Postup : 2012/0011(COD)
Průběh na zasedání
Stadia projednávání dokumentu : A7-0402/2013

Předložené texty :

A7-0402/2013

Rozpravy :

PV 11/03/2014 - 13
CRE 11/03/2014 - 13
PV 13/04/2016 - 15
CRE 13/04/2016 - 15

Hlasování :

PV 12/03/2014 - 8.5
CRE 12/03/2014 - 8.5

Přijaté texty :

P7_TA(2014)0212

ZPRÁVA     ***I
PDF 3187kWORD 5498k
22. listopadu 2013
PE 501.927v05-00 A7-0402/2013

o návrhu nařízení Evropského parlamentu a Rady o ochraně fyzických osob v souvislosti se zpracováváním osobních údajů a o volném pohybu těchto údajů (obecné nařízení o ochraně údajů)

(COM(2012)0011 – C7-0025/2012 – 2012/0011(COD))

Výbor pro občanské svobody, spravedlnost a vnitřní věci

Zpravodaj: Jan Philipp Albrecht

POZM. NÁVRHY
NÁVRH LEGISLATIVNÍHO USNESENÍ EVROPSKÉHO PARLAMENTU
 VYSVĚTLUJÍCÍ PROHLÁŠENÍ
 STANOVISKO Výboru pro zaměstnanost a sociální věci
 STANOVISKO Výboru pro průmysl, výzkum a energetiku
 STANOVISKO Výboru pro vnitřní trh a ochranu spotřebitelů
 STANOVISKO Výboru pro právní záležitosti
 POSTUP

NÁVRH LEGISLATIVNÍHO USNESENÍ EVROPSKÉHO PARLAMENTU

o návrhu nařízení Evropského parlamentu a Rady o ochraně fyzických osob v souvislosti se zpracováváním osobních údajů a o volném pohybu těchto údajů (obecné nařízení o ochraně údajů)

(COM(2012)0011 – C7-0025/2012 – 2012/0011(COD))

(Řádný legislativní postup: první čtení)

Evropský parlament,

–   s ohledem na návrh Komise předložený Parlamentu a Radě (COM(2012)0011),

–   s ohledem na čl. 294 odst. 2 a čl. 16 odst. 2 a čl. 114 odst. 1 Smlouvy o fungování Evropské unie, v souladu s nimiž Komise předložila svůj návrh Parlamentu (C7–0025/2012),

–   s  hledem na čl. 294 odst. 3 Smlouvy o fungování Evropské unie,

–   s ohledem na odůvodněná stanoviska předložená v rámci protokolu č. 2 o používání zásad subsidiarity a proporcionality belgickou Dolní komorou, německou Spolkovou radou, francouzským Senátem, italskou Poslaneckou sněmovnou a švédským Parlamentem a uvádějící, že návrh legislativního aktu není v souladu se zásadou subsidiarity,

–   s ohledem na stanovisko Evropského hospodářského a sociálního výboru ze dne 23. května 2012(1),

–   po konzultaci s Výborem regionů,

–   s ohledem na stanovisko evropského inspektora ochrany údajů ze dne 7. března 2012,

–   s ohledem na stanovisko Agentury Evropské unie pro základní práva ze dne 1. října 2012,

–   s ohledem na článek 55 jednacího řádu,

–   s ohledem na zprávu Výboru pro občanské svobody, spravedlnost a vnitřní věci a stanoviska Výboru pro zaměstnanost a sociální věci, Výboru pro průmysl, výzkum a energetiku, Výboru pro vnitřní trh a ochranu spotřebitelů a Výboru pro právní záležitosti (A7-0402/2013),

1.  přijímá níže uvedený postoj v prvním čtení;

2.  vyzývá Komisi, aby věc znovu postoupila Parlamentu, bude-li mít v úmyslu svůj návrh podstatně změnit nebo jej nahradit jiným textem;

3.  pověřuje svého předsedu, aby předal postoj Parlamentu Radě, Komisi, jakož i vnitrostátním parlamentům.

Pozměňovací návrh   1

Návrh nařízení

Bod odůvodnění 14

Znění navržené Komisí

Pozměňovací návrh

(14) Toto nařízení se nezabývá otázkami ochrany základních práv a svobod nebo volného pohybu údajů v souvislosti s činnostmi, které nespadají do působnosti práva Unie, ani zpracováním osobních údajů orgány, institucemi a jinými subjekty Unie, na které se vztahuje nařízení (ES) č. 45/200144, nebo zpracováním osobních údajů členskými státy při výkonu jejich činností v rámci společné zahraniční a bezpečnostní politiky Unie.

(14) Toto nařízení se nezabývá otázkami ochrany základních práv a svobod nebo volného pohybu údajů v souvislosti s činnostmi, které nespadají do působnosti práva Unie. Nařízení Evropského parlamentu a Rady (ES) č. 45/20011 by s tímto nařízením mělo být sladěno a uplatňováno v souladu s ním.

____________

______________

44 Úř. věst. L 8, 12.1.2001, s. 1.

1 Nařízení Evropského parlamentu a Rady (ES) č. 45/2001 ze dne 18. prosince 2000 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány a institucemi Společenství a o volném pohybu těchto údajů (Úř. věst. L 8, 12.1.2001, s. 1).

Pozměňovací návrh   2

Návrh nařízení

Bod odůvodnění 15

Znění navržené Komisí

Pozměňovací návrh

(15) Toto nařízení by se nemělo uplatňovat na zpracování osobních údajů fyzickou osobou, které má výlučně osobní či domácí povahu, jako je korespondence a vedení adresářů, které se neprovádí za účelem zisku, a tedy bez jakékoli souvislosti s profesní nebo obchodní činností. Obdobně by se výjimka neměla vztahovat na správce nebo zpracovatele, kteří pro tyto osobní či domácí činnosti poskytují prostředky pro zpracování osobních údajů.

(15) Toto nařízení by se nemělo uplatňovat na zpracování osobních údajů fyzickou osobou, které má výlučně osobní, rodinnou či domácí povahu, jako je korespondence a vedení adresářů či soukromý prodej, a které se provádí bez jakékoli souvislosti s profesní nebo obchodní činností. Toto nařízení by se však mělo vztahovat na správce a zpracovatele, kteří pro tyto osobní či domácí činnosti poskytují prostředky pro zpracování osobních údajů.

Pozměňovací návrh   3

Návrh nařízení

Bod odůvodnění 18

Znění navržené Komisí

Pozměňovací návrh

(18) Toto nařízení umožňuje při provádění ustanovení v něm uvedených vzít v úvahu zásadu práva na přístup veřejnosti k úředním dokumentům.

(18) Toto nařízení umožňuje při provádění ustanovení v něm uvedených vzít v úvahu zásadu práva na přístup veřejnosti k úředním dokumentům. Orgán veřejné moci nebo veřejný subjekt může v souladu s právními předpisy Unie nebo členského státu týkajícími se práva veřejnosti na přístup k úředním dokumentům sdělit osobní údaje uvedené v dokumentech, které má v držení, je-li zajištěn soulad práva na ochranu údajů s právem veřejnosti na přístup k úředním dokumentům a spravedlivé vyvážení jednotlivých zúčastněných zájmů.

Pozměňovací návrh   4

Návrh nařízení

Bod odůvodnění 20

Znění navržené Komisí

Pozměňovací návrh

(20) Aby se zamezilo případům, kdy jednotlivcům nebude poskytnuta ochrana, která jim je zaručena na základě tohoto nařízení, mělo by zpracování osobních údajů subjektů údajů usazených v Unii uskutečněné správcem, jenž není usazen v Unii, podléhat tomuto nařízení, pokud zpracovávání souvisí s nabídkou zboží nebo služeb těmto subjektům údajů nebo se sledováním chování těchto subjektů údajů.

(20) Aby se zamezilo případům, kdy jednotlivcům nebude poskytnuta ochrana, která jim je zaručena na základě tohoto nařízení, mělo by zpracování osobních údajů subjektů údajů usazených v Unii uskutečněné správcem, jenž není usazen v Unii, podléhat tomuto nařízení, pokud zpracovávání souvisí s nabídkou zboží nebo služeb, ať už placených či neplacených, těmto subjektům údajů nebo se sledováním těchto subjektů údajů. S cílem určit, zda takový správce nabízí v Unii zboží nebo služby těmto subjektům údajů, je třeba rozhodnout, zda je zjevné, že správce má v úmyslu nabízet služby subjektům údajů s bydlištěm v jednom nebo více členských států v Unii.

Pozměňovací návrh   5

Návrh nařízení

Bod odůvodnění 21

Znění navržené Komisí

Pozměňovací návrh

(21) Aby se určilo, zda může být zpracovávání považováno za „sledování chování“ subjektu údajů, mělo by být zjištěno, zda jsou sledovány při své činnosti na internetu za pomoci technik zpracovávání údajů, které spočívají ve vytvoření „profilu“ osoby, zejména pro přijímání rozhodnutí, která se týkají, nebo pro rozbor nebo předpovídání jejích osobních preferencí, postojů a jejího chování.

(21) Aby se určilo, zda může být zpracovávání považováno za „sledování“ subjektů údajů, mělo by být zjištěno, zda jsou sledovány bez ohledu na původ údajů nebo zda jsou o nich shromažďovány jiné údaje, včetně údajů z veřejných rejstříků a oznámení v Unii, které jsou přístupné v zemích mimo Unii, a to i s úmyslem použít či případně následně použít techniky zpracovávání údajů, které spočívají ve vytvoření „profilu“, zejména pro přijímání rozhodnutí, která se daného subjektu týkají, nebo pro rozbor nebo předpovídání jeho osobních preferencí, postojů a chování.

Pozměňovací návrh   6

Návrh nařízení

Bod odůvodnění 23

Znění navržené Komisí

Pozměňovací návrh

(23) Zásady ochrany údajů by se měly uplatňovat na všechny informace týkající se identifikovaných nebo identifikovatelných osob. Při určování, zda je osoba identifikovatelná, by se mělo přihlédnout ke všem prostředkům, o nichž lze důvodně předpokládat, že je správce nebo jakákoli jiná osoba použijí pro identifikaci dané osoby. Zásady ochrany údajů by se neměly uplatňovat na údaje, které byly dostatečně anonymizovány tak, aby subjekt údajů již nebyl identifikovatelný.

(23) Zásady ochrany údajů by se měly uplatňovat na všechny informace týkající se identifikovaných nebo identifikovatelných fyzických osob. Při určování, zda je osoba identifikovatelná, by se mělo přihlédnout ke všem prostředkům, o nichž lze důvodně předpokládat, že je správce nebo jakákoli jiná osoba použijí pro přímou či nepřímou identifikaci či zjištění dané osoby. Ke stanovení toho, zda lze důvodně předpokládat použití prostředků k identifikaci fyzické osoby, je třeba vzít v úvahu všechny objektivní faktory, jako jsou náklady a čas, které si identifikace vyžádá, s přihlédnutím k technologii dostupné v době zpracování a k technologickému rozvoji. Zásady ochrany údajů by se proto neměly uplatňovat na anonymní údaje, tj. údaje, které se nevztahují k žádné identifikované či identifikovatelné fyzické osobě. Toto nařízení se tudíž netýká zpracování těchto anonymních údajů, a to ani zpracování pro statistické a výzkumné účely.

Pozměňovací návrh   7

Návrh nařízení

Bod odůvodnění 24

Znění navržené Komisí

Pozměňovací návrh

(24) Při využívání on-line služeb mohou být uživateli přiřazeny elektronické identifikátory, jako jsou adresy internetového protokolu nebo identifikátory cookies, které používají jeho zařízení, aplikace, nástroje a protokoly. To může zanechávat stopy, které mohou být spolu s jedinečnými identifikátory a dalšími informacemi, které servery získávají, použity k vytvoření profilů jednotlivých osob a k jejich identifikaci. Z toho vyplývá, že identifikační čísla, lokalizační údaje, elektronické identifikátory nebo jiné specifické prvky jako takové nemusejí být nezbytně za všech okolností považovány za osobní údaje.

(24) Toto nařízení by se mělo vztahovat na zpracování zahrnující identifikátory, jako jsou adresy internetového protokolu, identifikátory cookies nebo štítky pro radiofrekvenční identifikaci, které používají zařízení, aplikace, nástroje a protokoly, s výjimkou případů, kdy se identifikátory nevztahují na identifikovanou či identifikovatelnou fyzickou osobu.

Pozměňovací návrh   8

Návrh nařízení

Bod odůvodnění 25

Znění navržené Komisí

Pozměňovací návrh

(25) Souhlas by měl být dán výslovně prostřednictvím vhodné metody, jež umožňuje svobodný, konkrétní a vědomý projev vůle subjektu údajů formou prohlášení nebo jednoznačného potvrzení, že jednotlivci jsou si vědomi, že dávají souhlas se zpracováním osobních údajů, například zaškrtnutím políčka při návštěvě webové stránky nebo jiným prohlášením nebo jednáním, které v tomto kontextu jasně signalizuje souhlas subjektu údajů s navrhovaným zpracováním jeho osobních údajů. Mlčení nebo nečinnost tudíž neznamenají souhlas. Souhlas by se měl vztahovat na veškeré činnosti zpracovávání prováděné pro stejný účel nebo stejné účely. Je-li subjekt údajů vyzván k vyjádření souhlasu elektronickou cestou, musí být žádost jasná, stručná a nesmí zbytečně přerušovat využívání služby, pro kterou je souhlas dáván.

(25) Souhlas by měl být dán výslovně prostřednictvím vhodné metody, jež umožňuje svobodný, konkrétní a vědomý projev vůle subjektu údajů formou prohlášení nebo jednoznačného potvrzení, které je výsledkem volby a z něhož vyplývá, že jednotlivci jsou si vědomi, že dávají souhlas se zpracováním osobních údajů. Za jednoznačné potvrzení by mohlo být považováno zaškrtnutí políčka při návštěvě webové stránky nebo jiné prohlášení nebo jednání, které v tomto kontextu jasně signalizuje souhlas subjektu údajů s navrhovaným zpracováním jeho osobních údajů. Mlčení, pouhé využití služby nebo nečinnost tudíž neznamenají souhlas. Souhlas by se měl vztahovat na veškeré činnosti zpracovávání prováděné pro stejný účel nebo stejné účely. Je-li subjekt údajů vyzván k vyjádření souhlasu elektronickou cestou, musí být žádost jasná, stručná a nesmí zbytečně přerušovat využívání služby, pro kterou je souhlas dáván.

Pozměňovací návrh   9

Návrh nařízení

Bod odůvodnění 29

Znění navržené Komisí

Pozměňovací návrh

(29) Zvláštní ochranu osobních údajů si zaslouží děti, protože si mohou být méně vědomy rizik, důsledků, záruk a svých práv v souvislosti se zpracováním osobních údajů. Pro určení, kdy je osoba dítětem, by toto nařízení mělo převzít definici uvedenou v Úmluvě OSN o právech dítěte.

(29) Zvláštní ochranu osobních údajů si zaslouží děti, protože si mohou být méně vědomy rizik, důsledků, záruk a svých práv v souvislosti se zpracováním osobních údajů. Je-li v souvislosti s nabízením zboží a služeb přímo dítěti zpracování údajů podmíněno souhlasem subjektu údajů, měl by tento souhlas v případě, že dítěti je méně než 13 let, dát nebo schválit jeho rodič nebo zákonný zástupce. Informace určené dítěti by měly být podávány v jazyce odpovídajícím jeho věku. Jiné důvody zákonného zpracování údajů, jako je veřejný zájem, by měly zůstat v platnosti, a to například v souvislosti se zpracováváním pro účely poskytování preventivních či poradenských služeb nabízených přímo dítěti.

Pozměňovací návrh   10

Návrh nařízení

Bod odůvodnění 31

Znění navržené Komisí

Pozměňovací návrh

(31) Aby bylo zpracování zákonné, měly by být osobní údaje zpracovávány na základě souhlasu příslušné osoby nebo jiného oprávněného důvodu stanoveného zákonem, který vyplývá buď z tohoto nařízení nebo z jiného práva Unie nebo členského státu odkazujícího na toto nařízení.

(31) Aby bylo zpracování zákonné, měly by být osobní údaje zpracovávány na základě souhlasu příslušné osoby nebo jiného oprávněného důvodu stanoveného zákonem, který vyplývá buď z tohoto nařízení nebo z jiného práva Unie nebo členského státu odkazujícího na toto nařízení. V případě dítěte či osoby, která není způsobilá k právním úkonům, by podmínky, za kterých může tato osoba souhlas udělit či schválit, měly být stanoveny na základě příslušných právních předpisů Unie či daného členského státu.

Pozměňovací návrh   11

Návrh nařízení

Bod odůvodnění 32

Znění navržené Komisí

Pozměňovací návrh

(32) Pokud je zpracování založeno na souhlasu subjektu údajů, měl by důkazní břemeno, že subjekt údajů vyjádřil souhlas se zpracováváním, nést správce. Zejména v případě písemného prohlášení souvisejícího s jinou skutečností by mělo být pomocí záruk zajištěno, že subjekt údajů si je vědom, že dává souhlas a v jakém rozsahu.

(32) Pokud je zpracování založeno na souhlasu subjektu údajů, měl by důkazní břemeno, že subjekt údajů vyjádřil souhlas se zpracováváním, nést správce. Zejména v případě písemného prohlášení souvisejícího s jinou skutečností by mělo být pomocí záruk zajištěno, že subjekt údajů si je vědom, že dává souhlas a v jakém rozsahu. V zájmu dodržení zásady minimalizace údajů by důkazní břemeno nemělo být považováno za požadavek na pozitivní identifikaci subjektů údajů, pokud to není nezbytné. Obdobně jako u ustanovení občanského práva (např. směrnice 93/13/EHS1) by opatření na ochranu údajů měla být co nejjasnější a nejtransparentnější. Neměla by zahrnovat skrytá nebo znevýhodňující ustanovení. Souhlas by neměl být udělován v případě zpracovávání osobních údajů třetích osob.

 

1 Směrnice Rady 93/13/EHS ze dne 5. dubna 1993 o nepřiměřených podmínkách ve spotřebitelských smlouvách (Úř. věst. L 95, 21.4.1993, s. 29).

Pozměňovací návrh   12

Návrh nařízení

Bod odůvodnění 33

Znění navržené Komisí

Pozměňovací návrh

(33) Aby se zajistilo, že souhlas je svobodný, mělo by být upřesněno, že souhlas není platným právním důvodem zpracování, pokud osoba nemá skutečnou a svobodnou volbu, a tudíž není schopna souhlas odmítnout nebo odvolat, aniž by tím byla poškozena.

(33) Aby se zajistilo, že souhlas je svobodný, mělo by být upřesněno, že souhlas není platným právním důvodem zpracování, pokud osoba nemá skutečnou a svobodnou volbu, a tudíž není schopna souhlas odmítnout nebo odvolat, aniž by tím byla poškozena. To platí zvláště v případě, kdy správce je orgánem veřejné moci, který může na základě svých příslušných veřejných pravomocí stanovit takovou povinnost, a souhlas tedy nelze považovat za svobodný. Použití výchozího nastavení, které musí subjekt údajů změnit, aby vyjádřil nesouhlas se zpracováním údajů, např. předem zaškrtnutá políčka, nepředstavuje svobodný souhlas. V případě využití určité služby by neměl být požadován souhlas se zpracováním dalších osobních údajů, které pro poskytnutí této služby nejsou nezbytné. Odvolání souhlasu může vést k ukončení poskytování nebo nevykonání služby, která je na těchto údajích závislá. Pokud nelze jednoznačně určit, zda byl účel splněn, měl by správce v pravidelných intervalech poskytovat subjektu údajů informace o zpracovávání a žádat o potvrzení jeho souhlasu.

Pozměňovací návrh   13

Návrh nařízení

Bod odůvodnění 34

Znění navržené Komisí

Pozměňovací návrh

(34) Vyjádření souhlasu nepředstavuje platný právní důvod zpracování osobních údajů, pokud mezi postavením subjektu údajů a správce existuje značná nerovnováha. Jedná se zejména o případ, kdy je subjekt údajů závislý na správci, například pokud osobní údaje zaměstnanců v souvislosti se zaměstnáním zpracovává zaměstnavatel. Pokud je správce orgánem veřejné moci, došlo by k nerovnováze pouze při zpracovávání specifických údajů, při němž orgán veřejné moci může na základě svých příslušných veřejných pravomocí uložit povinnost a souhlas nemůže být považován za svobodně vyjádřený souhlas, přičemž je třeba vzít v úvahu zájmy subjektu údajů.

vypouští se

Pozměňovací návrh   14

Návrh nařízení

Bod odůvodnění 36

Znění navržené Komisí

Pozměňovací návrh

(36) Pokud je zpracování prováděno pro splnění právní povinnosti, které podléhá správce, nebo je nezbytné pro vykonání úkolu ve veřejném zájmu nebo při výkonu veřejné moci, mělo by mít právní základ v právu Unie nebo v právu členského státu, které v případě jakéhokoli omezení práv a svobod splňuje požadavky Listiny základních práv Evropské unie. Obdobně by mělo být v právu Unie nebo vnitrostátním právu určeno, zda by správce vykonávající úkol ve veřejném zájmu nebo při výkonu veřejné moci měl být správním úřadem nebo jinou fyzickou nebo právnickou osobou podléhající veřejnému nebo soukromému právu, například profesním sdružením.

(36) Pokud je zpracování prováděno pro splnění právní povinnosti, které podléhá správce, nebo je nezbytné pro vykonání úkolu ve veřejném zájmu nebo při výkonu veřejné moci, mělo by mít právní základ v právu Unie nebo v právu členského státu, které v případě jakéhokoli omezení práv a svobod splňuje požadavky Listiny základních práv Evropské unie. K těmto případům by se měly řadit také kolektivní smlouvy, které lze z hlediska vnitrostátního práva uznat za obecně platné. Obdobně by mělo být v právu Unie nebo vnitrostátním právu určeno, zda by správce vykonávající úkol ve veřejném zájmu nebo při výkonu veřejné moci měl být správním úřadem nebo jinou fyzickou nebo právnickou osobou podléhající veřejnému nebo soukromému právu, například profesním sdružením.

Pozměňovací návrh   15

Návrh nařízení

Bod odůvodnění 38

Znění navržené Komisí

Pozměňovací návrh

(38) Oprávněné zájmy správce mohou být právním základem zpracování za předpokladu, že nepřevažují nad zájmy a základními právy a svobodami subjektu údajů. Tyto zájmy je třeba pečlivě posoudit, zejména pokud je subjektem údajů dítě, neboť děti si zaslouží zvláštní ochranu. Subjekt údajů by měl mít právo bezplatně vznést proti zpracování námitku z důvodů týkajících se jeho konkrétní situace. Pro zajištění transparentnosti by správce měl mít povinnost výslovně informovat subjekt údajů o svých oprávněných zájmech a o jeho právu vznést námitku, jakož i povinnost tyto oprávněné zájmy dokumentovat. Jelikož právní základ pro zpracování údajů orgány veřejné moci upravuje zákonodárce právním předpisem, tento právní důvod se nepoužije pro zpracovávání prováděné orgány veřejné moci při plnění jejich úkolů.

(38) Oprávněné zájmy správce nebo, v případě zveřejnění, třetí strany, které byly údaje zpřístupněny, mohou být právním základem zpracování za předpokladu, že odpovídají legitimním očekáváním subjektu údajů založeným na jeho vztahu ke správci a že nad nimi nepřevažují zájmy a základní práva a svobody subjektu údajů. Tyto zájmy je třeba pečlivě posoudit, zejména pokud je subjektem údajů dítě, neboť děti si zaslouží zvláštní ochranu. V případě, že nepřevažují zájmy či základní práva a svobody subjektu údajů, má se za to, že zpracovávání omezené pouze na pseudonymní údaje odpovídá legitimním očekáváním subjektu údajů založeným na jeho vztahu ke správci. Subjekt údajů by měl mít právo bezplatně vznést proti zpracování námitku. Pro zajištění transparentnosti by správce měl mít povinnost výslovně informovat subjekt údajů o svých oprávněných zájmech a o jeho právu vznést námitku, jakož i povinnost tyto oprávněné zájmy dokumentovat. Zájmy a základní práva subjektu údajů by mohly převážit nad zájmy správce údajů zejména tehdy, jestliže ke zpracovávání osobních údajů dochází za okolností, kdy subjekt údajů jejich další zpracování legitimně neočekává. Jelikož právní základ pro zpracování údajů orgány veřejné moci upravuje zákonodárce právním předpisem, tento právní důvod se nepoužije pro zpracovávání prováděné orgány veřejné moci při plnění jejich úkolů.

Pozměňovací návrh   16

Návrh nařízení

Bod odůvodnění 39

Znění navržené Komisí

Pozměňovací návrh

(39) Zpracování údajů orgány veřejné moci, skupinami pro reakci na počítačové hrozby, skupinami pro reakci na incidenty v oblasti počítačové bezpečnosti, poskytovateli elektronických komunikačních sítí a služeb a poskytovateli bezpečnostních technologií a služeb představuje oprávněný zájem příslušného správce údajů v rozsahu nezbytně nutném pro zajištění bezpečnosti sítě a informací, tj. schopnosti sítě nebo informačního systému odolávat, na dané úrovni spolehlivosti, náhodným událostem nebo nezákonnému či zlovolnému jednání s cílem ohrozit dostupnost, pravost, správnost a důvěrnost uchovávaných či předávaných údajů a bezpečnost souvisejících služeb poskytovaných či přístupných prostřednictvím těchto sítí a systémů. Oprávněný zájem by například mohl spočívat v zabránění neoprávněnému přístupu k sítím elektronických komunikací a šíření škodlivých kódů a zamezení útokům, jejichž důsledkem je odepření služby, a škodám na počítačových systémech a systémech elektronických komunikací.

(39) Zpracování údajů orgány veřejné moci, skupinami pro reakci na počítačové hrozby, skupinami pro reakci na incidenty v oblasti počítačové bezpečnosti, poskytovateli elektronických komunikačních sítí a služeb a poskytovateli bezpečnostních technologií a služeb představuje oprávněný zájem příslušného správce údajů v rozsahu nezbytně nutném a přiměřeném pro zajištění bezpečnosti sítě a informací, tj. schopnosti sítě nebo informačního systému odolávat náhodným událostem nebo zlovolnému jednání s cílem ohrozit dostupnost, pravost, správnost a důvěrnost uchovávaných či předávaných údajů a bezpečnost souvisejících služeb poskytovaných prostřednictvím těchto sítí a systémů. Oprávněný zájem by například mohl spočívat v zabránění neoprávněnému přístupu k sítím elektronických komunikací a šíření škodlivých kódů a zamezení útokům, jejichž důsledkem je odepření služby, a škodám na počítačových systémech a systémech elektronických komunikací. Tato zásada se uplatní rovněž v případě zpracování osobních údajů, jehož účelem je omezit protiprávní přístup k veřejně přístupné síti nebo informačním systémům a jejich používání, například v případě zařazení elektronických identifikátorů na černou listinu.

Pozměňovací návrh   17

Návrh nařízení

Bod odůvodnění 39 a (nový)

Znění navržené Komisí

Pozměňovací návrh

 

(39a) Jestliže zájmy nebo základní práva a svobody subjektu údajů nepřevažují, má se za to, že opatření v zájmu prevence či omezení škod na straně správce údajů jsou prováděna v legitimním zájmu správce údajů nebo, v případě zveřejnění, třetí strany, které byly údaje zpřístupněny, a odpovídají legitimním očekáváním subjektu údajů založeným na jeho vztahu ke správci. Stejná zásada se uplatní také v případě vymáhání právních nároků na subjektu údajů, jako je vymáhání pohledávek nebo občansko právní řízení o náhradu škody či nápravu.

Pozměňovací návrh   18

Návrh nařízení

Bod odůvodnění 39 b (nový)

Znění navržené Komisí

Pozměňovací návrh

 

(39b) Jestliže zájmy nebo základní práva a svobody subjektu údajů nepřevažují, má se za to, že zpracování osobních údajů pro přímý marketing vlastních nebo obdobných produktů a služeb či pro přímý marketing, který využívá poštovních služeb, je prováděno v legitimním zájmu správce údajů nebo, v případě zveřejnění, třetí strany, které byly údaje zpřístupněny, a odpovídá legitimním očekáváním subjektu údajů založeným na jeho vztahu ke správci, a to za předpokladu, že byly velmi zřetelným způsobem poskytnuty informace o právu na vznesení námitky a zdroji osobních údajů. Zpracování obchodních kontaktních údajů by mělo být obecně pokládáno za zpracování, které je prováděno v legitimním zájmu správce údajů nebo, v případě zveřejnění, třetí strany, které byly údaje zpřístupněny, a odpovídá legitimním očekáváním subjektu údajů založeným na jeho vztahu ke správci. Totéž by mělo platit v případě zpracování osobních údajů zjevně zveřejňovaných subjektem údajů.

Pozměňovací návrh   19

Návrh nařízení

Bod odůvodnění 40

Znění navržené Komisí

Pozměňovací návrh

(40) Zpracování osobních údajů pro jiné účely by mělo být přípustné pouze v případech, pokud je slučitelné s účely, pro které byly údaje původně sbírány, zejména pokud je zpracování nezbytné pro účely historiografického, statistického a vědeckého výzkumu. Pokud jiný účel není slučitelný s původním účelem, pro který byly údaje sbírány, měl by správce pro tento účel zpracování získat souhlas subjektu údajů nebo by měl při zpracování vycházet z jiného oprávněného důvodu pro zákonné zpracování, který například vyplývá z práva Unie nebo práva členského státu, kterému správce podléhá. V každém případě by mělo být zajištěno, že budou zásady stanovené tímto nařízením uplatňovány a subjekt údajů bude informován o těchto jiných účelech.

vypouští se

Pozměňovací návrh   20

Návrh nařízení

Bod odůvodnění 41

Znění navržené Komisí

Pozměňovací návrh

(41) Osobní údaje, které jsou ve své podstatě obzvláště citlivé a ohrožené z hlediska základních práv nebo soukromí, si zaslouží zvláštní ochranu. Tyto údaje by neměly být zpracovávány bez výslovného souhlasu subjektu údajů. Avšak měly by být jednoznačně stanoveny odchylky od tohoto zákazu, aby se vyhovělo zvláštním potřebám, zejména pokud je zpracování těchto údajů prováděno v průběhu legitimních činností některých sdružení či nadací, jejichž cílem je umožnit výkon základních svobod.

vypouští se

Pozměňovací návrh   21

Návrh nařízení

Bod odůvodnění 42

Znění navržené Komisí

Pozměňovací návrh

(42) Odchylky od zákazu zpracování kategorií citlivých údajů by měly být rovněž povoleny, pokud byly učiněny na základě zákona a chráněny vhodnými zárukami na ochranu osobních údajů a jiných základních práv, je-li to opodstatněno z důvodů veřejného zájmu, zejména pokud jde o zdraví, včetně veřejného zdraví, sociální ochrany a řízení zdravotnických služeb, zejména pro zajištění kvality a hospodárnosti v postupech používaných pro vyřizování nároků na plnění a služby v rámci zdravotního pojištění nebo pro účely historiografického, statistického a vědeckého výzkumu.

(42) Odchylky od zákazu zpracování kategorií citlivých údajů by měly být rovněž povoleny, pokud byly učiněny na základě zákona a chráněny vhodnými zárukami na ochranu osobních údajů a jiných základních práv, je-li to opodstatněno z důvodů veřejného zájmu, zejména pokud jde o zdraví, včetně veřejného zdraví, sociální ochrany a řízení zdravotnických služeb, zejména pro zajištění kvality a hospodárnosti v postupech používaných pro vyřizování nároků na plnění a služby v rámci zdravotního pojištění, pro účely historiografického, statistického a vědeckého výzkumu nebo pro archivační služby.

Pozměňovací návrh   22

Návrh nařízení

Bod odůvodnění 45

Znění navržené Komisí

Pozměňovací návrh

(45) Pokud údaje zpracovávané správcem nedovolují správci identifikovat fyzickou osobu, není správce povinen získat dodatečné informace pro zjištění totožnosti subjektu údajů výlučně za účelem dosažení souladu s některým ustanovením tohoto nařízení. V případě žádosti o přístup by správce měl být oprávněn požádat subjekt údajů o další informace, jež by správci údajů umožnily lokalizovat osobní údaje, které daná osoba hledá.

