Ochrana osobných údajov

Úvod

Dňa 25. mája 2018 nadobudli účinnosť: Nariadenie Európskeho parlamentu a Rady EÚ č. 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica č. 95/46/ES (všeobecné nariadenie o ochrane údajov) a nový zákon č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov (ďalej len „zákon o ochrane osobných údajov“), ktorý upravuje

  • ochranu práv fyzických osôb pred neoprávneným spracúvaním ich osobných údajov,
  • práva, povinnosti a zodpovednosť pri spracúvaní osobných údajov fyzických osôb,
  • postavenie, pôsobnosť a organizáciu Úradu na ochranu osobných údajov Slovenskej republiky.

Vysoká škola múzických umení v Bratislave, Ventúrska 3, 813 01 Bratislava, IČO: 00397431 (ďalej aj ako „VŠMU“) je prevádzkovateľom osobných údajov. VŠMU je v zmysle zákona č. 131/2002 Z. z. o vysokých školách a o zmene a doplnení niektorých zákonov v znení neskorších predpisov verejnou vysokou školou zriadenou zákonom.

VŠMU spracúva osobné údaje, aby mohla plniť povinnosti a úlohy, ktoré jej vyplývajú:

  • zo všeobecne záväzných právnych predpisov,
  • z oprávnených alebo verejných záujmov, ktoré sleduje (ide napr. o kontrolu dodržiavania pracovnej disciplíny, ochrana majetku, poriadku a bezpečnosti, preukazovanie, uplatňovanie a obhajovanie právnych nárokov),
  • zo zmluvných vzťahov.

Vymedzenie niektorých základných pojmov

V zmysle § 2 zákona o ochrane osobných údajov osobnými údajmi sú údaje týkajúce sa identifikovanej fyzickej osoby alebo identifikovateľnej fyzickej osoby, ktorú možno identifikovať priamo alebo nepriamo, najmä na základe všeobecne použiteľného identifikátora, iného identifikátora, ako je napríklad meno, priezvisko, identifikačné číslo, lokalizačné údaje, alebo online identifikátor, alebo na základe jednej alebo viacerých charakteristík alebo znakov, ktoré tvoria jej fyzickú identitu, fyziologickú identitu, genetickú identitu, psychickú identitu, mentálnu identitu, ekonomickú identitu, kultúrnu identitu alebo sociálnu identitu.

V zmysle § 5 písm. n) zákona o ochrane osobných údajov dotknutou osobou je každá fyzická osoba, ktorej osobné údaje sa spracúvajú.

V zmysle § 5 písm. o) zákona o ochrane osobných údajov prevádzkovateľom je každý, kto sám alebo spoločne s inými vymedzí účel a prostriedky spracúvania osobných údajov a spracúva osobné údaje vo vlastnom mene; prevádzkovateľ alebo konkrétne požiadavky na jeho určenie môžu byť ustanovené v osobitnom predpise alebo medzinárodnej zmluve, ktorou je Slovenská republika viazaná, ak takýto predpis alebo táto zmluva ustanovuje účel a prostriedky spracúvania osobných údajov.

V zmysle § 5 písm. p) zákona o ochrane osobných údajov sprostredkovateľom je každý, kto spracúva osobné údaje v mene prevádzkovateľa.

V zmysle § 5 písm. q) zákona o ochrane osobných údajov príjemcom je každý, komu sa osobné údaje poskytnú bez ohľadu na to, či je treťou stranou; za príjemcu sa nepovažuje orgán verejnej moci, ktorý spracúva osobné údaje na základe osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, v súlade s pravidlami ochrany osobných údajov vzťahujúcimi sa na daný účel spracúvania osobných údajov.

V zmysle § 5 písm. s) zákona o ochrane osobných údajov zodpovednou osobou je osoba určená prevádzkovateľom alebo sprostredkovateľom, ktorá plní úlohy podľa tohto zákona.

