§ 5 Vymedzenie základných pojmov

§ 5 Vymedzenie základných pojmov

§ 5 Vymedzenie základných pojmov

§ 5 Vymedzenie základných pojmov

Na účely tohto zákona sa rozumie

a) súhlasom dotknutej osoby akýkoľvek vážny a slobodne daný, konkrétny, informovaný a jednoznačný prejav vôle dotknutej osoby vo forme vyhlásenia alebo jednoznačného potvrdzujúceho úkonu, ktorým dotknutá osoba vyjadruje súhlas so spracúvaním svojich osobných údajov,
b) genetickými údajmi osobné údaje týkajúce sa zdedených genetických charakteristických znakov fyzickej osoby alebo nadobudnutých genetických charakteristických znakov fyzickej osoby, ktoré poskytujú jedinečné informácie o fyziológii alebo zdraví tejto fyzickej osoby a ktoré vyplývajú najmä z analýzy biologickej vzorky danej fyzickej osoby,
c) biometrickými údajmi osobné údaje, ktoré sú výsledkom osobitného technického spracúvania osobných údajov týkajúcich sa fyzických charakteristických znakov fyzickej osoby, fyziologických charakteristických znakov fyzickej osoby alebo behaviorálnych charakteristických znakov fyzickej osoby a ktoré umožňujú jedinečnú identifikáciu alebo potvrdzujú jedinečnú identifikáciu tejto fyzickej osoby, ako najmä vyobrazenie tváre alebo daktyloskopické údaje,
d) údajmi týkajúcimi sa zdravia osobné údaje týkajúce sa fyzického zdravia alebo duševného zdravia fyzickej osoby, vrátane údajov o poskytovaní zdravotnej starostlivosti alebo služieb súvisiacich s poskytovaním zdravotnej starostlivosti, ktorými sa odhaľujú informácie o jej zdravotnom stave,
e) spracúvaním osobných údajov spracovateľská operácia alebo súbor spracovateľských operácií s osobnými údajmi alebo súbormi osobných údajov, najmä získavanie, zaznamenávanie, usporadúvanie, štruktúrovanie, uchovávanie, zmena, vyhľadávanie, prehliadanie, využívanie, poskytovanie prenosom, šírením alebo iným spôsobom, preskupovanie alebo kombinovanie, obmedzenie, vymazanie, bez ohľadu na to, či sa vykonáva automatizovanými prostriedkami alebo neautomatizovanými prostriedkami,
f) obmedzením spracúvania osobných údajov označenie uchovávaných osobných údajov s cieľom obmedziť ich spracúvanie v budúcnosti,
g) profilovaním akákoľvek forma automatizovaného spracúvania osobných údajov spočívajúceho v použití osobných údajov na vyhodnotenie určitých osobných znakov alebo charakteristík týkajúcich sa fyzickej osoby, najmä na analýzu alebo predvídanie znakov alebo charakteristík dotknutej osoby súvisiacich s jej výkonnosťou v práci, majetkovými pomermi, zdravím, osobnými preferenciami, záujmami, spoľahlivosťou, správaním, polohou alebo pohybom,
h) pseudonymizáciou spracúvanie osobných údajov spôsobom, že ich nie je možné priradiť ku konkrétnej dotknutej osobe bez použitia dodatočných informácií, ak sa takéto dodatočné informácie uchovávajú oddelene a vzťahujú sa na ne technické a organizačné opatrenia na zabezpečenie toho, aby osobné údaje nebolo možné priradiť identifikovanej fyzickej osoby alebo identifikovateľnej fyzickej osobe,
i) logom záznam o priebehu činnosti používateľa v automatizovanom informačnom systéme,
j) šifrovaním transformácia osobných údajov spôsobom, ktorým opätovné spracúvanie je možné len po zadaní zvoleného parametra ako je kľúč alebo heslo,
k) online identifikátorom identifikátor poskytnutý aplikáciou, nástrojom alebo protokolom najmä IP adresa, cookies, prihlasovacie údaje do online služieb, rádiofrekvenčná identifikácia, ktoré môžu zanechávať stopy, ktoré sa najmä v kombinácii s jedinečnými identifikátormi alebo inými informáciami môžu použiť na vytvorenie profilu dotknutej osoby a na jej identifikáciu,

