujú uplatnenie právnej zodpovednosti dotknutej osoby, alebo sa osobné údaje spracúvajú na základe osobitného zákona podľa konkrétnych ustanovení tohto zákona. Ten, kto takto osobné údaje spracúva, musí vedieť preukázať úradu kedykoľvek na jeho žiadosť, že ich získal v súlade s týmto zákonom.

odsek 7

Stanovuje pravidlá spracúvania osobných údajov zosnulých osôb.




odsek 8 až 10

Na spracúvanie osobných údajov na účely archivácie, na účely vedeckého alebo historického výskumu či na štatistické účely sa vzťahujú primerané záruky ochrany práv a slobôd dotknutých osôb podľa tohto ustanovenia.
Spracúvanie osobných údajov na účely archivácie, a na vedecký alebo historický výskumu a štatistický sú tzv. privilegované účely, na ktoré sa vzťahuje výnimka zo zásady obmedzenia účelu, a teda ak prevádzkovateľ príjme primerané záruky ochrany osobných údajov, môže spracúvať osobné údaje na tieto privilegované účely na pôvodom právnom základe. Tieto záruky obsahujú zavedenie primeraných a účinných technických a organizačných opatrení najmä s cieľom zabezpečiť dodržiavanie zásady minimalizácie údajov, pseudonymizácie, pokiaľ sa týmto opatrením môžu dosiahnuť uvedené účely. Privilegovaný účel je účel v zásade zlučiteľný s pôvodným účelom bez potreby vykonania testu zlučiteľnosti. Ďalšie spracúvanie na účely archivácie, na účely vedeckého či historického výskumu alebo štatistické účely sa považuje za zlučiteľné so zákonnými spracovateľskými operáciami.

Nakoľko ide o privilegované účely je možné pri spracúvaní osobných údajov na tieto účely obmedziť aj práva dotknutej osoby, a to právo na prístup, právo na opravu, právo na obmedzenie a právo namietať, a na účely archivácie vo verejnom záujme aj právo na oznámenie a právo na prenosnosť podľa tohto zákona.

odsek 11

Stanovuje pre prevádzkovateľa a sprostredkovateľa povinnosť, aby pri prijímaní bezpečnostných opatrení a pri posudzovaní vplyvu na ochranu osobných údajov postupovali  podľa tohto zákona alebo osobitného predpisu a primerane podľa medzinárodných noriem a štandardov bezpečnosti.

K § 79

Stanovuje povinnosť mlčanlivosti pre prevádzkovateľa a sprostredkovateľa o osobných údajoch, ktoré spracúvajú, pričom platí, že povinnosť mlčanlivosti obdobne platí aj pre zamestnancov prevádzkovateľa a sprostredkovateľa, ktorí z titulu svojej práce alebo vzhľadom na svoje povinnosti prídu do styku s osobnými údajmi, pre nich platí obdobne povinnosť zachovať mlčanlivosť, a to aj po skončení pracovného vzťahu u prevádzkovateľa alebo sprostredkovateľa.
Tento zákon tiež stanovuje výnimky, kedy sa povinnosť mlčanlivosti neuplatní, a to ak je to nevyhnutné na plnenie úloh súdu a orgánov činných v trestnom konaní podľa osobitného zákona, tým nie sú dotknuté ustanovenia o mlčanlivosti podľa osobitných predpisov, taktiež povinnosť mlčanlivosti neplatí a nepoužije sa vo vzťahu k úradu pri plnení úloh podľa tohto zákona.

K § 80

Na základe tohto zákona sa zriaďuje úrad, ako  orgán štátnej správy s celoslovenskou pôsobnosťou, ktorý vykonáva dozor nad ochranou osobných údajov, vrátane dozoru nad ochranou osobných údajov spracúvaných príslušnými orgánmi, okrem prípadov podľa § 81 ods. 7 a 8 tohto zákona, a podieľa sa na ochrane práv fyzických osôb pri spracúvaní ich osobných údajov. Sídlom úradu je Bratislava. Úrad na plnenie úloh dozorného orgánu nad ochranou osobných údajov môže zriaďovať a zrušovať detašované pracoviská mimo svojho sídla a určovať územný obvod ich pôsobnosti. Úrad pri výkone svojej pôsobnosti postupuje nezávisle a riadi sa ústavou, ústavnými zákonmi, zákonmi, ostatnými všeobecne záväznými právnymi predpismi a medzinárodnými zmluvami, ktorými je Slovenská republika viazaná.

Úrad je rozpočtovou organizáciou, návrh rozpočtu predkladá úrad ako súčasť kapitoly Všeobecná pokladničná správa, schválený rozpočet úradu môže znížiť v priebehu kalendárneho roku iba Národná rada Slovenskej republiky.

Podrobnosti o organizácii úradu upraví organizačný poriadok úradu, ktorý vydá predseda úradu.
K § 81

Definuje pozitívnym výpočtom úlohy a právomoci, ktoré úrad vykonáva na základe tohto zákona a článku 57 až 59 nariadenia. Úrad ma pozitívnym spôsobom vymedzené úlohy, ktoré plní na základe tohto zákona alebo na základe nariadenia. V ustanovení sa pozitívnym spôsobom vymedzujú oprávnenia úradu, ktoré môže pri plnení svojich úloh vykonávať.
Stanovuje sa, že predmetom dozoru nad ochranou osobných údajov nie sú spory zo zmluvných alebo predzmluvných vzťahov medzi prevádzkovateľom alebo sprostredkovateľom a dotknutými osobami alebo inými fyzickými osobami, alebo právnickými osobami, na ktorých prejednávanie a rozhodovanie sú príslušné súdy alebo iné orgány podľa osobitných predpisov.
Úrad nie je príslušný na vykonávanie dozoru nad spracúvaním osobných údajov súdmi pri výkone ich súdnej právomoci, túto dozornú úlohu plní Ministerstvo spravodlivosti Slovenskej republiky. Taktiež úrad neplní dozornú právomoc voči Národnému bezpečnostnému úradu vykonávajúcemu spracúvanie podľa osobitného predpisu, dozor vykonáva v tomto prípade Národná rada Slovenskej republiky.

K § 82

Ustanovujú sa náležitosti týkajúce sa najvyššieho predstaviteľa úradu, štatutárneho orgánu úradu, ktorým je predseda úradu volený  a odvolávaný Národnou radou Slovenskej republiky na návrh vlády Slovenskej republiky. Ustanovuje sa dĺžka jeho funkčného obdobia a možnosť jeho opakovanej voľky. Zákon ustanovuje náležitosti, ktoré musí splniť občan Slovenskej republiky na to, aby mohol byť za predsedu úradu zvolený. Ustanovujú sa situácie, kedy výkon funkcie predsedu zaniká a kedy predseda úradu môže byť z funkcie odvolaný. Platové náležitosti predsedu úradu určuje vláda.

K § 83

Vymedzuje a definuje podpredsedu úradu z hľadiska jeho kreovania a vymenovania do funkcie a taktiež určuje orgány, ktorým táto právomoc patrí. Podpredseda úradu zastupuje predsedu úradu a tiež sa na neho primerane vzťahujú v zákone špecifikované ustanovenia týkajúce sa predsedu úradu.

K § 84

Stanovuje povinnosť všetkých zamestnancov úradu, vrátane predsedu a podpredsedu úradu, aby boli pri svojej činnosti zaviazaní zachovávať mlčanlivosť o skutočnostiach, o ktorých sa dozvedia z titulu plnenia si svojich pracovných a služobných povinností.
Ustanovenie vymedzuje, že povinnosť mlčanlivosti sú povinní zamestnanci úradu dodržiavať nielen počas trvania ich funkčného obdobia alebo štátnozamestnaneckého pomeru, alebo ich výkonu práce vo verejnom záujme, ako aj po jeho skončení, nakoľko aj potom sú niektoré informácie a skutočnosti, ktoré sú im známe z ich pôsobenia na úrade zásadné a ich prezradením by mohlo dôjsť napríklad k ohrozeniu ochrany osobných údajov, a to napríklad prezradením bezpečnostných opatrení prevádzkovateľa. Povinnosť mlčanlivosti zamestnanec úradu nie je povinný dodržiavať a neplatí, ak je poskytnutie informácie potrebné a nevyhnutné na plnenie úloh súdu alebo orgánov činných v trestnom konaní podľa osobitného predpisu, ak tým nebude porušená povinnosť mlčanlivosti podľa iného predpisu. Oslobodiť od povinnosti mlčanlivosti zamestnancov môže predseda úradu a predsedu úradu Národná rada Slovenskej republiky.

K § 85

odsek 1 a 2

Vykonanie primeraných opatrení a preukázanie súladu prevádzkovateľom alebo sprostredkovateľom, najmä pokiaľ ide o identifikáciu rizika súvisiaceho so spracúvaním osobných údajov, na jeho posúdenie so zreteľom na pôvod, povahu, pravdepodobnosť a závažnosť, a na identifikáciu najlepších postupov na zmiernenie rizika pri spracúvaní osobných údajov sa môže prijať najmä na základe úradom schválených kódexov správania. Schváleným kódexom správania skupina prevádzkovateľov alebo sprostredkovateľov deklaruje, že predmet, na ktorý sa kódex správania vzťahuje a v kontexte predmetu aj spracovateľské operácie s osobnými údajmi sú vykonávané členmi kódexu správania v súlade so zákonom a nariadením. Navonok možno kódex správania považovať za deklarovanie súladu so zákonom a nariadením voči dotknutým osobám, úradu a iným prevádzkovateľom alebo sprostredkovateľom. Dovnútra prevádzkovateľa alebo sprostredkovateľa dodržiavanie schváleného kódexu správania znamená, že prevádzkovateľ alebo sprostredkovateľ musí činnosti a spracovateľské operácie, na ktoré má schválený kódex správania, mať v súlade so zákonom a nariadením, teda má aj svoje vnútorné procesy napríklad voči zamestnancom spracúvajúcim osobné údaje nastavené tak, aby boli súladné so zákonom a nariadením. Schválením kódexu správania nie je v nijakom smere dotknutá zodpovednosť prevádzkovateľa alebo sprostredkovateľa dodržiavať tento zákon, osobitný predpis alebo nariadenie.

odsek 3 až 6
Stanovuje sa kto podáva úradu žiadosť o schválenie návrhu kódexu správania, aké náležitosti musí žiadosť mať, aké doklady a písomnosti je potrebné k žiadosti priložiť. Je definovaný postup úradu v prípade, ak žiadateľ podal úradu neúplnú žiadosť alebo ak v konaní o schválení kódexu správania vzniknú pochybnosti o preukázaní súladu so zákonom a nariadením.

odsek 7 až 14
Ustanovuje sa priebeh konania o schválení kódexu správania a prípady, kedy je možné sa proti rozhodnutiu v konaní o schválení kódexu správania odvolať a kedy nie. O odvolaní rozhoduje predseda úradu.

odsek 15
Stanovuje sa, že úrad bude na svojom webovom sídle zverejňovať zoznam schválených kódexov správania.

odsek 16
Ustanovuje sa povinnosť pre združenie alebo iný subjekt zastupujúci prevádzkovateľov alebo sprostredkovateľov, ktorým bol schválený kódex správania, aby najneskôr do 15 dní odo dňa zistenia zmeny týkajúcej sa kódexu správania túto úradu písomne oznámili.

K § 86

odsek 1 a 2
Na účely preukázania súladu spracúvania osobných údajov a existencie primeraných záruk ochrany osobných údajov podľa tohto zákona alebo osobitného predpisu môže prevádzkovateľ alebo sprostredkovateľ požiadať úrad alebo certifikačný subjekt o vydanie alebo obnovenie certifikátu. Proces vydávania, odnímania a obnovy certifikátu má vo svojej kompetencii úrad a certifikačný subjekt akreditovaný úradom. 

odsek 3
Úrad alebo certifikačný subjekt posudzuje v rámci konania o vydanie certifikátu súlad spracúvania osobných údajov a existenciu primeraných záruk ochrany osobných údajov prevádzkovateľa alebo sprostredkovateľa na základe certifikačných kritérií v súlade s týmto zákonom, pričom platí, že vydanie certifikátu neznižuje zodpovednosť prevádzkovateľa alebo sprostredkovateľa za dodržiavanie tohto zákona a nariadenia a nie sú ním ani dotknuté právomoci úradu.

odsek 4 až 8
Stanovuje sa kto podáva úradu žiadosť o vydanie certifikátu alebo jeho obnovu, aké náležitosti musí žiadosť mať, aké doklady a písomnosti je potrebné k žiadosti priložiť. Je definovaný postup úradu v prípade, ak žiadateľ podal úradu neúplnú žiadosť alebo ak v konaní o vydanie alebo obnovu certifikátu  vzniknú pochybnosti o preukázaní súladu so zákonom a nariadením. Úrad bude na svojom webovom sídle zverejňovať vydané certifikáty.

odsek 9 až 15
Ustanovuje sa priebeh konania o vydanie alebo obnovu certifikátu a prípady, kedy je možné sa proti rozhodnutiu v konaní o vydanie certifikátu odvolať a kedy nie. O odvolaní rozhoduje predseda úradu. Ak je na základe rozhodnutia  o vydaní certifikátu alebo jeho obnove rozhodnuté úrad vydá žiadateľovi certifikát na obdobie troch rokov. Stanovujú sa náležitosti certifikátu.

odsek 16 a 18
Stanovujú sa podmienky a lehoty pre žiadosť o obnovenie už vydaného certifikátu a konania o obnove certifikátu. Ustanovujú sa povinnosti, ktoré je certifikovaná osoba povinná v kontexte vydaného certifikátu dodržiavať.

odsek 19
Splnomocňovacie ustanovenie, na vydanie vykonávacieho predpisu úradu, ktorým sa stanovia certifikačné kritéria, podmienky certifikačného postupu, obsahové náležitosti technickej a bezpečnostnej dokumentácie a podmienky výkonu auditu ochrany osobných údajov vrátane podmienok odborných znalostí audítora. Audit ochrany osobných údajov je posúdenie stavu spracúvania osobných údajov v podmienkach prevádzkovateľa alebo sprostredkovateľa  a jeho súladu s nariadením / zákonom, s medzinárodnými normami a štandardmi bezpečnosti ochrany osobných údajov (napr. ISO 27001, ISO 17065) a uznávanými národnými štandardmi (vykonávací právny predpis).

K § 87

odsek 1 až 3
Úradom schválené kódexy správania sa majú monitorovať, túto monitorovaciu činnosť vykonávajú subjekty akreditované úradom s dostatočným materiálnym a personálnym vybavením, ktoré v rámci posúdenia spôsobilosti žiadateľa o to, aby bol akreditovaný úradom posudzuje úrad. Stanovuje sa, kto môže byť akreditovaným monitorujúcim subjektom.
Kódexy správania schválené úradom pre orgány verejnej moci a verejnoprávne subjekty nepodliehajú činnosti monitorovacieho subjektu, tým nie sú dotknuté právomoci úradu podľa tohto zákona, vrátane dozornej činnosti úradu. Kódexy správania schválené úradom pre orgány verejnej moci a verejnoprávne subjekty môžu byť predmetom kontroly zo strany úradu, v rámci ktorej sa v zmysle vytýčeného predmetu kontroly bude môcť posudzovať súladnosť a dodržiavanie schváleného kódexu správania týchto subjektov.

odsek 4 a 5
Stanovujú sa oprávnenia monitorujúceho subjektu a tiež povinnosť a lehota o prijatých opatreniach informovať úrad.

odsek 6 až 9
Stanovuje sa kto podáva úradu žiadosť o akreditáciu monitorujúceho subjektu, aké náležitosti musí žiadosť mať, aké doklady a písomnosti je potrebné k žiadosti priložiť. Je definovaný postup úradu v prípade, ak žiadateľ podal úradu neúplnú žiadosť alebo ak v konaní o akreditáciu monitorujúceho subjektu  vzniknú pochybnosti o preukázaní súladu so zákonom a nariadením.

odsek 10 až 12, 15,16
Ustanovuje sa priebeh a lehota na rozhodnutie v rámci konania o akreditáciu monitorujúceho subjektu a prípady, kedy je možné sa proti rozhodnutiu v konaní o akreditáciu monitorujúceho subjektu odvolať a kedy nie. Stanovuje sa, že o odvolaní rozhoduje predseda úradu.

odseky 13,14,17
Ustanovujú sa náležitosti osvedčenia o akreditácii. Stanovuje sa, že osvedčenie o akreditácii je verejnou listinou. Ustanovuje sa, že úrad na svojom webovom sídle zverejňuje vydané osvedčenia o akreditácii.

odsek 18
Stanovujú sa podmienky kedy úrad pozastaví platnosť akreditácie prípadne akreditáciu monitorujúceho subjektu zruší.

odsek 19
Stanovujú sa povinnosti akreditovaného monitorujúceho subjektu.

odsek 20
Splnomocňovacie ustanovenie, na základe ktorého úrad všeobecne záväzným právnym predpisom ustanoví kritéria na udelenie akreditácie, podmienky akreditačného postupu, obsahové náležitosti technickej a bezpečnostnej dokumentácie a podmienky výkonu auditu monitorovania kódexu správania vrátane podmienok odborných znalostí audítora.

K § 88

odsek 1 až 3
Posúdenie súladu spracúvania osobných údajov a existenciu primeraných záruk ochrany osobných údajov podľa tohto zákona a nariadenie posudzuje certifikačný subjekt, ktorý je akreditovaný úradom a ktorý spĺňa materiálne, personálne a technické predpoklady na to, aby mohol uvedenú činnosť vykonávať. Výsledkom tejto činnosti, posudzovania súladu procesov spracúvania nastavených prevádzkovateľom alebo sprostredkovateľom so zákonom alebo nariadením je vydanie certifikátu certifikačným subjektom, obnova certifikátu certifikačným subjektom alebo aj odňatie certifikátu certifikačným subjektom. Certifikačným subjektom môže byť iba právnická osoba alebo fyzická osoba – podnikateľ.

odsek 4 až 10, 13, 14
Stanovuje sa kto podáva úradu žiadosť o udelenie akreditácie, aké náležitosti musí žiadosť mať, aké doklady a písomnosti je potrebné k žiadosti priložiť. Je definovaný postup úradu v prípade, ak žiadateľ podal úradu neúplnú žiadosť alebo ak v konaní o akreditáciu certifikačného subjektu  vzniknú pochybnosti o preukázaní súladu so zákonom a nariadením. Ustanovuje sa priebeh konania o udelení akreditácie a prípady, kedy je možné sa proti rozhodnutiu v konaní o udelenie akreditácie odvolať a kedy nie. Stanovuje sa, že o odvolaní rozhoduje predseda úradu.

odsek 11, 12, 15
Na základe rozhodnutia o akreditácii je žiadateľovi úradom vydané osvedčenie o udelení akreditácie na obdobie piatych rokov; osvedčenie o má presne v zákone stanovené náležitosti a je verejnou listinou. Úrad zverejňuje zoznam certifikačných subjektov a schválené certifikačné kritéria na svojom webovom sídle.

odsek 16, 17
Stanovujú sa podmienky a lehota na podanie žiadosti o obnovenie akreditácie a konanie o obnovenie akreditácie. Sú ustanovené podmienky toho, v akom časovom predstihu je potrebné podať včas žiadosť o obnovenie akreditácie úradu a následky, ak sa podanie žiadosti o obnovenie akreditácie včas nestihne.

odsek 18
Stanovujú sa podmienky kedy úrad pozastaví platnosť akreditácie prípadne sa akreditácia certifikačného  subjektu zruší.

odsek 19
Splnomocňovacie ustanovenie, na základe ktorého úrad všeobecne záväzným právnym predpisom ustanoví kritéria na udelenie akreditácie, podmienky certifikačného postupu, certifikačné kritéria, obsahové náležitosti technickej a bezpečnostnej dokumentácie a podmienky výkonu auditu certifikačného postupu vrátane podmienok odborných znalostí audítora.


K § 89

Stanovujú sa povinnosti certifikačného subjektu vo vzťahu k úradu a dotknutému prevádzkovateľovi alebo sprostredkovateľovi vo vzťahu k procesu vydania, obnovy alebo odňatia certifikátu.

K § 90

Kontrola je vykonávaná zamestnancami úradu, ktorí sa na tento účel stávajú členmi kontrolného orgánu, a to na základe písomného poverenia vedúceho zamestnanca alebo predsedu úradu. Pri rozhodnutí, ktorí zo zamestnancov sa v konkrétnom prípade stanú členmi kontrolného orgánu je braná do úvahy požiadavka na odborný a nestranný výkon kontroly a na príslušné vzdelanie a prípadnú prax. Kontrole podlieha prevádzkovateľ,  sprostredkovateľ, prípade zástupca prevádzkovateľa alebo sprostredkovateľa lebo držiteľ osvedčenia o udelení akreditácie. Kontrolou sa rozumie kontrola spracúvania osobných údajov, kontrola dodržiavania schválených kódexov správania, kontrola súladu spracúvania osobných údajov s vydaným certifikátom a kontrola dodržiavania vydaného osvedčenia o udelení akreditácie.

Kontrolu môže kontrolný orgán (úrad) vykonávať na základe  plánu kontrol alebo na základe skutočností, ktoré sa dozvedel v rámci svojej činnosti, na základe podozrenia z porušenia povinností pri spracúvaní osobných údajov, či na základe dopytu útvaru úradu v rámci konania o ochrane osobných údajov pri výkone dozornej činnosti. Začiatok kontroly je viazaný na doručenie oznámenia o kontrole kontrolovanej osobe.

Platí, že všetci členovia kontrolného orgánu sú povinní pri výkone kontroly postupovať tak, aby vykonali všetky potrebné kroky na zistenie reálneho stav spracúvania osobných údajov u kontrolovanej osoby v čase výkonu kontroly alebo bezprostredne pred ňou alebo na zistenie stavu spracúvania osobných údajov v inom čase predchádzajúcom kontrole, ak to podmienky spracúvania osobných údajov určené prevádzkovateľom umožňujú, a zároveň preverili všetky kritické body javiace nesúlad spracúvania osobných údajov so zákonom alebo nariadením. Pri tejto svojej činnosti musia postupovať tak, aby bezdôvodne nezasahovali do práv kontrolovanej osoby a nespôsobili jej tak ujmu, prípadne svojím postupom sami neohrozili spracúvanie osobných údajov.

Stanovujú sa tiež náležitosti poverenia na vykonanie kontroly, vzor poverenie zverejní úrad na svojom webovom sídle.