VŠMU spracúva osobné údaje na tieto účely:

Plnenie zákonných povinností VŠMU:

  • študijné účely (zabezpečovanie a poskytovanie vysokoškolského štúdia, prijímacie konanie, priznávanie štipendií študentom VŠMU – sociálne štipendiá, motivačné štipendiá, štipendiá doktorandov a ďalšie v zmysle Štipendijného poriadku VŠMU, resp. štipendijných poriadkov fakúlt VŠMU, organizovanie slávnostných promócií, imatrikulácií a iných oficiálnych podujatí spojených s výkonom štúdia, študentská mobilita, anketa – prieskum názorov študentov, podpora študentov so špecifickými potrebami),
  • vydávanie preukazov študentom,
  • akademická samospráva VŠMU a jej fakúlt (agenda Akademického senátu VŠMU, rektora VŠMU, Vedeckej a umeleckej rady VŠMU, Disciplinárnej komisie VŠMU, ako aj agenda akademických senátov fakúlt VŠMU, dekanov fakúlt VŠMU, vedeckých a umeleckých rád fakúlt VŠMU, disciplinárnych komisií fakúlt VŠMU),
  • plnenie povinností a úloh VŠMU ako verejnej vysokej školy (agenda konaní o udelenie vedecko-pedagogických a umelecko-pedagogických titulov „docent“ a „profesor“, agenda uznávania dokladov o skončení vysokoškolského štúdia na akademické účely, agenda udeľovania titulu „doctor honoris causa“ a čestného titulu „emeritný profesor“),
  • knižnično-informačné účely (Ústredná knižnica a študijno-informačné stredisko VŠMU),
  • personálne a mzdové účely,
  • účtovné a daňové účely,
  • štatistické účely,
  • uzatváranie a plnenie zmlúv s fyzickými osobami,
  • žiadosti podľa zák. č. 211/2000 Z. z. o slobodnom prístupe k informáciám a o zmene a doplnení niektorých zákonov – zákon o slobode informácií v znení neskorších predpisov,
  • sťažnosti v zmysle zák. č. 9/2010 Z. z. v znení neskorších predpisov,
  • podnety v zmysle zák. č. 307/2014 Z. z. o niektorých opatreniach súvisiacich s oznamovaním protispoločenskej činnosti v znení neskorších predpisov, vybavovanie práv dotknutých osôb v zmysle zákona o ochrane osobných údajov,
  • civilná obrana – plnenie pôsobnosti právnickej osoby pri zabezpečovaní civilnej ochrany obyvateľstva podľa zákona č. 42/1994 Z. z. o civilnej ochrane obyvateľstva v znení neskorších predpisov,
  • hospodárska mobilizácia – vykonávanie opatrení hospodárskej mobilizácie v zmysle zákona č. 179/2011 Z. z. o hospodárskej mobilizácii a o zmene a doplnení zákona č. 387/2002 Z. z. o riadení štátu v krízových situáciách mimo času vojny a vojnového stavu v znení neskorších predpisov,
  • verejné obstarávanie – spracúvanie osobných údajov na účely zákona č. 343/2015 Z. z. o verejnom obstarávaní v znení neskorších predpisov,
  • vedenie evidencie ubytovaných v Ubytovacom zariadení VŠMU na Zochovej ul. v Bratislave,
  • zabezpečenie IT bezpečnosti,
  • evidencia umeleckej činnosti vysokoškolských učiteľov (spracúvanie osobných údajov zamestnancov VŠMU, ktoré sú doplnené o výsledky ich umeleckej činnosti na účely splnenia povinností VŠMU, ktorá ich je povinná poskytovať do Centrálneho registra evidencie umeleckej činnosť),
  • akademický, umelecký a literárny účel (§ § 78 ods. 1 zákona o ochrane osobných údajov),
  • archívne účely.

Oprávnený záujem VŠMU:

  • kontrolné mechanizmy VŠMU ako zamestnávateľa (dodržiavanie pracovnej disciplíny),
  • ochrana majetku, poriadku a bezpečnosti,
  • preukazovanie, uplatňovanie a obhajovanie právnych nárokov VŠMU (právna agenda – súdne spory),
  • zvyšovanie povedomia o VŠMU – ide o oprávnený záujem VŠMU, ktorý zahŕňa najmä propagáciu a vytváranie dobrého mena VŠMU, najmä vo vzťahu k záujemcom o štúdium, informovanie o udalostiach v rámci akademickej obce, publikovanie tlačových správ s osobnými údajmi dôležitých zamestnancov a/alebo zamestnancov, ktorí dosiahli úspech, organizačné zabezpečenie rôznych umeleckých, vedeckých, kultúrno-spoločenských, študentských a iných podujatí (napr. umelecké študentské súťaže, umelecké a kultúrne podujatia, festivaly, koncerty, umelecké predstavenia, vedecké konferencie, workshopy, semináre).

