Zákon o poisťovníctve a o zmene a doplnení niektorých zákonov 39/2015 účinný od 25.05.2018 do 31.08.2018
| Platnosť od: | 05.03.2015 |
| Účinnosť od: | 25.05.2018 |
| Účinnosť do: | 31.08.2018 |
| Autor: | Národná rada Slovenskej republiky |
| Oblasť: | Bankové a finančné inštitúcie, Poistenie a ochrana vkladov |
-
Vládny návrh zákona o ochrane osobných údajov a o zmene a doplnení niektorých zákonov
K predpisu 18/2018, dátum vydania: 30.01.2018DÔVODOVÁ SPRÁVA
zobraziť dôvodovú správu
A. VŠEOBECNÁ ČASŤ
Účelom návrhu zákona o ochrane osobných údajov a o zmene a doplnení niektorých zákonov (ďalej len „návrh zákona“) je dosiahnuť súlad vnútroštátneho právneho poriadku pre oblasť ochrany osobných údajov s Nariadením Európskeho parlamentu a rady (EÚ) č. 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (Ú. v. EÚ L 119,4.5.2016) (ďalej len „nariadenie“), ktoré vstúpilo do platnosti dňa 24. mája 2016 s dvojročným prechodným obdobím na zosúladenie sa s vnútroštátnymi právnymi poriadkami členských štátov, teda aj právnym poriadkom Slovenskej republiky. Nariadenie sa začne uplatňovať od 25. mája 2018. Nariadenie ruší smernicu Európskeho parlamentu a Rady 95/46/ES o ochrane jednotlivcov pri spracovaní osobných údajov a voľnom pohybe týchto údajov (Ú. v. ES L 281, 23.11.1995) v znení (Ú. v. ES L 284, 31.10.2003) (ďalej len „smernica 95/46“).
Návrhom zákona sa zároveň transponuje Smernica Európskeho parlamentu a rady (EÚ) č. 2016/680 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií a o voľnom pohybe takýchto údajov a o zrušení rámcového rozhodnutia Rady 2008/977/SVV (Ú. v. EÚ L 119, 4.5.2016) (ďalej len „smernica“) do právneho poriadku Slovenskej republiky.
Nariadenie a smernica vytvárajú nový modernizovaný právny rámec ochrany osobných údajov, ktorý má za cieľ zabezpečiť rešpektovanie základných práv a slobôd, predovšetkým práva na ochranu osobných údajov v prostredí nových a stále častejšie používaných informačných a komunikačných technológií a zároveň podporiť posilňovanie a zbližovanie ekonomík členských štátov Európskej únie v rámci vnútorného trhu Európskej únie. Nový právny rámec ochrany osobných údajov zohľadňuje zmeny v oblasti spracúvania osobných údajov za obdobie viac ako dvadsiatich rokov od prijatia smernice 95/46.
V súčasnosti sa osobné údaje v omnoho väčšej miere spracúvajú tak v rámci verejného, ako aj súkromného sektora a vykonáva sa ich „prenos“ prostredníctvom informačno - komunikačných technológií, tak v rámci krajín Európskej únie, ako aj do tretích krajín, či už zaručujúcich alebo nezaručujúcich primeranú ochranu osobných údajov na základe rozhodnutí Európskej Komisie o primeranosti a tiež medzinárodným organizáciám. Nemožno opomenúť ani rozšírenie globálneho podnikania, výskyt materských spoločností a ich dcérskych spoločností so sídlom a prevádzkarňami v rôznych krajinách sveta a s tým spojeného globálneho spracúvania a prenosov osobných údajov.
Zmeny nastali aj v oblasti uchovávania osobných údajov; osobné údaje sú uchovávané postupne stále viac v elektronickej podobe prostredníctvom tzv. „cloudových služieb“. Úložiská osobných údajov, tzv. „cloudy“, sa často nachádzajú mimo územia Európskej únie alebo Európy. Návrh zákona prináša komplexnú, prepracovanú a precizovanú úpravu práv dotknutých osôb.
Spracúvanie osobných údajov je potrebné a nevyhnutné aj na účely zabezpečenia činnosti orgánov verejnej moci spojených s plnením ich funkcií podľa zákona. Je potrebné zabezpečiť ochranu osobných údajov v súlade s medzinárodnými záväzkami Slovenskej republiky a ústavnými garanciami. Z tohto dôvodu predkladaný návrh zákona je implementačným aktom pre nariadenie a zároveň sa ním transponuje do právneho poriadku smernica. Návrh zákona predstavuje komplexný právny rámec ochrany osobných údajov pre spracovateľské operácie s osobnými údajmi, ktoré sa vykonávajú v rámci činností, ktoré nespadajú do pôsobnosti práva Európskej únie, a ktorý je zosúladený a do najvyššej možnej miery konzistentný s právnou úpravou ochrany osobných údajov v nariadení. Týmto postupom sa predchádza vytvoreniu právneho vákua v oblasti ochrany osobných údajov, keďže návrhom zákona bude zrušený zákon č. 122/2013 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov v znení zákona č. 84/2014 Z. z. a dve vyhlášky úradu k nemu prislúchajúce.
Ochrana osobných údajov sa dotýka celého právneho poriadku Slovenskej republiky, návrh zákona zabezpečuje prostredníctvom priamych noviel súlad identifikovaných osobitných právnych predpisov upravujúcich spracúvanie osobných údajov s návrhom zákona, nariadením, ako aj smernicou. Takto bude zaistený plynulý výkon činností a úloh dotknutých subjektov, vrátane požiadaviek vyplývajúcich zo smernice pre tzv. „príslušné orgány“.
Na úrovni európskeho práva a medzinárodnej spolupráce si prijatím novej právnej úpravy Slovenská republika splní svoje záväzky vyplývajúce jej z členstva v Európskej únii. Nezosúladenie vnútroštátneho právneho poriadku s nariadením a netransponovanie smernice by mohlo byť Európskou komisiou považované za nesplnenie povinností vyplývajúcich Slovenskej republike z primárneho práva Európskej únie (Zmluva o Európskej únii a Zmluva o fungovaní Európskej únie), následne by Európska komisia na základe článku 258 Zmluvy o fungovaní Európskej únie mohla predložiť túto záležitosť Súdnemu dvoru Európskej únie.
Súčasný legislatívny rámec úpravy všeobecnej ochrany osobných údajov tvoria najmä tieto právne predpisy: ústavný zákon č. 460/1992 Zb. Ústava Slovenskej republiky v znení neskorších predpisov, zákon č. 122/2013 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov v znení zákona č. 84/2014 Z. z. (ďalej len „zákon č. 122/2013 Z. z.“), vyhláška č. 164/2013 Z. z. Vyhláška Úradu na ochranu osobných údajov Slovenskej republiky o rozsahu a dokumentácii bezpečnostných opatrení v znení vyhlášky úradu č. 117/2014 Z. z., vyhláška č. 165/2013 Z. z. Vyhláška Úradu na ochranu osobných údajov Slovenskej republiky, ktorou sa ustanovujú podrobnosti o skúške fyzickej osoby na výkon funkcie zodpovednej osoby, zákon č. 40/1964 Zb. Občiansky zákonník v znení neskorších predpisov.
Cieľom novej právnej úpravy je zabezpečiť jednotnú právnu reguláciu ochrany osobných údajov v právnom poriadky Slovenskej republiky a zaistiť tak výkon práv dotknutých osôb a kontrolu nad spracúvaním ich osobných údajov a tak podporiť dôveru dotknutých osôb v právny rámec zabezpečujúci ich základné ľudské práva, najmä právo na súkromie a tiež upraviť práva a povinnosti prevádzkovateľov a sprostredkovateľov s dôrazom na materiálne plnenie stanovených povinností a zaistenie reálnej bezpečnosti spracúvania osobných údajov. Návrh zákona upravuje úlohy a právomoci úradu, ako dozorného orgánu nad ochranou osobných údajov vrátane ich rozšírenia pre oblasť vzájomnej spolupráce medzi dozornými orgánmi v jednotlivých členských štátoch Európskej únie. Návrhom zákona dochádza k potrebnej aktualizácii terminológie v rámci právneho poriadku Slovenskej republiky spojenej so spracúvaním osobných údajov a nových spôsobov spracúvania.
Nová právna úprava preto v prvej a druhej časti navrhovanej právnej úpravy stanuje pravidlá spracúvania osobných údajov pre prevádzkovateľov a sprostredkovateľov, na ktoré sa nevzťahujú pravidlá ochrany fyzických osôb pri pracúvaní osobných údajov a pravidlá týkajúce sa voľného pohybu osobných údajov podľa nariadenia.
Tretia časť navrhovanej právnej úpravy stanuje pravidlá spracúvania osobných údajov pre prevádzkovateľov, ktorými sú príslušné orgány pri spracúvaní osobných údajov na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií na základe transpozície smernice.
Štvrtá časť navrhovanej právnej úpravy vo svojich ustanoveniach je tzv. implementačnou/vykonávacou časťou zákona, ktorá dopĺňa osobitné pravidlá spracúvania osobných údajov stanovené nariadením. Návrh zákona vo vzťahu k spracúvaniu v rámci tejto časti upravuje spracovateľské operácie, ktoré nariadenie výslovne ukladá alebo umožňuje jednotlivým členským štátom upraviť osobitnou vnútroštátnou úpravu; ide o úpravu členského štátu využijúc tzv. splnomocňujúce ustanovenia nariadenia. Konkrétne ide o osobitné úpravy spracúvania osobných údajov upravujúce pravidlá spracúvania osobných údajov na akademické, umelecké, literárne účely; pravidlá spracúvania osobných údajov v súvislosti so zamestnaním; spracúvanie národného identifikačného čísla a prenos osobitnej kategórie osobných údajov do tretích krajín, ktoré nezaručujú primeranú úroveň ochrany osobných údajov, spracúvanie genetických údajov, biometrických údajov a údajov týkajúcich sa zdravia; ako aj úprava spracúvania osobných údajov na vedecké účely, účely historického výskumu alebo štatistické účely. Zároveň nariadenie určuje členským štátom prijať pravidlá týkajúce sa postavenia a organizácie dozorného orgánu v rámci vnútroštátneho právneho poriadku členského štátu, ako aj procesné pravidlá pre výkon kontroly a konania o ochrane osobných údajov dozorným orgánom.
Piata časť návrhu zákona je venovaná úradu, jeho pôsobnosti, právomociam a jeho personálnemu aparátu. Je venovaná tiež kódexom správania, certifikátom, procesu akreditácie, monitorujúcemu a certifikačnému subjektu. Tretia hlava piatej časti je venovaná kontrole, štvrtá hlava konaniu o ochrane osobných údajov. Piata hlava je venovaná pokutám, správnym deliktom a poriadkovým pokutám, teda sankciám.
Šiesta časť upravuje spoločné, prechodné a záverečné ustanovenia.
Nasledujú novelizačné články priamych noviel, od čl. II po čl. XIII, článok XIV ustanovuje predpokladanú účinnosť návrhu zákona.
Návrh zákona zachováva zásady spracúvania osobných údajov doteraz uplatňované v zákone č. 122/2013 Z. z.
Vo vzťahu k právnym základom spracúvania stanovuje návrh zákona tieto prípady zákonného spracúvania
1. spracúvanie na základe súhlasu dotknutej osoby
2. spracúvanie bez súhlasu dotknutej osoby na účely nevyhnutné na plnenie zmluvy, ak zmluvnou stranou je dotknutá osoba, alebo aby sa na základe žiadosti dotknutej osoby vykonali opatrenia pred uzavretím zmluvy,
3. spracúvanie nevyhnutné na splnenie zákonnej povinnosti prevádzkovateľa;
4. spracúvanie nevyhnutné, na ochranu životne dôležitých záujmov dotknutej osoby alebo inej fyzickej osoby;
5. spracúvanie nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi;
6. spracúvanie nevyhnutné na účely oprávnených záujmov, ktoré sleduje prevádzkovateľ alebo tretia strana, s výnimkou prípadov, keď nad takýmito záujmami prevažujú záujmy alebo základné práva a slobody dotknutej osoby, ktoré si vyžadujú ochranu osobných údajov, najmä ak je dotknutou osobu dieťa, pričom tento právny základ sa nevzťahuje na spracúvanie vykonávané orgánmi verejnej moci pri výkone ich úloh;
7. spracúvanie nevyhnutné na účely akademické, umelecké, literárne alebo na účely informovania v masovokomunikačných prostriedkoch;
8. prevádzkovateľ, ktorý je zamestnávateľom dotknutej osoby, je oprávnený sprístupniť, poskytovať alebo zverejniť jej osobné údaje v rozsahu titul, meno, priezvisko, pracovné, služobné alebo funkčné zaradenie, odborný útvar, miesto výkonu práce, telefónne číslo, faxové číslo alebo elektronická pošta na pracovisko a identifikačné údaje zamestnávateľa, ak je to potrebné v súvislosti s plnením pracovných, služobných alebo funkčných povinností dotknutej osoby. Sprístupnenie, poskytovanie alebo zverejnenie osobných údajov nemôže narušiť vážnosť, dôstojnosť a bezpečnosť dotknutej osoby.
9. prevádzkovateľ môže spracúvať genetické údaje, biometrické údaje a údaje týkajúce sa zdravia aj na právnom základe uvedenom v osobitnom predpise alebo medzinárodnej zmluve, ktorou je Slovenská republika viazaná;
10. právne základy uvedené v súvislosti so spracúvaním osobitnej kategórie osobných údajov (rasový a etnický pôvod, politické názory, náboženské a filozofické presvedčenie alebo členstvo v odborových organizáciách, genetické údaje, biometrické údaje na individuálnu identifikáciu fyzickej osoby, údaje týkajúce sa zdravia, údaje týkajúce sa sexuálneho života alebo sexuálnej orientácie fyzickej osoby).
Nová právna úprava výslovne stanovuje, že súhlas dotknutej osoby musí byť jasne oddeliteľný od iných podmienok a dojednaní a tiež, že súhlas dotknutej osoby je možné kedykoľvek odvolať bez uvedenia dôvodu. Zároveň sa stanuje veková hranica pre zákonné spracúvanie osobných údajov detí v súvislosti s ponukou služieb informačnej spoločnosti.
Novým legislatívnym rámcom sa posilňujú práva dotknutých osôb. Vyžaduje sa informačná povinnosť smerom k dotknutej osobe v širšom rozsahu, ktorá umožňuje jednoduchší výkon práv dotknutých osôb. Dotknutým osobám sa explicitne garantujú práva doteraz vyplývajúce iba z judikatúry alebo aplikačnej praxe dozorných orgánov (právo na prístup k údajom vrátane kópií spracúvaných osobných údajov, právo na zabudnutie, právo na obmedzenie spracúvania) a tiež sa upravujú a stanovujú nové práva (právo na prenosnosť údajov).
Návrhom zákona sa zrušujú administratívne povinnosti prevádzkovateľov spojené so spracúvaním osobných údajov plnené ex ante, pred začatím spracúvania, a to oznamovacia povinnosť, povinnosť osobitnej registrácie a evidenčná povinnosť. Nahrádzajú sa novými inštitútmi, ktoré zdôrazňujú materiálne, nie formálne zabezpečenie súladu spracúvania osobných údajov s právnymi predpismi a spočívajú v prijatí resp. realizácii opatrení na zaistenie bezpečnosti osobných údajov primeraných rizikám, ktoré sú s konkrétnymi spracovateľskými operáciami spojené (záznamy o spracovateľských činnostiach, posúdenie vplyvu na ochranu údajov). Vo vzťahu k úradu a dotknutým osobám sa stanovuje nová povinnosť, oznamovať zistené a preukázané porušenie ochrany osobných údajov zo strany prevádzkovateľov. Návrhom zákona sa tiež zrušuje povinnosť úspešného absolvovania skúšky pred úradom na výkon funkcie zodpovednej osoby, i keď podmienka odborných kvalít a spôsobilosti osoby na výkon funkcie zodpovednej osoby ostáva zachovaná. Stanovujú sa prípady, kedy je určenie zodpovednej osoby obligatórne.
Návrh zákona reflektuje tiež existenciu nových nástrojov zaistenia bezpečnosti osobných údajov v zariadeniach, v ktorých sú dnes už bežne spracúvané osobné údaje (napríklad mobilné telefóny, tablety, počítačové programy, mobilné aplikácie), ide o tzv. špecificky navrhnutú a štandardnú ochranu údajov, primerané politiky ochrany osobných údajov, certifikáciu a prijatie a dodržiavanie schválených kódexov správania. Návrh zákona splnomocňuje úrad na vydanie vykonávacích podzákonných predpisov, ktorými sa ustanovia podrobnosti týkajúce sa výkonu niektorých činností úradu alebo stanovia spresňujúce informácie; vykonávacími predpismi sa nebudú ukladať nové práva, povinnosti a právomoci nad rámec navrhovaného zákona.
Návrh zákona má pozitívny a súčasne negatívny vplyv na rozpočet verejnej správy, má pozitívny a aj negatívny vplyv na podnikateľské prostredie, pozitívne sociálne vplyvy a má pozitívny vplyv na informatizáciu spoločnosti. Je bez vplyvu na životné prostredie. Podrobnosti o dopadoch návrhu zákona je možné vidieť v priložených analýzach vplyvov a celkové zhodnotenie v Doložke vybraných vplyvov k návrhu zákona.
Návrh zákona nie je predmetom vnútrokomunitárneho pripomienkového konania.
Návrh zákona je v súlade s Ústavou Slovenskej republiky, ústavnými zákonmi, nálezmi Ústavného súdu Slovenskej republiky, medzinárodnými zmluvami, ktorými je Slovenská republika viazaná, zákonmi Slovenskej republiky a zároveň je v súlade s právom Európskej únie.
Navrhovaná právna úprava rešpektuje a odráža medzinárodné záväzky Slovenskej republiky v oblasti ochrany osobných údajov, a to najmä Dohovor o ochrane ľudských práv a základných slobôd v znení protokolov (Oznámenie Federálneho ministerstva zahraničných vecí č. 209/1992 Zb. v znení neskorších predpisov), Dohovor o ochrane jednotlivcov pri automatizovanom spracovaní osobných údajov týkajúci sa orgánov dozoru a cezhraničných tokov údajov (oznámenie Ministerstva zahraničných vecí Slovenskej republiky č. 49/2001 Z. z.), Dodatkový protokol k Dohovoru o ochrane jednotlivcov pri automatizovanom spracovaní osobných údajov týkajúci sa orgánov dozoru a cezhraničných tokov údajov (oznámenie Ministerstva zahraničných vecí Slovenskej republiky č. 20/2005 Z. z.).
V rámci všeobecnej ochrany osobných údajov predpisovej základne Slovenskej republiky sa bude uplatňovať:
1. pre spracúvanie osobných údajov v rámci činností, ktoré podliehajú právu Európskej únie tak nariadenie, ako aj návrh zákona, s výnimkou 1 časti až 3 časti návrhu zákona,
2. pre spracúvanie osobných údajov v rámci činností, ktoré nepodliehajú právu Európskej únie návrh zákona ako celok,
3. pre spracúvanie osobných údajov na účely plnenia trestného konania príslušným orgánom návrh zákona, s výnimkou vybraných ustanovení 3 časti návrhu zákona.
V zmysle vyššie uvedeného je rozhodujúce pre správnu identifikáciu, či subjekt podlieha aj 1 časti a 2 časti návrhu zákona v zmysle bodu 1 a 2 vyššie uvedeného posúdiť, či samotná činnosť, v rámci ktorej dochádza k spracúvaniu osobných údajov podlieha právu Európskej únie alebo nie. Keďže právna úprava nariadenia ako aj 1 časti a 2 časti návrhu zákona sú v princípe totožné, čo sa týka rozsahu, ako aj obsahu povinností a práv v oblasti ochrany osobných údajov, tento rozdiel sa „stráca“.
Doložka zlučiteľnosti
právneho predpisu s právom Európskej únie
1. Predkladateľ právneho predpisu:
Úrad na ochranu osobných údajov Slovenskej republiky
2. Názov návrhu právneho predpisu:
Návrh zákona o ochrane osobných údajov a o zmene a doplnení niektorých zákonov
3. Problematika návrhu právneho predpisu:
a) je upravená v práve Európskej únie
- primárnom
- čl. 6 a čl. 39 Zmluvy o Európskej únii
- čl. 16 Zmluvy o fungovaní Európskej únie
- čl. 8 Charty základných práv Európskej únie
- sekundárnom (prijatom po nadobudnutím platnosti Lisabonskej zmluvy, ktorou sa mení a dopĺňa Zmluva o Európskom spoločenstve a Zmluva o Európskej únii – po 30. novembri 2009)
1. legislatívne akty
- Nariadenie Európskeho parlamentu a rady (EÚ) č. 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov)
- Smernica Európskeho parlamentu a Rady (EÚ) 2016/680 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií a o voľnom pohybe takýchto údajov a o zrušení rámcového rozhodnutia Rady 2008/977/SVV
2. nelegislatívne akty
- Rozhodnutie Komisie z 5. februára 2010 o štandardných zmluvných doložkách pre prenos osobných údajov spracovateľom usadeným v tretích krajinách podľa smernice Európskeho parlamentu a Rady 95/46/ES (2010/87/EÚ) (Ú. v. EÚ L 39, 12. 2. 2010)
- Rozhodnutie Komisie z 5. marca 2010 podľa smernice Európskeho parlamentu a Rady 95/46/ES o primeranej ochrane osobných údajov poskytovanej faerským zákonom o spracovaní osobných údajov (2010/146/EÚ) (Ú. v. EÚ L 58, 9.3.2010)
- Rozhodnutie Komisie z 19. októbra 2010 podľa smernice Európskeho parlamentu a Rady 95/46/ES o primeranej ochrane osobných údajov v Andorre (2010/625/EÚ) (Ú. v. EÚ L 277, 21.10.2010)
- Rozhodnutie Komisie z 31. januára 2011 podľa smernice Európskeho parlamentu a Rady 95/46/ES o primeranej ochrane osobných údajov Izraelským štátom, pokiaľ ide o automatizované spracovanie osobných údajov (2011/61/EÚ) (Ú. v. EÚ L 27, 1.2.2011)
- sekundárnom (prijatom pred nadobudnutím platnosti Lisabonskej zmluvy, ktorou sa mení a dopĺňa Zmluva o Európskom spoločenstve a Zmluva o Európskej únii – do 30. novembra 2009)
- Smernica Európskeho parlamentu a Rady 95/46/EHS z 24. októbra 1995 o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov (Mimoriadne vydanie Ú. v. EÚ, kap.13/ zv.15) v platnom znení
- Rozhodnutie Komisie z 26. júla 2000 podľa smernice Európskeho parlamentu a Rady 95/46/ES o primeranej ochrane osobných údajov poskytovaných vo Švajčiarsku (2000/518/ES) (Mimoriadne vydanie Ú. v. EÚ, kap.16/ zv. 1)
- Rozhodnutie Komisie z 26. júla 2000 v súlade so smernicou Európskeho parlamentu a Rady 95/46/ES o primeranosti ochrany poskytovanej zásadami bezpečného prístavu a súvisiacimi často kladenými otázkami vydanými Ministerstvom obchodu USA (2000/520/ES) (Mimoriadne vydanie Ú. v. EÚ, kap. 16/ zv. 1)
- Rozhodnutie Komisie z 15. júna 2001 o štandardných zmluvných doložkách na prenos osobných údajov do tretích krajín podľa smernice 95/46/ES (2001/497/ES) (Mimoriadne vydanie Ú. v. EÚ, kap.13/ zv. 26) v platnom znení
- Rozhodnutie Komisie z 20. decembra 2001 podľa smernice 95/46/ES Európskeho parlamentu a Rady o primeranej ochrane osobných údajov poskytovaných kanadským Zákonom o ochrane osobných informácií a elektronických dokumentoch (2002/2/ES) (Mimoriadne vydanie Ú. v. EÚ, kap.13/ zv. 27)
- Rozhodnutie Komisie z 30. júna 2003 podľa smernice 95/46/ES Európskeho parlamentu a Rady o primeranej ochrane osobných údajov v Argentíne (2003/490/3S) (Mimoriadne vydanie Ú. v. EÚ, kap.13/ zv. 31)
- Rozhodnutie Komisie z 21. novembra 2003 o primeranej ochrane osobných údajov na Guernsey (2003/821/ES) (Mimoriadne vydanie Ú. v. EÚ, kap.16/ zv. 1)
- Rozhodnutie Komisie z 28. apríla 2004 o primeranej ochrane osobných údajov na ostrove Man (2004/411/ES) (Mimoriadne vydanie Ú. v. EÚ, kap.13/ zv. 34)
- Rozhodnutie Komisie z 8. mája 2008 podľa smernice Európskeho parlamentu a Rady 95/46/ES o primeranej ochrane osobných údajov v Jersey (2008/393/ES) (Ú. v. EÚ L 138, 28.5.2008)
- Rámcové rozhodnutie Rady 2008/977/SVV z 27. novembra 2008 o ochrane osobných údajov spracúvaných v rámci policajnej a justičnej spolupráce v trestných veciach
b) je obsiahnutá v judikatúre Súdneho dvora Európskej únie
- Rozhodnutie Súdneho dvora vo veci C-101/01 proti Bodil Lindqvist (2003)
- Rozhodnutie Súdneho dvora vo veci C-524/06 Heinz Huber proti Spolkovej republike Nemecko (2008)
- Rozhodnutie Súdneho dvora vo veci C 553/07 College van burgemeester en wethouders van Rotterdam proti E. E. Rijkeboer (2009)
- Rozhodnutie súdneho dvora v spojenej veci C-92/09 a C-93/09 Volker und Markus Schecke GbR (C 92/09) a Hartmut Eifert (C 93/09) proti Spolkovej krajine Hesensko (2010)
- Rozhodnutie Súdneho dvora vo veci C-518/07 Komisia Európskych spoločenstiev proti Spolkovej republike Nemecko (2010)
- Rozhodnutie Súdneho dvora vo veci C-131/12 Google Spain SL a Google Inc. proti Agencia Española de Protección de Datos (AEPD) a Mariovi Costejovi Gonzálezovi (2014)
- Rozhodnutie Súdneho dvora vo veci C-212/13 František Ryneš proti Úřad pro ochranu osobních údajů (2014)
- Rozhodnutie Súdneho dvora vo veci C-230/14 Weltimmo s.r.o. proti Nemzeti Adatvédelmi és Információszabadság Hatóság (2015)
- Rozhodnutie Súdneho dvora vo veci C-362/14 Maximillian Schrems proti Data Protection Commissioner (2015)
4. Záväzky Slovenskej republiky vo vzťahu k Európskej únii:
a) lehota na prebratie smernice alebo lehota na implementáciu nariadenia alebo rozhodnutia
- lehota na implementáciu Nariadenia Európskeho parlamentu a Rady (EÚ) č. 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (Ú. v. EÚ L 119/1, 4.5.2016) - 25. máj 2018
- lehota na prebratie Smernice Európskeho parlamentu a Rady (EÚ) 2016/680 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií a o voľnom pohybe takýchto údajov a o zrušení rámcového rozhodnutia Rady 2008/977/SVV (Ú. v. EÚ L 119/89, 4.5.2016) – 6. máj 2018
b) lehota určená na predloženie návrhu právneho predpisu na rokovanie vlády podľa určenia gestorských ústredných orgánov štátnej správy zodpovedných za transpozíciu smerníc a vypracovanie tabuliek zhody k návrhom všeobecne záväzných právnych predpisov
- Nie je určená.
c) informácia o konaní začatom proti Slovenskej republike o porušení podľa čl. 258 až 260 Zmluvy o fungovaní Európskej únie
- Bezpredmetné.
d) informácia o právnych predpisoch, v ktorých sú preberané smernice už prebraté spolu s uvedením rozsahu tohto prebratia
- Bezpredmetné.
5. Stupeň zlučiteľnosti návrhu právneho predpisu s právom Európskej únie:
- Úplný.
6. Gestor a spolupracujúce rezorty:
Ministerstvo spravodlivosti Slovenskej republiky
Ministerstvo vnútra Slovenskej republiky
Úrad na ochranu osobných údajov Slovenskej republiky
B. Osobitná časť
K čl. I
K § 1
Návrh zákona upravuje ochranu osobných údajov fyzických osôb v súlade s čl. 19 ods. 3 a čl. 22 ods. 1 Ústavy Slovenskej republiky. Predmetom úpravy návrhu zákona je ochrana práv fyzických osôb pred neoprávneným spracúvaním ich osobných údajov. Návrh zákona tiež upravuje práva, povinnosti a zodpovednosť subjektov pri spracúvaní osobných údajov fyzických osôb a postavenie, pôsobnosť a organizáciu Úradu na ochranu osobných údajov Slovenskej republiky (ďalej len „úrad“).
K § 2
Poskytuje definíciou osobného údaja. Zákon neupravuje konkrétny konečný zoznam údajov, ktoré sú považované za osobné údaje. Poskytuje tzv. demonštratívny výpočet charakteristík určujúcich fyzickú osobu. Uvedená definícia osobných údajov nevyžaduje, aby išlo o konkrétnu identitu fyzickej osoby, ale postačuje, aby za splnenia daných podmienok bola osoba identifikovateľná. Z vecnej stránky sa pojem osobných údajov vzťahuje na také údaje, ktoré sa týkajú identifikovanej alebo identifikovateľnej fyzickej osoby, t. j. určenej alebo určiteľnej, či už priamo alebo nepriamo. Z pohľadu ochrany osobných údajov sa „určiteľnosťou fyzickej osoby" rozumie taký stav, keď na základe jedného alebo viacerých dostupných údajov o danej osobe túto možno identifikovať.
Identifikácia sa realizuje prostredníctvom konkrétnych charakteristických znakov, t. j. „identifikátorov", ktoré možno priradiť ku konkrétnej fyzickej osobe (napr.: meno, priezvisko, tetovanie, zdravotné postihnutie, dátum narodenia, adresa a iné). Miera, do akej sú určité identifikátory dostačujúce pre dosiahnutie identifikácie konkrétnej fyzickej osoby závisí od komplexného posúdenia dostupných údajov v ich vzájomnej súvislosti a konkrétnej situácie. V závislosti od kvality, kvantity a druhu údajov sa v určitom momente konvertuje určiteľnosť do určenia konkrétnej fyzickej osoby. Fyzickú osobu považujeme za určenú, keď na základe dostupných údajov je jednoznačne identifikovaná a odlíšená od ostatných osôb v danom informačnom systéme, v ktorom sa osobné údaje spracúvajú. Na určenie toho, či je fyzická osoba identifikovateľná, sa majú vziať do úvahy všetky prostriedky, pri ktorých existuje primeraná pravdepodobnosť, že ich prevádzkovateľ alebo akákoľvek iná osoba využije, napríklad osobitným výberom, na priamu alebo nepriamu identifikáciu fyzickej osoby.
Osobnými údajmi môžu byť v konkrétnej situácii napríklad: titul, meno, priezvisko, adresa trvalého pobytu, dátum narodenia, rodné číslo, údaj o zdravotnom stave, konkrétne tetovanie, lokalizačný údaj, online identifikátor a pod.
Z pohľadu definície osobného údaja, ktorá je veľmi široká, nie je možné jednoznačne určiť rozdiel medzi fyzickou osobou - nepodnikateľom a fyzickou osobou – podnikateľom, a to najmä s ohľadom na skutočnosť, že fyzickú osobu je možné identifikovať nepriamo, najmä na základe jej charakteristík alebo znakov, ktoré tvoria jej ekonomickú identitu. Na základe uvedeného, samotný názov fyzickej osoby – podnikateľa ešte sám o sebe nie je osobným údajom. Ak k takémuto údaju priradíme ďalšie údaje, na základe ktorých je už možné identifikovať fyzickú osobu, napríklad rodné číslo alebo pobyt, pôjde o spracúvanie osobných údajov.
Na základe toho, že z dostupných osobných údajov je možné identifikácia fyzickej osoby, sa tento zákon logicky nevzťahuje a neuplatňuje na anonymné údaje, ktoré sa neviažu na identifikovanú alebo identifikovateľnú fyzickú osobu, ani na osobné údaje, ktoré sa stali anonymnými takým spôsobom, že dotknutá osoba nie je alebo už nie je na ich základe identifikovateľná. Tento zákon sa preto netýka spracúvania anonymných údajov vrátane ich spracúvania na štatistické účely alebo účely výskumu.
K § 3
Upravuje vecnú a územnú pôsobnosť zákona.
odsek 1
Pozitívne je vecná pôsobnosť zákona vymedzená vo vzťahu k prostriedkom spracúvania, teda k tomu na čom, prípadne ako sú osobné údaje spracúvané. Primárne delenie prostriedkov spracúvania je na prostriedky spracúvania automatizované, teda používajúce napríklad počítačový program, alebo aplikáciu, druhou možnosťou je spracúvanie osobných údajov neautomatizovanou formou, napríklad vykonávaním zápisov osobných údajov fyzicky osobou do záznamovej knihy. Zákon sa vzťahuje na spracúvanie osobných údajov vykonávané prostredníctvom automatizovaných prostriedkov spracúvania (napr.: počítač, tablet, smartphone), ako aj na spracúvanie vykonávané prostredníctvom neautomatizovaných prostriedkov spracúvania (napr.: záznamová kniha, evidenčný zošit, papierová evidencia).
Zákon sa tiež vzťahuje na spracúvanie osobných údajov, ktoré je vykonávané kombináciou oboch vyššie uvedených prostriedkov spracúvania v rámci jedného informačného systému osobných údajov. Napríklad, ak je časť spracúvania osobných údajov na konkrétny účel vykonávaná na počítači a časť je vykonávaná formou záznamov v papierovej evidencii v neautomatizovanej forme. V prípade kombinovaného spracúvania osobných údajov automatizovanou formou a neautomatizovane je podstatné, ak sa má spracúvanie vykonávať v rámci jedného informačného systému, aby toto spracúvanie osobných údajov, bolo vykonávané na jeden účel a osobné údaje boli súčasťou jedného informačného systému osobných údajov. Praktickým príkladom kombinovaného využívania prostriedkov spracúvania v rámci jedného informačného systému osobných údajov je vedenie dochádzky zamestnancov v dochádzkovej knihe, papierová neautomatizovaná podoba, a vedenie dochádzky zamestnancov aj v elektronickej podobe, automatizovaná forma, napríklad priložením dochádzkovej karty zamestnanca k čítačke. Účel spracúvania je jeden, vedenie dochádzky, no prostriedky spracúvania na dosiahnutie účelu sú typovo dva, automatizovaný a neautomatizovaný.
Softvérový počítačový program nemusí byť vždy zároveň aj informačným systémom osobných údajov, nakoľko môže mať vymedzených viacero účelov spracúvania, prípadne sa v rámci jeho funkcionalít osobné údaje nemusia vôbec spracúvať.
odsek 2
Tento zákon sa vzťahuje na spracúvanie osobných údajov, na ktoré sa vzťahuje Nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (Ú. v. EÚ L 119, 4.5.2016) (ďalej len „nariadenie“) okrem § 5 a druhej a tretej časti zákona. Tento zákon sa okrem svojej druhej a tretej časti vzťahuje aj na spracúvanie osobných údajov na základe nariadenia .
odsek 3
Tento zákon sa vzťahuje na spracúvanie osobných údajov príslušnými orgánmi na účely predchádzania a odhaľovania trestnej činnosti, zisťovania páchateľov trestných činov, stíhania trestných činov alebo na účely výkonu rozhodnutí v trestnom konaní vrátane ochrany pred ohrozením verejného poriadku a predchádzania takémuto ohrozeniu (ďalej len „plnenie úloh na účely trestného konania“); z druhej časti tohto zákona sa na spracúvanie osobných údajov vzťahujú len ustanovenia § 51, § 60, § 68 a 74.
odsek 4
Vymedzuje vecnú pôsobnosť zákona negatívne. Stanovuje, na ktoré činnosti všeobecne, prípadne na ktoré spracovateľské činnosti alebo prevádzkovateľov pri výkone ich činností a kompetencií sa zákon nevzťahuje, a to napriek tomu, že pri nich k spracúvaniu osobných údajov dochádza.
Tento zákon sa nevzťahuje na spracúvanie osobných údajov fyzickou osobou pre jej vlastnú potrebu v rámci jej domácich činností (napr.: vedenia osobného diára, osobná korešpondencia prípadne vedenie denníka, či vytvorenie fotoalbumu). Aj pri takomto spracúvaní osobných údajov fyzickou osobou pre jej vlastnú potrebu nie je vylúčená ochrana osobnosti podľa § 11 až § 16 Občianskeho zákonníka. Zákon sa tiež nevzťahuje na spracúvanie osobných údajov fyzických osôb, ktoré vykonáva na základe osobitných zákonov Slovenská informačné služba, Vojenské spravodajstvo a ktoré vykonáva Národný bezpečnostný úrad na účely vykonávania bezpečnostných previerok a na účely zabezpečovania podkladov pre rozhodovanie Súdnej rady Slovenskej republiky o splnení predpokladov sudcovskej spôsobilosti podľa osobitného zákona.
odsek 5
Pozitívnym spôsobom upravuje územnú pôsobnosť zákona.
Tento zákon sa vzťahuje na prevádzkovateľa alebo sprostredkovateľa
a) so sídlom, miestom podnikania, organizačnou zložkou, prevádzkarňou alebo trvalým pobytom na území Slovenskej republiky, a to aj v prípade, ak spracúvanie osobných údajov je vykonávané mimo územia Slovenskej republiky,
b) so sídlom, miestom podnikania, organizačnou zložkou, prevádzkarňou alebo trvalým pobytom na území, kde sa uplatňuje právo Slovenskej republiky podľa zásad medzinárodného práva verejného (napr.: zastupiteľské úrady Slovenskej republiky v zahraničí).
Tento zákon sa vzťahuje na spracúvanie osobných údajov fyzických osôb, dotknutých osôb, nachádzajúcich sa na území Slovenskej republiky, bez ohľadu na ich občianstvo alebo inú príslušnosť, ak spracúvanie ich osobných údajov vykonáva prevádzkovateľ alebo sprostredkovateľ, ktorého sídlo, miesto podnikania, organizačná zložka, prevádzkareň alebo trvalý pobyt nie je v členskom štáte, pričom ním vykonávané spracúvanie osobných údajov dotknutých osôb má súvis s ponukou tovarov alebo služieb dotknutým osobám na území Slovenskej republiky, bez ohľadu na povinnosť zaplatenia za ponúkaný tovar alebo službu alebo spracúvanie osobných údajov takýmto prevádzkovateľom má súvis so sledovaním správania dotknutých osôb na území Slovenskej republiky.
Pod sledovaním správania dotknutej osoby si možno predstaviť napríklad sledovanie jej aktivít na internete, kde môže byť sledovaná aktivita danej osoby a táto následne spracúvaná ako osobný údaj danej fyzickej osoby. Za monitorovanie správania v prostredí internetu možno považovať napríklad spracúvanie preferencií na internete o danej fyzickej osobe prostredníctvom cookies, IP adresy pripojenia, MAC adresy zariadenia z ktorého osoba do internetovej siete pristupuje, alebo tiež sledovanie a následné spracúvanie geolokalizačných údajov. V určitých prípadoch za osobný údaj možno považovať aj informáciu o stránkach, ktoré osoba na internete navštívila, ku ktorým má alebo môže získať prístup poskytovateľ internetového pripojenia.
K § 4
Deklaratórne ustanovenie o tom, že voľný pohyb osobných údajov v rámci Európskej únie je zaručený, ak je vyžadovaný podľa osobitného predpisu so silou zákona, alebo nariadenia Európskej únie alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná.
K § 5
Vymedzuje základné pojmy a definuje ich význam na účel tohto zákona.
písmeno a)
Súhlas dotknutej osoby je jedným z právnych základov spracúvania osobných údajov. Súhlas by sa mal poskytnúť výslovným a jasným prejavom vôle, ktorý je slobodným, konkrétnym, informovaným a jednoznačným vyjadrením vôle dotknutej osoby so spracúvaním osobných údajov; forma písomného vyhlásenia vrátane vyhlásenia prostredníctvom elektronických prostriedkov alebo ústnym vyhlásením je za splnenia ostatných náležitostí súhlasu akceptovateľná. Zákon určuje konkrétne podmienky na udelenie súhlasu, ako aj na spracúvanie osobných údajov na tomto právnom základe . Zákon vyžaduje aktívnu účasť dotknutej osoby pri udeľovaní súhlasu, je teda potrebné formulovať súhlas tak, aby dotknutá osoba musela konať. Nečinnosť dotknutej osoby, respektíve nevyjadrenie nesúhlasu dotknutej osoby nemožno považovať za vyjadrenie súhlasu. Dotknutá osoba má k súhlasu vždy pristupovať aktívne a z jej strany je očakávaná aktivita.
V prípade, ak je predmetom spracúvania spracúvanie osobitnej kategórie osobných údajov, je potrebné, aby bol súhlas dotknutej osoby výslovný, teda taký, ktorý je oddelený od inej časti dokumentu, do ktorej môže byť včlenený a hlavne v ktorom je výslovne uvedené aké konkrétne osobitné kategórie osobných údajov majú na jeho základe byť predmetom spracúvania zo strany prevádzkovateľa a na aký účel.
písmeno b)
Genetický údaj možno vymedziť ako osobný údaj týkajúci sa zdedených alebo nadobudnutých genetických charakteristických znakov fyzickej osoby, ktoré sú najmä výsledkom analýzy biologických vzoriek danej fyzickej osoby, najmä analýzy chromozómov, deoxyribonukleovej kyseliny (DNA) alebo ribonukleovej kyseliny (RNA) alebo analýzy inej látky, ktorá umožňuje získanie rovnocenných informácií o konkrétnej dotknutej osobe. Genetické osobné údaje patria medzi osobitnú kategóriu osobných údajov, ktorá tiež býva označovaná, ako „citlivé osobné údaje“.
písmeno c)
Biometrický údaj možno definovať ako biologickú alebo fyziologickú vlastnosť alebo charakteristiku špecifickú pre konkrétneho jednotlivca a zároveň merateľnú veličinu, s určitým stupňom zohľadnenej pravdepodobnosti. Príkladom biometrických údajov sú odtlačky prstov, biometrický snímok sietnice oka, tvar tváre a vzdialenosti jednotlivých orgánov na nej, hlas, geometria ruky, geometria štruktúry žíl ruky alebo dlane určitého človeka alebo určitá hlboko zakorenená schopnosť alebo vlastnosť týkajúca sa správania konkrétneho jedinca (napr. vlastnoručný podpis spôsob jeho písania vyvíjanie tlaku na podložku, udieranie na klávesnicu, osobitný spôsob chôdze alebo artikulácie atď.; v tomto prípade ide o tzv. behaviorálnu biometriu).
písmeno d)
Osobné údaje týkajúce sa zdravia sú také osobné údaje, ktoré poskytujú informácie o minulom, súčasnom alebo možnom budúcom fyzickom alebo duševnom zdravotnom stave dotknutej osoby. Patria sem aj údaje o zdraví fyzickej osoby získané pri jej registrácii na účely poskytovania služieb zdravotnej starostlivosti, služieb súvisiacich s poskytovaním zdravotnej starostlivosti alebo sociálnych služieb. Medzi osobné údaje týkajúce sa zdravia patrí tiež číslo, symbol alebo osobitný údaj, ktorý bol fyzickej osobe pridelený na jej individuálnu identifikáciu na zdravotné účely, informácie získané na základe vykonania testov alebo prehliadok častí jej organizmu alebo skúmania jej telesných látok vrátane genetických údajov a biologických vzoriek a akékoľvek informácie o chorobe, zdravotnom postihnutí, riziku ochorenia, anamnéze, klinickej liečbe, alebo o fyziologickom alebo biomedicínskom stave dotknutej osoby bez ohľadu na zdroj týchto informácií, ktorým môže byť lekár alebo iného zdravotníckeho pracovníka, nemocnice ako inštitúcia, zdravotnícka pomôcka pridelená konkrétnej osobe alebo informácie pochádzajúce z vykonania diagnostického testu in vitro. Medzi údaje o zdraví patria aj informácie o zdraví konkrétnej osoby získané z mobilných aplikácií slúžiacich k monitorovaniu životných funkcií alebo fyziologických parametrov osoby.
písmeno e)
Spracúvaním osobných údajov je potrebné chápať každú spracovateľskú operáciu alebo niekoľko na seba nadväzujúcich operácií (nadväznosť v čase nie je podstatná), ktoré prevádzkovateľ alebo sprostredkovateľ vykonáva na splnenie určitého vymedzeného účelu, systematicky, a to bez ohľadu na spôsob a využité prostriedky (alebo ich kombináciu) spracúvania. Spracúvanie môže byť vykonávané rôznymi spôsobmi, formou ľudskej činnosti, automatizovane, ide teda o charakteristiku toho, ako sú jednotlivé spracovateľské operácie u prevádzkovateľa alebo sprostredkovateľa vykonávané, technicky nastavené.
písmeno f)
Pri obmedzení spracúvania sú spracúvané osobné údaje označené na účely obmedzenia ich spracúvania do budúcnosti. Obmedzením nie je vždy potrebné chápať iba ich blokovanie, ale obmedzenie ich spracúvania napríklad na určitý účel. Osobné údaje, ktorých spracúvanie má byť obmedzené by takto v informačnom systéme mali byť označené. Pod obmedzením spracúvania osobných údajov si možnosť predstaviť napríklad ich presun v rámci prevádzkovateľa do iného informačného systému alebo ich zneprístupnenie dovnútra, alebo navonok, teda voči verejnosti (napr.: „stiahnutie“ zverejnených osobných údajov z určitého dôvodu, no ich zachovanie u prevádzkovateľa). Obmedzenie spracúvania môže byť vykonané na účely ochrany dotknutej osoby a uplatnenia si jej práv v prípade, že namieta spracúvanie týchto svojich osobných údajov, má pochybnosti o správnosti alebo zákonnosti ich spracúvania, prípadne ak odpadla potreba spracúvania osobných údajov prevádzkovateľom, avšak dotknutá osoba potrebuje spracúvať tieto osobné údaje u daného prevádzkovateľa napríklad na účely domáhania sa svojich právnych nárokov v budúcnosti.
písmeno g)
Profilovaním sa rozumie spracúvanie osobných údajov, na základe ktorého možno získať v závislosti od kvality a kvantity spracúvaných informácií relatívne ucelený profil dotknutej osoby, ktorý možno využiť s vysokým stupňom pravdepodobnosti na predpovedanie správania konkrétnej dotknutej osoby do budúcnosti. Použitie profilovania je rozsiahle, jednou z možností jeho využitia, ktorá je na vzostupe je využívanie na vytvorenie cielenej reklamy na mieru konkrétneho jedinca. Na účely profilovania by mali byť používané primerané matematické alebo štatistické postupy, mali by byť prijaté technické a organizačné opatrenia tak, aby sa zabezpečilo, že faktory, ktoré vedú, alebo by mohli viesť k nesprávnosti osobných údajov sa opravia a riziko chýb sa minimalizuje. Zabezpečí sa tak zohľadnenie súvisiacich potenciálnych rizík pre záujmy a práva dotknutej osoby. Zabráni sa tiež diskriminačným účinkom na základe rasového alebo etnického pôvodu, politického názoru, náboženstva alebo presvedčenia, členstva v odborových organizáciách, genetického alebo zdravotného stavu či sexuálnej orientácie, alebo účinkom, ktoré vedú k opatreniam majúcim takéto účinky. Profilovanie založené na spracúvaní osobitných kategóriách osobných údajov je možné len za osobitných podmienok viažucich sa na spracúvania osobitnej kategórie osobných údajov.
písmeno h)
Pseudonymizácia je spracúvanie osobných údajov spočívajúce v takej ich forme, že dané údaje už následne nie je možné priradiť ku konkrétnej dotknutej osobe bez toho, aby sa na to museli použiť dodatočné informácie, ktoré by mali byť uchovávané oddelene a osobitne zabezpečené. Pseudonymizované údaje sú stále osobnými údajmi podliehajúcimi tomuto zákonu, prípadne nariadeniu, ide o jedno z bezpečnostných opatrení, ktoré môže prevádzkovateľ využiť, aby ním spracúvané osobné údaje chránil.
Rozdiel medzi anonymizovanými a pseudonymizovanými údajmi je v tom, že anonymizované údaje ani s použitím dodatočných informácií nemožno priradiť ku konkrétnej dotknutej osobe, naopak s pseudonymizovanými údajmi by to možné byť malo, pokiaľ nie je, ide o anonymizované osobné údaje, na ktoré sa tento zákon nevzťahuje.
Príkladom pseudonymizácie je, že osobné údaje „Eva Nová, narodená 12.12.1966, učiteľka“ sa zmenia na sadu písmen a číslic „456mnb2b4gr47sDR, učiteľka“ no informácia, že skôr uvedený kód patrí pani Eve Novej bude u prevádzkovateľa uchovávaná osobitne. Práve na základe spojenia zvlášť uchovanej informácie, že daný kód patrí Eve Novej bude stále možné zistiť, komu konkrétne kód patrí a daná dotknutá osoba bude stále v prostredí prevádzkovateľa identifikovateľná. Osobné údaje, ktoré boli pseudonymizované, a ktoré by sa mohli použitím dodatočných informácií priradiť ku konkrétnej fyzickej osobe, by sa mali považovať za informácie o identifikovateľnej fyzickej osobe.
písmeno i)
Vedenie logov, logovanie je bezpečnostné opatrenie, slúžiace k zaznamenávaniu akýchkoľvek zmien, prehliadania, poskytovania, prenosu, kombinovania alebo vymazávania osobných údajov v rámci informačného systému osobných údajov alebo ich pokusov o zmenu, ktoré je založené na zachytení údaja o tom, kto, kedy a akú zmenu v automatizovanom informačnom systéme osobných údajov vykonal alebo sa pokúšal vykonať. Výsledkom logovania je zaznamenávanie logov, ktoré následne môžu slúžiť na vykonávanie analýzy a na zaznamenávanie činnosti používateľa v automatizovanom informačnom systéme. Logom je tiež akékoľvek používateľské meno alebo heslo alebo iný prihlasovací údaj, ktorý slúži na prihlásenie používateľa do automatizovaného informačného systému osobných údajov.
písmeno j)
Šifrovanie znamená zmenu obsahu informácie na skupinu bezvýznamných znakov, kedy na to, aby sa skupina týchto znakov opätovne transformovala do pôvodnej zmysluplnej informácie je potrebné, aby prijímateľ správy disponoval správnym prístupovým kódom, heslom alebo iným, na to určeným parametrom.
písmeno k)
Online identifikátor alebo jednoznačný identifikátor využívaný pri vzájomnej komunikácii koncových zariadení užívateľov prostredníctvom komunikačných sietí. Takýmito identifikátormi sú napríklad IP adresa a cookies, či iné identifikátory využívajúce napríklad rádiovú frekvenciu (tzv. RFID identifikátory). Online identifikátor je osobným údajom konkrétnej fyzickej osoby pokiaľ ho je možné k tejto osobe jednoznačne priradiť, teda pokiaľ sa možno s najvyššou pravdepodobnosťou domnievať alebo je potvrdené, že koncové zariadenie je vo vlastníctve konkrétnej osoby, teda z neho možno aj na základe informácií pochádzajúcich z identifikátorov vyčítať konkrétne aspekty správania a preferencií fyzickej osoby.
písmeno l)
Informačným systémom sa na účely tohto zákona rozumie akýkoľvek usporiadaný súbor, sústava alebo databáza určená na zhromažďovanie osobných údajov alebo obsahujúca osobné údaje fyzických osôb, ktoré sú systematicky spracúvané pre potreby dosiahnutia vopred vymedzeného alebo ustanoveného účelu podľa osobitných kritérií a podmienok s použitím automatizovaných, čiastočne automatizovaných alebo iných ako automatizovaných prostriedkov spracúvania bez ohľadu na to, či ide o systém centralizovaný, decentralizovaný alebo distribuovaný na funkčnom alebo geografickom základe. Jedným informačným systémom osobných údajov sa rozumie aj situácia, kedy prevádzkovateľ spracúva osobné údaje viacerými prostriedkami spracúvania na jeden účel (papierová Evidencia dochádzky a čipová karta zamestnanca sú súčasťou dochádzky zamestnancov, teda napriek využitiu viacerých prostriedkov spracúvania ide o jeden informačný systém osobných údajov, nakoľko účelom je sledovanie a zaznamenávanie dochádzky zamestnancov viacerými spôsobmi).
písmeno m)
Za porušenie ochrany osobných údajov považujeme situácie, pri ktorých dochádza k nedovolenému resp. nezákonnému nakladaniu s osobnými údajmi, či už úmyselne alebo v dôsledku zanedbania povinností a opatrení prijatých na ich ochranu. Ak sa porušenie ochrany osobných údajov nerieši primeraným spôsobom a včas, môže fyzickým osobám spôsobiť ujmu na zdraví, majetkovú alebo nemajetkovú ujmu alebo akékoľvek iné závažné hospodárske či sociálne znevýhodnenie dotknutej fyzickej osoby. Porušenie ochrany môže byť vyvolané zvonka prevádzkovateľa alebo sprostredkovateľa, kybernetický útok alebo zvnútra prevádzkovateľa alebo sprostredkovateľa, pochybenie zamestnanca, a to tak úmyselné ako neúmyselné, ktoré povedie k narušeniu integrity, dostupnosti a dôvernosti osobných údajov.
písmeno n)
Dotknutou osobou je fyzická osoba, o ktorej sa osobné údaje spracúvajú, dotknutou osobou je osoba aj vtedy, ak sa jej osobné údaje spracúvané v informačnom systéme osobných údajov týkajú. Definícia dotknutej osoby korešponduje s článkom 8 Charty základných ľudských práv Európskej Únie a tiež s článkom 16 Zmluvy o fungovaní Európskej Únie.
písmeno o)
Prevádzkovateľom je každý, kto sám alebo spoločne s inými pred začatím spracúvania osobných údajov vymedzí účel spracúvania osobných údajov a prostriedky ich spracúvania. Prevádzkovateľ spracúva osobné údaje vo vlastnom mene. Účel spracúvania môže byť ustanovený v osobitnom predpise (prevádzkovateľ ho musí rešpektovať a dodržiavať, napr.: spracúvanie osobných údajov žiakov školou podľa školského zákona) alebo je prevádzkovateľovi daná možnosť, aby si ho vymedzil napríklad na základe zamerania jeho podnikateľskej činnosti rešpektujúc právny poriadok a legálne možnosti, ktoré mu ponúka.
písmeno p)
Sprostredkovateľom je každý, kto spracúva osobné údaje v mene prevádzkovateľa. Právny vzťah na základe ktorého dochádza k spracúvaniu osobných údajov sprostredkovateľom v mene prevádzkovateľa je založený na zmluve, plnej moci, poverení sprostredkovateľa prevádzkovateľom. Minimálne náležitosti zmluvy medzi prevádzkovateľom a sprostredkovateľom, plnej moci alebo poverenia ustanovuje tento zákon alebo iný osobitný zákon v rámci právneho poriadku Slovenskej republiky. Sprostredkovateľ spracúva osobné údaje na právnom základe prevádzkovateľa, t.j. sprostredkovateľ nemá osobitný právny základ od prevádzkovateľa odlišný, ale spracúvanie osobných údajov vykonáva na základe podmienok a prostriedkov, ktoré určil prevádzkovateľ, alebo ktoré prevádzkovateľovi ustanovuje napríklad osobitný zákon.
Zákon nevylučuje, aby subjekt mal postavenie sprostredkovateľa, kedy vykonáva spracovateľské operácie v mene prevádzkovateľa a na základe jeho pokynov, prípadne aj postavenie sprostredkovateľa pre viacerých prevádzkovateľov, ako aj postavenie prevádzkovateľa pre svoje vlastné spracovateľské operácie, ktoré vykonáva vo svojom mene a sám si pre takéto spracúvanie určil účel, podmienky a primeraný právny základ (napríklad vedenie informačného systému personalistika a mzdy, informačného systému účtovníctvo, informačného systému registratúra).
