Dohľad nad ochranou osobných údajov
§ 19 zákona o ochrane osobných údajov
Dohľad nad ochranou osobných údajov
(1) Za výkon dohľadu nad ochranou osobných údajov spracúvaných podľa tohto zákona zodpovedá prevádzkovateľ.
(2) Ak prevádzkovateľ zamestnáva viac ako päť osôb, výkonom dohľadu písomne poverí zodpovednú osobu alebo viaceré zodpovedné osoby, ktoré dozerajú na dodržiavanie zákonných ustanovení pri spracúvaní osobných údajov.
(3) Odborné vyškolenie zodpovednej osoby alebo viacerých zodpovedných osôb zabezpečí prevádzkovateľ. Rozsah odborného školenia zodpovedá najmä obsahu tohto zákona a úlohám z neho vyplývajúcim, ako aj obsahu medzinárodných zmlúv o ochrane osobných údajov, 24) ktoré boli vyhlásené spôsobom ustanoveným zákonom. Úrad môže od prevádzkovateľa žiadať podanie dôkazu o vykonanom odbornom školení.
(4) Zodpovedná osoba posúdi pred začatím spracúvania osobných údajov v informačnom systéme, či ich spracúvaním nevzniká nebezpečenstvo narušenia práv a slobôd dotknutých osôb. Zistenie narušenia práv a slobôd dotknutých osôb pred začatím spracúvania alebo porušenia zákonných ustanovení v priebehu spracúvania osobných údajov zodpovedná osoba bezodkladne písomne oznámi prevádzkovateľovi; ak prevádzkovateľ po upozornení bezodkladne nevykoná nápravu, oznámi to zodpovedná osoba úradu.
(5) Prevádzkovateľ, ktorý písomne poveril výkonom dohľadu nad ochranou osobných údajov zodpovednú osobu, je povinný o tom písomne informovať úrad bez zbytočného odkladu, najneskôr do 30 dní odo dňa poverenia zodpovednej osoby doporučenou zásielkou. Prevádzkovateľ oznámi úradu tieto údaje: a) názov, sídlo alebo trvalý pobyt, právnu formu a identifikačné číslo prevádzkovateľa alebo zástupcu prevádzkovateľa,
b) titul, meno, priezvisko a dátum narodenia zodpovednej osoby,
c) pracovné zaradenie zodpovednej osoby,
d) dátum začiatku platnosti písomného poverenia zodpovednej osoby,
e) vyhlásenie prevádzkovateľa o tom, že zodpovedná osoba spĺňa podmienky ustanovené v odseku 12.
(6) Prevádzkovateľ oznámi úradu poverenie jednej zodpovednej osoby, a to aj vtedy, ak výkonom dohľadu nad ochranou osobných údajov súčasne poveril viac zodpovedných osôb. Ak prevádzkovateľ nahradí zodpovednú osobu, ktorú nahlásil úradu, inou zodpovednou osobou, postupuje podľa odseku 5.
(7) Zodpovedná osoba zabezpečuje a) potrebnú súčinnosť s úradom pri plnení úloh patriacich do jeho pôsobnosti; na požiadanie je zodpovedná osoba povinná úradu kedykoľvek predložiť svoje písomné poverenie, písomné oznámenia vystavené pre prevádzkovateľa podľa odseku 4, preukázať rozsah získaných vedomostí odborným školením,
b) povinnosti podľa odseku 4,
c) dohľad nad plnením základných povinností prevádzkovateľa podľa § 6,
d) poučenie oprávnených osôb podľa § 17,
e) vybavovanie žiadostí dotknutých osôb podľa § 20 až 22,
f) realizáciu technických, organizačných a personálnych opatrení a dohliada na ich aplikáciu v praxi; ak je prevádzkovateľ povinný vypracovať bezpečnostný projekt v súlade s § 16 alebo dokumentáciu podľa § 15 ods. 2 písm. b), zabezpečuje ich vypracovanie,
g) dohľad pri výbere sprostredkovateľa podľa § 5 ods. 3 a 4, prípravu písomnej zmluvy alebo písomného poverenia pre sprostredkovateľa v súlade s § 5 ods. 2 a zodpovedá za jeho obsah; počas trvania zmluvného vzťahu alebo poverenia preveruje dodržiavanie dohodnutých podmienok,
h) dohľad nad cezhraničným tokom osobných údajov,
i) prihlásenie informačných systémov na osobitnú registráciu a oznamovanie zmien a odhlásenie informačných systémov z osobitnej registrácie; o informačných systémoch, ktoré nepodliehajú registrácii, vedie evidenciu v rozsahu ustanovenom týmto zákonom podľa § 29 a 30 a zabezpečuje jej sprístupnenie komukoľvek, kto o to požiada v súlade s § 32.
(8) Prevádzkovateľ, ktorý zamestnáva menej ako šesť osôb, môže výkonom dohľadu nad ochranou osobných údajov písomne poveriť zodpovednú osobu, ktorá dozerá na dodržiavanie zákonných ustanovení pri spracúvaní osobných údajov.
(9) Prevádzkovateľ, ktorý zamestnáva menej ako šesť osôb a výkonom dohľadu nad ochranou osobných údajov písomne nepoveril zodpovednú osobu, je povinný prihlásiť na registráciu tie informačné systémy, ktoré podľa tohto zákona podliehajú registrácii podľa § 25.
(10) Prevádzkovateľ je povinný umožniť zodpovednej osobe nezávislý výkon dohľadu nad ochranou osobných údajov a prijať jej oprávnené návrhy; upozornenie na nedostatky alebo vyslovenie požiadavky zodpovednou osobou v súvislosti s plnením jej povinností podľa odseku 7 sa nesmie stať podnetom ani dôvodom na konanie zo strany prevádzkovateľa, ktoré by zodpovednej osobe spôsobilo ujmu.
(11) Úrad je oprávnený uložiť prevádzkovateľovi povinnosť písomne poveriť dohľadom nad ochranou osobných údajov inú zodpovednú osobu, ak sa preukáže, že písomne poverená zodpovedná osoba neplnila alebo nedostatočne plnila povinnosti podľa odseku 7, alebo práva a povinnosti uložené prevádzkovateľovi týmto zákonom nesprávne posudzovala alebo ich nesprávne uplatňovala v praxi, alebo nespĺňa podmienky ustanovené v odseku 12. Prevádzkovateľ je povinný bez zbytočného odkladu úradu vyhovieť a dohľadom písomne poveriť inú zodpovednú osobu; ak tomu bránia dôvody hodné osobitného zreteľa, ktoré vie prevádzkovateľ úradu hodnoverne preukázať, úrad určí prevádzkovateľovi lehotu, dokedy je povinný vymeniť zodpovednú osobu, prípadne prihlásiť informačné systémy na registráciu.
(12) Zodpovednou osobou môže byť len fyzická osoba, ktorá má spôsobilosť na právne úkony v plnom rozsahu a spĺňa podmienku bezúhonnosti podľa § 35 ods. 4 prvej vety; bezúhonnosť sa preukazuje doložením výpisu z registra trestov nie starším ako tri mesiace, ktorý je prevádzkovateľ povinný uchovávať počas doby výkonu funkcie zodpovednej osoby. Zodpovednou osobou nemôže byť fyzická osoba, ktorá je štatutárnym orgánom prevádzkovateľa a fyzická osoba, ktorá je oprávnená konať v mene štatutárneho orgánu prevádzkovateľa. Zodpovedná osoba má postavenie oprávnenej osoby prevádzkovateľa.
