Ochrana soukromí

IS obchodu je zaregistrován u Úřadu pro ochranu osobních údajů SR pod reg. č .: 201415923

Plně respektujeme Vaše soukromí, avšak pro vybavení objednávek potřebujeme některé osobní údaje, které budou použity výhradně pro zaslání objednaného zboží a pro komunikaci se zákazníky. Provozovatel internetového obchodu Rapier s. r. o. tímto prohlašuje, že s osobními údaji svých zákazníků, získanými registrací, nakládá ve smyslu “Zákona č. 428/2002 CFU o ochraně osobních údajů”. Z výše uvedeného zákona vyplývá povinnost neposkytnutí získaných osobních údajů externímu dopravci, za účelem doručení zásilek. Provozovatel internetového obchodu Rapier s. r. o. si vyhrazuje právo odstoupit od záruky bezpečného nakládání s osobními údaji zákazníků v případě napadení serveru neznámým pachatelem – hackerem. V takovém případě neplatí výše vedené pravidla manipulace s daty.

Zákon č. 428/2002 Sb. o ochraně osobních údajů

v znení zákona č. 602/2003 Z. z., zákona č. 576/2004 Z. z. a zákona č. 90/2005 Z. z.
ÚPLNÉ ZNENIE

Národná rada Slovenskej republiky sa uzniesla na tomto zákone:
PRVÁ ČASŤ
ZÁKLADNÉ USTANOVENIA
Predmet a pôsobnosť zákona

§ 1
(1) Tento zákon upravuje
a) ochranu osobních údajů fyzických osob při jejich zpracovávání,
b) zásady zpracování osobních údajů,
c) bezpečnost osobních údajů,
d) ochranu práv dotčených osob,
e) přeshraniční tok osobních údajů,
f) registraci a evidenci informačních systémů,
g) zřízení, postavení a působnost Úřadu pro ochranu osobních údajů České
republiky (dále jen “úřad”).
(2) Tento zákon se vztahuje na orgány státní správy, orgány územní samosprávy, jiné
veřejné orgány, jakož i na ostatní právnické osoby a fyzické osoby, které zpracovávají
osobní údaje, určují účel a prostředky zpracování nebo poskytují osobní údaje na
zpracování.
(3) Tento zákon se vztahuje i na provozovatele neusazené nebo trvalý
pobyt na území 2
a) České republiky, ale jsou umístěni v zahraničí na místě, kde se uplatňuje právní
řád České republiky přednostně na základě mezinárodního práva veřejného,
b) členského státu Evropské unie, pokud pro účely zpracování osobních údajů využívají
zcela nebo částečně automatizované nebo jiné než automatizované prostředky
zpracování umístěné na území České republiky, přičemž tyto prostředky
zpracování nejsou využívány výlučně jen pro přenos osobních údajů přes území
členských států Evropské unie; v takovém případě provozovatel postupuje dle
§ 23a odst. 3.
(4) Tento zákon se vztahuje na osobní údaje systematicky zpracovávány zcela nebo
částečně automatizovanými prostředky zpracovávací nebo jinými než automatizovanými
prostředky zpracování, které jsou součástí informačního systému nebo jsou určeny na
zpracování poštu.

§ 2
(1) Ustanovení § 5 odst. 4, § 6 odst. 1 až 4, § 10 odst. 1, 2 a 8, § 20 odst. 1, § 27 a § 32 se
nevztahují na zpracování osobních údajů nezbytných k zajištění veřejného
zájmu, pokud provozovatel plní povinnosti výslovně stanovené zvláštním zákonem určené
na zajištění
a) bezpečnosti České republiky,
b) obrany České republiky,
c) veřejného pořádku a bezpečnosti,
d) předcházení, odhalování a dokumentování trestné činnosti,
zjišťování její pachatelů, vyšetřování a stíhání,
e) významného ekonomického nebo finančního zájmu České republiky nebo
Evropské unie včetně měnových, rozpočtových a daňových záležitostí,
f) výkonu kontroly, dohledu, dozoru nebo uplatňování regulace v souvislosti s výkonem
veřejné moci ve věcech uvedených v písmenech c), d) a e), nebo
g) ochrany subjektu údajů nebo práv a svobod jiných osob.
(2) Provozovatelem registru o osobách pravomocně odsouzených soudy v trestním
řízení, jakož io osobách, proti nimž bylo prokurátory nebo soudy pravomocně
rozhodnuto o podmíněném zastavení trestního stíhání nebo o schválení smíru, může být
jen státní orgán zřízený zvláštním zákonom.1)

§ 2a
Tento zákon se nevztahuje na ochranu osobních údajů, které
a) zpracovává fyzická osoba pro vlastní potřebu v rámci výlučně osobních či domácích
činností, jako je vedení osobního adresáře nebo korespondence,
b) byly získány náhodně bez předchozího určení účelu a prostředků zpracování,
bez záměru jejich dalšího zpracování v uspořádaném systému podle zvláštních kritérií a
nejsou dále systematicky zpracovávány.
1) Například § 40 odst. 2 písm. d) zákona č. 153/2001 Sb., Zákon č. 311/1999 Sb. o rejstříku trestů, ve znění
pozdějších předpisů. 3
Vymezení některých pojmů

§ 3
osobní údaje
Osobními údaji jsou údaje týkající se určené nebo určitelné fyzické osoby,
přičemž takovou osobou je osoba, kterou lze určit přímo nebo nepřímo, zejména na základě
obecně použitelného identifikátoru nebo na základě jedné či více charakteristik
nebo znaků, které tvoří její fyzickou, fyziologickou, psychickou, mentální, ekonomickou,
kulturní nebo sociální identitu.

