Zákon č. 110 / 2019 Zb.
Zákon o spracovaní osobných údajov
Platný
Zákon
Účinnosť od 24.04.2019
Obsah
ČÁST PRVNÍ
HLAVA I
§ 1
§ 2
§ 3
HLAVA II
Díl 1
§ 4
§ 5
§ 6
§ 7
§ 8
§ 9
§ 10
§ 11
§ 12
§ 13
§ 14
§ 15
§ 16
Díl 2
§ 17
§ 18
§ 19
§ 20
§ 21
§ 22
§ 23
HLAVA III
§ 24
§ 25
§ 26
§ 27
§ 28
§ 29
§ 30
§ 31
§ 32
§ 33
§ 34
§ 35
§ 36
§ 37
§ 38
§ 39
§ 39a
§ 39b
§ 39c
§ 40
§ 41
§ 42
HLAVA IV
§ 43
§ 44
§ 45
§ 46
§ 47
§ 48
§ 49
HLAVA V
§ 50
§ 51
§ 52
§ 53
§ 54
§ 54a
§ 55
§ 56
§ 57
§ 58
§ 59
§ 60
HLAVA VI
§ 61
§ 62
§ 63
§ 64
§ 65
ČÁST DRUHÁ
§ 66
§ 67
§ 68
Zobrazeno prvních 200 z celkem 651 ustanovení tohoto předpisu.
Zobrazit celý předpis →
Pro stažení celého znění použijte tlačítko Stáhnout výše.
110
PRÁVO
z 12. marca 2019,
o spracovaní osobných údajov
Parlament rozhodol o tomto zákone Českej republiky:
SPRACOVANIE OSOBNÝCH ÚDAJOV
ZÁKLADNÉ USTANOVENIA
Predmet úpravy
Tento zákon začleňuje príslušnú Európsku úniu1) v nadväznosti na priamo uplatniteľnú Európsku úniu2 a upravuje práva a povinnosti spracúvania osobných údajov s cieľom splniť právo každého na súkromie.
Rozsah pôsobnosti zákona
Tento zákon upravuje
(a) spracovanie osobných údajov podľa nariadenia Európskeho parlamentu a Rady (EÚ) 2016 / 6792;
(b) spracúvanie osobných údajov príslušnými orgánmi s cieľom predchádzať trestnej činnosti, vyhľadávať alebo odhaľovať trestnú činnosť, stíhať trestné činy, stíhať trestné sankcie a ochranné opatrenia, zabezpečiť bezpečnosť Českej republiky alebo zabezpečiť verejný poriadok a vnútornú bezpečnosť vrátane vyhľadávania osôb a predmetov;
(c) spracovanie osobných údajov v oblasti bezpečnosti obranných a bezpečnostných záujmov Českej republiky;
d) ďalšie spracúvanie osobných údajov, ktoré sa majú alebo majú vkladať do registra alebo sa majú úplne alebo čiastočne spracúvať automatizovaným spôsobom, s výnimkou spracúvania osobných údajov fyzickou osobou počas výlučne osobných alebo domácich činností; a
e) postavenie a právomoc Úradu pre ochranu osobných údajov (ďalej len "úrad").
Subjekt údajov
Dotknutá osoba je fyzická osoba, ktorej sa osobné údaje týkajú.
SPRACOVANIE OSOBNÝCH ÚDAJOV PODĽA PRIAMO UPLATNITEĽNÉHO NARIADENIA EURÓPSKEJ ÚNIE
Všeobecné ustanovenia
Rozsah pôsobnosti
(1) Ustanovenia tejto hlavy sa uplatňujú na spracúvanie osobných údajov podľa nariadenia Európskeho parlamentu a Rady (EÚ) 2016 / 679.
(2) Ustanovenia tejto hlavy a nariadenia Európskeho parlamentu a Rady (EÚ) 2016 / 679 sa vzťahujú aj na spracúvanie osobných údajov, ktoré sa má zapísať do registra alebo na spracovanie osobných údajov, ktoré sa vykonáva úplne alebo čiastočne automatizovaným spôsobom, s výnimkou spracúvania osobných údajov fyzickou osobou v priebehu výlučne osobných alebo domácich činností,
a) pri vykonávaní činností mimo rozsahu pôsobnosti práva Európskej únie alebo hlavy III alebo IV; alebo
b) pri vykonávaní činností, ktoré patria do rozsahu pôsobnosti hlavy V kapitoly 2 Zmluvy o Európskej únii.
