+421 918 423 569   torvenytar@torvenytar.sk
+421 918 423 569   torvenytar@torvenytar.sk
Zákon o ochrane osobných údajov
Zákon o ochrane osobných údajov a o zmene a doplnení niektorých zákonov (122/2013)
INFORMÁCIE O ZÁKONE
Dátum prijatia: 30.04.2013
Platnosť od: 28.05.2013
Účinnosť od: 01.07.2013
Účinnosť do: -

PDF VERZIA
TLAČIŤ
HISTÓRIA
Účinnosť od Novela Zákon
01.07.2013 *  
15.04.2014 84/2014  
Hatályos 2014. április 15-től

Tt. 122/2013.

Törvény
A SZEMÉLYES ADATOK VÉDELMÉRŐL, 
valamint némely törvények módosításáról és kiegészítéséről


Kelt: 2013. április 30-án


Módosítva:
Tt. 84/2014., hatályos 2014. április 15.


A Szlovák Köztársaság Nemzeti Tanácsa a következő törvényt fogadta el:


I. cikkely

ELSŐ RÉSZ
Alapvető rendelkezések

1. §
A szabályozás tárgya
A jelen törvény szabályozza
a) a természetes személyek jogainak védelmét személyes adataik feldolgozása során, a magánéletükbe történő jogosulatlan/illetéktelen beavatkozás ellen,
b) a természetes személyek személyes adatainak feldolgozása során gyakorolt jogokat, kötelezettségeket és felelősséget,
c) a Szlovák Köztársaság Személyes Adatokat Védő Hivatalának (a továbbiakban csak „hivatal“) jogállását, hatáskörét és szervezeti felépítését.

A törvény hatálya

2. §
(1) A jelen törvény vonatkozik mindenkire, aki személyes adatokat dolgoz fel, meghatározza a feldolgozás célját és eszközeit, vagy feldolgozás céljából személyes adatokat szolgáltat.
(2) A jelen törvény vonatkozik azokra a szolgáltatókra is, amelyeknek székhelye, szervezeti egysége, részlege vagy állandó lakhelye nem
a) a Szlovák Köztársaság területén, hanem külföl-dön található, olyan helyen, ahol a nemzetközi közjog alapján a Szlovák Köztársaság jogrendje elsőbbséget élvezve érvényesül,
b) a tagállamok területén található, ha a személyes adatok feldolgozásának céljából a Szlovák Köztársaság területén elhelyezett, teljesen vagy részben automatizált, vagy más mint automatizált feldolgozó eszközöket használnak, miközben ezek a feldolgozó eszközök nem kizárólag csak a személyes adatoknak a tagországok területén való átvitelére szolgálnak; ilyen esetben az adatkezelő a 7. § sze¬rint jár el.
(3) A jelen törvény vonatkozik a rendszerezetten feldolgozott személyes adatokra, melyeket teljesen vagy részben automatizált, vagy más mint automatizált feldolgozó eszközökkel dolgoznak fel, melyek informatikai rendszer részét képezik vagy melyeket informatikai rendszerben történő feldolgozásra szánnak.

3. §
(1) A 6. §, 2-5. bek., a 8. §, 5. bek., a 15. §, 1., 2. és 8. bek., a 28. §, 1. bek. és a 44. § rendelkezései nem vonatkoznak a közérdek biztosításához szükséges személyes adatok feldolgozására, ha a szolgáltató kimondottan a külön törvény rendelkezéseiben meghatározott kötelességeit teljesíti a következők biztosítására: 
a) a Szlovák Köztársaság biztonsága,1)
b) a Szlovák Köztársaság védelme,2)
c) közrend és közbiztonság,3)
d) bűncselekmények megelőzése, megakadályozása, leleplezése és dokumentálása, azok elkövetőinek azonosítása, a bűncselekmények elkövetői utáni nyomozás és az elkövetők büntetése,4)
e) a szabályozott szakmák és szabályozott szakmai tevékenységek etikai kódexe megsértésének leleplezése,5)
f) a Szlovák Köztársaság vagy az Európai Unió fontos gazdasági vagy pénzügyi érdeke, beleértve a valuta-, költségvetési és adózási ügyeket is,6)
g) a c)-f) pontokban szereplő ügyekben gyakorolt közhatalom végrehajtásával összefüggő felülvizsgálat, felügyelet, ellenőrzés vagy szabályozás alkalmazása, vagy
h) az érintett személy vagy más személyek jogainak és szabadságainak védelme.
(2) A jelen törvény nem vonatkozik azokra a személyes adatokra, amelyeket  
a) a természetes személy saját használatra dolgoz fel, kizárólag személyes vagy otthoni tevékenységei során, elsősorban a személyes címjegyzék vagy levelezés nyilvántartása,
b) véletlenszerűen, előzetes cél és a feldolgozás eszközeinek előzetes meghatározása nélkül szereztek, külön kritériumok szerinti rendezett rendszerben való további feldolgozás szándéka nélkül, és nem kerülnek további rendszerezett feldolgozásra.
(3) A jelen törvény nem érinti a személyiség védelmének jogát.7)

4. §
Az alapvető fogalmak értelmezése
(1) A személyes adatok azok az adatok, amelyek egy meghatározott vagy meghatározható természetes személyre vonatkoznak, míg az ilyen személy az a személy, akit közvetlenül vagy közvetve meg lehet határozni, elsősorban az általánosan használható azonosító jele alapján, vagy egy, esetleg több jellemzője vagy jegye alapján, amelyek az ő fizikai, fiziológiai, lelki, szellemi, gazdasági, kulturális vagy társadalmi identitását képezik.
(2) A jelen törvény értelmében:
a) érintett személy minden természetes személy, akire a személyes adatok vonatkoznak,
b) adatkezelő mindenki, aki önállóan vagy másokkal együtt meghatározza a személyes adatok feldolgozásának célját, megszabja a feldolgozás feltételeit, és saját nevében személyes adatokat dolgoz fel; ha a személyes adatok feldolgozásának célját, esetleg feltételeit is törvény, az Európai Unió közvetlenül érvényesíthető jogilag kötelező erejű rendelkezése vagy a Szlovák Köztársaságot kötelező nemzetközi szerződés írja elő, adatkezelő az, akit a feldolgozás céljának teljesítésére adatkezelőként meghatároznak, vagy aki teljesíti a törvényben, az Európai Unió közvetlenül érvényesíthető jogilag kötelező erejű aktusában vagy a Szlovák Köztársaságot kötelező nemzetközi szerződésben megállapított feltételeket,
c) az adatkezelő képviselője mindenki, aki a harmadik országban székhellyel, szervezeti egységgel, részleggel vagy állandó lakhellyel bíró adatkezelőt a Szlovák Köztársaság területén képviseli,
d) adatfeldolgozó (közvetítő) mindenki, aki személyes adatokat dolgoz fel az adatkezelő nevében, a 8. § szerint, az adatkezelővel megkötött írásos szerződésben megállapított terjedelemben és feltételek mellett, és a jelen törvénnyel összhangban,
e) a jogosult személy (adatfelelős) minden természetes személy, aki munkajogviszonya, állami alkalmazotti jogviszonya, szolgálati jogviszonya, tagsági jogviszonya keretében, megbízás, megválasztás vagy kinevezés alapján, vagy köztisztviselői tevékenysége során személyes adatokkal kerül kapcsolatba, és aki a 21. § szerinti tájékoztatásban meghatározott terjedelemben és módon személyes adatokat dolgoz fel,
f) a harmadik fél mindenki, aki nem érintett személy, személyes adatokat nyújtó adatkezelő, annak képviselője, adatfeldolgozó (közvetítő) vagy jogosult személy,
g) átvevő fél (adatfelhasználó) mindenki, akinek a személyes adatokat átadják vagy azokat számára hozzáférhetővé teszik, miközben az átvevő fél lehet harmadik fél is; az az adatkezelő, aki a 3. § 1. bek., g) pontja alapján személyes adatokat dolgoz fel, és a hivatal, amely a jelen törvényben meghatározott feladatokat látja el, nem számít átvevő félnek.
(3) Továbbá a jelen törvény értelmében 
a) személyes adatok feldolgozása alatt a személyes adatokkal történő műveletek vagy művelet-együttesek elvégzése, elsősorban azok megszerzése, összegyűjtése, terjesztése, lejegyzése, rendezése, átdolgozása vagy módosítása, kikeresése, átnézése, átcsoportosítása, kombinálása, áthelyezése, hasznosítása, tárolása, zárolása, megsemmisítése, azok határokon átnyúló átvitele, szolgáltatása, hozzáférhetővé vagy közzététele értendő; a személyes adatokat érintő, első mondat szerinti némely művelet alatt a következők értendők:
1. személyes adatok szolgáltatása a személyes adatok átadása a harmadik félnek további feldolgozás céljára,
2. személyes adatok hozzáférhetővé tétele a személyes adatok közlése vagy az azokhoz való hozzáférésé lehetővé tétele olyan fogadó fél számára, amely azokat tovább már nem dolgozza fel,
3. személyes adatok közzététele a személyes adatok nyilvánosságra hozatala, közzététele vagy közszemlére tétele a tömegkommunikációs eszközök, nyilvánosan hozzáférhető számítógépes hálózatok segítségével, a mű nyilvános bemutatásával vagy kiállításával,8) nyilvános közzététellel, nyilvános listán, nyilvántartásban vagy műveleti adattárban9) való közzététellel, azok elhelyezése a hivatalos hirdetőtáblán vagy más nyilvánosan hozzáférhető helyen,
4. személyes adatok határokon átnyúló átvitele a személyes adatok átvitele a Szlovák Köztársaság területén kívülről és a Szlovák Köztársaság területére,
5. személyes adatok megsemmisítése a személyes adatok törlése azok felismerhetetlenné tételével, kitörlésével vagy az adathordozók fizikai megsemmisítésével úgy, hogy azokról a személyes adatokat ne lehessen reprodukálni,
6. személyes adatok zárolása a személyes adatok feldolgozásának átmeneti vagy tartós felfüggesztése, melynek során csak azokat a műveleteket lehet végrehajtani a személyes adatokkal, amelyek elengedhetetlenek a jelen törvény által előírt kötelezettségek teljesítése érdekében;
b) személyes adatok informatikai rendszere az az informatikai rendszer, melyben előre kijelölt vagy meghatározott célból rendszerezetten feldolgoznak vagy fel fognak dolgozni bármilyen, bizonyos meghatározott feltételek szerint hozzáférhető, rendszerezett személyes adathalmazt, tekintet nélkül arra, hogy központosított, decentralizált vagy funkcionális, esetleg földrajzi szempontok alapján terített informatikai rendszerről van-e szó (a továbbiakban csak „informatikai rendszer“); a jelen törvény olvasatában informatikai rendszernek számít azon személyes adatok gyűjteménye is, amelyet részben automatizált, vagy más, nem automatizált feldolgozó eszközökkel dolgoznak fel vagy készítenek elő a feldolgozásra,
c) személyes adatok feldolgozásának a célja a személyes adatok feldolgozásának előre, egyértelműen kijelölt vagy meghatározott szándéka, amely bizonyos tevékenységhez kötődik,
d) érintett személy beleegyezése bármilyen szabadon kifejezett és érthető akaratnyilvánítás, amellyel az érintett személy a rendelkezésére bocsátott információk alapján kifejezi egyetértését személyes adatainak feldolgozásával,
e) személyes adatok feldolgozásának feltételei és  személyes adatok feldolgozásának módja, valamint a személyes adatok feldolgozásával összefüggő további követelmények a feltételek vagy utasítások, vagy olyan feladatok végrehajtása, amelyek a feldolgozás céljának elérését szolgálják a személyes adatok feldolgozásának megkezdése előtt vagy a feldolgozásuk közben,
f) biometrikus adat a természetes személy olyan személyes adata, amely az ő biológiai vagy fizikai tulajdonságát vagy jellemzőjét azonosítja, mely alapján egyértelműen és összetéveszthetetlenül meghatározhatóa személye; biometrikus adat elsősorban az ujjlenyomat, a tenyérlenyomat, a dezoxiribonukleinsav-elemzés (DNS),
g) általánosan használható azonosító jel az érintett személy tartós személyi azonosító adata, amely biztosítja egyértelműségét az informatikai rendszerekben,
h) lakcím a természetes személy tartózkodási helyéről szóló adatok összessége, amelybe beletartozik az utcanév, a házszám, esetleg a helyrajzi szám, a település neve, esetleg a településrész elnevezése, a postai irányítószám, a járás neve és az ország neve,
i) anonimizált személyes adat az olyan formába rendezett adat, amelyet nem lehet hozzárendelni ahhoz az érintett személyhez, akihez tartozik,
j) a nyilvánosság számára hozzáférhető tér az a tér, amelybe szabadon be lehet lépni, és amelyben időkorlát nélkül vagy nemcsak meghatározott időben, szabadon lehet tartózkodni, miközben az egyéb korlátozások, ha vannak ilyenek, és azokat a személy teljesíti, nincsenek hatással a személy belépésére és a szabad mozgására ebben a térben, vagy az olyan tér, amelyet külön törvény jelöl meg így,
k) tagállam az az állam, amely az Európai Unió tagállama vagy az Európai Gazdasági Térségről szóló megállapodás szerződéses partnere,
l) harmadik ország az az ország, amely nem az Európai Unió tagállama vagy nem az Európai Gazdasági Térségről szóló megállapodás szerződéses partnere,
m) közérdek az állam olyan fontos érdeke, amely a közhatalom gyakorlása során valósul meg, amely fontosabb a természetes személy vagy több természetes személy jogos érdekénél, és megvalósulása nélkül nagy kiterjedésű vagy jóvátehetetlen károk keletkezhetnének.


MÁSODIK RÉSZ 
Jogok, kötelezettségek és felelősség a személyes adatok feldolgozása során

Első fejezet 
A személyes adatok feldolgozásának alapelvei

5. §
(1) A személyes adatokat csak a jelen törvényben meghatározott módon és annak határain belül lehet feldolgozni úgy, hogy ne kerüljön sor az érintett személyek alapvető jogainak és szabadságainak megsértésére, elsősorban az emberi méltóság megőrzéséhez való jog megsértésére vagy egyéb jogtalan beavatkozásra a magánélet védelméhez való jogukba.
(2) A személyes adatokat csak az adatkezelő és az adatfeldolgozó (közvetítő) dolgozhatja fel.
(3) A bűncselekményekért kirótt büntetésekről vezetett külön törvény szerinti10) nyilvántartás személyes adatainak adatkezelője csak a törvény11) által meghatározott állami szerv lehet.

6. §
Az adatkezelő
(1) A személyes adatokat saját nevében csak az adatkezelő kezelheti. Az adatkezelő a személyes adatokat a 9. §-sal összhangban kezeli, oly módon, amely összhangban van a jó erkölccsel, és kizárólag csak a kijelölt vagy meghatározott célból.
(2) Az adatkezelő köteles
a) a személyes adatok kezelésének megkezdése előtt kijelölni a személyes adatok feldolgozásának célját; a személyes adatok feldolgozása céljának világosnak, egyértelműnek és konkrétnak kell lennie, és összhangban kell állnia a Szlovák Köztársaság Alkotmányával, az alkotmányos törvényekkel, a törvényekkel és a nemzetközi szerződésekkel, amelyek a Szlovák Köztársaságot kötik,
b) a személyes adatok kezelésének feltételeit úgy megállapítani, hogy ne korlátozza az érintett személy törvényes jogait,
c) a személyes adatokat kizárólag a kijelölt vagy meghatározott célból megszerezni; megengedhetetlen a személyes adatok megszerzése más feldolgozási cél vagy más tevékenység ürügyén,
d) biztosítani, hogy csak olyan személyes adatokat dolgozzanak fel, melyek terjedelmükkel és tartalmukkal megfelelnek a feldolgozás céljának és feltétlenül szükségesek annak eléréséhez,
e) biztosítani, hogy a személyes adatokat kizárólag olyan módon dolgozzák és használják fel, amely megfelel a célnak, amelyre összegyűjtötték azokat; megengedhetetlen olyan személyes adatokat társítani, amelyeket külön, eltérő célokra szereztek meg,
f) csak helyes, hiánytalan és szükség szerint, az adatkezelés céljával kapcsolatban aktualizált személyes adatokat feldolgozni; a helytelen és hiányos személyes adatokat az adatkezelő köteles zárolni, és felesleges halogatás nélkül kijavítani vagy kiegészíteni; a helytelen és hiányos személyes adatokat, melyeket nem lehet kijavítani vagy kiegészíteni úgy, hogy helyesek és hiánytalanok legyenek, az adatkezelő egyértelműen megjelöli, és felesleges halogatás nélkül megsemmisíti,
g) biztosítani, hogy az összegyűjtött személyes adatok olyan formában kerüljenek feldolgozásra, amely csak arra a feltétlenül szükséges időre teszi lehetővé az érintett személyek azonosíthatóságát, amely elengedhetetlenül szükséges a feldolgozás céljának eléréséhez,
h) megsemmisíteni azokat a személyes adatokat, amelyek kezelése elérte célját; a feldolgozás céljának elérése után csak az 5. bekezdésben meghatározott feltételek mellett lehet tovább kezelni a személyes adatokat,
i) a jó erkölccsel összhangban kezelni a személyes adatokat, és oly módon eljárni, ami nem törvényellenes.
(3) Az adatkezelőt csak akkor nem terheli a 2. bekezdés a) pontja szerinti kötelezettség, ha a személyes adatok kezelésének célját külön törvény határozza meg, összhangban a 2. bekezdés a) pontjában felsorolt feltételekkel. A szolgáltatót csak akkor nem terheli a 2. bekezdés b) pontja szerinti, a személyes adatok kezelésének feltételeire vonatkozó kötelezettség, ha azokat általánosan kötelező érvényű jogszabály határozza meg. A többi, a 2. bekezdés c)-i) pontjai szerinti kötelezettségeket az adatkezelő akkor is köteles betartani, ha a személyes adatokat külön törvény alapján kezeli; ezzel nincs érintve a 10. §, 4. bekezdésének első mondatában foglalt rendelkezés.
(4) Az eredetileg meghatározott célból összegyűjtött személyes adatokat a szolgáltató nem kezelheti más célból, amely összeegyeztethetetlen a feldolgozás eredeti céljával.
(5) A személyes adatok eredeti célból történő kezelése közben, valamint annak befejezése után, megengedhető az összegyűjtött személyes adatok szükséges mértékben való feldolgozása történelmi kutatás, tudományos kutatás, valamint fejlesztési és statisztikai célból, ami nem tekinthető a feldolgozás eredeti céljával összeegyeztethetetlennek. Az így feldolgozott személyes adatokat az adatkezelő nem használhatja fel az érintett személy ellen hozott intézkedések vagy határozatok támogatására, és nem használhatja fel őket  az érintett személy érdekei ellen, alapvető jogai és szabadságai korlátozására. A személyes adatok kezelése közben, az első mondat szerinti célból, az adatkezelő köteles azokat megjelölni és anonimizálni, ha azzal el lehet érni a kezelés célját, valamint azonnal megsemmisíteni azokat, mihelyst feleslegessé válnak.

7. §
Az adatkezelő képviselője
(1) Az az adatkezelő, aki/amely a 2. §, 2. bek., b) pontja szerint a személyes adatok kezelését készíti elő, a feldolgozás megkezdése előtt köteles kinevezni képviselőjét, akinek/amelynek székhelye, vállalkozásának helyszíne vagy állandó lakhelye a Szlovák Köztársaság területén található.
(2) Az adatkezelő képviselője köteles rendelkezni az őt az adatkezelő képviselőjévé kinevező dokumentum eredeti példányával, és ezt a hivatal felkérésére köteles bármikor bemutatni.  Az aláírások eredetiségét és az adatkezelő pecsétlenyomatának eredetiségét az eredeti okmányon hatóságilag hitelesíttetni kell.
(3) A jelen törvénynek az adatkezelőről szóló rendelkezései azonos mértékben vonatkoznak az adatkezelő képviselőjére is.

8. §
Az adatfeldolgozó
(1) Az adatkezelő írásos szerződés alapján jogosult a személyes adatok feldolgozásával adatfeldolgozót megbízni. A személyes adatok feldolgozásához, az első mondat szerinti megbízás céljából, nem szükséges az érintett személy beleegyezése.
(2) Az adatkezelő az adatfeldolgozó megválasztása során köteles ügyelni annak szakmai, műszaki, szervezeti és személyzeti alkalmasságára, valamint arra, hogy képes e garantálni a feldolgozott személyes adatok biztonságát a 19. § 1. bek. szerinti intézkedésekkel. Az adatkezelő a személyes adatok feldolgozását nem bízhatja adatfeldolgozóra, ha azzal veszélyeztethetné az érintett személyek jogait és a törvény által védett érdekeit.
(3) Az adatkezelő a személyes adatok kezelésének megkezdése előtt, de legkésőbb a személyes adatok feldolgozása megkezdésének napján köteles az adatfeldolgozóval az 1. bekezdés szerint szerződést megkötni. Az adatfeldolgozó csak az adatkezelővel kötött szerződésben megállapodott terjedelemben, feltételek mellett és célból, valamint a jelen törvény szerinti módon jogosult a személyes adatok feldolgozására.
(4) A 3. bekezdés szerinti szerződésnek a következőket kell tartalmaznia:
a) a szerződő felek adatait (a továbbiakban csak „azonosító adatok“);
1. az tudományos címet, a családi és utónevet, a születési dátumot és az állandó lakhely címét, ha természetes személyről van szó,
2. a megnevezést, a jogi formát, a székhely címét és a statisztikai azonosító számot, ha jogi személyről van szó,
3. a cégszerű megnevezést, a vállalkozás székhelyének címét és a statisztikai azonosító számot, ha természetes személyről-vállalkozóról van szó,
b) a napot, amelyen az adatfeldolgozó jogosult az adatkezelő nevében elkezdeni a személyes adatok feldolgozását,
c) a személyes adatok feldolgozásának célját,
d) az informatikai rendszer megnevezését,
e) a feldolgozásra kerülő személyes adatok jegyzékét; a személyes adatok jegyzékét, a 10. § 4. bek. szerint helyettesíteni lehet a személyes adatok tartományával,
f) az érintett személyek körét,
g) a személyes adatok feldolgozásának feltételeit, beleértve a személyes adatokkal megengedett műveletek jegyzékét,
h) az adatkezelő nyilatkozatát, hogy az adatfeldolgozó kiválasztása során a 2. bekezdés első mondata szerint járt el,
i) az adatkezelő beleegyezését abba, hogy az adatfeldolgozó a személyes adatokat más személlyel dolgoztatja fel, ha az 5. bekezdés szerint járnak el,
j) az időtartamot, melyre a szerződés megköttetett,
k) a szerződés megkötésének időpontját és a szerződő felek aláírásait.
(5) Az adatfeldolgozó a személyes adatok feldolgozását személyesen végzi el, amennyiben az adatkezelővel kötött írásbeli szerződésben nem egyezik meg, hogy a személyes adatok feldolgozását más személy által (a továbbiakban csak „alvállalkozó“) végzi el. Az alvállalkozó feldolgozza a személyes adatokat és az adatfeldolgozó felelősségére biztosítja azok védelmét. A jelen törvény adatfeldolgozóra vonatkozó rendelkezései vonatkoznak az alvállalkozóra is. A hivatal az alvállalkozóra úgy tekint, mint adatfeldolgozóra.
(6) Ha az adatkezelő a személyes adatok feldolgozásával csak a személyes adatok beszerzése után bízta meg az adatfeldolgozót, köteles e tény közlését biztosítani az érintett személyekkel a velük létrejövő első kapcsolatfelvétel során, de legkésőbb az adatfeldolgozó megbízásának napjától számított három hónapon belül. Ez akkor is érvényes, ha a személyes adatok kezelését az adatkezelő jogutódja veszi át.12) Az adatkezelő nem köteles az első mondat szerint közölni az érintett személlyel az információt, ha ugyanazzal a határidővel a 7. bekezdés szerint járt el.
(7) Az adatfeldolgozó az érintett személlyel történő első kapcsolatfelvétel során mindig köteles közölni, hogy a kijelölt vagy meghatározott célból, az adatkezelő nevében dolgozza fel az ő személyes adatait, hacsak a jelen törvény másképpen nem rendelkezik.
(8) Ha az adatfeldolgozó megállapítja, hogy az adatkezelő a személyes adatok kezelése során nyilvánvaló törvénysértést követett el, köteles őt erre írásban figyelmeztetni, és  annak helyrehozása elvégzéséig csak a halaszthatatlan műveleteket végezheti a személyes adatokkal. Az adatkezelő köteles az első mondat szerinti helyrehozatalt felesleges halogatás nélkül elvégezni, de legkésőbb az írásbeli figyelmeztetés kézhezvételétől számított egy hónapos határidőn belül; egyébként az adatfeldolgozó köteles felesleges halogatás nélkül tájékoztatni erről a hivatalt.
(9) Ha az adatfeldolgozó nem teljesíti a 8. bekezdés szerinti kötelességét, a kötelességszegésért és a kötelességszegésből eredő kárért is felel, egyetemlegesen az adatkezelővel. Ezzel nincs érintve az adatfeldolgozó jelen törvény szerinti vagy külön törvény szerinti felelőssége.
(10) Az adatfeldolgozó köteles betartani az adatkezelő számára az 5. § 1. bek.-ben, a 6. § 2. bek. c)-i) pontjában, a 6. § 4. bek.-ben és a 19-26. §-ában előírt kötelezettségeket, amennyiben a jelen törvény másképpen nem rendelkezik.
(11) Az adatkezelő számára a 8. § 6. bek.-ben, a 15-18. §-ban és a 28-32. §-ban előírt kötelezettségeket az adatfeldolgozó is teljesítheti, ha ebben kifejezetten megállapodnak az adatkezelővel az 1. bekezdés szerint megkötött szerződésben.
(12) Az adatfeldolgozó felel a 11. bekezdésben megállapított kötelezettség teljesítéséért, az adatkezelővel az 1. bekezdés szerint megkötött szerződés terjedelmében.

A személyes adatok kezelésének jogalapja

9. §
(1) Az adatkezelő csak az Európai Unió közvetlenül érvényesíthető jogilag kötelező erejű aktusa, a Szlovák Köztársaságot kötő nemzetközi szerződés, a jelen törvény vagy külön törvény rendelkezései alapján, vagy az érintett személy beleegyezése alapján dolgozhatja fel a személyes adatokat.
(2) Az adatfeldolgozó csak az Európai Unió közvetlenül érvényesíthető jogilag kötelező erejű aktusa, a Szlovák Köztársaságot kötő nemzetközi szerződés, a jelen törvény vagy külön törvény rendelkezései alapján, vagy az érintett személy beleegyezése alapján dolgozhatja fel a személyes adatokat, és csak az adatkezelővel a 8. § 1. bek. szerint megkötött szerződésben megállapított terjedelemben és feltételek mellett.

10. §
A személyes adatok kezelése az érintett személy beleegyezése nélkül
(1) Az adatkezelő az érintett személy beleegyezése nélkül kezeli a személyes adatokat, ha a személyes adatok kezelésének célját, az érintett személyek körét és a személyes adatok 4. bekezdés szerinti jegyzékét vagy annak terjedelmét az Európai Unió közvetlenül érvényesíthető jogilag kötelező erejű aktusa, a Szlovák Köztársaságot kötő nemzetközi szerződés vagy a jelen törvény szabja meg. Ha a személyes adatok jegyzéke vagy tartománya nincs megállapítva, az adatkezelő a személyes adatokat csak abban a terjedelemben és módon kezelheti, amely elengedhetetlenül szükséges az adatkezelés megszabott céljának eléréséhez a 6. § 2. bek. c)-f) és i) pontjai szerinti kötelességek betartása mellett.
(2) Az adatkezelő az érintett személy beleegyezése nélkül kezeli továbbá a személyes adatokat, ha a személyes adatok kezelésének célját, az érintett személyek körét és a személyes adatok jegyzékét külön törvény szabja meg.13) Az adatkezelő csak a külön törvény által megszabott terjedelemben és módon kezelheti a személyes adatokat. A kezelt személyes adatokat az informatikai rendszerből csak akkor lehet kiadni, hozzáférhetővé vagy közzétenni, ha  külön törvény rendelkezik a kiadás, hozzáférhetővé vagy közzététel céljáról, a személyes adatok jegyzékéről, amelyek kiadhatóak, hozzáférhetővé vagy közzétehetők, valamint a harmadik felekről is, akiknek a személyes adatokat kiadják, esetleg a címzettek köréről, akik számára a személyes adatokat hozzáférhetővé teszik, hacsak a jelen törvény másképpen nem rendelkezik.
(3) Az adatkezelő az érintett személy beleegyezése nélkül kezeli a személyes adatokat akkor is, ha
a) a személyes adatok kezelése művészi vagy irodalmi alkotások céljaira, a nyilvánosság tömegkommunikációs eszközök általi tájékoztatása végett elengedhetetlenül szükséges, és ha a személyes adatokat olyan adatkezelő kezeli, akinek/amelynek ez beletartozik a tevékenységi körébe; ez nem érvényes, ha a személyes adatok ilyen célú kezelésével az adatkezelő sérti az érintett személy magánéleti és személyiségi jogait, vagy a személyes adatok ilyen kezelését az érintett személy beleegyezése nélkül külön törvény vagy a Szlovák Köztársaságot kötő nemzetközi szerződés zárja ki,
b) a személyes adatok kezelése elengedhetetlen a szerződés teljesítéséhez, melyben az érintett személy az egyik szerződő félként szerepel, vagy előszerződéses jogviszonyokban, vagy az érintett személy kérésére indult szerződésmódosításról szóló tárgyalások esetében,
c) a személyes adatok kezelése elengedhetetlen az érintett személy életének, egészségének vagy vagyonának védelméhez,
d) az adatkezelés tárgyát kizárólag az érintett személy tudományos címe, családi és utóneve, valamint lakcíme képezi, az érintett személy további személyes adatai hozzárendelésének lehetősége nélkül, és ezek kezelése kizárólag az adatkezelő és az érintett személy közötti postai kapcsolattartásra és ezen adatok nyilvántartására irányul; ha az adatkezelő tevékenységének tárgya a direkt marketing, a szóban forgó személyes adatokat csak akkor adható ki, a hozzáférhetővé tétel és közzététel lehetősége nélkül, ha egy másik adatkezelőnek kerülnek átadásra, melynek ugyanaz a tevékenységi tárgya és kizárólag csak a direkt marketing céljából, és amennyiben az érintett személy nem élt írásbeli ellenvetéssel a 28. § 3. bek. c) pontja szerint,
e) olyan személyes adatokat kezel, amelyeket a törvénnyel összhangban már közzétettek és az adatkezelő megfelelő módon közzétettekként jelölte meg azokat; az, aki azt állítja, hogy közzétett személyes adatokat kezel, a hivatal felszólítására bemutatja, hogy a kezelt személyes adatokat már törvényesen nyilvánosak,
f) a személyes adatok kezelése elengedhetetlen egy fontos, közérdekű feladat teljesítéséhez, vagy
g) a személyes adatok kezelése elengedhetetlen az adatkezelő vagy egy harmadik fél jogainak és törvény által védett érdekeinek védelméhez, elsősorban az adatkezelő vagyonvédelmi, pénzügyi vagy egyéb érdekei védelme keretén belül feldolgozott személyes adatok, az adatkezelő biztonságát biztosító kamera- vagy hasonló rendszerrel feldolgozott személyes adatok esetén; ez nem érvényes, ha a személyes adatok ilyen kezelése során az érintett személy jelen törvény védelme alá eső alapvető jogai és szabadságai túlsúlyban vannak.
(4) Ha tekintettel a személyes adatok kezelésének közvetlenül az Európai Unió jogilag kötelező erejű aktusában, a Szlovák Köztársaságot kötő nemzetközi szerződésben, a jelen törvényben vagy külön törvényben meghatározott céljaira,  nem lehet előre konkrétan meghatározni az adatkezelés tárgyát képező egyes személyes adatokat, a személyes adatok 1. és 2. bekezdés szerinti jegyzékét helyettesíteni lehet a személyes adatok tartományával; az adatkezelő köteles a személyes adatok ilyen kezelése során a 6. § 2. bek. d) pontja szerint eljárni, kivéve azokat az adatkezelőket, amelyek bírósági eljárás céljaira vagy azzal összefüggésben kezelnek személyes adatokat. A harmadik felek 2. bekezdés szerinti jegyzékét csak akkor lehet helyettesíteni a harmadik felek körének meghatározásával, ha a dolog jellegére való tekintettel nem lehet előre meghatározni az egyes harmadik feleket, akiknek/amelyeknek a személyes adatokat kiadják, vagy ha a harmadik felek azonos tevékenységi tárgyú alanyok csoportját képezik, és azonos célból végzik a személyes adatok kezelését, esetleg ha az ilyen csoport összetétele állandóan változik.

11. §
Az érintett személy beleegyezése
(1) Ha a személyes adatok kezelésére nem alkalmazzák a 10. §-t, az adatkezelő csak az érintett személy beleegyezésével kezelheti a személyes adatokat.
(2) Ha az adatkezelő az 1. bekezdés szerint dolgozza fel a személyes adatokat, és kétségek merülnek fel az érintett személy beleegyezését illetően, az adatkezelő köteles a hivatalnak minden kétséget kizáróan igazolni, hogy az érintett személy beleegyezett személyes adatainak kezelésébe.
(3) Az érintett személy beleegyezését az adatkezelő nem kényszerítheti ki, és az adatkezelőnek az Európai Unió jogilag kötelező erejű aktusa, a Szlovák Köztársaságot kötő nemzetközi szerződés vagy a törvény által előírt szerződéses viszony, szolgáltatás, áru vagy kötelezettség elutasításának feltételéhez sem kötheti.
(4) A beleegyezést hang vagy hang és képfelvétellel, vagy annak a személynek a becsületbeli nyilatkozatával, aki a személyes adatokat az informatikai rendszerbe szolgáltatta, vagy egyéb hiteles módon kell igazolni. Az írásbeli beleegyezést azzal az irattal kell igazolni, amely bizonyítja a beleegyezés megadását. A beleegyezés bizonyítéka az arra vonatkozó adatot tartalmazza, hogy ki adta beleegyezését, kinek, milyen célból adták ezt a beleegyezést, valamint a személyes adatok jegyzékét vagy tartományát és a beleegyezés érvényességének idejét. Az írásbeli beleegyezés, a beleegyezést adó személy saját kezű aláírása nélkül érvénytelen. Írásbeli beleegyezésnek tekintendő a szavatolt elektronikus aláírással aláírt beleegyezés is.14)

12. §
(1) Az érintett személy személyes adatait más természetes személytől megszerezni és azokat informatikai rendszerben feldolgozni csak az érintett személy előzetes írásbeli beleegyezésével szabad. Ez nem érvényes, ha az érintett személy személyes adatainak informatikai rendszerben történő megadásával a másik természetes személy saját jogait vagy törvény által védett érdekeit védi, vagy olyan tényeket közöl, amelyek az érintett személy jogi felelősségét indokolják, vagy a személyes adatokat külön törvény alapján dolgozzák fel, a 10. § 2. bek. szerint. Annak, aki így kezel személyes adatokat, a hivatal kérésére bármikor képesnek kell lennie igazolni, hogy azokat a jelen törvénnyel összhangban szerezte meg.
(2) Az érintett személy személyes adatait csak a megadott beleegyezés írásbeli igazolásával együtt lehet kiadni az informatikai rendszerből más jogi személynek vagy természetes személynek, ha a jelen törvény ilyen beleegyezést megkövetel; az, aki a személyes adatokat ilyen módon kiadja, a megadott beleegyezésről szóló írásbeli igazolást az adatkezelő írásos nyilatkozatával helyettesítheti, hogy az érintett személy beleegyezését adta, ha az adatkezelő igazolni tudja, hogy az érintett személytől ilyen írásbeli beleegyezést kapott.
(3) Az az adatkezelő, amely az érintett személy munkáltatója, jogosult annak személyes adatait hozzáférhetővé tenni, kiszolgáltatni vagy közzétenni a következő terjedelemben: akadémiai cím, családi és utónév, munka-, szolgálati vagy tisztségbeosztás, szakterület, munkavégzés helye, munkahelyi telefonszám, faxszám vagy elektronikus postacím és a munkáltató azonosító adatai, amennyiben ez szükséges az érintett személy munkahelyi, szolgálati vagy tisztségbeli kötelességeinek teljesítéséhez. A személyes adatok hozzáférhetővé tétele, kiszolgáltatása vagy közzététele nem sértheti az érintett személy becsületét, méltóságát és biztonságát.
(4) A 10. § 3. bek. c) pontja és a 14. § c) pontja szerinti személyes adatokat csak addig az ideig lehet kezelni az érintett személy beleegyezése nélkül, míg meg nem szűnnek az okok, amelyek nem tették lehetővé az érintett személy beleegyezésének megszerzését. Ha ezek az okok megszűntek, az, aki a személyes adatokat kezeli, biztosítja az érintett személy beleegyezését.
(5) Az, akinek az érintett személy személyes adatainak közzététele áll a szándékában, eljárásával jogtalanul nem avatkozhat be az érintett személy magánéleti és személyiségi jogaiba; a személyes adatok közzététele nem lehet ellentétes az érintett személy jogos érdekeivel.7)
(6) Ha az érintett személy jogképességében korlátozott,15) a jelen törvény szerint megkövetelt beleegyezését a törvényes képviselője adhatja meg.16)
(7) Ha az érintett személy nem él, a jelen törvény szerint megkövetelt beleegyezést a közeli hozzátartozója adhatja meg.17) A beleegyezés érvénytelen, hacsak egy közeli hozzátartozó személy is írásban kinyilvánította egyet nem értését.

13. §
Különleges személyes adatok
(1) Tilos kezelni az olyan személyes adatokat, amelyek felfedik az érintett személy faji vagy etnikai származását, politikai nézeteit, vallását vagy világnézetét, politikai pártokban vagy politikai mozgalmakban való tagságát, szakszervezeti tagságát, vagy egészségi állapotára, valamint szexuális életére vonatkoznak.
(2) A személyes adatok kezelése során csak akkor lehet a természetes személy azonosításának céljából felhasználni a külön törvényben meghatározott18) általánosan használatos személyi azonosító jelét, ha annak használata elengedhetetlen az adatkezelés adott céljának eléréséhez. Más azonosítót kezelni, amely magába foglalja az érintett személy jellemzőit, vagy az általánosan használatos azonosító jelét, közzétenni tilos.
(3) A természetes személy pszichológiai identitására vagy pszichikai munkavégző képességére vonatkozó személyes adatok kezelését csak pszichológus végezheti, vagy az, akinek ezt külön törvény lehetővé teszi.19)
(4) A büntetőjogi felelősséget vagy közigazgatási jogi felelősséget megalapozó rendelkezések megszegésére vonatkozó személyes adatok kezelését csak az végezheti, akinek ezt külön törvény lehetővé teszi.20)
(5) Az adatkezelő csak akkor jogosult biometrikus adatokat kezelni, ha az az adatkezelés céljával összhangban áll, elengedhetetlen annak eléréséhez, és ha
a) ez az adatkezelő kifejezett törvényes joga, 
b) az adatkezeléshez az érintett személy írásos vagy más, hitelt érdemlő módon igazolható beleegyezését adta,
c) a személyes adatok feldolgozása elengedhetetlen a 10. § 3. bek. b) pontja szerinti szerződés teljesítéséhez, vagy
d) a személyes adatok kezelése elengedhetetlen a 10. § 3. bek. g) pontja szerinti célból.
(6) Az 5. bekezdés b)-d) pontja szerinti biometrikus adatkezelés méltányosságát, elengedhetetlenségét és jogalapját a hivatal bírálja el a 37-39. § szerinti eljárásban.