l) informačným systémom akýkoľvek usporiadaný súbor osobných údajov, ktoré sú prístupné podľa určených kritérií, bez ohľadu na to, či ide o systém centralizovaný, decentralizovaný alebo distribuovaný na funkčnom základe alebo geografickom základe,
m) porušením ochrany osobných údajov porušenie bezpečnosti, ktoré vedie k náhodnému alebo nezákonnému zničeniu, strate, zmene alebo neoprávnenému poskytnutiu prenášaných, uchovávaných osobných údajov alebo inak spracúvaných osobných údajov, alebo k neoprávnenému prístupu k nim,
n) dotknutou osobou každá fyzická osoba, ktorej osobné údaje sa spracúvajú,
o) prevádzkovateľom každý, kto sám alebo spoločne s inými vymedzí účel a prostriedky spracúvania osobných údajov a spracúva osobné údaje vo vlastnom mene; prevádzkovateľ alebo konkrétne požiadavky na jeho určenie môžu byť ustanovené v osobitnom predpise alebo medzinárodnej zmluve, ktorou je Slovenská republika viazaná, ak takýto predpis alebo  táto zmluva ustanovuje účel a prostriedky spracúvania osobných,
p) sprostredkovateľom každý, kto spracúva osobné údaje v mene prevádzkovateľa,
q) príjemcom každý, komu sa osobné údaje poskytnú bez ohľadu na to, či je treťou stranou; za príjemcu sa nepovažuje orgán verejnej moci, ktorý spracúva osobné údaje na základe osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná v súlade s pravidlami ochrany osobných údajov vzťahujúcimi sa na daný účel spracúvania osobných údajov,
r) treťou stranou každý, kto nie je dotknutou osobou, prevádzkovateľ, sprostredkovateľ alebo inou fyzickou osobou, ktorá na základe poverenia prevádzkovateľa alebo sprostredkovateľa spracúva osobné údaje,
s) zodpovednou osobou osoba určená prevádzkovateľom alebo sprostredkovateľom, ktorá plní úlohy podľa tohto zákona,
t) zástupcom fyzická osoba alebo právnická osoba so sídlom, miestom podnikania, organizačnou zložkou, prevádzkarňou alebo trvalým pobytom v členskom štáte, ktorú prevádzkovateľ alebo sprostredkovateľ písomne poveril podľa § 35,
u) podnikom fyzická osoba – podnikateľ alebo právnická osoba vykonávajúca hospodársku činnosť bez ohľadu na jej právnu formu, vrátane združení fyzických osôb alebo združení právnických osôb, ktoré pravidelne vykonávajú hospodársku činnosť,

v) skupinou podnikov ovládajúci podnik a ním ovládané podniky,
w) hlavnou prevádzkarňou

  1. miesto centrálnej správy prevádzkovateľa v Európskej únii, ak ide o prevádzkovateľa s prevádzkarňami vo viac než jednom členskom štáte, okrem prípadu, keď sa rozhodnutia o účeloch a prostriedkoch spracúvania osobných údajov prijímajú v inej prevádzkarni prevádzkovateľa v Európskej únii a táto iná prevádzka má právomoc presadiť vykonanie takýchto rozhodnutí, pričom v takom prípade sa za hlavnú prevádzkareň považuje prevádzkareň, ktorá takéto rozhodnutia prijala,
  2. miesto centrálnej správy sprostredkovateľa v Európskej únii, ak ide o sprostredkovateľa s prevádzkarňami vo viac než jednom členskom štáte alebo ak sprostredkovateľ nemá centrálnu správu v Európskej únii, prevádzkareň sprostredkovateľa v Európskej únii, v ktorej sa v kontexte činností prevádzkarne sprostredkovateľa uskutočňujú hlavné spracovateľské činnosti, a to v rozsahu, v akom sa na sprostredkovateľa vzťahujú osobitné povinnosti podľa tohto zákona,
    x) vnútropodnikovými pravidlami postupy ochrany osobných údajov, ktoré dodržiava prevádzkovateľ alebo sprostredkovateľ so sídlom, miestom podnikania, organizačnou zložkou, prevádzkarňou alebo trvalým pobytom na území Slovenskej republiky na účely prenosu osobných údajov prevádzkovateľovi alebo sprostredkovateľovi v tretej krajine,
    y) kódexom správania súbor pravidiel ochrany osobných údajov dotknutej osoby, ktorý sa prevádzkovateľ alebo sprostredkovateľ zaviazal dodržiavať,
    z) medzinárodnou organizáciou organizácia a jej podriadené subjekty, ktoré sa riadia medzinárodným právom verejným, alebo akýkoľvek iný subjekt, ktorý bol zriadený dohodou medzi dvoma alebo viacerými krajinami alebo na základe takejto dohody,
    aa) členským štátom štát, ktorý je členským štátom Európskej únie alebo zmluvnou stranou Dohody o Európskom hospodárskom priestore,

ab) treťou krajinou krajina, ktorá nie je členským štátom,

ac) zamestnancom úradu zamestnanec v pracovnom pomere alebo v obdobnom pracovnom vzťahu podľa osobitného predpisu[1]) alebo štátny zamestnanec, ktorý vykonáva štátnu službu v štátnozamestnaneckom pomere podľa osobitného predpisu.[2])