Súhlas dotknutej osoby  (na základe písomného súhlasu dotknutej osoby):

  • dobrovoľné zverejňovanie osobných údajov,
  • zasielanie pozvánok na podujatia VŠMU.

VŠMU v rámci spracúvania osobných údajov nevyužíva automatizované rozhodovanie a ani profilovanie.

Doba uchovávania osobných údajov

VŠMU uchováva osobné údaje najviac dovtedy, kým je to potrebné na účely, na ktoré sa osobné údaje spracúvajú. Doba uchovávania vyplýva z právnych predpisov (zákon č. 395/2002 Z. z. o archívoch a registratúrach a o doplnení niektorých zákonov v znení neskorších predpisov), resp. z platného Registratúrneho poriadku a Registratúrneho plánu VŠMU.

Informácie o zodpovednej osobe

VŠMU určila v zmysle § 44 a nasl. zákona o ochrane osobných údajov zodpovednú osobu. Kontakt na zodpovednú osobu (e-mail): zodpovedna.osoba@vsmu.sk.

Medzi úlohy zodpovednej osoby patrí najmä:

  • poskytovať informácie a poradenstvo VŠMU a jej zamestnancom, ktorí vykonávajú spracúvanie osobných údajov, o ich povinnostiach podľa zákona, osobitných predpisov alebo medzinárodných zmlúv, ktorými je Slovenská republika viazaná, týkajúcich sa ochrany osobných údajov,
  • monitorovať súlad so zákonom, osobitnými predpismi alebo medzinárodnými zmluvami, ktorými je Slovenská republika viazaná, týkajúcimi sa ochrany osobných údajov a s pravidlami zamestnávateľa súvisiacimi s ochranou osobných údajov vrátane rozdelenia povinností, zvyšovania povedomia a odbornej prípravy osôb, ktoré sú zapojené do spracovateľských operácií a súvisiacich auditov ochrany osobných údajov,
  • poskytovať na požiadanie poradenstvo, ak ide o posúdenie vplyvu na ochranu osobných údajov a monitorovanie jeho vykonávania,
  • spolupracovať s Úradom na ochranu osobných údajov pri plnení svojich úloh,
  • plniť úlohy kontaktného miesta pre Úrad na ochranu osobných údajov v súvislosti s otázkami týkajúcimi sa spracúvania osobných údajov vrátane predchádzajúcej konzultácie a podľa potreby aj konzultácie v iných veciach.

Všeobecné informácie o právach dotknutej osoby

Dotknutá osoba má právo na základe žiadosti doručenej VŠMU:

  • požadovať prístup k jej osobným údajom,
  • požadovať opravu, vymazanie alebo obmedzenie spracúvania jej osobných údajov,
  • namietať spracúvanie osobných údajov,
  • na prenosnosť svojich osobných údajov,
  • kedykoľvek svoj súhlas so spracúvaním osobných údajov odvolať, ak sa osobné údaje spracúvajú na tomto právnom základe,
  • právo podať sťažnosť dozornému orgánu t. j. Úradu na ochranu osobných údajov Slovenskej republiky.

Svoje práva môže dotknutá osoba uplatniť na mailovej adrese: zodpovedna.osoba@vsmu.sk, prípadne písomne na adrese sídla VŠMU. S prípadnou sťažnosťou sa môže dotknutá osoba obrátiť aj na Úrad na ochranu osobných údajov.

Pri vybavovaní žiadosti o výkon práva dotknutej osoby VŠMU môže požiadať žiadateľa o dôveryhodné overenie jeho totožnosti, a to najmä v prípadoch, ak budú existovať pochybnosti o identite osoby, ktorá žiadosť podala. Je povinnosťou VŠMU zabrániť poskytnutiu osobných údajov neoprávnenej osobe. Proces vybavenia žiadosti spojenej s výkonom práva dotknutej osoby je bezplatný. Ak je však žiadosť zjavne neopodstatnená alebo neprimeraná, najmä preto, že sa opakuje, VŠMU je oprávnená účtovať si primeraný poplatok, ktorý zohľadňuje administratívne náklady spojené s vybavením žiadosti dotknutej osoby.