14. §
Kivételek a különleges személyes adatok kezelésére vonatkozó korlátozások alól
A 13. § 1. bekezdése szerinti személyes adatok kezelésének tilalma nem érvényes, ha
a) az érintett személy írásbeli, vagy más, hitelt érdemlő módon ellenőrizhető beleegyezését adta azok kezeléséhez; a beleegyezés érvénytelen, ha annak megadását külön törvény kizárja,
b) a személyes adatok kezelésének jogalapja külön törvény, az Európai Unió jogilag kötelező erejű aktusa vagy a Szlovák Köztársaságot kötő nemzetközi szerződés,
c) az adatkezelés elengedhetetlen az érintett személy vagy más természetes személy létfontosságú érdekeinek védelméhez, ha az érintett személy jogi cselekvőképességében korlátozott, vagy fizikailag képtelen az írásbeli beleegyezés kiadására, és ha gyámjának írásbeli beleegyezését nem lehet megszerezni,
d) az adatkezelést jogos tevékenységként polgári társulás, közhasznú szolgáltatásokat nyújtó alapítvány vagy non-profit szervezet, politikai párt vagy politikai mozgalom, szakszervezet, az állam által elismert egyház vagy vallási közösség végzi, és ez az adatkezelés csak a tagjaikat vagy azokat a természetes személyeket érinti, akik – tekintettel az ő céljaikra – rendszeres kapcsolatot tartanak fenn velük, a személyes adatok kizárólag azok belső felhasználását szolgálják és harmadik személynek nem lesznek kiadva az érintett személy írásbeli vagy más, hitelt érdemlő módon ellenőrizhető beleegyezése nélkül,
e) az adatkezelés olyan személyes adatokat érint, melyeket az érintett személy maga tett közzé, vagy elengedhetetlenek jogigényének érvényesítése során,
f) az egészségügyi ellátás céljaira vagy az egész-ségbiztosítás céljait szolgáló adatkezelésről van szó, ha ezeket az adatokat egészségügyi szolgáltató, egészségbiztosító, egészségügyi ellátással összefüggő szolgáltatásokat nyújtó személy vagy az egész¬ségügyi felügyeletet ellátó személy és az ő nevében, szakképzett jogosult személy kezeli, amelyet/akit köt a titoktartási kötelezettség a szakmai titkot képező tényeket illetően, valamint a szakmai etika alapelvei betartásának kötelezettsége, vagy
g) a társadalombiztosítás céljaira, a rendőrök és katonák társadalombiztosításának céljaira, az állami szociális ellátás céljaira, súlyosan egészségkárosult természetes személy társadalomba való beilleszkedése támogatásának céljaira,21) szociális szolgáltatások céljaira, a gyermekek szociális-jogi védelmének és a szociális felügyelet intézkedései végrehajtásának céljaira, vagy anyagi szükséghelyzet esetén nyújtandó támogatás céljait szolgáló adatkezelésről van szó, vagy az adatkezelés elengedhetetlen az adatkezelő kötelességeinek teljesítése vagy törvényes jogainak érvényesítése érdekében a munkajog és a foglalkoztatási szolgáltatások területén, és ha azt az adatkezelőnek külön jogszabály írja elő.22)

15. §
A személyes adatok gyűjtése
(1) Az az adatkezelő, amely az érintett személy személyes adatainak kezelésére készül, azok összegyűjtése előtt köteles a következő információkat közölni az érintett személlyel
a) az adatkezelő és az adatkezelő képviselőjének azonosító adatai, ha kinevezésre került,
b) az adatfeldolgozó azonosító adatai; ez nem érvényes, ha az adatkezelő a személyes adatok gyűjtése során nem a 8. § szerint jár el,
c) a személyes adatok kezelésének célja,
d) a személyes adatok jegyzéke vagy a személyes adatok tartománya, a 10. § 4. bek. első mondata és
e) a kiegészítő információk, amelyek minden körülményre és a személyes adatok kezelésének felté¬teleire való tekintettel szükségesek az érintett személy jogainak és törvényes érdekeinek biztosításához,  ezek elsősorban
1. a személyes adatokat gyűjtő jogosult személy személyazonosságának igazolása vagy a jogosult személy érintett jogalanyhoz – amelynek nevében eljár – való tartozásának igazolása hiteles okmánnyal; a jogosult személy köteles az érintett személy ilyen kérésének azonnal eleget tenni,
2. tájékoztatás a kért személyes adatok megadásának önkéntes jellegéről vagy kötelezőségéről; ha az adatkezelő az érintett személy 11. § szerinti beleegyezése alapján gyűjti az érintett személy személyes adatait, közli vele a beleegyezés érvényességének időtartamát is, és ha az érintett személy személyes adatközlési kötelezettsége az Európai Unió közvetlenül érvényesíthető jogilag kötelező erejű aktusából, a Szlovák Köztársaságot kötelező nemzetközi szerződésből vagy a  törvényből következik, az adatkezelő közli az érintett személlyel a jogalapot, amely őt erre kötelezi, és kioktatja, hogy milyen következményekkel jár a személyes adatok közlésének visszautasítása,
3. a harmadik felek, ha feltételezhető vagy nyilvánvaló, hogy a személyes adatok nekik átadásra kerülnek,
4. az átvevők köre, ha feltételezhető vagy nyilvánvaló, hogy számukra a személyes adatok hozzáférhetők lesznek,
5. a közzététel formája, ha a személyes adatokat közzé kell tenni,
6. a harmadik országok, ha feltételezhető vagy nyilvánvaló, hogy meg fog valósulni a személyes adatok átvitele ezekbe az országokba,
7. az érintett személy jogairól való tájékoztatás.
(2) Ha az érintett személy személyes adatait a szolgáltató nem közvetlenül ettől az érintett személytől szerezte meg, felesleges késlekedés nélkül köteles, legkésőbb azonban azok harmadik fél számára való első hozzáférhetővé tétele előtt, ha ilyen adatszolgáltatás feltételezhető, az 1. bekezdés a)-c) pontjai szerinti információkat és a további kiegészítő információkat közölni az érintett személlyel, amennyiben azok szükségesek, tekintettel a speciális körülményekre, melyek között a személyes adatokat a törvényes adatkezelés biztosítására összegyűjtötték, ezek elsősorban
a) kioktatás az összegyűjtött személyes adatok kezeléséről szóló döntés lehetőségéről,
b) a személyes adatok jegyzéke,
c) a harmadik felek, ha feltételezhető vagy nyilvánvaló, hogy nekik a személyes adatok továbbítva lesznek,
d) az átvevők köre, ha feltételezhető vagy nyilvánvaló, hogy számukra a személyes adatok hozzáférhetők lesznek,
e) a közzététel formája, ha a személyes adatokat nyilvánosságra kell hozni,
f) a harmadik országok, ha feltételezhető vagy nyilvánvaló, hogy meg fog valósulni a személyes adatok átvitele ezekbe az országokba,
g) az érintett személy jogairól való tájékoztatás.
(3) Az 1. bekezdés szerinti információkat nem kell közölni az érintett személlyel, ha az adatkezelő a hivatal felszólítására bármikor igazolni tudja, hogy ezeket már korábban közölte, vagy ha az adatkezelő a személyes adatokat a 10. § 1. és 2. bek. szerint dolgozza fel. A 2. bekezdés szerinti információkat nem kell közölni az érintett személlyel, ha az adatkezelő
a) a hivatal felszólítására bármikor igazolni tudja, hogy ezeket már korábban közölte, 
b) személyes adatokat a 10. § 1. és 2. bek. szerint kezeli,
c) személyes adatokat a 10. § 3. bek. a) pontjának rendelkezései céljára kezeli,
d) személyes adatokat történelmi kutatás, vagy tudományos kutatás, vagy fejlesztés céljából, vagy statisztikai célból kezel, és az ilyen információk közlése objektív okokból lehetetlen vagy csak aránytalanul nagy erőfeszítés árán lenne lehetséges, vagy
e) személyes adatokat kezel a 10. § 3. bek. e) pontja szerint.
(4) Az az adatkezelő, amely természetes személy azonosítása céljából szerez meg személyes adatokat, annak egyszeri belépése során az általa fenntartott területre, a következő adatok kérésére jogosult: akadémiai cím, családi és utónév és a személyi igazolvány száma,23) a szolgálati igazolvány száma vagy az útlevél száma,24) állampolgársága és a megadott személyes adatok valódiságának bizonyítása okmány felmutatásával. Ha a természetes személy külön törvény szerint igazolja magát,25) az adatkezelő csak a szolgálati igazolvány nyilvántartási számának és a szolgálati igazolványt kiadó szerv nevének elkérésére jogosult. Az 1. bekezdés e két esetben nem alkalmazandó.
(5) Az az adatkezelő, amely a nyilvánosság számára hozzáférhető helyiségekben gyűjti, adja ki vagy teszi hozzáférhetővé a személyes adatokat, a 19. § szerint biztosítja azok megfelelő védelmét.
(6) Az adatkezelés céljának eléréséhez elengedhetetlenül szükséges személyes adatokat fénymásolással, szkenneléssel vagy a hivatalos okmányok adathordozón történő másfajta rögzítésével gyűjteni csak akkor lehetséges, ha ahhoz az érintett személy írásbeli hozzájárulását adja, vagy ha azt külön törvény kimondottan lehetővé teszi az érintett személy beleegyezése nélkül.26) Ez nem érvényes, ha a személyes adatok a 4. bekezdés szerinti célból és terjedelemben való megszerzéséről van szó hivatalos okmányokból, automatizált adatrögzítő eszközök segítségével, vagy ha munkajogviszony vagy hasonló jogviszony megkötésének céljából gyűjtött adatokról van szó .
(7) A nyilvánosság számára szabadon hozzáférhető területet csak a közrend és közbiztonság védelmének céljából, a bűnözés felderítése, az állambiztonság megsértése, a vagyon vagy egészség védelme céljából lehet kamerával megfigyelni, és csakis akkor, ha a területet jól láthatóan megjelölték mint kamerával megfigyelt terület; a kamerával megfigyelt területet az adatkezelő köteles jól láthatóan megjelölni, tekintet nélkül arra, hogy a felvett képet vagy hangot rögzítik-e adathordozón. A kamerával megfigyelt területet megjelölése nem szükséges, ha ezt külön törvény szabja meg. Az elkészített felvételt csak büntető vagy szabálysértési eljárás céljaira lehet felhasználni, amennyiben külön törvény másként nem rendelkezik.
(8) Az az adatkezelő, amely a 10. § 3. bek. d) pontjában felsorolt személyes adatokat az érintett személy tudomása nélkül vagy egyenesen tőle szerzi meg, az 1. bekezdés szerinti információkat közli vele első kapcsolatfelvételük során, és ha a személyes adatokat direkt marketing céljaira kezelik, kioktatja az érintett személyt írásbeli ellenvetés jogáról személyes adatainak postai kapcsolattartásban történő közlése és felhasználása ellen.
(9) Az adatkezelő, amelynek tevékenységi tárgya a direkt marketing, a közölt személyes adatokról nyilvántartást vezet a 10. § 3. bek. d) pontja szerint a következő terjedelemben: akadémiai cím, családi és utónév és az érintett személy lakcíme, az adatok közlésének dátuma, esetleg az a dátum, amelytől tilos azok további közlése a 17. § 6. bek. szerint, valamint a jogi személy vagy természetes személy neve, amelynek a szóban forgó személyes adatokat kiadták. Azonos terjedelmű nyilvántartást vezet az a jogi személy és természetes személy is, amelynek ezeket a személyes adatokat továbbadták.

16. §
A személyes adatok valódisága, helyessége és érvényessége
(1) Az informatikai rendszerben csak valós személyes adatok kezelhetők. A személyes adatok hamisságáért az a felelős az, aki azokat az informatikai rendszernek szolgáltatta. 
(2) A személyes adatok helyességét és érvényességét az adatkezelő biztosítja.
(3) A személyes adat helyesnek tekintendő mindaddig, míg az ellenkezője be nem bizonyosodik.

17. §
A személyes adatok megsemmisítése
(1) Az adatkezelő az adatfeldolgozás céljának teljesülését követően haladéktalanul köteles biztosítani a személyes adatok megsemmisítését.
(2) Az 1. bekezdés nem alkalmazandó, ha a személyes adatok irattári megőrzésre kijelölt anyag részét képezik.27) Az adatkezelő az irattári adatok megsemmisítését külön jogszabályi előírás szerint biztosítja.28)
(3) Az adatkezelő akkor is haladéktalanul biztosítja a személyes adatok megsemmisítését, kivéve a 10. § 3. bek. d) pontjában szereplő személyes adatokat, ha megszűntek azok az okok, amelyek nem tették lehetővé az érintett személy beleegyezésének megszerzését a 11. § 4. bek. szerint, és a belegyezés nem került megadásra.
(4) Ha az érintett személy kifogással él a 28. § 3. bek. a) pontja szerint, az adatkezelő köteles a személyes adatokat haladéktalanul megsemmisíteni a 10. § 3. bek. d) pontjában szereplő személyes adatok kivételével.
(5) Ha az érintett személy kifogással él a 28. § 3. bek. b) pontja szerint, az adatkezelő köteles haladéktalanul befejezni a 10. § 3. bek. d) pontjában felsorolt személyes adatok használatát a postai kapcsolattartásban.
(6) Ha az érintett személy kifogással él a 28. § 3. bek. c) pontja szerint, az adatkezelő köteles ezt haladéktalanul, de legkésőbb három munkanapon belül írásban közölni mindenkivel, akinek a 10. § 3. bek. d) pontjában felsorolt személyes adatokat továbbította; az itt felsorolt személyes adatok továbbításának tilalma az érintett személy kifogásának kézbesítését követő naptól, esetleg az adatkezelő írásbeli értesítése kézbesítésének időpontjától vonatkozik az adatkezelőre és mindenkire, akinek az adatokat átadta.
(7) Ha a 15. § 7. bek. szerint elkészített adatfelvételt büntető vagy szabálysértési eljárás céljaira nem használják fel, az, aki az adatfelvételt készítette, köteles azt megsemmisíteni legkésőbb az adatfelvétel készítésének napját követő 15. napon, hacsak külön törvény másként nem rendelkezik.

18. §
A változások közlése a harmadik felekkel 
(1) Ha az érintett személy az adatkezelőt figyelmezteti, vagy ha az érintett személy az adatkezelőnél érvényesíti jogát, vagy ha a szolgáltató maga állapítja meg, hogy harmadik félnek valótlan, nem teljes vagy nem érvényes személyes adatokat továbbított, illetve hogy azokat jogalap nélkül továbbította, köteles erről haladéktalanul írásban értesíteni mindenkit, akiknek az adatokat átadta. Az adatkezelő az értesítésben feltünteti, milyen jóvátételi intézkedéseket foganatosított, elsősorban, hogy zárolta, kiegészítette, kijavította, időszerűsítette vagy megsemmisítette-e a személyes adatokat, és milyen intézkedések végrehajtását kéri a harmadik féltől.
(2) A harmadik fél az 1. bekezdés szerinti értesítés alapján köteles végrehajtani a kért intézkedéseket, elsősorban zárolni az informatikai rendszerben a személyes adatokat, és haladéktalanul kiegészíteni, kijavítani, aktualizálni vagy megsemmisíteni azokat.
(3) Az 1. bekezdés szerinti értesítéstől csak akkor lehet eltekinteni, ha az értesítés objektív okokból lehetetlen, vagy csak aránytalanul nagy erőfeszítés árán volna lehetséges.
(4) Az az adatkezelő, amely a 3. bekezdés szerinti okokból eltekint az 1. bekezdés szerinti értesítéstől, a hivatal felszólítására köteles igazolni, hogy az értesítéstől való eltekintés indokolt volt.

Második fejezet
A személyes adatok biztonsága

19. §
A személyes adatok biztonságáért való felelősség
(1) A személyes adatok biztonságáért az adatkezelő felel. Az adatkezelő köteles a kezelt adatokat védeni a sérülés, megsemmisülés, elveszítés, módosítás ellen, továbbá jogosulatlan hozzáféréstől és eléréstől, a jogosulatlan adattovábbítás vagy közzététel ellen, valamint bármilyen más megengedhetetlen kezelési mód ellen. Ebből a célból megfelelő műszaki, szervezési és személyzeti intézkedéseket foganatosít (a továbbiakban csak „biztonsági intézkedések“), melyek megfelelnek a személyes adatok kezelési módjának, miközben mérlegeli elsősorban a felhasználható műszaki eszközöket, a feldolgozott személyes adatok bizalmas jellegét és fontosságát, valamint a lehetséges kockázatok mértékét, amelyek alkalmasak az informatikai rendszer biztonságának és működésének megzavarására.
(2) Az 1. bekezdés szerinti biztonsági intézkedéseket az adatkezelő a biztonsági irányelvben dokumentálja, amennyiben az informatikai rendszerében,
a) amely nyilvánosan hozzáférhető számítógépes hálózathoz kapcsolódik, a 13. § szerinti különleges személyes adatokat nem dolgoz fel, vagy
b) amely nyilvánosan hozzáférhető számítógépes hálózathoz nem kapcsolódik, a 13. § szerinti különleges személyes adatokat dolgoz fel.
(3) Az 1. bekezdés szerinti biztonsági intézkedéseket az adatkezelő az informatikai rendszer biztonsági projektjében dokumentálja (a továbbiakban csak „biztonsági projekt“), ha
a) informatikai rendszerében, amely nyilvánosan hozzáférhető számítógépes hálózathoz kapcsolódik a 13. § szerinti különleges személyes adatokat dolgoz fel, vagy
b) az informatikai rendszer a közérdek biztosítását szolgálja a 3. § 1. bek. szerint; a 20. § rendelkezése a biztonsági projekt kidolgozása során csak akkor nem alkalmazandó, ha a konkrét esetben egyúttal külön jogszabályi előírás szerinti biztonsági projekt kidolgozása is kötelező.29)
(4) Az adatkezelő köteles haladék nélkül biztosítani az 1-3. bekezdés szerint elfogadott biztonsági intézkedések aktualizálását úgy, hogy az megfeleljen a személyes adatok feldolgozása során elfogadott változásoknak, éspedig a személyes adatoknak az informatikai rendszerben történő kezelése befejeztéig.
(5) Az adatkezelő köteles megismertetni a jogosult személyeket a biztonsági irányelv tartalmával, a feladataik elvégzéséhez szükséges terjedelemben; a jogosult személyek kioktatását a biztonsági irányelv tartalmáról az adatkezelő köteles a hivatal kérésére bizonyíthatóan igazolni. Az adatkezelő köteles az első mondat szerinti kötelességét a biztonsági irányelv minden változáskor teljesíteni.
(6) A hivatal kérésére az adatkezelő bemutatja az 1-3. bekezdés szerinti biztonsági intézkedések terjedelmét és tartalmát.

20. §
Biztonsági projekt
(1) A biztonsági projekt megszabja a biztonsági intézkedések terjedelmét és módját, melyek szükségesek az informatikai rendszerre biztonsági, megbízhatósági és működési szempontból ható fenyegetések és kockázatok kiküszöbölésére és minimalizálására.
(2) A biztonsági projektet az adatkezelő dolgozza ki, a biztonsági szabványokkal, a jogszabályokkal és a Szlovák Köztársaságot kötelező nemzetközi szerződésekkel összhangban.
(3) A biztonsági intézkedések terjedelmét és dokumentálását általánosan kötelező érvényű jogszabály határozza meg, melyet a hivatal ad ki.

21. §
A jogosult személy felvilágosítása
(1) A természetes személy a felvilágosításának napján válik jogosult személlyé.
(2) Az adatkezelő köteles felvilágosítani az 1. bekezdés szerinti személyt a személyes adatok feldolgozása során őt érintő jogairól és kötelezettségeiről; a felvilágosítás elsősorban a jogosultságai, megengedett tevékenységei terjedelmének meghatározását és a személyes adatok feldolgozásának feltételeit tartalmazza. Az adatkezelő a felvilágosítást a jogosult személy által a személyes adatokkal elvégzett első műveletének megvalósulása előtt végzi.
(3) Az adatkezelő köteles a jogosult személy felvilágosításáról írásbeli feljegyzést készíteni, amelyet a hivatal felszólítására köteles megbízható módon igazolni.
(4) Az adatkezelő köteles újra felvilágosítani a jogosult személyt, ha annak munkahelyi vagy szolgálati beosztásában vagy tisztségében jelentős változásra került sor, és ezzel jelentősen megváltozott munkaköri tevékenységének tartalma, vagy lényegesen megváltoztak a személyes adatok kezelésének feltételei, vagy a feldolgozott személyes adatok tartománya az ő munkahelyi vagy szolgálati beosztásának vagy tisztségének keretében.

22. §
Titoktartási kötelezettség 
(1) Az adatkezelőt titoktartási kötelezettség köti az általa kezelt személyes adatokkal kapcsolatban. A titoktartási kötelezettség a személyes adatok feldolgozásának befejezése után is fennáll.
(2) A jogosult személyt titoktartási kötelezettség köti a személyes adatokkal kapcsolatban, amelyekkel érintkezésbe kerül; azokat személyes szükségleteire nem használhatja fel, és az adatkezelő beleegyezése nélkül azokat nem teheti közzé és hozzáférhetővé, valamint senkinek nem továbbíthatja.
(3) A 2. bekezdés szerinti titoktartási kötelezettség más természetes személyekre is érvényes, akik az adatkezelőnél vagy adatközvetítőnél a személyes adatokkal érintkezésbe kerülnek.
(4) A 2. bekezdés szerinti titoktartási kötelezettség a jogosult személy tisztségének megszűnése vagy munkaviszonyának, állami alkalmazotti viszonyának, szolgálati viszonyának vagy hasonló munkaviszonyának befejeződése után is fennáll. Az első mondat szerinti titoktartási kötelezettség a 3. bekezdés szerinti természetes személyekre is vonatkozik.
(5) Az 1-4. bekezdések szerinti titoktartási kötelezettség nem érvényes, ha ez elengedhetetlen a bíróságok és a bűnüldöző szervek feladatainak teljesítéséhez külön törvény szerint; ez nem érinti a külön jogszabályi előírás szerinti titoktartási kötelezettségre vonatkozó rendelkezéseket.30)
(6) Az 1-4. bekezdések nem alkalmazandóak a hivatallal szemben, a jelen törvény szerinti feladatainak ellátása közben.

Harmadik fejezet
A személyes adatok védelmének felügyelete

A felelős személy

23. §
A felelős személy megbízásának feltételei
(1) A jelen törvény szerint kezelt személyes adatok védelmének felügyeletéért az adatkezelő felel.
(2) Az az adatkezelő, amely jogosult személyek segítségével dolgozza fel a személyi adatokat, a felügyelet elvégzésével írásban megbízhat egy vagy több felelős személyt, aki a személyes adatok feldolgozása során törvényi rendelkezések betartását felügyeli. Ez nem érinti az adatkezelő 1. bekezdés szerinti felelősségét.
(3) Ha az adatkezelő nem bíz meg a 2. bekezdés szerinti felelős személyt, köteles értesíteni a hivatalt azon informatikai rendszerekről, amelyek e törvény szerint bejelentési kötelezettség alá tartoznak a 34. § értelmében. Az első mondatban megállapított, az adatkezelőre vonatkozó kötelezettség a közvetítőre nem vonatkozik.
(4) A felelős személy az adatkezelő jogosult személyének jogállásával bír, valamint hozzáférési joga van az adatkezelő informatikai rendszeréhez, a 27. § szerinti feladatok ellátásához szükséges mértékben.
(5) Felelős személy csak olyan természetes személy lehet, akinek a jogi cselekvőképessége nem korlátozott, feddhetetlen és rendelkezik a hivatal érvényes igazolásával arról, hogy letette a 24. § szerinti vizsgát.
(6) Felelős személy nem lehet olyan természetes személy, aki az adatkezelő végrehajtó szerve, az adatkezelő végrehajtó szervének tagja, és az a természetes személy, aki jogosult az adatkezelő végrehajtó szervének vagy az adatkezelő végrehajtó szerve tagjának nevében eljárni, a jelen törvény szerinti kötelességek teljesítése vagy jogok érvényesítése közben.
(7) Felelős személy nem lehet az a személy, akit már többször megbírságoltak a 68. § 7. bek. f) pontja szerint.
(8) A jelen törvény céljaira az tekinthető feddhetetlennek, aki nem volt jogerősen elítélve szándékos bűncselekményért, vagy olyan bűncselekményért, melynek során a szabadságvesztés büntetését nem függesztették fel, vagy ha a bírósági döntés alapján vagy a törvény alapján úgy tekintenek rá, mint akit nem ítéltek el, vagy elítélését elsimították. A feddhetetlenséget három hónapnál nem régebbi, hatósági erkölcsi bizonyítvánnyal kell alátámasztani. A hatósági erkölcsi bizonyítványt a természetes személy legkésőbb a 2. bekezdés szerinti megbízásának napján mutatja be az adatkezelőnek. Az adatkezelő köteles azt megőrizni a 10. bekezdés szerinti megbízással együtt, a felelős személy tisztsége betöltésének egész ideje alatt.
(9) A 8. bekezdés szerinti feddhetetlenség igazolásának kötelezettsége nem áll fenn, ha a természetes személy külön törvény szerint köteles feddhetetlenségét bizonyítani az adatkezelőnek munkaviszonyának, állami alkalmazotti viszonyának, szolgálati viszonyának vagy hasonló munkaviszonyának létrejötte céljából.
(10) A 2. bekezdés szerinti megbízás a következőket tartalmazza:
a) az adatkezelő azonosító adatai,
b) a megbízott felelős személy akadémiai címe, családi és utóneve, születésének dátuma,
c) a felelős személy megbízási érvényességének kezdetének dátuma,
d) az adatkezelő nyilatkozata arról, hogy a megbízott személy megfelel a jelen törvény szerinti feltételeknek,
f) a 24. § 5. bek. c) pontja szerinti vizsga letételéről szóló igazolás száma és az igazolás kiadásának dátuma,
g) a megbízott felelős személy megbízással való kifejezett egyetértése és aláírása,
h) az adatkezelő hivatalos bélyegzőjének lenyomata,
i) a megbízás elkészítésének dátuma és
j) az adatkezelő végrehajtó szervének vagy más, az adatkezelő nevében eljárásra jogosult személynek az aláírása.
(11) A megbízás szerves részét képezi a melléklet, a 21. § 3. bek. szerinti felvilágosításáról készült írásbeli feljegyzés.

24. §
A felelős személy tisztségének betöltéséhez szükséges vizsga
(1) A személyes adatok védelmének felügyeletével a vizsgát sikeresen letevő természetes személy bízható meg.
(2) A természetes személy vizsgatételét a felelős személy tisztségének betöltése céljából a jelen törvény szerint a hivatal biztosítja.
(3) A vizsgatételi kérelem a következőket tartalmazza:
a) a kérvényező adatait akadémiai cím, családi és utónév, születési dátum, állandó lakcím és postai kézbesítési cím, elektronikus levélcím és telefonszám terjedelemben,
b) az adatkezelő vagy adatközvetítő azonosító adatai, ha a kérvényező vizsgatételi kérvényét ők küldik,
c) keltezés és a kérvényező aláírása.
(4) A 3. bekezdés szerinti vizsgatételi kérvény mintáját a hivatal a honlapján teszik közzé.
(5) A vizsga letételének igazolása a következőket tartalmazza:
a) a hivatal azonosító adatai,
b) a kérvényező azonosító adatai akadémiai cím, családi és utónév, születési dátum terjedelemben,
c) az igazolás száma,
d) az igazolás kiadásának keltezése,
e) a hivatal vezetőjének akadémiai címe, családi és utóneve, valamint aláírása és
f) a hivatal hivatalos bélyegzőjének lenyomata.
(6) Az a természetes személy, aki sikeresen levizsgázott, és két évnél hosszabb ideig nem tölti be a felelős személy tisztségét, köteles újra levizsgázni.
(7) A természetes személy felelős személy tisztségének betöltésére való vizsgájának részleteit a hivatal az által kiadott általános érvényű jogszabályban határozza meg.

25. §
Az adatkezelő kötelességei a felelős személy megbízása során
(1) Az adatkezelő köteles lehetővé tenni a felelős személy számára a személyes adatok védelmének független felügyeletét, és elfogadni indokolt javaslatait; a hiányosságokra való figyelmeztetés vagy követelmények megfogalmazása, mely a 27. § 2. bek. szerinti kötelességek teljesítésével kapcsolatos, sem ösztönözője sem oka nem lehet olyan eljárásnak az adatkezelő részéről, mely a felelős személy rovására menne.
(2) Az az adatkezelő, amely a felelős személyt írásban megbízta a személyes adatok védelme feletti felügyelettel, köteles erről haladéktalanul értesíteni a hivatalt, de legkésőbb a felelős személy megbízásától számított 30 napon belül, ajánlott postai küldeményben vagy elektronikus dokumentum formájában, melyet szavatolt elektronikus aláírással láttak el.14) A szolgáltató a következő adatokat közli a hivatallal:
a) az adatkezelő azonosító adatai,
b) a felelős személy akadémiai címe, családi és utóneve, születési dátuma,
c) a természetes személy felelős személlyé válásának napja,
d) az adatkezelő nyilatkozatta arról, hogy a felelős személy teljesíti a jelen törvény feltételeit,
e) a 24. § 5. bek. c) pontja szerinti vizsga letételéről szóló igazolás száma és az igazolás kiadásának dátumát,
f) az adatkezelő hivatalos bélyegzőjének lenyomata,
g) az értesítés elkészítésének dátuma és
h) az adatkezelő végrehajtó szervének vagy más, az adatkezelő nevében eljárásra jogosult személynek az aláírása.
(3) Ha az adatkezelő a személyes adatok védelmének felügyeletével egyszerre több felelős személyt is megbízott, a 2. bekezdés szerint köteles értesíteni a hivatalt az összes felelős személy megbízásáról.
(4) Ha a felelős személy tisztségének betöltése közben változásra kerül sor a 2. bekezdés szerint bejelentett adatokban, az adatkezelő köteles haladéktalanul értesíteni a hivatalt ezen adatok megváltozásáról.
(5) A 2. bekezdés szerinti értesítés mintáját a hivatal a honlapján teszik közzé.

26. §
A felelős személy megbízatásának befejezése
(1) Az adatkezelő jogosult bármikor, az ok megadása nélkül a felelős személy megbízatását írásban visszavonni.
(2) A felelős személy megbízatása megszűnik
a) a felelős személy halálával,
b) az adatkezelő megszűnésének napjával,
c) azon a napon, amikor a felelős személy már nem teljesíti a 23. § 5-7. bek. feltételeit,
d) a 24. § 6. bek. szerinti határidő leteltével,
e) a felelős személy munkaviszonyának, állami alkalmazotti viszonyának, szolgálati viszonyának vagy hasonló munkajogi viszonyának megszűnésének napjával, ha az adatkezelő alkalmazottja, és írásban nem egyeznek meg a felelős személy tisztsége betöltésének folytatásáról a jelen törvény szerint, vagy
f) azon a napon, amikor az adatkezelő átvette a felelős személy írásbeli kérvényét a felelős személyi megbízásának megszüntetéséről, hacsak a megszűnés napját illetően nem került sor más megállapodásra.
(3) Ha az adatkezelő az 1. bekezdés szerint visszavonja a felelős személy megbízatását, eljárhat a 23. § 2. bek. és a 25. § 2. bek. szerint. Ha a felelős személy megbízatásának megszűnésére a 2. bekezdés a), c)-f) pontjai szerint kerül sor, az adatkezelő eljárhat a 23. § 2. bek. és a 25. § 2. bek. szerint.
(4) Ha a felelős személy megbízatásának megszűnésére a 2. bekezdés b) pontja szerint kerül sor, az adatkezelő köteles erről haladéktalanul értesíteni a hivatalt.
(5) Ha az adatkezelő nem a 3. bekezdés szerint jár el, köteles haladéktalanul értesíteni a hivatalt a megbízatás visszavonásáról, vagy a felelős személy megbízatásának megszűnéséről.
(6) A hivatal jogosult az adatkezelőt kötelezni arra, hogy írásban más természetes személyt bízzon meg a személyes adatok védelmének felügyeletével, ha bizonyítást nyer, hogy az írásban megbízott felelős személy a feladatok ellátása során nem a 27. § 1. és 2. bek. szerint járt el, a jelen törvénnyel összhangban.  Az adatkezelő köteles haladék nélkül eleget tenni a hivatal felszólításának, és a személyes adatok védelme feletti felügyelet ellátásával írásban más természetes személyt megbízni.

27. §
A felelős személy kötelességei
(1) A felelős személy köteles a személyes adatok informatikai rendszerben történő feldolgozásának megkezdése előtt megítélni, hogy azok feldolgozásával nem jön-e létre az érintett személyek jogai és szabadságai megsértésének veszélye. A felelős személy köteles haladéktalanul írásban értesíteni az adatkezelőt, ha az érintett személyek jogainak és szabadságainak megsértését állapítja meg a személyes adatok feldolgozásának megkezdése előtt, vagy ha a személyes adatok feldolgozása során, a törvényi rendelkezések megsértését észleli; ha az adatkezelő a figyelmeztetés után, haladéktalanul nem eszközöli a hiba helyrehozatalát, a felelős személy értesíti erről a hivatalt.
(2) A felelős személy köteles biztosítani
a) a hivatallal való szükséges együttműködést, a hatáskörébe tartozó feladatok teljesítése során; a felelős személy a hivatal felszólítására bármikor köteles felmutatni írásbeli megbízását és az 1. bekezdés szerinti írásbeli értesítéseket,
b) az 1. bekezdés szerinti kötelezettségeket,
c) az adatkezelő 6. § szerinti alapvető kötelezettségeinek teljesítése feletti felügyeletet,
d) a jogosult személyek 21. § szerinti felvilágosítását,
e) az érintett személyek 28-30. § szerinti kérvényeinek elintézését,
f) a 19. § 1-3. bek. szerinti biztonsági intézkedések elfogadását, felügyelni azok alkalmazását a gyakorlatban és biztosítani azok aktualizálását a 19. § 4. bek. szerint,
g) a közvetítő kiválasztása feletti felügyeletet, a közvetítővel megkötendő írásbeli szerződés előkészítését és a szerződéses viszony idejének fennállása alatt ellenőrizni a meghatározott, 8. § szerinti feltételek betartását,
h) a határon átnyúló személyes adatátvitel feletti felügyeletet a 31. és 32. § szerint,
i) az informatikai rendszerek bejelentését az egyedi regisztrációra, azok kijelentését és változásainak bejelentését, vagy biztosítani az informatikai rendszerek nyilvántartásának vezetését a 34-44. § szerint.
(3) Az a felelős személy, aki megszűnik teljesíteni a 23. § 5., 6. vagy 7. bek. szerinti feltételeket, köteles haladék nélkül jelenteni ezt a tényt az adatkezelőnek.

Negyedik fejezet
Az érintett személyek jogainak védelme

28. §
Az érintett személy jogai
(1) Az érintett személynek, írásbeli kérvény alapján jogában áll az adatkezelőtől kérni  
a) annak igazolását, hogy az ő személyes adatait kezelik-e vagy sem,
b) információkat a személyes adatok informatikai rendszerben történő feldolgozásáról, általánosan érthető formában, a 15. § 1. bek. a)-e) pontjainak, második-hatodik pontjai szerinti terjedelemben; az 5. bekezdés szerinti határozat kiadása esetén az érintett személy jogosult megismerkedni a kezelés és kiértékelés műveleteinek folyamatával,
c) pontos információkat a forrásról, általánosan érthető formában, amelyből az ő személyes adatait kezelésre megszerezték,
d) személyes adatainak jegyzékét, általánosan érthető formában, amelyek az adatkezelés tárgyát képezik,
e) saját valótlan, nem teljes vagy nem aktuális, kezelés tárgyát képező személyes adatainak javítását vagy megsemmisítését, 
f) személyes adatainak megsemmisítését, melyek kezelése elérte célját; ha a feldolgozás tárgyát olyan hivatalos okmányok képezik, melyek személyes adatokat tartalmaznak, kérvényezheti azok visszaszolgáltatását,
g) feldolgozás tárgyát képező személyes adatainak megsemmisítését, ha törvénysértésre került sor,
h) személyes adatainak zárolását beleegyezésének visszavonása miatt, annak érvényességi ideje lejárta előtt, ha az adatkezelő a személyes adatokat az érintett személy beleegyezése alapján dolgozza fel.
(2) Az érintett személy 1. bekezdés, e) és f) pontja szerinti jogát csak abban az esetben lehet korlátozni, ha az ilyen korlátozás külön törvényből következik, vagy annak alkalmazásával sérülne az érintett személy védelme, vagy más személyek jogai és szabadságai sérülnének.
(3) Az érintett személynek, írásbeli kérvény alapján jogában áll tiltakozni az adatkezelőnél 
a) személyes adatainak kezelése miatt, melyekről feltételezhető, hogy a beleegyezése nélkül direkt marketing céljaira dolgozzák fel vagy fogják feldolgozni, és kérvényezni azok megsemmisítését,
b) a 10. § 3. bek. d) pontjában szereplő személyes adatainak postai kapcsolattartásban, direkt marketing céljaira történő felhasználása miatt, vagy
c) a 10. § 3. bek. d) pontjában szereplő személyes adatainak, direkt marketing céljaira történő továbbadása miatt.
(4) Az érintett személynek jogában áll írásbeli kérvényben, vagy ha az ügy nem tűr halasztást, személyesen bármikor tiltakozni az adatkezelőnél személyes adatainak kezelése ellen a 10. § 3. bek. a), e), f) vagy g) pontjai szerinti esetekben, jogos indokainak kinyilvánításával, vagy jogaiba és jogos érdekeibe való jogtalan beavatkozást alátámasztó bizonyítékok előterjesztésével, amelyek a konkrét esetben a személyes adatok ilyen feldolgozásával sérülhetnek vagy sérülnek; ha azt törvényi indokok nem akadályozzák és bebizonyosodik, hogy az érintett személy tiltakozása jogos, az adatkezelő köteles az érintett személy által kifogásolt személyes adatok feldolgozását haladéktalanul zárolni és azonnal megsemmisíteni, amint azt a körülmények lehetővé teszik.
(5) Az érintett személynek jogában áll továbbá írásbeli kérvényben, vagy ha az ügy nem tűr halasztást, személyesen bármikor tiltakozni az adatkezelőnél, és alá nem vetnie magát az adatkezelő határozatának, amely számára jogi következményekkel vagy jelentős következményekkel bírna, ha az ilyen határozatot kizárólag az ő személyes adatainak automatizált feldolgozása alapján adták ki. Az érintett személynek jogában áll kérvényezni a szolgáltatónál a kiadott határozat felülvizsgálatát az automatizált feldolgozási formától eltérő módszerrel, miközben az adatkezelő köteles eleget tenni az érintett személy kérvényének, éspedig úgy, hogy a határozat felülvizsgálata során a jogosult személynek lesz döntő szerepe; a felülvizsgálat módjáról és a vizsgálat eredményéről az adatkezelő a 29. § 3. bek. szerinti határidőn belül értesíti az érintett személyt. Az érintett személy csak abban az esetben nem élhet ezzel a jogával, ha azt külön törvény írja elő, amelyben az érintett személy jogos érdekeinek biztosítását szolgáló intézkedések vannak szabályozva, vagy ha a szerződéskötési szándéknyilatkozat keretében vagy a szerződéses viszony fennállása alatt az adatkezelő olyan határozatot adott ki, amellyel teljesítette az érintett személy kérését, vagy ha az adatkezelő a szerződés alapján más megfelelő intézkedéseket fogadott el az érintett személy jogos érdekeinek biztosítására.
(6) Ha az érintett személy
a) írásban érvényesíti jogát, és kérvényének tartalmából kitűnik, hogy jogát gyakorolja, a kérvényt a jelen törvény szerint benyújtottnak kell tekinteni; az elektronikus úton vagy faxon benyújtott kérvényt az érintett személy írásban is kézbesíti, legkésőbb az elküldéstől számított három napon belül,
b) személyesen, jegyzőkönyvbe mondva érvényesíti jogát, amely tartalmazza, hogy ki érvényesíti jogát, mit követel, valamint mikor és ki készítette a jegyzőkönyvet, a készítő aláírását és az érintett személy aláírását; a jegyzőkönyv másolatát az adatkezelő köteles átadni az érintett személynek,
c) a közvetítőnél az a) pont vagy a b) pont szerint érvényesíti jogát, az köteles ezt a kérvényt vagy jegyzőkönyvet haladéktalanul átadni az adatkezelőnek.
(7) Ha az érintett személy szerint fennáll a gyanú, hogy személyes adatait jogosulatlanul dolgozzák fel, a hivatalnál javaslatot nyújthat be a személyes adatok védelméről szóló eljárás megkezdésére.
(8) Ha az érintett személy jogi cselekvőképességében korlátozott,15) jogait törvényes képviselője/gyámja érvényesítheti.16)
(9) Ha az érintett személy nem él, jogait, melyek a jelen törvény szerint megillették, közeli hozzátartozó személy érvényesítheti.17)

29. §
Az érintett személy tájékoztatása
(1) Az érintett személy 28. § 1. bek. a)-c), e)-h) pontjai és a 3-5. bek. szerinti kérvényét az adatkezelő térítésmentesen intézi el.
(2) Az érintett személy 28. § 1. bek. d) pontja szerinti kérvényét az adatkezelő térítésmentesen intézi el, kivéve azt az térítést, melynek összege nem lehet több a másolatok elkészítésére, az adathordozók beszerzésére és az információknak az érintett személy számára való megküldésére célirányosan fordított anyagköltség összegénél, hacsak külön törvény másként nem rendelkezik.31)
(3) Az adatkezelő köteles írásban elintézni az érintett személy kérvényét az 1. és 2. bekezdések szerint, a kérvény kézbesítését követő 30 napon belül.

30. §
Az érintett személy jogainak korlátozásáról szóló értesítés
Az érintett személy jogainak korlátozását a 28. § 2. bek. szerint az adatkezelő haladéktalanul, írásban közli az érintett személlyel és a hivatallal.

Ötödik fejezet
A személyes adatok határon átnyúló átvitele

31. §
Személyes adatok átvitele harmadik országba
(1) A személyes adatok harmadik országba történő átvitelét, amely az Európai Bizottság döntése szerint32) garantálja a személyes adatok megfelelő szintű védelmét, akkor lehet megvalósítani, ha az adatkezelő az érintett személlyel előre közölte a 15. § 1. bek. vagy 2. bek. szerinti információkat, vagy teljesül a 15. § 3. bekezdésének valamelyik feltétele.
(2) A személyes adatok harmadik országba történő átvitelét, amely nem garantálja a személyes adatok megfelelő szintű védelmét, akkor lehet megvalósítani, ha az adatkezelő megfelelő biztonsági intézkedéseket fogad el a magánélet, valamint az egyének alapvető jogainak és szabadságainak védelmére és az őket megillető jogok gyakorlására; az ilyen biztosítékok a külön előírás33) szerinti standard szerződési záradékokból következnek, vagy az adatkezelő kötelező érvényű vállalaton belüli szabályaiból, melyeket jóváhagyott egy tagországban székelő, személyes adatok védelmének területén működő felügyeleti szerv.
(3) Ha az adatkezelő nem a 2. bekezdés szerint jár el, a személyes adatok átvitele harmadik országba, amely nem garantálja a személyes adatok megfelelő szintű védelmét, csak akkor valósítható meg, ha 
a) az érintett személy az adatátvitel megvalósulása előtt írásbeli vagy más megbízható módon bizonyítható beleegyezését adta annak tudatában, hogy a harmadik ország nem garantálja a megfelelő szintű védelmet,
b) az adatátvitel okvetlenül szükséges az érintett személy és az adatkezelő közötti szerződés teljesítéséhez, vagy az érintett személlyel fennálló szerződéskötést megelőző kapcsolathoz, vagy a szerződés módosításának megtárgyalásához, melyek az érintett személy kérésére történnek,
c) az adatátvitel okvetlenül szükséges a szerződés megkötéséhez vagy a szerződés teljesítéséhez, melyet az adatkezelő az érintett személy érdekében kötött egy harmadik féllel,
d) az adatátvitel a törvény alapján okvetlenül szükséges vagy megkövetelt valamilyen fontos közérdek biztosítására, vagy a törvényből, illetve a Szlovák Köztársaságot kötelező nemzetközi szerződésből következő jogigények igazolására, érvényesítésére vagy védelmére,
e) az adatátvitel okvetlenül szükséges az érintett személy létfontosságú érdekeinek védelmére, vagy
f) olyan személyes adatokra vonatkozik, melyek külön törvény szerint vezetett jegyzékek, nyilvántartások vagy műveleti adattárak részét képezik, melyek nyilvánosan hozzáférhetők vagy hozzáférhetővé van téve azok számára, akik igazolják a hozzáféréshez való jogalapjukat, a törvényben előírt feltételek teljesítése mellett.
(4) Ha munkaviszonyban, állami alkalmazotti viszonyban, szolgálati viszonyban vagy hasonló munkajogi viszonyban álló személyek személyes adatainak átviteléről van szó, az adatkezelő köteles a magánélet és a személyes adatok védelmére megfelelő biztosítékokat elfogadni a 2. bekezdés szerinti.
(5) Ha az adatkezelő vagy közvetítő, melynek székhelye, vállalkozásának helye vagy állandó lakhelye az Amerikai Egyesült Államokban van, csatlakozott a biztonságos kikötő alapelveihez,34) a személyes adatok átviteléről szóló szerződésnek a következőket kell tartalmaznia:
a) a szerződő felek azonosító adatait,
b) a személyes adatok átvitelének célját,
c) a harmadik országban elvégzendő előrelátható feldolgozási műveleteket,
d) az átvitt személyes adatok jegyzékét,
e) az érintett személyek körét és
f) a személyes adatok tárolásának idejét.
(6) Ha az adatkezelő a nem megfelelő szintű személyes adatvédelemmel rendelkező harmadik országba történő személyes adatok átviteléről szóló szerződésben olyan záradékokat alkalmaz, amelyek eltérnek a 2. bekezdés szerinti, az adatkezelő vagy a közvetítő általi adatátvitelre vonatkozó standard szerződési záradékoktól, vagy azokkal feltűnően nincsenek összhangban, az adatkezelő köteles az adatátvitel megkezdése előtt a hivatal beleegyezését kikérni.
(7) A 6. bekezdés szerinti kérvény a következőket tartalmazza:
a) a szerződő felek azonosító adatait,
b) a személyes adatok átvitelének célját,
c) a harmadik országban elvégzendő előrelátható feldolgozási műveleteket,
d) az átvitt személyes adatok jegyzékét,
e) az érintett személyek körét és
f) a személyes adatok tárolásának idejét.
(8) A 7. bekezdés szerinti kérvény melléklete a személyes adatok átviteléről szóló, államnyelven írt szerződés vagy annak hitelesített államnyelvű fordítása.
(9) A 2., 3. és 5. bekezdések szerinti személyes adatátvitelhez nem szükséges a hivatal beleegyezése.
(10) A szolgáltató csak az érintett személy írásbeli belegyezésével jogosult különleges személyes adatok átvitelére harmadik félnek egy harmadik országban, hacsak külön törvény másként nem rendelkezik.
(11) Annak, aki a személyes adatok átvitelét megvalósítja, biztosítania kell azok biztonságát az adattovábbítás ideje alatt is.
(12) Azoknak a személyes adatoknak a védelme, melyeket az adatkezelő vagy a közvetítő, amelynek székhelye, vállalkozásának helye vagy állandó lakhelye harmadik országban található, a Szlovák Köztársaság területére hoz be, a jelen törvénnyel összhangban hajtandó végre.

