Ochrana osobných údajov na Slovensku: sprievodca implementáciou GDPR (2026)

Slovensko presadzuje ochranu osobných údajov prostredníctvom GDPR EÚ doplneného zákonom č. 18/2018 Z. z. o ochrane osobných údajov, zakotveným v ústavných zárukách podľa článkov 19 a 22 Ústavy Slovenskej republiky. Úrad na ochranu osobných údajov (UOOU) dohliada na dodržiavanie predpisov a môže uložiť pokuty až do výšky 20 miliónov eur alebo 4 % celosvetového obratu.
Informácie naposledy overené 19. 5. 2026. Tento článok zatiaľ neprešiel kontrolou licencovaného právnika.
Rozsah pôsobnosti: Tento článok sa zaoberá ochranou osobných údajov na Slovensku podľa GDPR (nariadenie (EÚ) 2016/679) a zákona č. 18/2018 Z. z. o ochrane osobných údajov. Venuje sa UOOU ako dozornému orgánu, ústavným základom, slovenským osobitostiam, prepojeniu s aktom EÚ o umelej inteligencii a povinnostiam v oblasti kybernetickej bezpečnosti podľa zákona č. 69/2018 Z. z. Základné informácie o GDPR na úrovni celej EÚ nájdete v článku Ochrana osobných údajov v EÚ. Pravidlá súhlasu pri nahrávaní na Slovensku sú v článku Zákony o nahrávaní na Slovensku.
Rýchla odpoveď: ako Slovensko chráni osobné údaje?
Slovenský systém ochrany osobných údajov funguje na dvoch úrovniach. Na úrovni EÚ sa GDPR uplatňuje priamo ako záväzné nariadenie, ktoré pri svojich hlavných pravidlách nevyžaduje vnútroštátnu transpozíciu. Na vnútroštátnej úrovni zákon č. 18/2018 Z. z. vykonáva približne 50 oblastí, v ktorých GDPR ponecháva priestor na uváženie členským štátom, vrátane štruktúry a právomocí UOOU, ochrany rodného čísla, obmedzení pri monitorovaní zamestnancov, veku digitálneho súhlasu a transpozície smernice o presadzovaní práva (EÚ 2016/680) pre spracúvanie údajov v oblasti trestného súdnictva. Obe úrovne pôsobia súčasne, pričom zákon č. 18/2018 Z. z. vypĺňa priestor ponechaný vnútroštátnym zákonodarcom a pridáva výslovne slovenské ochranné prvky presahujúce základný rámec GDPR.
Tento režim sa vzťahuje na každého prevádzkovateľa alebo sprostredkovateľa usadeného na Slovensku a na každého prevádzkovateľa, bez ohľadu na miesto usadenia, ktorý cieli tovarom alebo službami na slovenské dotknuté osoby alebo monitoruje ich správanie.

Ústavný základ ochrany osobných údajov
Slovenský rámec ochrany osobných údajov stojí na výslovných ústavných zárukách, čo mu dáva postavenie, ktoré bežná legislatíva nemôže obísť.
Článok 19 Ústavy Slovenskej republiky zaručuje každému: (1) právo na zachovanie ľudskej dôstojnosti, osobnej cti a dobrej povesti; (2) právo na ochranu pred neoprávneným zasahovaním do súkromného a rodinného života; a (3) právo na ochranu pred neoprávneným zhromažďovaním, zverejňovaním alebo iným zneužívaním osobných údajov. Táto tretia zložka priamo podopiera zákonný rámec v zákone č. 18/2018 Z. z. a uplatňovanie GDPR na Slovensku.
Článok 22 zaručuje listové tajomstvo, tajomstvo zasielaných správ a iných písomností a ochranu osobných údajov. Články 19 a 22 spolu radia súkromie a ochranu osobných údajov po bok slobody prejavu a zhromažďovania medzi základné práva, ktoré musí štát rešpektovať a zároveň aktívne chrániť.
Tieto ustanovenia sú na európskej úrovni posilnené článkom 8 Charty základných práv EÚ, ktorý zaručuje právo na ochranu osobných údajov ako samostatné právo odlišné od súkromia podľa článku 7. Súdny dvor EÚ považuje článok 8 za priamo obmedzujúci sekundárnu legislatívu EÚ a akty členských štátov vykonávajúce právo EÚ.
Ústavný súd Slovenskej republiky uplatnil zásadu proporcionality vyplývajúcu z týchto ústavných záruk a zrušil neprimerané povinnosti zverejňovania údajov. Vo významnom rozhodnutí súd zrušil vládnu novelu, ktorá vyžadovala, aby mimovládne organizácie verejne zverejňovali mená darcov prispievajúcich viac než 5 000 eur ročne. Súd rozhodol, že "plošná a široká povinnosť zverejniť všetky údaje o darcoch bola neprimeraná" a že aj legitímne záujmy na transparentnosti nemôžu prevážiť nad ochranou súkromia bez starostlivej analýzy nevyhnutnosti a proporcionality.

Právny rámec: GDPR a zákon č. 18/2018 Z. z.
Slovenský systém ochrany osobných údajov funguje na základe GDPR doplneného zákonom č. 18/2018 Z. z. o ochrane osobných údajov. Zákon prijala Národná rada Slovenskej republiky 29. novembra 2017, čo bol jeden z najskorších vnútroštátnych vykonávacích zákonov v EÚ, a nadobudol účinnosť 25. mája 2018.
Zákon č. 18/2018 Z. z. upravuje oblasti, v ktorých GDPR umožňuje alebo vyžaduje konanie členského štátu. Patria sem:
- Štruktúra, právomoci a nezávislosť UOOU ako dozorného orgánu
- Pravidlá spracúvania rodného čísla podľa § 78 ods. 4
- Obmedzenia monitorovania zamestnancov, dopĺňajúce slovenský Zákonník práce (zákon č. 311/2001 Z. z.)
