Акт No 110 / 2019 Coll.
Закон про обробку персональних даних
Чинний
Законодавство
Чинний від 24.04.2019
Зміст
ČÁST PRVNÍ
HLAVA I
§ 1
§ 2
§ 3
HLAVA II
Díl 1
§ 4
§ 5
§ 6
§ 7
§ 8
§ 9
§ 10
§ 11
§ 12
§ 13
§ 14
§ 15
§ 16
Díl 2
§ 17
§ 18
§ 19
§ 20
§ 21
§ 22
§ 23
HLAVA III
§ 24
§ 25
§ 26
§ 27
§ 28
§ 29
§ 30
§ 31
§ 32
§ 33
§ 34
§ 35
§ 36
§ 37
§ 38
§ 39
§ 39a
§ 39b
§ 39c
§ 40
§ 41
§ 42
HLAVA IV
§ 43
§ 44
§ 45
§ 46
§ 47
§ 48
§ 49
HLAVA V
§ 50
§ 51
§ 52
§ 53
§ 54
§ 54a
§ 55
§ 56
§ 57
§ 58
§ 59
§ 60
HLAVA VI
§ 61
§ 62
§ 63
§ 64
§ 65
ČÁST DRUHÁ
§ 66
§ 67
§ 68
Zobrazeno prvních 200 z celkem 651 ustanovení tohoto předpisu.
Zobrazit celý předpis →
Pro stažení celého znění použijte tlačítko Stáhnout výše.
110 р.
ПРАВА
від 12 березня 2019
на обробку персональних даних
Парламент прийняв рішення про це право Чехії:
ПРОЦЕСУВАННЯ ПЕРСОНАЛЬНИХ ДАНИХ
ОСНОВНІ ПРОВІЗІЇ
Тема питання
Цей закон включає в себе відповідне Європейське Об'єднання1), відповідно до чинного Європейського Союзу, та регулює права та обов'язки обробки персональних даних для того, щоб виконати всі права на конфіденційність.
Сфера права
Законодавство
(а) обробка персональних даних відповідно до Регламенту (ЄС) 2016 / 6792 Європейського Парламенту та Ради;
(b) обробка персональних даних компетентними органами з метою запобігання, пошуку або виявлення злочинності, забезпечення кримінальних правопорушень, виконання кримінальних штрафів та заходів з забезпечення безпеки Чеської Республіки або забезпечення безпеки держави, включаючи пошук осіб та об'єктів;
(c) обробка персональних даних у сфері безпеки та безпеки Чеської Республіки;
(d) подальша обробка персональних даних, які повинні бути або бути введені в реєстр або оброблятися в повному обсязі або частково в автоматизованому порядку, крім обробки персональних даних природним особам в процесі виключно особистих або внутрішніх заходів;
(e) статус та компетентність Офісу з питань захисту персональних даних ("The Office").
суб'єкт даних
суб'єкт даних - фізична особа, якій належать персональні дані.
ПРОЦЕСУВАННЯ ПЕРСОНАЛЬНИХ ДАНИХ ЗАСТОСУВАННЯ ДИРЕКЦІЙНОГО ЗАСТОСУВАННЯ ЄВРОПЕЙСЬКОГО УНІВЕРСИТЕТУ
Загальні положення
Сфера
(1) Положення про це Положення поширюються на обробку персональних даних відповідно до Положення (ЄС) 2016 / 679 Європейського Парламенту та Ради.
(2) Положення про це Положення та Положення (ЄС) 2016 / 679 Європейського Парламенту та Ради також застосовуються до обробки персональних даних, які вводяться в реєстр або до обробки персональних даних, які здійснюються в повному обсязі або частково в автоматизованому порядку, крім обробки персональних даних природною особою в процесі виключно особистого або внутрішньої діяльності,
(а) у проведенні заходів за межами Європейського Союзу або заголовку III або IV;
(b) у проведенні заходів, що падають в рамках розділу 2 Назва V Угоди про Європейський Союз.
Авторизація обробки персональних даних у виконанні правового зобов’язання або виконання
Контролер має право обробляти персональні дані при необхідності дотримання:
(а) зобов’язання, передбачені законом AIFM; або
(b) завдання, здійснене в публічному інтересі або в здійсненні державного органу, довіреного AIFM.