K § 91

Ustanovenie upravuje zaujatosť v rámci kontroly a postup v prípade, ak sa kontrolný orgán alebo kontrolovaná osoba sa dozvedeli o skutočnostiach zakladajúcich pochybnosti o zaujatosti kontrolného orgánu so zreteľom na jeho vzťah k predmetu kontroly alebo ku kontrolovanej osobe. Podanie námietok zaujatosti nemá odkladný účinok a kontrolný orgán je povinný v rámci už začatej kontroly vykonať aj napriek podaným námietkam len všetky také úkony, ktoré neznesú odklad.
O námietkach zaujatosti kontrolovanej osoby a o oznámení zaujatosti člena kontrolného orgánu rozhodne ten kto kontrolný orgán poveril v lehote 10 pracovných dní od ich uplatnenia. Písomné vyhodnotenie rozhodnutia sa doručí tomu, kto námietku uplatnil. Proti rozhodnutiu o námietkach zaujatosti a proti rozhodnutiu o oznámení zaujatosti člena kontrolného orgánu nemožno podať rozklad.

K § 92 a k § 93

Kontrolný orgán je pri výkone kontroly povinný postupovať v súlade so zákonom. Za týmto účelom, aby nedochádzalo k svojvoľnému konaniu kontrolného orgánu, zákon upravuje jeho povinnosti, na ktoré nadväzujú jeho oprávnenia podľa tohto zákona.

K § 94 a k § 95

Kontrolovaná osoba na účely riadneho výkonu kontroly je povinná svojím správaním a konaním vychádzať kontrolnému subjektu v ústrety, a to najmä na účely riadneho, správneho a podľa možnosti časom primeraného výkonu kontroly; jej povinnosti na tento účel zákon vymenúva taxatívne. Ďalej je kontrolovaná osoba povinná poskytovať kontrolnému orgánu pri výkone kontroly potrebnú súčinnosť v súlade s jeho oprávneniami a zdržať sa akéhokoľvek konania, ktoré by mohlo výkon kontroly mariť. Tento zákon taxatívnym výpočtom následne ustanovuje aj oprávnenia kontrolovanej osoby. Kontrola spracúvania osobných údajov sa vykonáva najmä v priestoroch kontrolovanej osoby, kde sa nachádzajú informačné systémy osobných údajov alebo kde je možné k nim mať priamy prístup. Výkonom kontroly sa myslí aj zaistenie vstupu do informačného systému kontrolovanej osoby alebo umožnenie prístupu  do neho na účely kontroly a preverenie funkčnosti a aplikácie zavedených bezpečnostných opatrení a mechanizmov.

K § 96

Spracúvanie osobných údajov, ktoré podlieha kontrole úradom, prebieha za využitia rôznych technických a technologických prostriedkov, ktoré často zohľadňujú najnovšie trendy vo využívaní informačno-komunikačných technológií a sú náročné na odborné posúdenie. Zákon pamätá aj na prípady, keď je potrebné ku kontrole spracúvania osobných údajov v informačnom systéme prizvať odborníka zo špecifickej oblasti, ktorý poskytne úradu odborné stanovisko. Prizvaná osoba sa zúčastňuje kontroly spracúvania na základe písomného poverenia vedúceho zamestnanca a o jej účasti na kontrole je povinný úrad kontrolovanú osobu upovedomiť. Účasť takejto osoby na kontrole sa považuje za iný úkon vo všeobecnom záujme, za ktorý jej patrí náhrada mzdy, prípadne platu vo výške priemerného zárobku podľa osobitného predpisu, pričom podmienky účasti tejto osoby na kontrole dohodne úrad s prizvanou osobou podľa ustanovení osobitných predpisov. Kontrolovaná osoba je oprávnená vzniesť preukázateľné námietky o zaujatosti prizvanej osoby. O námietkach bez možnosti odvolania sa proti rozhodnutiu rozhodne predseda úradu v zákonom stanovenej lehote.

K § 97 a k § 98

Ustanovenie upravuje spôsob ukončenia kontroly, ktorej výsledkom je protokol so zákonom taxatívne stanovenými náležitosťami, ak sa kontrolou zistí porušenie zákona alebo záznam o kontrole, ak sa kontrolou nezistí porušenie zákona. Protokol a jeho prílohy, tak ako aj dodatok k protokolu tvoria celok.
Kontrolovaná osoba sa s kontrolnými zisteniami v protokole má právo oboznámiť a môže sa k nim vyjadriť formou podania námietok v zákonom stanovenej lehote, nie je to jej povinnosť. V prípade, že námietky v zákonom stanovenej lehote neposkytne, má sa zato, že nemá námietky ku kontrolným zisteniam uvedeným v protokole. Podané námietky, ako aj prípadné nové skutočnosti úrad posúdi v zákonom stanovenej lehote a vyjadrí sa k nim formou dodatku k protokolu. Kontrolný orgán je povinný neprípustnosť námietok kontrolovanej osoby v dodatku zdôvodniť. O výsledku preskúmania námietok je povinný kontrolný orgán kontrolovanú osobu vyrozumieť písomne v zákonom stanovenej lehote. Ak sa kontrolovaná osoba odmietne oboznámiť s obsahom protokolu, vyjadriť sa ku kontrolným zisteniam alebo podpísať protokol, nemá to vplyv na dôsledky vyplývajúce z obsahu tohto dokumentu pre kontrolovanú osobu. Kontrola je ukončená dňom podpísania zápisnice o prerokovaní protokolu, alebo dňom odmietnutia podpísať zápisnicu o prerokovaní protokolu, dňom nedostavenia sa na prerokovanie protokolu na základe písomnej výzvy úradu alebo dňom doručenia záznamu o kontrole.  Ak kontrolou neboli zistené porušenia kontrolný orgán vypracuje záznam o kontrole. Moment ukončenia kontroly je dôležitým údajom v kontexte konania o ochrane osobných údajov. Výkon kontroly spracúvania osobných údajov nie je výkonom kontroly podľa zákona Národnej rady Slovenskej republiky č. 10/1996 Z. z. o kontrole v štátnej správe v znení neskorších predpisov a na výkon kontroly sa zákon č. 71/1967 Zb. o správnom konaní (správny poriadok) v znení neskorších predpisov uplatní iba pri doručovaní písomností.

K § 99 až k § 103

Stanovujú účel a charakteristiku konania o ochrane osobných údajov. Účelom konania o ochrane osobných údajov je zistiť a preveriť či došlo k porušeniu práv fyzických osôb pri spracúvaní ich osobných údajov a v prípade zistenie porušenia a nedostatkov, ak je to dôvodené a účelné uložiť opatrenia na nápravu, prípadne pokutu. Konanie prebieha neverejne. Účastníkom konania môže byť dotknutá osoba, prevádzkovateľ, sprostredkovateľ, certifikačný a monitorujúci subjekt. V prípade, ak sa návrh na začatie konania týka prevádzkovateľa alebo sprostredkovateľa, kde príslušným orgánom je dozorný orgán, alebo vedúcim orgán je dozorný orgán iného členského štátu úrad v takom prípade postupuje v konaní podľa nariadenia.
Konanie sa začína na návrh dotknutej, alebo inej osoby tvrdiacej, ktorá tvrdí, že je dotknutá na svojich právach, alebo sa konanie začína bez návrhu. Ak návrh úradu doručí iná osoba ako dotknutá, návrh za považuje za podnet na začatie konania bez návrhu. Na posúdenie podnetu má úrad 30 od jeho doručenia, ak podnet neodloží  začne konanie o ochrane osobných údajov a rozhodne vo veci. O spôsobe vybavenia podnetu je úrad povinný osobu, ktorá ho podala, písomne v stanovenej lehote informovať. Úrad začne konanie aj z vlastnej iniciatívy, ex officio, ak zistí pri výkone dozoru, že by práva fyzických osôb pri spracúvaní ich osobných údajov mohli byť porušené. Stanovujú sa základné náležitosti návrhu na začatie konania a podmienky, kedy úrad návrh odloží.
V prípade ak navrhovateľ iniciatívne nepožaduje v konaní utajenie svojej totožnosti úrad návrh vybaví bez utajenia osobných údajov navrhovateľa.  V prípade ak navrhovateľ takúto požiadavku vzniesol, no konanie bez odtajnenia aspoň niektorých jeho osobných údajov nemôže pokračovať, je úrad povinný o tom navrhovateľ upovedomiť, pričom ho upozorní na to, že ak bude trvať na neodtajnení a neudelí úradu súhlas v konaní o návrhu nebude možné pokračovať.

Úrad má povinnosť v konaní rozhodnúť, ak je to možné do  90 dní od jeho začatia, ak je to odôvodnené úrad si môže lehotu na rozhodnutie predĺžiť maximálne o 180 dní, o čom je povinný písomne informovať účastníkov konania. Ak sa v rámci konania koná kontrola spracúvania osobných údajov lehota na vydanie rozhodnutia neplynie v čase konanie kontroly, teda od jej začatia až do dňa jej ukončenia. Ak počas konania sú splnené podmienky na prerušenie konania, úrad toto preruší a o tejto skutočnosti informuje účastníkov konania.

Ak sa konaním zistí porušenie práv dotknutej osoby alebo iné neplnenie povinností podľa tohto zákona alebo nariadenia úrad vydá rozhodnutie, ktorým môže uložiť opatrenie na nápravu, uložiť pokutu, vylúčiť  z členstva kódexu správania, odňať certifikát, nariadiť certifikačnému subjektu odňatie certifikátu alebo odňať osvedčenie o udelení akreditácie. Ustanovujú sa náležitosti rozhodnutia úradu v konaní o ochrane osobných údajov. Proti rozhodnutiu úradu možno podať rozklad o ktorom rozhoduje predseda úradu. Podaný rozklad môže byť podávateľom rozšírený alebo doplnení o ďalší návrh alebo ďalšie body ako tie o ktorých bolo rozhodnuté iba v lehote určenej na podanie rozkladu.

V prípade ak akútne hrozí porušenie a porušovanie v právach dotknutej osoby a vec neznesie odklad, úrad je oprávnený vydať predbežné opatrenie, na odvrátenie vzniku väčších negatívnych následkov pre dotknutú osobu, ako už vznikli. Na základe uloženého predbežného opatrenia plnenie povinností ním uložených je prevádzkovateľ alebo sprostredkovateľ povinný úrad písomne informovať v lehote ním stanovenej.

K § 104 až k § 106

Za porušenie povinností ustanovených týmto zákon a nariadením možno diferencovane, podľa závažnosti, rozsahu a času trvania, následkov protiprávneho konania, prípadného opakovania takéhoto protiprávneho konania a miery ohrozenia súkromného a rodinného života, počtu dotknutých osôb a iných faktorov, ktoré musí brať úrad do úvahy uložiť pokutu a poriadkovú pokutu. K uloženiu pokuty úrad môže pristúpiť a ukladá ju jednorazovo, poriadkovú pokutu môže uložiť aj opakovane. Stanovujú sa premlčacie lehoty na ukladanie pokút a poriadkových pokút. Pokuty aj poriadkové pokuty sú príjmom štátneho rozpočtu.

Pokuty úrad môže uložiť na základe tohto zákona za správne delikty alebo za nesplnenie úradom uloženého opatrenia.

Úrad môže uložiť aj poriadkovú pokutu, a to inej osobe ako prevádzkovateľovi alebo prevádzkovateľovi, či sprostredkovateľovi, prípadne ich zástupcom.

K  § 107 až k § 109

Stanovuje sa na ktoré konania podľa tohto zákona sa použije všeobecný predpis o správnom konaní a na ktoré sa nepoužije. ustanovuje sa, v ktorých prípadoch všeobecne záväzný právny predpis na vykonanie ustanovení tohto zákona.

Ustanovuje sa povinnosť poskytnúť súčinnosť úradu pri výkone jeho úloh a právomocí a pri výkone dozoru nad dodržiavaním povinností podľa tohto zákona alebo nariadenia a na základe rozhodnutí úradom vydaných, ktorá je všeobecná. Týmto stanovením súčinnosti nie je dotknutá povinnosť poskytovať súčinnosť pri výkone kontroly podľa tohto zákona.

K § 110 a k § 111

Navrhované ustanovenia sú prechodnými ustanoveniami, v rámci ktorých je potrebné sa vysporiadať s úradom a jeho funkcionármi novou právnou úpravou ochrany osobných údajov oproti súčasne platnej právnej úprave vo vzťahu k právam a povinnostiam prevádzkovateľov a sprostredkovateľov, ako aj príslušných orgánov. Je taktiež potrebné sa vysporiadať s konaniami, ktoré boli začaté pred účinnosťou tohto zákona a stanoviť, podľa akých právnych predpisov budú dokončené. V prílohe sa uvádza, ktoré právne záväzné akty Európskej únie sa týmto navrhovaným zákonom preberajú.

K § 112

Ustanovenie uvádza, ktoré všeobecne záväzné právne predpisy sa s nadobudnutím účinnosti tohto zákona zrušujú.

K čl.  II

Návrhom zákona dochádza aj k transpozícii smernice 2016/680 a keďže Vojenská polícia je jedným z príslušným orgánov v zmysle tejto smernice a bude sa na ňu vzťahovať štvrtá časť zákona (Osobitné pravidlá ochrany fyzických osôb pri spracúvaní osobných údajov príslušnými orgánmi), navrhuje sa zo zákona Národnej rady Slovenskej republiky č. 124/1992 Zb. o Vojenskej polícii v znení neskorších predpisov vypustiť, resp. upraviť ustanovenia, ktoré by boli duplicitné k právnej úpravy podľa predloženého návrhu zákona o ochrane osobných údajov.
   
K čl.   III

Návrhom zákona dochádza aj k transpozícii smernice 2016/680 a keďže Policajný zbor je jedným z príslušným orgánov v zmysle tejto smernice a bude sa naňho vzťahovať štvrtá časť zákona (Osobitné pravidlá ochrany fyzických osôb pri spracúvaní osobných údajov príslušnými orgánmi), navrhuje sa zo zákona Národnej rady Slovenskej republiky č. 171/1993 Z. z. o Policajnom zbore v znení neskorších predpisov vypustiť, resp. upraviť ustanovenia, ktoré by boli duplicitné k právnej úpravy podľa predloženého návrhu zákona o ochrane osobných údajov.

K čl. IV

Navrhovaná právna úprava priamo súvisí s článkom 40 až 43 nariadenia, ktoré stanovujú postup certifikácie a jej sledovania a postup vypracúvania kódexov správania a ich sledovania ako prostriedok zvýšenia bezpečnosti spracúvania osobných údajov u prevádzkovateľov alebo sprostredkovateľov. Dodržiavanie schválených kódexov správania a dodržiavanie a monitorovanie subjektov s udelenou certifikáciou bude pre prevádzkovateľa alebo pre sprostredkovateľa možnosť, ako deklarovať súlad s týmto zákonom a s nariadením. Nakoľko v tomto procese bude mať zodpovednosť aj úrad za schválenie kódexov správania a udelenie monitorovacích právomocí subjektom je potrebné, aby bola zohľadnená časová náročnosť celého tohto procesu, čo sa zohľadní vo výške a rozsahu vyberaných  správnych poplatkov. Zavedenie poplatkov predpokladá úpravu zákona č. 145/1995 Z. z. o správnych poplatkoch v znení neskorších právnych predpisov, kde sa navrhuje XXIII Časť „Ochrana osobných údajov“ zmeniť tak, ako je navrhované.

K čl.   V

Návrhom zákona dochádza aj k transpozícii smernice 2016/680 a keďže Zbor väzenskej a justičnej stráže je jedným z príslušným orgánov v zmysle tejto smernice a bude sa naňho vzťahovať štvrtá časť zákona (Osobitné pravidlá ochrany fyzických osôb pri spracúvaní osobných údajov príslušnými orgánmi), navrhuje sa zo zákona č. 4/2001 Z. z. o Zbore väzenskej a justičnej stráže v znení neskorších predpisov vypustiť, resp. upraviť ustanovenia, ktoré by boli duplicitné k právnej úpravy podľa predloženého návrhu zákona o ochrane osobných údajov.

K čl.   VI

Návrhom zákona dochádza aj k transpozícii smernice 2016/680 a keďže prokuratúra je jedným z príslušným orgánov v zmysle tejto smernice a bude sa na ňu vzťahovať štvrtá časť zákona (Osobitné pravidlá ochrany fyzických osôb pri spracúvaní osobných údajov príslušnými orgánmi), navrhuje sa zo zákona č. 153/2001 Z. z. o prokuratúre v znení neskorších predpisov vypustiť, resp. upraviť ustanovenia, ktoré by boli duplicitné k právnej úpravy podľa predloženého návrhu zákona o ochrane osobných údajov.

K čl.  VII

Návrhom nového zákona o ochrane osobných údajov dôjde aj k úprave práv dotknutej osoby, ktoré boli posilnené a ktoré dotknutej osobe dávajú možnosť požadovať od prevádzkovateľa informácie aké osobné údaje o dotknutej osobe spracúva, prípadne, komu boli získané osobné údaje poskytnuté. Ustanovenie § 92a ods. 5 zákona č. 483/2001 Z. z. o bankách a o zmene a doplnení niektorých zákonov je totožné svojím obsahom s právom dotknutej osoby – fyzickej osoby podľa § 22 tohto zákona; vo vzťahu k dotknutým osobám – právnickým osobám klientom banky, toto ustanovenie zostalo zachované. Vypustenie je tiež navrhované z dôvodu zosúladenia právnych predpisov Slovenskej republiky s nariadením. Na účely spresnenia uvedenia spracúvania osobných údajov bankou, ako prevádzkovateľom, bolo doplnené spracúvanie fotografie dotknutej osoby v prípade, ak sa spracúva doklad jej totožnosti na účely stanovené v zákone o bankách.

K čl. VIII

K bodom 1 a 2 (§ 2 písm. b) a f))
V rámci definícií sa zavádza pojem predikcia viditeľných fenotypových prejavov, ktorá nadväzuje na rozšírenie definície analýzy deoxyribonukleovej kyseliny. Zavedením definície sa reaguje na možnosť, v presne vyšpecifikovaných prípadoch, využiť najnovšie technologické postupy, ktoré už v súčasnej dobe umožňujú zistiť aj informácie ohľadom farby očí, farby vlasov alebo pigmentácie pokožky, ktoré môžu významným spôsobom zúžiť potencionálnu skupinu páchateľov závažných trestných činov alebo bližšie identifikovať mŕtvolu neznámej totožnosti alebo častí ľudského tela.
K bodu 3
Aktualizuje sa poznámka pod čiarou.
K bodu 4 (§ 3 ods. 1 písm. a))
Navrhovaná zmena zohľadňuje súčasný stav, keď Železničná polícia bola začlenená do Policajného zboru a preto jej uvádzanie v zákone je nadbytočné. Z rovnakého dôvodu sa navrhuje vypustenie poznámky pod čiarou k odkazu 3, týkajúcej sa zrušeného zákona č. 57/1998 Z. z. o Železničnej polícii.
K bodu 5 (§ 3 ods. 3)
Upravuje sa text vzhľadom na zaradenie Železničnej polície do Policajného zboru a zmenu Trestného poriadku, podľa ktorého súd nie je orgánom činným v trestnom konaní.
Zároveň sa navrhuje priznať kompetenciu odoberania vzoriek deoxyribonukleovej kyseliny aj príslušníkom Zboru väzenskej a justičnej stráže. Príslušníci Zboru väzenskej a justičnej stráže podľa § 21b zákona č. 4/2001 Z. z o Zbore väzenskej a justičnej stráže síce nemajú oprávnenie na odoberanie vzoriek deoxyribonukleovej kyseliny, ale túto kompetenciu im môže zákonodarca zveriť priamo zákonom č. 417/2002 Z. z. tak, ako je to v prípade príslušníkov Policajného zboru, ktorí v zmysle § 20a zákona o Policajnom zbore tiež nie sú splnomocnení odoberať vzorku deoxyribonukleovej kyseliny osobám vo výkone trestu odňatia slobody, túto kompetenciu im priznáva priamo zákon č. 417/2002 Z. z. Analogicky to platí pre všetky orgány činné v trestnom konaní, ktoré na odoberanie vzorky deoxyribonukleovej kyseliny splnomocňuje priamo zákon č. 417/2002 Z. z., hoci príslušné zákony im takéto oprávnenie nepriznávajú (napr. § 21b zákona č. 4/2001 Z. z. o Zbore väzenskej a justičnej stráže, § 21a zákona č. 652/2004 Z. z. o orgánoch štátnej správy v colníctve alebo zákon č. 124/1992 Zb. o Vojenskej polícii).
K bodu 6 (§ 4 ods. 2)
V § 4 sa navrhuje za odsek 1 vložiť nový odsek 2, v ktorom sa špecifikujú podmienky využitia predikcie viditeľných fenotypových prejavov, presne sa definujú závažné prípady odkazom pod čiarou 5b, ktorým sa odkazuje na § 11 ods. 3 Trestného zákona, ako aj trestných činov proti životu a zdraviu, trestných činov proti slobode a ľudskej dôstojnosti, čím sa vymedzuje okruh trestných činov, pri ktorých bude možné túto analýzu žiadať. Zároveň sa zavádza kumulatívna podmienka, že toto vyšetrenie môže byť vykonané len za podmienky, že nebola zistená zhoda v národnej databáze profilov deoxyribonukleovej kyseliny, ako aj v medzinárodných databázach profilov deoxyribonukleovej kyseliny členských štátov EÚ, s ktorými si Slovenská republika vymieňa údaje na základe rozhodnutia Rady (ES) 2008/616/SVV z 23. júna 2008 o vykonávaní rozhodnutia 2008/615/SVV o zintenzívnení cezhraničnej spolupráce, najmä v boji proti terorizmu a cezhraničnej trestnej činnosti.
K bodu 7 (§ 4 ods. 3)
Návrhom sa reaguje na rozhodnutie Rady 2008/616/SVV, kde sa v čl. 7 ods. 1 uvádza, že „členské štáty využívajú pre výmenu údajov o DNA existujúce normy, ako napríklad európsky štandardný súbor (ESS)“. Európsky štandardný súbor (ESS) bol vydaný v prílohe uznesenia Rady z 30. novembra 2009 o výmene výsledkov analýzy DNA (Ú. v. EÚ C 296/1 – 3, 5. decembra 2009). Na základe uvedeného sa tiež mení príloha č. 1.
K bodu 8 (§ 4 ods. 4)
V rámci tejto úpravy sa implementuje rozhodnutie Rady 2008/616/SVV z 23. júna 2008 o vykonávaní rozhodnutia 2008/615/SVV o zintenzívnení cezhraničnej spolupráce, najmä v boji proti terorizmu a cezhraničnej trestnej činnosti, kde sa v čl. 7 sa ukladá členským štátom povinnosť prijať opatrenia potrebné na zabezpečenie integrity profilov DNA poskytovaných alebo zaslaných na porovnávanie iným členským štátom a na zabezpečenie toho, aby tieto opatrenia spĺňali medzinárodné normy ako napríklad EN ISO/IEC 17025 – všeobecné požiadavky na kompetentnosť skúšobných a kalibračných laboratórií.
Z tohto uvedeného dôvodu navrhujeme, aby sa všetkým poskytovateľom forenzných služieb, ktorých služby sú využívané pre účely trestného konania, uložila povinnosť používať akreditované postupy.
K bodu 9 (§ 4 ods. 4 písm. a))
Znalci fyzické osoby a právnické osoby ako znalecké organizácie alebo znalecké ústavy sú podľa platnej právnej úpravy zapísané v zozname znalcov, tlmočníkov a prekladateľov,  vedenom Ministerstvom spravodlivosti Slovenskej republiky na základe zákona č. 382/2004 Z. z. o znalcoch, tlmočníkoch a prekladateľoch a o zmene a doplnení niektorých zákonov v znení neskorších predpisov v oddiele na zápis znalcov. Kriminalistický a expertízny ústav Prezídia Policajného zboru je zapísaný ako znalecký ústav v odbore kriminalistika. Navrhovaná zmena aktualizuje použité pojmy a dáva do súladu znenie zákona so súčasným právnym stavom. „Zoznam ústavov a iných pracovísk špecializovaných na znaleckú činnosť“, uvedený v § 4 ods. 3 písm. a), sa viedol podľa zákona č. 36/1967 Zb. o znalcoch a tlmočníkoch, ktorý bol zrušený. Z týchto dôvodov sa navrhuje aj zmena poznámky pod čiarou k odkazu 6.
K bodu  10 (§ 4 ods. 5)
Upravuje sa text vzhľadom na zaradenie Železničnej polície do Policajného zboru a zmenu Trestného poriadku, podľa ktorého súd nie je orgánom činným v trestnom konaní.
K bodom 11 (§ 4 ods. 8)
Zmenou vnútorného odkazu sa reaguje na prečíslovanie odsekov v § 4.
K bodom 12 (§ 5 ods. 3 písm. b) druhý bod)
Upravuje sa rozsah požadovaných informácií, ktoré majú byť predložené spolu so vzorkou biologického materiálu, z ktorého ma byť metódami molekulárnej biológie a genetiky získaný DNA profil.
K bodu 13 (Poznámka pod čiarou k odkazu 7)
Navrhovaná zmena rešpektuje aktuálnu právnu úpravu, podľa ktorej osobitnými predpismi upravujúcimi postup pri poskytovaní údajov z databázy obsahujúcej profily deoxyribonukleovej kyseliny sú zákon o Policajnom zbore a zákon o ochrane osobných údajov.
K bodu 14 (§ 8 ods. 1)
Dôvodom likvidácie údajov osôb z databázy vzoriek profilov DNA povereným útvarom je aj zastavenie trestného stíhania v prípravnom konaní z dôvodu, že je nepochybné, že sa nestal skutok, pre ktorý sa vedie trestné stíhanie, alebo že nie je tento skutok trestným činom a nie je dôvod na postúpenie veci. Navrhovaná zmena dáva do súladu vymenované dôvody s ustanoveniami Trestného poriadku tak ako sú uvedené v § 215 ods. 1 písm. a) a b). Tieto dôvody sa týkajú len zastavenia trestného stíhania vedeného vo veci, keď vyšetrovaný skutok nie je možné kvalifikovať ako trestný čin.
Návrh rozširuje dôvod likvidácie údajov z databázy povereným útvarom aj o prípad, kedy sa vyšetrovaním zistí, že vyšetrovaný skutok sa stal a tento skutok je trestným činom a trestné stíhanie je vedené proti obvinenému, pričom je v prípravnom konaní prokurátorom toto trestné stíhanie zastavené podľa § 215 ods. 1 písm. c) Trestného poriadku z dôvodu, že bez pochybností sa zistí, že skutok nespáchal obvinený. Po zastavení trestného stíhania obvineného sa ďalej trestné stíhanie vedie iba vo veci.
Poznámky pod čiarou k odkazom 8 až 12 v návrhu odkazujú na príslušné ustanovenia platného Trestného poriadku.
K bodu 15 (§ 8 ods. 3)
Doterajšia právna úprava vychádza z neplatného zákona č. 141/1961 Zb. o trestnom konaní súdnom (Trestný poriadok), v ktorom bol podľa § 12 ods. 1 orgánom činným v trestnom konaní aj súd. Podľa § 8 ods. 3 má orgán činný v trestnom konaní, ktorý skončil trestné konanie týkajúce sa osoby, ktorej profil deoxyribonukleovej kyseliny je uložený v databáze, povinnosť o tejto skutočnosti do troch pracovných dní od skončenia trestného konania informovať poverený útvar. Podľa platného Trestného poriadku súd nie je orgánom činným v trestnom konaní a preto v navrhovanej zmene sa súd uvádza osobitne ako subjekt, ktorý má tiež oznamovaciu povinnosť podľa § 8 ods. 3 zákona.
K bodu 16
Zmena prílohy č. 1 súvisí so zmenami v bode 6 (§ 4 ods. 3).
K bodu 17
V prílohe č. 2 sa zadefinoval nový formát oznamu o výsledku analýzy deoxyribonukleovej kyseliny, ktorý zohľadňuje navrhované zmeny v zákone.