- Výnimky pre žurnalistické, akademické, umelecké a literárne spracúvanie
- Pravidlá sprístupňovania údajov zomrelých osôb
- Vek digitálneho súhlasu stanovený na 16 rokov
- Spracúvanie príslušnými orgánmi na účely presadzovania práva podľa tretej časti zákona
Zákon zároveň transponuje smernicu o presadzovaní práva (EÚ 2016/680) prostredníctvom ustanovení tretej časti pre spracúvanie údajov v oblasti trestného súdnictva (definované subjekty podľa § 3 ods. 3), čím vytvára samostatnú líniu dodržiavania predpisov pre políciu, prokuratúru a súdy.
Súbežná trestnoprávna rovina. Zákon č. 300/2005 Z. z. (slovenský Trestný zákon) posudzuje neoprávnené nakladanie s osobnými údajmi ako trestný čin, za ktorý hrozí odňatie slobody až na dva roky. Táto trestnoprávna rovina funguje súbežne so správnymi pokutami podľa GDPR, čo znamená, že závažné porušenia môžu čeliť súčasne správnym sankciám aj trestnému stíhaniu.

Právne základy spracúvania osobných údajov
Spracúvanie osobných údajov na Slovensku si vyžaduje zákonný základ podľa § 13 zákona č. 18/2018 Z. z., ktorý zodpovedá článku 6 GDPR. Uznáva sa šesť právnych základov:
- Súhlas - slobodný, konkrétny, informovaný a jednoznačný. Súhlas nemožno viazať na prístup k službe (odvolanie musí byť rovnako jednoduché ako jeho udelenie). Pri deťoch do 16 rokov využívajúcich služby informačnej spoločnosti sa vyžaduje súhlas rodiča alebo zákonného zástupcu.
- Zmluva - spracúvanie nevyhnutné na plnenie zmluvy s dotknutou osobou alebo na vykonanie predzmluvných opatrení na jej žiadosť.
- Zákonná povinnosť - spracúvanie nevyhnutné na splnenie zákonnej povinnosti prevádzkovateľa.
- Životne dôležité záujmy - spracúvanie nevyhnutné na ochranu života alebo telesnej integrity dotknutej osoby alebo inej fyzickej osoby.
- Plnenie úlohy vo verejnom záujme - spracúvanie nevyhnutné na splnenie úlohy vo verejnom záujme alebo pri výkone verejnej moci.
- Oprávnený záujem - spracúvanie nevyhnutné na účely oprávnených záujmov prevádzkovateľa alebo tretej strany, okrem prípadov, keď nad nimi prevažujú základné práva a slobody dotknutej osoby.
Osobitná kategória údajov (zdravotné, genetické, biometrické údaje, rasový alebo etnický pôvod, politické názory, náboženské vyznanie, členstvo v odboroch, sexuálna orientácia) si vyžaduje súčasne základ podľa článku 6 aj výnimku podľa článku 9.
Slovenské osobitosti. Zákon č. 18/2018 Z. z. umožňuje spracúvanie bez súhlasu na akademické, umelecké alebo literárne účely a na spravodajstvo hromadných médií vo verejnom záujme, s výhradou práva dotknutej osoby na ochranu súkromia. Zamestnávatelia môžu bez súhlasu sprístupniť obmedzené pracovné údaje zamestnanca (pracovné zaradenie, meno, pracovné kontaktné údaje, oddelenie), ak je to nevyhnutné na výkon pracovných povinností, za predpokladu, že to neohrozí dôstojnosť alebo bezpečnosť zamestnanca.
Práva dotknutých osôb podľa slovenského práva
Práva dotknutých osôb podľa zákona č. 18/2018 Z. z. sledujú katalóg GDPR. Prevádzkovatelia musia na žiadosti odpovedať do jedného mesiaca, s možnosťou predĺženia o ďalšie dva mesiace pri zložitých alebo početných žiadostiach. Odpovede by mali podľa možnosti použiť rovnaký komunikačný kanál ako žiadosť.
Základné práva sú:
- Právo na prístup (čl. 15 GDPR) - právo overiť si, či sa spracúvajú osobné údaje, a získať ich kópiu.
- Právo na opravu (čl. 16) - oprava nesprávnych údajov a doplnenie neúplných údajov.
- Právo na výmaz (čl. 17) - takzvané "právo byť zabudnutý", ak spracúvanie stratilo trvajúci právny základ.
- Právo na obmedzenie spracúvania (čl. 18) - dočasné pozastavenie spracúvania do overenia alebo vyriešenia námietky.
- Právo na prenosnosť údajov (čl. 20) - získanie osobných údajov v štruktúrovanom, strojovo čitateľnom formáte, ak sa spracúvanie zakladá na súhlase alebo zmluve.
- Právo namietať (čl. 21) - námietka voči spracúvaniu založenému na oprávnenom záujme alebo verejnej úlohe a bezpodmienečná námietka voči priamemu marketingu.
- Práva týkajúce sa automatizovaného rozhodovania (čl. 22) - právo nebyť predmetom rozhodnutia založeného výlučne na automatizovanom spracúvaní, ktoré má na osobu významný účinok, pokiaľ dotknutá osoba nedala súhlas, nie je to nevyhnutné na plnenie zmluvy, alebo to neumožňuje zákon s primeranými zárukami.
Zákon č. 18/2018 Z. z. neustanovuje žiadne slovenské osobitné výnimky z týchto práv. Časté otázky UOOU potvrdzujú, že platia štandardné lehoty a postupy podľa GDPR.
UOOU: slovenský úrad na ochranu osobných údajov
Úrad na ochranu osobných údajov Slovenskej republiky (UOOU) je nezávislým dozorným orgánom Slovenska. Funguje ako štátna rozpočtová organizácia so sídlom v Bratislave, s celoštátnou pôsobnosťou a nezávislosťou pri výkone dozorných právomocí podľa zákona č. 18/2018 Z. z. a GDPR.
Na čele UOOU stojí predseda volený Národnou radou Slovenskej republiky na päťročné funkčné obdobie. Podpredsedu volí vláda na návrh predsedu. Úrad má približne 40 zamestnancov a rozpočet okolo 2,9 milióna eur, čo patrí medzi najvýraznejšie obmedzenia zdrojov v EÚ a nevyhnutne to ovplyvňuje schopnosť úradu vyšetrovať sťažnosti, vykonávať kontroly a presadzovať dodržiavanie predpisov.