Виключення з зобов’язання оцінити сумісність цілей
(1) В іншому випадку, передбаченому іншим законодавством, контролер не зобов’язаний оцінити сумісність таких цілей, де така обробка необхідна і пропорційна цілях забезпечення захищеного інтересу, перед обробкою персональних даних здійснюється з метою, крім того, що для цього було зібрано.
(а) зобов’язання, передбачені AIFM; або
(b) завдання публічного інтересу, укладеного законом або у здійсненні державного органу, до якого довірено AIFM.
(2) Захищений інтерес, зазначений в пункті 1, означає:
(а) захист або захист інтересів Чехії;
(b) публічна політика та внутрішня безпека, запобігання, пошуку або виявлення злочину, висування кримінальних правопорушень, проведення кримінальних штрафів та захисних заходів, забезпечення безпеки Чеської Республіки або забезпечення державного замовлення та внутрішньої безпеки, включаючи пошук осіб та речей;
(c) ще одна важлива мета публічного інтересу Європейського Союзу або держави-члена Європейського Союзу, зокрема, важливого економічного або фінансового інтересу Європейського Союзу або держави-члена Європейського Союзу, включаючи грошовий, грошовий, бюджетний, податковий та фінансовий ринок, суспільне здоров’я або соціальні питання безпеки;
(d) захист незалежності судів та суддів;
(e) запобігання, пошук, виявлення або переслідування порушень етичних правил регульованих професій;
(f) наглядові, контрольні або нормативні функції, пов’язані з здійсненням державної влади у випадках, зазначених у пунктах (a) до (e);
(г) захист прав і свобод осіб; або
(h) відновлення вимог приватного права.
Відповідальність дитини за згоду на обробку персональних даних
Дитина має право на згоду на обробку персональних даних у зв’язку з наданням послуг інформаційного суспільства безпосередньо йому на 15 рік віку.
Інформаційне зобов’язання щодо обробки персональних даних, що регулюються законом
Де контролер здійснює обробку персональних даних відповідно до статті 5 і зобов'язаний надати суб'єкт даних з інформацією, зазначеною у статті 13 або статті 14 (1), (2) та (4) Регламенту (ЄС) 2016 / 679 Європейського Парламенту та Ради, що інформація може, відповідно до обробки персональних даних, що зазвичай здійснюється ним, здійснюється громадським способом, що дозволяє віддалений доступ.
Повідомлення про зміну запису за замовчуванням
Де контролер зобов’язаний повідомити одержувача, обмеження обробки або видалення персональних даних, це може зробити так, змінивши персональні дані в реєстрі, якщо платник регулярно здійснює його перевірку.
Виключення з зобов’язання оцінити вплив обробки персональних даних про захист персональних даних
Контролер не потрібно здійснювати оцінку впливу обробки на захист персональних даних перед ініціюванням обробки, де законодавство зобов’язується проводити таку обробку персональних даних.
Обмеження на певні права та обов’язки
(1) Якщо інше не передбачено іншим законодавством, статті 12 до 22 та, відповідно, статті 5 Регламенту (ЄС) 2016 / 679 Європейського Парламенту та Ради застосовуються мутати мутанди або виконання зобов'язань контролера або процесора або здійснення права суб'єкта даних, викладених у цих статтях, повинні бути відкладені, якщо це необхідно і в межах її сфери, відповідного забезпечення захищеного інтересу, зазначеного у статті 6 (2).
(2) Контролер або процесор, без затримок, повідомляє Офісу обмежень певних прав або зобов'язань, зазначених у пункті 1, що вказує на обґрунтовану ступінь фактів, що зазначені у статті 23 (2) Регламенту (ЄС) 2016 / 679 Європейського Парламенту та Ради; Це не застосовується до судового розгляду персональних даних відповідно до статті 55 (3) Регламенту (ЄС) 2016 / 679 Європейського Парламенту та Ради.
Виключення з зобов’язання повідомити про порушення персональних даних суб’єктам даних
Де контролер зобов’язаний повідомити про порушення персональних даних суб’єкта даних, він здійснює повідомлення на обмежений розмір або відкласти його, якщо це необхідно і в межах його обсягу, відповідного забезпечення захищеного відсотків, зазначеного у статті 6 (2). Параграф 11 (2) застосувати мутанди мутатів для повідомлення такої дії до Офісу.