K čl.  IX

V súvislosti s procesom nakladania s jadrovými materiálmi je Slovenská republika viazaná plnením medzinárodných záväzkov vo vzťahu k ich kontrole a deklarácii, či nie sú využívané na iné, ako na mierové účely. Účelom systému evidencie a kontroly jadrových materiálov, tzv. zárukový systém, je zabrániť zneužívaniu jadrových materiálov, nezákonnému nakladaniu s nimi, zisťovať straty jadrových materiálov a poskytovať informácie, ktoré by mohli viesť k ich nájdeniu, a to nielen na národnej ale i medzinárodnej úrovni.
Po vstupe Slovenskej republiky do Európskej únie sa v Slovenskej republike začal uplatňovať systém tzv. integrovaných záruk medzi Európskym spoločenstvom pre atómovú energiu, Medzinárodnou agentúrou pre atómovú energiu a príslušným členským štátom. Za týmto účelom je potrebné zabezpečiť vstup určeným medzinárodným inšpektorom do jadrových zariadení v Slovenskej republike na vykonanie medzinárodnej inšpekcie.
Medzinárodní inšpektori sú menovaní na základe ustanovení v Dohode medzi Belgickým kráľovstvom, Dánskym kráľovstvom, Spolkovou republikou Nemecko, Írskou republikou, Talianskou republikou, Luxemburským veľkovojvodstvom, Holandským kráľovstvom, Európskym spoločenstvom pre atómovú energiu a Medzinárodnou agentúrou pre atómovú energiu o implementácii čl. III ods. 1 a 4 Zmluvy o nešírení jadrových zbraní a Dodatkovým protokolom k Dohode medzi Belgickým kráľovstvom, Dánskym kráľovstvom, Spolkovou republikou Nemecko, Írskou republikou, Talianskou republikou, Luxemburským veľkovojvodstvom, Holandským kráľovstvom, Európskym spoločenstvom pre atómovú energiu a Medzinárodnou agentúrou pre atómovú energiu o implementácii čl. III ods. 1 a 4 Zmluvy o nešírení jadrových zbraní (oznámenie Ministerstva zahraničných vecí Slovenskej republiky č. 36/2006 Z. z.), ako aj ustanovení článku 81 a 82 Zmluvy o založení Európskeho spoločenstva pre atómovú energiu (ďalej len „Zmluva o Euratome“). Úrad jadrového dozoru Slovenskej republiky okrem osobných údajov medzinárodných inšpektorov ďalej spracúva osobné údaje štátnych zamestnancov – inšpektorov a inšpektorov – čakateľov a ďalších osôb prizvaných na inšpekciu alebo medzinárodnú inšpekciu, ktoré na účely plnenia povinností držiteľa povolenia, konkrétne povinností v oblasti fyzickej ochrany, poskytuje držiteľovi povolenia v nevyhnutnom rozsahu potrebnom na overenie ich totožnosti pri vstupe do jadrových zariadení v Slovenskej republike. 

K bodu 1

Ide o zosúladenie ustanovení § 26 atómového zákona s prijatým nariadením. Ustanovenie rieši sprístupnenie ako aj spracúvanie osobných údajov dotknutých osôb so zadefinovaním rozsahu osobných údajov a uvedením predkladaných povinných dokumentov na účel plnenia zákonnej povinnosti držiteľa povolenia spočívajúcej v kontrole vstupov a výstupov osôb do a z jadrového zariadenia. 

K bodu 2

Ide o precizovanie právnej úpravy, u ktorých osôb, ktoré vstupujú alebo vystupujú do a z jadrového zariadenia, je možné spracovávať osobné údaje a za akým účelom. Vzhľadom na prepojenie s § 26 ods. 6 sa už rozsah osobných údajov dotknutých osôb neopakuje, ale len odkazuje na dané ustanovenie. Zároveň sa definuje oprávnenie úradu poskytnúť osobné údaje dotknutých osôb držiteľovi povolenia.
Pokiaľ ide o inšpektorov a inšpektorov - čakateľov, ide o osobné údaje štátnych zamestnancov zmysle zákona č. 400/2009 Z. z. o štátnej službe a o zmene a doplnení niektorých zákonov v znení neskorších predpisov, ktoré  úrad poskytuje držiteľovi povolenia na účely plnenia zákonných povinností v oblasti fyzickej ochrany. 
Ohľadom medzinárodných inšpektorov príslušné ustanovenie odráža požiadavku spracovávať osobné údaje vymenovaných medzinárodných inšpektorov, ktorých zoznamy sú pravidelne aktualizované a zasielané členským štátom medzinárodnými organizáciami (Európska komisia, Medzinárodná agentúra pre atómovú energiu), aby bol zabezpečený ich vstup do jadrových zariadení v Slovenskej republike s cieľom vykonať medzinárodnú inšpekciu podľa § 33 atómového zákona, kedy ak sa osoba nachádza v týchto zoznamoch, musí byť do jadrových zariadení po splnení príslušných podmienok vpustená.
Relevantnými pri medzinárodných inšpektoroch sú napríklad: Článok 9 a článok 85 Dohody medzi Belgickým kráľovstvom, Dánskym kráľovstvom, Spolkovou republikou Nemecko, Írskou republikou, Talianskou republikou, Luxemburským veľkovojvodstvom, Holandským kráľovstvom, Európskym spoločenstvom pre atómovú energiu a Medzinárodnou agentúrou pre atómovú energiu o implementácii čl. III ods. 1 a 4 Zmluvy o nešírení jadrových zbraní (oznámenie Ministerstva zahraničných vecí Slovenskej republiky č. 36/2006 Z. z.); Článok 11 Dodatkového protokolu k Dohode medzi Belgickým kráľovstvom, Dánskym kráľovstvom, Spolkovou republikou Nemecko, Írskou republikou, Talianskou republikou, Luxemburským veľkovojvodstvom, Holandským kráľovstvom, Európskym spoločenstvom pre atómovú energiu a Medzinárodnou agentúrou pre atómovú energiu o implementácii čl. III ods. 1 a 4 Zmluvy o nešírení jadrových zbraní (oznámenie Ministerstva zahraničných vecí Slovenskej republiky č. 36/2006 Z. z.); Články 81 a 82 Zmluvy o Euratome; Článok XII. písm. A) bod 6. vyhlášky ministerstva zahraničných vecí č. 59/1958 Zb. o Stanovách Medzinárodnej agentúry pre atómovú energiu.

K čl. X

Návrhom zákona dochádza aj k transpozícii smernice 2016/680 a keďže finančná správa je jedným z príslušným orgánov v zmysle tejto smernice a bude sa na ňu vzťahovať štvrtá časť zákona (Osobitné pravidlá ochrany fyzických osôb pri spracúvaní osobných údajov príslušnými orgánmi), navrhuje sa zo zákona č. 652/2004 Z. z. o orgánoch štátnej správy v colníctve v znení neskorších predpisov vypustiť, resp. upraviť ustanovenia, ktoré by boli duplicitné k právnej úpravy podľa predloženého návrhu zákona o ochrane osobných údajov.

K čl.  XI

Návrhom zákona dochádza aj k transpozícii smernice 2016/680 a keďže súdy sú jedným z príslušným orgánov v zmysle tejto smernice a bude sa na nich vzťahovať štvrtá časť zákona (Osobitné pravidlá ochrany fyzických osôb pri spracúvaní osobných údajov príslušnými orgánmi), navrhuje sa zo zákona č. 757/2004 Z. z. o súdoch v znení neskorších predpisov vypustiť, resp. upraviť ustanovenia, ktoré by boli duplicitné k právnej úpravy podľa predloženého návrhu zákona o ochrane osobných údajov.

K čl.    XII

Návrhom nového zákona o ochrane osobných údajov dôjde aj k úprave práv dotknutej osoby, ktoré boli posilnené a ktoré dotknutej osobe dávajú možnosť požadovať od prevádzkovateľa informácie aké osobné údaje o dotknutej osobe spracúva, prípadne, komu boli získané osobné údaje poskytnuté. Ustanovenie § 7 ods. 13 zákona č. 129/2010 Z. z. o spotrebiteľských úveroch a o iných úveroch a pôžičkách pre spotrebiteľov a o zmene a doplnení niektorých zákonov je totožné svojím obsahom s navrhovaným § 22 a § 23 zákona, preto sa navrhuje jeho vypustenie. Vypustenie je tiež navrhované z dôvodu harmonizácie právnych predpisov Slovenskej republiky s nariadením. Aj napriek vypusteniu ustanovenia z textu zákona o spotrebiteľských úveroch práva pre klientov, spotrebiteľov fyzické osoby zostávajú zachované, ale v rámci nariadenia alebo v rámci návrhu zákona.

K čl.   XIII

Návrhom nového zákona o ochrane osobných údajov dôjde aj k úprave práv dotknutej osoby, ktoré boli posilnené a ktoré dotknutej osobe dávajú možnosť požadovať od prevádzkovateľa informácie aké osobné údaje o dotknutej osobe spracúva, prípadne, komu boli získané osobné údaje poskytnuté. Ustanovenie § 72 ods. 13 zákona č. 39/2015 Z. z. o poisťovníctve a o zmene a doplnení niektorých zákonov je totožné svojím obsahom s navrhovaným § 22 a 23 návrhu zákona, preto sa navrhuje jeho vypustenie. Vypustenie je tiež navrhované z dôvodu harmonizácie právnych predpisov Slovenskej republiky s nariadením. Aj napriek vypusteniu ustanovenia z textu zákona o poisťovníctve práva pre klientov, spotrebiteľov fyzické osoby zostávajú zachované, ale v rámci nariadenia alebo v rámci návrhu zákona.

K čl.   XIV

Článok upravuje navrhovaný termín účinnosti zákona, a to 25. máj 2018.




Príloha k zákonu:
ZOZNAM PREBERANÝCH PRÁVNE ZÁVäZNÝCH AKTOV EURÓPSKEJ ÚNIE


V Bratislave, 20. septembra 2017








Robert Fico, v.r.
predseda vlády Slovenskej republiky








Soňa Pőtheová, v.r.
predsedníčka Úradu na ochranu osobných údajov Slovenskej republiky


 

Vládny návrh zákona o spotrebiteľských úveroch a o iných úveroch a pôžičkách pre spotrebiteľov a o zmene a doplnení niektorých zákonov

37

Dôvodová správa

A.Všeobecná časť

Predložený návrh zákona o spotrebiteľských úveroch a o iných úveroch a pôžičkách pre spotrebiteľov a o zmene a doplnení niektorých zákonov je svojím obsahom úplnou transpozíciou smernice Európskeho parlamentu a Rady 2008/48/ES ES z 23. apríla 2008 o zmluvách o spotrebiteľskom úvere a o zrušení smernice Rady 87/102/EHS (ďalej len "smernica") do slovenského právneho poriadku.

Uplatňovaním tejto novej úpravy bude slovenský úverový trh zosúladený v rámci vnútorného trhu Spoločenstva, čo prispeje k posilneniu dôvery a právnej istoty spotrebiteľov a poskytovateľov spotrebiteľských úverov najmä pri cezhraničných transakciách. Nový zákon nahradí existujúcu právnu úpravu – zákon č. 258/2001 Z.z. o spotrebiteľských úveroch a o zmene a doplnení zákona Slovenskej národnej rady č. 71/1986 Zb. o Slovenskej obchodnej inšpekcii v znení neskorších predpisov, ktorá už nedokáže reagovať na dynamický vývoj úverových produktov ponúkaných spotrebiteľom v posledných rokoch.

Súčasťou návrhu zákona sú jednak zrušovacie ustanovenia doterajšej právnej úpravy, jednak zmeny niektorých právnych predpisov, ktoré sú potrebné pre úplnú a účinnú transpozíciu smernice a vytvorenie podmienok pre uplatňovanie nového zákona v praxi a jednak návrhy noviel zákonov, ktoré boli prerokované dňa 8. decembra 2009 v Legislatívnej rade vlády SR v rámci prerokovania návrhu zákona o ochrane finančného spotrebiteľa a o zmene a doplnení niektorých zákonov (zákon o bankách, zákon o cenných papieroch a zákon o dohľade nad finančným trhom) a ktoré Legislatívna rada vlády SR odporučila vyňať, resp. odporučila zvážiť ich vyňatie (zákon o finančnom sprostredkovaní a finančnom poradenstve a zákon o poisťovníctve). V prípade zákona o finančnom sprostredkovaní a finančnom poradenstve uvedená úprava obsahuje vyvolané zmeny v záujme efektívnejšej aplikácie sprostredkovania spotrebiteľských úverov v praxi.

Návrh zákona je v súlade s Ústavou Slovenskej republiky, ústavnými zákonmi, zákonmi, medzinárodnými zmluvami ktorými je Slovenská republika viazaná a s právom Európskej únie.

Právo Európskej únie upravuje vzťahy vznikajúce pri poskytovaní spotrebiteľského úveru predovšetkým smernicou 2008/48/ES, ktorá je predkladaným zákonom transponovaná do slovenského právneho poriadku v plnom rozsahu. Lehota na transpozíciu smernice je stanovená do 11. júna 2010.

Doložka

o posúdení vplyvov

k návrhu zákona o spotrebiteľských úveroch a o iných úveroch a pôžičkách pre spotrebiteľov a o zmene a doplnení niektorých zákonov

1.Odhad dopadov na verejné financie:

Prijatím predloženého návrhu zákona o spotrebiteľských úveroch a o iných úveroch a pôžičkách pre spotrebiteľov a o zmene a doplnení niektorých zákonov sa nepredpokladá negatívny dopad na rozpočty obcí či vyšších územných celkov (samosprávnych krajov) ani na ostatné rozpočty patriace do okruhu verejných rozpočtov.

2.Odhad dopadov na obyvateľov, hospodárenie podnikateľskej sféry a iných právnických osôb:

Prijatím predloženého návrhu zákona sa nepredpokladá negatívny dopad na obyvateľstvo ani na hospodárenie podnikateľskej sféry a iných právnických osôb.

3.Odhad dopadov na životné prostredie:

Prijatím predloženého návrhu zákona sa nepredpokladá negatívny vplyv na životné prostredie.

4.Odhad dopadov na zamestnanosť:

Prijatím predloženého návrhu zákona sa nepredpokladá negatívny vplyv na nezamestnanosť ani na zamestnanosť v Slovenskej republike.

5.Analýza vplyvov na podnikateľské prostredie:

Prijatím predloženého návrhu zákona sa nepredpokladá negatívny vplyv na podnikateľské prostredie.

6.Analýza vplyvov na informatizáciu spoločnosti:

Prijatím predloženého návrhu zákona sa nepredpokladá negatívny vplyv na informatizáciu spoločnosti.

DOLOŽKA ZLUČITEĽNOSTI

návrhu zákona o spotrebiteľských úveroch a iných úveroch a pôžičkách a o zmene a doplnení niektorých zákonov s právom Európskej únie

___________________________________________________________________________

1.Predkladateľ zákona:

Vláda Slovenskej republiky.

2.Názov návrhu zákona:

Návrh zákona o spotrebiteľských úveroch a iných úveroch a pôžičkách a o zmene a doplnení niektorých zákonov.

3.Problematika návrhu zákona:

a)nie je upravená v práve Európskych spoločenstiev,

b)je upravená v práve Európskej únie:

v primárnom práve:

-čl. 114 a 169 Zmluvy o fungovaní Európskej únie.

v sekundárnom práve:

-smernica Európskeho parlamentu a Rady 2008/48/ES z 23. apríla 2008 o zmluvách o spotrebiteľskom úvere a o zrušení smernice Rady 87/102/EHS (Ú. v. EÚ L 133, 22.5.2008).

c)je obsiahnutá v judikatúre Súdneho dvora Európskej únie alebo Všeobecného súdu:

-rozsudok Súdneho dvora vo veci C – 192/94, El Corte Inglés SA v. Cristina Blázquez Rivero, rok 1996, Zb. roz. ESD (I-01281),

-rozsudok Súdneho dvora vo veci C – 208/98, Berliner Kindl Brauerei AG v. Andreas Siepert, rok 2000, Zb. roz. ESD (I-01741),

-rozsudok Súdneho dvora vo veci C – 264/02, Cofinoga Mérignac SA v. Sylvain Sachithanathan, rok 2004, Zb. roz. ESD (I-02157),

-rozsudok Súdneho dvora vo veci C – 509/07, Luigi Scarpelli v. NEOS Banca SpA, (Ú. v. EÚ C 141/14, 20.6.2009).

4.Záväzky Slovenskej republiky vo vzťahu k Európskej únii:

a)Lehota na prebratie smernice Európskeho parlamentu a Rady 2008/48/ES podľa určenia gestorských ústredných orgánov štátnej správy zodpovedných za prebratie smerníc a vypracovanie tabuliek zhody k návrhom všeobecne záväzných právnych predpisov je stanovená na 12. máj 2010.

b)Proti SR nebolo začaté konanie o porušení Zmluvy o fungovaní Európskej únie podľa čl. 258 až 260 Zmluvy o fungovaní Európskej únie.

c)Bezpredmetné.

5.Stupeň zlučiteľnosti návrhu zákona s právom Európskej únie:

Úplný.

6.Gestor a spolupracujúce rezorty:

Ministerstvo financií Slovenskej republiky.

B. Osobitná časť

K článku◊I

K §◊1

Ustanovenie odseku 1 vymedzuje predmet právnej úpravy predkladaného návrhu zákona, a to niektoré práva a povinností súvisiace s poskytovaním spotrebiteľského úveru na základe zmluvy o spotrebiteľskom úvere, podmienky poskytovania spotrebiteľského úveru, náležitosti zmluvy o spotrebiteľskom úvere, spôsob výpočtu celkových nákladov spotrebiteľa spojených s poskytovaním spotrebiteľského úveru, pričom je prebratím ustanovení smernice. Predmetom návrhu zákona sú aj ďalšie opatrenia na ochranu spotrebiteľa.

