§ 90 Začatie kontroly
(1) Kontrolu spracúvania osobných údajov, kontrolu dodržiavania kódexu správania schváleného úradom podľa § 85, kontrolu súladu spracúvania osobných údajov s vydaným certifikátom podľa § 86 a kontrolu dodržiavania vydaného osvedčenia o udelení akreditácie podľa § 87 a § 88 (ďalej len „kontrola“) vykonáva úrad prostredníctvom kontrolného orgánu zloženého zo zamestnancov úradu (ďalej len „kontrolný orgán“).
(2) Každý člen kontrolného orgánu vykonáva kontrolu na základe písomného poverenia vedúceho zamestnanca; ak je vedúci zamestnanec členom kontrolného orgánu, členovia kontrolného orgánu vykonávajú kontrolu na základe písomného poverenia predsedu úradu.
(3) Člen kontrolného orgánu musí byť zamestnanec úradu, ktorý je bezúhonný, má príslušné odborné vzdelanie a prax v oblasti patriacej do dozornej činnosti úradu.
(4) Písomné poverenie na vykonanie kontroly obsahuje
a) identifikačné údaje úradu,
b) identifikačné údaje kontrolovanej osoby,
c) titul, meno a priezvisko člena kontrolného orgánu, ktorý má kontrolu vykonať,
d) odtlačok úradnej pečiatky a podpis.
(5) Vzor poverenia na vykonanie kontroly zverejní úrad na svojom webovom sídle.
(6) Kontrola je začatá dňom doručenia oznámenia o kontrole prevádzkovateľovi alebo sprostredkovateľovi, zástupcovi prevádzkovateľa alebo zástupcovi sprostredkovateľa, ak bol poverený, alebo monitorujúcemu subjektu podľa § 87, alebo certifikačnému subjektu podľa § 88 (ďalej len „kontrolovaná osoba“).
(7) Kontrolný orgán vykoná kontrolu na základe plánu kontrol alebo na základe podozrenia z porušenia povinností pri spracúvaní osobných údajov ustanovených týmto zákonom alebo osobitným predpisom2) alebo v rámci konania o ochrane osobných údajov.
(8) Pri výkone kontroly je kontrolný orgán povinný postupovať tak, aby neboli dotknuté práva a právom chránené záujmy kontrolovanej osoby.
§ 91 Zaujatosť kontrolného orgánu
(1) Člen kontrolného orgánu, ktorý sa dozvedel o skutočnostiach zakladajúcich pochybnosti o jeho nezaujatosti alebo pochybnosti o nezaujatosti iného člena kontrolného orgánu, je povinný tieto skutočnosti bez zbytočného odkladu písomne oznámiť tomu, kto ho poveril podľa § 90 ods. 2.
(2) Ak má kontrolovaná osoba pochybnosti o nezaujatosti kontrolného orgánu alebo jeho člena so zreteľom na jeho vzťah k predmetu kontroly alebo ku kontrolovanej osobe, je oprávnená podať písomné námietky s uvedením dôvodu najneskôr do 15 dní odo dňa, keď sa o tejto skutočnosti dozvedela. Podanie námietok nemá odkladný účinok; kontrolný orgán je podľa prvej vety oprávnený vykonať pri kontrole len také úkony, ktoré neznesú odklad.
(3) O námietkach zaujatosti kontrolovanej osoby a o oznámení zaujatosti člena kontrolného orgánu rozhodne ten, kto kontrolný orgán poveril podľa § 90 ods. 2 v lehote desiatich pracovných dní od ich uplatnenia a písomné vyhodnotenie rozhodnutia doručí tomu, kto námietku uplatnil. Proti rozhodnutiu o námietkach zaujatosti a proti rozhodnutiu o oznámení zaujatosti člena kontrolného orgánu nemožno podať rozklad.