Особисті дані з обмеженою обробкою
Де обробка персональних даних була обмежена відповідно до статті 18 (1) Регламенту (ЄС) 2016 / 679 Європейського Парламенту та Ради, це не впливає на зобов’язання контролера або процесора, щоб передавати або зробити доступ до таких персональних даних, де це зобов’язання передбачено законом. Такі дані визначаються в момент передачі або розкриття даних, зазначених у статті 18 (1) Регламенту (ЄС) 2016 / 679 Європейського Парламенту та Ради.
Призначення співробітника відділу захисту даних
На додаток до державних органів, зобов’язання призначати офіцерів захисту даних відповідно до ст. 37 (1) (а) Регламенту (ЄС) 2016 / 679 Європейського Парламенту та Ради також лежати з органами, встановленими законом, які виконують статутні завдання у публічному інтересі.
Акредитація органів з сертифікації
Особи, уповноважені видати персональні дані, акредитовані особою, відповідальною за здійснення компетенції органу з акредитації, що регулює акредитацію органів з оцінки відповідності (3).
Обробка персональних даних з метою наукових або історичних досліджень або статистичних цілей
(1) Контролер або процесор в обробці персональних даних з метою наукових або історичних досліджень або статистичних цілей забезпечують дотримання конкретних заходів щодо захисту інтересів суб'єкта даних, які відповідають державі мистецтва, вартості виконання, характеру, масштабу, контексту та цілей обробки, а також різним ймовірним і серйозним ризикам прав і свобод фізичних осіб. До таких заходів можна віднести:
(а) технічні та організаційні заходи, спрямовані на послідовне застосування зобов’язань за статтею 5 (1) (c) Регламенту (ЄС) 2016 / 679 Європейського Парламенту та Ради;
(b) здійснення записів принаймні всіх операцій складання, в'їзду, чергування та видалення персональних даних, що дозволяє ідентифікації та перевірку ідентичності особи, що виконує операцію, а збереження таких записів не менше 2 років після операції здійснюється;
(c) інформування осіб про обробку персональних даних зобов’язань щодо захисту персональних даних;
(d) призначення делегата;
(e) специфічні обмеження доступу до персональних даних в межах контролера або процесора;
(f) псевдонімізація персональних даних;
(г) шифрування персональних даних;
(h) домовленості щодо забезпечення продовження конфіденційності, цілісності, наявності та стійкості систем обробки та послуг;
(i) заходи, що забезпечують доступність персональних даних для відновлення та своєчасного доступу до таких даних у разі виникнення інцидентів;
(j) процес регулярного тестування, оцінювання та оцінювання ефективності технічних та організаційних заходів для забезпечення безпеки обробки;
(k) специфічні обмеження на передачу персональних даних третім особам; або
(l) специфічні обмеження на обробку персональних даних для інших цілей.
(2) Де це дозволяє мета, що зазначена в пункті 1, будуть досягнуті, персональні дані, що зазначені у статті 9 (1) Регламенту (ЄС) 2016 / 679 Європейського Парламенту та Ради, додатково обробляється контролером або процесором у вигляді, яка не дозволяє ідентифікації суб'єкта даних, якщо законні інтереси суб'єкта даних перешкоджають її.
(3) Якщо інше не передбачено іншим законодавством, статті 15, 16, 18 та 21 та, відповідно, статті 5 Регламенту (ЄС) 2016 / 679 Європейського Парламенту та Ради повинні застосувати мутати мутанди, або виконання зобов'язань контролера або процесора або здійснення права суб'єкта даних, передбачених у цих статтях, буде перенесено, якщо необхідно і в межах їх обсягу, відповідних для мети обробки, зазначених в пункті 1. Стаття 15 та, відповідно, ст. 5 Регламенту (ЄС) 2016 / 679 Європейського Парламенту та Ради не поширюються, де обробка необхідна для цілей наукових досліджень та надання інформації, яка вимагає невідповідних зусиль.
Обробка персональних даних для журналістських або академічних, художніх або літературних цілей
Юридичність обробки
(1) Особисті дані також можуть бути оброблені, якщо це передбачено для журналістських або академічних, художніх або літературних цілей. При оцінці пропорційності за першим вироком також береться облік, чи передбачається обробка персональних даних, зазначених у статті 9 (1) або статті 10 Регламенту (ЄС) 2016 / 679 Європейського Парламенту та Ради.