Povolenie na spracúvanie osobných údajov pri plnení zákonnej povinnosti alebo presadzovania
Prevádzkovateľ je oprávnený spracúvať osobné údaje, ak je to potrebné na dodržiavanie:
a) povinnosti uložené správcovi AIF zákonom; alebo
(b) úlohu vykonávanú vo verejnom záujme alebo pri výkone verejného orgánu povereného správcom AIF.
Oslobodenie od povinnosti posúdiť zlučiteľnosť účelov
(1) Pokiaľ nie je v iných právnych predpisoch ustanovené inak, prevádzkovateľ nie je povinný posúdiť zlučiteľnosť takýchto účelov, ak je takéto spracúvanie potrebné a primerané na účely zabezpečenia chráneného záujmu pred tým, ako sa spracúvanie osobných údajov vykoná na iný účel, ako je účel, na ktorý bolo zhromaždené.
a) povinnosti uložené správcovi AIF; alebo
(b) úlohu verejného záujmu stanovenú zákonom alebo pri výkone verejnej moci, ktorej je správca AIF poverený.
(2) Chránený záujem uvedený v odseku 1 znamená:
a) obranné alebo bezpečnostné záujmy Českej republiky;
(b) verejný poriadok a vnútorná bezpečnosť, predchádzanie trestnej činnosti, stíhanie trestných činov, vykonávanie trestných sankcií a ochranných opatrení, zabezpečenie bezpečnosti Českej republiky alebo zabezpečenie verejného poriadku a vnútornej bezpečnosti vrátane vyhľadávania osôb a vecí;
(c) ďalším dôležitým cieľom verejného záujmu Európskej únie alebo členského štátu Európskej únie, najmä dôležitým hospodárskym alebo finančným záujmom Európskej únie alebo členského štátu Európskej únie vrátane menových, menových, rozpočtových, daňových a finančných záležitostí, verejného zdravia alebo sociálneho zabezpečenia;
d) ochrana nezávislosti súdov a sudcov;
e) prevenciu, vyhľadávanie, odhaľovanie alebo stíhanie porušení etických pravidiel regulovaných povolaní;
f) funkcie dohľadu, kontroly alebo regulačné funkcie súvisiace s výkonom verejnej moci v prípadoch uvedených v písmenách a) až e);
g) ochranu práv a slobôd osôb; alebo
(h) vymáhanie pohľadávok vyplývajúcich zo súkromného práva.
Oprávnenosť dieťaťa na súhlas so spracovaním osobných údajov
Dieťa má právo súhlasiť so spracovaním osobných údajov v súvislosti s poskytovaním služieb informačnej spoločnosti priamo mu do 15. roku veku.
Informačná povinnosť spracovania osobných údajov upravená zákonom
Ak prevádzkovateľ vykonáva spracúvanie osobných údajov podľa článku 5 a je povinný poskytnúť dotknutej osobe informácie uvedené v článku 13 alebo článku 14 ods. 1, 2 a 4 nariadenia Európskeho parlamentu a Rady (EÚ) 2016 / 679, tieto informácie sa môžu v rozsahu vhodnom na spracovanie osobných údajov, ktoré bežne vykonáva, zverejniť spôsobom umožňujúcim vzdialený prístup.
Oznámenie zmenou štandardného záznamu
Ak je prevádzkovateľ povinný oznámiť príjemcovi opravu, obmedzenie spracúvania alebo vymazanie osobných údajov, môže tak urobiť zmenou osobných údajov v registri, ak príjemca pravidelne sprístupňuje svoj platný obsah.
Oslobodenie od povinnosti posúdiť vplyv spracúvania osobných údajov na ochranu osobných údajov
Prevádzkovateľ nemusí vykonať posúdenie vplyvu spracúvania na ochranu osobných údajov pred začatím spracúvania, ak mu právne predpisy ukladajú povinnosť vykonávať takéto spracúvanie osobných údajov.
Obmedzenia určitých práv a povinností
(1) Pokiaľ nie je v iných právnych predpisoch ustanovené inak, články 12 až 22 a v zodpovedajúcom rozsahu článok 5 nariadenia Európskeho parlamentu a Rady (EÚ) 2016 / 679 sa uplatňujú mutatis mutandis alebo plnenie povinností prevádzkovateľa alebo sprostredkovateľa alebo výkon práva dotknutej osoby stanoveného v uvedených článkoch sa odkladá, ak je to potrebné a v rámci rozsahu jeho pôsobnosti vhodné na zabezpečenie chráneného záujmu uvedeného v článku 6 ods. 2.