(45) Pokud údaje zpracovávané správcem nedovolují správci identifikovat fyzickou osobu, není správce povinen získat dodatečné informace pro zjištění totožnosti subjektu údajů výlučně za účelem dosažení souladu s některým ustanovením tohoto nařízení. V případě žádosti o přístup by správce měl být oprávněn požádat subjekt údajů o další informace, jež by správci údajů umožnily lokalizovat osobní údaje, které daná osoba hledá. Pokud subjekt údajů může tyto informace poskytnout, správci by neměli mít možnost odmítnout žádost o přístup s odvoláním na nedostatek informací.

Pozměňovací návrh   23

Návrh nařízení

Bod odůvodnění 47

Znění navržené Komisí

Pozměňovací návrh

(47) Měly by být stanoveny postupy, které by subjektům údajů usnadnily výkon jejich práv, jež jim podle tohoto nařízení náležejí, včetně bezplatného používání mechanismů pro podávání žádostí zejména o přístup k údajům, o opravu, výmaz, nebo práva vznést námitku. Správci by měla být uložena povinnost odpovědět na žádost subjektu údajů ve stanovené lhůtě s uvedením důvodů v případě, že žádosti subjektu údajů nevyhoví.

(47) Měly by být stanoveny postupy, které by subjektům údajů usnadnily výkon jejich práv, jež jim podle tohoto nařízení náležejí, včetně používání mechanismů, na jejichž základě bezplatně získají zejména přístup k údajům, možnost opravy a výmazu nebo uplatní práva vznést námitku. Správci by měla být uložena povinnost odpovědět na žádost subjektu údajů v přiměřené lhůtě s uvedením důvodů v případě, že žádosti subjektu údajů nevyhoví.

Pozměňovací návrh   24

Návrh nařízení

Bod odůvodnění 48

Znění navržené Komisí

Pozměňovací návrh

(48) Podle zásad korektního a transparentního zpracování by subjekt údajů měl být informován především o probíhajícím zpracování údajů a jeho účelech, o tom, jak dlouho budou údaje uchovávány, o svém právu na přístup, opravu nebo výmaz a právu podat stížnost. Pokud jsou údaje získávány od subjektu údajů, měl by subjekt údajů být rovněž informován, zda je povinen údaje poskytnout, a o důsledcích v případě, že tyto údaje neposkytne.

(48) Podle zásad korektního a transparentního zpracování by subjekt údajů měl být informován především o probíhajícím zpracování údajů a jeho účelech, o tom, jak dlouho budou údaje pravděpodobně uchovávány pro každý z těchto účelů, zda budou údaje předány třetí straně nebo do třetích zemí, o svém právu vznést námitku, právu na přístup, opravu nebo výmaz a právu podat stížnost. Pokud jsou údaje získávány od subjektu údajů, měl by subjekt údajů být rovněž informován, zda je povinen údaje poskytnout, a o důsledcích v případě, že tyto údaje neposkytne. Tyto informace by měly být subjektu údajů poskytnuty – což může znamenat také učiněny snadno dostupnými –poté, co mu budou podány zjednodušeným způsobem v podobě standardizovaných ikon. Znamená to také, že osobní údaje musí být zpracovávány způsobem, jenž subjektu údajů umožní účinně vykonávat jeho práva.

Pozměňovací návrh   25

Návrh nařízení

Bod odůvodnění 50

Znění navržené Komisí

Pozměňovací návrh

(50) Tuto povinnost však není třeba ukládat, pokud je subjekt údajů již informován nebo pokud zaznamenání nebo sdělování údajů je výslovně stanoveno zákonem nebo pokud poskytnutí těchto informací subjektu údajů není možné nebo by vyžadovalo neúměrné úsilí. Druhá možnost by mohla platit zejména v případě zpracování pro účely historiografického, statistického a vědeckého výzkumu; z tohoto hlediska lze přihlédnout k počtu subjektů údajů, ke stáří údajů, jakož i k přijatým vyrovnávacím opatřením.

(50) Tuto povinnost však není třeba ukládat, pokud je subjekt údajů již informován nebo pokud zaznamenání nebo sdělování údajů je výslovně stanoveno zákonem nebo pokud poskytnutí těchto informací subjektu údajů není možné nebo by vyžadovalo neúměrné úsilí.

Pozměňovací návrh   26

Návrh nařízení

Bod odůvodnění 51

Znění navržené Komisí

Pozměňovací návrh

(51) Každá osoba by měla mít právo na přístup k údajům, které se jí týkají, a toto právo snadno uplatňovat, aby se mohla přesvědčit o zákonnosti jejich zpracování. Každý subjekt údajů by proto měl mít právo vědět a dozvědět se zejména, za jakým účelem se údaje zpracovávají, jak dlouho budou uchovávány, kdo jsou příjemci údajů, podle jakého postupu jsou údaje zpracovávány a jaké mohou být důsledky takového zpracování přinejmenším v případech, kdy je zpracování založeno na profilování. Tímto právem by neměla být dotčena práva a svobody ostatních, například obchodní tajemství nebo duševní vlastnictví a zejména autorské právo chránící programové vybavení. Tyto úvahy by ovšem neměly vést k tomu, že by subjektu údajů byly odepřeny všechny informace.

(51) Každá osoba by měla mít právo na přístup k údajům, které se jí týkají, a toto právo snadno uplatňovat, aby se mohla přesvědčit o zákonnosti jejich zpracování. Každý subjekt údajů by proto měl mít právo vědět a dozvědět se zejména, za jakým účelem se údaje zpracovávají, jak dlouho budou podle odhadu uchovávány, kdo jsou příjemci údajů, podle jakého obecného postupu jsou údaje zpracovávány a jaké mohou být důsledky takového zpracování. Tímto právem by neměla být dotčena práva a svobody ostatních, například obchodní tajemství nebo duševní vlastnictví, například v souvislosti s autorským právem chránícím programové vybavení. Tyto úvahy by ovšem neměly vést k tomu, že by subjektu údajů byly odepřeny všechny informace.

Pozměňovací návrh   27

Návrh nařízení

Bod odůvodnění 53

Znění navržené Komisí

Pozměňovací návrh

(53) Každý subjekt údajů by měl mít právo na opravu osobních údajů, které se ho týkají, a „právo být zapomenut“, pokud uchovávání těchto údajů není v souladu s tímto nařízením. Subjekty údajů by především měly mít právo na to, aby jejich osobní údaje byly vymazány a nebyly dále zpracovávány, pokud tyto údaje již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány, pokud subjekty údajů odvolaly svůj souhlas se zpracováním nebo pokud vznesly námitku proti zpracování osobních údajů, které se jich týkají, nebo pokud zpracování jejich osobních údajů není slučitelné s tímto nařízením z jiných důvodů. Toto právo je obzvláště důležité v případech, kdy subjekt údajů dal svůj souhlas v dětském věku, aniž by si byl v plném rozsahu vědom rizik spojených se zpracováním údajů, a později chce tyto osobní údaje zejména na internetu odstranit. Další uchovávání údajů by však mělo být přípustné, pokud je to nezbytné pro účely historiografického, statistického a vědeckého výzkumu, z důvodů veřejného zájmu v oblasti veřejného zdraví, pro výkon práva na svobodu projevu, pokud to vyžaduje zákon nebo pokud existuje důvod pro omezení zpracování údajů namísto jejich výmazu.

(53) Každý subjekt údajů by měl mít právo na opravu osobních údajů, které se ho týkají, a „právo na výmaz“, pokud uchovávání těchto údajů není v souladu s tímto nařízením. Subjekty údajů by především měly mít právo na to, aby jejich osobní údaje byly vymazány a nebyly dále zpracovávány, pokud tyto údaje již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány, pokud subjekty údajů odvolaly svůj souhlas se zpracováním nebo pokud vznesly námitku proti zpracování osobních údajů, které se jich týkají, nebo pokud zpracování jejich osobních údajů není slučitelné s tímto nařízením z jiných důvodů. Další uchovávání údajů by však mělo být přípustné, pokud je to nezbytné pro účely historiografického, statistického a vědeckého výzkumu, z důvodů veřejného zájmu v oblasti veřejného zdraví, pro výkon práva na svobodu projevu, pokud to vyžaduje zákon nebo pokud existuje důvod pro omezení zpracování údajů namísto jejich výmazu. Právo na výmaz by se nemělo použít také v případě, že je uchování osobních údajů nutné pro plnění smlouvy uzavřené se subjektem údajů, nebo pokud existuje zákonná povinnost uchování těchto údajů.

Pozměňovací návrh   28

Návrh nařízení

Bod odůvodnění 54

Znění navržené Komisí

Pozměňovací návrh

(54) Aby bylo v on-line prostředí posíleno „právo být zapomenut“, mělo by být rovněž rozšířeno právo na výmaz takovým způsobem, aby správce, který zveřejnil osobní údaje, měl povinnost informovat třetí strany, které tyto údaje zpracovávají, že subjekt údajů požaduje vymazání veškerých odkazů na své osobní údaje či veškerých kopií nebo replikací těchto osobních údajů. Správce by měl vzhledem k údajům, za jejichž zveřejnění je zodpovědný, přijmout veškerá rozumná opatření, včetně technických, aby toto informování třetích stran zajistil. V souvislosti se zveřejněním osobních údajů třetí stranou by měl odpovědnost nést správce, pokud třetí straně zveřejnění povolil.

(54) Aby bylo „právo na výmaz“ posíleno v on-line prostředí, mělo by být rozšířeno takovým způsobem, aby správce, který zveřejnil osobní údaje, aniž by k tomu existovaly právní důvody, měl povinnost přijmout veškerá nezbytná opatření k výmazu příslušných údajů, a to i v případě třetích stran, aniž by bylo dotčeno právo subjektu údajů nárokovat odškodnění.

Pozměňovací návrh   29

Návrh nařízení

Bod odůvodnění 54 a (nový)

Znění navržené Komisí

Pozměňovací návrh

 

(54a) Údaje, proti nimž se subjekt údajů ohradil a jejichž správnost nebo nesprávnost nelze určit, se zablokují do doby vyjasnění této záležitosti.

Pozměňovací návrh   30

Návrh nařízení

Bod odůvodnění 55

Znění navržené Komisí

Pozměňovací návrh

(55) Aby měly subjekty údajů větší kontrolu nad svými vlastními údaji a lépe uplatňovaly své právo na přístup, měly by v případě, kdy se osobní údaje zpracovávají elektronicky a ve strukturovaném a běžně používaném formátu, mít právo získat kopii údajů, které se jich týkají, rovněž v běžně používaném elektronickém formátu. Subjekt údajů by měl být rovněž oprávněn přenést údaje, které poskytl, z jedné automatizované aplikace, například ze sociální sítě, do jiné aplikace. To by mělo být možné v případě, kdy subjekt údajů poskytl údaje do automatizovaného systému zpracování na základě svého souhlasu nebo při plnění smlouvy.

(55) Aby měly subjekty údajů větší kontrolu nad svými vlastními údaji a lépe uplatňovaly své právo na přístup, měly by v případě, kdy se osobní údaje zpracovávají elektronicky a ve strukturovaném a běžně používaném formátu, mít právo získat kopii údajů, které se jich týkají, rovněž v běžně používaném elektronickém formátu. Subjekt údajů by měl být rovněž oprávněn přenést údaje, které poskytl, z jedné automatizované aplikace, například ze sociální sítě, do jiné aplikace. Správce údajů je třeba podporovat v rozvíjení interoperabilních formátů umožňujících přenositelnost údajů. To by mělo být možné v případě, kdy subjekt údajů poskytl údaje do automatizovaného systému zpracování na základě svého souhlasu nebo při plnění smlouvy. Poskytovatelé služeb informační společnosti by neměli stanovit, že v zájmu poskytování jejich služeb je toto předávání údajů povinné.

Pozměňovací návrh   31

Návrh nařízení

Bod odůvodnění 56

Znění navržené Komisí

Pozměňovací návrh

(56) V případech, kdy by osobní údaje mohly být oprávněně zpracovávány z důvodu ochrany životně důležitých zájmů subjektu údajů, z důvodů veřejného zájmu, výkonu veřejné správy nebo oprávněných zájmů správce, měl by každý dotčený subjekt údajů přesto mít právo vznést námitku proti zpracování údajů, které se jej týkají. Důkazní břemeno, že jeho oprávněné zájmy mohou převažovat nad zájmy nebo základními právy a svobodami subjektu údajů, by měl nést správce.

(56) V případech, kdy by osobní údaje mohly být oprávněně zpracovávány z důvodu ochrany životně důležitých zájmů subjektu údajů, z důvodů veřejného zájmu, výkonu veřejné správy nebo oprávněných zájmů správce, měl by každý dotčený subjekt údajů přesto mít právo bezplatně, jednoduše a účinně vznést námitku proti zpracování údajů, které se jej týkají. Důkazní břemeno, že jeho oprávněné zájmy mohou převažovat nad zájmy nebo základními právy a svobodami subjektu údajů, by měl nést správce.

Pozměňovací návrh   32

Návrh nařízení

Bod odůvodnění 57

Znění navržené Komisí

Pozměňovací návrh

(57) Pokud jsou údaje zpracovávány pro účely přímého marketingu, měl by mít subjekt údajů právo zdarma, jednoduše a účinně vznést proti tomuto zpracování námitku.

(57) Pokud subjekt údajů právo vznést proti zpracování námitku, správce údajů by mu měl tuto možnost výslovně nabídnout, a to srozumitelným způsobem a ve srozumitelné podobě za použití jasného a běžného jazyka, přičemž by měl tyto informace jasně odlišit od ostatních informací.

Pozměňovací návrh   33

Návrh nařízení

Bod odůvodnění 58

Znění navržené Komisí

Pozměňovací návrh

(58) Každá fyzická osoba by měla mít právo, aby se na ni nevztahovalo žádné opatření založené na profilování prostřednictvím automatizovaného zpracování. Takové opatření by ovšem mělo být přípustné, pokud je výslovně povoleno zákonem, provedeno při uzavírání nebo plnění smlouvy, nebo pokud k tomu subjekt údajů dal svůj souhlas. V každém případě by takové zpracování mělo být spojeno s vhodnými zárukami, jako je informování subjektu údajů a právo na přímý osobní kontakt, jakož i vyloučení dětí z takového opatření.

(58) Aniž by tím byla dotčena legálnost zpracovávání údajů, každá fyzická osoba by měla mít právo vznést námitku proti profilování. Profilování, které vede k opatřením majícím vůči subjektu údajů právní účinky nebo které se obdobným způsobem významně dotýká jeho zájmů, práv a svobod, by mělo být přípustné jen tehdy, pokud je výslovně povoleno zákonem, provedeno při uzavírání nebo plnění smlouvy, nebo pokud k tomu subjekt údajů dal svůj souhlas. V každém případě by takové zpracování mělo být spojeno s vhodnými zárukami, jako je informování subjektu údajů a právo na posouzení prováděné člověkem, jakož i vyloučení dětí z takového opatření. Tato opatření by neměla vést k diskriminaci jednotlivců na základě rasového či etnického původu, politických názorů, náboženského vyznání či přesvědčení, členství v odborech, sexuální orientace nebo genderové identity.

Pozměňovací návrh   34

Návrh nařízení

Bod odůvodnění 58 a (nový)

Znění navržené Komisí

Pozměňovací návrh

 

(58a) Za profilování, které se významně dotýká zájmů, práv a svobod subjektů údajů, by nemělo být považováno profilování založené výlučně na zpracovávání pseudonymních údajů. Jestliže profilování, ať už je založeno na jediném zdroji pseudonymních údajů nebo na shromažďování pseudonymních údajů z různých zdrojů, umožňuje správci přiřadit pseudonymní údaje ke konkrétnímu subjektu údajů, zpracovávané údaje již nelze považovat za pseudonymní.

Pozměňovací návrh   35

Návrh nařízení

Bod odůvodnění 59

Znění navržené Komisí

Pozměňovací návrh

(59) Právo Unie nebo právo členského státu může zavést omezení určitých zásad a práva na informace, přístup, opravu a výmaz nebo práva na přenositelnost údajů, práva vznést námitku, opatření založených na profilování, jakož i omezení týkající se oznamování případů narušení bezpečnosti osobních údajů subjektu údajů nebo určitých souvisejících povinností správců, pokud je to v demokratické společnosti nutné a přiměřené pro zachování veřejné bezpečnosti, mimo jiné pro ochranu lidských životů zejména v reakci na přírodní nebo člověkem způsobené katastrofy, pro prevenci, vyšetřování, odhalování či stíhání trestných činů nebo pro porušování deontologických pravidel regulovaných povolání, ochranu jiných veřejných zájmů Unie nebo členského státu, zejména důležitého hospodářského nebo finančního zájmu Unie nebo členského státu, nebo ochranu subjektu údajů či práv a svobod ostatních. Tato omezení by měla být v souladu s požadavky stanovenými v Listině základních práv Evropské unie a Úmluvě o ochraně lidských práv a základních svobod.

(59) Právní předpisy Unie nebo členských států mohou zavést omezení určitých zásad a práva na informace, opravu a výmaz nebo práva na přístup a na získání údajů, práva vznést námitku, profilování, jakož i omezení týkající se oznamování případů porušení ochrany osobních údajů subjektu údajů nebo určitých souvisejících povinností správců, pokud je to v demokratické společnosti nutné a přiměřené pro zachování veřejné bezpečnosti, mimo jiné pro ochranu lidských životů zejména v reakci na přírodní nebo člověkem způsobené katastrofy, pro předcházení trestným činům a porušování deontologických pravidel regulovaných povolání a jejich vyšetřování a stíhání, a rovněž pokud je to nutné s ohledem na jiné konkrétní a řádně vymezené veřejné zájmy Unie nebo členského státu, zejména jedná-li se o důležitý hospodářský či finanční zájem Unie nebo členského státu, nebo s ohledem na ochranu subjektu údajů či práv a svobod ostatních. Tato omezení by měla být v souladu s požadavky stanovenými v Listině základních práv Evropské unie a Úmluvě o ochraně lidských práv a základních svobod.

Pozměňovací návrh   36

Návrh nařízení

Bod odůvodnění 60

Znění navržené Komisí

Pozměňovací návrh

(60) Měla by být zavedena komplexní odpovědnost správce za jakékoli zpracování osobních údajů prováděné správcem nebo jeho jménem. Správce by měl zejména zajistit, aby každé zpracování bylo v souladu s tímto nařízením, a měl by být povinen tuto skutečnost doložit.

(60) Měla by být zavedena komplexní odpovědnost správce za jakékoli zpracování osobních údajů prováděné správcem nebo jeho jménem, zejména pokud jde o dokumentaci, zabezpečení údajů, posouzení dopadů, inspektora ochrany údajů a dohled orgánů pro ochranu údajů. Správce by měl zejména zajistit, aby každé zpracování bylo v souladu s tímto nařízením, a měl by být schopen tuto skutečnost doložit. Ověření této skutečnosti by měl provést nezávislý interní nebo externí auditor.

Pozměňovací návrh   37

Návrh nařízení

Bod odůvodnění 61

Znění navržené Komisí

Pozměňovací návrh

(61) Ochrana práv a svobod subjektů údajů v souvislosti se zpracováním osobních údajů vyžaduje, aby byla přijata příslušná technická a organizační opatření jak při přípravě zpracování, tak v průběhu vlastního zpracování, s cílem zajistit splnění požadavků tohoto nařízení. Aby správce zajistil a prokázal soulad s tímto nařízením, měl by stanovit interní politiky a přijmout vhodná opatření, která splňují zejména zásady ochrany údajů již od návrhu a standardního nastavení ochrany údajů.

(61) Ochrana práv a svobod subjektů údajů v souvislosti se zpracováním osobních údajů vyžaduje, aby byla přijata příslušná technická a organizační opatření jak při přípravě zpracování, tak v průběhu vlastního zpracování, s cílem zajistit splnění požadavků tohoto nařízení. Aby správce zajistil a prokázal soulad s tímto nařízením, měl by stanovit interní politiky a přijmout vhodná opatření, která splňují zejména zásady ochrany údajů již od návrhu a standardního nastavení ochrany údajů. Zásada ochrany údajů již od návrhu vyžaduje, aby ochrana údajů byla zakotvena v celém životním cyklu technologie, od rané fáze návrhu, přes její definitivní realizaci, používání a konečné odstranění. Vyžaduje také zodpovědnost za výrobky a služby používané správcem či zpracovatelem. Zásada standardního nastavení ochrany údajů vyžaduje, aby nastavení soukromí v případě služeb a produktů automaticky splňovalo obecné zásady ochrany údajů, jako jsou zásada minimalizace údajů a zásada omezení účelu.

Pozměňovací návrh   38

Návrh nařízení

Bod odůvodnění 62

Znění navržené Komisí

Pozměňovací návrh

(62) Pro ochranu práv a svobod subjektů údajů, jakož i z hlediska odpovědnosti správců a zpracovatele je třeba také s ohledem na sledování ze strany orgánů dozoru a jejich opatření jasně vymezit odpovědnosti podle tohoto nařízení, včetně případů, kdy správce určuje účely, podmínky a prostředky zpracování společně s jinými správci nebo kdy je zpracovávání prováděno jménem správce.

(62) Pro ochranu práv a svobod subjektů údajů, jakož i z hlediska odpovědnosti správců a zpracovatele je třeba také s ohledem na sledování ze strany orgánů dozoru a jejich opatření jasně vymezit odpovědnosti podle tohoto nařízení, včetně případů, kdy správce určuje účely, podmínky a prostředky zpracování společně s jinými správci nebo kdy je zpracovávání prováděno jménem správce. Ujednání, k němuž dojde mezi společnými správci, by mělo zohledňovat skutečné úlohy a vztahy společných správců. Zpracovávání osobních údajů v souladu s tímto nařízením by mělo zahrnovat povolení umožňující správci předat údaje společnému správci nebo zpracovateli, kteří je zpracovávají jeho jménem.

Pozměňovací návrh   39

Návrh nařízení

Bod odůvodnění 63

Znění navržené Komisí

Pozměňovací návrh

(63) Pokud správce, který není usazen v Unii, zpracovává osobní údaje subjektů údajů, které mají bydliště v Unii, a toto zpracování souvisí s nabídkou zboží nebo služeb těmto subjektům údajů nebo se sledováním jejich chování, měl by jmenovat svého zástupce; výjimkou jsou případy, kdy je správce usazen ve třetí zemi, která zajišťuje odpovídající úroveň ochrany, nebo kdy je správce malým nebo středním podnikem či orgánem veřejné moci, nebo kdy správce těmto subjektům údajů nabízí zboží nebo služby jen příležitostně. Zástupce by měl jednat jménem správce a orgány dozoru se na něj mohou obracet.

(63) Pokud správce, který není usazen v Unii, zpracovává osobní údaje subjektů údajů v Unii, měl by jmenovat svého zástupce; výjimkou jsou případy, kdy je správce usazen ve třetí zemi, která zajišťuje odpovídající úroveň ochrany, nebo kdy se zpracovávání týká méně než 5000 subjektů údajů za jakékoli období dvanácti po sobě jdoucích měsíců a není prováděno v rámci zvláštních kategorií osobních údajů nebo kdy je správce orgánem veřejné moci nebo kdy správce těmto subjektům údajů nabízí zboží nebo služby jen příležitostně. Zástupce by měl jednat jménem správce a orgány dozoru se na něj mohou obracet.

Pozměňovací návrh   40

Návrh nařízení

Bod odůvodnění 64

Znění navržené Komisí

Pozměňovací návrh

(64) Aby bylo stanoveno, zda správce nabízí zboží a služby subjektu údajů, který má bydliště v Unii, jen příležitostně, mělo by být zjištěno, zda je z celkových činností správce patrné, že nabízení zboží a služeb těmto subjektům údajů představuje pouze doplňující činnost k jeho hlavním činnostem.

(64) Aby bylo stanoveno, zda správce nabízí zboží a služby subjektu údajů v Unii jen příležitostně, mělo by být zjištěno, zda je z celkových činností správce patrné, že nabízení zboží a služeb těmto subjektům údajů představuje pouze doplňující činnost k jeho hlavním činnostem.

Pozměňovací návrh   41

Návrh nařízení

Bod odůvodnění 65

Znění navržené Komisí

Pozměňovací návrh

(65) Aby bylo prokázáno dodržování tohoto nařízení, měl by správce nebo zpracovatel vést záznamy o všech činnostech zpracování. Každý správce a zpracovatel by měl být povinen spolupracovat s orgánem dozoru a na jeho žádost mu zpřístupnit tyto záznamy, aby na jejich základě mohla být provedena kontrola zpracování.

(65) Aby bylo možné prokázat dodržování tohoto nařízení, měl by správce nebo zpracovatel uchovávat záznamy nezbytné ke splnění požadavků stanovených v tomto nařízení. Každý správce a zpracovatel by měl být povinen spolupracovat s orgánem dozoru a na jeho žádost mu zpřístupnit tyto záznamy, aby na jejich základě mohl být posouzen soulad s tímto nařízením. Stejný důraz je však třeba klást na řádné postupy a dodržování pravidel, nikoli pouze na doplňování dokumentace.

Pozměňovací návrh   42

Návrh nařízení

Bod odůvodnění 66

Znění navržené Komisí

Pozměňovací návrh

(66) Aby byla zachována bezpečnost a zabránilo se zpracování údajů, které by bylo v rozporu s tímto nařízením, měl by správce nebo zpracovatel posoudit riziko spojené se zpracováním a přijmout opatření ke zmírnění těchto rizik. Tato opatření by měla zajistit odpovídající úroveň bezpečnosti s ohledem na stav techniky a náklady na jejich provedení v souvislosti s riziky a povahou osobních údajů, které mají být chráněny. Komise by měla při stanovování technických norem a organizačních opatření k zajištění bezpečnosti zpracování podporovat technologickou neutralitu, interoperabilitu a inovace a případně spolupracovat se třetími zeměmi.

(66) Aby byla zachována bezpečnost a zabránilo se zpracování údajů, které by bylo v rozporu s tímto nařízením, měl by správce nebo zpracovatel posoudit riziko spojené se zpracováním a přijmout opatření ke zmírnění těchto rizik. Tato opatření by měla zajistit odpovídající úroveň bezpečnosti s ohledem na stav techniky a náklady na jejich provedení v souvislosti s riziky a povahou osobních údajů, které mají být chráněny. Při stanovování technických norem a organizačních opatření k zajištění bezpečného zpracování by měla být podporována technologická neutralita, interoperabilita a inovace a případně spolupráce se třetími zeměmi.

Pozměňovací návrh   43

Návrh nařízení

Bod odůvodnění 67

Znění navržené Komisí

Pozměňovací návrh

(67) Není-li odpovídajícím způsobem a včas řešeno narušení bezpečnosti osobních údajů, může to příslušnému jednotlivci způsobit značnou hospodářskou ztrátu a společenskou škodu, včetně zneužití jeho identity. Proto by měl správce, jakmile se dozví, že došlo k takovému narušení bezpečnosti, toto narušení oznámit orgánu dozoru bez zbytečného odkladu a, je-li to možné, do 24 hodin. Pokud není možné tak učinit během 24 hodin, měly by být v oznámení vysvětleny důvody této prodlevy. Jednotlivci, jejichž osobní údaje by mohly být narušením bezpečnosti nepříznivě ovlivněny, by měli být bez prodlení vyrozuměni, aby mohli učinit nezbytná opatření. Narušení bezpečnosti by mělo být považováno za škodlivé pro ochranu údajů nebo soukromí subjektu údajů, pokud by mohlo vést například ke krádeži nebo zneužití identity, fyzické újmě, významnému ponížení nebo poškození pověsti. Oznámení by mělo popisovat povahu daného případu narušení bezpečnosti osobních údajů a obsahovat doporučení pro příslušnou osobu, jak případné nežádoucí účinky zmírnit. Oznámení by mělo být subjektu údajů učiněno co nejdříve, jak jen to je možné, a v těsné spolupráci s orgánem dozoru a podle pokynů tohoto orgánu nebo jiného příslušného orgánu (např. donucovacích orgánů). Aby mohl subjekt údajů zmírnit riziko bezprostřední škody, je například nutné subjekt údajů ihned informovat, přičemž delší lhůta může být opodstatněna, je-li potřebné přijmout vhodná opatření, která by zabránila pokračujícímu nebo obdobnému narušení bezpečnosti.

(67) Není-li odpovídajícím způsobem a včas řešeno narušení bezpečnosti osobních údajů, může to příslušnému jednotlivci způsobit značnou hospodářskou ztrátu a společenskou škodu, včetně zneužití jeho identity. Proto by měl správce, jakmile se dozví, že došlo k takovému narušení bezpečnosti, toto narušení oznámit orgánu dozoru bez zbytečného odkladu, tzn. nejpozději do 72 hodin. Důvody prodlevy by měly být případně vysvětleny v oznámení. Jednotlivci, jejichž osobní údaje by mohly být narušením bezpečnosti nepříznivě ovlivněny, by měli být bez prodlení vyrozuměni, aby mohli učinit nezbytná opatření. Narušení bezpečnosti by mělo být považováno za škodlivé pro ochranu údajů nebo soukromí subjektu údajů, pokud by mohlo vést například ke krádeži nebo zneužití identity, fyzické újmě, významnému ponížení nebo poškození pověsti. Oznámení by mělo popisovat povahu daného případu narušení bezpečnosti osobních údajů a obsahovat doporučení pro příslušnou osobu, jak případné nežádoucí účinky zmírnit. Oznámení by mělo být subjektu údajů učiněno co nejdříve, jak jen to je možné, a v těsné spolupráci s orgánem dozoru a podle pokynů tohoto orgánu nebo jiného příslušného orgánu (např. donucovacích orgánů). Aby mohl subjekt údajů zmírnit riziko bezprostřední škody, je například nutné subjekt údajů ihned informovat, přičemž delší lhůta může být opodstatněna, je-li potřebné přijmout vhodná opatření, která by zabránila pokračujícímu nebo obdobnému narušení bezpečnosti.

Pozměňovací návrh   44

Návrh nařízení

Bod odůvodnění 71 a (nový)

Znění navržené Komisí

Pozměňovací návrh

 

(71a) Posouzení dopadu jsou základním pilířem jakéhokoli udržitelného rámce pro ochranu údajů, jelikož podniky si jsou díky nim již od počátku vědomy všech možných důsledků, které jejich zpracovávání údajů může mít. Pokud budou posouzení dopadu důkladná, lze pravděpodobnost jakéhokoli porušení ochrany údajů či operace narušující soukromí významným způsobem omezit. Při posuzování dopadu zpracovávání osobních údajů na jejich ochranu by se mělo soustavně dbát na to, aby se při něm zohledňovala správa údajů během celé jejich existence, tj. od okamžiku jejich sběru, přes jejich zpracování až do okamžiku, kdy jsou vymazány, přičemž by se měly podrobně popsat plánované operace zpracování, rizika z hlediska práv a svobod subjektů údajů, plánovaná opatření k řešení těchto rizik, záruky, bezpečnostní opatření a mechanismy k zajištění souladu s tímto nařízením.

Pozměňovací návrh   45

Návrh nařízení

Bod odůvodnění 71 b (nový)

Znění navržené Komisí

Pozměňovací návrh

 

(71b) Správci by se měli zaměřit na ochranu osobních údajů v průběhu celého životního cyklu údajů od jejich sběru a zpracovávání až po jejich výmaz, a to tím, že již předem investují do udržitelného rámce správy údajů, na nějž bude navazovat komplexní mechanismus zajišťující dodržování pravidel.

Pozměňovací návrh   46

Návrh nařízení

Bod odůvodnění 73

Znění navržené Komisí

Pozměňovací návrh

(73) Posouzení dopadu na ochranu údajů by měl vypracovat orgán veřejné moci nebo veřejný subjekt, pokud takové posouzení dopadů nebylo vypracováno již v souvislosti s přijetím vnitrostátního zákona, na jehož základě orgán veřejné moci nebo veřejný subjekt plní své úkoly a který upravuje dané specifické úkony nebo soubory úkonů spojené se zpracováním.

vypouští se

Pozměňovací návrh   47

Návrh nařízení

Bod odůvodnění 74

Znění navržené Komisí

Pozměňovací návrh

(74) Pokud z posouzení dopadu na ochranu údajů vyplývá, že zpracovávání s sebou nese vysoké specifické riziko z hlediska práv a svobod subjektů údajů, například riziko, že dané osoby nebudou moci uplatnit své právo na ochranu údajů, nebo riziko plynoucí z využití nových specifických technologií, měl by být před zahájením činností konzultován orgán dozoru ohledně rizikového zpracování, které možná není v souladu s tímto nařízením, aby předložil návrhy na nápravu této situace. Tato konzultace může být rovněž uskutečněna během přípravy legislativního opatření vnitrostátního parlamentu nebo opatření založeného na tomto legislativním opatření, které vymezuje povahu zpracování a stanoví vhodné záruky.