§ 92 Povinnosti kontrolného orgánu
Kontrolný orgán je povinný
a) vopred písomne oznámiť kontrolovanej osobe predmet kontroly; ak by oznámenie o kontrole pred začatím výkonu kontroly mohlo viesť k zmareniu účelu kontroly alebo podstatnému sťaženiu výkonu kontroly, môže predmet kontroly oznámiť bezprostredne pred výkonom kontroly,
b) písomne oznámiť dátum a čas výkonu kontroly v lehote najmenej desiatich dní pred vykonaním kontroly; ak by oznámenie o začatí výkonu kontroly mohlo viesť k zmareniu účelu kontroly alebo podstatnému sťaženiu výkonu kontroly, môže začatie výkonu kontroly oznámiť bezprostredne pred výkonom kontroly,
c) pred začatím výkonu kontroly a kedykoľvek na požiadanie kontrolovanej osoby, sa preukázať poverením na vykonanie kontroly a služobným preukazom,
d) vypracovať zápisnicu o priebehu výkonu kontroly,
e) vypracovať protokol o kontrole, v ktorom sú uvedené kontrolné zistenia (ďalej len „protokol“), alebo záznam o kontrole,
f) uviesť vyjadrenia kontrolovanej osoby podľa § 95 písm. a) v protokole alebo zázname o kontrole,
g) vypracovať zápisnicu o podaní vysvetlenia podľa § 93 písm. j) a § 94 písm. e),
h) odovzdať kontrolovanej osobe jedno vyhotovenie zápisnice o priebehu výkonu kontroly, zápisnice o podaní vysvetlenia, protokolu alebo záznamu o kontrole,
i) písomne potvrdiť kontrolovanej osobe prevzatie originálu dokladov alebo kópií dokladov, písomných dokumentov, kópií pamäťových médií a iných materiálov a dôkazov a zabezpečiť ich riadnu ochranu pred ich stratou, zničením, poškodením alebo ich zneužitím,
j) posúdiť opodstatnenosť námietok ku kontrolným zisteniam uvedeným v protokole a zohľadniť opodstatnenosť námietok v dodatku k protokolu a oboznámiť s ním kontrolovanú osobu,
k) prerokovať protokol s kontrolovanou osobou a vyhotoviť zápisnicu o jeho prerokovaní.
§ 93 Oprávnenia kontrolného orgánu
Kontrolný orgán je oprávnený
a) vstupovať na pozemok a do priestorov kontrolovanej osoby, ak na to nie je potrebné povolenie podľa osobitného predpisu,33)
b) mať prístup k prostriedkom a zariadeniam, ktoré môžu slúžiť alebo slúžia, alebo mali slúžiť na spracúvanie osobných údajov kontrolovanou osobou,
c) mať prístup k údajom v automatizovaných prostriedkoch spracúvania do úrovne správcu systému vrátane v rozsahu potrebnom na vykonanie kontroly,
d) overovať totožnosť fyzických osôb, ktoré v mene kontrolovanej osoby konajú alebo poskytujú kontrolnému orgánu súčinnosť,
e) vyžadovať od kontrolovanej osoby, aby kontrolnému orgánu v určenej lehote poskytla originál dokladov alebo kópiu dokladov, iných písomností, vyjadrenia a informácie, osobné údaje spracúvané na pamäťových médiách vrátane technických nosičov osobných údajov, výpisy a zdrojové kódy programov, ak ich vlastní alebo má k dispozícii v súlade s podmienkami ich nadobudnutia, a ďalšie materiály alebo podklady potrebné na výkon kontroly a v odôvodnených prípadoch mu umožnila odoberať originály alebo kópie aj mimo priestorov kontrolovanej osoby,
f) požadovať v primeranej lehote od kontrolovanej osoby úplné a pravdivé ústne a písomné informácie, vyjadrenia a vysvetlenia ku kontrolovaným skutočnostiam a s kontrolou súvisiacim skutočnostiam,
g) zdokumentovať dôkazy súvisiace s výkonom kontroly vyhotovovaním fotodokumentácie, audiozáznamu, videozáznamu alebo audiovizuálneho záznamu, a to aj bez súhlasu dotknutej osoby,
h) vyžadovať aj inú súčinnosť kontrolovanej osoby v rozsahu predmetu kontroly,