Právomoci a funkcie
Napriek obmedzeným zdrojom má UOOU celý rozsah dozorných a exekučných právomocí podľa GDPR. Môže iniciovať a viesť správne konania, vykonávať kontroly, vydávať príkazy na nápravu, ukladať dočasné alebo trvalé zákazy spracúvania a ukladať správne pokuty. Úrad má aj poradenskú funkciu: vydáva stanoviská k navrhovanej legislatíve, poskytuje usmernenia k dodržiavaniu predpisov a zverejňuje ročné kontrolné plány s prioritami presadzovania práva.
UOOU vedie register zodpovedných osôb (DPO), ktorým musia byť poverené osoby oznámené. Zverejnil tiež povinný zoznam posúdení vplyvu (DPIA), ktorý určuje kategórie spracúvania vyžadujúce pred zavedením posúdenie vplyvu na ochranu osobných údajov, vrátane monitorovania zamestnancov a rozsiahleho spracúvania osobitnej kategórie údajov.
Transparentnosť presadzovania práva: známa slabina
Rozhodnutia UOOU sa doručujú len zúčastneným stranám a verejne sa nezverejňujú. Výročné správy opisujú prípady všeobecne, bez identifikácie dotknutých organizácií a bez zverejnenia konkrétnych výšok pokút. Slovensko, Nemecko a Rakúsko sa v transparentnosti zverejňovania pokút podľa GDPR radia medzi posledné členské štáty EÚ.
Táto neprehľadnosť sťažuje organizáciám poučiť sa z exekučných opatrení. V praxi to oslabuje odstrašujúci účinok pokút podľa GDPR: potenciálni porušovatelia si nemôžu ľahko vypočítať riziko pokuty za konkrétny druh porušenia.
Pokuty, sankcie a história presadzovania práva
Slovensko sa riadi štandardnou dvojstupňovou štruktúrou pokút podľa GDPR. Pokuty do výšky 10 miliónov eur alebo 2 % celosvetového ročného obratu sa uplatňujú pri porušení technických a organizačných povinností, povinností prevádzkovateľa a sprostredkovateľa a požiadaviek na zodpovedné osoby a certifikáciu. Pokuty do výšky 20 miliónov eur alebo 4 % celosvetového ročného obratu sa uplatňujú pri porušení základných zásad spracúvania, právnych základov, práv dotknutých osôb a pravidiel cezhraničného prenosu.
V praxi vykazuje história presadzovania práva UOOU trvalo mierne výšky pokút v porovnaní s väčšinou členských štátov EÚ.
Súhrnné štatistiky presadzovania práva
V roku 2022 UOOU začal 231 konaní. Z toho 52 sa skončilo finančnou sankciou v celkovej výške 106 448,78 eura (priemerná pokuta približne 1 166 eur). Jedenásť prípadov bolo postúpených na trestné stíhanie podľa zákona č. 300/2005 Z. z. za neoprávnené nakladanie s osobnými údajmi.
V roku 2024 sa právoplatnými a nenapadnuteľnými stalo 38 rozhodnutí o pokute v celkovej výške približne 84 000 eur (priemerná pokuta 2 226 eur). UOOU k začiatku roka 2026 ešte nezverejnil úplnú výročnú správu za rok 2024.
Významné rozhodnutia
Sociálna poisťovňa (50 000 eur, 2019). Najvyššou verejne známou jednotlivou pokutou UOOU bola pokuta uložená Sociálnej poisťovni za porušenie článku 32 GDPR (bezpečnosť spracúvania). Poštová zásielka obsahujúca osobné údaje žiadateľa o invalidný dôchodok sa stratila počas komunikácie so zahraničnými orgánmi sociálneho zabezpečenia. Prípad ustanovil, že zlyhania pri fyzickom nakladaní s údajmi, nielen digitálne úniky, zakladajú bezpečnostné povinnosti podľa GDPR. Spoločnosť rozhodnutie napadla na súde; výsledok nie je verejne známy.
Monitorovanie e-mailového účtu obcou. UOOU vyšetroval prípad, v ktorom obec monitorovala e-mailový účet bývalej zamestnankyne po tom, čo tvrdila, že si zamestnankyňa neodovzdala pracovnú agendu. Obec predložila rozumné odôvodnenia, no chýbal jej zdokumentovaný právny základ a nesplnila transparentnostné povinnosti podľa GDPR. UOOU rozhodol, že práva zamestnankyne boli porušené. Prípad ustanovil, že neformálne odôvodnenia, hoci dobre mienené, nie sú podľa GDPR postačujúce.
Kontrolný plán na rok 2025
Kontrolný plán UOOU na rok 2025 má dve časti. Prvá časť sa zameriava na spracúvanie údajov v schengenských a európskych informačných systémoch a agentúrach, čo odráža postavenie Slovenska ako hraničného schengenského štátu a súvisiace dôsledky pre súkromie v oblasti prisťahovaleckých a hraničných databáz. Druhá časť skúma spracúvanie údajov zákazníkov verejných lekární, účastníkov autoškôl a návštevníkov reštaurácií, kaviarní a iných prevádzok pod kamerovým dohľadom.
Ochrana rodného čísla
Najvýraznejším ustanovením slovenskej ochrany osobných údajov je ochrana rodného čísla, jedinečného osobného identifikátora kódujúceho dátum narodenia a pohlavie, ktorý sa v štátnej správe, bankovníctve, zdravotníctve a ďalších systémoch používa od roku 1946.
Podľa § 78 ods. 4 zákona č. 18/2018 Z. z. je zverejnenie rodného čísla výslovne zakázané. Jedinou výnimkou je, keď dotknutá osoba svoje vlastné rodné číslo dobrovoľne zverejní. Tento zákaz je absolútny a vzťahuje sa na všetkých prevádzkovateľov a sprostredkovateľov bez výnimky.
Použitie rodného čísla ako identifikátora je prípustné len vtedy, keď účel spracúvania nemožno dosiahnuť bez neho. Tento prísny test nevyhnutnosti vyžaduje, aby organizácie preukázali, že žiadna alternatívna metóda identifikácie by neslúžila rovnakému účelu, ešte pred zberom alebo použitím rodných čísiel. Časté otázky UOOU potvrdzujú, že rodné číslo bolo zo zoznamu "osobitných kategórií" v zákone č. 18/2018 Z. z. odstránené, no ponecháva si osobitnú ochranu podľa § 78 ods. 4 ako národný identifikátor.