(74) Pokud z posouzení dopadu na ochranu údajů vyplývá, že zpracovávání s sebou nese vysoké specifické riziko z hlediska práv a svobod subjektů údajů, například riziko, že dané osoby nebudou moci uplatnit své právo na ochranu údajů, nebo riziko plynoucí z využití nových specifických technologií, měl by být před zahájením činností konzultován inspektor ochrany údajů nebo orgán dozoru ohledně rizikového zpracování, které možná není v souladu s tímto nařízením, aby předložil návrhy na nápravu této situace. Konzultace orgánu dozoru by měla být rovněž uskutečněna během přípravy legislativního opatření vnitrostátního parlamentu nebo opatření založeného na tomto legislativním opatření, které vymezuje povahu zpracování a stanoví vhodné záruky.

Pozměňovací návrh   48

Návrh nařízení

Bod odůvodnění 74 a (nový)

Znění navržené Komisí

Pozměňovací návrh

 

(74a) Posouzení dopadu mohou být přínosná pouze tehdy, pokud správci zajistí, že naplní cíle, s nimiž byla původně koncipována. Správci údajů by proto měli provádět pravidelné přezkumy souladu s pravidly o ochraně údajů, které prokážou, že jimi uplatňované mechanismy zpracovávání údajů odpovídají požadavkům stanoveným v posouzení dopadu zpracovávání údajů na jejich ochranu. Dále by se mělo v jejich rámci prokázat, že správce údajů je schopen vyhovět svobodným rozhodnutím subjektů údajů. Pokud se při přezkumu zjistí v dodržování souladu nedostatky, je třeba na ně upozornit a formulovat doporučení, jak docílit souladu v plné míře.

Pozměňovací návrh   49

Návrh nařízení

Bod odůvodnění 75

Znění navržené Komisí

Pozměňovací návrh

(75) Pokud je zpracování prováděno ve veřejném sektoru nebo velkým soukromým podnikem, nebo pokud hlavní činnosti podniku bez ohledu na jeho velikost zahrnují zpracovávání, jež vyžaduje pravidelné a systematické sledování, měla by správci nebo zpracovateli při sledování toho, zda je v rámci podniku dodržován soulad s tímto nařízením, asistovat další osoba. Tito inspektoři ochrany údajů, bez ohledu na to, zda se jedná o zaměstnance správce, či nikoli, by měli plnit své povinnosti a úkoly nezávisle.

(75) Pokud je zpracování prováděno ve veřejném sektoru nebo pokud je prováděno v soukromém sektoru a týká se více než 5000 subjektů údajů za 12 měsíců, nebo pokud hlavní činnosti podniku bez ohledu na jeho velikost zahrnují zpracovávání citlivých údajů nebo zpracovávání, jež vyžaduje pravidelné a systematické sledování, měla by správci nebo zpracovateli při sledování toho, zda je v rámci podniku dodržován soulad s tímto nařízením, asistovat další osoba. V rámci zjišťování, zda jsou zpracovávány údaje o velkém počtu subjektů údajů, by se neměly zohledňovat archivované údaje, pro něž platí omezení v tom smyslu, že k nim není možný běžný přístup, nepodléhají zpracování správcem a nelze je již změnit. Tito inspektoři ochrany údajů, bez ohledu na to, zda se jedná o zaměstnance správce, či nikoli, a zda tento úkol provádějí na plný úvazek, či nikoli, by měli plnit své povinnosti a úkoly nezávisle a měla by se na ně vztahovat zvláštní ochrana před propuštěním. Konečnou odpovědnost by mělo i nadále nést vedení příslušné organizace. S cílem zajistit dodržování zásad ochrany soukromí již od návrhu a standardního nastavení ochrany soukromí je především třeba vést konzultace s inspektorem ochrany údajů již před navrhováním systémů automatizovaného zpracování osobních údajů, zadáváním zakázek, vývojem a vytvářením těchto systémů.

Pozměňovací návrh   50

Návrh nařízení

Bod odůvodnění 75 a (nový)

Znění navržené Komisí

Pozměňovací návrh

 

(75a) Inspektor ochrany údajů by měl mít alespoň následující kvalifikace: rozsáhlé znalosti právních předpisů o ochraně údajů a jejich uplatňování, včetně technických a organizačních opatření a postupů; znalosti technických požadavků týkajících se zajištění ochrany soukromí již od návrhu, standardního nastavení ochrany soukromí a zabezpečení údajů; znalosti v příslušné oblasti podle velikosti správce nebo zpracovatele a citlivosti údajů, jež mají být zpracovávány; schopnost provádět inspekce, vést konzultace, vypracovat dokumentaci a provádět analýzy logovacích souborů a schopnost spolupracovat se zástupci zaměstnanců. Správce by měl inspektorovi ochrany údajů umožnit účast na pokročilé odborné přípravě, aby si inspektor mohl udržovat odborné znalosti požadované pro výkon svých povinností. Jmenování do funkce inspektora ochrany údajů nemusí nutně vyžadovat činnost příslušného zaměstnance na plný úvazek.

Pozměňovací návrh   51

Návrh nařízení

Bod odůvodnění 76

Znění navržené Komisí

Pozměňovací návrh

(76) Sdružení nebo jiné subjekty zastupující určité kategorie správců by měly být podněcovány k tomu, aby v souladu s tímto nařízením vypracovaly kodexy chování s cílem usnadnit účinné uplatňování tohoto nařízení, a to při zohlednění zvláštní povahy zpracování v některých oblastech.

(76) Sdružení nebo jiné subjekty zastupující určité kategorie správců by měly být po konzultaci se zástupci zaměstnanců podněcovány k tomu, aby v souladu s tímto nařízením vypracovaly kodexy chování s cílem usnadnit účinné uplatňování tohoto nařízení, a to při zohlednění zvláštní povahy zpracování v některých oblastech. Tyto kodexy by měly odvětví usnadnit dodržování tohoto nařízení.

Pozměňovací návrh   52

Návrh nařízení

Bod odůvodnění 77

Znění navržené Komisí

Pozměňovací návrh

(77) Aby se zvýšila transparentnost a zlepšilo dodržování tohoto nařízení, mělo by být podpořeno zavedení mechanismů pro vydávání osvědčení, pečetí a známek dokládajících ochranu údajů, aby subjekty údajů mohly rychle zhodnotit úroveň ochrany údajů u příslušných produktů a služeb.

(77) Aby se zvýšila transparentnost a zlepšilo dodržování tohoto nařízení, mělo by být podpořeno zavedení mechanismů pro vydávání osvědčení, pečetí a standardizovaných známek dokládajících ochranu údajů, aby subjekty údajů mohly rychle, spolehlivě a ověřitelným způsobem zhodnotit úroveň ochrany údajů u příslušných produktů a služeb. Na evropské úrovni je třeba zavést Evropskou pečeť ochrany údajů, která by měla vytvořit důvěru mezi subjekty údajů, přinést právní jistotu správcům a současně exportovat evropské normy ochrany údajů tím, že neevropským společnostem, které získají osvědčení, bude usnadněn vstup na evropské trhy.

Pozměňovací návrh   53

Návrh nařízení

Bod odůvodnění 79

Znění navržené Komisí

Pozměňovací návrh

(79) Tímto nařízením nejsou dotčeny mezinárodní dohody uzavřené mezi Unií a třetími zeměmi o předávání osobních údajů včetně vhodných záruk pro subjekty údajů.

(79) Tímto nařízením nejsou dotčeny mezinárodní dohody uzavřené mezi Unií a třetími zeměmi o předávání osobních údajů včetně vhodných záruk pro subjekty údajů, které zajistí dostatečnou úroveň ochrany základních práv občanů.

Pozměňovací návrh   54

Návrh nařízení

Bod odůvodnění 80

Znění navržené Komisí

Pozměňovací návrh

(80) Komise může s účinkem pro celou Unii rozhodnout, že určité třetí země nebo území či odvětví zpracovávání v dané třetí zemi nebo určitá mezinárodní organizace zajišťují vhodnou úroveň ochrany údajů, a tímto způsobem ve vztahu k třetím zemím nebo mezinárodním organizacím, které jsou považovány za schopné poskytovat takovou úroveň ochrany, zajišťují právní jistotu a jednotné uplatňování práva v celé Unii. V těchto případech mohou být osobní údaje do těchto zemí předávány, aniž by bylo třeba získat další povolení.

(80) Komise může s účinkem pro celou Unii rozhodnout, že určité třetí země nebo území či odvětví zpracovávání v dané třetí zemi nebo určitá mezinárodní organizace zajišťují vhodnou úroveň ochrany údajů, a tímto způsobem ve vztahu k třetím zemím nebo mezinárodním organizacím, které jsou považovány za schopné poskytovat takovou úroveň ochrany, zajišťují právní jistotu a jednotné uplatňování práva v celé Unii. Komise může rovněž rozhodnout o zrušení takového rozhodnutí, pokud tuto skutečnost třetí zemi oznámila a plně odůvodnila.

Pozměňovací návrh   55

Návrh nařízení

Bod odůvodnění 82

Znění navržené Komisí

Pozměňovací návrh

(82) Komise může rovněž uznat, že třetí země nebo území či odvětví zpracovávání v dané třetí zemi nebo určitá mezinárodní organizace nezajišťuje přiměřenou úroveň ochrany údajů. Předávání osobních údajů do této třetí země by tudíž mělo být zakázáno. V tomto případě by měly být naplánovány konzultace mezi Komisí a těmito třetími zeměmi nebo mezinárodními organizacemi.

(82) Komise může rovněž uznat, že třetí země nebo území či odvětví zpracovávání v dané třetí zemi nebo určitá mezinárodní organizace nezajišťuje přiměřenou úroveň ochrany údajů. Za předpisy, které takovou úroveň ochrany nezajišťují, by měly být považovány veškeré právní předpisy, které k osobním údajům zpracovávaným v Unii umožňují přístup ze třetí země, aniž by to bylo v souladu s právními předpisy Unie či členského státu. Předávání osobních údajů do této třetí země by tudíž mělo být zakázáno. V tomto případě by měly být naplánovány konzultace mezi Komisí a těmito třetími zeměmi nebo mezinárodními organizacemi.

Pozměňovací návrh   56

Návrh nařízení

Bod odůvodnění 83

Znění navržené Komisí

Pozměňovací návrh

(83) V případě absence rozhodnutí o přiměřenosti by správce nebo zpracovatel měl k odstranění nedostatků v oblasti ochrany údajů ve třetí zemí přijmout vhodné záruky pro ochranu subjektu údajů. Tyto vhodné záruky mohou spočívat ve využívání závazných podnikových pravidel, standardních doložek o ochraně údajů přijatých Komisí, standardních doložek o ochraně údajů přijatých orgánem dozoru nebo smluvních doložek schválených orgánem dozoru nebo jiných vhodných a přiměřených opatření opodstatněných na základě všech okolností spojených s předáváním údajů nebo řady údajů, které byly schváleny orgánem dozoru.

(83) V případě absence rozhodnutí o přiměřenosti by správce nebo zpracovatel měl k odstranění nedostatků v oblasti ochrany údajů ve třetí zemí přijmout vhodné záruky pro ochranu subjektu údajů. Tyto vhodné záruky mohou spočívat ve využívání závazných podnikových pravidel, standardních doložek o ochraně údajů přijatých Komisí, standardních doložek o ochraně údajů přijatých orgánem dozoru nebo smluvních doložek schválených orgánem dozoru. Tyto vhodné záruky by měly podpořit dodržování práv subjektů ve stejné míře, jak se tomu děje při zpracovávání údajů uvnitř EU, zejména pokud jde o omezení účelu, právo na přístup, opravu, provedení výmazu a právo nárokovat odškodnění. Tyto záruky by měly zejména zajistit dodržování zásad zpracovávání osobních údajů a práv subjektů údajů a stanovit účinné mechanismy nápravy, ale i zajistit dodržování zásad ochrany údajů již od návrhu a zásad standardního nastavení ochrany údajů a zaručit jmenování inspektora ochrany údajů.

Pozměňovací návrh   57

Návrh nařízení

Bod odůvodnění 84

Znění navržené Komisí

Pozměňovací návrh

(84) Skutečnost, že správci a zpracovatelé mohou používat standardní doložky o ochraně údajů přijaté Komisí nebo orgánem dozoru, by neměla správcům a zpracovatelům bránit v tom, aby zahrnuli standardní doložky o ochraně údajů i do rozsáhlejších smluv nebo doplnili jiné doložky, pokud tyto nejsou v přímém či nepřímém rozporu se standardními smluvními doložkami přijatými Komisí nebo orgánem dozoru nebo pokud neomezují práva a svobody subjektů údajů.

(84) Skutečnost, že správci a zpracovatelé mohou používat standardní doložky o ochraně údajů přijaté Komisí nebo orgánem dozoru, by neměla správcům a zpracovatelům bránit v tom, aby zahrnuli standardní doložky o ochraně údajů i do rozsáhlejších smluv nebo doplnili jiné doložky či dodatečné záruky, pokud tyto nejsou v přímém či nepřímém rozporu se standardními smluvními doložkami přijatými orgánem dozoru nebo pokud neomezují práva a svobody subjektů údajů. Standardní doložky o ochraně údajů přijaté Komisí by se mohly vztahovat na různé situace, zejména na situaci, kdy správci usazení v Evropské unii předávají údaje správcům usazeným mimo Evropskou unii či zpracovatelům usazeným mimo Evropskou unii, včetně dílčích zpracovatelů. Správci a zpracovatelé by měli být vybízeni k poskytování ještě větších záruk prostřednictvím dodatečných smluvních závazků, které doplní standardní doložky o ochraně údajů.

Pozměňovací návrh   58

Návrh nařízení

Bod odůvodnění 85

Znění navržené Komisí

Pozměňovací návrh

(85) Skupina podniků by měla mít možnost pro své mezinárodní předávání údajů z Unie organizacím ve stejné skupině podniků využívat schválená závazná podniková pravidla, pokud tato pravidla obsahují základní zásady a vymahatelná práva pro zajištění vhodných záruk pro předávání nebo kategorie předávání osobních údajů.

(85) Skupina podniků by měla mít možnost pro své mezinárodní předávání údajů z Unie organizacím ve stejné skupině podniků využívat schválená závazná podniková pravidla, pokud tato pravidla obsahují všechny základní zásady a vymahatelná práva pro zajištění vhodných záruk pro předávání nebo kategorie předávání osobních údajů.

Pozměňovací návrh   59

Návrh nařízení

Bod odůvodnění 86

Znění navržené Komisí

Pozměňovací návrh

(86) Měla by být stanovena možnost předávat údaje za určitých okolností, pokud subjekt údajů dal svůj souhlas, pokud je předávání nezbytné v souvislosti se smlouvou anebo s uplatňováním právního nároku, pokud je to nutné z důvodů důležitého veřejného zájmu stanoveného právem Unie nebo členského státu nebo pokud je předávání prováděno z rejstříku zřízeného ze zákona, přístupného veřejnosti nebo osobám s oprávněným zájmem. V tomto případě by se takové předání nemělo týkat všech údajů ani celých kategorií údajů obsažených v tomto rejstříku, a pokud má být rejstřík přístupný osobám s oprávněným zájmem, mělo by být předání uskutečněno pouze na žádost těchto osob nebo pokud jsou tyto osoby jejich příjemci.

(86) Měla by být stanovena možnost předávat údaje za určitých okolností, pokud subjekt údajů dal svůj souhlas, pokud je předávání nezbytné v souvislosti se smlouvou anebo s uplatňováním právního nároku, pokud je to nutné z důvodů důležitého veřejného zájmu stanoveného právem Unie nebo členského státu nebo pokud je předávání prováděno z rejstříku zřízeného ze zákona, přístupného veřejnosti nebo osobám s oprávněným zájmem. V tomto případě by se takové předání nemělo týkat všech údajů ani celých kategorií údajů obsažených v tomto rejstříku, a pokud má být rejstřík přístupný osobám s oprávněným zájmem, mělo by být předání uskutečněno pouze na žádost těchto osob nebo pokud jsou tyto osoby jejich příjemci, přičemž je třeba plně zohlednit zájmy a základní práva subjektu údajů.

Pozměňovací návrh   60

Návrh nařízení

Bod odůvodnění 87

Znění navržené Komisí

Pozměňovací návrh

(87) Tyto odchylky se uplatní zejména v případech, kdy jsou předání údajů požadovaná a nutná k ochraně důležitého veřejného zájmu, například v případech mezinárodního předávání údajů mezi příslušnými orgány pro hospodářskou soutěž, daňovými či celními správami, orgány finančního dohledu, útvary příslušnými v oblasti sociálního zabezpečení nebo příslušnými orgány pro prevenci, vyšetřování, odhalování či stíhání trestných činů.

(87) Tyto výjimky by se měly uplatnit zejména v případech, kdy je předání údajů nezbytné a nutné k ochraně z důležitých důvodů veřejného zájmu, například v případech mezinárodního předávání údajů mezi orgány pro hospodářskou soutěž, daňovými či celními správami, orgány finančního dohledu, útvary příslušnými v oblasti sociálního zabezpečení nebo veřejného zdraví nebo příslušnými veřejnými orgány pro prevenci, vyšetřování, odhalování a stíhání trestných činů, včetně oblasti předcházení praní peněz a boje proti financování terorismu. Předání osobních údajů by mělo být považováno za zákonné rovněž tehdy, pokud je nezbytné pro ochranu životně důležitého zájmu subjektu údajů nebo jiné osoby, za předpokladu, že subjekt údajů není schopen udělit souhlas. Předávání osobních údajů z důvodu tak důležitého, jako je veřejný zájem, by se mělo uskutečňovat jen příležitostně. V každém případě je třeba provést pečlivé posouzení veškerých okolností, za nichž k předání údajů dojde.

Pozměňovací návrh   61

Návrh nařízení

Bod odůvodnění 88

Znění navržené Komisí

Pozměňovací návrh

(88) Předání, které nelze označit za časté nebo značného rozsahu, by mohla být možná rovněž pro účely oprávněných zájmů správce nebo zpracovatele, pokud posoudil všechny okolnosti daného předání údajů. Při zpracování údajů pro účely historiografického, statistického a vědeckého výzkumu by měla být zohledněna oprávněná očekávání společnosti ohledně zvyšování znalostí.

Při zpracování údajů pro účely historiografického, statistického a vědeckého výzkumu by měla být zohledněna oprávněná očekávání společnosti ohledně zvyšování znalostí.

Pozměňovací návrh   62

Návrh nařízení

Bod odůvodnění 89

Znění navržené Komisí

Pozměňovací návrh

(89) V každém případě, pokud Komise nepřijala rozhodnutí o odpovídající úrovni ochrany údajů ve třetí zemi, by měl správce nebo zpracovatel využít řešení, na jejichž základě je zaručeno, že jakmile jsou údaje předány, subjekty údajů i nadále požívají základních práv a záruk platných při zpracování jejich údajů v Unii.

(89) V každém případě, pokud Komise nepřijala rozhodnutí o odpovídající úrovni ochrany údajů ve třetí zemi, by měl správce nebo zpracovatel využít řešení, na jejichž základě získají správci údajů právně závaznou záruku, že jakmile jsou údaje předány, požívají i nadále základních práv a záruk platných při zpracování jejich údajů v Unii, pokud se zpracování údajů neprovádí masově, opakovaně ani strukturovaně. Součástí této záruky je i finanční odškodnění v případě ztráty údajů či nedovoleného přístupu nebo zpracování těchto údajů a závazek poskytnout bez ohledu na vnitrostátní právní předpisy veškeré podrobnosti o každém přístupu orgánů veřejné moci ve třetích zemích k těmto údajům.

Pozměňovací návrh   63

Návrh nařízení

Bod odůvodnění 90

Znění navržené Komisí

Pozměňovací návrh

(90) Některé třetí země přijaly zákony, nařízení a jiné právní předpisy, které mají přímo upravovat zpracovávání údajů ze strany fyzických nebo právnických osob spadajících do pravomoci členských států. Používání těchto zákonů, nařízení a jiných právních předpisů mimo území těchto třetích zemí může znamenat porušení mezinárodního práva a narušovat ochranu fyzických osob zaručenou v Unii tímto nařízením. Předávání údajů by mělo být přípustné jen tehdy, jsou-li splněny podmínky předávání údajů do třetích zemí stanovené v tomto nařízení. Tak tomu může být například v případě, kdy je sdělení údajů nezbytné z důvodu důležitého veřejného zájmu, jenž je uznán v právu Unie nebo v právu členského státu, kterému správce podléhá. Podmínky, za jakých se jedná o důvod důležitého veřejného zájmu, by měla Komise blíže vymezit v aktu v přenesené pravomoci.

(90) Některé třetí země přijaly zákony, nařízení a jiné právní předpisy, které mají přímo upravovat zpracovávání údajů ze strany fyzických nebo právnických osob spadajících do pravomoci členských států. Používání těchto zákonů, nařízení a jiných právních předpisů mimo území těchto třetích zemí může znamenat porušení mezinárodního práva a narušovat ochranu fyzických osob zaručenou v Unii tímto nařízením. Předávání údajů by mělo být přípustné jen tehdy, jsou-li splněny podmínky předávání údajů do třetích zemí stanovené v tomto nařízení. Tak tomu může být například v případě, kdy je sdělení údajů nezbytné z důvodu důležitého veřejného zájmu, jenž je uznán v právu Unie nebo v právu členského státu, kterému správce podléhá. Podmínky, za jakých se jedná o důvod důležitého veřejného zájmu, by měla Komise blíže vymezit v aktu v přenesené pravomoci. Komise by měla zajistit, že bude vždy uplatňováno právo EU, pokud se správce či zpracovatel ocitne v situaci, kdy se unijní předpisy a předpisy třetí země nebudou shodovat. Komise by měla správci a zpracovateli poskytovat pokyny a pomoc a měla by usilovat o to, aby se příslušný právní konflikt se třetí zemí vyřešil.

Pozměňovací návrh   64

Návrh nařízení

Bod odůvodnění 92

Znění navržené Komisí

Pozměňovací návrh

(92) Zřízení orgánů dozoru vykonávajících zcela nezávisle své úkoly v členských státech je zásadním prvkem ochrany jednotlivců v souvislosti se zpracováním osobních údajů. Členské státy mohou zřídit více než jeden orgán dozoru, pokud to odpovídá jejich ústavní, organizační a administrativní struktuře.

(92) Zřízení orgánů dozoru vykonávajících zcela nezávisle své úkoly v členských státech je zásadním prvkem ochrany jednotlivců v souvislosti se zpracováním osobních údajů. Členské státy mohou zřídit více než jeden orgán dozoru, pokud to odpovídá jejich ústavní, organizační a administrativní struktuře. Orgán musí mít s ohledem na počet obyvatel a rozsah zpracovávání osobních údajů odpovídající finanční a lidské zdroje, aby byl schopen plnit svou úlohu v plném rozsahu.

Pozměňovací návrh   65

Návrh nařízení

Bod odůvodnění 94

Znění navržené Komisí

Pozměňovací návrh

(94) Každému orgánu dozoru by měly být poskytnuty odpovídající finanční a lidské zdroje, prostory a infrastruktura, které bude potřebovat pro účinné vykonávání svých úkolů, včetně úkolů, jež bude plnit v rámci vzájemné pomoci a spolupráce s ostatními orgány dozoru v celé Unii.

(94) Každému orgánu dozoru by měly být poskytnuty odpovídající finanční a lidské zdroje, přičemž se zvláštní pozornost věnuje zajištění odpovídajících technických dovedností zaměstnanců a jejich znalostí práva, a prostory a infrastruktura, které bude potřebovat pro účinné vykonávání svých úkolů, včetně úkolů, jež bude plnit v rámci vzájemné pomoci a spolupráce s ostatními orgány dozoru v celé Unii.

Pozměňovací návrh   66

Návrh nařízení

Bod odůvodnění 95

Znění navržené Komisí

Pozměňovací návrh

(95) Obecné podmínky pro členy orgánu dozoru by měly být v každém členském státě upraveny právním předpisem a zejména by měly stanovit, že tito členové by měli být jmenováni parlamentem nebo vládou členského státu, a dále by měly obsahovat pravidla o osobní způsobilosti členů a jejich postavení.

(95) Obecné podmínky pro členy orgánu dozoru by měly být v každém členském státě upraveny právním předpisem a zejména by měly stanovit, že tito členové by měli být jmenováni parlamentem nebo vládou členského státu, přičemž je třeba dbát na minimalizaci rizika politického vměšování, a dále by měly obsahovat pravidla o osobní způsobilosti členů a jejich postavení a o předcházení střetům zájmů.

Pozměňovací návrh   67

Návrh nařízení

Bod odůvodnění 97

Znění navržené Komisí

Pozměňovací návrh

(97) Dochází-li ke zpracování osobních údajů v rámci činnosti některé provozovny správce nebo zpracovatele ve více členských státech Unie, měl by být k dohledu nad činnostmi prováděnými správcem či zpracovatelem v celé Unii a k přijímání souvisejících rozhodnutí příslušný jen jediný orgán dozoru, aby se zlepšilo jednotné uplatňování předpisů, poskytla právní jistota a snížila administrativní zátěž těchto správců a zpracovatelů.

(97) Dochází-li ke zpracování osobních údajů v rámci činnosti některé provozovny správce nebo zpracovatele ve více členských státech Unie, jediným kontaktním místem a vedoucím orgánem odpovědným za dohled nad správcem či zpracovatelem v celé Unii a k přijímání souvisejících rozhodnutí by měl být jediný orgán dozoru, aby se zlepšilo jednotné uplatňování předpisů, poskytla právní jistota a snížila administrativní zátěž těchto správců a zpracovatelů.

Pozměňovací návrh   68

Návrh nařízení

Bod odůvodnění 98

Znění navržené Komisí

Pozměňovací návrh

(98) Příslušný orgán, který převezme úkoly jediného kontaktního místa, by měl být orgán dozoru toho členského státu, v němž má správce nebo zpracovatel hlavní provozovnu.

(98) Vedoucí orgán, který převezme úkoly jediného kontaktního místa, by měl být orgán dozoru toho členského státu, v němž má správce nebo zpracovatel hlavní provozovnu nebo své zastoupení. Na žádost příslušného orgánu může v některých případech určit vedoucí orgán Evropská rada pro ochranu údajů prostřednictvím mechanismu jednotnosti.

Pozměňovací návrh   69

Návrh nařízení

Bod odůvodnění 98 a (nový)

Znění navržené Komisí

Pozměňovací návrh

 

(98a) Subjekt údajů, jehož osobní údaje jsou zpracovávány správcem údajů nebo zpracovatelem v jiném členském státě, by měl mít možnost podat stížnost orgánu dozoru podle vlastního výběru. Vedoucí orgán pro ochranu údajů by měl koordinovat svou činnost s činností dalších zapojených orgánů.

Pozměňovací návrh   70

Návrh nařízení

Bod odůvodnění 101

Znění navržené Komisí

Pozměňovací návrh

(101) Každý orgán dozoru by se měl zabývat stížnostmi podanými kterýmkoli subjektem údajů a záležitost prošetřit. Šetření, které následuje po podání stížnosti, by mělo být s výhradou soudního přezkumu provedeno v rozsahu, jenž je v daném případě přiměřený. Orgán dozoru by měl subjekt údajů v rozumné lhůtě informovat o vývoji a výsledku stížnosti. Subjekt údajů by měl být průběžně informován v případě, kdy je zapotřebí další šetření nebo koordinace s jiným orgánem dozoru.

(101) Každý orgán dozoru by se měl zabývat stížnostmi podanými kterýmkoli subjektem údajů nebo sdružením jednajícím ve veřejném zájmu a záležitost prošetřit. Šetření, které následuje po podání stížnosti, by mělo být s výhradou soudního přezkumu provedeno v rozsahu, jenž je v daném případě přiměřený. Orgán dozoru by měl subjekt údajů nebo sdružení v rozumné lhůtě informovat o vývoji a výsledku stížnosti. Subjekt údajů by měl být průběžně informován v případě, kdy je zapotřebí další šetření nebo koordinace s jiným orgánem dozoru.

Pozměňovací návrh   71

Návrh nařízení

Bod odůvodnění 105

Znění navržené Komisí

Pozměňovací návrh

(105) Aby bylo zajištěno jednotné uplatňování tohoto nařízení v celé Unii, měl by být zaveden mechanismus jednotnosti pro spolupráci mezi orgány dozoru a s Komisí. Tento mechanismus by se měl použít především tehdy, má-li orgán dozoru v úmyslu přijmout opatření ohledně jednotlivých činností zpracování, které souvisejí s nabídkou zboží nebo služeb subjektům údajů v několika členských státech, nebo se sledováním těchto subjektů údajů nebo které by mohly významně ovlivnit volný pohyb osobních údajů. Měl by se použít také v případě, kdy orgán dozoru nebo Komise žádají, aby byla záležitost projednávána v rámci mechanismu jednotnosti. Tímto mechanismem by neměla být dotčena jiná opatření, která by Komise mohla přijmout při výkonu svých pravomocí podle Smluv.

(105) Aby bylo zajištěno jednotné uplatňování tohoto nařízení v celé Unii, měl by být zaveden mechanismus jednotnosti pro spolupráci mezi orgány dozoru a s Komisí. Tento mechanismus by se měl použít především tehdy, má-li orgán dozoru v úmyslu přijmout opatření ohledně jednotlivých činností zpracování, které souvisejí s nabídkou zboží nebo služeb subjektům údajů v několika členských státech, nebo se sledováním těchto subjektů údajů nebo které by mohly významně ovlivnit volný pohyb osobních údajů. Měl by se použít také v případě, kdy orgán dozoru nebo Komise žádají, aby byla záležitost projednávána v rámci mechanismu jednotnosti. Subjekty údajů by navíc měly mít právo dosáhnout jednotnosti, pokud soudí, že opatření orgánu pro ochranu údajů v určitém členském státě toto kritérium nesplňuje. Tímto mechanismem by neměla být dotčena jiná opatření, která by Komise mohla přijmout při výkonu svých pravomocí podle Smluv.

Pozměňovací návrh   72

Návrh nařízení

Bod odůvodnění 106 a (nový)

Znění navržené Komisí

Pozměňovací návrh

 

(106a) V zájmu jednotného uplatňování tohoto nařízení může Evropská rada pro ochranu údajů přijmout v jednotlivých případech rozhodnutí, které je pro příslušné orgány dozoru závazné.

Pozměňovací návrh   73

Návrh nařízení

Bod odůvodnění 107

Znění navržené Komisí

Pozměňovací návrh

(107) Aby byl zajištěn soulad s tímto nařízením, může Komise v této záležitosti zaujmout stanovisko nebo přijmout rozhodnutí, kterým po orgánu dozoru bude vyžadovat, aby přijetí navrhovaného opatření odložil.

vypouští se

Pozměňovací návrh   74

Návrh nařízení

Bod odůvodnění 110

Znění navržené Komisí

Pozměňovací návrh

(110) Na úrovni Unie by měla být zřízena Evropská rada pro ochranu údajů. Tato Rada by měla nahradit pracovní skupinu pro ochranu fyzických osob v souvislosti se zpracováním osobních údajů zřízenou směrnicí 95/46/ES. Měla by být složena z vedoucího orgánu dozoru každého členského státu a evropského inspektora ochrany údajů. Komise by se měla jejích činností účastnit. Evropská rada pro ochranu údajů by měla přispívat k jednotnému uplatňování tohoto nařízení v celé Unii, například poskytovat Komisi poradenství a podporovat spolupráci orgánů dozoru v celé Unii. Evropská rada pro ochranu údajů by měla při plnění svých úkolů jednat nezávisle.

(110) Na úrovni Unie by měla být zřízena Evropská rada pro ochranu údajů. Tato Rada by měla nahradit pracovní skupinu pro ochranu fyzických osob v souvislosti se zpracováním osobních údajů zřízenou směrnicí 95/46/ES. Měla by být složena z vedoucího orgánu dozoru každého členského státu a evropského inspektora ochrany údajů. Evropská rada pro ochranu údajů by měla přispívat k jednotnému uplatňování tohoto nařízení v celé Unii, například poskytovat orgánům Unie poradenství a podporovat spolupráci orgánů dozoru v celé Unii, včetně koordinace společných operací. Evropská rada pro ochranu údajů by měla při plnění svých úkolů jednat nezávisle. Evropská rada pro ochranu údajů by měla prohloubit dialog se zúčastněnými stranami, jako jsou sdružení subjektů údajů, organizace spotřebitelů, správci údajů a další příslušné zúčastněné strany a odborníci.