(2) Prevádzkovateľ alebo sprostredkovateľ bezodkladne oznámia úradu obmedzenia určitých práv alebo povinností uvedených v odseku 1, pričom v primeranom rozsahu uvedú skutočnosti uvedené v článku 23 ods. 2 nariadenia Európskeho parlamentu a Rady (EÚ) 2016 / 679; Toto sa nevzťahuje na súdy, ktoré spracúvajú osobné údaje podľa článku 55 ods. 3 nariadenia Európskeho parlamentu a Rady (EÚ) 2016 / 679.
Výnimky z povinnosti oznámiť dotknutej osobe porušenie ochrany osobných údajov
Ak je prevádzkovateľ povinný oznámiť porušenie osobných údajov dotknutej osoby, vykoná oznámenie v obmedzenom rozsahu alebo ho v prípade potreby a v rámci svojho rozsahu primerane odloží na zabezpečenie chráneného záujmu uvedeného v článku 6 ods. 2. Odsek 11 ods. 2 sa uplatňuje mutatis mutandis na oznámenie takéhoto opatrenia úradu.
Osobné údaje s obmedzeným spracovaním
Ak bolo spracúvanie osobných údajov obmedzené v súlade s článkom 18 ods. 1 nariadenia Európskeho parlamentu a Rady (EÚ) 2016 / 679, nemá to vplyv na povinnosť prevádzkovateľa alebo sprostredkovateľa prenášať alebo sprístupňovať takéto osobné údaje, ak je táto povinnosť stanovená zákonom. Takéto údaje sa identifikujú v čase prenosu alebo zverejňovania ako údaje uvedené v článku 18 ods. 1 nariadenia Európskeho parlamentu a Rady (EÚ) 2016 / 679.
Vymenovanie úradníka pre ochranu údajov
Okrem verejných orgánov je povinnosť vymenovať úradníkov pre ochranu údajov podľa článku 37 ods. 1 písm. a) nariadenia Európskeho parlamentu a Rady (EÚ) 2016 / 679 tiež povinnosťou orgánov zriadených zákonom, ktoré vykonávajú štatutárne úlohy vo verejnom záujme.
Akreditácia certifikačných orgánov
Osoby oprávnené vydávať osvedčenia o ochrane osobných údajov sú akreditované osobou zodpovednou za výkon právomocí akreditačného orgánu podľa práva, ktorým sa riadi akreditácia orgánov posudzovania zhody (3).
Spracovanie osobných údajov na účely vedeckého alebo historického výskumu alebo na štatistické účely
(1) Prevádzkovateľ alebo sprostredkovateľ pri spracúvaní osobných údajov na účely vedeckého alebo historického výskumu alebo na štatistické účely zabezpečí dodržiavanie osobitných opatrení na ochranu záujmov dotknutej osoby, ktoré zodpovedajú najnovšiemu stavu, nákladom na vykonanie, povahe, rozsahu, kontextu a účelom spracúvania, ako aj rôznym pravdepodobným a závažným rizikám pre práva a slobody fyzických osôb. Takéto opatrenia môžu zahŕňať najmä:
(a) technické a organizačné opatrenia zamerané na konzistentné uplatňovanie povinnosti podľa článku 5 ods. 1 písm. c) nariadenia Európskeho parlamentu a Rady (EÚ) 2016 / 679;
(b) získavanie záznamov aspoň o všetkých činnostiach zhromažďovania, zápisu, zmene a vymazaní osobných údajov, ktoré umožňujú identifikáciu a overenie totožnosti osoby vykonávajúcej operáciu a uchovávanie takýchto záznamov najmenej dva roky po vykonaní operácie;
(c) informovanie osôb spracúvajúcich osobné údaje o povinnostiach ochrany osobných údajov;
d) vymenovanie delegáta;
e) osobitné obmedzenia prístupu k osobným údajom v rámci prevádzkovateľa alebo sprostredkovateľa;
f) pseudonymizácia osobných údajov;
g) šifrovanie osobných údajov;
(h) opatrenia na zabezpečenie zachovania dôvernosti, integrity, dostupnosti a odolnosti systémov a služieb spracovania;
i) opatrenia umožňujúce obnoviť dostupnosť osobných údajov a včasný prístup k týmto údajom v prípade incidentov;
(j) proces pravidelného testovania, hodnotenia a hodnotenia účinnosti zavedených technických a organizačných opatrení na zabezpečenie bezpečnosti spracovania;
k) osobitné obmedzenia prenosu osobných údajov do tretej krajiny alebo
(l) osobitné obmedzenia spracúvania osobných údajov na iné účely.