Prechod na BIFO
Slovensko postupne opúšťa systém rodného čísla. Od apríla 2020 sa na novo vydávaných slovenských občianskych preukazoch zobrazuje náhradný kód BIFO: desaťmiestny náhodne pridelený identifikátor bez akéhokoľvek významu zakódovaného v jeho číslach. Súčasný systém a BIFO budú fungovať súbežne od roku 2020 do roku 2030, keď občania definitívne prejdú výlučne na BIFO. Ministerstvo vnútra zmenu odôvodnilo odporúčaniami EÚ a poznamenalo, že kódovanie dátumu narodenia a pohlavia do univerzálneho identifikátora nezodpovedá primeranej ochrane súkromia podľa moderných štandardov.
Organizácie, ktoré vybudovali systémy spoliehajúce sa na identifikáciu pomocou rodného čísla, by mali plánovať migráciu na BIFO alebo iné alternatívy dostatočne pred termínom v roku 2030.
Monitorovanie zamestnancov
Slovenský Zákonník práce (zákon č. 311/2001 Z. z.) obmedzuje možnosť zamestnávateľov monitorovať zamestnancov. Zamestnávateľ môže zamestnancov monitorovať len vtedy, keď to odôvodňujú závažné dôvody súvisiace s osobitnou povahou činnosti zamestnávateľa. Táto norma vyžaduje konkrétne, na danú činnosť viazané odôvodnenia, nie všeobecné bezpečnostné alebo produktivitné dôvody.
Zamestnanci musia byť o akomkoľvek monitorovaní vopred informovaní. Oznámenie musí pokrývať, čo sa monitoruje, akým spôsobom sa monitorovanie vykonáva a v akom rozsahu.
UOOU zaradil monitorovanie zamestnancov do svojho povinného zoznamu DPIA. Zamestnávatelia plánujúci zaviesť systémy monitorovania musia pred implementáciou vypracovať posúdenie vplyvu na ochranu osobných údajov, ktoré identifikuje a zmierňuje riziká pre práva a slobody zamestnancov.
E-mailové účty bývalých zamestnancov
Prípad monitorovania e-mailu obcou ustanovil, že aj keď má zamestnávateľ legitímny dôvod pristupovať k e-mailu odchádzajúceho zamestnanca (napríklad zabezpečenie kontinuity podnikania), musí mať zdokumentovaný právny základ, dodržiavať riadne postupy a splniť transparentnostné požiadavky GDPR. Neformálne odôvodnenia, aj keď rozumné, nie sú postačujúce. Organizácie by mali prijať písomné politiky upravujúce prístup k e-mailu po odchode zamestnanca a informovať o nich zamestnancov už pri nástupe.
Zodpovedné osoby (DPO)
Slovensko sa riadi štandardnými prahovými hodnotami GDPR pre vymenovanie zodpovednej osoby. Vymenovanie zodpovednej osoby je povinné pre:
- Orgány verejnej moci a subjekty verejnej správy (okrem súdov pri výkone súdnej právomoci)
- Organizácie, ktorých hlavná činnosť zahŕňa rozsiahle systematické monitorovanie fyzických osôb
- Organizácie spracúvajúce osobitnú kategóriu údajov alebo údaje o trestných rozsudkoch v rozsiahlom meradle
Zákon č. 18/2018 Z. z. neobsahuje žiadne slovenské osobitné výnimky z týchto prahových hodnôt. Zodpovednou osobou môže byť interný zamestnanec alebo externý zmluvný partner. Prevádzkovatelia musia zodpovedným osobám poskytnúť zdroje potrebné na plnenie ich úloh, umožniť im udržiavať odbornú spôsobilosť a zaručiť nezávislosť pri výkone funkcie. UOOU vedie register zodpovedných osôb a vyžaduje, aby prevádzkovatelia oznámili kontaktné údaje zodpovednej osoby; tie musia byť zverejnené.
Vek digitálneho súhlasu
Slovensko stanovilo vek digitálneho súhlasu na 16 rokov, čím zachovalo predvolenú hranicu GDPR namiesto využitia možnosti členského štátu znížiť ju na 13 rokov. Deti do 16 rokov využívajúce služby informačnej spoločnosti potrebujú súhlas rodiča alebo zákonného zástupcu, aby mohol prevádzkovateľ spracúvať ich osobné údaje v súvislosti so službami informačnej spoločnosti ponúkanými priamo im.
Oznamovanie porušenia ochrany osobných údajov
Uplatňujú sa štandardné požiadavky GDPR na oznamovanie porušení. Prevádzkovatelia musia bez zbytočného odkladu a podľa možnosti do 72 hodín od zistenia porušenia ochrany osobných údajov, ktoré pravdepodobne povedie k riziku pre práva a slobody fyzických osôb, oznámiť túto skutočnosť UOOU. Ak oznámenie nemožno vykonať do 72 hodín, musí byť doplnené o dôvody omeškania.
Ak porušenie pravdepodobne povedie k vysokému riziku pre práva a slobody jednotlivcov, prevádzkovateľ musí bez zbytočného odkladu informovať aj dotknuté osoby priamo. Sprostredkovatelia musia oznámiť prevádzkovateľovi porušenie bez zbytočného odkladu po tom, čo sa oň dozvedeli, aby prevádzkovateľ mohol splniť svoju vlastnú 72-hodinovú lehotu.
Prípad Sociálnej poisťovne potvrdil, že zlyhania pri fyzickom nakladaní s údajmi (stratená poštová zásielka) zakladajú rovnaké povinnosti oznamovania porušení podľa GDPR ako digitálne incidenty.