Tak prevádzkovateľ, ako aj sprostredkovateľ, ak je prevádzkovateľom poverený spracúvať v jeho mene osobné údaje, obaja sú viazaní týmto zákonom, prípadne inými osobitnými zákonmi, ak tieto upravujú spracúvanie osobných údajov.
písmeno q)
Príjemcom na účely tohto zákona je každý, komu sú osobné údaje poskytnuté alebo sprístupnené, či sa jedná o tretiu stranu alebo nie. Orgány verejnej moci, ktoré môžu prijať osobné údaje v rámci konkrétneho zisťovania v súlade osobitným predpisom, sa však nepovažujú za príjemcov; spracúvanie uvedených údajov uvedenými orgánmi verejnej moci sa uskutočňuje v súlade s pravidlami ochrany osobných údajov v závislosti od účelov spracúvania im stanovených osobitnými právnymi predpismi. Najmä vo vzťahu k zodpovednej osobe je používaný aj pojem kategória príjemcov, možno si pod ňou predstaviť napríklad kategóriu prevádzkovateľov alebo sprostredkovateľov majúcich rovnaké alebo podobné podnikateľské zameranie, napríklad banky, poisťovne, živnostníkov s rovnakým predmetom podnikania a podobne.
písmeno r)
Treťou stranou, na účely tohto zákona, je každý subjekt súkromného sektora alebo orgán verejnej moci, alebo fyzická osoba, ktorá nie je prevádzkovateľom, sprostredkovateľom alebo dotknutou osobou. Treťou stranou sú aj osoby, ktoré nie sú priamo poverené spracúvaním osobných údajov prevádzkovateľom alebo sprostredkovateľom. Tretia strana je užší pojem ako príjemca. Príjemca je akýkoľvek subjekt, ktorému sa osobné údaje poskytujú, s výnimkou orgánov verejnej moci. Kategóriou príjemcu sa rozumejú ako finančné inštitúcie, poisťovne, banky, zamestnávatelia a pod.
písmeno s)
Zodpovedná osoba je osoba určená prevádzkovateľom alebo sprostredkovateľom na základe jej odborných kvalít v zákonom stanovených situáciách vždy, inak dobrovoľne. Zodpovednou osobou môže byť tak zamestnanec prevádzkovateľa alebo sprostredkovateľa ako aj fyzická osoba vykonávajúca funkciu zodpovednej osoby na základe zmluvy. Základnou úlohou zodpovednej osoby je poskytovať informácie a poradenstvo prevádzkovateľovi a sprostredkovateľovi a ich zamestnancom pri spracúvaní osobných údajov a plnení úloh podľa tohto zákona. Úlohou zodpovednej osoby navonok je poskytovanie spolupráce úradu a vybavovanie žiadostí dotknutých osôb.
písmeno t)
Zástupcom prevádzkovateľa alebo sprostredkovateľa, ktorý nemá sídlo, miesto podnikania, organizačnou zložkou, prevádzkareň alebo trvalý pobyt v Európskej únii, spracúva osobné údaje dotknutých osôb, ktoré sa nachádzajú v Slovenskej republike, pričom vykonávané spracovateľské činnosti súvisia s ponukou tovaru alebo služieb takýmto dotknutým osobám v Slovenskej republike, bez ohľadu na to, či sa od dotknutej osoby vyžaduje platba, alebo súvisia so sledovaním ich správania sa, pokiaľ sa toto ich správanie uskutočňuje v Slovenskej republike je fyzická osoba alebo právnická osoba, ktorú si prevádzkovateľ alebo sprostredkovateľ písomne určí na to, aby konala v jeho mene v súvislosti s jeho povinnosťami podľa tohto zákona v rámci Slovenskej republiky. Prevádzkovateľ alebo sprostredkovateľ je povinný určiť sídlo zástupcu v jednom z členských štátov Európskej únie.
Uvedené sa nevzťahuje na prípady, kedy vykonávané spracúvanie je občasné a nezahŕňa spracúvanie osobitných kategórií osobných údajov vo veľkom rozsahu alebo spracúvanie osobných údajov týkajúcich sa uznania viny za trestné činy a priestupky a nie je pravdepodobné, že povedie k riziku pre práva fyzických osôb, pričom sa zohľadní povaha, kontext, rozsah a účely spracúvania, alebo keď je prevádzkovateľ orgánom verejnej moci alebo verejnoprávnym subjektom.
Určenie takého zástupcu neovplyvňuje zodpovednosť alebo povinnosť prevádzkovateľa alebo sprostredkovateľa podľa tohto zákona. Takýto zástupca má vykonávať svoje úlohy podľa poverenia, ktoré dostal od prevádzkovateľa alebo sprostredkovateľa, a ktoré zahŕňa spoluprácu s úradom v súvislosti s opatreniami prijatými na zabezpečenie súladu s týmto zákonom. V prípade, že prevádzkovateľ alebo sprostredkovateľ nezabezpečia súlad, určený zástupca podlieha konaniam na presadenie práva.
písmeno u)
Podnikom sa rozumie fyzická osoba podnikateľ alebo právnická osoba v akejkoľvek forme vykonávajúca hospodársku podnikateľskú činnosť, a to tak sama, ako aj v spolupráci so svojimi partnermi.
písmeno v)
Skupinu podnikov zahŕňa riadiaci podnik a ním riadené podniky, pričom riadiaci podnik má dominantný vplyv na ostatné podniky pretože ich vlastní, alebo v dôsledku finančnej účasti alebo pravidiel upravujúcich činnosť podniku alebo v dôsledku jeho právomoci presadiť vykonávanie pravidiel ochrany osobných údajov.
Podnik, ktorý kontroluje spracúvanie osobných údajov v podnikoch, ktoré sú s ním prepojené sa považuje za skupinu podnikov (napr.: holdingy, koncerny, konzorciá).
písmeno w)
Hlavnou prevádzkarňou je miesto centrálnej správy prevádzkovateľa alebo sprostredkovateľa v Európskej únii.
písmeno x)
Záväzné vnútropodnikové pravidlá sú súčasťou internej politiky ochrany osobných údajov prevádzkovateľa alebo sprostredkovateľa, ktorý nimi definuje svoje postupy a pravidlá v rámci svojej obchodnej politiky s ohľadom na prenos mimo územia členských štátov Európskej únie. Možno ich považovať za istý druh bezpečnostného opatrenia, ktorým prevádzkovateľ a sprostredkovateľ zaisťujú primeranú úroveň ochrany spracúvaných osobných údajov v týchto tzv. tretích krajinách, ich častiach, prípadne medzinárodných organizáciách, ktoré takúto primeranú úroveň ochrany osobných údajov nezaručujú.
písmeno y)
Kódex správania je súbor určitých ustanovení, ktorého účelom je upresniť, konkretizovať dodržiavanie jednotlivých povinností podľa tohto zákona týkajúcich sa spracúvania a ochrany osobných údajov s ohľadom na osobitné charakteristiky určitého odvetvia, pre ktoré konkrétny kódex správania bol schválený. Ku kódexom správania je možnosť pristúpiť a zaviazať sa ich dodržiavať dobrovoľne, ak však prevádzkovateľ pristúpi k schválenému kódexu správania je povinný ho ako súčasť bezpečnostných opatrení dodržiavať a uplatňovať.
písmeno z)
Medzinárodná organizácia je inštitucionalizovaná podoba medzinárodných vzťahov vznikajúca najčastejšie dohodou dvoch a viacerých krajín, ktoré určia aj jej podobu, stanovia jej orgány, podmienky jej fungovania a podmienky pristúpenia k takejto medzinárodnej organizácii.
písmeno aa)
Členským štátom sa rozumie štát, ktorý na účely tohto zákona je členským štátom Európskej únie, alebo zmluvnou stranou Dohody o Európskom hospodárskom priestore.
písmeno bb)
Treťou krajinou sa rozumie krajina, ktorá nie je členským štátom Európskej únie, alebo zmluvnou stranou Dohody o Európskom hospodárskom priestore.
písmeno cc)
Zamestnanec úradu je osoba vykonávajúca prácu v pracovnom pomere alebo obdobnom pracovnom pomere v mene úradu a štátny zamestnanec.
K § 6
Zásady spracúvania osobných údajov sú základnými mantinelmi v rámci ktorých sa konkrétne spracúvanie osobných údajov fyzickej osoby posudzuje a vykonáva. Cieľom zásad spracúvania osobných údajov je vykonávanie spracúvania osobných údajov tak, aby boli rešpektované práva dotknutých osôb a aby spracúvaním osobných údajov nedochádzalo k porušovaniu práva na zachovanie ľudskej dôstojnosti alebo k iným neoprávneným zásahom do práva na ochranu súkromia.
Každé spracúvanie osobných údajov má byť zákonné, založené na legálnom právnom základe podľa § 13 tohto zákona. Spracúvanie nesmie byť protiprávne, nesmie prebiehať na nelegálnom právnom základe alebo samotný účel spracúvania nesmie byť nelegitímny.
K § 7
Spracúvané osobné údaje majú byť primerané, relevantné a obmedzené na zoznam alebo rozsah osobných údajov nevyhnutný vzhľadom na účel, na ktorý sa spracúvajú. Účel je základným obmedzujúcim faktorom najmä vo vzťahu k zoznamu alebo rozsahu spracúvaných osobných údajov a vo vzťahu k dobe spracúvania, ako aj uchovávania spracúvaných osobných údajov. Účel má byť vymedzený dostatočne jasne a určito, aby z neho bolo jasné, aké spracovateľské operácie na základe neho budú a nebudú prebiehať, alebo aké spracovateľské operácie dotknutá osoba môže očakávať, že s jej osobnými údajmi na základe jeho vymedzenia môžu prebiehať.
Spracúvať osobné údaje na iný účel, než na ktorý boli získané je zakázané, ibaže by tento iný účel úzko súvisel s pôvodným účelom spracúvania, bol s ním zlučiteľný.
Spracúvanie osobných údajov získaných na stanovený účel nevylučuje, aby takto získané osobné údaje nemohli byť spracúvané na tzv. privilegované účely, a to účely archivácie, na účely vedeckého alebo historického výskumu a na štatistické účely v súlade s týmto zákonom a vo vzťahu k primeraným zárukám pre práva dotknutej osoby. Tieto záruky obsahujú zavedenie primeraných a účinných technických a organizačných opatrení najmä s cieľom zabezpečiť dodržiavanie zásady minimalizácie údajov, pseudonymizácie, pokiaľ sa týmto opatrením môžu dosiahnuť uvedené účely. Ďalšie spracúvanie na účely archivácie, na účely vedeckého či historického výskumu alebo štatistické účely sa považuje za zlučiteľné so zákonnými spracovateľskými operáciami.
K § 8
Spracúvanie osobných údajov má byť úzko naviazané na účel spracúvania osobných údajov, a to najmä pokiaľ ide o zoznam alebo rozsah spracúvaných osobných údajov, ktorý by mal byť nevyhnutný na to, aby sa spracúvaním daných osobných údajov účel mohol dosiahnuť. Nie je správne, aby sa zoznam alebo rozsah osobných údajov umelo alebo dodatočne rozširoval vzhľadom na účel. Ak je účel a zoznam alebo rozsah osobných údajov stanovený zákonom, je potrebné ho rešpektovať, ak si zoznam alebo rozsah spracúvaných osobných údajov určuje prevádzkovateľ má dbať na to, aby ho zbytočne, nad rámec účelu nerozširoval.
K § 9
Osobné údaje spracúvané na určitý účel musia byť správne, presné a podľa potreby aktualizované tak, aby sa zabezpečilo, že sa osobné údaje, ktoré sú nesprávne sa bezodkladne vymažú alebo opravia. Ak nesprávny osobný údaj odhalí prevádzkovateľ má povinnosť ho opraviť, ak je to možné, ak nie, má povinnosť ho zlikvidovať. V prípade ak nesprávny osobný údaj zistí dotknutá osoba mala by sama iniciatívne kontaktovať prevádzkovateľa a požadovať opravu nesprávneho osobného údaja alebo jeho likvidáciu podľa tohto zákona, ak sa nesprávnosť údaju potvrdí, prevádzkovateľ má požiadavke dotknutej osoby na opravu vyhovieť. Zásada aktuálnosti znamená tiež to, že prevádzkovateľ má povinnosť spracúvané osobné údaje pravidelne kontrolovať a aktualizovať (pravidelnosť kontroly je potrebné nastaviť s ohľadom na ujmu, ktorá môže vzniknúť dotknutej osobe pri spracúvaní nesprávneho osobného údaja prevádzkovateľom), a to aj po obsahovej stránke, nielen gramatickej, teda by sa nemalo stať, že osoba, ktorá uhradila svoj dlh bude v systéme prevádzkovateľa stále vedená ako dlžník, napriek tomu, že reálny aj právny stav tomu už nezodpovedá. Prevádzkovateľ nesie zodpovednosť za aktuálnosť osobného údaja v jeho informačnom systéme osobných údajov. V prípade, ak dotknutá osoba sama poskytne prevádzkovateľovi nesprávne osobné údaje za ich nesprávnosť v tomto prípade nenesie zodpovednosť prevádzkovateľ, iba že by mal možnosť, prípadne zákonom stanovenú povinnosť si ich správnosť preveriť.
K § 10
Zásada minimalizácie uchovávania spracúvaných osobných údajov, má za cieľ dosiahnuť, aby sa osobné údaje vo forme, kedy je ich možné priradiť ku konkrétnej fyzickej osobe spracúvali iba dovtedy, kým je to potrebné na dosiahnutie sledovaného účelu spracúvania. Akonáhle je tento cieľ spracúvania osobných údajov dosiahnutý je možné, aby sa osobné údaje už spracúvali iba na účely archivácie, na účely vedeckého alebo historického výskumu či na štatistické účely podľa osobitného predpisu za predpokladu prijatia primeraných technických a organizačných opatrení vyžadovaných týmto zákonom na ochranu práv dotknutých osôb.
Zásada minimalizácie uchovávania má za cieľ, aby sa osobné údaje uchovávali vo forme, ktorá umožňuje identifikáciu dotknutých osôb len v nevyhnutnom rozsahu len dovtedy, dokiaľ je to s ohľadom na účel spracúvania potrebné a nevyhnutné. Spracúvanie osobných údajov výlučne na účely archivácie, na účely vedeckého alebo historického výskumu či na štatistické účely v súlade s týmto zákonom je považované za výnimku z tejto zásady, teda nie je porušením tohto zákona.
K § 11
Osobné údaje by sa mali spracúvať tak, aby sa zabezpečila ich primeraná bezpečnosť a dôvernosť vrátane predchádzania neoprávnenému prístupu k osobným údajom a prostriedkom spracúvania osobných údajov. Prijaté bezpečnostné opatrenia musia byť adekvátne spracúvaným osobným údajom, a to tak po technickej, personálnej, ako aj po organizačnej stránke.
K § 12
Zásada zodpovednosti za spracúvané osobné údaje pre prevádzkovateľa znamená zodpovednosť za dodržiavanie všetkých povinností mu stanovených týmto zákonom a zásada zodpovednosti pre neho znamená aj povinnosť, aby vedel deklarovať navonok, že všetky požadované povinnosti si skutočne plní. Prevádzkovateľ pri prijímaní bezpečnostných opatrení a plnení si aj iných svojich povinností podľa tohto zákona musí vystupovať aktívne a snažiť sa splniť si všetky povinnosti tak, ako mu ich zákon ukladá. Zákon mu k preukazovaniu splnenia niektorých jeho povinností dáva nástroje, ako napríklad možnosť pristúpiť ku kódexom správania a využiť ich ako deklaratórne nástroje smerom von ohľadom ním prijatých bezpečnostných opatrení. Prevádzkovateľ je povinný prijať primerané a účinné opatrenia a vedieť preukázať súlad spracovateľských činností s týmto zákonom vrátane primeraných a účinnosti bezpečnostných opatrení. V uvedených opatreniach by sa mala zohľadniť povaha, rozsah, kontext a účel spracúvania a riziko pre práva fyzických osôb. Na účely prijatia zodpovednosti by mal prevádzkovateľ najmä prijímať adekvátne politiky ochrany osobných údajov, ktorými bude deklarovať svoju zodpovednosť za spracúvanie a ochranu osobných údajov. Prevádzkovateľ zodpovedá aj za spracúvanie osobných údajov ním povereného sprostredkovateľa, či so sprostredkovateľom dohodnutého ďalšieho sprostredkovateľa, ktorí spracúvajú osobné údaje v jeho mene a na základe jeho pokynov.
So zásadou zodpovednosti je spojené aj vedenie patričnej dokumentácie tak, aby v prípade potreby prevádzkovateľ vedel a mohol deklarovať, že vykonal posúdenie vplyvu, alebo opätovne hodnotil a snažil sa znížiť vysoké riziko, ktoré mu v rámci posúdenia vplyvu na osobné údaje, ako zvyškové vyšlo.
K § 13
odsek 1
Odsek taxatívne vymenúva právne základy spracúvania osobných údajov dotknutej osoby, situácie, kedy spracúvanie osobných údajov dotknutej osoby prebieha na legálnom, alebo legitímnom právnom základe.
Medzi právne základy spracúvania osobných údajov patrí súhlas dotknutej osoby ňou daný na jeden alebo viacero výslovne uvedených účelov. Súhlas by sa mal poskytnúť výslovným a jasným prejavom vôle, ktorý je slobodným, konkrétnym, informovaným a jednoznačným vyjadrením vôle dotknutej osoby so spracúvaním osobných údajov; forma písomného vyhlásenia vrátane vyhlásenia prostredníctvom elektronických prostriedkov alebo ústnym vyhlásením je za splnenia ostatných náležitostí súhlasu akceptovateľná. Zákon určuje konkrétne podmienky na udelenie súhlasu, ako aj na spracúvanie osobných údajov na tomto právnom základe . Zákon vyžaduje aktívnu účasť dotknutej osoby pri udeľovaní súhlasu, je teda potrebné formulovať súhlas tak, aby dotknutá osoba musela konať. Nečinnosť dotknutej osoby, respektíve nevyjadrenie nesúhlasu dotknutej osoby nemožno považovať za vyjadrenie súhlasu. Dotknutá osoba má k súhlasu vždy pristupovať aktívne a z jej strany je očakávaná aktivita.
Ďalším právnym základom spracúvania osobných údajov dotknutej osoby, je spracúvanie na účely plnenia zmluvy, ktorej je dotknutá osoba zmluvnou stranou, alebo ide o predzmluvné vzťahy vrátanie spracúvania osobných údajov na základe žiadosti dotknutej osoby. V prípade ak sa osobné údaje spracúvajú na účely predzmluvných alebo zmluvných vzťahov, kedy jednou zo zmluvných strán je dotknutá osoba je potrebné, aby sa v zmluve jednoznačne vymedzil predmet zmluvy, ktorý bude zároveň aj účelom spracúvania osobných údajov dotknutej osoby, napríklad dodanie tovaru alebo plnenie služby. Prevádzkovateľ je potom takýmto v zmluve naformulovaným účelom viazaný a nie je možné, aby ho prekročil. Taktiež nie je prípustné, aby sa pod právny titul predmetu zmluvy uvádzali iné predmety zmluvy, iné účely spracúvania, ktoré by rád prevádzkovateľ využil a osobné údaje získané od dotknutej osoby na predmet zmluvy tak využil a spracúval aj na iné účely so zmluvou a jej predmetom primárne nesúvisiace. V prípade, ak má prevádzkovateľ záujem spracúvať osobné údaje uvedené v zmluve aj na iný účel, je povinný si na takéto spracúvanie nájsť iný primeraný právny základ, napríklad súhlas dotknutej osoby. Ak by aj iné vedľajšie účely spracúvania, ktoré s predmetom zmluvy majú málo alebo nič spoločné sa v zmluve nachádzali, nemožno danú zmluvu považovať za právny základ aj pre takéto iné účely v nej uvedené. Fakt, že zmluva je naformulovaná nesprávne neznamená, že je možné na jej právnom základe spracúvať osobné údaje dotknutej osoby na účely s jej predmetom plnenia nesúvisiace, alebo od jej predmetu plnenia veľmi vzdialené, na ktoré je potrebné, aby si prevádzkovateľ získal od dotknutej osoby iný právny základ.
Medzi právne základy spracúvania osobných údajov bez súhlasu dotknutej osoby patrí spracúvanie osobných údajov na základe osobitného predpisu, ktorý takéto spracúvanie ustanovuje alebo ide o spracúvanie na základe medzinárodnej zmluvy, ktorou je Slovenská republika viazaná. Ide o zákonom stanovenú činnosť prevádzkovateľa, ktorému spracúvanie osobných údajov ustanovuje priamo právny predpis, osobitný zákon. V takom prípade nie je súhlas dotknutej osoby na takéto spracúvanie jej osobných údajov potrebný, nakoľko právnym základom je priamo osobitný zákon alebo medzinárodný zmluva, či zákon vydaný na jej plnenie. Takouto situáciou je napríklad spracúvanie osobných údajov v bankách na základe zákona o bankách alebo spracúvanie osobných údajov detí, dotknutých osôb, žiakov (študentov) na základe školského zákona. Osobitný zákon v takom prípade musí obsahovať základné charakteristiky daného spracúvania ustanovené v odseku 2. Obdobne sa spracúvanie osobných údajov vykonáva bez súhlasu dotknutej osoby na základe osobitného zákona, ak ide o spracúvanie osobných údajov dotknutej osoby, ktorej osobné údaje majú byť spracúvané na plnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi. Definovanie spracovateľskej operácie na ktorú majú byť spracúvané osobné údaje na účely verejného záujmu alebo na účely plnenia povinnosti zverenej pri výkone verejnej moci prevádzkovateľovi musia byť zadefinované v osobitnom zákone.
Právny základ spracúvania osobných údajov na účely ochrany života, zdravia a alebo majetku dotknutej osoby alebo inej fyzickej osoby sa má využívať iba vo výnimočných prípadoch, pokiaľ na spracúvanie osobných údajov nie je možné využiť iný právny základ a pokiaľ je bezprostredne v ohrození život alebo zdravie dotknutej osoby alebo inej fyzickej osoby. Ide zväčša o hraničné životné situácie, kedy je získavanie iného právneho základu ťažké alebo nemožné. Príkladom spracúvania osobných údajov na tento účel je spracúvanie osobných údajov obetí alebo účastníkov dopravenej nehody (prehľadanie osoby na účely nájdenia jej dokladov a jej identifikácie a pod.), ktorí aj s ohľadom na utrpené zranenia alebo šok nie sú schopní alebo ochotní na spracúvanie ich osobných údajov, alebo osobných údajov iného poskytnúť súhlas. Získavanie dodatočného súhlasu potom, keď už je dotknutá osoba pri vedomí a schopná súhlas poskytnúť alebo iná fyzická osoba je schopná súhlas poskytnúť odpadá. Právny základ je možné použiť aj v prípadoch humanitárnych katastrof, ak si to situácia s ohľadom na stav obyvateľstva vyžaduje, je však potrebné dbať na to, aby tento právny základ nebol zneužívaný aj v prípadoch, kedy už jeho použitie možno hodnotiť sporne, napríklad ak osoba vníma a je schopná sa vyjadriť, či osobné údaje poskytnúť.
O oprávnený záujem, ako právny základ spracúvania osobných údajov, ide v tom prípade, keby medzi dotknutou osobou a prevádzkovateľom už existuje vzťah, napríklad ak je dotknutá osoba voči prevádzkovateľovi v postavení klienta. Existencia oprávneného záujmu si vždy vyžaduje dôkladné posúdenie vrátane posúdenia toho, či dotknutá osoba môže v danom čase a kontexte získavania osobných údajov primerane očakávať, že sa spracúvanie na tento účel zo strany prevádzkovateľa môže uskutočniť. Záujmy a práva dotknutej osoby by mohli prevážiť nad záujmami prevádzkovateľa najmä vtedy, ak sa osobné údaje spracúvajú za okolností, keď dotknuté osoby primerane neočakávajú ďalšie takéto spracúvanie. Napríklad spracúvanie osobných údajov nevyhnutne potrebných na účely predchádzania podvodom predstavuje oprávnený záujem príslušného prevádzkovateľa, naopak spracúvanie osobných údajov na účely reklamnej a propagačnej činnosti možno považovať za oprávnený záujem iba v takom prípade, ak táto činnosť prevádzkovateľa súvisí so službami, ktoré dotknutej osobe poskytol ako klientovi; tieto spracovateľské činnosti za oprávnené nemožno považovať vtedy, ak ich miera zo strany prevádzkovateľa prevyšuje samotný záujem dotknutej osoby o služby prevádzkovateľa, teda už možno hovoriť o obťažovaní dotknutej osoby zo strany prevádzkovateľa. Právny základ oprávneného záujmu sa nevzťahuje na spracúvanie orgánmi verejnej moci pri plnení ich úloh nakoľko jeho využitie orgánmi verejnej moci by rozširovalo im ustanovený právny základ spracúvania na základe osobitného predpisu minimálne so silou zákona.
odsek 2
Ustanovuje základné požiadavky kladené na osobitný predpis minimálne so silou zákona, ak má tento byť právnym základom pre spracúvanie osobných údajov bez súhlasu dotknutej osoby. Osobitný zákon, ktorý má byť právnym základom spracúvania osobných údajov fyzickej osoby má mať vo svojom normatívnom texte ustanovený účel spracúvania osobných údajov, okruh dotknutých osôb, zoznam alebo rozsah osobných údajov, ktoré sa budú spracúvať. Je nevyhnutné, aby osobitný predpis so silou zákona stanovoval aj spôsob konkrétneho spracúvania osobných údajov, ak je to účelné a potrebné, napríklad, ak sa tieto budú zverejňovať na v zákone určenom mieste a v určenom rozsahu. Zákon má tiež obsahovať ustanovenia stanovujúce ktorým tretím stranám budú osobné údaje poskytnuté, prípadne, ktorým príjemcom sa osobné údaje sprístupnia. V prípade najmä starších právnych noriem je možné akceptovať aj, ak je minimálne účel spracúvania osobných údajov a dotknuté osoby ustanovené v právnej norme so silou zákona a zoznam alebo rozsah osobných údajov je uvedený a spresnený vo vykonávacom právnom predpise.
odsek 3
Predmetný odsek ustanovuje výnimku zo zásady obmedzenia účelu v rámci spracovateľských operácii toho istého prevádzkovateľa, a len pre spracúvanie osobných údajov, ktoré neboli získané na právnom základe súhlasu dotknutej osoby alebo na právnom základe osobitného predpisu. Stanovuje pre prevádzkovateľa kritériá, ktoré musí zohľadniť a posúdiť, ak má v úmysle už takto získané osobné údaje spracúvať na iný, ďalší účel. Predmetom takéhoto posúdenia, tzv. testu zlučiteľnosti je, aby sa vylúčila možnosť, že spracúvanie na ďalší účel je s pôvodným účelom spracúvania nezlučiteľné, a teda nerealizovateľné.
Až na základe pozitívneho výsledku testu zlučiteľnosti a zohľadnenia v zákone uvedených kritérií môže prevádzkovateľ pristúpiť k spracúvaniu osobných údajov na iný účel, ako bol pôvodný na ktorý osobné údaje získal, ale na tom istom právnom základe, t. j. nie je tu samostatný, iný, právny základ.
K § 14
Súhlas dotknutej osoby je jedným z právnych základov spracúvania osobných údajov, kedy o spracúvaní svojich osobných údajov rozhoduje výlučne dotknutá osoba. Prevádzkovateľ musí vedieť preukázať, že mu dotknutá osoba súhlas poskytla. Zákon výslovne neurčuje formu udelenia súhlasu, ale s ohľadom na požiadavku preukázania existencie udelenia súhlasu, má byť tento súhlas v písomnej forme, v elektronickej forme alebo v inak hodnovernej preukázateľnej forme (napríklad telefonická nahrávka udelenia súhlasu). Z udeleného súhlasu musí byť zrejmé kto súhlas udelil, kedy bol súhlas udelený, aké informácie dostala dotknutá osoba pred udelením súhlasu (s akými informáciami sa mohla oboznámiť napríklad na webovom sídle prevádzkovateľa), akým spôsobom bol súhlas udelený (elektronicky, písomne) a údaj o tom, že v istom čase bol súhlas dotknutou osobou odvolaný, ak sa tak stalo.
V prípade, ak je vyjadrenie súhlasu so spracúvaním osobných údajov súčasťou iného dokumentu alebo písomnosti (napr.: zmluvy), je potrebné, aby súhlas bol jasne a zreteľne oddelený, odlíšiteľný od týchto iných častí daného dokumentu, napríklad ako samostatný článok zmluvy, čím sa zabráni tomu, že ho dotknutá osoba prehliadne a zaistí sa, že mu venuje dostatočnú pozornosť. Ak je súhlas včlenený do iného textu tak, že je pravdepodobné, že ujde pozornosti dotknutej osoby takéto jeho uvedenie by mohlo byť posúdené, ako porušenie tohto zákona a vyhlásenie urobené dotknutou osobou by bolo v tejto časti neplatné.
Dotknutá osoba má právo kedykoľvek súhlas odvolať, a to takými prostriedkami, a tak jednoducho ako ho poskytla (napr.: súhlas poskytnutý elektronicky má osoba právo elektronicky aj odvolať, nemusí však ísť o totožnú formu elektronického odvolania súhlasu; súhlas mohol byť poskytnutý formou predpripraveného elektronického formulára a na jeho odvolanie prevádzkovateľ zriadil samostatný e-mail, takáto forma poskytnutia a aj odvolania súhlasu elektronickou formou je akceptovateľná, nakoľko jednoduchosť tak udelenia súhlasu, ako jeho odvolania je zachovaná). O možnosti súhlas odvolať musí byť dotknutá osoba pred jeho poskytnutím informovaná. Spracúvanie osobných údajov vykonané od momentu jeho poskytnutia do momentu jeho odvolania dotknutou osobou je zákonné a jeho odvolanie na zákonnosť tohto predchádzajúceho spracúvania osobných údajov fyzickej osoby nemá vplyv.
Pri poskytovaní súhlasu dotknutej osoby nesmie prevádzkovateľ na dotknutú osobu vyvíjať nátlak ani iným spôsobom ovplyvňovať jej rozhodovanie, aby mu súhlas poskytla, takéto vyvíjanie nátlaku je v rozpore so zákonom. Nátlakom sa rozumie taká hrozba prevádzkovateľa, kedy neudelenie súhlasu dotknutou osobou bude mať za následok odmietnutie poskytnutia zmluvného vzťahu, neposkytnutie služby, alebo zamedzenie predaja či dostupnosti tovaru pre danú dotknutú osobu, za predpokladu, že sa súhlas netýka spracúvania osobných údajov nevyhnutných pre takéto uzatvorenie zmluvného vzťahu, poskytnutie služby alebo predaja tovaru, ale ide o taký súhlas na spracúvanie osobných údajov požadovaný od dotknutej osoby, ktorý so zmluvným vzťahom, poskytnutím služby alebo predajom tovaru nemá priamy súvis (napríklad súhlas požadovaný prevádzkovateľom na účely marketingu).
Aby sa zaistilo, že súhlas bude informovaný, dotknutá osoba si musí byť vedomá aspoň identity prevádzkovateľa a zamýšľaných účelov spracúvania osobných údajov, respektíve zo strany prevádzkovateľa musí byť najneskôr pri poskytnutí súhlasu dotknutou osobou splnená jeho informačná povinnosť podľa tohto zákona. Súhlas nemožno považovať za slobodný, ak dotknutá osoba nemá skutočnú alebo slobodnú voľbu alebo nemôže odmietnuť či odvolať súhlas bez nepriaznivých následkov pre ňu.
Súhlas nemusí byť považovaný za legitímny právny základ spracúvania osobných údajov v prípade, ak medzi postavením dotknutej osoby a prevádzkovateľom existuje jednoznačný nepomer, najmä ak je prevádzkovateľ orgánom, ktorému je zverený výkon verejnej moci, a preto je nepravdepodobné, že dotknutá osoba súhlas poskytla slobodne. Uvedené môže platiť aj v prípade pracovnoprávnych vzťahov, kedy je obzvlášť dôležité skúmať, či udelený súhlas dotknutou osobou, zamestnancom prevádzkovateľovi, zamestnávateľovi bol dobrovoľný, slobodný a vážny.
Súhlas sa nepovažuje za poskytnutý slobodne, ak nie je možné dať samostatný súhlas na jednotlivé účely spracúvania osobných údajov napriek tomu, že by to bolo v konkrétnom prípade vhodné, alebo ak sa plnenie zmluvy vrátane poskytnutia služby podmieňuje súhlasom, aj keď na takéto plnenie nie je takýto súhlas nevyhnutný.
Súhlas by sa mal vzťahovať na všetky spracovateľské činnosti vykonávané na ten istý účel alebo príbuzné a navzájom si blízke účely. Ak sa spracúvanie osobných údajov vykonáva na viaceré rôzne účely, súhlas by sa mal udeliť na všetky tieto účely samostatne, oddelene. Ak má dotknutá osoba poskytnúť súhlas elektronickými prostriedkami, požiadavka na jeho poskytnutie musí byť jasná a stručná a nemá pôsobiť zbytočne rušivo na používanie služby, pre ktorú sa poskytuje. Za udelenie súhlasu je považované napríklad aktívne označenie políčka pri návšteve internetového webového sídla („opt in“ udelenie súhlasu), aktívne zvolenie technických nastavení služieb informačnej spoločnosti alebo akékoľvek iné vyhlásenie či aktívny úkon, ktorý jasne znamená a dokazuje, že dotknutá osoba súhlasí s navrhovaným spracúvaním jej osobných údajov. Mlčanie, vopred označené políčka alebo nečinnosť dotknutej osoby sa za súhlas podľa tohto zákona nepovažujú.
Jedným z právnym základov prelomenia zákazu spracúvania osobitnej kategórie osobných údajov, automatizovaného individuálneho rozhodovania, vrátane profilovania podľa tohto zákona je udelenie výslovného súhlasu dotknutou osobou, čo znamená výslovný súhlas dotknutej osoby so spracúvaním tejto osobitnej kategórie osobných údajov alebo s takouto formou spracúvania. Je potrebné, aby prevádzkovateľ výslovne v takto naformulovanom súhlase uviedol, že na uvedený účel dotknutá osoba súhlasí so spracúvaním jej zdravotného stavu, teda osobitná kategória osobného údaja musí byť v súhlase výslovne zmienená, uvedená.
K § 15
Informačnú spoločnosť v zmysle spracúvania osobných údajov možno charakterizovať ako spoločnosť, ktorá používa moderné informačné a telekomunikačné technológie ako formu komunikácie navonok aj dovnútra a tiež ako formu získavania a poskytovania informácií alebo služieb. Hlavnou súčasťou informačnej spoločnosti všeobecne a aj následne konkrétnej informačnej spoločnosti v postavení prevádzkovateľa alebo sprostredkovateľa je internet; tento je využívaný ako hlavný komunikačný kanál na prijímanie, ale aj poskytovanie informácií a teda aj osobných údajov. Prostredníctvom internetovej siete informačné spoločnosti vykonávajú zásadný podiel svojej činnosti, je to ich prostriedok na získavanie nových zákazníkov, dotknutých osôb, a to tak dospelých, ako aj detí, prostriedok na poskytovanie služieb. Službou informačnej spoločnosti teda možno nazvať takú službu, ktorá je poskytovaná cez internet, respektíve, ktorej časť je poskytovaná cez internet, pričom internet je prostriedkom prostredníctvom ktorého zákazník vyjadruje svoj záujem o službu a tiež aj prípadný súhlas so spracúvaním svojich osobných údajov.
Osobitnú ochranu osobných údajov si zasluhujú deti, keďže sú si v menšej miere vedomé rizík a dôsledkov súvisiacich so spracúvaním ich osobných údajov, a to najmä v prípade, ak je záujem získavať ich osobné údaje prostredníctvom verejne prístupnej siete – internetu. V prípade ak prevádzkovateľ chce spracúvať osobné údaje detí, teda ponúka službu určenú priamo pre deti, je spracúvanie založené na súhlase dieťaťa zákonné iba vtedy, ak má dieťa v čase poskytnutia súhlasu 16 a viac rokov. V prípade, ak je služba adresovaná dieťaťu, ak je toto mladšie ako 16 rokov je spracúvanie jeho osobných údajov zákonné iba vtedy, ak ním daný súhlas schválil jeho zákonný zástupca alebo opatrovník, alebo ak zákonný zástupca, prípadne opatrovník súhlas so spracúvaním jeho osobných údajov sám v mene dieťaťa poskytol.
Prevádzkovateľ, pokiaľ ide o súhlas daný dieťaťom mladším ako 16 rokov, musí vynaložiť primerané úsilie na to, aby si overil, že súhlas mu poskytlo dieťa vo veku 16 rokov alebo staršie, prípadne, že súhlas schválil alebo poskytol jeho zákonný zástupca, či opatrovník, ak sa jedná o dieťa mladšie ako 16 rokov; overenie súhlasu môže vykonať napríklad formou otázky o dosiahnutom veku v čase poskytovania súhlasu alebo inak tak, aby využil všetky svoje možnosti na overenie si veku dieťaťa. Súhlas nositeľa rodičovských práv a povinností nie je potrebný v súvislosti s preventívnymi alebo poradenskými službami, ktoré sú ponúkané priamo dieťaťu (napr.: služby poskytované pre týrané deti, alebo deti zažívajúce násilie v rodine alebo šikanovanie v škole a pod.). Všetky informácie a každá komunikácia, pri ktorej sa spracúvanie zameriava na dieťa, musia byť formulované jasne a jednoducho, aby ich dieťa mohlo ľahko pochopiť.
Požadovanie súhlasu dieťaťa, ako dotknutej osoby, prípadne jeho schválenie zákonným zástupcom, prípadne jeho priame poskytnutie zákonným zástupcom nemá vplyv na iné samostatné rozhodovacie práva dieťaťa podľa iných osobitných predpisov; napríklad právo uzavrieť zmluvu a podobne.
K § 16
odsek 1
Osobitné kategórie osobných údajov sú taxatívne vymenované v texte zákona. Dôvodom na ich vymenovanie je fakt, že ide o citlivé osobné údaje, týkajúce sa fyzickej osoby, pri ktorých, ak by došlo k ich zneužitiu, nezákonnému spracúvaniu, mohlo by to pre dotknutú osobu predstavovať významný zásah do jej základných ľudských práv. Spracúvanie osobitnej kategórie osobných údajov sa vo všeobecnosti týmto zákonom zakazuje, je prípustné len v prípade splnenia taxatívne ustanovených výnimiek definovaných v odseku 2 tohto ustanovenia tohto zákona. V prípade splnenia podmienok ustanovených v odseku 2, prevádzkovateľ môže spracúvať osobitnú kategóriu osobných údajov, citlivé osobné údaje v súlade s týmto zákonom.
odsek 2
Spracúvať osobitné kategórie osobných údajov uvedených v odseku 1 sa generálne zakazuje. Ak by však niektorí prevádzkovatelia nemohli spracúvať aj osobitné kategórie osobných údajov, nemohli by si plniť im zákonom zverené povinnosti alebo uplatňovať svoje práva, taktiež dotknuté osoby by boli obmedzené v slobodnom nakladaní so svojimi osobnými údajmi.
Podmienky, za ktorých je možné spracúvanie osobitnej kategórie osobných údajov podľa odseku 1 preto tento zákon pripúšťa a taxatívne ich ustanovuje odsek 2. Predstavujú primerané právne základy pre spracúvanie citlivých osobných údajov, na základe ktorých je spracúvanie osobných údajov osobitnej kategórie týmto zákonom dovolené.
K § 17
Prevádzkovateľom v prípade spracúvania osobných údajov týkajúcich sa uznania viny za spáchanie trestného činu alebo priestupku v registri trestov môže byť iba štátny orgán, ak to má ustanovené osobitným zákonom. V podmienkach Slovenskej republiky je takýmto prevádzkovateľom Generálna prokuratúra Slovenskej republiky. Iný prevádzkovateľ môže spracúvať tieto osobné údaje len ak ho nato oprávňuje osobitný predpis alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná, a to len v prípade, ak daný osobitný predpis alebo medzinárodná zmluva poskytuje primerané záruky ochrany pre práva dotknutej osoby v súvislosti so spracúvaním osobných údajov týkajúcich sa uznania viny za trestné činy a priestupky.
K § 18
V ustanovení sa prejavuje zásada minimalizácie údajov vo vzťahu k účelu spracúvania tak, že prevádzkovateľ je oprávnený spracúvať len minimálny rozsah osobných údajov o dotknutej osobe nevyhnutné potrebných na splnenie účelu spracúvania, teda ak už na primárny účel spracúvania nepotrebuje osobu identifikovať, nakoľko tento bol splnený, tak tieto nadbytočné osobné údaje, na základe ktorých by toho bol schopný nie je povinný iba na účely preukázania súladu s týmto zákonom uchovávať, ale je povinný ich zlikvidovať.
Príkladom dodržiavania zásady minimalizácie osobných údajov je, ak prevádzkovateľ je schopný na základe svojich technických možností spojiť IP adresu zákazníka s jeho konkrétnymi osobnými údajmi, ale nekoná tak, nakoľko takéto prepojenie pre neho nie je potrebné na účely predaja služby koncovému zákazníkovi, dotknutej osobe, ktorej presná identifikácia prevádzkovateľa nezaujíma, nakoľko účel spracúvania, predaj služby alebo tovaru už bol naplnený.
V prípade, ak by daná dotknutá osoba chcela, aby prevádzkovateľ vyhovel nejakej jej žiadosti a uplatnila by si voči nemu právo dotknutej osoby napríklad na zamazanie jej IP adries u neho uložených je potrebné, aby mu sama dotknutá osoba poskytla dodatočné informácie o tom, ktoré IP adresy alebo online identifikátory jej koncových zariadení sa jej konkrétne týkajú, pretože tieto prepojenia si prevádzkovateľ na základe ich nepotrebnosti pre plnenie účelu predaja danej dotknutej osobe neukladal. Ak by sám prevádzkovateľ iniciatívne tieto údaje o dotknutej osobe spracúval, mohlo by takéto jeho spracúvanie týchto údajov o dotknutej osobe byť považované za porušenie zásady minimalizácie spracúvania osobných údajov.
V prípade, ak si dotknutá osoba uplatní voči prevádzkovateľovi právo a tento ju už nie je schopný identifikovať má povinnosť ju o tejto skutočnosti informovať, ak je to možné najmä s ohľadom na technické možnosti a to, že jej identifikácia je pre neho sťažená.
K § 19
odsek 1 a odsek 2
Taxatívne vymedzuje informácie, ktoré má prevádzkovateľ povinnosť poskytnúť dotknutej osobe, ak osobné údaje získava priamo od nej a poskytnutím ktorých sa má zabezpečiť informovanosť dotknutej osoby a transparentnosť spracúvania jej osobných údajov; tieto informácie je povinný prevádzkovateľ poskytnúť iniciatívne, nie až na základe žiadosti alebo vyzvania dotknutej osoby.
V prípade získavania osobných údajov od dotknutej osoby je potrebné, aby tieto informácie o zamýšľanej spracovateľskej operácii boli dotknutej osobe poskytnuté najneskôr pri získavaní jej osobných údajov, respektíve v dostatočnom časovom predstihu, jasne a zrozumiteľne a takým spôsobom, aby sa s týmito informáciami mohla skutočne oboznámiť a porozumela im.
odsek 3
Stanovuje povinnosť prevádzkovateľa informovať dotknutú osobu, ak prevádzkovateľ chce osobné údaje spracúvať aj na iný účel, ako ten, na ktorý osobné údaje pôvodne získal v súlade s týmto zákonom (výnimka z obmedzenia účelu s povinnosťou vykonania testu zlučiteľnosti).
odsek 4
V prípade ak už dotknutá osoba informáciami podľa predchádzajúcich odsekov disponuje (napríklad jej už boli skoršie prevádzkovateľom poskytnuté) prevádzkovateľ jej ich opätovne ,poskytovať nemusí, poskytne jej iba tie, ktorými dotknutá osoba nedisponuje.
K § 20
odsek 1 a odsek 2
Taxatívne vymedzuje informácie, ktoré má prevádzkovateľ povinnosť poskytnúť dotknutej osobe, ak osobné údaje nezískal priamo od nej a poskytnutím ktorých sa má zabezpečiť informovanosť dotknutej osoby a transparentnosť spracúvania jej osobných údajov.
odsek 3
Stanovuje lehoty pre plnenie informačnej povinnosti prevádzkovateľa podľa odsekov 1 a 2 voči dotknutej osobe, ak prevádzkovateľ nezískal jej osobné údaje priamo od tejto dotknutej osoby. Informácie je povinný prevádzkovateľ poskytnúť v primeranej lehote po získaní osobných údajov od inej ako dotknutej osoby dotknutej osobe alebo je prevádzkovateľ povinný plniť si informačnú povinnosť voči dotknutej osobe najneskôr v čase prvej komunikácie s ňou, alebo v čase, keď sa osobné údaje prvýkrát poskytnú plánujú poskytnúť ďalšiemu príjemcovi.
odsek 4
Stanovuje povinnosť prevádzkovateľa informovať dotknutú osobu, ak chce osobné údaje spracúvať aj na iný účel, ako ten, na ktorý boli osobné údaje pôvodne získané v súlade s týmto zákonom (výnimka z obmedzenia účelu s povinnosťou vykonania testu zlučiteľnosti).
odsek 5
Ustanovuje taxatívne prípady a podmienky, kedy prevádzkovateľ za splnenia týchto podmienok, nemá povinnosť poskytnúť dotknutej osobe informácie podľa odsekov 1 až 4, ak osobné údaje prevádzkovateľ nezískal priamo od dotknutej osoby.
Ide o prípady, ak dotknutá osoba už informácie má, ak zaznamenanie alebo poskytnutie osobných údajov je stanovené osobitným predpisom, alebo medzinárodnou zmluvou, ktorou je Slovenská republika viazaná, alebo ak sa poskytnutie informácií dotknutej osobe prevádzkovateľom sa ukáže ako nemožné alebo by si vyžiadalo zo strany prevádzkovateľa vynaloženie neprimeraného úsilia. V tejto súvislosti by sa mal zohľadniť počet dotknutých osôb, vek údajov a všetky prijaté primerané záruky.
K § 21
odsek 1 a odsek 2
Dotknutá osoba má právo vedieť, či prevádzkovateľ o nej spracúva osobné údaje a v prípade, že tomu tak je, má právo na prístup k týmto osobným údajom a tiež právo, aby jej prevádzkovateľ poskytol okrem ním spracúvaných osobných údajov o nej aj taxatívne zákonom stanovené ďalšie informácie. Takéto informácie poskytuje prevádzkovateľ až na základe žiadosti dotknutej osoby a v lehotách v tomto zákone stanovených. Ak prevádzkovateľ spracúva v súvislosti s dotknutou osobou veľké množstvo osobných údajov, môže požadovať, aby pred tým, ako dotknutej osobe poskytne požadované informácie, dotknutá osoba spresnila, ktorých informácií alebo spracovateľských činností sa jej žiadosť týka. Uplatnenie práva dotknutou osobou sa však nemôže stať podnetom ani dôvodom na konanie zo strany prevádzkovateľa, ktoré by dotknutej fyzickej osobe mohlo spôsobiť ujmu. V prípade, ak prevádzkovateľ prenáša osobné údaje dotknutej osoby do tretej krajiny alebo medzinárodnej organizácii má dotknutá osoba právo byť informovaná o primeraných zárukách týkajúcich sa týchto prenosov.
odsek 3 a odsek 4
Prevádzkovateľ má poskytnúť dotknutej osobe na jej žiadosť kópiu jej osobných údajov, ktoré o nej spracúva, pokiaľ si dotknutá osoba vyžiadala viac ako jednu kópiu jej osobných údajov, tak druhé a každé ďalšie poskytnutie kópie osobných údajov môže prevádzkovateľ spoplatniť primeraným poplatkom, ktorý zodpovedá administratívnym nákladom na vyhotovenie takejto kópie alebo kópií. V prípade, ak dotknutá osoba požaduje zaslanie kópie jej údajov elektronicky, prevádzkovateľ jej informácie poskytne elektronicky, pokiaľ si dotknutá osoba nestanovila iný spôsob poskytnutia. Uvedené ustanovenie prevádzkovateľovi dáva možnosť zaviesť administratívny poplatok, v prípade, ak tak urobí, mal by jeho zavedenie prezentovať transparentne, aby dotknutá osoba mala k dispozícií informáciu, že druhá a nasledujúca kópia, ktorou prevádzkovateľ plní žiadosť dotknutej osoby je spoplatnená. Prevádzkovateľ by mal informáciu o spoplatnení, ako aj výšku poplatku uviesť jasne a zreteľne, najlepšie na svojom webovom sídle alebo inak tak, aby o tom bola dotknutá osoba informovaná. Vyžiadaním si kópie osobných údajov nesmie byť dotknuté právo inej fyzickej osoby.
Vyššie uvedené nie je právom dotknutej osoby na poskytnutie samotných dokumentov, na základe ktorých dochádza k spracúvaniu osobných údajov prevádzkovateľom, t.j. je na posúdení samotného prevádzkovateľa v akej štrukturalizovanej forme poskytne osobné údaje pri dodržaní a splnení zákonných požiadaviek na transparentnosť poskytovaných informácii, oznámení a postupov plnenia informačnej povinnosti podľa tohto zákona.
K § 22
Dotknutá osoba má právo na opravu jej osobných údajov v informačných systémoch prevádzkovateľa. Spracúvanie nesprávnych osobných údajov dotknutej osoby môže dotknutej osobe spôsobiť ujmu majetkového aj nemajetkového charakteru; je v záujme dotknutej osoby, ako aj prevádzkovateľa, aby sa spracúvali vždy správne a aktuálne osobné údaje. Ak dotknutá osoba zistí, že osobné údaje, ktoré o nej prevádzkovateľ spracúva sú nesprávne, má ho o tom upovedomiť a požiadať, aby ich opravil a nesprávne osobné údaje zlikvidoval, pokiaľ nemá z iného osobitného zákona povinnosť aj nesprávne, teda skôr získané osobné údaje týkajúce sa dotknutej osoby archivovať. V prípade, ak dotknutá osoba zistí zrejmú nesprávnosť, tak môže aj formou listu, či osobnej návštevy prevádzkovateľa požiadať o opravu týchto nesprávnych údajov a už v rámci zaslaného listu, alebo osobnej návštevy u neho mu správne osobné údaje uviesť. V prípade, ak prevádzkovateľ z vlastnej činnosti zistí, že osobné údaje, ktoré o dotknutej osobe spracúva sú nesprávne, má ju o takomto svojom zistení vyrozumieť a požiadať, aby mu v ním stanovenej, prípadne v osobitnom zákone určenej lehote poskytla správne osobné údaje. Ďalšie uchovávanie osobných údajov týkajúcich sa dotknutej osoby by malo byť zákonné v prípadoch, keď je to potrebné na uplatnenie slobody prejavu a práva na informácie, na plnenie zákonnej povinnosti, na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi, z dôvodov verejného záujmu v oblasti verejného zdravia, na účely archivácie, na účely vedeckého alebo historického výskumu alebo na štatistické účely, alebo na preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov.
K § 23
odsek 1 a odsek 2
Dotknutá osoba má právo na to, aby jej osobné údaje boli vymazané, zlikvidované a prestali sa spracúvať, ak je naplnený niektorý zo zákonných dôvodov stanovených v tomto zákone. Dotknutá osoba si toto právo na výmaz, likvidáciu jej osobných údajov, môže uplatniť u prevádzkovateľa. V prípade, ak právo dotknutej osoby bude opodstatnené niektorým zo zákonných dôvodov podľa tohto ustanovenia tohto zákona, má dotknutá osoba právo na dosiahnutie tohto práva u prevádzkovateľa.
Zároveň v súlade so zásadou zákonnosti a zásadou zodpovednosti je prevádzkovateľ povinný pravidelne preverovať splnenie účelu spracúvania osobných údajov za účelom ich prípadného výmazu po splnení účelu spracúvania osobných údajov.
odsek 3
Ak prevádzkovateľ zverejnil osobné údaje dotknutej osoby a vznikla mu povinnosť ich na základe žiadosti dotknutej osoby vymazať, je povinný zverejnené osobné údaje týkajúce sa dotknutej osoby s ohľadom na svoje technologické možnosti a na prostriedky, ktorými osobné údaje zverejnil, vymazať.
V súlade s touto povinnosťou práva na výmaz alebo práva na zabudnutie vo vzťahu k online prostrediu, rozširuje sa právo na vymazanie pre dotknutú osobu aj tým, že prevádzkovateľ, ktorý osobné údaje dotknutej osoby zverejnil, je povinný informovať prevádzkovateľov, ktorí tieto osobné údaje tiež spracúvajú, o povinnosti ich tiež vymazať a taktiež vymazať všetky odkazy na tieto osobné údaje alebo kópie či repliky týchto osobných údajov. Pritom je prevádzkovateľ povinný prijať primerané kroky, pri zohľadnení dostupnej technológie a prostriedkoch spracúvania, ktoré má k dispozícii, vrátane technických opatrení na účely informovania prevádzkovateľov, ktorým osobné údaje poskytol a ktorí ich spracúvajú, že tieto osobné údaje sú povinní vymazať na základe predmetnej žiadosti dotknutej osoby.
odsek 4
Právo na výmaz osobných údajov dotknutej osoby podľa odseku 1 a odseku 2 tohto zákona sa neuplatní, ak sa uplatní čo aj len jeden z taxatívne uvedených zákonných dôvodov, na základe ktorých je potrebné osobné údaje dotknutej osoby aj naďalej spracúvať. Takéto spracúvanie dotknutá osoba musí strpieť a nemôže proti takémuto spracúvaniu osobných údajov uplatniť právo na výmaz.
K § 24
odsek 1
Taxatívne stanovuje prípady, kedy je prevádzkovateľ povinný rešpektovať právo dotknutej osoby a obmedziť spracúvanie jej osobných údajov, kedy prevádzkovateľ počas uplatnenia si obmedzenia spracúvania dotknutou osobou, osobné údaje dotknutej osoby nespracúva, ale ich blokuje, prípadne ich počas tejto doby iba uchováva.
odsek 2
Ak prevádzkovateľ obmedzil na základe žiadosti dotknutej osoby spracúvanie osobných údajov tejto dotknutej osoby, môže prevádzkovateľ tieto osobné údaje, okrem uchovávania, spracúvať len so súhlasom dotknutej osoby, alebo na preukazovanie a obhajovanie právnych nárokov, alebo na ochranu práv inej fyzickej osoby alebo právnickej osoby, alebo z dôvodov dôležitého verejného záujmu stanoveného v osobitnom predpise so silou minimálne zákona.
odsek 3
Ak dotknutá osoba dosiahla obmedzenie spracúvania jej osobných údajov prevádzkovateľa je prevádzkovateľ povinný ju vopred informovať pred tým, ako bude toto obmedzenie spracúvania zrušené.
K § 25
Dotknutá osoba má právo, aby sa spracúvali len také jej osobné údaje, ktoré sú správne, nevyhnutné na dosiahnutie účelu a ich spracúvanie je založené na zákonnosti; v prípade ak došlo k oprave, vymazaniu alebo obmedzeniu spracúvania jej osobných údajov u prevádzkovateľa, a to bez ohľadu na to, či na základe žiadosti dotknutej osoby alebo na základe toho, že tak vykonal prevádzkovateľ z vlastnej činnosti je potrebné, aby o takejto oprave vymazaní alebo obmedzení spracúvania prevádzkovateľ informoval každého príjemcu, ktorému osobné údaje dotknutej osoby poskytol. Prevádzkovateľ nie je povinný informovať každého príjemcu, ak preukáže nemožnosť poskytnutia takejto informácie, alebo ak preukáže, že poskytnutie informácie si vyžaduje jeho neprimerané úsilie. Prevádzkovateľ je povinný o príjemcoch, ak to požaduje, informovať aj dotknutú osobu.
K § 26
odsek 1
S cieľom posilniť kontrolu nad vlastnými osobnými údajmi má dotknutá osoba v prípade, že sa spracúvanie osobných údajov vykonáva u prevádzkovateľa automatizovanými prostriedkami spracúvania, možnosť získať jej osobné údaje, ktoré poskytla prevádzkovateľovi v štruktúrovanom a interoperabilnom formáte a preniesť ich k ďalšiemu prevádzkovateľovi, a to bez toho, aby prvý prevádzkovateľ, ktorému ich poskytla, jej v tom akokoľvek bránil alebo ju v tomto práve obmedzoval.