32. §
Személyes adatok átvitele a tagországokon belül
(1) A személyes adatok szabad áramlása a Szlovák Köztársaság és a tagországok között garantált; a Szlovák Köztársaság nem korlátozza, és nem tiltja be a személyes adatok átvitelét a természetes személyek alapvető jogainak és szabadságainak védelme, elsősorban a magánélethez való joguk miatt, a személyes adataik kezelésével kapcsolatban.
(2) Az az adatkezelő, amelynek székhelye, vállalkozásának helye vagy állandó lakhelye a Szlovák Köztársaság területén található, és amely egyúttal valamelyik tagország vagy tagországok területén lévő közvetítő igénybevételével személyes adatokat dolgoz fel, köteles biztosítani, hogy az ő utasításai szerint és a jelen törvénnyel összhangban járjanak el; ez nem vonatkozik a műszaki, szervezési és személyzeti biztonsági intézkedések elfogadására.
(3) Az az adatkezelő, amelynek székhelye, vállalkozásának helye vagy állandó lakhelye a Szlovák Köztársaság területén található, egy másik tagállamban található adatkezelő részére történő személyes adattovábbításkor köteles megfelelő biztosítékokkal garantálni az érintett személyek jogainak és jogos érdekeinek megóvását.
(4) Az adatkezelő köteles beszerezni az érintett személyek írásbeli vagy más bizonyítható módon igazolható beleegyezését a személyes adatok másik tagországban székelő adatkezelő számára történő átvitele előtt, ha a jelen törvény vagy külön törvény ilyen beleegyezést megkövetel.

Hatodik fejezet
Az informatikai rendszerek bejelentési kötelezettsége, különleges regisztrációja és nyilvántartása

33. §
Az adatkezelő köteles értesíteni a hivatalt az informatikai rendszereiről, kérvényezni a hivatalnál az informatikai rendszereinek különleges regisztrációját, vagy nyilvántartást vezetni az informatikai rendszereiről a jelen törvény által meghatározott terjedelemben és feltételek mellett.

Bejelentési kötelezettség

34. §
(1) A bejelentési kötelezettség vonatkozik minden olyan informatikai rendszerre, amelyben személyes adatokat dolgoznak fel teljesen vagy részben automatizált feldolgozó eszközökkel.
(2) Az 1. bekezdés szerinti bejelentési kötelezettség nem vonatkozik azokra az informatikai rendszerekre, amelyek
a) a 37. § szerint különleges regisztráció alá tartoznak,
b) felelős személy felügyelete alá tartoznak, akit írásban bízott meg az adatkezelő a 23. § szerint, és aki a jelen törvény szerint látja el a személyes adatok védelme feletti felügyeletet, kivéve azt az informatikai rendszert, amelyben a személyes adatok a 10. § 3. bek. g) pontja szerint kerülnek feldolgozásra, amely mindig bejelentési kötelezettség alá esik; a hivatal úgy dönthet, hogy különleges regisztráció alá esik az az informatikai rendszer, amelyben a személyes adatok a 10. § 3. bek. g) pontja szerint kerülnek feldolgozásra,
c) valamely polgári társulás vagy szakszervezet tagságáról szóló személyes adatokat tartalmaznak, és ha ezeket az adatokat kizárólag csak saját belső használatra dolgozzák fel és használják, vagy államilag elismert egyházak vagy vallási közösségek tagjainak vallási meggyőződésére vonatkozó személyes adatait tartalmazzák, és ha ezeket az adatokat az egyház vagy a vallási közösség dolgozza fel és kizárólag csak saját belső használatra szánják azokat, vagy politikai párt vagy politikai mozgalom tagságának személyes adatait tartalmazza, és ha ezeket a személyes adatokat a politikai párt vagy politikai mozgalom dolgozza fel és kizárólag csak saját belső használatra szánja, vagy
d) amelyek olyan személyes adatokat tartalmaznak, amelyeket törvény, az Európai Unió közvetlenül érvényesíthető jogilag kötelező erejű aktusa vagy a Szlovák Köztársaságot kötelező nemzetközi szerződés alapján dolgoznak fel.

35. §
A regisztrációra történő jelentkezés
(1) Az adatkezelő a 34. § szerint köteles informatikai rendszerét bejelenteni a személyes adatok feldolgozásának megkezdése előtt; a bejelentés elvégezhető az elektronikus nyomtatvány segítségével is. A bejelentésnek tartalmaznia kell
a) az adatkezelő azonosító adatait, 
b) az adatkezelő végrehajtó szervének vagy az adatkezelő nevében eljárásra jogosult más személynek a családi és utónevét,
c) az adatkezelő képviselőjének azonosító adatait, ha kinevezésre került; ha az adatkezelő kinevezte képviselőjét, feltünteti az adatkezelő képviselője végrehajtó szervének családi és utónevét is vagy az adatkezelő képviselője nevében eljárásra jogosult más személy családi és utónevét,
d) az adatkezelő jogosult személyeinek számát,
e) az informatikai rendszer megnevezését, 
f) a személyes adatok kezelésének célját,
g) a személyes adatok feldolgozásának jogalapját,
h) az érintett személyek körét,
i) a személyes adatok jegyzékét, vagy a személyes adatok tartományát a 10. § 4. bek. első mondata szerint,
j) a harmadik feleket, esetleg a harmadik felek körét, ha feltételezhető vagy nyilvánvaló, hogy ezeket a személyes adatok továbbítják, és az adattovábbítás jogalapját,
k) az átvevők körét, ha feltételezhető vagy nyilvánvaló, hogy számukra a személyes adatok hozzáférhetők lesznek, és a hozzáférővé tevés jogalapját,
l) a közzététel módját, ha a szolgáltató közzéteszi a személyes adatokat, és közzétételük jogalapját,
m)a harmadik országokat, ha feltételezhető vagy nyilvánvaló, hogy meg fog valósulni a személyes adatok átvitele ezekbe az országokba, és az adatátvitel jogalapját,
n) a biztonsági intézkedések megjelölését, melyeket a személyes adatok védelmének biztosítására fogadtak el a 19. § 1-3. bek. szerint,
o) a keltezést, amely naptól megkezdik a személyes adatok kezelését az informatikai rendszerben.
(2) Az informatikai rendszer bejelentésének mintáját és az informatikai rendszerek 1. bekezdés szerinti példálózó felsorolását a hivatal közzéteszi a honlapján.
(3) A kérvény 2. bekezdés szerinti mellékletét képezi a személyes adatok kezelése feltételeinek leírása.

36. §
Regisztrációs eljárás
(1) Ha olyan informatikai rendszerről van szó, amely a 34. § szerint bejelentési kötelezettség alá esik, és a bejelentés rendelkezik a 35. § 1. bek. szerinti alaki kellékekkel, a hivatal az informatikai rendszerhez azonosító számot rendel hozzá. Az adatkezelő kérésére a bejelentési kötelezettség teljesítéséről a hivatal igazolást bocsát ki, amely tartalmazza
a) a hivatal azonosító adatait,
b) az adatkezelő azonosító adatait; akadémiai cím, családi és utónév és állandó lakhelyének címe, ha a szolgáltató természetes személy,
c) az informatikai rendszer megnevezését,
d) a hozzárendelt azonosító számot,
e) a hivatal alkalmazottjának akadémiai címét, családi és utónevét, tisztségét és aláírását,
f) a bejelentési kötelezettség teljesítésének időpontját és
g) a hivatal hivatalos bélyegzőjének lenyomatát.
(2) Ha a bejelentés nem rendelkezik a 35. § 1. bek. szerinti alaki kellékekkel, a hivatal felszólítja az adatkezelőt, hogy a megadott határidőn belül, amelyet a hivatal állapít meg, és amely hét napnál nem lehet kevesebb, küszöbölje ki a hiányosságokat. Ha az adatkezelő a nem küszöböli ki a hiányosságokat a megadott határidőn belül, a hivatal nem oszt ki azonosító számot és a bejelentést nem veszi figyelembe.
(3) Ha az informatikai rendszer bejelentési kötelezettség alá esik, és az adatkezelő teljesítette a 35. § 1. bek. szerinti bejelentési kötelezettségét, a bejelentés napjától kezdve jogosult a személyes adatok kezelésének megkezdésére.
(4) Ha az adatkezelő informatikai rendszere a bejelentés után teljesíteni kezdi a 34. § 2. bek. szereplő feltételeket, az adatkezelő köteles erről haladéktalanul értesíteni a hivatalt; a hivatal visszavonja az azonosító számot, amiről haladéktalanul értesíti az adatkezelőt. Ha a hivatal ezt a tényt a jelen törvény szerinti feladatai ellátása közben saját kezdeményezésből észleli, visszavonja az azonosító számot, amiről haladéktalanul értesíti az adatkezelőt. Az azonosító szám visszavonásáról szóló határozat ellen nincs jogorvoslati lehetőség.

A különleges regisztráció

37. §
A különleges regisztráció feltételei
A különleges regisztráció azokra az informatikai rendszerekre vonatkozik, amelyekben az adatkezelő 
a) a 10. § 3. bek. g) pontja alapján dolgozza fel a személyes adatokat, ha erről a hivatal dönt a 34. § 2. bek. b) pontja értelmében,
b) a 13. § 5. bek. b), c) és d) pontjai alapján dolgozza fel a személyes adatokat, vagy
c) legalább az egyiket a 13. § 1. bekezdésében szereplő személyes adatok közül, és egyúttal feltételezhető e személyes adatok olyan harmadik országba történő átvitele, amely nem biztosítja a személyes adatok megfelelő szintű védelmét; különleges regisztráció nem szükséges a 31. § 9. bek. szerinti esetekben.

38. §
A különleges regisztrációra történő jelentkezés
(1) Az adatkezelő a személyes adatok feldolgozásának megkezdése előtt, köteles informatikai rendszerét különleges regisztrációra bejelenteni a hivatalban. A kérvénynek, amellyel az adatkezelő az informatikai rendszerét különleges regisztrációra bejelenti, a 35, § 1. bek. szerinti alaki kellékeken kívül az informatikai rendszer különleges regisztrációjának okát is tartalmaznia kell a 37. § szerint.
(2) A kérvény mintáját, melyen az adatkezelő az informatikai rendszert különleges regisztrációra bejelenti, a hivatal teszi közzé a honlapján
(3) A 2. bekezdés szerinti kérvény mellékleteit képezik azok a dokumentumok, melyek elengedhetetlenek annak elbírálására, hogy a személyes adatok feldolgozásával nem jön-e létre az érintett személyek jogai és szabadságai megsértésének veszélye.

39. §
Különleges regisztrációs eljárás
(1) Ha a kérvény nem teljesíti a 38. § 1. és 3. bek. szerinti alaki követelményeket, vagy ha a kérvény elbírálása során bármilyen kétség felmerül, a hivatal felszólítja az adatkezelőt a hiányosságok kiküszöbölésére vagy a  háttéranyagok kiegészítésére a megadott határidőn belül, amelyet a hivatal állapít meg, és amely tíz napnál nem lehet kevesebb; ez alatt az idő alatt a különleges regisztrációs eljárás határideje felfüggesztésre kerül.
(2) Az érintett személy jogai és szabadságai megsértésének veszélyét a személyes adatok feldolgozása során, egyénileg, a konkrét esetre vonatkozóan a hivatal bírálja el.
(3) Ha a személyes adatok feldolgozásával nem jön létre az érintett személyek jogai és szabadságai megsértésének veszélye, a hivatal regisztrálja az informatikai rendszert, és nyilvántartási számot rendel hozzá. Az egyéni regisztrációról a hivatal igazolást ad ki, amely tartalmazza
a) a hivatal azonosító adatait,
b) az adatkezelő azonosító adatait; akadémiai cím, családi és utónév, állandó lakcím, ha az adatkezelő természetes személy,
c) az informatikai rendszer megnevezését,
d) a hozzárendelt nyilvántartási számot,
e) a hivatal alkalmazottjának akadémiai címét, családi és utónevét, tisztségét és aláírását,
f) a regisztráció dátumát és
g) a hivatal hivatalos bélyegzőjének lenyomatát.
(4) A különleges regisztrációról szóló igazolás mintáját a hivatal a honlapján teszi közzé.
(5) Az adatkezelő a különleges regisztrációra bejelentett informatikai rendszerében akkor jogosult megkezdeni a személyes adatok kezelését, miután kézbesítették neki a különleges regisztrációról szóló igazolást.
(6) Ha a hivatal a személyes adatok feldolgozására szolgáló különleges regisztrációra bejelentett informatikai rendszert kockázatosnak ítéli meg, úgy dönt, hogy nem ítéli meg az adatkezelőnek a különleges regisztrációt a személyes adatok az adott célra történő kezelésére. Az adatkezelő köteles haladéktalanul végrehajtani az intézkedéseket, hogy a személyes adatok kezelése ne valósuljon meg.
(7) Ha a benyújtott adatok elbírálása során a hivatal megállapítja, hogy a bejelentés alatt álló informatikai rendszer nem esik a különleges regisztráció kötelességének hatálya alá, a különleges regisztrációs eljárást leállítja, és haladéktalanul értesíti erről az adatkezelőt.
(8) A különleges regisztrációról nem adnak ki írásbeli határozatot; a különleges regisztráció ellen nincs jogorvoslati lehetőség.
(9) Ha bebizonyosodik, hogy az adatkezelő a törvénnyel vagy a jó erkölccsel ellentétesen dolgoz fel személyes adatokat, a hivatal határozatában megszünteti az informatikai rendszer különleges regisztrációját, és dönt a személyes adatok feldolgozásának befejezéséről.

40. §
A változások bejelentése és a különleges regisztráció lejelentése
(1) Az adatkezelő 15 napon belül köteles írásban értesíteni a hivatalt a bejelentett adatok vagy a különleges regisztrációra bejelentett adatok bármilyen változásáról, amely a feldolgozás során bekövetkezik; a változások bejelentésének kötelezettsége nem vonatkozik a jogosult személyek létszámára a 35. § 1. bek. d) pontja szerint. A változások bejelentésére szolgáló kérvény mintáját a hivatal a honlapján teszi közzé.
(2) Az adatkezelő köteles a személyes adatok kezelésének befejezése után 15 napon belül írásban bejelenteni az informatikai rendszer 35. § 1. bek. szerinti használatának befejezését és írásban lejelenteni az informatikai rendszer regisztrációját vagy különleges regisztrációját. Az első mondat szerinti írásos bejelentés során az adatkezelő köteles megadni elsősorban az azonosító adatait, a lejelentendő informatikai rendszer megnevezését, az azonosító vagy regisztrációs számot és a személyes adatok feldolgozása befejezésnek időpontját. Az első mondat szerinti írásos bejelentés mintáját a hivatal a honlapján teszi közzé.
(3) A bejelentett adatok 1. bekezdés szerinti változását és az informatikai rendszer használata 2. bekezdés szerinti befejezésének bejelentését elektronikus nyomtatvány segítségével is el lehet végezni.

41. §
A különleges regisztráció illetéke
A különleges regisztráció és a különleges regisztráció módosítása külön jogszabályi előírás szerint illetékköteles.35)

42. §
A bejelentés és a különleges regisztráció hozzáférhetővé és közzététele
(1) A bejelentés adatait a 35. § 1. bek. szerinti terjedelemben és a különleges regisztráció adatait a 38. § 1. bek. szerinti terjedelemben a hivatal köteles bárki számára ingyenesen hozzáférhetővé tenni, aki ezt kérelmezi.
(2) A hivatal honlapján keresztül teszi közzé a bejelentések és különleges regisztrációk jegyzékét, a következő terjedelemben:
a) az informatikai rendszer adatkezelőjének megnevezése és azonosító száma; ha az adatkezelő természetes személy, annak akadémiai címe, családi és utóneve és
b) az informatikai rendszer azonosító vagy regisztrációs száma.

A nyilvántartás

43. §
A nyilvántartás feltételei
(1) Azokról az informatikai rendszerekről, amelyek nem esnek a bejelentési kötelezettség vagy a különleges regisztráció kötelezettségének hatálya alá, az adatkezelő nyilvántartást köteles vezetni, éspedig legkésőbb az ezen informatikai rendszerekben történő adatfeldolgozás megkezdésének napjától kezdve. A nyilvántartás a 35. § 1. bek. szerinti terjedelemben tartalmazza az adatokat. A nyilvántartás mintáját a hivatal a honlapján teszi közzé.
(2) Az adatkezelő köteles az 1. bekezdés szerinti nyilvántartást vezetni és aktualizálni, egészen a személyes adatok az informatikai rendszerben történő feldolgozása befejezésnek napjáig; az aktualizálás kötelezettsége nem vonatkozik a jogosult személyek számára a 35. § 1. bek. d) pontja szerint.

44. §
A nyilvántartás hozzáférhetővé tétele
A 43. § 1. bek. szerint nyilvántartás adatait az adatkezelő köteles bárki számára ingyenesen hozzáférhetővé tenni, aki ezt kéri.


HARMADIK RÉSZ
A hivatal

Első fejezet
A hivatal jogállása, hatásköre és szervezeti felépítése

45. §
A hivatal jogállása
(1) A hivatal az államigazgatás országos hatáskörű szerve (hatósága), amely ellátja a személyes adatok védelme feletti felügyeletet és részt vállal a természetes személyek alapvető jogainak és szabadságainak védelmében személyes adataik kezelése során.
(2) A hivatal székhelye Pozsony.
(3) A hivatal hatáskörének ellátása közben függetlenül jár el, és az alkotmányhoz,, az alkotmányos törvényekhez, a törvényekhez, a többi általánosan kötelező érvényű jogszabályhoz és a Szlovák Köztársaságot kötelező nemzetközi szerződésekhez igazodik.
(4) A hivatal költségvetési szervezet.36) A költségvetési javaslatát a hivatal az általános igazgatási (államkincstári) fejezet részeként nyújtja be. A hivatal elfogadott költségvetését a naptári év folyamán csak a Szlovák Köztársaság Nemzeti Tanácsa csökkentheti.
(5) A hivatal szervezeti felépítésének részleteit a szervezeti szabályzat rendezi.

46. §
A hivatal hatásköre
(1) A hivatal a személyes adatok védelme feletti felügyelet során a következő feladatokat látja el:
a) felügyeli a törvényben meghatározott, a személyes adatok kezelésére vonatkozó kötelezettségek betartását,
b) folyamatosan figyeli a személyes adatok védelmének állapotát, az informatikai rendszerek bejelentési kötelezettségének teljesítését és különleges regisztrációját, valamint az informatikai rendszerek nyilvántartásának vezetését,
c) fogadja a törvényben meghatározott, a személyes adatok feldolgozására vonatkozó kötelezettségek megsértésének gyanújára vonatkozó beadványokat és kezdeményezéseket, vagy saját kezdeményezésre jár el,
d) elvégzi a személyes adatok kezelésének ellenőrzését az informatikai rendszerekben,
e) a jelen törvényben előírt kötelezettségek megsértésének gyanúja esetén beidézheti az adatkezelőt vagy a közvetítőt,
f) határozatban intézkedéseket foganatosít a megállapított hiányosságok kiküszöbölésére,
g) szankciókat hoz a jelen törvényben meghatározott kötelezettségek megsértésének megállapítása esetén,
h) intézkedéseket javasol az adatkezelőknek a személyes adatok védelmének biztosítására az informatikai rendszerekben; ebből a célból, hatáskörén belül, ajánlásokat ad ki az adatkezelőknek,
i) lehetővé teszi a bejelentési kötelezettség teljesítését és elvégzi az informatikai rendszerek különleges regisztrációját, továbbá bebiztosítja az állapotuk közzétételét,
j) vezeti a felelős személyek nyilvántartását,
k) konzultációkat biztosít a személyes adatok védelmének területén,
l) a saját hatáskörén belül kötelező érvényű álláspontokat bocsát ki,
m) módszertani útmutatást nyújt az adatkezelőknek és közvetítőknek a személyes adatok kezelése kapcsán,
n) vizsgáztatja a felelős személyeket, és kiadja az igazolásokat a vizsgák sikeres letételéről,
o) jóváhagyja a megfelelő szintű védelmet nem biztosító harmadik országokba történő személyes adattovábbítást,
p) a személyes adatok megfelelő szintű védelmet nem biztosító harmadik országokba történő átvite-lének céljaira jóváhagyja az adatkezelő kötelező érvényű vállalaton belüli szabályait,
q) részt vesz a személyes adatok védelmének területére vonatkozó általánosan kötelező érvényű jogszabályok előkészítésében,
r) véleményezi a törvényjavaslatokat és a többi általánosan kötelező érvényű jogszabályi javaslatot, amely a személyes adatok kezelését szabályozza,
s) saját hatáskörén belül általános érvényű jogszabályi előírásokat ad ki,
t) kétévente legalább egy alkalommal benyújtja jelentését a Szlovák Köztársaság Nemzeti Tanácsának a személyes adatok védelmének állapotáról; a személyes adatok védelmének állapotáról szóló jelentést a hivatal a honlapján közzéteszi,
u) közzéteszi a honlapján a jogosult személyek 21. § szerinti tájékoztatásának mintáit.
(2) Az 1. bekezdés szerinti feladatokon kívül a hivatal
a) teljesíti az Európai Bizottsággal szembeni jelentéstételi kötelezettségét a személyes adatok védelmének területén,
b) intézkedéseket fogad el az Európai Bizottság határozatainak végrehajtására, melyeket a személyes adatok védelmére vonatkozóan adtak ki, és
c) együttműködik a személyes adatok védelme feletti felügyelet gyakorlása során a hasonló külföldi felügyeleti szervekkel (hatóságokkal).
(3) Ha a hivatal arra utaló tényeket állapít meg, hogy a törvény, más általánosan kötelező érvényű jogszabály vagy az adatkezelő által kiadott belső előírás megsérti a természetes személyek alapvető jogait és szabadságait személyes adataik kezelése során, a hivatal elöljárója kezdeményezheti annak módosítását, vagy azon szerv megszüntetését, amely ezt az előírást elfogadta.
(4) A személyes adatok védelme feletti felügyelet tárgyát nem képezik az adatkezelők vagy közvetítők és az érintett személyek, vagy más természetes személyek, vagy jogi személyek közötti szerződéses vagy szerződéskötési szándéknyilatkozati viszonyokból eredő vitás kérdések, melyek megtárgyalásában és eldöntésében a bíróságok vagy más szervek illetékesek, külön törvények szerint.
(5) Ha a személyes adatokat hírszerző szolgálatok és a Nemzetbiztonsági Hivatal kezelik, a személyes adatok védelme feletti felügyeletet a Szlovák Köztársaság Nemzeti Tanácsa látja el, külön törvényi előírás szerint.37)

A hivatal szervezeti felépítése

47. §
A hivatal elnöke
(1) A hivatal élén az elnök áll, akit a Szlovák Köztársaság Nemzeti Tanácsa választ meg és hív vissza, a Szlovák Köztársaság kormányának javaslatára.
(2) A hivatal elnökének megbízatási időszaka öt év, és legfeljebb két, egymást követő megbízatási időszakra választható meg. A hivatal elnöke a megbízatási időszaka után is betölti tisztségét, amíg a Szlovák Köztársaság Nemzeti Tanácsa nem választ új elnököt.
(3) A hivatal elnökének a Szlovák Köztársaság azon állampolgára választható meg, aki választható a Szlovák Köztársaság Nemzeti Tanácsába, jogi cselekvőképessége képessége nem korlátozott, mesterfokú főiskolai végzettséggel rendelkezik, és a 23. § 8. bek. első és második mondata szerint feddhetetlen.
(4) A hivatal elnökét titoktartási kötelezettség köti azokkal a tényekkel kapcsolatban, melyek tisztségének betöltése során jutottak tudomására, s ez tisztségének betöltése végével is érvényben marad. A titoktartási kötelezettség alól konkrét esetre vonatkozóan a Szlovák Köztársaság Nemzeti Tanácsa adhat felmentést.
(5) A hivatal elnöke tevékenységéért a Szlovák Köztársaság Nemzeti Tanácsának felel.
(6) A hivatal elnöke tisztsége beöltésének ideje alatt szolgálati hivatalvezetői szerepben van a külön törvényi rendelkezés szerint.38)
(7) A megbízatási időszak lejárta előtt a hivatal elnökének tisztsége megszűnik
a) a tisztségről történő lemondással,
b) a Szlovák Köztársaság Nemzeti Tanácsába történő választhatóság elvesztésével,
c) az ítélet jogerőre emelkedésével, mellyel szándékos bűncselekmény miatt elítélték, vagy amellyel bűncselekmény miatt elítélték és a büntetés letöltését feltételesen nem függesztették fel,
d) olyan tevékenység végzésével, amely külön előírás szerint összeegyeztethetetlen a tisztség betöltésével,39) vagy
e) elhalálozással.
(8) A hivatal elnöke tisztségéből visszahívható, ha
a) az egészségi állapota hosszantartóan, de legkevesebb egy évig nem teszi lehetővé a tisztségéből eredő kötelességeinek rendes ellátását,
b) megsértette olyan tényekre vonatkozó titoktartási kötelezettségét, melyek tisztségének betöltésével kapcsolatban jutottak tudomására.
(9) A hivatal elnökének bérét és további járandóságait külön jogszabály38) szerint a Szlovák Köztársaság kormánya határozza meg.

48. §
A hivatal alelnöke
(1) A hivatal elnökét a hivatal alelnöke helyettesíti, akit a hivatal elnökének javaslatára a Szlovák Köztársaság kormánya nevez ki és hív vissza.
(2) A hivatal alelnökének megbízatási időszaka öt év, és legfeljebb két, egymást követő megbízatási időszakra nevezhető ki. A hivatal alelnöke a megbízatási időszaka után is betölti tisztségét, amíg a Szlovák Köztársaság kormánya nem nevez ki új alelnököt.
(3) A hivatal alelnökéi tisztségének betöltésére is vonatkoznak a 47. § 3., 7. és 8. bek. rendelkezései.

49. §
A hivatal főellenőre
(1) Az ellenőrök élén a hivatal főellenőre áll, akit a hivatal elnökének javaslatára a Szlovák Köztársaság kormánya nevez ki és hív vissza. 
(2) Főellenőrnek az az állampolgár nevezhető ki,40) akinek jogi cselekvőképessége nem korlátozott, feddhetetlen, mesterszintű főiskolai végzettséggel rendelkezik és legalább ötéves szakmai gyakorlattal az informatika vagy a jog területén, valamint betöltötte 35. életévét.
(3) A főellenőr megbízatási időszaka öt év, és legfeljebb két, egymást követő megbízatási időszakra nevezhető ki. A főellenőr a megbízatási időszaka után is betölti tisztségét, amíg a Szlovák Köztársaság kormánya nem nevezi ki az új főellenőrt.
(4) A főellenőr tisztségéből visszahívható, ha
a) az egészségi állapota hosszantartóan, de legkevesebb hat hónapig nem teszi lehetővé a tisztségéből eredő kötelességeinek rendes ellátását,
b) megsértette olyan tényekre vonatkozó titoktartási kötelezettségét, melyek tisztségének betöltésével kapcsolatban jutottak tudomására,
c) ismételten nem teljesíti a 46. § 1. bek., d), f) és g) pontjaiban maghatározott kötelezettségeit, vagy megsérti a szolgálati fegyelmet, és ha a legutolsó hat hónap során a hivatal elnöke a hivatal főellenő¬rét ismételten írásban felszólította a hiányosságok kiküszöbölésére és a hivatal főellenőre ezeket méltányos határidőn belül nem orvosolta.
(5) A hivatal főellenőrét tisztségéből visszahívják, ha súlyosan elhanyagolta a jelen törvényben előírt kötelességeit, ha nem igazolja, hogy a hibát nem ő okozta, vagy nem akadályozhatta meg, vagy a szolgálati fegyelem súlyos megsértése miatt.
(6) A megbízatási időszak lejárta előtt a főellenőr tisztsége megszűnik
a) a tisztségről történő lemondással,
b) az ítélet jogerőre emelkedésével, mellyel szándékos bűncselekmény miatt elítélték, vagy amellyel bűncselekmény miatt elítélték és a büntetés letöltését feltételesen nem függesztették fel,
c) olyan tevékenység végzésével, amely összeegyeztethetetlen a tisztség betöltésével, vagy
d) elhalálozással.

50. §
A hivatal ellenőre
(1) A hivatal ellenőrét a hivatal elnöke nevezi ki és hívja vissza, azok közül az közalkalmazottak közül,38) akik a hivatalban közszolgálatot látnak el.
(2) Ellenőrnek az az állampolgár nevezhető ki,40) aki mesterszintű főiskolai végzettséggel és legalább hároméves szakmai gyakorlattal rendelkezik az informatika vagy a jog területén, valamint betöltötte 30. élet¬é¬vét.
(3) A hivatal ellenőre visszahívható38) a közalkalmazotti viszony megváltozása esetén, és ha az egészségi állapota hosszantartóan, de legkevesebb hat hónapig nem teszi lehetővé a közalkalmazotti munkaköri leírásából következő kötelességeinek rendes ellátását. 

51. §
A hivatal alelnöke, a főellenőr, a hivatal ellenőre és a hivatal alkalmazottja kötelesek megtartani titoktartási kötelezettségüket azokról a tényekről, melyekről a jelen törvény szerinti feladataik ellátása közben szereztek tudomást, a tisztségük betöltésének befejezése, közalkalmazotti jogviszonyuk vagy alkalmazotti jogviszonyuk megszűnése után is. A hivatal alelnökét, a főellenőrt, az ellenőrt és a hivatal alkalmazottját titoktartási kötelezettsége alól a konkrét esetben a hivatal elnöke mentheti fel.

Második fejezet
Az ellenőrzés

52. §
Az ellenőrzés megkezdése
(1) A személyes adatok kezelésének ellenőrzését a jelen törvény szerint a hivatal főellenőre, a hivatal ellenőrei és a hivatal alkalmazottai végzik, akik az ellenőrző szerv tagjai (a továbbiakban csak „ellenőrző szerv“).
(2) Az ellenőrző szerv az ellenőrzést mint rendes ellen-őrzést, az éves ellenőrzési terv alapján, vagy mint soron kívüli ellenőrzést, a személyes adatok kezelése során, a törvényileg előírt kötelezettségek megsértésének gyanúja alapján, vagy a személyes adatok védelméről szóló eljárás keretében végzi el.
(3) A hivatal főellenőre az ellenőrzést a hivatal elnökének írásbeli megbízása alapján végzi el. A hivatal ellen¬őre az ellenőrzést a hivatal főellenőrének írásbeli megbízása alapján végzi el. A hivatal alkalmazottja a hivatal elnökének vagy főellenőrének írásbeli megbízása alapján vesz részt az ellenőrzésen. Az ellenőrzés elvégzésére szóló megbízás tartalmazza 
a) a hivatal azonosító adatait,
b) az ellenőrzött személy azonosító adatait,
c) az ellenőrző szerv akadémiai címét, családi és utónevét,
d) az ellenőrzés dátumát, helyét és idejét,
e) az ellenőrzés tárgyát,
f) a hivatalos bélyegző lenyomatát és a hivatal elnökének vagy főellenőrének aláírását, az első-harmadik mondatok szerint.
(4) Az ellenőrzés elvégzésére szóló megbízás mintáját a hivatal a honlapján teszi közzé.
(5) Az ellenőrzés, az ellenőrzésről szóló értesítés, az adatkezelőnek vagy a közvetítőnek történő kézbesítés napján veszi kezdetét (a továbbiakban csak „ellenőrzött személy“).

53. §
Az ellenőrzés elvégzése során az ellenőrző szerv köteles úgy eljárni, hogy az ellenőrzött személy jogai és jogos érdekei ne sérüljenek.

54. §
Elfogultság az ellenőrzés során
(1) Az az ellenőrző szerv, amelynek tudomására jutottak olyan tények, melyek megkérdőjelezhetik elfogulatlanságát, haladéktalanul köteles ezeket a tényeket írásban jelenteni a hivatalnak.
(2) Ha az ellenőrzött személy szerint kétséges az ellen-őrző szerv elfogulatlansága, tekintettel az ellenőrzés tárgyával vagy az ellenőrzött személlyel való kapcsolatára, az ellenőrzött személy írásbeli kifogás benyújtására jogosult, melyben feltünteti az okokat is. A kifogás benyújtásának nincs halasztó hatása; az ellenőrző szerv az első mondat szerint csak olyan feladatokat végezhet el az ellenőrzés során, melyek halaszthatatlanok.
(3) Az elfogultsági kifogásokról és az elfogultság bejelentéséről a hivatal elnöke dönt a kifogás érvényesítésétől számított öt munkanapon belül, és írásban értesíti határozatáról azt, aki a kifogást emelte. A hivatal elnökének döntése ellen jogorvoslattal élni nem lehetséges.
(4) Az elfogultságról való döntésre nem vonatkozik a közigazgatási eljárásról szóló általános előírás.41)

55. §
Az ellenőrző szerv kötelességei
Az ellenőrző szerv köteles
a) előre, írásban értesíteni az ellenőrzött személyt az ellenőrzés tárgyáról és céljáról; ez nem érvényes abban az esetben, ha az ellenőrzés bejelentése az ellenőrzés megkezdése előtt az ellenőrzés céljának meghiúsításához, vagy az ellenőrzés elvégzésének jelentős megnehezítéséhez vezethetne, amikoris az ellenőrzés bejelentése az ellenőrzés megkezdésekor is megvalósítható,
b) az ellenőrzés megkezdése előtt felmutatni az ellenőrzés elvégzésére szóló megbízást, és köteles igazolni a hivatalhoz való tartozását,
c) kidolgozni az ellenőrzésről szóló jegyzőkönyvet (a továbbiakban csak „jegyzőkönyv“) vagy az ellen¬őrzésről szóló feljegyzést,
d) feljegyezni az ellenőrzésről szóló jegyzőkönyvbe és feljegyzésbe az ellenőrzés megállapításait,
e) ismertetni az ellenőrzött személlyel az ellenőrzés jegyzőkönyvezett megállapításait, és felkérni őt, hogy az ellenőrző szerv által megadott határidőn belül írásban tegyen nyilatkozatot az ellenőrzés jegyzőkönyvezett megállapításaival kapcsolatban,
f) átadni az ellenőrzött személynek az ellenőrzésről szóló jegyzőkönyv vagy feljegyzés egy példányát,
g) írásban igazolni az ellenőrzött személynek az eredeti vagy másolt iratok, írásbeli dokumentumok, adathordozó eszközök másolatainak és egyéb anyagoknak az átvételét, és köteles biztosítani azok megfelelő védelmét elkallódás, megsemmisülés, sérülés és visszaélés ellen,
h) megvizsgálni a kifogások megalapozottságát, az ellenőrzés jegyzőkönyvezett megállapításaival kapcsolatban, és figyelembe venni a kifogások megalapozottságát a jegyzőkönyv függelékében, és köteles ezt megismertetni az ellenőrzött személlyel,
i) megvitatni az ellenőrzés eredményéről szóló jegyzőkönyvet az ellenőrzött személlyel, és jegyzőkönyvet készíteni a megbeszélésről,
j) tájékoztatni az elvégzett ellenőrzés lefolyásáról és eredményéről a hivatal elnökét és a főellenőrt is, ha nem a főellenőr végzi az ellenőrzést.

56. §
Az ellenőrző szerv jogosultságai
Az ellenőrző szerv jogosult 
a) belépni az adatkezelő és a közvetítő telkeire, épületeibe vagy üzemegységeinek és létesítményeinek helyiségeibe,
b) az ellenőrzött személy vagy az ellenőrzött személy nevében eljáró természetes személyek személyazonosságának ellenőrzésére,
c) az ellenőrzött személytől kérni, hogy a megadott határidőn belül az ellenőrző szerv rendelkezésére bocsássa az okmányokat, más iratokat, nyilatkozatokat és információkat, az adathordozókon feldolgozott adatokat, beleértve a műszaki adathordozókat, a programok kivonatait és forráskódjait, ha rendelkezik ezekkel, és az ellenőrzés elvégzéséhez szükséges további anyagokat, eredeti példányokat vagy másolatokat, és indokolt esetekben lehetővé teszik számára, hogy másolatokat készítsen az el¬len¬őrzött személy helyiségein kívül is,
d) az ellenőrzött személytől ésszerű határidőn belül teljes és valós szóbeli és írásbeli információkat, nyilatkozatokat és magyarázatokat kérni, az ellenőrzött, és az ellenőrzéssel összefüggő tényekkel, valamint a megállapított hiányosságokkal kapcsolatban,
e) belépni az informatikai rendszerekbe rendszergazdai szinten, az ellenőrzés elvégzéséhez szükséges mértékben,
f) kérni az ellenőrzött személy együttműködését.

57. §
Az ellenőrzött személy kötelességei
Ellenőrzött személy köteles
a) az ellenőrző szerv számára megfelelő körülményeket kialakítani az ellenőrzés elvégzéséhez és az ellenőrzés megállapításainak feldolgozásához,
b) együttműködni az ellenőrző szervvel az 56. § szerinti jogosultságaival összhangban, és köteles tartózkodni olyan eljárástól, amely meghiúsíthatná az ellenőrzés megvalósítását,
c) megjelenni magyarázatadás céljából a hivatal idézésére a meghatározott időben, a meghatározott helyen,
d) megismerkedni a jegyzőkönyv tartalmával, és az ellenőrző szerv kérésére megjelenni annak megtárgyalásán.

58. §
Az ellenőrzött személy jogosultságai
Ellenőrzött személy jogosult 
a) megismerkedni az ellenőrzés megállapításaival, és írásban állást foglalni azokkal kapcsolatban, 
b) az ellenőrzés megállapításaival történt megismerkedés után írásbeli kifogásokkal élni,
c) az ellenőrző szervtől kérni az 55. § b) pontja szerinti tények igazolását,
d) ellenőrizni a meghívott személy személyazonosságát, és megkövetelni a meghívott személytől annak igazolását, hogy jogosult az ellenőrzésen való részvételre,
e) az ellenőrző szervtől igazolást kérni az átvett eredeti vagy másolt dokumentumokról, az 56. § c) pontja,
f) megkövetelni, hogy az ellenőrzés elvégzése során ne sérüljenek jogai vagy jogos érdekei; ez nem érinti az 56. és 57. § rendelkezéseit.

59. §
A meghívott személy
(1) Ha azt az ellenőrzés különleges jellege indokolja, az ellenőrző szerv (hatóság) az ellenőrzés végrehajtására más természetes személyeket is meghívhat. E természetes személyek jelenléte az ellenőrzésen egyéb közérdekű tevékenységnek tekintendő.
(2) A meghívott személy mint az ellenőrző szerv tagja, a hivatal elnökétől vagy főellenőrétől kapott írásbeli megbízás alapján vesz részt az ellenőrzésen; az ellenőrző szerv az 55. § a) pontja szerint tudtára adja az ellen¬őrzött személynek a természetes személy meghívását.
(3) A meghívott személyt titoktartás kötelezi mindazon tényekkel kapcsolatosan, melyek az ellenőrzés során jutnak tudomására, és ez annak befejezése után is érvényben marad. A meghívott személyt titoktartási kötelezettsége alól csak a hivatal elnöke mentheti fel.
(4) A meghívott személy nem végezheti el feladatait a jelen törvény szerint, ha tekintettel az ellenőrzés tárgyához való viszonyára, elfogulatlanságát illetően kétségek merülhetnek fel. Az a meghívott személy, akinek tudomása van olyan tényekről, melyek alátámaszthatják elfogulatlanságának megkérdőjelezését, haladéktalanul jelenti ezeket a tényeket a hivatalnak.
(5) Az ellenőrzött személy írásban benyújthatja igazolható kifogásait a meghívott személlyel kapcsolatban. A meghívott személy az elfogulatlansági kifogásról szóló határozat megszületéséig az ellenőrzés során csak halaszthatatlan feladatokat láthat el.
(6) Az elfogulatlansági kifogásokról és az elfogultság jelentéséről a hivatal elnöke dönt, az érvényesítéstől számított három munkanapon belül. A hivatal elnökének döntése ellen jogorvoslati lehetőség nincs.
(7) Az elfogultságról való döntésre nem vonatkozik a közigazgatási eljárásról szóló általános előírás.41)

60. §
Az ellenőrzés befejezése
(1) Az ellenőrzés eredménye az ellenőrzésről szóló jegyzőkönyv vagy feljegyzés.
(2) Ha az ellenőrzés során hiányosságokat állapítottak meg, az ellenőrző szerv jegyzőkönyvet dolgoz ki, amely tartalmazza
a) a hivatal azonosító adatait,
b) az ellenőrzött személy azonosító adatait,
c) az ellenőrzés dátumát, helyét és idejét,
d) az ellenőrzés tárgyát,
e) az ellenőrzés igazolható megállapításait,
f) az ellenőrzött személy nyilatkozatát az ellenőrzés megállapításaival kapcsolatban,
g) az ellenőrzést lefolytató ellenőrző szerv akadémiai címét, családi és utónevét és tisztségét vagy munkahelyi beosztását,
h) a jegyzőkönyv kidolgozásának dátumát,
i) a hivatalos bélyegző lenyomatát, az ellenőrző szerv és az ellenőrzött személy részéről a jegyzőkönyv tartalmát ismerő felelős alkalmazottak sajátkezű aláírásait, valamint a meghívott személy aláírását, ha az ellenőrző szerv az ellenőrzés lefolytatásához természetes személyt hívott meg az 59. § szerint,
j) a jegyzőkönyvvel történő megismerkedés dátumát; ha az ellenőrzött személy elutasítja a jegyzőkönyv tartalmának megismerését, az ellenőrzés konkrét megállapításaival kapcsolatos nyilatkozattételt, vagy a jegyzőkönyv aláírását, ezt a tényt a jegyzőkönyvben fel kell tüntetni, és
k) az ellenőrzött személy írásbeli igazolását a jegyzőkönyv átvételéről.
(3) A 2. bekezdés szerinti jegyzőkönyv tartalmazhat mellékleteket; a mellékletek a jegyzőkönyv elválaszthatatlan részét képezik.
(4) Az ellenőrzött személy az ellenőrzés jegyzőkönyvben szereplő megállapításaival történt megismerkedés után írásbeli kifogással élhet a jegyzőkönyv aláírásától számított hét napon belül; a jegyzőkönyv 2. bekezdés j) pontja szerinti aláírása visszautasításának napja a pontosvesszőt követő mondat értelmében a jegyzőkönyv aláírása napjának tekintendő. A később beadott kifogásokat az ellenőrző szerv nem veszi figyelembe.
(5) Ha az ellenőrzés megállapításai ellen kifogással éltek a 4. bekezdés szerint, vagy olyan új tények derültek ki, amelyek a jegyzőkönyv tartalmával történő megismerkedés idején nem voltak ismertek, az ellenőrző szerv a kifogások kézbesítésétől számított 15 napon belül elbírálja azok megalapozottságát és függeléket dolgoz ki róluk, amely a jegyzőkönyv elválaszthatatlan részét képezi. Ha az ellenőrző szerv nem fogadja el az ellenőrzött személy kifogásait, köteles azt a függelékben megindokolni. Ennek kidolgozása során a 2. bekezdéssel összhangban kell eljárni.
(6) Az ellenőrző szerv, a kifogások kézbesítését követő 15 napon belül, írásban értesíti az ellenőrzött személyt kifogásainak átvizsgálásának eredményéről.
(7) Ha az ellenőrzés során nem állapítják meg a törvényből eredő kötelezettségek megsértését, az ellenőrző szerv az ellenőrzésről feljegyzést dolgoz ki. Ennek kidolgozása során a 2. bekezdéssel összhangban kell eljárni.
(8) Az ellenőrzés a jegyzőkönyv megvitatásáról készült jegyzőkönyv vagy a 7. bekezdés szerinti, az ellenőrzésről szóló feljegyzés aláírásának napjával ér véget. Ha az ellenőrzött személy elutasítja a jegyzőkönyv megvitatásáról készült jegyzőkönyv aláírását, az ellenőrzés az aláírás elutasításának napjával befejezettnek tekintendő, amiről az ellenőrző szerv a jegyzőkönyvben feljegyzést készít.