(2) Обробка персональних даних для цілей, зазначених в пункті 1, не повинна бути предметом авторизації або затвердження Офісу і має право захистити джерело і зміст інформації, включаючи у разі обробки персональних даних таким чином, що дозволяє віддалений доступ.
Виняток з інструкції та інформаційного зобов’язання AIFM
(1) Контролер може, в процесі обробки персональних даних для цілей, зазначених у статті 17 (1), виконання своїх зобов’язань за ст. 12 (1) та (2), ст. 13 (1) до (3) та ст. 21 (4) та, відповідно, ст. 5 Регламенту (ЄС) 2016 / 679 Європейського Парламенту та Ради, а також будь-якої відповідної інформації суб’єкта даних з ідентичності контролера. Також можна повідомити про ідентичність адміністратора відповідним логіном до ідентичності адміністратора, який може здійснюватися графічним маркуванням, по-іншому або іншими відповідними засобами. Відомості про ідентичність контролера є достатньою, якщо інструкція контролера на правах суб’єкта даних та інші факти, необхідні для захисту своїх прав, доступним для обробки персональних даних, зазвичай здійснюється ним або її.
(2) Інформація про ідентичність AIFM не повинна бути надана в об'єктивних випадках, зокрема, де:
(а) це неможливе або вимагає непропорційних зусиль;
(b) суб'єкт даних може суттєво очікувати обробки, зазначених у статті 17 (1);
(c) суб'єкт даних має таку інформацію; або
(d) надання такої інформації буде jeopardise або надано мету обробки персональних даних, якщо така процедура необхідна для досягнення законної мети обробки персональних даних, зокрема, з питань публічного інтересу.
Замість виключення розкриття інформації про ідентичність AIFM, AIFM може перенести надання такої інформації.
Захист ресурсів та вмісту інформації
(1) Обов’язок інформування відповідно до статті 14 (1) до (4) та статті 21 (4) та до відповідного ступеня також до статті 5 Регламенту (ЄС) 2016 / 679 Європейського Парламенту та Ради, а також інших прав суб’єкта даних, також може бути здійснено шляхом публікації такої інформації таким чином, що дозволяє віддалений доступ; У такому випадку достатньо повідомити контролера даних, які зазвичай обробляються.
(2) Право доступу до персональних даних, зазначених у статті 15, і в обсязі, відповідних до неї, також згадується в статті 5 Регламенту (ЄС) 2016 / 679 Європейського Парламенту та Ради, не поширюються на персональні дані, які не були опубліковані контролером та обробляються лише для цілей, зазначених у статті 17 (1). В інших випадках контролер може виключити доступ до персональних даних в обгрунтованих випадках, зокрема, де законне призначення обробки персональних даних інакше буде порушено або збуджена або вимагати невідповідних зусиль.
(3) статті 14 (2) (f) та статті 15 (1) (g) та, відповідно, статті 5 Регламенту (ЄС) 2016 / 679 Європейського Парламенту та Ради не поширюються на обробку персональних даних для цілей, що відносяться до статті 17 (1).
(4) Де контролер зобов'язаний повідомити про порушення безпеки персональних даних відповідно до статті 33 (1) або статті 34 (1) Регламенту (ЄС) 2016 / 679 Європейського Парламенту та Ради, контролер не зобов'язаний повідомляти інформацію, що дає можливість ідентифікації джерела або змісту персональних даних, безпека якого була порушена.
Виплата від виправлення, видалення та обмеження обробки персональних даних
(1) У разі здійснення прав на стирання або випрямлення персональних даних, які обробляються для цілей, зазначених у статті 17 (1), інше законодавство4 слідувати.
(2) Де здійснюється обробка персональних даних для цілей, зазначених у статті 17 (1), суб'єкт даних має право обмежити обробку персональних даних відповідно до статті 18 та, відповідно до пункту 5 Регламенту (ЄС) 2016 / 679 Європейського Парламенту та Ради, тільки де контролер більше не потребує особистих даних для обробки цілей, але суб'єкт даних вимагає таких даних для визначення, здійснення або захисту юридичних претензій. Це не застосовується, якщо це вимагає непропорційності зусиль.