Toto platí v prípadoch, ak spracúvanie osobných údajov týkajúcich sa dotknutej osoby
a) je založené na súhlase so spracúvaním osobných údajov poskytnutom samotnou dotknutou osobou alebo ak je spracúvanie osobných údajov založené na zmluvnom vzťahu, ktorého je dotknutá osoba zmluvnou stranou;
b) je vykonávané u prevádzkovateľa automatizovanými prostriedkami spracúvania.
odsek 2
Uplatňovaním práva na prenosnosť osobných údajov nie je dotknuté právo dotknutej osoby požadovať výmaz jej osobných údajov a obmedzenie tohto práva na výmaz, podľa zákona. Právo na prenosnosť údajov nemá viesť k vymazaniu osobných údajov dotknutej osoby, ktoré poskytla na účely plnenia zmluvy, v takom rozsahu a počas takého obdobia, ako sú tieto osobné údaje potrebné na plnenie danej zmluvy. Právo na prenosnosť osobných údajov dotknutej osoby sa uplatňuje na tie jej osobné údaje, na ktorých spracúvanie poskytla dotknutá osoba súhlas alebo ak je spracúvanie potrebné na plnenie zmluvy. Toto právo na prenosnosť osobných údajov sa neuplatní, ak je spracúvanie založené na inom právnom základe, než je súhlas alebo zmluva. Zo samotnej povahy uvedeného práva vyplýva, že by sa nemalo uplatňovať voči prevádzkovateľom, ktorí spracúvajú osobné údaje týkajúce sa dotknutej osoby pri výkone ich verejných úloh, alebo sa nebude uplatňovať, ak je spracúvanie osobných údajov potrebné na plnenie zákonnej povinnosti, ktorá sa na prevádzkovateľa vzťahuje, alebo na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi.
Ak je to technicky možné, mala by mať dotknutá osoba právo na prenos osobných údajov priamo od jedného prevádzkovateľa k druhému prevádzkovateľovi.
odsek 3
Právo na prenosnosť údajov by sa malo vždy dotknúť len konkrétnej dotknutej osoby, ktorá si ho uplatňuje; jeho výkonom nemajú byť dotknuté práva iných osôb.
K § 27
odsek 1
Ak prevádzkovateľ spracúva osobné údaje dotknutej osoby na základe zákona, nakoľko je toto spracúvanie nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi alebo je spracúvanie nevyhnutné na účely oprávnených záujmov sledovaných prevádzkovateľom prípadne treťou stranou a ak nad takýmito záujmami neprevládajú záujmy a práva dotknutej osoby vyžadujúce si ochranu osobných údajov, najmä ak by šlo o ochranu osobných údajov spracúvaných o dieťati alebo ak ide o spracúvanie osobných údajov založených na profilovaní dotknutej osoby, spracúvanie takýchto osobných údajov má dotknutá osoba právo u prevádzkovateľa namietať.
Na základe žiadosti dotknutej osoby, ktorá namieta spracúvanie osobných údajov prevádzkovateľ takto namietané spracúvané osobné údaje nesmie ďalej spracúvať, iba ak by preukázal nevyhnutnosť takéhoto spracúvania a oprávnené dôvody prevažujúce nad záujmami, právami dotknutej osoby alebo by šlo o dôvody, účely spracúvania osobných údajov dotknutej osoby, kedy by spracúvanie osobných údajov dotknutej osoby prevádzkovateľom bolo potrebné na uplatňovanie právnych nárokov.
Právo namietať má dotknutá osoba najmä vtedy ak sa jej situácia súvisiaca so spracúvaním jej osobných údajov dotýka, teda ak sa domnieva, že spracúvanie vykonávané napríklad prevádzkovateľom na účely jeho oprávnených záujmov už obmedzuje jej práva alebo do nich zasahuje, napríklad obťažujúci marketing alebo notifikovanie dotknutej osoby zo strany prevádzkovateľa.
odsek 2 až odsek 4
Dotknutá osoba má právo namietať, ak sa jej osobné údaje spracúvajú na účely priameho marketingu, alebo ak sa jej osobné údaje spracúvajú na účely priameho marketingu vykonávaného formou profilovania.
Ak dotknutá osoba namietala spracúvanie osobných údajov na účely priameho marketingu alebo na účely priameho marketingu formou profilovania, tak prevádzkovateľ osobné údaje tejto dotknutej osoby už na takéto účely spracúvať nesmie.
Na právo namietať spracúvanie osobných údajov podľa odseku 1 a odseku 2 je prevádzkovateľ povinný dotknutú osobu, už pri prvej komunikácii s ňou (t.j. ešte pred získaním osobných údajov od dotknutej osoby ako aj pred samotným spracúvaním osobných údajov tejto dotknutej osoby) jasne, zrozumiteľne a oddelene od iných informácií výslovne upozorniť tak, aby si tohto svojho práva namietať bola vedomá.
Právo dotknutej osoby namietať v súvislosti s používaním služieb informačnej spoločnosti si môže dotknutá osoba uplatniť aj s využitím automatizovaných prostriedkov spracúvania s použitím technických špecifikácií (napr.: použitím na tento účel vytvorených aplikácií a pod.).
odsek 5
Právo namietať spracúvanie osobných údajov má dotknutá osoby z dôvodov týkajúcich sa jej konkrétnej situácie, okrem prípadov ak sa jej osobné údaje spracúvajú na účely vedeckého výskumu alebo historického výskumu, na štatistické účely, ak sú dodržané primerané záruky pre jej práva ako dotknutej osoby, ktorými sa rozumie napríklad pseudonymizácia. Právo namietať spracúvanie osobných údajov na účely uvedené v tomto odseku dotknutá osoba nemá tiež ak je spracúvanie jej osobných údajov nevyhnutné na plnenie úlohy z dôvodov verejného záujmu podľa príslušného ustanovenia tohto zákona.
K § 28
odsek 1
Rozhodnutím založeným na automatizovanom spracúvaní osobných údajov je také rozhodnutie, ktoré je za využitia spracúvania osobných údajov dotknutej osoby vykonané a vydané bez zásahu človeka, napríklad posúdenie nároku na príspevok iba na základe zadania stanovených parametrov a následného automatizovaného vyhodnotenia nároku aplikáciou alebo na to určeným algoritmom. Ide o generovanie takého rozhodnutia zo strany prevádzkovateľa, ktoré je riadené algoritmom, to znamená, že sa vopred nastavia parametre, ktoré dotknutá osoba odovzdá a ktoré sa do algoritmu zadajú, vstupné dáta, následne celý proces vyhodnocovania prebehne bez ľudského zásahu, automatizovane. V praxi sa stretávame s takýmito postupmi čoraz častejšia napríklad pri vyhodnocovaní toho, či osoba spĺňa kritériá, napríklad, či má dostatočné príjmy na to, aby dosiahla na bankový produkt, zároveň algoritmus je schopný jej osobné údaje porovnať s osobnými údajmi ľudí v databázach, ktorí sú voči bankám dlžníkmi. Všetko je vykonávané automatizovane, na základe nastavenia algoritmov. Takto generované rozhodnutie môže mať na dotknutú osobu významný vplyv (najmä vo forme významného finančného a právneho dopadu, kedy na základe takéhoto rozhodnutia môžu byť dotknutej osobe zmenený jej finančný status k horšiemu, napríklad rozhodnutím o nepriznaní príspevku alebo o povinnosti zaplatiť pokutu a pod.) jej osobe uložené povinnosti alebo sa môže rozhodnúť o , nakoľko automatizovane sa rozhoduje o jej právach a prípadných povinnostiach. Na základe automatizovaného spracúvania osobných údajov týkajúcich sa dotknutej osoby bude vydané rozhodnutie, ktoré bude mať na dotknutú osobu zásadný vplyv a ktoré bude voči nej zakladať právne účinky, nezriedka aj s významným finančným, či osobným dopadom. Je preto potrebné zaistiť, aby dotknutá osoba mohla voči takémuto automatizovanému rozhodnutiu namietať a požiadať prevádzkovateľa o preverenie jeho výsledku, ktoré bude vykonané inak, ako algoritmom, teda automatizovane, najlepšie formou kontroly prostredníctvom oprávnenej osoby prevádzkovateľa; teda ľudským, neautomatizovaným, zásahom do inak automatizovanej schémy tvorby rozhodovania.
odsek 2 a odsek 3
Dotknutá osoba nemá právo namietať automatizované individuálne rozhodovanie podľa odseku 1, ak je dané rozhodnutie nevyhnutné na uzavretie alebo plnenie zmluvy medzi dotknutou osobou a prevádzkovateľom alebo ak je založené na výslovnom súhlase dotknutej osoby s takouto formou jeho spracúvania. Automatizované rozhodovanie zasahuje do práv dotknutej osoby vo veľkej miere je preto potrebné, aby boli práva dotknutej osoby zaistené a aby v prípadoch automatizovaného rozhodovania podľa tohto zákona mala dotknutá osoba právo sa voči takému automatizovanému rozhodovaniu vyjadriť a právo napadnúť dané rozhodnutie. V prípade, ak by sa dotknutá osoba musela automaticky takému rozhodnutiu podrobiť a nemohla by proti nemu protestovať, bol by to závažný a zásadný zásah do jej práv, ktorý by z hľadiska práv a povinností bol veľmi nevyvážený; zachovanie práva na vyjadrenie sa voči takémuto rozhodnutiu a právo voči nemu namietať, protestovať, je zákonné a posilňuje to dôveru dotknutej osoby v možnosti preverenia týchto typov spracúvania osobných údajov dotknutej osoby, ktoré môžu mať na dotknutú osobu vplyv.
odsek 4
Rozhodnutie založené na automatizovanom spracúvaní osobných údajov, ktoré môže mať na dotknutú osobu významný vplyv a ktoré dotknuté osoby nemôžu namietať podľa odseku 2 tohto ustanovenia
sa nesmie zakladať na spracúvaní osobitnej kategórie osobných údajov, iba v prípade, ak platí, že na spracúvanie osobitnej kategórie osobných údajov dala dotknutá osoba výslovný súhlas alebo je takéto spracúvanie nevyhnutné z dôvodov významného verejného záujmu na základe osobitného predpisu, alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, ktoré vzhľadom na sledovaný cieľ spracúvania osobných údajov rešpektujú práva dotknutých osôb, a stanovuje vhodné a konkrétne opatrenia na zabezpečenie práv dotknutých osôb.
K § 29
odsek 1
Všetky informácie určené dotknutej osobe zo strany prevádzkovateľa jej majú byť poskytnuté v stručnej, ľahko prístupnej ľahko pochopiteľnej forme, formulované jasne a jednoducho, a ak je to vhodné a technicky možné aj ľahko zrakovo vnímateľné. Týka sa to najmä situácií, v ktorých veľký počet účastníkov a technologická zložitosť činnosti sťažujú dotknutej osobe zistiť a pochopiť, kým a na aké účely boli jej osobné údaje získané. Osobitne je potrebné, aby prevádzkovateľ uplatnil zásadu transparentnosti pri poskytovaní informácií deťom, ktorým je poskytovanie informácií potrebné prispôsobiť ich veku a rozumovým schopnostiam. Prevádzkovateľ tieto povinnosti môže splniť zverejnením adekvátnych informácií na svojom webovom sídle, ich fyzickou dostupnosťou v papierovej podobe vo priestoroch svojich pobočiek, ich distribúciou formou e-mailov alebo doručením poštou, prípadne priamym informovaním prostredníctvom svojich zamestnancov. Prevádzkovateľ môže skombinovať niekoľko foriem informovania dotknutých osôb tak, aby sa ich informovanosť zaručila aj viacerými spôsobmi súbežne. Transparentnosť informácií najmä pri uplatňovaní si práv dotknutej osoby je osobitne dôležitá. Ustanovenie taxatívne nestanovuje v akej forme má prevádzkovateľ informovanie dotknutej osoby vykonávať, o tom vzhľadom na spracovateľské operácie a svoje možnosti rozhoduje prevádzkovateľ sám, zákon mu iba stanovuje podmienky, ktoré je potrebné, aby pri plnení informačnej povinnosti dodržal.
odsek 2
Prevádzkovateľ uľahčuje dotknutej osobe výkon jej práv, ak si ich voči nemu uplatňuje. V prípade ak prevádzkovateľ nevie identifikovať dotknutú osobu, ktorá si uplatní právo dotknutej osoby a ona mu poskytne osobné údaje na účely jej identifikácie a ľahšieho uplatnenia si svojich práv dotknutej osoby, nesmie prevádzkovateľ takúto jej iniciatívu odmietnuť, a to práve z dôvodu, že ide o uplatnenie si práv dotknutej osoby. Prevádzkovateľ nemôže vyhovieť právu dotknutej osoby iba vtedy, ak preukáže, že dotknutú osobu napriek svojej maximálne vynaloženej snahe, nie je schopný identifikovať.
odsek 3 a odsek 4
Na základe žiadosti dotknutej osoby je prevádzkovateľ povinný konať a prijať adekvátne opatrenia, o ktorých je povinný dotknutú osobu informovať najneskôr do mesiaca od doručenia žiadosti dotknutej osoby. V odôvodnených prípadoch (napríklad zlučovanie podniku, prechod alebo prevod časti prevádzkovateľa na iného prevádzkovateľa v zmysle Obchodného zákonníka, kedy môže byť dočasne jeho informačné systémy paralyzované) môže prevádzkovateľ lehotu predĺžiť, a to o dva mesiace, pričom každé predĺženie lehoty je povinný dotknutej osobe oznámiť. S ohľadom na zásady spracúvania, ako aj transparentnosť postupov pri plnení si informačnej povinnosti by takéto predĺženie lehoty na plnenie si tejto informačnej povinnosti malo byť len zo závažných dôvodov na strane prevádzkovateľa, napríklad s ohľadom na časovú náročnosť prijatia primeraných a účinných bezpečnostných opatrení potrebných v súvislosti s uplatnením práva dotknutej osoby. Pokiaľ ide o spôsob konania a informovania zo strany prevádzkovateľa, ten by mal rešpektovať prostriedky, aké použila dotknutá osoba na podanie žiadosti, teda ak sa táto na prevádzkovateľa obrátila elektronicky, mal by jej odpovedať elektronicky, ak si dotknutá osoba nestanovila iný spôsob, ktorý jej vyhovuje viac. V prípade, že na základe žiadosti dotknutej osoby prevádzkovateľ nekonal, neprijal žiadne opatrenia, je povinný o tom dotknutú osobu informovať a taktiež jej uviesť dôvody, pre ktoré nekonal a tiež ju informovať o tom, že sa môže podať návrh na začatie konanie na úrad.
odsek 5 a odsek 6
Žiadosť dotknutej osoby je prevádzkovateľ povinný vybaviť bezplatne. V prípade ak sú žiadosti dotknutej osoby opakujúceho sa charakteru a rovnakého obsahu alebo sú neprimerané a neopodstatnené a dotknutá osoba prípadne ani na základe výzvy prevádzkovateľa ich obsah nedoplní, prevádzkovateľ môže ich vybavenie spoplatniť, a to vo výške administratívnych nákladov potrebných na ich vybavenie, prípadne môže prevádzkovateľ odmietnuť na základe takejto žiadosti dotknutej osoby konať. Bremeno preukázania toho, že žiadosť dotknutej osoby bola neprimeraná alebo neopodstatnená znáša prevádzkovateľ.
odsek 7
Ak sa na prevádzkovateľa so žiadosťou dotknutej osoby obráti taká dotknutá osoba, ktorú na základe poskytnutých údajov o nej nie je schopný prevádzkovateľ jednoznačne identifikovať je oprávnený, na účely riadneho vybavenia žiadosti dotknutej osoby ju požiadať o poskytnutie dodatočných, doplňujúcich informácií na účely potvrdenia jej totožnosti.
odsek 8
Prevádzkovateľ môže informácie adresované dotknutej osobe podľa tohto zákona poskytnúť v písomnej podobe, ale taktiež formou štandardizovaných ikon, ktoré, ak sú použité v elektronickej podobe musia byť strojovo čitateľné. Ikony nemajú nahrádzať textovú informáciu, majú ju iba dopĺňať.
odsek 9
Obsah informácií obsiahnutých v štandardizovaných ikonách ustanoví úrad, ak to bude potrebné, vo vykonávacom predpise.
K § 30
Práva dotknutej osoby nie sú absolútne a v demokratickej spoločnosti sú opatrenia, ktorými sa sleduje vyššie dobro, vyšší záujem a v prípade ktorých je možné za zákonom stanovených podmienok obmedziť aj právo konkrétnej dotknutej osoby. Obmedzenie práv dotknutej osoby je možné len na základe osobitného predpisu a len ak takéto obmedzenie rešpektuje podstatu základných práv a je nevyhnutným a primeraným opatrením v demokratickej spoločnosti s cieľom zaistiť v ustanovení taxatívne uvedené opatrenia, vyššie dobrá pre spoločnosť na úkor obmedzenia práva jednej dotknutej osoby. Takto je možné obmedziť rozsah práv a povinností dotknutej osoby v týchto oblastiach:
a) informačnej povinnosti prevádzkovateľa,
b) práv dotknutej osoby, ako právo na opravu, právo na vymazanie, právo na obmedzenie spracúvania, právo na prenosnosť údajov, právo namietať, právo namietať proti automatizovanému individuálnemu rozhodovaniu, vrátane profilovania,
c) oznámenia porušenia ochrany osobných údajov dotknutej osoby,
d) zásad spracúvania osobných údajov, ak súvisia s informačnou povinnosťou alebo právami dotknutej osoby.
Na to, aby bolo obmedzenie práva dotknutej osoby možné, je potrebné, aby dôvody na základe ktorých sa má obmedzenie vykonať boli ustanovené v osobitných predpisoch a tieto boli dostatočne precizované čo do obsahu a popisu dôvodov, na základe ktorých je možné právo dotknutej osoby obmedziť. Odsek 1 výslovne a taxatívne uvádza situácie, kedy na základe tohto zákona je možné práva dotknutej osoby obmedziť na účely dosiahnutia vyššieho dobra v prospech spoločnosti alebo širšej skupiny ľudí. Odsek 2 stanovuje ako tieto podmienky musia byť v osobitnej právnej norme so silou minimálne zákona naformulované, aby boli ako podmienky obmedzenia práv dotknutej osoby zákonné.
K § 31
Zákonodarca stanovuje povinnosti a zodpovednosť prevádzkovateľa v súvislosti so spracúvaním osobných údajov, ktoré prevádzkovateľ vykonáva sám, spoločne s iným prevádzkovateľom alebo ktoré vykonáva v jeho mene prostredníctvom sprostredkovateľa. Prevádzkovateľ nesie zodpovednosť za zákonné spracúvanie osobných údajov. Je povinný prijať primerané a účinné opatrenia a má povinnosť vedieť preukázať súlad spracúvania s týmto zákonom, ako aj účinnosť a primeranosť ním prijatých opatrení na ochranu spracúvaných osobných údajov. Prevádzkovateľ je povinný vytvoriť také podmienky fungovania ním prevádzkovaných informačných systémov, ktoré zaručia ochranu osobných údajov pred ich poškodením, zničením, stratou, zmenou, neoprávneným prístupom, zneužitím a sprístupnením, poskytnutím alebo zverejnením, ako aj pred akýmikoľvek inými neprípustnými spôsobmi spracúvania.
Na preukázanie súladu postupov prevádzkovateľa s týmto zákonom prevádzkovateľovi môžu slúžiť úradom schválené kódexy správania, ku ktorým môže pristúpiť a deklarovať tak splnenie istého štandardu ochrany osobných údajov alebo certifikát vydaný úradom alebo certifikačným subjektom. Iným opatrením prevádzkovateľa, ako môže zaistiť bezpečnosť spracúvaných osobných údajov je, že bude pravidelne vykonávať preverovania spracúvaných osobných údajov s ohľadom na trvanie ich účelu a toho, či bol účel spracúvania už dosiahnutý, alebo nie, v prípade ak sa tak stalo má tiež pravidelne kontrolovať a vykonávať preverovanie a prípadnú potrebu vyraďovania záznamov z registratúrneho strediska, prípadne ich zaraďovanie do predarchívnej a následne archívnej starostlivosti. Prevádzkovateľ je tiež na zaistenie bezpečnosti a na prijatie svojej zodpovednosti a deklarovania plnenia opatrení povinný prijať adekvátne politiky ochrany osobných údajov smerom dovnútra aj navonok, ktoré možno považovať za jednu z foriem bezpečnostných opatrení, najmä po organizačnej a personálnej stránke.
K § 32
Prevádzkovateľ by mal nastaviť procesy a postupy ochrany osobných údajov a ich spracúvania, ktoré budú spĺňať najmä zásady špecificky navrhnutej ochrany údajov a štandardnej ochrany údajov.
Prevádzkovateľ je povinný prijať zodpovedajúci stupeň bezpečnostných opatrení (primerané a účinné opatrenia) k jednotlivým zisteným rizikám, ktoré súvisia so spracúvaním osobných údajov, na ich zmiernenie. Takýmito opatreniami sú štandardné bezpečnostné technické a organizačné opatrenia, ako napríklad pseudonymizácia osobných údajov, šifrovanie, logovanie, minimalizácia údajov, poučenie osôb vykonávajúcich spracovateľské operácie, prístupová a kľúčová politika zohľadňujúca dôvernosť osobných údajov, zaistenie kontinuity spracúvania osobných údajov v prípade bezpečnostných incidentov a havárii, mlčanlivosť zamestnancov.
Zároveň zákon zakotvuje požiadavku, aby prevádzkovateľ vo vzťahu k jeho spracovateľským operáciám a rizikám, prijal takú špecificky navrhnutú ochranu osobných údajov zohľadňujúcu technické ako aj organizačné bezpečnostné opatrenia, ktorá zodpovedá najnovším poznatkom pri zohľadnení výšky nákladov a možností prevádzkovateľa na prijatie a vykonávanie týchto bezpečnostných opatrení. Táto požiadavka by sa mala zohľadniť najmä vo vzťahu k aplikáciám, službám a produktom, ktoré sú založené na spracúvaní osobných údajov, nakoľko je takúto ochranu a bezpečnostné opatrenia prevádzkovateľ povinný aplikovať a navrhovať už v čase, keď spracovateľskú operáciu kreuje, alebo určuje budúci účel spracúvania osobných údajov. Platí, že špecificky navrhnutá ochrana osobných údajov sa musí uplatniť na všetky spracovateľské činnosti v rámci produktového vybavenia zahŕňajúce spracúvanie osobných údajov, pokiaľ ide o už existujúce, tak je nevyhnutné, aby prevádzkovateľ vykonal všetky opatrenia na prijatie takýchto bezpečnostných opatrení, no s ohľadom na technické možnosti.
Stupeň špecifickej a štandardnej ochrany osobných údajov prijatý prevádzkovateľom môže deklarovať napríklad pristúpením k schválenému kódexu správania alebo certifikátu.
K § 33
Pokiaľ nie je podiel zodpovednosti spoločných prevádzkovateľov určený osobitným predpisom, zaväzuje toto ustanovenie dvoch a viacerých prevádzkovateľov, ktorí spoločne určili účel a podmienky spracúvania osobných údajov, upraviť vzájomné zodpovednostné vzťahy pri plnení práv a povinností podľa tohto zákona vzájomnou dohodou, zmluvou. V dohode sú spoloční prevádzkovatelia povinní určiť kontaktné miesto pre dotknutú osobu, ktorej osobné údaje spracúvajú a poskytnúť tejto dotknutej osobe základné časti tejto dohody, najmä identifikáciu jednotlivých prevádzkovateľov, predmet zmluvy, ustanovenia upravujúce delenie ich vzájomných právomocí vo vzťahu k dotknutej osoby a jej osobným údajov, v dohode tiež musia uviesť a stanoviť kontaktné miesto, kde si dotknutá osoba môže uplatniť svoje práva. Dohoda spoločných prevádzkovateľov má mať takú formu, aby jej existenciu vedeli hodnoverne preukázať, môže byť písomná, uzatvorená elektronicky alebo inak tak, aby v prípade pochybností jej existenciu mohol každý z prevádzkovateľov preukázať, ako aj splnenie si prístupu a poskytnutia informácií dotknutej osobe.
Bez ohľadu na rozdelenie zodpovednosti spoločnými prevádzkovateľmi v ich vzájomnej dohode, zmluve, dotknutá osoba má právo uplatniť si svoje právo u každého prevádzkovateľa a svoj nárok voči každému prevádzkovateľovi.
K § 34
V prípade, ak sa prevádzkovateľ rozhodne vykonávať svoje spracovateľské činnosti prostredníctvom inej osoby, je povinný takúto inú osobu, sprostredkovateľa, poveriť na základe zmluvy, plnej moci, poverenia či iného právneho aktu podľa osobitného predpisu. Poverenie je chápané ako samostatný právny úkon, alebo ako súčasť iného právneho aktu zakladajúceho práva a povinnosti, napríklad zmluvy. Takto poverený sprostredkovateľ vykonáva spracovateľské činnosti len na základe pokynov prevádzkovateľa a v jeho mene v súlade s týmto zákonom. Zmluva v súlade so zákonom musí obsahovať najmä predmet a dobu spracúvania, podmienky a účel spracúvania, zoznam alebo rozsah a typ osobných údajov, kategóriu dotknutých osôb, povinnosti a práva prevádzkovateľa a ďalšie náležitosti podľa tohto zákona.
V prípade, ak osoba vykonáva spracovateľské činnosti v mene inej osoby, prevádzkovateľa, bez poverenia týmto prevádzkovateľom podľa tohto zákona, táto osoba má postavenie prevádzkovateľa a všetky povinnosti a zodpovednosti z tohto zákona plynúce prevádzkovateľovi.
Prevádzkovateľ má poverovať spracúvaním osobných údajov vo svojom mene len takých sprostredkovateľov, jednotlivo, alebo istú kategóriu sprostredkovateľov, ktorí poskytujú dostatočné záruky, a to najmä pokiaľ ide o odborné znalosti, spoľahlivosť a zdroje na to, že prijmú technické a organizačné opatrenia, ktoré budú spĺňať požiadavky tohto zákona, iného osobitného zákona vrátane požiadavky bezpečnosti spracúvania. Prevádzkovateľ nemôže zveriť spracúvanie osobných údajov sprostredkovateľovi, ak by tým mohli byť ohrozené práva a právom chránené záujmy dotknutých osôb. Ako prvok na preukázanie súladu s povinnosťami prevádzkovateľa sa môže použiť dodržiavanie úradom schváleného kódexu správania alebo certifikátu vydaného sprostredkovateľovi.
Nakoľko osobami oprávnenými spracúvať osobné údaje sú výlučne prevádzkovateľ a sprostredkovateľ, je nevyhnutné, aby sprostredkovateľ, takisto ako prevádzkovateľ rešpektoval a dodržiaval právo fyzických osôb, a to právo na ochranu súkromia a ochranu osobných údajov patriacich medzi práva a slobody garantované Ústavou Slovenskej republiky. Toto ustanovenie zaväzuje sprostredkovateľa, aby sa pri výkone spracúvania riadil zmluvou alebo osobitným predpisom, ktorým je viazaný voči prevádzkovateľovi a v ktorých sa stanovuje predmet a doba spracúvania, povaha a účely spracúvania, typ osobných údajov a kategórie dotknutých osôb. Ak bol sprostredkovateľ poverený spracúvaním osobných údajov, rozumie sa tým kontinuálny prechod spracúvania osobných údajov na sprostredkovateľa. Sprostredkovateľ vykonáva všetky úkony smerujúce na dosiahnutie účelu spracúvania v mene prevádzkovateľa.
Pokiaľ sprostredkovateľ zamýšľa zapojiť do spracúvania ďalšieho sprostredkovateľa, tzv. subdodávateľa, je povinný disponovať predchádzajúcim písomným osobitným alebo všeobecným povolením, schválením zo strany prevádzkovateľa, že takéto zapojenie ďalšieho subjektu do spracúvania je možné. Ustanovenia upravujúce požiadavky na vzťah medzi prevádzkovateľom a sprostredkovateľom podľa tohto zákona sa obdobne použijú na vzťah medzi sprostredkovateľom a ďalším sprostredkovateľom (subdodávateľom).
V súlade so zásadou zodpovednosti za spracúvanie osobných údajov zodpovedá vždy prevádzkovateľ, t. j. aj za spracúvanie osobných údajov sprostredkovateľom, prípadne ďalším sprostredkovateľom (subdodávateľom). Sprostredkovateľ za spracúvanie osobných údajov dohodnutým spôsobom zodpovedá prevádzkovateľovi; v prípade ak je ustanovený ďalší sprostredkovateľ (subdodávateľ), tak tento zodpovedá sprostredkovateľovi. Sprostredkovateľ pri spracúvaní osobných údajov v mene prevádzkovateľa sám zodpovedá len za tie povinnosti, ktoré sú sprostredkovateľovi týmto zákonom priamo uložené, napríklad vedenie záznamov o spracovateľských činnostiach, poskytovanie súčinnosti úradu podľa tohto zákona alebo osobitného predpisu, povinnosť prijatia primeraných a účinných bezpečnostných opatrení, povinnosť oznámenia porušenia ochrany osobných údajov prevádzkovateľovi, povinnosť určiť zodpovednú osobu, v osobitných prípadoch povinnosť dodržiavať schválené kódexy správania, vydaný certifikát, či prípadne udelenú akreditáciu a dodržiavať podmienky pri prenosoch osobných údajov.
Ak sa sprostredkovateľ odchýli od pokynov prevádzkovateľa alebo bude spracúvanie osobných údajov vykonávať inak, ako bolo dohodnuté, najmä však rozšíri alebo zúži účel spracúvania alebo ho inak pozmení stáva sa na účely tohto zákona sám prevádzkovateľom a zodpovedá aj za prípadné škody, ktoré takýmto spracúvaním dotknutým osobám vzniknú.
Po ukončení spracúvania v mene prevádzkovateľa má sprostredkovateľ podľa rozhodnutia prevádzkovateľa vrátiť alebo vymazať osobné údaje, pokiaľ podľa osobitného predpisu neexistuje požiadavka na ich uchovanie.
K § 35
odsek 1
Ak prevádzkovateľ alebo sprostredkovateľ nemá sídlo, miesto podnikania, organizačnú zložku, prevádzkareň alebo trvalý pobyt na území Únie, a vykonáva spracovateľské činnosti, ktoré súvisia s ponukou tovaru alebo služieb dotknutým osobám nachádzajúcimi sa na území Slovenskej republiky bez ohľadu na to, či sa od dotknutej osoby vyžaduje platba, alebo vykonávané spracúvanie súvisí so sledovaním správania dotknutých osôb nachádzajúcich sa na území Slovenskej republiky, je tento prevádzkovateľ alebo sprostredkovateľ povinný písomne poveriť zástupcu so sídlom alebo trvalým pobytom na území jedného z členských štátov Únie.
odsek 2
Ak spracúvanie osobných údajov vykonáva prevádzkovateľ alebo sprostredkovateľ povinnosť ustanoviť zástupcu prevádzkovateľa v členskom štáte Európskej únie sa ho netýka, ak je ním vykonávané spracúvanie osobných údajov občasné a nezahŕňa vo veľkom rozsahu spracúvanie osobitných kategórií osobných údajov alebo spracúvanie osobných údajov týkajúcich sa uznania viny za trestné činy a priestupky, a nie je pravdepodobné, že takéto jeho spracúvanie povedie k riziku pre práva fyzických osôb, pričom sa zohľadní povaha, kontext, rozsah a účely spracúvania. Ak spracúvanie osobných údajov vykonáva prevádzkovateľ alebo sprostredkovateľ povinnosť ustanoviť zástupcu prevádzkovateľa v členskom štáte Európskej únie sa ho netýka, ak ide o orgán verejnej moci alebo verejnoprávnu inštitúciu.
odsek 3
Zástupca koná v mene prevádzkovateľa alebo sprostredkovateľa a úrad a dotknuté osoby sa môžu naňho kedykoľvek obrátiť. Uvedené má byť výslovne určené písomným poverením prevádzkovateľa alebo sprostredkovateľa. V tomto poverení prevádzkovateľ alebo sprostredkovateľ určí svojmu zástupcovi jeho úlohy, okrem iného aj spoluprácu s úradom, a to v súvislosti s opatreniami prijatými na zabezpečenie súladu s týmto zákonom.
odsek 4
Zodpovednosť alebo povinnosť prevádzkovateľa alebo sprostredkovateľa podľa tohto zákona poverením zástupcu zostáva zachovaná, tak ako aj právo dotknutej osoby podať návrh na začatie konania podľa § 101 tohto zákona. Tiež zostáva zachované právo na právnu ochranu dotknutej osoby a postup podľa Správneho súdneho poriadku, ktoré dotknutá osoba môže uplatniť proti samotnému prevádzkovateľovi alebo sprostredkovateľovi a nie ich zástupcovi.
K § 36
Sprostredkovateľ a každá osoba konajúca na základe zmluvy alebo iného právneho aktu, napríklad poverenia prevádzkovateľom alebo sprostredkovateľom, majúca na základe tejto zmluvy alebo poverenia prístup k osobným údajom, môže tieto spracúvať len na základe daných pokynov alebo poverenia prevádzkovateľa alebo sprostredkovateľa alebo podľa osobitného predpisu, alebo medzinárodnej zmluvy ktorou je Slovenská republika viazaná ak osobitný zákon alebo zmluva stanovuje konkrétne podmienky spracúvania.
K § 37
Ustanovenia určujú povinnosť prevádzkovateľa alebo sprostredkovateľa a v príslušnom prípade aj zástupcu prevádzkovateľa a sprostredkovateľa viesť a uchovávať záznamy o spracovateľských činnostiach, za ktoré sú zodpovední a ktoré vykonávajú, na účely preukázania súladu s týmto zákonom. Obsah záznamov je taxatívne určený týmto zákonom, pričom je povinnosť viesť záznamy v písomnej podobe alebo v elektronickej podobe. Prevádzkovateľ, sprostredkovateľ a v niektorých prípadoch aj zástupca prevádzkovateľa a sprostredkovateľa sú povinní na požiadanie úradu mu tieto záznamy sprístupniť.
Prevádzkovateľ, sprostredkovateľ a ich zástupca nie je povinný viesť záznamy o spracovateľských činnostiach, ak kumulatívne spĺňa zákonom stanovené podmienky, a to
a) zamestnáva menej ako 250 fyzických osôb,
b) nie je pravdepodobné, že spracúvanie, ktoré vykonáva, povedie k riziku pre práva dotknutej osoby,
c) je toto spracúvanie príležitostné,
d) nezahŕňa osobitné kategórie osobných údajov,
e) nezahŕňa osobné údaje týkajúce sa uznania viny za trestné činy a priestupky.
Úrad na svojom webovom sídle zverejní vzor záznamu o spracovateľských činnostiach.
K § 38
Prevádzkovateľ alebo sprostredkovateľ sú povinní nahradiť akúkoľvek škodu, ktorú môže dotknutá osoba utrpieť v dôsledku spracúvania osobných údajov, ktoré je v rozpore s týmto zákonom. Prevádzkovateľ alebo sprostredkovateľ nemajú takúto zodpovednosť, ak preukážu, že za škodu nenesú žiadnu zodpovednosť. Dotknuté osoby za utrpenú škodu majú dostať náhradu. Ak sú prevádzkovatelia alebo sprostredkovatelia zapojení do rovnakého spracúvania, zodpovedajú všetci spoločne a nerozdielne za celú škodu. Každý prevádzkovateľ alebo sprostredkovateľ, ktorý nahradil celú škodu, môže následne začať regresné konanie voči iným prevádzkovateľom alebo sprostredkovateľom zapojeným do toho istého spracúvania.
K § 39
Prevádzkovateľ a sprostredkovateľ sú povinní zohľadniť bezpečnostné riziká v rámci technických a organizačných opatrení, ktoré sú povinní prijať na účely zabezpečenia ochrany spracúvaných osobných údajov na účely minimalizácie možného narušenia spracúvania a tak vzniku škody alebo ohrozenia spracúvaných osobných údajov pre dotknuté osoby. Prijatými bezpečnostnými opatreniami sa má zaistiť primeraná úroveň bezpečnosti osobných údajov vrátane ich dôvernosti, integrity a dostupnosti, pričom by sa mali zohľadniť najnovšie poznatky a náklady na vykonanie opatrení ako aj hroziace riziká a povaha osobných údajov, ktoré sa prijatými bezpečnostnými opatreniami majú chrániť.
Na základe uvedeného prevádzkovateľ, ako aj sprostredkovateľ, zmapuje všetky spracovateľské činnosti v rámci cyklu osobných údajov, t.j. proces získania osobných údajov do vnútorného prostredia prevádzkovateľa alebo sprostredkovateľa, priebeh nakladania s osobnými údajmi v prostredí prevádzkovateľa alebo sprostredkovateľa pri vykonávaní hlavnej ako aj vedľajšej či príležitostnej činnosti prevádzkovateľom alebo sprostredkovateľom, uchovávanie, likvidácia a uvoľnenie osobných údajov z vnútorného priestoru prevádzkovateľa – napr. poskytnutie tretím stranám, zverejnenie, prenos do tretích krajín alebo medzinárodnej organizácii.
Na základe zmapovania cyklu osobných údajov prevádzkovateľ alebo sprostredkovateľ objektívne posúdi všetky riziká súvisiace so spracúvaním osobných údajov, ako napríklad
a) pravdepodobnosť a závažnosť rizika v závislosti od povahy, rozsahu, kontextu a účelov spracúvania osobných údajov,
b) riziká spojené so spracúvaním osobných údajov v dôsledku ich náhodného alebo protiprávneho zničenia, straty, zmeny, neoprávneného poskytnutia, neoprávneného poskytnutia prenášaných osobných údajov, neoprávneného prístupu k osobným údajom,
c) dopady súvisiace s rizikami spracúvania ako napríklad ujma na zdraví, majetková alebo nemajetková ujmu, strata kontroly nad osobnými údajmi, obmedzenie práv dotknutých osôb, krádež identity, podvod, finančná strata, neoprávnená reverzná pseudonymizácia, poškodenie dobrého mena, strata dôvernosti osobných údajov chránených profesijným tajomstvom, alebo akékoľvek sociálne alebo hospodárske znevýhodnenie dotknutej osoby.
Na základe takéhoto posúdenia rizika prevádzkovateľ alebo sprostredkovateľ následne príjme zodpovedajúce primerané a účinné bezpečnostné opatrenia, a to napríklad
a) technické, organizačné a personálne bezpečnostné opatrenia s ohľadom na účel spracúvania, zásady spracúvania osobných údajov, množstva osobných údajov, rozsahu osobných údajov, doby uchovávania a dostupnosti osobných údajov, ako napríklad pseudonymizáciu, šifrovanie, logovanie, minimalizácia údajov, poučenie, prístupová a kľúčová politika dôvernosti osobných údajov, dostupnosť k údajom dotknutou osobou v rámci zásady transparentného prístupu a výkonu práv dotknutou osobou, kontinuita spracúvania v prípade bezpečnostných incidentov, mlčanlivosť,
b) interné bezpečnostné pravidlá a postupy,
c) uskutočňovanie penetračných testov na identifikáciu možných útokov na osobné údaje,
d) vykonávanie testovacej, posudzovacej a hodnotiacej činnosti s ohľadom na cyklus spracúvania osobných údajov.
Prevádzkovateľ alebo sprostredkovateľ má pri spracúvaní osobných údajov prijať také bezpečnostné opatrenia, aby bol schopný v primeranej miere predchádzať bezpečnostným incidentom, a to tak fyzickým ako aj technickým, včas ich identifikovať s cieľom minimalizovať riziko narušenia dôvernosti, integrity a dostupnosti spracúvaných osobných údajov a tiež s cieľom minimalizovať prípadné škody, ktoré vznikli alebo môžu vzniknúť v dôsledku bezpečnostného incidentu na právach dotknutých osôb. Fyzickým incidentom rozumieme zlyhanie ľudského faktora, napríklad porušenie nastavených politík ochrany, porušenie „čínskych múrov“, vykonanie operácie, na ktorú osoba nemala oprávnenie, alebo aj len fyzická neopatrnosť zamestnanca, obliatie zariadenie, ktoré na istú dobu znefunkční chod prevádzkovateľových informačných systémov osobných údajov a môže tak ohroziť integritu spracúvaných osobných údajov. Technický incident je zlyhanie nastavených automatizovaných procesov, prípadne fyzické zlyhanie techniky v dôsledku opotrebovanie alebo výpadku elektrickej energie.
Prevádzkovateľ a aj sprostredkovateľ je povinný poučiť každú fyzickú osobu, ktorá, ako oprávnená osoba, vykonáva pre prevádzkovateľa alebo sprostredkovateľa spracovateľské činnosti, ako aj iné fyzické osoby, ktoré vykonávajú spracovateľské činnosti pre prevádzkovateľa alebo sprostredkovateľa na základe poverenia a majú prístup k osobným údajom prevádzkovateľa alebo sprostredkovateľa, aby dodržiavali a vykonávali spracovateľské operácie len na základe pokynov prevádzkovateľa alebo na základe osobitného predpisu, na základe ktorého táto fyzická osoba osobné údaje spracúva. Na základe uvedeného platí, že povinnosť poučiť fyzickú osobu o dodržiavaní pokynov má tak prevádzkovateľ, ako aj sprostredkovateľ voči „svojim“ fyzickým osobám, ale povinnosť určiť pokyny, ktoré majú tieto fyzické osoby dodržiavať, má len prevádzkovateľ.
K § 40
Prevádzkovateľ alebo sprostredkovateľ spracúva osobné údaje dotknutej osoby. Obaja, tak prevádzkovateľ, ako aj sprostredkovateľ, sú v závislosti od toho, aké osobné údaje spracúvajú, povinní prijať ich adekvátnu ochranu a zamedziť alebo eliminovať na najnižšiu možnú mieru riziko ohrozenia spracúvaných osobných údajov, osobitne osobných údajov osobitnej kategórie. Môžu nastať situácie, kedy tak prevádzkovateľ, ako ani sprostredkovateľ napriek všetkej svojej odbornej starostlivosti, nebudú schopní zaistiť úplnú ochranu nimi spracúvaných osobných údajov tak, aby eliminovali všetky riziká a dôjde k porušeniu ochrany osobných údajov. V takom prípade je prevádzkovateľ povinný, hneď ako sa o porušení bezpečnosti ním spracúvaných osobných údajov dozvie, analyzovať dané porušenie bezpečnostných opatrení, možný bezpečnostný incident, posúdiť jeho závažnosť a posúdiť, či je spôsobilý viesť k riziku pre práva dotknutých osôb, teda či ho možno klasifikovať ako taký bezpečnostný incident ohrozujúci spracúvané osobné údaje. Ak prevádzkovateľ zhodnotí, že narušením bezpečnosti došlo zároveň aj ku vzniku bezpečnostného incidentu a ním spracúvané osobné údaje boli narušené, je povinný o tomto porušení ochrany osobných údajov informovať úrad, a to čo najskôr, ako sa o porušení ochrany spracúvaných osobných údajov dozvedel a má ju na základe svojich zistení za preukázanú, najneskôr však maximálne do 72 hodín odkedy sa o porušení dozvedel, t.j. kedy prevádzkovateľ má za preukázané, že k porušeniu ochrany osobných údajov vzniknutým porušením bezpečnostných opatrení došlo. Výnimkou z povinnosti oznámenia porušenia ochrany osobných údajov úradu sú situácie, keď vie prevádzkovateľ, v súlade so zásadou zodpovednosti preukázať, že nie je pravdepodobné, že porušenie ochrany osobných údajov povedie alebo viedlo k riziku pre práva dotknutých osôb. Povinnosť nahlasovať porušenie ochrany osobných údajov cez Jednotný informačný systém kybernetickej bezpečnosti (ďalej len „JISKB“) z tohto zákona prevádzkovateľovi priamo nevyplýva, v prípade ak bude tento JISKB jedným z kanálov nahlasovania porušenia ochrany spracúvaných osobných údajov bude toto upravené v osobitnom zákone o kybernetickej bezpečnosti.
Ak nie je možné, aby prevádzkovateľ oznámenie porušenia ochrany osobných údajov zaslal úradu do 72 hodín odkedy sa o porušení ochrany osobných údajov dozvedel a vyhodnotí ho ako porušenie ochrany osobných údajov s rizikom pre práva fyzických osôb, oznámenie úradu vykoná neskôr, prípadne úradu v danom momente oznámi všetky údaje, ktoré je schopný, ostatné doplní ihneď ako bude môcť. K oznámeniu je povinný pripojiť odôvodnenie svojho omeškania, pričom informácie môže poskytnúť aj v etapách, no bez ďalšieho zbytočného odkladu.
Prevádzkovateľ v rámci vysporiadania sa s narušením ochrany osobných údajov musí súčasne riešiť viacero situácií. Ak prevádzkovateľ v čase, kedy sa o porušení ochrany osobných údajov dozvie, nie je schopný poskytnúť úradu v stanovenej lehote všetky informácie z dôvodu potreby zistenia všetkých relevantných skutočností, môže oznámenie porušenia ochrany osobných údajov vykonať následne, keď získa o všetkých požadovaných skutočnostiach vedomosť, alebo ihneď, ako mu to aspoň čiastková náprava situácie dovolí; týmto ustanovením sa však neznižuje jeho povinnosť informovať úrad ihneď alebo maximálne do 72 hodín, ako sa o porušení ochrany osobných údajov dozvie, respektíve neskôr, aj po uplynutí 72 hodín, no s odôvodnením jeho omeškania.
V prípade, ak spracúva osobné údaje v mene prevádzkovateľa sprostredkovateľ, mechanizmus oznamovania porušenia ochrany osobných údajov úradu prebieha tak, že sprostredkovateľ vyrozumie prevádzkovateľa o porušení ochrany osobných údajov čo najskôr ako sa o porušení dozvedel. Následne prevádzkovateľ porušenie ochrany osobných údajov oznámi úradu, spôsobom podľa zákona.
Oznámenie úradu o tom, že bola porušená ochrana spracúvaných osobných údajov je dôležité a je podstatné stanoviť obsah takéhoto oznámenia úradu, aby informácie v ňom uvedené mali dostatočnú a potrebnú výpovednú hodnotu a úrad z nich vedel určiť, závažnosť rizika pre práva fyzických osôb. Náležitosti oznámenia porušenia ochrany osobných údajov úradu ustanovuje odsek 4 tohto ustanovenia.
Porušenie ochrany osobných údajov je vždy závažnou skutočnosťou, bez ohľadu na riziko a mieru dopadu na práva dotknutých osôb. Každé porušenie ochrany osobných údajov, ktoré prevádzkovateľ identifikuje, je potrebné zdokumentovať, a to aj v prípade, ak vyhodnotí porušenie ochrany osobných údajov, ako také, ktoré nie je potrebné oznamovať úradu. Dôkladné zdokumentovanie bezpečnostných incidentov je nápomocné prevádzkovateľovi, pri správnom nastavení bezpečnostných opatrení, a tiež je dôležité pre posúdenie úradom, ako prevádzkovateľ reaguje na bezpečnostné hrozby a porušenia ochrany osobných údajov. To platí tak pre tie porušenia, o ktorých prevádzkovateľ úrad vyrozumel, ako aj pre tie, ktoré úradu v rámci oznámenia porušenia ochrany osobných údajov nebol povinný oznamovať. Súčasťou dokumentovania porušenia ochrany osobných údajov je aj odôvodnenie, že bezpečnostný incident nie je rizikom pre práva fyzických osôb.
K § 41
Prevádzkovateľ, prípadne sprostredkovateľ nesie zodpovednosť za ochranu spracúvaných osobných údajov. V závislosti od toho, aké osobné údaje prevádzkovateľ spracúva, je povinný zabezpečiť ich adekvátnu ochranu tak, aby zamedzil alebo eliminoval na najnižšiu možnú mieru riziko ohrozenia ním spracúvaných osobných údajov, osobitne osobných údajov osobitnej kategórie. Prevádzkovateľ ani sprostredkovateľ, napriek všetkej svojej odbornej starostlivosti, nie sú za každých okolností schopní zaistiť úplnú ochranu nimi spracúvaných osobných údajov tak, aby eliminovali všetky riziká a dôjde k porušeniu ochrany osobných údajov. V takom prípade je prevádzkovateľ povinný, akonáhle sa o porušení ochrany ním spracúvaných osobných údajov dozvie, toto porušenie analyzovať, posúdiť jeho závažnosť, a to, či je spôsobilé viesť k riziku pre práva dotknutých osôb. V prípade, ak prevádzkovateľ zhodnotí, že porušenie ochrany osobných údajov pravdepodobne povedie k takémuto riziku , je povinný o tomto porušení ochrany osobných údajov informovať dotknutú osobu, aby mohla prijať, ak je to možné a vhodné, potrebné preventívne opatrenia.
Takéto informovanie dotknutých osôb by sa malo vykonať čo najskôr ako je to možné, aby dotknutá osoba mohla zmierniť bezprostredné riziko škody tým, že vykoná také úkony, ktorými môže aspoň sčasti eliminovať negatívne dôsledky porušenia ochrany jej osobných údajov, napríklad zablokovať svoje platobné karty, zmeniť prístupové heslo a podobne.
Význam informovania dotknutej osoby o narušení ochrany jej osobných údajov u prevádzkovateľa je dôležitý, podstatné je stanoviť obsah takéhoto oznámenia dotknutej osobe tak, aby informácie v ňom uvedené mali dostatočnú a zrozumiteľnú výpovednú hodnotu pre dotknutú osobu. Prevádzkovateľ pri koncipovaní oznámenia o porušení ochrany osobných údajov dotknutej osobe má pamätať na to, že informácie jej má poskytnúť jednoducho a jasne tak, aby dotknutej osobe boli zrozumiteľné, s ohľadom na rôznu kategóriu dotknutých osôb. Nie je preto vhodné, aby prevádzkovateľ pri oznamovaní porušenia ochrany osobných údajov dotknutej osobe poskytol informácie takým spôsobom a používal také technické či právne výrazy, ktoré by dotknutej osobe nemuseli byť zrozumiteľné. Prevádzkovateľ by mal jazyk oznámenia dotknutej osobe určiť aj podľa toho, aké dotknuté osoby majú byť predmetom informovania, ak je možné ich kategorizovať, informácie by mal poskytnúť primerane ich odhadovaným odborným znalostiam a rozumovým schopnostiam.
Odsek 3 taxatívne stanovuje výnimky, kedy oznámenie dotknutej osobe nie je vyžadované; na to, aby prevádzkovateľ nemusel plniť oznamovaciu povinnosť voči dotknutej osobe je postačujúce, ak prevádzkovateľ splní minimálne jednu zo stanovených výnimiek.
V prípade, ak prevádzkovateľ oznámil porušenie ochrany osobných údajov úradu, ale ešte tak nevykonal vo vzťahu k dotknutým osobám a hrozí, že porušenie ochrany by mohlo mať vo vzťahu k dotknutým osobám také následky, ktoré by mohli spôsobiť ohrozenie ich práv vo vysokej miere, môže úrad rozhodnúť vo vzťahu k prevádzkovateľovi a nariadiť mu, aby dotknuté osoby informoval o porušení ochrany ich osobných údajov, prípadne môže rozhodnúť, že prevádzkovateľ splnil jednu z podmienok - výnimiek, na základe ktorých podľa odseku 3 tohto ustanovenia nie je povinný o porušení ochrany osobných údajov dotknuté osoby vyrozumieť.
Pravdepodobnosť porušenia ochrany osobných údajov dotknutých osôb úrad posúdi na základe oznámenia prevádzkovateľa o porušení ochrany osobných údajov úradu. Úrad musí zohľadniť všetky v oznámení uvedené skutočnosti a na ich základe prevádzkovateľovi môže nariadiť, aby dotknuté osoby informoval, alebo aby tak nekonal, nakoľko sa v jeho prípade uplatní niektorá z výnimiek podľa odseku 3 tohto ustanovenia.
K § 42
odsek 1
Spracovateľské operácie, ktoré môžu viesť k vysokému riziku pre práva fyzických osôb z dôvodu ich povahy, rozsahu, kontextu a účelu môžu byť najmä tie, ktoré sú realizované prostredníctvom využitia nových technológií alebo tie, ktoré sú nového druhu a v súvislosti s ktorými prevádzkovateľ ešte nevykonal posúdenie vplyvu na ochranu osobných údajov a ich bezpečnosť. V takých prípadoch je prevádzkovateľ povinný pred začiatkom spracúvania osobných údajov vykonať posúdenie vplyvu spracovateľských činností na ich ochranu, aby posúdil pravdepodobnosť a závažnosť vysokého rizika na práva dotknutých osôb, pričom zohľadní povahu, rozsah, kontext a účely spracúvania a zdroje rizika. Uvedené posúdenie vplyvu by malo zahŕňať najmä plánované opatrenia, záruky a mechanizmy na zmiernenie daného vysokého rizika, na zabezpečenie ochrany osobných údajov a na preukázanie súladu s týmto zákonom.
Prevádzkovateľ pri posúdení vplyvu na ochranu osobných údajov pri vybraných v zákone určených spracovateľských operáciách, ktoré pravdepodobne povedú k vysokému riziku
a) posúdi vplyv na ochranu osobných údajov ešte pred samotnou konkrétnou spracovateľskou operáciou, a to napríklad
i. zmapuje cyklus toku osobných údajov, prostredie, v ktorom dochádza k spracúvaniu, časové rozhranie, podmienky spracúvania, posúdi rozsah, množstvo osobných údajov, účel ich spracúvania, vrátane prípadného oprávneného záujmu, ktorý sleduje,
ii. posúdi nutnosť a primeranosť spracovateľských operácii vo vzťahu k účelu,
iii. zhodnotí zdroj, povahu, osobitosť a závažnosť tohto vysokého rizika pre práva dotknutých osôb,
iv. posúdi aké sú bezpečnostné, personálne/organizačné a technické prostriedky alebo opatrenia, záruky a mechanizmy na zabezpečenie ochrany osobných údajov a na preukázanie súladu so zákonom, najmä pri zohľadnení práv a oprávnených záujmov dotknutých osôb a iných osôb, ktorých sa spracovateľská operácia týka,
b) zabezpečí posúdenie vplyvu na ochranu osobných údajov aj počas spracúvania týchto osobných údajov napríklad formou auditu ochrany osobných údajov alebo kontroly zodpovednej osoby alebo penetračnými testami pri spracovateľských operáciách,
c) príjme primerané a účinné bezpečnostné opatrenia na zmiernenie vysokého rizika.
Ak je výsledkom posúdenia vplyvu zhodnotenie, že nie je možné prijať také účinné a primerané opatrenia, ktoré by zmiernili vysoké riziko (s ohľadom na najnovšie technológie a náklady na vykonanie týchto opatrení) vzniká prevádzkovateľovi povinnosť predchádzajúcej konzultácie s úradom.
Posúdenie vplyvu možno v kontexte bezpečnostných opatrení prirovnať k posúdeniu spracovateľských činností, ktoré podľa predchádzajúcej právnej úpravy, podliehali povinnosti zdokumentovať prijaté primerané bezpečnostné opatrenia v bezpečnostnom projekte. Ak teda prevádzkovateľ podľa predchádzajúcej právnej úpravy má prijaté a zdokumentované bezpečnostné opatrenia alebo bezpečnostný projekt, môže tieto v kontexte vykonávaných spracovateľských operácií prehodnotiť v zmysle nových povinností podľa tohto zákona a najmä v kontexte ako ním identifikované riziká môžu mať dopad na spracúvané osobné údaje dotknutej osoby a na prípadnú škodu, ktorá by dotknutej osobe porušením integrity jej osobných údajov vznikla. V prípade, ak takýto bezpečnostný projekt podľa predchádzajúcej právnej úpravy je súladný s týmto zákonom v niektorých častiach, možno tieto použiť na preukázanie vykonaného posúdenia vplyvu podľa tohto zákona primerane.
odsek 2
Pokiaľ má prevádzkovateľ ustanovenú zodpovednú osobu, je povinný vykonať posúdenie vplyvu v súčinnosti s touto zodpovednou osobou a má sa s ňou o zamýšľaných opatreniach a eliminácii bezpečnostných rizík radiť.
odsek 3
Posúdenie vplyvu sa vyžaduje pri spracovateľských operáciách veľkého rozsahu, ktorých cieľom je spracúvať značný objem osobných údajov na regionálnej, vnútroštátnej alebo nadnárodnej úrovni, ktoré by mohli ovplyvniť veľký počet dotknutých osôb a ktoré pravdepodobne povedú k vysokému riziku, napríklad z hľadiska ich citlivosti, ak sa v súlade s dosiahnutým stavom technologických znalostí vo veľkom rozsahu využíva nová technológia, ako aj pri iných spracovateľských operáciách, ktoré predstavujú vysoké riziko pre práva dotknutých osôb, najmä ak je pre dotknuté osoby náročnejšie uplatniť svoje vlastné práva.
Posúdenie vplyvu na ochranu údajov sa má vykonať aj vtedy, keď sa osobné údaje spracúvajú s cieľom prijímať rozhodnutia, ktoré sa týkajú konkrétnych fyzických osôb, a ktoré sa prijímajú po akomkoľvek systematickom a rozsiahlom zhodnotení osobných aspektov súvisiacich s fyzickými osobami na základe profilovania týchto údajov alebo v nadväznosti na spracúvanie osobitných kategórií osobných údajov, biometrických údajov alebo údajov o uznaní viny za trestné činy a priestupky či súvisiacich bezpečnostných opatreniach.