[1]) Zákon č. 552/2003 Z. z. o výkone práce vo verejnom záujme v znení neskorších predpisov.

[2]) Zákon č. 55/2017 Z. z.  o štátnej službe a o zmene a doplnení niektorých zákonov.

Dôvodová správa k § 5

Vymedzuje základné pojmy a definuje ich význam na účel tohto zákona.

 

písmeno a)

 

Súhlas dotknutej osoby je jedným z právnych základov spracúvania osobných údajov. Súhlas by sa mal poskytnúť výslovným a jasným prejavom vôle, ktorý je slobodným, konkrétnym, informovaným a jednoznačným vyjadrením vôle dotknutej osoby so spracúvaním osobných údajov; forma písomného vyhlásenia vrátane vyhlásenia prostredníctvom elektronických prostriedkov alebo ústnym vyhlásením je za splnenia ostatných náležitostí súhlasu akceptovateľná. Zákon určuje konkrétne podmienky na udelenie súhlasu, ako aj na spracúvanie osobných údajov na tomto právnom základe . Zákon vyžaduje aktívnu účasť dotknutej osoby pri udeľovaní súhlasu, je teda potrebné formulovať súhlas tak, aby dotknutá osoba musela konať. Nečinnosť dotknutej osoby, respektíve nevyjadrenie nesúhlasu dotknutej osoby nemožno považovať za vyjadrenie súhlasu. Dotknutá osoba má k súhlasu vždy pristupovať aktívne a z jej strany je očakávaná aktivita.

V prípade, ak je predmetom spracúvania spracúvanie osobitnej kategórie osobných údajov, je potrebné, aby bol súhlas dotknutej osoby výslovný, teda taký, ktorý je oddelený od inej časti dokumentu, do ktorej môže byť včlenený a hlavne v ktorom je výslovne uvedené aké konkrétne osobitné kategórie osobných údajov majú na jeho základe byť predmetom spracúvania zo strany prevádzkovateľa a na aký účel.

 

písmeno b)

 

Genetický údaj možno vymedziť ako osobný údaj týkajúci sa zdedených alebo nadobudnutých genetických charakteristických znakov fyzickej osoby, ktoré sú najmä výsledkom analýzy biologických vzoriek danej fyzickej osoby, najmä analýzy chromozómov, deoxyribonukleovej kyseliny (DNA) alebo ribonukleovej kyseliny (RNA) alebo analýzy inej látky, ktorá umožňuje získanie rovnocenných informácií o konkrétnej dotknutej osobe. Genetické osobné údaje patria medzi osobitnú kategóriu osobných údajov, ktorá tiež býva označovaná, ako „citlivé osobné údaje“.

 

písmeno c)

 

Biometrický údaj možno definovať ako biologickú alebo fyziologickú vlastnosť alebo charakteristiku špecifickú pre konkrétneho jednotlivca a zároveň merateľnú veličinu, s určitým stupňom zohľadnenej pravdepodobnosti. Príkladom biometrických údajov sú odtlačky prstov, biometrický snímok sietnice oka, tvar tváre a vzdialenosti jednotlivých orgánov na nej, hlas, geometria ruky, geometria štruktúry žíl ruky alebo dlane určitého človeka alebo určitá hlboko zakorenená schopnosť alebo vlastnosť týkajúca sa správania konkrétneho jedinca (napr. vlastnoručný podpis spôsob jeho písania vyvíjanie tlaku na podložku, udieranie na klávesnicu, osobitný spôsob chôdze alebo artikulácie atď.; v tomto prípade ide o tzv. behaviorálnu biometriu).