i) vyžadovať poskytnutie súčinnosti na mieste výkonu kontroly aj od inej než kontrolovanej osoby, najmä od sprostredkovateľa kontrolovanej osoby a jeho zamestnancov, alebo iných osôb, ak je dôvod predpokladať, že ich činnosť má vzťah k predmetu kontroly alebo ak je to potrebné na objasnenie skutočností súvisiacich s predmetom kontroly,
j) predvolať v určenom čase a na určené miesto kontrolovanú osobu a aj inú než kontrolovanú osobu s cieľom podať vysvetlenie k predmetu kontroly,
k) vykonávať spoločné operácie spolu s dozornými orgánmi iných členských štátov podľa osobitného predpisu.44)
§ 94 Povinnosti kontrolovanej osoby
Kontrolovaná osoba je povinná
a) strpieť výkon kontroly a vytvoriť kontrolnému orgánu primerané podmienky na výkon kontroly a spracovanie kontrolných zistení,
b) poskytnúť kontrolnému orgánu súčinnosť nevyhnutnú na riadny výkon kontroly, najmä pri dokumentovaní primeranej úrovne bezpečnosti s ohľadom na riziká, ktoré predstavuje spracúvanie osobných údajov v podmienkach prevádzkovateľa a sprostredkovateľa,
c) v čase výkonu kontroly zabezpečiť kontrolnému orgánu dostupný a bezpečný prístup k zariadeniam, prostriedkom a k informačným systémom,
d) poskytnúť kontrolnému orgánu požadovanú súčinnosť v súlade s jeho oprávneniami podľa § 93 a zdržať sa konania, ktoré by mohlo mariť výkon kontroly,
e) dostaviť sa na predvolanie kontrolného orgánu s cieľom podať vysvetlenia k predmetu kontroly,
f) v určenej lehote poskytnúť kontrolnému orgánu originál alebo kópiu dokladov, iných písomností, vyjadrenia a informácie, osobné údaje spracúvané na pamäťových médiách vrátane technických nosičov osobných údajov, výpisy a zdrojové kódy programov, ak ich vlastní alebo má k dispozícii, a ďalšie materiály alebo podklady potrebné na výkon kontroly a v odôvodnených prípadoch umožniť odoberať originály alebo kópie aj mimo priestorov kontrolovanej osoby,
g) poskytnúť kontrolnému orgánu úplné a pravdivé ústne a písomné informácie, vyjadrenia a vysvetlenia ku kontrolovaným a s kontrolou súvisiacim skutočnostiam,
h) na požiadanie kontrolného orgánu sa dostaviť na prerokovanie protokolu.
§ 95 Oprávnenia kontrolovanej osoby
Kontrolovaná osoba je oprávnená
a) priebežne sa vyjadrovať ku skutočnostiam zisteným v priebehu kontroly,
b) oboznámiť sa s obsahom protokolu a podať písomné námietky po oboznámení sa s kontrolnými zisteniami v protokole,
c) vyžadovať od kontrolného orgánu preukázanie skutočností podľa § 92 písm. b) a c),
d) vyžadovať od prizvanej osoby preukázanie sa písomným poverením predsedu úradu podľa § 96 ods. 2,
e) vyžadovať od kontrolného orgánu potvrdenie o odobratí originálu dokladov alebo kópie dokladov podľa § 93 písm. e).
§ 96 Prizvaná osoba
(1) Kontrolný orgán môže prizvať na vykonanie kontroly inú fyzickú osobu alebo zástupcu dozorného orgánu z iného členského štátu (ďalej spolu len „prizvaná osoba“), ak je to odôvodnené osobitnou povahou kontroly. Účasť prizvanej osoby pri výkone kontroly sa považuje za iný úkon vo všeobecnom záujme.
(2) Prizvaná osoba sa zúčastňuje kontroly na základe písomného poverenia predsedu úradu; o prizvaní kontrolný orgán upovedomí kontrolovanú osobu podľa § 92 písm. a).
(3) Prizvaná osoba najneskôr pri začatí výkonu kontroly preukazuje svoje oprávnenie na vykonanie kontroly kontrolovanej osobe písomným poverením na vykonanie kontroly podľa § 90 ods. 2 a § 92 písm. c).