(2) Ak to umožňuje dosiahnuť účel uvedený v odseku 1, prevádzkovateľ alebo sprostredkovateľ ďalej spracúvajú osobné údaje uvedené v článku 9 ods. 1 nariadenia Európskeho parlamentu a Rady (EÚ) 2016 / 679 vo forme, ktorá neumožňuje identifikáciu dotknutej osoby, pokiaľ tomu nebránia oprávnené záujmy dotknutej osoby.
(3) Pokiaľ nie je v iných právnych predpisoch ustanovené inak, články 15, 16, 18 a 21 a v zodpovedajúcom rozsahu článok 5 nariadenia Európskeho parlamentu a Rady (EÚ) 2016 / 679 sa uplatňujú mutatis mutandis alebo sa odkladá plnenie povinností prevádzkovateľa alebo sprostredkovateľa alebo výkon práva dotknutej osoby ustanoveného v uvedených článkoch, ak je to potrebné a v rámci rozsahu ich pôsobnosti primerané účelu spracúvania uvedeného v odseku 1. Článok 15 a prípadne článok 5 nariadenia Európskeho parlamentu a Rady (EÚ) 2016 / 679 sa neuplatňujú, ak je spracovanie potrebné na účely vedeckého výskumu a poskytnutie informácií by si vyžadovalo neprimerané úsilie.
Spracovanie osobných údajov na novinárske alebo akademické, umelecké alebo literárne účely
Zákonnosť spracúvania
(1) Osobné údaje sa môžu spracúvať aj vtedy, ak slúžia primerane na novinárske alebo akademické, umelecké alebo literárne účely. Pri posudzovaní proporcionality podľa prvej vety sa zohľadní aj to, či spracovanie zahŕňa osobné údaje uvedené v článku 9 ods. 1 alebo článku 10 nariadenia Európskeho parlamentu a Rady (EÚ) 2016 / 679.
(2) Spracovanie osobných údajov na účely uvedené v odseku 1 nepodlieha povoleniu alebo schváleniu úradom a má právo chrániť zdroj a obsah informácií, a to aj v prípade spracúvania osobných údajov spôsobom, ktorý umožňuje vzdialený prístup.
Výnimky z povinnosti správcu AIF poskytovať pokyny a informácie
(1) Prevádzkovateľ môže pri spracúvaní osobných údajov na účely uvedené v článku 17 ods. 1 splniť svoje povinnosti podľa článku 12 ods. 1 a 2, článku 13 ods. 1 až 3 a článku 21 ods. 4 a v prípade potreby článku 5 nariadenia Európskeho parlamentu a Rady (EÚ) 2016 / 679 aj akýmikoľvek vhodnými informáciami pre dotknutú osobu o totožnosti prevádzkovateľa. Je tiež možné informovať o totožnosti správcu príslušným prihlásením sa k totožnosti správcu, ktoré možno vykonať grafickým označením, ústne alebo inými vhodnými prostriedkami. Informácie o totožnosti prevádzkovateľa sú dostatočné, ak je pokyn prevádzkovateľa o právach dotknutej osoby a iných skutočnostiach potrebných na ochranu jeho práv verejne dostupný v rozsahu, ktorý je primeraný spracovaniu osobných údajov, ktoré bežne vykonáva.
(2) Informácie o totožnosti správcu AIF sa nemusia poskytovať v odôvodnených prípadoch, najmä ak:
a) nie je to možné alebo by si to vyžadovalo neprimerané úsilie;
b) dotknutá osoba môže odôvodnene očakávať spracovanie uvedené v článku 17 ods. 1;
c) dotknutá osoba má takéto informácie; alebo
d) poskytovanie takýchto informácií by ohrozilo alebo bránilo účelu spracúvania osobných údajov, ak je takýto postup potrebný na dosiahnutie legitímneho účelu spracúvania osobných údajov, najmä vo veciach verejného záujmu.
Namiesto vylúčenia zverejnenia informácií o totožnosti správcu AIF môže správca AIF odložiť poskytovanie týchto informácií.