 

písmeno d)

 

Osobné údaje týkajúce sa zdravia sú také osobné údaje, ktoré poskytujú informácie o minulom, súčasnom alebo možnom budúcom fyzickom alebo duševnom zdravotnom stave dotknutej osoby. Patria sem aj údaje o zdraví fyzickej osoby získané pri jej registrácii na účely poskytovania služieb zdravotnej starostlivosti, služieb súvisiacich s poskytovaním zdravotnej starostlivosti alebo sociálnych služieb. Medzi osobné údaje týkajúce sa zdravia patrí tiež číslo, symbol alebo osobitný údaj, ktorý bol fyzickej osobe pridelený na jej individuálnu identifikáciu na zdravotné účely, informácie získané na základe vykonania testov alebo prehliadok častí jej organizmu alebo skúmania jej telesných látok vrátane genetických údajov a biologických vzoriek a akékoľvek informácie o chorobe, zdravotnom postihnutí, riziku ochorenia, anamnéze, klinickej liečbe, alebo o fyziologickom alebo biomedicínskom stave dotknutej osoby bez ohľadu na zdroj týchto informácií, ktorým môže byť lekár alebo iného zdravotníckeho pracovníka, nemocnice ako inštitúcia, zdravotnícka pomôcka pridelená konkrétnej osobe alebo informácie pochádzajúce z vykonania diagnostického testu in vitro. Medzi údaje o zdraví patria aj informácie o zdraví konkrétnej osoby získané z mobilných aplikácií slúžiacich k monitorovaniu životných funkcií alebo fyziologických parametrov osoby.

 

písmeno e)

 

Spracúvaním osobných údajov je potrebné chápať každú spracovateľskú operáciu alebo niekoľko na seba nadväzujúcich operácií (nadväznosť v čase nie je podstatná), ktoré prevádzkovateľ alebo sprostredkovateľ  vykonáva na splnenie určitého vymedzeného účelu, systematicky, a to bez ohľadu na spôsob a využité prostriedky (alebo ich kombináciu) spracúvania. Spracúvanie môže byť vykonávané rôznymi spôsobmi, formou ľudskej činnosti, automatizovane, ide teda o charakteristiku toho, ako sú jednotlivé spracovateľské operácie u prevádzkovateľa alebo sprostredkovateľa vykonávané, technicky nastavené.

 

 

 

písmeno f)

 

Pri obmedzení spracúvania sú spracúvané osobné údaje označené na účely obmedzenia ich spracúvania do budúcnosti. Obmedzením nie je vždy potrebné chápať iba ich blokovanie, ale obmedzenie ich spracúvania napríklad na určitý účel. Osobné údaje, ktorých spracúvanie má byť obmedzené by takto v informačnom systéme mali byť označené. Pod obmedzením spracúvania osobných údajov si možnosť predstaviť napríklad ich presun v rámci prevádzkovateľa do iného informačného systému alebo ich zneprístupnenie dovnútra, alebo navonok, teda voči verejnosti (napr.: „stiahnutie“ zverejnených osobných údajov z určitého dôvodu, no ich zachovanie u prevádzkovateľa). Obmedzenie spracúvania môže byť vykonané na účely ochrany dotknutej osoby a uplatnenia si jej práv v prípade, že namieta spracúvanie týchto svojich osobných údajov, má pochybnosti o správnosti alebo zákonnosti ich spracúvania, prípadne ak odpadla potreba spracúvania osobných údajov prevádzkovateľom, avšak dotknutá osoba potrebuje spracúvať tieto osobné údaje u daného prevádzkovateľa napríklad na účely domáhania sa svojich právnych nárokov v budúcnosti.

 

písmeno g)

 

Profilovaním sa rozumie spracúvanie osobných údajov, na základe ktorého možno získať v závislosti od kvality a kvantity spracúvaných informácií relatívne ucelený profil dotknutej osoby, ktorý možno využiť s vysokým stupňom pravdepodobnosti na predpovedanie správania konkrétnej dotknutej osoby do budúcnosti.  Použitie profilovania je rozsiahle, jednou z možností jeho využitia, ktorá je na vzostupe je využívanie na vytvorenie cielenej reklamy na mieru konkrétneho jedinca. Na účely profilovania by mali byť používané primerané matematické alebo štatistické postupy, mali by byť prijaté technické a organizačné opatrenia tak, aby sa zabezpečilo, že faktory, ktoré vedú, alebo by mohli viesť k nesprávnosti osobných údajov sa opravia a riziko chýb sa minimalizuje. Zabezpečí sa tak zohľadnenie súvisiacich potenciálnych rizík pre záujmy a práva dotknutej osoby. Zabráni sa tiež diskriminačným účinkom na základe rasového alebo etnického pôvodu, politického názoru, náboženstva alebo presvedčenia, členstva v odborových organizáciách, genetického alebo zdravotného stavu či sexuálnej orientácie, alebo účinkom, ktoré vedú k opatreniam majúcim takéto účinky. Profilovanie založené na spracúvaní osobitných kategóriách osobných údajov je možné len za osobitných podmienok viažucich sa na spracúvania osobitnej kategórie osobných údajov.