Podrobnosti o právach dotknutej osoby

Článok 1: Informácie a prístup k osobným údajom, ak sú osobné údaje získané od dotknutej osoby

Ak sa od dotknutej osoby získavajú osobné údaje, ktoré sa jej týkajú, je VŠMU (ďalej len „prevádzkovateľ“) povinný poskytnúť dotknutej osobe pri ich získavaní

  • identifikačné údaje a kontaktné údaje prevádzkovateľa a zástupcu prevádzkovateľa, ak bol poverený,
  • kontaktné údaje zodpovednej osoby,
  • účel spracúvania osobných údajov, na ktorý sú osobné údaje určené, ako aj právny základ spracúvania osobných údajov,
  • oprávnené záujmy prevádzkovateľa,
  • identifikáciu príjemcu alebo kategóriu príjemcu, ak existuje,
  • informáciu o tom, že prevádzkovateľ zamýšľa preniesť osobné údaje do tretej krajiny alebo medzinárodnej organizácii, identifikáciu tretej krajiny alebo medzinárodnej organizácie, informáciu o existencii alebo neexistencii rozhodnutia Európskej komisie (ďalej len “Komisia”) o primeranosti alebo odkaz na primerané záruky alebo vhodné záruky a prostriedky na získanie ich kópie alebo informáciu o tom, kde boli sprístupnené.

Okrem informácií podľa bodu 1 tohto článku je prevádzkovateľ povinný pri získavaní osobných údajov, ak osobné údaje sú získané od dotknutej osoby, poskytnúť dotknutej osobe informácie o

  • dobe uchovávania osobných údajov; ak to nie je možné, informácie o kritériách jej určenia,
  • práve požadovať od prevádzkovateľa prístup k osobným údajom týkajúcich sa dotknutej osoby, o práve na opravu osobných údajov, o práve na vymazanie osobných údajov alebo o práve na obmedzenie spracúvania osobných údajov, o práve namietať spracúvanie osobných údajov, ako aj o práve na prenosnosť osobných údajov,
  • práve kedykoľvek svoj súhlas odvolať,
  • práve podať návrh na začatie konania o ochrane osobných údajov,
  • tom, či je poskytovanie osobných údajov zákonnou požiadavkou alebo zmluvnou požiadavkou alebo požiadavkou, ktorá je potrebná na uzavretie zmluvy, a o tom, či je dotknutá osoba povinná poskytnúť osobné údaje, ako aj o možných následkoch neposkytnutia osobných údajov,
  • existencii automatizovaného individuálneho rozhodovania vrátane profilovania; v týchto prípadoch poskytne prevádzkovateľ dotknutej osobe informácie o použitom postupe, ako aj o význame a predpokladaných dôsledkoch takého spracúvania osobných údajov pre dotknutú osobu.

Prevádzkovateľ je povinný poskytnúť dotknutej osobe pred ďalším spracúvaním osobných údajov informácie o inom účele a ďalšie relevantné informácie, ak má prevádzkovateľ v úmysle ďalej spracúvať osobné údaje na iný účel ako ten, na ktorý boli získané.

Článok 2: Poskytované informácie, ak osobné údaje nie sú získané od dotknutej osoby

Ak osobné údaje neboli získané od dotknutej osoby, prevádzkovateľ je povinný dotknutej osobe poskytnúť:

  • identifikačné údaje a kontaktné údaje prevádzkovateľa a zástupcu prevádzkovateľa, ak bol poverený,
  • kontaktné údaje zodpovednej osoby, ak je určená,
  • účel spracúvania osobných údajov, na ktorý sú osobné údaje určené, ako aj právny základ spracúvania osobných údajov,
  • kategórie spracúvaných osobných údajov,
  • identifikáciu príjemcu alebo kategóriu príjemcu, ak existuje,
  • informáciu o tom, že prevádzkovateľ zamýšľa preniesť osobné údaje do tretej krajiny alebo medzinárodnej organizácii, identifikáciu tretej krajiny alebo medzinárodnej organizácie, informáciu o existencii alebo neexistencii rozhodnutia Komisie o primeranosti alebo odkaz na primerané záruky alebo vhodné záruky a prostriedky na získanie ich kópie alebo informáciu o tom, kde boli sprístupnené.