Ochrana zdrojov a obsah informácií
(1) Povinnosť informovať podľa článku 14 ods. 1 až 4 a článku 21 ods. 4 a v zodpovedajúcom rozsahu aj článku 5 nariadenia Európskeho parlamentu a Rady (EÚ) 2016 / 679, ako aj iné práva dotknutej osoby, sa môže splniť aj uverejnením takýchto informácií spôsobom, ktorý umožňuje vzdialený prístup; V takom prípade stačí informovať prevádzkovateľa o bežne spracovaných údajoch.
(2) Právo na prístup k osobným údajom uvedené v článku 15 a v rozsahu, v akom je pre ne vhodné, uvedené aj v článku 5 nariadenia Európskeho parlamentu a Rady (EÚ) 2016 / 679 sa neuplatňuje na osobné údaje, ktoré prevádzkovateľ nezverejnil a ktoré sa spracúvajú len na účely uvedené v článku 17 ods. 1. V iných prípadoch môže prevádzkovateľ v odôvodnených prípadoch vylúčiť prístup k osobným údajom, najmä ak by sa legitímny účel spracúvania osobných údajov inak ohrozil alebo zmaril, alebo by si to vyžadovalo neprimerané úsilie.
(3) Článok 14 ods. 2 písm. f) a článok 15 ods. 1 písm. g) a v zodpovedajúcom rozsahu článok 5 nariadenia Európskeho parlamentu a Rady (EÚ) 2016 / 679 sa neuplatňujú na spracúvanie osobných údajov na účely uvedené v článku 17 ods. 1.
(4) Ak je prevádzkovateľ povinný oznámiť porušenie bezpečnosti osobných údajov podľa článku 33 ods. 1 alebo článku 34 ods. 1 nariadenia Európskeho parlamentu a Rady (EÚ) 2016 / 679, od prevádzkovateľa sa nevyžaduje, aby oznamoval informácie umožňujúce identifikáciu zdroja alebo obsahu osobných údajov, ktorých bezpečnosť bola porušená.
Oslobodenie od opravy, výmazu a obmedzenia spracúvania osobných údajov
(1) V prípade výkonu práv na vymazanie alebo opravu osobných údajov, ktoré sa spracúvajú na účely uvedené v článku 17 ods. 1, sa dodržiavajú iné právne predpisy4.
(2) Ak sa spracúvanie osobných údajov vykonáva na účely uvedené v článku 17 ods. 1, dotknutá osoba má právo obmedziť spracúvanie osobných údajov podľa článku 18 a v primeranom rozsahu v súlade s článkom 5 nariadenia Európskeho parlamentu a Rady (EÚ) 2016 / 679 len vtedy, ak prevádzkovateľ už nepotrebuje osobné údaje na účely spracovania, ale dotknutá osoba vyžaduje, aby takéto údaje určovali, uplatňovali alebo obhajovali právne nároky. To neplatí, ak by si to vyžadovalo neprimerané úsilie.
Informácie o opravách, vymazaní a obmedzení spracovania
(1) Ak je prevádzkovateľ povinný oznámiť príjemcom opravy, výmazu alebo obmedzenia spracúvania osobných údajov podľa článku 17 ods. 2 alebo článku 19 a v rozsahu uplatniteľnom na nich podľa článku 5 nariadenia Európskeho parlamentu a Rady (EÚ) 2016 / 679 spracovanie osobných údajov prostredníctvom diaľkového prístupu v súlade s článkom 17 ods. 1, môže túto povinnosť splniť aj uvedením dátumu poslednej aktualizácie obsahu, v ktorom sa osobné údaje poskytujú alebo poskytli, alebo akýmkoľvek iným vhodným opatrením.
(2) Oprava, vymazanie alebo obmedzenie spracúvania uvedené v článku 19 a v primeranom rozsahu v súlade s článkom 5 nariadenia Európskeho parlamentu a Rady (EÚ) 2016 / 679 sa oznámi, komu prevádzkovateľ zaslal osobné údaje spracúvané na účely uvedené v článku 17 ods. 1, ak je to potrebné na ochranu práv alebo oprávnených záujmov dotknutej osoby a nevyžaduje si neprimerané úsilie.