Інформація про ремонт, видалення та обмеження обробки
(1) Де контролер зобов’язаний повідомити одержувачів про виправлення, видалення або обмеження обробки персональних даних відповідно до ст. 17 (2) або ст. 19, та у розмірі, що застосовується до них, відповідно до ст. 5 Регламенту (ЄС) 2016 / 679 Європейського Парламенту та Ради, обробки персональних даних за допомогою дистанційного доступу, відповідно до ст. 17 (1), також може бути відповідальним, що вказує на дату останнього оновлення змісту, в якому персональні дані або були надані, або будь-яким іншим відповідним чином.
(2) Виправлення, видалення або обмеження обробки, зазначених у статті 19 та, відповідно до статті 5 Регламенту (ЄС) 2016 / 679 Європейського Парламенту та Ради, повинні бути повідомлені, яким контролер передав персональні дані, оброблені для цілей, зазначених у статті 17 (1), де необхідно захистити права або законні інтереси суб'єкта даних і не вимагає невідповідних зусиль.
(3) Контролер може повідомляти суб'єкт даних одержувачів, де, щодо обробки персональних даних для цілей, зазначених у статті 17 (1), непропорційне зусилля обов'язкове для інформування суб'єкта даних одержувачів, зазначених у статті 19 та, відповідно до статті 5 Регламенту (ЄС) 2016 / 679 Європейського Парламенту та Ради, або де законне призначення обробки буде порушено або підкреслено.
Обмеження права на заперечення
(1) Видаток віднесено до статті 21 та відповідним чином також зазначено у статті 5 Регламенту (ЄС) 2016 / 679 Європейського Парламенту та Ради можуть бути підняті щодо обробки персональних даних для цілей, зазначених у статті 17 (1), тільки проти конкретного розкриття або публікації персональних даних; Таким чином, суб'єкт даних має підстави вважати, що законний інтерес у захисті своїх прав і свобод зважує інтерес до такого розкриття або розкриття в даному випадку.
(2) Де заперечення підпорядковано відповідно до пункту 1, контролер припиняє таке розкриття або публікацію, якщо він вважає, що суб'єкт даних продемонстрував, що інтерес до такої публікації є предомінантом у захисті своїх прав і свобод. Контролер поінформує суб'єкт даних без зайвих затримок, чи відповідає його заперечення.
Додаткові виключення для конкретних випадків
(1) пункту 18 до 22 та статті 12 до 19, 21, 33 та 34 та, відповідно, ст. 5 Регламенту (ЄС) 2016 / 679 Європейського Парламенту та Ради не поширюються, застосовуються мутати мутанди, або виконання зобов'язань контролера або процесора або здійснення права суб'єкта даних, викладених там, повинні бути відкладені,
(а) де така процедура необхідна для виконання мети обробки, зазначених у статті 17 (1), і
(b) де така процедура навряд чи може призвести до високого ризику законних інтересів суб’єкта даних.
(2) Глава VII Регламенту (ЄС) 2016 / 679 Європейського Парламенту та Ради не поширюються на обробку, зазначену у статті 17 (1). стаття 20, 22, 56 і 58 (1) (a), (e) і (f) і статті 58 (2) (d), (f) і (g), і глав II, IV, V і IX Регламенту (EU) 2016 / 679 Європейського Парламенту і Ради не повинні застосовуватися, застосувати мутати слизової оболонки або виконання зобов'язань контролера або процесора або вправа права суб'єкта даних, передбачених для тих положень, якщо це необхідно для мети обробки, зазначених у статті 17 (1).
(3) Де виключення або обмеження певних прав або зобов'язань за пунктом 2, ймовірно, призведе до високого ризику законних інтересів суб'єкта даних, контролера або процесора, без зайвих затримок, вжити і документ відповідні заходи, щоб пом'якшити такий або аналогічний ризик.