§ 4
(1) Pro účely tohoto zákona se dále rozumí
a) zpracováním osobních údajů provádění jakýchkoli operací nebo souboru operací s
osobními údaji, např. jejich získávání, shromažďování, zaznamenávání, uspořádávání,
přizpůsobování nebo změna, vyhledávání, prohlížení, přeskupování, kombinování,
přemísťování, využívání, uchovávání, likvidace, jejich přenos, poskytování,
zpřístupňování nebo zveřejňování,
b) poskytováním osobních údajů předávání osobních údajů na zpracování jinému
provozovateli nebo jinému zástupci provozovatele, nebo jeho
zprostředkovateli,
c) zpřístupňováním osobních údajů oznámení osobních údajů nebo umožnění přístupu
k nim jiné právnické osobě nebo fyzické osobě s výjimkou dotyčné osoby nebo
oprávněné osoby, která je nebude zpracovávat jako provozovatel, zástupce
provozovatele nebo zprostředkovatel,
d) zveřejňováním osobních údajů publikování, zveřejnění nebo vystavení osobních
údajů na veřejnosti prostřednictvím sdělovacích prostředků, veřejně
přístupných počítačových sítí, veřejným provedením nebo vystavením díla, 2)
veřejným prohlášením, uvedením ve veřejném seznamu, v registru nebo v operátu, 3) jejich
umístěním na úřední desce nebo na jiném veřejně přístupném místě,
e) likvidací osobních údajů zrušení osobních údajů rozložením, vymazáním nebo
fyzickým zničením hmotných nosičů tak, aby se z nich osobní údaje nedaly
reprodukovat,
f) blokováním osobních údajů uvedení osobních údajů do takového stavu, ve kterém jsou
nepřístupné a je zabráněno jakékoliv manipulaci s nimi,
g) informačním systémem jakýkoliv uspořádaný soubor, soustava nebo databáze obsahující
jeden nebo více osobních údajů, které jsou systematicky zpracovávány na potřeby
dosažení účelu podle zvláštních kritérií a podmínek s použitím automatizovaných,
2) § 13 zákona č. 383/1997 Sb. Autorský zákon a zákon, kterým se mění celní zákon ve znění
pozdějších předpisů.
3) Například § 27 až 34 obchodního zákoníku, § 8 a 68 zákona České národní rady
č. 162/1995 Sb. o katastru nemovitostí a o zápisu vlastnických a jiných práv k nemovitostem
(Katastrální zákon), ve znění zákona č. 255/2001 Sb., § 26 odst. 2 písm. e) zákona č. 195/2000 Sb.
o telekomunikacích. 4
částečně automatizovaných nebo jiných než automatizovaných prostředků zpracování
bez ohledu na to, zda jde o systém centralizovaný, decentralizovaný nebo distribuován na
funkčním nebo geografickém základě, například kartotéka, seznam, rejstřík, operát,
záznam nebo soustava obsahující spisy, doklady, smlouvy, potvrzení, posudky,
hodnocení, testy,
h) účelem zpracování osobních údajů předem jednoznačně vymezen nebo ustanoven
záměr zpracování osobních údajů, který se váže na určitou činnost,
i) souhlasem dotčené osoby jakýkoliv svobodně výslovný a srozumitelný projev vůle,
kterým dotyčná osoba na základě poskytnutých informací vědomě vyjadřuje souhlas se
zpracováním svých osobních údajů,
j) přeshraničním tokem osobních údajů předávání osobních údajů mimo území České
republiky subjektům se sídlem nebo s trvalým pobytem v cizině nebo jejich výměna s
těmito subjekty,
k) anonymizovaným údajům osobní údaj upraven do takové formy, ve které ho nelze
přiřadit dotčené osobě, které se týká,
l) adresou soubor údajů o pobytu fyzické osoby, do kterého patří název ulice, orientační,
popřípadě číslo popisné domu, název obce, případně název části obce, poštovní
směrovací číslo, název okresu, název státu,
m) obecně použitelným identifikátorem trvalý identifikační osobní údaj dotyčné osoby,
který zajišťuje její jednoznačnost v informačních systémech,
n) biometrickým údajům osobní údaj fyzické osoby, na jehož základě je
jednoznačně a nezaměnitelně určitelná, např. otisk prstu, otisk dlaně,
analýza deoxyribonukleové kyseliny, profil deoxyribonukleové kyseliny,
o) auditem bezpečnosti informačního systému nezávislé odborné posouzení
spolehlivosti a celkové bezpečnosti informačního systému z hlediska
zabezpečení důvěrnosti, integrity a dostupnosti zpracovávaných osobních údajů,
p) třetí zemí stát, který není členským státem Evropské unie,
r) veřejným zájmem důležitý zájem státu realizovaný při výkonu veřejné moci, který
převažuje nad oprávněným zájmem fyzické osoby nebo více fyzických
osob, přináší majetkový prospěch nebo jiný prospěch ostatním fyzickým osobám nebo
mnohým z nich a bez jeho realizace by mohly vzniknout rozsáhlé nebo nenahraditelné
škody,
s) podmínkami zpracování osobních údajů prostředky a způsob zpracování osobních
údajů, jakož i další požadavky, kritéria nebo pokyny související se zpracováním
osobních údajů nebo provedení úkonů, které slouží k dosažení účelu zpracování
ať již před zahájením zpracování osobních údajů nebo v průběhu jejich zpracování.
(2) Provozovatelem je orgán státní správy, orgán územní samosprávy, jiný orgán
veřejné moci nebo jiná právnická osoba nebo fyzická osoba, která sama nebo společně
s jinými určuje účel a prostředky zpracování osobních údajů. Pokud účel, případně
i prostředky zpracování osobních údajů stanoví zvláštní zákon, provozovatelem je
ten, koho na plnění účelu zpracování stanoví zákon nebo kdo splní zákonem stanovené
podmínky. To platí i tehdy, jestliže tak stanoví právní akt Evropských společenství
a Evropské unie. 5
(3) Zprostředkovatelem je orgán státní správy, orgán územní samosprávy, jiný orgán
veřejné moci nebo jiná právnická osoba nebo fyzická osoba, která zpracovává osobní údaje
jménem provozovatele nebo zástupce provozovatele.
(4) Oprávněnou osobou je každá fyzická osoba, která přichází do styku s osobními
údaji v rámci svého pracovního poměru štátnozamestnaneckého poměru,
služebního poměru, členského vztahu, na základě pověření, zvolení nebo jmenování
nebo v rámci výkonu veřejné funkce, která může osobní údaje zpracovávat pouze na základě
pokynu provozovatele, zástupce provozovatele nebo zprostředkovatele, jestliže tento zákon
nebo zvláštní zákon nestanoví jinak.
(5) dotčenou osobou je každá fyzická osoba, o níž se zpracovávají osobní údaje.
(6) Zástupcem provozovatele je právnická osoba nebo fyzická osoba, která na území
České republiky zastupuje provozovatele se sídlem nebo s trvalým pobytem ve třetí
zemi.
(7) Třetí stranou je orgán státní správy, orgán územní samosprávy, jiný orgán
veřejné moci nebo jiná právnická osoba nebo fyzická osoba jiná než dotyčná osoba, vlastní
provozovatel nebo zástupce provozovatele, jeho zprostředkovatel a jejich oprávněné
osoby.
(8) Příjemcem je orgán státní správy, orgán územní samosprávy, jiný orgán veřejné
moci nebo jiná právnická osoba nebo fyzická osoba, které jsou osobní údaje poskytnuté nebo
zpřístupněny; provozovatel, který je oprávněn zpracovávat osobní údaje na základě § 2 odst.
1 písm. f) a úřad při plnění úkolů stanovených tímto zákonem, se nepovažuje za příjemce.