Posúdenie vplyvu na ochranu údajov sa vyžaduje aj v prípade monitorovania verejne prístupných miest vo veľkom rozsahu, najmä ak sa používajú optické elektronické zariadenia, alebo v prípade akýchkoľvek iných operácií, ak je pravdepodobné, že spracúvanie povedie k vysokému riziku pre práva dotknutých osôb, najmä preto, lebo tieto operácie bránia dotknutým osobám uplatniť svoje právo alebo využiť službu alebo zmluvu, alebo preto, že sa systematicky vykonávajú vo veľkom rozsahu.
Na uľahčenie posúdenia, či ide o spracúvanie vo veľkom rozsahu, je potrebné, aby sa pri posudzovaní bral ohľad na dosah spracovateľskej operácie, teda či sa spracovateľská operácia dotkne veľkého počtu dotknutých osôb v pomere napríklad k celkovému počtu obyvateľov, zamestnancov firmy, ako veľký bude objem spracúvaných osobných údajov, ako dlho sa plánuje, že bude spracúvanie vykonávané.
Medzi príklady spracúvania osobných údajov vo veľkom rozsahu možno zaradiť napríklad spracúvanie cestovných údajov jednotlivcov využívajúcich mestskú hromadnú dopravu, spracúvanie geolokalizačných údajov zákazníkov medzinárodných sietí obchodov v reálnom čase na štatistické účely a iné. O spracúvanie osobných údajov vo veľkom rozsahu naopak nejde v prípade spracúvania osobných údajov lekárom o jeho jednotlivých pacientoch alebo v prípade spracúvania osobných údajov týkajúcich sa uznania viny za trestné činy a priestupky jednotlivým právnikom.
odsek 4
Stanovuje minimálny rozsah náležitostí, ktoré má posúdenie vplyvu obsahovať.
odsek 5
Združenia alebo iné orgány zastupujúce kategórie prevádzkovateľov alebo sprostredkovateľov by sa mali podnecovať k tomu, aby vypracovali kódexy správania, aby sa zohľadnili osobitné črty spracúvania v určitých odvetviach. V takýchto kódexoch správania by sa mali nastaviť povinnosti prevádzkovateľov a sprostredkovateľov so zreteľom na riziko, ktoré pravdepodobne vyplýva zo spracúvania osobných údajov, pokiaľ ide o práva fyzických osôb. V prípade, ak má prevádzkovateľ alebo skupina prevádzkovateľov vypracovaný kódex správania, ktorý možno do istej miery považovať za stanovenie istého štandardu spracúvania a nakladania s osobnými údajmi je možné a vhodné, aby úrad v rámci posudzovania dosahu predpokladaných spracovateľských operácií ich dosah porovnával a zohľadňoval aj v kontexte obsahu týchto úradom schválených kódexov správania. Mohla by sa tým eliminovať situácia, kedy bezpečnostné opatrenia prevádzkovateľa nedosahujú ani úroveň, ktorú na spracúvanie osobných údajov kladie úradom schválený kódex správania v danej oblasti.
odsek 6
Pri vypracúvaní bezpečnostných opatrení a posudzovaní vplyvov, ktoré môžu nastať pri konkrétnom type spracovateľskej operácie alebo aj pri viacerých zamýšľaných typoch spracovateľských operácií je vhodné, ak je to možné, aby prevádzkovateľ ním zamýšľané spracúvanie osobných údajov konzultoval s dotknutými osobami na účely posúdenia vplyvu takéhoto spracúvania. V prípade, ak pripomienky, výzvy a názory dotknutých osôb sú relevantné, prevádzkovateľ by mal na ne prihliadať. Prevádzkovateľ má povinnosť pri posúdení a kreovaní spracovateľskej operácie dbať aj na to, aby nedošlo k ohrozeniu verejného záujmu, ktorý by mal slúžiť v prospech väčšiny občanov a prinášať majetkový alebo iný prospech všetkým alebo mnohým občanom.
odsek 7
Prevádzkovateľ by sa mal pravidelne venovať opätovnému prehodnocovaniu spracúvania a porovnávaniu ním prijatých opatrení v závislosti na spracúvaných údajoch, a to najmä v prípadoch ak došlo k vzniku nového rizika prípadne už identifikované riziko sa zvýšilo.
K § 43
odsek 1
V prípade ak z posúdenia vplyvu ochrany osobných údajov vyplýva, že spracúvanie by viedlo k vysokému riziku pre práva dotknutých osôb (typ spracúvania; rozsah a frekvencia spracúvania, stupeň ochrany osobných údajov) v prípade, ak by prevádzkovateľ neprijal záruky, bezpečnostné opatrenia a mechanizmy na jeho zmiernenie, je prevádzkovateľ povinný pred začiatkom spracúvania osobných údajov požiadať úrad o predchádzajúcu konzultáciu. Prevádzkovateľ je povinný vykonať s úradom predchádzajúci konzultáciu, ak už využil všetky jemu dostupné a známe existujúce záruky, bezpečnostné opatrenia a mechanizmy na zmiernenie vysokého zvyškového rizika a súčasne sa prevádzkovateľ domnieva, že ani zvyškové riziko, ktoré vyšlo vysoké, sa nedá zmierniť primeranými prostriedkami, pokiaľ ide o dostupné technológie a náklady na vykonanie opatrení.
odsek 2 a odsek 3
Účelom predchádzajúcej konzultácie je poradenská činnosť úradu prevádzkovateľovi prípadne sprostredkovateľovi k možným a existujúcim primeraným a účinným bezpečnostným opatreniam na zníženie vysokého zvyškového rizika, ktoré prevádzkovateľ nezohľadnil či neprijal, či napriek zohľadneniu nevie efektívne znížiť. Úrad taktiež na základe zaslanej žiadosti o predchádzajúcu konzultáciu posudzuje zákonnosť daného spracúvania a to, či je spracúvanie v súlade s týmto zákonom a osobitnými predpismi.
Úrad pri posudzovaní spracovateľských operácií primárne vychádza z faktov, ktoré mu poskytne prevádzkovateľ v žiadosti o predchádzajúcu konzultáciu, najmä zohľadňuje informácie o príslušných povinnostiach prevádzkovateľa, o spoločných prevádzkovateľoch a sprostredkovateľoch zapojených do spracúvania a to hlavne v prípade spracúvania v rámci skupiny podnikov. Úrad pri posudzovaní spracovateľských operácií tiež posudzuje informácie o účeloch zamýšľaného spracúvania a prostriedkoch na jeho vykonanie; informácie o opatreniach a zárukách poskytnutých na ochranu práv dotknutých osôb podľa tohto zákona; v príslušných prípadoch kontaktné údaje zodpovednej osoby; posúdenie vplyvu na ochranu údajov a akékoľvek ďalšie informácie, o ktoré úrad požiada.
V prípade, že úrad nemá všetky alebo dostatok potrebných informácií na posúdenie, môže si dodatočne tieto od prevádzkovateľa vyžiadať, pričom ten je povinný takejto žiadosti úradu vyhovieť v lehote, akú mu na poskytnutie určí v žiadosti o predloženie dodatočných informácií úrad.
Lehoty na poskytnutie poradenstva zo strany úradu sú určené v tomto zákone. Úrad má na poskytnutie písomného poradenstva od prijatia žiadosti 8 týždňov, ak je potrebné, má možnosť túto lehotu predĺžiť o 6 týždňov, podľa potreby a zložitosti posudzovania danej spracovateľskej operácie. Je v záujme prevádzkovateľa, aby už vo svojej žiadosti poskytol také množstvo informácií o zamýšľanej spracovateľskej operácii, aby úrad nemusel prevádzkovateľa žiadať o doplnenie. Ak však úrad v rámci tejto lehoty nezareaguje, nie je tým dotknutá žiadna jeho právomoc v súlade s jeho úlohami a stanovenými právomocami vrátane práva zakázať spracovateľskú operáciu.
Súčasťou konzultačného procesu môže byť predloženie výsledku posúdenia vplyvu na ochranu údajov úradu, ktoré sa vykonalo v súvislosti s daným spracúvaním.
K § 44
odsek 1
Uvedený odsek stanovuje spracovateľské operácie s osobnými údajmi pri ktorých, ak ich vykonávajú, majú povinnosť určiť zodpovednú osobu, osobu s odbornými znalosťami práva a postupov v oblasti ochrany údajov.
odsek 2 a odsek 3
Prevádzkovatelia alebo sprostredkovatelia patriaci do jednej skupiny podnikov si môžu určiť jednu zodpovednú osobu za predpokladu, že takto spoločne ustanovená zodpovedná osoba bude mať možnosť reálne vykonávať a riadne si plniť svoje úlohy (napríklad v prípade vykonávania obhliadky serverov, kontroly bezpečnostných opatrení) a bude prístupná každému prevádzkovateľovi alebo sprostredkovateľovi (napríklad aj zo skupiny podnikov plniť povinnosti pre každý z nich samostatne) pre ktorých je ustanovená. Určenie jednej zodpovednej osoby je prípustné aj pre orgány verejne moci, za rovnakého predpokladu reálnej možnosti výkonu svojich úloh a dostupnosti pre každého prevádzkovateľa alebo sprostredkovateľa, a ak to organizačná štruktúra umožňuje. Zodpovedná osoba a jej poradenstvo má byť ľahko dostupné, teda „služby“ zodpovednej osoby majú byť dostupné napríklad v tom zmysle, že nie je si potrebné termín na konzultáciu u nej vopred dohodnúť niekoľko týždňov vopred alebo že je, v prípade ak je to potrebné, flexibilná reagovať do niekoľkých hodín, napríklad ak sa u prevádzkovateľa vyskytne bezpečnostný incident.
odsek 4
S ohľadom na odsek 1 tohto ustanovenia, kedy prevádzkovateľ a sprostredkovateľ je povinný určiť zodpovednú osobu, prevádzkovateľ a sprostredkovateľ si môžu dobrovoľne určiť zodpovednú osobu, ak to uznajú za vhodné. Na takto ustanovenú zodpovednú osobu sa vzťahujú práva a povinnosti rovnako ako pri povinne určenej zodpovednej osobe prevádzkovateľom alebo sprostredkovateľom. V prípade ak si chcú združenia a iné subjekty zastupujúce kategórie prevádzkovateľov alebo sprostredkovateľov určiť zodpovednú osobu, je potrebné vnímať, že takýmito kategóriami prevádzkovateľov a sprostredkovateľov možno vnímať banky, neziskové organizácie, zamestnávateľov v istej oblasti, teda subjekty, ktoré majú isté príbuzenské znaky najmä pokiaľ ide o ich činnosť, ktorá je ich hlavnou podnikateľskou činnosťou.
odsek 5 až odsek 7
Zodpovedná osoba sa má určiť na základe jej odbornosti, vedomostí, schopností, aby svoje povinnosti mohla vykonávať riadne a zodpovedne. Nie je potrebné, aby zodpovedná osoba bola kmeňovým zamestnancom prevádzkovateľa, nie je to ani vylúčené. Je vhodné, aby fyzická osoba na účely výkonu zodpovednej osoby vedela preukázať svoje vedomosti v oblasti ochrany osobných údajov, ako napríklad preukázaním sa o dosiahnutom vzdelaní, príslušnou praxou v práci s osobnými údajmi, úspešným absolvovaním workshopov, skúšok, alebo absolvovaním iných vzdelávacích aktivít a kurzov v oblasti ochrany osobných údajov. Potrebná úroveň odborných znalostí zodpovednej osoby by sa mala určiť najmä v závislosti od vykonávaných operácií s osobnými údajmi a od požadovanej ochrany osobných údajov u prevádzkovateľa alebo sprostredkovateľa. Takéto zodpovedné osoby, či už sú alebo nie sú zamestnancami prevádzkovateľa, by mali mať možnosť vykonávať svoje povinnosti a úlohy nezávisle. Môžu ich vykonávať aj na základe zmluvy o poskytovaní služby, ak zodpovedná osoba nie je zamestnancom prevádzkovateľa alebo sprostredkovateľa.
odsek 8
Na účely plnenia činností zodpovednej osoby je potrebné, aby jej kontaktné údaje boli prevádzkovateľom a sprostredkovateľom zverejnené, a to tak aby boli kontaktné údaje zodpovednej osoby dostupné jednak zamestnancom daného prevádzkovateľa ale predovšetkým dotknutým osobám. Nakoľko zodpovedná osoba má poskytovať súčinnosť úradu je potrebné, aby aj úrad bol informovaný o jej určení, najneskôr momentom tohto ustanovenia. S týmto určením, či o zmene v osobe zodpovednej osoby je povinný prevádzkovateľ alebo sprostredkovateľ úrad bez meškania informovať.
Pokiaľ ide o zverejnené kontakty zodpovednej osoby zákon výslovne nevyžaduje, aby prevádzkovateľ zverejnil jej meno alebo priezvisko, je však potrebné aby zabezpečil zverejnenie kontaktu na ňu, ako zodpovednú osobu, na funkciu, to znamená, že uvedená povinnosť bude splnená aj vtedy, ak napríklad na svojom webovom sídle zverejní kontaktné údaje vo forme adresy a napríklad e-mailu na ktorom je zodpovedná osoba zastihnuteľná (napr.: zodpovednaosoba@menofirmy.sk, alebo v adrese uvedie: Kancelária Zodpovednej osoby spoločnosti s. r. o. podľa zákona č. ......, Pekná ulica 33, 963 33 Bratislava). Samozrejme nie je vylúčené, aby sa kontaktné údaje zodpovednej osoby skladali aj s jej reálneho mena a priezviska. Pokiaľ ide o oznamovanie zodpovednej osoby úradu, je potrebné, aby úradu boli oznámené skutočné osobné údaje zodpovednej osoby. Oznámenie o určení zodpovednej osoby bude možné voči úradu vykonať rôznymi spôsobmi, a to napríklad e-mailom, poštou alebo osobne.
K § 45
Ak prevádzkovateľ a sprostredkovateľ majú povinnosť určiť zodpovednú osobu alebo sa dobrovoľne rozhodli ju určiť, je potrebné, aby ju riadne a včas zapojili do všetkých činností, ktoré sú pre ňu potrebné na to, aby si svoju funkciu zodpovednej osoby mohla riadne plniť. Je potrebné, aby od momentu jej určenia mala prístup do všetkých informačných a bezpečnostných systémov prevádzkovateľa alebo sprostredkovateľa.
V rámci neustáleho rozvoja informačno-komunikačných technológií je potrebné, aby sa zodpovedná osoba pravidelne vzdelávala, v čom by ju prevádzkovateľ alebo sprostredkovateľ mal podporovať, aj finančne, keďže zvyšovanie jej vedomostí a zručností prispeje k lepšej ochrane osobných údajov v rámci jeho informačných systémov osobných údajov.
Postavenie zodpovednej osoby je nezávislé a nestranné, a je zodpovedná osoba je povinná zachovávať mlčanlivosť v súvislosti s výkonom úloh zodpovednej osoby. Prevádzkovateľ a sprostredkovateľ môžu zasahovať do plnenia úloh zodpovednej osoby len ak sú princípy nestrannosti a nezávislosti zodpovednej osoby zachované. Ak zodpovedná osoba vykonáva iné činnosti pre prevádzkovateľa alebo sprostredkovateľa okrem úloh zodpovednej osoby, tieto nesmú byť v konflikte s jej činnosťou, ako zodpovednej osoby, či mať nepriaznivý vplyv na plnenie úloh zodpovednej osoby a na jej nezávislé postavenie. Zodpovedná osoba má mať priamu informačnú povinnosť (oznamovaciu linku) na najvyššie vedenie prevádzkovateľa alebo sprostredkovateľa zodpovedného za oblasť ochrany osobných údajov. Ak zodpovedná osoba svojou činnosťou zistí nedostatky alebo porušenia ochrany osobných údajov, či nesúlad so zákonom alebo osobitným predpisom pre oblasť ochrany osobných údajov, je povinná o tejto skutočnosti ihneď informovať prevádzkovateľa alebo sprostredkovateľa a súčasne má mať oprávnenia na zabezpečenie okamžitej nápravy a docielenie súladu s týmto zákonom pre oblasť ochrany osobných údajov. V prípade, ak zodpovedná osoba vykonáva funkciu zodpovednej osoby pre podnikateľa, napríklad v rámci jednoosobovej spoločnosti s ručením obmedzeným, podlieha priamo jemu, konateľovi, taktiež, ak je prevádzkovateľom živnostník, tak podlieha priamo jemu, ako najvyššiemu predstaviteľovi prevádzkovateľa alebo sprostredkovateľa.
K § 46
Stanovuje základné a podstatné úlohy, ktoré má zodpovedná osoba vykonávať a v súvislosti s ktorými je zodpovedná osoba povinná pri výkone týchto úloh zohľadniť riziká spojené so spracovateľskými operáciami (povahu, rozsah, kontext a účel). Úlohy zodpovednej osoby sú stanovené príkladným výpočtom, teda nie je vylúčené, aby zodpovedná osoba vykonávala aj iné činnosti spadajúce pod ochranu osobných údajov, ktorými ju prevádzkovateľ alebo sprostredkovateľ poverí, a ktoré nebudú negatívne zasahovať do výkonu úloh zodpovednej osoby podľa tohto zákona prípadne nepovedú ku konfliktu záujmov.
K § 47
Stanovuje podmienky, za ktorých sa môže vykonať prenos osobných údajov, do tretej krajiny alebo medzinárodnej organizácii, sa môže uskutočniť len vtedy, ak prevádzkovateľ a sprostredkovateľ dodržiavajú podmienky, vrátane podmienok následného prenosu osobných údajov z predmetnej tretej krajiny alebo od predmetnej medzinárodnej organizácie do inej tretej krajiny alebo inej medzinárodnej organizácii. Cieľom je neohroziť úroveň ochrany osobných údajov fyzických osôb a zaručiť dodržiavanie podmienok ustanovených týmto zákonom, osobitnými predpismi alebo medzinárodnými zmluvami, ktorými je Slovenská republika viazaná.
K § 48
Ustanovenie upravuje podmienky, na základe ktorých je možný prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii.
odsek 1
Prvou z podmienok je existencia rozhodnutia Európskej komisie (ďalej len „Komisia“ alebo aj „Európska komisia“) o primeranosti úrovne ochrany osobných údajov, ktoré zverejňuje na svojom webovom sídle a ktoré následne zverejňuje aj úrad vo forme hypertextového odkazu na svojom webovom sídle. Takéto rozhodnutie zaisťuje právnu istotu a jednotnosť v celej Únii, pokiaľ ide o tretiu krajinu alebo medzinárodnú organizáciu, ktorá sa považuje za tretiu krajinu alebo medzinárodnú organizáciu poskytujúcu takúto dostatočnú úroveň ochrany. V takýchto prípadoch sa prenosy osobných údajov do takejto tretej krajiny alebo medzinárodnej organizácii môžu uskutočňovať bez potreby získania ďalšieho povolenia od úradu.
odsek 2
Komisia môže dospieť k záveru, že tretia krajina, územie alebo určený sektor v tretej krajine, alebo medzinárodná organizácia už nezaručujú primeranú úroveň ochrany osobných údajov. V dôsledku toho by sa mal prenos osobných údajov do tejto tretej krajiny alebo medzinárodnej organizácii zakázať. Primerané záruky možno charakterizovať ako formu opatrenia na kompenzáciu za nedostatočnú ochranu údajov v tretej krajine prostredníctvom primeraných záruk pre dotknutú osobu. Tieto záruky by mali zabezpečiť súlad s požiadavkami na ochranu údajov a právami dotknutých osôb primeranými spracúvaniu v rámci Únie, vrátane dostupnosti vymáhateľných práv dotknutých osôb a účinných prostriedkov nápravy, vrátane účinných prostriedkov správnej a súdnej nápravy a možnosti domáhať sa náhrady škody v Únii alebo tretej krajine.
odsek 3
Ustanovuje formy primeraných záruk.
odsek 4
Povolenie úradu na prenos osobných údajov do tretích krajín alebo medzinárodným organizáciám by sa malo získať v prípade, že záruky sú stanovené v administratívnych dojednaniach, ktoré nie sú právne záväzné (napr. zmluvné doložky v zmluve medzi sprostredkovateľom a ďalším sprostredkovateľom alebo ustanovenia v administratívnych dojednaniach medzi orgánmi verejnej moci).
K § 49
Stanovuje podmienky kedy úrad schvaľuje záväzné vnútropodnikové pravidlá a ich minimálne obsahové náležitosti.
K § 50
Niektoré tretie krajiny prijímajú zákony, iné právne predpisy a iné právne akty, ktoré priamo regulujú spracovateľské činnosti fyzických a právnických osôb v rámci jurisdikcie členských štátov, Slovenskú republiku nevynímajúc. To môže zahŕňať rozsudky súdov alebo tribunálov alebo rozhodnutia správnych orgánov tretích krajín, v ktorých sa od prevádzkovateľa alebo sprostredkovateľa vyžaduje prenos alebo poskytnutie osobných údajov a ktoré nie sú založené na platnej medzinárodnej dohode, napríklad zmluve o vzájomnej právnej pomoci, medzi žiadajúcou treťou krajinou a Európskou úniou alebo členským štátom. Extrateritoriálne uplatňovanie týchto zákonov, iných právnych predpisov a iných právnych aktov môže byť v rozpore s medzinárodným právom a môže ohroziť ochranu fyzických osôb zaručenú Európskym právom a Slovenskou republikou v tomto zákone.
Prenosy osobných údajov vyplývajúce z extrateritoriality právnych predpisov tretích krajín budú povolené, len ak sa splnia podmienky uvedené v tomto zákone alebo osobitnom predpise pre prenosy do tretích krajín a ak rozhodnutia na základe ktorých má dôjsť k prenosu osobných údajov sú založené na medzinárodnej dohode, ako napríklad zmluve o vzájomnej právnej pomoci. Môže ísť okrem iného o prípad, keď je poskytnutie potrebné z dôležitého dôvodu verejného záujmu ustanoveného v osobitnom predpise, ktorému prevádzkovateľ podlieha.
K § 51
Výnimky v tomto ustanovení uvedené sa uplatnia predovšetkým na prenosy údajov, ak dotknutá osoba dala výslovný súhlas a boli jej poskytnuté zákonom stanovené informácie, ak je prenos občasný a potrebný v súvislosti so zmluvou alebo právnym nárokom, a to bez ohľadu na to, či ide o súdne konanie alebo správne či iné mimosúdne konanie, alebo ak si to vyžadujú dôležité dôvody verejného záujmu stanovené v osobitnom predpise alebo ak je prenos realizovaný z registra vytvoreného na základe osobitného predpisu a určeného na nahliadanie zo strany verejnosti alebo osôb s oprávneným záujmom. V poslednom uvedenom prípade by tento prenos nemal zahŕňať osobné údaje v ich celistvosti alebo celé kategórie osobných údajov obsiahnutých v registri a ak je register určený na nahliadanie zo strany osôb s oprávneným záujmom, prenos by sa mal vykonať len na požiadanie takýchto osôb alebo vtedy, ak majú byť takéto osoby príjemcami údajov, pričom sa vezmú plne do úvahy záujmy a práva dotknutej osoby. Výnimky v tomto ustanovení uvedené sa uplatnia aj na prenosy údajov, ak ide o závažné dôvody verejného záujmu, napríklad v prípadoch medzinárodnej výmeny údajov medzi orgánmi hospodárskej súťaže, daňovými alebo colnými správami, medzi orgánmi finančného dohľadu, medzi útvarmi zodpovednými za otázky sociálneho zabezpečenia alebo za verejné zdravie, napríklad v prípade sledovania kontaktu, pokiaľ ide o nákazlivé choroby, alebo s cieľom obmedziť a/alebo vylúčiť doping zo športu. Prenos osobných údajov by sa mal tiež považovať za zákonný, ak je potrebný na ochranu záujmu, ktorý je podstatný pre životne dôležité záujmy dotknutej osoby alebo inej osoby, vrátane telesnej integrity alebo života, ak dotknutá osoba nemôže vyjadriť súhlas. Akýkoľvek prenos osobných údajov dotknutej osoby, ktorá nie je fyzicky alebo právne spôsobilá na udelenie súhlasu medzinárodnej humanitárnej organizácii s cieľom plniť úlohy uložené ženevskými dohovormi alebo v súlade s medzinárodným humanitárnym právom uplatniteľným na ozbrojené konflikty, by sa mohol považovať za potrebný zo závažného dôvodu verejného záujmu alebo z dôvodu životného záujmu dotknutej osoby.
Prenosy, ktoré možno označiť za neopakujúce sa a ktoré sa týkajú len obmedzeného počtu dotknutých osôb, by tiež mohli byť možné na účely závažných oprávnených záujmov prevádzkovateľa, keď nad týmito záujmami neprevažujú záujmy alebo práva dotknutej osoby a keď prevádzkovateľ posúdil všetky okolnosti prenosu údajov.
Prevádzkovateľ by mal osobitne prihliadať na povahu osobných údajov, účel a trvanie navrhovanej spracovateľskej operácie či operácií, ako aj na situáciu v krajine pôvodu, v tretej krajine a krajine konečného určenia a mal by poskytnúť náležité záruky na ochranu práv fyzických osôb, pokiaľ ide o spracúvanie ich osobných údajov. Takéto prenosy by mali byť možné len v prípadoch, v ktorých nie sú dané iné dôvody na prenos. Na účely vedeckého alebo historického výskumu alebo na štatistické účely by sa mali zohľadniť oprávnené očakávania spoločnosti týkajúce sa prehĺbenia znalostí. Prevádzkovateľ by mal informovať o prenose ako aj o závažných oprávnených záujmoch, ktoré prevádzkovateľ sleduje tak úrad ako aj dotknutú osobu.
K § 52
V tretej časti zákona sa transponuje smernica 2016/680, teda sa v nej ustanovujú pravidlá ochrany fyzických osôb pri spracúvaní osobných údajov príslušnými orgánmi na účely predchádzania a odhaľovania trestnej činnosti, zisťovania páchateľov trestných činov, vyšetrovania trestných činov, stíhania trestných činov alebo na účely výkonu rozhodnutí v trestnom konaní vrátane ochrany pred ohrozením verejného poriadku a predchádzania takémuto ohrozeniu (ďalej len „plnenie úloh na účely trestného konania“). Príslušnými orgánmi sú v zmysle požiadaviek smernice Policajný zbor, Vojenská polícia, Zbor väzenskej a justičnej stráže, finančná správa, prokuratúra a súdy. Na postup príslušných orgánov pri spracúvaní osobných údajov na plnenie úloh na účely trestného konania sa vzťahujú § 6, § 8, § 11, § 12, § 13 ods. 2 tohto zákona rovnako.
K § 53
Osobné údaje by mali byť primerané a relevantné vzhľadom na účely, na ktoré sa spracúvajú. Osobné údaje by sa mali spracúvať len vtedy, ak účel spracúvania nebolo možné za primeraných podmienok dosiahnuť inými prostriedkami.
K § 54
Osobné údaje musia byť uchovávané vo forme, ktorá umožňuje identifikáciu dotknutých osôb najviac dovtedy, kým je to potrebné na dosiahnutie účelu spracúvania.
K § 55
Na to, aby bolo spracúvanie osobných údajov zákonné, by malo byť nevyhnutné na plnenie úloh na účely trestného konania príslušným orgánom na základe práva Únie alebo nášho vnútroštátneho práva. Plnenie úloh na účely trestného konania inštitucionálne zverené príslušným orgánom im umožňuje vyžadovať od fyzických osôb alebo im prikazovať, aby vyhoveli ich žiadostiam. V takomto prípade by právnym dôvodom na spracúvanie osobných údajov príslušnými orgánmi nemal byť súhlas dotknutej osoby v zmysle nariadenia (EÚ) 2016/679. Ak sa od dotknutej osoby požaduje splnenie zákonnej povinnosti, dotknutá osoba nemá skutočnú a slobodnú voľbu, takže reakcia dotknutej osoby by sa nemohla považovať za slobodné vyjadrenie jej vôle. To však nebráni ustanoviť prostredníctvom osobitného predpisu, že dotknutá osoba môže súhlasiť so spracúvaním svojich osobných údajov na plnenie úloh na účely trestného konania, ako sú napríklad testy DNA pri vyšetrovaní trestného činu alebo monitorovanie jej polohy pomocou technických prostriedkov pri výkone trestných sankcií.
Ak osobné údaje pôvodne získal príslušný orgán pri plnení úloh na účely trestného konania, nariadenie (EÚ) 2016/679, resp. druhá časť zákona by sa mali uplatňovať na spracúvanie týchto údajov na iné účely, než na tieto účely, ak je takéto spracúvanie prípustné podľa práva Únie alebo nášho vnútroštátneho práva. Pravidlá nariadenia (EÚ) 2016/679, resp. druhej časti zákona by sa mali uplatňovať najmä na prenos osobných údajov na účely, ktoré nepatria do rozsahu pôsobnosti tejto (tretej) časti zákona. Na spracúvanie osobných údajov príjemcom, ktorý nie je príslušným orgánom alebo ktorý nekoná ako príslušný orgán a ktorému osobné údaje zákonne poskytol príslušný orgán, by sa malo vzťahovať nariadenie (EÚ) 2016/679, resp. druhá časť zákona.
Ak príslušný orgán spracúva osobné údaje na iné účely ako na plnenie úloh na účely trestného konania, uplatňuje sa nariadenie (EÚ) 2016/679, resp. druhá časť zákona. Nariadenie (EÚ) 2016/679, resp. druhá časť zákona sa preto uplatňujú v prípadoch, keď príslušný orgán získava osobné údaje na iné účely a ďalej spracúva tieto osobné údaje s cieľom splniť zákonnú povinnosť, ktorá sa naň vzťahuje. Činnosti, ktoré vykonáva polícia alebo iné orgány, sa sústreďujú predovšetkým na predchádzanie trestným činom, ich vyšetrovanie, odhaľovanie alebo stíhanie, vrátane policajných činností, pri ktorých nie je vopred známe, či je skutok trestným činom. Medzi takéto činnosti môže patriť aj výkon právomoci prostredníctvom prijatia donucovacích opatrení, ako napríklad činnosť polície pri demonštráciách, významných športových podujatiach a nepokojoch. Zahŕňajú tiež udržiavanie verejného poriadku ako úlohy uloženej polícii alebo iným orgánom, ak je to potrebné na ochranu pred ohrozením verejnej bezpečnosti a základných záujmov spoločnosti chránených zákonom, ktoré môže viesť k spáchaniu trestného činu, a na predchádzanie takémuto ohrozeniu. Príslušné orgány môžu byť poverené ďalšími úlohami, ktoré nie sú nevyhnutne úlohami na účely trestného konania, v dôsledku čoho spracúvanie osobných údajov na tieto iné účely, patrí do rozsahu pôsobnosti nariadenia (EÚ) 2016/679, resp. druhej časti zákona.
K § 56
Osobné údaje, ktoré sú svojou povahou obzvlášť citlivé v súvislosti so základnými právami si zasluhujú osobitnú ochranu, keďže z kontextu ich spracúvania by mohli pre práva a slobody vyplývať významné riziká. Uvedené osobné údaje zahŕňajú osobné údaje, ktoré odhaľujú rasový alebo etnický pôvod. Takéto osobné údaje by sa nemali spracúvať, pokiaľ spracúvanie nepodlieha primeraným zárukám pre práva dotknutých osôb, ktoré sú ustanovené právnymi predpismi, pričom je prípustné v prípadoch povolených právnymi predpismi; ak spracúvanie ešte nie je povolené právnym predpisom, je nevyhnutné na ochranu životne dôležitých záujmov dotknutej alebo inej osoby; alebo ak sa spracúvanie týka údajov, ktoré preukázateľne zverejnila dotknutá osoba. Primerané záruky práv dotknutej osoby by mohli zahŕňať možnosť získať uvedené údaje iba v súvislosti s inými údajmi o dotknutej fyzickej osobe, možnosť primerane zabezpečiť získané údaje, prísnejšie pravidlá prístupu personálu príslušného orgánu k údajom a zákaz prenosu týchto údajov. Spracúvanie takýchto údajov by malo byť povolené právnymi predpismi, ak dotknutá osoba výslovne súhlasila so spracúvaním, ktoré je pre ňu obzvlášť citlivé. Súhlas dotknutej osoby by však sám osebe nemal poskytovať právny dôvod pre spracúvanie takýchto citlivých osobných údajov príslušnými orgánmi.
K § 57
K spracúvaniu osobných údajov v oblasti justičnej spolupráce v trestných veciach a v oblasti policajnej spolupráce nevyhnutne patrí spracúvanie osobných údajov, ktoré sa týkajú rôznych kategórií dotknutých osôb. Preto by sa tam, kde je to uplatniteľné, malo v čo najväčšom možnom rozsahu jasne rozlišovať medzi osobnými údajmi rôznych kategórií dotknutých osôb, ako sú podozrivé osoby, osoby odsúdené za spáchanie trestného činu, obete a iné osoby, ako sú svedkovia, osoby disponujúce relevantnými informáciami alebo kontaktné osoby a spoločníci podozrivých osôb a odsúdených páchateľov trestných činov.
K § 58
Príslušné orgány by mali zabezpečiť, aby sa osobné údaje, ktoré sú nesprávne, neúplné alebo už nie sú aktuálne, neprenášali ani nesprístupňovali. S cieľom zabezpečiť ochranu fyzických osôb, správnosť, úplnosť alebo mieru aktuálnosti a spoľahlivosť prenášaných alebo sprístupňovaných osobných údajov by mali príslušné orgány pri každom prenose osobných údajov podľa možnosti doplniť potrebné informácie.
K § 59
Na príslušné orgány vzťahuje iba § 28 z druhej časti tohto zákona..
K § 60
Dotknutej osobe by sa mali zo strany príslušných orgánov poskytnúť aspoň tieto informácie: označenie príslušného orgánu, kontaktné údaje zodpovednej osoby, účely spracúvania, právo podať sťažnosť a právo žiadať prístup k osobným údajom a ich opravu alebo vymazanie či obmedzenie spracúvania. Tieto informácie by sa mohli poskytnúť prostredníctvom webového sídla príslušného orgánu. S cieľom zaručiť spravodlivé spracúvanie vo vzťahu k dotknutej osobe a na to, aby mohla uplatňovať svoje práva, by mala byť okrem toho dotknutá osoba v osobitných prípadoch informovaná o právnom základe pre spracúvanie, o tom, ako dlho sa budú údaje uchovávať, účely spracúvania, kategórie príjemcov a prípadne ďalšie informácie.
K § 61
Fyzická osoba by mala mať právo na prístup k údajom, ktoré boli o nej získané, a toto právo aj jednoducho uplatňovať, aby si bola vedomá zákonnosti spracúvania a mohla si ju overiť. Každá dotknutá osoba by preto mala mať právo vedieť a byť informovaná najmä o účeloch spracúvania údajov, kategóriách dotknutých osobných údajov a o dobe, počas ktorej sa budú údaje spracúvať, ako aj o príjemcoch osobných údajov atď. Na dodržanie tohto práva je dostatočné, aby mala dotknutá osoba k dispozícii úplné zhrnutie uvedených údajov v zrozumiteľnej forme, to znamená vo forme, ktorá umožňuje, aby bola dotknutá osoba informovaná o uvedených údajoch, aby si mohla uplatniť práva, ktoré jej tento zákon priznáva.
K § 62
Fyzická osoba by tiež mala mať právo na opravu nesprávnych osobných údajov, ktoré sa jej týkajú, ako aj právo na ich vymazanie, ak je spracúvanie takýchto údajov v rozpore so zákonom. Právom na opravu by však nemal byť napríklad dotknutý obsah svedeckej výpovede. Fyzická osoba by mala mať právo na obmedzenie spracúvania, ak napadne správnosť osobných údajov a nemožno určiť ich správnosť či nesprávnosť, alebo keď je potrebné osobné údaje uchovať na účely dokazovania. Namiesto vymazania osobných údajov by sa spracúvanie malo obmedziť najmä vtedy, keď sa v osobitnom prípade možno odôvodnene domnievať, že vymazanie by mohlo ovplyvniť oprávnené záujmy dotknutej osoby. V takomto prípade by sa obmedzené údaje mali spracúvať len na účely, ktoré zabránili ich vymazaniu. Metódy na obmedzenie spracúvania osobných údajov by okrem iného mohli zahŕňať presunutie vybraných údajov do iného systému spracúvania, napríklad na účely archivácie, alebo zamedzenie prístupu k nim. V automatizovaných informačných systémoch by sa obmedzenie spracúvania malo v zásade zabezpečiť technickými prostriedkami. Skutočnosť, že spracúvanie osobných údajov je obmedzené, by sa v systéme mala vyznačiť tak, aby bolo jednoznačné, že spracúvanie osobných údajov je obmedzené. Takáto oprava alebo vymazanie osobných údajov alebo obmedzenie spracúvania by sa mali oznámiť príjemcom, ktorým sa údaje poskytli, a príslušným orgánom, od ktorých nesprávne údaje pochádzajú. Príslušné orgány by takisto mali upustiť od ďalšieho šírenia takýchto údajov.
K § 63
Podľa tohto ustanovenia sa poskytovanie informácií dotknutým osobám odloží, obmedzí alebo sa od neho upustí, alebo sa úplne či čiastočne obmedzí prístup k ich osobným údajom, a to v takom rozsahu a na tak dlho, ako je toto opatrenie s náležitým zreteľom na práva a oprávnené záujmy dotknutej fyzickej osoby v demokratickej spoločnosti nevyhnutné a primerané, aby sa zabránilo mareniu úradného alebo súdneho zisťovania, vyšetrovania alebo konania, aby sa zabránilo ohrozeniu plnenia úloh na účely trestného konania, aby sa ochránila verejná bezpečnosť alebo národná bezpečnosť, alebo aby sa ochránili práva a slobody iných. Príslušný orgán by mal prostredníctvom konkrétneho a individuálneho preskúmania každého prípadu posúdiť, či by sa právo na prístup malo čiastočne alebo úplne obmedziť.
Akékoľvek zamietnutie alebo obmedzenie prístupu by malo byť dotknutej osobe v zásade oznámené písomne a malo by zahŕňať skutkové alebo právne dôvody, na ktorých je toto rozhodnutie založené.
K § 64
Oprava alebo vymazanie osobných údajov alebo obmedzenie spracúvania by sa mali oznámiť príslušným orgánom, od ktorých nesprávne údaje pochádzajú. Príjemcovia týchto údajov by takisto mali nimi spracúvané osobné údaje opraviť, vymazať alebo obmedziť ich spracúvanie.
K § 65
Keďže smernica 2016/680 nebráni členským štátom v tom, aby implementovali výkon práv dotknutých osôb na informácie, prístup a opravu alebo vymazanie osobných údajov a obmedzenie spracúvania počas trestného konania, ako aj prípadné obmedzenia týchto práv do vnútroštátnych predpisov upravujúcich trestné právo procesné, platí, že ak sa osobné údaje spracúvajú počas vyšetrovania trestného činu a súdneho konania v trestných veciach, uplatňovanie práva na informácie, prístup a opravu alebo vymazanie osobných údajov a obmedzenie spracúvania sa vykonáva v súlade s Trestným poriadkom, resp. zákonom o súdoch.
K § 66
Dotknutá osoba by mala mať právo na to, aby sa na ňu nevzťahovalo rozhodnutie hodnotiace osobné aspekty s ňou súvisiace, ktoré je založené výlučne na automatizovanom spracúvaní a ktoré má pre túto osobu nepriaznivé právne účinky alebo významné dôsledky. V každom prípade by takéto spracúvanie malo podliehať primeraným zárukám vrátane poskytnutia určitých informácií dotknutej osobe a právu na iný ako automatizovaný zásah, ľudský zásah (kontrolu spracúvania, ktoré bolo primárne nastavené, aby bolo konané automatizovane formou algoritmu vykoná na základe žiadosti dotknutej osoby zamestnanec prevádzkovateľa, pôjde o fyzickú kontrolu automatizovaného spracúvania a prípadné odstránenie chýb ak vznikli napríklad nesprávnym nastavením algoritmu alebo jeho neoprávnenou zmenou alebo znefunkčnením), najmä vyjadriť svoj názor, dostať vysvetlenie k rozhodnutiu dosiahnutému po takomto posúdení alebo napadnúť toto rozhodnutie.
Profilovanie, ktoré vedie k diskriminácii fyzických osôb na základe osobných údajov, ktoré sú svojou povahou obzvlášť citlivé v súvislosti so základnými právami a slobodami, sa zakazuje.
K § 67
Vymedzuje ktoré ustanovenia sa vzťahujú na spracúvanie osobných údajov na príslušné orgány z druhej časti tohto zákona.
K § 68
Ustanovuje sa lehota na vymazanie osobných údajov a na pravidelné preskúmanie potreby uchovávania osobných údajov. Osobitný predpis môže túto lehotu vo vzťahu ku konkrétnemu príslušnému orgánu skrátiť aj na častejšie ako raz za tri roky.
Záznamy o spracovateľských činnostiach, ktoré vedú príslušné orgány, musia obsahovať aj informácie o použití profilovania a uvedenie právneho základu pre spracovateľské operácie.
K § 69
Logy by sa mali viesť pre operácie v systémoch automatizovaného spracúvania ako je získavanie, zmena, prehliadanie, poskytovanie vrátane prenosov, kombinovanie alebo vymazanie. Mali by sa zaznamenávať dôvody spracovateľských operácií, dátum a čas operácie a pokiaľ možno aj identifikačné údaje osoby, ktorá osobné údaje prehliadala alebo ich poskytla a totožnosť príjemcov. Logy by sa mali využívať výlučne na overovanie zákonnosti spracúvania, vlastné monitorovanie, zabezpečenie integrity a bezpečnosti údajov a na účely trestného konania. Vlastné monitorovanie by malo zahŕňať aj interné disciplinárne konanie príslušných orgánov.
K § 70
V určitých prípadoch by príslušný orgán alebo sprostredkovateľ mali uskutočniť s dozorným orgánom konzultácie pred spracúvaním s cieľom zabezpečiť účinnú ochranu práv dotknutých osôb.
K § 71
S cieľom zachovať bezpečnosť a predchádzať spracúvaniu, ktoré je v rozpore s týmto zákonom, by príslušný orgán alebo sprostredkovateľ mali posúdiť riziká súvisiace so spracúvaním a mali by prijať opatrenia na zmiernenie týchto rizík, ako napríklad šifrovanie. Takýmito opatreniami by sa mala zabezpečiť primeraná úroveň bezpečnosti vrátane dôvernosti a mali by sa zohľadniť najnovšie poznatky, náklady na vykonanie opatrení v súvislosti s rizikami a povahou osobných údajov, ktoré sa majú chrániť. Pri posudzovaní rizík v oblasti bezpečnosti údajov by sa mali zohľadniť riziká spojené so spracúvaním údajov, ako sú napríklad náhodná alebo nezákonná likvidácia, strata, zmena alebo neoprávnené poskytovanie prenášaných, uchovávaných alebo inak spracúvaných osobných údajov alebo neoprávnený prístup k nim, ktoré by mohli viesť k ujme na zdraví, majetkovej alebo nemajetkovej ujme. Príslušný orgán a sprostredkovateľ by mali zabezpečiť, aby spracúvanie osobných údajov nevykonávali neoprávnené osoby.
K § 72
Ak sa porušenie ochrany osobných údajov nerieši primeraným spôsobom a včas, môže fyzickým osobám spôsobiť ujmu na zdraví, majetkovú alebo nemajetkovú ujmu, ako je napríklad strata kontroly nad svojimi osobnými údajmi alebo obmedzenie práv týchto osôb, diskriminácia, krádež totožnosti alebo podvod, finančná strata, neoprávnená reverzná pseudonymizácia, poškodenie dobrého mena, strata dôvernosti osobných údajov chránených profesijným tajomstvom alebo akékoľvek iné závažné hospodárske či sociálne znevýhodnenie dotknutej fyzickej osoby. Príslušný orgán by mal preto ihneď, ako sa dozvie, že došlo k porušeniu ochrany osobných údajov, najneskôr do 72 hodín od okamihu, ako sa dozvedel, že došlo k porušeniu ochrany osobných údajov, toto porušenie oznámiť dozornému orgánu s výnimkou prípadov, keď vie príslušný orgán v súlade so zásadou zodpovednosti preukázať, že nie je pravdepodobné, že porušenie ochrany osobných údajov povedie k riziku pre práva fyzických osôb. Ak nie je možné oznámenie podať do 72 hodín, malo by k oznámeniu pripojiť odôvodnenie omeškania, pričom informácie možno poskytnúť vo viacerých fázach bez ďalšieho zbytočného odkladu.
Ak porušenie ochrany osobných údajov pravdepodobne povedie k vysokému riziku pre práva fyzických osôb, mala by sa táto skutočnosť oznámiť fyzickým osobám, aby sa im umožnilo prijať potrebné preventívne opatrenia. V oznámení by sa mala uviesť povaha porušenia ochrany osobných údajov, ako aj odporúčania pre dotknutú fyzickú osobu o tom, ako zmierniť potenciálne nepriaznivé dôsledky. Dotknuté osoby by mali byť informované čo možno najskôr, v úzkej spolupráci s dozorným orgánom a v súlade s usmerneniami tohto alebo iného príslušného orgánu. Napríklad potreba zmierniť bezprostredné riziko škody by si vyžadovala promptné informovanie dotknutých osôb, zatiaľ čo potreba vykonať primerané opatrenia na zabránenie trvaniu alebo výskytu podobných porušení ochrany údajov môže vyžadovať viac času na informovanie. Ak nemožno zabrániť mareniu úradného alebo súdneho zisťovania, vyšetrovania alebo konania, zabrániť ohrozeniu plnenia úloh na účely trestného konania, či dosiahnuť ochranu verejnej bezpečnosti alebo národnej bezpečnosti alebo ochranu práv iných osôb prostredníctvom odkladu alebo obmedzenia informovania dotknutej osoby o porušení ochrany osobných údajov, možno vo výnimočných prípadoch od takéhoto oznámenia upustiť.
K § 73
Určuje, ktoré ustanovenia tohto zákona druhej časti sa vzťahujú na spracúvanie osobných údajov príslušnými orgánmi pri prenose osobných údajov do tretích krajín a medzinárodným organizáciám. Ustanovenie deklaruje že prenos osobných údajov medzi príslušnými orgánmi v rámci Európskej únie sa zaručuje ak sa takýto prenos vyžaduje podľa osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná.
K § 74
Prenos do tretej krajiny alebo medzinárodnej organizácii sa môže uskutočniť len vtedy, ak je to potrebné na plnenie úloh na účely trestného konania, pričom prevádzkovateľ v tretej krajine alebo medzinárodná organizácia je príslušným orgánom v zmysle tohto zákona. Prenos by mali uskutočniť len príslušné orgány konajúce ako prevádzkovatelia s výnimkou prípadov, keď sa sprostredkovateľom výslovne udelil pokyn uskutočniť prenos v mene príslušných orgánov. Takýto prenos sa môže uskutočniť v prípade, že Komisia rozhodla, že daná tretia krajina alebo medzinárodná organizácia zaručuje primeranú úroveň ochrany, ak sa poskytli primerané záruky, alebo ak platia výnimky pre osobitné situácie. Úroveň ochrany fyzických osôb by nemala byť ohrozená, keď sa osobné údaje prenášajú z Únie prevádzkovateľom, sprostredkovateľom alebo iným príjemcom v tretích krajinách alebo medzinárodným organizáciám, a to ani v prípadoch následného prenosu osobných údajov z tretej krajiny alebo medzinárodnej organizácie prevádzkovateľom či sprostredkovateľom v rovnakej alebo inej tretej krajine alebo medzinárodnej organizácii.
V prípade prenosu osobných údajov do tretích krajín alebo medzinárodným organizáciám by sa takýto prenos mal uskutočniť iba po tom, čo ho povolil členský štát, od ktorého sa údaje získali. Záujmy efektívnej spolupráce v oblasti presadzovania práva si vyžadujú, aby v prípade, keď je ohrozenie verejnej bezpečnosti členského štátu alebo tretej krajiny alebo záujmov členského štátu také bezprostredné, že nie je možné včas získať predchádzajúce povolenie, príslušný orgán by mal mať možnosť uskutočniť prenos daných osobných údajov do dotknutej tretej krajiny alebo medzinárodnej organizácii bez takéhoto predchádzajúceho povolenia. Akékoľvek osobitné podmienky týkajúce sa prenosu by sa mali oznámiť tretím krajinám alebo medzinárodným organizáciám. Následné prenosy osobných údajov by mali podliehať predchádzajúcemu povoleniu príslušného orgánu, ktorý uskutočnil pôvodný prenos. Pri rozhodovaní o žiadosti o povolenie následného prenosu by mal príslušný orgán, ktorý uskutočnil pôvodný prenos, náležite zohľadniť všetky relevantné okolnosti vrátane závažnosti trestného činu, osobitných podmienok a účelu pôvodného prenosu údajov, povahy a podmienok výkonu trestných sankcií a úrovne ochrany osobných údajov v tretej krajine alebo medzinárodnej organizácii, do ktorej sa uskutočňuje následný prenos osobných údajov. Príslušný orgán, ktorý uskutočnil pôvodný prenos, by mal mať aj možnosť stanoviť osobitné podmienky pre následný prenos, ktoré možno popísať napríklad v manipulačných pravidlách.
Predmetné ustanovenia návrhu zákona súvisia, respektíve dopĺňajú príslušné ustanovenia druhej časti tohto zákona; nakoľko podstatou nie je úprava, či stanovenie podmienok prenosu, ale ustanovenie oznamovacej povinnosti príslušného orgánu pri porušení ochrany osobných údajov.
K § 75
Prenosy, ktoré nie sú založené na rozhodnutí o primeranosti, by sa mali umožniť len vtedy, ak sa poskytli primerané záruky v právne záväznom akte, ktorý zaručuje ochranu osobných údajov, alebo ak príslušný orgán posúdil všetky okolnosti sprevádzajúce prenos údajov a na základe tohto posúdenia dospel k záveru, že existujú primerané záruky ochrany osobných údajov. Právne záväznými aktmi môžu byť napríklad právne záväzné dvojstranné dohody, ktorých výkonu by sa mohli domáhať dotknuté osoby, zabezpečujúce súlad s požiadavkami na ochranu údajov a práva dotknutých osôb vrátane práva na účinný správny alebo súdny prostriedok nápravy. Príslušný orgán môže zohľadniť aj skutočnosť, že prenos osobných údajov bude podliehať povinnostiam zachovávania dôvernosti a zásade špecifickosti, čím sa zabezpečí, že údaje sa nebudú spracúvať na iné účely, než sú účely prenosu. Okrem toho by mal príslušný orgán zohľadniť, že osobné údaje sa nepoužijú na požadovanie, uloženie alebo vykonanie trestu smrti alebo akejkoľvek inej formy krutého alebo neľudského zaobchádzania. Hoci by sa uvedené podmienky mohli považovať za primerané záruky umožňujúce prenos údajov, príslušný orgán by mal mať možnosť vyžadovať dodatočné záruky.
K § 76
V prípadoch, keď neexistuje žiadne rozhodnutie o primeranosti ani primerané záruky, malo by byť možné uskutočniť prenos alebo kategóriu prenosov len v osobitných situáciách, ak je to nevyhnutné na ochranu životne dôležitých záujmov dotknutej osoby či inej osoby alebo na zabezpečenie oprávnených záujmov dotknutej osoby za podmienok v tomto ustanovení; na predchádzanie bezprostrednému a vážnemu ohrozeniu verejnej bezpečnosti členského štátu alebo tretej krajiny; v jednotlivom prípade na plnenie úloh na účely trestného konania; alebo v jednotlivom prípade na preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov. Uvedené výnimky by sa mali vykladať reštriktívne a nemali by umožňovať časté, hromadné a štruktúrované prenosy osobných údajov alebo rozsiahle prenosy údajov, ale mali by byť obmedzené na nevyhnutne potrebné údaje. Takéto prenosy musia byť zdokumentované a musia sa na požiadanie sprístupniť dozornému orgánu na účely monitorovania zákonnosti prenosu.
K § 77
Príslušné orgány uplatňujú platné dvojstranné alebo mnohostranné medzinárodné dohody uzavreté s tretími krajinami v oblasti justičnej spolupráce v trestných veciach a policajnej spolupráce na výmenu relevantných informácií, ktoré im umožňujú výkon ich úloh uložených zákonom. V zásade sa to uskutočňuje na základe spolupráce orgánov dotknutých tretích krajín príslušných na plnenie úloh na účely trestného konania alebo aspoň v spolupráci s nimi, niekedy dokonca aj vtedy, ak dvojstranná či mnohostranná medzinárodná dohoda neexistuje. V osobitných jednotlivých prípadoch však riadne postupy požadujúce nadviazanie kontaktu s takýmto orgánom v tretej krajine môžu byť neefektívne alebo nevhodné, najmä preto, že by sa presun nemohol uskutočniť včas, alebo preto, že tento orgán v tretej krajine nedodržiava zásady právneho štátu alebo medzinárodné normy a štandardy v oblasti ľudských práv, a preto by sa príslušné orgány mohli rozhodnúť, že uskutočnia prenos osobných údajov priamo príjemcom usadeným v týchto tretích krajinách. Možno tak postupovať vtedy, keď je naliehavo potrebné vykonať prenos osobných údajov na záchranu života osoby, ktorej hrozí, že sa stane obeťou trestného činu, alebo v záujme zabránenia bezprostrednému spáchaniu trestného činu vrátane terorizmu. Aj keby k takémuto presunu medzi príslušnými orgánmi a príjemcami usadenými v tretích krajinách malo dochádzať len v určitých jednotlivých prípadoch, v tomto zákone sa ustanovujú podmienky s cieľom úpravy takýchto prípadov. Uvedené ustanovenia by sa nemali považovať za výnimky zo žiadnych existujúcich dvojstranných alebo mnohostranných medzinárodných dohôd v oblasti justičnej spolupráce v trestných veciach a policajnej spolupráce.
K § 78
Týmto ustanovením došlo k prijatiu vnútroštátnej úpravy pre v nariadení určené oblasti ochrany osobných údajov. Nariadenie vo svojich splnomocňujúcich ustanoveniach umožnilo členským štátom Únie prijať vo vnútroštátnom práve legislatívne opatrenia pre oblasť ochrany osobných údajov, ktorými môžu určiť výnimky a odchýlky potrebné v týchto určených oblastiach ochrany osobných údajov, najmä na dosiahnutie rovnováhy medzi právami dotknutých osôb a spracovateľskej činnosti prevádzkovateľov. V prípade, že sa takéto výnimky alebo odchýlky členských štátov navzájom líšia, rozhodným právom je právo členského štátu, ktorému podlieha prevádzkovateľ.
odsek 1 až odsek 3
Ustanovuje podmienky spracúvania osobných údajov fyzickej dotknutej osoby kedy na spracúvanie osobných údajov dotknutej osoby za dodržania osobitne stanovených podmienok nie je potrebný súhlas dotknutej osoby.