Okrem informácií podľa bodu 2 tohto článku je prevádzkovateľ povinný poskytnúť dotknutej osobe, ak osobné údaje nie sú získané od dotknutej osoby informácie o

  • dobe uchovávania osobných údajov; ak to nie je možné, informáciu o kritériách jej určenia,
  • oprávnených záujmoch prevádzkovateľa alebo tretej strany, ak je spracúvanie osobných údajov zákonné, ak sa vykonáva na základe nasledujúceho právneho základu:
  • spracúvanie osobných údajov je nevyhnutné na účel oprávnených záujmov prevádzkovateľa alebo tretej strany okrem prípadov, keď nad týmito záujmami prevažujú záujmy alebo práva dotknutej osoby vyžadujúce si ochranu osobných údajov, najmä ak je dotknutou osobou dieťa; tento právny základ sa nevzťahuje na spracúvanie osobných údajov orgánmi verejnej moci pri plnení ich úloh;
  • práve požadovať od prevádzkovateľa prístup k osobným údajom týkajúcich sa dotknutej osoby o práve na opravu osobných údajov, o práve na vymazanie osobných údajov alebo o práve na obmedzenie spracúvania osobných údajov, o práve namietať spracúvanie osobných údajov, ako aj o práve na prenosnosť osobných údajov,
  • práve kedykoľvek svoj súhlas odvolať,
  • práve podať návrh na začatie konania o ochrane osobných údajov,
  • zdroji, z ktorého pochádzajú osobné údaje, prípadne informácie o tom, či pochádzajú z verejne prístupných zdrojov,
  • existencii automatizovaného individuálneho rozhodovania vrátane profilovania; v týchto prípadoch poskytne prevádzkovateľ dotknutej osobe informácie o použitom postupe, ako aj o význame automatizovaného individuálneho rozhodovania a predpokladaných dôsledkoch takého spracúvania osobných údajov pre dotknutú osobu.

Prevádzkovateľ je povinný poskytnúť informácie podľa bodov 1 a 2 tohto článku najneskôr do jedného mesiaca po získaní osobných údajov, pričom zohľadní konkrétne okolnosti, za ktorých sa osobné údaje spracúvajú,

  • najneskôr v čase prvej komunikácie s touto dotknutou osobou, ak sa osobné údaje majú použiť na komunikáciu s dotknutou osobou, alebo
  • najneskôr vtedy, keď sa osobné údaje prvýkrát poskytnú, ak sa predpokladá poskytnutie osobných údajov ďalšiemu príjemcovi.

Prevádzkovateľ je povinný poskytnúť dotknutej osobe pred ďalším spracúvaním osobných údajov informácie o inom účele a ďalšie relevantné informácie, ak má prevádzkovateľ v úmysle ďalej spracúvať osobné údaje na iný účel ako ten, na ktorý boli získané.

Prevádzkovateľ neposkytuje dotknutej osobe informácie

  • v rozsahu, v akom dotknutá osoba už dané informácie má,
  • v rozsahu, v akom sa poskytovanie týchto informácií ukáže ako nemožné alebo by si vyžadovalo neprimerané úsilie, najmä ak sa spracúvajú osobné údaje na účel archivácie, na vedecký účel, na účel historického výskumu alebo na štatistický účel, alebo ak je pravdepodobné, že uvedená povinnosť znemožní alebo závažným spôsobom sťaží dosiahnutie cieľov takého spracúvania osobných údajov; prevádzkovateľ je v takom prípade povinný prijať vhodné opatrenia na ochranu práv a oprávnených záujmov dotknutej osoby vrátane sprístupnenia daných informácií verejnosti,
  • v rozsahu, v akom sa získanie týchto informácií alebo poskytnutie týchto informácií ustanovuje v osobitnom predpise, ktorý sa na prevádzkovateľa vzťahuje a v ktorom sú ustanovené primerané opatrenia na ochranu práv a oprávnených záujmov dotknutej osoby, alebo
  • ak osobné údaje musia zostať dôverné na základe povinnosti mlčanlivosti podľa osobitného predpisu.

Článok 3: Právo na prístup k osobným údajom

Dotknutá osoba má právo získať od prevádzkovateľa potvrdenie o tom, či sa spracúvajú osobné údaje, ktoré sa jej týkajú. Ak prevádzkovateľ takéto osobné údaje spracúva, dotknutá osoba má právo získať prístup k týmto osobným údajom a informácie o