61. §
(1) A jelen törvény szerinti jegyzőkönyv és az ellenőrzés elvégzésével kapcsolatos dokumentációban szereplő információk nem tehetők hozzáférhetővé külön törvény szerint.42)
(2) Az ellenőrzés elvégzésére nem vonatkozik az államigazgatási ellenőrzésről szóló külön törvény.43)
(3) Az okmányok kézbesítésére az ellenőrzés elvégzése során a közigazgatási eljárásról szóló általános előírás43a) vonatkozik.

Harmadik fejezet
A személyes adatok védelméről szóló eljárás

62. §
(1) A személyes adatok védelméről szóló eljárás célja (a továbbiakban csak „eljárás“) annak megállapítása, hogy az adatkezelő vagy a közvetítő eljárásával nem került-e sor a természetes személyek jogainak megsértésére személyes adataik feldolgozása során, és hiányosságok megállapítása esetén rendelkezések foganatosítása ennek orvoslására, esetleg a törvény megsértéséért járó szankciók kiszabása.
(2) Az eljárás nem nyilvános; ezzel nincs érintve a 71. § rendelkezése.

63. §
Az eljárás megkezdése
(1) Az eljárás az érintett személy vagy olyan személy javaslatára veszi kezdetét, aki azt állítja, hogy közvetlenül sérültek a jelen törvényben meghatározott jogai (a továbbiakban csak „javaslattevő“), vagy javaslattétel nélkül.
(2) Az 1. bekezdés szerinti eljárás megkezdéséről szóló javaslatnak tartalmaznia kell
a) javaslattevő családi és utónevét, állandó lakhe-lyé¬nek címét és aláírását,
b) annak megjelölését, aki ellen a javaslat irányul; megnevezését vagy családi és utónevét, székhelyé-nek vagy állandó lakhelyének címét, esetleg jogi formáját és az azonosító számát,
c) a javaslat tárgyát annak megjelölésével, hogy a javaslattevő állítása szerint, személyes adatainak kezelése során mely jogait sértették meg,
d) a javaslatban szereplő állításokat alátámasztó bizonyítékokat,
e) a 28. § szerinti jogérvényesítést igazoló dokumentum másolatát, ha ilyen jogot érvényesíthettek, vagy a különleges figyelmet érdemlő okok felsorolását.
(3) A hivatal az 1. bekezdés szerinti eljárás megkezdéséről szóló javaslatot felfüggesztheti, ha
a) a javaslat nyilvánvalóan megalapozatlan,
b) az üggyel, melyre a javaslat vonatkozik, a bűnüldöző szervek foglalkoznak,
c) a javaslattevő a hivatal felszólítására nem működött kellőképpen együtt a hivatallal, miközben az ő aktív részvétele nélkül nem lehetséges megoldani az ügyet; a javaslattevőt javaslata felfüggesztésének lehetőségéről tájékoztatni kell,
d) az eseménytől, melyre a javaslat vonatkozik, a javaslat kézbesítésének napján több mint három év telt el.
(4) Indokolt esetekben, amikor az érintett személy jogainak és jogos érdekeinek sérelmére kerülhetne sor, a hivatal a javaslattevő kérésére eltitkolhatja annak személyazonosságát.
(5) Ha az eljárás megkezdéséről szóló javaslatot nem a javaslattevő kézbesíti a hivatalnak, hanem valaki más, a javaslat eljáráskezdési kezdeményezésének minősül, javaslat nélkül (a továbbiakban csak „kezdeményezés“).
(6) A hivatal az 5. bekezdés szerinti kezdeményezést felfüggesztheti, ha
a) a kezdeményezés nyilvánvalóan megalapozatlan,
b) az üggyel, melyre a kezdeményezés vonatkozik, a bűnüldöző szervek foglalkoznak,
c) az eseménytől, melyre a kezdeményezés vonatkozik, a kezdeményezés kézbesítésének napján több mint három év telt el.
(7) Ha a hivatal a kezdeményezést nem függeszti fel a 6. bekezdés szerint, saját kezdeményezésből indítja meg az eljárást. A hivatal a 60. § 2. bek. szerinti ellen-őrzés eredményei alapján is saját kezdeményezésből indít eljárást, ha annak során hiányosságokat állapított meg.
(8) A kezdeményezést benyújtó természetes személy vagy jogi személy nem részese az eljárásnak. Az első mondat szerinti kezdeményezés intézésének módjáról a hivatal haladéktalanul tájékoztatja őt.

64. §
A határidők
(1) A hivatal a javaslattevő javaslatáról az eljárás megkezdésétől számított 60 napon belül döntést hoz. Indokolt esetekben a hivatal ezt a határidőt arányos mértékben, de legfeljebb hat hónappal meghosszabbítja. A határidő meghosszabbításáról a hivatal írásban tájékoztatja az eljárás résztvevőit.
(2) A hivatal a természetes személy vagy jogi személy 63. § 5. bek. szerinti kezdeményezését a kézbesítéstől számított 15 napon belül bírálja el. Ha a hivatal nem a 63. § 6. bek. szerint jár el, megkezdi az eljárást, és az ügyben az első bekezdés első mondatában szereplő határidőn belül hozza meg határozatát.
(3) Ha a javaslattevő javaslata alapján, vagy a 63. § 7. bek. szerinti saját kezdeményezés alapján megkezdett eljárás során szükséges ellenőrzést tartani, a javaslat intézésnek 1. bekezdés szerinti határideje fel van függesztve az ellenőrzés megkezdésének napjától az ellen¬őrzés befejezésének napjáig. Az ellenőrzés eredménye jelenti az ügy eldöntésének alapját.

65. §
A határozat
(1) Ha a hivatal megállapítja a javaslattevő jogainak megsértését, vagy a javaslattétel nélküli eljárás során a természetes személy jogainak megsértését, vagy a személyes adatok kezelése a törvény által meghatározott kötelességek megszegését, határozatban kötelezi az adatkezelőt vagy a közvetítőt, hogy a megadott határidőn belül intézkedéseket hajtson végre a megállapított hiányosságok és létrejöttük okainak kiküszöbölésére; egyéb esetben a személyes adatok védelméről szóló eljárást leállítja.
(2) Az 1. bekezdés szerinti intézkedéseken kívül a hivatal jogosult további intézkedések végrehajtására kötelezni az adatkezelőt vagy a közvetítőt, amelyekkel
a) megtiltja azoknak a személyes adatoknak a kezelését, amelyek kezelése ellentétes a jelen törvény rendelkezéseivel,
b) megtiltja azt az adatkezelést, amely ellentétes a jelen törvény rendelkezéseivel,
c) elrendeli a személyes adatoknak, megadott határidőn belüli eltávolítását vagy megsemmisítését, ha azokat jogtalanul kezelik vagy kezelték,
d) olyan műszaki, szervezési és személyzeti intézkedések foganatosítását írja elő, melyek megfelelnek a feldolgozás módjának,
e) a dokumentáció vagy a biztonsági projekt kidolgozásának vagy kiegészítésének biztosítására kötelezi a jelen törvénnyel összhangban,
f) a megadott határidőn belül a közvetítő megváltoztatására kötelezi az adatkezelőt, ha az adatkezelő közvetítő igénybevételével hajtja végre a személyes adatok feldolgozását.
(3) Ha az érintett személy jogainak megsértése vagy a kötelességek elhanyagolása a személyes adatok kezelése során nem tűr halasztást, a hivatal előzetes intézkedést ad ki.
(4) Az adatkezelő vagy a közvetítő köteles tájékoztatni a hivatalt, a hivatal által megadott határidőn belül, a kiszabott intézkedések teljesítéséről.

66. §
A határozatot a 65. § szerint megtámadó jogorvoslati kérelemről a hivatal elnöke dönt.

Negyedik fejezet
Szankciók és a törvény megsértésének közzététele

67. §
A jelen törvény megsértéséért a következő szankciókat szabják ki:
a) bírság és
b) eljárási bírság.

68. §
A bírság
(1) A hivatal 300 eurótól 3 000 euróig terjedő bírsággal sújthatja azt az adatkezelőt, amelyik
a) nem biztosította a személyes adatok valósságát és aktualizálását a 16. § 2. bek. szerint,
b) nem értesítette a hiányosságokról a harmadik feleket a 18. § 1. bek. szerint, vagy az ellenőrzés során nem tudja felmutatni a hivatalnak, a 18. § szerinti értesítés mellőzése indokolt volt, vagy harmadik félként az értesítés után nem intézkedett a 18. § 2. bek. szerinti terjedelemben és módon,
c) nem teljesítette vagy megszegte a jogosult személyek 21. § 3. bek. szerinti tájékoztatásáról készítendő feljegyzés megbízható módon való igazolásának kötelezettségét,
d) nem teljesítette, vagy megszegte a felelős személy megbízásának elkészítéséről szóló, a 23. § 10. és 11. bek. szerinti kötelességét,
e) nem teljesítette, vagy megszegte a 25. § 2-4. bek. szerinti bejelentési kötelezettségét,
f) nem teljesítette, vagy megszegte a felelős személy megbízásának befejezéséről szóló, 26. § szerinti kötelezettségét,
g) nem jelentette az érintett személy jogainak korlátozását a 30. § szerint,
h) nem teljesítette, vagy megszegte a 35. § 1. bek. és a 36. § 3. bek. első mondata szerinti kötelezettségét,
i) nem teljesítette, vagy megszegte a változások bejelentésének 40. § szerinti kötelezettségét,
j) nem teljesítette, vagy megszegte kötelezettségét az informatikai rendszer nyilvántartásának vezetéséről a 43. § szerint, vagy
k) nem teljesítette, vagy megszegte kötelezettségét nyilvántartásban szereplő adatok hozzáférhetővé tételéről a 44. § szerint.
(2) A hivatal 1 000 eurótól 50 000 euróig terjedő bírsággal sújthatja azt az adatkezelőt, amelyik
a) nem teljesítette, vagy megszegte a személyes adatok feldolgozásának valamelyik kötelező alapelvét az 5-7. és 7-9. § szerint,
b) a közvetítő kiválasztása és megbízása során nem teljesítette, vagy megszegte valamelyik kötelezettségét a 8. § 2-5. és 8. bek., a pontosvessző előtti második mondata szerint,
c) a személyes adatok gyűjtése során nem teljesítette, vagy megszegte a 15. § szerinti valamelyik kötelezettségét,
d) nem teljesítette, vagy megszegte valamelyik, a személyes adatok megsemmisítésére vonatkozó, a 17. § szerinti kötelezettségét,
e) nem teljesítette, vagy megszegte valamelyik, a személyes adatok feldolgozásának biztonságára vonatkozó kötelezettségét a 19. § 1., 2., 4. és 5. bek. és a 20. § szerint,
f) nem teljesítette, vagy megszegte valamelyik, a jogosult személyek tájékoztatására vonatkozó kötelezettségét a 21. § 2. és 4. bek. szerint,
g) a személyes adatok védelme feletti felügyelet gyakorlása közben nem teljesítette, vagy megszegte valamelyik kötelezettségét a 23. § 2. és 5-9. bek. és a 25. § 1. bek. szerint,
h) az érintett személy kérvényének elintézése során nem teljesítette, vagy megszegte valamelyik kötelezettségét a 28. és 29. § szerint.
(3) A hivatal 1 000 eurótól 300 000 euróig terjedő bírsággal sújtja azt az adatkezelőt, amelyik
a) nem teljesítette, vagy megszegte a 8. § 3. bek. első mondata szerinti kötelességét, mely szerint írásbeli szerződés alapján kell megbízni a közvetítőt a személyes adatok feldolgozásával,
b) a különleges személyes adatok feldolgozása során nem teljesítette, vagy megszegte valamelyik kötelezettségét 13. és 14. § szerint,
c) nem teljesítette, vagy megszegte a biztonsági projekt kidolgozására vonatkozó kötelezettségét a 19. § 3. bek. szerint,
d) a személyes adatok harmadik országokba történő átvitelét nem a 31. § szerint végezte el, vagy nem teljesítette, vagy megszegte valamelyik feltételt a 31. § és a 32. § 2., 3. és 4. bek. szerint, vagy
e) nem teljesítette, vagy megszegte az informatikai rendszer különleges regisztrációjára vonatkozó kötelezettségét a 37., 38. § és a 39. § 5. bek. és a 6. bek. második mondata szerint.
(4) A hivatal 300 eurótól 3 000 euróig terjedő bírsággal sújthatja azt a közvetítőt, amelyik
a) nem biztosította a személyes adatok valósságát és aktualizálását a 16. § 2. bek. szerint,
b) nem értesítette a hiányosságokról a harmadik feleket a 18. § 1. bek. szerint, vagy az ellenőrzés során nem tudja felmutatni a hivatalnak, a 18. § szerinti értesítés mellőzése indokolt volt, vagy harmadik félként az értesítés után nem intézkedett a 18. § 2. bek. szerinti terjedelemben és módon,
c) nem teljesítette vagy megszegte a jogosult személyek 21. § 3. bek. szerinti tájékoztatásáról készítendő feljegyzés megbízható módon való igazolásának kötelezettségét,
d) nem teljesítette, vagy megszegte a felelős személy megbízásának elkészítéséről szóló, a 23. § 10. és 11. bek. szerinti kötelességét,
e) nem teljesítette, vagy megszegte a 25. § 2-4. bek. szerinti bejelentési kötelezettségét,
f) nem teljesítette, vagy megszegte a felelős személy megbízásának befejezéséről szóló, 26. § szerinti kötelezettségét,
g) nem jelentette az érintett személy jogainak korlátozását a 30. § szerint.
(5) A hivatal 1 000 eurótól 50 000 euróig terjedő bírsággal sújthatja azt a közvetítőt, amelyik
a) nem teljesítette, vagy megszegte a személyes adatok feldolgozásának valamelyik kötelező alapelvét az 5. § 1. bek., 6. § 2. bek. c)-i) pontja, 6. § 4. bek. szerint,
b) nem teljesítette, vagy megszegte a közvetítő valamelyik kötelezettségét a 8. § 6-8. bek. szerint,
c) a személyes adatok gyűjtése során nem teljesítette, vagy megszegte valamelyik kötelezettségét a 15. § szerint,
d) nem teljesítette, vagy megszegte valamelyik, a személyes adatok megsemmisítésére vonatkozó, a 17. § szerinti kötelezettségét,
e) nem teljesítette, vagy megszegte valamelyik, a személyes adatok feldolgozásának biztonságára vonatkozó kötelezettségét a 19. § 1., 2., 4. és 5. bek. és a 20. § szerint,
f) nem teljesítette, vagy megszegte valamelyik, a jogosult személyek tájékoztatására vonatkozó kötelezettségét a 21. § 2. és 4. bek. szerint,
g) a személyes adatok védelme feletti felügyelet gyakorlása közben nem teljesítette, vagy megszegte valamelyik kötelezettségét a 23. § 2. és 5-9. bek. és a 25. § 1. bek. szerint,
h) az érintett személy kérvényének elintézése során nem teljesítette, vagy megszegte valamelyik kötelezettségét a 28. és 29. § szerint.
(6) A hivatal 1 000 eurótól 300 000 euróig terjedő bírsággal sújtja azt a közvetítőt, amelyik
a) nem teljesítette, vagy megszegte a biztonsági projekt kidolgozására vonatkozó kötelezettségét a 19. § 3. bek. szerint, vagy
b) a személyes adatok harmadik országokba történő átvitelét nem a 31. § szerint végezte el, vagy nem teljesítette, vagy megszegte valamelyik feltételt a 31. § és a 32. , 2., 3. és 4. bek. szerint.
(7) A hivatal 150 eurótól 2 000 euróig terjedő bírsággal sújthatja azt, aki
a) a 12. , 1. bek. ellentétesen közöl személyes adatokat; ez nem vonatkozik az adatkezelőre és a közvetítőre,
b) a 16. § 1. bek. szerint valótlan személyes adatokat közöl,
c) az adatkezelő vagy a közvetítőt által, a 19. és 20. § szerint elfogadott műszaki, szervezési és személyzeti intézkedésekkel ellentétesen járt el,
d) jogosult személyként megsérti valamelyik, a 21. § szerinti tájékoztatásban előírt kötelezettségét,
e) megsérti a 22. § szerinti, a személyes adatokra vonatkozó titoktartási kötelezettségét,
f) jogosult személyként nem teljesíti a 27. § szerinti kötelezettségeit, vagy
g) a felügyelet ellátása során nem működik kellőképpen együtt a hivatallal a jelen törvény szerint.

69. §
Eljárási bírság
A hivatal
a) 1 000 euróig terjedő eljárási bírsággal sújtja az adatkezelőt vagy közvetítőt, ha az nem biztosítja az 57. § a) pontja szerinti megfelelő feltételeket az ellenőrzés elvégzéséhez,
b) 10 000 euróig terjedő eljárási bírsággal sújtja az adatkezelőt vagy közvetítőt, ha akadályozza az 57. § b) pontja szerint megkövetelt ellenőrzést,
c) 20 000 euróig terjedő eljárási bírsággal sújtja az adatkezelőt vagy közvetítőt, ha a 71. § szerint tömegtájékoztatási eszközökben közzé teendő közleményt egyáltalán nem hozta nyilvánosságra, vagy nem időben hozta nyilvánosságra, vagy nem a meghatározott formában, vagy nem a meghatározott tömegtájékoztatási eszközön keresztül hozta nyilvánosságra, vagy nem tartotta be ennek a közleménynek a meghatározott tartalmát, és ezt ismételten, egészen addig, míg a kötelezettségét nem teljesíti,
d) 30 000 euróig terjedő eljárási bírsággal sújtja az adatkezelőt vagy közvetítőt, ha nem hajtotta végre a 65. § 1. és 2. bek. szerinti határozatban előírt intézkedéseket, vagy a hivatalt nem tájékoztatta az előírt határidőn belül a 65. § 4. bek. szerint.

70. §
A bírságra és eljárási bírságra vonatkozó közös rendelkezések
(1) A bíráságot és az eljárási bírságot a hivatal újra kiszabja, ha a kötelezettség nem teljesült a meghatározott határidőn belül.
(2) A 68. § szerinti bírság attól a naptól számított két éven belül szabható ki, mikor a hivatal a kötelességszegést megállapította, de legkésőbb attól a naptól számított öt éven belül, mikor a kötelességszegésre sor került.
(3) A 69. § szerinti eljárási bírságot attól a naptól számított egy hónapon belül lehet kiszabni, mikor a kötelességszegésre sor került.
(4) A bírság és az eljárási bírság kiszabása és összegének megállapítása során a hivatal elsősorban a jogellenes eljárás súlyosságát, időtartamát és következményeit veszi figyelembe, valamint az ilyen eljárás megismétlődését, valamint a magán- és családi élet veszélyeztetésének mértékét, továbbá az érintett személyek számát.
(5) Ha ugyanazon személy a határozat jogerőre emelkedését követő két éven belül a jelen törvényt ugyanazon a módon megszegi, a hivatal bírsággal vagy eljárási bírsággal sújthatja, melynek összege a kiszabott bírság vagy eljárási bírság kétszereséig terjedhet.
(6) A bírság vagy eljárási bírság kiszabásáról szóló határozat ellen írásbeli ellenvetést lehet benyújtani a kézbesítésétől számított 15 napon belül. Az ellenvetésről a hivatal elnöke dönt a kézbesítésétől számított 60 napon belül.
(7) Indokolt esetekben a hivatal határozatban megengedheti a bírság vagy eljárási bírság befizetésének elhalasztását, vagy megengedheti a bírság vagy eljárási bírság részeltekben történő kifizetését.
(8) A bírságokból származó bevétel az állami költségvetés bevétele.

71. §
A törvény megszegésének közzététele
(1) Ha a hivatal megállapítja a jelen törvény által meghatározott kötelességek megszegését, határozatában nyilvánosságra hozhatja a törvényszegő cégszerű megnevezését vagy megnevezését, székhelyét vagy állandó lakhelyét, azonosító számát, ha ilyen kiosztásra került és a jogi formáját, és
a) a személyes adatok védelméről szóló eljárásban a 65. § szerint végrehajtandó intézkedés vagy annak része határozati rendelkezését és indoklását,
b) a 68. § vagy 69. § szerint végrehajtandó, a bírság vagy eljárási bírság kiszabásáról szóló határozat vagy annak része határozati rendelkezését és indoklását, vagy
c) a személyes adatok védelme megsértésének tényszerű leírását.
(2) A hivatal az adatkezelőt vagy a közvetítőt arra kötelezheti, hogy tömegtájékoztatási eszközökben hozza nyilvánosságra az 1. bekezdés szerinti c) pontjában meghatározott tényeket.
(3) A hivatal, a törvénysértés, 2. bekezdés szerinti nyilvánosságra hozatalának kötelezettségét szabhatja ki, ha a jelen törvényben meghatározott kötelezettségek súlyos, ismételt vagy hosszantartó megsértését állapítja meg; a törvény megsértése nyilvánosságra hozatali kötelezettségének kiszabása esetén a hivatal figyelembe veszi a magán- és családi élet veszélyeztetésének mértékét, továbbá az érintett személyek számát.
(4) Az adatkezelő vagy a közvetítő köteles teljesíteni a hivatal 2. bekezdés szerint kiszabott intézkedését. Az adatkezelő és a közvetítő végrehajtó szerve köteles biztosítani a közlemény megjelentetését a tömegtájékoztatási eszközökben az 1. bekezdés c) pontja szerinti terjedelemben, az adatkezelő saját költségére; a közlemény tartalmát, formáját, a tömegtájékoztatási eszközt és a megjelentetés legkésőbbi dátumát a hivatal határozza meg.
(5) Az 1. bekezdés a) és b) pontjai szerint végrehajtandó intézkedés vagy határozat határozati rendelkezésében vagy indoklásában szereplő személyes adatokat nem kell megjelentetni.


NEGYEDIK RÉSZ
Közös, átmeneti és záró rendelkezések

Közös rendelkezések

72. §
(1) A jelen törvény szerinti eljárásra a közigazgatási eljárásra vonatkozó általános előírás vonatkozik,41) hacsak a 2. bekezdés másképp nem rendelkezik.
(2) A közigazgatási eljárásról szóló általános előírás41) nem vonatkozik
a) a természetes személy vizsgájának lebonyolítására és letételére, amely a felelős személy tisztségének betöltéséhez szükséges a 24. § szerint,
b) a bejelentési kötelezettségre a 34. és 36. § szerint, és
c) az ellenőrzés 52-61. § szerinti lefolytatására, kivéve az okmányok kézbesítését az ellenőrzés elvégzése során.

73. §
Mindenki köteles lehetővé tenni a hivatal számára a jelen törvény szerinti kötelezettségek és az annak alapján kiadott határozatok betartásának felügyeletét. Ez a 46. § 5. bek. rendelkezésére nem vonatkozik.

74. §
Együttműködés
(1) Mindenki köteles együttműködni a hivatallal a jelen törvény szerinti feladatainak teljesítése során.
(2) Az adatkezelő és a közvetítő köteles eltűrni a hivatal minden tevékenységét, amely arra irányul, hogy megállapítsa az összes körülményt, mely az ügy objektív elbírálásához szükséges.

Átmeneti rendelkezések

75. §
(1) A Szlovák Köztársaság Személyes Adatokat Védő Hivatala, mely a korábbi törvény szerint volt létrehozva, a Szlovák Köztársaság Személyes Adatokat Védő Hivatalává vált a jelen törvény szerint.
(2) A hivatal elnöke, akit az eddigi törvény alapján választottak meg tisztségébe, a hivatal elnökévé vált a jelen törvény szerint; ez nincs kihatással megbízatási idejének időtartamára.
(3) A hivatal eddigi törvény alapján kinevezett alelnöke a hivatal alelnökévé vált a jelen törvény szerint; ez nincs kihatással megbízatási idejének időtartamára.
(4) A hivatal főellenőre, akit az eddigi törvény alapján neveztek ki tisztségébe, a hivatal főellenőrévé vált a jelen törvény szerint; ez nincs kihatással megbízatási idejének időtartamára.
(5) A hivatal ellenőre, akit az eddigi törvény alapján neveztek ki tisztségébe, a hivatal ellenőrévé vált a jelen törvény szerint.

76. §
(1) Az adatkezelő a jelen törvény hatályba lépésének napjától számított hat hónapon belül a jelen törvénnyel összhangba hozza minden informatikai rendszerét, amelyen személyes adatokat kezel.
(2) Az adatkezelő köteles a közvetítővel fennálló szerződéses viszonyát a jelen törvénnyel összhangba hozni a jelen törvény hatályba lépésének napjától számított egy éven belül.
(3) Az adatkezelő és a közvetítő kötelesek a jelen törvénnyel összhangban végrehajtani a jogosult személyek tájékoztatását a jelen törvény hatályba lépésének napjától számított hat hónapon belül.
(4) A megbízások és a felelős személy megbízásáról szóló értesítések, melyek az eddigi törvény szerint jöttek létre, a jelen törvény szerinti megbízásoknak és a felelős személy megbízásáról szóló értesítések minősülnek. Az adatkezelő és a közvetítő köteles írásban megbízni a felelős személyt és megbízását jelenteni a hivatalnak a jelen törvénnyel összhangban, a jelen törvény hatályba lépésének napjától számított egy éven belül. 
(5) Az eddigi törvény szerint megadott regisztráció a jelen törvény szerint megadott regisztrációnak minősül. Az adatkezelő köteles az informatikai rendszerét újbóli regisztrációra bejelenteni a jelen törvénnyel összhangban, a jelen törvény hatályba lépésének napjától számított hat hónapon belül, ha ezt a törvény megköveteli.
(6) Az eddigi törvény szerint megadott különleges regisztráció a jelen törvény szerint megadott különleges regisztrációnak minősül. Az adatkezelő köteles az informatikai rendszerét újbóli különleges regisztrációra bejelenteni a jelen törvénnyel összhangban, a jelen törvény hatályba lépésének napjától számított hat hónapon belül, ha ezt a törvény megköveteli.
(7) Az eddigi törvény szerint kidolgozott biztonsági intézkedések, biztonsági irányelv és biztonsági projekt a jelen törvény hatályba lépéstől számítva, a jelen törvény szerint kidolgozott biztonsági intézkedésnek minősül. Az adatkezelő és a közvetítő köteles az elfogadott biztonsági intézkedéseket a jelen törvénnyel összhangba hozni a jelen törvény hatályba lépésének napjától számított kilenc hónapon belül.
(8) Az eddigi törvény szerint megadott, a személyes adatok feldolgozásába történő beleegyezés a jelen törvény hatályba lépéstől számítva a jelen törvény szerint megadott a személyes adatfeldolgozásba történő beleegyezésnek minősül.

77. §
A jelen törvény hatályba lépésének napja előtt megkezdődött eljárások az eddigi előírások szerint fejezendők be.

77.a §
Átmeneti rendelkezések a 2014. április 15-étől hatályos változásokhoz
(1) Az informatikai rendszerek 2014. április 14-ig elvégzett regisztrációja az információs rendszerek 34. § szerinti bejelentésének minősül a 2014. április 15-től hatályos rendelkezések szerint.
(2) Az informatikai rendszerek regisztrációjával kapcsolatos eljárások és az informatikai rendszerek különleges regisztrációjával kapcsolatos eljárások, amelyek 2014. április 14-ig nem kerültek befejezésre, a 2014. április 14-ig hatályos törvény szerint fejezendők be.
(3) A 35. § 1. bek. szerinti bejelentés elektronikus módon történő elkészítése, a bejelentett adatok változásának és az informatikai rendszerek használata befejezésének elektronikus módon történő bejelentése 2014. április 15-től nem igényel szavatolt elektronikus aláírást; 2014. szeptember 1-től a 35. § 1. bek. szerinti bejelentés, a bejelentett adatok változása és az informatikai rendszerek használata befejezésének bejelentése elvégezhető az elektronikus nyomtatvány segítségével is. Az elektronikus nyomtatványt a hivatal közzéteszi a honlapján.
(4) A 68. és 69. § szerint 2014. április 15-e előtt megkezdődött eljárások a 2014. április 14-ig hatályos törvény szerint fejezendők be.

78. §
Ezzel a törvénnyel átvételre kerülnek az Európai Unió kötelező erejű jogi aktusai, amelyek a mellékletben kerültek felsorolásra.

79. §
Hatályon kívül helyező rendelkezés
Hatályon kívül helyeztetik a Tt. 428/2002. sz. törvénye a személyes adatok védelméről, módosítva a Tt. 602/2003. sz. törvényével, a Tt. 576/2004. sz. törvényével, a Tt. 90/2005. sz. törvényével és a Tt. 583/2008. sz. törvényével


II. cikkely
A Tt. 145/1995. sz. törvénye, a közigazgatási eljárási illetékekről, módosítva a Szlovák Köztársaság Nemzeti Tanácsának 123/1996. sz. törvényével, a Szlovák Köztársaság Nemzeti Tanácsának 224/1996. sz. törvényével, a Tt. 70/1997. sz. törvényével, a Tt. 1/1998. sz. törvényével, a Tt. 232/1999. sz. törvényével, a Tt. 3/2000. sz. törvényével, a Tt. 142/2000. sz. törvényével, a Tt. 211/2000. sz. törvényével, a Tt. 468/2000. sz. törvényével, a Tt. 553/2001. sz. törvényével, a Tt. 96/2002. sz. törvényével, a Tt. 118/2002. sz. törvényével, a Tt. 215/2002. sz. törvényével, a Tt. 237/2002. sz. törvényével, a Tt. 418/2002. sz. törvényével, a Tt. 457/2002. sz. törvényével, a Tt. 465/2002. sz. törvényével, a Tt. 477/2002. sz. törvényével, a Tt. 480/2002. sz. törvényével, a Tt. 190/2003. sz. törvényével, a Tt. 217/2003. sz. törvényével, a Tt. 245/2003. sz. törvényével, a Tt. 450/2003. sz. törvényével, a Tt. 469/2003. sz. törvényével, a Tt. 583/2003. sz. törvényével, a Tt. 5/2004. sz. törvényével, a Tt. 199/2004. sz. törvényével, a Tt. 204/2004. sz. törvényével, a Tt. 347/2004. sz. törvényével, a Tt. 382/2004. sz. törvényével, a Tt. 434/2004. sz. törvényével, a Tt. 533/2004. sz. törvényével, a Tt. 541/2004. sz. törvényével, a Tt. 572/2004. sz. törvényével, a Tt. 578/2004.sz. törvényével, a Tt. 581/2004. sz. törvényével, a Tt. 633/2004. sz. törvényével, a Tt. 653/2004. sz. törvényével, a Tt. 656/2004. sz. törvényével, a Tt. 725/2004. sz. törvényével, a Tt. 5/2005. sz. törvényével, a Tt. 8/2005. sz. törvényével, a Tt. 15/2005. sz. törvényével, a Tt. 93/2005. sz. törvényével, a Tt. 171/2005. sz. törvényével, a Tt. 308/2005. sz. törvényével, a Tt. 331/2005. sz. törvényével, a Tt. 341/2005. sz. törvényével, a Tt. 342/2005. sz. törvényével, a Tt. 473/2005. sz. törvényével, a Tt. 491/2005. sz. törvényével, a Tt. 538/2005. sz. törvényével, a Tt. 558/2005. sz. törvényével, a Tt. 572/2005. sz. törvényével, a Tt. 573/2005. sz. törvényével, a Tt. 610/2005. sz. törvényével, a Tt. 14/2006. sz. törvényével, a Tt. 15/2006. sz. törvényével, a Tt. 24/2006. sz. törvényével, a Tt. 117/2006. sz. törvényével, a Tt. 124/2006. sz. törvényével, a Tt. 126/2006. sz. törvényével, a Tt. 224/2006. sz. törvényével, a Tt. 342/2006. sz. törvényével, a Tt. 672/2006. sz. törvényével, a Tt. 693/2006. sz. törvényével, a Tt. 21/2007. sz. törvényével, a Tt. 43/2007. sz. törvényével, a Tt. 95/2007. sz. törvényével, a Tt. 193/2007. sz. törvényével, a Tt. 220/2007. sz. törvényével, a Tt. 279/2007, sz. törvényével, a Tt. 295/2007. sz. törvényével, a Tt. 309/2007. sz. törvényével, a Tt. 342/2007. sz. törvényével, a Tt. 343/2007. sz. törvényével, a Tt. 344/2007. sz. törvényével, a Tt. 355/2007. sz. törvényével, a Tt. 358/2007. sz. törvényével, a Tt. 359/2007. sz. törvényével, a Tt. 460/2007. sz. törvényével, a Tt. 517/2007. sz. törvényével, a Tt. 537/2007. sz. törvényével, a Tt. 548/2007. sz. törvényével, a Tt. 571/2007. sz. törvényével, a Tt. 577/2007. sz. törvényével, a Tt. 647/2007. sz. törvényével, a Tt. 661/2007. sz. törvényével, a Tt. 92/2008. sz. törvényével, a Tt. 112/2008. sz. törvényével, a Tt. 167/2008. sz. törvényével, a Tt. 214/2008. sz. törvényével, a Tt. 264/2008. sz. törvényével, a Tt. 405/2008. sz. törvényével, a Tt. 408/2008. sz. törvényével, a Tt. 451/2008. sz. törvényével, a Tt. 465/2008. sz. törvényével, a Tt. 495/2008. sz. törvényével, a Tt. 514/2008. sz. törvényével, a Tt. 8/2009. sz. törvényével, a Tt. 45/2009. sz. törvényével, a Tt. 188/2009. sz. törvényével, a Tt. 191/2009. sz. törvényével, a Tt. 274/2009. sz. törvényével, a Tt. 292/2009. sz. törvényével, a Tt. 304/2009. sz. törvényével, a Tt. 305/2009. sz. törvényével, a Tt. 307/2009. sz. törvényével, a Tt. 465/2009. sz. törvényével, a Tt. 478/2009. sz. törvényével, a Tt. 513/2009. sz. törvényével, a Tt. 568/2009. sz. törvényével, a Tt. 570/2009. sz. törvényével, a Tt. 594/2009. sz. törvényével, a Tt. 67/2010. sz. törvényével, a Tt. 92/2010. sz. törvényével, a Tt. 136/2010. sz. törvényével, a Tt. 144/2010. sz. törvényével, a Tt. 514/2010. sz. törvényével, a Tt. 556/2010. sz. törvényével, a Tt. 39/2011. sz. törvényével, a Tt. 119/2011. sz. törvényével, a Tt. 200/2011. sz. törvényével, a Tt. 223/2011. sz. törvényével, a Tt. 254/2011. sz. törvényével, a Tt. 256/2011. sz. törvényével, a Tt. 258/2011. sz. törvényével, a Tt. 324/2011. sz. törvényével, a Tt. 342/2011. sz. törvényével, a Tt. 363/2011. sz. törvényével, a Tt. 381/2011. sz. törvényével, a Tt. 392/2011. sz. törvényével, a Tt. 404/2011. sz. törvényével, a Tt. 405/2011. sz. törvényével, a Tt. 409/2011. sz. törvényével, a Tt. 519/2011. sz. törvényével, a Tt. 547/2011. sz. törvényével, a Tt. 49/2012. sz. törvényével, a Tt. 96/2012. sz. törvényével, a Tt. 251/2012. sz. törvényével, a Tt. 286/2012. sz. törvényével, a Tt. 336/2012. sz. törvényével, a Tt. 339/2012. sz. törvényével, a Tt. 351/2012. sz. törvényével, a Tt. 439/2012. sz. törvényével, a Tt. 447/2012. sz. törvényével, a Tt. 459/2012. sz. törvényével, a Tt. 8/2013. sz. törvényével, a Tt. 39/2013. sz. törvényével, a Tt. 40/2013. sz. törvényével, a Tt. 72/2013. sz. törvényével, a Tt. 75/2013. sz. törvényével, a Tt. 94/2013. sz. törvényével a Tt. 96/2013. sz. törvényével a következőképpen egészítetik ki:

A közigazgatási eljárási illetékek tarifatáblázatának melléklete kiegészíttetik a XXIII. résszel, amely a címét is beleértve a következőképpen hangzik:

„XXIII. rész
A személyes adatok védelme
273. tétel
a) Az informatikai rendszer regisztrációja vagy annak módosítása …………… 20,- euró
b) Az informatikai rendszer különleges regisztrációja vagy annak módosítása …………… 50,- euró

Megjegyzés
A jelen tétel szerinti illetékeket a Szlovák Köztársaság Személyes Adatokat Védő Hivatala szedi be. “


III. cikkely
A Tt. 215/2004. sz. törvénye, a minősített (titkosított) információk védelméről és némely törvények módosításáról és kiegészítéséről, módosítva a Szlovák Köztársaság alkotmánybíróságának 638/2005. sz. döntésével, a Tt. 255/2006. sz. törvényével, a Tt. 330/2007. sz. törvényével, a Tt. 668/2007. sz. törvényével, a Tt. 291/2009. sz. törvényével, a Tt. 400/2009. sz. törvényével és a Tt. 192/2011. sz. törvényével, a következőképpen egészíttetik ki:

Az 53. §-ba az 5. bekezdés után új, 6. bekezdés kerül, amely így hangzik:
„(6) Ha az épületeket és a védett helyiségeket kép-, hang- vagy hangos képfelvétel készítésére alkalmas műszaki biztonsági berendezésekkel biztosítják, azokat nem kell jelezni a személyes adatok védelméről szóló általános előírás szerint. Ha az ilyen felvételt nem használják fel büntetőeljárás vagy szabálysértési eljárás céljaira, az ezeket a felvételeket készítető személy, köteles azokat legkésőbb a felvétel készítésének napját követő naptól számított 60 napon belül megsemmisíteni.“.
Az eddigi 6. bekezdést 7. bekezdésként kell jelölni.


IV. cikkely
A Tt. 400/2009. sz. törvénye a közszolgálatról és némely törvények módosításáról és kiegészítéséről, módosítva a Tt. 151/2010. sz. törvényével, a Tt. 500/2010. sz. törvényével, a Tt. 505/2010. sz. törvényével, a Tt. 547/2010. sz. törvényével, a Tt. 33/2011. sz. törvényével, a Tt. 48/2011. sz. törvényével, a Tt. 220/2011. sz. törvényével, a Tt. 257/2011. sz. törvényével, a Tt. 503/2011. sz. törvényével, a Tt. 252/2012. sz. törvényével, a Tt. 345/2012. sz. törvényével, a Tt. 361/2012. sz. törvényével a  a Tt. 392/2012. sz. törvényével  a következőképpen módosul:

A 6. § 5. bekezdésében törlendők a következők „a Szlovák Köztársaság Személyes Adatokat Védő Hivatalának ellenőrén kívül“.


V. cikkely
Hatályba lépés
A jelen törvény 2013. július 1-jén lép hatályba.


Ivan Gašparovič s.k.
Pavol Paška s.k.
Robert Fico s.k.