Cezhraničné prenosy údajov
Prenosy osobných údajov zo Slovenska do krajín mimo Európskeho hospodárskeho priestoru si vyžadujú jeden z týchto mechanizmov podľa kapitoly V GDPR:
- Rozhodnutie o primeranosti vydané Európskou komisiou (vzťahuje sa napríklad na Spojené kráľovstvo, Japonsko, Kanadu (komerčný sektor), Izrael a ďalšie)
- Štandardné zmluvné doložky prijaté Komisiou (najbežnejšie pri komerčných prenosoch)
- Záväzné vnútropodnikové pravidlá schválené vedúcim dozorným orgánom
- Výnimky pre konkrétne situácie (výslovný súhlas, plnenie zmluvy, dôležitý verejný záujem, právne nároky)
Zistenie o prenosoch podľa FATCA
V auguste 2021 UOOU vydal významné zistenie: prenosy medzi Slovenskom a USA podľa bilaterálnej dohody FATCA (Foreign Account Tax Compliance Act) porušujú požiadavky kapitoly V GDPR. UOOU dospel k záveru, že dohoda "neobsahuje ani minimálne záruky pre prenos osobných údajov do tretích krajín" a že "samotné vyhlásenie v zákone nepostačuje na to, aby bol prenos platný".
Napriek tomuto zisteniu UOOU v nasledujúcich rokoch nevykonal žiadne exekučné opatrenie. V decembri 2025 Súdny dvor EÚ zaregistroval súvisiacu vec C-804/25, ktorá môže určiť trvácnosť predgdprových bilaterálnych nástrojov na prenos údajov a štandardy dokazovania pri dodržiavaní kapitoly V. Vo februári 2026 Association des Américains Accidentels formálne požiadala UOOU o pozastavenie prenosov až do vynesenia rozsudku Súdneho dvora EÚ.
Prípad FATCA ukazuje, že aj prenosy nariadené vnútroštátnym zákonom môžu porušovať požiadavky GDPR na prenos, a že pasivita UOOU tvárou v tvár vlastným zisteniam vytvára pretrvávajúcu neistotu v oblasti dodržiavania predpisov.
Prepojenie s aktom EÚ o umelej inteligencii
Akt EÚ o umelej inteligencii (nariadenie (EÚ) 2024/1689), ktorého postupné uplatňovanie sa začalo v roku 2025, priamo súvisí so slovenským režimom ochrany osobných údajov pri systémoch AI, ktoré spracúvajú osobné údaje.
Úloha UOOU pri dohľade nad AI
Slovensko nevytvorilo samostatný regulačný orgán pre AI. Namiesto toho je dohľad rozdelený medzi existujúce orgány. UOOU rieši aplikácie AI zahŕňajúce spracúvanie osobných údajov, pričom naďalej uplatňuje požiadavky GDPR na automatizované rozhodovanie (čl. 22), profilovanie a posúdenia vplyvu (DPIA) pri vysokorizikových systémoch AI. Ministerstvo investícií, regionálneho rozvoja a informatizácie SR (MIRRI SR) plní úlohu jednotného kontaktného miesta a všeobecného orgánu dohľadu nad trhom podľa aktu o AI. Slovenská obchodná inšpekcia vedie dohľad nad trhom pri spotrebiteľských produktoch a službách.
Vnútroštátna adaptácia
Slovensko prijalo zákon č. 318/2025 Z. z., ktorým sa mení zákon o posudzovaní zhody výrobkov, účinný od 1. januára 2026, ako svoju hlavnú vnútroštátnu legislatívnu adaptáciu na akt o AI. Národný bezpečnostný úrad (NBÚ) sa stal orgánom dohľadu nad trhom pre "výrobky s digitálnymi prvkami" podľa aktu o kybernetickej odolnosti účinného od 1. januára 2026.
Kľúčové povinnosti pri dodržiavaní predpisov pre systémy AI
Organizácie nasadzujúce na Slovensku systémy AI, ktoré spracúvajú osobné údaje, by mali zvážiť tieto skutočnosti:
- Vysokorizikové systémy AI (podľa definície v prílohe III aktu o AI) používané na Slovensku si pred nasadením vyžadujú posúdenie zhody a registráciu v databáze EÚ pre vysokorizikové systémy AI.
- Systémy automatizovaného rozhodovania, ktoré majú na jednotlivcov významný vplyv, si vyžadujú súlad s článkom 22 GDPR (právo nebyť predmetom výlučne automatizovaného rozhodnutia) aj s požiadavkami na transparentnosť a vysvetliteľnosť podľa aktu o AI.
- Posúdenia vplyvu podľa článku 35 GDPR sa vyžadujú pri systematickom automatizovanom spracúvaní, ktoré môže predstavovať vysoké riziko, vrátane profilovania založeného na AI. Tieto sa prekrývajú s posúdeniami vplyvu na základné práva podľa aktu o AI pri vysokorizikovej AI vo verejnom sektore.
- Presadzovanie ustanovení GDPR o automatizovanom rozhodovaní zo strany UOOU bude naberať na význame so zvyšujúcim sa nasadzovaním AI. Organizácie by mali dokumentovať logiku svojich systémov AI, zdroje trénovacích dát a rozhodovacie procesy, aby splnili transparentnostné povinnosti podľa článkov 13 a 14 GDPR aj požiadavky na transparentnosť podľa aktu o AI.
Kybernetická bezpečnosť: NIS 2 a zákon č. 69/2018 Z. z.
Slovensko transponovalo smernicu NIS 2 (EÚ 2022/2555) zákonom č. 366/2024 Z. z., ktorým sa mení zákon o kybernetickej bezpečnosti (zákon č. 69/2018 Z. z.). Novelu schválila Národná rada Slovenskej republiky 28. novembra 2024, bola zverejnená 19. decembra 2024 a nadobudla účinnosť 1. januára 2025.
Reforma zaradila do rámca dodržiavania kybernetickej bezpečnosti viac než 10 000 slovenských organizácií tým, že rozšírila kategórie regulovaných subjektov na základné a dôležité subjekty naprieč kritickými sektormi (energetika, doprava, bankovníctvo, zdravotníctvo, digitálna infraštruktúra a ďalšie). Kľúčové povinnosti zahŕňajú opatrenia riadenia bezpečnostných rizík, oznamovanie incidentov, posudzovanie bezpečnosti dodávateľského reťazca a audity kybernetickej bezpečnosti. Základné subjekty musia absolvovať prvý audit kybernetickej bezpečnosti do dvoch rokov od registrácie; dôležité subjekty vykonávajú periodické sebahodnotenie s externým auditom minimálne raz za päť rokov.