  • účele spracúvania osobných údajov,
  • kategórii spracúvaných osobných údajov,
  • identifikácii príjemcu alebo o kategórii príjemcu, ktorému boli alebo majú byť osobné údaje poskytnuté, najmä o príjemcovi v tretej krajine alebo o medzinárodnej organizácii, ak je to možné,
  • dobe uchovávania osobných údajov; ak to nie je možné, informáciu o kritériách jej určenia,
  • práve požadovať od prevádzkovateľa opravu osobných údajov týkajúcich sa dotknutej osoby, ich vymazanie alebo obmedzenie ich spracúvania, alebo o práve namietať spracúvanie osobných údajov,
  • práve podať návrh na začatie konania o ochrane osobných údajov,
  • zdroji osobných údajov, ak sa osobné údaje nezískali od dotknutej osoby,
  • existencii automatizovaného individuálneho rozhodovania vrátane profilovania; v týchto prípadoch poskytne prevádzkovateľ dotknutej osobe informácie najmä o použitom postupe, ako aj o význame a predpokladaných dôsledkoch takého spracúvania osobných údajov pre dotknutú osobu.

Dotknutá osoba má právo byť informovaná o primeraných zárukách týkajúcich sa prenosu osobných údajov, ak sa osobné údaje prenášajú do tretej krajiny alebo medzinárodnej organizácii.

Prevádzkovateľ je povinný poskytnúť dotknutej osobe jej osobné údaje, ktoré spracúva. Za opakované poskytnutie osobných údajov, o ktoré dotknutá osoba požiada, môže prevádzkovateľ účtovať primeraný poplatok zodpovedajúci administratívnym nákladom. Prevádzkovateľ je povinný poskytnúť osobné údaje dotknutej osobe spôsobom podľa jej požiadavky.

Právo získať osobné údaje podľa bodu 3 tohto článku nesmie mať nepriaznivé dôsledky na práva iných fyzických osôb.

Článok 4: Právo dotknutej osoby na opravu osobných údajov

Dotknutá osoba má právo na to, aby prevádzkovateľ bez zbytočného odkladu opravil nesprávne osobné údaje, ktoré sa jej týkajú. So zreteľom na účel spracúvania osobných údajov má dotknutá osoba právo na doplnenie neúplných osobných údajov.

Článok 5: Právo dotknutej osoby na výmaz osobných údajov

Dotknutá osoba má právo na to, aby prevádzkovateľ bez zbytočného odkladu vymazal osobné údaje, ktoré sa jej týkajú, ak

  • osobné údaje už nie sú potrebné na účel, na ktorý sa získali alebo inak spracúvali,
  • dotknutá osoba odvolá súhlas na základe ktorého sa spracúvanie osobných údajov vykonáva, a neexistuje iný právny základ pre spracúvanie osobných údajov,
  • dotknutá osoba namieta spracúvanie osobných údajov a neprevažujú žiadne oprávnené dôvody na spracúvanie osobných údajov,
  • osobné údaje sa spracúvajú nezákonne,
  • je dôvodom pre výmaz splnenie povinnosti podľa tohto zákona, osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, alebo
  • sa osobné údaje získavali v súvislosti s ponukou služieb informačnej spoločnosti.

Článok 6: Výnimky z práva dotknutej osoby na výmaz osobných údajov

Dotknutá osoba nemá právo na výmaz osobných údajov, ak

  • je spracúvanie osobných údajov potrebné na uplatnenie práva na slobodu prejavu alebo práva na informácie,
  • na splnenie povinnosti podľa tohto zákona, osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, alebo na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi,
  • na účel archivácie, na vedecký účel, na účel historického výskumu alebo na štatistický účel ak je pravdepodobné, že toto právo znemožní alebo závažným spôsobom sťaží dosiahnutie cieľov takého spracúvania, alebo
  • na uplatnenie právneho nároku.

Článok 7: Právo dotknutej osoby na obmedzenie spracúvania osobných údajov

Dotknutá osoba má právo na to, aby prevádzkovateľ obmedzil spracúvanie osobných údajov, ak

  • dotknutá osoba namieta správnosť osobných údajov, a to počas obdobia umožňujúceho prevádzkovateľovi overiť správnosť osobných údajov,
  • spracúvanie osobných údajov je nezákonné a dotknutá osoba namieta vymazanie osobných údajov a žiada namiesto toho obmedzenie ich použitia,
  • prevádzkovateľ už nepotrebuje osobné údaje na účel spracúvania osobných údajov, ale potrebuje ich dotknutá osoba na uplatnenie právneho nároku, alebo
  • dotknutá osoba namieta spracúvanie osobných údajov, a to až do overenia, či oprávnené dôvody na strane prevádzkovateľa prevažujú nad oprávnenými dôvodmi dotknutej osoby.