Pozměňovací návrh   75

Návrh nařízení

Bod odůvodnění 111

Znění navržené Komisí

Pozměňovací návrh

(111) Každý subjekt údajů by měl mít právo podat stížnost orgánu dozoru v jakémkoli členském státě a mít právo na soudní opravný prostředek, jestliže se domnívá, že byla porušena jeho práva podle tohoto nařízení, nebo pokud orgán dozoru na stížnost nereaguje nebo nejedná, přestože je to nutné pro ochranu práva subjektu údajů.

(111) Subjekty údajů by měly mít právo podat stížnost orgánu dozoru v jakémkoli členském státě a mít právo na účinný soudní opravný prostředek v souladu s článkem 47 Listiny základních práv, jestliže se domnívají, že byla porušena jejich práva podle tohoto nařízení, nebo pokud orgán dozoru na stížnost nereaguje nebo nejedná, přestože je to nutné pro ochranu práva subjektu údajů.

Pozměňovací návrh   76

Návrh nařízení

Bod odůvodnění 112

Znění navržené Komisí

Pozměňovací návrh

(112) Veškeré subjekty, organizace nebo sdružení, jejichž cílem je chránit práva a zájmy subjektů údajů v souvislosti s ochranou jejich osobních údajů a jež byly řádně zřízeny podle práva některého členského státu, by měly mít právo vznést jménem subjektů údajů stížnost k orgánu dozoru nebo uplatnit právo na soudní opravný prostředek, nebo nezávisle na stížnosti subjektu údajů podat vlastní stížnost, jestliže se domnívají, že došlo k narušení bezpečnosti osobních údajů.

(112) Veškeré subjekty, organizace nebo sdružení, které jednají ve veřejném zájmu a jež byly řádně zřízeny podle práva některého členského státu, by měly mít právo vznést jménem subjektů údajů s jejich souhlasem stížnost k orgánu dozoru nebo uplatnit právo na soudní opravný prostředek, pokud je tím subjekt údajů pověří, nebo nezávisle na stížnosti subjektu údajů podat vlastní stížnost, jestliže se domnívají, že došlo k porušení tohoto nařízení.

Pozměňovací návrh   77

Návrh nařízení

Bod odůvodnění 114

Znění navržené Komisí

Pozměňovací návrh

(114) Aby byla posílena soudní ochrana subjektu údajů v situacích, kdy je příslušný orgán dozoru usazen v jiném členském státě než je stát, ve kterém má subjekt údajů bydliště, může subjekt údajů požádat jakýkoli subjekt, organizaci nebo sdružení, jejichž cílem je chránit práva a zájmy subjektů údajů v souvislosti s ochranou jejich osobních údajů, aby proti tomuto orgánu dozoru v tomto jiném členském státě jeho jménem zahájil u příslušného soudu řízení.

(114) Aby byla posílena soudní ochrana subjektu údajů v situacích, kdy je příslušný orgán dozoru usazen v jiném členském státě než je stát, ve kterém má subjekt údajů bydliště, může subjekt údajů pověřit jakýkoli subjekt, organizaci nebo sdružení jednající ve veřejném zájmu, aby proti tomuto orgánu dozoru v tomto jiném členském státě zahájil u příslušného soudu řízení.

Pozměňovací návrh   78

Návrh nařízení

Bod odůvodnění 115

Znění navržené Komisí

Pozměňovací návrh

(115) V případech, kdy příslušný orgán dozoru usazený v jiném členském státě v souvislosti se stížností nejedná nebo přijal nedostatečná opatření, může subjekt údajů požádat orgán dozoru v členském státě svého obvyklého pobytu, aby proti tomuto orgánu dozoru v tomto jiném členském státě zahájil u příslušného soudu řízení. Dožadovaný orgán dozoru může s výhradou soudního přezkumu rozhodnout, zda je vhodné této žádosti vyhovět či nikoli.

(115) V případech, kdy příslušný orgán dozoru usazený v jiném členském státě v souvislosti se stížností nejedná nebo přijal nedostatečná opatření, může subjekt údajů požádat orgán dozoru v členském státě svého obvyklého pobytu, aby proti tomuto orgánu dozoru v tomto jiném členském státě zahájil u příslušného soudu řízení. Neplatí to pro občany států mimo EU. Dožadovaný orgán dozoru může s výhradou soudního přezkumu rozhodnout, zda je vhodné této žádosti vyhovět či nikoli.

Pozměňovací návrh   79

Návrh nařízení

Bod odůvodnění 116

Znění navržené Komisí

Pozměňovací návrh

(116) Při řízeních proti správci nebo zpracovateli by žalobce měl mít možnost volby, zda podá žalobu u soudů členského státu, kde je správce nebo zpracovatel usazen nebo kde má subjekt údajů bydliště, s výjimkou případů, kdy je správce orgánem veřejné moci, který jedná v rámci výkonu veřejné moci.

(116) Při řízeních proti správci nebo zpracovateli by žalobce měl mít možnost volby, zda podá žalobu u soudů členského státu, kde je správce nebo zpracovatel usazen nebo, v případě bydliště v EU, kde má subjekt údajů bydliště, s výjimkou případů, kdy je správce orgánem veřejné moci Unie nebo členského státu, který jedná v rámci výkonu veřejné moci.

Pozměňovací návrh   80

Návrh nařízení

Bod odůvodnění 118

Znění navržené Komisí

Pozměňovací návrh

(118) Veškeré škody, které mohou vzniknout osobám v důsledku protiprávního zpracování by měly být nahrazeny správcem nebo zpracovatelem, který může být zproštěn své odpovědnosti, pokud prokáže, že vznik škody mu nelze přičítat, zejména pokud prokáže chybu subjektu údajů nebo případ vyšší moci.

(118) Veškeré škody peněžní i nepeněžní, které mohou vzniknout osobám v důsledku protiprávního zpracování, by měly být nahrazeny správcem nebo zpracovatelem, který může být zproštěn své odpovědnosti, pouze pokud prokáže, že vznik škody mu nelze přičítat, zejména pokud prokáže chybu subjektu údajů nebo případ vyšší moci.

Pozměňovací návrh   81

Návrh nařízení

Bod odůvodnění 119

Znění navržené Komisí

Pozměňovací návrh

(119) Každé osobě, ať již podléhá soukromému či veřejnému právu, která nebude dodržovat toto nařízení, by měly být uloženy sankce. Členské státy by měly zajistit, že sankce budou účinné, přiměřené a odrazující, a měly by přijmout veškerá opatření pro uplatnění sankcí.

(119) Každé osobě, ať již podléhá soukromému či veřejnému právu, která nebude dodržovat toto nařízení, by měly být uloženy sankce. Členské státy by měly zajistit, že sankce budou účinné, přiměřené a odrazující, a měly by přijmout veškerá opatření pro uplatnění sankcí. Pravidla týkající se sankcí by měla podléhat příslušným procesním zárukám v souladu s obecnými zásadami práva Unie a Listiny základních práv, včetně těch, která se týkají práva na účinné soudní ochranné prostředky, řádný proces a zásadu ne bis in idem.

Pozměňovací návrh   82

Návrh nařízení

Bod odůvodnění 119 a (nový)

Znění navržené Komisí

Pozměňovací návrh

 

(119a) Ukládají-li členské státy sankce, měly by v plné míře respektovat příslušné procesní záruky, včetně práva na účinné soudní ochranné prostředky, řádný proces a zásadu ne bis in idem.

Pozměňovací návrh   83

Návrh nařízení

Bod odůvodnění 121

Znění navržené Komisí

Pozměňovací návrh

(121) Zpracování osobních údajů prováděné výlučně pro účely žurnalistiky nebo uměleckého či literárního projevu by mělo opravňovat k výjimce z některých ustanovení tohoto nařízení za účelem uvedení práva na ochranu osobních údajů do souladu s právem na svobodu projevu, a především s právem získávat nebo sdělovat informace tak, jak to zejména zaručuje článek 11 Listiny základních práv Evropské unie. To by mělo platit zejména pro zpracování osobních údajů v audiovizuální oblasti a ve zpravodajských a tiskových archivech. Členské státy by proto měly přijmout legislativní opatření pro stanovování odchylek a výjimek, které jsou nezbytné pro vyvážení těchto základních práv. Členské státy by měly tyto odchylky a výjimky přijímat s ohledem na obecné zásady, práva subjektu údajů, správce a zpracovatele, předávání údajů do třetích zemí nebo mezinárodním organizacím, nezávislé orgány dozoru a na spolupráci a jednotné použití. To by ovšem nemělo vést k tomu, aby členské státy přijímaly výjimky pro jiná ustanovení tohoto nařízení. Aby byl zohledněn význam práva na svobodu projevu v každé demokratické společnosti, je třeba vykládat pojmy související s touto svobodou, například žurnalistika, šířeji. Členské státy by proto měly za účelem stanovení výjimek a odchylek podle tohoto nařízení vymezit „žurnalistické“ činnosti jako činnosti, jejichž cílem je sdělení informací, názorů či myšlenek veřejnosti bez ohledu na to, jaký sdělovací prostředek se použije. Tyto činnosti lze provozovat za účelem zisku či k neziskovým účelům a neměly by být omezeny na mediální podniky.

(121) V případě potřeby by měly být stanoveny výjimky nebo odchylkypožadavků některých ustanovení tohoto nařízení, pokud jde o zpracovávání osobních údajů, za účelem uvedení práva na ochranu osobních údajů do souladu s právem na svobodu projevu, a především s právem získávat nebo sdělovat informace tak, jak to zejména zaručuje článek 11 Listiny základních práv Evropské unie. Členské státy by proto měly přijmout legislativní opatření pro stanovování odchylek a výjimek, které jsou nezbytné pro vyvážení těchto základních práv. Členské státy by měly tyto odchylky a výjimky přijímat s ohledem na obecné zásady, práva subjektu údajů, správce a zpracovatele, předávání údajů do třetích zemí nebo mezinárodním organizacím, nezávislé orgány dozoru, na spolupráci a jednotné použití a zvláštní případy zpracování údajů. To by ovšem nemělo vést k tomu, aby členské státy přijímaly výjimky pro jiná ustanovení tohoto nařízení. Aby byl zohledněn význam práva na svobodu projevu v každé demokratické společnosti, je třeba vykládat pojmy související s touto svobodou šířeji, aby zahrnovaly všechny činnosti, jejichž cílem je sdělení informací, názorů či myšlenek veřejnosti bez ohledu na to, jaký sdělovací prostředek se použije, a přihlížet rovněž k vývoji technologií. Tyto činnosti lze provozovat za účelem zisku či k neziskovým účelům a neměly by být omezeny na mediální podniky.

Pozměňovací návrh   84

Návrh nařízení

Bod odůvodnění 122 a (nový)

Znění navržené Komisí

Pozměňovací návrh

 

(122a) Pracovník, který zpracovává osobní údaje týkající se zdravotního stavu, by měl, pokud je to možné, obdržet anonymizované či pseudonymizované údaje, aby identita zůstala známá pouze praktickému lékaři či odbornému lékaři, který si takové zpracování údajů vyžádal.

Pozměňovací návrh   85

Návrh nařízení

Bod odůvodnění 123

Znění navržené Komisí

Pozměňovací návrh

(123) Z důvodů veřejného zájmu v oblasti veřejného zdraví může být nezbytné zpracovávat osobní údaje o zdravotním stavu bez souhlasu subjektu údajů. V této souvislosti by mělo být „veřejné zdraví“ vykládáno ve smyslu definice v nařízení Evropského parlamentu a Rady (ES) č. 1338/2008 ze dne 16. prosince 2008 o statistice Společenství v oblasti veřejného zdraví a bezpečnosti a ochrany zdraví při práci jako veškeré prvky týkající se zdraví, zejména zdravotní stav včetně nemocnosti a zdravotního postižení, determinanty ovlivňující tento zdravotní stav, potřeby zdravotní péče, prostředky přidělené na zdravotní péči, poskytování zdravotní péče a její všeobecná dostupnost, výdaje na zdravotní péči a její financování a příčiny úmrtnosti. Takové zpracování osobních údajů o zdravotním stavu z důvodu veřejného zájmu by nemělo vést k tomu, aby třetí strany, jako jsou zaměstnavatelé, pojišťovny a finanční společnosti, zpracovávaly osobní údaje pro jiné účely.

(123) Z důvodů veřejného zájmu v oblasti veřejného zdraví může být nezbytné zpracovávat osobní údaje o zdravotním stavu bez souhlasu subjektu údajů. V této souvislosti by mělo být „veřejné zdraví“ vykládáno ve smyslu definice v nařízení Evropského parlamentu a Rady (ES) č. 1338/20081 jako veškeré prvky týkající se zdraví, zejména zdravotní stav včetně nemocnosti a zdravotního postižení, determinanty ovlivňující tento zdravotní stav, potřeby zdravotní péče, prostředky přidělené na zdravotní péči, poskytování zdravotní péče a její všeobecná dostupnost, výdaje na zdravotní péči a její financování a příčiny úmrtnosti.

 

1 Nařízení Evropského parlamentu a Rady (ES) č. 1338/2008 ze dne 16. prosince 2008 o statistice Společenství v oblasti veřejného zdraví a bezpečnosti a ochrany zdraví při práci (Úř. věst. L 354, 31.12.2008, s. 70).

Pozměňovací návrh   86

Návrh nařízení

Bod odůvodnění 123 a (nový)

Znění navržené Komisí

Pozměňovací návrh

 

(123a) Zpracování osobních údajů o zdravotním stavu, což je zvláštní kategorie údajů, může být nezbytné pro historiografický, statistický nebo vědecký výzkum. Toto nařízení proto předvídá výjimku z požadavku na souhlas, pokud se jedná o výzkum, jenž je z hlediska veřejného zájmu velmi významný.

Pozměňovací návrh   87

Návrh nařízení

Bod odůvodnění 124

Znění navržené Komisí

Pozměňovací návrh

(124) Obecné zásady ochrany jednotlivců při zpracování osobních údajů by měly platit také v souvislosti se zaměstnáním. V mezích tohoto nařízení by měly členské státy mít možnost přijmout právním předpisem zvláštní pravidla, která upraví zpracovávání osobních údajů zaměstnanců v souvislosti se zaměstnáním.

(124) Obecné zásady ochrany jednotlivců při zpracování osobních údajů by měly platit také v souvislosti se zaměstnáním a sociálním zabezpečením. Členské státy by měly mít možnost upravit zpracovávání osobních údajů zaměstnanců v souvislosti se zaměstnáním a zpracovávání osobních údajů v souvislosti se sociálním zabezpečením v souladu s pravidly a minimálními normami stanovenými v tomto nařízení. Je-li v dotčeném členském státě zajištěn právní základ pro úpravu pracovněprávních záležitostí dohodou mezi zástupci zaměstnanců a vedením podniku či řídícího podniku skupiny podniků (kolektivní dohoda), nebo podle směrnice Evropského parlamentu a Rady 2009/38/ES1, může být zpracovávání osobních údajů v souvislosti se zaměstnáním rovněž upraveno takovou dohodou.

 

1 Směrnice Evropského parlamentu a Rady 2009/38/ES ze dne 6. května 2009 o zřízení evropské rady zaměstnanců nebo vytvoření postupu pro informování zaměstnanců a projednání se zaměstnanci v podnicích působících na úrovni Společenství a skupinách podniků působících na úrovni Společenství (Úř. věst. L 122, 16.5.2009, s. 28).

Pozměňovací návrh   88

Návrh nařízení

Bod odůvodnění 125 a (nový)

Znění navržené Komisí

Pozměňovací návrh

 

(125a) Osobní údaje mohou být zpracovány také následně archivačními službami, jejichž hlavním nebo povinným úkolem je shromažďovat, uchovávat, využívat a šířit archiválie a poskytovat o nich informace ve veřejném zájmu. Právní předpisy členských států by měly uvést právo na ochranu osobních údajů do souladu s pravidly o archivech a o přístupu veřejnosti k administrativním údajům. Členské státy by měly vybízet k tomu, aby byly, zejména Evropskou skupinou pro archivnictví, vypracována pravidla, která by zaručila důvěrný charakter údajů vůči třetím stranám a autentičnost, neporušenost a řádné uchování údajů.

Pozměňovací návrh              89

Návrh nařízení

Bod odůvodnění 126

Znění navržené Komisí

Pozměňovací návrh

(126) Vědecký výzkum by pro účely tohoto nařízení měl zahrnovat základní výzkum, aplikovaný výzkum a výzkum financovaný ze soukromých zdrojů a kromě toho by měl zohledňovat cíl Unie podle čl. 179 odst. 1 Smlouvy o fungování Evropské unie, tj. vytvořit evropský výzkumný prostor.

(126) Vědecký výzkum by pro účely tohoto nařízení měl zahrnovat základní výzkum, aplikovaný výzkum a výzkum financovaný ze soukromých zdrojů a kromě toho by měl zohledňovat cíl Unie podle čl. 179 odst. 1 Smlouvy o fungování Evropské unie, tj. vytvořit evropský výzkumný prostor. Zpracování osobních údajů pro účely historiografického, statistického a vědeckého výzkumu by nemělo vést ke zpracování osobních údajů pro jiné účely, neděje-li se tak se souhlasem subjektu údajů nebo na základě právních předpisů Unie nebo členského státu

Pozměňovací návrh   90

Návrh nařízení

Bod odůvodnění 128

Znění navržené Komisí

Pozměňovací návrh

(128) V souladu s článkem 17 Smlouvy o fungování Evropské unie toto nařízení respektuje a nepředjímá postavení církví a náboženských sdružení či spolků v členských státech podle vnitrostátního právního řádu. Jestliže církev v některém členském státě v době vstupu tohoto nařízení v platnost uplatňuje komplexní pravidla týkající se ochrany jednotlivců v souvislosti se zpracováváním osobních údajů, tato existující pravidla by měla nadále platit za předpokladu, že se uvedou do souladu s tímto nařízením. Tyto církve a náboženská sdružení by měly mít povinnost zajistit zřízení zcela nezávislého orgánu dozoru.

(128) V souladu s článkem 17 Smlouvy o fungování Evropské unie toto nařízení respektuje a nepředjímá postavení církví a náboženských sdružení či spolků v členských státech podle vnitrostátního právního řádu. Jestliže církev v některém členském státě v době vstupu tohoto nařízení v platnost uplatňuje odpovídající pravidla týkající se ochrany jednotlivců v souvislosti se zpracováváním osobních údajů, tato existující pravidla by měla nadále platit za předpokladu, že se uvedou do souladu s tímto nařízením a uznají se za slučitelná.

Pozměňovací návrh   91

Návrh nařízení

Bod odůvodnění 129

Znění navržené Komisí

Pozměňovací návrh

(129) Aby byly splněny cíle tohoto nařízení, zejména chránit základní práva a svobody fyzických osob a především jejich právo na ochranu osobních údajů a zajistit volný pohyb osobních údajů v rámci Unie, měla by být na Komisi převedena pravomoc přijímat akty v souladu s článkem 290 Smlouvy o fungování Evropské unie. Akty v přenesené pravomoci by měly být přijímány především s ohledem na zákonnost zpracování, vymezování kritérií a podmínek v souvislosti se souhlasem dítěte, zpracování zvláštních kategorií údajů, vymezování kritérií a podmínek určování zjevné nepřiměřenosti žádostí a poplatků pro výkon práv subjektu údajů, kritérií a požadavků pro informování subjektu údajů a v souvislosti s právem na přístup, právem být zapomenut a právem na výmaz, opatření založená na profilování, kritéria a požadavky v souvislosti s odpovědností správce a ochranou údajů již od návrhu a standardním nastavením ochrany údajů, na zpracovatele, na kritéria a požadavky na dokumentaci a bezpečnost zpracování, kritéria a požadavky, pokud jde o zjišťování případů narušení bezpečnosti osobních údajů a jejich oznamování orgánu dozoru a okolnosti, za jakých se narušení bezpečnosti osobních údajů pravděpodobně nepříznivě dotkne subjektu údajů, kritéria a podmínky zpracovávání, pro které je třeba vypracovat posouzení dopadu na ochranu údajů, kritéria a požadavky pro určování vysokého stupně specifických rizik vyžadujících předchozí konzultaci, určení inspektora ochrany údajů a jeho úkolů, kodexy chování, kritéria a požadavky týkající se mechanismů pro vydávání osvědčení, kritéria a požadavky předávání založeného na závazných podnikových pravidlech, na odchylky v předávání údajů, správní sankce, zpracovávání údajů pro zdravotní účely, zpracovávání údajů v souvislosti se zaměstnáním a zpracovávání údajů pro účely historiografického, statistického a vědeckého výzkumu. Je zvláště důležité, aby Komise v rámci přípravné činnosti vedla odpovídající konzultace, a to i na odborné úrovni. Při přípravě a vypracovávání aktů v přenesené pravomoci by Komise měla zajistit, aby byly příslušné dokumenty předány současně, včas a vhodným způsobem Evropskému parlamentu a Radě.

(129) Aby byly splněny cíle tohoto nařízení, zejména chránit základní práva a svobody fyzických osob a především jejich právo na ochranu osobních údajů a zajistit volný pohyb osobních údajů v rámci Unie, měla by být na Komisi převedena pravomoc přijímat akty v souladu s článkem 290 Smlouvy o fungování Evropské unie. Akty v přenesené pravomoci by měly být přijímány především s ohledem na vymezování podmínek poskytování informací pomocí ikon, právo na výmaz, prohlášení, že kodexy chování jsou v souladu s nařízením, kritéria a požadavky týkající se mechanismů pro vydávání osvědčení; odpovídající úroveň ochrany poskytované třetí zemí nebo mezinárodní organizací, kritéria a požadavky předávání založeného na závazných podnikových pravidlech; správní sankce, zpracovávání údajů pro zdravotní účely a zpracovávání údajů v souvislosti se zaměstnáním. Je zvláště důležité, aby Komise v rámci přípravné činnosti vedla odpovídající konzultace, a to i na odborné úrovni, zejména s Evropskou radou pro ochranu údajů. Při přípravě a vypracovávání aktů v přenesené pravomoci by Komise měla zajistit, aby byly příslušné dokumenty předány současně, včas a vhodným způsobem Evropskému parlamentu a Radě.

Pozměňovací návrh   92

Návrh nařízení

Bod odůvodnění 130

Znění navržené Komisí

Pozměňovací návrh

(130) V zájmu zajištění jednotných podmínek pro provádění tohoto nařízení je třeba svěřit Komisi prováděcí pravomoci za účelem stanovení standardních formulářů pro zpracovávání osobních údajů dítěte, standardních postupů a formulářů pro výkon práv subjektu údajů, standardních formulářů pro informování subjektu údajů, standardních formulářů a postupů v souvislosti s právem na přístup a právem na přenositelnost údajů, standardních formulářů v souvislosti s odpovědností správce za ochranu údajů již od návrhu a za standardní nastavení ochrany údajů a za dokumentaci, specifických požadavků na bezpečnost zpracování, standardních formulářů a postupů ohlašování případů narušení bezpečnosti osobních údajů orgánu dozoru a oznamování případů narušení bezpečnosti osobních údajů subjektu údajů, standardů a postupů pro posouzení dopadů na ochranu údajů, formulářů a postupů pro předchozí povolení nebo předchozí konzultaci, technických norem a mechanismů pro vydávání osvědčení, stanovení odpovídající úrovně ochrany poskytované třetí zemí nebo územím či odvětvím zpracovávání v třetí zemi nebo mezinárodní organizací, sdělování údajů nedovoleném právem Unie, vzájemné pomoci, společných operací a rozhodnutích v rámci mechanismu jednotnosti. Tyto pravomoci by měly být vykonávány v souladu s nařízením Evropského parlamentu a Rady (EU) č. 182/2011 ze dne 16. února 2011, kterým se stanoví pravidla a obecné zásady způsobu, jakým členské státy kontrolují Komisi při výkonu prováděcích pravomocí. Komise v této souvislosti zváží zvláštní opatření, zejména pro správce, kteří jsou mikropodniky, malými a středními podniky.

(130) V zájmu zajištění jednotných podmínek pro provádění tohoto nařízení je třeba svěřit Komisi prováděcí pravomoci za účelem stanovení standardních formulářů pro zvláštní metody získávání ověřitelného souhlasu ve vztahu ke zpracovávání osobních údajů dítěte; standardních formulářů pro komunikaci se subjekty údajů o výkonu jejich práv, standardních formulářů pro informování subjektu údajů, standardních formulářů v souvislosti s právem na přístup, včetně pro sdělování osobních údajů subjektu údajů, standardních formulářů v souvislosti s dokumentací, kterou má uchovávat správce a zpracovatel, standardních formulářů ohlašování případů narušení bezpečnosti osobních údajů orgánu dozoru a dokumentace případů narušení bezpečnosti osobních údajů, formulářů pro předchozí konzultaci a informaci orgánu dozoru. Tyto pravomoci by měly být vykonávány v souladu s nařízením Evropského parlamentu a Rady (EU) č. 182/20111. Komise by v této souvislosti měla zvážit zvláštní opatření pro mikropodniky, maléstřední podniky

 

1 Nařízení Evropského parlamentu a Rady (EU) č. 182/2011 ze dne 16. února 2011, kterým se stanoví pravidla a obecné zásady způsobu, jakým členské státy kontrolují Komisi při výkonu prováděcích pravomocí. Komise by v této souvislosti měla zvážit zvláštní opatření pro mikropodniky, malé a střední podniky.

Pozměňovací návrh   93

Návrh nařízení

Bod odůvodnění 131

Znění navržené Komisí

Pozměňovací návrh

(131) Přezkumný postup by se měl použít při přijímání standardních formulářů v souvislosti se souhlasem dítěte, standardních postupů a formulářů pro výkon práv subjektu údajů, standardních formulářů pro informování subjektu údajů, standardních formulářů a postupů v souvislosti s právem na přístup, právem na přenositelnost údajů, standardních formulářů v souvislosti s odpovědností správce za ochranu údajů již od návrhu a za standardní nastavení ochrany údajů a za dokumentaci, při přijímání specifických požadavků na bezpečnost zpracování, standardních formulářů a postupů ohlašování případů narušení bezpečnosti osobních údajů orgánu dozoru a oznamování případů narušení bezpečnosti osobních údajů subjektu údajů, standardů a postupů pro posouzení dopadů na ochranu údajů, formulářů a postupů pro předchozí povolení nebo předchozí konzultaci, technických norem a mechanismů pro vydávání osvědčení, odpovídající úrovně ochrany poskytované třetí zemí nebo územím či odvětvím zpracovávání v třetí zemi nebo mezinárodní organizací, při sdělování údajů nedovoleném právem Unie, vzájemné pomoci, společných operací a rozhodnutích v rámci mechanismu jednotnosti, za předpokladu, že se jedná o akty s obecnou působností.

(131) Přezkumný postup by se měl použít při přijímání standardních formulářů: stanovení standardních formulářů pro zvláštní metody získávání ověřitelného souhlasu ve vztahu ke zpracovávání osobních údajů dítěte; standardních formulářů pro komunikaci se subjekty údajů o výkonu jejich práv, standardních formulářů pro informování subjektu údajů; standardních formulářů v souvislosti s právem na přístup, včetně pro sdělování osobních údajů subjektu údajů, standardních formulářů v souvislosti s dokumentací, kterou má uchovávat správce a zpracovatel, standardních formulářů ohlašování případů narušení bezpečnosti osobních údajů orgánu dozoru a dokumentace případů narušení bezpečnosti osobních údajů, formulářů pro předchozí konzultaci a informaci orgánu dozoru za předpokladu, že se jedná o akty s obecnou působností.

Pozměňovací návrh   94

Návrh nařízení

Bod odůvodnění 132

Znění navržené Komisí

Pozměňovací návrh

(132) Komise by měla v řádně odůvodněných a krajně naléhavých případech týkajících se třetí země nebo území nebo odvětví zpracování v této třetí zemi nebo mezinárodní organizace, která nezajišťuje přiměřenou úroveň ochrany, a související se záležitostmi, které byly sděleny orgánům dozoru v rámci mechanismu jednotnosti, přijmout okamžitě uplatnitelné prováděcí akty.

vypouští se

Pozměňovací návrh              95

Návrh nařízení

Bod odůvodnění 134

Znění navržené Komisí

Pozměňovací návrh

(134) Směrnice 95/46/ES by tudíž měla být tímto nařízením zrušena. Avšak přijatá rozhodnutí Komise a schválení orgánů dozoru vycházející ze směrnice 95/46/ES by měla zůstat v platnosti.

(134) Směrnice 95/46/ES by tudíž měla být tímto nařízením zrušena. Avšak přijatá rozhodnutí Komise a schválení orgánů dozoru vycházející ze směrnice 95/46/ES by měla zůstat v platnosti. Rozhodnutí Komise a povolení orgánů dozoru týkající se předávání osobních údajů do třetích zemí podle čl. 41 odst. 8 by měla zůstat v platnosti po přechodné období pěti let po vstupu tohoto nařízení v platnost, pokud je Komisí před koncem tohoto období nezmění, nenahradí nebo nezruší.

Pozměňovací návrh   96

Návrh nařízení

Článek 2

Znění navržené Komisí

Pozměňovací návrh

Věcná působnost

Věcná působnost

1. Toto nařízení se vztahuje na zcela nebo částečně automatizované zpracování osobních údajů, jakož i na neautomatizované zpracování osobních údajů, které jsou obsaženy v evidenci nebo do ní mají být zařazeny.

1. Toto nařízení se vztahuje na zcela nebo částečně automatizované zpracování osobních údajů, bez ohledu na metodu zpracování, jakož i na neautomatizované zpracování osobních údajů, které jsou obsaženy v evidenci nebo do ní mají být zařazeny.

2. Toto nařízení se nevztahuje na zpracování osobních údajů:

2. Toto nařízení se nevztahuje na zpracování osobních údajů:

a) prováděné při výkonu činností, které nespadají do oblasti působnosti práva Unie, zejména v oblasti bezpečnosti státu;

a) prováděné při výkonu činností, které nespadají do oblasti působnosti práva Unie;

b) prováděné orgány, institucemi a jinými subjekty Unie;

 

c) prováděné členskými státy při výkonu činností, které spadají do oblasti působnosti kapitoly 2 Smlouvy o Evropské unii;

c) prováděné členskými státy při výkonu činností, které spadají do oblasti působnosti kapitoly 2 hlavy V Smlouvy o Evropské unii;

d) prováděné fyzickou osobou, které má výlučně osobní či domácí povahu a které se neprovádí za účelem zisku;

d) prováděné fyzickou osobou, které má výlučně osobní či domácí povahu. Tato výjimka platí také pro zveřejňování osobních údajů v případech, kdy lze rozumně očekávat, že k nim bude mít přístup pouze omezený počet osob;

e) prováděné příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů.

e) prováděné příslušnými veřejnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů.

3. Tímto nařízením není dotčeno uplatňování směrnice 2000/31/ES, zejména pokud jde o pravidla týkající se odpovědnosti poskytovatelů zprostředkovatelských služeb podle článků 12 až 15 uvedené směrnice.

3. Tímto nařízením není dotčeno uplatňování směrnice 2000/31/ES, zejména pokud jde o pravidla týkající se odpovědnosti poskytovatelů zprostředkovatelských služeb podle článků 12 až 15 uvedené směrnice.

Pozměňovací návrh   97

Návrh nařízení

Článek 3

Znění navržené Komisí

Pozměňovací návrh

Územní působnost

Územní působnost

1. Toto nařízení se vztahuje na zpracování osobních údajů v rámci činností provozovny správce nebo zpracovatele v Unii.

1. Toto nařízení se vztahuje na zpracování osobních údajů v rámci činností provozovny správce nebo zpracovatele v Unii, ať zpracování probíhá v Unii či nikoli.

2. Toto nařízení se vztahuje na zpracování osobních údajů subjektů údajů, které mají bydliště v Unii, ze strany správce, který není usazen v Unii, pokud zpracování údajů souvisí:

2. Toto nařízení se vztahuje na zpracování osobních údajů subjektů údajů, které mají bydliště v Unii, ze strany správce nebo zpracovatele, který není usazen v Unii, pokud činnosti zpracovávání souvisejí:

a) s nabídkou zboží nebo služeb těmto subjektům údajů v Unii nebo

a) s nabídkou zboží nebo služeb těmto subjektům údajů v Unii, bez ohledu na to, zda se od subjektů údajů požaduje platba; nebo

b) se sledováním jejich chování.

b) se sledováním těchto subjektů údajů.