1) Például a Szlovák Köztársaság Nemzeti Tanácsának többször módosított, 46/1993 sz. törvénye, a Szlovák Információs Szolgálatról, a Tt. többször módosított, 227/2002. sz. alkotmányos törvénye, az állam biztonságáról háború, rendkívüli állapot és szükségállapot idején, a Tt. többször módosított, 387/2002. sz. törvénye, az állam krízishelyzetekben történő irányításáról, háborún és hadiállapoton kívül, a Tt. többször módosított, 215/2004. sz. törvénye, a minősített információk védelméről, valamint némely törvény módosításáról és kiegészítéséről.
2) Például a Tt. többször módosított, 319/2002. sz. törvénye, a Szlovák Köztársaság védelméről, a Tt. 321/2002. sz. törvénye, a Szlovák Köztársaság fegyveres erőiről, a Tt. 179/2011. sz. törvénye a gazdasági mozgósításról és a többször módosított, 387/2002. sz. törvény módosításáról és kiegészítéséről, az állam krízishelyzetekben történő irányításáról, háborún és hadiállapoton kívül.
3) Például a Szlovák Nemzeti Tanács többször módosított, 564/1991. sz. törvénye, a községi rendőrségről, a Szlovák Köztársaság Nemzeti Tanácsának többször módosított, 171/1993. sz. törvénye, a rendőri testületről.
4) Például a többször módosított Büntető perrendtartás, a Tt. többször módosított, 297/2008. sz. törvénye, a bűncselekményekből származó bevételek legalizálása elleni védelemről és a terrorizmus finanszírozása elleni védelemről, valamint némely törvény módosításáról és kiegészítéséről.
5) A többször módosított, 293/2007. sz. törvény, 2. §, b pontja a szakképesítések elismeréséről.
6) Például a Tt. többször módosított, 523/2004. sz. törvénye, a közigazgatás költségvetési szabályairól, valamint némely törvény módosításáról és kiegészítéséről, a Tt. többször módosított, 563/2009. sz. törvénye, az adókezelésről (adótörvény), valamint némely törvény módosításáról és kiegészítéséről.
7) A többször módosított Polgári Törvénykönyv 11-16. §.
8) A többször módosított 618/2003. sz. törvény, 13. §, a szerzői jogokról és a szerzői jogokkal összefüggő jogokról (szerzői jogi törvény).
9) Például a többször módosított Kereskedelmi Törvénykönyv 27-34. §, a Szlovák Köztársaság Nemzeti Tanácsának többször módosított, 162/1995. sz. törvénye 8. és 68. §, az ingatlankataszterről és az ingatlanokhoz fűződő tulajdonjog és más jogok bejegyzéséről (kataszteri törvény).
10) A Tt. többször módosított, 330/2007. sz. törvénye, a bűntettesek nyilvántartásáról, valamint némely törvény módosításáról és kiegészítéséről.
11) A többször módosított, az ügyészségről szóló, 153/2001. sz. törvény, 40. §, 2. bek., d) pontja.
12) A többször módosított Kereskedelmi Törvénykönyv 69. §.
13) Például a Szlovák Köztársaság Nemzeti Tanácsának 40/1993. sz. törvénye az állampolgárságról, a Szlovák Köztársaság többször módosított, a Tt. 483/2001. sz. törvénye a bankokról, valamint némely törvény módosításáról és kiegészítéséről, a Tt. többször módosított 305/2005. sz. törvénye a gyermekek szociális-jogi védelméről és a szociális felügyeletről, valamint némely törvény módosításáról és kiegészítéséről, a Tt. többször módosított 400/2009. sz. törvénye a közszolgálatról, valamint némely törvény módosításáról és kiegészítéséről.
14) A Tt. többször módosított, az elektronikus aláírásról, valamint némely törvény módosításáról és kiegészítéséről szóló, 215/2002. sz. törvény, 4. §.
15) A Tt. 509/1991. sz. törvényével módosított Polgári Törvénykönyv 8. §.
16) A többször módosított Polgári Törvénykönyv 26-30. §.
17) A Polgári Törvénykönyv 116. §.
18) A Szlovák Köztársaság Nemzeti Tanácsának többször módosított, 301/1995. sz. törvénye a személyi azonosító jelről.
19) Például a Tt. egészségügyi ellátás biztosításáról, egészségügyi dolgozókról egészségügyi szakmai szervezetekről, valamint némely törvény módosításáról és kiegészítéséről szóló, 578/2004. sz. törvényének 33. §.
20) Például a Tt. 153/2001. sz. törvényének, 40. § 2. bek. d) pontja, a Szlovák Köztársaság Nemzeti Tanácsának többször módosított, 171/1993. sz. törvénye.
21) A Tt. többször módosított, 447/2008. sz. törvénye a súlyos egészségkárosodás kompenzációjára fordított pénzbeli ellátásról, valamint némely törvény módosításáról és kiegészítéséről.
22) A Tt. többször módosított, 328/2002. sz. törvénye a rendőrök és katonák társadalombiztosításáról, valamint némely törvény módosításáról és kiegészítéséről.
23) A Tt. többször módosított, 224/2006. sz. törvénye a személyi igazolványokról, valamint némely törvény módosításáról és kiegészítéséről.
24) A Tt. többször módosított, 647/2007, sz. törvénye az úti okmányokról, valamint némely törvény módosításáról és kiegészítéséről, módosítva a Tt. 445/2008. sz. törvényével.
25) Például a Szlovák Köztársaság Nemzeti Tanácsának többször módosított, 171/1993. sz. törvényének 14. §-a, a Tt. 215/2004. sz. törvényének 70. §, 6. bek.
26) Például a Tt. többször módosított, 483/2001. sz. törvényének 93a. §.
27) A Tt. levéltárakról és irattárakról, valamint némely törvények kiegészítéséről szóló, 395/2002, sz. törvényének 2. §, 15. bek.
28) A Tt. 395/2002. sz. törvényének 20. §, módosítva a Tt. 216/2007. sz. törvényével.
29) A Tt. többször módosított, 215/2004. sz. törvénye.
30) Például Szlovák Köztársaság Nemzeti Tanácsa a Szlovák Nemzeti Bankról szóló, többször módosított, 566/1992. sz. törvényének 40. §, a Szlovák Köztársaság Nemzeti Tanácsa a Szlovák Információs Szolgálatról szóló, többször módosított 46/1993. sz. törvényének 23. §, a Szlovák Köztársaság Nemzeti Tanácsa többször módosított, 171/1993. sz. törvényének 80. §., a Tt. 215/2004. sz. törvényének 38. §, a Tt. többször módosított 563/2009. sz. törvényének, 11. §.
31) Például a Szlovák Köztársaság Nemzeti Tanácsának többször módosított, 162/1995. sz. törvénye.
32) Például a Bizottság 2000. július 26-án kelt döntése, az Európai Parlament és a Tanács 95/46/EK számú irányelve szerint, a személyes adatok Svájcban biztosított megfelelő védelméről (2000/518/EK) (Az EU Hivatalos közlönyének különkiadása 16. fej./1. köt.; EK Hivatalos közlönye L 215, 2000. 8. 25.).
33) Például a Bizottság 2010. február 5-én kelt döntése, a személyes adatok harmadik országbeli adatfeldolgozók részére történő továbbítására vonatkozó általános szerződési feltételekről, az Európai Parlament és a Tanács 95/46/EK számú irányelve szerint (2010/87/EU) (EU Hivatalos közlönye L 39,12.02.2010), a Bizottság 2001. június 15-én kelt döntése, irányelv alapján a személyes adatok harmadik országokba irányuló továbbítására vonatkozó általános szerződési feltételekről, a 95/46/EK irányelv szerint (2001/497/EK) (Az EU Hivatalos közlönyének különkiadása, 13. fej./26. köt.; EK Hivatalos közlönye L 181, 4.7.2001).
34) A Bizottság 2000. június 26-án kelt döntése, a 95/46/EK európai parlamenti és tanácsi irányelv alapján, az Egyesült Államok Kereskedelmi Minisztériuma által kiadott „biztonságos kikötő” adatvédelmi elvek által biztosított védelem megfelelőségéről és az ezzel kapcsolatos gyakran felvetődő kérdésekről (2000/520/EK) (Az EU Hivatalos közlönyének különkiadása, 16. fej./1. köt.; EK Hivatalos közlönye L 215, 25.8.2000).
35) A Tt. 145/1995. sz., többször módosított törvénye a közigazgatási illetékekről.
36) a Tt. 523/2004. sz. többször módosított törvénye 21. §-ának 1. és 5. bekezdésének a) pontja.
37) A Szlovák Köztársaság Nemzeti Tanácsának 350/1996. sz. törvénye a Szlovák Köztársaság Nemzeti Tanácsának házszabályáról, módosítva a Tt. 215/2004 sz. törvényével, 60. §.
38) A Tt. többször módosított, 400/2009. sz. törvénye.
39) A Tt. 357/2004. sz., a köztisztviselők tisztségének ellátása közbeni közérdek-védelemről szóló törvény, módosítva a Tt. 545/2004. sz. törvényével.
40) A Tt. többször módosított, 400/2009. sz. törvényének, 3. § 1. bek.
41) A Tt. többször módosított, 71/1967. sz. törvénye a közigazgatási eljárásról (Közigazgatási eljárási rendtartás).
42) A Tt. többször módosított, az információkhoz való szabad hozzáférésről, valamint némely törvény módosításáról és kiegészítéséről szóló (az információ szabadságáról szóló törvény) 211/2000. sz. törvényének, 11. § 1. bek. h) pontja.
43) A Szlovák Köztársaság Nemzeti Tanácsának többször módosított 10/1996. sz. törvénye az államigazgatási ellenőrzésről.
43a) A Tgy. 71/1967. sz., a közigazgatási eljárásról szóló törvényének (közigazgatási rendtartás) 25. és 26. § a Tt. 527/2003. sz. törvénye értelmében.


Melléklet a Tt. 122/2013. sz. törvényéhez

Az Európai Uniótól átvett kötelező erejű jogi aktusok listája
Az Európai Parlament és a Tanács 95/46/EGK irányelve, kelt: 1995. október 24-én, a személyes adatok kezelése vonatkozásában az egyének védelméről, és az ilyen adatok szabad áramlásáról (Az EU Hivatalos közlönyének különkiadása, 13. fej./15. köt.; az EK Hivatalos Közlönye L 281, 1995. 11. 23.), módosítva az Európai Parlament és a Tanács (EK) 1882/2003. sz. rendeletével, kelt: 2003. szeptember 29-én, (Az EU Hivatalos közlönyének különkiadása, 1. fej./4. köt.; az EU Hivatalos közlönye L 284, 2003. 10. 31.).
Časová verzia účinná od 15. apríla 2014

122/2013 Z. z.

Zákon
O OCHRANE OSOBNÝCH ÚDAJOV 
a o zmene a doplnení niektorých zákonov


zo dňa 30.04.2013


Zmena:
84/2014 Z. z. s účinnosťou od 15. apríla 2014


Národná rada Slovenskej republiky sa uzniesla na tomto zákone:


Článok I

PRVÁ ČASŤ
Základné ustanovenia

§ 1
Predmet úpravy
Tento zákon upravuje
a) ochranu práv fyzických osôb pred neoprávneným zasahovaním do ich súkromného života pri spracúvaní ich osobných údajov,
b) práva, povinnosti a zodpovednosť pri spracúvaní osobných údajov fyzických osôb,
c) postavenie, pôsobnosť a organizáciu Úradu na ochranu osobných údajov Slovenskej republiky (ďalej len „úrad“).

Pôsobnosť zákona

§ 2
(1) Tento zákon sa vzťahuje na každého, kto spracúva osobné údaje, určuje účel a prostriedky spracúvania alebo poskytuje osobné údaje na spracúvanie.
(2) Tento zákon sa vzťahuje aj na prevádzkovateľov, ktorí nemajú sídlo, organizačnú zložku, prevádzkareň alebo trvalý pobyt na území
a) Slovenskej republiky, ale sú umiestnení v zahraničí na mieste, kde sa uplatňuje právny poriadok Slovenskej republiky prednostne na základe medzinárodného práva verejného,
b) členského štátu, ak na účely spracúvania osobných údajov využívajú úplne alebo čiastočne automatizované alebo iné ako automatizované prostriedky spracúvania umiestnené na území Slovenskej republiky, pričom tieto prostriedky spracúvania nie sú využívané výlučne len na prenos osobných údajov cez územie členských štátov; v takom prípade prevádzkovateľ postupuje podľa § 7.
(3) Tento zákon sa vzťahuje na osobné údaje systematicky spracúvané úplne alebo čiastočne automatizovanými prostriedkami spracúvania alebo inými ako automatizovanými prostriedkami spracúvania, ktoré sú súčasťou informačného systému alebo sú určené na spracúvanie v informačnom systéme.

§ 3
(1) Ustanovenia § 6 ods. 2 až 5, § 8 ods. 5, § 15 ods. 1, 2 a 8, § 28 ods. 1 a § 44 sa nevzťahujú na spracúvanie osobných údajov nevyhnutných na zabezpečenie verejného záujmu, ak prevádzkovateľ plní povinnosti výslovne ustanovené osobitným zákonom určené na zaistenie
a) bezpečnosti Slovenskej republiky,1)
b) obrany Slovenskej republiky,2)
c) verejného poriadku a bezpečnosti,3)
d) predchádzania, zamedzovania, odhaľovania a dokumentovania trestnej činnosti, zisťovania jej páchateľov, vyšetrovania a stíhania páchateľov trestných činov,4)
e) odhaľovania porušení etického kódexu v regulovaných povolaniach a regulovaných odborných činnostiach,5)
f) významného ekonomického alebo finančného záujmu Slovenskej republiky alebo Európskej únie vrátane menových, rozpočtových a daňových záležitostí,6)
g) výkonu kontroly, dohľadu, dozoru alebo uplatňovania regulácie v súvislosti s výkonom verejnej moci vo veciach uvedených v písmenách c) až f), alebo
h) ochrany dotknutej osoby alebo práv a slobôd iných osôb.
(2) Tento zákon sa nevzťahuje na osobné údaje, ktoré
a) fyzická osoba spracúva pre vlastnú potrebu v rámci výlučne osobných alebo domácich činností, najmä vedenie osobného adresára alebo korešpondencie,
b) boli získané náhodne bez predchádzajúceho určenia účelu a prostriedkov spracúvania, bez zámeru ich ďalšieho spracúvania v usporiadanom systéme podľa osobitných kritérií a nie sú ďalej systematicky spracúvané.
(3) Týmto zákonom nie je dotknuté právo na ochranu osobnosti.7)

§ 4
Vymedzenie základných pojmov
(1) Osobnými údajmi sú údaje týkajúce sa určenej alebo určiteľnej fyzickej osoby, pričom takou osobou je osoba, ktorú možno určiť priamo alebo nepriamo, najmä na základe všeobecne použiteľného identifikátora alebo na základe jednej či viacerých charakteristík alebo znakov, ktoré tvoria jej fyzickú, fyziologickú, psychickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu.
(2) Na účely tohto zákona sa rozumie
a) dotknutou osobou každá fyzická osoba, ktorej sa osobné údaje týkajú,
b) prevádzkovateľom každý, kto sám alebo spoločne s inými vymedzí účel spracúvania osobných údajov, určí podmienky ich spracúvania a spracúva osobné údaje vo vlastnom mene; ak účel, prípadne aj podmienky spracúvania osobných údajov ustanovuje zákon, priamo vykonateľný právne záväzný akt Európskej únie alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná, prevádzkovateľom je ten, kto je na plnenie účelu spracúvania za prevádzkovateľa ustanovený alebo kto spĺňa zákonom, priamo vykonateľným právne záväzným aktom Európskej únie alebo medzinárodnou zmluvou, ktorou je Slovenská republika viazaná, ustanovené podmienky,
c) zástupcom prevádzkovateľa každý, kto na území Slovenskej republiky zastupuje prevádzkovateľa so sídlom, organizačnou zložkou, prevádzkarňou alebo trvalým pobytom v tretej krajine,
d) sprostredkovateľom každý, kto spracúva osobné údaje v mene prevádzkovateľa, v rozsahu a za podmienok dojednaných s prevádzkovateľom v písomnej zmluve podľa § 8 a v súlade s týmto zákonom,
e) oprávnenou osobou každá fyzická osoba, ktorá prichádza do styku s osobnými údajmi v rámci svojho pracovnoprávneho vzťahu, štátnozamestnaneckého pomeru, služobného pomeru, členského vzťahu, na základe poverenia, zvolenia alebo vymenovania, alebo v rámci výkonu verejnej funkcie, a ktorá spracúva osobné údaje v rozsahu a spôsobom určeným v poučení podľa § 21,
f) treťou stranou každý, kto nie je dotknutou osobou, prevádzkovateľom poskytujúcim osobné údaje, jeho zástupcom, sprostredkovateľom alebo oprávnenou osobou,
g) príjemcom každý, komu sú osobné údaje poskytnuté alebo sprístupnené, pričom príjemcom môže byť aj tretia strana; prevádzkovateľ, ktorý spracúva osobné údaje na základe § 3 ods. 1 písm. g), a úrad, ktorý plní úlohy ustanovené týmto zákonom, sa nepovažujú za príjemcu.
(3) Na účely tohto zákona sa ďalej rozumie
a) spracúvaním osobných údajov vykonávanie operácií alebo súboru operácií s osobnými údajmi, najmä ich získavanie, zhromažďovanie, šírenie, zaznamenávanie, usporadúvanie, prepracúvanie alebo zmena, vyhľadávanie, prehliadanie, preskupovanie, kombinovanie, premiestňovanie, využívanie, uchovávanie, blokovanie, likvidácia, ich cezhraničný prenos, poskytovanie, sprístupňovanie alebo zverejňovanie; niektorými operáciami s osobnými údajmi sa podľa prvej vety rozumie
1. poskytovaním osobných údajov odovzdávanie osobných údajov tretej strane, ktorá ich ďalej spracúva,
2. sprístupňovaním osobných údajov oznámenie osobných údajov alebo umožnenie prístupu k nim príjemcovi, ktorý ich ďalej nespracúva,
3. zverejňovaním osobných údajov publikovanie, uverejnenie alebo vystavenie osobných údajov na verejnosti prostredníctvom masovokomunikačných prostriedkov, verejne prístupných počítačových sietí, verejným vykonaním alebo vystavením diela,8) verejným vyhlásením, uvedením vo verejnom zozname, v registri alebo v operáte,9) ich umiestnením na úradnej tabuli alebo na inom verejne prístupnom mieste,
4. cezhraničným prenosom osobných údajov prenos osobných údajov mimo územia Slovenskej republiky a na územie Slovenskej republiky,
5. likvidáciou osobných údajov zrušenie osobných údajov rozložením, vymazaním alebo fyzickým zničením hmotných nosičov tak, aby sa z nich osobné údaje nedali reprodukovať,
6. blokovaním osobných údajov dočasné alebo trvalé pozastavenie spracúvania osobných údajov, počas ktorého možno vykonávať len tie operácie s osobnými údajmi, ktoré sú nevyhnutné na splnenie povinnosti uloženej týmto zákonom,
b) informačným systémom osobných údajov informačný systém, v ktorom sa na vopred vymedzený alebo ustanovený účel systematicky spracúva alebo má spracúvať akýkoľvek usporiadaný súbor osobných údajov prístupných podľa určených kritérií, bez ohľadu na to, či ide o informačný systém centralizovaný, decentralizovaný alebo distribuovaný na funkčnom alebo geografickom základe (ďalej len „informačný systém“); informačným systémom sa na účely tohto zákona rozumie aj súbor osobných údajov, ktoré sú spracúvané alebo pripravené na spracúvanie čiastočne automatizovanými alebo inými ako automatizovanými prostriedkami spracúvania,
c) účelom spracúvania osobných údajov vopred jednoznačne vymedzený alebo ustanovený zámer spracúvania osobných údajov, ktorý sa viaže na určitú činnosť,
d) súhlasom dotknutej osoby akýkoľvek slobodne daný výslovný a zrozumiteľný prejav vôle, ktorým dotknutá osoba na základe poskytnutých informácií vyjadruje súhlas so spracúvaním svojich osobných údajov,
e) podmienkami spracúvania osobných údajov prostriedky a spôsob spracúvania osobných údajov, ako aj ďalšie požiadavky, kritériá alebo pokyny súvisiace so spracúvaním osobných údajov alebo vykonanie úkonov, ktoré slúžia na dosiahnutie účelu spracúvania či už pred začatím spracúvania osobných údajov, alebo v priebehu ich spracúvania,
f) biometrickým údajom osobný údaj fyzickej osoby označujúci jej biologickú alebo fyziologickú vlastnosť alebo charakteristiku, na základe ktorej je jednoznačne a nezameniteľne určiteľná; biometrickým údajom je najmä odtlačok prsta, odtlačok dlane, analýza deoxyribonukleovej kyseliny,
g) všeobecne použiteľným identifikátorom trvalý identifikačný osobný údaj dotknutej osoby, ktorý zabezpečuje jej jednoznačnosť v informačných systémoch,
h) adresou súbor údajov o pobyte fyzickej osoby, do ktorého patria názov ulice, orientačné, prípadne súpisné číslo domu, názov obce, prípadne názov časti obce, poštové smerovacie číslo, názov okresu, názov štátu,
i) anonymizovaným údajom osobný údaj upravený do takej podoby, v ktorej ho nemožno priradiť dotknutej osobe, ktorej sa týka,
j) priestorom prístupným verejnosti priestor, do ktorého možno voľne vstupovať a v ktorom sa možno voľne zdržiavať bez časového obmedzenia alebo vo vymedzenom čase, pričom iné obmedzenia, ak existujú a sú osobou splnené, nemajú vplyv na vstup a voľný pohyb osoby v tomto priestore, alebo je to priestor, ktorý tak označuje osobitný zákon,
k) členským štátom štát, ktorý je členským štátom Európskej únie alebo zmluvnou stranou Dohody o Európskom hospodárskom priestore,
l) treťou krajinou krajina, ktorá nie je členským štátom Európskej únie alebo zmluvnou stranou Dohody o Európskom hospodárskom priestore,
m) verejným záujmom dôležitý záujem štátu realizovaný pri výkone verejnej moci, ktorý prevažuje nad oprávneným záujmom fyzickej osoby alebo viacerých fyzických osôb a bez jeho realizácie by mohli vzniknúť rozsiahle alebo nenahraditeľné škody.


DRUHÁ ČASŤ
Práva, povinnosti a zodpovednosť pri spracúvaní osobných údajov

Prvá hlava
Zásady spracúvania osobných údajov

§ 5
(1) Osobné údaje možno spracúvať len spôsobom ustanoveným týmto zákonom a v jeho medziach tak, aby nedošlo k porušeniu základných práv a slobôd dotknutých osôb, najmä k porušeniu ich práva na zachovanie ľudskej dôstojnosti alebo k iným neoprávneným zásahom do ich práva na ochranu súkromia.
(2) Osobné údaje môže spracúvať iba prevádzkovateľ a sprostredkovateľ.
(3) Prevádzkovateľom na účely spracúvania osobných údajov v registri trestov podľa osobitného zákona,10) môže byť len štátny orgán ustanovený zákonom.11)

§ 6
Prevádzkovateľ
(1) Spracúvať osobné údaje vo vlastnom mene môže len prevádzkovateľ. Prevádzkovateľ spracúva osobné údaje v súlade s § 9, spôsobom, ktorý je v súlade s dobrými mravmi, a to len na vymedzený alebo ustanovený účel.
(2) Prevádzkovateľ je povinný
a) pred začatím spracúvania osobných údajov vymedziť účel spracúvania osobných údajov; účel spracúvania osobných údajov musí byť jasný, vymedzený jednoznačne a konkrétne a musí byť v súlade s Ústavou Slovenskej republiky, ústavnými zákonmi, zákonmi a medzinárodnými zmluvami, ktorými je Slovenská republika viazaná,
b) určiť podmienky spracúvania osobných údajov tak, aby neobmedzil právo dotknutej osoby ustanovené zákonom,
c) získavať osobné údaje výlučne na vymedzený alebo ustanovený účel; je neprípustné získavať osobné údaje pod zámienkou iného účelu spracúvania alebo inej činnosti,
d) zabezpečiť, aby sa spracúvali len také osobné údaje, ktoré svojím rozsahom a obsahom zodpovedajú účelu ich spracúvania a sú nevyhnutné na jeho dosiahnutie,
e) zabezpečiť, aby sa osobné údaje spracúvali a využívali výlučne spôsobom, ktorý zodpovedá účelu, na ktorý boli zhromaždené; je neprípustné združovať osobné údaje, ktoré boli získané osobitne na rozdielne účely,
f) spracúvať len správne, úplné a podľa potreby aktualizované osobné údaje vo vzťahu k účelu spracúvania; nesprávne a neúplné osobné údaje je prevádzkovateľ povinný blokovať a bez zbytočného odkladu opraviť alebo doplniť; nesprávne a neúplné osobné údaje, ktoré nemožno opraviť alebo doplniť tak, aby boli správne a úplné, prevádzkovateľ zreteľne označí a bez zbytočného odkladu zlikviduje,
g) zabezpečiť, aby zhromaždené osobné údaje boli spracúvané vo forme umožňujúcej identifikáciu dotknutých osôb počas doby nie dlhšej, ako je nevyhnutné na dosiahnutie účelu spracúvania,
h) zlikvidovať tie osobné údaje, ktorých účel spracúvania sa skončil; po skončení účelu spracúvania možno osobné údaje ďalej spracúvať len za podmienok ustanovených v odseku 5,
i) spracúvať osobné údaje v súlade s dobrými mravmi a konať spôsobom, ktorý neodporuje zákonu.
(3) Prevádzkovateľ nemá povinnosť podľa odseku 2 písm. a) len vtedy, ak účel spracúvania osobných údajov ustanovuje osobitný zákon v súlade s podmienkami uvedenými v odseku 2 písm. a). Prevádzkovateľ nemá povinnosť určiť podmienky spracúvania osobných údajov podľa odseku 2 písm. b) len vtedy, ak ich ustanovuje všeobecne záväzný právny predpis. Ostatné povinnosti podľa odseku 2 písm. c) až i) je prevádzkovateľ povinný dodržiavať aj počas spracúvania osobných údajov na základe osobitného zákona; tým nie je dotknuté ustanovenie § 10 ods. 4 prvej vety.
(4) Zhromaždené osobné údaje na pôvodne určený účel prevádzkovateľ nemôže spracúvať na iný účel, ktorý je nezlučiteľný s pôvodným účelom spracúvania.
(5) Počas trvania pôvodne určeného účelu spracúvania osobných údajov, ako aj po jeho skončení je prípustné zhromaždené osobné údaje spracúvať v nevyhnutnom rozsahu na historický výskum, vedecký výskum a vývoj alebo na účely štatistiky, čo sa nepovažuje za nezlučiteľné s pôvodným účelom spracúvania. Takto spracúvané osobné údaje prevádzkovateľ nemôže použiť na podporu opatrení alebo rozhodnutí prijatých proti dotknutej osobe a nemôže ich využiť proti záujmom dotknutej osoby na obmedzenie jej základných práv a slobôd. Počas spracúvania osobných údajov na účely podľa prvej vety je prevádzkovateľ povinný ich označiť, anonymizovať ich, ak tým možno dosiahnuť účel spracúvania, a zlikvidovať ich ihneď, ako sa stanú nepotrebnými.

§ 7
Zástupca prevádzkovateľa
(1) Prevádzkovateľ, ktorý pripravuje spracúvanie osobných údajov podľa § 2 ods. 2 písm. b) je povinný pred začatím spracúvania vymenovať svojho zástupcu so sídlom, miestom podnikania alebo trvalým pobytom na území Slovenskej republiky.
(2) Zástupca prevádzkovateľa je povinný disponovať originálom dokladu svojho vymenovania za zástupcu prevádzkovateľa a ten preukázať úradu kedykoľvek na jeho žiadosť. Pravosť podpisov a odtlačku pečiatky prevádzkovateľa na origináli dokladu musí byť úradne osvedčená.
(3) Ustanovenia tohto zákona o prevádzkovateľovi sa v rovnakom rozsahu vzťahujú aj na zástupcu prevádzkovateľa.

§ 8
Sprostredkovateľ
(1) Prevádzkovateľ je oprávnený na základe písomnej zmluvy poveriť spracúvaním osobných údajov sprostredkovateľa. Na účely poverenia sprostredkovateľa spracúvaním osobných údajov podľa prvej vety sa súhlas dotknutej osoby nevyžaduje.
(2) Prevádzkovateľ je pri výbere sprostredkovateľa povinný dbať na jeho odbornú, technickú, organizačnú a personálnu spôsobilosť a jeho schopnosť zaručiť bezpečnosť spracúvaných osobných údajov opatreniami podľa § 19 ods. 1. Prevádzkovateľ nesmie zveriť spracúvanie osobných údajov sprostredkovateľovi, ak by tým mohli byť ohrozené práva a právom chránené záujmy dotknutých osôb.
(3) Prevádzkovateľ je povinný uzatvoriť so sprostredkovateľom zmluvu podľa odseku 1 pred začatím spracúvania osobných údajov, najneskôr v deň začatia spracúvania osobných údajov. Sprostredkovateľ je oprávnený spracúvať osobné údaje len v rozsahu, za podmienok a na účel dojednaný s prevádzkovateľom v zmluve a spôsobom podľa tohto zákona.
(4) Zmluva podľa odseku 3 musí obsahovať
a) údaje o zmluvných stranách (ďalej len „identifikačné údaje“)
1. titul, meno, priezvisko, dátum narodenia a adresu trvalého pobytu, ak ide o fyzickú osobu,
2. názov, právnu formu, adresu sídla a identifikačné číslo, ak ide o právnickú osobu,
3. obchodné meno, adresu miesta podnikania a identifikačné číslo, ak ide o fyzickú osobu-podnikateľa,
b) deň, od ktorého je sprostredkovateľ oprávnený začať so spracúvaním osobných údajov v mene prevádzkovateľa,
c) účel spracúvania osobných údajov,
d) názov informačného systému,
e) zoznam osobných údajov, ktoré sa budú spracúvať; zoznam osobných údajov možno nahradiť rozsahom osobných údajov podľa § 10 ods. 4,
f) okruh dotknutých osôb,
g) podmienky spracúvania osobných údajov vrátane zoznamu povolených operácií s osobnými údajmi,
h) vyhlásenie prevádzkovateľa, že pri výbere sprostredkovateľa postupoval podľa odseku 2 prvej vety,
i) súhlas prevádzkovateľa na spracúvanie osobných údajov sprostredkovateľom prostredníctvom inej osoby, ak postupujú podľa odseku 5,
j) dobu, na ktorú sa zmluva uzatvára,
k) dátum uzatvorenia zmluvy a podpisy zmluvných strán.
(5) Sprostredkovateľ vykonáva spracúvanie osobných údajov osobne, pokiaľ si s prevádzkovateľom písomne v zmluve nedohodne, že spracúvanie osobných údajov vykoná prostredníctvom inej osoby (ďalej len „subdodávateľ“). Subdodávateľ spracúva osobné údaje a zabezpečuje ich ochranu na zodpovednosť sprostredkovateľa. Ustanovenia tohto zákona o sprostredkovateľovi sa vzťahujú aj na subdodávateľa. Na subdodávateľa úrad nahliada ako na sprostredkovateľa.
(6) Ak prevádzkovateľ poveril spracúvaním osobných údajov sprostredkovateľa až po získaní osobných údajov, je povinný zabezpečiť oznámenie tejto skutočnosti dotknutým osobám pri prvom kontakte s nimi, najneskôr však do troch mesiacov odo dňa poverenia sprostredkovateľa. To platí aj vtedy, ak spracúvanie osobných údajov prevezme právny nástupca prevádzkovateľa.12) Prevádzkovateľ nemusí dotknutej osobe informáciu podľa prvej vety oznamovať, ak sa v rovnakej lehote postupovalo podľa odseku 7.
(7) Sprostredkovateľ je vždy povinný pri prvom kontakte s dotknutou osobou oznámiť, že spracúva jej osobné údaje v mene prevádzkovateľa na vymedzený alebo ustanovený účel, ak tento zákon neustanovuje inak.
(8) Ak sprostredkovateľ zistí, že prevádzkovateľ sa pri spracúvaní osobných údajov dopustil zjavného porušenia zákona, je povinný ho na to písomne upozorniť a do vykonania nápravy vykonať len také operácie s osobnými údajmi, ktoré neznesú odklad. Prevádzkovateľ je povinný bez zbytočného odkladu vykonať nápravu podľa prvej vety, najneskôr však v lehote jedného mesiaca odo dňa doručenia písomného upozornenia; inak je sprostredkovateľ povinný o tom bez zbytočného odkladu informovať úrad.
(9) Ak si sprostredkovateľ nesplní povinnosť podľa odseku 8, zodpovedá za porušenie povinnosti a za škodu spôsobenú porušením tejto povinnosti spoločne a nerozdielne spolu s prevádzkovateľom. Tým nie je dotknutá zodpovednosť sprostredkovateľa podľa tohto zákona alebo osobitného zákona.
(10) Sprostredkovateľ je povinný dodržiavať povinnosti ustanovené prevádzkovateľovi v § 5 ods. 1, § 6 ods. 2 písm. c) až i), § 6 ods. 4, § 19 až 26, ak tento zákon neustanovuje inak.
(11) Povinnosti prevádzkovateľa ustanovené v § 8 ods. 6, § 15 až 18 a § 28 až 32 môže vykonať sprostredkovateľ, ak sa tak výslovne dohodne v zmluve uzatvorenej s prevádzkovateľom podľa odseku 1.
(12) Sprostredkovateľ zodpovedá za plnenie povinností podľa odseku 11 v rozsahu zmluvy uzatvorenej s prevádzkovateľom podľa odseku 1.

Právny základ spracúvania osobných údajov

§ 9
(1) Prevádzkovateľ môže spracúvať osobné údaje len na základe priamo vykonateľného právne záväzného aktu Európskej únie, medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, ustanovení tohto zákona alebo osobitného zákona, alebo na základe súhlasu dotknutej osoby.
(2) Sprostredkovateľ môže spracúvať osobné údaje na základe priamo vykonateľného právne záväzného aktu Európskej únie, medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, ustanovení tohto zákona alebo osobitného zákona, alebo na základe súhlasu dotknutej osoby, len v rozsahu a za podmienok dojednaných v zmluve uzatvorenej s prevádzkovateľom podľa § 8 ods. 1.

§ 10
Spracúvanie osobných údajov bez súhlasu dotknutej osoby
(1) Prevádzkovateľ spracúva osobné údaje bez súhlasu dotknutej osoby, ak účel spracúvania osobných údajov, okruh dotknutých osôb a zoznam osobných údajov alebo ich rozsah podľa odseku 4 ustanovuje priamo vykonateľný právne záväzný akt Európskej únie, medzinárodná zmluva, ktorou je Slovenská republika viazaná, alebo tento zákon. Ak zoznam alebo rozsah osobných údajov nie je ustanovený, prevádzkovateľ môže spracúvať osobné údaje len v rozsahu a spôsobom, ktorý je nevyhnutný na dosiahnutie ustanoveného účelu spracúvania pri dodržaní povinností podľa § 6 ods. 2 písm. c) až f) a i).
(2) Prevádzkovateľ ďalej spracúva osobné údaje bez súhlasu dotknutej osoby, ak účel spracúvania osobných údajov, okruh dotknutých osôb a zoznam osobných údajov ustanovuje osobitný zákon.13) Prevádzkovateľ spracúva osobné údaje len v rozsahu a spôsobom, ktorý ustanovuje osobitný zákon. Spracúvané osobné údaje možno z informačného systému poskytnúť, sprístupniť alebo zverejniť len vtedy, ak osobitný zákon ustanovuje účel poskytovania, sprístupňovania alebo zverejňovania, zoznam osobných údajov, ktoré možno poskytnúť, sprístupniť alebo zverejniť, ako aj tretie strany, ktorým sa osobné údaje poskytujú, prípadne okruh príjemcov, ktorým sa osobné údaje sprístupňujú, ak tento zákon neustanovuje inak.
(3) Prevádzkovateľ spracúva osobné údaje bez súhlasu dotknutej osoby aj vtedy, ak
a) spracúvanie osobných údajov je nevyhnutné na účely tvorby umeleckých alebo literárnych diel, pre potreby informovania verejnosti masovokomunikačnými prostriedkami a ak osobné údaje spracúva prevádzkovateľ, ktorému to vyplýva z predmetu jeho činnosti; to neplatí, ak spracúvaním osobných údajov na takýto účel prevádzkovateľ porušuje právo dotknutej osoby na ochranu jej osobnosti a súkromia alebo takéto spracúvanie osobných údajov bez súhlasu dotknutej osoby vylučuje osobitný zákon alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná,
b) spracúvanie osobných údajov je nevyhnutné na plnenie zmluvy, v ktorej vystupuje dotknutá osoba ako jedna zo zmluvných strán, alebo v predzmluvných vzťahoch s dotknutou osobou alebo pri rokovaní o zmene zmluvy, ktoré sa uskutočňujú na žiadosť dotknutej osoby,
c) spracúvanie osobných údajov je nevyhnutné na ochranu života, zdravia alebo majetku dotknutej osoby,
d) predmetom spracúvania sú výlučne titul, meno, priezvisko a adresa dotknutej osoby bez možnosti priradiť k nim ďalšie jej osobné údaje a ich využitie je určené výhradne pre potreby prevádzkovateľa v poštovom styku s dotknutou osobou a evidencie týchto údajov; ak je predmetom činnosti prevádzkovateľa priamy marketing, uvedené osobné údaje môže poskytovať, bez možnosti ich sprístupňovania a zverejňovania, len vtedy, ak sú poskytované inému prevádzkovateľovi, ktorý má rovnaký predmet činnosti, výhradne na účely priameho marketingu, a dotknutá osoba písomne neuplatnila námietku podľa § 28 ods. 3 písm. c),
e) sa spracúvajú osobné údaje, ktoré už boli zverejnené v súlade so zákonom a prevádzkovateľ ich náležite označil ako zverejnené; ten, kto tvrdí, že spracúva zverejnené osobné údaje, na požiadanie preukáže úradu, že spracúvané osobné údaje boli už zákonne zverejnené,
f) spracúvanie osobných údajov je nevyhnutné na splnenie dôležitej úlohy realizovanej vo verejnom záujme, alebo
g) spracúvanie osobných údajov je nevyhnutné na ochranu práv a právom chránených záujmov prevádzkovateľa alebo tretej strany, najmä osobné údaje spracúvané v rámci ochrany majetku, finančných alebo iných záujmov prevádzkovateľa, osobné údaje spracúvané na zabezpečenie bezpečnosti prevádzkovateľa prostredníctvom kamier alebo obdobných systémov; to neplatí, ak pri takomto spracúvaní osobných údajov prevažujú základné práva a slobody dotknutej osoby, ktoré podliehajú ochrane podľa tohto zákona.
(4) Ak sa vzhľadom na účel spracúvania osobných údajov ustanovený v priamo vykonateľnom právne záväznom akte Európskej únie, medzinárodnej zmluve, ktorou je Slovenská republika viazaná, v tomto zákone a osobitnom zákone nedajú vopred konkrétne určiť jednotlivé osobné údaje, ktoré majú byť predmetom spracúvania, zoznam osobných údajov podľa odsekov 1 a 2 možno nahradiť rozsahom osobných údajov; prevádzkovateľ je povinný pri takomto spracúvaní osobných údajov postupovať podľa § 6 ods. 2 písm. d) okrem tých prevádzkovateľov, ktorí spracúvajú osobné údaje na účely súdneho konania a v súvislosti s ním. Zoznam tretích strán podľa odseku 2 možno nahradiť určením okruhu tretích strán len vtedy, ak vzhľadom na povahu veci nemožno vopred určiť jednotlivé tretie strany, ktorým sa osobné údaje poskytujú, alebo ak tretie strany tvoria skupinu subjektov s rovnakým predmetom činnosti a vykonávajú spracúvanie osobných údajov na rovnaký účel, prípadne ak zloženie takejto skupiny podlieha neustálej zmene.

§ 11
Súhlas dotknutej osoby
(1) Ak sa na spracúvanie osobných údajov neuplatňuje § 10, prevádzkovateľ je oprávnený spracúvať osobné údaje len so súhlasom dotknutej osoby.
(2) Ak prevádzkovateľ spracúva osobné údaje podľa odseku 1 a vzniknú pochybnosti o udelení súhlasu dotknutej osoby, prevádzkovateľ je povinný úradu hodnoverne preukázať, že mu dotknutá osoba súhlas poskytla.
(3) Súhlas dotknutej osoby si prevádzkovateľ nesmie vynucovať a ani podmieňovať hrozbou odmietnutia zmluvného vzťahu, služby, tovaru alebo povinnosti ustanovenej prevádzkovateľovi právne záväzným aktom Európskej únie, medzinárodnou zmluvou, ktorou je Slovenská republika viazaná, alebo zákonom.
(4) Súhlas sa preukazuje zvukovým alebo zvukovo-obrazovým záznamom alebo čestným vyhlásením toho, kto poskytol osobné údaje do informačného systému, alebo iným hodnoverným spôsobom. Písomný súhlas sa preukazuje dokladom, ktorý potvrdzuje poskytnutie súhlasu. Dôkaz o súhlase obsahuje najmä údaj o tom, kto súhlas poskytol, komu sa tento súhlas dáva, na aký účel, zoznam alebo rozsah osobných údajov a čas platnosti súhlasu. Súhlas daný v písomnej podobe je bez vlastnoručného podpisu toho, kto súhlas dáva, neplatný. Za súhlas v písomnej podobe sa považuje aj súhlas podpísaný zaručeným elektronickým podpisom.14)

§ 12
(1) Osobné údaje o dotknutej osobe možno získať od inej fyzickej osoby a spracúvať v informačnom systéme len s predchádzajúcim písomným súhlasom dotknutej osoby. To neplatí, ak poskytnutím osobných údajov o dotknutej osobe do informačného systému iná fyzická osoba chráni svoje práva alebo právom chránené záujmy alebo oznamuje skutočnosti, ktoré odôvodňujú uplatnenie právnej zodpovednosti dotknutej osoby, alebo sa osobné údaje spracúvajú na základe osobitného zákona podľa § 10 ods. 2. Ten, kto takto osobné údaje spracúva, musí vedieť preukázať úradu kedykoľvek na jeho žiadosť, že ich získal v súlade s týmto zákonom.
(2) Osobné údaje dotknutej osoby možno poskytnúť z informačného systému inej právnickej osobe alebo fyzickej osobe len spolu s písomným dokladom o danom súhlase, ak tento zákon takýto súhlas vyžaduje; ten, kto osobné údaje takto poskytuje, môže písomný doklad o danom súhlase nahradiť písomným vyhlásením prevádzkovateľa o udelení súhlasu dotknutou osobou, ak prevádzkovateľ vie preukázať, že písomný súhlas dotknutej osoby bol daný.
(3) Prevádzkovateľ, ktorý je zamestnávateľom dotknutej osoby, je oprávnený sprístupniť, poskytovať alebo zverejniť jej osobné údaje v rozsahu titul, meno, priezvisko, pracovné, služobné alebo funkčné zaradenie, odborný útvar, miesto výkonu práce, telefónne číslo, faxové číslo alebo elektronická pošta na pracovisko a identifikačné údaje zamestnávateľa, ak je to potrebné v súvislosti s plnením pracovných, služobných alebo funkčných povinností dotknutej osoby. Sprístupnenie, poskytovanie alebo zverejnenie osobných údajov nemôže narušiť vážnosť, dôstojnosť a bezpečnosť dotknutej osoby.
(4) Osobné údaje podľa § 10 ods. 3 písm. c) a podľa § 14 písm. c) možno spracúvať bez súhlasu dotknutej osoby len po dobu, kým nezaniknú dôvody, ktoré neumožňovali získať súhlas dotknutej osoby. Ak dôvody zanikli, ten, kto osobné údaje spracúva, zabezpečí súhlas dotknutej osoby.
(5) Ten, kto má v úmysle zverejniť osobné údaje dotknutej osoby, nesmie svojím konaním neoprávnene zasahovať do práva na ochranu jej osobnosti a súkromia; zverejnenie osobných údajov nesmie byť v rozpore s oprávnenými záujmami dotknutej osoby.7)
(6) Ak dotknutá osoba nemá spôsobilosť na právne úkony v plnom rozsahu,15) súhlas vyžadovaný podľa tohto zákona môže poskytnúť jej zákonný zástupca.16)
(7) Ak dotknutá osoba nežije, súhlas vyžadovaný podľa tohto zákona môže poskytnúť jej blízka osoba.17) Súhlas nie je platný, ak čo len jedna blízka osoba písomne vyslovila nesúhlas.

§ 13
Osobitné kategórie osobných údajov
(1) Spracúvať osobné údaje, ktoré odhaľujú rasový alebo etnický pôvod, politické názory, náboženskú vieru alebo svetonázor, členstvo v politických stranách alebo politických hnutiach, členstvo v odborových organizáciách a údaje týkajúce sa zdravia alebo pohlavného života, sa zakazuje.
(2) Pri spracúvaní osobných údajov možno využiť na účely určenia fyzickej osoby všeobecne použiteľný identifikátor ustanovený osobitným zákonom18) len vtedy, ak jeho použitie je nevyhnutné na dosiahnutie daného účelu spracúvania. Spracúvať iný identifikátor, ktorý v sebe skrýva charakteristiky dotknutej osoby, alebo zverejňovať všeobecne použiteľný identifikátor sa zakazuje.
(3) Spracúvanie osobných údajov o psychickej identite fyzickej osoby alebo o jej psychickej pracovnej spôsobilosti môže vykonávať len psychológ alebo ten, komu to umožňuje osobitný zákon.19)
(4) Spracúvanie osobných údajov o porušení ustanovení zakladajúcich trestnú zodpovednosť alebo administratívnoprávnu zodpovednosť, môže vykonávať len ten, komu to umožňuje osobitný zákon.20)
(5) Prevádzkovateľ je oprávnený spracúvať biometrické údaje len vtedy, ak je to primerané účelu spracúvania a nevyhnutné na jeho dosiahnutie a ak
a) to prevádzkovateľovi vyplýva výslovne zo zákona,
b) dotknutá osoba dala na spracúvanie písomný alebo inak hodnoverne preukázateľný súhlas,
c) spracúvanie osobných údajov je nevyhnutné na plnenie zmluvy podľa § 10 ods. 3 písm. b), alebo
d) spracúvanie osobných údajov je nevyhnutné na účely podľa § 10 ods. 3 písm. g).
(6) Primeranosť, nevyhnutnosť a právny základ spracúvania biometrických údajov podľa odseku 5 písm. b) až d) posudzuje úrad v konaní podľa § 37 až 39.