ПРОТЕКЦІЯ ПЕРСОНАЛЬНИХ ДАНИХ В ЇХ ПРОЦЕСУВАННЯ ДЛЯ ПРОПОЗИЦІЇ ПРЕВІОУ, ВИКОРИСТАННЯ ТА ЗАБЕЗПЕЧЕННЯ КРИТИЧНИХ ДІЯЛЬНОСТІ, ВИКОРИСТАННЯ КРИТИЧНИХ ДІЯЛЬНОСТІ, ВИКОРИСТАННЯ КРИТЕРІЇ ТА ЗАХИСТІВ ЗАХВ’ЯЗКІВ, БЕЗПЕКА ЗАХИСТУ ТА ІНТЕРНАЛЬНОЇ БЕЗПЕКИ
Загальні положення
(1) Заощаджувати в іншому випадку, передбаченому законодавством, положення цієї Назва поширюються на обробку персональних даних, які необхідні для виконання завдання та здійснення публічного органу, укладеного іншим законодавством5) з метою запобігання, пошуку та виявлення злочинів, виявлення кримінальних правопорушень, виконання кримінальних штрафів та захисних заходів, забезпечення державного замовлення та внутрішньої безпеки, включаючи пошук осіб та об’єктів.
(2) Для цілей цієї назви статті 4 (1) до (6), (8), (9), (12) до (15) та (26) Регламенту (ЄС) 2016 / 679 застосовуються мутати слизової оболонки.
(3) Управлінський орган є державним органом, відповідальним за виконання поставленого завдання в пункті 1, який не є службою розвідки або комунальною службою.
(4) Положення даної назви застосовуються до обробки персональних даних, які є або повинні бути введені в реєстр або де така обробка відбувається в повному обсязі або в частині автоматизованого порядку.
Принципи обробки персональних даних
(1) При обробці персональних даних органом управління
(а) вказати конкретну мету обробки персональних даних у зв’язку з виконанням завдання, зазначеного у статті 24 (1);
(b) вжити заходів щодо забезпечення точності персональних даних щодо характеру та призначення обробки;
(c) зберігати персональні дані у вигляді, що дозволяє ідентифікації суб’єкта даних лише протягом тривалого часу, щоб досягти мети їх обробки.
(2) Особисті дані можуть оброблятися з метою, що не пов’язана з виконанням завдання, зазначеного у статті 24 (1), тільки якщо уповноважений орган, так і не несе відповідальності за конкретну мету їх обробки.
Категорії суб'єктів даних та якості персональних даних
Де це можливо, керуючий орган
(а) додавати до персональних даних інформацію про стан суб’єкта даних у кримінальному провадженні та, де це доцільно, відомості про остаточні рішення правоохоронних органів щодо таких даних, де обґрунтовано для їх обробки; та
(b) визначити неточні персональні дані або, де відповідні, персональні дані на основі особистих оцінок.
Інформація суб'єкта даних
Керуючий орган публікує інформацію про:
(а) його ім'я та контактні дані;
(b) контактні дані співробітника з питань захисту даних (далі – «делегат»),
(c) призначення обробки персональних даних;
(d) право вимагати скарги з Офісом та контактними реквізитами Офісу;
(e) право доступу, виправити, обмежити або видаляти особисті дані.
Право доступу до персональних даних
(1) Керуючий орган зобов'язаний, за запитом суб'єкта даних, спілкуватися, чи обробляє персональні дані, що стосуються суб'єкта даних. Де такі дані обробляються керуючим органом, він передає їх суб'єктам даних і повідомити його:
(а) призначення обробки персональних даних;
(b) законодавство, на підставі яких він в основному обробляє такі дані;
(c) beneficiaries і, де доречно, категорії beneficiaries;
(d) призначений термін зберігання або метод визначення;
(e) право вимагати виправлення, обмеження обробки або видалення персональних даних;
(f) джерело даних.
(2) Керуючий орган не повинен відповідати запитам, які зазначені в пункті 1 або, якщо це необхідно, тільки частково, якщо відповідність буде застарілим
(а) виконання завдання запобігання, пошуку та виявлення злочинності, висування кримінальних правопорушень, проведення кримінальних штрафів та захисних заходів, забезпечення безпеки Чеської Республіки або забезпечення публічного замовлення та внутрішньої безпеки, включаючи пошук осіб та речей;
(b) проведення порушення, дисциплінарної дії або проведення, яка має особливості порушення;
(c) захист позначеної інформації; або
(d) законних інтересів третьої особи.
(3) Чи повинен запит або повідомлення про невідповідність, в тому числі обґрунтування, незважаючи на застосування, зазначене в пункті 2, орган управління повинен повідомити суб'єкт даних, а також ті заявники, які персональні дані не обробляються.