 

písmeno h)

 

Pseudonymizácia je spracúvanie osobných údajov spočívajúce v takej ich forme, že dané údaje už následne nie je možné priradiť ku konkrétnej dotknutej osobe bez toho, aby sa na to museli použiť dodatočné informácie, ktoré by mali byť uchovávané oddelene a osobitne zabezpečené. Pseudonymizované údaje sú stále osobnými údajmi podliehajúcimi tomuto zákonu, prípadne nariadeniu, ide o jedno z bezpečnostných opatrení, ktoré môže prevádzkovateľ využiť, aby ním spracúvané osobné údaje chránil.

Rozdiel medzi anonymizovanými a pseudonymizovanými údajmi je v tom, že anonymizované údaje ani s použitím dodatočných informácií nemožno priradiť ku konkrétnej dotknutej osobe, naopak s pseudonymizovanými údajmi by to možné byť malo, pokiaľ nie je, ide o anonymizované osobné údaje, na ktoré sa tento zákon nevzťahuje.

Príkladom pseudonymizácie je, že osobné údaje „Eva Nová, narodená 12.12.1966, učiteľka“  sa zmenia na sadu písmen a číslic „456mnb2b4gr47sDR, učiteľka“ no informácia, že skôr uvedený kód patrí pani Eve Novej bude u prevádzkovateľa uchovávaná osobitne. Práve na základe spojenia zvlášť uchovanej informácie, že daný kód patrí Eve Novej bude stále možné zistiť, komu konkrétne kód patrí a daná dotknutá osoba bude stále v prostredí prevádzkovateľa identifikovateľná. Osobné údaje, ktoré boli pseudonymizované, a ktoré by sa mohli použitím dodatočných informácií priradiť ku konkrétnej fyzickej osobe, by sa mali považovať za informácie o identifikovateľnej fyzickej osobe.

 

 

písmeno i)

 

Vedenie logov, logovanie je bezpečnostné opatrenie, slúžiace k zaznamenávaniu akýchkoľvek zmien, prehliadania, poskytovania, prenosu, kombinovania alebo vymazávania osobných údajov v rámci informačného systému osobných údajov alebo ich pokusov o zmenu, ktoré je založené na zachytení údaja o tom, kto, kedy a akú zmenu v automatizovanom informačnom systéme osobných údajov vykonal alebo sa pokúšal vykonať. Výsledkom logovania je zaznamenávanie logov, ktoré následne môžu slúžiť na vykonávanie analýzy a na zaznamenávanie činnosti používateľa v automatizovanom informačnom systéme. Logom je tiež akékoľvek používateľské meno alebo heslo alebo iný prihlasovací údaj, ktorý slúži na prihlásenie používateľa do automatizovaného informačného systému osobných údajov.

 

písmeno j)

 

Šifrovanie znamená zmenu obsahu informácie na skupinu bezvýznamných znakov, kedy na to, aby sa skupina týchto znakov opätovne transformovala do pôvodnej zmysluplnej informácie je potrebné, aby prijímateľ správy disponoval správnym prístupovým kódom, heslom alebo iným, na to určeným parametrom.

 

písmeno k)

 

Online identifikátor alebo jednoznačný identifikátor využívaný pri vzájomnej komunikácii koncových zariadení užívateľov prostredníctvom komunikačných sietí. Takýmito identifikátormi sú napríklad IP adresa a cookies, či iné identifikátory využívajúce napríklad rádiovú frekvenciu (tzv. RFID identifikátory). Online identifikátor je osobným údajom konkrétnej fyzickej osoby pokiaľ ho je možné k tejto osobe jednoznačne priradiť, teda pokiaľ sa možno s najvyššou pravdepodobnosťou domnievať alebo je potvrdené, že koncové zariadenie je vo vlastníctve konkrétnej osoby, teda z neho možno aj na základe informácií  pochádzajúcich z identifikátorov vyčítať konkrétne aspekty správania a preferencií fyzickej osoby.