V odseku 2 sa definuje, na účely tohto zákona, čo je „spotrebiteľským úverom“: dočasné poskytnutie peňažných prostriedkov na základe zmluvy o spotrebiteľskom úvere vo forme odloženej platby, pôžičky, úveru alebo obdobnej finančnej pomoci poskytnutej veriteľom spotrebiteľovi. Odloženou platbou sa rozumie napríklad splátkový nákup (predaj), platobná karta predajcu bez možnosti úveru. Pôžičkou je akýkoľvek druh hotovostného dlhu, ktorý má byť vyrovnaný splátkami alebo jednorazovou platbou, či už za účelom kúpy špecifického tovaru (služby), alebo bez spojitosti s takouto transakciou, udelená buď v rámci bežného účtu v banke (prečerpanie) alebo nie (kreditné karty s kreditnou opciou). Pojem „obdobná finančná pomoc“ je akákoľvek finančná dohoda, umožňujúca dosiahnuť ekvivalentný výsledok ako odložená platba alebo pôžička, teda iné formy spotrebiteľských úverov vyvinuté v budúcnosti, z ktorých ani jeden sa nezhoduje s odloženou platbou alebo pôžičkou. Pole pôsobnosti je teda definované funkčným spôsobom a podlieha vývoju.

V odseku 3 sú uvedené určité druhy úverov, na ktoré nebude navrhovaná právna úprava aplikovaná. Toto vecné vymedzenie pôsobnosti zákona vyplýva z implementovanej smernice ES a je dané zvláštnym charakterom niektorých zmlúv alebo existenciou špecifickej právnej úpravy.

Z pôsobnosti zákona sú vylúčené zmluvy o hypotekárnom a komunálnom úvere. Taktiež sú vylúčené zmluvy o úvere zabezpečené záložným právom k nehnuteľnosti a účelom ktorých je nadobudnutie alebo zachovanie vlastníckych práv k nehnuteľnosti alebo výstavba nehnuteľnosti. Napr. úvery poskytované stavebnými sporiteľňami spadajú pod zákon, pokiaľ sú poskytované na rekonštrukciu, modernizáciu, dostavbu nehnuteľnosti, t.j. ak ich účelom je zvýšenie hodnoty nehnuteľnosti. Z pôsobnosti zákona sú vylúčené aj úvery zabezpečené nehnuteľnosťou, ktoré slúžia na splatenie vyššie uvedených úverov. Z pôsobnosti zákona však nie sú vylúčené niektoré typy úverových zmlúv, aj keď sú zabezpečené záložným právom k nehnuteľnosti. Aj keď má hypotekárny trh svoje špecifiká, predkladateľ sa domnieva, že tieto špecifiká v dostatočnej miere akcentujú vyššie uvedené výnimky. V prípade bezúčelového úveru, v ktorom je záväzok dlžníka zabezpečený záložným právom k nehnuteľnosti alebo iným obdobným zaisťovacím právom k nehnuteľnosti, predkladateľ nepovažuje za účelné ani vhodné ich vyňatie z režimu zákona (tzv. americké hypotéky - písm. c). Vyňatie bezúčelových úverov neobsahoval ani zákon č. 258/2001 Z.z.. Doterajšia prax na trhu spotrebiteľských úverov ukazuje, že práve najproblematickejšími typmi úverov spravidla bývajú neprimerane vysoko zaistené, a to často i záložným právom, čím by sa dostali úplne mimo režim tohoto zákona.

Vylúčené sú tiež nájomné zmluvy, v ktorých nie je dojednaná povinnosť kúpy prenajatej veci po uplynutí určitej doby. Ide o zmluvy o prenájme alebo leasingové zmluvy, v ktorých nie je stanovená povinnosť odkúpenia predmetu zmluvy ani v zmluve samotnej, ani v inej samostatnej zmluve (tzv. operatívny leasing).

Z pôsobnosti zákona sú tiež vyňaté zmluvy o úvere vo forme možnosti prečerpania, kde úver musí byť splatený do jedného mesiaca, hoci aj napriek vyňatiu z pôsobnosti zákona sa na takýto úver použijú len niektoré jeho ustanovenia, a to len vtedy, ak žiada spotrebiteľ o okamžité sprístupnenie možnosti prečerpania prostredníctvom diaľkovej komunikácie cez telefón (§ 4 ods. 5)

Tak ako doteraz nebude tento zákon aplikovaný ani na pôžičky poskytnuté bez úroku alebo akéhokoľvek iného poplatku, vzhľadom na to, že u nich absentuje platba úroku ako pojmový znak úveru. Z hľadiska ochrany spotrebiteľa preto nie nutné u takýchto zmlúv poskytovať zvláštnu ochranu.

Zmluvy o úvere o sústavnom poskytovaní služieb, za ktoré dlžník platí v priebehu ich poskytovania formou splátok, rovnako ako v doterajšej právnej úprave nespadajú do pôsobnosti zákona. Tu sa predpokladá, že obidve zmluvné strany majú k dispozícií dostatočné množstvo informácií a preto nie je dôvod posilovať ich právnu ochranu.

Ďalej sú z pôsobnosti zákona vyňaté úvery, ktorých celková výška je menej ako 100 eur a viac ako 75 000 eur. Uvedené hranice boli stanovené s ohľadom na finančné limity uvedené smernici.

Ako problematické je však označované to, že subjekty poskytujúce úver spotrebiteľom môžu ľahko zákon obchádzať tým, že so spotrebiteľom uzavrú niekoľko dielčich zmlúv, ktoré jednotlivo nepresiahnu stanovenou hranici. Preto v záujme zamedzenia možnosti obchádzať zákon tým, že by na rovnaký alebo obdobný účel bolo v období 12 mesiacov uzavretých viac zmlúv, ktorými sa zjednáva odložená platba, pôžička, úver nebo iná obdobná finanční služba, zákon stanoví, že sa za jednu zmluvu považuje súhrn všetkých zmlúv medzi veriteľom a spotrebiteľom. Ide o obdobnú úpravu, ktorú obsahuje doterajšia právna úprava.

Oproti doterajšej právnej úprave sa z pôsobnosti zákona vylučujú také úvery, kde úver poskytuje zamestnávateľ svojim zamestnancom ako vedľajšiu činnosť bez úrokov alebo s ročnou percentuálnou sadzbou nákladov nižšou než sú sadzby prevládajúcou na trhu, a ktoré nie sú ponúkané verejne. Tento prípad sa netýka úverov, ktoré poskytuje poskytovateľ spotrebiteľských úverov svojim zamestnancom.

Z pôsobnosti zákona sú vyňaté úvery, ktoré sú poskytované obchodníkom s cennými papiermi alebo bankou. Účelom týchto úverov musí byť uskutočnená operácia s finančným nástrojom (§ 6 ods. 2 písm. b) zákona č. 566/2001 Z.z. o cenných papieroch a investičných službách a o zmene a doplnení niektorých zákonov (zákon o cenných papieroch).

Obchodník alebo banka musia byť do tejto operácie zapojení. V praxi ide o napr. o tzv. maržové obchody, kde obchodník s cennými papiermi poskytuje svojmu zákazníkovi úver na kúpu investičného nástroja, pričom zakúpené cenné papiere zároveň slúžia ako zaistenie tohoto úveru.

Vylúčené sú tiež úvery v podobe bezplatného odloženia platby existujúceho dlhu, kde nedochádza k zhoršeniu postavenia spotrebiteľa.

Úvery poskytované obmedzenému okruhu osôb vo verejnom záujme na základe iného právneho predpisu, ktoré sú poskytované bezúročne nebo s úrokovými sadzbami nižšími než sú obvyklé sadzby na trhu, sú tiež vyňaté z pôsobnosti zákona. Ide napr. o pôžičky poskytnuté podľa zákona č. 200/1997 Z.z. o Študentskom pôžičkovom fonde v znení neskorších predpisov alebo zákona č. 607/2003 Z.z. o Štátnom fonde rozvoja bývania v znení neskorších predpisov alebo na základe rozhodnutia vlády Slovenskej republiky realizovať program poskytovania pomoci občanom, ktorí stratili schopnosť splácať úver na bývanie v dôsledku hospodárskej krízy.

Zákon sa tiež nevzťahuje na zmluvy o úvere, pri ktorých je zodpovednosť za splnenie záväzku obmedzená len na hnuteľnú vec, ktorá je odovzdaná pri ich uzavretí. To znamená, že pokiaľ spotrebiteľ nesplní svoj záväzok vo vzťahu k veriteľovi, veriteľ svoj nárok plne uspokojí z tejto veci a nemôže už požadovať od spotrebiteľa ďalšie plnenie. Zákon tak vylučuje zo svojej pôsobnosti zmluvné vzťahy, ktoré vznikajú pri vykonávaní činností záložni. Táto skutočnosť je rešpektovaná i v smernici, kde tieto úvery poskytované záložňami zo svojej pôsobnosti vylučuje. Situácia je v prípade záložni iná ako pri bežných úverových zmluvách – spotrebiteľ odovzdá vec druhej strane, pričom v prípade, ak spotrebiteľ riadne a včas príslušný úver nesplatí, je jeho zodpovednosť obmedzená len na vec, ktorú odovzdal druhej strane pri uzatváraní zmluvy. Veriteľ však nemá voči dlžníkovi žiadne ďalšie nároky.

Zákon sa ďalej nevzťahuje na úverové zmluvy, ktoré vyplývajú z rozhodnutia súdu alebo iného orgánu ako výsledok vyriešenia sporu na súde alebo pred iným orgánom, napr. rozhodcom.

Odsek 4 uvádza, ktoré ustanovenia tohoto zákona sa použijú na spotrebiteľský úver vo forme prečerpania, kde úver musí byť splatený na požiadanie alebo do 3 mesiacov.

Odsek 5 ustanovuje, ktoré ustanovenia sa použijú v prípade prekročenia.

Odsek 6 tohoto ustanovenia jednoznačne ustanovuje, že pokiaľ je spotrebiteľ v v omeškaní podľa pôvodnej úverovej zmluvy a veriteľ pristúpi na zmenu zmluvy, ktorej účelom je odvrátenie prípadného súdneho konania, pričom záväzky pre spotrebiteľa nebudú ako celok menej výhodné v porovnaní s pôvodnou zmluvou, použijú sa na túto novú zmluvu ustanovenia zákona ako napr. povinnosť poskytnutia len niektorých informácií pred uzavretím zmluvy, a pod. Ide de facto o úverové zmluvy uzavreté s pôvodným veriteľom, kde dochádza len k odloženiu platieb či zmene metódy splácania, resp. reštrukturalizácií úveru.

V odseku 7 sa ustanovuje, že na finančný lízing sa nevzťahujú ustanovenia o odstúpení od zmluvy o spotrebiteľskom úvere v lehote 14 dní bez uvedenia dôvodu.

Ustanovenie odseku 8 vyjadruje subsidiaritu Občianskeho zákonníka a zákona č. 250/2007 Z. z. o ochrane spotrebiteľa.

K § 2

Toto ustanovenie vymedzuje niektoré pojmy, ktoré sú obsiahnuté v zákone.

„Spotrebiteľ“ je definovaný výlučne ako fyzická osoba, ktorá koná mimo oblasť svojej podnikateľskej činnosti alebo svojho povolania. Na druhej strane „veriteľom“ sa rozumie fyzická nebo právnická osoba, ktorá ponúka alebo poskytuje úver v rámci svojej podnikateľskej činnosti alebo svojho povolania. Toto vymedzenie súvisí s všeobecnou konštrukciou spotrebiteľskej legislatívy. Ta usiluje o zabezpečenie faktickej rovnosti zmluvných strán v spotrebiteľských zmluvách namiesto rovnosti formálnej, ako je tradične ponímaná v oblasti civilného práva. Skutočná ekonomická a sociálna prevaha veriteľa musí byť vyrovnaná posilnením právnej ochrany spotrebiteľa.

„Veriteľ“ je definovaný ako fyzická osoba alebo právnická osoba, ktorá ponúka alebo poskytuje spotrebiteľský úver v rámci svojej podnikateľskej činnosti

Novým pojmem, ktorý nebol zakotvený v doterajšej právnej úprave, je finančný agent podľa zákona č. 186/2009 Z.z. o finančnom sprostredkovaní a finančnom poradenstve, ktorý vykonáva sprostredkovanie spotrebiteľských úverov. Niektoré ďalšie povinnosti sprostredkovateľov sú špecifikované v ustanovení § 22.

„Zmluvou o spotrebiteľskom úvere“ zmluva, ktorou sa veriteľ zaväzuje poskytnúť spotrebiteľovi spotrebiteľský úver a spotrebiteľ sa zaväzuje poskytnuté peňažné prostriedky vrátiť a zaplatiť celkové náklady spojené so spotrebiteľským úverom

Vzhľadom na to, že zákon pojednáva v niekoľkých ustanoveniach o úvere formou povoleného prečerpania zahŕňa toto ustanovenie aj definíciu pojmu „povolené prečerpanie“. Ide o výslovnú dohodu v úverovej zmluve, na základe ktorej veriteľ umožňuje spotrebiteľovi disponovať s finančnými prostriedkami nad rámec aktuálneho zostatku jeho bežného účtu, ktorý má vedený u veriteľa. Pod tento typ úveru patrí napr. dnes už bežne používaný tzv. kontokorentný úver.

„Prekročením“ je automaticky prijaté prečerpanie, pri ktorom veriteľ umožňuje spotrebiteľovi disponovať finančnými prostriedkami nad rámec aktuálneho zostatku na bežnom účte spotrebiteľa alebo nad rámec dohodnutého povoleného prečerpania.

Ďalej je bližšie vysvetlený pojem „celkové náklady celkovými nákladmi spotrebiteľa spojenými so spotrebiteľským úverom“ všetky náklady vrátane úrokov, provízií, daní a poplatkov akéhokoľvek druhu, ktoré musí spotrebiteľ zaplatiť v súvislosti so zmluvou o spotrebiteľskom úvere a ktoré sú veriteľovi známe, okrem notárskych poplatkov a poplatkov, ktoré musí spotrebiteľ zaplatiť za nedodržanie akýchkoľvek záväzkov ustanovených v zmluve o spotrebiteľskom úvere; do celkových nákladov patria aj náklady na doplnkové služby súvisiace so zmluvou o spotrebiteľskom úvere, a to najmä poistné, pokiaľ je poistenie povinné na získanie úveru a rozhoduje o tejto povinnosti veriteľ.

Na posúdenie výhodnosti či nevýhodnosti dohodnutého spotrebiteľského úveru je dôležitým ukazovateľom „ročná percentuálna miera nákladov“ (ďalej len „RPMN“), ktorému sa venuje ustanovenie § 19, kde je stanovený spôsob jej výpočtu. RPMN sa sú celkové náklady spotrebiteľa spojené s úverom, vyjadrené ako ročné percento z celkovej výšky úveru. RPMN vyjadruje hodnotu všetkých záväzkov – čerpanie, platby a poplatky – budúcich alebo súčasných a dohodnutých medzi veriteľom a spotrebiteľom a počíta sa podľa matematického vzorca uvedeného v prílohe č. 2. Na základe takto stanoveného jednotného spôsobu výpočtu bude spotrebiteľovi umožnené porovnať „cenu“ rôznych spotrebiteľských úverov ponúkaných na trhu.

Ďalším obdobným pojmom je i „celková čiastka, ktorú musí spotrebiteľ zaplatiť“ , čo je súčet celkovej výšky úveru (strop alebo súhrn všetkých čiastok) a celkových nákladov spotrebiteľa spojených s úverom, ktorých skladba je uvedená vyššie.

Ďalej sú definované pojmy „úroková sadzba úveru“, ktorou je úroková sadzba vyjadrená ako fixné alebo variabilné percento, ktoré sa na ročnom základe uplatňuje na výšku čerpaného úveru a „fixná úroková sadzba úveru“ je vtedy, keď sa veriteľ a spotrebiteľ dohodnú v zmluve o úvere na jednej úrokovej sadzbe úveru počas celého trvania zmluvy o úvere alebo na niekoľkých úrokových sadzbách úveru na čiastkové obdobia s výhradným použitím fixného konkrétneho percenta.

„Celkovou výškou úveru“ sa rozumie maximálna výška alebo súčet všetkých finančných prostriedkov poskytnutých na základe zmluvy o úvere. Môže ísť buď o čiastku jednorázovo poskytnutú veriteľom spotrebiteľovi alebo o horný strop v úverovom rámci, stanovujúci najvyššiu čiastku, ktorú môže spotrebiteľ čerpať od veriteľa v budúcnosti.

Nutné bolo definovať „trvanlivé médium“, ktorým sa rozumie akýkoľvek nástroj, ktorý umožňuje spotrebiteľovi uchovať informácie, ktoré sú mu osobne určené, a to spôsobom, ktorý umožňuje použitie tejto informácie v budúcnosti na účely, ktoré plní táto informácia a ktorý umožňuje nezmenené reprodukovanie uložených. Ide napríklad o CD alebo USB flash disky. Nejde napríklad. o email.

K § 3

Vzhľadom na to, že je potrebné aby spotrebiteľ mal už v čase rozhodovania sa o ponuke spotrebiteľského úveru čo najúplnejšie a neskreslené informácie, ustanovuje zákon povinnosť uviesť v každej reklame alebo v každej ponuke, ktorá obsahuje úrokovú sadzbu alebo akýkoľvek údaj týkajúci sa nákladov spotrebiteľa spojených so spotrebiteľským úverom, tzv. štandardné informácie. Ide predovšetkým o úrokovú sadzbu, podrobnosti o poplatkoch zahrnutých do celkových nákladov spotrebiteľa vrátane ich výšky, spojených so spotrebiteľským úverom, celkovú výšku spotrebiteľského úveru, ročnú percentuálnu mieru nákladov, dobu splatnosti spotrebiteľského úveru, v prípade spotrebiteľského úveru vo forme odloženej platby na konkrétny tovar alebo službu výšku predajnej ceny a výšku akejkoľvek zálohy, celkovú čiastku, ktorú musí spotrebiteľ zaplatiť a výšku splátok či o povinnosť uzavrieť zmluvu o doplnkovej službe súvisiacej so spotrebiteľským úverom, najmä o poistení, ak je podmienkou na získanie spotrebiteľského úveru alebo na jeho získanie za ponúkaných podmienok uzavretie zmluvy o takejto doplnkovej službe. Uvedenie týchto informácií v reklame nesporne uľahčí porovnanie rôznych ponúk na trhu.

Doterajšia právna stanovuje len povinnosť uvádzať v reklame RPMN, pokiaľ reklama obsahovala úrokovú sadzbu alebo iný údaj o nákladoch. Stanovení povinnosti uvádzať ďalšie údaje v reklame tak predstavuje novú povinnosť. Pozitívnym efektom tejto povinnosti je vyššia informovanosť spotrebiteľov už vo fáze pôsobenia reklamy a z toho vyplývajúca vyššia miera ochrany spotrebiteľa. Úpravou v tomto paragrafe nie sú dotknuté príslušné ustanovenia zákona č. 250/2007 Z. z. o ochrane spotrebiteľa a o zmene zákona Národnej rady Slovenskej republiky č. 372/1990 Zb. o priestupkoch v znení neskorších predpisov obsahujúce zákaz nekalých obchodných praktík.

K § 4

Ustanovenie § 4 upravuje problematiku poskytovania predzmluvných informácií, ktorú už doterajšia právna úprava obsahuje. Oproti súčasnému budú však klientovi poskytované aj ďalšie nové informácie, ktoré sú obsahom tohto ustanovenia. Veriteľ alebo sprostredkovateľ je povinný v dostatočnom časovom predstihu pred uzavretím zmluvy o spotrebiteľskom úvere alebo pred prijatím návrhu o spotrebiteľskom úvere poskytnúť spotrebiteľovi na základe zmluvných podmienok ponúkaných veriteľom alebo požiadaviek spotrebiteľa stanovené informácie. Pri určovaní primeraného časového predstihu je veriteľ alebo sprostredkovateľ povinný podľa naliehavosti situácie vziať do úvahy čas, ktorý spotrebiteľ potrebuje na prečítanie a pochopenie informácií a čas, ktorý spotrebiteľ potrebuje na reakciu na poskytnuté informácie pred prijatím rozhodnutia. Dôvodom na zavedenie tejto povinnosti je zvýšiť mieru informovanosti spotrebiteľa o ponúkanom spotrebiteľskom úvere. Medzi povinne poskytované predzmluvné informácie patria napríklad informácie o druhu úveru, o veriteľovi, prípadne sprostredkovateľovi, o celkovej výške spotrebiteľského úveru a podmienkach jeho čerpania, či o RPMN. Veriteľ je taktiež povinný informovať spotrebiteľa o práve spotrebiteľa na predčasné splatenie spotrebiteľského úveru, o práve veriteľa na náhradu vzniknutých nákladov spojených s predčasným splatením spotrebiteľského úveru a spôsobe ich určenia. Podrobnosti nárokov veriteľa vyplývajúcich z predčasného splatenia upravuje § 16.

Taktiež je ustanovená povinnosť veriteľa poskytnúť na požiadanie bezplatne návrh na uzavretie zmluvy o spotrebiteľskom úvere, čo umožní spotrebiteľom riadne sa zoznámiť so všetkými náležitosťami prípadného zmluvného vzťahu, zvážiť výhody a nevýhody a následne sa kvalifikovane rozhodnúť. Ešte pred uzavretím zmluvy o spotrebiteľskom úvere bude mať spotrebiteľ možnosť získať informácie o podmienkach a nákladoch úveru a o svojich povinnostiach. Veriteľ prípadne sprostredkovateľ je povinný spotrebiteľovi tieto predzmluvné informácie poskytnúť na samostatnom dokumente (formulári), ktorý je uvedený v prílohe 3 alebo 4.

Veriteľovi sa ukladá povinnosť poskytnúť spotrebiteľovi primerané vysvetlenie (napr. vysvetlenie jednotlivých položiek predzmluvných informácií, charakteristiku produktov, následky nesplácania úveru, atď.), na primeranej úrovni, tak, aby spotrebiteľ bol schopný posúdiť, či navrhovaná zmluva o spotrebiteľskom úvere zodpovedá jeho potrebám a jeho finančnej situácií. Ani vtedy, ak je zmluva o spotrebiteľskom úvere ponúkaná prostredníctvom sprostredkovateľa, nesmie byť spotrebiteľ zbavený svojho práva, aby mu boli poskytnuté predzmluvné informácie. Vtedy má povinnosť tieto informácie poskytnúť sprostredkovateľ. Veriteľ môže využívať na finančné sprostredkovanie pri poskytovaní spotrebiteľských úverov samostatných finančných agentov a viazaných finančných agentov, ktorí spĺňajú podmienky stanovené zákonom č. č. 266/2005 Z.z. o ochrane spotrebiteľa pri finančných službách na diaľku a o zmene a doplnení niektorých zákonov.