Ide o spracúvanie osobných údajov dotknutej osoby bez jej súhlasu na účely akademické, umelecké alebo literárne, alebo ak spracúvanie osobných údajov je nevyhnutné pre potreby informovania verejnosti masovokomunikačnými prostriedkami a ak osobné údaje spracúva prevádzkovateľ, ktorému to vyplýva z predmetu činnosti, prípadne ide o situáciu kedy je prevádzkovateľ zamestnávateľom dotknutej osoby a na účely a v súvislosti s plnením pracovných, služobných alebo funkčných povinností dotknutej osoby je oprávnený poskytovať alebo zverejniť jej osobné údaje v rozsahu titul, meno, priezvisko, pracovné, služobné zaradenia, funkčné zaradenie, osobné alebo zamestnanecké číslo zamestnanca, odborný útvar, miesto výkonu práce, telefónne číslo, faxové číslo, adresu elektronickej pošty na pracovisko a identifikačné údaje zamestnávateľa. Vo všetkých vyššie uvedených prípadoch je povinný rešpektovať právo dotknutej osoby na ochranu jej osobnosti a zvážiť, či je dané spracovateľská operácie skutočne nevyhnutná.
odsek 4
Pri spracúvaní osobných údajov možno využiť na účely identifikovania fyzickej osoby všeobecne použiteľný identifikátor - rodné číslo, ustanovený osobitným predpisom len vtedy, ak jeho použitie je nevyhnutné na dosiahnutie daného účelu spracúvania. Ak sa spracúva rodné číslo na právnom základe súhlasu dotknutej osoby, takýto súhlas musí byť výslovný a súčasne nesmie byť takéto spracúvanie rodného čísla zakázané osobitným predpisom. Zverejňovať všeobecne použiteľný identifikátor sa zakazuje.
odsek 5
Dáva prevádzkovateľ možnosť spracúvať genetické údaje, biometrické údaje a údaje týkajúce sa zdravia aj na právnom základe osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná. Ide o oprávnenie pre prevádzkovateľa, ktorý spracúvanie uvedených osobných údajov potrebuje na účely napríklad poskytovania zdravotnej starostlivosti poskytovanej na základe osobitných zákonov.
odsek 6
Ochrana osobných údajov dotknutej osoby je primárna a preto aj spracúvanie a získavanie osobných údajov o inej fyzickej osobe z informačného systému prevádzkovateľa je podmienené predchádzajúcim písomným súhlasom dotknutej osoby, povinnosť tento predchádzajúci súhlas získať neplatí, ak poskytnutím osobných údajov o dotknutej osobe do informačného systému iná fyzická osoba chráni svoje práva alebo právom chránené záujmy, alebo oznamuje skutočnosti, ktoré odôvodňujú uplatnenie právnej zodpovednosti dotknutej osoby, alebo sa osobné údaje spracúvajú na základe osobitného zákona podľa konkrétnych ustanovení tohto zákona. Ten, kto takto osobné údaje spracúva, musí vedieť preukázať úradu kedykoľvek na jeho žiadosť, že ich získal v súlade s týmto zákonom.
odsek 7
Stanovuje pravidlá spracúvania osobných údajov zosnulých osôb.
odsek 8 až 10
Na spracúvanie osobných údajov na účely archivácie, na účely vedeckého alebo historického výskumu či na štatistické účely sa vzťahujú primerané záruky ochrany práv a slobôd dotknutých osôb podľa tohto ustanovenia.
Spracúvanie osobných údajov na účely archivácie, a na vedecký alebo historický výskumu a štatistický sú tzv. privilegované účely, na ktoré sa vzťahuje výnimka zo zásady obmedzenia účelu, a teda ak prevádzkovateľ príjme primerané záruky ochrany osobných údajov, môže spracúvať osobné údaje na tieto privilegované účely na pôvodom právnom základe. Tieto záruky obsahujú zavedenie primeraných a účinných technických a organizačných opatrení najmä s cieľom zabezpečiť dodržiavanie zásady minimalizácie údajov, pseudonymizácie, pokiaľ sa týmto opatrením môžu dosiahnuť uvedené účely. Privilegovaný účel je účel v zásade zlučiteľný s pôvodným účelom bez potreby vykonania testu zlučiteľnosti. Ďalšie spracúvanie na účely archivácie, na účely vedeckého či historického výskumu alebo štatistické účely sa považuje za zlučiteľné so zákonnými spracovateľskými operáciami.
Nakoľko ide o privilegované účely je možné pri spracúvaní osobných údajov na tieto účely obmedziť aj práva dotknutej osoby, a to právo na prístup, právo na opravu, právo na obmedzenie a právo namietať, a na účely archivácie vo verejnom záujme aj právo na oznámenie a právo na prenosnosť podľa tohto zákona.
odsek 11
Stanovuje pre prevádzkovateľa a sprostredkovateľa povinnosť, aby pri prijímaní bezpečnostných opatrení a pri posudzovaní vplyvu na ochranu osobných údajov postupovali podľa tohto zákona alebo osobitného predpisu a primerane podľa medzinárodných noriem a štandardov bezpečnosti.
K § 79
Stanovuje povinnosť mlčanlivosti pre prevádzkovateľa a sprostredkovateľa o osobných údajoch, ktoré spracúvajú, pričom platí, že povinnosť mlčanlivosti obdobne platí aj pre zamestnancov prevádzkovateľa a sprostredkovateľa, ktorí z titulu svojej práce alebo vzhľadom na svoje povinnosti prídu do styku s osobnými údajmi, pre nich platí obdobne povinnosť zachovať mlčanlivosť, a to aj po skončení pracovného vzťahu u prevádzkovateľa alebo sprostredkovateľa.
Tento zákon tiež stanovuje výnimky, kedy sa povinnosť mlčanlivosti neuplatní, a to ak je to nevyhnutné na plnenie úloh súdu a orgánov činných v trestnom konaní podľa osobitného zákona, tým nie sú dotknuté ustanovenia o mlčanlivosti podľa osobitných predpisov, taktiež povinnosť mlčanlivosti neplatí a nepoužije sa vo vzťahu k úradu pri plnení úloh podľa tohto zákona.
K § 80
Na základe tohto zákona sa zriaďuje úrad, ako orgán štátnej správy s celoslovenskou pôsobnosťou, ktorý vykonáva dozor nad ochranou osobných údajov, vrátane dozoru nad ochranou osobných údajov spracúvaných príslušnými orgánmi, okrem prípadov podľa § 81 ods. 7 a 8 tohto zákona, a podieľa sa na ochrane práv fyzických osôb pri spracúvaní ich osobných údajov. Sídlom úradu je Bratislava. Úrad na plnenie úloh dozorného orgánu nad ochranou osobných údajov môže zriaďovať a zrušovať detašované pracoviská mimo svojho sídla a určovať územný obvod ich pôsobnosti. Úrad pri výkone svojej pôsobnosti postupuje nezávisle a riadi sa ústavou, ústavnými zákonmi, zákonmi, ostatnými všeobecne záväznými právnymi predpismi a medzinárodnými zmluvami, ktorými je Slovenská republika viazaná.
Úrad je rozpočtovou organizáciou, návrh rozpočtu predkladá úrad ako súčasť kapitoly Všeobecná pokladničná správa, schválený rozpočet úradu môže znížiť v priebehu kalendárneho roku iba Národná rada Slovenskej republiky.
Podrobnosti o organizácii úradu upraví organizačný poriadok úradu, ktorý vydá predseda úradu.
K § 81
Definuje pozitívnym výpočtom úlohy a právomoci, ktoré úrad vykonáva na základe tohto zákona a článku 57 až 59 nariadenia. Úrad ma pozitívnym spôsobom vymedzené úlohy, ktoré plní na základe tohto zákona alebo na základe nariadenia. V ustanovení sa pozitívnym spôsobom vymedzujú oprávnenia úradu, ktoré môže pri plnení svojich úloh vykonávať.
Stanovuje sa, že predmetom dozoru nad ochranou osobných údajov nie sú spory zo zmluvných alebo predzmluvných vzťahov medzi prevádzkovateľom alebo sprostredkovateľom a dotknutými osobami alebo inými fyzickými osobami, alebo právnickými osobami, na ktorých prejednávanie a rozhodovanie sú príslušné súdy alebo iné orgány podľa osobitných predpisov.
Úrad nie je príslušný na vykonávanie dozoru nad spracúvaním osobných údajov súdmi pri výkone ich súdnej právomoci, túto dozornú úlohu plní Ministerstvo spravodlivosti Slovenskej republiky. Taktiež úrad neplní dozornú právomoc voči Národnému bezpečnostnému úradu vykonávajúcemu spracúvanie podľa osobitného predpisu, dozor vykonáva v tomto prípade Národná rada Slovenskej republiky.
K § 82
Ustanovujú sa náležitosti týkajúce sa najvyššieho predstaviteľa úradu, štatutárneho orgánu úradu, ktorým je predseda úradu volený a odvolávaný Národnou radou Slovenskej republiky na návrh vlády Slovenskej republiky. Ustanovuje sa dĺžka jeho funkčného obdobia a možnosť jeho opakovanej voľky. Zákon ustanovuje náležitosti, ktoré musí splniť občan Slovenskej republiky na to, aby mohol byť za predsedu úradu zvolený. Ustanovujú sa situácie, kedy výkon funkcie predsedu zaniká a kedy predseda úradu môže byť z funkcie odvolaný. Platové náležitosti predsedu úradu určuje vláda.
K § 83
Vymedzuje a definuje podpredsedu úradu z hľadiska jeho kreovania a vymenovania do funkcie a taktiež určuje orgány, ktorým táto právomoc patrí. Podpredseda úradu zastupuje predsedu úradu a tiež sa na neho primerane vzťahujú v zákone špecifikované ustanovenia týkajúce sa predsedu úradu.
K § 84
Stanovuje povinnosť všetkých zamestnancov úradu, vrátane predsedu a podpredsedu úradu, aby boli pri svojej činnosti zaviazaní zachovávať mlčanlivosť o skutočnostiach, o ktorých sa dozvedia z titulu plnenia si svojich pracovných a služobných povinností.
Ustanovenie vymedzuje, že povinnosť mlčanlivosti sú povinní zamestnanci úradu dodržiavať nielen počas trvania ich funkčného obdobia alebo štátnozamestnaneckého pomeru, alebo ich výkonu práce vo verejnom záujme, ako aj po jeho skončení, nakoľko aj potom sú niektoré informácie a skutočnosti, ktoré sú im známe z ich pôsobenia na úrade zásadné a ich prezradením by mohlo dôjsť napríklad k ohrozeniu ochrany osobných údajov, a to napríklad prezradením bezpečnostných opatrení prevádzkovateľa. Povinnosť mlčanlivosti zamestnanec úradu nie je povinný dodržiavať a neplatí, ak je poskytnutie informácie potrebné a nevyhnutné na plnenie úloh súdu alebo orgánov činných v trestnom konaní podľa osobitného predpisu, ak tým nebude porušená povinnosť mlčanlivosti podľa iného predpisu. Oslobodiť od povinnosti mlčanlivosti zamestnancov môže predseda úradu a predsedu úradu Národná rada Slovenskej republiky.
K § 85
odsek 1 a 2
Vykonanie primeraných opatrení a preukázanie súladu prevádzkovateľom alebo sprostredkovateľom, najmä pokiaľ ide o identifikáciu rizika súvisiaceho so spracúvaním osobných údajov, na jeho posúdenie so zreteľom na pôvod, povahu, pravdepodobnosť a závažnosť, a na identifikáciu najlepších postupov na zmiernenie rizika pri spracúvaní osobných údajov sa môže prijať najmä na základe úradom schválených kódexov správania. Schváleným kódexom správania skupina prevádzkovateľov alebo sprostredkovateľov deklaruje, že predmet, na ktorý sa kódex správania vzťahuje a v kontexte predmetu aj spracovateľské operácie s osobnými údajmi sú vykonávané členmi kódexu správania v súlade so zákonom a nariadením. Navonok možno kódex správania považovať za deklarovanie súladu so zákonom a nariadením voči dotknutým osobám, úradu a iným prevádzkovateľom alebo sprostredkovateľom. Dovnútra prevádzkovateľa alebo sprostredkovateľa dodržiavanie schváleného kódexu správania znamená, že prevádzkovateľ alebo sprostredkovateľ musí činnosti a spracovateľské operácie, na ktoré má schválený kódex správania, mať v súlade so zákonom a nariadením, teda má aj svoje vnútorné procesy napríklad voči zamestnancom spracúvajúcim osobné údaje nastavené tak, aby boli súladné so zákonom a nariadením. Schválením kódexu správania nie je v nijakom smere dotknutá zodpovednosť prevádzkovateľa alebo sprostredkovateľa dodržiavať tento zákon, osobitný predpis alebo nariadenie.
odsek 3 až 6
Stanovuje sa kto podáva úradu žiadosť o schválenie návrhu kódexu správania, aké náležitosti musí žiadosť mať, aké doklady a písomnosti je potrebné k žiadosti priložiť. Je definovaný postup úradu v prípade, ak žiadateľ podal úradu neúplnú žiadosť alebo ak v konaní o schválení kódexu správania vzniknú pochybnosti o preukázaní súladu so zákonom a nariadením.
odsek 7 až 14
Ustanovuje sa priebeh konania o schválení kódexu správania a prípady, kedy je možné sa proti rozhodnutiu v konaní o schválení kódexu správania odvolať a kedy nie. O odvolaní rozhoduje predseda úradu.
odsek 15
Stanovuje sa, že úrad bude na svojom webovom sídle zverejňovať zoznam schválených kódexov správania.
odsek 16
Ustanovuje sa povinnosť pre združenie alebo iný subjekt zastupujúci prevádzkovateľov alebo sprostredkovateľov, ktorým bol schválený kódex správania, aby najneskôr do 15 dní odo dňa zistenia zmeny týkajúcej sa kódexu správania túto úradu písomne oznámili.
K § 86
odsek 1 a 2
Na účely preukázania súladu spracúvania osobných údajov a existencie primeraných záruk ochrany osobných údajov podľa tohto zákona alebo osobitného predpisu môže prevádzkovateľ alebo sprostredkovateľ požiadať úrad alebo certifikačný subjekt o vydanie alebo obnovenie certifikátu. Proces vydávania, odnímania a obnovy certifikátu má vo svojej kompetencii úrad a certifikačný subjekt akreditovaný úradom.
odsek 3
Úrad alebo certifikačný subjekt posudzuje v rámci konania o vydanie certifikátu súlad spracúvania osobných údajov a existenciu primeraných záruk ochrany osobných údajov prevádzkovateľa alebo sprostredkovateľa na základe certifikačných kritérií v súlade s týmto zákonom, pričom platí, že vydanie certifikátu neznižuje zodpovednosť prevádzkovateľa alebo sprostredkovateľa za dodržiavanie tohto zákona a nariadenia a nie sú ním ani dotknuté právomoci úradu.
odsek 4 až 8
Stanovuje sa kto podáva úradu žiadosť o vydanie certifikátu alebo jeho obnovu, aké náležitosti musí žiadosť mať, aké doklady a písomnosti je potrebné k žiadosti priložiť. Je definovaný postup úradu v prípade, ak žiadateľ podal úradu neúplnú žiadosť alebo ak v konaní o vydanie alebo obnovu certifikátu vzniknú pochybnosti o preukázaní súladu so zákonom a nariadením. Úrad bude na svojom webovom sídle zverejňovať vydané certifikáty.
odsek 9 až 15
Ustanovuje sa priebeh konania o vydanie alebo obnovu certifikátu a prípady, kedy je možné sa proti rozhodnutiu v konaní o vydanie certifikátu odvolať a kedy nie. O odvolaní rozhoduje predseda úradu. Ak je na základe rozhodnutia o vydaní certifikátu alebo jeho obnove rozhodnuté úrad vydá žiadateľovi certifikát na obdobie troch rokov. Stanovujú sa náležitosti certifikátu.
odsek 16 a 18
Stanovujú sa podmienky a lehoty pre žiadosť o obnovenie už vydaného certifikátu a konania o obnove certifikátu. Ustanovujú sa povinnosti, ktoré je certifikovaná osoba povinná v kontexte vydaného certifikátu dodržiavať.
odsek 19
Splnomocňovacie ustanovenie, na vydanie vykonávacieho predpisu úradu, ktorým sa stanovia certifikačné kritéria, podmienky certifikačného postupu, obsahové náležitosti technickej a bezpečnostnej dokumentácie a podmienky výkonu auditu ochrany osobných údajov vrátane podmienok odborných znalostí audítora. Audit ochrany osobných údajov je posúdenie stavu spracúvania osobných údajov v podmienkach prevádzkovateľa alebo sprostredkovateľa a jeho súladu s nariadením / zákonom, s medzinárodnými normami a štandardmi bezpečnosti ochrany osobných údajov (napr. ISO 27001, ISO 17065) a uznávanými národnými štandardmi (vykonávací právny predpis).
K § 87
odsek 1 až 3
Úradom schválené kódexy správania sa majú monitorovať, túto monitorovaciu činnosť vykonávajú subjekty akreditované úradom s dostatočným materiálnym a personálnym vybavením, ktoré v rámci posúdenia spôsobilosti žiadateľa o to, aby bol akreditovaný úradom posudzuje úrad. Stanovuje sa, kto môže byť akreditovaným monitorujúcim subjektom.
Kódexy správania schválené úradom pre orgány verejnej moci a verejnoprávne subjekty nepodliehajú činnosti monitorovacieho subjektu, tým nie sú dotknuté právomoci úradu podľa tohto zákona, vrátane dozornej činnosti úradu. Kódexy správania schválené úradom pre orgány verejnej moci a verejnoprávne subjekty môžu byť predmetom kontroly zo strany úradu, v rámci ktorej sa v zmysle vytýčeného predmetu kontroly bude môcť posudzovať súladnosť a dodržiavanie schváleného kódexu správania týchto subjektov.
odsek 4 a 5
Stanovujú sa oprávnenia monitorujúceho subjektu a tiež povinnosť a lehota o prijatých opatreniach informovať úrad.
odsek 6 až 9
Stanovuje sa kto podáva úradu žiadosť o akreditáciu monitorujúceho subjektu, aké náležitosti musí žiadosť mať, aké doklady a písomnosti je potrebné k žiadosti priložiť. Je definovaný postup úradu v prípade, ak žiadateľ podal úradu neúplnú žiadosť alebo ak v konaní o akreditáciu monitorujúceho subjektu vzniknú pochybnosti o preukázaní súladu so zákonom a nariadením.
odsek 10 až 12, 15,16
Ustanovuje sa priebeh a lehota na rozhodnutie v rámci konania o akreditáciu monitorujúceho subjektu a prípady, kedy je možné sa proti rozhodnutiu v konaní o akreditáciu monitorujúceho subjektu odvolať a kedy nie. Stanovuje sa, že o odvolaní rozhoduje predseda úradu.
odseky 13,14,17
Ustanovujú sa náležitosti osvedčenia o akreditácii. Stanovuje sa, že osvedčenie o akreditácii je verejnou listinou. Ustanovuje sa, že úrad na svojom webovom sídle zverejňuje vydané osvedčenia o akreditácii.
odsek 18
Stanovujú sa podmienky kedy úrad pozastaví platnosť akreditácie prípadne akreditáciu monitorujúceho subjektu zruší.
odsek 19
Stanovujú sa povinnosti akreditovaného monitorujúceho subjektu.
odsek 20
Splnomocňovacie ustanovenie, na základe ktorého úrad všeobecne záväzným právnym predpisom ustanoví kritéria na udelenie akreditácie, podmienky akreditačného postupu, obsahové náležitosti technickej a bezpečnostnej dokumentácie a podmienky výkonu auditu monitorovania kódexu správania vrátane podmienok odborných znalostí audítora.
K § 88
odsek 1 až 3
Posúdenie súladu spracúvania osobných údajov a existenciu primeraných záruk ochrany osobných údajov podľa tohto zákona a nariadenie posudzuje certifikačný subjekt, ktorý je akreditovaný úradom a ktorý spĺňa materiálne, personálne a technické predpoklady na to, aby mohol uvedenú činnosť vykonávať. Výsledkom tejto činnosti, posudzovania súladu procesov spracúvania nastavených prevádzkovateľom alebo sprostredkovateľom so zákonom alebo nariadením je vydanie certifikátu certifikačným subjektom, obnova certifikátu certifikačným subjektom alebo aj odňatie certifikátu certifikačným subjektom. Certifikačným subjektom môže byť iba právnická osoba alebo fyzická osoba – podnikateľ.
odsek 4 až 10, 13, 14
Stanovuje sa kto podáva úradu žiadosť o udelenie akreditácie, aké náležitosti musí žiadosť mať, aké doklady a písomnosti je potrebné k žiadosti priložiť. Je definovaný postup úradu v prípade, ak žiadateľ podal úradu neúplnú žiadosť alebo ak v konaní o akreditáciu certifikačného subjektu vzniknú pochybnosti o preukázaní súladu so zákonom a nariadením. Ustanovuje sa priebeh konania o udelení akreditácie a prípady, kedy je možné sa proti rozhodnutiu v konaní o udelenie akreditácie odvolať a kedy nie. Stanovuje sa, že o odvolaní rozhoduje predseda úradu.
odsek 11, 12, 15
Na základe rozhodnutia o akreditácii je žiadateľovi úradom vydané osvedčenie o udelení akreditácie na obdobie piatych rokov; osvedčenie o má presne v zákone stanovené náležitosti a je verejnou listinou. Úrad zverejňuje zoznam certifikačných subjektov a schválené certifikačné kritéria na svojom webovom sídle.
odsek 16, 17
Stanovujú sa podmienky a lehota na podanie žiadosti o obnovenie akreditácie a konanie o obnovenie akreditácie. Sú ustanovené podmienky toho, v akom časovom predstihu je potrebné podať včas žiadosť o obnovenie akreditácie úradu a následky, ak sa podanie žiadosti o obnovenie akreditácie včas nestihne.
odsek 18
Stanovujú sa podmienky kedy úrad pozastaví platnosť akreditácie prípadne sa akreditácia certifikačného subjektu zruší.
odsek 19
Splnomocňovacie ustanovenie, na základe ktorého úrad všeobecne záväzným právnym predpisom ustanoví kritéria na udelenie akreditácie, podmienky certifikačného postupu, certifikačné kritéria, obsahové náležitosti technickej a bezpečnostnej dokumentácie a podmienky výkonu auditu certifikačného postupu vrátane podmienok odborných znalostí audítora.
K § 89
Stanovujú sa povinnosti certifikačného subjektu vo vzťahu k úradu a dotknutému prevádzkovateľovi alebo sprostredkovateľovi vo vzťahu k procesu vydania, obnovy alebo odňatia certifikátu.
K § 90
Kontrola je vykonávaná zamestnancami úradu, ktorí sa na tento účel stávajú členmi kontrolného orgánu, a to na základe písomného poverenia vedúceho zamestnanca alebo predsedu úradu. Pri rozhodnutí, ktorí zo zamestnancov sa v konkrétnom prípade stanú členmi kontrolného orgánu je braná do úvahy požiadavka na odborný a nestranný výkon kontroly a na príslušné vzdelanie a prípadnú prax. Kontrole podlieha prevádzkovateľ, sprostredkovateľ, prípade zástupca prevádzkovateľa alebo sprostredkovateľa lebo držiteľ osvedčenia o udelení akreditácie. Kontrolou sa rozumie kontrola spracúvania osobných údajov, kontrola dodržiavania schválených kódexov správania, kontrola súladu spracúvania osobných údajov s vydaným certifikátom a kontrola dodržiavania vydaného osvedčenia o udelení akreditácie.
Kontrolu môže kontrolný orgán (úrad) vykonávať na základe plánu kontrol alebo na základe skutočností, ktoré sa dozvedel v rámci svojej činnosti, na základe podozrenia z porušenia povinností pri spracúvaní osobných údajov, či na základe dopytu útvaru úradu v rámci konania o ochrane osobných údajov pri výkone dozornej činnosti. Začiatok kontroly je viazaný na doručenie oznámenia o kontrole kontrolovanej osobe.
Platí, že všetci členovia kontrolného orgánu sú povinní pri výkone kontroly postupovať tak, aby vykonali všetky potrebné kroky na zistenie reálneho stav spracúvania osobných údajov u kontrolovanej osoby v čase výkonu kontroly alebo bezprostredne pred ňou alebo na zistenie stavu spracúvania osobných údajov v inom čase predchádzajúcom kontrole, ak to podmienky spracúvania osobných údajov určené prevádzkovateľom umožňujú, a zároveň preverili všetky kritické body javiace nesúlad spracúvania osobných údajov so zákonom alebo nariadením. Pri tejto svojej činnosti musia postupovať tak, aby bezdôvodne nezasahovali do práv kontrolovanej osoby a nespôsobili jej tak ujmu, prípadne svojím postupom sami neohrozili spracúvanie osobných údajov.
Stanovujú sa tiež náležitosti poverenia na vykonanie kontroly, vzor poverenie zverejní úrad na svojom webovom sídle.
K § 91
Ustanovenie upravuje zaujatosť v rámci kontroly a postup v prípade, ak sa kontrolný orgán alebo kontrolovaná osoba sa dozvedeli o skutočnostiach zakladajúcich pochybnosti o zaujatosti kontrolného orgánu so zreteľom na jeho vzťah k predmetu kontroly alebo ku kontrolovanej osobe. Podanie námietok zaujatosti nemá odkladný účinok a kontrolný orgán je povinný v rámci už začatej kontroly vykonať aj napriek podaným námietkam len všetky také úkony, ktoré neznesú odklad.
O námietkach zaujatosti kontrolovanej osoby a o oznámení zaujatosti člena kontrolného orgánu rozhodne ten kto kontrolný orgán poveril v lehote 10 pracovných dní od ich uplatnenia. Písomné vyhodnotenie rozhodnutia sa doručí tomu, kto námietku uplatnil. Proti rozhodnutiu o námietkach zaujatosti a proti rozhodnutiu o oznámení zaujatosti člena kontrolného orgánu nemožno podať rozklad.
K § 92 a k § 93
Kontrolný orgán je pri výkone kontroly povinný postupovať v súlade so zákonom. Za týmto účelom, aby nedochádzalo k svojvoľnému konaniu kontrolného orgánu, zákon upravuje jeho povinnosti, na ktoré nadväzujú jeho oprávnenia podľa tohto zákona.
K § 94 a k § 95
Kontrolovaná osoba na účely riadneho výkonu kontroly je povinná svojím správaním a konaním vychádzať kontrolnému subjektu v ústrety, a to najmä na účely riadneho, správneho a podľa možnosti časom primeraného výkonu kontroly; jej povinnosti na tento účel zákon vymenúva taxatívne. Ďalej je kontrolovaná osoba povinná poskytovať kontrolnému orgánu pri výkone kontroly potrebnú súčinnosť v súlade s jeho oprávneniami a zdržať sa akéhokoľvek konania, ktoré by mohlo výkon kontroly mariť. Tento zákon taxatívnym výpočtom následne ustanovuje aj oprávnenia kontrolovanej osoby. Kontrola spracúvania osobných údajov sa vykonáva najmä v priestoroch kontrolovanej osoby, kde sa nachádzajú informačné systémy osobných údajov alebo kde je možné k nim mať priamy prístup. Výkonom kontroly sa myslí aj zaistenie vstupu do informačného systému kontrolovanej osoby alebo umožnenie prístupu do neho na účely kontroly a preverenie funkčnosti a aplikácie zavedených bezpečnostných opatrení a mechanizmov.
K § 96
Spracúvanie osobných údajov, ktoré podlieha kontrole úradom, prebieha za využitia rôznych technických a technologických prostriedkov, ktoré často zohľadňujú najnovšie trendy vo využívaní informačno-komunikačných technológií a sú náročné na odborné posúdenie. Zákon pamätá aj na prípady, keď je potrebné ku kontrole spracúvania osobných údajov v informačnom systéme prizvať odborníka zo špecifickej oblasti, ktorý poskytne úradu odborné stanovisko. Prizvaná osoba sa zúčastňuje kontroly spracúvania na základe písomného poverenia vedúceho zamestnanca a o jej účasti na kontrole je povinný úrad kontrolovanú osobu upovedomiť. Účasť takejto osoby na kontrole sa považuje za iný úkon vo všeobecnom záujme, za ktorý jej patrí náhrada mzdy, prípadne platu vo výške priemerného zárobku podľa osobitného predpisu, pričom podmienky účasti tejto osoby na kontrole dohodne úrad s prizvanou osobou podľa ustanovení osobitných predpisov. Kontrolovaná osoba je oprávnená vzniesť preukázateľné námietky o zaujatosti prizvanej osoby. O námietkach bez možnosti odvolania sa proti rozhodnutiu rozhodne predseda úradu v zákonom stanovenej lehote.
K § 97 a k § 98
Ustanovenie upravuje spôsob ukončenia kontroly, ktorej výsledkom je protokol so zákonom taxatívne stanovenými náležitosťami, ak sa kontrolou zistí porušenie zákona alebo záznam o kontrole, ak sa kontrolou nezistí porušenie zákona. Protokol a jeho prílohy, tak ako aj dodatok k protokolu tvoria celok.
Kontrolovaná osoba sa s kontrolnými zisteniami v protokole má právo oboznámiť a môže sa k nim vyjadriť formou podania námietok v zákonom stanovenej lehote, nie je to jej povinnosť. V prípade, že námietky v zákonom stanovenej lehote neposkytne, má sa zato, že nemá námietky ku kontrolným zisteniam uvedeným v protokole. Podané námietky, ako aj prípadné nové skutočnosti úrad posúdi v zákonom stanovenej lehote a vyjadrí sa k nim formou dodatku k protokolu. Kontrolný orgán je povinný neprípustnosť námietok kontrolovanej osoby v dodatku zdôvodniť. O výsledku preskúmania námietok je povinný kontrolný orgán kontrolovanú osobu vyrozumieť písomne v zákonom stanovenej lehote. Ak sa kontrolovaná osoba odmietne oboznámiť s obsahom protokolu, vyjadriť sa ku kontrolným zisteniam alebo podpísať protokol, nemá to vplyv na dôsledky vyplývajúce z obsahu tohto dokumentu pre kontrolovanú osobu. Kontrola je ukončená dňom podpísania zápisnice o prerokovaní protokolu, alebo dňom odmietnutia podpísať zápisnicu o prerokovaní protokolu, dňom nedostavenia sa na prerokovanie protokolu na základe písomnej výzvy úradu alebo dňom doručenia záznamu o kontrole. Ak kontrolou neboli zistené porušenia kontrolný orgán vypracuje záznam o kontrole. Moment ukončenia kontroly je dôležitým údajom v kontexte konania o ochrane osobných údajov. Výkon kontroly spracúvania osobných údajov nie je výkonom kontroly podľa zákona Národnej rady Slovenskej republiky č. 10/1996 Z. z. o kontrole v štátnej správe v znení neskorších predpisov a na výkon kontroly sa zákon č. 71/1967 Zb. o správnom konaní (správny poriadok) v znení neskorších predpisov uplatní iba pri doručovaní písomností.
K § 99 až k § 103
Stanovujú účel a charakteristiku konania o ochrane osobných údajov. Účelom konania o ochrane osobných údajov je zistiť a preveriť či došlo k porušeniu práv fyzických osôb pri spracúvaní ich osobných údajov a v prípade zistenie porušenia a nedostatkov, ak je to dôvodené a účelné uložiť opatrenia na nápravu, prípadne pokutu. Konanie prebieha neverejne. Účastníkom konania môže byť dotknutá osoba, prevádzkovateľ, sprostredkovateľ, certifikačný a monitorujúci subjekt. V prípade, ak sa návrh na začatie konania týka prevádzkovateľa alebo sprostredkovateľa, kde príslušným orgánom je dozorný orgán, alebo vedúcim orgán je dozorný orgán iného členského štátu úrad v takom prípade postupuje v konaní podľa nariadenia.
Konanie sa začína na návrh dotknutej, alebo inej osoby tvrdiacej, ktorá tvrdí, že je dotknutá na svojich právach, alebo sa konanie začína bez návrhu. Ak návrh úradu doručí iná osoba ako dotknutá, návrh za považuje za podnet na začatie konania bez návrhu. Na posúdenie podnetu má úrad 30 od jeho doručenia, ak podnet neodloží začne konanie o ochrane osobných údajov a rozhodne vo veci. O spôsobe vybavenia podnetu je úrad povinný osobu, ktorá ho podala, písomne v stanovenej lehote informovať. Úrad začne konanie aj z vlastnej iniciatívy, ex officio, ak zistí pri výkone dozoru, že by práva fyzických osôb pri spracúvaní ich osobných údajov mohli byť porušené. Stanovujú sa základné náležitosti návrhu na začatie konania a podmienky, kedy úrad návrh odloží.
V prípade ak navrhovateľ iniciatívne nepožaduje v konaní utajenie svojej totožnosti úrad návrh vybaví bez utajenia osobných údajov navrhovateľa. V prípade ak navrhovateľ takúto požiadavku vzniesol, no konanie bez odtajnenia aspoň niektorých jeho osobných údajov nemôže pokračovať, je úrad povinný o tom navrhovateľ upovedomiť, pričom ho upozorní na to, že ak bude trvať na neodtajnení a neudelí úradu súhlas v konaní o návrhu nebude možné pokračovať.
Úrad má povinnosť v konaní rozhodnúť, ak je to možné do 90 dní od jeho začatia, ak je to odôvodnené úrad si môže lehotu na rozhodnutie predĺžiť maximálne o 180 dní, o čom je povinný písomne informovať účastníkov konania. Ak sa v rámci konania koná kontrola spracúvania osobných údajov lehota na vydanie rozhodnutia neplynie v čase konanie kontroly, teda od jej začatia až do dňa jej ukončenia. Ak počas konania sú splnené podmienky na prerušenie konania, úrad toto preruší a o tejto skutočnosti informuje účastníkov konania.
Ak sa konaním zistí porušenie práv dotknutej osoby alebo iné neplnenie povinností podľa tohto zákona alebo nariadenia úrad vydá rozhodnutie, ktorým môže uložiť opatrenie na nápravu, uložiť pokutu, vylúčiť z členstva kódexu správania, odňať certifikát, nariadiť certifikačnému subjektu odňatie certifikátu alebo odňať osvedčenie o udelení akreditácie. Ustanovujú sa náležitosti rozhodnutia úradu v konaní o ochrane osobných údajov. Proti rozhodnutiu úradu možno podať rozklad o ktorom rozhoduje predseda úradu. Podaný rozklad môže byť podávateľom rozšírený alebo doplnení o ďalší návrh alebo ďalšie body ako tie o ktorých bolo rozhodnuté iba v lehote určenej na podanie rozkladu.
V prípade ak akútne hrozí porušenie a porušovanie v právach dotknutej osoby a vec neznesie odklad, úrad je oprávnený vydať predbežné opatrenie, na odvrátenie vzniku väčších negatívnych následkov pre dotknutú osobu, ako už vznikli. Na základe uloženého predbežného opatrenia plnenie povinností ním uložených je prevádzkovateľ alebo sprostredkovateľ povinný úrad písomne informovať v lehote ním stanovenej.
K § 104 až k § 106
Za porušenie povinností ustanovených týmto zákon a nariadením možno diferencovane, podľa závažnosti, rozsahu a času trvania, následkov protiprávneho konania, prípadného opakovania takéhoto protiprávneho konania a miery ohrozenia súkromného a rodinného života, počtu dotknutých osôb a iných faktorov, ktoré musí brať úrad do úvahy uložiť pokutu a poriadkovú pokutu. K uloženiu pokuty úrad môže pristúpiť a ukladá ju jednorazovo, poriadkovú pokutu môže uložiť aj opakovane. Stanovujú sa premlčacie lehoty na ukladanie pokút a poriadkových pokút. Pokuty aj poriadkové pokuty sú príjmom štátneho rozpočtu.
Pokuty úrad môže uložiť na základe tohto zákona za správne delikty alebo za nesplnenie úradom uloženého opatrenia.
Úrad môže uložiť aj poriadkovú pokutu, a to inej osobe ako prevádzkovateľovi alebo prevádzkovateľovi, či sprostredkovateľovi, prípadne ich zástupcom.
K § 107 až k § 109
Stanovuje sa na ktoré konania podľa tohto zákona sa použije všeobecný predpis o správnom konaní a na ktoré sa nepoužije. ustanovuje sa, v ktorých prípadoch všeobecne záväzný právny predpis na vykonanie ustanovení tohto zákona.
Ustanovuje sa povinnosť poskytnúť súčinnosť úradu pri výkone jeho úloh a právomocí a pri výkone dozoru nad dodržiavaním povinností podľa tohto zákona alebo nariadenia a na základe rozhodnutí úradom vydaných, ktorá je všeobecná. Týmto stanovením súčinnosti nie je dotknutá povinnosť poskytovať súčinnosť pri výkone kontroly podľa tohto zákona.
K § 110 a k § 111
Navrhované ustanovenia sú prechodnými ustanoveniami, v rámci ktorých je potrebné sa vysporiadať s úradom a jeho funkcionármi novou právnou úpravou ochrany osobných údajov oproti súčasne platnej právnej úprave vo vzťahu k právam a povinnostiam prevádzkovateľov a sprostredkovateľov, ako aj príslušných orgánov. Je taktiež potrebné sa vysporiadať s konaniami, ktoré boli začaté pred účinnosťou tohto zákona a stanoviť, podľa akých právnych predpisov budú dokončené. V prílohe sa uvádza, ktoré právne záväzné akty Európskej únie sa týmto navrhovaným zákonom preberajú.
K § 112
Ustanovenie uvádza, ktoré všeobecne záväzné právne predpisy sa s nadobudnutím účinnosti tohto zákona zrušujú.
K čl. II
Návrhom zákona dochádza aj k transpozícii smernice 2016/680 a keďže Vojenská polícia je jedným z príslušným orgánov v zmysle tejto smernice a bude sa na ňu vzťahovať štvrtá časť zákona (Osobitné pravidlá ochrany fyzických osôb pri spracúvaní osobných údajov príslušnými orgánmi), navrhuje sa zo zákona Národnej rady Slovenskej republiky č. 124/1992 Zb. o Vojenskej polícii v znení neskorších predpisov vypustiť, resp. upraviť ustanovenia, ktoré by boli duplicitné k právnej úpravy podľa predloženého návrhu zákona o ochrane osobných údajov.
K čl. III
Návrhom zákona dochádza aj k transpozícii smernice 2016/680 a keďže Policajný zbor je jedným z príslušným orgánov v zmysle tejto smernice a bude sa naňho vzťahovať štvrtá časť zákona (Osobitné pravidlá ochrany fyzických osôb pri spracúvaní osobných údajov príslušnými orgánmi), navrhuje sa zo zákona Národnej rady Slovenskej republiky č. 171/1993 Z. z. o Policajnom zbore v znení neskorších predpisov vypustiť, resp. upraviť ustanovenia, ktoré by boli duplicitné k právnej úpravy podľa predloženého návrhu zákona o ochrane osobných údajov.
K čl. IV
Navrhovaná právna úprava priamo súvisí s článkom 40 až 43 nariadenia, ktoré stanovujú postup certifikácie a jej sledovania a postup vypracúvania kódexov správania a ich sledovania ako prostriedok zvýšenia bezpečnosti spracúvania osobných údajov u prevádzkovateľov alebo sprostredkovateľov. Dodržiavanie schválených kódexov správania a dodržiavanie a monitorovanie subjektov s udelenou certifikáciou bude pre prevádzkovateľa alebo pre sprostredkovateľa možnosť, ako deklarovať súlad s týmto zákonom a s nariadením. Nakoľko v tomto procese bude mať zodpovednosť aj úrad za schválenie kódexov správania a udelenie monitorovacích právomocí subjektom je potrebné, aby bola zohľadnená časová náročnosť celého tohto procesu, čo sa zohľadní vo výške a rozsahu vyberaných správnych poplatkov. Zavedenie poplatkov predpokladá úpravu zákona č. 145/1995 Z. z. o správnych poplatkoch v znení neskorších právnych predpisov, kde sa navrhuje XXIII Časť „Ochrana osobných údajov“ zmeniť tak, ako je navrhované.
K čl. V
Návrhom zákona dochádza aj k transpozícii smernice 2016/680 a keďže Zbor väzenskej a justičnej stráže je jedným z príslušným orgánov v zmysle tejto smernice a bude sa naňho vzťahovať štvrtá časť zákona (Osobitné pravidlá ochrany fyzických osôb pri spracúvaní osobných údajov príslušnými orgánmi), navrhuje sa zo zákona č. 4/2001 Z. z. o Zbore väzenskej a justičnej stráže v znení neskorších predpisov vypustiť, resp. upraviť ustanovenia, ktoré by boli duplicitné k právnej úpravy podľa predloženého návrhu zákona o ochrane osobných údajov.
K čl. VI
Návrhom zákona dochádza aj k transpozícii smernice 2016/680 a keďže prokuratúra je jedným z príslušným orgánov v zmysle tejto smernice a bude sa na ňu vzťahovať štvrtá časť zákona (Osobitné pravidlá ochrany fyzických osôb pri spracúvaní osobných údajov príslušnými orgánmi), navrhuje sa zo zákona č. 153/2001 Z. z. o prokuratúre v znení neskorších predpisov vypustiť, resp. upraviť ustanovenia, ktoré by boli duplicitné k právnej úpravy podľa predloženého návrhu zákona o ochrane osobných údajov.
K čl. VII
Návrhom nového zákona o ochrane osobných údajov dôjde aj k úprave práv dotknutej osoby, ktoré boli posilnené a ktoré dotknutej osobe dávajú možnosť požadovať od prevádzkovateľa informácie aké osobné údaje o dotknutej osobe spracúva, prípadne, komu boli získané osobné údaje poskytnuté. Ustanovenie § 92a ods. 5 zákona č. 483/2001 Z. z. o bankách a o zmene a doplnení niektorých zákonov je totožné svojím obsahom s právom dotknutej osoby – fyzickej osoby podľa § 22 tohto zákona; vo vzťahu k dotknutým osobám – právnickým osobám klientom banky, toto ustanovenie zostalo zachované. Vypustenie je tiež navrhované z dôvodu zosúladenia právnych predpisov Slovenskej republiky s nariadením. Na účely spresnenia uvedenia spracúvania osobných údajov bankou, ako prevádzkovateľom, bolo doplnené spracúvanie fotografie dotknutej osoby v prípade, ak sa spracúva doklad jej totožnosti na účely stanovené v zákone o bankách.
K čl. VIII
K bodom 1 a 2 (§ 2 písm. b) a f))
V rámci definícií sa zavádza pojem predikcia viditeľných fenotypových prejavov, ktorá nadväzuje na rozšírenie definície analýzy deoxyribonukleovej kyseliny. Zavedením definície sa reaguje na možnosť, v presne vyšpecifikovaných prípadoch, využiť najnovšie technologické postupy, ktoré už v súčasnej dobe umožňujú zistiť aj informácie ohľadom farby očí, farby vlasov alebo pigmentácie pokožky, ktoré môžu významným spôsobom zúžiť potencionálnu skupinu páchateľov závažných trestných činov alebo bližšie identifikovať mŕtvolu neznámej totožnosti alebo častí ľudského tela.
K bodu 3
Aktualizuje sa poznámka pod čiarou.
K bodu 4 (§ 3 ods. 1 písm. a))
Navrhovaná zmena zohľadňuje súčasný stav, keď Železničná polícia bola začlenená do Policajného zboru a preto jej uvádzanie v zákone je nadbytočné. Z rovnakého dôvodu sa navrhuje vypustenie poznámky pod čiarou k odkazu 3, týkajúcej sa zrušeného zákona č. 57/1998 Z. z. o Železničnej polícii.
K bodu 5 (§ 3 ods. 3)
Upravuje sa text vzhľadom na zaradenie Železničnej polície do Policajného zboru a zmenu Trestného poriadku, podľa ktorého súd nie je orgánom činným v trestnom konaní.
Zároveň sa navrhuje priznať kompetenciu odoberania vzoriek deoxyribonukleovej kyseliny aj príslušníkom Zboru väzenskej a justičnej stráže. Príslušníci Zboru väzenskej a justičnej stráže podľa § 21b zákona č. 4/2001 Z. z o Zbore väzenskej a justičnej stráže síce nemajú oprávnenie na odoberanie vzoriek deoxyribonukleovej kyseliny, ale túto kompetenciu im môže zákonodarca zveriť priamo zákonom č. 417/2002 Z. z. tak, ako je to v prípade príslušníkov Policajného zboru, ktorí v zmysle § 20a zákona o Policajnom zbore tiež nie sú splnomocnení odoberať vzorku deoxyribonukleovej kyseliny osobám vo výkone trestu odňatia slobody, túto kompetenciu im priznáva priamo zákon č. 417/2002 Z. z. Analogicky to platí pre všetky orgány činné v trestnom konaní, ktoré na odoberanie vzorky deoxyribonukleovej kyseliny splnomocňuje priamo zákon č. 417/2002 Z. z., hoci príslušné zákony im takéto oprávnenie nepriznávajú (napr. § 21b zákona č. 4/2001 Z. z. o Zbore väzenskej a justičnej stráže, § 21a zákona č. 652/2004 Z. z. o orgánoch štátnej správy v colníctve alebo zákon č. 124/1992 Zb. o Vojenskej polícii).
K bodu 6 (§ 4 ods. 2)
V § 4 sa navrhuje za odsek 1 vložiť nový odsek 2, v ktorom sa špecifikujú podmienky využitia predikcie viditeľných fenotypových prejavov, presne sa definujú závažné prípady odkazom pod čiarou 5b, ktorým sa odkazuje na § 11 ods. 3 Trestného zákona, ako aj trestných činov proti životu a zdraviu, trestných činov proti slobode a ľudskej dôstojnosti, čím sa vymedzuje okruh trestných činov, pri ktorých bude možné túto analýzu žiadať. Zároveň sa zavádza kumulatívna podmienka, že toto vyšetrenie môže byť vykonané len za podmienky, že nebola zistená zhoda v národnej databáze profilov deoxyribonukleovej kyseliny, ako aj v medzinárodných databázach profilov deoxyribonukleovej kyseliny členských štátov EÚ, s ktorými si Slovenská republika vymieňa údaje na základe rozhodnutia Rady (ES) 2008/616/SVV z 23. júna 2008 o vykonávaní rozhodnutia 2008/615/SVV o zintenzívnení cezhraničnej spolupráce, najmä v boji proti terorizmu a cezhraničnej trestnej činnosti.
K bodu 7 (§ 4 ods. 3)
Návrhom sa reaguje na rozhodnutie Rady 2008/616/SVV, kde sa v čl. 7 ods. 1 uvádza, že „členské štáty využívajú pre výmenu údajov o DNA existujúce normy, ako napríklad európsky štandardný súbor (ESS)“. Európsky štandardný súbor (ESS) bol vydaný v prílohe uznesenia Rady z 30. novembra 2009 o výmene výsledkov analýzy DNA (Ú. v. EÚ C 296/1 – 3, 5. decembra 2009). Na základe uvedeného sa tiež mení príloha č. 1.
K bodu 8 (§ 4 ods. 4)
V rámci tejto úpravy sa implementuje rozhodnutie Rady 2008/616/SVV z 23. júna 2008 o vykonávaní rozhodnutia 2008/615/SVV o zintenzívnení cezhraničnej spolupráce, najmä v boji proti terorizmu a cezhraničnej trestnej činnosti, kde sa v čl. 7 sa ukladá členským štátom povinnosť prijať opatrenia potrebné na zabezpečenie integrity profilov DNA poskytovaných alebo zaslaných na porovnávanie iným členským štátom a na zabezpečenie toho, aby tieto opatrenia spĺňali medzinárodné normy ako napríklad EN ISO/IEC 17025 – všeobecné požiadavky na kompetentnosť skúšobných a kalibračných laboratórií.
Z tohto uvedeného dôvodu navrhujeme, aby sa všetkým poskytovateľom forenzných služieb, ktorých služby sú využívané pre účely trestného konania, uložila povinnosť používať akreditované postupy.
K bodu 9 (§ 4 ods. 4 písm. a))
Znalci fyzické osoby a právnické osoby ako znalecké organizácie alebo znalecké ústavy sú podľa platnej právnej úpravy zapísané v zozname znalcov, tlmočníkov a prekladateľov, vedenom Ministerstvom spravodlivosti Slovenskej republiky na základe zákona č. 382/2004 Z. z. o znalcoch, tlmočníkoch a prekladateľoch a o zmene a doplnení niektorých zákonov v znení neskorších predpisov v oddiele na zápis znalcov. Kriminalistický a expertízny ústav Prezídia Policajného zboru je zapísaný ako znalecký ústav v odbore kriminalistika. Navrhovaná zmena aktualizuje použité pojmy a dáva do súladu znenie zákona so súčasným právnym stavom. „Zoznam ústavov a iných pracovísk špecializovaných na znaleckú činnosť“, uvedený v § 4 ods. 3 písm. a), sa viedol podľa zákona č. 36/1967 Zb. o znalcoch a tlmočníkoch, ktorý bol zrušený. Z týchto dôvodov sa navrhuje aj zmena poznámky pod čiarou k odkazu 6.
K bodu 10 (§ 4 ods. 5)
Upravuje sa text vzhľadom na zaradenie Železničnej polície do Policajného zboru a zmenu Trestného poriadku, podľa ktorého súd nie je orgánom činným v trestnom konaní.
K bodom 11 (§ 4 ods. 8)
Zmenou vnútorného odkazu sa reaguje na prečíslovanie odsekov v § 4.
K bodom 12 (§ 5 ods. 3 písm. b) druhý bod)
Upravuje sa rozsah požadovaných informácií, ktoré majú byť predložené spolu so vzorkou biologického materiálu, z ktorého ma byť metódami molekulárnej biológie a genetiky získaný DNA profil.
K bodu 13 (Poznámka pod čiarou k odkazu 7)
Navrhovaná zmena rešpektuje aktuálnu právnu úpravu, podľa ktorej osobitnými predpismi upravujúcimi postup pri poskytovaní údajov z databázy obsahujúcej profily deoxyribonukleovej kyseliny sú zákon o Policajnom zbore a zákon o ochrane osobných údajov.
K bodu 14 (§ 8 ods. 1)
Dôvodom likvidácie údajov osôb z databázy vzoriek profilov DNA povereným útvarom je aj zastavenie trestného stíhania v prípravnom konaní z dôvodu, že je nepochybné, že sa nestal skutok, pre ktorý sa vedie trestné stíhanie, alebo že nie je tento skutok trestným činom a nie je dôvod na postúpenie veci. Navrhovaná zmena dáva do súladu vymenované dôvody s ustanoveniami Trestného poriadku tak ako sú uvedené v § 215 ods. 1 písm. a) a b). Tieto dôvody sa týkajú len zastavenia trestného stíhania vedeného vo veci, keď vyšetrovaný skutok nie je možné kvalifikovať ako trestný čin.
Návrh rozširuje dôvod likvidácie údajov z databázy povereným útvarom aj o prípad, kedy sa vyšetrovaním zistí, že vyšetrovaný skutok sa stal a tento skutok je trestným činom a trestné stíhanie je vedené proti obvinenému, pričom je v prípravnom konaní prokurátorom toto trestné stíhanie zastavené podľa § 215 ods. 1 písm. c) Trestného poriadku z dôvodu, že bez pochybností sa zistí, že skutok nespáchal obvinený. Po zastavení trestného stíhania obvineného sa ďalej trestné stíhanie vedie iba vo veci.
Poznámky pod čiarou k odkazom 8 až 12 v návrhu odkazujú na príslušné ustanovenia platného Trestného poriadku.
K bodu 15 (§ 8 ods. 3)
Doterajšia právna úprava vychádza z neplatného zákona č. 141/1961 Zb. o trestnom konaní súdnom (Trestný poriadok), v ktorom bol podľa § 12 ods. 1 orgánom činným v trestnom konaní aj súd. Podľa § 8 ods. 3 má orgán činný v trestnom konaní, ktorý skončil trestné konanie týkajúce sa osoby, ktorej profil deoxyribonukleovej kyseliny je uložený v databáze, povinnosť o tejto skutočnosti do troch pracovných dní od skončenia trestného konania informovať poverený útvar. Podľa platného Trestného poriadku súd nie je orgánom činným v trestnom konaní a preto v navrhovanej zmene sa súd uvádza osobitne ako subjekt, ktorý má tiež oznamovaciu povinnosť podľa § 8 ods. 3 zákona.
K bodu 16
Zmena prílohy č. 1 súvisí so zmenami v bode 6 (§ 4 ods. 3).
K bodu 17
V prílohe č. 2 sa zadefinoval nový formát oznamu o výsledku analýzy deoxyribonukleovej kyseliny, ktorý zohľadňuje navrhované zmeny v zákone.
K čl. IX
V súvislosti s procesom nakladania s jadrovými materiálmi je Slovenská republika viazaná plnením medzinárodných záväzkov vo vzťahu k ich kontrole a deklarácii, či nie sú využívané na iné, ako na mierové účely. Účelom systému evidencie a kontroly jadrových materiálov, tzv. zárukový systém, je zabrániť zneužívaniu jadrových materiálov, nezákonnému nakladaniu s nimi, zisťovať straty jadrových materiálov a poskytovať informácie, ktoré by mohli viesť k ich nájdeniu, a to nielen na národnej ale i medzinárodnej úrovni.
Po vstupe Slovenskej republiky do Európskej únie sa v Slovenskej republike začal uplatňovať systém tzv. integrovaných záruk medzi Európskym spoločenstvom pre atómovú energiu, Medzinárodnou agentúrou pre atómovú energiu a príslušným členským štátom. Za týmto účelom je potrebné zabezpečiť vstup určeným medzinárodným inšpektorom do jadrových zariadení v Slovenskej republike na vykonanie medzinárodnej inšpekcie.
Medzinárodní inšpektori sú menovaní na základe ustanovení v Dohode medzi Belgickým kráľovstvom, Dánskym kráľovstvom, Spolkovou republikou Nemecko, Írskou republikou, Talianskou republikou, Luxemburským veľkovojvodstvom, Holandským kráľovstvom, Európskym spoločenstvom pre atómovú energiu a Medzinárodnou agentúrou pre atómovú energiu o implementácii čl. III ods. 1 a 4 Zmluvy o nešírení jadrových zbraní a Dodatkovým protokolom k Dohode medzi Belgickým kráľovstvom, Dánskym kráľovstvom, Spolkovou republikou Nemecko, Írskou republikou, Talianskou republikou, Luxemburským veľkovojvodstvom, Holandským kráľovstvom, Európskym spoločenstvom pre atómovú energiu a Medzinárodnou agentúrou pre atómovú energiu o implementácii čl. III ods. 1 a 4 Zmluvy o nešírení jadrových zbraní (oznámenie Ministerstva zahraničných vecí Slovenskej republiky č. 36/2006 Z. z.), ako aj ustanovení článku 81 a 82 Zmluvy o založení Európskeho spoločenstva pre atómovú energiu (ďalej len „Zmluva o Euratome“). Úrad jadrového dozoru Slovenskej republiky okrem osobných údajov medzinárodných inšpektorov ďalej spracúva osobné údaje štátnych zamestnancov – inšpektorov a inšpektorov – čakateľov a ďalších osôb prizvaných na inšpekciu alebo medzinárodnú inšpekciu, ktoré na účely plnenia povinností držiteľa povolenia, konkrétne povinností v oblasti fyzickej ochrany, poskytuje držiteľovi povolenia v nevyhnutnom rozsahu potrebnom na overenie ich totožnosti pri vstupe do jadrových zariadení v Slovenskej republike.
K bodu 1
Ide o zosúladenie ustanovení § 26 atómového zákona s prijatým nariadením. Ustanovenie rieši sprístupnenie ako aj spracúvanie osobných údajov dotknutých osôb so zadefinovaním rozsahu osobných údajov a uvedením predkladaných povinných dokumentov na účel plnenia zákonnej povinnosti držiteľa povolenia spočívajúcej v kontrole vstupov a výstupov osôb do a z jadrového zariadenia.
K bodu 2
Ide o precizovanie právnej úpravy, u ktorých osôb, ktoré vstupujú alebo vystupujú do a z jadrového zariadenia, je možné spracovávať osobné údaje a za akým účelom. Vzhľadom na prepojenie s § 26 ods. 6 sa už rozsah osobných údajov dotknutých osôb neopakuje, ale len odkazuje na dané ustanovenie. Zároveň sa definuje oprávnenie úradu poskytnúť osobné údaje dotknutých osôb držiteľovi povolenia.
Pokiaľ ide o inšpektorov a inšpektorov - čakateľov, ide o osobné údaje štátnych zamestnancov zmysle zákona č. 400/2009 Z. z. o štátnej službe a o zmene a doplnení niektorých zákonov v znení neskorších predpisov, ktoré úrad poskytuje držiteľovi povolenia na účely plnenia zákonných povinností v oblasti fyzickej ochrany.
Ohľadom medzinárodných inšpektorov príslušné ustanovenie odráža požiadavku spracovávať osobné údaje vymenovaných medzinárodných inšpektorov, ktorých zoznamy sú pravidelne aktualizované a zasielané členským štátom medzinárodnými organizáciami (Európska komisia, Medzinárodná agentúra pre atómovú energiu), aby bol zabezpečený ich vstup do jadrových zariadení v Slovenskej republike s cieľom vykonať medzinárodnú inšpekciu podľa § 33 atómového zákona, kedy ak sa osoba nachádza v týchto zoznamoch, musí byť do jadrových zariadení po splnení príslušných podmienok vpustená.