Ak sa spracúvanie osobných údajov obmedzilo podľa bodu 1 tohto článku, okrem uchovávania môže osobné údaje prevádzkovateľ spracúvať len so súhlasom dotknutej osoby alebo na účel uplatnenia právneho nároku, na ochranu osôb alebo z dôvodov verejného záujmu.

Dotknutú osobu, ktorej spracúvanie osobných údajov sa obmedzí, je prevádzkovateľ povinný informovať pred tým, ako bude obmedzenie spracúvania osobných údajov zrušené.

Článok 8: Oznamovacia povinnosť prevádzkovateľa v súvislosti s opravou, vymazaním alebo obmedzením spracúvania osobných údajov dotknutej osoby príjemcovi

  • Prevádzkovateľ je povinný oznámiť príjemcovi opravu osobných údajov, vymazanie osobných údajov alebo obmedzenie spracúvania osobných údajov pokiaľ to nie je nemožné alebo si to nevyžaduje neprimerané úsilie.
  • Prevádzkovateľ o príjemcoch informuje dotknutú osobu, ak to dotknutá osoba požaduje.

Článok 9: Právo dotknutej osoby na prenosnosť osobných údajov

Dotknutá osoba má právo získať osobné údaje, ktoré sa jej týkajú a ktoré poskytla prevádzkovateľovi, v štruktúrovanom, bežne používanom a strojovo čitateľnom formáte a má právo preniesť tieto osobné údaje ďalšiemu prevádzkovateľovi, ak je to technicky možné a ak

  • spracúvanie osobných údajov je zákonné, ak sa vykonáva na základe aspoň jedného z týchto právnych základov:
  • dotknutá osoba vyjadrila súhlas so spracúvaním svojich osobných údajov aspoň na jeden konkrétny účel,
  • spracúvanie osobných údajov je nevyhnutné na plnenie zmluvy, ktorej zmluvnou stranou je dotknutá osoba, alebo na vykonanie opatrenia pred uzatvorením zmluvy na základe žiadosti dotknutej osoby,
  • spracúvanie osobných údajov sa vykonáva automatizovanými prostriedkami.

Právo na prenosnosť sa nevzťahuje na spracúvanie osobných údajov nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi.

Právo dotknutej osoby podľa tohto článku nesmie mať nepriaznivé dôsledky na práva iných osôb.

Článok 10: Právo dotknutej osoby namietať spracúvanie osobných údajov

Dotknutá osoba má právo namietať spracúvanie jej osobných údajov z dôvodu týkajúceho sa jej konkrétnej situácie vrátane profilovania. Prevádzkovateľ nesmie ďalej spracúvať osobné údaje, ak nepreukáže nevyhnutné oprávnené záujmy na spracúvanie osobných údajov, ktoré prevažujú nad právami alebo záujmami dotknutej osoby, alebo dôvody na uplatnenie právneho nároku.

Dotknutá osoba má právo namietať spracúvanie osobných údajov, ktoré sa jej týkajú, na účel priameho marketingu vrátane profilovania v rozsahu, v akom súvisí s priamym marketingom. Ak dotknutá osoba namieta spracúvanie osobných údajov na účel priameho marketingu, prevádzkovateľ ďalej osobné údaje na účel priameho marketingu nesmie spracúvať.

Prevádzkovateľ je povinný dotknutú osobu výslovne upozorniť na práva podľa bodov 1 a 2 tohto článku najneskôr pri prvej komunikácii s ňou, pričom informácia o tomto práve musí byť uvedená jasne a oddelene od akýchkoľvek iných informácií.

V súvislosti s používaním služieb informačnej spoločnosti môže dotknutá osoba svoje právo namietať uplatňovať automatizovanými prostriedkami s použitím technických špecifikácií.

Dotknutá osoba má právo namietať spracúvanie osobných údajov, ktoré sa jej týkajú, z dôvodov týkajúcich sa jej konkrétnej situácie, okrem prípadov, keď je spracúvanie osobných údajov nevyhnutné na plnenie úlohy z dôvodov verejného záujmu, ak sa osobné údaje spracúvajú na vedecký účel, na účel historického výskumu alebo na štatistický účel.

Článok 11: Automatizované individuálne rozhodovanie vrátane profilovania

Dotknutá osoba má právo na to, aby sa na ňu nevzťahovalo rozhodnutie, ktoré je založené výlučne na automatizovanom spracúvaní osobných údajov vrátane profilovania a ktoré má právne účinky, ktoré sa jej týkajú alebo ju obdobne významne ovplyvňujú.