Ak zmluvy o spotrebiteľskom úvere, podľa ktorej splátky spotrebiteľa nevedú k okamžitej zodpovedajúcej amortizácii celkovej výšky úveru, ale v období a za podmienok ustanovených v zmluve o spotrebiteľskom úvere alebo v doplnkovej zmluve sa použijú na vytvorenie kapitálu, je veriteľ povinný v predzmluvných informáciách zrozumiteľne a stručne uviesť, či použitie takto vytvoreného kapitálu zaručuje splatenie celkovej výšky spotrebiteľského úveru čerpaného na jej základe. Išlo by napríklad o prípad, keď splátky úveru smerujú do fondu, v ktorom sa zhodnocujú a po uplynutí určitého času sú takto zhodnotené finančné prostriedky použité na splatenie spotrebiteľského úveru. Predovšetkým je dôležité zdôrazniť, že pojem „kapitál“ je tu použitý nie v zúženom význame používanom v práve obchodných spoločností alebo v právnej úprave na kapitálové požiadavky finančných inštitúcií, ale v jeho všeobecnom význame ako prostriedok určený na ďalšie zhodnocovanie.

V prípade, že je spotrebiteľský úver dojednávaný prostredníctvom diaľkovej komunikácie, ktorý neumožňuje poskytnúť informácie podľa odseku 1, veriteľ tieto informácie poskytne spotrebiteľovi ihneď po uzavretí zmluvy o spotrebiteľskom úvere. Ak je úver ponúkaný spotrebiteľovi cez telefón, veriteľ povinný poskytnúť ustanovený rozsah informácií podľa odseku 4.

Podstatou predzmluvných informácií je skutočnosť, aby mal spotrebiteľ dostatok informácií pre porovnanie ponúk od rôznych veriteľom na rovnaký druh spotrebiteľského úveru. Zákon však nemá ambíciu vzhľadom na rôznosť spotrebiteľských úverov na trhu definovať druhy spotrebiteľských úverov. Avšak možno veriteľom naznačiť niektoré základné typy, ktoré by mohli uvádzať do predzmluvných formulárov a zmlúv o spotrebiteľskom úvere, ako základ pre porovnanie, ktoré môže potom spotrebiteľ urobiť. Ide napr. o nasledovné druhy spotrebiteľských úverov:

1)kontokorentný uver - prečerpanie bežného účtu splatné na požiadanie alebo do 3 mesiacov,2)klasicky bezúčelový spotrebiteľsky uver - (úver alebo pôžička) - spotrebiteľ dostane finančnú hotovosť, ktorú musí splatiť a zaplatiť úroky a poplatky,3) spotrebiteľský uver vo forme splátkového predaja (aj odložená platba),4) finančný lízing,5)kreditne karty6)ostatne typy - tam by spadali napr. konverzia dlhu ap.

K § 5

Ustanovenie § 5 upravuje povinnosti o rozsahu poskytovania vybraných informácií pred uzavretím zmluvy určitého typu zmlúv o úvere formou povoleného prečerpania, tj. úveru formou povoleného prečerpania, ktorý sa musí splatiť na požiadanie alebo do troch mesiacov alebo úveru podľa § 1 ods. 5, t.j. nového úveru, ktorým sa odkladajú splátky alebo sa mení spôsob splácania a ktorej účelom je zabrániť prípadnému súdnemu konaniu o nárokoch veriteľa, pričom podmienky splácania vyplývajúce z novej zmluvy nie sú pre spotrebiteľa horšie ako podmienky splácania vyplývajúce z pôvodnej zmluvy o spotrebiteľskom úvere. V prípade povoleného prečerpania, ak sa nedá vopred stanoviť výška úveru, použijú sa predpoklady podľa prílohy č. 2.

K § 6

Uvedené ustanovenie upravuje výnimku z poskytovania predzmluvných informácií, a to vo vzťahu k dodávateľom a poskytovateľom služieb, ktorí konajú ako sprostredkovatelia viazaného úveru v rámci svojej doplnkovej činnosti. Tieto je povinný poskytnúť však veriteľ viazaného úveru.

K § 7

Novo ustanovenou povinnosťou v tomto návrhu zákona je povinnosť posúdiť s odbornou starostlivosťou schopnosť spotrebiteľa splácať spotrebiteľský úver na základe relevantných a aktuálnych informácií, získaných jednak od spotrebiteľa a jednak napr. v prípade banky zo spoločného bankového registra. Toto ustanovenie by malo zabezpečiť záujem veriteľov správne odhadnúť schopnosť spotrebiteľa splácať a správať sa tak obozretne jednak z pohľadu návratnosti úveru a jednak z pohľadu dôsledkov nezodpovedného požičiavania na strane spotrebiteľov. Tento prístup aplikujú dnes len bankové subjekty.

K § 8

Vzhľadom na to, že smernica v článku 9 požaduje zabezpečiť pre veriteľov prístup k databázam používaným pre posudzovanie schopnosti spotrebiteľa splácať spotrebiteľský úver, ukladá zákon osobám, ktoré spracovávajú príslušné údaje o spotrebiteľoch, aby umožnili prístup k požadovaným údajom zahraničným veriteľom za nediskriminujúcich podmienok. Nediskriminujúcimi podmienkami pre zahraničných veriteľov sa chápu rovnaké podmienky, ako sú stanovené pre veriteľom, ktorých sídlo je v Slovenskej republike. To znamená, že ak je do príslušného registra prístup na členskom základe, členovia majú rovnaké práva a povinností (najmä povinnosť do registra poskytovať informácie o svojich dlžníkoch). Ak majú do príslušného registra prístup len banky so sídlom v Slovenskej republike alebo pobočky zahraničných bánk, musia mať po novom prístup aj zahraničné banky, avšak nie nebankové subjekty. Pre zahraničných veriteľov sa tak zavádza tzv. národný režim.

Ďalej sa v tomto ustanovení navrhuje, povinnosť pre veriteľa, bezodkladne a bezplatne informovať spotrebiteľa o výsledku nahliadnutia do databázy a oznámiť mu údaje o použitej databáze.

K § 9

Požiadavka písomnej formy zmluvy, na základe ktorej sa uzatvára spotrebiteľský úver, vyplýva z nutnosti nastolenia právnej istoty v zmluvných vzťahoch a z nutnosti zabezpečenia dôkazov pre prípadné budúce spory.

Zásadný význam v ochrane spotrebiteľa v zmluvných vzťahoch má dostatočné množstvo informácií o podmienkach úveru, nákladoch a záväzkoch, ktoré z neho vyplývajú. Medzi podstatné náležitosti zmluvy o spotrebiteľskom úvere patria napríklad:

Identifikácia zmluvných strán.

Identifikácia osoby, ktorej vlastnícke právo k tovaru alebo službe neprechádza na spotrebiteľa okamihom odovzdania a prevzatia tovaru alebo služby, a podmienky nadobudnutia vlastníckeho práva k tomuto tovaru alebo službe spotrebiteľom (v prípade, že vlastnícke právo k tovaru alebo službe neprechádza na spotrebiteľa okamihom odovzdania a prevzatia tovaru alebo služby (napr. pri splátkovom predaji alebo lízingu) musí byť spotrebiteľovi zo zmluvy jasné, kto je vlastníkom tovaru alebo služby a za akých podmienok spotrebiteľ môže nadobudnúť vlastnícke práva k tomuto tovaru alebo službe).

Adresa predávajúceho, na ktorej môže spotrebiteľ uplatniť reklamáciu alebo sťažnosť (najmä pri účelovom úvere na nákup tovaru alebo služby, pri ktorom predávajúci a veriteľ uzatvorili zmluvu o výlučnom poskytovaní spotrebiteľského úveru a na základe tejto zmluvy spotrebiteľ získal spotrebiteľský úver musí byť spotrebiteľovi zo zmluvy zrejmé, na akej adrese predávajúceho môže spotrebiteľ uplatniť reklamáciu alebo sťažnosť).

Celkovú výšku, menu poskytnutého spotrebiteľského úveru a podmienky upravujúce jeho čerpanie (v zmluve o spotrebiteľskom úvere bude zrozumiteľne uvedené, aká je celková výška a mena poskytnutého spotrebiteľského úveru, prípadne strop, do ktorého spotrebiteľ môže opakovane čerpať finančné prostriedky. Zároveň je potrebné informovať ho aj o podmienkach upravujúcich čerpanie úveru. Napríklad rôzne obmedzenia – napríklad denný limit, limit pri použití odlišných platobných prostriedkov a podobne).

Ročnú úrokovú sadzbu a podmienky, ktoré upravujú jej uplatňovanie; v prípade variabilnej ročnej úrokovej sadzby zmluva o spotrebiteľskom úvere musí obsahovať podmienky zmeny variabilnej ročnej úrokovej sadzby, ako aj index alebo referenčnú sadzbu, ktoré sa vzťahujú na pôvodnú variabilnú ročnú úrokovú sadzbu (cieľom ustanovenia je podrobne spotrebiteľa informovať o úrokových sadzbách z príslušného spotrebiteľského úveru. Z dôvodu rýchleho porovnania je potrebné uvádzať úrokovú sadzbu per annum. V prípade spotrebiteľského úveru s variabilnou úrokovou sadzbou musí byť spotrebiteľ zo zmluvy zrozumiteľne informovaný o počiatočnej variabilnej úrokovej sadzbe, ako aj o podmienkach, lehotách a postupe zmeny tejto úrokovej sadzby. V prípade, ak je variabilná úroková sadzba naviazaná na nejaký index alebo referenčnú úrokovú sadzbu, musí byť spotrebiteľovi zrejmé, o akú sa jedná. Zároveň musia byť jasné aj okolnosti, za akých sa variabilná úroková sadzba spotrebiteľského úveru zmení.)

Výšku, počet a termíny splátok istiny, úrokov a iných poplatkov (spotrebiteľ musí byť zrozumiteľne informovaný v akých termínoch, resp. kedy, v akej výške a ako dlho je povinný plniť si povinnosti (splácať istinu, úroky a iné poplatky) vyplývajúce mu zo zmluvy o spotrebiteľskom úvere).

Ročnú percentuálnu mieru nákladov a celkové náklady spotrebiteľa spojené so spotrebiteľským úverom vypočítané na základe údajov platných v čase uzatvorenia zmluvy o spotrebiteľskom úvere (veriteľ musí spotrebiteľa zreteľne informovať o výške ročnej percentuálnej miery nákladov a o celkových nákladoch spotrebiteľa spojených so spotrebiteľským úverom. Hodnoty týchto údajov musia byť vypočítané na základe údajov platných v čase uzatvorenia zmluvy.

Veriteľom vyžadované ručenie alebo poistenie (spotrebiteľ musí byť v zmluve o spotrebiteľskom úvere informovaný aj povinnosti zabezpečiť ručenie, resp. uzatvoriť poistenie, ktoré je podmienkou poskytnutia spotrebiteľského úveru).

Právo na splatenie spotrebiteľského úveru pred lehotou splatnosti, postup pri takomto splatení spotrebiteľského úveru a spôsob určenia výšky poplatku za splatenie spotrebiteľského úveru pred lehotou splatnosti (spotrebiteľ bude v zmluve informovaný nielen o tom, že je oprávnený na zníženie celkových nákladov na spotrebiteľský úver pri jeho predčasnom splatení, ale aj o spôsobe určenia poplatku za predčasné splatenie spotrebiteľského úveru, resp. či veriteľ bude tento poplatok požadovať).

Upozornenie týkajúce sa následkov nesplácania spotrebiteľského úveru (vzhľadom na komplikovanosť formulácií v zmluvách týkajúcich sa následkov nedodržania zmluvných podmienok, resp. nesplácania budú v zmluvách o spotrebiteľských úveroch zrozumiteľne uvedené aj upozornenia týkajúce sa následkov nesplácania spotrebiteľského úveru. Napríklad nesplácanie úveru riadne a včas môže mať pre spotrebiteľa negatívne následky finančné (napr. sankčné úroky, príp. poplatky za omeškanie a iné poplatky), ostatné (postúpenie pohľadávky, možnosť exekúcie, dražby, okamžité splatenie úveru, zaradenie do zoznamu neplatičov, zhoršenie prístupu k ďalším úverom a pod.) a vymedzenie podmienok, za ktorých môžu nastať (napr. omeškanie v dvoch splátkach a pod.).

Informáciu o možnosti mimosúdneho riešenia sporov zo zmluvy o spotrebiteľskom úvere (v súvislosti s možnosťou mimosúdneho riešenia sporov bude v zmluve informácia, či spotrebiteľ spory zo zmluvy o spotrebiteľskom úvere je možné riešiť mimosúdnou cestou).

Názov a adresu príslušného kontrolného orgánu (cieľom ustanovenia je informovať spotrebiteľa, kto vykonáva kontrolu v súvislosti s poskytovaní spotrebiteľských úverov. Tým bude zabezpečené, že spotrebitelia budú informovaní, kam sa obrátiť v prípade pochybností ohľadom porušenia zákona.).

Priemernú hodnotu ročnej percentuálnej miery nákladov pre typ spotrebiteľského úveru podľa písmena d) platnú ku dňu podpisu zmluvy o spotrebiteľskom úvere, uverejnenú podľa s § 21 ods. 2 (cieľom tohto ustanovenia je zvýšiť informovanosť spotrebiteľa. Veriteľ bude povinný v zmluve uviesť priemernú hodnotu ročnej percentuálnej miery nákladov pre podobný produkt na trhu. Nakoľko údaje o priemerných hodnotách ročnej percentuálnej miery nákladov za všetkých veriteľov poskytujúcich spotrebiteľské úvery budú v súlade s § 21 verejne prístupné, veritelia ich budú môcť jednoducho získať a bude možné do zmluvy o spotrebiteľskom úvere doplniť hodnotu priemernej ročnej percentuálnej miery nákladov platnú ku dňu podpisu zmluvy. Spotrebiteľ tak bude presne vidieť, akú zmluvu podpisuje vzhľadom na trhový priemer. Bude sa tak môcť rozhodnúť, či si ponuku spotrebiteľského úveru podpisom akceptuje alebo bude hľadať lepšiu ponuku u iného veriteľa.)

K § 10

Uvedené ustanovenie obsahuje výpočet informácií, ktoré je veriteľ povinný poskytnúť spotrebiteľovi v prípade zmluvy o spotrebiteľskom úvere vo forme povoleného prečerpania, ktorý sa musí splatiť na požiadanie alebo do troch mesiacov. U tohoto typu úveru, ktorý je v praxi využívaný predovšetkým v podobe kontokorentného úveru (povolené prečerpanie – ide v podstate o predschválený úver poskytovaný spolu s bežným účtom). Jeho veľkosť sa odvíja od výšky nášho dokladovaného príjmu, alebo od výšky obratov na našom účte. Vo všeobecnosti platí, že čím máte vyšší príjem, tým vyšší úver môžete získať) nemá opodstatnenie uvádzať všetky štandardné údaje požadované v ustanovení § 9. Ako príklad možno uviesť RPMN, ktorej vypovedacia schopnosť u tohto typu úveru je diskutabilná. Faktom je, že u tohto typu úveru nie je vopred známa výška úveru ani harmonogram splácania, a z tohto dôvodu nie je ani možné stanoviť RPMN. Avšak zákon stanovuje povinnosť poskytovať údaje v priebehu platnosti zmluvy o takomto type úveru počas obdobia platnosti zmluvy o úvere formou povoleného prečerpania prostredníctvom výpisu z účtu, ktorý umožní spotrebiteľovi prehľadnosť v svojich záväzkoch.

U tohoto typu úveru je veriteľ povinný uviesť informácie o druhu úveru, o zmluvných stranách, o celkovej výške spotrebiteľského úveru, podmienkach jeho čerpania, o dĺžke trvania zmluvného vzťahu, o úrokovej sadzbe, podmienkach, ktoré upravujú jej uplatňovanie a o práve na odstúpenie od zmluvy.

Ak existuje možnosť vyzvať spotrebiteľa kedykoľvek zaplatiť takýto úver v plnej výške, musí byť spotrebiteľ o tejto možnosti informovaný. Rovnako je povinný veriteľ informovať spotrebiteľa o poplatkoch, spojených so spotrebiteľským úverom od uzavretia zmluvy a podmienkach, za ktorých sa tieto poplatky môžu meniť.

K § 11

Zákon ustanovuje určité dôsledky porušenia určitých povinností ustanovených týmto zákonom. Ide o súkromnoprávny inštitút. Toto ustanovenie je súčasťou dôslednej ochrany slabšej zmluvnej strany – spotrebiteľa a je transpozíciou všeobecnej požiadavky smernice na stanovenie účinných, primeraných a odrádzajúcich sankcií. Ide o mechanizmus, ktorý motivuje veriteľa a prináša spotrebiteľovi prípadnú finančnú výhodu v prípade pochybenia veriteľa. Zároveň s ním nie je spojená okamžitá povinnosť vrátiť celý poskytnutý úver.

K § 12

Predmetné ustanovenie obsahuje povinnosť veriteľa informovať spotrebiteľa v priebehu zmluvného vzťahu o zmenách pohyblivej úrokovej sadzby a o zmenách platieb spôsobených zmenou úrokovej sadzby. Táto informácia musí byť poskytnutá v primeranom predstihu, zákona ustanovuje 15 dňovú lehotu pre nadobudnutím účinnosti tejto zmeny. Informácia zahŕňa výšku splátok, ktoré sa majú zaplatiť po tom, ako nadobudne účinnosť nová úroková sadzba spotrebiteľského úveru, a ak sa počet alebo frekvencia splátok zmení, podrobnosti o ich počte a frekvencii.

Túto povinnosť veriteľ nemá v prípade, ak sa zmluvné strany dohodnú, že táto informácia bude spotrebiteľovi poskytovaná prostredníctvom výpisu a v prípade, keď zmenu ročnej úrokovej sadzby úveru spôsobuje zmena referenčnej sadzby; informáciu o novej referenčnej sadzba je povinný veriteľ sprístupniť vo svojich prevádzkových priestoroch.

K § 13

V súlade s niektorými ďalšími európskymi predpismi, ktoré riešia ochranu spotrebiteľa, je aj v tejto smernici daná možnosť spotrebiteľovi odstúpiť od zmluvy štrnástich kalendárnych dní odo dňa uzavretia zmluvy o spotrebiteľskom úvere alebo odo dňa, keď sú spotrebiteľovi doručené zmluvné podmienky podľa § 9 alebo 10, ak tento deň nasleduje po dni uzavretia zmluvy o spotrebiteľskom úvere bez sankcií a bez povinnosti zdôvodnenia svojho rozhodnutia.

Ide o významný inštitút ochrany spotrebiteľa predovšetkým tým, že na jeho uplatnenie nie je potrebné splnenie ďalších podmienok. Štrnásťdňová lehota má spotrebiteľovi umožniť plne si uvedomiť svoje práva a povinnosti plynúce zo zmluvy a poskytnúť dostatok času na porozumenie, zváženie a overenie všetkých informácií.

Neposkytnutí ustanovených zmluvných informácií znamená také závažné porušenie povinnosti zo strany veriteľa, že zakladá právo pre spotrebiteľa odstúpiť od zmluvy v predĺženej lehote.

Pokiaľ spotrebiteľ uplatní toto svoje právo, má povinnosť tak urobiť najneskôr posledný deň lehoty, a to spôsobom a postupom stanoveným v zákone. Informácie o podmienkach na výkon tohto práva sú podľa § 9 ods. 2 písm. w) podstatnou náležitosťou zmluvy o spotrebiteľskom úvere. Veriteľ má po odstúpení od zmluvy nárok na istinu a úrok z tejto istiny odo dňa, keď sa spotrebiteľský úver začal čerpať, až do dňa splatenia istiny, a to bezodkladne a najneskôr do 30 kalendárnych dní po odoslaní oznámenia o odstúpení od zmluvy veriteľovi. Veriteľ nemá v prípade odstúpenia od zmluvy právo na žiadnu inú kompenzáciu od spotrebiteľa okrem kompenzácie nenávratných poplatkov, ktoré veriteľ zaplatil orgánu verejnej správy v súvislosti s týmto spotrebiteľským úverom. Takýmito poplatkami sú napríklad poplatky za overenie podpisov na zmluvách.

Veriteľ má nárok splatenie istiny a úroku, ktorý sa vypočíta na základe dohodnutej úrokovej sadzby, a to aj vtedy, keď práve výška úrokovej sadzby je dôvodom na odstúpenie, napr. keď spotrebiteľ zistil, že uzavrel zmluvu, ktorá stanovuje vyššiu úrokovú sadzbu, ako je obvyklá na trhu.

V prípade, že je na zmluve o spotrebiteľskom úvere závislý ďalší záväzok, napr. vo forme doplnkovej služby (poistenie) zánikom zmluvy o spotrebiteľskom úvere zanikajú aj ďalšie súvisiace záväzky.

K § 14

Predmetné ustanovenie upravuje možnosť ukončenia zmluvy o spotrebiteľskom úvere výpoveďou, pokiaľ bola zmluva uzavretá na dobu neurčitú. Garantuje tak zmluvná voľnosť strán a ich slobodné rozhodnutie o ukončení platnosti zmluvy uzavretej na dobu neurčitú s tým, že dohodnutá výpovedná lehota nesmie prekročiť jeden mesiac. V prípade, že výpovedná lehota nebola dohodnutá, je výpoveď spotrebiteľa účinná okamžite, akonáhle ju obdrží veriteľ. Zo strany veriteľa výpovedná lehota nesmie byť kratšia než 2 mesiace.

Pokiaľ sa na tom zmluvné strany dohodli, môže veriteľ z objektívnych dôvodov, to znamená z dôvodov, ktoré nie sú závislé od jeho vôle, ukončiť právo spotrebiteľa čerpať prostriedky na základe zmluvy na dobu neurčitú. Veriteľ je však povinný o takomto ukončení a dôvodoch upovedomiť spotrebiteľa preukázateľným spôsobom, ak tomu nebráni iný predpis.

K § 15

V prípade zmlúv o viazanom úvere ide o zmluvy, kde poskytnutý úver slúži výhradne na financovanie zmluvy o dodaní konkrétneho tovaru alebo poskytnutej služby. Tieto obe zmluvy tvoria z objektívneho hľadiska obchodný celok. V prípade, že spotrebiteľ využije svoje právo na odstúpenie od zmluvy o dodaní tovaru alebo služby, a teda nedôjde k plneniu, na ktoré bol spotrebiteľský úver dohodnutý, má právo, aby mu bola vrátená časť už splateného úveru. Spotrebiteľ tak nebude ďalej viazaný zmluvou o viazanom úvere.