 

písmeno l)

 

Informačným systémom sa na účely tohto zákona rozumie akýkoľvek usporiadaný súbor, sústava alebo databáza určená na zhromažďovanie osobných údajov alebo obsahujúca osobné údaje fyzických osôb, ktoré sú systematicky spracúvané pre potreby dosiahnutia vopred vymedzeného alebo ustanoveného účelu podľa osobitných kritérií a podmienok s použitím automatizovaných, čiastočne automatizovaných alebo iných ako automatizovaných prostriedkov spracúvania bez ohľadu na to, či ide o systém centralizovaný, decentralizovaný alebo distribuovaný na funkčnom alebo geografickom základe. Jedným informačným systémom osobných údajov sa rozumie aj situácia, kedy prevádzkovateľ spracúva osobné údaje  viacerými prostriedkami spracúvania na jeden účel (papierová Evidencia dochádzky a čipová karta zamestnanca sú súčasťou dochádzky zamestnancov, teda napriek využitiu viacerých prostriedkov spracúvania ide o jeden informačný systém osobných údajov, nakoľko účelom je sledovanie a zaznamenávanie dochádzky zamestnancov viacerými spôsobmi).

 

písmeno m)

 

Za porušenie ochrany osobných údajov považujeme situácie, pri ktorých dochádza k nedovolenému resp. nezákonnému nakladaniu s osobnými údajmi, či už úmyselne alebo v dôsledku zanedbania povinností a opatrení prijatých na ich ochranu. Ak sa porušenie ochrany osobných údajov nerieši primeraným spôsobom a včas, môže fyzickým osobám spôsobiť ujmu na zdraví, majetkovú alebo nemajetkovú ujmu alebo akékoľvek iné závažné hospodárske či sociálne znevýhodnenie dotknutej fyzickej osoby. Porušenie ochrany môže byť vyvolané zvonka prevádzkovateľa alebo sprostredkovateľa, kybernetický útok alebo zvnútra prevádzkovateľa alebo sprostredkovateľa, pochybenie zamestnanca, a to tak úmyselné ako neúmyselné, ktoré povedie k narušeniu integrity, dostupnosti a dôvernosti osobných údajov.

 

písmeno n)

 

Dotknutou osobou je fyzická osoba, o ktorej sa osobné údaje spracúvajú, dotknutou osobou je osoba aj vtedy, ak sa jej osobné údaje spracúvané v informačnom systéme osobných údajov týkajú. Definícia dotknutej osoby korešponduje s článkom 8 Charty základných ľudských práv Európskej Únie a tiež s článkom 16 Zmluvy o fungovaní Európskej Únie.

 

písmeno o)

 

Prevádzkovateľom je každý, kto sám alebo spoločne s inými pred začatím spracúvania osobných údajov vymedzí účel spracúvania osobných údajov a prostriedky ich spracúvania. Prevádzkovateľ spracúva osobné údaje vo vlastnom mene. Účel spracúvania môže byť ustanovený v osobitnom predpise (prevádzkovateľ ho musí rešpektovať a dodržiavať, napr.: spracúvanie osobných údajov žiakov školou podľa školského zákona) alebo je prevádzkovateľovi daná možnosť, aby si ho vymedzil napríklad na základe zamerania jeho podnikateľskej činnosti rešpektujúc právny poriadok a legálne možnosti, ktoré mu ponúka.

 

písmeno p)

 

Sprostredkovateľom je každý, kto spracúva osobné údaje v mene prevádzkovateľa. Právny vzťah na základe ktorého dochádza k spracúvaniu osobných údajov sprostredkovateľom v mene prevádzkovateľa je založený na zmluve, plnej moci, poverení sprostredkovateľa  prevádzkovateľom. Minimálne náležitosti zmluvy medzi prevádzkovateľom a sprostredkovateľom, plnej moci alebo poverenia ustanovuje tento zákon alebo iný osobitný zákon v rámci právneho poriadku Slovenskej republiky. Sprostredkovateľ spracúva osobné údaje na právnom základe prevádzkovateľa, t.j. sprostredkovateľ nemá osobitný právny základ od prevádzkovateľa odlišný, ale spracúvanie osobných údajov vykonáva na základe podmienok a prostriedkov, ktoré určil prevádzkovateľ, alebo ktoré prevádzkovateľovi ustanovuje napríklad osobitný zákon.