(4) Prizvaná osoba je povinná zachovávať mlčanlivosť o skutočnostiach, o ktorých sa dozvedela počas výkonu kontroly, a to aj po jej ukončení. Povinnosti mlčanlivosti môže prizvanú osobu zbaviť predseda úradu. Zástupca dozorného orgánu z iného členského štátu, ako prizvaná osoba, nie je viazaný povinnosťou mlčanlivosti vo vzťahu k vysielajúcemu dozornému orgánu iného členského štátu v rozsahu nevyhnutnom na plnenie úloh spojených s jeho účasťou na kontrole.
(5) Prizvaná osoba nemôže vykonávať úlohy podľa tohto zákona alebo osobitného predpisu,2) ak so zreteľom na jej vzťah k predmetu kontroly alebo ku kontrolovanej osobe možno mať pochybnosti o jej nezaujatosti. Prizvaná osoba, ktorá vie o skutočnostiach zakladajúcich pochybnosti o jej nezaujatosti, oznámi tieto skutočnosti bez zbytočného odkladu predsedovi úradu.
(6) Kontrolovaná osoba môže písomne vzniesť odôvodnené námietky o zaujatosti prizvanej osoby. Prizvaná osoba môže do rozhodnutia o námietkach zaujatosti vykonať v rámci kontroly len také úkony, ktoré neznesú odklad.
(7) O oznámení zaujatosti prizvanou osobou podľa odseku 5 a o námietkach zaujatosti kontrolovanej osoby podľa odseku 6 rozhodne predseda úradu v lehote do desiatich pracovných dní od ich doručenia. Proti rozhodnutiu predsedu úradu nemožno podať rozklad.
§ 97 Ukončenie kontroly
(1) Výsledkom kontroly je protokol alebo záznam o kontrole.
(2) Ak boli kontrolou zistené nedostatky pri spracúvaní osobných údajov, kontrolný orgán vypracuje protokol, ktorý obsahuje
a) identifikačné údaje úradu,
b) identifikačné údaje kontrolovanej osoby,
c) dátum začatia kontroly,
d) predmet kontroly,
e) preukázané kontrolné zistenia s ich odôvodnením,
f) titul, meno a priezvisko člena kontrolného orgánu, ktorý kontrolu vykonal,
g) dátum vypracovania protokolu,
h) odtlačok úradnej pečiatky úradu a podpisy členov kontrolného orgánu.
(3) Ak protokol podľa odseku 2 obsahuje prílohy preukazujúce kontrolné zistenia, tieto tvoria súčasť protokolu.
(4) Kontrolovaná osoba je po oboznámení sa s kontrolnými zisteniami v protokole oprávnená podať písomné námietky v lehote 21 dní odo dňa doručenia protokolu. Na neskôr podané námietky kontrolný orgán neprihliada.
(5) Ak sú proti kontrolným zisteniam podané námietky podľa odseku 4 alebo vyšli najavo nové skutočnosti, týkajúce sa predmetu kontroly, kontrolný orgán posúdi ich obsah z hľadiska ich opodstatnenosti a vypracuje o nich dodatok, ktorý je neoddeliteľnou súčasťou protokolu. Ak kontrolný orgán neakceptuje námietky kontrolovanej osoby, je povinný to v dodatku zdôvodniť; pri jeho vypracovaní sa postupuje primerane podľa odseku 2.
(6) Kontrolný orgán písomne informuje kontrolovanú osobu o výsledku preskúmania námietok v lehote 15 pracovných dní odo dňa doručenia námietok.
(7) Kontrolný orgán písomne vyzve kontrolovanú osobu na prerokovanie protokolu po doručení výsledku preskúmania námietok kontrolovanej osobe podľa odseku 6 alebo po márnom uplynutí lehoty na podanie námietok kontrolovanou osobou podľa odseku 4; kontrolný orgán vypracuje zápisnicu o prerokovaní protokolu, ktorá je súčasťou protokolu.
(8) Ak sa kontrolou nezistí porušenie povinností ustanovených týmto zákonom alebo osobitným predpisom,2) kontrolný orgán vypracuje záznam o kontrole. Pri jeho vypracovaní sa postupuje primerane podľa odsekov 2 a 3.