§ 14
Výnimky z obmedzenia pri spracúvaní osobitných kategórií osobných údajov
Zákaz spracúvania osobných údajov podľa § 13 ods. 1 neplatí, ak
a) dotknutá osoba dala písomný alebo inak hodnoverne preukázateľný súhlas na ich spracúvanie; súhlas je neplatný, ak jeho poskytnutie vylučuje osobitný zákon,
b) právnym základom pre spracúvanie osobných údajov je osobitný zákon, právne záväzný akt Európskej únie alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná,
c) spracúvanie je nevyhnutné na ochranu životne dôležitých záujmov dotknutej osoby alebo inej fyzickej osoby, ak dotknutá osoba nemá spôsobilosť na právne úkony alebo fyzicky nie je spôsobilá na vydanie písomného súhlasu a ak nemožno získať písomný súhlas jej zákonného zástupcu,
d) spracúvanie vykonáva v rámci oprávnenej činnosti občianske združenie, nadácia alebo nezisková organizácia poskytujúca všeobecne prospešné služby, politická strana alebo politické hnutie, odborová organizácia, štátom uznaná cirkev alebo náboženská spoločnosť a toto spracúvanie sa týka iba ich členov alebo tých fyzických osôb, ktoré sú s nimi vzhľadom na ich ciele v pravidelnom styku, osobné údaje slúžia výlučne pre ich vnútornú potrebu a nebudú poskytnuté tretej strane bez písomného alebo inak hodnoverne preukázateľného súhlasu dotknutej osoby,
e) spracúvanie sa týka osobných údajov, ktoré dotknutá osoba sama zverejnila alebo sú nevyhnutné pri uplatňovaní jej právneho nároku,
f) ide o spracúvanie na účely poskytovania zdravotnej starostlivosti a na účely vykonávania verejného zdravotného poistenia, ak tieto údaje spracúva poskytovateľ zdravotnej starostlivosti, zdravotná poisťovňa, osoba vykonávajúca služby súvisiace s poskytovaním zdravotnej starostlivosti alebo osoba vykonávajúca dohľad nad zdravotnou starostlivosťou a v jej mene odborne spôsobilá oprávnená osoba, ktorá je viazaná povinnosťou mlčanlivosti o skutočnostiach tvoriacich profesijné tajomstvo a povinnosťou dodržiavať zásady profesijnej etiky, alebo
g) ide o spracúvanie v sociálnom poistení, v sociálnom zabezpečení policajtov a vojakov, na účely poskytovania štátnych sociálnych dávok, podporu sociálneho začlenenia fyzickej osoby s ťažkým zdravotným postihnutím do spoločnosti,21) poskytovania sociálnych služieb, vykonávania opatrení sociálnoprávnej ochrany detí a sociálnej kurately alebo poskytovania pomoci v hmotnej núdzi, alebo je spracúvanie nevyhnutné na účely plnenia povinností alebo uplatnenie zákonných práv prevádzkovateľa zodpovedného za spracúvanie v oblasti pracovného práva a v službách zamestnanosti a ak to prevádzkovateľovi vyplýva z osobitného predpisu.22)

§ 15
Získavanie osobných údajov
(1) Prevádzkovateľ, ktorý pripravuje spracúvanie osobných údajov dotknutej osoby, je povinný pred ich získavaním dotknutej osobe vopred oznámiť tieto informácie:
a) identifikačné údaje prevádzkovateľa a zástupcu prevádzkovateľa, ak bol vymenovaný,
b) identifikačné údaje sprostredkovateľa; to neplatí, ak prevádzkovateľ pri získavaní osobných údajov nepostupuje podľa § 8,
c) účel spracúvania osobných údajov,
d) zoznam osobných údajov alebo rozsah osobných údajov podľa § 10 ods. 4 prvej vety a
e) doplňujúce informácie, ktoré sú s ohľadom na všetky okolnosti a podmienky spracúvania osobných údajov potrebné pre dotknutú osobu na zaručenie jej práv a právom chránených záujmov v rozsahu najmä
1. preukázanie totožnosti oprávnenej osoby, ktorá získava osobné údaje, alebo preukázanie príslušnosti oprávnenej osoby hodnoverným dokladom k tomu subjektu, v mene ktorého koná; oprávnená osoba je povinná takejto žiadosti dotknutej osoby bez zbytočného odkladu vyhovieť,
2. poučenie o dobrovoľnosti alebo povinnosti poskytnúť požadované osobné údaje; ak prevádzkovateľ získava osobné údaje dotknutej osoby na základe súhlasu dotknutej osoby podľa § 11, oznámi jej aj čas platnosti súhlasu, a ak dotknutej osobe povinnosť poskytnúť osobné údaje vyplýva z priamo vykonateľného právne záväzného aktu Európskej únie, medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, alebo zákona, prevádzkovateľ oznámi dotknutej osobe právny základ, ktorý jej túto povinnosť ukladá, a upovedomí ju o následkoch odmietnutia poskytnúť osobné údaje,
3. tretie strany, ak sa predpokladá alebo je zrejmé, že im budú osobné údaje poskytnuté,
4. okruh príjemcov, ak sa predpokladá alebo je zrejmé, že im budú osobné údaje sprístupnené,
5. formu zverejnenia, ak majú byť osobné údaje zverejnené,
6. tretie krajiny, ak sa predpokladá alebo je zrejmé, že sa do týchto krajín uskutoční prenos osobných údajov,
7. poučenie o právach dotknutej osoby.
(2) Ak osobné údaje o dotknutej osobe nezískal prevádzkovateľ priamo od tejto dotknutej osoby, je povinný bez zbytočného odkladu, najneskôr však v čase pred ich prvým poskytnutím tretej strane, ak sa takéto poskytovanie predpokladá, oznámiť dotknutej osobe informácie podľa odseku 1 písm. a) až c) a ďalšie doplňujúce informácie, pokiaľ sú potrebné s ohľadom na špecifické okolnosti, za ktorých sú osobné údaje získavané na zabezpečenie zákonného spracúvania, najmä
a) poučenie o možnosti rozhodnúť o spracúvaní získaných osobných údajov,
b) zoznam osobných údajov,
c) tretie strany, ak sa predpokladá alebo je zrejmé, že im budú osobné údaje poskytnuté,
d) okruh príjemcov, ak sa predpokladá alebo je zrejmé, že im budú osobné údaje sprístupnené,
e) formu zverejnenia, ak majú byť osobné údaje zverejnené,
f) tretie krajiny, ak sa predpokladá alebo je zrejmé, že sa do týchto krajín uskutoční prenos osobných údajov,
g) poučenie o právach dotknutej osoby.
(3) Informácie podľa odseku 1 netreba dotknutej osobe oznamovať, ak prevádzkovateľ vie úradu kedykoľvek na jeho žiadosť preukázať, že jej boli už predtým poskytnuté alebo ak prevádzkovateľ spracúva osobné údaje podľa § 10 ods. 1 a 2. Informácie podľa odseku 2 netreba dotknutej osobe oznamovať, ak prevádzkovateľ
a) vie úradu kedykoľvek na jeho žiadosť preukázať, že jej boli už predtým poskytnuté,
b) spracúva osobné údaje podľa § 10 ods. 1 a 2,
c) spracúva osobné údaje na účel ustanovený v § 10 ods. 3 písm. a),
d) spracúva osobné údaje na historický výskum alebo vedecký výskum a vývoj, alebo na účely štatistiky a poskytnutie takýchto informácií je objektívne nemožné alebo by bolo možné len s vyvinutím neprimeraného úsilia, alebo
e) spracúva osobné údaje podľa § 10 ods. 3 písm. e).
(4) Prevádzkovateľ, ktorý získava osobné údaje na účely identifikácie fyzickej osoby pri jej jednorazovom vstupe do jeho priestorov, je oprávnený od nej požadovať titul, meno, priezvisko a číslo občianskeho preukazu,23) číslo služobného preukazu alebo číslo cestovného dokladu,24) štátnu príslušnosť a preukázanie pravdivosti poskytnutých osobných údajov predkladaným dokladom. Ak sa fyzická osoba preukáže podľa osobitného zákona,25) je prevádzkovateľ oprávnený od nej požadovať len evidenčné číslo služobného preukazu a názov orgánu, ktorý služobný preukaz vydal. V oboch prípadoch sa odsek 1 nepoužije.
(5) Prevádzkovateľ, ktorý v priestoroch prístupných verejnosti získava, poskytuje alebo sprístupňuje osobné údaje, zabezpečí ich primeranú ochranu podľa § 19.
(6) Získavať osobné údaje nevyhnutné na dosiahnutie účelu spracúvania kopírovaním, skenovaním alebo iným zaznamenávaním úradných dokladov na nosič informácií možno len vtedy, ak s tým dotknutá osoba písomne súhlasí alebo ak to osobitný zákon výslovne umožňuje bez súhlasu dotknutej osoby.26) To neplatí, ak ide o získavanie osobných údajov na účely a v rozsahu údajov podľa odseku 4 ich zaznamenávaním z úradného dokladu automatizovanými prostriedkami spracúvania a o získavanie osobných údajov na účely uzatvorenia pracovnoprávneho alebo obdobného vzťahu .
(7) Priestor prístupný verejnosti možno monitorovať len na účely ochrany verejného poriadku a bezpečnosti, odhaľovania kriminality, narušenia bezpečnosti štátu, ochrany majetku alebo zdravia, a to len vtedy, ak je priestor zreteľne označený ako monitorovaný; monitorovaný priestor je prevádzkovateľ povinný zreteľne označiť bez ohľadu na to, či sa snímaný obraz alebo zvuk zaznamenáva na nosič informácií. Označenie monitorovaného priestoru sa nevyžaduje, ak tak ustanovuje osobitný zákon. Vyhotovený záznam možno využiť len na účely trestného konania alebo konania o priestupkoch, ak osobitný zákon neustanovuje inak.
(8) Prevádzkovateľ, ktorý získa osobné údaje uvedené v § 10 ods. 3 písm. d) bez vedomia dotknutej osoby alebo priamo od nej, poskytne jej pri prvom kontakte informácie podľa odseku 1, a ak sú spracúvané na účely priameho marketingu, oboznámi ju výslovne aj s právom písomne namietať proti ich poskytovaniu a využívaniu v poštovom styku.
(9) Prevádzkovateľ, ktorého predmetom činnosti je priamy marketing, vedie zoznam poskytnutých osobných údajov podľa § 10 ods. 3 písm. d) v rozsahu titul, meno, priezvisko a adresa dotknutej osoby, dátum ich poskytnutia, prípadne dátum, od ktorého platí zákaz ich ďalšieho poskytovania podľa § 17 ods. 6, a názov právnickej osoby alebo fyzickej osoby, ktorej boli uvedené osobné údaje poskytnuté. Zoznam v rovnakom rozsahu vedie aj právnická osoba a fyzická osoba, ktorej boli tieto osobné údaje poskytnuté.

§ 16
Pravdivosť, správnosť a aktuálnosť osobných údajov
(1) Do informačného systému možno poskytnúť len pravdivé osobné údaje. Za nepravdivosť osobných údajov zodpovedá ten, kto ich do informačného systému poskytol.
(2) Správnosť a aktuálnosť osobných údajov zabezpečuje prevádzkovateľ.
(3) Osobný údaj sa považuje za správny, kým sa nepreukáže opak.

§ 17
Likvidácia osobných údajov
(1) Prevádzkovateľ je po splnení účelu spracúvania povinný bez zbytočného odkladu zabezpečiť likvidáciu osobných údajov.
(2) Odsek 1 sa nepoužije, ak osobné údaje sú súčasťou registratúrneho záznamu.27) Prevádzkovateľ zabezpečuje likvidáciu registratúrneho záznamu podľa osobitného predpisu.28)
(3) Prevádzkovateľ zabezpečí bez zbytočného odkladu likvidáciu osobných údajov okrem osobných údajov uvedených v § 10 ods. 3 písm. d) aj vtedy, ak zanikli dôvody, ktoré neumožňovali získať súhlas dotknutej osoby podľa § 11 ods. 4, a súhlas nebol daný.
(4) Ak dotknutá osoba uplatní námietku podľa § 28 ods. 3 písm. a), prevádzkovateľ je povinný spracúvané osobné údaje bez zbytočného odkladu zlikvidovať okrem osobných údajov uvedených v § 10 ods. 3 písm. d).
(5) Ak dotknutá osoba uplatní námietku podľa § 28 ods. 3 písm. b), prevádzkovateľ je povinný bez zbytočného odkladu skončiť využívanie osobných údajov uvedených v § 10 ods. 3 písm. d) v poštovom styku.
(6) Ak dotknutá osoba uplatní námietku podľa § 28 ods. 3 písm. c), prevádzkovateľ je povinný to bez zbytočného odkladu, najneskôr do troch pracovných dní, písomne oznámiť každému, komu osobné údaje uvedené v § 10 ods. 3 písm. d) poskytol; zákaz ďalšieho poskytovania tu uvedených osobných údajov platí pre prevádzkovateľa a každého, komu ich prevádzkovateľ poskytol odo dňa nasledujúceho po dni doručenia námietky dotknutej osoby, prípadne doručenia písomného oznámenia prevádzkovateľa.
(7) Ak záznam vyhotovený podľa § 15 ods. 7 nie je využitý na účely trestného konania alebo konania o priestupkoch, je ten, kto ho vyhotovil, povinný ho zlikvidovať najneskôr v lehote 15 dní odo dňa nasledujúceho po dni, v ktorom bol záznam vyhotovený, ak osobitný zákon neustanovuje inak.

§ 18
Oznamovanie zmien tretím stranám
(1) Ak prevádzkovateľa upozorní dotknutá osoba alebo ak si dotknutá osoba uplatní u prevádzkovateľa svoje právo, alebo ak prevádzkovateľ sám zistí, že poskytol tretej strane nesprávne, neúplné alebo neaktuálne osobné údaje, alebo že ich poskytol bez právneho základu, je povinný bez zbytočného odkladu písomne oznámiť to každému, komu ich poskytol. Prevádzkovateľ v oznámení uvedie, aké opatrenia na nápravu vykonal, najmä či osobné údaje blokoval, doplnil, opravil, aktualizoval alebo zlikvidoval, a aké opatrenia žiada prijať od tretej strany.
(2) Tretia strana je povinná na základe oznámenia podľa odseku 1 vykonať požadované opatrenia, najmä zablokovať osobné údaje v informačnom systéme a bez zbytočného odkladu ich doplniť, opraviť, aktualizovať alebo zlikvidovať.
(3) Od oznámenia podľa odseku 1 možno upustiť len vtedy, ak oznámenie je objektívne nemožné alebo je možné len s vyvinutím neprimeraného úsilia.
(4) Prevádzkovateľ, ktorý upustí od oznámenia podľa odseku 1 z dôvodu podľa odseku 3, je povinný na vyzvanie úradu preukázať, že upustenie od oznámenia je dôvodné.

Druhá hlava
Bezpečnosť osobných údajov

§ 19
Zodpovednosť za bezpečnosť osobných údajov
(1) Za bezpečnosť osobných údajov zodpovedá prevádzkovateľ. Prevádzkovateľ je povinný chrániť spracúvané osobné údaje pred ich poškodením, zničením, stratou, zmenou, neoprávneným prístupom a sprístupnením, poskytnutím alebo zverejnením, ako aj pred akýmikoľvek inými neprípustnými spôsobmi spracúvania. Na tento účel prijme primerané technické, organizačné a personálne opatrenia (ďalej len „bezpečnostné opatrenia“) zodpovedajúce spôsobu spracúvania osobných údajov, pričom berie do úvahy najmä použiteľné technické prostriedky, dôvernosť a dôležitosť spracúvaných osobných údajov, ako aj rozsah možných rizík, ktoré sú spôsobilé narušiť bezpečnosť alebo funkčnosť informačného systému.
(2) Bezpečnostné opatrenia podľa odseku 1 prevádzkovateľ zdokumentuje v bezpečnostnej smernici, ak v informačnom systéme
a) prepojenom s verejne prístupnou počítačovou sieťou nespracúva osobitné kategórie osobných údajov podľa § 13, alebo
b) neprepojenom s verejne prístupnou počítačovou sieťou spracúva osobitné kategórie osobných údajov podľa § 13.
(3) Bezpečnostné opatrenia podľa odseku 1 prevádzkovateľ zdokumentuje v bezpečnostnom projekte informačného systému (ďalej len „bezpečnostný projekt“), ak
a) v informačnom systéme prepojenom s verejne prístupnou počítačovou sieťou spracúva osobitné kategórie osobných údajov podľa § 13, alebo
b) informačný systém slúži na zabezpečenie verejného záujmu podľa § 3 ods. 1; ustanovenie § 20 sa pri vypracúvaní bezpečnostného projektu nepoužije len vtedy, ak pre konkrétny prípad je tu súčasne povinnosť vypracovať bezpečnostný projekt podľa osobitného predpisu.29)
(4) Prevádzkovateľ je povinný bez zbytočného odkladu zabezpečovať aktualizáciu bezpečnostných opatrení prijatých podľa odsekov 1 až 3 tak, aby zodpovedala prijatým zmenám pri spracúvaní osobných údajov, a to až do ukončenia spracúvania osobných údajov v informačnom systéme.
(5) Prevádzkovateľ je povinný oboznámiť oprávnené osoby s obsahom bezpečnostnej smernice v rozsahu potrebnom na plnenie ich úloh; oboznámenie oprávnených osôb s obsahom bezpečnostnej smernice je prevádzkovateľ povinný na žiadosť úradu hodnoverne preukázať. Prevádzkovateľ je povinný splniť povinnosť podľa prvej vety pri každej zmene bezpečnostnej smernice.
(6) Na požiadanie úradu prevádzkovateľ preukáže rozsah a obsah bezpečnostných opatrení podľa odsekov 1až 3.

§ 20
Bezpečnostný projekt
(1) Bezpečnostný projekt vymedzuje rozsah a spôsob bezpečnostných opatrení potrebných na eliminovanie a minimalizovanie hrozieb a rizík pôsobiacich na informačný systém z hľadiska narušenia jeho bezpečnosti, spoľahlivosti a funkčnosti.
(2) Bezpečnostný projekt vypracúva prevádzkovateľ v súlade s bezpečnostnými štandardmi, právnymi predpismi a medzinárodnými zmluvami, ktorými je Slovenská republika viazaná.
(3) Rozsah a dokumentáciu bezpečnostných opatrení ustanoví všeobecne záväzný právny predpis, ktorý vydá úrad.

§ 21
Poučenie oprávnenej osoby
(1) Fyzická osoba sa stáva oprávnenou osobou dňom jej poučenia.
(2) Prevádzkovateľ je povinný poučiť osobu podľa odseku 1 o jej právach a povinnostiach pri spracúvaní osobných údajov; poučenie obsahuje najmä vymedzenie rozsahu jej oprávnení, povolených činností a podmienok spracúvania osobných údajov. Prevádzkovateľ vykoná poučenie pred uskutočnením prvej operácie s osobnými údajmi oprávnenou osobou.
(3) Prevádzkovateľ je povinný o poučení oprávnenej osoby vyhotoviť záznam, ktorý je povinný na požiadanie úradu hodnoverne preukázať.
(4) Prevádzkovateľ je povinný opätovne poučiť oprávnenú osobu, ak došlo k podstatnej zmene jej pracovného, služobného alebo funkčného zaradenia, a tým sa významne zmenil obsah náplne jej pracovných činností, alebo sa podstatne zmenili podmienky spracúvania osobných údajov alebo rozsah spracúvaných osobných údajov v rámci jej pracovného, služobného alebo funkčného zaradenia.

§ 22
Povinnosť mlčanlivosti
(1) Prevádzkovateľ je povinný zachovávať mlčanlivosť o osobných údajoch, ktoré spracúva. Povinnosť mlčanlivosti trvá aj po ukončení spracúvania osobných údajov.
(2) Oprávnená osoba je povinná zachovávať mlčanlivosť o osobných údajoch, s ktorými príde do styku; tie nesmie využiť ani pre osobnú potrebu a bez súhlasu prevádzkovateľa ich nesmie zverejniť a nikomu poskytnúť ani sprístupniť.
(3) Povinnosť mlčanlivosti podľa odseku 2 platí aj pre iné fyzické osoby, ktoré prídu do styku s osobnými údajmi u prevádzkovateľa alebo sprostredkovateľa.
(4) Povinnosť mlčanlivosti podľa odseku 2 trvá aj po zániku funkcie oprávnenej osoby alebo po skončení jej pracovného pomeru, štátnozamestnaneckého pomeru, služobného pomeru alebo obdobného pracovného vzťahu. Povinnosť mlčanlivosti podľa prvej vety sa vzťahuje aj na fyzické osoby podľa odseku 3.
(5) Povinnosť mlčanlivosti podľa odsekov 1 až 4 neplatí, ak je to nevyhnutné na plnenie úloh súdu a orgánov činných v trestnom konaní podľa osobitného zákona; tým nie sú dotknuté ustanovenia o mlčanlivosti podľa osobitných predpisov.30)
(6) Odseky 1 až 4 sa nepoužijú vo vzťahu k úradu pri plnení jeho úloh podľa tohto zákona.

Tretia hlava
Dohľad nad ochranou osobných údajov

Zodpovedná osoba

§ 23
Podmienky poverenia zodpovednej osoby
(1) Za výkon dohľadu nad ochranou osobných údajov spracúvaných podľa tohto zákona zodpovedá prevádzkovateľ.
(2) Prevádzkovateľ, ktorý spracúva osobné údaje prostredníctvom oprávnených osôb môže výkonom dohľadu písomne poveriť zodpovednú osobu alebo viaceré zodpovedné osoby, ktoré dozerajú na dodržiavanie zákonných ustanovení pri spracúvaní osobných údajov. Týmto nie je dotknutá zodpovednosť prevádzkovateľa podľa odseku 1.
(3) Ak prevádzkovateľ nepoverí zodpovednú osobu podľa odseku 2 je povinný oznámiť úradu tie informačné systémy, ktoré podľa tohto zákona podliehajú oznamovacej povinnosti podľa § 34. Povinnosť ustanovená prevádzkovateľovi podľa prvej vety sa nevzťahuje na sprostredkovateľa.
(4) Zodpovedná osoba má postavenie oprávnenej osoby prevádzkovateľa s právom prístupu do informačných systémov prevádzkovateľa v rozsahu potrebnom na plnenie úloh podľa § 27.
(5) Zodpovednou osobou môže byť len fyzická osoba, ktorá má spôsobilosť na právne úkony v plnom rozsahu, je bezúhonná a má platné potvrdenie úradu o absolvovaní skúšky podľa § 24.
(6) Zodpovednou osobou nemôže byť fyzická osoba, ktorá je štatutárnym orgánom prevádzkovateľa, členom štatutárneho orgánu prevádzkovateľa, a fyzická osoba, ktorá je oprávnená konať v mene štatutárneho orgánu prevádzkovateľa alebo člena štatutárneho orgánu prevádzkovateľa pri plnení povinností a uplatňovaní práv podľa tohto zákona.
(7) Zodpovednou osobou nemôže byť osoba, ktorej bola opakovane uložená pokuta podľa § 68 ods. 7 písm. f).
(8) Za bezúhonného sa na účely tohto zákona považuje ten, kto nebol právoplatne odsúdený za úmyselný trestný čin alebo za trestný čin, pri ktorom mu výkon trestu odňatia slobody nebol podmienečne odložený, ak sa podľa rozhodnutia súdu alebo na základe zákona nehľadí na neho, ako keby nebol odsúdený alebo odsúdenie mu nebolo zahladené. Bezúhonnosť sa preukazuje doloženým výpisom z registra trestov nie starším ako tri mesiace. Výpis z registra trestov fyzická osoba doloží prevádzkovateľovi najneskôr v deň poverenia podľa odseku 2. Prevádzkovateľ je povinný ho uchovávať spolu s poverením podľa odseku 10 počas celej doby výkonu funkcie zodpovednej osoby.
(9) Povinnosť preukazovania bezúhonnosti podľa odseku 8 neplatí, ak fyzická osoba je povinná preukázať svoju bezúhonnosť na účely pracovného pomeru, štátnozamestnaneckého pomeru, služobného pomeru alebo obdobného pracovného vzťahu k prevádzkovateľovi podľa osobitného zákona.
(10) Poverenie podľa odseku 2 obsahuje
a) identifikačné údaje prevádzkovateľa,
b) titul, meno, priezvisko a dátum narodenia poverenej zodpovednej osoby,
c) dátum začiatku platnosti poverenia zodpovednej osoby,
d) vyhlásenie prevádzkovateľa o tom, že poverená osoba spĺňa predpoklady podľa tohto zákona,
e) číslo potvrdenia o absolvovaní skúšky podľa § 24 ods. 5 písm. c) a dátum vydania potvrdenia,
f) výslovný súhlas s poverením a podpis poverenej zodpovednej osoby,
g) odtlačok pečiatky prevádzkovateľa,
h) dátum vyhotovenia poverenia a
i) podpis štatutárneho orgánu prevádzkovateľa alebo inej osoby oprávnenej konať v mene prevádzkovateľa.
(11) Prílohou poverenia, ktorá tvorí jeho neoddeliteľnú súčasť, je záznam o poučení podľa § 21 ods. 3.

§ 24
Skúška na výkon funkcie zodpovednej osoby
(1) Fyzická osoba môže byť poverená výkonom dohľadu nad ochranou osobných údajov po úspešnom absolvovaní skúšky.
(2) Skúšku fyzickej osoby na účely výkonu funkcie zodpovednej osoby podľa tohto zákona zabezpečuje úrad.
(3) Žiadosť o absolvovanie skúšky obsahuje
a) údaje o žiadateľovi v rozsahu titul, meno, priezvisko, dátum narodenia, adresu trvalého pobytu a adresu na doručovanie písomností, elektronickú poštu a telefónne číslo,
b) identifikačné údaje prevádzkovateľa alebo sprostredkovateľa, ak zasielajú žiadosť o absolvovanie skúšky za žiadateľa,
c) dátum a podpis žiadateľa.
(4) Vzor žiadosti o absolvovanie skúšky podľa odseku 3 zverejní úrad na svojom webovom sídle.
(5) Potvrdenie o absolvovaní skúšky obsahuje
a) identifikačné údaje úradu,
b) identifikačné údaje žiadateľa v rozsahu titul, meno, priezvisko a dátum narodenia,
c) číslo potvrdenia,
d) dátum vydania potvrdenia,
e) titul, meno, priezvisko a podpis predsedu úradu a
f) odtlačok úradnej pečiatky úradu.
(6) Fyzická osoba, ktorá úspešne absolvovala skúšku a nevykonáva funkciu zodpovednej osoby počas doby dlhšej ako dva roky, je povinná vykonať skúšku opakovane.
(7) Podrobnosti o skúške fyzickej osoby na výkon funkcie zodpovednej osoby ustanoví všeobecne záväzný právny predpis, ktorý vydá úrad.

§ 25
Povinnosti prevádzkovateľa pri poverení zodpovednej osoby
(1) Prevádzkovateľ je povinný umožniť zodpovednej osobe nezávislý výkon dohľadu nad ochranou osobných údajov a prijať jej oprávnené návrhy; upozornenie na nedostatky alebo vyslovenie požiadavky zodpovednou osobou v súvislosti s plnením jej povinností podľa § 27 ods. 2 sa nesmie stať podnetom ani dôvodom na konanie zo strany prevádzkovateľa, ktoré by zodpovednej osobe spôsobilo ujmu.
(2) Prevádzkovateľ, ktorý písomne poveril výkonom dohľadu nad ochranou osobných údajov zodpovednú osobu, je povinný o tom písomne informovať úrad bez zbytočného odkladu, najneskôr do 30 dní odo dňa poverenia zodpovednej osoby doporučenou zásielkou alebo v podobe elektronického dokumentu podpísaného zaručeným elektronickým podpisom.14) Prevádzkovateľ oznámi úradu tieto údaje:
a) identifikačné údaje prevádzkovateľa,
b) titul, meno, priezvisko a dátum narodenia zodpovednej osoby,
c) deň, keď sa fyzická osoba stala zodpovednou osobou,
d) vyhlásenie prevádzkovateľa o tom, že zodpovedná osoba spĺňa predpoklady podľa tohto zákona,
e) číslo potvrdenia o absolvovaní skúšky podľa § 24 ods. 5 písm. c) a dátum vydania potvrdenia,
f) odtlačok pečiatky prevádzkovateľa,
g) dátum vyhotovenia oznámenia a
h) podpis štatutárneho orgánu prevádzkovateľa alebo inej osoby oprávnenej konať v mene prevádzkovateľa.
(3) Ak prevádzkovateľ výkonom dohľadu nad ochranou osobných údajov súčasne poveril viac zodpovedných osôb, je povinný podľa odseku 2 oznámiť úradu poverenie všetkých zodpovedných osôb.
(4) Ak počas výkonu funkcie zodpovednej osoby dôjde k zmene údajov oznamovaných podľa odseku 2, prevádzkovateľ je povinný bez zbytočného odkladu nahlásiť úradu zmenu týchto údajov.
(5) Vzor oznámenia podľa odseku 2 zverejní úrad na svojom webovom sídle.

§ 26
Ukončenie poverenia zodpovednej osoby
(1) Prevádzkovateľ je oprávnený kedykoľvek bez udania dôvodu poverenie zodpovednej osoby písomne odvolať.
(2) Poverenie zodpovednej osoby zaniká
a) smrťou zodpovednej osoby,
b) dňom zániku prevádzkovateľa,
c) dňom, keď zodpovedná osoba prestala spĺňať podmienky podľa § 23 ods. 5 až 7,
d) uplynutím lehoty podľa § 24 ods. 6,
e) dňom skončenia pracovného pomeru, štátnozamestnaneckého pomeru, služobného pomeru alebo obdobného pracovného vzťahu zodpovednej osoby, ak je zamestnancom prevádzkovateľa a písomne sa nedohodnú na pokračovaní výkonu funkcie zodpovednej osoby podľa tohto zákona, alebo
f) dňom, keď prevádzkovateľ prevzal písomnú žiadosť zodpovednej osoby o zrušenie jej poverenia na výkon funkcie zodpovednej osoby, ak nedošlo k inej dohode o lehote zániku.
(3) Ak prevádzkovateľ odvolá poverenie zodpovednej osoby podľa odseku 1, môže postupovať podľa § 23 ods. 2 a § 25 ods. 2. Ak dôjde k zániku poverenia zodpovednej osoby podľa odseku 2 písm. a), c) až f), prevádzkovateľ môže postupovať podľa § 23 ods. 2 a § 25 ods. 2.
(4) Ak dôjde k zániku poverenia zodpovednej osoby podľa odseku 2 písm. b), prevádzkovateľ je povinný o tom bez zbytočného odkladu informovať úrad.
(5) Ak prevádzkovateľ nepostupuje podľa odseku 3, je povinný bez zbytočného odkladu oznámiť úradu odvolanie poverenia alebo zánik poverenia zodpovednej osoby.
(6) Úrad je oprávnený uložiť prevádzkovateľovi povinnosť písomne poveriť výkonom dohľadu nad ochranou osobných údajov inú fyzickú osobu, ak sa preukáže, že písomne poverená zodpovedná osoba nepostupovala pri zabezpečovaní úloh podľa § 27 ods. 1 a 2 v súlade s týmto zákonom. Prevádzkovateľ je povinný bez zbytočného odkladu úradu vyhovieť a výkonom dohľadu nad ochranou osobných údajov písomne poveriť inú fyzickú osobu.

§ 27
Povinnosti zodpovednej osoby
(1) Zodpovedná osoba je povinná pred začatím spracúvania osobných údajov v informačnom systéme posúdiť, či ich spracúvaním nevzniká nebezpečenstvo narušenia práv a slobôd dotknutých osôb. Zistenie narušenia práv a slobôd dotknutých osôb pred začatím spracúvania alebo porušenia zákonných ustanovení v priebehu spracúvania osobných údajov je zodpovedná osoba povinná bez zbytočného odkladu písomne oznámiť prevádzkovateľovi; ak prevádzkovateľ po upozornení bez zbytočného odkladu nevykoná nápravu, oznámi to zodpovedná osoba úradu.
(2) Zodpovedná osoba je povinná zabezpečovať
a) potrebnú súčinnosť s úradom pri plnení úloh patriacich do jeho pôsobnosti; na požiadanie je zodpovedná osoba povinná úradu kedykoľvek predložiť svoje písomné poverenie a písomné oznámenia podľa odseku 1,
b) povinnosti podľa odseku 1,
c) dohľad nad plnením základných povinností prevádzkovateľa podľa § 6,
d) poučenie oprávnených osôb podľa § 21,
e) vybavovanie žiadostí dotknutých osôb podľa § 28 až 30,
f) prijatie bezpečnostných opatrení podľa § 19 ods. 1 až 3, dohliadať na ich aplikáciu v praxi a zabezpečovať ich aktualizáciu podľa § 19 ods. 4,
g) dohľad nad výberom sprostredkovateľa, prípravu písomnej zmluvy so sprostredkovateľom a počas trvania zmluvného vzťahu preverovať dodržiavanie dohodnutých podmienok podľa § 8,
h) dohľad nad cezhraničným prenosom osobných údajov podľa § 31 a 32,
i) prihlásenie informačných systémov na osobitnú registráciu, ich odhlásenie alebo nahlasovanie zmien alebo zabezpečovať vedenie evidencie informačných systémov podľa § 34 až 44.
(3) Zodpovedná osoba, ktorá prestane spĺňať podmienky podľa § 23 ods. 5, 6 alebo 7, je povinná bez zbytočného odkladu oznámiť túto skutočnosť prevádzkovateľovi.

Štvrtá hlava
Ochrana práv dotknutých osôb

§ 28
Práva dotknutej osoby
(1) Dotknutá osoba má právo na základe písomnej žiadosti od prevádzkovateľa vyžadovať
a) potvrdenie, či sú alebo nie sú osobné údaje o nej spracúvané,
b) vo všeobecne zrozumiteľnej forme informácie o spracúvaní osobných údajov v informačnom systéme v rozsahu podľa § 15 ods. 1 písm. a) až e) druhý až šiesty bod; pri vydaní rozhodnutia podľa odseku 5 je dotknutá osoba oprávnená oboznámiť sa s postupom spracúvania a vyhodnocovania operácií,
c) vo všeobecne zrozumiteľnej forme presné informácie o zdroji, z ktorého získal jej osobné údaje na spracúvanie,
d) vo všeobecne zrozumiteľnej forme zoznam jej osobných údajov, ktoré sú predmetom spracúvania,
e) opravu alebo likvidáciu svojich nesprávnych, neúplných alebo neaktuálnych osobných údajov, ktoré sú predmetom spracúvania,
f) likvidáciu jej osobných údajov, ktorých účel spracúvania sa skončil; ak sú predmetom spracúvania úradné doklady obsahujúce osobné údaje, môže požiadať o ich vrátenie,
g) likvidáciu jej osobných údajov, ktoré sú predmetom spracúvania, ak došlo k porušeniu zákona,
h) blokovanie jej osobných údajov z dôvodu odvolania súhlasu pred uplynutím času jeho platnosti, ak prevádzkovateľ spracúva osobné údaje na základe súhlasu dotknutej osoby.
(2) Právo dotknutej osoby podľa odseku 1 písm. e) a f) možno obmedziť, len ak takéto obmedzenie vyplýva z osobitného zákona alebo jeho uplatnením by bola porušená ochrana dotknutej osoby, alebo by boli porušené práva a slobody iných osôb.
(3) Dotknutá osoba na základe písomnej žiadosti má právo u prevádzkovateľa namietať voči
a) spracúvaniu jej osobných údajov, o ktorých predpokladá, že sú alebo budú spracúvané na účely priameho marketingu bez jej súhlasu, a žiadať ich likvidáciu,
b) využívaniu osobných údajov uvedených v § 10 ods. 3 písm. d) na účely priameho marketingu v poštovom styku, alebo
c) poskytovaniu osobných údajov uvedených v § 10 ods. 3 písm. d) na účely priameho marketingu.
(4) Dotknutá osoba na základe písomnej žiadosti alebo osobne, ak vec neznesie odklad, má právo u prevádzkovateľa kedykoľvek namietať voči spracúvaniu osobných údajov v prípadoch podľa § 10 ods. 3 písm. a), e), f) alebo g) vyslovením oprávnených dôvodov alebo predložením dôkazov o neoprávnenom zasahovaní do jej práv a právom chránených záujmov, ktoré sú alebo môžu byť v konkrétnom prípade takýmto spracúvaním osobných údajov poškodené; ak tomu nebránia zákonné dôvody a preukáže sa, že námietka dotknutej osoby je oprávnená, prevádzkovateľ je povinný osobné údaje, ktorých spracúvanie dotknutá osoba namietala, bez zbytočného odkladu blokovať a zlikvidovať ihneď, ako to okolnosti dovolia.
(5) Dotknutá osoba na základe písomnej žiadosti alebo osobne, ak vec neznesie odklad, ďalej má právo u prevádzkovateľa kedykoľvek namietať a nepodrobiť sa rozhodnutiu prevádzkovateľa, ktoré by malo pre ňu právne účinky alebo významný dosah, ak sa také rozhodnutie vydá výlučne na základe úkonov automatizovaného spracúvania jej osobných údajov. Dotknutá osoba má právo žiadať prevádzkovateľa o preskúmanie vydaného rozhodnutia metódou odlišnou od automatizovanej formy spracúvania, pričom prevádzkovateľ je povinný žiadosti dotknutej osoby vyhovieť, a to tak, že rozhodujúcu úlohu pri preskúmaní rozhodnutia bude mať oprávnená osoba; o spôsobe preskúmania a výsledku zistenia prevádzkovateľ informuje dotknutú osobu v lehote podľa § 29 ods. 3. Dotknutá osoba nemá toto právo iba v prípade, ak to ustanovuje osobitný zákon, v ktorom sú upravené opatrenia na zabezpečenie oprávnených záujmov dotknutej osoby, alebo ak v rámci predzmluvných vzťahov alebo počas existencie zmluvných vzťahov prevádzkovateľ vydal rozhodnutie, ktorým vyhovel požiadavke dotknutej osoby, alebo ak prevádzkovateľ na základe zmluvy prijal iné primerané opatrenia na zabezpečenie oprávnených záujmov dotknutej osoby.
(6) Ak dotknutá osoba uplatní svoje právo
a) písomne a z obsahu jej žiadosti vyplýva, že uplatňuje svoje právo, žiadosť sa považuje za podanú podľa tohto zákona; žiadosť podanú elektronickou poštou alebo faxom dotknutá osoba doručí písomne najneskôr do troch dní odo dňa jej odoslania,
b) osobne ústnou formou do zápisnice, z ktorej musí byť zrejmé, kto právo uplatnil, čoho sa domáha a kedy a kto vyhotovil zápisnicu, jeho podpis a podpis dotknutej osoby; kópiu zápisnice je prevádzkovateľ povinný odovzdať dotknutej osobe,
c) u sprostredkovateľa podľa písmena a) alebo písmena b), je ten povinný túto žiadosť alebo zápisnicu odovzdať prevádzkovateľovi bez zbytočného odkladu.
(7) Dotknutá osoba pri podozrení, že jej osobné údaje sa neoprávnene spracúvajú, môže podať úradu návrh na začatie konania o ochrane osobných údajov.
(8) Ak dotknutá osoba nemá spôsobilosť na právne úkony v plnom rozsahu,15)  jej práva môže uplatniť zákonný zástupca.16)
(9) Ak dotknutá osoba nežije, jej práva, ktoré mala podľa tohto zákona, môže uplatniť blízka osoba.17)

§ 29
Poskytnutie informácií dotknutej osobe
(1) Žiadosť dotknutej osoby podľa § 28 ods. 1 písm. a) až c), e) až h) a ods. 3 až 5 vybaví prevádzkovateľ bezplatne.
(2) Žiadosť dotknutej osoby podľa § 28 ods. 1 písm. d) vybaví prevádzkovateľ bezplatne okrem úhrady vo výške, ktorá nemôže prekročiť výšku účelne vynaložených vecných nákladov spojených so zhotovením kópií, so zadovážením technických nosičov a s odoslaním informácie dotknutej osobe, ak osobitný zákon neustanovuje inak.31)
(3) Prevádzkovateľ je povinný písomne vybaviť žiadosť dotknutej osoby podľa odsekov 1 a 2 najneskôr do 30 dní odo dňa doručenia žiadosti.

§ 30
Oznámenie o obmedzení práv dotknutej osoby
Obmedzenie práv dotknutej osoby podľa § 28 ods. 2 prevádzkovateľ bez zbytočného odkladu písomne oznámi dotknutej osobe a úradu.