3. Toto nařízení se vztahuje na zpracování osobních údajů správcem, který není usazen v Unii, ale na místě, kde se vnitrostátní právní předpisy členského státu uplatňují na základě mezinárodního práva veřejného.

3. Toto nařízení se vztahuje na zpracování osobních údajů správcem, který není usazen v Unii, ale na místě, kde se vnitrostátní právní předpisy členského státu uplatňují na základě mezinárodního práva veřejného.

Pozměňovací návrh   98

Návrh nařízení

Článek 4

Znění navržené Komisí

Pozměňovací návrh

Definice

Definice

Pro účely tohoto nařízení se rozumí:

Pro účely tohoto nařízení se rozumí:

1) „subjektem údajů“ identifikovaná fyzická osoba nebo fyzická osoba, kterou lze přímo či nepřímo identifikovat prostředky, o nichž lze důvodně předpokládat, že je správce nebo jakákoli jiná fyzická nebo právnická osoba použijí pro identifikaci dané osoby, zejména s odkazem na identifikační číslo, lokalizační údaje, elektronický identifikátor nebo s odkazem na jeden či více zvláštních prvků její fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo sociální identity;

 

2) „osobními údaji“ veškeré informace o subjektu údajů;

2) „osobními údaji“ veškeré informace o identifikované nebo identifikovatelné fyzické osobě („subjekt údajů“); identifikovatelnou osobou osoba, kterou lze přímo či nepřímo identifikovat, zejména podle určitého identifikátoru, například podle jména, identifikačního čísla, lokalizačních údajů, jedinečného identifikátoru nebo jednoho či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo sociální či pohlavní identity této osoby;

 

2a) „pseudonymními údaji“ osobní údaje, které nemohou být přiřazeny konkrétnímu subjektu údajů, aniž by byly použity dodatečné informace, pokud jsou tyto dodatečné informace uchovávány odděleně a vztahují se na ně technická a organizační opatření, aby bylo zajištěno, že nebudou přiřazeny;

 

2b) „zašifrovanými údaji“ osobní údaje, které jsou pomocí použití technických ochranných opatření nesrozumitelné pro všechny osoby, jež nejsou oprávněny k nim přistupovat;

3) „zpracováním“ každý úkon nebo soubor úkonů s osobními údaji nebo soubory osobních údajů, které jsou prováděny pomocí či bez pomoci automatizovaných postupů, jako je shromažďování, zaznamenávání, uspořádávání, strukturování, uchovávání, přizpůsobování nebo pozměňování, vyhledávání, nahlížení, užívání, zveřejňování přenosem, zveřejňování šířením nebo jejich zpřístupňování jiným způsobem, třídění nebo kombinování, vymazání nebo zničení;

3) „zpracováním“ každý úkon nebo soubor úkonů s osobními údaji nebo soubory osobních údajů, které jsou prováděny pomocí či bez pomoci automatizovaných postupů, jako je shromažďování, zaznamenávání, uspořádávání, strukturování, uchovávání, přizpůsobování nebo pozměňování, vyhledávání, nahlížení, užívání, zveřejňování přenosem, zveřejňování šířením nebo jejich zpřístupňování jiným způsobem, třídění nebo kombinování, vymazání nebo zničení;

 

3a) „profilováním“ jakákoli forma automatického zpracování osobních údajů, jehož účelem je hodnocení určitých osobních aspektů vztahujících se k fyzické osobě nebo analýza či odhad zejména pracovního výkonu fyzické osoby, její ekonomické situace, lokalizace, zdraví, osobních preferencí, spolehlivosti nebo chování;

4) „evidencí“ jakýkoli uspořádaný soubor osobních údajů přístupných podle určených kritérií, ať již je tento soubor centralizován, decentralizován nebo rozdělen podle funkčního či zeměpisného hlediska;

4) „evidencí“ jakýkoli uspořádaný soubor osobních údajů přístupných podle určených kritérií, ať již je tento soubor centralizován, decentralizován nebo rozdělen podle funkčního či zeměpisného hlediska;

5) „správcem“ fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jakýkoli jiný subjekt, který sám nebo společně s jinými určuje účel, podmínky a prostředky zpracování osobních údajů; jsou-li účel, podmínky a prostředky zpracování určeny právem Unie či členského státu, je možné určit správce nebo zvláštní kritéria pro jeho jmenování na základě práva Unie nebo členského státu;

5) „správcem“ fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jakýkoli jiný subjekt, který sám nebo společně s jinými určuje účel a prostředky zpracování osobních údajů; jsou-li účel a prostředky zpracování určeny právem Unie či členského státu, je možné určit správce nebo zvláštní kritéria pro jeho jmenování na základě práva Unie nebo členského státu;

6) „zpracovatelem“ fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jakýkoli jiný subjekt, který zpracovává osobní údaje jménem správce;

6) „zpracovatelem“ fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jakýkoli jiný subjekt, který zpracovává osobní údaje jménem správce;

7) „příjemcem“ fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jakýkoli jiný subjekt, kterým jsou údaje sdělovány;

7) „příjemcem“ fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jakýkoli jiný subjekt, kterým jsou údaje sdělovány;

 

7a) „třetí stranou“ jakákoli fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jakýkoli jiný subjekt, který není subjektem údajů, správcem, zpracovatelem ani osobami přímo podléhajícími správci nebo zpracovateli, jež jsou oprávněny ke zpracování údajů;

8) „souhlasem subjektu údajů“ jakýkoli svobodný, konkrétní, vědomý a výslovný projev vůle, kterým subjekt údajů dává buď v podobě prohlášení nebo jiného jednoznačného potvrzení své svolení ke zpracování svých osobních údajů;

8) „souhlasem subjektu údajů“ jakýkoli svobodný, konkrétní, vědomý a výslovný projev vůle, kterým subjekt údajů dává buď v podobě prohlášení nebo jiného jednoznačného potvrzení své svolení ke zpracování svých osobních údajů;

9) „narušením bezpečnosti osobních údajů“ narušení bezpečnosti, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně či neoprávněnému vyzrazení nebo zpřístupnění osobních údajů přenášených, uchovávaných nebo jinak zpracovávaných;

9) „narušením bezpečnosti osobních údajů“ náhodné nebo protiprávní zničení, ztráta, změna či neoprávněné vyzrazení nebo zpřístupnění osobních údajů přenášených, uchovávaných nebo jinak zpracovávaných;

10) „genetickými údaji“ všechny údaje jakéhokoli typu týkající se dědičných znaků jednotlivce nebo znaků získaných v období raného prenatálního vývoje;

10) „genetickými údaji“ všechny osobní údaje týkající se genetických znaků jednotlivce, které byly zděděny nebo získány a které vyplývají z analýzy biologického vzorku daného jednotlivce, zejména z analýzy chromozomů nebo kyseliny deoxyribonukleové (DNA) či ribonukleové (RNA) nebo z analýzy jakéhokoli jiného prvku, která umožňuje získání rovnocenných informací;

11) „biometrickými údaji“ všechny údaje týkající se fyzických či fyziologických znaků nebo znaků chování jedince, které umožňují jeho jednoznačnou identifikaci, například snímky obličeje nebo daktyloskopické údaje;

11) „biometrickými údaji“ všechny osobní údaje týkající se fyzických či fyziologických znaků nebo znaků chování jedince, které umožňují jeho jednoznačnou identifikaci, například snímky obličeje nebo daktyloskopické údaje;

12) „údaji o zdravotním stavu“ veškeré informace týkající se fyzického nebo duševního zdraví osoby nebo poskytování zdravotních služeb této osobě;

12) „údaji o zdravotním stavu“ veškeré osobní údaje týkající se fyzického nebo duševního zdraví osoby nebo poskytování zdravotních služeb této osobě;

13) „hlavní provozovnou“ v případě správce místo jeho usazení v Unii, kde jsou přijímána hlavní rozhodnutí ohledně účelu, podmínek a prostředků zpracování osobních údajů; nejsou-li ohledně účelu, podmínek a prostředků zpracování osobních údajů přijímána rozhodnutí v Unii, je hlavní provozovnou místo, kde jsou prováděny hlavní činnosti spojené se zpracováním údajů, jež odpovídají činnostem sídla správce v Unii. V případě zpracovatele je „hlavní provozovnou“ místo, kde se nachází jeho ústřední správa v Unii;

13) „hlavní provozovnou“ místo usazení podniku či skupiny podniků v Unii, ať jde o správce nebo zpracovatele, kde jsou přijímána hlavní rozhodnutí ohledně účelu, podmínek a prostředků zpracování osobních údajů. Je možno zvážit mimo jiné následující kritéria: místo, kde se nachází ústředí správce nebo zpracovatele, v případě skupiny podniků umístění subjektu, které je nejvhodnější z hlediska řídících funkcí a správní odpovědnosti za prosazování a vynucování pravidel stanovených v tomto nařízení, místo účinného a skutečného výkonu řídících činností, které určují zpracování údajů prostřednictvím stálých zařízení;

14) „zástupcem“ jakákoli fyzická nebo právnická osoba usazená v Unii, která je výslovně jmenována správcem k tomu, aby jednala a mohla být oslovována orgánem dozoru a dalšími orgány v Unii místo správce, pokud jde o povinnosti správce ve smyslu tohoto nařízení;

14) „zástupcem“ jakákoli fyzická nebo právnická osoba usazená v Unii, která je výslovně jmenována správcem k tomu, aby zastupovala správce, pokud jde o povinnosti správce ve smyslu tohoto nařízení;

15) „podnikem“ každý subjekt vykonávající hospodářskou činnost bez ohledu na jeho právní formu. K těmto subjektům patří zejména fyzické a právnické osoby, obchodní společnosti nebo sdružení, která běžně vykonávají hospodářskou činnost;

15) „podnikem“ každý subjekt vykonávající hospodářskou činnost bez ohledu na jeho právní formu. K těmto subjektům patří zejména fyzické a právnické osoby, obchodní společnosti nebo sdružení, která běžně vykonávají hospodářskou činnost;

16) „skupinou podniků“ skupina zahrnující řídící podnik a jím řízené podniky;

(16) „skupinou podniků“ skupina zahrnující řídící podnik a jím řízené podniky;

17) „závaznými podnikovými pravidly“ opatření na ochranu osobních údajů, která dodržuje správce nebo zpracovatel usazený na území členského státu Unie při předávání osobních údajů jednotlivě nebo v souborech správci nebo zpracovateli v rámci skupiny podniků v jedné nebo více třetích zemích;

17) „závaznými podnikovými pravidly“ opatření na ochranu osobních údajů, která dodržuje správce nebo zpracovatel usazený na území členského státu Unie při předávání osobních údajů jednotlivě nebo v souborech správci nebo zpracovateli v rámci skupiny podniků v jedné nebo více třetích zemích;

18) „dítětem“ každá osoba mladší 18 let;

18) „dítětem“ každá osoba mladší 18 let;

19) „orgánem dozoru“ orgán veřejné moci, který je zřízen členským státem podle článku 46.

19) „orgánem dozoru“ orgán veřejné moci, který je zřízen členským státem podle článku 46.

Pozměňovací návrh   99

Návrh nařízení

Článek 5

Znění navržené Komisí

Pozměňovací návrh

Zásady související se zpracováváním osobních údajů

Zásady související se zpracováváním osobních údajů

1. Osobní údaje musí být:

1. Osobní údaje jsou:

a) ve vztahu k subjektu údajů zpracovávány korektně, zákonným a transparentním způsobem;

a) ve vztahu k subjektu údajů zpracovávány korektně, zákonným a transparentním způsobem (zákonnost, korektnost a transparentnost);

b) shromažďovány pro stanovené účely, výslovně vyjádřené a legitimní, a nesmí být dále zpracovávány způsobem, který je s těmito účely neslučitelný;

b) shromažďovány pro stanovené účely, výslovně vyjádřené a legitimní, a nesmí být dále zpracovávány způsobem, který je s těmito účely neslučitelný (omezení účelu);

c) odpovídající z hlediska účelu, pro který jsou zpracovávány, musí pro něj být relevantní a omezené na nezbytné minimum; zpracovávány jsou pouze tehdy a dokud nemůže být daného účelu dosaženo zpracováním informací, které nezahrnují osobní údaje;

c) odpovídající z hlediska účelu, pro který jsou zpracovávány, musí pro něj být relevantní a omezené na nezbytné minimum; zpracovávány jsou pouze tehdy a dokud nemůže být daného účelu dosaženo zpracováním informací, které nezahrnují osobní údaje (minimalizace údajů);

d) přesné a aktualizované; musí být přijata veškerá rozumná opatření, aby osobní údaje, které jsou nepřesné z hlediska účelů, pro které se zpracovávají, byly bezodkladně vymazány nebo opraveny;

d) přesné a v případě potřeby aktualizované; musí být přijata veškerá rozumná opatření, aby osobní údaje, které jsou nepřesné z hlediska účelů, pro které se zpracovávají, byly bezodkladně vymazány nebo opraveny (přesnost);

e) uchovávány ve formě umožňující identifikaci subjektů údajů po dobu ne delší, než je nezbytné pro účely, pro které jsou zpracovávány; osobní údaje lze uchovávat delší dobu, pokud se údaje zpracovávají výlučně za účelem historiografického, statistického a vědeckého výzkumu v souladu s pravidly a podmínkami uvedenými v článku 83 a pokud je prováděn pravidelný přezkum pro posouzení potřeby dalšího uchovávání;

e) uchovávány ve formě umožňující přímou či nepřímou identifikaci subjektů údajů po dobu ne delší, než je nezbytné pro účely, pro které jsou zpracovávány; osobní údaje lze uchovávat delší dobu, pokud se údaje zpracovávají výlučně za účelem historiografického, statistického a vědeckého výzkumu nebo pro účely archivace v souladu s pravidly a podmínkami uvedenými v článku 83 a 83a, pokud je prováděn pravidelný přezkum pro posouzení potřeby dalšího uchovávání a pokud se zavedou vhodná technická a organizační opatření s cílem omezit přístup k údajům výlučně pro tyto účely (minimalizace uchovávání);

 

ea) zpracovávány způsobem, jenž subjektu údajů účinně umožňuje výkon jeho práv (účinnost);

 

eb) zpracovávány způsobem, jenž chrání před neoprávněným či nezákonným zpracováním a před náhodnou ztrátou, zničením nebo poškozením pomocí vhodných technických nebo organizačních opatření (integrita);

f) zpracovávány v odpovědnosti správce, který při každém zpracování zajistí a prokáže soulad s ustanoveními tohoto nařízení.

f) zpracovávány v odpovědnosti správce, který zajistí a je schopen prokázat soulad s ustanoveními tohoto nařízení (odpovědnost).

Pozměňovací návrh              100

Návrh nařízení

Článek 6

Znění navržené Komisí

Pozměňovací návrh

Zákonnost zpracování

Zákonnost zpracování

1. Zpracování osobních údajů je zákonné pouze tehdy a do té míry, pokud je splněna nejméně jedna z těchto podmínek:

1. Zpracování osobních údajů je zákonné pouze tehdy a do té míry, pokud je splněna nejméně jedna z těchto podmínek:

a) subjekt údajů udělil souhlas se zpracováním svých osobních údajů pro jeden či více konkrétních účelů;

a) subjekt údajů udělil souhlas se zpracováním svých osobních údajů pro jeden či více konkrétních účelů;

b) zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu;

b) zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu;

c) zpracování je nezbytné pro splnění právní povinnosti, které podléhá správce;

c) zpracování je nezbytné pro splnění právní povinnosti, které podléhá správce;

d) zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů;

d) zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů;

e) zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce;

e) zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce;

f) zpracování je nezbytné pro uskutečnění oprávněných zájmů správce za podmínky, že tyto zájmy nepřevažují nad zájmem nebo základními právy a svobodami subjektu údajů vyžadujícími ochranu osobních údajů, zejména pokud je subjektem údajů dítě. To se netýká zpracování prováděného orgány veřejné moci při plnění jejich úkolů.

f) zpracování je nezbytné pro uskutečnění oprávněných zájmů správce nebo, v případě zpřístupnění, třetí strany, které jsou údaje zpřístupněny, a odpovídá legitimním očekáváním subjektu údajů založeným na jeho vztahu ke správci za podmínky, že tyto zájmy nepřevažují nad zájmem nebo základními právy a svobodami subjektu údajů vyžadujícími ochranu osobních údajů. To se netýká zpracování prováděného orgány veřejné moci při plnění jejich úkolů.

2. Zpracování osobních údajů pro účely historiografického, statistického nebo vědeckého výzkumu je zákonné, pokud jsou splněny podmínky a záruky uvedené v článku 83.

2. Zpracování osobních údajů pro účely historiografického, statistického nebo vědeckého výzkumu je zákonné, pokud jsou splněny podmínky a záruky uvedené v článku 83.

3. Právní základ pro zpracování údajů podle odst. 1 písm. c) a e) musí být stanoven:

3. Právní základ pro zpracování údajů podle odst. 1 písm. c) a e) musí být stanoven:

a) právem Unie nebo

a) právem Unie nebo

b) právem členského státu, kterému správce podléhá.

b) právem členského státu, kterému správce podléhá.

Právo členského státu musí splňovat cíl veřejného zájmu nebo musí být nezbytné pro ochranu práv a svobod ostatních, respektovat podstatu práva na ochranu osobních údajů a být přiměřené z hlediska sledovaného legitimního cíle.

Právo členského státu musí splňovat cíl veřejného zájmu nebo musí být nezbytné pro ochranu práv a svobod ostatních, respektovat podstatu práva na ochranu osobních údajů a být přiměřené z hlediska sledovaného legitimního cíle. V rámci omezení daných tímto nařízením mohou právní předpisy členských států podrobně upravit zákonnost zpracovávání, zejména pokud jde o správce údajů, účel zpracování a účelové omezení, povahu údajů a subjektů údajů, opatření pro zpracování a postupy zpracování, příjemce a dobu uchovávání.

4. Pokud účel dalšího zpracování není slučitelný s účelem, pro který byly osobní údaje shromážděny, musí být právním základem zpracování nejméně jeden z důvodů uvedený v odst. 1 písm. a) až e). Platí to zejména pro všechny změny specifických a obecných smluvních podmínek.

 

5. Komise je v souladu s článkem 86 zmocněna přijímat akty v přenesené pravomoci za účelem dalšího vymezení podmínek uvedených v odst. 1 písm. f) pro různá odvětví a různé situace při zpracovávání údajů, včetně zpracování osobních údajů týkajících se dítěte.

 

Pozměňovací návrh   101

Návrh nařízení

Článek 7

Znění navržené Komisí

Pozměňovací návrh

Podmínky vyjádření souhlasu

Podmínky vyjádření souhlasu

1. Důkazní břemeno, že subjekt údajů vyjádřil souhlas se zpracováním svých osobních údajů za určitým účelem, nese správce.

1. Je-li zpracování založeno na souhlasu, důkazní břemeno, že subjekt údajů vyjádřil souhlas se zpracováním svých osobních údajů za určitým účelem, nese správce.

2. Pokud má být souhlas subjektu údajů vyjádřen písemným prohlášením, které se rovněž týká jiné skutečnosti, musí být požadavek na vyjádření souhlasu svou podobou odlišitelný od této druhé skutečnosti.

2. Pokud je souhlas subjektu údajů vyjádřen písemným prohlášením, které se rovněž týká jiné skutečnosti, musí být požadavek na vyjádření souhlasu svou podobou jasně odlišitelný od této druhé skutečnosti. Ustanovení o souhlasu subjektu údajů, které jsou částečně v rozporu s tímto nařízením, jsou v plném rozsahu neplatná.

3. Subjekt údajů právo kdykoli svůj souhlas odvolat. Odvoláním souhlasu není dotčena zákonnost zpracování vycházejícího ze souhlasu, který byl dán před jeho odvoláním.

3. Bez ohledu na jiné právní důvody pro zpracování má subjekt údajů právo kdykoli svůj souhlas odvolat. Odvoláním souhlasu není dotčena zákonnost zpracování vycházejícího ze souhlasu, který byl dán před jeho odvoláním. Odvolat souhlas je stejně snadné jako jej poskytnout. Správce musí subjekt údajů informovat, pokud může mít odvolání souhlasu za následek ukončení poskytovaných služeb nebo vztahu ke správci.

4. Vyjádření souhlasu nepředstavuje právní základ pro zpracování údajů, pokud mezi postavením subjektu údajů a správce existuje značná nerovnováha.

4. Vyjádření souhlasu je omezeno na daný účel a ztrácí svou platnost, pokud tento účel přestane existovat, nebo jakmile zpracování osobních údajů již není nezbytné pro dosažení účelu, k němuž byly tyto údaje shromážděny. Naplnění smlouvy nebo poskytnutí služby není podmíněno souhlasem se zpracováním údajů, které nejsou podle čl. 6 odst. 1 písm. b) pro naplnění smlouvy nebo poskytnutí služby nezbytné.

Pozměňovací návrh   102

Návrh nařízení

Článek 8

Znění navržené Komisí

Pozměňovací návrh

Zpracování osobních údajů dítěte

Zpracování osobních údajů dítěte

1. V souvislosti s nabídkou služeb informační společnosti přímo dítěti je pro účely tohoto nařízení zpracování osobních údajů dítěte mladšího 13 let zákonné pouze tehdy a do té míry, pokud byl souhlas vyjádřen nebo schválen rodičem dítěte nebo jeho zákonným zástupcem. Správce vyvine přiměřené úsilí o získání ověřitelného souhlasu s ohledem na dostupné technologie.

1. V souvislosti s nabídkou zboží nebo služeb přímo dítěti je pro účely tohoto nařízení zpracování osobních údajů dítěte mladšího 13 let zákonné pouze tehdy a do té míry, pokud byl souhlas vyjádřen nebo schválen rodičem dítěte nebo jeho zákonným zástupcem. Správce vyvine přiměřené úsilí na ověření tohoto souhlasu s ohledem na dostupné technologie, aniž by způsobil jinak zbytečné zpracování osobních údajů.

 

1a. Informace poskytované dětem, rodičům a zákonným zástupcům za účelem vyjádření souhlasu, i informace o shromažďování a využívání osobních údajů správcem, by měly být poskytnuty srozumitelně způsobem odpovídajícím zamýšlenému okruhu adresátů.

2. Odstavcem 1 není dotčeno obecné smluvní právo členských států, například pravidla týkající se platnosti, uzavírání nebo účinků smlouvy vzhledem k dítěti.

2. Odstavcem 1 není dotčeno obecné smluvní právo členských států, například pravidla týkající se platnosti, uzavírání nebo účinků smlouvy vzhledem k dítěti.

3. Komise je zmocněna přijímat akty v přenesené pravomoci v souladu s článkem 86 za účelem dalšího vymezení kritérií a požadavků týkajících se metod získávání ověřitelného souhlasu uvedeného v odstavci 1. Komise přitom zváží zvláštní opatření, zejména pro správce, kteří jsou malými podniky, středními podniky a mikropodniky.

3. Evropská rada pro ochranu údajů je v souladu s článkem 66 pověřena úkolem vydávat pokyny, doporučení a osvědčené postupy týkající se metod ověřování souhlasu uvedeného v odstavci 1.

4. Komise může pro zvláštní metody získávání ověřitelného souhlasu uvedeného v odstavci 1 stanovit standardní formuláře. Tyto prováděcí akty se přijímají v souladu s přezkumným postupem podle čl. 87 odst. 2.

 

Pozměňovací návrh   103

Návrh nařízení

Článek 9

Znění navržené Komisí

Pozměňovací návrh

Zpracovávání zvláštních kategorií osobních údajů

Zvláštní kategorie údajů

1. Zakazuje se zpracování osobních údajů, které odhalují rasový či etnický původ, politické názory, náboženské vyznání nebo přesvědčení, členství v odborových organizacích, jakož i zpracování genetických údajů či údajů týkajících se zdravotního stavu či sexuálního života, nebo odsouzení v trestních věcech či související bezpečnostní opatření.

1. Zakazuje se zpracování osobních údajů, které odhalují rasový či etnický původ, politické názory, náboženské vyznání nebo filosofické přesvědčení, sexuální orientaci nebo genderovou identitu, členství a činnost v odborových organizacích, jakož i zpracování genetických nebo biometrických údajů či údajů týkajících se zdravotního stavu či sexuálního života, správních sankcí, rozsudků, trestných činů nebo podezření ze spáchání trestného činu, odsouzení v trestních věcech či souvisejících bezpečnostních opatření.

2. Odstavec 1 se nepoužije, pokud:

2. Odstavec 1 se nepoužije, pokud jde o některý z těchto případů:

a) subjekt údajů udělil souhlas se zpracováním těchto osobních údajů za podmínek stanovených v článcích 7 a 8, s výjimkou případů, kdy právo Unie nebo členského státu stanoví, že zákaz uvedený v odstavci 1 nemůže být subjektem údajů zrušen nebo

a) subjekt údajů udělil souhlas se zpracováním těchto osobních údajů pro jeden konkrétní účel nebo více konkrétních účelů za podmínek stanovených v článcích 7 a 8, s výjimkou případů, kdy právo Unie nebo členského státu stanoví, že zákaz uvedený v odstavci 1 nemůže být subjektem údajů zrušen nebo

 

aa) zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu;

b) zpracování je nezbytné pro dodržení povinností a výkon zvláštních práv správce v oblasti pracovního práva, pokud je k tomu oprávněn právem Unie nebo členského státu, které poskytuje náležité záruky nebo

b) zpracování je nezbytné pro dodržení povinností a výkon zvláštních práv správce v oblasti pracovního práva, pokud je k tomu oprávněn právem Unie nebo členského státu nebo kolektivními smlouvami, které poskytují náležité záruky pro základní práva a zájmy subjektu údajů, jako je právo na nediskriminaci, s výhradou podmínek a záruk uvedených v článku 82 nebo

c) zpracování je nutné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné osoby v případě, že subjekt údajů není fyzicky nebo právně způsobilý udělit souhlas nebo

c) zpracování je nutné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné osoby v případě, že subjekt údajů není fyzicky nebo právně způsobilý udělit souhlas nebo

d) zpracování provádí v rámci svých legitimních činností a s vhodnými zárukami nadace, sdružení nebo jiný neziskový subjekt, který sleduje politické, filozofické, náboženské nebo odborové cíle, za podmínky, že se zpracování vztahuje pouze na současné nebo bývalé členy tohoto subjektu nebo na osoby, které s ním udržují pravidelné styky související s jeho cíli, a že tyto údaje nejsou sdělovány mimo tento subjekt bez souhlasu subjektu údajů nebo

d) zpracování provádí v rámci svých legitimních činností a s vhodnými zárukami nadace, sdružení nebo jiný neziskový subjekt, který sleduje politické, filozofické, náboženské nebo odborové cíle, za podmínky, že se zpracování vztahuje pouze na současné nebo bývalé členy tohoto subjektu nebo na osoby, které s ním udržují pravidelné styky související s jeho cíli, a že tyto údaje nejsou sdělovány mimo tento subjekt bez souhlasu subjektu údajů nebo

e) zpracování se týká osobních údajů zjevně zveřejňovaných subjektem údajů nebo

e) zpracování se týká osobních údajů zjevně zveřejňovaných subjektem údajů nebo

f) zpracování je nezbytné pro vznik, výkon nebo obhajobu právních nároků nebo

f) zpracování je nezbytné pro vznik, výkon nebo obhajobu právních nároků nebo

g) zpracování je nezbytné pro splnění úkolu ve veřejném zájmu na základě práva Unie nebo členského státu, které poskytuje vhodné záruky pro ochranu oprávněných zájmů subjektu údajů nebo

g) zpracování je nezbytné pro splnění úkolu prováděného z důvodu velkého veřejného zájmu na základě práva Unie nebo členského státu, které je přiměřené sledovanému cíli, dodržuje podstatu práva na ochranu údajů a poskytuje vhodné záruky pro ochranu základních práv a zájmů subjektu údajů nebo

h) zpracování údajů o zdravotním stavu je při splnění podmínek a záruk uvedených v článku 81 nezbytné pro zdravotní účely nebo

h) zpracování údajů o zdravotním stavu je při splnění podmínek a záruk uvedených v článku 81 nezbytné pro zdravotní účely nebo

i) zpracování je při splnění podmínek a záruk uvedených v článku 83 nezbytné pro účely historiografického, statistického a vědeckého výzkumu nebo

i) zpracování je při splnění podmínek a záruk uvedených v článku 83 nezbytné pro účely historiografického, statistického a vědeckého výzkumu nebo

 

ia) zpracování je při splnění podmínek a záruk uvedených v článku 83 nezbytné pro účely archivačních služeb nebo

j) zpracování údajů týkajících se rozsudků v trestních věcech či souvisejících bezpečnostních opatření se provádí pod dohledem orgánu veřejné moci, nebo pokud je zpracování nezbytné pro splnění právní či regulační povinnosti, které správce podléhá, nebo pro splnění úkolu z důvodu důležitého veřejného zájmu, a pokud je k tomu oprávněn právem Unie nebo právem členského státu poskytujícím vhodné záruky. Úplný rejstřík trestů je veden pouze pod dohledem orgánu veřejné moci.

j) zpracování údajů týkajících se správních sankcí, rozsudků, trestných činů, odsouzení v trestních věcech či souvisejících bezpečnostních opatření se provádí pod dohledem orgánu veřejné moci, nebo pokud je zpracování nezbytné pro splnění právní či regulační povinnosti, které správce podléhá, nebo pro splnění úkolu z důvodu důležitého veřejného zájmu, a pokud je k tomu oprávněn právem Unie nebo právem členského státu poskytujícím vhodné záruky pro ochranu základních práv a zájmů subjektu údajů. Jakýkoli rejstřík trestů smí být veden pouze pod dohledem orgánu veřejné moci.

3. Komise je v souladu s článkem 86 zmocněna přijímat akty v přenesené pravomoci za účelem dalšího vymezení kritérií, podmínek a vhodných záruk pro zpracování zvláštních kategorií osobních údajů uvedených v odstavci 1 a výjimek stanovených v odstavci 2.

3. Evropská rada pro ochranu údajů je v souladu s článkem 66 pověřena úkolem vydávat pokyny, doporučení a osvědčené postupy pro zpracování zvláštních kategorií osobních údajů uvedených v odstavci 1 a výjimek stanovených v odstavci 2.

Pozměňovací návrh   104

Návrh nařízení

Článek 10

Znění navržené Komisí

Pozměňovací návrh

Pokud údaje zpracovávané správcem nedovolují správci identifikovat fyzickou osobu, není správce povinen získat dodatečné informace pro zjištění totožnosti subjektu údajů výlučně za účelem dosažení souladu s některým ustanovením tohoto nařízení.

1. Pokud údaje zpracovávané správcem nedovolují správci či zpracovateli přímo ani nepřímo identifikovat fyzickou osobu, nebo se skládají pouze ze pseudonymních údajů, správce nezpracuje ani nezíská dodatečné informace pro zjištění totožnosti subjektu údajů výlučně za účelem dosažení souladu s některým ustanovením tohoto nařízení.

 

2. Jestliže správce údajů není schopen z důvodů uvedených v odstavci 1 vyhovět ustanovením tohoto nařízení, není povinen toto konkrétní ustanovení tohoto nařízení dodržet. Jestli není správce v důsledku toho schopen vyhovět žádosti subjektu údajů, musí o tom subjekt údajů informovat.

Pozměňovací návrh   105

Návrh nařízení

Článek 10 a (nový)

Znění navržené Komisí

Pozměňovací návrh

 

Článek 10a

 

Obecné zásady pro práva subjektu údajů

 

1. Základem ochrany údajů jsou jasná a jednoznačná práva subjektu údajů, která správce údajů respektuje. Cílem ustanovení tohoto nařízení je tato práva posílit, objasnit, zaručit a případně kodifikovat.

 

2. Tato práva zahrnují mimo jiné poskytování jasných a snadno srozumitelných informací o zpracování svých osobních údajů, právo na přístup k těmto údajům, jejich opravu či výmaz, právo na získání údajů, právo vznést námitku proti profilování, právo podat stížnost u příslušného orgánu pro ochranu údajů a podat žalobu, jakož i právo na odškodnění a náhradu škody vyplývající z protiprávního zpracování údajů. Tato práva jsou obecně vykonávána bezplatně. Správce údajů odpoví na žádosti subjektů údajů v rozumné lhůtě.