Relevantnými pri medzinárodných inšpektoroch sú napríklad: Článok 9 a článok 85 Dohody medzi Belgickým kráľovstvom, Dánskym kráľovstvom, Spolkovou republikou Nemecko, Írskou republikou, Talianskou republikou, Luxemburským veľkovojvodstvom, Holandským kráľovstvom, Európskym spoločenstvom pre atómovú energiu a Medzinárodnou agentúrou pre atómovú energiu o implementácii čl. III ods. 1 a 4 Zmluvy o nešírení jadrových zbraní (oznámenie Ministerstva zahraničných vecí Slovenskej republiky č. 36/2006 Z. z.); Článok 11 Dodatkového protokolu k Dohode medzi Belgickým kráľovstvom, Dánskym kráľovstvom, Spolkovou republikou Nemecko, Írskou republikou, Talianskou republikou, Luxemburským veľkovojvodstvom, Holandským kráľovstvom, Európskym spoločenstvom pre atómovú energiu a Medzinárodnou agentúrou pre atómovú energiu o implementácii čl. III ods. 1 a 4 Zmluvy o nešírení jadrových zbraní (oznámenie Ministerstva zahraničných vecí Slovenskej republiky č. 36/2006 Z. z.); Články 81 a 82 Zmluvy o Euratome; Článok XII. písm. A) bod 6. vyhlášky ministerstva zahraničných vecí č. 59/1958 Zb. o Stanovách Medzinárodnej agentúry pre atómovú energiu.
K čl. X
Návrhom zákona dochádza aj k transpozícii smernice 2016/680 a keďže finančná správa je jedným z príslušným orgánov v zmysle tejto smernice a bude sa na ňu vzťahovať štvrtá časť zákona (Osobitné pravidlá ochrany fyzických osôb pri spracúvaní osobných údajov príslušnými orgánmi), navrhuje sa zo zákona č. 652/2004 Z. z. o orgánoch štátnej správy v colníctve v znení neskorších predpisov vypustiť, resp. upraviť ustanovenia, ktoré by boli duplicitné k právnej úpravy podľa predloženého návrhu zákona o ochrane osobných údajov.
K čl. XI
Návrhom zákona dochádza aj k transpozícii smernice 2016/680 a keďže súdy sú jedným z príslušným orgánov v zmysle tejto smernice a bude sa na nich vzťahovať štvrtá časť zákona (Osobitné pravidlá ochrany fyzických osôb pri spracúvaní osobných údajov príslušnými orgánmi), navrhuje sa zo zákona č. 757/2004 Z. z. o súdoch v znení neskorších predpisov vypustiť, resp. upraviť ustanovenia, ktoré by boli duplicitné k právnej úpravy podľa predloženého návrhu zákona o ochrane osobných údajov.
K čl. XII
Návrhom nového zákona o ochrane osobných údajov dôjde aj k úprave práv dotknutej osoby, ktoré boli posilnené a ktoré dotknutej osobe dávajú možnosť požadovať od prevádzkovateľa informácie aké osobné údaje o dotknutej osobe spracúva, prípadne, komu boli získané osobné údaje poskytnuté. Ustanovenie § 7 ods. 13 zákona č. 129/2010 Z. z. o spotrebiteľských úveroch a o iných úveroch a pôžičkách pre spotrebiteľov a o zmene a doplnení niektorých zákonov je totožné svojím obsahom s navrhovaným § 22 a § 23 zákona, preto sa navrhuje jeho vypustenie. Vypustenie je tiež navrhované z dôvodu harmonizácie právnych predpisov Slovenskej republiky s nariadením. Aj napriek vypusteniu ustanovenia z textu zákona o spotrebiteľských úveroch práva pre klientov, spotrebiteľov fyzické osoby zostávajú zachované, ale v rámci nariadenia alebo v rámci návrhu zákona.
K čl. XIII
Návrhom nového zákona o ochrane osobných údajov dôjde aj k úprave práv dotknutej osoby, ktoré boli posilnené a ktoré dotknutej osobe dávajú možnosť požadovať od prevádzkovateľa informácie aké osobné údaje o dotknutej osobe spracúva, prípadne, komu boli získané osobné údaje poskytnuté. Ustanovenie § 72 ods. 13 zákona č. 39/2015 Z. z. o poisťovníctve a o zmene a doplnení niektorých zákonov je totožné svojím obsahom s navrhovaným § 22 a 23 návrhu zákona, preto sa navrhuje jeho vypustenie. Vypustenie je tiež navrhované z dôvodu harmonizácie právnych predpisov Slovenskej republiky s nariadením. Aj napriek vypusteniu ustanovenia z textu zákona o poisťovníctve práva pre klientov, spotrebiteľov fyzické osoby zostávajú zachované, ale v rámci nariadenia alebo v rámci návrhu zákona.
K čl. XIV
Článok upravuje navrhovaný termín účinnosti zákona, a to 25. máj 2018.
Príloha k zákonu:
ZOZNAM PREBERANÝCH PRÁVNE ZÁVäZNÝCH AKTOV EURÓPSKEJ ÚNIE
V Bratislave, 20. septembra 2017
Robert Fico, v.r.
predseda vlády Slovenskej republiky
Soňa Pőtheová, v.r.
predsedníčka Úradu na ochranu osobných údajov Slovenskej republiky
-
Vládny návrh zákona o poisťovníctve a o zmene a doplnení niektorých zákonov
K predpisu 39/2015, dátum vydania: 05.03.20152
Dôvodová správa
Všeobecná časť
Návrh zákona o poisťovníctve a o zmene a doplnení niektorých zákonov (ďalej len 'návrh zákona') vypracovalo Ministerstvo financií Slovenskej republiky na základe uznesenia vlády Slovenskej republiky č. 155 z 3. apríla 2013 k Návrhu na určenie gestorských ústredných orgánov štátnej správy a niektorých orgánov verejnej moci, zodpovedný ch za prebratie a aplikáciu smerníc.
Cieľom návrhu zákona je implementovať smernicu Európskeho parlamentu a Rady 2009/138/ES z 25. novembra 2009 o začatí a vykonávaní poistenia a zaistenia (Solventnosť II) (prepracované znenie) v znení smernice Európskeho parlamentu a Rady 2014/51/EÚ zo 16. apríla 2014, ktorou sa menia smernice 2003/71/ES a 2009/138/ES a nariadenia (ES) č . 1060/2009, (EÚ) č. 1094/2010 a (EÚ) č. 1095/2010 v súvislosti s právomocami európskeho orgánu dohľadu (Európsky orgán pre poisťovníctvo a dôchodkové poistenie zamestnancov) a európskeho orgánu dohľ adu (Európsky orgán pre cenné papiere a trhy) (ďalej len 'smernica Solventnosť II').
Cieľom implementácie smernice Solventnosť II je zavedenie nového ekonomického režimu solventnosti platného pre poisťovne a zaisťovne založenom na dôslednej kvantifikácii jednotlivých rizík, ktorým sú pois ťovne a zaisťovne vystavené. Na vytvorenie funkčného systému sa využil Lamfalussyho proces (t.j. 1. úroveň – rámcová smernica, 2. úroveň – vykonávacie predpisy Európskej komisie a 3. úroveň – technické štandardy Európskej komisie a odporúčania vydané Európskym orgánom pre poisťovníctvo a dôchodkové poistenie zamestnancov). Cieľom Solventnosti 2 je najmä zabezpečiť lepš iu ochranu pre poistených a oprávnené osoby, dosiahnuť hlbšiu integráciu poistného trhu EÚ, zvýšiť konkurencieschopnosť poisťovateľov z EÚ a zabezpečiť lepšie rozdelenia kapitálový ch zdrojov. Nový systém solventnosti by mal poskytnúť orgánom dohľadu nástroje a právomoci na zhodnotenie 'celkovej solventnosti' dohliadaných spoločností, ktoré sú založené na výhľadovom a rizikovo orientovanom prístupe. Proces dohľadu už nebude pozostávať len z kvantitatívnych prvkov, ale bude pokrývať aj kvalitatívne aspekty, ktoré ovplyvňujú existenciu rizika v spoloč nosti (riadiacu kapacitu, kontrolu vnútorného rizika, procesy monitorovania rizika atď.).
Pre nový systém bol navrhnutý trojpilierový systém pozostávajúci z Piliera 1 - Finančné požiadavky, Piliera 2 – Systém správy a riadenia a Piliera 3 – Vykazovanie pre účely dohľadu a zverejň ovanie informácií. V rámci Piliera 1 obsahuje nový systém solventnosti dve kapitálové požiadavky vypočítané pre odlišné účely a podľa odlišných metód – kapitálovú pož iadavku na solventnosť (SCR) a minimálnu kapitálovú požiadavku na solventnosť (MCR). SCR predstavuje úroveň kapitálu, ktorá umožňuje poisťovni absorbovať závažné neočakávané straty a, ktorá z ároveň poskytuje poisteným primeranú ochranu. Samotný výpočet SCR bude prebiehať prostredníctvom štandardného vzorca alebo interného modelu vyvinutého poisťovňou alebo zaisťovňou. MCR predstavuje takú úroveň kapitálu, pod ktorú by výška finančných zdrojov nemala klesnúť.
Nakoľko nový systém je navrhnutý tak, aby stimuloval poisťovne a zaisťovne k meraniu a adekvátnemu riadeniu svojho rizika, bude aj činnosť dohľadu zameraná na identifikáciu rizikového profilu dohliadanej spoloč nosti. Solventnosť II prináša aj výrazné zmeny v súvislosti s dohľadom nad poisťovňami a zaisťovňami v skupine – poistné skupiny budú dohliadané komplexne, s čím je úzko spojený presun ur čitých kompetencií pri výkone dohľadu na orgán dohľadu nad skupinou, resp. Európsky orgán dohľadu (Európsky orgán pre poisťovníctvo a dôchodkové poistenie zamestnancov).
V súvislosti s transpozíciou smernice Solventnosť II obsahuje návrh zákona v článku II novelizáciu Občianskeho zákonníka týkajúcu sa poskytovania predzmluvný ch informácií klientom. Èlánok III obsahuje novelu zákona č. 381/2001 Z. z. o povinnom zmluvnom poistení zodpovednosti za škodu spôsobenú prevádzkou motorového vozidla a o zmene a doplnení niektorých zá konov v znení neskorších predpisov, v ktorej sa zavádza pre poisťovne povinnosť uplatňovať systém bonus a malus.
Návrh zákona sa nepredkladá na vnútrokomunitárne pripomienkovanie Európskej centrálnej banke podľa čl. 15 ods. 1 Legislatívnych pravidiel vlády Slovenskej republiky a podľa rozhodnutia Rady č . 98/415/ES o poradení sa s Európskou centrálnou bankou vnútroštátnymi orgánmi o návrhu právnych predpisov, keďže sa ním implementujú právne predpisy Európskej únie.
Prijatie navrhovaného zákona nebude mať vplyv na zamestnanosť, životné prostredie a na verejné financie. Vzhľadom na jeho komplexnosť môže zvýšiť administratívne zaťaženie pre poisťovne. Zároveň bude mať pozitívny vplyv na informatizáciu spoločnosti.
Návrh zákona je v súlade s Ú stavou Slovenskej republiky, zákonmi a ostatnými všeobecne záväznými právnymi predpismi, ako aj s medzinárodnými zmluvami, ktorými je Slovenská republika viazaná a aj s právom Európskej únie.
Navrhuje sa, aby zákon nadobudol účinnosť 1. januára 2016 okrem t ých ustanovení, ktoré súvisia s nábehom na nový režim, pričom tieto ustanovenia nadobudnú účinnosť 1. apríla 2015.
zobraziť dôvodovú správu -
Vládny návrh zákona o poisťovníctve a o zmene a doplnení niektorých zákonov
K predpisu 39/2015, dátum vydania: 05.03.201542
1
Osobitná časť
K čl. I
K § 1
V tomto ustanovení sa upravuje účel zákona o poisťovníctve. Predmetom návrhu zákona o poisťovníctve (ďalej len 'ná vrh zákona') sú niektoré vzťahy sú visiace so vznikom, organizáciou, riadením a vykonávaním činností poisťovní a zaisťovní so sídlom na území Slovenskej republiky, úprava reorganizácie a niektorých vzťahov súvisiacich s ich zánikom. Ïalšou oblasťou, ktorú návrh zákon upravuje sú niektoré vzťahy súvisiace s pôsobením poisťovní z iných č lenských štátov a zaisťovní z iných členských štátov vykonávajúcich poisťovaciu a zaisťovaciu činnosť na území Slovenskej republiky na základe jednotného európskeho pasu a zahraničných poisťovní a zahraničných zaisťovní so sídlom mimo územia Európskej únie, ktoré vykonávajú poisťovaciu a zaisťovaciu činnosť na území Slovenskej republiky prostredníctvom svojich pobočiek. Ná vrh zákona upravuje aj vykonávanie dohľadu nad poisťovacou a zaisťovacou činnosťou.
K § 2
V súlade s článkom 2 smernice Euró pskeho parlamentu a Rady 2009/138/ES o začatí a vykonávaní poistenia a zaistenia (Solventnosť II) (ďalej len 'smernica Solventnosť II') ustanovenie špecifikuje, že návrh zákona sa vzťahuje na životné poisťovne, neživotné poisťovne, univerzá lne poisťovne a zaisťovne.
K § 3
Je vhodné, aby sa návrh zákona nevzťahoval na určité subjekty, ktoré poskytujú poisťovacie služby, a to pre ich veľkosť, právne postavenie, povahu – keďže sú úzko prepojené s verejnými systémami poistenia – alebo pre špecifické služby, ktoré poskytujú. Uvedené ustanovenie preto špecifikuje subjekty a činnosti, na ktoré sa návrh zákona nevzťahuje. Explicitne sa stanovuje, že sa návrh zákona nevťahuje na vykonávanie verejného zdravotné ho poistenia, sociálneho poistenia a na ďalšie činnosti a subjekty v súlade s článkami 5, 6, 9, 10 a 11 smernice Solventnosť II.
K § 4
V ustanovení sa vymedzujú základné pojmy, s ktorými sa v návrhu zákona ďalej pracuje, čím sa zabezpečí jednotný výklad používaných pojmov v záujme odstránenia problémov a nejasností pri ich aplikácii. V tomto ustanovení sú definované subjekty poistného trhu, bližšia charakteristika poisťovacej činnosti a zaisťovacej činnosti a finitného zaistenia.
K § 5
V tomto ustanovení sú vymedzené pojmy používané len na účely tohto zákona. Ide o pojmy, ktoré súvisia s udeľovaním povolenia na vykoná vanie poisťovacej činnosti a zaisťovacej činnosti (napr. úzke väzby, kvalifikovaná účasť) alebo, ktoré súvisia s výkonom dohľadu (napr. dcérska spoločnosť, materská spoločnosť, členský štát, členský štát pobočky, členský štát, v ktorom je umiestnené riziko, členský štát záväzku, domovský členský štát, vnútroskupinová transakcia) alebo o pojmy, ktoré súvisia s požiadavkami na poisť ovne alebo zaisťovne (napr. zverenie výkonu činnosti, upisovacie riziko, trhové riziko, kreditné riziko, operačné riziko, riziko likvidity).
K § 6
Obsah tohto ustanovenia návrhu zákona tvoria zásadné náležitosti týkaj úce sa vykonávania poisťovacej činnosti. Vykonávanie poisťovacej činnosti je podmienené povolením, ktorým sa povoľuje vznik poisťovne alebo zriadenie pobočky zahraničnej poisťovne. Stanovuje sa, že poisťovňa má právnu formu akciovej spoločnosti alebo európskej spoločnosti. Zahraničná poisťovňa môže vykonávať poisťovaciu činnosť na území Slovenskej republiky len prostredn íctvom svojej pobočky, ktorej bolo Národnou bankou Slovenska udelené povolenie na vykonávanie poisťovacej činnosti. Poisťovňa a pobočka zahraničnej poisťovne by mali obmedziť svoje aktivity na poisťovanie a súvisiace činnosti. Národná banka Slovenska udeľuje povolenie na vykonávanie poisťovacej činnosti pre poistný druh životného poistenia alebo pre poistný druh neživotné ho poistenia. Výnimka z tejto zásady je možná v prípade poisťovní vykonávajúcich životné poistenie, týmto môže byť udelené povolenie aj n a vykonávanie poistenia úrazu a poistenia choroby alebo v prípade poisťovní vykonávajúcich iba poistenie úrazu a poistenie choroby, ktorým môže byť udelené povolenia na vykonávanie životného poistenia. Súčasné vykonávanie životného poistenia a neživotného poistenia je možné aj v prí pade poisťovní vykonávajúcich poisťovaciu činnosť v súlade s doterajšími predpismi. Èlenenie poistných druhov na jednotlivé poistné odvetvia tvorí prílohu č. 1 k návrhu zákona.
K § 7
Začatie vykonávania poisťovacej činnosti poisťovňou musí podlieha ť predchádzajúcemu povoleniu. Z uvedeného dôvodu sa stanovujú podmienky a postup udeľovania povolenia na vykonávanie poisťovacej činnosti v súlade so smernicou Solventnosť II. Podmienky, ktoré musia zakladatelia poisťovne splniť sú zamerané najmä na prehľadnosť finančných prostriedkov, vhodnosť osôb s kvalifikovanou účasťou na poisťovni, odbornú spôsobilosť a dôveryhodnosť osôb, ktoré sú navrhované skutočne riadiť poisťovňu alebo ktoré budú mať iné kľúčové funkcie, splnenie požiadaviek ohľadne základných vlastných zdrojov a použiteľných vlastných zdrojov a dodržiavanie systému správy a riadenia. V zmysle návrhu delegovaného nariadenia Európskej komisie (EÚ) č. .../ z 28. júla 2014 pozmeňujúcom smernicu Euró pskeho parlamentu a Rady 2009/138/ES o začatí a vykonávaní poistenia a zaistenia (Solventnosť II) (ďalej len 'vykonávacie nariadenie') osoby, ktoré skutočne riadia poisťovňu pozostávajú z členov predstavenstva poisťovne, vedúcich zamestnancov v priamej riadiacej pôsobnosti predstavenstva, ktorí sú zodpovední za riadenia a implementáciu strategických rozhodnutí predstavenstva ako i za implementovanie koncepcií schválených predstavenstvom. Kritická alebo dôle žitá operačná funkcia je funkcia alebo činnosť nevyhnutná pre výkon činností poisťovne, čiže bez nich by poisťovňa nedokázala poskytovať svoje služby. Zahàňajú funkciu riadenia rizí k, funkciu dodržiavania súladu s predpismi, funkciu vnútorného auditu, aktuársku funkciu a funkcie špecifickej dôležitosti pre poisťovňu vzhľadom na vykonávané činnosti a organizačnú štruktúru. Pr íkladom kritickej alebo dôležitej operačnej funkcie okrem štyroch základných funkcií uvedený ch vyššie sú vývoj a oceňovanie produktov, riadenie aktív a investovanie, likvidácia poistných udalostí, účtovníctvo a vykonávanie vlastného posúdenia rizika a solventnosti. Naopak, nasledujúce č innosti nie sú považované za kritické alebo dôležité operačné funkcie:
a) poskytnutie poradenstva a iných služieb, ktoré nie sú súčasťou poisťovacej alebo zaisťovacej činnosti, napríklad právne poradenstvo, š kolenia zamestnancov, bezpečnostné služby,
b) nákup štandardizovaných služieb, napríklad marketingový prieskum, trhové ukazovatele, nákup štandardizovaného softwaru,
c) nákup obslužných služ ieb, napríklad upratovacie služby, stravovacie služby.
Stanovujú sa prípady, kedy N árodná banka Slovenska žiadosť zamietne, pričom v prípade ak žiadateľ preukáže splnenie podmienok len pre niektoré z požadovaných činností, môže Národná banka Slovenska vyhovieť žiadosti čiastočne.
K § 8
Obsah tohto ustanovenia tvoria zásadné náležitosti týkajúce sa vykonávania zaisťovacej činnosti. Vykonávanie zais ťovacej činnosti je podmienené povolením, ktorým sa povoľuje vznik zaisťovne alebo zriadenie pobočky zahraničnej zaisťovne. Stanovuje sa, ž e zaisťovňa má právnu formu akciovej spoločnosti alebo európskej spoločnosti. Zahraničná zaisťovňa môže vykonávať zaisť ovaciu činnosť na území Slovenskej republiky len prostredníctvom svojej pobočky, ktorej bolo Národnou bankou Slovenska udelené povolenie na vykonávanie zaisťovacej činnosti. Uvedené obmedzenie neplat í v prípade zaisťovní z tretích krajín, ktorých režim solventnosti je v zmysle článku 172 smernice Solventnosť II rovnocenný s režimom Solventnosť II. V takom prípade sa zaistné zmluvy uzavreté s takýmito zahraničnými zaisťovňami posudzujú rovnakým spôsobom ako zaistné zmluvy uzavreté so spoločnosťami so sídlom v členskom štáte. Zaisťovňa a pobočka zahraničnej zaisť ovne by mali obmedziť svoje aktivity na zaisťovanie a súvisiace činnosti. Táto požiadavka by nemala brániť zaisťovni alebo pobočke zahraničnej zaisťovne vykonávať č innosti ako poskytovanie poradenstva v oblasti štatistickej alebo poistno-matematickej, analýzy rizík alebo výskumu pre svojich klientov. Môže tiež zahàňať funkcie holdingovej spoločnosti a činnosti finančné ho sektora v zmysle článku 2 ods. 8 smernice Európskeho parlamentu a Rady 2002/87/ES zo 16. decembra 2002 o doplnkovom dohľade nad úverovými inštitúciami, poisťovňami a investičnými spoločnosťami vo finanč nom konglomeráte. Táto požiadavka v žiadnom prípade neumožňuje vykonávanie nesúvisiacich bankových a finančných činností. Národná banka Slovenska udeľuje povolenie na vykonávanie zais ťovacej činnosti pre poistný druh životného poistenia, neživotného poistenia alebo pre oba tieto poistné druhy.
Povolenie na vykonávanie zaisťovacej činnosti môže Národná banka Slovenska udeliť aj poisťovni.
K § 9
Začatie vykonávania zaisťovacej činnosti zaisťovňou musí podliehať predchádzajúcemu povoleniu. Z uvedeného dôvodu sa stanovujú podmienky a postup udeľovania povolenia na vykon ávanie zaisťovacej činnosti v súlade so smernicou Solventnosť II. Podmienky, ktoré musia zakladatelia zaisťovne splniť sú zamerané najmä na prehľadnosť finančných prostriedkov, vhodnosť osôb s kvalifikovanou účasťou na zaisťovni, odbornú spôsobilosť a dôveryhodnosť osôb, ktoré sú navrhované skutočne riadiť zaisťovňu alebo ktoré budú mať iné kľúčové funkcie, splnenie po žiadaviek ohľadne základných vlastných zdrojov a použiteľných vlastných zdrojov a dodržiavanie systému správy a riadenia. V zmysle návrhu vykonávacieho nariadenia osoby, ktoré skutočne riadia zaisťov ňu pozostávajú z členov predstavenstva zaisťovne, vedúcich zamestnancov v priamej riadiacej pôsobnosti predstavenstva, ktorí sú zodpovední za riadenia a implementáciu strategických rozhodnutí predstavenstva ako i za implementovanie koncepcií schválených predstavenstvom. Kritická alebo dôležitá operačná funkcia je funkcia alebo činnosť nevyhnutná pre výkon činností zaisťovne, čiže bez nich by zaisťovň a nedokázala poskytovať svoje služby. Zahàňajú funkciu riadenia rizík, funkciu dodržiavania súladu s predpismi, funkciu vnútorného auditu, aktuársku funkciu a funkcie špecifickej dôležitosti pre zaisťovň u vzhľadom na vykonávané činnosti a organizačnú štruktúru. Príkladom kritickej alebo dôležitej operačnej funkcie okrem štyroch základných funkcií uvedených vyššie sú vývoj a oceň ovanie produktov, riadenie aktív a investovanie, likvidácia poistných udalostí, účtovníctvo a vykonávanie vlastného posúdenia rizika a solventnosti. Naopak, nasledujúce činnosti nie sú považované za kritick é alebo dôležité operačné funkcie:
a) poskytnutie poradenstva a iných služieb, ktoré nie sú súčasťou zaisťovacej činnosti, napríklad právne poradenstvo, š kolenia zamestnancov, bezpečnostné služby,
b) nákup štandardizovaných služieb, napríklad marketingový prieskum, trhové ukazovatele, nákup štandardizovaného softwaru,
c) nákup obslužných služ ieb, napríklad upratovacie služby, stravovacie služby.
V prípade, ak o udelenie povolenia na vykonávanie zaisťovacej činnosti žiada poisťovňa, uplatňujú sa ustanovenia paragrafu primerane s dôrazom na splnenie požiadaviek potrebných a príznačných pre vykoná vanie zaisťovacej činnosti.
Obdobne ako pri udeľovaní povolenia na vykonávanie pois ťovacej činnosti sa tu upravuje možnosť Národnej banky Slovenska pri posúdení žiadosti o vydanie povolenia žiadosti vyhovieť aj čiastočne, prípadne žiadosť zamietnuť.
K § 10
Toto ustanovenie upravuje udelenie povolenia na vykonávanie poisťovacej činnosti zahraničnej poisťovni, ktorá vykonáva svoju činnosť na území Slovenskej republiky prostredníctvom pobočky. Pravidlá a podmienky sú obdobné ako pre slovenské poisťovne s prihliadnutím na niektoré špecifiká, ktoré sa týkaj ú len zahraničných poisťovní. Pre pobočku zahraničnej poisťovne sa stanovuje povinnosť uložiť finančné prostriedky vo výške štvrtiny absolútnej spodnej hranice pre minimálnu kapitálovú požiadavku na solventnosť na samostatnom účte v banke, pričom tieto finančné prostriedky musia byť uložené na tomto účte po celý čas pôsobenia pobočky zahraničnej poisť ovne. Zahraničná poisťovňa, ktorá požiadala Národnú banku Slovenska o udelenie povolenia na vykoná vanie poisťovacej činnosti prostredníctvom pobočky a má oprávnenie udelené aj v inom členskom štáte môže požiadať Národnú banku Slovenska o poskytnutie výhod spočívajúcich v tom, že finančné prostriedky môže uložiť na samostatnom účte v banke len v jednom členskom štáte, výpo čet kapitálovej požiadavky na solventnosť sa vykonáva vo vzťahu k celému rozsahu poisťovacej činnosti, ktorú vykonáva v členských štátoch a aktíva predstavujúce minimálnu kapitálovú pož iadavku na solventnosť sa môžu umiestniť v ktoromkoľvek členskom štáte, v ktorom zahraničná poisťovňa vykonáva poisťovaciu činnosť. Národná banka Slovenska pri posudzovaní žiadosti o udelenie povolenia na vykonávanie činnosti pre zahraničnú poisťovňu prostredníctvom jej pobočky je pod ľa konkrétnych podmienok oprávnená žiadosti vyhovieť aj čiastočne, prípadne žiadosť zamietnuť, avšak dôvodom na zamietnutie žiadosti nemôžu byť ekonomické potreby trhu ani skutočnosť, ž e právna forma zahraničnej poisťovne nezodpovedá právnej forme akciovej spoločnosti.
K § 11
Nasledovné ustanovenie upravuje udelenie povolenia na vykon ávanie zaisťovacej činnosti zahraničnej zaisťovni, ktorá vykonáva svoju činnosť na území Slovenskej republiky prostredníctvom pobočky. Pravidlá a podmienky sú obdobné ako pre slovenské zaisťovne s prihliadnutím na niektoré špecifiká, ktoré sa týkajú len zahraničných zaisťovní. Pre poboč ku zahraničnej zaisťovne obdobne ako pre pobočku zahraničnej poisťovne sa stanovuje povinnosť uložiť finančné prostriedky vo výške štvrtiny absolútnej spodnej hranice pre minimálnu kapitálovú požiadavku na solventnosť na samostatnom účte v banke, pričom tieto finančné prostriedky musia byť ulo žené na tomto účte po celý čas pôsobenia pobočky zahraničnej zaisťovne. Zahraničná zaisť ovňa, ktorá požiadala Národnú banku Slovenska o udelenie povolenia na vykonávanie zaisťovacej činnosti prostredníctvom pobočky a má oprávnenie udelené aj v inom členskom štáte môže požiadať N árodnú banku Slovenska o poskytnutie výhod spočívajúcich v tom, že finančné prostriedky môže uložiť na samostatnom účte v banke len v jednom členskom štáte, výpočet kapitálovej pož iadavky na solventnosť sa vykonáva vo vzťahu k celému rozsahu zaisťovacej činnosti, ktorú vykonáva v členských štátoch a aktíva predstavujúce minimálnu kapitálovú požiadavku na solventnosť sa m ôžu umiestniť v ktoromkoľvek členskom štáte, v ktorom zahraničná zaisťovňa vykonáva zaisťovaciu činnosť. Národná banka Slovenska pri posudzovaní žiadosti o udelenie povolenia na vykonávanie činnosti pre zahraničnú zaisťovňu prostredníctvom jej pobočky je podľa konkrétnych podmienok oprávnená žiadosti vyhovieť aj čiastočne, prípadne žiadosť zamietnuť, avšak dô vodom na zamietnutie žiadosti nemôžu byť ekonomické potreby trhu ani skutočnosť, že prá vna forma zahraničnej zaisťovne nezodpovedá právnej forme akciovej spoločnosti.
K § 12
Ustanovenie určuje, že povolenie na vykonávanie poisť ovacej činnosti alebo zaisťovacej činnosti sa vydáva na neurčitý čas a nie je prevoditeľné na inú osobu. Povolenie oprávňuje poisťovňu alebo zaisťovňu vykonávať poisťovaciu činnosť alebo zais ťovaciu činnosť na území celého Spoločenstva prostredníctvom pobočky alebo na základe práva slobodného poskytovania služieb.
Ustanovenie ďalej upravuje rozsah povolenia na vykoná vanie poisťovacej činnosti alebo zaisťovacej činnosti a stanovuje dodatočné náležitosti, ktoré musí výrok rozhodnutia, ktorým sa udeľuje povolenie na vykonávanie poisťovacej č innosti alebo povolenie na vykonávanie zaisťovacej činnosti obsahovať.
Ustanovenie rieši aj vzťah konania o ž iadosti na udelenie povolenia na vykonávanie poisťovacej činnosti alebo udelenie povolenia na vykonávanie zaisťovacej činnosti a platnej medzinárodnej zmluvy tak, že povolenie nemôže byť udelené, pokiaľ by také to povolenie bolo v rozpore s príslušnou medzinárodnou zmluvou.
Zároveň sa upravuje povinnosť poisťovne alebo zaisťovne informovať Národnú banku Slovenska o zmenách skutočností uvedených v § 7 alebo § 9. Rovnaká povinnosť sa ukladá aj pre zahraničné poisťovne alebo zahraničné zaisťovne, ktoré majú sídlo v inom ako členskom štáte a vykonávajú svoju činnosť na území Slovenskej republiky prostredníctvom pobočky.
K § 13
Ustanovenie upravuje postup a podmienky pri žiadosti poisťovne, zaisťovne, zahraničnej poisťovne alebo zahraničnej zaisťovne na zmenu povolenia na vykonávanie poisťovacej činnosti alebo povolenia na vykonávanie zaisť ovacej činnosti. Zmenou povolenia na vykonávanie poisťovacej činnosti sa rozumie rozšírenie alebo zúženie povolenia o jedno alebo viac poistných odvetví uveden ých v prílohe č. 1, alebo len o jedno alebo viac vybraných rizík v rámci poistného odvetvia. Zmenou povolenia na vykonávanie zaisťovacej činnosti sa rozumie rozšírenie alebo zúženie povolenia o poistný druh neživotné poistenie alebo životné poistné. O žiadosti o zmenu povolenia rozhoduje Národná banka Slovenska.
K § 14
V súlade s článkom 26 smernice Solventnosť II sa upravuje predchádzajúca konzultácia Ná rodnej banky Slovenska s príslušnými orgánmi dohľadu iných členských štátov pred udelen ím povolenia poisťovni alebo zaisťovni, ktorá je dcérskou spoločnosťou poisťovne z iného členského štátu alebo zaisťovne z iného členského štátu, dcérskou spoločnosťou materskej spoloč nosti poisťovne z iného členského štátu alebo zaisťovne z iného členského štátu, alebo spoločnosťou kontrolovanou tou istou osobou, ktorá kontroluje aj poisťovňu z iného členského štá tu alebo zaisťovňu z iného členského štátu. Rovnako sa ukladá Národnej banke Slovenska povinnosť prerokovať s príslušným orgánom dohľadu iného členského štátu udelenie povolenia, ak je budúca poisťovňa alebo zaisťovňa majetkovo prepojená s finančnými inštitúciami členských štátov EÚ. Príslušné orgány dohľadu sa musia navzájom informovať aj o skutočnostiach, ktoré sa t ýkajú vhodnosti akcionárov a vhodnosti a odbornosti všetkých osôb, ktoré skutočne riadia spoločnosť alebo majú iné kľúčové funkcie. Vš etky tieto informácie sú dôležité pre príslušné orgány dohľadu pri udeľovaní povolenia ako aj pre priebežnú kontrolu dodržiavania podmienok činnosti finančnými inštitúciami.
K § 15
Upravuje sa informačná povinnosť poisťovne alebo zaisťovne, ktorá sa rozhodla zriadiť pobočku na území iného členského štátu voči Národnej banke Slovenska. Okrem základn ých informácií ako je členský štát plánovanej pobočky, navrhované sídlo pobočky, meno a priezvisko osoby navrhovanej za vedúceho pobočky a organizačnej štruktúry pobočky, musí ozná menie obsahovať plán poisťovacej činnosti a, ak sa poisťovňa rozhodla vykonávať povinné zmluvné poistenie zodpovednosti za škodu spôsobenú prevádzkou motorového vozidla vyhlásenie, že sa stala členom n árodnej kancelárie a národného garančné ho fondu členského štátu pobočky. Obdobne sa upravuje oznamovacia povinnosť poisťovne alebo zaisťovne, ktorá rozhodla o zriadení pobočky na území iného ako členského štátu. Zároveň sa stanov uje povinnosť informovať Národnú banku Slovenska o plánovaných zmenách najmenej 30 dní pred ich uskutočnením.
K § 16 a 17
V sú lade so smernicou Solventnosť II sa stanovujú postupy, za ktorých môže poisťovňa alebo zaisťovňa so sídlom na území Slovenskej republiky vykonáva ť poisťovaciu činnosť alebo zaisťovaciu činnosť na území iných členských štátov a to prostredníctvom pobočky alebo na základe slobodné ho poskytovania služieb. Upravuje sa výmena informáci í medzi Národnou bankou Slovenska a príslušnými orgánmi dohľadu hostiteľských členských štátov pri vykonávaní dohľadu nad pôsobení m uvedených poisťovní a zaisťovní.
Dohľad nad vykonávaním činnosti poisťovní a zais ťovní so sídlom na území Slovenskej republiky, ktoré vykonávajú poisťovaciu činnosť alebo zaisťovaciu činnosť na území iných členských štátov vykonáva Národná banka Slovenska. Ak poisťovňa alebo zaisťovňa na území hostiteľského členského štátu neuskutoční v určenej lehote nápravu, je povinná vykonať alebo strpie ť opatrenia prijaté príslušným orgánom dohľadu hostiteľského členského štátu.
K § 18 až 20
V súlade so smernicou Solventnosť II sa stanovujú postupy, za ktorých môže poisťovňa z iného členského štátu alebo zaisťovňa z iného členského štátu vykonávať svoju poisťovaciu alebo zaisťovaciu činnosť na území Slovenskej republiky prostredníctvom pobočky alebo na základe slobodného poskytovania služieb. Upravuje sa výmena informácií medzi príslušnými orgánmi dohľadu domovských členských štátov a Ná rodnou bankou Slovenska pri vykonávaní dohľadu nad pôsobením uvedených osôb.
Dohľad nad vykonávaním poisťovacej a zaisťovacej činnosti poisťovňou z iného členského štátu alebo zaisťovňou z iného členského štátu vykonáva príslušný orgán dohľadu domovského členského štátu, ak zákon neustanovuje inak.
K § 21
Upravuje sa postup Národnej banky Slovenska, v prí pade zistenia porušenia všeobecne záväzných právnych predpisov poisťovňou z iného členského štátu alebo zaisťovňou z iného členského štátu. Národná banka Slovenska je oprávnená vyzvať tieto subjekty na uskutočnenie nápravy v stanovenej lehote a súčasne o tom informuje príslušný orgán dohľadu domovského členského štátu a požiada o vykonanie opatrení na ukončenie protiprávneho stavu (článok 155 smernice Solventnosť II). Ak napriek tomuto opatreniu poisťovňa z iného členského štátu alebo zaisťovňa z iného členského štátu naď alej porušuje právne predpisy môže Národná banka Slovenska, po informovaní príslušného orgánu dohľadu domovského členského štátu, sama uložiť opatrenia na odstránenie nedostatkov.
V prípade odobratia oprávnenia na vykonávanie poisťovacej činnosti poisťovňou z iného členského štátu alebo odobratia povolenia na vykoná vanie zaisťovacej činnosti zaisťovňou z iného členského štátu príslušným orgánom dohľadu, prijme Národná banka Slovenska, hneď ako sa o tejto skutočnosti dozvie, opatrenia na zamedzenie vykoná vania poisťovacej činnosti alebo zaisťovacej činnosti.
Upravuje sa oznamovacia povinnosť poisťovne z iného členského štátu a zaisťovne z iného členského štátu voči Národnej banke Slovenska. Z ároveň sa v odseku 7 upravuje informačná povinnosť Národnej banky Slovenska voči príslušnému orgánu dohľadu domovského členského štátu v prípade, ak Národná banka Slovenska zistí, že č innosť poisťovne z iného členského štátu alebo zaisťovne z iného členského štátu by mohla mať negatívny vplyv na jej finančnú situáciu.
Ustanovenie umožňuje v zmysle článku 155 smernice Solventnosť II, Národnej banke Slovenska pož adovať od poisťovne z iného členského štátu alebo zaisťovne z iného členského štátu informácie v rovnakom rozsahu ako od poisťovne alebo zais ťovne so sídlom na území Slovenskej republiky.
K § 22
V súlade so smernicou Solventnosť II sa upravuje oznamovacia povinnosť Národnej banky Slovenska vo vzť ahu k Európskej komisii (ďalej len 'Komisia'), Európskemu orgánu pre poisťovníctvo a dôchodkové poistenie zamestnancov a k príslušným orgá nom dohľadu iných členských štátov.
K § 23
Niektoré riziká môžu byť náležite zvládnuté skôr len prostredn íctvom požiadaviek na správu ako prostredníctvom kvantitatívnych požiadaviek premietnutých v kapitálovej požiadavke na solventnosť. Účinný systém správy a riadenia je preto podstatný pre primerané riadenie poisťovne a zaisťovne a pre systém regulácie. Systém správy a riadenia zahàňa minimálne funkciu riadenia rizík, funkciu dodržiavania súladu, funkciu vnútorného auditu a poistno-matematickú funkciu (kľúčové funkcie).
Funkcia predstavuje administratívnu schopnosť vykonávať konkrétne úlohy správy a riadenia. Určenie konkrétnej funkcie nebráni poisťovni a zaisťovni voľne rozhodnúť, ako zabezpečiť tú to funkciu v praxi, ak sa v zákone nestanovuje inak. To by nemalo viesť k neprimerane zaťažujúcim požiadavkám, lebo by sa malo prihliadať na povahu, rozsah a zložitosť operácií poisťovne a zaisť ovne. Preto by malo byť možné, aby tieto funkcie vykonávali vlastní pracovníci alebo sa môže využiť poradenstvo externých odborníkov, prípadne ich možno zabezpečiť prostredníctvom externých odborní kov v súlade s obmedzeniami stanovenými v zákone.
V malých a menej zložitých poisťovniach a zaisťovniach môže jedna osoba alebo organizačná jednotka vykonávať viac ako jednu funkciu, okrem funkcie vnútorného auditu.
Funkcie zahrnuté v systéme správy a riadenia sa považujú za kľúčové funkcie, a teda aj za dôležité a kritické funkcie.
Vzhľadom na osobitnú povahu činností finitného zaistenia poisťovne a zais ťovne, ktoré uzatvárajú zmluvy o finitnom zaistení alebo vykonávajú činnosti finitného zaistenia, musia byť schopné správne stanoviť, merať a riadiť riziká vyplývajúce z týchto zmlúv alebo č inností.
Podrobnejšie požiadavky na systém správy a riadenia a odbornosť a vhodnosť osôb, ktoré skutočne riadia spoločnosť alebo vykonávajú iné kľú čové funkcie v poisťovni, zaisťovni, pobočke zahraničnej poisťovne alebo pobočke zahraničnej zaisťovne, podrobnejšiu charakteristiku a požiadavky na výkon jednotlivých funkcií a podmienky, za ktorých sa m ôže vykonávať zverenie výkonu činnosti, budú stanovené vo vykonávacom nariadení Komisie.
K § 24
Ustanovením sa transponuje článok 42 smernice Solventnosť II. Stanovuje sa, že všetky osoby, ktoré vykonávajú kľúčové funkcie v poisťovni, zaisťovni, poboč ke zahraničnej poisťovne alebo pobočke zahraničnej zaisťovne musia spĺňať požiadavky na vhodnosť a odbornosť, pričom podliehajú oznamovacej povinnosti voči Národnej banke Slovenska. Na účely posúdenia požadovanej úrovne schopností osôb, ktoré vykonávajú kľúčové funkcie v poisťovni, zaisťovni, pobočke zahraničnej poisťovne alebo pobočke zahraničnej zaisťovne, ich odborná kvalifikácia a skúsenosti, by sa mali zohľadniť ako dodatočné faktory. Na účely zákona sa definuje dôveryhodná fyzická osoba.
K § 25
Ustanovením sa transponuje článok 44 smernice Solventnosť II. Poisťovniam, zaisťovniam, pobočká m zahraničných poisťovní a pobočkám zahraničných zaisťovní sa stanovuje povinnosť zaviesť a uplatňovať účinný systém riadenia rizík zahrňujúci straté gie, procesy a postupy oznamovania potrebné na účely priebežného zisťovania, merania, monitorovania, riadenia a oznamovania rizík vrátane ich vzájomnej závislosti, ktorým sú vystavené a ktorým by mohli byť vystavené. Systém riadenia rizík musí byť účinný a vhodne začlenený do organizačnej štruktúry a do rozhodovacích procesov. Zároveň sa stanovujú oblasti, ktoré musí systém riadenia rizí k minimálne zahàňať.
K § 26
Každá poisťovňa, zaisťovňa, pobočka zahraničnej poisťovne a pobočka zahraničnej zaisťovne by mala mať ako neoddeliteľnú súčasť svojej podnikateľskej stratégie štandardný postup hodnotenia svojich celkových potrieb solventnosti vzhľadom na svoj špecifický rizikový profil (vlastné hodnotenie rizika a solventnosti). Uvedené hodnotenie nevyžaduje vývoj vnútorné ho modelu, ani neslúži na výpočet kapitálovej požiadavky odlišnej od kapitálovej požiadavky na solventnosť alebo od minimálnej kapitálovej požiadavky. Hodnotenie sa má vykonávať v pravidelných intervaloch, avšak minimálne raz ročne, ako aj po každej významnej zmene rizikového profilu spoločnosti. Vý sledky každého hodnotenia by mali byť oznámené Národnej banke Slovenska ako súčasť informácií, ktoré je potrebné poskytovať na účely dohľadu.
K § 27
Ustanovením sa transponuje článok 46 smernice Solventnosť II. Poisťovniam, zaisťovniam, pobočkám zahraničných poisťovní a pobočkám zahraničných zaisťovní sa stanovuje povinnosť zaviesť a uplatňovať účinný systém vnútornej kontroly zahàňajúci minimálne administratívne a účtovné postupy, rámec vnútornej kontroly, procesy a postupy upravujúce oznamovanie informácií na všetk ých úrovniach poisťovne, zaisťovne, pobočky zahraničnej poisťovne a pobočky zahraničnej zaisťovne a funkciu dodržiavania súladu s predpismi. Zároveň sa v zmysle smernice Solventnosť II vymedzuje funkcia dodr žiavania súladu s predpismi.
K § 28
Ustanovenie transponuje článok 47 smernice Solventnosť II. Poisťovňa, zaisťovňa, pobočka zahraničnej poisťovne a pobočka zahraničnej zaisťovne je povinná zabezpečiť účinnú funkciu vnútorného auditu. Zároveň sa stanovuje, že funkcia vnútorného auditu musí byť nezávislá od operačných činností. Osoba alebo organizačná jednotka zodpovedná za vý kon funkcie vnútorného auditu nesmie vykonávať inú funkciu. Pre dosiahnutie objektívneho a nezávislého výkonu funkcie vnútorného auditu je potrebné , aby osoby zodpovedné za vykonávanie tejto funkcie m ali prístup k potrebným informáciám a, aby každé svoje zistenie a odporúčanie oznámili predstavenstvu alebo dozornej rade.
K § 29
Ustanovením sa transponuje článok 48 smernice Solventnosť II. Poisťovňa, zaisťovň a, pobočka zahraničnej poisťovne a pobočka zahraničnej zaisťovne je povinná zabezpečiť efektívny výkon aktuárskej funkcie. Osoby vykonávajúce aktuársku funkciu musia mať znalosti v oblasti aktuárskej a finančnej matematiky primerané povahe, rozsahu a zložitosti rizík obsiahnutých v činnosti poisťovne, zaisťovne, pobočky zahraničnej poisťovne a pobočky zahraničnej zaisťovne. Zároveň musia byť schopn é preukázať, že ich schopnosti primerane zodpovedajú platným profesným pravidlám.
K § 30
Ustanovenie predmetné ho paragrafu transponuje článok 49 smernice Solventnosť II. V záujme zabezpečenia účinného dohľadu nad funkciami alebo činnosťami obstarávanými prostredníctvom zverenia výkonu č innosti je dôležité, aby Národná banka Slovenska ako orgán dohľadu mala prístup ku všetkým dôležitým údajom, ktoré vlastní poskytovateľ externých výkonov bez ohľadu na to, č i je tento poskytovateľ regulovaný subjekt alebo neregulovaný subjekt, ako aj právo vykonávať kontroly, resp. dohľad na mieste. V záujme zohľadnenia vývoja na trhu a na zabezpečenie neustáleho dodržiavania podmienok zverenia výkonu činnosti by Národná banka Slovenska mala byť informovaná pred zverením výkonu kritických alebo dôležitých funkcií alebo činností.
K § 31
Ustanovením sa stanovuje povinnosť poisťovne a pobočky zahraničnej poisťovne upraviť organizačnú štruktúru a nastavenie vnútorných procesov spôsobom zabezpečujú cim minimalizovanie rizika finančných strát poisťovne a pobočky zahraničnej poisťovne ako aj poškodenia ich klientov konfliktom záujmov. Na účely zistenia konfliktov záujmov sa najmä berie do úvahy, či zamestnanci poisťovne a pobočky zahraničnej poisťovne alebo iné osoby zodpovedné za uzatváranie a správu poistných zmlúv alebo za likvidáciu poistných udalostí z týchto zmlúv alebo za uzatváranie iných ako poistných zml úv nie sú voči klientom v osobitnom vzťahu, resp. postavení. Stanovuje sa povinnosť zaviesť, uplatňovať a dodržiavať účinné opatrenia na zamedzenie konfliktu záujmov, ktoré musia byť vypracované v p ísomnej forme a musia zohľadňovať veľkosť a organizáciu poisťovne a pobočky zahraničnej poisťovne, povahu, rozsah a zložitosť jednotlivých činností. Ak je poisťovňa členom skupiny, v opatreniach musia byť zohľadnené všetky okolnosti, ktoré môžu viesť k vzniku konfliktu záujmov v dôsledku štrukt úry a obchodných činností ostatných členov tejto skupiny a ktorých si je alebo by si mala byť poisťovňa vedomá.
K § 32
Stanovuje sa povinnosť poisťovne a pobočky zahraničnej poisťovne zaviesť funkčný systém na vybavovanie sťa žností a ich evidenciu umožňujúci spravodlivé vyšetrovanie sťažností a identifikáciu a zmiernenie možných konfliktov záujmov.
K § 33 až 35
Ustanoveniami sa transponujú články 51, 53, 54 a 55 smernice Solventnosť II.V záujme zaručenia transparentnosti je poisťovňa, zaisťovňa, pobočka zahraničnej poisťovne a pobočka zahraničnej zaisťovne povinná najmenej raz ročne zverejni ť, t. j. bezplatne sprístupniť verejnosti v tlačenej alebo elektronickej forme dôležité informácie o svojej solventnosti a finančnom stave. Ustanovenia tohto zákona zároveň nebránia poisťovni, zaisťovni, pobočke zahraničnej poisťovne a pobočke zahraničnej zaisťovne dobrovoľne zverejniť ďalšie informácie. Bližšia charakteristika náležitosti správy o solventnosti a finanč nom stave ako aj ďalšie súvisiace povinnosti budú upravené vykonávacím nariadením.
K § 36
Stanovuje sa všeobecný princíp oceňovania aktív a pasív poisťovňou, zaisťovňou, poboč kou zahraničnej poisťovne a pobočkou zahraničnej zaisťovne. V dôsledku povahy niektorých aktív a pasív je možný odklon od stanoveného spôsobu oceňovania, ak tak stanovuje zákon v ďalší ch ustanoveniach alebo vykonávacie nariadenie.
K § 37 až 44
Poisťovňa, zaisťovňa, pobočka zahraničnej poisťovne a poboč ka zahraničnej zaisťovne je povinná zriadiť primerané technické rezervy s cieľom dodržať svoje z áväzky voči poistníkom a príjemcom poistného plnenia.
Hodnota technických rezerv by preto mala zodpovedať sume, ktorú by poisťovňa, zaisťovňa, pobočka zahraničnej poisťovne alebo pobočka zahraničnej zaisťovne musela zaplatiť, ak by svoje zmluvné práva a záv äzky okamžite previedla na inú poisťovňu, zaisťovňu, pobočku zahraničnej poisťovne alebo pobočku zahraničnej zaisťovne. Hodnota technických rezerv by teda mala zodpovedať sume, ktorú by iná poisťovň a, zaisťovňa, pobočka zahraničnej poisťovne alebo pobočka zahraničnej zaisťovne (referenčný podnik) žiadala, ak by mala prevziať a vyrovnať podkladové poistné a zaistné záväzky. Výška technick ých rezerv by mala zohľadňovať vlastnosti poistného kmeňa alebo zaistného kmeňa, ktorý je ich základom. Pri ich výpočte by sa preto mali používať len informácie týkajúce sa konkrétnej poisť ovne, zaisťovne, pobočky zahraničnej poisťovne alebo pobočky zahraničnej zaisťovne, napríklad informácie o správe nárokov a o výdavkoch, keďže tieto informácie umožňujú, aby poisťovne, zaisť ovne, pobočky zahraničných poisťovní a pobočky zahraničných zaisťovní lepšie zohľadnili vlastnosti základného poistného alebo zaistného kmeňa.
Na účel výpočtu technických rezerv by malo byť možné použiť primerané interpolácie a extrapolácie z priamo sledovateľných trhových hodnôt.
Na získanie ekonomického ocenenia poistných alebo zaistných záväzkov je potrebné, aby sa očakávaná súčasná hodnota poistných a zaistných záväzkov počítala na základe aktuálnych a hodnoverných informácií a realistických predpokladov so zohľadnením finančných záruk a opcií v poistných alebo zaistných zmluvách. Malo by sa vyžadovať použitie účinných a zosúladených poistno-matematických metód.
V záujme premietnutia špecifickej situácie malých a stredných poisťovní by sa mali umožniť zjednodušené prístupy k výpočtu technických rezerv.
Hodnota technických rezerv je určená súčtom najlepšieho odhadu technických rezerv a rizikovej marže. Najlepší odhad technických rezerv zodpovedá budú cim priemerným peňažným tokom vážených pravdepodobnosťou ich výskytu za použitia príslušnej štruktúry bezrizikových úrokových mier. Ak budúce peňažné toky spojené s poistnými záv äzkami alebo zaistnými záväzkami možno spoľahlivo replikovať prostredníctvom finančných nástrojov, pre ktoré je možné zistiť spoľahlivú trhovú hodnotu, hodnota technických rezerv spojených s t ýmito budúcimi peňažnými tokmi sa určí na základe trhovej hodnoty týchto finančných nástrojov.
Príslušná štruktúra bezrizikových úrokových mier zohľadňuje dlhodobý charakter poistných záväzkov. Preto z dôvodu zníženia vplyvu krátkodobých vý kyvov na finančnú situáciu poisťovní a zaisťovní sa pri jej zostrojení zohľadňuje párovacia úprava alebo úprava volatility. Extrapolovaná časť príslušnej štruktúry bezrizikových úrokových mier je založená na forwardových sadzbách a hladko konverguje od forwardových sadzieb s najdlhš ími splatnosťami ku konečnej forwardovej sadzbe.
Ïalšie spresnenia výpočtu technických rezerv budú stanovené vykonávacím nariadením Komisie.
K § 45 až 47
Kapitálové požiadavky kladené na poisťovňu, zaisťovňu, pobočku zahraničnej poisťovne a pobočku zahraničnej zaisťovne by mali byť kryté vlastnými zdrojmi poisťovne, zaisťovne, pobočky zahraničnej poisťovne a poboč ky zahraničnej zaisťovne bez ohľadu na to, či sú vo forme súvahových alebo podsúvahových položiek alebo nie. Keďže nie všetky finančné zdroje zabezpečujú úplnú absorpciu strát v prípade likvidácie alebo v prípade aktívneho podniku, položky vlastných zdrojov by sa mali klasifikovať v súlade s kritériami kvality do troch tried a oprávnená suma vlastných zdrojov na krytie kapitálových požiadaviek by mala byť zodpovedajúcim spôsobom obmedzená.
Vo všeobecnosti sú aktíva bez akýchkoľvek predvídateľných záväzkov dostupné na účely absorbovania strát vyplývajúcich z negatívnych obchodných výkyvov pri pokračovaní činnosti a v prí pade likvidácie. Preto by sa prevažná väčšina prebytku aktív nad záväzkami oceneného v súlade so zásadami stanovenými v návrhu zákone mala pokladať za vysokokvalitný kapitál (trieda 1).
V niektorých členských štátoch je obvyklé, že poisťovne predá vajú produkty životného poistenia, pri ktorých poistníci a oprávnené osoby prispievajú na rizikový kapitál podniku výmenou za celý alebo čiastočný výnos z príspevkov. Tieto fondy akumulovaný ch prostriedkov sú prebytočné zdroje, ktoré sú majetkom právnickej osoby, ktorá ich vytvorí.
Fondy akumulovaných prostriedkov by sa mali oceňovať v súlade s ekonomickým prístupom stanoveným v návrhu zákona.
V súvislosti so stanovením vlastných zdrojov, klasifikáciou vlastných zdrojov a použiteľnosť ou vlastných zdrojov budú viaceré náležitosti ako napr. kritéria schvaľovania dodatkových vlastných zdrojov Národnou bankou Slovenska, zoznam položiek vlastných zdrojov jednotlivých tried, metódy použiteľn é Národnou bankou Slovenska pri schvaľovaní hodnotenia a zaradenia položiek vlastných zdrojov do jednotlivých tried, kvantitatívne limity pre jednotlivé triedy a pod. upravené vykonávacím nariadením vydaným Komisiou.
K § 48
Kapitálová požiadavka na solventnosť by mala odrážať úroveň oprávnených vlastných zdrojov, ktorá umožňuje poisťovni, zaisťovni, pobočke zahraničnej poisťovne a pobočke zahraničnej zaisťovne absorbovať výrazné straty a ktorá dáva poistníkom a príjemcom poistného plnenia primeranú záruku, že platby sa vykonajú v čase splatnosti.
Na zabezpečenie toho, že poisťovne, zaisťovne, pobočky zahraničný ch poisťovní a pobočky zahraničných zaisťovní priebežne disponujú použiteľnými vlastnými zdrojmi kryjúcimi kapitálovú požiadavku na solventnosť, pričom sa zohľadňujú zmeny v ich rizikovom profile, sú povinné minimálne raz ročne vykonať výpočet kapitálovej požiadavky na solventnosť, priebežne ju sledovať a prepočítať ju pri každej významnej zmene rizikov ého profilu.
Kapitálová požiadavka na solventnosť sa ur čí ako ekonomický kapitál, ktorý by poisťovne, zaisťovne, pobočky zahraničných poisťovní a pobočky zahraničných zaisťovní mali držať s cieľom zabezpečiť, aby úpadok nenastal častejšie než v jednom z 200 prípadov, alebo aby tieto podniky stále boli schopné splniť svoje záväzky voči poistní kom a oprávneným osobám počas nasledujúcich 12 mesiacov s pravdepodobnosťou aspoň 99,5 %. Tento ekonomický kapitál sa musí počítať na základe skutočného rizikového profilu týchto pois ťovní, zaisťovní, pobočiek zahraničn ých poisťovní lebo pobočiek zahraničných zaisťovní a so zohľadnením vplyvu prípadných postupov zmierňovania rizika a účinkov diverzifikácie.