(9) Kontrola je ukončená
a) dňom podpísania zápisnice o prerokovaní protokolu,
b) dňom odmietnutia podpísať zápisnicu o prerokovaní protokolu, o čom kontrolný orgán vyhotoví v zápisnici o prerokovaní protokolu záznam,
c) dňom nedostavenia sa na prerokovanie protokolu na písomnú výzvu kontrolného orgánu podľa odseku 7, o čom kontrolný orgán vyhotoví v zápisnici o prerokovaní protokolu záznam, alebo
d) dňom doručenia záznamu o kontrole podľa odseku 8.
§ 98
Na výkon kontroly sa nevzťahuje osobitný predpis.45)
ŠTVRTÁ HLAVA - KONANIE O OCHRANE OSOBNÝCH ÚDAJOV
§ 99 Konanie o ochrane osobných údajov
(1) Účelom konania o ochrane osobných údajov (ďalej len „konanie“) je zistiť, či došlo k porušeniu práv fyzických osôb pri spracúvaní ich osobných údajov alebo došlo k porušeniu tohto zákona alebo osobitného predpisu2) v oblasti ochrany osobných údajov, a v prípade zistenia nedostatkov, ak je to dôvodné a účelné, uložiť opatrenia na nápravu, prípadne pokutu za porušenie tohto zákona alebo osobitného predpisu2) pre oblasť ochrany osobných údajov.
(2) Konanie je neverejné.
(3) Účastníkom konania môže byť
a) dotknutá osoba, ktorá podala návrh na začatie konania podľa § 100,
b) prevádzkovateľ,
c) sprostredkovateľ,
d) certifikačný subjekt,
e) monitorujúci subjekt.
(4) Ak sa návrh dotknutej osoby podľa § 100 týka prevádzkovateľa alebo sprostredkovateľa, pri ktorom je príslušný dozorný orgán hlavnej prevádzkarne alebo jedinej prevádzkarne prevádzkovateľa alebo sprostredkovateľa pre cezhraničné spracúvanie vykonávané zo strany prevádzkovateľa alebo sprostredkovateľa podľa osobitného predpisu (ďalej len „vedúci dozorný orgán“),46) úrad postupuje podľa osobitného predpisu.47)
(5) Úrad informuje dotknutú osobu o rozhodnutí vedúceho dozorného orgánu. Ak vedúci dozorný orgán návrh odmietne alebo mu nevyhovie, alebo rozhodne, že sa ním nebude zaoberať podľa osobitného predpisu,47) úrad začne konanie podľa § 100.
(6) Ak sa spracúvanie osobných údajov podľa odseku 4 týka prevádzkovateľa alebo sprostredkovateľa, ktorý spracúva osobné údaje na právnom základe podľa § 13 ods. 1 písm. c) alebo písm. e), za vecne príslušný sa považuje úrad a postup podľa odseku 4 sa neuplatní.
§ 100 Začatie konania
(1) Konanie sa začína na návrh dotknutej osoby alebo osoby, ktorá tvrdí, že je priamo dotknutá na svojich právach ustanovených týmto zákonom (ďalej len „navrhovateľ“), alebo bez návrhu.
(2) Úrad začne konanie bez návrhu aj na základe zistenia úradu pri výkone dozoru nad dodržiavaním povinností ustanovených týmto zákonom alebo osobitným predpisom.2)
(3) Návrh na začatie konania podľa odseku 1 (ďalej len „návrh“) musí obsahovať
a) meno, priezvisko, korešpondenčnú adresu a podpis navrhovateľa,
b) označenie toho, proti komu návrh smeruje s uvedením mena, priezviska, trvalého pobytu alebo názvu, sídla a identifikačného čísla, ak bolo pridelené,
c) predmet návrhu s označením práv, ktoré mali byť pri spracúvaní osobných údajov porušené,
d) dôkazy na podporu tvrdení uvedených v návrhu,
e) kópiu listiny alebo iný dôkaz preukazujúci uplatnenie práva podľa druhej časti druhej hlavy tohto zákona alebo osobitného predpisu,2) ak si takéto právo dotknutá osoba uplatnila, alebo uvedenie dôvodov hodných osobitného zreteľa o neuplatnení predmetného práva, ak návrh podala dotknutá osoba.