S uplatnením uvedených práv nemôže byť spojené navýšenie nákladov na spotrebiteľský úver, lebo uvedené dôsledky boli vyvolané neplnením zo strany dodávateľa alebo tým, že dodávateľ neplnil riadne.

Pokiaľ je dodaný vadný tovar alebo poskytnutá vadná služba, má mať podľa čl. 15 ods. 2 smernice spotrebiteľ právo uplatniť prostriedky nápravy i voči veriteľovi, pokiaľ prostriedky, ktoré má voči predávajúcemu alebo poskytovateľovi služieb, už uplatnil, ale neboli uspokojené. Pokiaľ ide o rozsah a podmienky na uplatnenie týchto prostriedkov nápravy, bola možnosť úpravy prenechaná na členských štátoch.

Z pohľadu transpozície je povinnosť zakotviť vo vnútroštátnej právnej úprave pre spotrebiteľa prostriedky nápravy využiteľné voči veriteľovi v prípade, že dodávateľ tovar alebo poskytovateľ služieb nesplnil svoje povinnosti ani po uplatnení príslušných prostriedkov nápravy (preferencia uplatnenia zákonných nárokov, t.j. uplatnenie zodpovednosti za vady výrobkov primárne u predávajúcich či poskytovateľov služieb - práva zo zodpovednosti za vady sa uplatňujú u predávajúceho alebo poskytovateľa služieb, pokiaľ sa zmluvné strany nedohodli inak).

Až po vyčerpaní všetkých prostriedkov, vrátane súdnych bude možné obrátiť sa na veriteľa. Jednoznačne je zamietnutá možnosť, aby boli finančné inštitúcie nútené riešiť reklamačné, či iné spory. Táto činnosť finančným inštitúciám nepatrí. Z tohto dôvodu zákon umožňuje spotrebiteľovi u veriteľa uplatňovať len nároky na peňažné plnenie.

Účelom § 15 odst. 5 je zamedziť prípadným problémom pri podomovom predaji, kedy v prípade odstúpenia od zmluvy o kúpe tovaru by mohol mať spotrebiteľ aj naďalej povinnosť splácať úver, resp. vrátiť poskytnuté peňažné prostriedky veriteľovi aj napriek tomu, že mu zo strany predávajúceho nebola vrátená kúpna cena.

K § 16

Spotrebiteľovi sa priznáva právo vyrovnať svoje záväzky kedykoľvek pred dátumom splatnosti. V takomto prípade má taktiež právo na pomerné zníženie celkových nákladov úveru. Veriteľ má súčasne právo na spravodlivú a objektívnu kompenzáciu možných nákladov priamo spojených s predčasným spaltením spotrebiteľského úveru.

Výška tejto kompenzácie nemôže presiahnuť 1 % výšky predčasne splateného spotrebiteľského úveru, ak obdobie medzi predčasným splatením spotrebiteľského úveru a dohodnutým ukončením zmluvy o spotrebiteľskom úvere presahuje jeden rok. Ak toto obdobie nepresahuje jeden rok, výška takejto náhrady nemôže presiahnuť 0,5 % výšky predčasne splateného spotrebiteľského úveru.

Výpočet kompenzácie, na ktorú má veriteľ nárok, musí byť prehľadná a a zrozumiteľná spotrebiteľovi už v predzmluvnej fáze a samozrejme v priebehu platnosti zmluvy o spotrebiteľskom úvere. Metoda výpočtu musí byť zároveň ľahko použiteľná pre veriteľa a musí uľahčiť kontrolu tejto kompenzácie kontrolným orgánom.

Predmetné ustanovenie tiež obsahuje výpočet výnimiek v súlade s implementovanou smernicou, kedy nie je možné požadovať kompenzáciu zo strany veriteľa pri predčasnom splatení.

K § 17

Pri postúpení práv veriteľa vyplývajúcich zo zmluvy o spotrebiteľskom úvere na tretiu osobu, vrátane vzájomného započítania pohľadávok sa postupuje podľa ustanovení Občianskeho zákonníka. Zároveň sa ustanovením § 17 zakazuje v súvislosti s poskytovaním spotrebiteľského úveru sa splniť dlh zmenkou alebo šekom. Veriteľ smie prijať od dlžníka zmenku alebo šek na zabezpečenie svojich nárokov zo spotrebiteľského úveru, len ak ide o zabezpečovaciu zmenku a zmenková suma v čase vyplnenia je maximálne vo výške aktuálnej výšky nesplateného spotrebiteľského úveru a príslušenstva (vrátane zmluvných pokút a iných nárokov veriteľa zo zmluvy o spotrebiteľskom úvere) vo výške maximálne 30% istiny poskytnutého spotrebiteľského úveru. Zmenku prijatú, resp. vyplnenú veriteľom v rozpore s vyššie uvedeným, veriteľ nesmie prijať a je povinný ju dlžníkovi kedykoľvek na požiadanie vydať.

K § 18

Oproti „prečerpaniu“, ktoré je v zmluve predpokladané, sa prekročením rozumie faktické sprístupnenie peňažných prostriedkov, pri ktorom veriteľ umožňuje spotrebiteľovi disponovať finančnými prostriedkami nad rámec aktuálneho zostatku na bežnom účte spotrebiteľa alebo nad rámec dohodnutého povoleného prečerpania.

Pokiaľ veriteľ umožní takéto prekročenie, je povinný spotrebiteľa informovať o nákladoch, ktoré mu vzniknú v dôsledku tohto prekročenia – t.j. o úrokovej sadzbe, sankciách, poplatkoch a úrokoch z omeškania.

Ustanovenie odseku 2 obsahuje ďalšie povinností v prípade prekročenia, ktoré trvá viac ako mesiac. Takéto prekročenie je treba posudzovať individuálne vzhľadom na okolnosti prípadu. Prekročenie možno napríklad pomerovať s výškou dohodnutého prečerpania, prípadne obvyklých kladných zostatkov na danom účte pre tým, ako vzniklo prekročenie.

K § 19

Cieľom právnej úpravy je vytvorenie fungujúceho vnútorného trhu a zabezpečenie vysokého stupňa ochrany spotrebiteľov v celom Spoločenstve, čo si vyžaduje zabezpečiť zrovnateľnosť informácií týkajúcich sa RPMN v rámci Spoločenstva. RPMN je možno považovať za jeden z najpodstatnejších inštitútov slúžiacich na orientáciu na trhu spotrebiteľských úverov. RPMN vyjadruje hodnotu všetkých záväzkov - čerpanie, platby a poplatky – súčasne alebo budúce a dohodnuté medzi veriteľom a spotrebiteľom a počíta sa podľa matematického vzorca uvedeného v prílohe č. 1. Jednou z položiek, ktoré sa započítavajú do RPMN, sú náklady na vedenie účtu zaznamenávajúceho platobné transakcie a čerpania. sa zahrnú do celkových nákladov spotrebiteľa spojených s úverom, pokiaľ otvorenie účtu nie je dobrovoľné a náklady na účet neboli zrozumiteľne a samostatne uvedené v zmluve o spotrebiteľskom úvere alebo v akejkoľvek inej zmluve uzavretej so spotrebiteľom.

Predmetné ustanovenie jednoznačne vymedzuje, aké náklady možno a aké nemožno použiť na účely výpočtu RPMN. Pri výpočte sa predpokladá, že zmluva o spotrebiteľskom úvere zostane platná dohodnutý čas a že veriteľ a spotrebiteľ si budú plniť svoje povinnosti za podmienok a v lehotách ustanovených v zmluve o spotrebiteľskom úvere.

K § 20

Smernica vyžaduje od členských štátov, aby veritelia podliehali dohľadu vykonávanému subjektom alebo orgánom nezávislým od finančných inštitúcií alebo aby boli regulovaní.

V súčasnosti sú na našom trhu poskytované spotrebiteľské úvery ako bankami tak aj nebankovými subjektami. Banky na výkon bankových činností, ktorými sú prijímanie vkladov a poskytovanie úverov potrebujú povolenie zo strany Národnej banky Slovenska, na udelenie ktorého sa vyžaduje a splnenie ďalších podmienok, ako napr. kapitálové požiadavky, dôveryhodnosť zdrojov, odborná spôsobilosť, vhodnosť a bezúhonnosť osôb.

Nebankové subjekty môžu poskytovať spotrebiteľský úver alebo ho sprostredkovávať, ak im bolo vydané živnostenské oprávnenie voľnej živnosti. Voľné živnosti sú živnosti, ktoré nie sú uvedené v prílohách č. 1 až 3 zákona č. 455/1991 Zb. o živnostenskom podnikaní (živnostenský zákon) v znení neskorších predpisov a o zmene a doplnení niektorých zákonov. V praxi to znamená, že pre ne nie je ako podmienka prevádzkovania ustanovená žiadna odborná ani iná spôsobilosť, vyžadujú sa len všeobecné podmienky prevádzkovania živnosti. V súlade s § 25 ods.3 zákona Ministerstvo vnútra SR zverejňuje na svojej internetovej stránke zoznam odporúčaných označení najčastejšie používaných voľných živností a ich obsahové vymedzenie. Nosným účelom tohto opatrenia je snaha o sprehľadnenie výberu neregulovaných živností v usporiadanej podobe. V prípade nebankových subjektov poskytujúcich spotrebiteľské úvery ide o „Poskytovanie úverov alebo pôžičiek z peňažných zdrojov získaných výlučne bez verejnej výzvy a bez verejnej ponuky majetkových hodnôt“ a „Sprostredkovanie poskytovania úverov alebo pôžičiek z peňažných zdrojov získaných výlučne bez verejnej výzvy a bez verejnej ponuky majetkových hodnôt“. Peňažné zdroje na poskytovanie takýchto úverov a pôžičiek nesmú byť získané a poskytované v rozpore so zákazom prijímania peňažných vkladov a zákaze poskytovania úverov a pôžičiek z peňažných zdrojov získaných na základe verejnej výzvy alebo verejnej ponuky majetkových hodnôt podľa § 3 ods. 1 a 2 a § 5 písm. l) zákona o bankách a § 126 ods. 5 zákona o cenných papieroch.

Na rozdiel od bánk teda tieto subjekty poskytujú úvery z vlastných zdrojov, a preto požiadavky smerujúce ich finančnej stabilite nie sú potrebné v takom rozsahu. V súčasnosti nie je možné jednoznačne vyčísliť aj napriek povinnosti veriteľov predkladať hlásenia o novoposkytnutých spotrebiteľských úveroch a v rámci diskusie bola zvažovaná možnosť zavedenia registrácie všetkých subjektov poskytujúcich spotrebiteľské úvery a ako najvyhovujúcejšie bolo prijaté riešenie, ktoré je obsahom predmetného ustanovenia. Jeho podstatou je, že každý poskytovateľ spotrebiteľského úveru bude povinný pred začatím svojej činnosti, ktorá spočíva v poskytovaní spotrebiteľských úverov zaregistrovať sa na základe žiadosti. Registráciu uskutočňuje a register veriteľov vedie Národná banka Slovenska. Takáto evidencia prispeje k sprehľadneniu trhu so spotrebiteľskými úvermi, čo bude prínosom nielen pre orgány kontroly, ale i pre orgány činné v trestnom konaní a iné. Ustanovenie upravuje aj postup, akým sa veritelia môžu do registra zapísať.

K § 21

Uvedené ustanovenie je prebraté z doterajšej právnej úpravy, ktorá súvisí so zlepšením informovanosti spotrebiteľov vo vzťahu k porovnaniu RPMN na porovnateľné úverové produkty zverejňovaním priemerných hodnôt RPMN na spotrebiteľský úver. Zverejňovanie priemerných RPMN umožňuje spotrebiteľom lepšie porovnávať konkrétnu ponuku s priemerným produktom na trhu a zároveň mu to umožní lepšie porovnávať ponuky. Podľa tohto ustanovenia majú veritelia povinnosť poskytovať Ministerstvu financií SR a Národnej banke Slovenska údaje o novoposkytnutých spotrebiteľských úveroch. Rozsah, podrobnosti, lehoty a spôsob predkladania údajov ako aj miesto zverejňovania priemerných údajov na trhu so spotrebiteľskými úvermi upravuje všeobecný právny predpise, vydaný Ministerstvom financií SR.

K § 22

Nová právna úprava zavádza i nové povinností pre sprostredkovateľov spotrebiteľských úverov. Napríklad sprostredkovateľ je povinný uviesť v reklame a dokumentoch určených pre spotrebiteľov rozsah svojich právomocí, najmä či pracuje výlučne s jedným alebo viacerými veriteľmi, alebo ako samostatný agent.

K § 23

Obsahom tohoto ustanovenia je úprava pôsobnosti výkonu kontroly nad dodržiavaním povinností stanoveným týmto zákonom. Tak ako v doterajšej úprave, aj tento zákon zveruje túto pôsobnosť Slovenskej obchodnej inšpekcii. Ustanovenie odseku 2 upravuje sankcie za nedodržanie alebo obchádzanie ustanovení tohto zákona.

K § 24

Ustanovenie upravuje skutočnosť, že aj na zmluvy o úvere, ktoré nie sú spotrebiteľským úverom sa vzťahuju vymenované ustanovenia tohoto zákona. Tento zákon teda reguluje aj iné úvery, ako sú spotrebiteľské.

K § 25

Prechodné ustanovenia riešia použitie doterajšieho zákona č. 258/2001 Z.z. o spotrebiteľských úveroch a o zmene a doplnení zákona Slovenskej národnej rady č. 71/1986 Zb. o Slovenskej obchodnej inšpekcii v znení neskorších predpisov a súčasne novo prijatú právnu úpravu spotrebiteľských úverov. Rovnako je stanovená obdobie na splnenie povinností subjektov poskytujúcich spotrebiteľské úvery vo vzťahu k registrácií.

K § 26

Zrušovacím ustanovením dochádza k zrušeniu zákona č. 258/2001 Z.z. o spotrebiteľských úveroch a o zmene a doplnení zákona Slovenskej národnej rady č. 71/1986 Zb. o Slovenskej obchodnej inšpekcii v znení neskorších predpisov, Vyhlášky Ministerstva financií Slovenskej republiky č. 620/2007 Z.z., ktorou sa ustanovuje vzor formulára o zmluvných podmienkach zmluvy o spotrebiteľskom úvere a Nariadenia vlády Slovenskej republiky 238/2008 Z.z z 11. júna 2008, ktorým sa ustanovuje výška, ktorú nesmie prevýšiť odplata za poskytnutie spotrebiteľského úveru.

K § 27

Príloha č. 1 k zákonu obsahuje zoznam preberaných právnych aktov.

K čl. II

K bodu 1 (§ 12 ods. 2)

Vzhľadom na to, že uvedené ustanovenie obsahuje jednu zo zákonných licencií, predstavujúcich výnimku z ochrany prejavov osobnej povahy, považujeme za potrebné pregnantnejšie vyjadriť rozsah uvedenej zákonnej licencie v nadväznosti na čl. 2 ods. 2 Ústavy Slovenskej republiky, podľa ktorého "Štátne orgány môžu konať iba na základe ústavy, v jej medziach a v rozsahu a spôsobom, ktorý ustanoví zákon.".

V tejto súvislosti ide o oprávnenie štátneho orgánu nie len používať, ale aj vyhotovovať nie len obrazové snímky a obrazové a zvukové záznamy, ale aj len zvukové záznamy. K takémuto oprávneniu štátneho orgánu na úradné účely možno dospieť len na základe použitia interpretačného pravidla argumentum a maiori ad minus. Vzhľadom na skutočnosť, že uvedená zákonná licencia predstavuje výrazný zásah do právnej integrity fyzickej osoby, považujeme za žiaduce a potrebné, z hľadiska právnej istoty, aby oprávnenia štátneho orgánu boli vyjadrené expressis verbis a teda aby nevyplývali implicitne pri uplatnení zásad právnej interpretácie.

Navrhovanou právnou úpravou zároveň dôjde k zosúladeniu dikcie § 12 ods. 2 s dikciou § 12 ods. 3, ktorá v platnom znení umožňuje bez privolenia fyzickej osoby nie len použiť, ale aj vyhotoviť podobizne, obrazové snímky a obrazové a zvukové záznamy týkajúce sa fyzickej osoby alebo jej prejavov osobnej povahy.

K bodu 2 (§ 53 ods. 6)

Do § 53 Občianskeho zákonníka sa navrhuje doplniť nový odsek 6, obsahom ktorého je zákaz, aby v spotrebiteľskej zmluvy, ktorej predmetom je poskytnutie peňažných prostriedkov, odplata podstatne prevyšovala odplatu obvykle požadovanú bankami za spotrebné úvery v obdobných prípadoch. Bude dôležité o akú výšku poskytnutých prostriedkov ide. Či ide o záväzok zabezpečený a obdobie na ktoré sa peňažné prostriedky poskytujú. Tieto tri kritéria majú význam pri určení podstatného prevýšenia odplaty a pri judikatúre možno pri tomto termíne (podstatného prevýšenia) vysledovať hranicu max. 20%.

K bodu 3 (pozn. pod čiarou)

Vzhľadom na kódexovú povahu Občianskeho zákonníka sa vypúšťa odkaz pod čiarou.

K bodu 4 (§ 53 ods. 10 až 13)

Dňa 8. decembra 2009 bol predmetom rokovania Legislatívnej rady vlády SR návrh zákona o ochrane finančného spotrebiteľa a o zmene a doplnení niektorých zákonov, kde v § 14 ods. 1 až 4 bol obsiahnutý návrh vyššie uvedenej právnej úpravy. Vzhľadom na námietku nepriamej novely Občianskeho zákonníka bolo predmetné ustanovenia z návrhu vypustené. Vzhľadom na to, že ide o chýbajúcu transpozíciu niektorých ustanovení smernice Rady 93/13/EHS z 5. apríla 1993 o nekalých podmienkach v spotrebiteľských zmluvách (ďalej len „smernica“), je potrebné chýbajúce ustanovenia prebrať do právneho poriadku SR (ostatné ustanovenia uvedenej smernice sú už v Občianskom zákonníku upravené).

K bodu 5 (§ 53b)

K odseku 1

Predkladateľ zaznamenal v aplikačnej praxi súdov rôzne spôsoby poskytovania úžerného plnenia. Niektorí poskytovatelia úverov a pôžičiek z radov nebankových inštitúcií dojednávali astronomické protiplnenia (úroky a poplatky) napr. aj 182,5% p. a. Pre zmenu niektorí dodávatelia úverov a pôžičiek zneužívali omeškanie spotrebiteľa a cez sankcie uplatňovali neprimerane vysoké požiadavky, zatiaľ z poznatkov predkladateľa je rekordným 730%-tný úrok z omeškania p. a. Často krát takéto vysoké sankcie poslúžili na zdôvodnenie „vyplnenia“ rozdielu medzi hodnotou predmetu zabezpečenia a výškou istiny poskytnutého úveru alebo pôžičky. Takto rôznymi sofistikovanými spôsobmi ospravedlňovali bezbrehé neprimerané výkony záložného práva a pôvodne aj zabezpečovacieho prevodu práva. Takéto prípady končili neraz sociálnymi tragédiami, nehovoriac o strachu, obavách a niekedy až sociálnom terore a tiesni, ktorý bol týmito praktikami spôsobený.

Navrhovaná právna úprava má za cieľ odstrániť vyššie uvedené nekalé spôsoby dodávateľov tak, aby všetky sankcie spolu za omeškanie spotrebiteľa jednak poskytli dodávateľovi určitú kompenzáciu za to, že nemôže ďalej za odplatu poskytnúť omeškané finančné prostriedky, a na druhej strane aby bol spotrebiteľ chránený pred plejádou rôznych zmluvných pokút a úrokov spojených s omeškaním so splnením dlhu.

Úrok z omeškania je regulovaný nariadením vlády 87/1995 Z. z. Dodávatelia však nad tento úrok uplatňujú zmluvné pokuty.

Zmluvná pokuta má predovšetkým plniť účel paušalizovanej náhrady škody. Pre dodávateľa, ktorý poskytuje peňažné prostriedky za odplatu spotrebiteľom (úvery, pôžičky, spotrebiteľské úvery), je spravidla škodou to, že nemôže včas nevrátené finančné prostriedky ďalej investovať. Navrhované ustanovenie mu ponúka určitú formu náhrady vo výške odplaty, ktorú dojednáva a nad to ešte navýšenie v zmysle vykonávacieho predpisu - nariadenie vlády 87/1995 Z. z., ktorý predkladateľ navrhne novelizovať. Novelizované ustanovenie v uvedenom nariadení predkladateľ navrhuje v nasledovnom znení:

„Ak je predmetom spotrebiteľskej zmluvy poskytnutie peňažných prostriedkov spotrebiteľovi za odplatu, sankcie za omeškanie s plnením záväzku spotrebiteľa nesmú spolu prevyšovať túto odplatu vyjadrenú v percentuálnych bodoch za rok o viac ako o päť percentuálnych bodov ročne.“

Docieli sa tak primeranosť v sankciách za omeškanie spotrebiteľa predovšetkým so splátkami úveru či pôžičky. V rámci sankcií sa započítavajú predovšetkým úroky z omeškania a zmluvné pokuty.

Navrhované ustanovenie bude kauzisticky dopadať na oblasť finančného trhu pri poskytovaní peňažných prostriedkov spotrebiteľom za odplatu.

Neprijateľná zmluvná podmienka uvedená v § 53 ods. 4 písm. k) poskytuje širšiu ochranu aj na iné vzťahy než na oblasť finančného trhu. Aplikačná prax si však z hore uvedených dôvodov žiada explicitnejšiu a účinnejšiu ochranu spotrebiteľa (čl. 8 smernice). Predkladateľ dáva do pozornosti § 6 ods. 1 bod 13. rakúskeho zákona na ochranu spotrebiteľa č. 140/1979: „pre spotrebiteľa sú v zmysle § 879 Všeobecného občianskeho zákonníka nezáväzné najmä také zmluvné ustanovenia, podľa ktorých... úroky, ktoré má platiť spotrebiteľ pre prípad omeškania, prevyšujú úrokovú sadzbu dohodnutú pre účely platenia v súlade so zmluvou o viac ako päť percentuálnych bodov ročne“.

Vzhľadom na to, že pre aplikačnú prax je jeden z dôležitých výkladov aj výklad zákonodarcu a čerpá sa predovšetkým z dôvodových správ, predkladateľ uvádza nasledovný príklad:

1.úver poskytovaný nebankovým subjektom = 30 000 eur,

2.odplata za poskytnutie úveru = 16 % p. a. - ročne (15% úroky, 1% poplatok za spracovanie zmluvy),

3.úroky z omeškania = 9 % p. a. (§ 3 nariadenia vlády 87/1995 Z. z.),

4.zmluvná pokuta = 0,1 % denne, t. j. 36,5 % per annum,

5.spolu sankcie = 45,5 % (36,5 + 9),

6.dovolené sankcie podľa navrhovaného ustanovenia = 21 %.