Pozměňovací návrh   106

Návrh nařízení

Článek 11

Znění navržené Komisí

Pozměňovací návrh

1. Správce musí mít transparentní a snadno dostupná pravidla pro zpracování osobních údajů a výkon práv subjektu údajů.

1. Správce musí mít stručná, transparentní, jasná a snadno dostupná pravidla pro zpracování osobních údajů a výkon práv subjektu údajů.

2. Správce poskytuje subjektu údajů veškeré informace a veškerá oznámení v souvislosti se zpracováním osobních údajů ve srozumitelné formě, přičemž používá jasný a běžný jazyk přizpůsobený subjektu údajů, zejména v případě jakýchkoli informací určených speciálně dítěti.

2. Správce poskytuje subjektu údajů veškeré informace a veškerá oznámení v souvislosti se zpracováním osobních údajů ve srozumitelné formě, přičemž používá jasný a běžný jazyk, zejména v případě jakýchkoli informací určených speciálně dítěti.

Pozměňovací návrh   107

Návrh nařízení

Článek 12

Znění navržené Komisí

Pozměňovací návrh

1. Správce zavede postupy pro poskytování informací uvedených v článku 14 a pro výkon práv subjektů údajů uvedených v článku 13 a článcích 15 až 19. Správce vytvoří zejména mechanismy pro zjednodušení žádosti o úkony uvedené v článku 13 a článcích 15 až 19. Pokud se osobní údaje zpracovávají automatizovanými prostředky, správce rovněž poskytne prostředky pro podávání žádostí v elektronické podobě.

1. Pokud se osobní údaje zpracovávají automatizovanými prostředky, správce v rámci možností rovněž poskytne prostředky pro podávání žádostí v elektronické podobě.

2. Správce neprodleně, nejpozději však do jednoho měsíce od přijetí žádosti, informuje subjekt údajů, zda byla přijata opatření podle článku 13 a článků 15 až 19, a poskytne požadované informace. Tato lhůta může být prodloužena o další měsíc, pokud svá práva vykonává několik subjektů údajů a jejich spolupráce je nezbytná v přiměřeném rozsahu k tomu, aby správce nemusel vyvíjet zbytečné a neúměrné úsilí. Tyto informace se poskytují písemně. Jestliže subjekt údajů podává žádost v elektronické podobě, poskytují se informace v elektronické podobě, pokud subjekt údajů nepožádá o jiný způsob.

2. Správce bez zbytečného prodlení, nejpozději však do 40 kalendářních dnů od přijetí žádosti, informuje subjekt údajů, zda byla přijata opatření podle článku 13 a článků 15 až 19, a poskytne požadované informace. Tato lhůta může být prodloužena o další měsíc, pokud svá práva vykonává několik subjektů údajů a jejich spolupráce je nezbytná v přiměřeném rozsahu k tomu, aby správce nemusel vyvíjet zbytečné a neúměrné úsilí. Tyto informace se poskytují písemně a, je-li to možné, může správce poskytnout dálkový přístup k bezpečnému systému, který by subjektu údajů umožnil přímý přístup k jeho osobním údajům. Jestliže subjekt údajů podává žádost v elektronické podobě, poskytují se informace, je-li to možné, v elektronické podobě, pokud subjekt údajů nepožádá o jiný způsob.

3. Pokud správce odmítne provést opatření, o které subjekt údajů požádal, správce informuje subjekt údajů o důvodech tohoto odmítnutí a o možnostech podat stížnost orgánu dozoru a uplatnit soudní opravný prostředek.

3. Pokud správce neprovede opatření, o které subjekt údajů požádal, správce informuje subjekt údajů o důvodech neprovedení a o možnostech podat stížnost orgánu dozoru a uplatnit soudní opravný prostředek.

4. Informace a opatření přijaté na základě žádostí uvedených v odstavci 1 jsou bezplatné. Jestliže jsou žádosti zjevně nepřiměřené, zvláště z toho důvodu, že se opakují, může správce poskytnutí informací nebo provedení požadovaných opatření zpoplatnit, případně nemusí požadované opatření provést. Pokud jde o prokázání zjevné nepřiměřenosti žádosti, nese důkazní břemeno správce.

4. Informace a opatření přijaté na základě žádostí uvedených v odstavci 1 jsou bezplatné. Jestliže jsou žádosti zjevně nepřiměřené, zvláště z toho důvodu, že se opakují, může správce poskytnutí informací nebo provedení požadovaných opatření adekvátně zpoplatnit se zohledněním administrativních nákladů na poskytnutí informace nebo provedení opatření. Pokud jde o prokázání zjevné nepřiměřenosti žádosti, nese důkazní břemeno správce.

5. Komise je zmocněna přijímat akty v přenesené pravomoci v souladu s článkem 86 za účelem dalšího vymezení kritérií a podmínek pro určování zjevné nepřiměřenosti žádostí a poplatků uvedených v odstavci 4.

 

6. Komise může stanovit standardní formuláře a určit standardní postupy pro oznamování uvedené v odstavci 2, včetně elektronického formátu. Komise přitom přijme vhodná opatření pro mikropodniky, malé a střední podniky. Tyto prováděcí akty se přijímají v souladu s přezkumným postupem podle čl. 87 odst. 2.

 

Pozměňovací návrh   108

Návrh nařízení

Článek 13

Znění navržené Komisí

Pozměňovací návrh

Práva ve vztahu k příjemcům

Požadavek na oznamování v případě oprav či výmazů

Správce oznamuje jednotlivým příjemcům, jimž byly údaje zpřístupněny, všechny opravy nebo výmazy provedené v souladu s články 16 a 17 s výjimkou případů, kdy to není možné nebo to vyžaduje nepřiměřené úsilí.

Správce oznamuje jednotlivým příjemcům, jimž byly údaje předány, všechny opravy nebo výmazy provedené v souladu s články 16 a 17 s výjimkou případů, kdy to není možné nebo to vyžaduje nepřiměřené úsilí. Správce informuje subjekt údajů o těchto příjemcích, pokud to subjekt údajů požaduje.

Pozměňovací návrh   109

Návrh nařízení

Článek 13 a (nový)

Znění navržené Komisí

Pozměňovací návrh

 

Článek 13a

 

Standardizované informační politiky

 

1. Pokud se shromažďují údaje týkající se subjektu údajů, poskytne správce tomuto subjektu údajů před poskytnutím informací podle článku 14 tyto podrobnosti:

 

a) zda jsou osobní údaje shromažďovány nad rámec minima nezbytného k danému konkrétnímu účelu zpracování,

 

b) zda jsou osobní údaje uchovávány nad rámec minima nezbytného k danému konkrétnímu účelu zpracování,

 

c) zda jsou osobní údaje zpracovávány k jiným účelům, než jsou účely, k nimž byly shromážděny,

d) zda jsou osobní údaje šířeny komerčním třetím stranám;

 

e) zda jsou osobní údaje prodávány nebo pronajímány;

 

f) zda jsou osobní údaje uchovávány v šifrované podobě.

 

2. Podrobnosti uvedené v odstavci 1 jsou předloženy v souladu s přílohou X v uspořádané tabulkové podobě s využitím textu a symbolů, v následujících třech sloupcích:

 

a) první sloupec uvádí grafické formy symbolizující tyto podrobnosti;

 

b) druhý sloupec obsahuje základní informace popisující tyto podrobnosti;

 

c) třetí sloupec uvádí grafické formy ukazující, zda je konkrétní podrobnost splněna.

 

3. Informace uvedené v odstavcích 1 a 2 jsou předloženy ve snadno viditelné a zřetelně čitelné podobě a uvedeny v jazyce, jemuž spotřebitelé v členských státech, jimž jsou informace poskytovány, snadno rozumějí. Pokud jsou tyto podrobnosti předkládány elektronicky, musí být strojově čitelné.

 

4. Další podrobnosti se neposkytují. Podrobná vysvětlení dalších poznámek týkajících se porobností uvedených v odstavci 1 mohou být poskytnuty spolu s dalšími informacemi podle článku 14.

 

5. Po požádání Evropské rady pro ochranu údajů o stanovisko je Komise zmocněna přijímat akty v přenesené pravomoci podle článku 86 za účelem další specifikace podrobností uvedených v odstavci 1 a jejich prezentace podle odstavce 2 a přílohy 1.

Pozměňovací návrh   110

Návrh nařízení

Článek 14

Znění navržené Komisí

Pozměňovací návrh

Informování subjektu údajů

Informování subjektu údajů

1. Pokud se shromažďují údaje týkající se subjektu údajů, správce poskytne subjektu údajů alespoň tyto informace:

1. Pokud se shromažďují údaje týkající se subjektu údajů, správce po poskytnutí podrobností podle článku 13a poskytne subjektu údajů alespoň tyto informace:

a) totožnost a kontaktní údaje správce, případně jeho zástupce a inspektora ochrany údajů;

a) totožnost a kontaktní údaje správce, případně jeho zástupce a inspektora ochrany údajů;

b) účely zpracování, pro které jsou údaje určeny, včetně smluvních a všeobecných podmínek, pokud jsou údaje zpracovávány na základě čl. 6 odst. 1 písm. b), a oprávněných zájmů správce, pokud jsou údaje zpracovávány na základě čl. 6 odst. 1 písm. f);

b) účely zpracování, pro které jsou údaje určeny, jakož i informace týkající se bezpečnosti zpracování osobních údajů, včetně smluvních a všeobecných podmínek, pokud jsou údaje zpracovávány na základě čl. 6 odst. 1 písm. b), a případně informace o provádění a plnění požadavků čl. 6 odst. 1 písm. f);

c) dobu, po kterou se budou osobní údaje uchovávat;

c) dobu, po kterou se budou osobní údaje uchovávat, nebo, není-li to možné, kritéria použitá pro stanovení této doby;

d) existenci práva požadovat od správce přístup k osobním údajům týkajícím se subjektu údajů, jejich opravu nebo výmaz nebo vznést námitku proti zpracování těchto osobních údajů;

d) existenci práva požadovat od správce přístup k osobním údajům týkajícím se subjektu údajů, jejich opravu nebo výmaz nebo vznést námitku proti zpracování těchto osobních údajů, nebo údaje získat;

e) právo podat stížnost příslušnému orgánu dozoru a kontaktní údaje orgánu dozoru;

e) právo podat stížnost příslušnému orgánu dozoru a kontaktní údaje orgánu dozoru;

f) příjemce nebo kategorie příjemců osobních údajů;

f) příjemce nebo kategorie příjemců osobních údajů;

g) v případě potřeby uvést, že správce hodlá předat údaje do třetí země nebo mezinárodní organizaci a informaci o úrovni ochrany poskytované touto třetí zemí nebo mezinárodní organizací s odkazem na rozhodnutí Komise o přiměřenosti;

g) v případě potřeby uvést, že správce hodlá předat údaje do třetí země nebo mezinárodní organizaci a existenci či absenci rozhodnutí Komise o přiměřenosti nebo v případech předávání údajů uvedených v článcích 42 a 43 nebo čl. 44 odst. 1 písm. h) s odkazem na vhodné záruky a prostředky k získání kopie těchto údajů;

 

ga) v případě potřeby informace o existenci profilování, o opatřeních založených na profilování a o předpokládaných účincích profilování na subjekt údajů;

 

gb) užitečné informace o postupu automatického zpracování údajů;

h) jakékoli další informace potřebné k tomu, aby bylo subjektu údajů zaručeno korektní zpracování, a to s ohledem na zvláštní okolnosti, za kterých se osobní údaje shromažďují.

h) jakékoli další informace, které jsou potřebné k tomu, aby bylo subjektu údajů zaručeno korektní zpracování, a to s ohledem na zvláštní okolnosti, za kterých se osobní údaje shromažďují nebo zpracovávají, zejména na existenci určitých činností a operací zpracování, u nichž posouzení dopadu týkající se osobních údajů ukázalo, že mohou představovat vysoké riziko;

 

ha) případně informace o tom, zda byly osobní údaje poskytnuty veřejným orgánům v uplynulých 12 měsících;

2. Pokud se osobní údaje získávají od subjektu údajů, správce kromě informací uvedených v odstavci 1 poskytne subjektu údajů rovněž informace o tom, zda je poskytování osobních údajů povinné nebo dobrovolné, jakož i o možných důsledcích neposkytnutí těchto údajů.

2. Pokud se osobní údaje získávají od subjektu údajů, správce kromě informací uvedených v odstavci 1 poskytne subjektu údajů rovněž informace o tom, zda je poskytování osobních údajů povinné nebo volitelné, jakož i o možných důsledcích neposkytnutí těchto údajů.

 

2a. Při rozhodování o tom, jaké další informace jsou nutné pro korektní zpracování v souladu s odst. 1 písm. d), musí mít správce na zřeteli veškeré relevantní pokyny uvedené v článku 38.

3. Pokud se osobní údaje nezískávají od subjektu údajů, správce kromě informací uvedených v odstavci 1 poskytne subjektu údajů informace o původu těchto osobních údajů.

3. Pokud se osobní údaje nezískávají od subjektu údajů, správce kromě informací uvedených v odstavci 1 poskytne subjektu údajů informace o původu konkrétních osobních údajů. Pocházejí-li osobní údaje z veřejně dostupných zdrojů, lze poskytnout obecnou informaci.

4. Správce poskytne informace uvedené v odstavcích 1, 2 a 3:

4. Správce poskytne informace uvedené v odstavcích 1, 2 a 3:

a) v době, kdy se osobní údaje získávají od subjektu údajů nebo

a) v době, kdy se osobní údaje získávají od subjektu údajů nebo bez zbytečného prodlení, pokud poskytnutí informací v době, kdy se osobní údaje získávají, není proveditelné nebo

 

aa) na žádost subjektu, organizace nebo sdružení uvedených v čl. 73;

b) pokud se osobní údaje nezískávají od subjektu údajů, v době jejich zaznamenání nebo v rozumné lhůtě po jejich shromáždění s ohledem na zvláštní okolnosti, za kterých se údaje shromažďují nebo jinak zpracovávají, nebo pokud se uvažuje o jejich zpřístupnění dalšímu příjemci pak nejpozději tehdy, kdy se údaje zpřístupňují poprvé.

b) pokud se osobní údaje nezískávají od subjektu údajů, v době jejich zaznamenání nebo v rozumné lhůtě po jejich shromáždění s ohledem na zvláštní okolnosti, za kterých se údaje shromažďují nebo jinak zpracovávají, nebo pokud se uvažuje o jejich předání dalšímu příjemci pak nejpozději tehdy, kdy se údaje předávají poprvé, nebo pokud se údaje mají použít pro komunikaci s dotčeným subjektem údajů, pak nejpozději při první komunikaci s tímto subjektem údajů nebo

 

ba) pouze na žádost, pokud jsou údaje zpracovávány malým podnikem nebo mikropodnikem, který zpracovává osobní údaje pouze jako vedlejší činnost.

5. Odstavce 1 a 4 se nepoužijí, pokud:

5. Odstavce 1 a 4 se nepoužijí, pokud:

a) subjekt údajů již má informace uvedené v odstavcích 1, 2 a 3 nebo

a) subjekt údajů již má informace uvedené v odstavcích 1, 2 a 3 nebo

b) údaje nebyly získány od subjektu údajů a poskytnutí těchto informací není možné nebo by vyžadovalo neúměrné úsilí nebo

b) se údaje zpracovávají pro účely historiografického, statistického nebo vědeckého výzkumu s výhradou podmínek a záruk uvedených v článku 81 a 83, nebyly získány od subjektu údajů a poskytnutí těchto informací není možné nebo by vyžadovalo neúměrné úsilí a správce zveřejnil informace tak, aby je mohl vyhledat každý nebo

c) údaje nebyly získány od subjektu údajů a zaznamenání nebo sdělování údajů je výslovně stanoveno právním předpisem nebo

c) údaje nebyly získány od subjektu údajů a získání nebo sdělování údajů je výslovně stanoveno právním předpisem, kterému správce podléhá a jež stanovuje příslušná opatření na ochranu oprávněných zájmů subjektu údajů s ohledem na rizika, která představuje zpracování a povaha osobních údajů nebo

d) údaje nebyly získány od subjektu údajů a poskytování takových informací naruší práva a svobody ostatních, jak je stanoveno v právu Unie nebo právu členského státu podle článku 21.

d) údaje nebyly získány od subjektu údajů a poskytování takových informací naruší práva a svobody jiných fyzických osob, jak je stanoveno v právu Unie nebo právu členského státu podle článku 21;

 

da) údaje zpracovává v rámci výkonu své profese osoba podléhající povinnosti zachovat profesní tajemství stanovené právním předpisem Unie nebo členského státu nebo zákonem stanovené povinnosti mlčenlivosti, nebo jsou údaje takové osobě svěřeny či jsou ji známy, nebyly-li údaje získány přímo od subjektu údajů.

6. V případě uvedeném v odst. 5 písm. b) správce provede vhodná opatření na ochranu oprávněných zájmů subjektu údajů.

6. V případě uvedeném v odst. 5 písm. b) správce provede vhodná opatření na ochranu práv nebo oprávněných zájmů subjektu údajů.

7. Komise je zmocněna přijímat akty v přenesené pravomoci v souladu s článkem 86 za účelem dalšího vymezení kritérií pro kategorie příjemců uvedených v odst. 1 písm. f), požadavků týkajících se oznámení o potenciálním přístupu uvedeném v odst. 1 písm. g), kritérií pro další nezbytné informace uvedené v odst. 1 písm. h) pro konkrétní odvětví a situací a podmínek a vhodných záruk pro výjimky uvedené v odst. 5 písm. b). Komise přitom přijme vhodná opatření pro mikropodniky, malé a střední podniky.

 

8. Komise může stanovit standardní formuláře pro poskytování informací uvedených v odstavcích 1 až 3, případně s přihlédnutím ke zvláštní povaze a potřebám různých odvětví a situacím při zpracovávání údajů. Tyto prováděcí akty se přijímají v souladu s přezkumným postupem podle čl. 87 odst. 2.

 

Pozměňovací návrh   111

Návrh nařízení

Článek 15

Znění navržené Komisí

Pozměňovací návrh

Právo subjektu údajů na přístup k údajům

Právo subjektu údajů na přístup k údajům a na získávání údajů

1. Subjekt údajů právo získat od správce na požádání kdykoli potvrzení o tom, zda jsou osobní údaje, které se jej týkají, zpracovávány či nikoli. Pokud jsou tyto osobní údaje zpracovávány, správce poskytne následující informace:

1. Podle čl. 12 odst. 4 má subjekt údajů právo získat od správce na požádání kdykoli potvrzení o tom, zda jsou osobní údaje, které se jej týkají, zpracovávány či nikoli. Správce poskytne následující jednoznačně a srozumitelně formulované informace:

a) účely zpracování;

a) účely zpracování pro každou kategorii osobních údajů;

b) kategorie příslušných osobních údajů;

b) kategorie příslušných osobních údajů;

c) informace o příjemcích nebo kategoriích příjemců, kterým mají být nebo byly osobní údaje zpřístupněny, zejména o příjemcích v třetích zemích;

c) informace o příjemcích, kterým mají být nebo byly osobní údaje zpřístupněny, včetně příjemců v třetích zemích

d) dobu, po kterou se budou osobní údaje uchovávat;

d) dobu, po kterou se budou osobní údaje uchovávat, nebo, není-li to možné, kritéria, která se použijí pro stanovení této doby;

e) existenci práva požadovat od správce opravu nebo výmaz osobních údajů týkajících se subjektu údajů nebo vznést námitku proti zpracování těchto osobních údajů;

e) existenci práva požadovat od správce opravu nebo výmaz osobních údajů týkajících se subjektu údajů nebo vznést námitku proti zpracování těchto osobních údajů;

f) právo podat stížnost příslušnému orgánu dozoru a kontaktní údaje orgánu dozoru;

f) právo podat stížnost příslušnému orgánu dozoru a kontaktní údaje orgánu dozoru;

g) informace o osobních údajích, které jsou zpracovávány, a veškeré dostupné informace o jejich původu;

 

h) význam a předpokládané důsledky tohoto zpracování, alespoň v případě opatření uvedených v článku 20.

h) význam a předpokládané důsledky tohoto zpracování.

 

ha) užitečné informace o postupu automatického zpracování údajů;

 

hb) aniž je dotčen článek 21 v případě, že jsou osobní údaje na základě žádosti orgánu veřejné moci sděleny jinému orgánu veřejné moci, potvrzení o podání žádosti.

2. Subjekt údajů má právo získat od správce informace o osobních údajích, které jsou zpracovávány. Jestliže subjekt údajů podává žádost v elektronické podobě, poskytují se informace v elektronické podobě, pokud subjekt údajů nepožádá o jiný způsob.

2. Subjekt údajů má právo získat od správce informace o osobních údajích, které jsou zpracovávány. Jestliže subjekt údajů podává žádost v elektronické podobě, poskytují se informace v elektronickém a strukturovaném formátu, pokud subjekt údajů nepožádá o jiný způsob. Aniž je dotčen článek 10, podnikne správce veškerá rozumná opatření k ověření toho, zda osoba žádající o přístup k údajům je subjektem údajů.

 

2a. Pokud subjekt údajů poskytl osobní údaje a pokud se osobní údaje zpracovávají elektronicky, má subjekt údajů právo získat od správce kopii poskytnutých osobních údajů v elektronickém a interoperabilním formátu, který se běžně používá a který umožňuje jejich další využití subjektem údajů, aniž by tomu správce, od něhož byly osobní údaje získány, bránil. Pokud je to technicky proveditelné a dostupné, budou údaje se na žádost subjektu údajů předají přímo mezi jednotlivými správci.

 

2b. Tímto článkem není dotčena povinnost vymazat údaje, jestliže již nejsou zapotřebí, jak je stanoveno v čl. 5 odst. 1 písm. e).

 

2c. Právo na přístup v souladu s odstavci 1 a 2 se neuplatní , jedná-li se o údaje ve smyslu čl. 14 odst. 5 písm. da), s výjimkou případů, kdy je subjekt údajů oprávněn zrušit dané utajení a podle toho jedná.

3. Komise je zmocněna přijímat akty v přenesené pravomoci v souladu s článkem 86 za účelem dalšího vymezení kritérií a požadavků ohledně sdělování informací subjektu údajů o obsahu osobních údajů uvedených v odst. 1 písm. g).

 

4. Komise může stanovit standardní formuláře a určit postupy pro podávání žádostí o přístup k informacím uvedeným v odstavci 1 a o jeho udělení, mimo jiné za účelem ověření totožnosti subjektu údajů a sdělení osobních údajů subjektu údajů, a to s přihlédnutím ke konkrétní povaze a potřebám různých odvětví a situacím zpracovávání údajů. Tyto prováděcí akty se přijímají v souladu s přezkumným postupem podle čl. 87 odst. 2.

 

Pozměňovací návrh   112

Návrh nařízení

Článek 17

Znění navržené Komisí

Pozměňovací návrh

Právo být zapomenut a právo na výmaz

Právo na výmaz

1. Subjekt údajů má právo požadovat od správce výmaz osobních údajů, které se jej týkají, a zdržení se dalšího šíření těchto údajů, zejména v souvislosti s osobními údaji, které subjekt údajů zpřístupnil v dětském věku, pokud je splněn jeden z těchto důvodů:

1. Subjekt údajů má právo požadovat od správce a zpracovatele výmaz osobních údajů, které se jej týkají, a zdržení se dalšího šíření těchto údajů, a získat od třetích stran výmaz všech odkazů na tyto údaje nebo kopií či replikací těchto údajů, pokud je splněn jeden z těchto důvodů:

a) údaje již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány;

a) údaje již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány;

b) subjekt údajů odvolá svůj souhlas, na jehož základě byly údaje podle čl. 6 odst. 1 písm. a) zpracovávány, nebo pokud vypršela lhůta pro uchovávání údajů, pro níž byl dán souhlas, a pokud neexistuje žádný další právní důvod pro zpracování údajů;

b) subjekt údajů odvolá svůj souhlas, na jehož základě byly údaje podle čl. 6 odst. 1 písm. a) zpracovávány, nebo pokud vypršela lhůta pro uchovávání údajů, pro níž byl dán souhlas, a pokud neexistuje žádný další právní důvod pro zpracování údajů;

c) subjekt údajů vznáší námitku proti zpracování osobních údajů podle článku 19;

c) subjekt údajů vznáší námitku proti zpracování osobních údajů podle článku 19;

 

ca) soud nebo regulační orgán se sídlem v Unii vydal konečné rozhodnutí, že dotčené údaje musí být vymazány;

d) zpracování údajů není slučitelné s tímto nařízením z jiných důvodů.

d) údaje byly zpracovány nezákonně.

 

1a. Použití odstavce 1 závisí na schopnosti správce ověřit, zda osoba žádající o výmaz je subjektem údajů.

2. Pokud správce uvedený v odstavci 1 zveřejnil osobní údaje, přijme vzhledem k údajům, za jejichž zveřejnění je zodpovědný, veškerá rozumná opatření, včetně technických, aby informoval třetí strany, které tyto údaje zpracovávají, že subjekt údajů od nich požaduje vymazání všech odkazů na tyto osobní údaje nebo kopií či replikací těchto osobních údajů. Pokud správce povolil zveřejnění osobních údajů třetí straně, nese za něj odpovědnost správce.

2. Pokud správce uvedený v odstavci 1 zveřejnil osobní údaje, aniž by k tomu existovaly důvody podle čl. 6 odst. 1, přijme veškerá rozumná opatření k výmazu údajů, včetně výmazu třetími stranami, aniž by tím byl dotčen článek 77. Správce případně informuje subjekt údajů o opatřeních, která provedly příslušné třetí strany.

3. Správce provede výmaz neprodleně, s výjimkou případů, kdy je uchovávání osobních údajů nezbytné:

3. Správce a případně třetí strana provede výmaz neprodleně, s výjimkou případů, kdy je uchovávání osobních údajů nezbytné:

a) pro výkon práva na svobodu projevu podle článku 80;

a) pro výkon práva na svobodu projevu podle článku 80;

b) z důvodů veřejného zájmu v oblasti veřejného zdraví v souladu s článkem 81;

b) z důvodů veřejného zájmu v oblasti veřejného zdraví v souladu s článkem 81;

c) pro účely historiografického, statistického a vědeckého výzkumu podle článku 83;

c) pro účely historiografického, statistického a vědeckého výzkumu podle článku 83;

d) pro splnění právní povinnosti uchovávat osobní údaje, které správce podléhá na základě práva Unie nebo práva členského státu; právní předpisy členského státu musí sledovat cíl veřejného zájmu, respektovat podstatu práva na ochranu osobních údajů a být přiměřené z hlediska sledovaného legitimního cíle;

d) pro splnění právní povinnosti uchovávat osobní údaje, které správce podléhá na základě práva Unie nebo práva členského státu; právní předpisy členského státu musí sledovat cíl veřejného zájmu, respektovat právo na ochranu osobních údajů a být přiměřené z hlediska sledovaného legitimního cíle;

e) v případech uvedených v odstavci 4.

e) v případech uvedených v odstavci 4.

4. Namísto vymazání osobních údajů může správce omezit jejich zpracování, pokud:

4. Namísto vymazání osobních údajů může správce omezit jejich zpracování takovým způsobem, že k nim není možný běžný přístup, nepodléhají zpracování a nelze je již změnit, pokud:

a) subjekt údajů popírá jejich přesnost, a to na dobu potřebnou k tomu, aby správce mohl ověřit přesnost údajů;

a) subjekt údajů popírá jejich přesnost, a to na dobu potřebnou k tomu, aby správce mohl ověřit přesnost údajů;

b) správce už osobní údaje ke splnění svých úkolů nepotřebuje, ale je třeba je uchovat jako důkaz;

b) správce už osobní údaje ke splnění svých úkolů nepotřebuje, ale je třeba je uchovat jako důkaz;

c) zpracování je nezákonné a subjekt údajů odmítá jejich výmaz a žádá místo toho o omezení jejich použití;

c) zpracování je nezákonné a subjekt údajů odmítá jejich výmaz a žádá místo toho o omezení jejich použití;

 

ca) soud nebo regulační orgán se sídlem v Unii vydal konečné rozhodnutí, že dotčené údaje musí být omezeny;

d) subjekt údajů požaduje v souladu s čl. 18 odst. 2 přenos osobních údajů do jiného automatizovaného systému zpracování.

d) subjekt údajů požaduje v souladu s čl. 15 odst. 2a přenos osobních údajů do jiného automatizovaného systému zpracování.

 

da) konkrétní druh technologie pro uchování údajů neumožňuje vymazání a byl instalován před vstupem tohoto nařízení v platnost.

5. Osobní údaje uvedené v odstavci 4 mohou být s výjimkou jejich uchovávání zpracovávány pouze jako důkaz nebo se souhlasem subjektu údajů, nebo za účelem ochrany práv jiné fyzické nebo právnické osoby nebo plnění cíle veřejného zájmu.

5. Osobní údaje uvedené v odstavci 4 mohou být s výjimkou jejich uchovávání zpracovávány pouze jako důkaz nebo se souhlasem subjektu údajů, nebo za účelem ochrany práv jiné fyzické nebo právnické osoby nebo plnění cíle veřejného zájmu.

6. Pokud je zpracování osobních údajů omezené ve smyslu odstavce 4, správce o tom informuje subjekt údajů před zrušením omezení zpracování.

6. Pokud je zpracování osobních údajů omezené ve smyslu odstavce 4, správce o tom informuje subjekt údajů před zrušením omezení zpracování.

7. Správce zavede mechanismy, které zajistí dodržování lhůt stanovených pro výmaz osobních údajů a/nebo pro pravidelný přezkum s cílem posoudit potřebu uchovávat údaje.

 

8. Pokud se provádí výmaz, správce nesmí tyto osobní údaje jinak zpracovávat.

8. Pokud se provádí výmaz, správce nesmí tyto osobní údaje jinak zpracovávat.

 

8a. Správce zavede mechanismy, které zajistí dodržování lhůt stanovených pro výmaz osobních údajů a/nebo pro pravidelný přezkum s cílem posoudit potřebu uchovávat údaje.

9. Komise je zmocněna přijímat akty v přenesené pravomoci v souladu s článkem 86 za účelem dalšího vymezení:

9. Komise je, poté co požádá o stanovisko Evropské rady pro ochranu údajů, zmocněna přijímat akty v přenesené pravomoci v souladu s článkem 86 za účelem dalšího vymezení:

a) kritérií a požadavků na uplatňování odstavce 1 v případě konkrétních odvětví a konkrétních situací, kdy se údaje zpracovávají,

a) kritérií a požadavků na uplatňování odstavce 1 v případě konkrétních odvětví a konkrétních situací, kdy se údaje zpracovávají,

b) podmínek pro výmaz odkazů, kopií nebo replikací osobních údajů z veřejně dostupných komunikačních služeb, jak je uvedeno v odstavci 2;

b) podmínek pro výmaz odkazů, kopií nebo replikací osobních údajů z veřejně dostupných komunikačních služeb, jak je uvedeno v odstavci 2;

c) kritérií a podmínek pro omezení zpracování osobních údajů podle odstavce 4.

c) kritérií a podmínek pro omezení zpracování osobních údajů podle odstavce 4.

Pozměňovací návrh   113

Návrh nařízení

Článek 18

Znění navržené Komisí

Pozměňovací návrh

Právo na přenositelnost údajů

vypouští se

1. Pokud se osobní údaje zpracovávají elektronicky a ve strukturovaném a běžně používaném formátu, má subjekt údajů právo získat od správce kopii zpracovávaných údajů elektronicky a ve strukturovaném a běžně používaném formátu, který umožňuje jejich další využití subjektem údajů.

 

2. Pokud subjekt údajů poskytl osobní údaje a zpracování je založené na souhlasu nebo smlouvě, má subjekt údajů právo přenést tyto osobní údaje a jakékoli jiné informace jím poskytnuté a uchovávané v automatizovaném systému zpracování do jiného systému v běžně používaném elektronickém formátu, aniž by tomu správce, od něhož byly osobní údaje získány, bránil.

 

3. Komise může určit elektronický formát uvedený v odstavci 1 a technické normy, metody a postupy pro přenos osobních údajů podle odstavce 2. Tyto prováděcí akty se přijímají v souladu s přezkumným postupem podle čl. 87 odst. 2.