K § 49 až 53
Stanovuje sa štandardný vzorec na výpočet kapitálovej požiadavky na solventnosť, ktorý umožní poisťovni, zaisťovni, pobočke zahraničnej poisťovne a pobočke zahranič nej zaisťovne hodnotiť jej ekonomický kapitál. Pre štruktúru štandardného vzorca platí modulárny prístup, čo znamená, že v prvom kroku by sa mala hodnotiť individuálna expozícia voči každej kateg órii rizika a v druhom kroku by sa mala potom kumulovať. Ak použitie špecifických parametrov jednotlivej poisťovne alebo zaisťovne umožňuje lepšie zachytiť skutočný rizikový profil tejto poisťovne alebo zais ťovne, môže táto poisťovňa alebo zaisťovňa na základe predchádzajúceho súhlasu Národnej banky Slovenska použiť tieto svoje špecifické parametre.
Zároveň sa povoľuje zjednodušené prístupy k výpočtu kapitálovej požiadavky na solventnosť v súlade so štandardným vzorcom s cieľom zohľadniť špecifickú situáciu malých a stredných poisť ovní a zaisťovní.
V prípade, ak sa rizikový profil poisťovne a zaisťovne významne odchyľuje od predpokladov, z ktorých vychádza š tandardný vzorec, Národná banka Slovenska môže nariadiť použitie parametrov charakteristických pre príslušnú poisťovňu alebo zaisťovňu.
S cieľom zabezpečiť rovnaké zaobchádzanie so všetkými spoločnosťami pri výpočte kapitálovej požiadavky na solventnosť prostredníctvom š tandardného vzorca, Komisia prostredníctvom vykonávacieho nariadenia stanoví viaceré náležitosti ako napr. úpravu štandardného vzorca, podmoduly nevyhnutné alebo presnejšie kryjúce riziká patriace do príslušných rizikových modulov, metódy, predpoklady a štandardné parametre, ktoré sa majú použiť pri výpočte každého rizikového modulu alebo podmodulu základnej kapitálovej požiadavky na solventnosť, korelačné parametre rizík, metódy a parametre použiteľné pri hodnotení kapitálovej požiadavky pre operačné riziko, metódy použiteľné na výpočet úpravy zohľadňujúcej kapacitu te chnických rezerv a odložených daní absorbovať straty a pod.
K § 54 až 62
Stanovuje sa, že poisťovňa a zaisťovňa môže na výpočet kapitálovej požiadavky na solventnosť použiť namiesto štandardného vzorca čiastočný alebo úplný vn útorný model. S cieľom zabezpečenia rovnocennej úrovne ochrany poistníkov a oprávnených osôb podlieha použitie čiastočného alebo úplného vnútorného modelu predchádzajúcemu schváleniu Ná rodnej banky Slovenska. Pri schvaľovaní čiastočného alebo vnútorného modelu sa postupuje podľa vykonávacieho nariadenia vydan ého Komisiou.
Po schválení používania vnútorného modelu poisťovňa alebo zaisťovňa nie je oprávnená stanoviť kapitálovú požiadavku na solventnosť alebo ktorejkoľvek jej časti na základe štandardného vzorca. Stanovenie celej kapitálovej požiadavky na solventnosť alebo jej časti v súlade so štandardným vzorcom môže vykonať len v odôvodnených prí padoch a po predchádzajúcom súhlase Národnej banky Slovenska. Za odôvodnený prípad sa považuje, ak štandardný vzorec je vhodnejší na výpočet kapitálovej požiadavky na solventnosť ako schválený vn útorný model vzhľadom na rizikový profil poisťovne alebo zaisťovne. Ak po schválení používania vnútorného modelu poisťovňa alebo zaisťovňa prestanú dodržiavať stanovené požiadavky, sú povinné predložiť Národnej banke Slovenska plán na opätovné dosiahnutie súladu s požiadavkami v primeranej časovej lehote alebo preukázať, že účinok nedodržiavania požiadaviek nie je významný.
Poisťovňa a zaisťovňa sú povinné preukázať, že vnútorný model sa dostatočne používa a plní významnú úlohu v systéme správy a riadenia, a to najmä v systéme riadenia rizík a v rozhodovacích procesoch a pri posudzovaní kapitálu pre vlastné potreby a jeho alokáciu vrátane vlastného posúdenia rizika a solventnosti.
S cieľom zabezpečiť zosúladený postup pri používaní vnútorných modelov v celom Spoločenstve vydá Komisia vykoná vacie nariadenie stanovujúce podrobnejšie podmienky.
K § 63
Stanovuje sa, že poisťovňa a zaisťovňa je povinná kryť minimálnu kapitálovú požiadavku na solventnosť použ iteľnými vlastnými zdrojmi. Minimálna kapitálová požiadavka na solventnosť stanovuje minimálnu úroveň, pod ktorú by výška finančných zdrojov nemala klesnúť. Je nutné, aby sa uvedená úroveň počítala podľa jednoduchého vzorca, pre ktorý je stanovené minimum a maximum na základe kapitálovej požiadavky na solventnosť, a aby vychádzala z údajov, ktoré možno overiť auditom. Poisťovňa a zaisť ovňa sú povinné vypočítať minimálnu kapitálovú požiadavku na solventnosť minimálne štvrťročne a výsledky výpočtu oznámiť Národnej banke Slovenska. Minimálna kapitálová pož iadavka na solventnosť poisťovne alebo zaisťovne sa pohybuje v intervale 25% až 45% kapitálovej požiadavky na solventnosť tejto poisťovne alebo zaisťovne. Absolútnu spodnú hranicu minimálnej kapitálovej pož iadavky na solventnosť ustanoví Národná banka Slovenska opatrením vyhláseným v zbierke zákonov. Komisia vydá vykonávacie nariadenie upresňujúce výpo čet minimálnej kapitálovej požiadavky na solventnosť.
K § 64
Ustanovenie zavádza v zmysle čl ánku 132 smernice Solventnosť II zásadu 'obozretnej osoby', ktorou by sa mali riadiť všetky investície, ktoré držia poisťovne a zaisťovne. V porovnaní s doterajšou reguláciou, návrh zákona nestanovuje zoznam prípustných aktív. Poisťovňa a zaisťovňa však investujú len do aktív a nástrojov, ktorých riziká môžu riadne identifikovať, merať, monitorovať, riadiť, kontrolovať, oznamovať a náležite zohľadňovať pri vlastnom posúdení rizika a solventnosti. Poisťovne a zaisťovne by mali mať aktíva dostatočnej kvality na pokrytie svojich celkových finančných po žiadaviek. S cieľom zabezpečiť jednotné uplatňovanie Komisia môže vydať vykonávacie nariadenie spresňujúce kvalitatívne pož iadavky pre investovanie poisťovní a zaisťovní.
K § 65
Stanovuje sa, že ustanovenia návrhu zá kona upravujúce oceňovanie aktív a záväzkov, technické rezervy, vlastné zdroje, kapitálovú po žiadavku na solventnosť, minimálnu kapitálovú požiadavku na solventnosť a investovanie sa primerane vzťahujú na vykonávanie poisťovacej činnosti a zais ťovacej činnosti pobočkou zahraničnej poisťovne a pobočkou zahraničnej zaisťovne.
K § 66
V zmysle článku 211 smernice Solventnosť II sa umožňuje zriadenie a činnosť účelovo vytvorených subjektov na území Slovenskej republiky na základe predchádzajúceho povolenia zo strany Národnej banky Slovenska. Èinnosť účelovo vytvorených subjektov spočíva v preberaní rizík poisťovní alebo zaisťovní, ktoré ú čelovo vytvorený subjekt v plnej miere financuje z výnosov z vydávania cenných papierov alebo iným finančným mechanizmom. Rozsah povolenia, povinné podmienky, ktoré sa zahrnú do všetkých vydaných zmlúv, po žiadavky vhodnosti a odbornosti na osoby riadiace účelovo vytvorený subjekt, požiadavky na akcionárov alebo členov vlastniacich kvalifikovaný podiel, mechanizmy vn útornej kontroly a požiadavky rizikového manažmentu, požiadavky na účtovníctvo a obozretné podnikanie a požiadavky na solventnosť účelovo vytvorených subjektov budú upravené vo vykonávacom nariadení vydanom Komisiou.
K § 67
Na základe článku 172 smernice Solventnosť II Komisia príjme vykonávacie opatrenia, ktorými stanov í kritéria na zhodnotenie, či režim solventnosti v tretej krajine, ktorý sa uplatňuje na zaisťovaciu činnosť poisťovní a zaisťovní so sídlom v tejto tretej krajine, je rovnocenný s režimom Solventnosť II. Ak sa usúdi, že režim solventnosti v tretej krajine je rovnocenný, zaistné zmluvy uzavreté so spoločnosťami, ktoré majú svoje sídlo v tejto tretej krajine, sa posudzujú rovnakým spôsobom ako zaistné zmluvy uzavreté so spoločnosťami so sídlom v členskom štáte. Uvedeným postupom sa zabezpečí pružný postup na úrovni Spoločenstva, ktorý umožní hodnotiť rovnocennosť s tretími krajinami v oblasti obozretnosti, s cieľom zlepšiť liberalizáciu služieb zaistenia v tretích krajinách buď formou usadenia sa, alebo cezhraničného poskytovania služieb.
K § 68
Ustanovuje sa spôsob prerozdelenia prostriedkov z prijatého poistného z povinného zmluvného poistenia zodpovednosti za škodu spôsobenú prevádzkou motorového vozidla. Tieto prostriedky rozdeľuje Ministerstvo vn útra Slovenskej republiky po prerokovaní s Ministerstvom financií Slovenskej republiky hasičským jednotkám a zložkám Ministerstva vnútra Slovenskej republiky.
K § 69
V zmysle článku 209 smernice Solventnosť II sa ukladá povinnosť stanoviť výšku poistného v životnom poistení, tzn. cenu, za ktorú sa poskytuje poisťovacia služba, ktorú musí zaplatiť poistený ako protihodnotu za krytie rizika, na základe primeraných aktuárskych predpokladov tak, aby sa umožnilo poisťovni a pobočke zahraničnej poisťovne plniť všetky svoje záväzky a tvoriť primerané technické rezervy.
K § 70
Ustanovením odseku 1 sa stanovujú poisťovni a pobočke zahraničnej poisťovne viaceré povinnosti majúce za cieľ vykonávanie činnosti s odbornou starostlivosťou v záujme ich klientov, poskytovanie informácií potrebných na uzavretie poistnej zmluvy a zákaz používania nepravdivých alebo zavádzajúcich inform ácií pri propagácii svojej činnosti, nezamlčovať dôležité skutočnosti a neponúkať výhody, ktorých spoľahlivosť nemôžu zaručiť.
Ustanoveniami odseku 2 a 3 sa stanovuje poisťovni, zaisťovni, pobočke zahraničnej poisťovne a pobočke zahraničnej zaisť ovne povinnosť postupovať v uvedených prípadoch podľa zákona č. 186/2009 Z. z. o finančnom sprostredkovaní a finančnom poradenstve a o zmene a doplnení niektorých zákonov v znení neskorších predpisov.
Ustanovením odseku 4 sa upravuje povinnosť poskytnúť poistníkovi v dostatočnom časovom predstihu pred uzavretím poistnej zmluvy dôležité zmluvné podmienky uzatváranej poistnej zmluvy prostredníctvom ustanoveného vzoru formulára. Dostatočný časový predstih sa chápe ako časový priestor potrebn ý na zodpovedné rozhodnutie sa pre poistný produkt, pričom jeho reálne trvanie závisí od skúseností a znalostí klienta v oblasti konkrétneho poistného produktu, ako aj od charakteru a zložitosti predmetného poistn ého produktu. Dostatočný časový predstih potrebný pre konkrétneho klienta je na posúdení osoby, ktorá s klientom uzatvára poistnú zmluvu.
Nasledujúce odseky ustanovujú povinnosť pre členov predstavenstva a členov dozornej rady poisťovne alebo zaisťovne, vedúcich pobočky zahraničnej poisťovne a vedúcich pobočky zahraničnej zaisťovne, nútených správcov, zástupcov nútených správcov, prokuristov a osoby, ktoré majú kľúčové funkcie v poisťovni, zaisťovni, pobočke zahraničnej poisťovne a pobočke zahraničnej zaisťovne vykonávať svoju činnosť spôsobom zohľadňujúcim a minimalizujúcim riziká vyplývajúce z ich činnosti pre poisťovňu, pobočku zahraničnej poisťovne, zaisťovňu a pobočku zahraničnej zaisťovne a ich klientov a v záujme poisťovne, pobočky zahraničnej poisťovne, zaisťovne a pobočky zahraničnej zaisťovne a ich klientov. Upravuje sa zodpovednosť za skutočnú škodu spôsobenú členom predstavenstva poisťovne a zaisťovne a vedúcim pobočky zahraničnej poisťovne a vedú cim pobočky zahraničnej zaisťovne.
K § 71
V tomto ustanovení sa určujú podmienky, ktoré musí poisťovňa, pobočka zahraničnej poisťovne, zaisťovňa a pobočka zahraničnej zaisťovne dodržiavať pri vykonávaní obchodov s osobami, ktoré majú osobitný vzťah k poisťovni, pobočke zahraničnej poisťovne, zaisťovni a pobočke zahraničnej zaisťovne. Cieľom je zreteľne vylúčiť vykonávanie takých obchodov, ktoré by poisťovňa, pobočka zahraničnej poisťovne, zaisťovňa a pobočka zahraničnej zaisťovne z hľ adiska rizika a rentability s ktorýmkoľvek iným klientom nevykonala. Ïalej sa ustanovuje, aby obchody s takýmito osobami boli vykonané len ak daný obchod schváli jednomyseľne štatutárny orgán poisťovne a zaisťovne alebo vedúci pobočky zahraničnej poisťovne a pobočky zahraničnej zaisťovne s vylúčením osoby, ktorej by sa takýto vzťah týkal. Taktiež musí byť zmluvne zabezpečený obchod sankciou neplatnosti ak dôjde k následnému zisteniu porušenia podmienok uvedených v tomto ustanovení.
K § 72
V tomto ustanovení sa stanovuje povinnosť vybraným fyzickým osobám zachovať mlčanlivosť o skutočnostiach, o ktorých sa dozvedeli na zá klade svojho postavenia alebo pri plnení svojich pracovných povinností a ktoré majú význam pre vývoj finančného trhu alebo sa dotýkajú záujmov jeho jednotlivých účastníkov. Rovnako sa stanovuje povinnosť zachovať mlčanlivosť vo vzťahu k osobným údajom klientov. Povinnosť mlčanlivosti sú zákonom vymedzené osoby povinné zachovávať aj po skončení pracovného pomeru alebo iného právneho vzťahu.
Návrh zákona ustanovuje, v ktorých prípadoch sa poskytovanie informácie nepovažuje za porušenie mlčanlivosti v s úlade s článkom 68 smernice Solventnosť II, takýmto sú napr. poskytnutie informácie Ná rodnej banke Slovenska pri výkone dohľadu, súdu na účely občianskeho súdneho konania, daňovým orgánom vo veciach daňového konania.
Za porušenie povinnosti mlčanlivosti sa taktiež nepovažuje výmena informácií medzi poisťovňami, poisťovňami z iného členského štátu, pobočkami zahraničných poisťovní, zaisťovňami, zais ťovňami z iného členského štátu, pobočkami zahraničných zaisťovní v zákonom určených dôvodov a taktiež výmena informácií medzi Národnou bankou Slovenska a vymedzenými osobami.
K § 73
S cieľom chrániť záujmy poistníkov alebo poistených sa stanovuje, ž e poisťovňa vykonávajúca súčasne činnosti životného poistenia aj neživotného poistenia (tzv. univerzálna poisťovňa) je povinná riadiť tieto činnosti osobitne. Predovšetkým sa stanovuje, ž e na tieto poisťovne sa vzťahujú rovnaké kapitálové požiadavky ako požiadavky vzťahujúce sa na rovnocennú skupinu poisťovní, ktorú tvorí životná poisťovňa a neživotná poisťovňa, so zoh ľadnením vyššej prevoditeľnosti kapitálu v prípade univerzálnych poisťovní.
V súvislosti s možnosťou vykonávať súčasne poisťovaciu činnosť aj zaisťovaciu činnosť sa stanovuje, že ak poisťovňa alebo pobočka zahraničnej poisťovne vykonáva súčasne poisťovaciu činnosť a zaisťovaciu činnosť je povinná vykonávať tieto činnosti tak, aby nedochádzalo k poškodeniu záujmov poistených a zaistených a viesť oddelenú analytickú evidenciu.
Zároveň sa stanovuje povinnosť viesť oddelenú správu, viesť oddelen ú analytickú evidenciu a uviesť v poznámkach účtovnej závierky údaje osobitne pre poistné odvetvie uvedené v prílohe č. 1 časti B deviatom bode, ak poisťovňa, pobočka zahraničnej poisťovne alebo pois ťovňa z iného členského štátu vykonáva poisťovaciu činnosť v tomto poistnom odvetví.
K § 74
Ustanovuje sa povinnosť viesť účtovníctvo v súlade so zákonom č. 431/2002 Z. z. o účtovníctve v znení neskorš ích predpisov, pričom účtovná závierka poisťovne, zaisťovne, pobočky zahraničnej poisťovne a pobočky zahraničnej zaisťovne musí byť overená audítorom alebo audítorskou spoločnosťou. Taktiež sa ukladá povinnosť poisťovni, pobočke zahraničnej poisťovni, zaisťovni a pobočke zahranič nej zaisťovni oznámiť Národnej banke Slovenska audítora alebo audítorskú spoločnosť, ktorý bol poverený overením účtovnej závierky. V prípade, že Národná banka Slovenska má voč i osobe audítora alebo audítorskej spoločnosti výhrady, môže výber odmietnuť. V prípade, ke ď poisťovňa alebo zaisťovňa síce vybrala iného audítora alebo audítorskú spoločnosť, ale Národná banka Slovenska má oprávnené výhrady k jeho osobe a odmietne aj jeho, Národná banka Slovenska sama vyberie audítora alebo audítorskú spolo čnosť, ktorý preskúma účtovnú závierku.
Na účely posilnenia dohľadu nad poisťovňami a zaisťovň ami a ochrany poistníkov sa stanovuje povinnosť audítorov a audítorských spoločností okamžite ohlásiť Národnej banke Slovenska akúkoľvek skutočnosť, ktorá by mohla mať závažný vplyv na finančnú situá ciu alebo administratívnu organizáciu poisťovne, zaisťovne, pobočky zahraničnej poisťovne alebo pobočky zahraničnej zaisťovne.
K § 75
V zmysle článku 159 smernice Solventnosť II sa upravuje informačná povinnosť poisťovne a zaisťovne voči Národnej banke Slovenska týkajúca sa cezhraničného vykonávania poisťovacej č innosti a zaisťovacej činnosti. Informácie sa poskytujú osobitne o výsledkoch činnosti vykonávanej prostredníctvom pobočky v príslušnom členskom št áte a osobitne o výsledkoch činnosti vykonávanej na základe práva slobodného poskytovania služieb v príslušnom členskom štáte. Pre neživotné poistenie sa informácie poskytujú v členení podľa skupín odvetví podľa prílohy č. 1 k návrhu z ákona, pre životné poistenie v členení podľa poistných odvetví podľa prílohy č. 1 k návrhu zákona.
Zároveň sa stanovuje povinnosť pre poisťovňu, poboč ku zahraničnej poisťovne a poisťovňu z iného členského štátu bez zbytočného odkladu oznámiť Národnej banke Slovenska rozhodnutie o ukončení uzatvárania nových poistných zmlúv v poistnom odvetv í uvedenom v prílohe č. 1 časti B deviatom bode, pričom ukončiť uzatváranie nových poistných zmlúv môže poisťovňa, pobočka zahraničnej poisťovne a poisťovňa z iného členského štá tu najskôr tri mesiace po doručení tohto oznámenia.
K § 76
V súlade s článkami 57 a 61 smernice Solventnosť II sa vyžaduje od každej fyzickej osoby alebo právnickej osoby, ktorá chce zrušiť alebo znížiť svoju priamu alebo nepriamu kvalifikovanú účasť na základnom imaní poisť ovne alebo zaisťovne alebo na hlasovacích právach v poisťovni alebo zaisťovni, aby túto skutočnosť oznámila vopred Národnej banke Slovenska a zároveň sa u stanovuje aj obsah takéhoto písomného oznámenia.
Pois ťovni a zaisťovni sa ukladá povinnosť informovať Národnú banku Slovenska, ak sa dozvie o nadobudnutiach alebo likvidáciách účasti na základom imaní alebo na hlasovacích právach, ktoré spôsobia, ž e tieto účasti prekročia alebo poklesnú pod jednu z hraníc stanovených v návrhu zákona. V súlade s článkom 61 smernice Solventnosť II sa zároveň stanovuje, že poisťovňa a zaisťovňa je povinná zostavovať zoznam svojich akcionárov s kvalifikovanou účasťou a predkladať ho Národnej banke Slovenska.
K § 77
Ustanovuje sa povinnosť vyžiadať si predchádzajúci súhlas Národnej banky Slovenska v prípadoch uveden ých v návrhu zákona. Ide predovšetkým o také významné skutočnosti, akými sú nadobudnutie alebo ďalšie zvýšenie kvalifikovanej účasti na základnom imaní alebo na hlasovacích právach v pois ťovni alebo zaisťovni v stanovených hraniciach, zlúčenie, splynutie alebo rozdelenie poisťovne alebo zaisťovne, predaj podniku, vrá tenie povolenia na vykonávanie poisťovacej činnosti alebo zaisťovacej činnosti, vykonávanie finančné ho sprostredkovania, neuverejnenie informácií, ktoré obsahuje správa o solventnosti a finančnom stave, viaceré žiadosti týkajúce sa stanovenia a zaradenia vlastných zdrojov, nahradenie niektorých parametrov v štandardnom vzorci parametrami charakteristickými pre prí slušnú poisťovňu alebo zaisťovňu, schválenie a následné zmeny vnútorného modelu, viaceré žiadosti pri aplikácii osobitného režimu.
Definujú sa tu podmienky, ktoré je potrebné splniť na vydanie predchádzajúceho súhlasu Národnou bankou Slovenska, ako aj kto podáva žiadosť o udelenie predchádzajúceho súhlasu. Ak úkon, na ktor ý bol udelený predchádzajúci súhlas Národnej banky Slovenska nebol vykonaný v zákonom stanovej lehote, je tento úkon neplatný.
K § 78
Na účely identifikácie klientov a ich zástupcov, sú klienti a ich zástupcovia povinní poisťovni, poboč ke poisťovne z iného členského štátu a pobočke zahraničnej poisťovne na základe jej žiadosti poskytnúť osobné údaje v prípade fyzickej osoby, identifikačné údaje v prípade prá vnickej osoby, kontaktné údaje, doklady potrebné na splnenie požiadaviek a podmienok na uzavretie poistnej zmluvy a taktiež umožniť získať osobné údaje kop írovaním, skenovaním alebo iným zaznamenávaním. Následne sa upravuje spracovávanie údajov poisťov ňou, pobočkou poisťovne z iného členského štátu a pobočkou zahraničnej poisťovne a podmienky ich poskytovania tretím osobám.
V tomto ustanovení návrhu zákona sa ď alej ustanovuje povinnosť poisťovne, pobočky poisťovne z iného členského štátu a pobočky zahraničnej poisťovne, ktoré uzavierajú poistné zmluvy v životnom poistení, aby požadovali od klientov preukázanie totožnosti. Taktiež sa stanovuje poisťovni, pobo čke poisťovne z iného členského štátu a pobočke zahraničnej poisťovne povinnosť zisťovať vlastníctvo finančných prostriedkov použitých klientom na uzavretie poistnej zmluvy v životnom poistení nad zákonom stanovenú hranicu. Poisťovňa, pobočka poisťovne z iného členského štátu a pobočka zahraničnej poisťovne sú povinné poistné zmluvy vrátane ich zmien a súvisiacich dokladov, údaje a k ópie dokladov o preukázaní totožnosti klienta a doklady o zisťovaní vlastníctva prostriedkov použit ých klientom na uzavretie poistnej zmluvy uschovávať najmenej desať rokov od skončenia zmluvného vzťahu s klientom.
K § 79
Hlavným cieľom regulácie poistenia a zaistenia a dohľadu nad nimi je riadna ochrana poistníkov a oprávnených osôb. Pojem oprávnená osoba by mal zahàňať každú fyzickú alebo právnickú osobu, ktorá má určité právo v zmysle poistnej zmluvy. Finančná stabilita a objektívne a stabilné trhy sú ďalšími cieľmi regulácie poistenia a zaistenia a dohľadu nad nimi, na ktoré je takisto potrebné prihliadať, ktoré by avšak nemali narušiť hlavný cieľ. Návrh zákona poveruje výkonom dohľadu Národnú banku Slovenska a vymedzuje, v ktorých prípadoch je Národná banka Slovenska príslušným orgánom dohľadu. Prá vomoci a povinnosti Národnej banky Slovenska a kontrolovaných osôb, ako aj procesné postupy pri vykonávaní kontroly sú bližšie upravené v zákone o dohľade nad finančným trhom.
V návrhu zákona sa ďalej vymedzuje predmet dohľadu ako kontrola vykonávania poisťovacej alebo zaisťovacej činnosti, dodržiavania povolení a iných rozhodnutí vydaných podľa z ákona a osobitných predpisov a dodržiavania ustanovení zákona a ostatných všeobecne záväzných právnych predpisov, ktoré sa vzťahujú na dohliadané subjekty alebo na ich činnosti, vrátane právne záv äzných aktov Európskej únie, ktoré súvisia s poisťovacou a zaisťovacou činnosťou dohliadaných subjektov.
V zmysle Hlavy I Kapitoly III smernice Solventnosť II sa stanovujú všeobecné právomoci dohľadu, všeobecné zásady výkonu dohľadu, postup pri výkone dohľadu pri cezhraničnom poskytovaní služieb, poskytovanie informácii pre účely dohľadu a poskytovanie informácii Národnou bankou Slovenska iným subjektom.
K § 80
S cieľom zabezpečiť výkon dohľadu Národnej banky Slovenska nad zvereným výkonom funkcií a činností sa v zmysle článku 38 smernice Solventnosť II stanovujú podmienky, ktoré musí poisť ovňa a zaisťovňa splniť, keď zveruje výkon funkcie v rámci systému správy a riadenia alebo činnosti vyplývajúcej z poisťovacej činnosti alebo zaisťovacej činnosti inej osobe. Zároveň sa upravuje režim výkonu dohľadu na mieste v priestoroch poskytovateľa služieb pri cezhraničnom zverení výkonu funkcie alebo č innosti.
K § 81 až 86
V zmysle článku 212 smernice Solventnosť II sa definuj ú subjekty podliehajúce výkonu dohľ adu nad skupinou ako sú spoločnosť s účasťou, príbuzná spoločnosť, skupina, poisťovacia holdingová spoločnosť a zmiešaná poisťovacia holdingová spoločnosť. Zároveň sa definujú subjekty podieľajúce sa na výkone dohľadu nad skupinou, a to orgán dohľadu nad skupinou a kolégium orgánov dohľadu.
V súlade s článkom 213 smernice Solventnosť II sa stanovuje rozsah a prípady uplatňovania dohľadu nad skupinou. Pre vybrané subjekty sa v určených prípadoch stanovuje možnosť uplatňovať len ustanovenia zákona upravujúce dopl ňujúci dohľad.
V súlade s článkom 214 sa stanovuje rozsah pôsobnosti dohľadu nad skupinou. Vymedzujú sa prí pady, kedy môže Národná banka Slovenska, ak vykonáva funkciu orgánu dohľ adu nad skupinou vylúčiť právnickú osobu z dohľadu nad skupinou.
Dohľad nad skupinou sa v každom prípade uplatňuje na ú rovni konečnej materskej spoločnosti so sídlom v Spoločenstve. V súlade s opciou danou členským štátom uvedenou v článku 216 smernice Solventnosť II sa však povoľuje Národnej banke Slovenska vykonávať v primeranom rozsahu dohľad nad skupinou na úrovni konečnej materskej spoločnosti na vnútroštátnej úrovni. V takom prípade je Národná banka Slovenska oprávnená uzavrieť dohodu s orgánmi dohľadu v iných členských š tátoch, kde sa nachádza iná príbuzná spoločnosť, ktorá je konečnou materskou spoločnosťou na vnútroštátnej úrovni v inom členskom štáte, s cieľom vykonávať dohľad nad skupinou na ú rovni podskupiny zahrňujúcej niekoľko členských štátov.
V súvislosti s výkonom dohľadu nad skupinou budú viaceré podrobnosti upravené vykonávacím nariadením Komisie.
K § 87 až 96 a 99
Na úrovni skupiny je potrebné kalkulovať solventnosť za pois ťovne, poisťovne z iného členského štátu, zaisťovne a zaisťovne z iného členského štátu tvoriace súčasť skupiny. Pois ťovňa s účasťou alebo zaisťovňa s účasťou alebo v prípade holdingových poisťovní, poisťovňa alebo zaisťovňa v skupine, sú povinné zabezpečiť, že v skupine budú dostupné použiteľné vlastné zdroje, ktoré sa budú stále minimálne rovnať kapitálovej požiadavke na solventnosť skupiny. Uvedené výpočty sa vykonaj ú minimálne raz ročne, a to buď poisťovňou s účasťou, zaisťovňou s účasťou alebo holdingovou poisťovňou a predložia sa orgánu dohľadu nad skupinou. Ak sa rizikový profil skupiny vý znamne odchyľuje od predpokladov, z ktorých vychádza naposledy oznámená kapitálová požiadavka na solventnosť skupiny, kapitálová požiadavka na solventnosť skupiny sa opätovne bezodkladne vypočíta a ozná mi sa orgánu dohľadu nad skupinou.
Stanovujú sa technické zásady a metódy výpoč tu solventnosti skupiny. Poisťovňa s účasť ou alebo zaisťovňa s účasťou vypočíta skupinovú solventnosť podľa metódy založenej na účtovnej konsolidácii alebo, ak orgán dohľadu nad skupinou určil po konzultácii s ostatnými príslušn ými orgánmi dohľadu a s poisťovňou s účasťou alebo zaisťovňou s účasťou z dôvodu vhodnosti metódu založenú na odpočte a agregácii alebo kombináciu oboch metód.
Pri výpočte solventnosti skupiny sa zohľadní pomerná ú časť, ktorú má spoločnosťou s účasťou vo svojich prepojených spoločnostiach. Pomerná účasť sa stanoví buď ako percento použité na zostavenie konsolidovaných účtov alebo ako pomer upísan ého kapitálu v priamej alebo nepriame držbe spoločnosti s účasťou. Pri výpočte solventnosti skupiny sa nemôžu viacnásobne zohľadniť použiteľné vlastné zdroje na krytie kapitálovej pož iadavky na solventnosť jednotlivých spoločností v skupine. Pri výpočte solventnosti skupiny sa nezohľadňujú žiadne vlastné zdroje použiteľné na krytie kapitálovej požiadavky na solventnosť, ktoré vyplývajú zo vzájomného financovania medzi poisťovňou s účasťou alebo zaisťovňou s účasťou a príbuznou spoločnosťou, spoločnosť ou s účasťou alebo inou príbuznou spoločnosťou niektorej z jej spoločností s účasťou.
K § 97
Konsolidovaná kapitálová požiadavka skupiny sa vypoč íta na základe vnútorného modelu len ak bol schválený orgánom dohľadu nad skupinou po spoločnom rozhodnutí príslušných orgánov dohľadu. iadosť o schválenie výpočtu konsolidovanej kapitá lovej požiadavky skupiny, ako aj kapitálovej požiadavky na solventnosť príbuzných spoločností, ktoré sú predmetom výpočtu solventnosti skupiny, na základe vnútorného modelu predkladá poisťovňa s ú časťou alebo zaisťovňa s účasťou a tieto príbuzné spoločnosti. V súlade s článkom 231 smernice Solventnosť II sa stanovuje proces schvaľovania použitia vnútorného modelu.
K § 98
Pri nariadení navýšenia kapitá lu skupiny sa postupuje primerane podľa § 142 návrhu zákona a vykonávacieho nariadenia. Pri stanovení, č i konsolidovaná kapitálová požiadavka na solventnosť skupiny primerane zohľadňuje rizikový profil skupiny sa na úrovni skupiny posudzuje najmä to, či existujú riziká na úrovni skupiny, ktoré by mohli byť nedostatočne kryté a, či sú uložené navýšenia kapitálu príbuzným spoločnostiam, ktoré sú predmetom výpočtu solventnosti skupiny.
K § 100
V súlade s článkom 235 smernice Solventnosť II sa stanovuje výpočet solventnosti skupiny, ak je poisťov ňa alebo zaisťovňa dcérskou spoločnosťou poisťovacej holdingovej spoločnosti alebo zmiešanej finančnej holdingovej spoločnosti, ktorá je konečnou materskou spoločnosťou na úrovni Spoločenstva. Na úč ely tohto výpočtu sa poisťovacia holdingová spoločnosť alebo zmiešaná finančná holdingová spoločnosť posudzuje ako poisťovňa s účasťou alebo zaisťovňa s účasťou podliehajú ca ustanoveniam tohto zákona upravujúcim kapitálovú požiadavku na solventnosť a vlastné zdroje použiteľné na krytie kapitálovej požiadavky na solventnosť.
K § 101 až 105
V súlade s článkami 236 až 240 smernice Solventnosť II sa upravuje osobitný režim pre poisťovňu a zaisťovňu, ktorá je dcérskou spoločnosťou poisť ovne, poisťovne z iného členského štátu, zaisťovne alebo zaisťovne z iného členského štátu a spĺňa zákonom stanovené podmienky. V prí pade splnenia podmienok a uplatnenia režimu rozhodnutia Národnej banky Slovenska týkajúce sa navýšenia kapitálovej požiadavky na solventnosť, požiadavky na vý počet kapitálovej požiadavky na solventnosť na základe štandardného vzorca alebo požiadavky, aby pri v ýpočte modulov upisovacieho životného rizika, upisovacieho neživotného rizika a upisovacieho zdravotného rizika, poisťovňa alebo zaisťovňa nahradila niektoré parametre štandardné ho vzorca parametrami charakteristickými pre túto poisťovňu alebo zaisťovňu, podliehajú predchádzajúcej konzultácii príslušných orgánov dohľadu v rámci kolégia orgánov dohľadu. Ak medzi Národnou bankou Slovenska a orgánom dohľadu nad skupinou nedôjde k dohode, môže ktorýkoľvek z nich v lehote jedného mesiaca od návrhu Národnej banky Slovenska a pred dosiahnutím spoločnej dohody kolé gia postúpiť danú vec Európskemu orgánu dohľadu (Európsky orgán pre poisťovníctvo a dôchodkové poistenie zamestnancov). Národná banka Slovenska odloží svoje rozhodnutie a počká na rozhodnutie, ktor é môže Európsky orgán dohľadu (Európsky orgán pre poisťovníctvo a dôchodkové poistenie zamestnancov) prijať v lehote jedného mesiaca. Národná banka Slovenska po prijatí rozhodnutia Európskym orgá nom dohľadu (Európsky orgán pre poisťovníctvo a dôchodkové poistenie zamestnancov) alebo po uplynutí lehoty jedného mesiaca prijme svoje rozhodnutie. Toto rozhodnutie obsahuje odôvodnenie, je v súlade s rozhodnut ím Európskeho orgánu dohľadu (Európsky orgán pre poisťovníctvo a dôchodkové poistenie zamestnancov), ak bolo prijaté, a je rozhodujúce a uplatňované príslušnými orgánmi dohľadu.
Ak poisťovňa alebo zaisťovňa, ktorá je dcé rskou spoločnosťou nedodržala kapitálovú požiadavku na solventnosť, Národná banka Slovenska bez zbytočného odkladu postúpi kolégiu orgánov dohľadu ozdravný plán predložený touto poisťovň ou alebo zaisťovňou. Kolégium orgánov dohľadu v lehote štyroch mesiacov odo dň a zistenia nedodržania kapitálovej požiadavky na solventnosť, príjme stanovisko k návrhu ozdravného plánu. Národná banka Slovenska príjme rozhodnutie o návrhu tohto ozdravného plánu a zohľadní názory a v ýhrady ostatných orgánov dohľadu v rámci kolégia orgánov dohľadu. Ak Národná banka Slovenska zistí zhoršujúcu sa finančnú situáciu, bez zbytočného odkladu informuje kolégium orgánov dohľadu o navrhovanom opatrení voči poisťovni alebo zaisťovni. S výnimkou situácií, ktoré neznesú odklad, sa navrhované opatrenie prediskutuje v rámci kolégia orgánov dohľadu. N árodná banka Slovenska uloží opatrenie prijaté kolégiom orgánov dohľadu poisť ovni alebo zaisťovni a zohľadní názory a výhrady ostatných orgánov dohľadu v rámci kolégia orgánov dohľadu.
Ak poisťovňa alebo zaisťovňa, ktorá je dcé rskou spoločnosťou nedodržala minimálnu kapitálovú požiadavku na solventnosť, Národná banka Slovenska bez zbytočného odkladu postúpi kolégiu orgánov dohľadu krátkodobý finančný plán predlož ený touto poisťovňou alebo zaisťovňou. Národná banka Slovenska informuje kolégium orgánov dohľadu o opatreniach tejto poisťovne alebo zaisťovne prijatých s cieľom dodržania minimálnej kapitálovej pož iadavky na solventnosť. Národná banka Slovenska alebo orgán dohľadu nad skupinou môž e postúpiť skutočnosti Európskemu orgánu dohľadu (Európsky orgán pre poisťovníctvo a dôchodkové poistenie zamestnancov). V takom prípade Národná banka Slovenska odloží svoje rozhodnutie a počká na rozhodnutie, ktoré môže Európsky orgán dohľadu (Európsky orgán pre poisťovníctvo a dôchodkové poistenie zamestnancov) prijať v lehote jedného mesiaca od postúpenia danej veci. Národná banka Slovenska po prijatí rozhodnutia Európskym orgánom dohľadu (Európsky orgán pre poisťovníctvo a dôchodkové poistenie zamestnancov) alebo po uplynutí lehoty jedného mesiaca prijme svoje rozhodnutie. Toto rozhodnutie obsahuje odôvodnenie, je v súlade s rozhodnutím Eur ópskeho orgánu dohľadu (Európsky orgán pre poisťovníctvo a dôchodkové poistenie zamestnancov), ak bolo prijaté, a je rozhodujúce a uplatňované príslušnými orgánmi dohľadu.
Ak Národná banka Slovenska vykonáva funkciu orgá nu dohľadu nad skupinou, postupuje primerane.
V zmysle článku 240 smernice Solventnosť II sa stanovujú prípady, kedy sa na poisťovňu alebo zaisťovňu, ktorá je dcérskou spoločnosťou poisťovne, poisťovne z iného členského štátu, zaisťovne alebo zaisťovne z iného členského štátu prestane osobitný režim uplatňovať.
K § 106
V zmysle článku 244 smernice Solventnosť II sa upravuje dohľad na koncentráciou rizík na úrovni skupiny, ktorý vykonáva orgán dohľadu nad skupinou. Komisia v tejto súvislosti môž e vydať vykonávacie nariadenie stanovujúce vymedzenie a identifikáciu významnej koncentrácie rizík a predkladania správ o významných koncentráciách rizík na úrovni skupiny orgánu dohľadu nad skupinou.
K § 107
V zmysle článku 245 smernice Solventnosť II sa upravuje dohľad nad vnútroskupinovými transakciami, ktorý vykonáva orgán dohľ adu nad skupinou. Komisia v tejto súvislosti môže vydať vykonávacie nariadenie stanovuj úce vymedzenie a identifikáciu významnej vnútroskupinovej transakcie a predkladania správ o významných vnútroskupinových transakciách v rámci skupiny orgánu dohľadu nad skupinou.
K § 108
V zmysle článku 246 smernice Solventnosť II sa upravuje riadenie rizík a vnútorná kontrola na úrovni skupiny, ktoré podliehajú kontrole orgánom dohľadu nad skupinou. Vnútorná kontrola skupiny zahàňa minimálne primerané procesy týkajúce sa solventnosti skupiny umožňujúce identifikovať a merať všetky dôležité riziká a identifikova ť prislúchajúce použiteľné vlastné zdroje a postupy oznamovania a účtovné postupy umožňujúce sledovať a riadiť vnútroskupinové transakcie a koncentrácie rizík. Stanovuje sa povinnosť konečnej materskej spoločnosti na úrovni Spoločenstva vykonávať na úrovni skupiny vlastné posúdenie rizika a solventnosti, ktoré podlieha kontrole orgánu dohľadu nad skupinou. Po súhlase orgánu dohľadu nad skupinou sa môže vykonať súčasne s vlastným posúdení m rizika a solventnosti na úrovni skupiny aj posúdenie na úrovni dcérskej spoločnosti v skupine a vyhotoviť dokument obsahujúci všetky tieto posúdenia, ktorý sa predloží všetkým príslušným orgá nom dohľadu.
K § 109
Všetky skupiny poisťovní a zaisťovní, na ktoré sa vzťahuje dohľad nad skupinou, by mali mať orgán dohľadu nad skupinou vymenovaný spomedzi dotknutých orgánov dohľadu pr íslušných členských štátov. V súlade s článkom 247 smernice Solventnosť II sa stanovuje spôsob určenia orgánu dohľadu nad skupinou. Medzi práva a povinnosti orgánu dohľadu nad skupinou by mali patriť vhodné koordinačné a rozhodovacie právomoci potrebné pre v ýkon dohľadu nad skupinou.
K § 110 až 112
Orgány dohľadu zo všetkých členských štátov, v ktor ých majú poisťovne, poisťovne z iných členských štátov, zaisťovne a zaisťovne z iných členských štátov skupiny svoje sídlo, by sa mali stať súčasťou dohľadu nad skupinou prostrední ctvom kolégia orgánov dohľadu. Všetci členovia kolégia orgánov dohľadu by mali mať prístup k informáciám, ktoré majú k dispozícii ostatné orgány dohľadu v kolégiu, a mali by sa aktívne a na sú stavnom základe zapájať do procesu rozhodovania. V rámci kolégia by sa malo zabezpečiť účinné uplatňovanie postupov spolupráce, výmeny informácií a konzultácií medzi orgánmi dohľadu v kolégiu.
Èinnosti kolégia by mali byť primerané povahe, rozsahu a zložitosti rizík obsiahnutých v činnosti všetkých spoločností, ktoré sú súčasťou skupiny, ako aj cezhraničnému rozmeru. Orgány dohľ adu by mali využívať kolégium na účely zbližovania svojich príslušných rozhodnutí a na účely úzkej spolupráce, aby mohli vykonávať činnosti súvisiace s dohľadom nad skupinou podľa harmonizovan ých kritérií.
K § 113
V zmysle článku 251 smernice Solventnosť II sa upravuje výmena informácii medzi orgánom dohľadu nad skupinou a orgánmi dohľadu členského štátu, v ktorých má materská spoločnosť svoje ú stredie, a ktoré samotné nevykonávajú dohľad nad skupinou. S cieľom zabrániť dvojitému podávaniu informácií rôznym orgánom zapojeným do dohľadu, kontaktuje orgán dohľadu na skupinou pri informáci ách, ktoré už boli odovzdané inému orgánu dohľadu, tento orgán dohľadu, ak je to možné.
K § 114
V súlade s článkom 252 smernice Solventnosť II sa upravuje spolupráca Národnej banky Slovenska s orgánmi dohľadu členských štátov zodpovednými za dohľad nad bankami alebo subjektmi kolektívneho investovania, ak poisťovňa alebo zaisťovňa a banka so s ídlom v inom členskom štáte, alebo subjekt kolektívneho investovania so sídlom v inom členskom štáte sú priamo alebo nepriamo prepojené, alebo majú spoločnú spoločnosť s účasťou.
K § 115
V zmysle článkov 254 a 255 smernice Solventnosť II sa upravujú práva a povinnosti Národnej banky Slovenska v procese získavania a výmeny informácií. Pri výkone dohľadu nad skupinou môže Národná banka Slovenska požadovať informácie potrebné na ú čely výkonu tohto dohľadu priamo od spoločnosti v skupine, ak aj nevykonáva funkciu orgánu dohľadu nad skupinou, ak už tieto informácie boli vyžiadané, ale neboli v primeranej časovej lehote poskytnuté. V prípade, že Národná banka Slovenska vykonáva funkciu orgánu dohľadu nad skupinou, stanovuje sa jej právomoc udeliť výnimku z pravidelného predkladania údajov v intervaloch kratší ch ako jeden rok na úrovni skupiny a z predkladania údajov po jednotlivých položkách na úrovni skupiny s tým, že v obidvoch prí padoch musia byť splnené stanové podmienky. Získané informácie je Národná banka Slovenska oprávnená overiť dohľadom na mieste. Upravuje sa režim pri cezhraničnom overovaní predložených informácií a možnosť obrátiť sa na Európsky orgán dohľadu (Európsky orgán pre poisťovníctvo a dôchodkové poistenie zamestnancov).
K § 116 a 117
V súlade s článkom 256 smernice Solventnosť II sa stanovuje povinnosť konečnej materskej spoločnosti na úrovni Spoločenstva každoročne uverejniť správu o solventnosti a finančnom stave skupiny. Na zverejnenie správy sa uplatňujú ustanovenia vzťahujúce sa na zverejňovanie správy na sólo úrovni. Sprá va o solventnosti a finančnom stave môže na základe žiadosti konečnej materskej spoločnosti na úrovni Spoločenstva a so súhlasom orgánu dohľadu nad skupinou obsahovať aj informácie za každú dcérsku spolo čnosť v rámci skupiny. Tieto informácie musia byť jednotlivo identifikovateľné a uverejnené v súlade s pravidlami pre uverejňovanie na sólo úrovni.
V súlade s článkom 256a smernice Solventnosť II sa stanovuje pre poisťovňu, zaisťovňu, holdingovú poisťovňu a zmiešanú finančnú holdingovú spoločnosť povinnosť minimálne raz ročne zverejniť právnu, riadiacu a organizačnú štruktúru skupiny.
K § 118
V zmysle článku 257 smernice Solventnosť II sa stanovuje, že všetky osoby, ktoré skutočne riadia poisť ovaciu holdingovú spoločnosť alebo zmiešanú finančnú holdingovú spoločnosť, sú povinné spĺňať požiadavky na odbornosť a dôveryhodnosť pri výkone svojich funkcií. Na plnenie požiadaviek sa uplatňujú ustanovenia paragrafu upravujúcom požiadavky na odbornú spôsobilosť a dôveryhodnosť sólo entít.
K § 119
V súlade s článkom 258 smernice Solventnosť II sa upravujú postupy voči poisťovacej holdingovej spoločnosti ako konečnej materskej spoločnosti pri nedodržaní príslušných požiadaviek zá kona alebo pri potenciálnom ohrození solventnosti, alebo ak vnútroskupinové transakcie alebo koncentrácie rizík ohrozujú finančnú situáciu poisťovne, poisťovne z iného členského štátu, zaisť ovne alebo zaisťovne z iného členského štátu, ktorá je dcérskou spoločnosťou príslušnej poisťovacej holdingovej spoločnosti.
K § 120 až 123
Na poisťovne a zaisťovne, ktoré sú súčasťou skupiny, ktorej ústredie sa nachádza mimo Spoločenstva, by sa mal vzťahovať rovnocenný a primeraný režim dohľadu nad skupinou. Z uvedeného dôvodu je potrebn é zabezpečiť transparentnosť pravidiel a výmenu informácií s orgánmi tretích krajín o všetkých dôležitých okolnostiach. S cieľom zabezpečiť zosúladený prístup k urč eniu a hodnoteniu rovnocennosti dohľadu nad poistením a zaistením v tretích krajinách sa Komisii umožňuje prijatie záväzných rozhodnutí týkajúcich sa rovnocennosti režimov solventnosti v tretích krajiná ch. V prípade tretích krajín, vo vzťahu ku ktorým Komisia neprijala rozhodnutie, uskutoční hodnotenie rovnocennosti orgán dohľadu nad skupinou po porade s ostatnými príslušnými orgánmi dohľadu a v spoluprá ci s Európskym orgánom dohľadu (Európsky orgán pre poisťovníctvo a dôchodkové poistenie zamestnancov).
K § 124
V súlade so smernicou Európskeho parlamentu a Rady 2002/87/ES zo 16. decembra 2002 o doplnkovom dohľade nad úverovými inštitúciami, poisťovňami a investičnými spoločnosťami vo finančnom konglomeráte, ktorou sa menia a dopĺňajú smernice Rady 73/239/EHS, 79/267/EHS, 92/49/EHS, 92/96/EHS, 93/6/EHS a 93/22/EHS a smernice Európskeho parlamentu a Rady 98/78/ES a 2000/12/ES (ďalej len 'smernica 2002/87/ES) sa definuje doplňujúci dohľad, ktorým sa rozumie sledovanie a regulácia rizík finančných konglomerátov, ktorých súčasťou sú poisťovne, zaisťovne a ďalšie osoby vystavené z dôvodu svojej účasti vo finančnom konglomeráte.
K § 125
V súlade s článkom 2 smernice 2002/87/ES sa definuj ú niektoré pojmy potrebné pre výkon doplňujúceho dohľadu, najmä čo sa rozumie finančným konglomerátom, finančný m sektorom, skupinou, regulovanou osobou, zmiešanou finančnou holdingovou spoločnosťou a vymedzujú sa jednotlivé finančné sektory, ktoré môžu byť zastú pené vo finančnom konglomeráte, a to sektor bankový, sektor poisťovníctva a sektor investičných služieb.
K § 126
Ustanovenie v súlade s článkom 10 smernice 2002/87/ES určuje, kedy doplňujúci dohľad nad finančn ým konglomerátom vykonáva Národná banka Slovenska. Ide o skupiny prípadov, ak je finančný konglomerát kontrolovaný poisťovňou alebo zaisťovň ou alebo je finančný konglomerát kontrolovaný zmiešanou finančnou holdingovou spoločnosťou a najvýznamnejším finančným sektorom finančného konglomerátu je sektor poisťovníctva.
Národná banka Slovenska môže na základe dohody s príslušnými orgánmi dohľadu iných členských štátov, ktoré zodpovedajú za dohľ ad nad regulovanými osobami tvoriacimi súčasť finančného konglomerátu, prenechať alebo prevziať vý kon doplňujúceho dohľadu týmto orgánom dohľadu.
K § 127
Na základe článkom 4 smernice 2002/87/ES sa ustanovuje Národnej banke Slovenska povinnosť spolupráce s príslušnými orgánmi dohľadu členských štátov vykonať identifikáciu finančný ch konglomerátov podliehajúcich doplňujúcemu dohľadu a oznámiť túto skutočnosť osobe kontrolujúcej finančný konglomerát, pričom Národná banka Slovenska oznámi osobe, ktorá ovláda finančný konglomerát, že bude podliehať doplňujúcemu dohľadu. Oznamovaciu povinnosť má Národná banka Slovenska aj voči príslušným orgánom dohľadu iných členských štátov a Komisii.
K § 128
V tomto ustanovení sa určujú kritéria na určenie toho, či skupinu podnikateľských subjektov možno považovať za finančný konglomerát na úč ely výkonu doplňujúceho dohľadu. Určuje sa najmä či činnosti vo finančnom sektore v skupine sú významné, t. j viac ako 40% podiel na celkových aktívach skupiny, a či sú medzisektorové činnosti významné,
t. j viac ako 10% podiel celkových aktív jedného finančného sektora k celkovým aktívam subjektov finančného sektora v skupine a podiel minimálnej výš ky vlastných zdrojov jedného finančného sektora k súčtu minimálnej výšky vlastných zdrojov osôb finančného sektora v skupine.
V záujme plnenia cieľov doplňujúceho dohľadu sa umožňuje Národnej banke Slovenska po dohode s pr íslušnými orgánmi dohľadu iných členských štátov v odôvodnených prípadoch upustiť od zaradenia skupiny do doplňujúceho dohľadu, resp. kritéria pri výpočte podielov nahradiť alebo doplniť kritériami uvedenými v zákone v súlade s článkom 3 smernice 2002/87/ES.
K § 129
V zmysle článku 5 smernice 2002/87/ES sa upravujú povinnosti poisťovne alebo zaisť ovne, ktorá je súčasťou finančného konglomerátu dodržiavať podmienky dodržiavania solventnosti, koncentrácie rizík, obmedzenia vnútroskupinových transakcií a riadenia a monitorovania rizík na ú rovni finančného konglomerátu.
V súlade s uvedeným článkom smernice sa upravuje aj skutočnosť, že ak je finančný konglomerát kontrolovaný zmiešanou finančnou spoločnosťou so sídlom v inom ako členskom štá te, a v tomto štáte nie je vykonávaný dohľad nad finančnými konglomerátmi, ktorý je rovnocenný doplňujúcemu dohľadu podľa tohto zákona. V uvedenom prípade môže Národná banka Slovenska urči ť v záujme plnenia cieľov doplňujúceho dohľadu, že poisťovňa alebo zaisťovňa, ktorá je súčasťou takéhoto finančného konglomerátu bude predkladať Národnej banke Slovenska osobitné výkazy, hlásenia a správy o účasti v tomto finančnom konglomeráte a môže obmedziť alebo zakázať tejto poisťovni alebo zaisťovni vnútroskupinové transakcie, ktoré by mohli mať vplyv na plnenie podmienok primeranosti vlastných zdrojov poisťovne alebo zaisťovne.
K § 130
Návrh zákona v tomto ustanovení v súlade s článkom 6 smernice 2002/87/ES upravuje pravidlá primeranosti vlastných zdrojov na úrovni finančného konglomerátu. Hlavným zámerom je zabezpečenie a udržanie dostatočnej a bezpečnej výšky vlastných zdrojov na úrovni finančného konglomer átu. V návrhu zákona je stanovená základná povinnosť zabezpečiť dostatočnú výšku vlastných zdrojov, ako aj povinnosť predkladať Národnej banke Slovenska požadované údaje o výške vlastn ých zdrojov a tiež vymedzenie dostatočnosti vlastných zdrojov. Podrobnosti o vlastných zdrojoch na úrovni finančného konglomerátu, minimálnu výšku vlastných zdrojov osôb v skupine a metódy ich výpoč tu ustanoví opatrenie, ktoré vydá Národná banka Slovenska.
K § 131
V súlade s článkom 7 smernice 2002/87/ES sa stanovujú pravidlá pre koncentráciu rizík na úrovni finančného konglomerátu a taktiež povinnosť hlásiť Národnej banke Slovenska najmenej raz roč ne každú významnú koncentráciu rizík. Na účely zisťovania koncentrácie rizík finančného konglomerátu vydá Národná banka Slovenska opatrenie, ktoré ustanoví spôsob výpočtu majetkovej angažovanosti finančného konglomerátu.
K § 132
Stanovujú sa tu pravidlá pre vnútroskupinové transakcie vo finančnom konglomeráte a povinnosť hlásiť Národnej banke Slovenska najmenej raz ročne každú významnú vnútroskupinovú transakciu, medzi členmi skupiny prevyšujúcu 5% zo zistenej výšky vlastných zdrojov na úrovni finančného konglomerátu, za účelom obmedzenia rizík pre finančný konglomerát v súlade s článkom 8 smernice 2002/87/ES.
K § 133
V súlade s článkom 9 smernice 2002/87/ES sa určuje v záujme dosiahnutia cieľov doplňujúceho doh ľadu nad finančnými konglomerátmi povinnosť regulovať aj vnútorné riadenie a postupy u osôb tvoriacich finančný konglomerát. Na základe uvedeného sa poisťovni alebo zaisťovni, ktorá je sú časťou finančného konglomerátu stanovuje povinnosť vytvoriť systém riadenia rizík a systém vnútornej kontroly za účelom sledovania dodržiavania solventnosti, koncentrácie rizík a obmedzenia vnú troskupinových transakcií na úrovni finančného konglomerátu.
K § 134
Ustanovenie v zmysle článku 11 smernice 2002/87/ES upravuje právomoc Národnej banky Slovenska pri výkone doplňujúceho dohľadu nad finančným konglomerátom. Úlohou Ná rodnej banky Slovenska je najmä výkon funkcie koordinátora zhromažďovania a rozširovania informácií potrebných na sledovanie činnosti finančného konglomerátu a plánovanie a koordinovanie výkonu doplňuj úceho dohľadu v spolupráci s príslušnými orgánmi dohľadu iných štátov vykonávajúcimi dohľad nad regulovanými osobami tvoriacimi finančný konglomerát.