Právo uvedené v bode 1 tohto článku sa neuplatňuje, ak je rozhodnutie

  • nevyhnutné na uzavretie zmluvy alebo plnenie zmluvy medzi dotknutou osobou a prevádzkovateľom,
  • vykonané na základe osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, a v ktorých sú zároveň ustanovené aj vhodné opatrenia zaručujúce ochranu práv a oprávnených záujmov dotknutej osoby, alebo
  • založené na výslovnom súhlase dotknutej osoby.

V prípadoch uvedených v bode 1 a bode 2 písm. a) a písm. c) tohto článku prevádzkovateľ vykoná vhodné opatrenia na ochranu práv a oprávnených záujmov dotknutej osoby, a to najmä práva na overenie rozhodnutia nie automatizovaným spôsobom zo strany prevádzkovateľa, práva vyjadriť svoje stanovisko a práva napadnúť rozhodnutie.

Článok 12: Povinnosti prevádzkovateľa pri uplatňovaní práv dotknutej osoby

Prevádzkovateľ prijal vhodné opatrenia a poskytuje dotknutej osobe informácie a oznámenia, ktoré sa týkajú spracúvania jej osobných údajov, v stručnej, transparentnej, zrozumiteľnej a ľahko dostupnej forme, formulované jasne, a to najmä pri informáciách určených osobitne dieťaťu. Informácie je povinný poskytnúť v listinnej podobe alebo elektronickej podobe, spravidla v rovnakej podobe, v akej bola podaná žiadosť. Ak o to požiada dotknutá osoba, informácie môže prevádzkovateľ poskytnúť aj ústne, ak dotknutá osoba preukáže svoju totožnosť iným spôsobom. Prevádzkovateľ neposkytuje súčinnosť dotknutej osobe pri uplatňovaní jej práv ak preukáže, že dotknutú osobu nie je schopný identifikovať.

Prevádzkovateľ je povinný poskytnúť dotknutej osobe informácie o opatreniach, ktoré sa prijali na základe jej žiadosti do jedného mesiaca od doručenia žiadosti. Uvedenú lehotu môže prevádzkovateľ v odôvodnených prípadoch s ohľadom na komplexnosť a počet žiadostí predĺžiť o ďalšie dva mesiace, a to aj opakovane. Prevádzkovateľ je povinný informovať o každom takom predĺžení dotknutú osobu do jedného mesiaca od doručenia žiadosti spolu s dôvodmi predĺženia lehoty. Ak dotknutá osoba podala žiadosť v elektronickej podobe, prevádzkovateľ poskytne informácie v elektronickej podobe, ak dotknutá osoba nepožiadala o poskytnutie informácie iným spôsobom.

Ak prevádzkovateľ neprijme opatrenia na základe žiadosti dotknutej osoby, je povinný do jedného mesiaca od doručenia žiadosti informovať dotknutú osobu o dôvodoch nekonania a o možnosti podať návrh na Úrad na ochranu osobných údajov SR.

Informácie, oznámenia a opatrenia sa poskytujú bezodplatne. Ak je žiadosť dotknutej osoby zjavne neopodstatnená alebo neprimeraná najmä pre jej opakujúcu sa povahu, prevádzkovateľ môže

  • požadovať primeraný poplatok zohľadňujúci administratívne náklady na poskytnutie informácií alebo primeraný poplatok zohľadňujúci administratívne náklady na oznámenie alebo primeraný poplatok zohľadňujúci administratívne náklady na uskutočnenie požadovaného opatrenia, alebo
  • odmietnuť konať na základe žiadosti.

Zjavnú neopodstatnenosť žiadosti alebo neprimeranosť žiadosti preukazuje prevádzkovateľ.

Prevádzkovateľ môže požiadať o poskytnutie dodatočných informácií potrebných na potvrdenie totožnosti dotknutej osoby, ak má oprávnené pochybnosti o totožnosti fyzickej osoby, ktorá podáva žiadosť.

Informácie, ktoré sa majú poskytnúť dotknutej osobe, možno podať v kombinácii so štandardizovanými ikonami s cieľom poskytnúť dobre viditeľný, jasný a zrozumiteľný prehľad zamýšľaného spracúvania osobných údajov. Štandardizované ikony musia byť strojovo čitateľné, ak sú použité v elektronickej podobe.