 

Pozměňovací návrh   114

Návrh nařízení

Článek 19

Znění navržené Komisí

Pozměňovací návrh

Právo vznést námitku

Právo vznést námitku

1. Subjekt údajů má právo vznést námitku z důvodů týkajících se jeho konkrétní situace kdykoli v průběhu zpracování osobních údajů, které je založeno na čl. 6 odst. 1 písm. d), e) a f), pokud správce neprokáže závažné legitimní důvody pro zpracování, které převažují nad zájmy a základními právy a svobodami subjektu údajů.

1. Subjekt údajů má právo vznést námitku kdykoli v průběhu zpracování osobních údajů, které je založeno na čl. 6 odst. 1 písm. d) a e), pokud správce neprokáže závažné legitimní důvody pro zpracování, které převažují nad zájmy a základními právy a svobodami subjektu údajů.

2. Pokud se osobní údaje zpracovávají pro přímý marketing, má subjekt údajů právo zdarma vznést námitku proti zpracování svých osobních údajů pro tento marketing. Toto právo je subjektu údajů výslovně nabídnuto srozumitelným způsobem a je jasně odlišitelné od jiných informací.

2. Pokud se osobní údaje zpracovávají na základě čl. 6 odst. 1 písm. f) má subjekt údajů kdykoli a bez dalšího odůvodnění právo zdarma, a to obecně nebo za jakýmkoli konkrétním účelem, vznést námitku proti zpracování svých osobních údajů.

 

2a. Právo, na něž se odkazuje v odstavci 2, je subjektu údajů výslovně nabídnuto srozumitelným způsobem a ve srozumitelné podobě, v jasném a běžném jazyce, zejména je-li speciálně určeno dítěti, a je jasně odlišitelné od jiných informací.

 

2b. V souvislosti s využíváním služeb informační společnosti a aniž je dotčena směrnice 2002/58/ES, se právo vznést námitku může vykonávat pomocí automatizovaných prostředků s využitím technického standardu, který subjektu údajů umožňuje, aby jasně vyjádřil svá přání.

3. Pokud je vznesena námitka ve smyslu odstavců 1 a 2, správce již nemůže déle příslušné osobní údaje používat či jinak zpracovávat.

3. Pokud je vznesena námitka ve smyslu odstavců 1 a 2, správce již nemůže déle příslušné osobní údaje používat či jinak zpracovávat pro účely, k nimž se námitka vztahuje.

(Poslední věta odstavce 2 ve znění navrženém Komisí se stala odstavcem 2a v pozměňovacím návrhu Evropského parlamentu.)

Pozměňovací návrh   115

Návrh nařízení

Článek 20

Znění navržené Komisí

Pozměňovací návrh

Opatření založená na profilování

Profilování

1. Každá fyzická osoba právo, aby se na ni nevztahovalo žádné opatření, jež má vůči ní právní účinky nebo se jí významně dotýká, provedené pouze na základě automatizovaného zpracování určeného k vyhodnocení jistých rysů její osobnosti nebo k analýze či předpovídání zejména plnění pracovních povinností, ekonomické situace, lokalizace, zdravotního stavu, osobních preferencí, spolehlivosti nebo chování této fyzické osoby.

1. Aniž jsou dotčena ustanovení článku 6, má každá fyzická osoba právo vznést námitku proti profilování v souladu s článkem 19. Subjekt údajů je o právu na vznesení námitky proti profilování informován velmi zřetelným způsobem.

2. Aniž jsou dotčena další ustanovení tohoto nařízení, může se na osobu vztahovat opatření uvedené v odstavci 1 pouze tehdy, je-li zpracování:

2. Aniž jsou dotčena další ustanovení tohoto nařízení, může se na osobu vztahovat profilování, které vede k opatřením majícím vůči subjektu údajů právní účinky nebo které se obdobným způsobem významně dotýká zájmů, práv a svobod dotčeného subjektu údajů pouze tehdy, je-li zpracování:

a) prováděno v rámci uzavírání nebo plnění smlouvy, pokud žádosti o uzavření nebo o plnění smlouvy podané subjektem údajů bylo vyhověno nebo pokud byla přijata vhodná opatření, která zajišťují ochranu jeho oprávněných zájmů, jako je právo na přímý osobní kontakt;

a) nezbytné k uzavírání nebo plnění smlouvy, pokud žádosti o uzavření nebo o plnění smlouvy podané subjektem údajů bylo vyhověno, za předpokladu, že byla přijata vhodná opatření, která zajišťují ochranu jeho oprávněných zájmů; or

b) výslovně povoleno právem Unie nebo členského státu, které rovněž stanoví vhodná opatření zajišťující ochranu oprávněných zájmů subjektu údajů nebo

b) výslovně povoleno právem Unie nebo členského státu, které rovněž stanoví vhodná opatření zajišťující ochranu oprávněných zájmů subjektu údajů nebo

c) založeno na souhlasu subjektu údajů, s výhradou podmínek stanovených v článku 7 a vhodných záruk.

c) založeno na souhlasu subjektu údajů, s výhradou podmínek stanovených v článku 7 a vhodných záruk.

3. Automatické zpracování osobních údajů za účelem vyhodnocení určitých rysů osobnosti fyzické osoby se nesmí opírat pouze o zvláštní kategorie osobních údajů uvedené v článku 9.

3. Je zakázáno profilování, které má za následek diskriminaci jednotlivců na základě rasy či etnického původu, politických názorů, náboženského vyznání nebo přesvědčení, členství v odborových organizacích, sexuální orientace nebo generové identity nebo které vede k opatřením, jež mají takový dopad. Správce uplatní efektivní ochranu proti případné diskriminaci vyplývající z profilování. Profilování se nesmí opírat pouze o zvláštní kategorie osobních údajů uvedené v článku 9.

4. V případech uvedených v odstavci 2 musí informace poskytované správcem podle článku 14 obsahovat informace, zda byly údaje zpracovány pro účely opatření, na které se vztahuje odstavec 1, a k přepokládaným účinkům tohoto zpracování na subjekt údajů.

 

5. Komise je zmocněna přijímat akty v přenesené pravomoci v souladu s článkem 86 za účelem dalšího vymezení kritérií a podmínek, které mají platit pro vhodná opatření na ochranu oprávněných zájmů subjektu údajů uvedených v odstavci 2.

5. Profilování, které vede k opatřením majícím vůči subjektu údajů právní účinky nebo které se obdobným způsobem významně dotýká zájmů, práv a svobod dotčeného subjektu údajů, nevychází pouze nebo převážně z automatického zpracování a zahrne také posouzení prováděné člověkem včetně vysvětlení rozhodnutí, k němuž toto posouzení vedlo. Vhodná opatření na ochranu oprávněných zájmů subjektu údajů uvedených v odstavci 2 zahrnou právo na posouzení prováděné člověkem a na vysvětlení rozhodnutí, k němuž toto posouzení vedlo.

 

5a. Evropská rada pro ochranu údajů je v souladu s čl. 66 odst. 1 písm. b) pověřena úkolem vydávat pokyny, doporučení a informace o osvědčených postupech s cílem dále vymezit kritéria a podmínky profilování podle odstavce 2.

Pozměňovací návrh   116

Návrh nařízení

Článek 21

Znění navržené Komisí

Pozměňovací návrh

Omezení

Omezení

1. Právo Unie nebo členského státu může prostřednictvím legislativního opatření omezit rozsah povinností a práv uvedených v čl. 5 písm. a) až e), v článcích 11 až 20 a v článku 32, pokud takové omezení představuje nezbytné a přiměřené opatření v demokratické společnosti s cílem zajistit:

1. Právo Unie nebo členského státu může prostřednictvím legislativního opatření omezit rozsah povinností a práv v článcích 11 až 19 a v článku 32, pokud takové omezení splňuje jasně stanovený účel veřejného zájmu, dodržuje podstatu práva na ochranu osobních údajů, je přiměřené sledovanému legitimnímu cíli a dodržuje základní práva a zájmy subjektu údajů s tím, že se jedná o nezbytné a přiměřené opatření v demokratické společnosti s cílem zajistit:

a) veřejnou bezpečnost;

a) veřejnou bezpečnost;

b) prevenci, vyšetřování, odhalování a stíhání trestných činů;

b) prevenci, vyšetřování, odhalování a stíhání trestných činů;

c) jiné veřejné zájmy Unie nebo členského státu, zejména důležitý hospodářský nebo finanční zájem Unie nebo členského státu, včetně peněžních, rozpočtových a daňových záležitostí a ochrany stability a integrity trhu;

c) daňové záležitosti;

d) prevenci, vyšetřování, odhalování a stíhání nedodržování deontologických pravidel pro regulovaná povolání;

d) prevenci, vyšetřování, odhalování a stíhání nedodržování deontologických pravidel pro regulovaná povolání;

e) kontrolní, inspekční nebo regulační funkce vyplývající, i pouze příležitostně, z výkonu veřejné moci v případech uvedených v písmenech a), b) c) a d);

e) kontrolní, inspekční nebo regulační funkce v rámci výkonu moci příslušného veřejného orgánu v případech uvedených v písmenech a), b) c) a d);

f) ochranu subjektu údajů nebo práv a svobod druhých.

f) ochranu subjektu údajů nebo práv a svobod druhých.

2. Každé legislativní opatření uvedené v odstavci 1 obsahuje konkrétní ustanovení, alespoň pokud jde o cíle, které má zpracování sledovat, a určení správce.

2. Každé legislativní opatření uvedené v odstavci 1 musí být v demokratické společnosti nezbytné a přiměřené a obsahuje konkrétní ustanovení, alespoň pokud jde o:

 

a) cíle, které má zpracování sledovat;

 

b) určení správce;

 

c) konkrétní účely a prostředky zpracování;

 

d) záruky, jež zamezí zneužití nebo nelegálnímu přístupu či přenosu údajů;

 

e) právo subjektu údajů na informace o omezení.

 

2a. Legislativní opatření uvedená v odstavci 1 neukládají soukromým správcům povinnost a ani jim neumožňují uchovávat další údaje kromě údajů, jež jsou zcela nezbytné pro původní účely.

(Poslední slova odstavce 2 ve znění navrženém Komisí se stávají písmeny a) a b) v pozměňovacím návrhu Parlamentu.)

Pozměňovací návrh   117

Návrh nařízení

Článek 22

Znění navržené Komisí

Pozměňovací návrh

Odpovědnost správce

Odpovědnost správce

1. Správce přijme politiky a provede vhodná opatření, aby zajistil, že zpracovávání osobních údajů probíhá v souladu s tímto nařízením, a aby byl schopen tuto skutečnost prokázat.

1. Správce přijme vhodné politiky a provede vhodná prokazatelná technická a organizační opatření, aby zajistil, že zpracovávání osobních údajů probíhá v souladu s tímto nařízením, a aby byl schopen tuto skutečnost transparentním způsobem prokázat s přihlédnutím ke stavu techniky, k povaze zpracování osobních údajů, k celkovým souvislostem, rozsahu a účelům zpracování, rizikům pro práva a svobody subjektů údajů a k typu organizace, a to jak při určování prostředků zpracování, tak při samotném zpracování.

 

1a. S ohledem na stav techniky a náklady provedení přijme správce všechna rozumná opatření k zavedení strategií a postupů k zajištění souladu, která soustavně respektují samostatná rozhodnutí subjektů údajů. Tyto strategie se alespoň jednou za dva roky revidují a případně aktualizují.

2. Opatření uvedená v odstavci 1 zahrnují zejména:

 

a) vedení dokumentace podle článku 28;

 

b) provedení požadavků týkajících se bezpečnosti údajů uvedených v článku 30;

 

c) vypracování posouzení dopadu na ochranu údajů podle článku 33;

 

d) splnění požadavků ohledně předchozího povolení nebo předchozí konzultace orgánu dozoru podle čl. 34 odst. 1 a 2;

 

e) jmenování inspektora ochrany údajů podle čl. 35 odst. 1.

 

3. Správce zavede mechanismy pro ověření účinnosti opatření uvedených v odstavcích 1 a 2. Je-li to přiměřené, provede toto ověření nezávislý interní nebo externí auditor.

3. Správce je oprávněn prokázat přiměřenost a účinnost opatření uvedených v odstavcích 1 a 2. Veškeré pravidelné souhrnné zprávy o činnosti správce, jako jsou povinné zprávy veřejných společností, obsahují souhrnný popis politik a opatření uvedených v odstavci 1.

 

3a. Správce má právo předávat osobní údaje v Unii v rámci skupiny podniků, jejíž je součástí, kde je zpracování nezbytné pro legitimní interní administrativní účely mezi propojenými oblastmi podnikání této skupiny podniků a kde je zachována odpovídající úroveň ochrany údajů i zájmy subjektů údajů pomocí interních ustanovení o ochraně údajů nebo rovnocenných kodexů chování podle článku 38.

4. Komise je zmocněna přijímat akty v přenesené pravomoci v souladu s článkem 86 za účelem dalšího vymezení kritérií a požadavků na vhodná opatření uvedená v odstavci 1, která nebyla uvedena v odstavci 2, stanovení podmínek pro mechanismy ověřování a auditu uvedené v odstavci 3 a kritérií proporcionality podle odstavce 3 a zvážení specifických opatření zejména pro mikropodniky, malé a střední podniky.

 

Pozměňovací návrh   118

Návrh nařízení

Článek 23

Znění navržené Komisí

Pozměňovací návrh

Ochrana údajů již od návrhu a standardní nastavení ochrany údajů

Ochrana údajů již od návrhu a standardní nastavení ochrany údajů

1. S ohledem na stav techniky a náklady provedení přijme správce při určování prostředků zpracování i při samotném zpracovávání vhodná technická a organizační opatření a postupy tak, aby dané zpracování splňovalo požadavky tohoto nařízení a zaručovalo ochranu práv subjektu údajů.

1. S ohledem na stav techniky, současné technické znalosti, mezinárodní osvědčené postupy a rizika, která představuje zpracování údajů, přijme správce a v patřičném případě zpracovatel při určování účelů a prostředků zpracování i při samotném zpracovávání vhodná a přiměřená technická a organizační opatření a postupy tak, aby dané zpracování splňovalo požadavky tohoto nařízení a zaručovalo ochranu práv subjektu údajů, zejména pak zásady uvedené v článku 5. Ochrana údajů již od návrhu se především soustředí na správu osobních údajů po celou dobu jejich existence, tj. od jejich shromáždění a zpracování až po jejich výmaz, a během celého procesu se soustavně zaměřuje na poskytování komplexních záruk, pokud jde o přesnost, důvěrnost, celistvost, fyzickou bezpečnost a výmaz osobních údajů. Jestliže správce vypracoval posouzení dopadu na ochranu údajů podle článku 33, zohlední se jeho výsledky při vytváření uvedených opatření a postupů.

 

1a. Ochrana údajů od návrhu musí být – v zájmu podpory jejího širokého používání v různých hospodářských odvětvích – podmínkou pro zadávání veřejných zakázek podle směrnice Evropského parlamentu a Rady 2004/18/ES1 a podle směrnice Evropského parlamentu a Rady 2004/17/ES2 (směrnice o veřejných službách).

2. Správce přijme mechanismy, aby zajistil, že standardně se budou zpracovávat pouze ty osobní údaje, které jsou pro každý konkrétní účel zpracování nutné, a že zejména jejich shromažďování či uchovávání nepřesáhne minimum, jež je pro tyto účely nezbytné, a to jak co do množství údajů, tak do doby jejich uchovávání. Tyto mechanismy konkrétně zaručí, že osobní údaje se nebudou standardně zpřístupňovat neomezenému počtu fyzických osob.

2. Správce zajistí, že standardně se budou zpracovávat pouze ty osobní údaje, které jsou pro každý konkrétní účel zpracování nutné, a že zejména jejich shromažďování, uchovávání či šíření nepřesáhne minimum, jež je pro tyto účely nezbytné, a to jak co do množství údajů, tak do doby jejich uchovávání. Tyto mechanismy konkrétně zaručí, že osobní údaje se nebudou standardně zpřístupňovat neomezenému počtu fyzických osob a že subjekty údajů budou moci kontrolovat šíření svých osobních údajů.

3. Komise je zmocněna přijímat akty v přenesené pravomoci v souladu s článkem 86 za účelem vymezení jakýchkoli dalších kritérií a požadavků, pokud jde o vhodná opatření a mechanismy uvedené v odstavcích 1 a 2, zejména požadavků na ochranu údajů již od návrhu, které budou platit napříč odvětvími, produkty a službami.

 

4. Komise může stanovit technické normy pro požadavky uvedené v odstavcích 1 a 2. Tyto prováděcí akty se přijímají v souladu s přezkumným postupem podle čl. 87 odst. 2.

 

 

1 Směrnice Evropského parlamentu a Rady 2004/18/ES ze dne 31. března 2004 o koordinaci postupů při zadávání veřejných zakázek na stavební práce, dodávky a služby, (Úř. věst. L 134, 30.4.2004, s. 114).

2 Směrnice Evropského parlamentu a Rady 2004/17/ES ze dne 31. března 2004 o koordinaci postupů při zadávání zakázek subjekty působícími v odvětví vodního hospodářství, energetiky, dopravy a poštovních služeb (Úř. věst. L 134, 30.4.2004, s. 1).

Pozměňovací návrh   119

Návrh nařízení

Článek 24

Znění navržené Komisí

Pozměňovací návrh

Společní správci

Společní správci

Kde správce určuje účel, podmínky a prostředky zpracování osobních údajů společně s ostatními, určí společní správci ve vzájemném ujednání, jakou odpovědnost každý z nich nese za plnění povinností vyplývajících z tohoto nařízení, zejména pokud jde o postupy a mechanismy pro výkon práv subjektu údajů.

Kde několik správců společně určuje účel a prostředky zpracování osobních údajů, určí společní správci ve vzájemném ujednání, jakou odpovědnost každý z nich nese za plnění povinností vyplývajících z tohoto nařízení, zejména pokud jde o postupy a mechanismy pro výkon práv subjektu údajů. Toto ujednání náležitě zohlední příslušné skutečné úlohy společných správců a vztahy vůči subjektům údajů a podstata ujednání je subjektu údajů poskytnuta. V případě nejasné odpovědnosti nesou správci společnou a nerozdílnou odpovědnost.

Pozměňovací návrh   120

Návrh nařízení

Článek 25

Znění navržené Komisí

Pozměňovací návrh

Zástupci správců neusazených v Unii

Zástupci správců neusazených v Unii

1. V případě popsaném v čl. 3 odst. 2 správce určí v Unii svého zástupce.

1. V případě popsaném v čl. 3 odst. 2 správce určí v Unii svého zástupce.

2. Touto povinností nejsou vázáni:

2. Touto povinností nejsou vázáni:

a) správci usazení ve třetích zemích, které podle rozhodnutí Komise zaručují přiměřenou úroveň ochrany v souladu s článkem 41, nebo

a) správci usazení ve třetích zemích, které podle rozhodnutí Komise zaručují přiměřenou úroveň ochrany v souladu s článkem 41, nebo

b) podniky zaměstnávající méně než 250 osob nebo

b) správce zpracovávající osobní údaje týkající se méně než 5000 subjektů údajů za jakékoli období 12 po sobě jdoucích měsíců, který nezpracovává zvláštní kategorie osobních údajů uvedené v čl. 9 odst. 1, lokalizační údaje nebo údaje o dětech či zaměstnancích v objemných evidencích; or

c) orgány veřejné moci či veřejnoprávní subjekty nebo

c) orgány veřejné moci či veřejnoprávní subjekty nebo or

d) správci, kteří subjektům údajů s bydlištěm v Unii nabízejí zboží či služby pouze příležitostně.

d) správci, kteří subjektům údajů v Unii nabízejí zboží či služby pouze příležitostně, pokud se zpracování osobních údajů netýká zvláštních kategorií osobních údajů uvedených v čl. 9 odst. 1, lokalizačních údajů nebo údajů o dětech či zaměstnancích z objemných evidencí.

3. Zástupce je usazen v jednom z členských států, ve kterém mají bydliště subjekty údajů, jejichž osobní údaje jsou v souvislosti s nabízeným zbožím či službami zpracovávány, nebo u nichž se sleduje jejich chování.

3. Zástupce je usazen v jednom z členských států, ve kterém se nabízí zboží či služby subjektům údajů nebo v němž se provádí jejich sledování.

4. Tím, že správce jmenuje svého zástupce, nejsou dotčeny právní kroky, které by mohly být podniknuty proti správci samotnému.

4. Tím, že správce jmenuje svého zástupce, nejsou dotčeny právní kroky, které by mohly být podniknuty proti správci samotnému.

Pozměňovací návrh   121

Návrh nařízení

Článek 26

Znění navržené Komisí

Pozměňovací návrh

Zpracovatel

Zpracovatel

1. Má-li být provedeno zpracování údajů jménem správce, správce vybere zpracovatele, který nabízí dostatečné záruky k přijetí vhodných technických a organizačních opatření a postupů tak, aby dané zpracování splňovalo požadavky tohoto nařízení a zaručovalo ochranu práv subjektu údajů, zejména pokud jde o technická bezpečnostní opatření a organizační opatření, jimiž se bude plánované zpracování řídit, a zajistí soulad s těmito opatřeními.

1. Má-li být provedeno zpracování údajů jménem správce, správce vybere zpracovatele, který nabízí dostatečné záruky k přijetí vhodných technických a organizačních opatření a postupů tak, aby dané zpracování splňovalo požadavky tohoto nařízení a zaručovalo ochranu práv subjektu údajů, zejména pokud jde o technická bezpečnostní opatření a organizační opatření, jimiž se bude plánované zpracování řídit, a zajistí soulad s těmito opatřeními.

2. Zpracování údajů zpracovatelem je upraveno smlouvou nebo jiným právním aktem, který zavazuje zpracovatele vůči správci a který stanoví zejména, že zpracovatel:

2. Zpracování údajů zpracovatelem je upraveno smlouvou nebo jiným právním aktem, který zavazuje zpracovatele vůči správci. Správce a zpracovatel mohou libovolně určit příslušné poslání a úkoly, pokud jde o požadavky tohoto nařízení, a zajistí, že zpracovatel:

a) jedná pouze podle pokynů správce, zejména je-li zakázáno dané osobní údaje předávat;

a) zpracovává osobní údaje pouze podle pokynů správce, pokud právní předpisy Unie nebo členského státu neobsahují jiné požadavky;

b) zaměstnává pouze pracovníky, kteří se zavázali k mlčenlivosti nebo na které se povinnost mlčenlivosti vztahuje ze zákona;

b) zaměstnává pouze pracovníky, kteří se zavázali k mlčenlivosti nebo na které se povinnost mlčenlivosti vztahuje ze zákona;

c) podnikne všechna požadovaná opatření podle článku 30;

c) podnikne všechna požadovaná opatření podle článku 30;

d) zapojí do zpracování údajů dalšího zpracovatele pouze s předchozím souhlasem správce;

d) není-li stanoveno jinak, stanoví podmínky pro zapojení dalšího zpracovatele do zpracování údajů pouze s předchozím souhlasem správce;

e) v míře, do jaké je to s ohledem na povahu daného zpracování možné, vypracuje po dohodě se správcem nezbytné technické a organizační požadavky pro splnění správcovy povinnosti reagovat na žádosti o výkon práv subjektu údajů stanovených v kapitole III;

e) v míře, do jaké je to s ohledem na povahu daného zpracování možné, vypracuje po dohodě se správcem vhodné a odpovídající technické a organizační požadavky pro splnění správcovy povinnosti reagovat na žádosti o výkon práv subjektu údajů stanovených v kapitole III;

f) napomáhá správci zajišťovat plnění povinností podle článků 30 až 34;

f) napomáhá správci zajišťovat plnění povinností podle článků 30 až 34, přičemž zohlední povahu zpracování a informace, jež má zpracovatel k dispozici;

g) předává po zpracování veškeré výsledky správci a osobní údaje jinak nezpracovává;

g) vrací po zpracování veškeré výsledky správci, osobní údaje jinak nezpracovává a vymaže existující kopie, pokud Unie nebo členský stát nepožadují uchování údajů;

h) poskytne správci a orgánu dozoru veškeré informace potřebné pro kontrolu toho, zda byly splněny povinnosti stanovené v tomto článku.

h) poskytne správci veškeré informace potřebné pro prokázání toho, zda byly splněny povinnosti stanovené v tomto článku, a umožní inspekce na místě;

3. Správce a zpracovatel písemně zdokumentují správcovy pokyny a zpracovatelovy povinnosti uvedené v odstavci 2.

3. Správce a zpracovatel písemně zdokumentují správcovy pokyny a zpracovatelovy povinnosti uvedené v odstavci 2.

 

3a. Dostatečné záruky uvedené v odstavci 1 mohou být prokázány dodržováním kodexů chování nebo mechanismů pro vydávání osvědčení podle článků 38 nebo 39 tohoto nařízení.

4. Jestliže zpracovatel zpracovává jiné osobní údaje, než k jakým mu dal pokyn správce, považuje se ve vztahu k takovému zpracování za správce a vztahují se na něho pravidla o společných správcích uvedená v článku 24.

4. Jestliže zpracovatel zpracovává jiné osobní údaje, než k jakým mu dal pokyn správce nebo se stane určující stranou, pokud jde o účely a prostředky zpracování údajů, považuje se ve vztahu k takovému zpracování za správce a vztahují se na něho pravidla o společných správcích uvedená v článku 24.

5. Komise je zmocněna přijímat akty v přenesené pravomoci v souladu s článkem 86 za účelem dalšího vymezení kritérií a požadavků, pokud jde o odpovědnosti, povinnosti a úkoly zpracovatele v souladu s odstavcem 1, a za účelem vymezení podmínek, jež umožní usnadnit zpracovávání osobních údajů ve skupině podniků, zejména za účelem kontroly a podávání zpráv.

 

Pozměňovací návrh   122

Návrh nařízení

Článek 28

Znění navržené Komisí

Pozměňovací návrh

Dokumentace

Dokumentace

1. Každý správce a zpracovatel, a v patřičném případě zástupce správce, vede dokumentaci o všech zpracováních, za která nese odpovědnost.

1. Každý správce a zpracovatel vede pravidelně aktualizovanou dokumentaci nezbytnou pro plnění požadavků stanovených v tomto nařízení.

2. V dokumentaci jsou obsaženy přinejmenším tyto údaje:

2. Kromě toho vede každý správce a zpracovatel dokumentaci obsahující tyto údaje:

a) jméno a kontaktní údaje správce nebo případného společného správce či zpracovatele a v patřičném případě zástupce;

a) jméno a kontaktní údaje správce nebo případného společného správce či zpracovatele a v patřičném případě zástupce;

b) v patřičném případě jméno a kontaktní údaje inspektora ochrany údajů;

b) v patřičném případě jméno a kontaktní údaje inspektora ochrany údajů;

c) účely zpracování, včetně oprávněných zájmů správce tam, kde se zpracování údajů zakládá na čl. 6 odst. 1 písm. f);

 

d) popis kategorií subjektů údajů a kategorií osobních údajů, které se na ně vztahují;

 

e) informace o příjemcích nebo kategoriích příjemců daných osobních údajů, včetně správců, kterým se osobní údaje sdělují s ohledem na jejich oprávněné zájmy;

e) v patřičném případě jméno a kontaktní údaje správců, kterým se osobní údaje sdělují;

f) v příslušných případech informace o předávání údajů do třetích zemí nebo mezinárodním organizacím, včetně informací, jež danou třetí zemi či mezinárodní organizaci identifikují, a v případě předávání podle čl. 44 odst. 1 písm. h) doložení vhodných záruk;

 

g) obecné informace o lhůtách pro výmaz jednotlivých kategorií údajů;

 

h) popis mechanismů podle čl. 22 odst. 3.

 

3. Správce a zpracovatel, a v patřičném případě zástupce správce, poskytnou tuto dokumentaci na požádání orgánu dozoru.

 

4. Povinnosti uvedené v odstavcích 1 a 2 se nevztahují na následující správce a zpracovatele:

vypouští se

a) fyzické osoby, které zpracovávají osobní údaje bez obchodního zájmu, nebo

 

b) podniky či organizace, které zaměstnávají méně než 250 osob a pro které je zpracovávání osobních údajů pouze doplňkem k jejich hlavním činnostem.

 

5. Komise je zmocněna přijímat akty v přenesené pravomoci v souladu s článkem 86 za účelem dalšího vymezení kritérií a požadavků, pokud jde o dokumentaci uvedenou v odstavci 1, aby zohlednila zejména odpovědnosti správce a zpracovatele, a v patřičném případě zástupce správce.

 

6. Komise může pro dokumentaci uvedenou v odstavci 1 stanovit standardní formuláře. Tyto prováděcí akty se přijímají v souladu s přezkumným postupem podle čl. 87 odst. 2.

 

Pozměňovací návrh   123

Návrh nařízení

Čl. 29 – odst. 1

Znění navržené Komisí

Pozměňovací návrh

1. Správce a zpracovatel, a v patřičném případě zástupce správce, spolupracují na požádání s orgánem dozoru při výkonu jeho povinností, a to zejména tím, že mu poskytují informace uvedené v čl. 53 odst. 2 písm. a) a přístup podle písm. b) zmíněného odstavce.

1. Správce a v patřičném případě zpracovatel a zástupce správce, spolupracují na požádání s orgánem dozoru při výkonu jeho povinností, a to zejména tím, že mu poskytují informace uvedené v čl. 53 odst. 2 písm. a) a přístup podle písm. b) zmíněného odstavce.

Pozměňovací návrh   124

Návrh nařízení

Článek 30

Znění navržené Komisí

Pozměňovací návrh

Bezpečnost zpracovávání

Bezpečnost zpracovávání

1. S ohledem na stav techniky a náklady provedení přijmou správce a zpracovatel vhodná technická a organizační opatření, aby zajistili úroveň bezpečnosti, která bude odpovídat rizikům vyplývajícím ze zpracování a z povahy osobních údajů, jež mají být chráněny.

1. S ohledem na stav techniky a náklady provedení přijmou správce a zpracovatel vhodná technická a organizační opatření, aby zajistili úroveň bezpečnosti, která bude odpovídat rizikům vyplývajícím ze zpracování, přičemž zohlední výsledky posuzování dopadu na ochranu údajů podle článku 33.

 

1a. S ohledem na stav techniky a náklady provádění takováto bezpečnostní politika zahrnuje:

 

a) schopnost zajistit, aby byla uplatněna integrita osobních údajů;

 

b) schopnost zajistit neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb souvisejících se zpracováním osobních údajů;

 

c) schopnost včas obnovit dostupnost údajů a přístup k nim v případě fyzických či technických incidentů, které mají dopad na dostupnost, integritu a důvěrnost informačních systémů a služeb;

 

d) v případě zpracování citlivých osobních údajů podle článků 8 a 9 dodatečná bezpečnostní opatření, která zajistí informovanost o rizicích v daném případě a možnost přijmout preventivní a opravná opatření a opatření ke zmírnění dopadů v téměř reálném čase, pokud jde o odhalené citlivé situace nebo incidenty, které by mohly představovat riziko pro dané údaje;

 

e) proces pravidelného testování, posuzování a hodnocení účinnosti zavedených bezpečnostních politik, postupů a plánů určených k zajištění nepřetržité účinnosti.

2. Správce a zpracovatel přijmou po vyhodnocení rizik opatření podle odstavce 1, aby ochránili osobní údaje před náhodným či nepovoleným zničením nebo před náhodnou ztrátou a aby předešli jakýmkoli nepovoleným formám zpracování, zejména nedovolenému sdělování či šíření osobních údajů, přístupu k nim nebo jejich pozměnění.

2. Opatření podle odstavce 1 přinejmenším:

 

a) zajistí, aby k osobním údajům měli přístup pouze oprávnění pracovníci, a to výhradně k zákonným účelům;

 

b) ochrání uložené nebo přenášené osobní údaje před náhodným nebo nepovoleným zničením, náhodnou ztrátou nebo změnou a neoprávněným nebo nezákonným uložením, zpracováním, přístupem či zveřejněním; a dále

 

c) zajistí provádění bezpečnostní politiky týkající se zpracování osobních údajů.

3. Komise je zmocněna přijímat akty v přenesené pravomoci v souladu s článkem 86 za účelem dalšího vymezení kritérií a požadavků, pokud jde o technická a organizační opatření uvedená v odstavcích 1 a 2, včetně určení toho, co se pro konkrétní odvětví a v konkrétních situacích, kdy se zpracovávají údaje, rozumí stavem techniky, přičemž zohlední vývoj technologií a metod standardního nastavení ochrany údajů a ochrany soukromí již od návrhu, s výjimkou případů, kdy se použije odstavec 4.