ČÁST DRUHÁ
PRÁVA A POVINNOSTI PŘI ZPRACOVÁNÍ
SOUKROMÍ
PRVÁHLAVA
ZÁSADY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

§ 5
Provozovatel a zprostředkovatel
(1) Osobní údaje může zpracovávat pouze provozovatel a zprostředkovatel.
(2) Zprostředkovatel je oprávněn zpracovávat osobní údaje pouze v rozsahu a za
podmínek sjednaných s provozovatelem v písemné smlouvě nebo v písemném pověření.
Zprostředkovatel je oprávněn zpracovávat osobní údaje pouze v rozsahu a za podmínek
sjednaných s provozovatelem nebo se souhlasem provozovatele i se
zprostředkovatelem v písemné smlouvě nebo v písemném pověření.
(3) Provozovatel dbá při výběru zprostředkovatele zejména na záruky, pokud jde
o opatření v oblasti technické, organizační a personální bezpečnosti (§ 15 odst. 1). 6
Provozovatel nesmí svěřit zpracování osobních údajů zprostředkovateli, pokud by tím
mohly být ohroženy práva a právem chráněné zájmy dotčených osob.
(4) Pokud provozovatel pověřil zpracováním zprostředkovatele až po získání osobních
údajů, oznámí to dotyčným osobám při nejbližším kontaktu s nimi, nejpozději však do tří
měsíců od pověření zprostředkovatele. To platí i tehdy, pokud zpracování osobních údajů
převezme jiný provozovatel.
(5) Zástupce provozovatele je povinen jednat v rozsahu práv a povinností
stanovených tímto zákonem provozovateli. Ustanovení tohoto zákona, podle kterých
ukládá úřad provozovateli aby něco vykonal, něčeho se zdržel nebo něco strpěl, se
stejně vztahují i ​​na zástupce provozovatele.

§ 6
Základní povinnosti provozovatele
(1) Provozovatel je povinen
a) před zahájením zpracování osobních údajů jednoznačně a konkrétně vymezit účel
zpracování osobních údajů; účel zpracování musí být jasný a nesmí být v rozporu
s Ústavou České republiky, ústavními zákony, zákony a mezinárodními
smlouvami, kterými je Slovenská republika vázána,
b) určit prostředky a způsob zpracování osobních údajů, případně další podmínky
zpracování osobních údajů,
c) získávat osobní údaje výlučně na vymezený nebo ustanoven účel; je nepřípustné
získávat osobní údaje pod záminkou jiného účelu nebo jiné činnosti,
d) zajistit, aby se zpracovávaly pouze takové osobní údaje, které svým rozsahem a obsahem
odpovídají účelu jejich zpracování a jsou nezbytné k jeho dosažení,
e) získávat osobní údaje na rozdílné účely zvlášť a zajistit, aby osobní údaje
zpracovávali a využívali výhradně způsobem, který odpovídá účelu, pro který byly
shromážděny; je nepřípustné sdružovat osobní údaje, které byly získány na rozdílné
účely,
f) zpracovávat jen správné, úplné a podle potřeby aktualizované osobní údaje ve vztahu
k účelu zpracování; nesprávné a neúplné osobní údaje je provozovatel povinen
blokovat a bez zbytečného odkladu opravit nebo doplnit; nesprávné a neúplné osobní
údaje, které nelze opravit nebo doplnit tak, aby byly správné a úplné,
provozovatel zřetelně označí a zlikviduje, jakmile to okolnosti dovolí,
g) zajistit, aby shromážděné osobní údaje byly zpracovávány ve formě umožňující
identifikaci dotčených osob po dobu ne delší, než je nezbytné pro dosažení
účelu zpracování,
h) zlikvidovat ty osobní údaje, jejichž účel zpracování skončil; po skončení účelu
zpracování lze osobní údaje dále zpracovávat pouze za podmínek stanovených
v odstavci 3,
i) zpracovávat osobní údaje v souladu s dobrými mravy a jednat způsobem, který neodporuje
tomuto zákonu ani jiným obecně závazným právním předpisem a ani jejich neobchází; 7
souhlas dotčené osoby si nesmí provozovatel vynucovat a ani podmiňovat hrozbou
odmítnutí smluvního vztahu, služby, zboží nebo povinnosti stanovené
provozovateli nebo zprostředkovateli zákonem.
(2) Provozovatel nemá povinnost podle odstavce 1 písm. a) pouze tehdy, pokud účel
zpracování osobních údajů stanoví zvláštní zákon v souladu s podmínkami uvedenými
v odstavci 1 písm. a). Provozovatel nemá povinnost určit prostředky a způsob zpracování
osobních údajů podle odstavce 1 písm. b) pouze tehdy, pokud jejich stanoví obecně závazný
právní předpis. Ostatní povinnosti podle odstavce 1 písm. c) až h) a i) části věty před
středníkem, je provozovatel povinen dodržovat i během zpracovávání osobních údajů
na základě zvláštního zákona; tímto není dotčeno ustanovení § 7 odst. 6 první věty včetně
její části za středníkem.
(3) Další zpracování shromážděných osobních údajů na historické, vědecké
nebo statistické účely se nepovažuje za neslučitelné s původním účelem zpracování
vymezeným podle odstavce 1 písm. a) nebo stanoveným podle odstavce 2 první věty.
Po skončení původního účelu zpracování je přípustné shromážděné osobní údaje dále
zpracovávat v nezbytném rozsahu na historické, vědecké nebo statistické účely pouze pokud
provozovatel
a) zaručí, že zpracovávané osobní údaje nepoužije v rozporu s oprávněnými zájmy
dotčené osoby a svým jednáním nebude neoprávněně zasahovat do práva na ochranu
její osobnosti a soukromí,
b) takové osobní údaje náležitě označí a anonymizovány ihned jak to bude možné nebo
zlikviduje, když se stanou nepotřebnými.
(4) Provozovatel, který pověřil zpracováním osobních údajů zprostředkovatele je
povinen zajistit, aby zprostředkovatel dodržoval povinnosti stanovené v odstavci
1 písm. c) až i) a odstavce 3.
(5) V případě pochybnosti o tom, zda zpracovávané osobní údaje svým rozsahem, obsahem
a způsobem zpracovávání nebo využívání odpovídají účelu jejich zpracování, zda jsou s daným
účelem zpracování slučitelné nebo časově a věcně zastaralé ve vztahu k tomuto účelu,
rozhodne úřad. Stanovisko úřadu je závazné.