Národný bezpečnostný úrad (NBÚ) presadzuje povinnosti NIS 2 na Slovensku. Prepojenie s GDPR je významné: incidenty podľa NIS 2, ktoré zároveň zahŕňajú porušenie ochrany osobných údajov, si vyžadujú súbežné oznámenie tak NBÚ (do 24 hodín pri včasnom varovaní, do 72 hodín pri úplnej správe o incidente), ako aj UOOU (do 72 hodín podľa článku 33 GDPR).
Nedávny vývoj: 2024-2026
Kontrolný plán na rok 2025 (obe časti)
Kontrolný plán UOOU na rok 2025 pokrýva spracúvanie údajov v schengenských a európskych informačných systémoch (prvá časť) a vyšetrovanie údajov zákazníkov lekární, záznamov autoškôl a kamerového dohľadu v pohostinských prevádzkach (druhá časť). Táto druhá časť signalizuje rozšírenú pozornosť voči bežnému komerčnému spracúvaniu údajov v sektoroch orientovaných na spotrebiteľov.
Prenosy podľa FATCA a vec C-804/25 pred Súdnym dvorom EÚ
Súdny dvor EÚ zaregistroval vec C-804/25 v decembri 2025 po rokoch nečinnosti UOOU vo vzťahu k jeho vlastnému zisteniu z roku 2021, že prenosy podľa FATCA porušujú kapitolu V GDPR. Prípad môže objasniť, či predgdprové bilaterálne nástroje na prenos údajov môžu obstáť pri preskúmaní podľa súčasného rámca primeranosti.
Plné uplatňovanie aktu o AI (2025-2026)
Zákazy neprijateľných praktík AI podľa aktu EÚ o umelej inteligencii nadobudli účinnosť vo februári 2025. Požiadavky na vysokorizikové systémy AI sa začali uplatňovať v auguste 2025. Slovenský zákon č. 318/2025 Z. z. uviedol rámec posudzovania zhody do praxe s účinnosťou od januára 2026.
Termíny dodržiavania predpisov podľa NIS 2
Subjekty sa museli u slovenského NBÚ zaregistrovať do 60 dní od 1. januára 2025 (termín: 1. marca 2025). Úplné dodržiavanie povinností NIS 2, vrátane technických bezpečnostných opatrení a požiadaviek riadenia, sa vyžaduje do 31. decembra 2026.
Rozhodnutie Ústavného súdu o zverejňovaní darcov
Ústavný súd zrušil legislatívnu novelu, ktorá by vyžadovala, aby mimovládne organizácie verejne zverejňovali totožnosť darcov prispievajúcich viac než 5 000 eur ročne. Rozhodnutie potvrdilo, že zásada proporcionality sa vzťahuje na povinnosti zverejňovania údajov aj vtedy, keď sú odôvodnené záujmom transparentnosti.
Priebeh prechodu na BIFO
Kód BIFO sa na novo vydávaných slovenských občianskych preukazoch objavuje od apríla 2020. Obdobie súbežnej prevádzky trvá do roku 2030, keď bude rodné číslo definitívne zrušené.
Kontrolný zoznam pre dodržiavanie predpisov v podnikaní
Organizácie pôsobiace na Slovensku by mali riešiť tieto praktické priority pri dodržiavaní predpisov:
Kontrola rodných čísiel. Preverte všetky systémy, ktoré zbierajú, uchovávajú alebo prenášajú rodné čísla. Odstráňte zbytočný zber. Tam, kde sa rodné čísla používajú ako identifikátory, zdokumentujte, prečo žiadna alternatívna metóda neslúži rovnakému účelu. Rodné čísla nikdy nezverejňujte. Začnite plánovať migráciu na identifikátory BIFO ešte pred termínom v roku 2030.
Monitorovanie zamestnancov. Zdokumentujte závažné, na konkrétnu činnosť viazané dôvody odôvodňujúce akékoľvek monitorovanie na pracovisku. Pripravte vopred oznámenie pre zamestnancov o tom, čo sa monitoruje, akým spôsobom a v akom rozsahu. Pred zavedením každej monitorovacej aktivity vykonajte posúdenie vplyvu na ochranu osobných údajov. Zaveďte písomnú politiku prístupu k e-mailu odchádzajúceho zamestnanca.
Inventarizácia systémov AI. Identifikujte všetky systémy AI nasadené na Slovensku, ktoré spracúvajú osobné údaje. Posúďte, ktoré z nich patria medzi vysokorizikové podľa prílohy III aktu o AI. Pri vysokorizikových systémoch pripravte posúdenia zhody a zaregistrujte ich v databáze EÚ pre vysokorizikové systémy AI. Aktualizujte posúdenia vplyvu tak, aby zohľadňovali riziká špecifické pre AI.
Registrácia podľa NIS 2. Organizácie v regulovaných sektoroch, ktoré spĺňajú prahové hodnoty pre základný alebo dôležitý subjekt, sa mali u NBÚ zaregistrovať do 1. marca 2025. Úplné technické dodržiavanie predpisov sa vyžaduje do 31. decembra 2026.
Kontrola cezhraničných prenosov. Zmapujte všetky toky osobných údajov do krajín mimo EHP. Overte, či sú zavedené primerané mechanizmy prenosu (štandardné zmluvné doložky, rozhodnutia o primeranosti, záväzné vnútropodnikové pravidlá). Vec FATCA pred Súdnym dvorom EÚ naznačuje, že samotné zákonné oprávnenie nepostačuje podľa kapitoly V GDPR.
Súhlas s elektronickým marketingom. Podľa zákona č. 452/2021 Z. z. (o elektronických komunikáciách) si priamy marketing prostredníctvom e-mailu, SMS alebo automatického volania vyžaduje predchádzajúci preukázateľný súhlas. Podmieňovanie prístupu k službe súhlasom s marketingom porušuje § 109. Odvolanie súhlasu musí byť potvrdené do 30 dní.