(3) Prevádzkovateľ môže dotknutú osobu informovať len o kategóriách príjemcov, ak sa v súvislosti so spracúvaním osobných údajov na účely uvedené v článku 17 ods. 1 vyžaduje neprimerané úsilie na informovanie dotknutej osoby o príjemcoch údajov uvedených v článku 19 a v primeranom rozsahu v súlade s článkom 5 nariadenia Európskeho parlamentu a Rady (EÚ) 2016 / 679, alebo ak by bol ohrozený alebo narušený legitímny účel spracúvania.
Obmedzenie práva na námietku
(1) Námietka uvedená v článku 21 a v zodpovedajúcom rozsahu uvedená aj v článku 5 nariadenia Európskeho parlamentu a Rady (EÚ) 2016 / 679 sa môže vzniesť v súvislosti so spracúvaním osobných údajov na účely uvedené v článku 17 ods. 1 len proti osobitnému zverejneniu alebo uverejňovaniu osobných údajov; Dotknutá osoba pritom uvedie osobitné dôvody, ktoré naznačujú, že oprávnený záujem na ochrane jej práv a slobôd prevažuje nad záujmom o takéto zverejnenie alebo zverejnenie v tomto prípade.
(2) Ak bola vznesená námietka podľa odseku 1, prevádzkovateľ ukončí takéto zverejnenie alebo uverejnenie, ak sa domnieva, že dotknutá osoba preukázala, že záujem o takéto uverejnenie prevláda v ochrane jej práv a slobôd. Prevádzkovateľ bez zbytočného odkladu informuje dotknutú osobu o tom, či splnila svoju námietku.
Dodatočné výnimky pre osobitné prípady
(1) Odseky 18 až 22 a články 12 až 19, 21, 33 a 34 a v primeranom rozsahu článok 5 nariadenia Európskeho parlamentu a Rady (EÚ) 2016 / 679 sa neuplatňujú mutatis mutandis, alebo sa odkladá plnenie povinností prevádzkovateľa alebo sprostredkovateľa alebo výkon práva dotknutej osoby, ktoré sú v ňom stanovené,
a) ak je takýto postup potrebný na splnenie účelu spracúvania uvedeného v článku 17 ods. 1 a
b) ak takýto postup pravdepodobne nebude viesť k vysokému riziku pre oprávnené záujmy dotknutej osoby.
(2) Kapitola VII nariadenia Európskeho parlamentu a Rady (EÚ) 2016 / 679 sa nevzťahuje na spracovanie uvedené v článku 17 ods. 1. Článok 20, 22, 56 a 58 ods. 1 písm. a), b), e) a f) a článok 58 ods. 2 písm. d), f) a g) a kapitoly II, IV, V a IX nariadenia Európskeho parlamentu a Rady (EÚ) 2016 / 679 sa neuplatňujú mutatis mutandis ani na plnenie povinností prevádzkovateľa alebo sprostredkovateľa alebo na výkon práva dotknutej osoby stanoveného v uvedených ustanoveniach, ak je to potrebné na účely spracúvania uvedeného v článku 17 ods. 1.
(3) Ak by vylúčenie alebo obmedzenie určitých práv alebo povinností podľa odseku 2 pravdepodobne viedlo k vysokému riziku pre oprávnené záujmy dotknutej osoby, prevádzkovateľ alebo sprostredkovateľ bezodkladne prijmú a zdokumentujú primerané opatrenia na zmiernenie takéhoto alebo podobného rizika.
OCHRANA OSOBNÝCH ÚDAJOV PRI ICH SPRACOVANÍ NA ÚČELY PREDCHÁDZANIA, PRESKÚMANIA ALEBO VÝNIMKY KRITICKÝCH ČINNOSTÍ, HOSPODÁRSKEJ SÚŤAŽE KRITICKÝCH ČINNOSTÍ, VÝKON KRITÉRIÍ A OCHRANNÝCH OPATRENÍ, ZABEZPEČENIA ČESKEJ REPUBLIKY ALEBO ZABEZPEČENIA VEREJNÉHO OBSTARÁVANIA A VNÚTORNEJ BEZPEČNOSTI
Všeobecné ustanovenia
(1) Pokiaľ sa v právnych predpisoch neustanovuje inak, ustanovenia tejto hlavy sa uplatňujú na spracúvanie osobných údajov, ktoré je potrebné na plnenie úlohy a výkon verejnej moci stanovenej v iných právnych predpisoch5, s cieľom predchádzať trestnej činnosti, vyhľadávať a odhaľovať trestnej činnosti, stíhať trestné činy, vykonávať tresty a ochranné opatrenia, bezpečnosť Českej republiky alebo poskytovanie verejného poriadku a vnútornej bezpečnosti vrátane vyhľadávania osôb a predmetov.