§ 7
Souhlas dotčené osoby
(1) Osobní údaje lze zpracovávat pouze se souhlasem dotyčné osoby, pokud tento zákon
nestanoví jinak. Tímto nejsou dotčena ustanovení odstavce 5 věty první, § 8 odst. 4
písm. b), § 9 odst. 1, § 9 odst. 1 písm. b) a c), § 10 odst. 6, § 23 odst. 4 písm. a) a § 23 odst. 5.
(2) Pokud provozovatel zpracovává osobní údaje na základě souhlasu dotčené osoby, je
povinen v případě pochybností prokázat úřadu kdykoli na jeho žádost, že souhlasem
disponuje. Souhlas se prokazuje zvukovým či zvukově obrazovým záznamem nebo
čestným prohlášením toho, kdo poskytl osobní údaje do informačního systému, případně
jiným hodnověrným způsobem. Písemný souhlas prokazuje provozovatel úřadu dokladem,
který potvrzuje poskytnutí souhlasu. Důkaz o souhlasu obsahuje zejména údaj o tom, kdo souhlas
poskytl, komu se tento souhlas dává, na jaký účel, seznam nebo rozsah osobních údajů,
dobu platnosti souhlasu a podmínky jeho odvolání. Souhlas daný v písemné formě je bez
vlastnoručního podpisu toho, kdo souhlas dává, neplatný. 8
(3) Souhlas podle odstavce 1 se nevyžaduje, pokud se osobní údaje zpracovávají na základě
zvláštního zákona, 4) který stanoví seznam osobních údajů, účel jejich zpracování a okruh
dotčených osob. Zpracovávané osobní údaje o dotyčné osobě lze z informačního systému
poskytnout, zpřístupnit nebo zveřejnit pouze tehdy, pokud zvláštní zákon stanoví účel
poskytování, zpřístupňování nebo zveřejňování, seznam osobních údajů, které lze
poskytnout, zpřístupnit nebo zveřejnit, jakož i třetí strany, kterým se osobní údaje poskytují,
případně okruh příjemců, kterým se osobní údaje zpřístupňují, pokud tento zákon nestanoví
jinak. Tímto není dotčeno ustanovení § 9 odst. 1 písm. a).
(4) Dále bez souhlasu uvedeného v odstavci 1 lze osobní údaje zpracovávat pouze tehdy, pokud
a) zpracování osobních údajů je nezbytné pro účely tvorby uměleckých nebo
literárních děl, pro potřeby informování veřejnosti sdělovacími
prostředky a pokud osobní údaje zpracovává provozovatel, kterému to vyplývá
z předmětu jeho činnosti; to neplatí, pokud zpracováním osobních údajů pro takový účel
provozovatel porušuje právo dotčené osoby na ochranu její osobnosti a soukromí
nebo takové zpracovávání osobních údajů bez souhlasu dotčené osoby vylučuje zvláštní
zákon nebo mezinárodní smlouva, kterou je Slovenská republika vázána,
b) zpracování osobních údajů je nezbytné pro plnění smlouvy, v níž vystupuje
dotyčná osoba jako jedna ze smluvních stran nebo na zavedení předsmluvních
vztahů nebo opatření na žádost dotyčné osoby,
c) zpracování osobních údajů je nezbytné pro ochranu života, zdraví nebo majetku
dotyčné osoby nebo jiné fyzické osoby, která nemá způsobilost k právním úkonům nebo
je fyzicky nezpůsobilá na vydání souhlasu, a pokud nelze získat souhlas jejího zákonného
zástupce,
d) předmětem zpracování jsou výlučně titul, jméno, příjmení a adresa dotyčné osoby bez
možnosti přiřadit k nim další její osobní údaje a jejich využití je určeno výhradně pro
potřeby provozovatele v poštovním styku s dotyčnou osobou a evidence těchto
údajů; pokud je předmětem činnosti provozovatele přímý marketing, uvedené osobní
údaje může poskytovat, bez možnosti jejich zpřístupňování a zveřejňování, pouze pokud
jsou poskytovány jinému provozovateli, který má stejný předmět činnosti výhradně
pro účely přímého marketingu, a dotyčná osoba písemně neuplatnila námitky podle §
20 odst. 3 písm. c),
e) se zpracovávají již zveřejněné osobní údaje; v těchto případech je třeba osobní údaje náležitě
označit,
f) zpracování osobních údajů je nezbytné pro splnění důležitého úkolu ve
veřejném zájmu, nebo
g) zpracování osobních údajů je nezbytné pro ochranu zákonných práv a právem
chráněných zájmů provozovatele nebo třetí strany za předpokladu, že při takovém
zpracovávání osobních údajů provozovatel a třetí strana respektuje základní práva
a svobody dotčené osoby a svým jednáním neoprávněně nezasahuje do práva na
ochranu její osobnosti a soukromí.
4) Například § 38 až 41 zákona České národní rady č. 387/1996 Sb. o zaměstnanosti, § 11a
odst. 2 zákona České národní rady č. 542/1990 Sb. o státní správě ve školství a školní samosprávě
ve znění zákona č. 416/2001 Sb. 9
(5) Osobní údaje o dotčené osobě lze získat od jiné osoby a zpracovávat
poštu pouze s předchozím písemným souhlasem dotyčné osoby. to
neplatí, pokud poskytnutím osobních údajů o dotyčné osobě do informačního systému jiná
osoba chrání svá zákonná práva nebo právem chráněné zájmy nebo oznamuje
skutečnosti, které odůvodňují uplatnění právní odpovědnosti dotyčné osoby, nebo se
osobní údaje zpracovávají na základě zvláštního zákona podle odstavce 3 nebo § 9 odst. 1 písm.
a). Ten, kdo takto osobní údaje zpracovává, musí umět prokázat úřadu kdykoliv na jeho
žádost, že je získal v souladu s tímto zákonem.
(6) Seznam osobních údajů podle odstavce 3 a § 9 odst. 1 písm. a) lze nahradit
rozsahem osobních údajů pouze tehdy, jestliže vzhledem k účelu zpracování osobních údajů
stanovený v zvláštním zákoně nelze předem konkrétně určit jednotlivé osobní údaje,
které mají být předmětem zpracování; provozovatel je povinen při takovémto zpracovávání
osobních údajů postupovat podle § 6 odst. 1 písm. d) s výjimkou těch provozovatelů,
kteří zpracovávají osobní údaje pro účely soudního řízení a v souvislosti s ním. seznam třetích
stran podle odstavce 3 a § 9 odst. 1 písm. a) lze nahradit určením okruhu třetích stran jen
tehdy, jestliže vzhledem k povaze věci nelze předem specifikovat jednotlivé třetí strany,
kterým se osobní údaje poskytují, nebo pokud třetí strany tvoří skupinu subjektů se stejným
předmětem činnosti a vykonávají zpracovávání osobních údajů na stejný nebo stejné
účely, případně pokud složení takové skupiny podléhá neustálé změně.
(7) Ten, kdo hodlá zveřejnit osobní údaje dotyčné osoby, nesmí svým jednáním
neoprávněně zasahovat do práva na ochranu její osobnosti a soukromí; jejich zveřejnění nesmí
být v rozporu s oprávněnými zájmy dotčené osoby.7)
(8) Pokud dotyčná osoba nemá způsobilost k právním úkonům v plném rozsahu, 8) souhlas
vyžadovaný podle tohoto zákona může poskytnout její zákonný zástupca.9)
(9) Pokud dotyčná osoba nežije, souhlas vyžadovaný podle tohoto zákona může poskytnout jí
blízká osoba.10) Souhlas není platný, pokud co jen jedna blízká osoba písemně vyslovila nesouhlas.
(10) Ustanovení odstavce 6 se použije iv případech, kdy se postupuje podle § 5 odst. 2
nebo § 10 odst. 1 nebo 2.
(11) Osobní údaje dotčené osoby lze poskytnout z informačního systému jiné
právnické osobě, fyzické osobě, případně subjektu v cizině, jen spolu s písemným
dokladem o daném souhlasu, pokud tento zákon takový souhlas vyžaduje; ten, kdo osobní údaje
takto poskytuje, může písemný doklad o daném souhlasu nahradit písemným prohlášením
provozovatele o udělení souhlasu dotyčnými osobami, pokud provozovatel může prokázat, že
písemný souhlas dotčených osob byl dán.
(12) Osobní údaje podle odstavce 4 písm. c) a podle § 9 odst. 1 písm. b) lze zpracovávat
bez souhlasu dotčené osoby jen po dobu, dokud nezaniknou důvody, které neumožňovaly získat
souhlas dotčené osoby. Pokud důvody zanikly, ten kdo osobní údaje zpracovává, zajistí souhlas
dotčené osoby.
7) § 11 až 16 občanského zákoníku.
8) § 8 občanského zákoníku.
9) § 26 až 30 občanského zákoníku.
10) § 116 občanského zákoníku. 10
(13) Ten, kdo tvrdí, že zpracovává zveřejněné osobní údaje, na požádání prokáže úřadu,
že zpracovávané osobní údaje byly již zveřejněny.
(14) Uživatel může zpřístupněny osobní údaje o dotyčné osobě zpracovávat pouze pro
vlastní potřebu výlučně v rámci osobních nebo domácích činností.