Záver: zmluvná pokuta nad 12 % bude neplatná pre rozpor so zákonom. Dodávateľovi k nej bude patriť aj úrok z omeškania 9 %, čo už je na rozdiel od 45,5 % primerané.

Uvedené ustanovenie nebude prichádzať do úvahy v prípade neplatnosti zmluvnej podmienky upravujúcej cenu (odplatu), v prípade, ak by zmluvná podmienka upravujúca odplatu za poskytnutie peňažných prostriedkov bola neplatná v časti, tak navrhovaný limit sankcií sa bude odvíjať len od tej časti odplaty, ktorá je platná.

K odseku 2

Návrh zákona reaguje na potrebu transpozície smernice.

Návrhom zákona sa upravujú okrem iného výnimky z neprijateľných zmluvných podmienok a týkajú sa jednostrannej zmeny zmluvných podmienok. Aby nedochádzalo k neprimeraným tvrdostiam v súvislosti s požiadavku jednorazového vrátenia finančných prostriedkov z dôvodu odstúpenia od zmluvy zo strany spotrebiteľa v prípade, že dodávateľ zmenil zmluvné podmienky, upravuje sa povinnosť dodávateľa umožniť spotrebiteľovi plnenie v splátkach. Rovnakú povinnosť poskytnúť primerané splátky bude mať dodávateľ aj v prípade, že podľa odseku 10 jednostranne vypovie zmluvu.

V prípade, ak nedôjde k dohode o výške splátok, rozhodne súd na návrh dodávateľa alebo spotrebiteľa. Návrh môže podať ktorýkoľvek účastník zmluvného vzťahu a úlohou súdu nie je ukladať povinnosť plniť, ale podľa § 80 písm. c) OSP určiť primeranú výšku splátky a periodicitu jej splácania. Ak by dodávateľ podal žalobu proti spotrebiteľovi o jednorazové zaplatenie bezdôvodného obohatenia z dôvodu zrušenia zmluvy, tak aj v takomto konaní môže súd popri uloženej povinnosti určiť splátky, ktoré musia byť primerané a ktoré musia zodpovedať pomerom spotrebiteľa.

K bodu 6 (§ 879m)

Ide o princíp nepravej retroaktivity s tým, že zákon nebude dopadať na tie nároky, ktoré boli uplatnené pred nadobudnutím účinnosti tohto zákona.

Intertemporálne ustanovenie upravuje režim pôsobenia navrhovanej úpravy a úpravy účinnej do 31. mája 2010.

K čl. III

K bodu 1

Činnosť ratingových agentúr, vrátane povoľovania vzniku a vykonávania ich činnosti na základe registrácie, respektíve certifikácie bude s pôsobnosťou pre celú Európsku úniu upravená Nariadením Európskeho parlamentu a Rady o ratingových agentúrach (ES) č. 1060/2009 zo 16. septembra 2009 o ratingových agentúrach. Nariadenie nadobúda účinnosť dvadsiatym dňom od zverejnenia v Úradnom vestníku EÚ. Z uvedených dôvodov sa v čl. II navrhuje, aby činnosť ratingových agentúr bola vyňatá z pod pôsobnosti živnostenského zákona. Nakoľko nariadenie o ratingových agentúrach zasiahne do činnosti existujúcich ratingových agentúr, riešia ustanovenia čl. 40 predmetného nariadenia prechodné ustanovenia práve vo vzťahu k existujúcim ratingovým agentúram. Podľa nám v súčasnosti dostupných informácií pôsobia v Slovenskej republike minimálne 2 ratingové agentúry.

Podľa čl. 40 majú existujúce ratingové agentúry zosúladiť svoju činnosť s úpravou obsiahnutou v nariadení najneskôr do deviatich mesiacov od vstupu do účinnosti. V lehote medzi šiestym mesiacom od účinnosti nariadenia do deviateho mesiaca od účinnosti nariadenia majú existujúce ratingové agentúry podať žiadosť o registráciu. Existujúce ratingové agentúry môžu pokračovať vo vydávaní kreditných ratingov, ktoré môžu byť využívané na regulatórne účely finančnými inštitúciami až do momentu zamietnutia vydania registrácie.

Z uvedeného vyplýva, že je potrebné prechodné ustanovenie v živnostenskom zákone, tak aby existujúce ratingové agentúry mohli vykonávať svoju podnikateľskú činnosť až do rozhodnutia o ich registrácií. Existujúce ratingové agentúry uskutočňujú svoju podnikateľskú činnosť ako predmet činnosti definovaný podľa živnostenského zákona ako živnosť „činnosť podnikateľských, organizačných a ekonomických poradcov“. Nakoľko táto živnosť sama o sebe nezaniká, ale v dôsledku vyššie citovaného nariadenia o ratingových agentúrach nebude možné pod túto činnosť subsumovať činnosť ratingových agentúr tak ako je zadefinovaná v uvedenom nariadení, navrhujeme v prechodnom ustanovení formuláciu, že táto špecifická činnosť nie je živnosťou. V prípade nedoplnenia čl. II o navrhovanú úpravu prechodných ustanovení by Slovenská republika odobrala existujúcim ratingovým agentúram možnosť vykonávať podnikateľskú činnosť na základe existujúcich živností a to ešte pred lehotou, v rámci ktorej majú mať právo voľby podania žiadosti o registráciu v zmysle citovaného nariadenia. Navrhovaná úprava účinnosti novely by vo vzťahu na existujúce ratingové agentúry mohla mať likvidačný charakter v rozpore s ustanoveniami navrhovaného nariadenia, ako aj v rozpore so základným ústavným právom na podnikanie podľa čl. 35 Ústavy SR.

K bodu 2

Zároveň sa v bode 2 navrhuje vyňať z pod pôsobnosti Živnostenského zákona činnosť osôb poskytujúcich spotrebiteľské úvery vzhľadom na to, že podľa návrhu toho zákona (čl. I) veriteľ môže poskytovať spotrebiteľské úvery až po uskutočnení zápisu v registri veriteľov poskytujúcich spotrebiteľské úvery, ktorý vedie Národná banka Slovenska.

K bodom 3 a 4

Prechodné ustanovenia v živnostenskom zákone riešia postup týchto osôb, tak aby mohli vykonávať svoju podnikateľskú činnosť až do dňa zápisu do registra veriteľov, pričom sa ustanovujú dve prechodné obdobia; pre činnosť ratingových agentúr od 1. júna 2010 a pre osoby poskytujúce spotrebiteľské úvery od 11. júna 2010.

K čl. IV

K bodu 1

Vymedzuje sa pojem „základný bankový produkt“. Základným bankovým produktom sa na účely zákona o bankách rozumie bankový produkt obsahujúci zriadenie a zrušenie bežného účtu vedeného v mene euro, vykonávanie platobných operácií, t.j. vkladov, výberov a prevodov finančných prostriedkov, vydanie medzinárodnej debetnej platobnej karty a zriadenie internet bankingu alebo inej platobnej aplikácie elektronického bankovníctva.

K bodu 2

Navrhovaným znením dochádza k dôslednejšej transpozícii Prílohy VI, časť 1 bod 9 Smernice 2006/48/ES a článku 89 bodu 1 písm. d) smernice 2006/48/ES.

K bodu 3

Vymedzuje sa poskytovanie základného bankového produktu s cieľom zabezpečiť spotrebiteľom prístup k bežnému účtu a k základným bankovým službám, s dôrazom na lepšiu porovnateľnosť a sprehľadnenie poskytovania bankových služieb, ako aj poplatkovej politiky bánk. Súčasne sa predloženým návrhom podporuje využívanie bezhotovostného platobného styku.

K bodu 4

Platné znenie zákona o bankách neobsahuje v prípade prístupu interných ratingov také jednoznačné ustanovenia, z ktorých by vyplývala povinnosť banky alebo pobočky zahraničnej banky požiadať Národnú banku Slovenska o vydanie predchádzajúceho súhlasu na zmenu modelu výpočtu kreditného rizika (prístupom interných ratingov). Navrhovanou zmenou sa určuje formálny postup banky alebo pobočky zahraničnej banky v prípade, že model výpočtu kreditného rizika schválený v minulosti Národnou bankou Slovenska formou vydania predchádzajúceho súhlasu na jeho používanie už nezodpovedá zmeneným podmienkam.

K bodu 5

Navrhovaným znením dochádza k dôslednejšej transpozícii článku 86 bodu 2 písm. a) Smernice 2006/48/ES.

K bodu 6

Navrhovaným znením dochádza k dôslednejšej transpozícii článku 86 bodu 3 písm. a) smernice 2006/48/ES.

K bodu 7

Navrhovaným znením dochádza k dôslednej transpozícii čl. 87 ods. 6, ods. 7, ods. 10 a ods. 11 prvej vety smernice 2006/48/ES.

K bodu 8

Navrhovaným znením dochádza k dôslednej transpozícii čl. 89 ods. 1 smernice 2006/48/ES.

K bodu 9

Navrhovaným znením dochádza k transpozícii čl. 89 ods. 2 Smernice 2006/48/ES.

K bodu 10

Platné znenie zákona o bankách neobsahuje v prípade prístupu interných ratingov také ustanovenia, z ktorých by vyplývala povinnosť banky alebo pobočky zahraničnej banky požiadať Národnú banku Slovenska o vydanie predchádzajúceho súhlasu na zmenu modelu výpočtu kreditného rizika. Navrhovanou zmenou sa určuje formálny postup banky alebo pobočky zahraničnej banky v prípade, že model výpočtu kreditného rizika schválený v minulosti Národnou bankou Slovenska formou vydania predchádzajúceho súhlasu na jeho používanie už nezodpovedá zmeneným podmienkam.

K bodu 11

Platné znenie zákona o bankách neobsahuje v prípade pokročilého prístupu merania operačného rizika také ustanovenia, z ktorých by vyplývala povinnosť banky alebo pobočky zahraničnej banky požiadať Národnú banku Slovenska o vydanie predchádzajúceho súhlasu na zmenu príslušného modelu výpočtu operačného rizika. Navrhovanou zmenou sa určuje formálny postup banky alebo pobočky zahraničnej banky v prípade, že model výpočtu operačného rizika schválený v minulosti Národnou bankou Slovenska formou vydania predchádzajúceho súhlasu na jeho používanie už nezodpovedá zmeneným podmienkam.

K bodu 12

Navrhovaným znením dochádza k precizovaniu textu v dôsledku určitej nejednoznačnosti vo vnímaní, resp. praktickom výklade § 33e ods. 3 a ods. 4 zákona o bankách.

K bodu 13

Zmena vyplývajúca z aplikačnej praxe. Navrhovanou úpravou dochádza k precizovaniu textu, a to v záujme jednoznačnosti vyjadrenia povinnosti banky a pobočky zahraničnej banky v oblasti príslušného oznámenia, a najmä formy oznámenia, ktorá má byť písomná, a termínu, ku ktorému je banka a pobočka zahraničnej banky povinná túto povinnosť splniť.

K bodu 14

Navrhnutá úprava § 38 ods. 2 zákona o bankách je potrebná na to, aby register bankových úverov a záruk mohol obsahovať nielen údaje o úveroch a zábezpekách poskytované do registra bankami a pobočkami zahraničných bánk, ale aj údaje o úveroch a zábezpekách poskytované do registra Exportno-importnou bankou Slovenskej republiky na základe novelizovaných ustanovení § 18 zákona č. 80/1997 Z. z. o Exportno-importnej banke Slovenskej republiky v znení neskorších predpisov (vrátane čl. IX zákona o platobných službách).

K bodu 15

Navrhuje sa legislatívna úprava ustanovenia § 38 ods. 5 zákona o bankách tak, aby sa zabezpečil terminologický súlad tohto ustanovenia a ustanovením platného § 38 ods. 1 zákona o bankách, podľa ktorého údaje do registra sú poskytované (nie sú oznamované).

K bodom 16 a 17

Uvedené legislatívne spresnenie odstraňuje nepresnosť pojmu „štátna prémia“ v platnom zákone o bankách

K bodom 18 a 19

Navrhovanou úpravou v bode 18 sa bližšie vymedzujú požiadavky Ministerstva financií SR vo vzťahu k povinnostiam hypotekárnych bánk a bodom 18 sa zosúlaďuje právna úprava zákona o bankách s organizačnou štruktúrou MF SR.

K bodu 20

Navrhovanou úpravou § 88a ods. 3 písm. b) sa odstraňuje chyba, ktorá vznikla pri predložení poslednej novely zákona o bankách, ktorou sa zaviedol nový úverový produkt pre mladých manželov so štátnou podporou a zosúlaďuje sa s podmienkami stanovenými v Návrhu vecných a legislatívnych predpokladov na zabezpečenie zavedenia nového úverového produktu pre mladých manželov so štátnou podporou, ktorý schválila vláda SR uznesením č. 699 z 30. septembra 2009 tak, že štátna podpora sa poskytne v prípade, ak banka alebo pobočka zahraničnej banky zníži úrokovú sadzbu dohodnutú v zmluve o mladomanželskom úvere vo výške najmenej polovice štátneho príspevku pre mladomanželov.

K bodu 21

Ustanovuje sa možnosť určitých organov komunikovať s bankou a pobočkou zahraničnej banky aj elektronickými prostriedkami s použitím elektronického podpisu, zaručeného elektronického podpisu, alebo iného dohodnutého spôsobu overovania totožnosti.

K bodu 22

Ustanovuje sa možnosť banky a pobočky zahraničnej banky zaslať informácie o klientoch, na ktorých poskytnutie bola vyzvaná, aj prostredníctvom elektronických prostriedkov.

K bodu 23

Cieľom navrhovanej úpravy zákona č. 483/2001 Z.z. o bankách a o zmene a doplnení niektorých zákonov je umožniť využívať údaje zo spoločného registra bankových informácií aj veriteľom poskytujúcim spotrebiteľské úvery z iného členského štátu, ktorí sú bankou za rovnakých podmienok ako bankám poskytujúcim spotrebiteľské úvery so sídlom v SR. Navrhnutá úprava § 92a ods. 3 druhej vety zákona o bankách zabezpečuje jasnú, jednoznačnú a nezneužiteľnú previazanosť ustanovení § 92a zákona o bankách a § 8 pripravovaného zákona o spotrebiteľských úveroch a iných úveroch a pôžičkách pre spotrebiteľov.

K čl. V

K bodu 1

Touto úpravou sa odstraňuje nesúlad textu so zámerom a významom smernice Európskeho parlamentu a Rady 2004/39/ES.

K bodu 2

Týmto návrhom sa implementuje do zákona č. 566/2001 Z. z. aj bod 57 Smernice komisie 2006/73/ES ktorou sa vykonáva smernica Európskeho parlamentu a Rady 2004/39/ES, podľa ktorého na účely článku 19 ods. 4 smernice 2004/39/ES transakcia nemusí byť vhodná pre klienta alebo potenciálneho klienta z dôvodu rizík predmetných finančných nástrojov, druhu transakcie, vlastnosti pokynu alebo frekvencie obchodovania. Séria transakcií, z ktorých je každá transakcia vhodná, ak sa posudzujú samostatne, môže byť nevhodná vtedy, ak sú odporúčania alebo rozhodnutia obchodovať poskytované vo frekvencii, ktorá nie je v súlade so záujmami klienta.

K bodu 3

Navrhovaným znením dochádza k legislatívnemu precizovaniu textu.

K bodu 4

Navrhovaným znením dochádza k precizovaniu textu v dôsledku určitej nejednoznačnosti vo vnímaní, resp. praktickom výklade § 74a ods. 3 a ods. 4 zákona o cenných papieroch.

K bodu 5

Zmena vyplývajúca z aplikačnej praxe. Taktiež dochádza k zosúladeniu s ustanoveniami § 37 ods. 11 zákona o bankách upravujúcich rovnakú problematiku pre banky a pobočky zahraničných bánk.

K bodom 6 a 7

Navrhovaná zmena právnej úpravy rozširuje možnosti fondu ukladať voľné finančné prostriedky aj prostredníctvom účtov vedených štátnou pokladnicou SR a zároveň umožňuje investovať finančné prostriedky aj do nákupu štátnych cenných papierov so splatnosťou do troch rokov odo dňa ich nákupu. Zámerom návrhu je zvýšiť možnú efektívnosť správy voľných finančných prostriedkov pri zachovaní dostatočnej miery bezpečnosti zdrojov fondu. Požiadavka na uvedenú zmenu vyplýva z potrieb aplikačnej praxe.

K bodu 8

Touto úpravou sa odstraňuje významová nezhoda legislatívneho zámeru s aplikačnou praxou výkonu dohľadu.

K bodu 9

Ide o precizovanie ustanovenia v tom zmysle, že v danom prípade ide o zverejňovanie dotknutých informácií vo Vestníku Národnej banky Slovenska a nie v inom vestníku, s cieľom predídenia možným výkladovým a aplikačným nejasnostiam uvedeného ustanovenia zákona.

K bodom 10 až 13

Navrhovaným ustanovením v bode 9 sa preberá čl. 22 nariadenia Európskeho parlamentu a Rady č. 1060/2009 zo 16. septembra 2009 o ratingových agentúrach, ktorý ukladá členským štátom určiť príslušný orgán na účely vykonávania nariadenia, najmä pokiaľ ide o registrácie ratingových agentúr; v Slovenskej republike sa ako príslušný orgán navrhuje určiť NBS. Navrhovanými ustanoveniami v bodoch 10 až 12 sa preberá čl. 36 nariadenia Európskeho parlamentu a Rady č. 1060/2009 zo 16. septembra 2009 o ratingových agentúrach, ktorý ukladá členským štátom zaviesť sankčný režim voči ratingovým agentúram za nedodržiavanie nariadenia.

K bodu 14

Mechanizmus vyhlásenia a dôvody pre vyhlásenie nútenej správy nad obchodníkom s cennými papiermi sa zjednocujú s úpravou platnou pre banky a pobočky zahraničných bánk. Uvedenú úpravy si vyžaduje skutočnosť, že v období finančnej krízy je súčasný mechanizmus stanovujúci povinnosť NBS automaticky vyhlásiť nútenú správu pri prekročení straty vo výške 30% nevhodný.

K čl. VI

Navrhovaná úprava zosúlaďuje zákon č. 128/2002 Z.z. o štátnej kontrole vnútorného trhu vo veciach ochrany spotrebiteľa a o zmene a doplnení niektorých zákonov v znení neskorších predpisov s ustanovením § 23 tohto návrhu zákona, podľa ktorého kontrolu dodržiavania povinností ustanovených týmto zákonom vykonáva Slovenská obchodná inšpekcia.

K čl. VII

K bodu 1

Ide o legislatívno-technickú úpravu, ktorou sa rozširuje poznámka pod čiarou k odkazu 1 aj o iné právne záväzné akty ako sú zákony, t.j. o nariadenie Európskeho parlamentu a Rady č. 1060/2009 zo 16. septembra 2009 o ratingových agentúrach. Ide o úpravu súvisiacu s pozmeňujúcim návrhom v bode 2.

K bodu 2

Rozšírením poznámky pod čiarou k odkazu 1 v zákone dohľade nad finančným trhom sa ustanoví, že dohľad nad finančným trhom vykonáva NBS aj podľa zákona o Eximbanke. Úprava súvisí so zmenou zákona o Eximbanke. Zároveň sa touto úpravou zaraďujú ratingové agentúry medzi dohliadané subjekty finančného trhu, ktoré sú primárne regulované osobitným predpisom, nariadením Európskeho parlamentu a Rady č. 1060/2009 zo 16. septembra 2009 o ratingových agentúrach.

K bodu 3

Rozširuje sa okruh dohliadaných subjektov aj o pobočky poisťovní z iného členského štátu a pobočky zaisťovní z iného členského štátu sa zosúladí rozsah dohľadu nad finančným trhom vykonávaným NBS podľa zákona o dohľade nad finančným trhom a osobitných zákonov so zákonom o poisťovníctve. Platný zákon o poisťovníctve v § 48 umožňuje, aby NBS za podmienok podľa § 21 ods. 3 a 4 tohto zákona vykonávala dohľad aj nad pobočkami poisťovní z iného členského štátu a pobočkami zaisťovní z iného členského štátu, preto je potrebné v tomto smere rozšíriť dohliadané subjekty v zákone o dohľade nad finančným trhom. Zároveň zavedením registrácie ratingových agentúr a určením NBS za príslušný orgán na vykonávanie oprávnení podľa nariadenia Európskeho parlamentu a Rady č. 1060/2009 zo 16. septembra 2009 o ratingových agentúrach zákonom o cenných papieroch je potrebné doplniť ratingové agentúry medzi subjekty dohliadané NBS.

K bodu 4

Navrhuje sa legislatívna úprava § 1 ods. 3 písm. b) zákona o dohľade nad finančným trhom (v znení čl. XVI zákona o platobných službách) tak, aby bol vykonávateľný dohľad nad Exportno-importnou bankou Slovenskej republiky v rozsahu podľa novelizovaného § 18 zákona č. 80/1997 Z. z. v znení neskorších predpisov (vrátane čl. IX zákona o platobných službách), pretože bez navrhnutej úpravy by nebolo vykonávateľné napríklad ustanovenie novelizovaného § 18 ods. 6 až 11 zákona č. 80/1997 Z. z. v znení neskorších predpisov.

K bodu 5

Navrhuje sa legislatívna úprava § 1 ods. 3 písm. g) zákona o dohľade nad finančným trhom (v znení čl. XVI zákona o platobných službách), ktorou sa zohľadňuje skutočnosť, že Národná banka Slovenska má viesť register veriteľov poskytujúcich spotrebiteľské úvery a taktiež má zabezpečovať zverejňovanie informácií z údajov o novoposkytnutých spotrebiteľských úveroch podľa ustanovení § 20 a 21 pripravovaného zákona o spotrebiteľských úveroch a všeobecne záväzný právny predpis vydaného ministerstvom financií na vykonanie zákona o spotrebiteľských úveroch.

K bodu 6

Navrhovaná zmena vyplynula z poznatkov z aplikačnej praxe a to tak, aby sa ustanovenie vzťahovalo na hodnotiace činnosti, čo je v záujme zdokonalenia legislatívnych predpokladov na zabezpečenie plynulého, efektívneho a účinného výkonu dohľadu, čo patrí medzi principiálne požiadavky podľa európskych právnych predpisov, ktoré sa týkajú finančných inštitúcií a dohľadu nad finančnými inštitúciami v jednotlivých oblastiach finančného trhu. Pritom finančné inštitúcie a celá ich činnosť musia vo všeobecnom záujme podliehať dôslednému dohľadu s tým, že orgán dohľadu musí mať pri svojej činnosti všetky vhodné a účinné právomoci, prostriedky a nástroje na plynulé, efektívne a účinné vykonávanie dohľadu nad dohliadanými subjektmi.