Zákon nevylučuje, aby subjekt mal postavenie sprostredkovateľa, kedy vykonáva spracovateľské operácie v mene prevádzkovateľa a na základe jeho pokynov, prípadne aj postavenie sprostredkovateľa pre viacerých prevádzkovateľov, ako aj postavenie prevádzkovateľa pre svoje vlastné spracovateľské operácie, ktoré vykonáva vo svojom mene a sám si pre takéto spracúvanie určil účel, podmienky a primeraný právny základ (napríklad vedenie informačného systému personalistika a mzdy, informačného systému účtovníctvo, informačného systému registratúra).

Tak prevádzkovateľ, ako aj sprostredkovateľ, ak je prevádzkovateľom poverený spracúvať v jeho mene osobné údaje, obaja sú viazaní týmto zákonom, prípadne inými osobitnými zákonmi, ak tieto upravujú spracúvanie osobných údajov.

 

písmeno q)

 

Príjemcom na účely tohto zákona je každý, komu sú osobné údaje poskytnuté alebo sprístupnené, či sa jedná o tretiu stranu alebo nie. Orgány verejnej moci, ktoré môžu prijať osobné údaje v rámci konkrétneho zisťovania v súlade osobitným predpisom, sa však nepovažujú za príjemcov; spracúvanie uvedených údajov uvedenými orgánmi verejnej moci sa uskutočňuje v súlade s pravidlami ochrany osobných údajov v závislosti od účelov spracúvania im stanovených osobitnými právnymi predpismi. Najmä vo vzťahu k zodpovednej osobe je používaný aj pojem kategória príjemcov, možno si pod ňou predstaviť napríklad kategóriu prevádzkovateľov alebo sprostredkovateľov majúcich rovnaké alebo podobné podnikateľské zameranie, napríklad banky, poisťovne, živnostníkov s rovnakým predmetom podnikania a podobne.

 

 

písmeno r)

 

Treťou stranou, na účely tohto zákona, je každý  subjekt súkromného sektora alebo orgán verejnej moci, alebo fyzická osoba, ktorá nie je prevádzkovateľom, sprostredkovateľom alebo dotknutou osobou. Treťou stranou sú aj osoby, ktoré nie sú priamo poverené spracúvaním osobných údajov prevádzkovateľom alebo sprostredkovateľom. Tretia strana je užší pojem ako príjemca. Príjemca je akýkoľvek subjekt, ktorému sa osobné údaje poskytujú, s výnimkou orgánov verejnej moci. Kategóriou príjemcu sa rozumejú ako finančné inštitúcie, poisťovne, banky, zamestnávatelia a pod.  

 

písmeno s)

 

Zodpovedná osoba je osoba určená prevádzkovateľom alebo sprostredkovateľom na základe jej odborných kvalít v zákonom stanovených situáciách vždy, inak dobrovoľne. Zodpovednou osobou môže byť tak zamestnanec prevádzkovateľa alebo sprostredkovateľa ako aj fyzická osoba vykonávajúca funkciu zodpovednej osoby na základe zmluvy. Základnou úlohou zodpovednej osoby je poskytovať informácie a poradenstvo prevádzkovateľovi a sprostredkovateľovi a ich zamestnancom pri spracúvaní osobných údajov a plnení úloh podľa tohto zákona. Úlohou zodpovednej osoby navonok je poskytovanie spolupráce úradu a vybavovanie žiadostí dotknutých osôb.

 

písmeno t)

 

Zástupcom prevádzkovateľa alebo sprostredkovateľa, ktorý nemá sídlo, miesto podnikania, organizačnou zložkou, prevádzkareň alebo trvalý pobyt v Európskej únii, spracúva osobné údaje dotknutých osôb, ktoré sa nachádzajú v Slovenskej republike, pričom vykonávané spracovateľské činnosti súvisia s ponukou tovaru alebo služieb takýmto dotknutým osobám v Slovenskej republike, bez ohľadu na to, či sa od dotknutej osoby vyžaduje platba, alebo súvisia so sledovaním ich správania sa, pokiaľ sa toto ich správanie uskutočňuje v Slovenskej republike je fyzická osoba alebo právnická osoba, ktorú si prevádzkovateľ alebo sprostredkovateľ písomne určí na to, aby konala v jeho mene v súvislosti s jeho povinnosťami podľa tohto zákona v rámci Slovenskej republiky. Prevádzkovateľ alebo sprostredkovateľ je povinný určiť sídlo zástupcu v jednom z členských štátov Európskej únie. 