§ 8
Zvláštní kategorie osobních údajů
(1) zpracovávat osobní údaje, které odhalují rasový nebo etnický původ,
politické názory, náboženskou víru nebo světonázor, členství v politických stranách
nebo politických hnutích, členství v odborech a údaje týkající se zdraví
nebo pohlavního života, se zakazuje.
(2) Při zpracování osobních údajů lze využít pro určení fyzické osoby
obecně použitelný identifikátor ustanoven zvláštním zákonom11) pouze tehdy, pokud jeho
použití je nezbytné k dosažení daného účelu zpracování. Zpracovávat jiný identifikátor,
který v sobě skrývá charakteristiky dotyčné osoby, nebo zveřejňovat obecně použitelný
identifikátor se zakazuje.
(3) Zpracování osobních údajů o porušení ustanovení předpisů trestního práva,
přestupkového práva nebo občanského práva, jakož io výkonu pravomocných rozsudků
nebo rozhodnutí, může provádět jen ten, komu to umožňuje zvláštní zákon.12)
(4) Zpracování biometrických údajů lze provádět pouze za podmínek stanovených
ve zvláštním zákoně, pokud
a) to provozovateli vyplývá výslovně ze zákona, nebo
b) na zpracování dala písemný souhlas dotyčná osoba.
(5) Zpracování osobních údajů o psychické identitě fyzické osoby nebo o jejím
psychické pracovní způsobilosti může provádět pouze psycholog nebo ten, komu to
umožňuje zvláštní zákon.13)