(4) Úrad uverejní vzor návrhu na svojom webovom sídle.
(5) Úrad návrh odloží, ak
a) návrh je zjavne neopodstatnený,
b) vec, ktorej sa návrh týka, prejednáva súd alebo orgán činný v trestnom konaní,
c) navrhovateľ neposkytol úradu na jeho žiadosť potrebnú súčinnosť, pričom bez jeho aktívnej účasti nemožno vec vybaviť; úrad navrhovateľa o možnosti odloženia návrhu upovedomí,
d) od udalosti, ktorej sa návrh týka, uplynuli v deň jeho doručenia viac ako tri roky.
(6) Ak návrh neobsahuje požiadavku na utajenie totožnosti navrhovateľa, úrad vybaví návrh bez utajenia osobných údajov uvedených v návrhu. Ak je v návrhu požiadavka na utajenie totožnosti, ale charakter návrhu neumožňuje jej vybavenie bez uvedenia niektorého údaja o osobe, ktorá návrh podala, úrad po zistení tejto skutočnosti o tom navrhovateľa upovedomí, pričom ho zároveň upozorní, že v návrhu bude pokračovať, len ak navrhovateľ v určenej lehote udelí úradu súhlas s uvedením údaja alebo údajov o svojej osobe potrebných na vybavenie návrhu.
(7) Ak návrh doručí úradu iná osoba ako dotknutá osoba, návrh sa považuje za podnet na začatie konania bez návrhu (ďalej len „podnet“).
(8) Úrad posúdi podnet do 30 dní odo dňa doručenia podnetu úradu, a ak podnet neodloží podľa odseku 5, začne konanie a vo veci rozhodne podľa § 102.
(9) O spôsobe vybavenia podnetu podľa odseku 8 úrad informuje podávateľa do 30 dní odo dňa doručenia podnetu úradu.
§ 101 Lehoty
(1) Úrad rozhodne v konaní do 90 dní odo dňa začatia konania. V odôvodnených prípadoch úrad túto lehotu primerane predĺži, najviac však o 180 dní. O predĺžení lehoty úrad písomne informuje účastníkov konania.
(2) Ak je počas konania potrebné vykonať kontrolu, lehota na vydanie rozhodnutia podľa odseku 1 neplynie odo dňa začatia kontroly do dňa ukončenia kontroly.
(3) Ak počas konania úrad zistí splnenie podmienok na prerušenie konania podľa osobitného predpisu,48) úrad konanie preruší, o čom informuje účastníkov konania.
§ 102 Rozhodnutie
(1) Ak úrad zistí porušenie práv dotknutej osoby alebo nesplnenie povinností pri spracúvaní osobných údajov ustanovených týmto zákonom alebo osobitným predpisom2) pre oblasť ochrany osobných údajov účastníkom konania, rozhodnutím môže
a) uložiť opatrenia na nápravu a lehotu na vykonanie nariadeného opatrenia podľa odseku 3, ak je to dôvodné a účelné,
b) zrušiť záväznosť schváleného kódexu správania pre prevádzkovateľa alebo sprostredkovateľa, ktorý sa zaviazal dodržiavať schválený kódex správania,
c) odňať certifikát,
d) nariadiť certifikačnému subjektu odňatie certifikátu,
e) odňať osvedčenie o udelení akreditácie,
f) uložiť pokutu podľa § 104.
(2) Ak úrad v konaní nerozhodne podľa odseku 1, ak sa v konaní nepreukáže porušenie práv dotknutej osoby alebo ak sa nepreukáže nesplnenie povinností pri spracúvaní osobných údajov ustanovených týmto zákonom alebo osobitným predpisom2) účastníkom konania, úrad konanie zastaví.
(3) Úrad je oprávnený uložiť povinnosť prevádzkovateľovi alebo sprostredkovateľovi, najmä nariadiť
a) odstránenie zistených nedostatkov a príčin ich vzniku v úradom určenej lehote,
b) prijatie technických a organizačných opatrení s cieľom zaistiť úroveň bezpečnosti primeranú rizikám pre práva fyzických osôb,
c) posúdenie vplyvu spracovateľských operácií na ochranu osobných údajov v súlade s týmto zákonom alebo osobitným predpisom.2)
(4) Ak porušenie práv dotknutej osoby alebo nesplnenie povinností pri spracúvaní osobných údajov neznesie odklad, úrad vydá predbežné opatrenie.