Uvedené sa nevzťahuje na prípady, kedy vykonávané spracúvanie je občasné a nezahŕňa spracúvanie osobitných kategórií osobných údajov vo veľkom rozsahu alebo spracúvanie osobných údajov týkajúcich sa uznania viny za trestné činy a priestupky a nie je pravdepodobné, že povedie k riziku pre práva fyzických osôb, pričom sa zohľadní povaha, kontext, rozsah a účely spracúvania, alebo keď je prevádzkovateľ orgánom verejnej moci alebo verejnoprávnym subjektom.

Určenie takého zástupcu neovplyvňuje zodpovednosť alebo povinnosť prevádzkovateľa alebo sprostredkovateľa podľa tohto zákona. Takýto zástupca má vykonávať svoje úlohy podľa poverenia, ktoré dostal od prevádzkovateľa alebo sprostredkovateľa, a ktoré zahŕňa spoluprácu s úradom v súvislosti s opatreniami prijatými na zabezpečenie súladu s týmto zákonom. V prípade, že prevádzkovateľ alebo sprostredkovateľ nezabezpečia súlad, určený zástupca podlieha konaniam na presadenie práva.

 

písmeno u)

 

Podnikom sa rozumie fyzická osoba podnikateľ alebo právnická osoba v akejkoľvek forme vykonávajúca hospodársku podnikateľskú činnosť, a to tak sama, ako aj v spolupráci so svojimi partnermi.

 

písmeno v)

 

Skupinu podnikov zahŕňa riadiaci podnik a ním riadené podniky, pričom riadiaci podnik má dominantný vplyv na ostatné podniky pretože ich vlastní, alebo v dôsledku finančnej účasti alebo pravidiel upravujúcich činnosť podniku alebo v dôsledku jeho právomoci presadiť vykonávanie pravidiel ochrany osobných údajov.

Podnik, ktorý kontroluje spracúvanie osobných údajov v podnikoch, ktoré sú s ním prepojené sa považuje za skupinu podnikov (napr.: holdingy, koncerny, konzorciá).

 

písmeno w)

 

Hlavnou prevádzkarňou je miesto centrálnej správy prevádzkovateľa alebo sprostredkovateľa v Európskej únii.

 

písmeno x)

 

Záväzné vnútropodnikové pravidlá sú súčasťou internej politiky ochrany osobných údajov prevádzkovateľa alebo sprostredkovateľa, ktorý nimi definuje svoje postupy a pravidlá v rámci svojej obchodnej politiky s ohľadom na prenos mimo územia členských štátov Európskej únie. Možno ich považovať za istý druh bezpečnostného opatrenia, ktorým prevádzkovateľ a sprostredkovateľ zaisťujú primeranú úroveň ochrany spracúvaných osobných údajov v týchto tzv. tretích krajinách, ich častiach, prípadne medzinárodných organizáciách, ktoré takúto primeranú úroveň ochrany osobných údajov nezaručujú.

 

písmeno y)

 

Kódex správania je súbor  určitých ustanovení, ktorého účelom je upresniť, konkretizovať dodržiavanie jednotlivých povinností podľa tohto zákona týkajúcich sa spracúvania a ochrany osobných údajov s ohľadom na osobitné charakteristiky určitého odvetvia, pre ktoré konkrétny kódex správania bol schválený. Ku kódexom správania je možnosť pristúpiť a zaviazať sa ich dodržiavať dobrovoľne, ak však prevádzkovateľ pristúpi k schválenému kódexu správania je povinný ho ako súčasť bezpečnostných opatrení dodržiavať a uplatňovať.

 

písmeno z)

 

Medzinárodná organizácia je inštitucionalizovaná podoba medzinárodných vzťahov vznikajúca najčastejšie dohodou dvoch a viacerých krajín, ktoré určia aj jej podobu, stanovia jej orgány, podmienky jej fungovania a podmienky pristúpenia k takejto medzinárodnej organizácii.

 

písmeno aa)

 

Členským štátom sa rozumie štát, ktorý na účely tohto zákona  je členským štátom Európskej únie, alebo zmluvnou stranou Dohody o Európskom hospodárskom priestore.

 

písmeno bb)

 

Treťou krajinou sa rozumie krajina, ktorá nie je členským štátom Európskej únie, alebo zmluvnou stranou Dohody o Európskom hospodárskom priestore.

 

písmeno cc)

 

Zamestnanec úradu je osoba vykonávajúca prácu v pracovnom pomere alebo obdobnom pracovnom pomere v mene úradu a štátny zamestnanec.