§ 9
Výjimky z omezení
při zpracovávání zvláštních kategorií osobních údajů
(1) Zákaz zpracování osobních údajů stanovený v § 8 odst. 1 neplatí, pokud dotyčná
osoba dala písemný souhlas k jejich zpracování nebo pokud
11) Zákon ČNR č. 301/1995 Sb. o rodném čísle.
12) Například § 40 odst. 2 písm. d) zákona č. 153/2001 Sb., § 52 zákona České národní rady č. 372/1990
Sb. o přestupcích ve znění pozdějších předpisů, zákon ČNR č. 171/1993
Sb. ve znění pozdějších předpisů.
13) Například § 2 zákona České národní rady č. 199/1994 Sb. o psychologické činnosti
a České komoře psychologů, zákon České národní rady č. 542/1990 Sb. o státní správě v
školství a školní samosprávě ve znění pozdějších předpisů. 11
a) zpracování vyžaduje zvláštní zákon, který stanoví seznam osobních údajů, účel
jejich zpracování a okruh dotčených osob; zpracovávané osobní údaje o dotyčné osobě
lze z informačního systému poskytnout, zpřístupnit nebo zveřejnit, pouze pokud
zvláštní zákon stanoví účel poskytování, zpřístupňování nebo zveřejňování,
seznam osobních údajů, které lze poskytnout, zpřístupnit nebo zveřejnit, jakož i
třetí strany, kterým se osobní údaje poskytují, případně okruh příjemců, kterým se
osobní údaje zpřístupňují, pokud tento zákon nestanoví jinak, nebo
b) zpracování je nezbytné k ochraně životně důležitých zájmů subjektu
osoby nebo jiné fyzické osoby, která nemá způsobilost k právním úkonům nebo je fyzicky
nezpůsobilá k vydání písemného souhlasu, a pokud nelze získat písemný souhlas jejího
zákonného zástupce, nebo
c) zpracování provádí v rámci oprávněné činnosti občanské sdružení, nadace nebo
nezisková organizace poskytující obecně prospěšné služby, politická strana nebo
politické hnutí, odborová organizace, státem uznaná církev nebo náboženská
společnost a toto zpracování se týká pouze jejich členů nebo těch fyzických osob, které jsou
s nimi vzhledem k jejich cílům v pravidelném styku, osobní údaje slouží výlučně pro jejich
vnitřní potřebu a nebudou poskytnuty třetí straně bez písemného souhlasu dotyčné
osoby, nebo
d) zpracování se týká osobních údajů, které dotyčná osoba zveřejnila nebo jsou
nezbytné při uplatňování jejího právního nároku, nebo
e) jde o zpracování pro účely poskytování zdravotní péče a pro účely
provádění veřejného zdravotního pojištění, pokud tyto údaje zpracovává poskytovatel
zdravotní péče, zdravotní pojišťovna nebo Úřad pro dohled nad zdravotní
péčí nebo
f) jde o zpracování v sociálním pojištění, v sociálním zabezpečení policistů a vojáků,
pro poskytování sociální pomoci nebo pomoci v hmotné nouzi, nebo je
zpracování nezbytné pro povinnosti nebo uplatnění zákonných práv
provozovatele odpovědného za zpracování v oblasti pracovního práva a ve službách
zaměstnanosti a pokud to provozovateli vyplývá ze zvláštního zákona.13a)
(2) Písemný souhlas dotčené osoby daný podle odstavce 1 je neplatný, pokud jeho poskytnutí
vylučuje zvláštní zákon.
(3) Ustanovení § 8 odst. 4 se nepoužije, pokud se zpracovávají biometrické údaje s výjimkou
analýzy deoxyribonukleové kyseliny a profilu deoxyribonukleové kyseliny fyzických osob
pro účely evidence nebo identifikace vstupu do citlivých, zvláště chráněných objektů,
vyhrazených prostor nebo přístupu do technických zařízení nebo přístrojů s vysokou
mírou rizika a pokud jde výlučně o vnitřní potřebu provozovatele.
13a) Zákon č. 461/2003 Sb. o sociálním pojištění ve znění pozdějších předpisů, zákon č. 328/2002 Sb.
o sociálním zabezpečení policistů a vojáků a o změně některých zákonů ve znění pozdějších
přepisů, zákon č. 195/1998 Sb. o sociální pomoci ve znění pozdějších předpisů, zákon č. 599/2003 Z.
z. o pomoci v hmotné nouzi a o změně některých zákonů, ve znění pozdějších předpisů,
zákon č. 5/2004 Sb. o službách zaměstnanosti a o změně některých zákonů ve znění
pozdějších předpisů. 12