(5) Prevádzkovateľ alebo sprostredkovateľ je povinný písomne informovať úrad o splnení uložených opatrení v úradom určenej lehote.
§ 103
(1) Proti rozhodnutiu podľa § 102 možno podať rozklad, o ktorom rozhodne predseda úradu.
(2) Podávateľ rozkladu môže rozšíriť podaný rozklad alebo doplniť podaný rozklad o ďalší návrh alebo o ďalšie body len v lehote určenej na podanie rozkladu.
PIATA HLAVA - SPRÁVNE DELIKTY
§ 104
(1) Úrad môže uložiť pokutu do 10 000 000 eur, alebo ak ide o podnik do 2 % celkového svetového ročného obratu za predchádzajúci účtovný rok, podľa toho, ktorá suma je vyššia,
a) prevádzkovateľovi, vrátane orgánu verejnej moci a verejnoprávnym inštitúciám, za neplnenie alebo porušenie niektorej z povinností podľa § 15, § 18, § 31 až 35, § 37, § 39 až 45, § 79 a § 109 alebo podľa čl. 8, čl. 11, čl. 25 až 39, čl. 42 a čl. 43 nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (Ú. v. EÚ L 119, 4. 5. 2016) (ďalej len „nariadenie (EÚ) 2016/679“),
b) príslušnému orgánu za neplnenie alebo porušenie niektorej z povinností podľa § 67 až 72,
c) sprostredkovateľovi vrátane orgánu verejnej moci a verejnoprávnej inštitúcii v postavení sprostredkovateľa, za neplnenie alebo porušenie niektorej z povinností podľa § 34 až 37, § 39, § 40 ods. 3, § 44, § 45, § 69 ods. 3, § 71, § 79 a § 109 alebo podľa čl. 27 až 33, čl. 37 až 39, čl. 42 a čl. 43 nariadenia (EÚ) 2016/679,
d) certifikačnému subjektu za neplnenie alebo porušenie niektorej z povinností podľa § 88 a 89 alebo podľa čl. 42 a 43 nariadenia (EÚ) 2016/679,
e) monitorujúcemu subjektu za neplnenie alebo porušenie niektorej z povinností podľa § 87 ods. 5 a 19 alebo podľa čl. 41 ods. 4 nariadenia (EÚ) 2016/679.
(2) Úrad môže uložiť pokutu do 20 000 000 eur, alebo ak ide o podnik do 4 % celkového svetového ročného obratu za predchádzajúci účtovný rok, podľa toho, ktorá suma je vyššia, tomu, kto
a) nesplnil alebo porušil niektorú zo základných zásad spracúvania osobných údajov vrátane podmienok súhlasu podľa § 6 až 14, § 16 a § 52 až 58 alebo podľa čl. 5 až 7 a čl. 9 nariadenia (EÚ) 2016/679,
b) nesplnil alebo porušil niektoré z práv dotknutej osoby podľa § 19 až 29 a § 59 až 66 alebo podľa čl. 12 až 22 nariadenia (EÚ) 2016/679,
c) nesplnil alebo porušil niektorú z povinností pri prenose osobných údajov príjemcovi v tretej krajine alebo medzinárodnej organizácii podľa § 49 až 51 a § 73 až 77 alebo podľa čl. 44 až 49 nariadenia (EÚ) 2016/679,
d) nesplnil alebo porušil niektorú z povinností zákonného spracúvania osobných údajov podľa § 78,
e) nesplnil príkaz alebo nedodržal dočasné alebo trvalé obmedzenie spracúvania osobných údajov alebo pozastavenie prenosu osobných údajov nariadeného úradom podľa § 81 ods. 3 alebo podľa čl. 58 ods. 2 nariadenia (EÚ) 2016/679 alebo v rozpore s čl. 58 ods. 1 nariadenia (EÚ) 2016/679 neposkytol prístup.