K bodu 7

Navrhnutým doplnením nového odseku 4 do § 36 zákona o dohľade nad finančným trhom sa zohľadňuje skutočnosť, že Národná banka Slovenska má viesť register veriteľov poskytujúcich spotrebiteľské úvery podľa ustanovení § 20 pripravovaného zákona o spotrebiteľských úveroch.

K čl. VIII

Navrhovanou úpravou sa dopĺňa ustanovenie § 4 o nový odsek 12, ktorým sa ustanovuje, že v prípade poskytovania informácií o finančnej službe na diaľku sa postupuje podľa osobitného zákona, ktorým je zákon č. .../2010 Z.z. o spotrebiteľských úveroch a o iných úveroch a pôžičkách pre spotrebiteľov a o zmene a doplnení niektorých zákonov. Navrhovanou úpravou sa preberá ustanovenie čl. 5 ods. 1 smernice EP a Rady 2008/48/ES.

K čl. IX

K bodu 1

Navrhovaná úprava odstraňuje nejasnosť pri aplikácii v súvislosti s udelením povolenia na vykonávanie zaisťovacej činnosti poisťovňou.

K bodu 2

Navrhovanou právnou úpravou sa spresňuje, že povolením na vykonávanie zaisťovacej činnosti pre poisťovňu sa rozumie vykonávanie zaisťovacej činnosti poisťovňou a nie vznik poisťovne nakoľko tento subjekt už existuje.

K bodu 3 až 5

V tomto ustanovení sa dopĺňa poisťovňa, ktorá žiada Národnú banku Slovenska o udelenie povolenia na vykonávanie zaisťovacej činnosti.

Navrhovaná úprava súvisí s udelením povolenia na vykonávanie zaisťovacej činnosti poisťovni.

K bodu 6

Navrhovaná úprava súvisí s rozšírením povolenia na vykonávanie zaisťovacej činnosti pre poisťovňu.

K bodu 7

Upravuje sa vykonávanie zaisťovacej činnosti poisťovne so sídlom na území Slovenskej republiky, ktorá sa rozhodla vykonávať zaisťovaciu činnosť v inom členskom štáte na základe práva slobodného poskytovania služieb bez zriadenia pobočky a poisťovne z iného členského štátu, ktorá sa rozhodla vykonávať zaisťovaciu činnosť na území Slovenskej republiky prostredníctvom pobočky bez povolenia a poisťovne z iného členského štátu, ktorá sa rozhodla vykonávať zaisťovaciu činnosť na území Slovenskej republiky na základe práva slobodného poskytovania služieb.

K bodu 8

Upresňuje sa obsah oznámenia, ktorý zasiela Národná banka Slovenska príslušnému orgánu dohľadu členského štátu v ktorom chce poisťovňa vykonávať zaisťovaciu činnosť na základe práva slobodného poskytovania služieb bez zriadenia pobočky.

K bodu 9

Upresňuje sa, kedy je poisťovňa z iného členského štátu oprávnená začať vykonávať zaisťovaciu činnosť na území Slovenskej republiky prostredníctvom pobočky bez povolenia.

K bodu 10

Ide o spresnenie dôvodu možného vykonávania zaisťovacej činnosti poisťovňou z iného členského štátu prostredníctvom pobočky bez povolenia a na základe slobodného poskytovania služieb.

K bodu 11

Dopĺňajú sa činnosti subjektov spadajúcich pod dohľad príslušného orgánu dohľadu domovského členského štátu.

K bodom 12 až 14

Upravuje sa vykonávanie zaisťovacej činnosti poisťovňou z iného členského štátu a postup Národnej banky Slovenska pri porušení všeobecne záväzných právnych predpisov poisťovňou z iného členského štátu, ako aj vzájomná výmena informácií medzi Národnou bankou Slovenska a príslušného orgánu dohľadu domovského členského štátu.

K bodu 15

Ide o doplnenie skutočnosti, o ktorých Národná banka Slovenska písomne informuje Európsku komisiu pri vykonávaní zaisťovacej činnosti poisťovňou.

K bodu 16

Upravuje sa povinnosť tvorby technických rezerv pre poisťovňu aj pre záväzky zo zaistných zmlúv.

K bodu 17

Upravuje sa povinnosť poisťovne ročne zverejňovať priemernú výšku nákladov na finančné sprostredkovanie v životnom poistení. Zverejňovanie tejto výšky je mimoriadne dôležité v súvislosti s ochranou oprávnených záujmov spotrebiteľa. Bližšie podrobnosti ustanoví Národná banka Slovenska opatrením vyhláseným v Zbierke zákonov.

K bodu 18

Ide o podrobnejšie precizovanie splnomocňovacieho ustanovenia na vydanie opatrenia Národnej banky Slovenska, ktoré sa týka vzoru formulára predkladaného pri uzavieraní poistnej zmluvy, ktorého cieľom je zvýšenie ochrany finančného spotrebiteľa.

K čl. X

K bodu 1

Doplnením kategórie finančného sprostredkovateľa z iného členského štátu v sektore poistenia alebo zaistenia a kategórie viazaného investičného agenta sa zabezpečí pokrytie všetkých kategórií sprostredkovateľov, ako aj rovnaké postavenie sprostredkovateľov na finančnom trhu.

K bodu 2

Navrhovaná právna úprava je v súlade s transpozíciou smernice č. 2002/92/ES o sprostredkovaní poistenia.

K bodu 3

Ide o odstránenie duplicity, nakoľko požiadavka vyplývajúca zo smernice 2002/92/ES je už upravená v ustanovení § 1 ods. 2 písm. c).

K bodu 4

V sektore poskytovania úverov sa dopĺňajú spotrebiteľské úvery, poskytovanie ktorých je upravené v zákone o spotrebiteľských úveroch. Ide o dôležitú oblasť právnej úpravy a jej význam úmerne rastie s tým, ako sa vyvíjajú rôzne formy spotrebiteľských úverov a ich význam pre domácnosť.

V nadväznosti na navrhovanú úpravu sa upravuje aj poznámka pod čiarou.

K bodom 5 a 6

Navrhovanou úpravou sa dopĺňa definícia finančnej inštitúcie o subjekty zahraničnej inštitúcie elektronických peňazí a pobočky zahraničnej inštitúcie elektronických peňazí podľa zákona o platobných službách a o zmene a doplnení niektorých zákonov, ktorý je v súčasnosti predmetom rokovania v Národnej rade Slovenskej republiky.

V nadväznosti na navrhovanú úpravu sa upravuje aj poznámka pod čiarou.

K bodu 7

Upresňuje sa poznámka pod čiarou z dôvodu nadobudnutia účinnosti nového zákona o spotrebiteľských úveroch.

K bodu 8

Zmluva o poskytnutí finančnej služby nemusí mať vždy nevyhnutne písomný charakter (napr. zmluvou na diaľku sa rozumie zmluva medzi dodávateľom a spotrebiteľom o poskytnutí finančnej služby výlučne prostredníctvom prostriedkov diaľkovej komunikácie).

K bodu 9

Ide o spresnenie textu v súlade s transpozíciou smernice č. 2002/92/ES o sprostredkovaní poistenia.

K bodom 10 a 11

Navrhovaná úprava definuje finančného agenta ako osobu so sídlom, miestom podnikania alebo umiestnením organizačnej zložky na území Slovenskej republiky. Ide o doplnenie zahraničného finančného agenta, ktorý na území Slovenskej republiky vykonáva svoju činnosť prostredníctvom organizačnej zložky. Zároveň sa dopĺňa definícia finančného agenta v sektore poistenia alebo zaistenia.

Navrhovaná úprava ďalej definuje finančného poradcu ako osobu so sídlom, miestom podnikania alebo umiestnením organizačnej zložky na území Slovenskej republiky. Ide o doplnenie zahraničného finančného poradcu, ktorý na území Slovenskej republiky vykonáva svoju činnosť prostredníctvom organizačnej zložky. Zároveň sa dopĺňa definícia finančného poradcu v sektore poistenia alebo zaistenia.

K bodu 12

Navrhovaná úprava presnejšie ustanovuje, že finančný agent, ktorý je definovaný ako osoba so sídlom alebo miestom podnikania na území Slovenskej republiky vykonáva činnosť na základe písomnej zmluvy s finančnou inštitúciou alebo na základe písomnej zmluvy so samostatným finančným agentom, je oprávnený vykonávať svoju činnosť len pre finančnú inštitúciu, ktorá má oprávnenie na vykonávanie činnosti na území Slovenskej republiky.

K bodu 13

Navrhovanou úpravou sa presnejšie ustanovuje, že viazaný finančný agent môže mať v sektore poistenia alebo zaistenia uzavretú písomnú zmluvu len s jednou poisťovňou vykonávajúcou životné poistenie a súčasne len s jednou poisťovňou, ktorá vykonáva neživotné poistenie.

K bodu 14

Finančný sprostredkovateľ z iného členského štátu nepodlieha dohľadu Národnej banky Slovenska a neriadi sa v plnom rozsahu právnym poriadkom Slovenskej republiky. Nakoľko ani jemu podriadení finanční agenti, ktorí pôsobia na území SR nespadajú pod dohľad Národnej banky Slovenska, by fakticky nebolo možné vynútiť plnenie povinnosti zo strany týchto podriadených finančných agentov. Navrhovanou úpravou sa zabezpečí, aby nedošlo k obchádzaniu ustanovení zákona, ktorý sa vzťahuje na všetky subjekty pôsobiace na území SR.

K bodu 15

Ide o opravu chybne uvedeného odkazu poznámky pod čiarou.

K bodu 16

Navrhovaná úprava nadväzuje na úpravu v bode 12.

K bodu 17

Ustanovenie upravuje povinnosť Národnej banky Slovenska oznámiť príslušnému orgánu dohľadu domovského členského štátu podmienky vykonávania finančného sprostredkovania alebo finančného poradenstva pre finančného sprostredkovateľa z iného členského štátu v sektore poistenia alebo zaistenia na území SR. Zákonom uvedená lehota je nad rámec smernice. Stanovenie lehoty na 5 dní je obmedzujúce a z tohto dôvodu sa lehota predlžuje na 15 dní.

K bodu 18

Navrhovaná úprava predlžuje lehotu na zápis do registra, zmenu zápisu a jeho zrušenie, nakoľko zákonom ustanovená lehota je príliš krátka.

K bodu 19

Upravuje sa pri navrhovateľovi na zápis viazaného finančného agenta aj zahraničný subjekt, ktorý podniká na území SR prostredníctvom organizačnej zložky, vypustenie finančného sprostredkovateľa z iného členského štátu v sektore poistenia alebo zaistenia súvisí s úpravou § 9 ods. 1.

K bodu 20

Navrhovaná úprava ustanovuje povinnosť Národnej banky Slovenska zapísať finančného sprostredkovateľa z iného členského štátu v sektore poistenia alebo zaistenia do príslušného podregistra za splnenia zákonom stanovených podmienok.

K bodu 21

Dôvodom navrhovanej právnej úpravy je skutočnosť, že pridelené prihlasovacie meno a heslo navrhovateľ využíva pri predkladaní každého návrhu zápisu, návrhu na zmenu zápisu a návrhu na zrušenie zápisu v podregistri.

K bodu 22

Požiadavka na zrušenie zápisu v podregistri pri predaji časti podniku viazaného finančného agenta, podriadeného finančného agenta alebo viazaného investičného agenta, ak táto predstavuje zanedbateľnú čiastku je obmedzujúca.

K bodu 23

Navrhovanou úpravou sa predlžuje lehota v ktorej je navrhovateľ povinný podať návrh na zrušenie zápisu viazaného finančného agenta, podriadeného finančného agenta alebo viazaného investičného agenta z dôvodu zmluvného vzťahu medzi navrhovateľom a podriadenými subjektami.

K bodu 24

Úpravou sa zabezpečí zosúladenie tohto ustanovenia s ustanoveniami § 14 a § 15.

K bodu 25

Ide o legislatívnotechnickú úpravu textu.

K bodu 26

Ide o doplnenie splnomocňovacieho ustanovenia na vydanie opatrenia Národnej banky Slovenska týkajúce sa návrhu na zápis, zmenu zápisu, návrhu na zrušenie zápisu v registri o ďalšie podrobnosti.

K bodu 27

Ustanovenie § 17 je potrebné nahradiť novým navrhovaným znením z dôvodu potreby evidencie údajov o zahraničných osobách v registri. Týmito údajmi sú adresa umiestnenia organizačnej zložky subjektu, ktorý pôsobí na území Slovenskej republiky a informácie o vedúcom organizačnej zložky subjektu, a to v rozsahu meno a priezvisko. Z dôvodu povinnosti uloženej samostatnému finančnému agentovi a finančnému poradcovi zahrnúť do svojej organizačnej štruktúry vedúceho zamestnanca je žiadúce, aby sa informácia o osobe vedúceho zamestnanca a začiatku vykonávania jeho funkcie taktiež evidovala v registri. Z evidovaných údajov sa ďalej navrhujú vypustiť tie údaje, ktoré nie je potrebné v registri, ktorý vedie Národná banka Slovenska registrovať.

K bodu 28

Žiadateľ, ktorý je právnickou osobou v žiadosti o udelenie povolenia na vykonávanie činnosti samostatného finančného agenta a na vykonávanie činnosti finančného poradcu uvádza aj adresu umiestnenia organizačnej zložky na území Slovenskej republiky a meno a priezvisko vedúceho organizačnej zložky pôsobiacej na území Slovenskej republiky.

K bodu 29

Navrhovanou úpravou sa zabezpečuje požiadavka evidencie obidvoch údajov.

K bodu 30

Požiadavka na zánik povolenia na vykonávanie činnosti samostatného finančného agenta a povolenia na vykonávanie činnosti finančného poradcu pri predaji časti podniku samostatného finančného agenta alebo finančného poradcu, ak táto predstavuje zanedbateľnú čiastku je obmedzujúca

K bodu 31

Navrhovaná právna úprava zamedzí možnosť vrátenia povolenia samostatného finančného agenta alebo finančného poradcu počas prebiehajúceho sankčného konania.

K bodu 32

Upravuje sa oznamovacia povinnosť Národnej banky Slovenska voči orgánu dohľadu iného členského štátu pri finančnom agentovi v sektore poistenia alebo zaistenia alebo pri finančnom poradcovi v sektore poistenia alebo zaistenia, ktorý má v úmysle vykonávať svoju činnosť v inom členskom štáte, taktiež sa vymedzujú údaje, ktoré sú súčasťou oznámenia Národnej banky Slovenska.

K bodu 33

V súlade so smernicou ide o legislatívnotechnickú úpravu.

K bodu 34

Úprava ustanovenia vyplýva z aplikačnej praxe, nakoľko pri absolvovaní odbornej skúšky sa praktické schopnosti nepreverujú a ani sa touto formou nedajú overiť.

K bodom 35 až 39

Navrhovanou úpravou sa odstráni prísna a v praxi ťažko realizovateľná požiadavka na odbornú spôsobilosť pre stredný stupeň odbornej spôsobilosti. Získanie praxe v každom príslušnom sektore je problematické s prihliadnutím na skutočnosť, že nadobudnutie praxe má predchádzať získaniu možností v tomto sektore pôsobiť. Nie je možné získať prax v sektore, v ktorom vlastne bez praxe nie je možné fungovať.

Navrhovanou úpravou sa predlžuje lehota na overenie odbornej spôsobilosti pre vyšší stupeň odbornej spôsobilosti a najvyšší stupeň odbornej spôsobilosti z dvoch na štyri roky, nakoľko lehota absolvovania osobitného finančného vzdelania, úspešného vykonania odbornej skúšky alebo úspešného vykonania odbornej skúšky s certifikátom je neprimerane krátka.

K bodu 40

Úprava vyplynula z potreby rozlíšenia vedúceho zamestnanca, definícia ktorého je upravená v stanovení § 17 ods. 1 v novom písmene n) od ostatných zamestnancov, ktorí vykonávajú finančné sprostredkovanie alebo finančné poradenstvo.

K bodu 41

Osoby, ktorým bolo odobraté povolenie na vykonávanie sprostredkovania poistenia alebo zaistenia, povolenia na vykonávanie sprostredkovania doplnkového dôchodkového sporenia alebo povolenia na výkon činnosti sprostredkovateľa investičných služieb podľa doterajších predpisov nie sú dôveryhodnými osobami.

K bodu 42

Navrhuje sa, aby vedúci zamestnanec vzhľadom na závažnosť vykonávanej činnosti pracoval len pre jedného samostatného finančného agenta alebo len jedného finančného poradcu.

K bodu 43

Potrebnou súčasťou kompletnej evidencie sťažností je aj evidencia spôsobu vybavenia sťažností.

K bodu 44

Navrhovanou úpravou sa zabezpečí sprehľadnenie a zjednodušenie úpravy ustanovenia zákona, ktorý upravuje konflikt záujmov.

K bodu 45

Navrhovaná právna úprava bližšie špecifikuje, že ide o oprávnené záujmy klienta, nakoľko finančné sprostredkovanie je podnikaním podľa obchodného zákonníka.

K bodu 46

Navrhovanou úpravou, ktorá je v súlade so smernicou 2002/92/ES, sa zabezpečí ochrana klienta pri inkasovaní finančných prostriedkov.

K bodu 47

Navrhovaná úprava lehoty povinnosti predkladania správy vedúcim zamestnancom finančnej inštitúcie alebo vedúcim zamestnancom samostatného finančného agenta Národnej banke Slovenska raz ročne je postačujúca.

K bodu 48

Neposkytnutie údajov ako sú napr. faxové číslo, kontaktné telefónne číslo, adresa elektronickej pošty nie je dôvodom na to, aby klientovi nebolo poskytnuté finančné sprostredkovanie alebo finančné poradenstvo.

K bodu 49

Navrhovaná úprava súvisí s novelou zákona o poisťovníctve § 35 ods. 6, v ktorom sa ustanovuje povinnosť poisťovne zverejňovať zákonom určenej lehote priemernú výšku nákladov na finančné sprostredkovanie pri jednotlivých odvetviach životného poistenia. Podrobnosti ustanoví Národná banka Slovenska opatrením.

K bodom 50 a 51

Navrhovaná úprava bližšie špecifikuje informácie, ktoré sú finančný agent a finančný poradca povinní poskytnúť neprofesionálnemu klientovi alebo potencionálnemu neprofesionálnemu klientovi, aby sa správne rozhodol pri uzavretí zmluvy o poskytnutí finančnej služby. Navrhovanou právnou úpravou sa zabezpečí, aby finančný agent a finančný poradca pri poskytovaní informácií klientovi potrebných k jeho zodpovednému prijatiu rozhodnutia poskytol aj ďalšie dôležité informácie týkajúce sa zmluvy o poskytnutí finančnej služby. Takýmto spresnením znenia ustanovenia sa javí písmeno g) tohto ustanovenia ako nadbytočné.

K bodu 52

V navrhovanej právnej úprave je uplatnená základná zásada, že finančný agent a finančný poradca je povinný zisťovať požiadavky klienta, jeho skúsenosti a znalosti, ktoré sa týkajú príslušnej finančnej služby. Predmetné údaje zisťuje kedykoľvek (pred aj počas finančného sprostredkovania a finančného poradenstva). Podstatné je, že informácie a odporúčania na uzavretie zmluvy môže finančný agent a finančný poradca poskytnúť klientovi až po dodaní požadovaných údajov.

K bodu 53

Ustanovuje sa, ako postupovať v súvislosti so základným pravidlom získavania informácií od klienta v osobitných prípadoch, ak klient odmietne poskytnúť požadované informácie a naďalej trvá na uzavretí zmluvy o poskytnutí finančnej služby.

K bodu 54

Povinnosť viesť evidenciu a uchovávať ju po dobu aspoň 5 rokov po skončení platnosti zmluvy sa javí ako neopodstatnená, nakoľko napr. pri dlhodobých zmluvách (životné poistenia) ani samotný finančný agent nevie, kedy zmluva končí. Naviac povinnosť archivovať zmluvy má aj samotná finančná inštitúcia minimálne po celú dobu ich platnosti. Navrhuje sa uchovávať dokumenty na dobu 10 rokov od začiatku platnosti zmluvy o poskytnutí finančnej služby, t.j. dovtedy, kým z hľadiska poskytnutia finančného sprostredkovania môže nastať klientovi škoda.

K bodu 55 až 57

Navrhovanou úpravou sa predlžuje lehota na dosiahnutie stredného stupňa odbornej spôsobilosti, vyššieho stupňa odbornej spôsobilosti a najvyššieho stupňa odbornej spôsobilosti pre kategórie finančných agentov a kategóriu finančného poradcu.

K bodu 58

Ustanovuje sa, ak nie sú splnené požiadavky na dosiahnutie odbornej spôsobilosti v lehotách podľa § 41 ods. 9, povinnosť Národnej banky Slovenska odobrať povolenie na vykonávanie finančného poradenstva finančným poradcom.

K bodu 59

Navrhovanou úpravou sa taktiež ustanovuje povinnosť Národnej banky Slovenska v stanovenej lehote zrušiť zápis podriadených finančných agentov v sektore poistenia alebo zaistenia, pre ktorých bol navrhovateľom finančný sprostredkovateľ z iného členského štátu v sektore poistenia alebo zaistenia.

K bodu 60 a 61

Týmto zákonom sa preberajú právne akty Európskej únie uvedené v prílohe.

K čl. XI

Účinnosť zákona sa navrhuje od 1. júna 2010 okrem ustanovení čl. I a čl. III bodov 2 a 4, čl. VI a VIII, ktoré nadobúdajú účinnosť 11. júna 2010. Účinnosť 11. júna 2010 I., ktorý je prebratím smernice vyplýva z jej čl. 27; zároveň rovnaká účinnosť sa navrhuje úpravám v zákonoch, ktoré sa bezprostredne na túto transpozíciu vzťahujú, a to: navrhované relevantné ustanovenia Živnostenského zákona, navrhované úpravy zákon č. 128/2002 Z.z. o štátnej kontrole vnútorného trhu vo veciach ochrany spotrebiteľa a o zmene a doplnení niektorých zákonov v znení neskorších predpisov a navrhované úpravy v zákone č. 266/2005 Z. z. o ochrane spotrebiteľa pri finančných službách na diaľku a o zmene a doplnení niektorých zákonov v znení neskorších predpisov.

Schválené vládou Slovenskej republiky dňa 13. januára 2010.

Robert F i c o, v.r.

predseda vlády

Slovenskej republiky

Ján P o č i a t e k, v.r.

minister financií

Slovenskej republiky

zobraziť dôvodovú správu