Vyhlásenie o obmedzení zodpovednosti: Tento článok poskytuje všeobecné právne informácie o slovenských zákonoch o ochrane osobných údajov platných k roku 2026. Nejde o právne poradenstvo. Zákony o ochrane osobných údajov sa často menia. Pre poradenstvo v konkrétnej situácii sa poraďte s kvalifikovaným advokátom oprávneným vykonávať prax na Slovensku. Pokryté jurisdikcie: Slovensko (GDPR EÚ + zákon č. 18/2018 Z. z. v znení neskorších predpisov). Informácie overené: 19. 5. 2026.
Frequently Asked Questions
Aký je hlavný zákon o ochrane osobných údajov na Slovensku?
Hlavným slovenským predpisom o ochrane osobných údajov je zákon č. 18/2018 Z. z. o ochrane osobných údajov, prijatý 29. novembra 2017 a účinný od 25. mája 2018. Dopĺňa priamo uplatniteľné GDPR EÚ tým, že upravuje približne 50 oblastí, v ktorých môžu členské štáty prijať vnútroštátne pravidlá, vrátane ochrany rodného čísla (§ 78 ods. 4), ustanovení o monitorovaní zamestnancov a štruktúry UOOU. GDPR a zákon č. 18/2018 Z. z. fungujú spoločne; GDPR upravuje základné pravidlá, zatiaľ čo zákon vypĺňa vnútroštátne určené priestory.
Aké ústavné práva chránia súkromie údajov na Slovensku?
Články 19 a 22 Ústavy Slovenskej republiky výslovne chránia súkromie údajov. Článok 19 zaručuje ochranu pred neoprávneným zhromažďovaním, zverejňovaním alebo nezákonným použitím osobných údajov, popri právach na dôstojnosť a súkromný život. Článok 22 zaručuje listové tajomstvo a ochranu osobných údajov. Slovenský Ústavný súd uplatnil zásadu proporcionality vyplývajúcu z týchto ustanovení a zrušil neprimerané povinnosti zverejňovania, vrátane zákona vyžadujúceho, aby mimovládne organizácie verejne identifikovali darcov. Na úrovni EÚ poskytuje ďalšiu vrstvu ochrany článok 8 Charty základných práv EÚ.
Môžu organizácie na Slovensku voľne používať rodné číslo?
Nie. § 78 ods. 4 zákona č. 18/2018 Z. z. zakazuje zverejnenie rodného čísla; jedinou výnimkou je, keď dotknutá osoba dobrovoľne zverejní svoje vlastné číslo. Použitie rodného čísla ako identifikátora je prípustné len vtedy, keď žiadna alternatívna metóda nemôže dosiahnuť rovnaký účel spracúvania, čo znamená, že rutinný zber z dôvodu pohodlia nie je prípustný. Slovensko postupne opúšťa rodné číslo v prospech kódu BIFO, desaťmiestneho náhodne prideleného identifikátora bez zakódovaných osobných informácií. Od roku 2030 BIFO úplne nahradí rodné číslo.
Aké pravidlá upravujú monitorovanie zamestnancov na Slovensku?
Slovenský Zákonník práce (zákon č. 311/2001 Z. z.) umožňuje monitorovanie zamestnancov len tam, kde ho odôvodňujú závažné dôvody súvisiace s osobitnou povahou činnosti zamestnávateľa. Zamestnanci musia byť vopred informovaní o tom, čo sa monitoruje, akým spôsobom a v akom rozsahu. UOOU vyžaduje pred zavedením akejkoľvek monitorovacej aktivity posúdenie vplyvu na ochranu osobných údajov. Prípad monitorovania e-mailu obcou ustanovil, že aj dobre mienený neformálny prístup ku komunikácii bývalého zamestnanca porušuje GDPR bez zdokumentovaného právneho základu a riadnych transparentnostných postupov.
Aké vysoké sú pokuty podľa GDPR na Slovensku?
Na Slovensku sa uplatňujú maximálne pokuty GDPR vo výške 20 miliónov eur alebo 4 % celosvetového ročného obratu, no skutočné presadzovanie je podľa štandardov EÚ mierne. V roku 2022 sa 52 pokutovaných rozhodnutí spolu vyšplhalo na 106 448 eur (priemer 1 166 eur). V roku 2024 dosiahli právoplatné rozhodnutia o pokute 38 prípadov v celkovej výške približne 84 000 eur (priemer 2 226 eur). Najvyššou verejne známou jednotlivou pokutou je 50 000 eur (Sociálna poisťovňa, 2019). UOOU jednotlivé rozhodnutia nezverejňuje, čím je Slovensko jedným z najmenej transparentných dozorných orgánov EÚ pri presadzovaní GDPR.
Aké sú priority presadzovania práva UOOU na rok 2025?
Kontrolný plán UOOU na rok 2025 má dve časti. Prvá časť skúma spracúvanie údajov v schengenských a európskych informačných systémoch a agentúrach, relevantné pre organizácie pracujúce s hraničnou kontrolou, imigráciou a prístupom k databázam orgánov presadzovania práva. Druhá časť vyšetruje spracúvanie údajov zákazníkov verejných lekární, účastníkov autoškôl a návštevníkov reštaurácií a kaviarní pod kamerovým dohľadom. Druhá časť signalizuje pozornosť voči bežnému komerčnému spracúvaniu údajov v sektoroch orientovaných na spotrebiteľov, nielen voči rozsiahlym systémovým únikom.
Ako Slovensko rieši cezhraničné prenosy údajov?
Cezhraničné prenosy mimo EHP si vyžadujú mechanizmus podľa kapitoly V GDPR: rozhodnutie o primeranosti, štandardné zmluvné doložky, záväzné vnútropodnikové pravidlá alebo uplatniteľnú výnimku. V roku 2021 UOOU zistil, že prenosy medzi Slovenskom a USA podľa FATCA porušujú kapitolu V, pretože bilaterálnej dohode chýbali minimálne záruky. UOOU nevykonal žiadne exekučné opatrenie, no súvisiaca vec C-804/25 pred Súdnym dvorom EÚ (zaregistrovaná v decembri 2025) môže určiť trvácnosť predgdprových bilaterálnych nástrojov na prenos údajov. Zistenie UOOU zároveň potvrdzuje, že samotné zákonné oprávnenie nespĺňa požiadavky kapitoly V GDPR.