(2) Na účely tejto hlavy sa mutatis mutandis uplatňuje článok 4 ods. 1 až 6, 8, 9, 12 až 15 a 26 nariadenia (EÚ) 2016 / 679.
(3) Riadiacim orgánom je verejný orgán zodpovedný za vykonávanie úlohy uvedenej v odseku 1, ktorá nie je spravodajskou službou ani mestskou políciou.
(4) Ustanovenia tejto hlavy sa vzťahujú na spracúvanie osobných údajov, ktoré sú alebo majú byť zapísané do registra, alebo ak sa takéto spracúvanie uskutočňuje úplne alebo čiastočne automatizovaným spôsobom.
Zásady spracúvania osobných údajov
(1) Pri spracúvaní osobných údajov riadiacim orgánom
(a) špecifikuje osobitný účel spracúvania osobných údajov v súvislosti s plnením úlohy uvedenej v článku 24 ods. 1;
b) prijíma opatrenia na zabezpečenie presnosti osobných údajov vo vzťahu k povahe a účelu spracúvania a
c) uchovávať osobné údaje vo forme umožňujúcej identifikáciu dotknutej osoby len tak dlho, ako je to potrebné na dosiahnutie účelu ich spracúvania.
(2) Osobné údaje sa môžu spracúvať na účely nesúvisiace s plnením úlohy uvedenej v článku 24 ods. 1, len ak je na to riadiaci orgán oprávnený a tento účel nie je nezlučiteľný s osobitným účelom ich spracovania.
Kategórie dotknutých osôb a kvalita osobných údajov
Ak je to možné, riadiaci orgán
(a) pridávať k spracúvaným osobným údajom informácie o stave dotknutej osoby v trestnom konaní a v prípade potreby aj informácie o konečných rozhodnutiach orgánov presadzovania práva týkajúcich sa takýchto údajov, ak sú odôvodnené na účely ich spracovania; a
b) identifikovať nepresné osobné údaje alebo prípadne osobné údaje založené na osobných hodnoteniach.
Informácie pre dotknutú osobu
Riadiaci orgán uverejní informácie o:
a) jeho meno a kontaktné údaje;
b) kontaktné údaje úradníka pre ochranu údajov (ďalej len "delegát"),
(c) účel spracúvania osobných údajov;
d) právo podať sťažnosť úradu a kontaktné údaje úradu a
(e) právo na prístup, opravu, obmedzenie alebo vymazanie osobných údajov.
Právo na prístup k osobným údajom
(1) Riadiaci orgán na žiadosť dotknutej osoby oznámi, či spracúva osobné údaje týkajúce sa dotknutej osoby. Ak takéto údaje spracováva riadiaci orgán, zasiela ich dotknutej osobe a informuje ju o:
(a) účel spracúvania osobných údajov;
(b) právne predpisy, na základe ktorých spracováva najmä takéto údaje;
(c) príjemcovia a prípadne kategórie príjemcov;
(d) plánovanú dobu skladovania alebo metódu určenia;
e) právo požadovať opravu, obmedzenie spracúvania alebo vymazanie osobných údajov a
(f) zdroj takýchto údajov.
(2) Riadiaci orgán nevyhovie žiadostiam uvedeným v odseku 1 alebo, ak je to potrebné, len čiastočne, ak by bol ohrozený súlad
(a) plnenie úlohy prevencie, odhaľovania a odhaľovania trestných činov, stíhania trestných činov, vykonávania trestných sankcií a ochranných opatrení, zabezpečenia bezpečnosti Českej republiky alebo zabezpečenia verejného poriadku a vnútornej bezpečnosti vrátane pátrania po osobách a veciach;
b) konanie o porušení, disciplinárnom konaní alebo konaní, ktoré má charakter porušenia;
c) ochrane utajovaných skutočností alebo
(d) oprávnené záujmy tretej strany.
(3) Ak žiadosť alebo oznámenie o nesúlade vrátane odôvodnenia ohrozuje žiadosť uvedenú v odseku 2, riadiaci orgán informuje dotknutú osobu, ako aj žiadateľov, ktorých osobné údaje sa nespracúvajú.
(4) Riadiaci orgán uchováva dokumentáciu, ktorú uchováva najmenej tri roky na základe postupu uvedeného v odsekoch 2 a 3.