K § 135
Toto ustanovenie upravuje rozsah spolupráce Národnej banky Slovenska a príslušných orgánov dohľadu iných členských štátov, vrátane rozsahu výmeny informácií potrebných na výkon dopl ňujúceho dohľadu.
V súlade s článkom 12 smernice 2002/87/ES sa ukladá povinnosť Národnej banke Slovenska spolupracovať pri výkone dohľadu s orgánmi dohľadu iných členských štátov a poskytovať si potrebné informácie navzájom. Spolupráca pozostáva nielen z výmeny určených informácií potrebných pre vý kon tohto doplňujúceho dohľadu ale aj povinnosti prerokovať pripravované rozhodnutia o nadobudnutí podielu na základnom imaní regulovaných osôb a rozhodnutia o udelení sankcií.
K § 136
Návrh zákona v súlade s článkom 14 smernice 2002/87/ES taktiež upravuje spoluprácu Národnej banky Slovenska a príslušného orgánu doh ľadu iného členského štátu. Národná banka Slovenska na žiadosť príslušného orgánu dohľadu preverí informácie potrebné na výkon doplňujúceho dohľadu o osobe, ktorá je súčasť ou finančného konglomerátu a ktorej sídlo je na území Slovenskej republiky. Národná banka Slovenska je tiež oprávnená požiadať príslušný org án dohľadu iného členského štátu o preverenie informácie potrebnej na výkon doplňujúceho dohľadu o osobe, ktorá je súčasťou finančného konglomerátu a ktorej sídlo je na území iného členského štátu.
K § 137
V súlade s článkom 15 smernice 2002/87/ES sa ustanovuje povinnosť osobám, ktoré sú súčasťou finančného konglomerátu, poskytovať si navz ájom informácie potrebné na plnenie povinností uvedených v predmetných ustanovenia návrhu zákona.
K § 138
V tomto ustanovení sa určuje povinnosť zmiešaným finančným holdingovým spoločnostiam vypracúvať a predkladať Národnej banke Slovenska výkazy, hlásenia a iné správy potrebné na výkon dopl ňujúceho dohľadu. truktúru, rozsah, obsah, formu, členenie, termíny, spôsob, postup a miesto predkladania výkazov, hlásení a iných správ upraví opatrenie, ktoré vydá Národná banka Slovenska. Ú daje vo výkazoch, hláseniach a iných správach musia byť zrozumiteľné, prehľadné, preukazné, musia poskytovať pravdivý obraz o hlásených skutočnostiach a musia byť predložené včas.
K § 139
Predmetné ustanovenie návrhu zákona upravuje sankcie, ktoré môže uložiť Národná banka Slovenska, ak zistí nedostatky v činnosti poisťovne, pobočky zahraničnej poisťovne, zaisťovne alebo poboč ky zahraničnej zaisťovne. Sankcie sa ukladajú aj za nedodržanie zákonom stanovených povinností. Národná banka Slovenska môže podľa rozsahu zistených nedostatkov uložiť napr. opatrenie na odstránenie a ná pravu zistených nedostatkov, povinnosť predkladať osobitné výkazy, hlásenia a správy, skončiť nepovolenú činnosť, peňažnú pokutu, obmedziť alebo pozastaviť oprávnenie na uzavieranie poistných zmlúv alebo zaisťovacích zmlúv a rozširovanie záväzkov, obmedziť alebo zakázať voľné nakladanie s aktívami, odobrať povolenie na vykonávanie činnosti, atď. Za nedodržiavanie podmienok podľ a zákona č. 381/2001 Z. z. o povinnom zmluvnom poistení zodpovednosti za škodu spôsobenú prevádzkou motorového vozidla a o zmene a doplnení niektorých zá konov v znení neskorších predpisov je Národná banka Slovenska oprávnená uložiť vybrané sankcie aj Slovenskej kancelárii poisťovateľov.
K § 140
V súlade s článkom 17 smernice 2002/87/ES je Národná banka Slovenska oprávnená uložiť sankcie zmiešanej holdingovej spoločnosti, ktorá je súčasťou finančného konglomerátu nad ktorým Národná banka Slovenska vykonáva doplňujúci dohľad ako aj členovi predstavenstva alebo vedúcemu zamestnancovi zmiešanej finančnej spoločnosti za účelom splnenia si povinností sú visiacich s výkonom doplňujúceho dohľadu.
K § 141
Ustanovenie v odseku 1 vymedzuje jednotlivé druhy opatrení na ozdravenie poisťovne, zaisťovne, pobočky zahraničnej poisťovne a pobočky zahraničnej zaisť ovne.
V odseku 2 sa stanovujú prípady, kedy môže Národn á banka Slovenska nariadiť prevod poistného kmeňa alebo zaistného kmeňa alebo ich častí. V lehote troch mesiacov od nadobudnutia právoplatnosti rozhodnutia o prevode poistného kmeňa alebo jeho časti alebo zaistného kmeňa alebo jeho časti je poisťovňa, pobočka zahraničnej poisťovne, zaisťovň a alebo pobočka zahraničnej zaisťovne povinná predložiť Národnej banke Slovenska na schválenie návrh postupu tohto prevodu vrátane súhlasné ho vyjadrenia preberajúcej poisťovne, pobočky zahraničnej poisťovne, zaisťovne alebo pobočky zahraničnej zaisťovne. V prípade, ak v tejto lehote nená jde preberajúci subjekt, odôvodní túto skutočnosť Národnej banke Slovenska.
K § 142
Východiskom primeranosti kvantitatívnych požiadaviek v poisťovníctve je kapit álová požiadavka na solventnosť. Národná banka Slovenska by preto mala mať právomoc nariadiť zvýšenie kapitálu nad kapitálovú požiadavku na solventnosť len za výnimočných okolností v prí padoch uvedených v návrhu zákona a po preskúmaní stavu. Cieľom štandardného vzorca kapitálovej požiadavky na solventnosť je odrážať rizikový profil väčšiny poisťovní a zaisťovní. Môž u však existovať určité prípady, keď štandardizovaný prístup neodráža primerane veľmi špecifický rizikový profil poisťovne alebo zaisťovne.
Nariadenie navýšenia kapitálu je výnimočné v tom zmysle, že by sa malo využívať len ako opatrenie poslednej inštancie v prípade, že iné opatrenia dohľadu sú neúčinné alebo nevhodné . Okrem toho by sa mal pojem výnimočné chápať skôr v kontexte osobitnej situácie každej poisťovne alebo zaisťovne než vo vzťahu k počtu navýšení kapitálu nariadených na konkrétnom trhu.
Navýšenie kapitálu by sa malo zachovať, pokiaľ sa neodstránia podmienky, za ktorých bolo nariadené. V prípade závažných nedostatkov úplného alebo čiastočného vnútorného modelu alebo závažný ch zlyhaní v oblasti správy by Národná banka Slovenska mala zabezpečiť, aby príslušná poisťovňa alebo zaisťovňa vynaložila maximálne úsilie na nápravu nedostatkov, ktoré viedli k uloženiu navý šenia kapitálu. V prípadoch, keď štandardizovaný prístup primerane neodráža veľmi špecifický rizikový profil poisťovne alebo zaisťovne, sa však navýšenie kapitálu môže zachovať poč as niekoľkých po sebe nasledujúcich rokov.
Podrobnejšie okolnosti, za ktorých sa môže uložiť navýšenie kapitálu a metódy jeho výpočtu ustanoví Komisia vo vykonávacom nariadení.
K § 143
V zmysle článku 52 smernice Solventnosť II sa stanovuje povinnosť Národnej banky Slovenska informovať Európsky orgán pre poisťovníctvo a dôchodkové poistenie zamestnancov o navýšeniach kapitá lu nariadených Národnou bankou Slovenska.
K § 144
V s úvislosti s kapitálovou požiadavkou na solventnosť ako jednou zo základných kapitálových požiadaviek sa stanovujú povinnosti poisťovne, zaisťovne, pobočky zahraničnej poisťovne a pobočky zahranič nej zaisťovne pri jej nedodržaní alebo predpokladanom nedodržaní. V takomto prípade je povinná informovať Národnú banku Slovenska a pozastaviť vyplácanie dividend, tantiém a iných podielov na zisku, odmien a nepeňažných plnení akcionárom, členom štatutárneho orgánu a členom dozorného orgánu. Do dvoch mesiacov od zistenia, že nespĺňa kapitálovú požiadavku na solventnosť je poisťovňa, zaisťovňa, pobočka zahraničnej poisťovne a pobočka zahraničnej zaisť ovne povinná predložiť na schválenie Národnej banke Slovenska realistický ozdravný plán.
Národná banka Slovenska nariadi poisťovni, zaisťovni, pobočke zahrani čnej poisťovni alebo pobočke zahraničnej zaisťovne, aby v lehote šiestich mesiacov od zistenia, že nespĺňa kapitálovú požiadavku na solventnosť, dosiahla nápravu stavu a to buď obnovou použiteľný ch vlastných zdrojov na požadovanú úroveň alebo znížením svojho rizikové ho profilu. Uvedená lehota môže byť Národnou bankou Slovenska predĺžená o tri mesiace, v prípade mimoriadnej situácie na finančný ch trhoch aj o dlhšie obdobie.
Poisťovňa, zaisťovňa, pobočka zahraničnej poisťovne a pobočka zahraničnej zaisťovne sú povinné predkladať každé tri mesiace Ná rodnej banke Slovenska správu o vývoji.
Ak sa podľa Národnej banky Slovenska bude situácia poisťovne, zaisť ovne, pobočky zahraničnej poisťovne alebo pobočky zahraničnej zaisťovne ďalej zhoršovať, môže obmedziť alebo zakázať voľné nakladanie s aktívami. V prípade, ak Národná banka Slovenska vyžiadala predloženie ozdravného plánu, nevydá rozhodnutie o prevode kmeňa dotknutej poisťovne, zaisťovne, pobočky zahraničnej poisť ovne alebo pobočky zahraničnej zaisťovne, ak sú práva poistníkov alebo zmluvné záväzky zaisťovne ohrozené.
K § 145
V súvislosti s minimálnou kapitálovou pož iadavkou na solventnosť ako jednou zo základných kapitálových požiadaviek sa stanovujú povinnosti poisťovne, zaisťovne, pobočky zahraničnej poisťovne a pobočky zahraničnej zaisťovne pri jej nedodržaní alebo predpokladanom nedodržaní. V takomto prípade je povinná informovať Národnú banku Slovenska a pozastaviť vyplácanie dividend, tantiém a in ých podielov na zisku, odmien a nepeňažných plnení akcionárom, členom štatutárneho orgánu a členom dozorného orgánu.
Do jedného mesiaca od zistenia, že nespĺň a minimálnu kapitálovú požiadavku na solventnosť je poisťovňa, zaisťovňa, pobočka zahraničnej poisťovne a pobočka zahraničnej zaisťovne povinná predložiť na schválenie Ná rodnej banke Slovenska realistický krátkodobý finančný plán. Poisťovňa, zaisťovňa, pobočka zahraničnej poisťovne a pobočka zahranič nej zaisťovne je povinná v lehote troch mesiacov od zistenia dosiahnuť nápravu stavu a to buď zvýšiť použiteľné základné vlastné zdroje na požadovanú úroveň alebo znížiť svoj rizikový profil.
Národná banka Slovenska môže obmedziť alebo zakázať voľné nakladanie s aktívami. V prípade, ak Národná banka Slovenska vyžiadala predloženie finančného plánu, nevydá rozhodnutie o prevode kmeňa dotknutej poisťovne, zaisťovne, pobočky zahraničnej poisť ovne alebo pobočky zahraničnej zaisťovne, ak sú práva poistníkov alebo zmluvné záväzky zaisťovne ohrozené.
K § 146
Ustanovenie umožňuje Národnej banke Slovenska pozastaviť poisťovni, zaisťovni, pobočke zahraničnej poisťovne alebo pobočke zahraničnej zaisťovne, ak si to situácia vyžaduje, uzavieranie poistných zmlúv alebo zaistných zmlúv a rozširovanie záväzkov. Opatrenie sa môže týkať tak časti rozsahu poisťovacích činností a zaisťovacích činností ako aj celkového rozsahu činnosti. O uvedenej skutočnosti Národná banka Slovenska informuje verejnosť prostredníctvom masovokomunikačných prostriedkov. Ak sa pozastavenie oprávnenia týka pobočky zahraničnej poisťovne alebo poboč ky zahraničnej zaisťovne Národná banka Slovenska informuje príslušný orgán dohľadu štátu, v ktorom má sídlo zahraničná poisťovň a alebo zahraničná zaisťovňa, ktorá zriadila túto pobočku.
K § 147 až 155
Núten ú správu zavádza Národná banka Slovenska v prípadoch priameho ohrozenia splniteľnosti záväzkov pois ťovne alebo zaisťovne. Nútená správa je reš trukturalizačné a reorganizačné opatrenie, ktorým sa pozastavuje výkon činnosti orgánov spoločnosti.
Výsledkom tohto opatrenia je buď ozdravenie finančnej situá cie poisťovne alebo zaisťovne, alebo jej likvidácia. Cieľom tohto opatrenia je zabezpečiť maximálne možn ú ochranu poistených subjektov. V inštitúte nútenej správy sa uvádzajú dôvody pre ktoré je orgán dohľadu oprávnený použiť tento nástroj, spôsob jej zavedenia, kompetencie núteného sprá vcu ako aj ukončenie nútenej správy.
Upravuje sa zavedenie zahraničného reštrukturalizačného opatrenia s obdobným účelom a vplyvom na prá va tretích osôb, ako je účel a vplyv nútenej správy. Toto opatrenie sa zavádza v inom členskom štáte v poisťovni z iného členského štátu alebo zaisťovni z iného členského štátu a vzťahuje sa aj na ich pobočky zriadené na ú zemí Slovenskej republiky.
Príslušný orgán dohľadu iného členského štátu oznámi Národnej banke Slovenska zavedenie zahraničného reštrukturalizačného opatrenia a N árodná banka Slovenska zabezpečí zverejnenie rozhodnutia o jeho zavedení vo vestníku Národnej banky Slovenska, nakoľko účinky zavedenia nútenej správy nastávajú okamžite, čo do značnej miery ovplyvňuje úspešnosť prvých opatrení, ktoré musí nútený správca nevyhnutne prijať a to najmä vo vzťahu k členom orgánov poisťovne alebo zais ťovne, jej jednotlivým organizačným útvarom ako aj vedúcim pracovníkom. Zavedenie nútenej správy nad poisťovňou alebo zaisťovňou je potrebné zverejniť v záujme informovanosti klientov, akcionárov pois ťovne ale aj ostatnej verejnosti.
V ustanoveniach sa ďalej upravuje informačnú povinnosť medzi Národnou bankou Slovenska a pr íslušnými orgánmi dohľadu iných členských štátov o zavedení nútenej správy nad poisťovňou alebo zaisťovňou.
Správca je oprávnený riadiť poisťovňu alebo zaisťovňu a jej zamestnancov počas nútenej správy a je zodpovedný za jej výkon. V prí pade potreby môže správca jedného zo zástupcov po predchádzajúcom súhlase Národnej banky Slovenska splnomocniť vykonávaním úkonov v jeho mene. V záujme riešenia konkrétnych a naliehavých odborných problémov môže správca po predchádzajúcom súhlase Národnej banky Slovenska prizvať odborných poradcov. V návrhu zákona sa podrobnejšie upravujú aj niektoré základné oprávnenia správcu vo vzťahu k valnému zhromaž deniu, vo vzťahu k záväzkom a majetku poisť ovne alebo zaisťovne, ako aj oprávnenie správcu podať návrh na konkurz alebo na odobratie povolenia na vykoná vanie poisťovacej činnosti alebo zaisťovacej činnosti. Kompetencie správcu a jeho zástupcov sú vymedzené týmto zákonom, osobitnými predpismi a zmluvou o v ýkone činnosti správcu uzavretou s Národnou bankou Slovenska. Určené osoby, ktoré pôsobia v poisť ovni alebo zaisťovni v čase zavedenia nútenej správy zaväzuje zákon k súčinnosti pri výkone nútenej správy. Ide o osoby, ktoré majú pravdepodobne najlepšie informácie o situácii v poisťovni alebo zaisťovni, pričom je potrebné, aby správca mohol využiť ich skúsenosti a poznatky s cieľom splnenia účelu nútenej správy. Správca má však vytvorený aj právny priestor na to, aby mohol posúdi ť mieru zavinenia niektorých z uvedených osôb, zodpovedných za vznik problémov, ktoré doviedli poisťovňu alebo zaisťovňu k nútenej správe, ktorých účasť na výkone nútenej správy alebo ďal šie zotrvanie v poisťovni alebo zaisťovni je nežiaduce a aby mohol voči nim prijať opatrenia v súlade so v šeobecne záväznými právnymi predpismi.
Pri výkone nútenej správy núteným správcom na území iného členského štátu sa postupuje v súlade s právnym poriadkom členského št átu, na území ktorého pôsobia. Osoby, ktoré vykonávajú zahraničné reštrukturalizačné opatrenie zavedené v inom členskom štáte majú pri jeho výkone rovnaké právne postavenie a všetky kompetencie ako pri výkone nútenej správy na území iného členského štátu; musia však postupovať v súlade so všeobecne záväznými prá vnymi predpismi Slovenskej republiky.
Významným nástrojom je ustanovenie v rámci ktorého má správca oprávnenie odporovať určité právne úkony, čím sa sleduje nielen záujem pois ťovne alebo zaisťovne, nad ktorou bola zavedená nútená správa, ale aj samotných poistencov, resp. ostatn ých veriteľov. V návrhu sú upravené podrobnosti týkajúce sa zápisu a výmazu nútenej správy, správcu poisťovne alebo zaisťovne a zástupcov správcu v obchodnom registri.
Ustanovenie § 155 upravuje skutočnosti, ktorých naplnením dôjde ku skončeniu nútenej sprá vy, ako aj povinnosť Národnej banky Slovenska oznámiť skončenie nútenej správy.
K § 156 a 157
Ustanovenia návrhu zákona upravujú prevod poistného kmeňa a zaistného kmeňa ku ktorému môže dôjsť buď na základe žiadosti odovzdávajúcej poisťovne, odovzdávajúcej pobočky zahraničnej pois ťovne, odovzdávajúcej zaisťovne alebo odovzdávajúcej pobočky zahraničnej zaisťovne alebo na základe rozhodnutia Národnej banky Slovenska podľa § 141. Poistný kmeň ako súbor uzavretých platný ch poistných zmlúv alebo zaistný kmeň ako súbor uzavretých platných zaistných zmlúv môže byť predmetom obchodu medzi poisťovňami a zaisťovňami. Aj v takomto prípade však podmienky a spô sob tohto prevodu nesmú poškodzovať oprávnené záujmy poistených, a preto je takýto prevod mož né uskutočniť iba na základe súhlasného stanoviska Národnej banky Slovenska. Národná banka Slovenska pred vydaním súhlasu s takto zamýšľanou zmenou preskúma schopnosť preberajúcej i odovzdávajú cej spoločnosti splniť všetky z toho vyplývajúce záväzky. V ustanovení sa upravujú nálež itosti žiadosti o prevod poistného kmeňa alebo zaistného kmeňa. Preberajúca poisťovňa, preberajúca pobočka zahraničnej poisťovne, preberajúca zaisťov ňa a preberajúca pobočka zahraničnej zaisťovne je povinná v lehote uvedenej v návrhu oznámiť, že tento záväzok preberá a je tiež povinná oznámiť túto skutočnosť poisteným, ktorý ch poistných zmlúv sa prevod poistného kmeňa týka. Preberajúca poisťovňa, preberajúca pobočka zahraničnej poisťovne, preberajúca zaisťovňa a preberajúca pobočka zahraničnej zaisťovne preberá na seba všetky práva a povinnosti odovzdávajúcej spoločnosti, ktoré boli predmetom prevodu. Obsahom ustanovení je aj úprava, týkajúca sa skutočností , pre ktoré Národná banka Slovenska prevod poistného kmeňa alebo zaistného kmeňa alebo jeho časti neschv áli.
V návrhu zákona sa ďalej v súlade so smernicou Solventnosť II upravuje postup prevodu poistného kmeňa a zaistného kmeňa v rámci členských štátov. Poisťovňa, poboč ka zahraničnej poisťovne, zaisťovňa alebo pobočka zahraničnej zaisťovne je oprávnená previesť poistný kmeň alebo zaistný kmeň na poisťovňu z iného členského štátu, zaisťovňu z iného členského štátu alebo pobočku zriadenú v inom členskom štáte na základe rozhodnutia Národnej banky Slovenska po predchádzajúcom súhlase príslušného orgánu dohľadu domovského členského štátu preberajúcej spoločnosti. Obdobne sa upravuje spolupráca Národnej banky Slovenska s orgánom dohľadu iného členského štátu, ktorý požiadal Národnú banku Slovenska o stanovisko k prevodu poistného kmeňa alebo zaistného kmeňa alebo jeho časti.
K § 158 a 159
V týchto ustanoveniach sú v súlade s článkom 144 smernice Solventnosť II taxat ívne vymedzené dôvody na základe ktorých je Národná banka Slovenska povinná alebo na zá klade ktorých môže odobrať povolenie na vykonávanie poisťovacej činnosti alebo zaisťovacej činnosti. Odobratie povolenia je najzávažnejším zásahom do činnosti poisťovne alebo zaisťovne. Základným zámerom tohto opatrenia je zabezpečiť ochranu oprávnených záujmov poistených. Upravuje sa tu aj odobratie povolenia na vykonávanie poisťovacej činnosti alebo zaisťovacej činnosti pobočke zahraničnej pois ťovni alebo pobočke zahraničnej zaisťovni a stanovuje sa povinnosť Národnej banky Slovenska oznámiť t úto skutočnosť príslušnému orgánu dohľadu toho štátu, v ktorom má sídlo zahraničná poisťovňa alebo zahraničná zaisťovňa.
Poisťovňa alebo zaisťovňa po doručení rozhodnutia o odobratí povolenia alebo od zániku tohto povolenia nesmie uzatvárať nové poistné zmluvy alebo zaistné zmluvy a všetky úkony musia smerovať k jej zániku. Napriek tomu, že takýto subjekt v záujme doriešenia svojich obchodov koná ako poisťovňa, zaisťovňa alebo poboč ka zahraničnej poisťovne alebo pobočka zahraničnej zaisťovne, nevzťahujú sa na tento subjekt vš etky povinnosti ako pre riadnu poisťovňu alebo zaisťovňu, napr. nepredkladá štatistické výkazy.
Návrh zákona ďalej upravuje po žiadavku uverejnenia rozhodnutia o odobratí povolenia v Obchodnom vestníku, zápisu rozhodnutia o odobratí povolenia do obchodného registra, ako aj povinnosť Národnej banky Slovenska podať návrh na zrušenie a likvid áciu poisťovne alebo zaisťovne a na vymenovanie likvidátora. V záujme rýchlosti konania sa v uvedených prípadoch nepoužijú niektoré ustanovenia Obchodného zákonníka.
K § 160
V tomto ustanovení sú taxatívne vymenované skutočnosti, kedy zaniká povolenie na vykonávanie poisťovacej činnosti alebo zaisťovacej činnosti. Zároveň sa stanovuje povinnosť informovať Národnú banku Slovenska o vzniku skutočností vedúcich k zániku povolenia.
K § 161 a 162
Vzhľadom na charakter činnosti poisťovne a zaisťovne návrh zákona osobitne upravuje niektoré postupy pri likvidácii poisťovne a zaisťovne. Naprí klad určuje, že návrh na menovanie a odvolanie likvidátora môže podať iba Národná banka Slovenska, určuje kto môže byť likvidátorom, ustanovuje povinnosť mlčanlivosti pre likvidátora a tiež informačnú povinnosť voči Národnej banke Slovenska. Týmto postupom sa sleduje najmä bezpečné likvidovanie poisťovne a zaisťovne zabezpečujú ce ochranu poistených a príjemcov poistného plnenia.
V súlade s článkom 160 smernice Solventnosť II sa ustanovuje, že záväzky vyplývajúce z poistných zmlúv alebo zaistných zmlúv uzavretých prostredníctvom pobočiek poisťovne alebo pobočiek zaisťovne v iných členských štátoch alebo na základe práva slobodného poskytovania služieb, v prípade likvidácie poisťovne alebo zaisťovne, musia byť plnené rovnakým spôsobom ako záväzky vzniknuté z iných poistných zmlúv alebo zaistných zmlúv bez ohľadu na štátnu príslušnosť dotknutej poistenej osoby a príjemcu poistného plnenia.
Ïalej sa upravujú pravidlá týkajúce sa postupov pri likvidácií poisťovne, poisťovne z in ého členského štátu, zaisťovne a zaisťovne z iného členského štátu v rámci členských štátov. Ustanovujú sa postupy Národnej banky Slovenska pri zrušení poisťovne a zaisťovne so sídlom na území Slovenskej republiky formou likvidácie, pričom rozhodnutie Národnej banky Slovenska o likvidácii poisťovne a zaisťovne po nadobudnutí jeho právoplatnosti sa uznáva vo všetkých členských štátoch. Ïalej sa v tomto ustanovení v súlade so smernicou 2001/17/ES upravujú práva a povinnosti orgánu dohľadu a likvidátora v prípade likvidácie.
Oznámenie o začatí likvidácie poisťovne z iné ho členského štátu alebo zaisťovne z iného členského štátu zverejní Národná banka Slovenska vo vestníku Národnej banky Slovenska a likvidátor bez zbytočného odkladu zverejní výrok rozhodnutia o likvidácii poisťovne z iného členského štátu alebo zaisťovne z iného členského štátu v Úradnom vestníku Európskych spoločenstiev v slovenskom jazyku. Ïalej sa v ustanovení upravuje povinnosť likvidátora písomne oznamovať veriteľom, ktorí majú trvalý pobyt alebo sídlo v inom členskom štáte lehotu v rámci, ktorej majú prihlasovať svoje pohľadávky ako aj ďalš ie informácie.
Ustanovenie upravuje aj postavenie likvidátora z iného č lenského štátu, ktorý chce vykonávať likvidáciu poisťovne z iného členského štátu alebo zaisťovne z iného členského štátu na území Slovenskej republiky. Jeho povinnosťou je preukáza ť sa Národnej banke Slovenska úradne osvedčenou kópiou rozhodnutia o vymenovaní za likvidátora alebo iným obdobným dokumentom vydaným príslušným orgánom dohľadu iného členského štátu.
K § 163
Ustanovenie upravuje povinnosť Národnej banky Slovenska, v prípade porušenia ustanovení upravených v návrhu zákona, pozastaviť výkon práva zúčastniť sa a hlasovať na valnom zhromaždení poisť ovne alebo zaisťovne a práva požiadať o zvolanie mimoriadneho valného zhromaždenia poisťovne alebo zaisťovne. V záujme uplatnenia tohto práva uvedené ustanovenie upravuje postup (najmä povinnosti) poisťovne alebo zaisťovne pred valným zhromaždením. Za splnenia určitých podmienok ustanovených v návrhu zá kona sa môže Národná banka Slovenska obrátiť na s úd na určenie neplatnosti rozhodnutia valného zhromaždenia poisťovne alebo zaisťovne. Ide najmä o prípady, ak boli porušené všeobecne záväzné právne predpisy alebo stanovy poisťovne alebo zaisťovne.
K § 164
V tomto ustanovení sa upravuje problematika spolupoistenia, to znamená upravuje sa možnosť uzavrieť poistn ú zmluvu medzi poistníkom a viacerými poisťovňami, poisťovňami z iného členského štátu alebo pobočkami zahraničných poisťovn í.
Vytvára sa inštitút hlavného spolupoisťovateľa, ktorý musí byť uvedený v poistnej zmluve a zároveň v prípade viacerých spolupoisťovateľov sa stanovuje povinnosť v poistnej zmluve uviesť výšku podielov jednotlivých spolupoisťovateľov na právach a záväzkoch zo spolupoistenia. Poistený má právo na poistné plnenie voči hlavnému spolupoisťovateľovi len v prí pade, ak tak bolo dohodnuté v poistnej zmluve, pričom spolupoisťovatelia sa medzi sebou vyrovnajú v pomere podľa svojich podielov, ak nebolo dohodnuté inak.
K § 165
Účinné vykonávanie spolupoistenia v rámci Spoločenstva pre č innosti, ktoré by z dôvodu ich povahy alebo veľkosti mohli spadať do predmetu medzinárodného spolupoistenia, by malo byť uľahčené minimálnym zosúladením s cieľom zabrániť narušeniu hospodárskej sú ťaže a rozdielom v zaobchádzaní. V súvislosti s tým by hlavný spolupoisťovateľ mal stanoviť poistné plnenie a výšku technických rezerv. Ïalej sa zabezpečuje osobitná spoluprá ca v oblasti spolupoistenia v rámci Spoločenstva medzi Národnou bankou Slovenska a príslušnými orgánmi dohľadu členských štátov, ako aj medzi Národnou bankou Slovenska a Komisiou.
K § 166
V s úlade s článkom 198 smernice Solventnosť II sa definuje poistenie právnej ochrany. Následne sa v zmysle článku 200 smernice Solventnosť II stanovujú opatrenia na predchádzanie konfliktom záujmu vyplývajúcim najmä zo skutoč nosti, že poisťovňa alebo pobočka zahraničnej poisťovne súčasne s poistením právnej ochrany poskytuje aj poistenie v inom odvetví neživotného, prí padne pri univerzálnych poisťovniach, aj životného poistenia. Za týmto účelom je možno vhodnú úroveň ochrany poistníkov dosiahnuť rôznymi spôsobmi, pričom poisťovňa alebo pobočka zahraničnej pois ťovne je povinná zabezpečiť minimálne jedno z týchto opatrení.
K § 167
Veľmi malé poisťovne spĺňajúce podmienky, že hrubé predpísané poistné za účtovne obdobie neprevyšuje 5 miliónov eur, celkové technické rezervy poisť ovne neprevyšujú 25 miliónov eur, ak poisťovňa patrí do skupiny, tak celkové technické rezervy skupiny neprevyšujú 25 miliónov eur, poisťovňa nevykonáva poisťovaciu alebo zaisťovaciu činnosť v poistných odvetviach neživotného poistenia uvedených v prílohe č. 1 časti A bodoch 10 až 15, hrubé predpísané poistné zo zaisťovacej činnosti neprevyšuje 500 000 eur, technické rezervy zo zaisťovacej činnosti neprevyšujú 2 500 000 eur, hrubé predpísané poistné zo zaisťovacej činnosti neprevyšuje 10 % jej celkového hrubého predpísaného poistného alebo technické rezervy zo zaisťovacej č innosti neprevyšujú 10 % jej celkových technických rezerv, ak poisťovňa vykonáva zaisťovaciu činnosť a poisťovňa nevykonáva poisťovaciu činnosť alebo zaisťovaciu činnosť na území iného č lenského štátu na základe jednotného európskeho pasu, sú vyňaté z pôsobnosti príslušných častí návrhu zákona v zmysle článku 4 smernice Solventnosť II. V zmysle smernice Solventnosť II sa vš ak nebráni poisťovniam spĺňajúcim uvedené kritéria pokračovať v režime Solventnosť II pri splnení zákonom stanovených požiadaviek.
K § 168
Stanovujú sa podmienky pre udelenie povolenia na vykonávanie poisťovacej činnosti Národnou bankou Slovenska v prípade, že žiadateľ o udelenie povolenia na vykonávanie poisťovacej činnosti preukáže, že budúca poisť ovňa v nasledujúcich piatich účtovných obdobiach od udelenia povolenia na vykonávanie poisťovacej činnosti splní podmienky stanovené v § 167 ods. 1 a tento žiadateľ nepožiada o udelenie povolenia podľa § 7 návrhu zákona.
K § 169
Ustanovenie určuje, že povolenie na vykonávanie poisťovacej činnosti alebo zaisťovacej činnosti sa vydáva na neurčitý čas a nie je prevoditeľné na inú osobu. Povolenie oprá vňuje poisťovňu vykonávať poisťovaciu činnosť alebo zaisťovaciu činnosť len na území Slovenskej republiky. V prípade, ak by poisťovňa chcela využiť možnosti jednotného európskeho pasu musí požiadať o povolenie podľa § 7 zákona. Ustanovenie ďalej stanovuje dodatočné náležitosti, ktoré musí výrok rozhodnutia, ktorým sa udeľ uje povolenie na vykonávanie poisťovacej činnosti alebo povolenie na vykonávanie zaisťovacej činnosti obsahovať.
Ustanovenie rieši aj vzťah konania o žiadosti na udelenie povolenia na vykonávanie poisťovacej činnosti alebo udelenie povolenia na vykonávanie zaisťovacej činnosti a platnej medzinárodnej zmluvy tak, ž e povolenie nemôže byť udelené, pokiaľ by takéto povolenie bolo v rozpore s príslušnou medzinárodnou zmluvou.
Zároveň sa upravuje povinnosť poisťovne informovať N árodnú banku Slovenska o zmenách skutočností uvedených v § 168.
K § 170
Ustanovenie upravuje postup a podmienky pri žiadosti poisťovne na zmenu povolenia na vykonávanie poisťovacej č innosti alebo povolenia na vykonávanie zaisťovacej činnosti. Zmenou povolenia na vykonávanie poisťovacej činnosti sa rozumie rozšírenie alebo zúženie povolenia o jedno alebo viac poistných odvetví uvedených v prílohe č. 1 návrhu zákona, alebo len o jedno alebo viac vybraných rizík v rámci poistného odvetvia. Zmenou povolenia na vykonávanie zaisťovacej činnosti sa rozumie rozšírenie alebo zúženie povolenia o poistný druh neživotné poistenie alebo životn é poistné. O žiadosti o zmenu povolenia rozhoduje Národná banka Slovenska.
K § 171 až 178
Ustanovenia upravujú tvorbu technických rezerv poisťovňou, na ktorú sa uplatňuje osobitný režim. Technické rezervy sa tvoria v súlade s vymedzeným predmetom podnikania v takej výške, aby bola v každom okamihu zabezpečená splniteľnosť záväzkov vyplývajúcich z poistných zmlúv a zaistných zmlúv.
Technické rezervy predstavujú cudzí zdroj krytia závä zkov, ktoré vznikli z poisťovacej činnosti a zaisťovacej činnosti. Jednotlivé druhy technických rezerv sú v zákone taxatívne vymedzené a tvoria sa samostatne pre životné poistenie a samostatne pre neživotné poistenie. V prípade, ak sa záväzky voči poisteným nemôžu uhrádzať z týchto technických rezerv, poisťovňa je oprávnená vytvárať aj ďalšie technické rezervy, za splnenie podmienky udelenia predchádzajúceho súhlasu Národnou bankou Slovenska.
V súlade s doterajšou praxou sa určuje spôsob umiestnenia prostriedkov technický ch rezerv napr. do dlhopisov vydaných Slovenskou republikou alebo Národnou bankou Slovenska, vydaných bankami alebo zahraničnými bankami členských štátov, do dlhopisov vydaných Európskou investičnou bankou, Európskou bankou pre obnovu a rozvoj alebo Medzinárodnou bankou pre obnovu a rozvoj, do pokladničných pouk ážok, do hypotekárnych záložných listov alebo vkladových listov, kúpy nehnuteľností a do iných aktív ustanovených v § 178 návrhu zákona. Limity umiestnenia prostriedkov technických rezerv ustanoví Národná banka Slovenska opatrením. Stanovuje sa povinnosť umiestniť prevažnú časť prostriedkov technických rezerv do aktív v tej mene, v ktorej sa poisťovňa zaviazala plniť.
K § 179
Ustanovením sa upravuje solventnosť poisťovne, t.j. schopnosť v každom okamihu zabezpečiť úhradu záväzkov vyplývajúcich z vykonávania poisťovacej č innosti alebo zaisťovacej činnosti. Jej stanovenie má v praxi mimoriadny význam z dôvodu, že v poisťovacej praxi nie je vždy isté či prijaté poistné a vytvorené technické rezervy umožnia poisťovni splni ť si vo všetkých prípadoch svoje záväzky z poistenia a zaistenia. Za týmto účelom je poisťovňa povinná kryť kapitálovú požiadavku na solventnosť použiteľnými základnými vlastný mi zdrojmi. Definuje sa minimálna kapitálová požiadavka na solventnosť, ktorej absolútnu spodnú hranicu ustanoví Národná banka Slovenska opatrením.
K § 180
Stanovuje sa povinnosť zaviesť a uplatňovať účinný systém sprá vy a riadenia, ktorým sa zabezpečí spoľahlivé a obozretné riadenie činnosti. Organizačná štruktúra poisťovne musí byť primerane transparentná s jasným a vhodným rozdelením zodpovedností tak, aby sa v čo najväčšej miere zabránilo vzniku konfliktu záujmov. Zároveň musí byť zabezpečená účinná výmena informácií v rámci poisťovne. Poisťovňa je povinná v organizačnej štruktúre zahrnúť útvar vnútorného auditu, útvar riadenia rizík a útvar aktuárskych výpočtov, ktoré sú v priamej riadiacej pôsobnosti predstavenstva poisťovne. Za účelom sústavného dodrž iavania požiadaviek je poisťovňa povinná vykonávať pravidelné overovanie správneho nastavenia a fungovania systému správy a riadenia a prijať opatrenia na nápravu zistených nedostatkov. Stanovuje sa povinnosť zaviesť a uplatňovať pravidlá a postupy vo forme písomnej koncepcie minimálne v rozsahu uvedený ch činností ako aj povinnosť prehodnocovať túto písomnú koncepciu. Stanovujú sa povinnosti pri aktívnom a pasívnom výkone finitného zaistenia.
K § 181
Stanovuje sa, že členovia predstavenstva a vedúci zamestnanci v priamej riadiacej pôsobnosti predstavenstva musia po celý čas spĺňať požiadavky na odbornosť a dôveryhodnosť. Zmeny týkajúce sa týchto osôb podliehajú notifikačnej povinnosti zo strany poisťovni voč i Národnej banke Slovenska. Pre účely posúdenia sa definuje odborná spôsobilosť a dôveryhodná osoba.
K § 182
Poisťovniam, na ktoré sa vzťahuje osobitný režim, sa stanovuje povinnosť zaviesť a uplatňovať účinný systém riadenia rizík zahrňujúci stratégie, procesy a postupy oznamovania potrebné na účely priebežné ho zisťovania, merania, monitorovania, riadenia a oznamovania rizík vrátane ich vzájomnej závislosti, ktorým sú vystavené a ktorým by mohli byť vystavené. Systém riadenia rizík musí byť účinný a vhodne začlenený do organizačnej štruktúry a do rozhodovacích procesov. Zároveň sa stanovujú oblasti, ktoré musí systém riadenia rizík minimálne zahàňať. Stanovuje sa povinnosť predkladať Národnej banke Slovenska správu o výsledkoch činnosti útvaru riadenia rizika, pričom náležitosti správy ustanoví Národná banka Slovenska opatren ím vyhláseným v zbierke zákonov.
K § 183
Stanovujú sa úlohy útvaru aktuárskych výpočtov. Poisťovňa, na ktorú sa vzťahuje osobitný re žim, je povinná zabezpečiť osobám vykonávajúcim činnosti v útvare aktuárskych výpočtov prístup k všetkým potrebným informáciá m. Stanovujú sa povinnosti vedúcemu útvaru aktuárskych výpočtov pri zistení nedostatkov v hospodárení poisťovne.
K § 184
Stanovuje sa povinnos ť zaviesť a uplatňovať účinný systém vnútornej kontroly zahàňajúci minimálne administratívne a účtovné postupy, kontrolné procesy a postupy a procesy a postupy upravujúce oznamovanie informá cii na všetkých úrovniach poisťovne. Stanovujú sa povinnosti útvaru vnútorného auditu. Výkon vnútorného auditu musí byť objektívny a nezá vislý od operačných činností. S týmto cieľom návrh zákona stanovuje určité požiadavky na útvar vnútorného auditu – jeho vedúci nesmie byť členom predstavenstva, členom dozornej rady ani prokuristom poisťovne, ktorej je zamestnancom, osoby vykonávajúce vnútorný audit musia mať prístup k informáciám potrebných na výkon ich úloh a vedúci útvaru je povinný ozn ámiť každé svoje zistenie a odporúčanie predstavenstvu poisťovne. Poisťovňa je povinná predložiť Národnej banke Slovenska do 30. apríla kalendárneho roka správu o výsledkoch činnosti útvaru vnútorného auditu za predchádzajúci kalendárny rok, o prijatý ch opatreniach na nápravu zistených nedostatkov v činnosti poisťovne a plán činnosti útvaru vnútorného auditu na nasledujúci kalendárny rok. Nálež itosti tohto oznámenia môže ustanoviť Národná banka Slovenska opatrením.
K § 185
Ustanovuje sa možnosť poisťovne, na ktorú sa vzťahuje osobitný režim, zveriť jednu alebo viac činností inej osobe na základe zmluvy o zverení činnosti schválenej predstavenstvom poisťovne. Zverením výkonu činnosti nezaniká zodpovednosť poisťovne za dodržiavanie povinností vyplývajúcich z tohto zákona a iných právnych predpisov. Ustanovujú sa podmienky, ktoré musí poisťovňa zabezpečiť pri zverení v ýkonu činnosti v rámci systému správy a riadenia alebo akejkoľvek činnosti vyplývajúcej z poisťovacej činnosti alebo zaisťovacej činnosti.
Poisťovňa je povinná informovať Národnú banku Slovenska o svojom zámere zveriť výkon činností v rámci systému správy a riadenia alebo akejkoľvek činnosti vyplývajúcej z poisť ovacej činnosti alebo zaisťovacej činnosti inej osobe, pričom je povinná následne informovať o významných zmenách v súvislosti s týmito činnosťami. Ustanovujú sa náležitosti zmluvy o zverení výkonu činnosti.
K § 186
Ak poisťovňa, na ktorú sa vzťahuje osobitný režim, vykonáva súčasne životné poistenie a neživotné poistenie je povinná zriadiť z hľadiska personá lneho a organizačného oddelenú správu pre životné poistenie a neživotné poistenie. Táto oddelená správa musí byť zabezpečená tak, aby nedochádzalo k poškodeniu záujmov poistníkov alebo poistený ch v jednotlivých poistných druhoch, najmä aby sa výnosy v príslušnom poistnom druhu využívali iba v prospech poistníkov alebo poistených v tomto poistnom druhu. Stanovujú sa podmienky ohľadne stanovenia a krytia kapitálových požiadaviek. Ïalej sa stanovuje povinnosť viesť účtovnú evidenciu osobitne pre životné poistenie a zaistenie životného poistenia a pre neživotné poistenie a zaistenie neživotného poistenia a pripraviť účtovné závierky tak, aby sa oddelene vykázali výnosy a náklady, najmä poistné , platby zaisťovateľom, príjmy z investícií, výplaty poistných plnení, tvorba technických rezerv, platby zaisťovateľov a prevádzkové náklady. Rozdelenie spoločných položiek musí byť akceptované Národnou bankou Slovenska. Stanovuje sa postup Národnej banky Slovenska, ak výška položiek použiteľn ých základných vlastných zdrojov v súvislosti s činnosťou v jednom poistnom druhu nie je dostatočná na krytie minimálnych kapitálových požiadaviek v druhom poistnom druhu.
K § 187
Stanovuje sa povinnosť bez zbytočného odkladu oznámiť Národnej banke Slovenska každú zmenu vo finančnej situácii alebo iné skutočnosti, ktoré môžu ohroziť schopnosť poisťovne plniť závä zky vyplývajúce z vykonávanej poisťovacej činnosti alebo zaisťovacej činnosti. Zároveň sa stanovuje povinnosť pravidelného predkladania údajov z účtovnej evidencie a štatistickej evidencie a ďalších údajov a informácií vo forme výkazov, hlásení, prehľadov a iných správ. Údaje iné informácie uvedené vo výkazoch, v hláseniach a v iných správach musia byť zrozumiteľné, prehľadné, preukazn é, musia poskytovať pravdivý obraz o hlásených skutočnostiach a musia byť predložené včas.
K § 188
Ustanovenie upravuje väzbu návrhu zákona na všeobecné ustanovenia Obchodného zákonníka a zákona č. 747/2004 Z. z. o dohľade nad finančným trhom a o zmene a doplnení niektorých zákonov v znení neskorších predpisov. Stanovuje sa forma akcií vydaných poisťovňou a zaisťovňou.
K § 189
Ustanovujú sa podmienky pri rozdelení, splynutí, zlúčení alebo zrušení poisťovne alebo zaisťovne vrátane zlúčenia inej právnickej osoby s poisťov ňou alebo zaisťovňou, ako aj povinnosti právnickej osoby, ktorej bolo odobraté povolenie na vykonávanie poisťovacej činnosti alebo zaisťovacej činnosti.
K § 190
V predmetom ustanovení sa určuje v akých prí padoch sa úkon, na ktorý je potrebný predchádzajúci súhlas Národnej banky Slovenska, považuje za neplatný.
K § 191 až 193
Ustanovenie upravuje väzbu na právne vzťahy vzniknuté pred nadobudnutím účinnosti návrhu zákona.
Osoby, ktoré vykonávajú činnosť v oblasti poisťovníctva v súlade s doterajšími predpismi, sú povinné zosúladiť svoje právne pomery s ustanoveniami n ávrhu zákona najneskôr do 1. januára 2016.
Poisťovne alebo pobočky zahraničných poisťovní, ktoré vykonávali pois ťovaciu činnosť v súlade s doterajšími predpismi, sa odo dňa nadobudnutia účinnosti tohto zákona považujú za poisťovne alebo pobočky zahraničnej poisťovne, ktorým bolo udelené povolenie podľ a tohto zákona.
Pobočka poisťovne z iného členského štátu, ktorá vykonáva poisťovaciu činnosť na území Slovenskej republiky na základe povolenia udeleného podľa doterajš ích predpisov, sa odo dňa nadobudnutia účinnosti tohto zákona sa považuje za pobočku z iného členského štátu zriadenú podľa tohto zákona.
Povolenie na vznik a činnosť poisťovne, zaisťovne, pobočky zahraničnej poisťovne alebo pobočky zahraničnej zaisťovne vydané podľa predpisov účinných do 31. decembra 2015, ktoré je platné k 31. decembru 2015, sa považuje za povolenie na činnosť pois ťovne, zaisťovne, pobočky zahraničnej poisťovne alebo pobočky zahraničnej zaisťovne vydané podľa tohto zákona.
Národná banka Slovenska vydá ku dňu účinnosti tohto zákona poisťovni, zaisťovni, pobočke zahraničnej poisťovne a pobočke zahraničnej zaisťovne osvedčenie o rozsahu poisťovacej činnosti alebo zaisť ovacej činnosti podľa prílohy č. 1 návrhu zákona, ktorú je poisťovňa, zaisťovňa, pobočka zahraničnej poisťovne alebo pobočka zahraničnej zaisťovne oprávnená vykonávať na základe povolenia.
Nedostatky zistené v činnosti poisťovní, zaisťovní a iných osôb sa budú posudzovať a prejednávať podľ a tohto zákona a pokuty sa budú ukladať podľa tohto zákona, ak to bude pre tieto subjekty priaznivejšie bez ohľadu na to, či sa do účinnosti tohto zákona začalo o týchto nedostatkoch konanie alebo sa začne až po účinnosti tohto zákona.
K § 194
S cieľom umožniť poisťovniam a zaisťovniam plný prechod na nový režim od 1. januára 2016 sa v súlade s článkom 308a smernice Solventnosť II stanovuje mo žnosť poisťovne a zaisťovne podať od 1. apríla 2015 žiadosť o schválenie potrebných náležitostí. Pri ich posudzovaní postupuje Národná banka Slovenska podľa tohto zákona a vykonávacieho nariadenia. Zároveň sa stanovuje právomoc Ná rodnej banky Slovenska posudzovať ďalšie požiadavky od 1. júla 2015. Súhlasy, povolenia a iné rozhodnutia vydané v tejto súvislosti sú vykonateľné najskôr od 1. januára 2016.
K § 195
S cieľom zabezpečiť od 1. januára 2016 efektívny výkon dohľadu nad skupinou sa v súlade s článkom 308a smernice Solventnosť II stanovuje právomoc N árodnej banky Slovenska rozhodnúť od 1. apríla 2015 o príslušných náležitostiach súvisiacich s výkonom dohľadu nad skupinou.
K § 196
V s úlade s článkom 308b smernice Solventnosť II sa stanovujú prechodné ustanovenia pre poisťovne a zaisťovne, ktoré do 1. januára 2016 zastavia uzatváranie nových poistných zmlúv alebo zaistných zmlúv a spravujú výlučne svoje existujúce portfólio s cieľom ukončiť svoju činnosť, a ktoré sa zaviazali Národnej banke Slovenska ukončiť svoju činnosť do 1. januá ra 2019.
K § 197
V súlade s článkami 129 a 131 smernice Solventnosť II sa stanovujú prechodné ustanovenia týkajúce sa stanovenia a krytia minimálnej kapitálovej požiadavky na solventnosť.
K § 198
V súlade s článkom 308b smernice Solventnosť II sa stanovujú prechodné ustanovenia týkajú ce sa predkladania informácií pre účely dohľadu.
K § 199
V súlade s článkom 77f smernice Solventnosť II sa stanovujú prechodné ustanovenia týkajú ce sa poskytovania informácii Národnou bankou Slovenska Európskemu orgánu dohľadu (Európsky orgán pre poisťovníctvo a dôchodkové poistenie zamestnancov).
K § 200
V súlade s článkom 308b smernice Solventnosť II sa stanovujú prechodné ustanovenia týkajúce sa zahrnutia položiek skutočnej miery solventnosti stanovených v súlade s doterajšími predpismi do triedy 1 alebo triedy 2 základných vlastných zdrojov.
K § 201
V súlade s člá nkom 308b smernice Solventnosť II sa stanovujú prechodné ustanovenia týkajúce sa investovania do obchodovateľných cenných papierov alebo iných finančných nástrojov založených na transformovaných úveroch, ktoré boli vydané pred 1. januárom 2011 a parametrov štandardné ho vzorca podmodulu rizika koncentrá cie a podmodulu rizika úverového rozpätia.
K § 202
V súlade s článkom 308b smernice Solventnosť II sa stanovujú prechodné ustanovenia pre prípad, že poisťovň a alebo zaisťovňa k 31. decembru 2015 spĺňa požadovanú mieru solventnosti v súlade s doterajšími predpismi, ale v roku 2016 nespĺňa kapitálovú požiadavku na solventnosť podľa tohto zákona.
K § 203
V súlade s článkom 308c smernice Solventnosť II sa stanovujú prechodné ustanovenia týkajúca sa udelenia predchádzajúceho súhlasu Národnej banky Slovenska na použitie prechodnej korekcie príslušnej štruktúry bezrizikových úrokových mier v prípade prípustných poistných záväzkov a zaistných záväzkov.
K § 204
V súlade s článkom 308d smernice Solventnosť II sa stanovujú prechodné ustanovenia týkajúca sa udelenia predchádzajúceho súhlasu N árodnej banky Slovenska na prechodné zníženie technických rezerv.
K § 205
V súlade s článkom 308e smernice Solventnosť II sa stanovujú prechodné ustanovenia týkajúca sa povinností poisťovne alebo zaisťovne uplatňujúcej prechodné ustanovenie informovať Národnú banku Slovenska o tom, že by nespĺňala kapitálovú požiadavku na solventnosť bez uplatnenia tohto prechodného opatrenia.
K § 206
Preberané právne záväzné akty Európskej únie sú vymenované v prílohe č. 2 návrhu zákona.
K § 207
Uvedené ustanovenie obsahuje zrušovacie ustanovenia.
K čl. II
K bodom 1 až 3
V súlade s článkami 183 a 185 smernice Solventnosť II sa upravuje poskytovanie informácií poistníkom, a to pred uzavretím poistnej zmluvy a poč as trvania poistnej zmluvy.
K bodu 4
V zmysle článku 199 smernice Solventnosť II sa stanovuje, že krytie právnej ochrany musí byť upravené samostatnou poistnou zmluvou alebo v samostatnej, zreteľne oddelenej časti poistnej zmluvy.
K bodu 5
Stanovujú sa prechodné ustanovenia k úpravám účinným od 1. januára 2016.
K bodu 6
Dopĺňa sa zoznam preberaných právne záväzných aktov Európskej ú nie uvedených v prílohe k zákonu o smernicu Solventnosť II.
K čl. III
K bodom 1 a 2
Ide o legislatívno-technické zmeny vyplývajúce s predloženia nové ho zákona o poisťovníctve.
K bodu 3
Navrhovaná zmena vyplýva z právnych dôsledkov vyplývajúcich z prijatia Lisabonskej zmluvy.
K bodu 4
Stanovuje sa povinnosť poisťovateľa zohľadňovať pri stanovovaní poistného v povinnom zmluvnom poistení zodpovednosti za škodu spôsobenú prevádzkou motorového vozidla škodový priebeh buď formou zľ avy na poistnom (bonus) za bezškodový priebeh poistenia zodpovednosti alebo formou príplatku k poistnému (malus) v prípade, ak došlo z poistenia zodpovednosti k poistnému plneniu. Úlohou systému bonus-malus je tiež zabezpečiť poisteným spravodlivé určenie poistné ho, povzbudzovať poistencov jazdiť bezpečnejšie a lepšie oceniť individuálne riziko, za ktoré bude každý poistenec platiť adekvátne poistné. Zavedením systému bonus-malus by malo poistné korešpondovať so škodovosťou každého poisteného. Zavedenie systému bonus-malus sa bude vzťahovať len na novouzatvorené poistné zmluvy v poistení zodpovednosti.
K bodu 5
Z dôvodu ochrany spotrebiteľa sa stanovuje maximálna lehota na zánik poistnej zmluvy z dôvodu, že poistné nebolo zaplatené v deň jeho splatnosti.
K bodu 6
Vypúšťa sa ustanovenie stanovujúce povinnosť uzavrieť poistnú zmluvu na zostávajúcu časť poistného obdobia s doterajším poisťovateľom, ak poistenie zodpovednosti zaniklo počas poistného obdobia pre neplatenie poistného. Uvedené ustanovenie spô sobovalo v praxi neprehľadnú právnu situáciu, keď poistený platil poistné za poistenie zodpovednosti, ale až pri poistnej udalosti sa zistilo, že predmetná poistná zmluva je neplatná.
K bodu 7
Ide o legislatívno-technickú zmenu v nadväznosti na ustanovenie bodu 6.
K bodu 8
Vypúšťa sa ustanovenie odseku 12 § 11 stanovujúce, že poistnú zmluvu na to isté poistné obdobie nemož no uzavrieť u iného poisťovateľa. Cieľom predmetného ustanovenia bolo primárne zabrániť prípadom nežiaduceho viacn ásobného poistenia, keď prevádzkovateľ motorového vozidla je poistený naraz po to isté poistné obdobia u dvoch, resp. viacerých poisťovateľov, hoci poistné plnenie (náhradu škody) za neho môže vyplati ť len jeden z nich. Prax však ukázala na ďalšiu neopodstatnenosť uvedeného ustanovenia.
K bodom 9 a ž 12
Ide o legislatívno-technické zmeny vyplývajúce s predloženia nové ho zákona o poisťovníctve.
K bodom 13 a 14
Navrhované zmeny vyplývajú z právnych dôsledkov vypl ývajúcich z prijatia Lisabonskej zmluvy.
K bodu 15
Dopĺňa sa zoznam preberaných právne záväzných aktov Európskej únie uvedených v prílohe k zákonu o smernicu Solventnosť II.
K čl. IV
Stanovuje sa účinnosť návrhu zákona. S cieľom umožniť poisťovniam a zaisťovniam plný prechod na nový režim od 1. januára 2016, sa v súlade s článkom 308a smernice Solventnosť II stanovuje skoršia účinnosť ustanovení návrhu zákona ustanovujúcich možnosť poisťovne a zaisťovne podať žiadosť o schválenie potrebných náležitostí Národnej banke Slovenska. Zároveň s cieľom zabezpečiť od 1. januára 2016 efektívny výkon dohľadu nad skupinou sa stanovuje skoršia účinnosť ustanovení návrhu zákona umožňujúcich Národnej banky Slovenska rozhodnúť o príslušných náležitostiach súvisiacich s výkonom dohľadu nad skupinou.
Schválené vládou Slovenskej republiky dňa 5. novembra 2014.
Robert F i c o, v. r.
predseda vlády
Slovenskej republiky
Peter K a ž i m í r, v. r.
podpredseda vlády a minister financií
Slovenskej republiky
zobraziť dôvodovú správu