Piata hlava
Cezhraničný prenos osobných údajov

§ 31
Prenos osobných údajov do tretích krajín
(1) Prenos osobných údajov do tretej krajiny, ktorá podľa rozhodnutia Európskej komisie32) zaručuje primeranú úroveň ochrany osobných údajov, možno uskutočniť, ak prevádzkovateľ dotknutej osobe predtým poskytol informácie podľa § 15 ods. 1 alebo ods. 2, alebo bola splnená niektorá z podmienok uvedených v § 15 ods. 3.
(2) Prenos osobných údajov do tretej krajiny, ktorá nezaručuje primeranú úroveň ochrany osobných údajov, možno uskutočniť, ak prevádzkovateľ prijme primerané záruky ochrany súkromia a základných práv a slobôd jednotlivcov a výkonu príslušných práv; takéto záruky vyplývajú zo štandardných zmluvných doložiek podľa osobitného predpisu33) alebo záväzných vnútropodnikových pravidiel prevádzkovateľa, ktoré boli schválené orgánom dozoru v oblasti ochrany osobných údajov so sídlom v členskom štáte.
(3) Ak prevádzkovateľ nepostupuje podľa odseku 2, prenos osobných údajov do tretej krajiny, ktorá nezaručuje primeranú úroveň ochrany osobných údajov možno uskutočniť, iba ak
a) dotknutá osoba pred jeho uskutočnením poskytla písomný alebo inak hodnoverne preukázateľný súhlas s vedomím, že tretia krajina nezaručuje primeranú úroveň ochrany,
b) je prenos nevyhnutný na plnenie zmluvy medzi dotknutou osobou a prevádzkovateľom alebo v predzmluvných vzťahoch s dotknutou osobou, alebo pri rokovaní o zmene zmluvy, ktoré sa uskutočňujú na žiadosť dotknutej osoby,
c) je prenos nevyhnutný na uzavretie zmluvy alebo na plnenie zmluvy, ktorú prevádzkovateľ uzavrel v záujme dotknutej osoby s treťou stranou,
d) je prenos nevyhnutný alebo požadovaný na základe zákona z dôvodu zabezpečenia dôležitého verejného záujmu alebo pri preukazovaní, uplatňovaní, alebo obhajovaní právnych nárokov vyplývajúcich zo zákona alebo z medzinárodnej zmluvy, ktorou je Slovenská republika viazaná,
e) je prenos nevyhnutný na ochranu životne dôležitých záujmov dotknutej osoby, alebo
f) sa týka osobných údajov, ktoré sú súčasťou zoznamov, registrov alebo operátov vedených podľa osobitných zákonov verejne prístupných alebo sprístupnených tým, ktorí preukážu právny základ na ich sprístupnenie pri splnení zákonom ustanovených podmienok.
(4) Ak ide o prenos osobných údajov o osobách v pracovnom pomere, štátnozamestnaneckom pomere, služobnom pomere alebo v obdobnom pracovnom vzťahu, prevádzkovateľ je povinný prijať primerané záruky ochrany súkromia a ochrany osobných údajov podľa odseku 2. (5) Ak prevádzkovateľ alebo sprostredkovateľ so sídlom, miestom podnikania alebo trvalým pobytom v Spojených štátoch amerických pristúpil k zásadám bezpečného prístavu,34) zmluva o prenose osobných údajov musí obsahovať
a) identifikačné údaje zmluvných strán,
b) účel prenosu osobných údajov,
c) predpokladané spracovateľské operácie v tretej krajine,
d) zoznam prenášaných osobných údajov,
e) okruh dotknutých osôb a
f) dobu uchovávania osobných údajov.
(6) Ak prevádzkovateľ použije v zmluve o prenose osobných údajov do tretej krajiny bez primeranej úrovne ochrany osobných údajov zmluvné doložky, ktoré sú odlišné od štandardných zmluvných doložiek podľa odseku 2 určených na prenos prevádzkovateľom alebo sprostredkovateľom alebo s nimi vykazujú zjavný nesúlad, je povinný pred začatím prenosu požiadať úrad o súhlas.
(7) Žiadosť podľa odseku 6 obsahuje
a) identifikačné údaje zmluvných strán,
b) účel prenosu osobných údajov,
c) predpokladané spracovateľské operácie v tretej krajine,
d) zoznam prenášaných osobných údajov,
e) okruh dotknutých osôb a
f) dobu uchovávania osobných údajov.
(8) Prílohou žiadosti podľa odseku 7 je zmluva o prenose osobných údajov v štátnom jazyku alebo jej úradne overený preklad do štátneho jazyka.
(9) Na prenos osobných údajov podľa odsekov 2, 3 a 5 sa súhlas úradu nevyžaduje.
(10) Prevádzkovateľ je oprávnený uskutočniť prenos osobitnej kategórie osobných údajov tretej strane so sídlom v tretej krajine iba s predchádzajúcim písomným súhlasom dotknutej osoby, ak osobitný zákon neustanovuje inak.
(11) Ten, kto uskutočňuje prenos osobných údajov, musí zabezpečiť ich bezpečnosť aj počas tohto prenosu.
(12) Ochrana osobných údajov, ktoré prenáša prevádzkovateľ alebo sprostredkovateľ so sídlom, miestom podnikania alebo s trvalým pobytom v tretej krajine na územie Slovenskej republiky, sa vykonáva v súlade s týmto zákonom.

§ 32
Prenos osobných údajov v rámci členských štátov
(1) Voľný pohyb osobných údajov medzi Slovenskou republikou a členskými štátmi sa zaručuje; Slovenská republika neobmedzí ani nezakáže prenos osobných údajov z dôvodov ochrany základných práv a slobôd fyzických osôb, najmä ich práva na súkromie v súvislosti so spracúvaním ich osobných údajov.
(2) Prevádzkovateľ so sídlom, miestom podnikania alebo s trvalým pobytom na území Slovenskej republiky, ktorý zároveň spracúva osobné údaje prostredníctvom sprostredkovateľa na území jedného alebo viacerých členských štátov, je povinný zabezpečiť, aby konali podľa jeho pokynov a v súlade s týmto zákonom; to neplatí pri prijatí technických, organizačných a personálnych bezpečnostných opatrení.
(3) Prevádzkovateľ so sídlom, miestom podnikania alebo s trvalým pobytom na území Slovenskej republiky pri prenose osobných údajov prevádzkovateľovi v inom členskom štáte je povinný prijať primerané záruky zachovania práv a právom chránených záujmov dotknutých osôb.
(4) Prevádzkovateľ je povinný získať písomný alebo iným hodnoverným spôsobom preukázateľný súhlas dotknutých osôb pred poskytnutím osobných údajov prevádzkovateľovi so sídlom v inom členskom štáte, ak tento zákon alebo osobitný zákon takýto súhlas vyžaduje.

Šiesta hlava
Oznamovacia povinnosť, osobitná registrácia a evidencia informačných systémov

§ 33
Prevádzkovateľ je povinný oznámiť úradu informačné systémy, požiadať úrad o osobitnú registráciu informačných systémov alebo viesť o informačných systémoch evidenciu v rozsahu a za podmienok ustanovených týmto zákonom.

Oznamovacia povinnosť

§ 34
(1) Oznamovacia povinnosť sa vzťahuje na všetky informačné systémy, v ktorých sa spracúvajú osobné údaje úplne alebo čiastočne automatizovanými prostriedkami spracúvania.
(2) Oznamovacia povinnosť podľa odseku 1 sa nevzťahuje na informačné systémy, ktoré
a) podliehajú osobitnej registrácii podľa § 37,
b) podliehajú dohľadu zodpovednej osoby, ktorú písomne poveril prevádzkovateľ podľa § 23 a ktorá vykonáva dohľad nad ochranou osobných údajov podľa tohto zákona, okrem informačného systému, v ktorom sa spracúvajú osobné údaje na základe § 10 ods. 3 písm. g), ktorý vždy podlieha oznamovacej povinnosti; úrad môže rozhodnúť, že informačný systém, v ktorom sa spracúvajú osobné údaje na základe § 10 ods. 3 písm. g) podlieha osobitnej registrácii,
c) obsahujú osobné údaje o členstve osôb v občianskom združení alebo odborovej organizácii, a ak tieto osobné údaje spracúvajú a využívajú výlučne pre svoju vnútornú potrebu, alebo obsahujú osobné údaje o náboženskej viere osôb združených v štátom uznanej cirkvi alebo náboženskej spoločnosti, a ak tieto osobné údaje spracúva cirkev alebo náboženská spoločnosť a využíva ich výlučne pre svoju vnútornú potrebu, alebo obsahujú osobné údaje o členstve osôb v politickej strane alebo v politickom hnutí, ktoré sú ich členmi, a ak tieto osobné údaje spracúva politická strana alebo politické hnutie a využíva ich výlučne pre svoju vnútornú potrebu, alebo
d) obsahujú osobné údaje, ktoré sú spracúvané na základe zákona, priamo vykonateľného právne záväzného aktu Európskej únie alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná.

§ 35
Prihlásenie na registráciu
(1) Prevádzkovateľ je povinný oznámiť informačný systém podľa § 34 pred začatím spracúvania osobných údajov; oznámenie možno vykonať aj prostredníctvom elektronického formulára. Oznámenie musí obsahovať
a) identifikačné údaje prevádzkovateľa,
b) meno a priezvisko štatutárneho orgánu prevádzkovateľa alebo inej osoby oprávnenej konať v mene prevádzkovateľa,
c) identifikačné údaje zástupcu prevádzkovateľa, ak je vymenovaný; ak prevádzkovateľ vymenoval svojho zástupcu, uvedie aj meno a priezvisko štatutárneho orgánu zástupcu prevádzkovateľa alebo inej osoby oprávnenej konať v mene zástupcu prevádzkovateľa,
d) počet oprávnených osôb prevádzkovateľa,
e) názov informačného systému,
f) účel spracúvania osobných údajov,
g) právny základ spracúvania osobných údajov,
h) okruh dotknutých osôb,
i) zoznam osobných údajov, alebo rozsah osobných údajov podľa § 10 ods. 4 prvej vety,
j) tretie strany, prípadne okruh tretích strán, ak sa predpokladá alebo je zrejmé, že im budú osobné údaje poskytnuté a právny základ ich poskytovania,
k) okruh príjemcov, ak sa predpokladá alebo je zrejmé, že im budú osobné údaje sprístupnené a právny základ ich sprístupnenia,
l) spôsob zverejnenia, ak prevádzkovateľ osobné údaje zverejňuje a právny základ ich zverejnenia,
m) tretie krajiny, ak sa predpokladá alebo je zrejmé, že sa do týchto krajín uskutoční prenos osobných údajov a právny základ ich prenosu,
n) označenie bezpečnostných opatrení prijatých na zabezpečenie ochrany osobných údajov podľa § 19 ods. 1 až 3,
o) deň, keď sa začnú spracúvať osobné údaje v informačnom systéme.
(2) Vzor oznámenia informačného systému a príkladmý zoznam informačných systémov podľa odseku 1 zverejní úrad na svojom webovom sídle.
(3) Prílohou k žiadosti podľa odseku 2 je popis podmienok spracúvania osobných údajov.

§ 36
Postup pri registrácii
(1) Ak ide o informačný systém, ktorý podľa § 34 podlieha oznamovacej povinnosti a oznámenie spĺňa náležitosti podľa § 35 ods. 1, úrad informačnému systému pridelí identifikačné číslo. O splnení oznamovacej povinnosti vydá úrad na žiadosť prevádzkovateľa potvrdenie, ktoré obsahuje
a) identifikačné údaje úradu,
b) identifikačné údaje prevádzkovateľa; titul, meno, priezvisko a adresa trvalého pobytu, ak je prevádzkovateľom fyzická osoba,
c) názov informačného systému,
d) pridelené identifikačné číslo,
e) titul, meno, priezvisko, funkciu a podpis zamestnanca úradu,
f) ddátum splnenia oznamovacej povinnosti, a
g) odtlačok úradnej pečiatky úradu.
(2) Ak oznámenie nespĺňa náležitosti podľa § 35 ods. 1, úrad vyzve prevádzkovateľa na odstránenie nedostatkov v lehote, ktorú určí a ktorá nemôže byť kratšia ako sedem dní. Ak prevádzkovateľ neodstráni nedostatky v určenej lehote, úrad identifikačné číslo nepridelí a na oznámenie sa neprihliada.
(3) Ak informačný systém podlieha oznamovacej povinnosti a prevádzkovateľ si splnil oznamovaciu povinnosť podľa § 35 ods. 1, je oprávnený začať so spracúvaním osobných údajov odo dňa oznámenia.
(4) Ak informačný systém prevádzkovateľa po jeho oznámení začne spĺňať podmienky uvedené v § 34 ods. 2, prevádzkovateľ je povinný o tom bez zbytočného odkladu informovať úrad; úrad odníme identifikačné číslo, o čom bez zbytočného odkladu informuje prevádzkovateľa. Ak úrad zistí túto skutočnosť pri plnení úloh podľa tohto zákona z vlastnej iniciatívy, odníme identifikačné číslo, o čom bez zbytočného odkladu informuje prevádzkovateľa. Proti rozhodnutiu o odňatí identifikačného čísla nie je prípustný opravný prostriedok.

Osobitná registrácia

§ 37
Podmienky osobitnej registrácie
Osobitná registrácia sa vzťahuje na informačné systémy, v ktorých prevádzkovateľ spracúva
a) osobné údaje na základe § 10 ods. 3 písm. g), ak o tom rozhodne úrad podľa § 34 ods. 2 písm. b),
b) osobné údaje na základe § 13 ods. 5 písm. b), c) a d), alebo
c) aspoň jeden z osobných údajov uvedených v § 13 ods. 1 a zároveň sa predpokladá prenos týchto osobných údajov do tretej krajiny, ktorá nezaručuje primeranú úroveň ochrany osobných údajov; osobitná registrácia sa nevyžaduje v prípadoch podľa § 31 ods. 9.

§ 38
Prihlásenie na osobitnú registráciu
(1) Prevádzkovateľ je povinný prihlásiť informačný systém na osobitnú registráciu na úrade pred začatím spracúvania osobných údajov. Žiadosť, ktorou prevádzkovateľ prihlasuje informačný systém na osobitnú registráciu, musí okrem náležitostí podľa § 35 ods. 1 obsahovať aj dôvod prihlasovania informačného systému na osobitnú registráciu podľa § 37.
(2) Vzor žiadosti, ktorou prevádzkovateľ prihlasuje informačný systém na osobitnú registráciu, zverejní úrad na svojom webovom sídle.
(3) Prílohou k žiadosti podľa odseku 2 sú podklady nevyhnutné na posúdenie, či spracúvaním osobných údajov nevzniká nebezpečenstvo porušenia práv a slobôd dotknutých osôb.

§ 39
Postup pri osobitnej registrácii
(1) Ak žiadosť nespĺňa náležitosti podľa § 38 ods. 1 a 3 alebo ak pri posudzovaní žiadosti vzniknú akékoľvek pochybnosti, úrad vyzve prevádzkovateľa na odstránenie nedostatkov alebo doplnenie podkladov v lehote, ktorú určí a ktorá nemôže byť kratšia ako desať dní; počas tejto doby lehota v konaní o osobitnej registrácii neplynie.
(2) Mieru nebezpečenstva porušenia práv a slobôd dotknutej osoby pri spracúvaní osobných údajov individuálne pre konkrétny prípad posudzuje úrad.
(3) Ak spracúvaním osobných údajov nevzniká nebezpečenstvo porušenia práv a slobôd dotknutých osôb, úrad zaregistruje informačný systém a pridelí mu registračné číslo. O osobitnej registrácii vydá úrad potvrdenie, ktoré obsahuje
a) identifikačné údaje úradu,
b) identifikačné údaje prevádzkovateľa; titul, meno, priezvisko a adresa trvalého pobytu, ak je prevádzkovateľom fyzická osoba,
c) názov informačného systému,
d) pridelené registračné číslo,
e) titul, meno, priezvisko, funkciu a podpis zamestnanca úradu,
f) dátum registrácie a
g) odtlačok úradnej pečiatky úradu.
(4) Vzor potvrdenia o osobitnej registrácii zverejní úrad na svojom webovom sídle.
(5) Prevádzkovateľ je oprávnený začať spracúvať osobné údaje v informačnom systéme prihlásenom na osobitnú registráciu až po doručení potvrdenia o osobitnej registrácii.
(6) Ak úrad spracúvanie osobných údajov v informačnom systéme prihlásenom na osobitnú registráciu posúdi ako rizikové, rozhodne o neudelení osobitnej registrácie prevádzkovateľovi na spracúvanie osobných údajov na daný účel. Prevádzkovateľ je povinný bez zbytočného odkladu vykonať opatrenia, aby sa spracúvanie osobných údajov neuskutočnilo.
(7) Ak pri posudzovaní predložených údajov úrad zistí, že prihlásený informačný systém nepodlieha osobitnej registrácii, konanie o osobitnej registrácii zastaví a prevádzkovateľa o tom bez zbytočného odkladu informuje.
(8) O osobitnej registrácii sa nevyhotovuje písomné rozhodnutie; proti osobitnej registrácii nie je prípustný opravný prostriedok.
(9) Ak sa preukáže, že prevádzkovateľ spracúva osobné údaje v rozpore so zákonom alebo dobrými mravmi, úrad rozhodnutím zruší osobitnú registráciu informačného systému a rozhodne o ukončení spracúvania osobných údajov.

§ 40
Oznámenie zmien a odhlásenie osobitnej registrácie
(1) Prevádzkovateľ je povinný do 15 dní písomne oznámiť úradu akékoľvek zmeny oznámených údajov a údajov prihlásených na osobitnú registráciu, ktoré nastanú v priebehu spracúvania; povinnosť oznámenia zmien sa nevzťahuje na počet oprávnených osôb podľa § 35 ods. 1 písm. d). Vzor žiadosti o oznámení zmien zverejní úrad na svojom webovom sídle.
(2) Prevádzkovateľ je povinný do 15 dní odo dňa skončenia spracúvania osobných údajov písomne oznámiť ukončenie používania informačného systému podľa § 35 ods. 1 a písomne odhlásiť informačný systém z osobitnej registrácie. Pri písomnom oznámení podľa prvej vety je prevádzkovateľ povinný uviesť najmä svoje identifikačné údaje, názov odhlasovaného informačného systému, identifikačné alebo registračné číslo a dátum skončenia spracúvania osobných údajov. Vzor písomného oznámenia podľa prvej vety zverejní úrad na svojom webovom sídle.
(3) Zmenu oznámených údajov podľa odseku 1 a oznámenie ukončenia používania informačného systému podľa odseku 2 možno vykonať aj prostredníctvom elektronického formulára.

§ 41
Poplatok za osobitnú registráciu
Za osobitnú registráciu a za zmenu osobitnej registrácie sa vyberá správny poplatok podľa osobitného predpisu. 35)

§ 42
Sprístupnenie a zverejnenie oznámení a osobitnej registrácie
(1) Údaje z oznámení v rozsahu podľa § 35 ods. 1 a osobitnej registrácie v rozsahu podľa § 38 ods. 1 je úrad povinný sprístupniť bezplatne komukoľvek, kto o to požiada.
(2) Úrad prostredníctvom svojho webového sídla zverejňuje zoznam oznámení a osobitných registrácií v rozsahu
a) názov a identifikačné číslo prevádzkovateľa informačného systému; titul, meno a priezvisko, ak je prevádzkovateľom fyzická osoba a
b) identifikačné alebo registračné číslo informačného systému.

Evidencia

§ 43
Podmienky evidencie
(1) O informačných systémoch, ktoré nepodliehajú oznamovacej povinnosti alebo osobitnej registrácii, je prevádzkovateľ povinný viesť evidenciu, a to najneskôr odo dňa začatia spracúvania údajov v týchto informačných systémoch. Evidencia obsahuje údaje v rozsahu podľa § 35 ods. 1. Vzor evidencie zverejní úrad na svojom webovom sídle.
(2) Prevádzkovateľ je povinný viesť a aktualizovať evidenciu podľa odseku 1 až do dňa ukončenia spracúvania osobných údajov v informačnom systéme; povinnosť aktualizácie sa nevzťahuje na počet oprávnených osôb podľa § 35 ods. 1 písm. d).

§ 44
Sprístupnenie evidencie
Údaje z evidencie podľa § 43 ods. 1 je prevádzkovateľ povinný sprístupniť bezplatne komukoľvek, kto o to požiada.


TRETIA ČASŤ
Úrad

Prvá hlava
Postavenie, pôsobnosť a organizácia úradu

§ 45
Postavenie úradu
(1) Úrad je orgánom štátnej správy s celoslovenskou pôsobnosťou, ktorý vykonáva dozor nad ochranou osobných údajov a podieľa sa na ochrane základných práv a slobôd fyzických osôb pri spracúvaní ich osobných údajov.
(2) Sídlom úradu je Bratislava.
(3) Úrad pri výkone svojej pôsobnosti postupuje nezávisle a riadi sa ústavou, ústavnými zákonmi, zákonmi, ostatnými všeobecne záväznými právnymi predpismi a medzinárodnými zmluvami, ktorými je Slovenská republika viazaná.
(4) Úrad je rozpočtovou organizáciou.36) Návrh rozpočtu predkladá úrad ako súčasť kapitoly Všeobecná pokladničná správa. Schválený rozpočet úradu môže znížiť v priebehu kalendárneho roku iba Národná rada Slovenskej republiky.
(5) Podrobnosti o organizácii úradu upraví organizačný poriadok.

§ 46
Pôsobnosť úradu
(1) Úrad pri výkone dozoru nad ochranou osobných údajov plní tieto úlohy:
a) vykonáva dozor nad dodržiavaním povinností ustanovených zákonom pri spracúvaní osobných údajov,
b) priebežne sleduje stav ochrany osobných údajov, plnenie oznamovacej povinnosti, osobitnú registráciu informačných systémov a vedenie evidencie o informačných systémoch,
c) prijíma návrhy a podnety týkajúce sa podozrenia z porušovania povinností ustanovených zákonom pri spracúvaní osobných údajov alebo koná z vlastnej iniciatívy,
d) vykonáva kontrolu spracúvania osobných údajov v informačných systémoch,
e) pri podozrení z porušenia povinností uložených týmto zákonom môže predvolať prevádzkovateľa alebo sprostredkovateľa,
f) na odstránenie zistených nedostatkov rozhodnutím ukladá opatrenia na nápravu,
g) ukladá sankcie pri zistení porušenia povinností uvedených v tomto zákone,
h) odporúča prevádzkovateľom opatrenia na zabezpečenie ochrany osobných údajov v informačných systémoch; na tento účel v rozsahu svojej pôsobnosti vydáva odporúčania pre prevádzkovateľov,
i) umožňuje splnenie oznamovacej povinnosti a vykonáva osobitnú registráciu informačných systémov a zabezpečuje zverejnenie ich stavu,
j) vedie register zodpovedných osôb,
k) poskytuje konzultácie v oblasti ochrany osobných údajov,
l) v rozsahu svojej pôsobnosti vydáva záväzné stanoviská,
m) metodicky usmerňuje prevádzkovateľov a sprostredkovateľov pri spracúvaní osobných údajov,
n) vykonáva skúšky zodpovedných osôb a vydáva potvrdenia o ich absolvovaní,
o) vydáva súhlas na prenos osobných údajov do tretích krajín, ktoré nezaručujú primeranú úroveň ochrany,
p) na účely cezhraničného prenosu osobných údajov do tretích krajín, ktoré nezaručujú primeranú úroveň ochrany, schvaľuje záväzné vnútropodnikové pravidlá prevádzkovateľa,
q) podieľa sa na príprave všeobecne záväzných právnych predpisov v oblasti ochrany osobných údajov,
r) vyjadruje sa k návrhom zákonov a k návrhom ostatných všeobecne záväzných právnych predpisov, v ktorých sa upravuje spracúvanie osobných údajov,
s) v rozsahu svojej pôsobnosti vydáva všeobecne záväzné právne predpisy,
t) predkladá Národnej rade Slovenskej republiky správu o stave ochrany osobných údajov najmenej raz za dva roky; správu o stave ochrany osobných údajov zverejňuje úrad na svojom webovom sídle,
u) zverejňuje na svojom webovom sídle vzory poučení oprávnenej osoby podľa § 21.
(2) Okrem plnenia úloh podľa odseku 1 úrad ďalej
a) plní oznamovaciu povinnosť voči Európskej komisii v oblasti ochrany osobných údajov,
b) prijíma opatrenia na vykonanie rozhodnutí Európskej komisie vydaných v oblasti ochrany osobných údajov a
c) spolupracuje pri výkone dozoru nad ochranou osobných údajov s obdobnými orgánmi dozoru v zahraničí.
(3) Ak úrad zistí skutočnosti nasvedčujúce tomu, že zákon, iný všeobecne záväzný právny predpis alebo prevádzkovateľom vydaný vnútorný predpis porušuje základné práva a slobody fyzických osôb pri spracúvaní ich osobných údajov, predseda úradu môže podať podnet na jeho zmenu alebo zrušenie orgánu, ktorý tento predpis prijal.
(4) Predmetom dozoru nad ochranou osobných údajov nie sú spory zo zmluvných alebo predzmluvných vzťahov medzi prevádzkovateľmi alebo sprostredkovateľmi a dotknutými osobami alebo inými fyzickými osobami, alebo právnickými osobami, na ktorých prejednávanie a rozhodovanie sú príslušné súdy alebo iné orgány podľa osobitných zákonov.
(5) Ak osobné údaje spracúvajú spravodajské služby a Národný bezpečnostný úrad, dozor nad ochranou osobných údajov vykonáva Národná rada Slovenskej republiky podľa osobitného predpisu.37)

Organizácia úradu

§ 47
Predseda úradu
(1) Na čele úradu je predseda, ktorého volí a odvoláva Národná rada Slovenskej republiky na návrh vlády Slovenskej republiky.
(2) Funkčné obdobie predsedu úradu je päť rokov a možno ho zvoliť najviac na dve po sebe nasledujúce funkčné obdobia. Predseda úradu ostáva vo funkcii aj po uplynutí funkčného obdobia, kým Národná rada Slovenskej republiky nezvolí nového predsedu.
(3) Za predsedu úradu možno zvoliť občana Slovenskej republiky, ktorý je voliteľný do Národnej rady Slovenskej republiky, má spôsobilosť na právne úkony v plnom rozsahu, má vysokoškolské vzdelanie druhého stupňa a je bezúhonný podľa § 23 ods. 8 prvá a druhá veta.
(4) Predseda úradu je povinný zachovávať mlčanlivosť o skutočnostiach, o ktorých sa dozvedel počas výkonu svojej funkcie, a to aj po skončení výkonu svojej funkcie. Od povinnosti mlčanlivosti môže predsedu úradu v konkrétnom prípade oslobodiť Národná rada Slovenskej republiky.
(5) Za svoju činnosť predseda úradu zodpovedá Národnej rade Slovenskej republiky.
(6) Predseda úradu má počas výkonu svojej funkcie postavenie vedúceho služobného úradu podľa osobitného zákona.38)
(7) Pred uplynutím funkčného obdobia výkon funkcie predsedu úradu zaniká
a) vzdaním sa funkcie,
b) stratou voliteľnosti do Národnej rady Slovenskej republiky,
c) nadobudnutím právoplatnosti rozsudku, ktorým bol odsúdený za úmyselný trestný čin alebo ktorým bol odsúdený za trestný čin a výkon trestu mu nebol podmienečne odložený,
d) výkonom činnosti, ktorá je nezlučiteľná s výkonom jeho funkcie podľa osobitného predpisu,39) alebo
e) smrťou.
(8) Predseda úradu môže byť z funkcie odvolaný, ak
a) mu zdravotný stav dlhodobo, najmenej však počas jedného roka, nedovoľuje riadne vykonávať povinnosti vyplývajúce z jeho funkcie,
b) porušil povinnosť zachovávať mlčanlivosť o skutočnostiach, o ktorých sa dozvedel v súvislosti s výkonom svojej funkcie.
(9) Platové a ďalšie náležitosti predsedu úradu určuje vláda Slovenskej republiky podľa osobitného predpisu.38)

§ 48
Podpredseda úradu
(1) Predsedu úradu zastupuje podpredseda úradu, ktorého vymenúva a odvoláva vláda Slovenskej republiky na návrh predsedu úradu.
(2) Funkčné obdobie podpredsedu úradu je päť rokov a možno ho vymenovať najviac na dve po sebe nasledujúce obdobia. Podpredseda úradu ostáva vo funkcii aj po uplynutí funkčného obdobia, kým vláda Slovenskej republiky nevymenuje nového podpredsedu.
(3) Na výkon funkcie podpredsedu úradu sa ustanovenia § 47 ods. 3, 7 a 8 vzťahujú rovnako.

§ 49
Vrchný inšpektor úradu
(1) Na čele inšpektorov je vrchný inšpektor úradu, ktorého vymenúva a odvoláva vláda Slovenskej republiky na návrh predsedu úradu.
(2) Za vrchného inšpektora možno vymenovať občana,40) ktorý má spôsobilosť na právne úkony v plnom rozsahu, je bezúhonný, má vysokoškolské vzdelanie druhého stupňa a najmenej päťročnú odbornú prax v oblasti informatiky alebo práva a dosiahol vek najmenej 35 rokov.
(3) Funkčné obdobie vrchného inšpektora je päť rokov a do funkcie ho možno vymenovať najviac na dve po sebe nasledujúce obdobia. Vrchný inšpektor ostáva vo funkcii aj po uplynutí funkčného obdobia, kým vláda Slovenskej republiky nevymenuje nového vrchného inšpektora.
(4) Vrchného inšpektora možno z funkcie odvolať, ak
a) mu zdravotný stav dlhodobo, najmenej však počas šiestich mesiacov, nedovoľuje riadne vykonávať povinnosti vyplývajúce z jeho funkcie,
b) porušil povinnosť zachovávať mlčanlivosť o skutočnostiach, o ktorých sa dozvedel v súvislosti s výkonom svojej funkcie, alebo
c) opakovane neplní úlohy ustanovené v § 46 ods. 1 písm. d), f) a g) alebo porušuje služobnú disciplínu, a ak v posledných šiestich mesiacoch predseda úradu vrchného inšpektora úradu opakovane písomne vyzval na odstránenie nedostatkov a vrchný inšpektor úradu ich v primeranej lehote neodstránil.
(5) Vrchný inšpektor úradu sa z funkcie odvolá, ak hrubo zanedbal povinnosti uložené týmto zákonom, ak nepreukáže, že zavinenie nespôsobil alebo mu nemohol zabrániť, alebo pre hrubé porušenie služobnej disciplíny.
(6) Pred uplynutím funkčného obdobia výkon funkcie vrchného inšpektora úradu zaniká
a) vzdaním sa funkcie,
b) nadobudnutím právoplatnosti rozsudku, ktorým bol odsúdený za úmyselný trestný čin alebo ktorým bol odsúdený za trestný čin a výkon trestu mu nebol podmienečne odložený,
c) výkonom činnosti, ktorá je nezlučiteľná s výkonom jeho funkcie, alebo
d) smrťou.

§ 50
Inšpektor úradu
(1) Inšpektora úradu vymenúva a odvoláva predseda úradu zo štátnych zamestnancov38) vykonávajúcich štátnu službu v úrade.
(2) Za inšpektora úradu možno vymenovať občana,40) ktorý má vysokoškolské vzdelanie druhého stupňa a najmenej trojročnú odbornú prax v oblasti informatiky alebo práva a dosiahol vek najmenej 30 rokov.
(3) Inšpektora úradu možno odvolať pri zmene štátnozamestnaneckého pomeru,38) a ak mu zdravotný stav dlhodobo, najmenej však počas šiestich mesiacov, nedovoľuje riadne vykonávať povinnosti vyplývajúce z opisu činností štátneho zamestnanca.

§ 51
Podpredseda úradu, vrchný inšpektor, inšpektor úradu a zamestnanec úradu sú povinní zachovávať mlčanlivosť o skutočnostiach, o ktorých sa dozvedeli počas plnenia úloh podľa tohto zákona, a to aj po skončení výkonu svojej funkcie, štátnozamestnaneckého pomeru alebo pracovného pomeru. Od povinnosti mlčanlivosti môže podpredsedu úradu, vrchného inšpektora, inšpektora a zamestnanca úradu v konkrétnom prípade zbaviť predseda úradu.

Druhá hlava
Kontrola

§ 52
Začatie kontroly
(1) Kontrolu spracúvania osobných údajov podľa tohto zákona vykonáva vrchný inšpektor úradu, inšpektor úradu a zamestnanci úradu, ktorí sú členmi kontrolného orgánu (ďalej len „kontrolný orgán“).
(2) Kontrolný orgán vykoná kontrolu ako riadnu kontrolu na základe ročného plánu kontrol alebo ako mimoriadnu kontrolu na základe podozrenia z porušenia povinností pri spracúvaní osobných údajov ustanovených zákonom alebo v rámci konania o ochrane osobných údajov.
(3) Vrchný inšpektor úradu vykonáva kontrolu na základe písomného poverenia predsedu úradu. Inšpektor úradu vykoná kontrolu na základe písomného poverenia vrchného inšpektora úradu. Zamestnanec úradu sa zúčastňuje na kontrole na základe písomného poverenia predsedu úradu alebo vrchného inšpektora úradu. Písomné poverenie na vykonanie kontroly obsahuje
a) identifikačné údaje úradu,
b) identifikačné údaje kontrolovanej osoby,
c) titul, meno a priezvisko kontrolného orgánu,
d) deň, miesto a čas kontroly,
e) predmet kontroly,
f) odtlačok úradnej pečiatky a podpis predsedu úradu alebo vrchného inšpektora úradu podľa prvej až tretej vety.
(4) Vzor poverenia na vykonanie kontroly zverejní úrad na svojom webovom sídle.
(5) Kontrola je začatá dňom doručenia oznámenia o kontrole prevádzkovateľovi alebo sprostredkovateľovi (ďalej len „kontrolovaná osoba“).

§ 53
Pri výkone kontroly je kontrolný orgán povinný postupovať tak, aby neboli dotknuté práva a právom chránené záujmy kontrolovanej osoby.

§ 54
Zaujatosť v kontrole
(1) Kontrolný orgán, ktorý sa dozvedel o skutočnostiach zakladajúcich pochybnosti o jeho zaujatosti, je povinný tieto skutočnosti písomne oznámiť úradu bez zbytočného odkladu.
(2) Ak má kontrolovaná osoba pochybnosti o zaujatosti kontrolného orgánu so zreteľom na jeho vzťah k predmetu kontroly alebo ku kontrolovanej osobe, kontrolovaná osoba je oprávnená podať písomné námietky s uvedením dôvodu. Podanie námietok nemá odkladný účinok; kontrolný orgán je podľa prvej vety oprávnený vykonať pri kontrole len také úkony, ktoré neznesú odklad.
(3) O námietkach zaujatosti a o oznámení zaujatosti rozhodne predseda úradu v lehote do piatich pracovných dní od ich uplatnenia a písomne oboznámi s rozhodnutím toho, kto námietku uplatnil. Proti rozhodnutiu predsedu úradu nemožno podať opravný prostriedok.
(4) Na rozhodovanie o zaujatosti sa nevzťahuje všeobecný predpis o správnom konaní.41)

§ 55
Povinnosti kontrolného orgánu
Kontrolný orgán je povinný
a) vopred písomne oznámiť kontrolovanej osobe predmet a účel kontroly; to neplatí, ak by oznámenie o kontrole pred začatím kontroly mohlo viesť k zmareniu účelu kontroly alebo podstatnému sťaženiu výkonu kontroly, keď oznámenie o kontrole možno vykonať pri začatí kontroly,
b) pred začatím kontroly preukázať sa poverením na vykonanie kontroly a preukázať svoju príslušnosť k úradu,
c) vypracovať protokol o vykonaní kontroly (ďalej len „protokol“) alebo záznam o kontrole,
d) uvádzať do protokolu a do záznamu o kontrole kontrolné zistenia,
e) oboznámiť kontrolovanú osobu s kontrolnými zisteniami v protokole a vyžiadať si od nej v lehote určenej kontrolným orgánom písomné vyjadrenie ku kontrolným zisteniam uvedeným v protokole,
f) odovzdať kontrolovanej osobe jedno vyhotovenie protokolu alebo záznamu o kontrole,
g) písomne potvrdiť kontrolovanej osobe prevzatie originálov alebo kópií dokladov, písomných dokumentov, kópií pamäťových médií a iných materiálov a zabezpečiť ich riadnu ochranu pred stratou, zničením, poškodením a zneužitím,
h) preveriť opodstatnenosť námietok ku kontrolným zisteniam uvedeným v protokole a zohľadniť opodstatnenosť námietok v dodatku k protokolu a oboznámiť s ním kontrolovanú osobu,
i) prerokovať protokol o výsledku kontroly s kontrolovanou osobou a vyhotoviť zápisnicu o jeho prerokovaní,
j) o priebehu a výsledku vykonávanej kontroly informovať predsedu úradu a aj vrchného inšpektora úradu, ak vrchný inšpektor nevykonáva kontrolu.

§ 56
Oprávnenia kontrolného orgánu
Kontrolný orgán je oprávnený
a) vstupovať na pozemky, do budov alebo miestností prevádzok a zariadení prevádzkovateľa a sprostredkovateľa,
b) overovať totožnosť kontrolovanej osoby a fyzických osôb, ktoré v mene kontrolovanej osoby konajú,
c) vyžadovať od kontrolovanej osoby, aby kontrolnému orgánu v určenej lehote poskytla doklady, iné písomnosti, vyjadrenia a informácie, údaje spracúvané na pamäťových médiách vrátane technických nosičov údajov, výpisy a zdrojové kódy programov, ak ich vlastní, a ďalšie materiály potrebné na výkon kontroly, originály alebo kópie a v odôvodnených prípadoch mu umožnila odoberať kópie aj mimo priestorov kontrolovanej osoby,
d) požadovať v primeranej lehote od kontrolovanej osoby úplné a pravdivé ústne a písomné informácie, vyjadrenia a vysvetlenia ku kontrolovaným a s kontrolou súvisiacim skutočnostiam a k zisteným nedostatkom,
e) vstupovať do informačných systémov do úrovne správcu systému v rozsahu potrebnom na vykonanie kontroly,
f) vyžadovať súčinnosť kontrolovanej osoby.

§ 57
Povinnosti kontrolovanej osoby
Kontrolovaná osoba je povinná
a) vytvoriť kontrolnému orgánu primerané podmienky na výkon kontroly a spracovanie kontrolných zistení,
b) poskytnúť kontrolnému orgánu požadovanú súčinnosť v súlade s jeho oprávneniami podľa § 56 a zdržať sa konania, ktoré by mohlo mariť výkon kontroly,
c) dostaviť sa na predvolanie úradu s cieľom podať vysvetlenia v určenom čase na určené miesto,
d) oboznámiť sa s obsahom protokolu a na požiadanie kontrolného orgánu dostaviť sa na jeho prerokovanie.

§ 58
Oprávnenia kontrolovanej osoby
Kontrolovaná osoba je oprávnená
a) oboznamovať sa s kontrolnými zisteniami a písomne sa k nim vyjadrovať,
b) podať písomné námietky po oboznámení sa s kontrolnými zisteniami,
c) vyžadovať od kontrolného orgánu preukázanie skutočností podľa § 55 písm. b),
d) overiť totožnosť prizvanej osoby a vyžadovať od prizvanej osoby preukázanie, že je oprávnená sa zúčastniť vykonania kontroly,
e) vyžadovať od kontrolného orgánu potvrdenie o odobratí originálov alebo kópií dokumentov podľa § 56 písm. c),
f) vyžadovať, aby výkonom kontroly neboli dotknuté jej práva a právom chránené záujmy; týmto nie sú dotknuté ustanovenia § 56 a 57.

§ 59
Prizvaná osoba
(1) Ak je to odôvodnené osobitnou povahou kontroly, môže kontrolný orgán prizvať na vykonanie kontroly iné fyzické osoby. Účasť týchto fyzických osôb na kontrole sa považuje za iný úkon vo všeobecnom záujme.
(2) Prizvaná osoba sa ako člen kontrolného orgánu zúčastňuje kontroly na základe písomného poverenia predsedu úradu alebo vrchného inšpektora; o prizvaní fyzickej osoby kontrolný orgán upovedomí kontrolovanú osobu podľa § 55 písm. a).
(3) Prizvaná osoba je povinná zachovávať mlčanlivosť o skutočnostiach, o ktorých sa dozvedela počas výkonu kontroly, a to aj po jej ukončení. Od povinnosti mlčanlivosti môže prizvanú osobu zbaviť predseda úradu.
(4) Prizvaná osoba nemôže vykonávať úlohy podľa tohto zákona, ak so zreteľom na jej vzťah k predmetu veci možno mať pochybnosti o jej nezaujatosti. Prizvaná osoba, ktorá sama vie o skutočnostiach zakladajúcich pochybnosti o jej zaujatosti, oznámi tieto skutočnosti bez zbytočného odkladu úradu.
(5) Kontrolovaná osoba môže písomne vzniesť preukázateľné námietky o zaujatosti prizvanej osoby. Prizvaná osoba môže do rozhodnutia o námietkach zaujatosti vykonať pri kontrole len také úkony, ktoré neznesú odklad.
(6) O námietkach zaujatosti a o oznámení zaujatosti rozhodne predseda úradu v lehote do troch pracovných dní od ich uplatnenia. Proti rozhodnutiu predsedu úradu nemožno podať opravný prostriedok.
(7) Na rozhodovanie o zaujatosti sa nevzťahuje všeobecný predpis o správnom konaní.41)

§ 60
Ukončenie kontroly
(1) Výsledkom kontroly je protokol alebo záznam o kontrole.
(2) Ak boli kontrolou zistené nedostatky, kontrolný orgán vypracuje protokol, ktorý obsahuje
a) identifikačné údaje úradu,
b) identifikačné údaje kontrolovanej osoby,
c) miesto, dátum a čas vykonania kontroly,
d) predmet kontroly,
e) preukázané kontrolné zistenia,
f) vyjadrenia kontrolovanej osoby ku kontrolným zisteniam,
g) titul, meno, priezvisko a funkciu alebo pracovné zaradenie kontrolného orgánu, ktorý kontrolu vykonal,
h) dátum vypracovania protokolu,
i) odtlačok úradnej pečiatky, vlastnoručné podpisy kontrolného orgánu, zodpovedných zamestnancov kontrolovanej osoby, ktorí boli s obsahom protokolu oboznámení, a prizvanej osoby, ak kontrolný orgán na vykonanie kontroly prizval fyzickú osobu podľa § 59,
j) dátum oboznámenia sa s protokolom; ak sa kontrolovaná osoba odmietne oboznámiť s obsahom protokolu, vyjadriť sa ku kontrolným zisteniam alebo podpísať protokol, uvedie sa táto skutočnosť v protokole, a
k) písomné potvrdenie o prevzatí protokolu kontrolovanou osobou.
(3) Protokol podľa odseku 2 môže obsahovať prílohy; prílohy tvoria neoddeliteľnú súčasť protokolu.
(4) Kontrolovaná osoba je po oboznámení sa s kontrolnými zisteniami uvádzanými v protokole oprávnená podať písomné námietky v lehote siedmich dní odo dňa podpísania protokolu; deň odmietnutia podpísať protokol podľa odseku 2 písm. j) vety za bodkočiarkou sa považuje za deň podpísania protokolu. Na neskôr podané námietky kontrolný orgán neprihliada.
(5) Ak sú proti kontrolným zisteniam podané námietky podľa odseku 4 alebo vyšli najavo nové skutočnosti, ktoré v čase oboznamovania s protokolom neboli známe, kontrolný orgán posúdi ich obsah z hľadiska ich opodstatnenosti v lehote 15 dní odo dňa doručenia námietok a vypracuje o nich dodatok, ktorý je neoddeliteľnou súčasťou protokolu. Ak kontrolný orgán neakceptuje námietky kontrolovaného subjektu, je povinný to v dodatku zdôvodniť. Pri jeho vypracovaní sa postupuje primerane podľa odseku 2.
(6) Kontrolný orgán písomne informuje kontrolovanú osobu o výsledku preskúmania námietok v lehote 15 dní odo dňa doručenia námietok.
(7) Ak sa kontrolou nezistí porušenie povinností ustanovených zákonom, kontrolný orgán vypracuje záznam o kontrole. Pri jeho vypracovaní sa postupuje primerane podľa odseku 2.
(8) Kontrola je ukončená dňom podpísania zápisnice o prerokovaní protokolu alebo dňom podpísania záznamu o kontrole podľa odseku 7. Ak kontrolovaná osoba odmietne podpísať zápisnicu o prerokovaní protokolu, kontrola sa považuje za ukončenú dňom odmietnutia jej podpísania, o čom kontrolný orgán vyhotoví v zápisnici záznam.