(3) Tomu, kto nesplnil úradom uložené opatrenie podľa § 102 ods. 1 písm. a) alebo čl. 58 ods. 2 nariadenia (EÚ) 2016/679, môže úrad uložiť pokutu do 20 000 000 eur, alebo ak ide o podnik do 4 % celkového svetového ročného obratu za predchádzajúci účtovný rok, podľa toho, ktorá suma je vyššia.
§ 105
(1) Úrad môže uložiť poriadkovú pokutu do 2 000 eur osobe, ktorá nie je prevádzkovateľom alebo sprostredkovateľom, za neposkytnutie požadovanej súčinnosti úradu pri výkone dozoru podľa§ 109 alebo osobitného predpisu.2)
(2) Úrad môže uložiť poriadkovú pokutu prevádzkovateľovi alebo sprostredkovateľovi, prípadne zástupcovi prevádzkovateľa alebo sprostredkovateľa
a) do 2 000 eur, ak nezabezpečí primerané podmienky na výkon kontroly podľa § 94 písm. a),
b) do 10 000 eur, ak marí výkon kontroly podľa § 94 písm. b) až h).
§ 106
(1) Úrad ukladá pokuty a poriadkové pokuty v závislosti od okolností každého jednotlivého prípadu. Pri rozhodovaní o uložení pokuty a určení jej výšky podľa § 104 úrad zohľadní najmä
a) povahu, závažnosť a trvanie porušenia, povahu, rozsah alebo účel spracúvania osobných údajov, ako aj počet dotknutých osôb, na ktoré malo vplyv, a rozsah škody, ak vznikla,
b) prípadné zavinenie porušenia ochrany osobných údajov
c) opatrenia, ktoré prevádzkovateľ alebo sprostredkovateľ prijal na zmiernenie škody, ktorú dotknuté osoby utrpeli,
d) mieru zodpovednosti prevádzkovateľa alebo sprostredkovateľa so zreteľom na technické a organizačné opatrenia, ktoré prijal podľa § 32, § 39 a § 42,
e) predchádzajúce porušenia ochrany osobných údajov zo strany prevádzkovateľa alebo sprostredkovateľa,
f) mieru spolupráce s úradom pri náprave porušenia ochrany osobných údajov a zmiernení možných nepriaznivých dôsledkov porušenia ochrany osobných údajov,
g) kategóriu osobných údajov, ktorých sa porušenie ochrany osobných údajov týka,
h) spôsob, akým sa úrad o porušení ochrany osobných údajov dozvedel, a najmä to, či prevádzkovateľ alebo sprostredkovateľ porušenie ochrany osobných údajov oznámili, a ak áno, v akom rozsahu,
i) splnenie opatrení prevádzkovateľom alebo sprostredkovateľom, ak boli skoršie v konaní o ochrane osobných údajov uložené také opatrenia podľa § 102 ods. 1,
j) dodržiavanie schválených kódexov správania podľa § 85 alebo vydaných certifikátov podľa § 86,
k) priťažujúce okolnosti alebo poľahčujúce okolnosti, najmä finančné výhody alebo straty, ktorým sa zabránilo, priamo alebo nepriamo v súvislosti s porušením ochrany osobných údajov.
(2) Ak prevádzkovateľ alebo sprostredkovateľ úmyselne alebo z nedbanlivosti tými istými spracovateľskými operáciami alebo súvisiacimi spracovateľskými operáciami poruší viacero ustanovení tohto zákona alebo osobitného predpisu,2) celková suma pokuty nesmie presiahnuť výšku ustanovenú za najzávažnejšie porušenie ochrany osobných údajov podľa § 104.
(3) Pokutu podľa § 104 možno uložiť do dvoch rokov odo dňa, keď úrad porušenie povinnosti zistil, najneskôr však do piatich rokov odo dňa, keď k porušeniu povinnosti došlo.
(4) Poriadkovú pokutu podľa § 105 úrad uloží opakovane, ak povinnosť nebola splnená v určenej lehote.
(5) Poriadkovú pokutu podľa § 105 možno uložiť do 6 mesiacov odo dňa, keď k porušeniu povinnosti došlo.
(6) Pokuty a poriadkové pokuty sú príjmom štátneho rozpočtu.