(4) Управлінський орган зобов'язується зберігати дозер, який він повинен зберігати щонайменше 3 роки на підставі процедури, зазначених у пунктах 2 і 3.
Право на виправлення, обмеження обробки або видалення персональних даних
(1) Керуючий орган зобов'язаний, за запитом суб'єкта даних, правильно або доповнювати персональні дані, що стосуються суб'єкта даних. З метою обробки персональних даних так вимагається, що керуючий орган може замість виправлення персональних даних, доповнення або внесення додаткової декларації до неї.
(2) Керуючий орган зобов'язаний, за запитом суб'єкта даних, видаляти персональні дані, що стосуються її особи, якщо керуючий орган порушено принципи обробки персональних даних, що стосуються § 25 або іншого законодавства) або обмежити обробку певних категорій персональних даних, або якщо керуючий орган має зобов'язання видалити такі дані.
(3) Замість виправлення або видалення персональних даних, керуючий орган може обмежити обробку персональних даних шляхом їх конкретного маркування,
(a) де суб'єкт даних заперечує їх точність, неможливо визначити, чи є дані точні; або
(b) де такі дані повинні зберігатися з метою отримання доказів.
(4) Де обробка персональних даних обмежена відповідно до пункту 3 (а), керуючий орган повинен повідомити суб'єкт даних, перш ніж видалити таке обмеження; керуючий орган також інформує суб'єкт даних, якщо обмеження повинні бути вилучені рішенням Офісу або компетентного суду.
(5) Керуючий орган не повинен відповідати запитам, зазначеним в пунктах 1 до 3 або, якщо це необхідно, тільки частково, якщо комплаєнс буде порушено підпунктом 28 (2). Якщо повідомлення про невідповідність, в тому числі виправдання, в результаті чого загроза підпунктом 28 (2), керуючий орган повинен повідомити заявника таким чином, щоб уникнути такої загрози.
(6) Управлінський орган зобов’язується зберігати досуда з причин процедури, зазначених в пункті 5, які він повинен зберігати принаймні 3 роки.
Загальні положення про запити суб'єктом даних
(1) Керуючий орган має справу з заявою відповідно до пункту 28 або 29 без затримки, але не пізніше ніж за 60 днів після дати його подання.
(2) Якщо керуючий орган показує, що заява, яка має відношення до пункту 28 або 29, проявляється необґрунтованою або непропорційною, зокрема, тому що вона повторюється в короткостроковому терміні в тому ж випадку, вона не може відповідати запиту.
(3) Управлінський орган інформує суб'єкт даних можливості:
Зміст
ČÁST PRVNÍ
HLAVA I
§ 1
§ 2
§ 3
HLAVA II
Díl 1
§ 4
§ 5
§ 6
§ 7
§ 8
§ 9
§ 10
§ 11
§ 12
§ 13
§ 14
§ 15
§ 16
Díl 2
§ 17
§ 18
§ 19
§ 20
§ 21
§ 22
§ 23
HLAVA III
§ 24
§ 25
§ 26
§ 27
§ 28
§ 29
§ 30
§ 31
§ 32
§ 33
§ 34
§ 35
§ 36
§ 37
§ 38
§ 39
§ 39a
§ 39b
§ 39c
§ 40
§ 41
§ 42
HLAVA IV
§ 43
§ 44
§ 45
§ 46
§ 47
§ 48
§ 49
HLAVA V
§ 50
§ 51
§ 52
§ 53
§ 54
§ 54a
§ 55
§ 56
§ 57
§ 58
§ 59
§ 60
HLAVA VI
§ 61
§ 62
§ 63
§ 64
§ 65
ČÁST DRUHÁ
§ 66
§ 67
§ 68
Увійдіть для нотаток, обраного та сповіщень
Інформація про нормативний акт
| Цитування | Акт No 110 / 2019 Coll., на обробку персональних даних |
|---|---|
| Тип нормативного акту | Законодавство |
| Автор | - |
| Збірка | Збірка законів |
| Дата оприлюднення | 24.04.2019 |
|---|---|
| Чинний від | 24.04.2019 |
| Чинний до | - |
| Стан | Чинний |
Текст нормативного акту має інформаційний характер.
Коментарі 0