§ 61
(1) Protokol a informácie, ktoré obsahuje dokumentácia súvisiaca s výkonom kontroly podľa tohto zákona, sa nesprístupňujú podľa osobitného zákona.42)
(2) Na výkon kontroly sa nevzťahuje osobitný zákon o kontrole v štátnej správe.43)
(3) Na doručovanie písomností pri výkone kontroly sa vzťahuje všeobecný predpis o správnom konaní.43a)

Tretia hlava
Konanie o ochrane osobných údajov

§ 62
(1) Účelom konania o ochrane osobných údajov (ďalej len „konanie“) je zistiť, či postupom prevádzkovateľa alebo sprostredkovateľa došlo k porušeniu práv fyzických osôb pri spracúvaní ich osobných údajov a v prípade zistenia nedostatkov, uložiť opatrenia na nápravu, prípadne sankciu za porušenie tohto zákona.
(2) Konanie je neverejné; tým nie je dotknuté ustanovenie § 71.

§ 63
Začatie konania
(1) Konanie sa začína na návrh dotknutej osoby alebo osoby, ktorá tvrdí, že je priamo dotknutá na svojich právach ustanovených týmto zákonom (ďalej len „navrhovateľ“), alebo bez návrhu.
(2) Návrh na začatie konania podľa odseku 1 musí obsahovať
a) meno, priezvisko, adresu trvalého pobytu a podpis navrhovateľa,
b) označenie toho, proti komu návrh smeruje; názov alebo meno a priezvisko, sídlo alebo trvalý pobyt, prípadne právnu formu a identifikačné číslo,
c) predmet návrhu s označením, ktoré práva sa podľa tvrdenia navrhovateľa pri spracúvaní osobných údajov porušili,
d) dôkazy na podporu tvrdení uvedených v návrhu,
e) kópiu listiny preukazujúcej uplatnenie práva podľa § 28, ak sa takéto právo mohlo uplatniť, alebo uvedenie dôvodov hodných osobitného zreteľa.
(3) Úrad môže návrh na začatie konania podľa odseku 1 odložiť, ak
a) návrh je zjavne neopodstatnený,
b) vec, ktorej sa návrh týka, prejednáva orgán činný v trestnom konaní,
c) navrhovateľ neposkytol úradu na jeho žiadosť potrebnú súčinnosť, pričom bez jeho aktívnej účasti nie je možné vec vybaviť; navrhovateľ musí byť o možnosti odloženia jeho návrhu poučený,
d) od udalosti, ktorej sa návrh týka, uplynul v deň jeho doručenia čas dlhší ako tri roky.
(4) V odôvodnených prípadoch, v ktorých by mohlo dôjsť k porušeniu práv a právom chránených záujmov dotknutej osoby, môže úrad na žiadosť navrhovateľa utajiť jeho totožnosť.
(5) Ak návrh na začatie konania doručí úradu iná osoba ako navrhovateľ, návrh sa považuje za podnet na začatie konania bez návrhu (ďalej len „podnet“).
(6) Úrad môže podnet podľa odseku 5 odložiť, ak
a) podnet je zjavne neopodstatnený,
b) vec, ktorej sa podnet týka, prejednáva orgán činný v trestnom konaní,
c) od udalosti, ktorej sa podnet týka, uplynul v deň jeho doručenia čas dlhší ako tri roky.
(7) Ak úrad podnet neodloží podľa odseku 6, začne konanie z vlastnej iniciatívy. Úrad začne konanie z vlastnej iniciatívy aj na základe výsledkov kontroly podľa § 60 ods. 2, ktorou boli zistené nedostatky.
(8) Fyzická osoba alebo právnická osoba, ktorá podala podnet, nie je účastníkom konania. O spôsobe vybavenia jej podnetu podľa prvej vety ju úrad bez zbytočného odkladu informuje.

§ 64
Lehoty
(1) Úrad rozhodne o návrhu navrhovateľa v lehote do 60 dní odo dňa začatia konania. V odôvodnených prípadoch úrad túto lehotu primerane predĺži, najviac však o šesť mesiacov. O predĺžení lehoty úrad písomne informuje účastníkov konania.
(2) Úrad posúdi podnet fyzickej osoby alebo právnickej osoby podľa § 63 ods. 5 v lehote 15 dní odo dňa jeho doručenia. Ak úrad nepostupuje podľa § 63 ods. 6, začne konanie a vo veci rozhodne v lehote podľa odseku 1 prvej vety.
(3) Ak je počas konania začatého na základe návrhu navrhovateľa alebo na základe vlastnej iniciatívy podľa § 63 ods. 7 potrebné vykonať kontrolu, lehota na vybavenie návrhu podľa odseku 1 neplynie odo dňa začatia kontroly až do dňa skončenia kontroly. Výsledok kontroly je podkladom na rozhodnutie vo veci.

§ 65
Rozhodnutie
(1) Ak úrad zistí porušenie práv navrhovateľa, fyzickej osoby v konaní bez návrhu alebo nesplnenie povinností pri spracúvaní osobných údajov ustanovených zákonom, uloží rozhodnutím prevádzkovateľovi alebo sprostredkovateľovi, aby v určenej lehote vykonal opatrenia na odstránenie zistených nedostatkov a príčin ich vzniku; inak konanie o ochrane osobných údajov zastaví.
(2) Okrem opatrení podľa odseku 1 úrad je oprávnený ďalej uložiť opatrenia prevádzkovateľovi alebo sprostredkovateľovi, ktorými
a) zakáže spracúvanie tých osobných údajov, ktorých spracúvanie je v rozpore s ustanoveniami tohto zákona,
b) zakáže spracúvanie, ktoré je v rozpore s ustanoveniami tohto zákona,
c) nariadi odstránenie alebo likvidáciu osobných údajov v určenej lehote, ak sú alebo boli neoprávnene spracúvané,
d) uloží povinnosť prijať technické, organizačné a personálne opatrenia zodpovedajúce spôsobu spracúvania,
e) uloží povinnosť zabezpečiť vypracovanie alebo doplnenie dokumentácie alebo bezpečnostného projektu v súlade s týmto zákonom,
f) uloží prevádzkovateľovi povinnosť zmeniť sprostredkovateľa v určenej lehote, ak prevádzkovateľ vykonáva spracúvanie osobných údajov prostredníctvom sprostredkovateľa.
(3) Ak porušenie práv dotknutej osoby alebo nesplnenie povinností pri spracúvaní osobných údajov neznesie odklad, úrad vydá predbežné opatrenie.
(4) Prevádzkovateľ alebo sprostredkovateľ je povinný informovať úrad o splnení uložených opatrení v úradom určenej lehote.

§ 66
O rozklade podanom proti rozhodnutiu podľa § 65 rozhodne predseda úradu.

Štvrtá hlava
Sankcie a zverejnenie porušenia zákona

§ 67
Sankciami za porušenie tohto zákona sú:
a) pokuta a
b) poriadková pokuta.

§ 68
Pokuta
(1) Úrad môže uložiť pokutu od 300 eur do 3 000 eur prevádzkovateľovi, ktorý
a) nezabezpečil správnosť a aktuálnosť osobných údajov podľa § 16 ods. 2,
b) neoznámil zistené nedostatky tretím stranám podľa § 18 ods. 1 alebo nevie pri kontrole preukázať úradu, že upustenie od oznámenia podľa § 18 bolo dôvodné, alebo prijal oznámenie ako tretia strana a nevykonal opatrenia v rozsahu a spôsobom podľa § 18 ods. 2,
c) nesplnil alebo porušil povinnosť hodnoverne preukázať vyhotovenie záznamu poučenia oprávnených osôb podľa § 21 ods. 3,
d) nesplnil alebo porušil povinnosť vyhotoviť poverenie zodpovednej osoby podľa § 23 ods. 10 a 11,
e) nesplnil alebo porušil oznamovaciu povinnosť podľa § 25 ods. 2 až 4,
f) nesplnil alebo porušil povinnosť ukončenia poverenia zodpovednej osoby podľa § 26,
g) nevykonal oznámenie o obmedzení práv dotknutej osoby podľa § 30,
h) nesplnil alebo porušil povinnosť podľa § 35 ods. 1 a § 36 ods. 3 prvej vety,
i) nesplnil alebo porušil povinnosť oznámenia zmien podľa § 40,
j) nesplnil alebo porušil povinnosť vedenia evidencie informačného systému podľa § 43, alebo
k) nesplnil alebo porušil povinnosť sprístupniť údaje z evidencie podľa § 44.
(2) Úrad môže uložiť pokutu od 1 000 eur do 50 000 eur prevádzkovateľovi, ktorý
a) nesplnil alebo porušil niektorú z povinností základných zásad spracúvania osobných údajov podľa § 5 až 7 a 9 až 12,
b) pri výbere a poverovaní sprostredkovateľa nesplnil alebo porušil niektorú z povinností podľa § 8 ods. 2 až 5 a 8 druhej vety pred bodkočiarkou,
c) pri získavaní osobných údajov nesplnil alebo porušil niektorú z povinností podľa § 15,
d) nesplnil alebo porušil niektorú z povinností likvidácie osobných údajov podľa § 17,
e) nesplnil alebo porušil niektorú z povinností bezpečnosti spracúvania osobných údajov podľa § 19 ods. 1, 2, 4 a 5 a § 20,
f) nesplnil alebo porušil niektorú z povinností upravujúcich poučenie oprávnených osôb podľa § 21 ods. 2 a 4,
g) pri výkone dohľadu nad ochranou osobných údajov nesplnil alebo porušil niektorú z povinností podľa § 23 ods. 2 a 5 až 9 a § 25 ods. 1,
h) pri vybavovaní žiadosti dotknutej osoby nesplnil alebo porušil niektorú z povinností podľa § 28 a 29.
(3) Úrad uloží pokutu od 1 000 eur do 300 000 eur prevádzkovateľovi, ktorý
a) nesplnil alebo porušil povinnosť poveriť spracúvaním osobných údajov sprostredkovateľa na základe písomnej zmluvy podľa § 8 ods. 3 prvej vety,
b) pri spracúvaní osobitnej kategórie osobných údajov nesplnil alebo porušil niektorú z povinností podľa § 13 a 14,
c) nesplnil alebo porušil povinnosť mať vypracovaný bezpečnostný projekt podľa § 19 ods. 3,
d) nevykonal prenos osobných údajov do tretích krajín podľa § 31 alebo nesplnil, alebo porušil niektorú z podmienok podľa § 31 a § 32 ods. 2, 3 a 4, alebo
e) nesplnil alebo porušil povinnosť osobitnej registrácie informačného systému podľa § 37 a 38, § 39 ods. 5 a ods. 6 druhej vety.
(4) Úrad môže uložiť pokutu od 300 eur do 3 000 eur sprostredkovateľovi, ktorý
a) nezabezpečil správnosť a aktuálnosť osobných údajov podľa § 16 ods. 2,
b) neoznámil zistené nedostatky tretím stranám podľa § 18 ods. 1 alebo nevie pri kontrole preukázať úradu, že upustenie od oznámenia podľa § 18 bolo dôvodné, alebo prijal oznámenie ako tretia strana a nevykonal opatrenia v rozsahu a spôsobom podľa § 18 ods. 2,
c) nesplnil alebo porušil povinnosť hodnoverne preukázať vyhotovenie záznamu poučenia oprávnených osôb podľa § 21 ods. 3,
d) nesplnil alebo porušil povinnosť vyhotoviť poverenie zodpovednej osoby podľa § 23 ods. 10 a 11,
e) nesplnil alebo porušil oznamovaciu povinnosť podľa § 25 ods. 2 až 4,
f) nesplnil alebo porušil povinnosť ukončenia poverenia zodpovednej osoby podľa § 26,
g) nevykonal oznámenie o obmedzení práv dotknutej osoby podľa § 30.
(5) Úrad môže uložiť pokutu od 1 000 eur do 50 000 eur sprostredkovateľovi, ktorý
a) nesplnil alebo porušil niektorú z povinností základných zásad spracúvania osobných údajov podľa § 5 ods. 1, § 6 ods. 2 písm. c) až i), § 6 ods. 4,
b) nesplnil alebo porušil niektorú z povinností sprostredkovateľa podľa § 8 ods. 6 až 8,
c) pri získavaní osobných údajov nesplnil alebo porušil niektorú z povinností podľa § 15,
d) nesplnil alebo porušil niektorú z povinností likvidácie osobných údajov podľa § 17,
e) nesplnil alebo porušil niektorú z povinností bezpečnosti spracúvania osobných údajov podľa § 19 ods. 1, 2, 4 a 5 a § 20,
f) nesplnil alebo porušil niektorú z povinností upravujúcich poučenie oprávnených osôb podľa § 21 ods. 2 a 4,
g) pri výkone dohľadu nad ochranou osobných údajov nesplnil alebo porušil niektorú z povinností podľa § 23 ods. 2 a 5 až 9 a § 25 ods. 1,
h) pri vybavovaní žiadosti dotknutej osoby nesplnil alebo porušil niektorú z povinností podľa § 28 a 29.
(6) Úrad uloží pokutu od 1 000 eur do 300 000 eur sprostredkovateľovi, ktorý
a) nesplnil alebo porušil povinnosť mať vypracovaný bezpečnostný projekt podľa § 19 ods. 3 alebo
b) nevykonal prenos osobných údajov do tretích krajín podľa § 31, alebo nesplnil alebo porušil niektorú z podmienok podľa § 31 a § 32 ods. 2, 3 a 4.
(7) Úrad môže uložiť pokutu od 150 eur do 2 000 eur tomu, kto
a) poskytne osobné údaje v rozpore s § 12 ods. 1; to neplatí pre prevádzkovateľa a sprostredkovateľa,
b) poskytne nepravdivé osobné údaje podľa § 16 ods. 1,
c) nepostupoval v súlade s technickými, organizačnými alebo personálnymi opatreniami prijatými prevádzkovateľom alebo sprostredkovateľom podľa § 19 a 20,
d) ako oprávnená osoba poruší niektorú zo svojich povinností uložených v poučení podľa § 21,
e) poruší povinnosť mlčanlivosti o osobných údajoch podľa § 22,
f) ako zodpovedná osoba neplní povinnosti podľa § 27, alebo
g) neposkytol úradu požadovanú súčinnosť pri výkone dozoru podľa tohto zákona.

§ 69
Poriadková pokuta
Úrad uloží prevádzkovateľovi alebo sprostredkovateľovi poriadkovú pokutu
a) do 1 000 eur, ak nezabezpečí primerané podmienky na výkon kontroly podľa § 57 písm. a),
b) do 10 000 eur ak marí výkon kontroly požadovaný podľa § 57 písm. b),
c) do 20 000 eur, ak oznam určený na zverejnenie podľa § 71 v hromadných informačných prostriedkoch nezverejnil vôbec alebo nezverejnil včas, alebo nezverejnil v určenej forme, alebo v určenom hromadnom informačnom prostriedku, alebo nedodržal určený obsah tohto oznamu, a to opakovane až do splnenia povinnosti,
d) do 30 000 eur, ak nevykonal opatrenia uložené v rozhodnutí podľa § 65 ods. 1, 2 alebo úrad v určenej lehote včas neinformoval podľa § 65 ods. 4.

§ 70
Spoločné ustanovenia k pokute a poriadkovej pokute
(1) Pokutu a poriadkovú pokutu úrad uloží opakovane, ak povinnosť nebola splnená v určenej lehote.
(2) Pokutu podľa § 68 možno uložiť do dvoch rokov odo dňa, keď úrad porušenie povinnosti zistil, najneskôr však do piatich rokov odo dňa, keď k porušeniu povinnosti došlo.
(3) Poriadkovú pokutu podľa § 69 možno uložiť do jedného mesiaca odo dňa, keď k porušeniu povinnosti došlo.
(4) Pri ukladaní pokuty alebo poriadkovej pokuty a určení jej výšky úrad prihliada najmä na závažnosť, čas trvania a následky protiprávneho konania, opakovanie takéhoto konania a mieru ohrozenia súkromného a rodinného života a na počet dotknutých osôb.
(5) Ak sa tá istá osoba dopustí toho istého porušenia tohto zákona do dvoch rokov od právoplatnosti rozhodnutia, môže jej úrad uložiť pokutu alebo poriadkovú pokutu až do výšky dvojnásobku sadzby uloženej pokuty alebo poriadkovej pokuty.
(6) Proti rozhodnutiu o uložení pokuty alebo poriadkovej pokuty možno podať písomne rozklad do 15 dní odo dňa jeho doručenia. O rozklade rozhodne predseda úradu do 60 dní odo dňa jeho doručenia.
(7) V odôvodených prípadoch úrad môže rozhodnutím povoliť odklad platenia pokuty alebo poriadkovej pokuty alebo povoliť platenie pokuty alebo poriadkovej pokuty v splátkach.
(8) Výnosy pokút sú príjmom štátneho rozpočtu.

§ 71
Zverejnenie porušenia zákona
(1) Ak úrad zistí porušenie povinností ustanovených týmto zákonom, môže rozhodnutím zverejniť obchodné meno alebo názov, sídlo alebo trvalý pobyt, identifikačné číslo, ak ho má pridelené, a právnu formu toho, kto sa dopustil protiprávneho konania, a
a) výrok a odôvodnenie vykonateľného opatrenia alebo ich časti podľa § 65 v konaní o ochrane osobných údajov,
b) výrok a odôvodnenie vykonateľného rozhodnutia o pokute alebo poriadkovej pokute alebo ich časti podľa § 68 alebo § 69, alebo
c) charakteristiku skutkového stavu porušenia ochrany osobných údajov.
(2) Úrad môže uložiť prevádzkovateľovi alebo sprostredkovateľovi povinnosť zverejniť skutočnosti v rozsahu podľa odseku 1 písm. c) v hromadných informačných prostriedkoch.
(3) Úrad môže uložiť povinnosť zverejniť porušenie zákona podľa odseku 2, ak zistí závažné, opakované alebo dlhotrvajúce porušenie povinností ustanovených týmto zákonom; pri ukladaní povinnosti zverejniť porušenie zákona úrad zohľadní aj mieru ohrozenia súkromného a rodinného života a počet dotknutých osôb.
(4) Prevádzkovateľ alebo sprostredkovateľ je povinný splniť povinnosť uloženú úradom podľa odseku 2. Štatutárny orgán prevádzkovateľa a sprostredkovateľa je povinný zabezpečiť zverejnenie oznamu v hromadných informačných prostriedkoch v rozsahu podľa odseku 1 písm. c) na vlastné náklady prevádzkovateľa; obsah, formu, hromadný informačný prostriedok a najneskorší termín zverejnenia oznamu určí úrad.
(5) Osobné údaje uvedené vo výroku alebo odôvodnení vykonateľného opatrenia alebo rozhodnutia podľa odseku 1 písm. a) a b) sa nezverejňujú.


ŠTVRTÁ ČASŤ
Spoločné, prechodné a záverečné ustanovenia

Spoločné ustanovenia

§ 72
(1) Na konanie podľa tohto zákona sa vzťahuje všeobecný predpis o správnom konaní,41) ak v odseku 2 nie je ustanovené inak.
(2) Všeobecný predpis o správnom konaní41) sa nevzťahuje na
a) vykonávanie a absolvovanie skúšky fyzickej osoby na výkon funkcie zodpovednej osoby podľa § 24,
b) oznamovaciu povinnosť podľa § 34 až 36 a
c) výkon kontroly podľa § 52 až 61, okrem doručovania písomností pri výkone kontroly.

§ 73
Každý je povinný umožniť úradu vykonať dozor nad dodržiavaním povinností podľa tohto zákona a rozhodnutí vydaných na jeho základe. Týmto nie je dotknuté ustanovenie § 46 ods. 5.

§ 74
Súčinnosť
(1) Každý je povinný poskytnúť úradu potrebnú súčinnosť pri plnení jeho úloh podľa tohto zákona.
(2) Prevádzkovateľ a sprostredkovateľ sú povinní strpieť všetky úkony úradu smerujúce k zisteniu všetkých okolností potrebných na objektívne posúdenie veci.

Prechodné ustanovenia

§ 75
(1) Úrad na ochranu osobných údajov Slovenskej republiky zriadený podľa doterajšieho zákona je Úradom na ochranu osobných údajov Slovenskej republiky podľa tohto zákona.
(2) Predseda úradu zvolený do funkcie podľa doterajšieho zákona je predsedom úradu podľa tohto zákona; týmto nie je dotknuté plynutie jeho funkčného obdobia.
(3) Podpredseda úradu vymenovaný do funkcie podľa doterajších predpisov je podpredsedom úradu podľa tohto zákona; týmto nie je dotknuté plynutie jeho funkčného obdobia.
(4) Vrchný inšpektor úradu vymenovaný do funkcie podľa doterajších predpisov je vrchným inšpektorom úradu podľa tohto zákona; týmto nie je dotknuté plynutie jeho funkčného obdobia.
(5) Inšpektor úradu vymenovaný do funkcie podľa doterajších predpisov je inšpektorom úradu podľa tohto zákona.

§ 76
(1) Prevádzkovateľ uvedie do súladu s týmto zákonom do šiestich mesiacov odo dňa jeho účinnosti všetky informačné systémy, v ktorých spracúva osobné údaje.
(2) Prevádzkovateľ je povinný zmluvný vzťah so sprostredkovateľom dať do súladu s týmto zákonom do jedného roka odo dňa účinnosti tohto zákona.
(3) Prevádzkovateľ a sprostredkovateľ sú povinní vykonať poučenie oprávnených osôb v súlade s týmto zákonom do šiestich mesiacov odo dňa účinnosti tohto zákona.
(4) Poverenia a oznámenia o poverení zodpovednej osoby podľa doterajšieho zákona sa považujú za poverenia a oznámenia o poverení zodpovednej osoby podľa tohto zákona. Prevádzkovateľ a sprostredkovateľ sú povinní písomne poveriť zodpovednú osobu a jej poverenie oznámiť úradu v súlade s týmto zákonom do jedného roka odo dňa účinnosti tohto zákona.
(5) Registrácia udelená podľa doterajšieho zákona sa považuje za registráciu udelenú podľa tohto zákona. Prevádzkovateľ je povinný nanovo prihlásiť svoj informačný systém na registráciu v súlade s týmto zákonom do šiestich mesiacov odo dňa účinnosti tohto zákona, ak to zákon vyžaduje.
(6) Osobitné registrácie udelené podľa doterajšieho zákona sa považujú za osobitné registrácie udelené podľa tohto zákona. Prevádzkovateľ je povinný nanovo prihlásiť svoj informačný systém na osobitnú registráciu v súlade s týmto zákonom do šiestich mesiacov odo dňa účinnosti tohto zákona, ak to zákon vyžaduje.
(7) Bezpečnostné opatrenia, bezpečnostná smernica a bezpečnostný projekt vypracované podľa doterajšieho zákona sa účinnosťou tohto zákona považujú za bezpečnostné opatrenia vypracované podľa tohto zákona. Prevádzkovateľ a sprostredkovateľ sú povinní zosúladiť prijaté bezpečnostné opatrenia s týmto zákonom do deviatich mesiacov odo dňa účinnosti tohto zákona.
(8) Súhlas so spracúvaním osobných údajov udelený podľa doterajšieho zákona sa účinnosťou tohto zákona považuje za súhlas so spracúvaním osobných údajov udelený podľa tohto zákona.

§ 77
Konania začaté pred dňom nadobudnutia účinnosti tohto zákona sa dokončia podľa doterajších predpisov.

§ 77a
Prechodné ustanovenia k úpravám účinným od 15. apríla 2014
(1) Registrácie informačných systémov vykonané do 14. apríla 2014 sa považujú za oznámenia informačných systémov podľa § 34 v znení účinnom od 15. apríla 2014.
(2) Konania o registrácii informačných systémov a konania o osobitnej registrácii informačných systémov, ktoré neboli ukončené do 14. apríla 2014 sa dokončia podľa zákona účinného do 14. apríla 2014.
(3) Pri vyhotovovaní oznámenia podľa § 35 ods. 1, oznámení zmeny oznámených údajov a oznámení ukončenia používania informačného systému elektronickou formou sa od 15. apríla 2014 nevyžaduje zaručený elektronický podpis; od 1. septembra 2014 možno oznámenie podľa § 35 ods. 1, oznámenie zmeny oznámených údajov a oznámenie ukončenia používania informačného systému vykonať aj prostredníctvom elektronického formulára. Úrad zverejní elektronický formulár na svojom webovom sídle.
(4) Konania podľa § 68 a 69 začaté pred 15. aprílom 2014 sa dokončia podľa zákona účinného do 14. apríla 2014.

§ 78
Týmto zákonom sa preberajú právne záväzné akty Európskej únie uvedené v prílohe.

§ 79
Zrušovacie ustanovenie
Zrušuje sa zákon č. 428/2002 Z. z. o ochrane osobných údajov v znení zákona č. 602/2003 Z. z., zákona č. 576/2004 Z. z., zákona č. 90/2005 Z. z. a zákona č. 583/2008 Z. z.


Článok II
Zákon č. 145/1995 Z. z. o správnych poplatkoch v znení zákona Národnej rady Slovenskej republiky č. 123/1996 Z. z., zákona Národnej rady Slovenskej republiky č. 224/1996 Z. z., zákona č. 70/1997 Z. z., zákona č. 1/1998 Z. z., zákona č. 232/1999 Z. z., zákona č. 3/2000 Z. z., zákona č. 142/2000 Z. z., zákona č. 211/2000 Z. z., zákona č. 468/2000 Z. z., zákona č. 553/2001 Z. z., zákona č. 96/2002 Z. z., zákona č. 118/2002 Z. z., zákona č. 215/2002 Z. z., zákona č. 237/2002 Z. z., zákona č. 418/2002 Z. z., zákona č. 457/2002 Z. z., zákona č. 465/2002 Z. z., zákona č. 477/2002 Z. z., zákona č. 480/2002 Z. z., zákona č. 190/2003 Z. z., zákona č. 217/2003 Z. z., zákona č. 245/2003 Z. z., zákona č. 450/2003 Z. z., zákona č. 469/2003 Z. z., zákona č. 583/2003 Z. z., zákona č. 5/2004 Z. z., zákona č. 199/2004 Z. z., zákona č. 204/2004 Z. z., zákona č. 347/2004 Z. z., zákona č. 382/2004 Z. z., zákona č. 434/2004 Z. z., zákona č. 533/2004 Z. z., zákona č. 541/2004 Z. z., zákona č. 572/2004 Z. z., zákona č. 578/2004 Z. z., zákona č. 581/2004 Z. z., zákona č. 633/2004 Z. z., zákona č. 653/2004 Z. z., zákona č. 656/2004 Z. z., zákona č. 725/2004 Z. z., zákona č. 5/2005 Z. z., zákona č. 8/2005 Z. z., zákona č. 15/2005 Z. z., zákona č. 93/2005 Z. z., zákona č. 171/2005 Z. z., zákona č. 308/2005 Z. z., zákona č. 331/2005 Z. z., zákona č. 341/2005 Z. z., zákona č. 342/2005 Z. z., zákona č. 473/2005 Z. z., zákona č. 491/2005 Z. z., zákona č. 538/2005 Z. z., zákona č. 558/2005 Z. z., zákona č. 572/2005 Z. z., zákona č. 573/2005 Z. z., zákona č. 610/2005 Z. z., zákona č. 14/2006 Z. z., zákona č. 15/2006 Z. z., zákona č. 24/2006 Z. z., zákona č. 117/2006 Z. z., zákona č. 124/2006 Z. z., zákona č. 126/2006 Z. z., zákona č. 224/2006 Z. z., zákona č. 342/2006 Z. z., zákona č. 672/2006 Z. z., zákona č. 693/2006 Z. z., zákona č. 21/2007 Z. z., zákona č. 43/2007 Z. z., zákona č. 95/2007 Z. z., zákona č. 193/2007 Z. z., zákona č. 220/2007 Z. z., zákona č. 279/2007 Z. z., zákona č. 295/2007 Z. z., zákona č. 309/2007 Z. z., zákona č. 342/2007 Z. z., zákona č. 343/2007 Z. z., zákona č. 344/2007 Z. z., zákona č. 355/2007 Z. z., zákona č. 358/2007 Z. z., zákona č. 359/2007 Z. z., zákona č. 460/2007 Z. z., zákona č. 517/2007 Z. z., zákona č. 537/2007 Z. z., zákona č. 548/2007 Z. z., zákona č. 571/2007 Z. z., zákona č. 577/2007 Z. z., zákona č. 647/2007 Z. z., zákona č. 661/2007 Z. z., zákona č. 92/2008 Z. z., zákona č. 112/2008 Z. z., zákona č. 167/2008 Z. z., zákona č. 214/2008 Z. z., zákona č. 264/2008 Z. z., zákona č. 405/2008 Z. z., zákona č. 408/2008 Z. z., zákona č. 451/2008 Z. z., zákona č. 465/2008 Z. z., zákona č. 495/2008 Z. z., zákona č. 514/2008 Z. z., zákona č. 8/2009 Z. z., zákona č. 45/2009 Z. z., zákona č. 188/2009 Z. z., zákona č. 191/2009 Z. z., zákona č. 274/2009 Z. z., zákona č. 292/2009 Z. z., zákona č. 304/2009 Z. z., zákona č. 305/2009 Z. z., zákona č. 307/2009 Z. z., zákona č. 465/2009 Z. z., zákona č. 478/2009 Z. z., zákona č. 513/2009 Z. z., zákona č. 568/2009 Z. z., zákona č. 570/2009 Z. z., zákona č. 594/2009 Z. z., zákona č. 67/2010 Z. z., zákona č. 92/2010 Z. z., zákona č. 136/2010 Z. z., zákona č. 144/2010 Z. z., zákona č. 514/2010 Z. z., zákona č. 556/2010 Z. z., zákona č. 39/2011 Z. z., zákona č. 119/2011 Z. z., zákona č. 200/2011 Z. z., zákona č. 223/2011 Z. z., zákona č. 254/2011 Z. z., zákona č. 256/2011 Z. z., zákona č. 258/2011 Z. z., zákona č. 324/2011 Z. z., zákona č. 342/2011 Z. z., zákona č. 363/2011 Z. z., zákona č. 381/2011 Z. z., zákona č. 392/2011 Z. z., zákona č. 404/2011 Z. z., zákona č. 405/2011 Z. z., zákona č. 409/2011 Z. z., zákona č. 519/2011 Z. z., zákona č. 547/2011 Z. z., zákona č. 49/2012 Z. z., zákona č. 96/2012 Z. z., zákona č. 251/2012 Z. z., zákona č. 286/2012 Z. z., zákona č. 336/2012 Z. z., zákona č. 339/2012 Z. z., zákona č. 351/2012 Z. z., zákona č. 439/2012 Z. z., zákona č. 447/2012 Z. z., zákona č. 459/2012 Z. z., zákona č. 8/2013 Z. z., zákona č. 39/2013 Z. z., zákona č. 40/2013 Z. z., zákona č. 72/2013 Z. z., zákona č. 75/2013 Z. z., zákona č. 94/2013 Z. z. a zákona č. 96/2013 Z. z. sa dopĺňa takto:

V prílohe k sadzobníku správnych poplatkov sa dopĺňa XXIII. časť, ktorá vrátane názvu znie:

„XXIII. časť
Ochrana osobných údajov
Položka 273
a) Registrácia informačného systému alebo jej zmena …………… 20,- eur
b) Osobitná registrácia informačného systému alebo jej zmena …………… 50,- eur

Poznámka:
Poplatky podľa tejto položky vyberá Úrad na ochranu osobných údajov Slovenskej republiky.“.


Článok III
Zákon č. 215/2004 Z. z. o ochrane utajovaných skutočností a o zmene a doplnení niektorých zákonov v znení nálezu Ústavného súdu Slovenskej republiky č. 638/2005 Z. z., zákona č. 255/2006 Z. z., zákona č. 330/2007 Z. z., zákona č. 668/2007 Z. z., zákona č. 291/2009 Z. z., zákona č. 400/2009 Z. z. a zákona č. 192/2011 Z. z. sa dopĺňa takto:

V § 53 sa za odsek 5 vkladá nový odsek 6, ktorý znie:
„(6) Ak sú objekty a chránené priestory zabezpečené technickými zabezpečovacími prostriedkami umožňujúcimi vyhotovovať obrazový, zvukový alebo obrazovo-zvukový záznam, nevyžaduje sa ich označenie podľa všeobecného predpisu o ochrane osobných údajov. Ak takýto záznam nie je využitý na účely trestného konania alebo konania o priestupku, ten kto vyhotovil takýto záznam, je povinný ho zlikvidovať najneskôr v lehote 60 dní odo dňa nasledujúceho po dni, v ktorom bol záznam vyhotovený.“.
Doterajší odsek 6 sa označuje ako odsek 7.


Článok IV
Zákon č. 400/2009 Z. z. o štátnej službe a o zmene a doplnení niektorých zákonov v znení zákona č. 151/2010 Z. z., zákona č. 500/2010 Z. z., zákona č. 505/2010 Z. z., zákona č. 547/2010 Z. z., zákona č. 33/2011 Z. z., zákona č. 48/2011 Z. z., zákona č. 220/2011 Z. z., zákona č. 257/2011 Z. z., zákona č. 503/2011 Z. z., zákona č. 252/2012 Z. z., zákona č. 345/2012 Z. z., zákona č. 361/2012 Z. z. a zákona č. 392/2012 Z. z. sa mení takto:
V § 6 ods. 5 sa vypúšťajú slová „okrem inšpektora Úradu na ochranu osobných údajov Slovenskej republiky“.


Článok V
Účinnosť
Tento zákon nadobúda účinnosť 1. júla 2013.


Ivan Gašparovič v. r.
Pavol Paška v. r.
Robert Fico v. r.


1) Napríklad zákon Národnej rady Slovenskej republiky č. 46/1993 Z. z. o Slovenskej informačnej službe v znení neskorších predpisov, ústavný zákon č. 227/2002 Z. z. o bezpečnosti štátu v čase vojny, vojnového stavu, výnimočného stavu a núdzového stavu v znení neskorších predpisov, zákon č. 387/2002 Z. z. o riadení štátu v krízových situáciách mimo času vojny a vojnového stavu v znení neskorších predpisov, zákon č. 215/2004 Z. z. o ochrane utajovaných skutočností a o zmene a doplnení niektorých zákonov v znení neskorších predpisov.
2) Napríklad zákon č. 319/2002 Z. z. o obrane Slovenskej republiky v znení neskorších predpisov, zákon č. 321/2002 Z. z. o ozbrojených silách Slovenskej republiky v znení neskorších predpisov, zákon č. 179/2011 Z. z. o hospodárskej mobilizácii a o zmene a doplnení zákona č. 387/2002 Z. z. o riadení štátu v krízových situáciách mimo času vojny a vojnového stavu v znení neskorších predpisov.
3) Napríklad zákon Slovenskej národnej rady č. 564/1991 Zb. o obecnej polícii v znení neskorších predpisov, zákon Národnej rady Slovenskej republiky č. 171/1993 Z. z. o Policajnom zbore v znení neskorších predpisov.
4) Napríklad Trestný poriadok v znení neskorších predpisov, zákon č. 297/2008 Z. z. o ochrane pred legalizáciou príjmov z trestnej činnosti a o ochrane pred financovaním terorizmu a o zmene a doplnení niektorých zákonov v znení neskorších predpisov.
5) § 2 písm. b) zákona č. 293/2007 Z. z. o uznávaní odborných kvalifikácií v znení neskorších predpisov.
6) Napríklad zákon č. 523/2004 Z. z. o rozpočtových pravidlách verejnej správy a o zmene a doplnení niektorých zákonov v znení neskorších predpisov, zákon č. 563/2009 Z. z. o správe daní (daňový poriadok) a o zmene a doplnení niektorých zákonov v znení neskorších predpisov.
7) § 11 až 16 Občianskeho zákonníka v znení neskorších predpisov.
8) § 13 zákona č. 618/2003 Z. z. o autorskom práve a právach súvisiacich s autorským právom (autorský zákon) v znení neskorších predpisov.
9) Napríklad § 27 až 34 Obchodného zákonníka v znení neskorších predpisov, § 8 a 68 zákona Národnej rady Slovenskej republiky č. 162/1995 Z. z. o katastri nehnuteľností a o zápise vlastníckych a iných práv k nehnuteľnostiam (katastrálny zákon) v znení neskorších predpisov.
10) Zákon č. 330/2007 Z. z. o registri trestov a o zmene a doplnení niektorých zákonov v znení neskorších predpisov.
11) § 40 ods. 2 písm. d) zákona č. 153/2001 Z. z. o prokuratúre v znení neskorších predpisov.
12) § 69 Obchodného zákonníka v znení neskorších predpisov.
13) Napríklad zákon Národnej rady Slovenskej republiky č. 40/1993 Z. z. o štátnom občianstve Slovenskej republiky v znení neskorších predpisov, zákon č. 483/2001 Z. z. o bankách a o zmene a doplnení niektorých zákonov v znení neskorších predpisov, zákon č. 305/2005 Z. z. o sociálnoprávnej ochrane detí a o sociálnej kuratele a o zmene a doplnení niektorých zákonov v znení neskorších predpisov, zákon č. 400/2009 Z. z. o štátnej službe a o zmene a doplnení niektorých zákonov v znení neskorších predpisov.
14) § 4 zákona č. 215/2002 Z. z. o elektronickom podpise a o zmene a doplnení niektorých zákonov v znení neskorších predpisov.
15) § 8 Občianskeho zákonníka v znení zákona č. 509/1991 Zb.
16) § 26 až 30 Občianskeho zákonníka v znení neskorších predpisov.
17) § 116 Občianskeho zákonníka.
18) Zákon Národnej rady Slovenskej republiky č. 301/1995 Z. z. o rodnom čísle v znení neskorších predpisov.
19) Napríklad § 33 zákona č. 578/2004 Z. z. o poskytovateľoch zdravotnej starostlivosti, zdravotníckych pracovníkoch, stavovských organizáciách v zdravotníctve a o zmene a doplnení niektorých zákonov v znení neskorších predpisov.
20) Napríklad § 40 ods. 2 písm. d) zákona č. 153/2001 Z. z., zákon Národnej rady Slovenskej republiky č. 171/1993 Z. z. v znení neskorších predpisov.
21) Zákon č. 447/2008 Z. z. o peňažných príspevkoch na kompenzáciu ťažkého zdravotného postihnutia a o zmene a doplnení niektorých zákonov v znení neskorších predpisov.
22) Zákon č. 328/2002 Z. z. o sociálnom zabezpečení policajtov a vojakov a o zmene a doplnení niektorých zákonov v znení neskorších predpisov.
23) Zákon č. 224/2006 Z. z. o občianskych preukazoch a o zmene a doplnení niektorých zákonov v znení neskorších predpisov.
24) Zákon č. 647/2007 Z. z. o cestovných dokladoch a o zmene a doplnení niektorých zákonov v znení neskorších predpisov.
25) Napríklad § 14 zákona Národnej rady Slovenskej republiky č. 171/1993 Z. z. v znení neskorších predpisov, § 70 ods. 6 zákona č. 215/2004 Z. z.
26) Napríklad § 93a zákona č. 483/2001 Z. z. v znení neskorších predpisov.
27) § 2 ods. 15 zákona č. 395/2002 Z. z. o archívoch a registratúrach a o doplnení niektorých zákonov.
28) § 20 zákona č. 395/2002 Z. z. v znení zákona č. 216/2007 Z. z.
29) Zákon č. 215/2004 Z. z. v znení neskorších predpisov.
30) Napríklad § 40 zákona Národnej rady Slovenskej republiky č. 566/1992 Zb. o Národnej banke Slovenska v znení neskorších predpisov, § 23 zákona Národnej rady Slovenskej republiky č. 46/1993 Z. z. o Slovenskej informačnej službe v znení neskorších predpisov, § 80 zákona Národnej rady Slovenskej republiky č. 171/1993 Z. z. v znení neskorších predpisov, § 38 zákona č. 215/2004 Z. z., § 11 zákona č. 563/2009 Z. z. v znení neskorších predpisov.
31) Napríklad zákon Národnej rady Slovenskej republiky č. 162/1995 Z. z. v znení neskorších predpisov.
32) Napríklad rozhodnutie Komisie z 26. júla 2000 podľa smernice Európskeho parlamentu a Rady 95/46/ES o primeranej ochrane osobných údajov poskytovaných vo Švajčiarsku (2000/518/ES) (Mimoriadne vydanie Ú. v. EÚ, kap. 16/zv.1; Ú. v. ES L 215, 25. 8. 2000).
33) Napríklad rozhodnutie Komisie z 5. februára 2010 o štandardných zmluvných doložkách pre prenos osobných údajov spracovateľom usadeným v tretích krajinách podľa smernice Európskeho parlamentu a Rady 95/46/ES (2010/87/EÚ) (Ú. v. EÚ L 39,12. 2. 2010), rozhodnutie Komisie z 15. júna 2001 o štandardných zmluvných doložkách na prenos osobných údajov do tretích krajín podľa smernice 95/46/ES (2001/497/ES) (Mimoriadne vydanie Ú. v. EÚ, kap. 13/zv. 26; Ú. v. ES L 181, 4. 7. 2001).
34) Rozhodnutie Komisie z 26. júna 2000 v súlade so smernicou Európskeho parlamentu a Rady 95/46/ES o primeranosti ochrany poskytovanej zásadami „bezpečného prístavu“ a súvisiacimi často kladenými otázkami vydanými Ministerstvom obchodu USA (2000/520/ES) (Mimoriadne vydanie Ú. v. EÚ, kap. 16/zv.1; Ú. v. ES L 215, 25. 8. 2000).
35) Zákon č. 145/1995 Z. z. o správnych poplatkoch v znení neskorších predpisov.
36) § 21 ods. 1 a ods. 5 písm. a) zákona č. 523/2004 Z. z. v znení neskorších predpisov.
37) § 60 zákona Národnej rady Slovenskej republiky č. 350/1996 Z. z. o rokovacom poriadku Národnej rady Slovenskej republiky v znení zákona č. 215/2004 Z. z.
38) Zákon č. 400/2009 Z. z. v znení neskorších predpisov.
39) Zákon č. 357/2004 Z z. o ochrane verejného záujmu pri výkone funkcií verejných funkcionárov v znení zákona č. 545/2004 Z. z.
40) § 3 ods. 1 zákona č. 400/2009 Z. z. v znení neskorších predpisov.
41) Zákon č. 71/1967 Zb. o správnom konaní (Správny poriadok) v znení neskorších predpisov.
42) § 11 ods. 1 písm. h) zákona č. 211/2000 Z. z. o slobodnom prístupe k informáciám a o zmene a doplnení niektorých zákonov (zákon o slobode informácií) v znení neskorších predpisov.
43) Zákon Národnej rady Slovenskej republiky č. 10/1996 Z. z. o kontrole v štátnej správe v znení neskorších predpisov.
43a) § 25 a 26 zákona č. 71/1967 Zb. o správnom konaní (správny poriadok) v znení zákona č. 527/2003 Z. z.


Príloha k zákonu č. 122/2013 Z. z.

Zoznam preberaných právne záväzných aktov Európskej únie
Smernica Európskeho parlamentu a Rady 95/46/EHS z 24. októbra 1995 o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov (Mimoriadne vydanie Ú. v. EÚ, kap. 13/zv. 15; Ú. v. ES L 281, 23. 11. 1995) v znení nariadenia Európskeho parlamentu a Rady (ES) č. 1882/2003 z 29. septembra 2003 (Mimoriadne vydanie Ú. v. EÚ, kap. 1/zv. 4; Ú. v. EÚ L 284, 31. 10. 2003).