Akú úlohu má UOOU podľa aktu EÚ o umelej inteligencii?
UOOU dohliada na aplikácie AI, ktoré na Slovensku zahŕňajú spracúvanie osobných údajov, pričom uplatňuje existujúce požiadavky GDPR na automatizované rozhodovanie (čl. 22), profilovanie a posúdenia vplyvu (čl. 35). Slovensko nevytvorilo samostatný regulačný orgán pre AI. Ministerstvo investícií, regionálneho rozvoja a informatizácie SR (MIRRI SR) je jednotným kontaktným miestom a všeobecným orgánom dohľadu nad trhom podľa aktu o AI. Slovensko prijalo zákon č. 318/2025 Z. z., účinný od 1. januára 2026, ako svoju vnútroštátnu adaptáciu na akt o AI. Organizácie nasadzujúce vysokorizikové systémy AI musia vykonať posúdenia zhody a registrovať sa v databáze EÚ pre vysokorizikovú AI.
Kedy je na Slovensku potrebné vymenovať zodpovednú osobu (DPO)?
Vymenovanie zodpovednej osoby je podľa zákona č. 18/2018 Z. z. (v nadväznosti na čl. 37 GDPR) povinné pre: orgány verejnej moci a subjekty verejnej správy (okrem súdov pri výkone súdnej právomoci); organizácie, ktorých hlavná činnosť zahŕňa rozsiahle systematické monitorovanie fyzických osôb; a organizácie spracúvajúce osobitnú kategóriu údajov alebo trestné údaje v rozsiahlom meradle. Slovensko neprijalo žiadne výnimky z týchto prahových hodnôt. Zodpovedné osoby musia byť registrované u UOOU a ich kontaktné údaje musia byť zverejnené. Prípustné sú interné aj externé (zmluvné) zodpovedné osoby.
Aké sú slovenské požiadavky na oznamovanie porušenia ochrany osobných údajov?
Prevádzkovatelia musia UOOU oznámiť porušenie do 72 hodín od zistenia porušenia, ktoré pravdepodobne vytvára riziko pre práva a slobody dotknutých osôb. Ak porušenie vytvára vysoké riziko, prevádzkovateľ musí bez zbytočného odkladu informovať aj priamo dotknuté osoby. Sprostredkovatelia musia oznámiť porušenie prevádzkovateľovi bez zbytočného odkladu po tom, čo sa oň dozvedia. Podľa NIS 2 (zákon č. 366/2024 Z. z., účinný od 1. januára 2025) čelia niektoré subjekty súbežnej povinnosti oznamovania incidentov NBÚ: včasné varovanie do 24 hodín a úplná správa o incidente do 72 hodín.
Ako ovplyvňuje smernica NIS 2 slovenské organizácie?
Slovensko transponovalo NIS 2 zákonom č. 366/2024 Z. z., ktorým sa mení zákon o kybernetickej bezpečnosti (zákon č. 69/2018 Z. z.), účinným od 1. januára 2025. Viac než 10 000 organizácií naprieč kritickými sektormi teraz patrí do pôsobnosti ako základné alebo dôležité subjekty. Registrácia u NBÚ sa vyžadovala do 1. marca 2025. Úplné technické a riadiace dodržiavanie predpisov sa vyžaduje do 31. decembra 2026. Základné subjekty musia absolvovať audit kybernetickej bezpečnosti do dvoch rokov od registrácie. Incidenty ovplyvňujúce osobné údaje si vyžadujú dvojité oznámenie tak NBÚ, ako aj UOOU.
Má slovenské právo osobitné pravidlá pre elektronický marketing a cookies?
Áno. Zákon č. 452/2021 Z. z. (o elektronických komunikáciách) vyžaduje predchádzajúci preukázateľný súhlas pred použitím automatických volacích systémov, faxu, e-mailu, SMS alebo MMS na priamy marketing. § 109 zakazuje podmieňovať prístup k službe alebo funkcii súhlasom s cookies, čo zrkadlí požiadavku GDPR na slobodne udelený súhlas. Odvolanie súhlasu musí byť potvrdené do 30 dní na trvanlivom nosiči. Tieto pravidlá platia súbežne s požiadavkami na súhlas podľa GDPR a presadzuje ich UOOU.
Sources and References
- Oficiálna webová stránka UOOU(dataprotection.gov.sk).gov
- Časté otázky UOOU(dataprotection.gov.sk).gov
- UOOU - O úrade(dataprotection.gov.sk).gov
- Zákon č. 18/2018 Z. z. o ochrane osobných údajov(slov-lex.sk).gov
- Nariadenie GDPR EÚ (EÚ) 2016/679(eur-lex.europa.eu).gov
- Akt EÚ o umelej inteligencii, nariadenie (EÚ) 2024/1689(eur-lex.europa.eu).gov
- Európsky výbor pre ochranu údajov(edpb.europa.eu).gov
- EK Digitálna stratégia - orgány dohľadu nad trhom podľa aktu o AI(digital-strategy.ec.europa.eu).gov
- CMS - Prehľad presadzovania GDPR na Slovensku(cms.law)
- CMS - Expertný sprievodca ochranou údajov a kybernetickou bezpečnosťou na Slovensku(cms.law)
- CMS - Prehľad regulácie AI na Slovensku(cms.law)
- White & Case - Vnútroštátna implementácia GDPR na Slovensku(whitecase.com)
- DLA Piper - Právo ochrany osobných údajov na Slovensku(dlapiperdataprotection.com)
- Linklaters - Data Protected: Slovensko(linklaters.com)
- Ius Laboris - Ochrana údajov a e-mail bývalých zamestnancov na Slovensku(iuslaboris.com)
- Noerr - Obmedzené súkromie v slovenskom pracovnom práve(noerr.com)
- Lansky - Novela zákona o kybernetickej bezpečnosti v dôsledku transpozície NIS 2(lansky.at)
- ppc.land - Slovenský dozorný orgán zistil nezákonnosť prenosov FATCA a nekonal(ppc.land)
- IAPP - Hromadné zverejnenie osobných údajov: ponaučenia zo Slovenska a EÚ(iapp.org)
- Slovak Spectator - Zrušenie rodného čísla a prechod na BIFO(spectator.sme.sk)