§ 10
Získávání osobních údajů
(1) Provozovatel, který hodlá získat od dotčené osoby její osobní údaje, je povinen
nejpozději při jejich získávání informovat dotčenou osobu a bez vyzvání jejího předem oznámit
a) název a sídlo nebo trvalý pobyt provozovatele; pokud za provozovatele se sídlem nebo
s trvalým pobytem ve třetí zemi koná na území České republiky zástupce
provozovatele, jeho jméno a sídlo nebo trvalý pobyt,
b) název a sídlo nebo trvalý pobyt zprostředkovatele, jestliže jménem provozovatele nebo
zástupce provozovatele získává osobní údaje zprostředkovatel; v takovém případě je
povinen včas sdělit dotčené osobě informace podle tohoto odstavce zprostředkovatel,
c) účel zpracování osobních údajů a
d) další doplňující informace v takovém rozsahu, v jakém jsou s ohledem na všechny okolnosti
zpracování osobních údajů potřebné pro dotčenou osobu na zaručení jejích práv a právem
chráněných zájmů, zejména právo být informována o podmínkách zpracování svých
osobních údajů
1. prokázání totožnosti oprávněné osoby, která získává osobní údaje nebo
prokázání příslušnosti oprávněné osoby hodnověrným dokladem k tomu subjektu,
jehož jménem jedná; oprávněná osoba je povinna takové žádosti dotyčné osoby
bez zbytečného odkladu vyhovět,
2. poučení o dobrovolnosti nebo povinnosti poskytnout požadované osobní údaje; pokud
se dotyčná osoba sama rozhoduje o poskytnutí svých osobních údajů,
provozovatel oznámí dotčené osobě, na základě jakého právního podkladu míní
zpracovávat její osobní údaje; pokud dotčené osobě povinnost poskytnout osobní údaje
vyplývá ze zvláštního zákona, provozovatel oznámí dotčené osobě zákon, který
jí tuto povinnost ukládá a vyrozumí ji o následcích odmítnutí poskytnout osobní
údaje,
3. třetí strany, pokud se předpokládá nebo je zřejmé, že jim budou osobní údaje poskytnuté,
4. okruh příjemců, pokud se předpokládá nebo je zřejmé, že jim budou osobní údaje
zpřístupněny,
5. formu zveřejnění, pokud mají být osobní údaje zveřejněny,
6. třetí země, pokud se předpokládá nebo je zřejmé, že se do těchto zemí uskuteční
předávání osobních údajů,
7. poučení o existenci práv dotčené osoby.
(2) Jestliže osobní údaje o dotyčné osobě nezískal provozovatel přímo od této dotyčné
osoby, je povinen bez zbytečného odkladu, nejpozději však v době před jejich prvním
poskytnutím třetí straně, pokud se takové poskytování předpokládalo už při získávání osobních
údajů, sdělit dotčené osobě informace podle odstavce 1 písm. a) až c) a další
doplňující informace v takovém rozsahu, v jakém jsou s ohledem na všechny okolnosti
zpracování osobních údajů potřebné pro dotčenou osobu na zaručení jejích práv a právem
chráněných zájmů, zejména právo být informována o podmínkách zpracování svých
osobních údajů
a) poučení o možnosti rozhodnout o zpracování získaných osobních údajů,
b) seznam osobních údajů,
c) třetí strany, pokud se předpokládá nebo je zřejmé, že jim budou osobní údaje poskytnuté, 13
d) okruh příjemců, pokud se předpokládá nebo je zřejmé, že jim budou osobní údaje
zpřístupněny,
e) formu zveřejnění, pokud mají být osobní údaje zveřejněny,
f) třetí země, pokud se předpokládá nebo je zřejmé, že se do těchto zemí uskuteční přenos
osobních údajů,
g) poučení o existenci práv dotčené osoby.
(3) Informace podle odstavce 1 netřeba dotčené osobě oznamovat, pokud s ohledem na
všechny okolnosti ví provozovatel úřadu kdykoli na jeho žádost prokázat, že v době
získávání osobních údajů byly všechny potřebné informace dotyčné osobě již známé.
Informace podle odstavce 2 netřeba dotčené osobě oznamovat, pokud
a) s ohledem na všechny okolnosti ví provozovatel úřadu kdykoli na jeho žádost
prokázat, že všechny potřebné informace byly v době rozhodné události dotčené
osobě již známo,
b) zpracování osobních údajů umožňuje zvláštní zákon nebo mezinárodní smlouva,
kterou je Slovenská republika vázána,
c) předmětem zpracování jsou výlučně zveřejněny osobní údaje, nebo
d) zpracovávané osobní údaje jsou určeny pro účely tvorby uměleckých nebo literárních děl
nebo pro potřeby informování veřejnosti sdělovacími prostředky za
podmínek stanovených v § 7 odst. 4 písm. a) části věty před středníkem, jakož i na
historický výzkum nebo vědecký výzkum a vývoj nebo jsou určeny pro účely státní
statistiky a jestliže vzhledem ke všem okolnostem ví provozovatel úřadu kdykoliv na
jeho žádost prokázat, že poskytnutí těchto informací je objektivně nemožné nebo
by si vyžádalo neúměrně vysoké náklady a mimořádné úsilí.
(4) Provozovatel, který získává osobní údaje pro účely identifikace fyzické osoby
při jejím jednorázovém vstupu do jeho prostor, je oprávněn od ní požadovat jméno,
příjmení, titul a číslo občanského preukazu14) nebo číslo služebního průkazu nebo číslo
cestovního dokladu, 15) státní příslušnost a prokázání pravdivosti poskytnutých osobních
údajů předkládaným dokladem. Pokud se fyzická osoba prokáže podle zvláštního zákona, 16)
je provozovatel oprávněn od ní požadovat pouze evidenční číslo služebního průkazu.
V těchto případech se odstavec 1 nepoužije.
(5) Provozovatel nebo zprostředkovatel, který v prostorách přístupných veřejnosti
získává, poskytuje nebo zpřístupňuje osobní údaje, zajistí diskrétnost při jejich zpracovávání.
(6) Získávat osobní údaje nezbytné k dosažení účelu zpracování kopírováním,
skenováním nebo jiným zaznamenáváním úředních dokladů na nosič informací lze jen
tehdy, pokud s tím dotyčná osoba písemně souhlasí nebo pokud to zvláštní zákon výslovně
umožňuje bez souhlasu dotčené osoby.17) Souhlas dotčené osoby si provozovatel ani
14) Zákon ČNR č. 162/1993 Sb. o občanských průkazech, ve znění pozdějších
předpisů.
15) Zákon č. 381/1997 Sb. o cestovních dokladech.
16) Například § 8 zákona České národní rady č. 46/1993 Sb., § 8 zákona Národní rady
České republiky č. 198/1994 Sb., § 14 odst. 1 písm. a) zákona České národní rady č.
171/1993 Sb. ve znění pozdějších předpisů, § 9 zákona č. 124/1992 Sb.
17) Například § 15 odst. 3 zákona č. 200/1998 Sb. o státní službě celníků a o změně některých
dalších zákonů. 14
zprostředkovatel nesmí vynucovat ani podmiňovat hrozbou odmítnutí smluvního
vztahu, služby, zboží nebo povinnosti stanovené provozovateli nebo
zprostředkovateli zákonem.
(7) Prostor přístupný veřejnosti lze monitorovat pomocí videozáznamu nebo
audiozáznamu pouze pro účely veřejného pořádku a bezpečnosti, odhalování kriminality nebo
narušení bezpečnosti státu, a to pouze tehdy, pokud prostor je zřetelně označen jako
monitorován. Označení monitorovaného prostoru se nevyžaduje, pokud tak stanoví
zvláštní zákon. Vyhotoven záznam lze využít pouze pro účely trestního řízení nebo
řízení o přestupcích, pokud zvláštní zákon nestanoví jinak.
(8) Provozovatel, který získá osobní údaje uvedené v § 7 odst. 4 písm. d) bez vědomí
dotčené osoby nebo přímo od ní, poskytne jí při prvním kontaktu informace podle
odstavce 1 a pokud jsou zpracovávány pro účely přímého marketingu, seznámí ji is právem
písemně namítat proti jejich poskytování a využívání v poštovním styku.
(9) Provozovatelé, jejichž předmětem činnosti je přímý marketing, vedou seznam
poskytnutých osobních údajů podle § 7 odst. 4 písm. d) v rozsahu jméno, příjmení, titul a
adresa dotyčné osoby, datum jejich poskytnutí, případně datum, od kterého platí zákaz jejich
dalšího poskytování podle § 13 odst. 6, a název právnické osoby nebo fyzické osoby,
jejíž byly uvedeny osobní údaje poskytnuté. Seznam ve stejném rozsahu vedou i právnické
osoby a fyzické osoby, kterým byly tyto osobní údaje poskytnuté.