Právo na opravu, obmedzenie spracúvania alebo vymazanie osobných údajov
(1) Riadiaci orgán na žiadosť dotknutej osoby opraví alebo doplní osobné údaje týkajúce sa dotknutej osoby. Ak si to vyžaduje účel spracúvania osobných údajov, riadiaci orgán môže namiesto opravy osobných údajov doplniť alebo pripojiť k nemu dodatočné vyhlásenie.
(2) Riadiaci orgán na žiadosť dotknutej osoby vymaže osobné údaje týkajúce sa jej osoby, ak riadiaci orgán porušil zásady spracúvania osobných údajov podľa § 25 alebo iných právnych predpisov5, alebo obmedzí spracovanie určitých kategórií osobných údajov, alebo ak má riadiaci orgán povinnosť takéto údaje vymazať.
(3) Namiesto opravy alebo vymazania osobných údajov môže riadiaci orgán obmedziť spracovanie osobných údajov ich osobitným označením,
a) ak dotknutá osoba popiera ich presnosť, nie je možné určiť, či sú údaje presné, alebo
b) ak sa takéto údaje musia uchovávať na účely vykonávania dôkazov.
(4) Ak je spracúvanie osobných údajov obmedzené v súlade s odsekom 3 písm. a), riadiaci orgán informuje dotknutú osobu pred odstránením takéhoto obmedzenia; riadiaci orgán informuje dotknutú osobu aj o tom, či má byť obmedzenie zrušené rozhodnutím úradu alebo príslušného súdu.
(5) Riadiaci orgán nevyhovie žiadostiam uvedeným v odsekoch 1 až 3 alebo, ak je to potrebné, len čiastočne, ak by bol súlad ohrozený podľa odseku 28 ods. 2. Ak oznámenie o nesúlade vrátane odôvodnenia vedie k ohrozeniu podľa odseku 28 ods. 2, riadiaci orgán informuje žiadateľa takým spôsobom, aby takejto hrozbe zabránil.
(6) Riadiaci orgán uchováva dokumentáciu z dôvodov postupu uvedeného v odseku 5, ktorý uchováva najmenej tri roky.
Spoločné ustanovenia o žiadostiach dotknutej osoby
(1) Riadiaci orgán rieši žiadosť v súlade s odsekom 28 alebo 29 bez zbytočného odkladu, najneskôr však do 60 dní odo dňa jej predloženia.
(2) Ak riadiaci orgán preukáže, že žiadosť podľa § 28 alebo 29 je zjavne neopodstatnená alebo neprimeraná, najmä preto, že sa v tom istom prípade opakuje v krátkodobom horizonte, nemôže vyhovieť žiadosti.
(3) Riadiaci orgán informuje dotknutú osobu o možnosti:
Obsah
ČÁST PRVNÍ
HLAVA I
§ 1
§ 2
§ 3
HLAVA II
Díl 1
§ 4
§ 5
§ 6
§ 7
§ 8
§ 9
§ 10
§ 11
§ 12
§ 13
§ 14
§ 15
§ 16
Díl 2
§ 17
§ 18
§ 19
§ 20
§ 21
§ 22
§ 23
HLAVA III
§ 24
§ 25
§ 26
§ 27
§ 28
§ 29
§ 30
§ 31
§ 32
§ 33
§ 34
§ 35
§ 36
§ 37
§ 38
§ 39
§ 39a
§ 39b
§ 39c
§ 40
§ 41
§ 42
HLAVA IV
§ 43
§ 44
§ 45
§ 46
§ 47
§ 48
§ 49
HLAVA V
§ 50
§ 51
§ 52
§ 53
§ 54
§ 54a
§ 55
§ 56
§ 57
§ 58
§ 59
§ 60
HLAVA VI
§ 61
§ 62
§ 63
§ 64
§ 65
ČÁST DRUHÁ
§ 66
§ 67
§ 68
Prihláste sa pre poznámky, obľúbené a upozornenia
Informácie o predpise
| Citácia | Zákon č. 110 / 2019 Z. z. o spracovaní osobných údajov |
|---|---|
| Typ predpisu | Zákon |
| Autor | - |
| Zbierka | Zbierka zákonov |
| Dátum vyhlásenia | 24.04.2019 |
|---|---|
| Účinnosť od | 24.04.2019 |
| Účinnosť do | - |
| Stav | Platný |
Znenie predpisu má informatívny charakter.
Komentáre 0