§ 11
Pravdivost osobních údajů
Do informačního systému lze poskytnout pouze pravdivé osobní údaje. za
nepravdivost osobních údajů odpovídá ten, kdo je do informačního systému poskytl.

§ 12
Správnost a aktuálnost osobních údajů
(1) Správnost a aktuálnost osobních údajů zajišťuje provozovatel. Za správný se
považuje takový osobní údaj, který se poskytl v souladu s § 11.
(2) Osobní údaj se považuje za správný, dokud se neprokáže opak.

§ 13
Likvidace osobních údajů
(1) Provozovatel po splnění účelu zpracování zajistí neprodleně likvidaci
osobních údajů.
(2) Provozovatel zajistí neprodleně likvidaci osobních údajů kromě osobních
údajů uvedených v § 7 odst. 4 písm. d) i když
a) zanikly důvody, které neumožňovaly získat souhlas dotčené osoby (§ 7 odst. 12), a souhlas
nebyl dán, nebo
b) dotyčná osoba uplatní námitky podle § 20 odst. 3 písm. a); dále provozovatel
postupuje podle odstavce 5. 15
(3) Odstavec 1 se nepoužije, pokud
a) zvláštní zákon stanoví lhůtu, 18) která neumožňuje osobní údaje neprodleně
zlikvidovat; provozovatel zajistí likvidaci osobních údajů neprodleně po
uplynutí zákonem stanovené lhůty,
b) jsou osobní údaje součástí archivních dokumentů, 19)
c) se písemný, obrazový, zvukový nebo jiný záznam obsahující osobní údaje zařadí do
predarchívnej péče; 20) během predarchívnej péče se nesmí provádět
žádné operace zpracování s osobními údaji s výjimkou jejich uchovávání a využít je
lze jen pro účely občanskoprávního řízení, trestního řízení nebo správního
řízení.
(4) Úschovné lhůty písemných, obrazových, zvukových a jiných záznamů, které
obsahují osobní údaje a jsou zařazeny do predarchívnej péče, lze stanovit pouze na
dobu nezbytnou k uplatnění práv nebo povinností stanovených zákonom.21)
(5) Pokud dotyčná osoba uplatní námitky podle § 20 odst. 3 písm. b), provozovatel
neprodleně skončí využívání osobních údajů uvedených v § 7 odst. 4 písm. d) v poštovním
styku.
(6) Pokud dotyčná osoba uplatní námitky podle § 20 odst. 3 písm. c), provozovatel to
neprodleně písemně oznámí každému, komu osobní údaje uvedené v § 7 odst. 4 písm. d)
poskytl; zákaz dalšího poskytování zde uvedených osobních údajů platí pro
provozovat