3. Evropská rada pro ochranu údajů je v souladu s čl. 66 odst. 1 písm. b) pověřena úkolem vydávat pokyny, doporučení a informace o osvědčených postupech, pokud jde o technická a organizační opatření uvedená v odstavcích 1 a 2, včetně určení toho, co se pro konkrétní odvětví a v konkrétních situacích, kdy se zpracovávají údaje, rozumí stavem techniky, přičemž zohlední vývoj technologií a metod standardního nastavení ochrany údajů a ochrany soukromí již od návrhu.

4. Komise může v případě potřeby přijmout prováděcí akty, aby vymezila požadavky stanovené v odstavcích 1 a 2 ve vztahu k několika situacím, konkrétně aby:

 

a) předešla nedovolenému přístupu k osobním údajům;

 

b) předešla nedovolenému sdělování, čtení, kopírování, upravování, výmazu či odstranění osobních údajů;

 

c) zajistila ověření zákonnosti zpracování.

 

Tyto prováděcí akty se přijímají v souladu s přezkumným postupem podle čl. 87 odst. 2.

 

(Článek 2 ve znění navrženém Komisí se v parlamentním pozměňovacím návrhu zčásti stal písmenem b)).

Pozměňovací návrh   125

Návrh nařízení

Článek 31

Znění navržené Komisí

Pozměňovací návrh

Ohlašování případů narušení bezpečnosti osobních údajů orgánu dozoru

Ohlašování případů narušení bezpečnosti osobních údajů orgánu dozoru

1. Dojde-li k narušení bezpečnosti osobních údajů, správce jej ohlásí orgánu dozoru, a to bez zbytečného odkladu, a je-li to možné, nejpozději do 24 hodin od chvíle, kdy toto narušení zjistil. Pokud není případ ohlášen orgánu dozoru do 24 hodin, k ohlášení je třeba připojit odůvodnění.

1. Dojde-li k narušení bezpečnosti osobních údajů, správce je ohlásí orgánu dozoru, a to bez zbytečného odkladu.

2. Podle čl. 26 odst. 2 písm. f) je zpracovatel povinen informovat správce o narušení bezpečnosti osobních údajů okamžitě poté, co je narušení zjištěno, a na tuto skutečnost jej upozornit.

2. Zpracovatel je povinen informovat správce o narušení bezpečnosti osobních údajů bez zbytečného odkladu poté, co je narušení zjištěno, a na tuto skutečnost jej upozornit.

3. V ohlášení podle odstavce 1 musí být přinejmenším:

3. V ohlášení podle odstavce 1 musí být přinejmenším:

a) popsána povaha daného případu narušení bezpečnosti osobních údajů, včetně kategorií a počtu dotčených subjektů údajů a kategorií a množství dotčených záznamů;

a) popsána povaha daného případu narušení bezpečnosti osobních údajů, včetně kategorií a počtu dotčených subjektů údajů a kategorií a množství dotčených záznamů;

b) sdělena totožnost a kontaktní údaje inspektora ochrany údajů nebo jiného kontaktního subjektu, který může poskytnout bližší informace;

b) sdělena totožnost a kontaktní údaje inspektora ochrany údajů nebo jiného kontaktního subjektu, který může poskytnout bližší informace;

c) doporučena opatření ke zmírnění nežádoucích účinků, které by dané narušení bezpečnosti osobních údajů mohlo mít;

c) doporučena opatření ke zmírnění nežádoucích účinků, které by dané narušení bezpečnosti osobních údajů mohlo mít;

d) popsány důsledky narušení bezpečnosti osobních údajů;

d) popsány důsledky narušení bezpečnosti osobních údajů;

e) popsána opatření, která správce navrhl nebo přijal k řešení daného narušení.

e) popsána opatření, která správce navrhl nebo přijal k řešení daného narušení, a ke zmírnění jeho dopadů.

Informace může být v případě potřeby poskytována postupně.

4. Veškeré případy narušení bezpečnosti osobních údajů správce zdokumentuje, přičemž zaznamená příslušné okolnosti, účinky daného narušení a kroky podniknuté pro jeho nápravu. Dokumentace musí orgánu dozoru umožňovat ověření souladu s tímto článkem. Dokumentace obsahuje pouze ty informace, které jsou k tomuto účelu nutné.

4. Veškeré případy narušení bezpečnosti osobních údajů správce zdokumentuje, přičemž zaznamená příslušné okolnosti, účinky daného narušení a kroky podniknuté pro jeho nápravu. Dokumentace musí být dostatečná a musí orgánu dozoru umožňovat ověření souladu s tímto článkem a s článkem 30. Dokumentace obsahuje pouze ty informace, které jsou k tomuto účelu nutné.

 

4a. Orgán dozoru vede veřejný rejstřík typů ohlášených případů narušení bezpečnosti údajů.

5. Komise je zmocněna přijímat akty v přenesené pravomoci v souladu s článkem 86 za účelem dalšího vymezení kritérií a požadavků, pokud jde o zjišťování případů narušení bezpečnosti osobních údajů podle odstavců 1 a 2 a o konkrétní okolnosti, za nichž jsou správce a zpracovatel povinni narušení ohlašovat.

5. Evropská rada pro ochranu údajů je pověřena úkolem vydávat pokyny, doporučení a informace o osvědčených postupech v souladu s čl. 66 odst. 1 písm. b), pokud jde o zjišťování případů narušení bezpečnosti osobních údajů a určení zbytečného odkladu podle odstavců 1 a 2 a o konkrétní okolnosti, za nichž jsou správce a zpracovatel povinni narušení ohlašovat

6. Komise může stanovit standardní formát pro hlášení orgánu dozoru, může stanovit postupy pro ohlašovací povinnost a formu a způsoby dokumentace uvedené v odstavci 4 včetně lhůt pro výmaz informací v ní obsažených. Tyto prováděcí akty se přijímají v souladu s přezkumným postupem podle čl. 87 odst. 2.

 

Pozměňovací návrh   126

Návrh nařízení

Článek 32

Znění navržené Komisí

Pozměňovací návrh

Oznamování případů narušení bezpečnosti osobních údajů subjektům údajů

Oznamování případů narušení bezpečnosti osobních údajů subjektům údajů

1. Jestliže je pravděpodobné, že narušení bezpečnosti osobních údajů se nepříznivě dotkne ochrany osobních údajů nebo soukromí subjektu údajů, správce po ohlášení uvedeném v článku 31 oznámí případ narušení bez zbytečného odkladu dotčenému subjektu údajů.

1. Jestliže je pravděpodobné, že narušení bezpečnosti osobních údajů se nepříznivě dotkne ochrany osobních údajů, soukromí, práv nebo oprávněných zájmů subjektu údajů, správce po ohlášení uvedeném v článku 31 oznámí případ narušení bez zbytečného odkladu dotčenému subjektu údajů.

2. V oznámení subjektu údajů podle odstavce 1 se popíše povaha narušení bezpečnosti osobních údajů a uvedou se v něm přinejmenším informace a doporučení podle čl. 31 odst. 3 písm. b) a c) .

Oznámení subjektu údajů podle odstavce 1 bude komplexní a v jasném a běžném jazyce. Popíše se v něm povaha narušení bezpečnosti osobních údajů a uvedou se v něm přinejmenším informace a doporučení podle čl. 31 odst. 3 písm. b), c) a d) a informace o právech subjektu údajů, včetně nápravy.

3. Oznámení o narušení bezpečnosti osobních údajů dotčenému subjektu údajů není nutné, pokud správce ke spokojenosti orgánu dozoru prokáže, že zavedl náležitá technická ochranná opatření a že tato opatření byla použita u údajů, jejichž bezpečnost byla narušena. Tato technická ochranná opatření zajistí, že dotčené údaje nebudou srozumitelné pro nikoho, kdo není oprávněn k nim přistupovat.

3. Oznámení o narušení bezpečnosti osobních údajů dotčenému subjektu údajů není nutné, pokud správce ke spokojenosti orgánu dozoru prokáže, že zavedl náležitá technická ochranná opatření a že tato opatření byla použita u údajů, jejichž bezpečnost byla narušena. Tato technická ochranná opatření zajistí, že dotčené údaje nebudou srozumitelné pro nikoho, kdo není oprávněn k nim přistupovat.

4. Aniž by byla dotčena povinnost správce oznamovat narušení bezpečnosti osobních údajů dotčeným subjektům údajů, jestliže již správce narušení bezpečnosti osobních údajů dotčenému subjektu údajů neoznámil, takové oznámení od něho může po zvážení pravděpodobných nežádoucích účinků narušení požadovat orgán dozoru.

4. Aniž by byla dotčena povinnost správce oznamovat narušení bezpečnosti osobních údajů dotčeným subjektům údajů, jestliže již správce narušení bezpečnosti osobních údajů dotčenému subjektu údajů neoznámil, takové oznámení od něho může po zvážení pravděpodobných nežádoucích účinků narušení požadovat orgán dozoru.

5. Komise je zmocněna přijímat akty v přenesené pravomoci v souladu s článkem 86 za účelem dalšího vymezení kritérií a požadavků, pokud jde o okolnosti, za jakých se narušení bezpečnosti osobních údajů pravděpodobně nepříznivě dotkne osobních údajů, jak je uvedeno v odstavci 1.

Evropská rada pro ochranu údajů je pověřena úkolem vydávat pokyny, doporučení a informace o osvědčených postupech v souladu s čl. 66 odst. 1 písm. b), pokud jde o okolnosti, za jakých se narušení bezpečnosti osobních údajů pravděpodobně nepříznivě dotkne osobních údajů, soukromí, práv nebo oprávněných zájmů subjektu údajů, jak je uvedeno v odstavci 1.

6. Pro oznámení subjektům údajů uvedená odstavci 1 může Komise stanovit formát a příslušné postupy. Tyto prováděcí akty se přijímají v souladu s přezkumným postupem podle čl. 87 odst. 2.

 

Pozměňovací návrh   127

Návrh nařízení

Článek 32 a (nový)

Znění navržené Komisí

Pozměňovací návrh

 

Článek 32 a

 

Vztah k riziku

 

1. Správce nebo případně zpracovatel provede analýzu rizik potenciálního dopadu zamýšleného zpracovánu údajů na práva a svobody subjektů údajů a zároveň posoudí, zda může zpracování představovat specifická rizika.

 

2. Specifická rizika mohou představovat tato zpracování:

 

a) zpracování osobních údajů týkajících se více než 5000 subjektů údajů během každého období dvanácti po sobě jdoucích měsíců;

 

b) zpracování zvláštních kategorií osobních údajů uvedených v čl. 9 odst. 1, lokalizačních údajů nebo údajů o dětech či zaměstnancích z objemných evidencí;

 

c) profilování, na němž se zakládají opatření, která vyvolají ve vztahu k danému jednotlivci právní účinky nebo která se tohoto jednotlivce podobně významným způsobem dotknou;

 

d) zpracovávání osobních údajů pro zajištění zdravotní péče, údajů souvisejících s epidemiologickým výzkumem či s průzkumy o duševních nebo infekčních nemocech, kde se tyto údaje zpracovávají ve velkém měřítku za účelem přijetí opatření či rozhodnutí týkajících se konkrétních jednotlivců;

 

e) rozsáhlé automatizované sledování veřejně přístupných prostorů;

 

f) jiná zpracování, u nichž se podle čl. 34 odst. 2 písm. b) vyžaduje konzultace s inspektorem ochrany údajů nebo orgánem dozoru;

 

g) pokud by se narušení bezpečnosti osobních údajů pravděpodobně nepříznivě dotklo ochrany osobních údajů, soukromí, práv nebo oprávněných zájmů subjektu údajů;

 

h) hlavní činnosti správce nebo zpracovatele spočívají ve zpracovávání údajů, které kvůli své povaze, rozsahu a/nebo účelu vyžaduje pravidelné a systematické sledování subjektů údajů;

 

i) v případech, kdy jsou osobní údaje zpřístupněny takovému počtu osob, že nelze rozumně očekávat omezení tohoto počtu.

 

3. Podle výsledku analýzy rizik:

 

a) pokud existuje zpracování podle odst. 2 písm. a) nebo b), určí správci neusazení v Unii zástupce v Unii v souladu s požadavky a výjimkami stanovenými v článku 25;

 

b) pokud existuje zpracování podle odst. 2 písm. a), b) nebo h), určí správce inspektora ochrany údajů v souladu s požadavky a výjimkami stanovenými v článku 35;

 

c) Pokud existují některá zpracování podle odst. 2 písm. a), b), c), d), e), f), g) nebo h), vypracuje správce údajů nebo jejich zpracovatel jednající jménem správce posouzení dopadu na ochranu údajů podle článku 33;

 

d) pokud existuje zpracování podle odst. 2 písm. f), konzultuje správce s inspektorem ochrany údajů nebo, pokud nebyl inspektor ochrany údajů jmenován, s orgánem dozoru podle článku 34.

 

4. Analýza rizika se přezkoumává nejpozději po uplynutí jednoho roku nebo neprodleně, změní-li se podstatně povaha, rozsah nebo účel zpracování údajů. Pokud není správce podle odst. 3 písm. c) povinen vypracovat posouzení dopadu na ochranu údajů, bude analýza rizik zdokumentována.

Pozměňovací návrh   128

Návrh nařízení

Kapitola 4 – oddíl 3 – název

Znění navržené Komisí

Pozměňovací návrh

POSUZOVÁNÍ DOPADU NA OCHRANU ÚDAJŮ A PŘEDCHOZÍ POVOLENÍ

SPRÁVA OCHRANY ÚDAJŮ PO CELOU DOBU JEJICH EXISTENCE

Pozměňovací návrh   129

Návrh nařízení

Článek 33

Znění navržené Komisí

Pozměňovací návrh

Posuzování dopadu na ochranu údajů

Posuzování dopadu na ochranu údajů

1. Jestliže je zpracování údajů kvůli své povaze, rozsahu nebo účelu spojeno s pravděpodobnými specifickými riziky z hlediska práv a svobod subjektů údajů, správce nebo zpracovatel jednající jeho jménem posoudí dopad plánovaného zpracování na ochranu osobních údajů.

1. Vyžaduje-li to čl. 32a odst. 3 písm. c), správce nebo zpracovatel jednající jeho jménem posoudí dopad plánovaného zpracování na práva a svobody subjektů údajů, zejména na jejích právo na ochranu osobních údajů. Pro soubor podobných úkonů zpracování, které představují podobné riziko, postačuje jedno posouzení.

2. Specifická rizika uvedená v odstavci 1 jsou spojena zejména s těmito zpracováními:

 

a) se systematickým a rozsáhlým vyhodnocováním osobních aspektů fyzických osob nebo s rozborem či předpovídáním zejména ekonomické situace, lokalizace, zdraví, osobních preferencí, spolehlivosti či chování těchto fyzických osob, jestliže je zpracování údajů automatizované a zakládají se na něm opatření, která vyvolají ve vztahu k daným jednotlivcům právní účinky nebo která se těchto jednotlivců významným způsobem dotknou;

 

b) se zpracováváním údajů o sexuálním životě, zdravotním stavu, rase a etnickém původu nebo údajů pro poskytování zdravotní péče, údajů souvisejících s epidemiologickým výzkumem či s průzkumy o duševních nebo infekčních nemocech, jestliže se tyto údaje zpracovávají ve velkém měřítku za účelem přijetí opatření či rozhodnutí týkajících se konkrétních jednotlivců;

 

c) se sledováním veřejně přístupných prostorů, především pokud se k němu ve velké míře používá optických elektronických přístrojů (videokamer);

 

d) se zpracováváním osobních údajů o dětech a genetických a biometrických údajů z objemných evidencí;

 

e) s jinými zpracováními, u nichž se podle čl. 34 odst. 2 písm. b) vyžaduje konzultace orgánu dozoru.

 

3. V posouzení jsou obsaženy alespoň obecný popis plánovaného zpracování, posouzení rizik z hlediska práv a svobod subjektů údajů, plánovaná opatření k řešení těchto rizik, záruky, bezpečnostní opatření a mechanismy k zajištění ochrany osobních údajů a k prokázání souladu s tímto nařízením, a to s přihlédnutím k právům a oprávněným zájmům subjektů údajů a dalších dotčených osob.

3. V posouzení se zohlední správa osobních údajů po celou dobu jejich existence, od jejich shromáždění a zpracování až po jejich výmaz. Jsou v něm obsaženy alespoň:

 

a) systematický popis plánovaného zpracování, účely zpracování a případně oprávněné zájmy správce údajů;

 

b) posouzení nezbytnosti a přiměřenosti zpracování z hlediska účelů;

 

c) posouzení rizik z hlediska práv a svobod subjektů údajů, včetně rizika vzniku nebo prohloubení diskriminace v důsledku zpracování údajů;

 

d) popis plánovaných opatření k řešení těchto rizik a minimalizaci objemu zpracovávaných osobních údajů;

 

e) seznam záruk, bezpečnostních opatření a mechanismů k zajištění ochrany osobních údajů, jako je např. tzv. pseudonymizace, a k prokázání souladu s tímto nařízením, a to s přihlédnutím k právům a oprávněným zájmům subjektů údajů a dalších dotčených osob;

 

f) obecné informace o lhůtách pro výmaz jednotlivých kategorií údajů;

 

h) vysvětlení, jaké metody ochrany údajů podle článku 23 byly na základě návrhu a standardního nastavení zavedeny;

 

i) seznam příjemců nebo kategorií příjemců osobních údajů;

 

j) případně seznam plánovaných předávání údajů do třetích zemí nebo mezinárodním organizacím, včetně informací, jež danou třetí zemi či mezinárodní organizaci identifikují, a v případě předávání podle čl. 44 odst. 1 písm. h) doložení vhodných záruk;

 

k) posouzení souvislosti zpracování údajů.

 

3a. Pokud správce nebo zpracovatel jmenoval inspektora ochrany údajů, bude zapojena/zapojen do vypracování posouzení dopadu.

 

3b. Posouzení bude řádně zdokumentováno a bude uvádět harmonogram pravidelných přezkumů souladu s pravidly na ochranu údajů podle čl. 33a odst. 1. Posouzení bude bez průtahů aktualizováno, ukáží-li výsledky posouzení souladu s pravidly na ochranu údajů uvedené v článku 33a nedostatky v tomto souladu. Správce a zpracovatel, a v patřičném případě zástupce správce, poskytnou toto posouzení na požádání orgánu dozoru.

4. Správce zjistí, jak se k zamýšlenému zpracování staví subjekty údajů nebo jejich zástupci, aniž by byla dotčena ochrana obchodních či veřejných zájmů nebo bezpečnost zpracování.

 

5. Pokud je správce orgánem veřejné moci či veřejnoprávním subjektem a pokud se zpracování zakládá na právní povinnosti podle čl. 6 odst. 1 písm. c), která pro tato zpracování stanoví pravidla a postupy a která je upravena právem Unie, nepoužijí se odstavce 1 až 4 s výjimkou případů, kdy členské státy považují vypracování takového posouzení před zpracováním údajů za nutné.

 

6. Komise je zmocněna přijímat akty v přenesené pravomoci v souladu s článkem 86 za účelem dalšího vymezení kritérií a podmínek, pokud jde o zpracování, jež by pravděpodobně mohla vyvolat specifická rizika uvedená v odstavcích 1 a 2, a za účelem vymezení požadavků na posouzení zmíněná v odstavci 3 včetně podmínek v podobě škálovatelnosti, ověřování a auditovatelnosti. Komise přitom zváží zvláštní opatření, zejména pro správce, kteří jsou malými podniky, středními podniky a mikropodniky.

 

7. Komise může pro přípravu posouzení podle odstavce 3 a pro jeho ověřování a audit určit normy a postupy. Tyto prováděcí akty se přijímají v souladu s přezkumným postupem podle čl. 87 odst. 2.

 

(Text uvedený ve znění navrženém Komisí v odstavci 3 je v pozměňovacím návrhu Parlamentu částečně uveden pod písm. a), c) d) a e)).

Pozměňovací návrh   130

Návrh nařízení

Článek 33 a (nový)

Znění navržené Komisí

Pozměňovací návrh

 

Článek 33a

 

Posouzení souladu s pravidly na ochranu údajů

 

1. Nejpozději dva roky po provedení posouzení dopadu na základě čl. 33 odst. 1 vypracuje správce údajů nebo jejich zpracovatel jednající jménem správce posouzení souladu. Toto posouzení souladu prokáže, zda je zpracovávání osobních údajů prováděno v souladu s posouzením dopadu na ochranu údajů.

 

2. Posouzení souladu se provádí pravidelně, nejméně každé dva roky, nebo neprodleně, dojde-li ke změně specifických rizik, která zpracovávání údajů přináší.

 

3. Pokud se při posouzení souladu zjistí nedostatky v dodržování souladu, zahrne posouzení souladu doporučení, jak docílit plného souladu.

 

4. Posouzení souladu a v něm obsažená doporučení budou zdokumentována. Správce a zpracovatel, a v patřičném případě zástupce správce, poskytnou posouzení souladu na požádání orgánu dozoru.

 

5. Pokud správce nebo zpracovatel jmenoval inspektora ochrany údajů, bude zapojena/zapojen do vypracovávání posouzení souladu.

Pozměňovací návrh   131

Návrh nařízení

Článek 34

Znění navržené Komisí

Pozměňovací návrh

Předchozí povolení a předchozí konzultace

Předchozí konzultace

1. Správce nebo zpracovatel musí před zpracováním osobních údajů získat povolení orgánu dozoru, aby se zajistil soulad zamýšleného zpracování s tímto nařízením, a zejména aby se omezila související rizika pro subjekty údajů, pokud správce nebo zpracovatel přijme smluvní doložky podle čl. 42 odst. 2 písm. d) nebo nestanoví vhodné záruky v právně závazném nástroji, jak je uvedeno v čl. 42 odst. 5, v souvislosti s předáváním osobních údajů do třetí země nebo mezinárodní organizaci.

 

2. Správce nebo zpracovatel jednající jeho jménem musí před zpracováním osobních údajů konzultovat orgán dozoru, aby se zajistil soulad zamýšleného zpracování s tímto nařízením, a zejména aby se omezila rizika pro subjekty údajů, pokud:

2. Správce nebo zpracovatel jednající jeho jménem musí před zpracováním osobních údajů konzultovat inspektora ochrany údajů nebo, pokud nebyl inspektor ochrany údajů jmenován, orgán dozoru, aby se zajistil soulad zamýšleného zpracování s tímto nařízením, a zejména aby se omezila rizika pro subjekty údajů, pokud:

a) posouzení dopadu na ochranu údajů, jak je stanoveno v článku 33, nasvědčuje tomu, že zpracování bude kvůli své povaze, rozsahu nebo účelu spojeno s vysokou mírou pravděpodobných specifických rizik, nebo

a) posouzení dopadu na ochranu údajů, jak je stanoveno v článku 33, nasvědčuje tomu, že zpracování bude kvůli své povaze, rozsahu nebo účelu spojeno s vysokou mírou pravděpodobných specifických rizik, nebo

b) orgán dozoru považuje za nutné předchozí konzultace o zpracováních, která jsou kvůli své povaze, rozsahu a/nebo účelu pravděpodobně spojena se specifickými riziky z hlediska práv a svobod subjektů údajů a která jsou vymezena podle odstavce 4.

b) inspektor ochrany údajů nebo orgán dozoru považuje za nutné předchozí konzultace o zpracováních, která jsou kvůli své povaze, rozsahu a/nebo účelu pravděpodobně spojena se specifickými riziky z hlediska práv a svobod subjektů údajů a která jsou vymezena podle odstavce 4.

3. Pokud se orgán dozoru domnívá, že zamýšlené zpracování není v souladu s tímto nařízením, zejména pokud nejsou dostatečně určena či omezena rizika, zamýšlené zpracování zakáže a připraví příslušné návrhy na nápravu takového nesouladu.

3. Pokud příslušný orgán dozoru v souladu se svou pravomocí určí, že zamýšlené zpracování není v souladu s tímto nařízením, zejména pokud nejsou dostatečně určena či omezena rizika, zamýšlené zpracování zakáže a připraví příslušné návrhy na nápravu takového nesouladu.

4. Orgán dozoru sepíše a zveřejní seznam zpracování, na která se vztahuje předchozí konzultace podle odst. 2 písm. b). Tyto seznamy sdělí orgán dozoru Evropské radě pro ochranu údajů.

4. Evropská rada pro ochranu údajů sepíše a zveřejní seznam zpracování, na která se vztahuje předchozí konzultace podle odstavce 2.

5. Jestliže jsou na seznamu stanoveném v odstavci 4 uvedena zpracování související s nabídkou zboží či služeb subjektům údajů v několika členských státech nebo se sledováním jejich chování nebo jestliže seznam může výrazně ovlivnit volný pohyb osobních údajů v rámci Unie, orgán dozoru před přijetím tohoto seznamu použije mechanismus jednotnosti uvedený v článku 57.

 

6. Správce nebo zpracovatel poskytnou orgánu dozoru posouzení dopadu na ochranu údajů uvedené v článku 33 a na požádání jakékoliv další informace, jež orgánu dozoru umožní posoudit soulad zpracování s tímto nařízením a zejména pak posoudit rizika z hlediska ochrany osobních údajů pro subjekty údajů a související záruky.

6. Správce nebo zpracovatel poskytnou orgánu dozoru na požádání posouzení dopadu na ochranu údajů podle článku 33 a na požádání jakékoliv další informace, jež orgánu dozoru umožní posoudit soulad zpracování s tímto nařízením a zejména pak posoudit rizika z hlediska ochrany osobních údajů pro subjekty údajů a související záruky.

7. Členské státy konzultují orgán dozoru při přípravě legislativního opatření přijímaného vnitrostátním parlamentem – nebo opatření založeného na takovémto legislativním opatření –, které definuje povahu zpracování, aby se zajistil soulad zamýšleného zpracování s tímto nařízením, a zejména pak aby se omezila rizika pro subjekty údajů.

7. Členské státy konzultují orgán dozoru při přípravě legislativního opatření přijímaného vnitrostátním parlamentem – nebo opatření založeného na takovémto legislativním opatření –, které definuje povahu zpracování, aby se zajistil soulad zamýšleného zpracování s tímto nařízením, a zejména pak aby se omezila rizika pro subjekty údajů.

8. Komise je zmocněna přijímat akty v přenesené pravomoci v souladu s článkem 86 za účelem dalšího vymezení kritérií a požadavků, pokud jde o určování vysoké míry specifického rizika uvedené v odst. 2 písm. a).

 

9. Komise může stanovit standardní formuláře a postupy pro předchozí povolení a konzultace uvedené v odstavcích 1 a 2 a standardní formuláře a postupy pro informování orgánů dozoru podle odstavce 6. Tyto prováděcí akty se přijímají v souladu s přezkumným postupem podle čl. 87 odst. 2.

 

Pozměňovací návrh   132

Návrh nařízení

Článek 35

Znění navržené Komisí

Pozměňovací návrh

Jmenování inspektora ochrany údajů

Jmenování inspektora ochrany údajů

1. Správce a zpracovatel jmenují inspektora ochrany údajů v každém případě, kdy:

1. Správce a zpracovatel jmenují inspektora ochrany údajů v každém případě, kdy:

a) zpracování provádí orgán veřejné moci či veřejnoprávní subjekt nebo

a) zpracování provádí orgán veřejné moci či veřejnoprávní subjekt nebo

b) zpracování provádí podnik zaměstnávající 250 či více osob nebo

b) zpracování provádí právnická osoba a týká se více než 5000 subjektů údajů během každého období dvanácti po sobě jdoucích měsíců; nebo

c) hlavní činnost správce nebo zpracovatele spočívá ve zpracovávání údajů, která kvůli své povaze, rozsahu a/nebo účelu vyžadují pravidelné a systematické sledování subjektů údajů.

c) hlavní činnost správce nebo zpracovatele spočívá ve zpracovávání údajů, které kvůli své povaze, rozsahu a/nebo účelu vyžaduje pravidelné a systematické sledování subjektů údajů nebo

 

d) hlavní činnost správce nebo zpracovatele spočívá ve zpracovávání zvláštních kategorií údajů podle čl. 9 odst. 1, lokalizačních údajů nebo údajů o dětech či zaměstnancích z objemných evidencí.

2. V případě uvedeném v odst. 1 písm. b) může skupina podniků jmenovat jediného inspektora ochrany údajů.

2. Skupina podniků může jmenovat hlavního odpovědného inspektora ochrany údajů, pokud je zajištěno, že je inspektor ochrany údajů snadno dosažitelný z každého podniku.

3. Je-li správce nebo zpracovatel orgánem veřejné moci či veřejnoprávním subjektem, inspektor ochrany údajů může být s přihlédnutím k organizační struktuře daného orgánu veřejné moci či veřejnoprávního subjektu jmenován pro několik jeho organizačních jednotek.

3. Je-li správce nebo zpracovatel orgánem veřejné moci či veřejnoprávním subjektem, inspektor ochrany údajů může být s přihlédnutím k organizační struktuře daného orgánu veřejné moci či veřejnoprávního subjektu jmenován pro několik jeho organizačních jednotek.

4. V jiných případech, než jaké jsou uvedeny v odstavci 1, mohou inspektora ochrany údajů jmenovat správce nebo zpracovatel nebo sdružení a jiné subjekty zastupující kategorie správců či zpracovatelů.

4. V jiných případech, než jaké jsou uvedeny v odstavci 1, mohou inspektora ochrany údajů jmenovat správce nebo zpracovatel nebo sdružení a jiné subjekty zastupující kategorie správců či zpracovatelů.

5. Správce nebo zpracovatel jmenují inspektora ochrany údajů na základě profesních kvalit, zejména na základě jeho odborných znalostí práva a praxe v oblasti ochrany údajů a na základě jeho schopnosti plnit úkoly stanovené v článku 37. Potřebná úroveň odborných znalostí se konkrétně určí podle prováděného zpracování údajů a podle ochrany, která se pro osobní údaje zpracovávané správcem nebo zpracovatelem požaduje.

5. Správce nebo zpracovatel jmenují inspektora ochrany údajů na základě profesních kvalit, zejména na základě jeho odborných znalostí práva a praxe v oblasti ochrany údajů a na základě jeho schopnosti plnit úkoly stanovené v článku 37. Potřebná úroveň odborných znalostí se konkrétně určí podle prováděného zpracování údajů a podle ochrany, která se pro osobní údaje zpracovávané správcem nebo zpracovatelem požaduje.

6. Správce nebo zpracovatel zajistí, že jakékoliv jiné profesní povinnosti inspektora ochrany údajů budou slučitelné s jeho úkoly a povinnostmi coby inspektora a že nebudou vyvolávat střet zájmů.

6. Správce nebo zpracovatel zajistí, že jakékoliv jiné profesní povinnosti inspektora ochrany údajů budou slučitelné s jeho úkoly a povinnostmi coby inspektora a že nebudou vyvolávat střet zájmů.

7. Správce nebo zpracovatel jmenují inspektora ochrany údajů na minimální období dvou let. Inspektor ochrany údajů může být opětovně jmenován na další funkční období. Během funkčního období může být inspektor ochrany údajů odvolán z funkce pouze tehdy, pokud přestal splňovat podmínky požadované pro výkon jeho povinností.

7. Správce nebo zpracovatel jmenují inspektora ochrany údajů na minimální období čtyř let v případě zaměstnance nebo dvou let v případě poskytovatele externích služeb. Inspektor ochrany údajů může být opětovně jmenován na další funkční období. Během funkčního období může být inspektor ochrany údajů odvolán z funkce pouze tehdy, pokud přestal splňovat podmínky požadované pro výkon jeho povinností.

8. Inspektor ochrany údajů může být zaměstnancem správce či zpracovatele nebo může své úkoly plnit na základě smlouvy o službách.

8. Inspektor ochrany údajů může být zaměstnancem správce či zpracovatele nebo může své úkoly plnit na základě smlouvy o službách.

9. Správce nebo zpracovatel oznámí jméno a kontaktní údaje inspektora ochrany údajů orgánu dozoru a veřejnosti.

9. Správce nebo zpracovatel oznámí jméno a kontaktní údaje inspektora ochrany údajů orgánu dozoru a veřejnosti.

10. Subjekty údajů mají právo obracet se na inspektora ochrany údajů ve všech záležitostech souvisejících se zpracováváním jejich údajů a požadovat výkon práv podle tohoto nařízení.

10. Subjekty údajů mají právo obracet se na inspektora ochrany údajů ve všech záležitostech souvisejících se zpracováváním jejich údajů a požadovat výkon práv podle tohoto nařízení.

11. Komise je zmocněna přijímat akty v přenesené pravomoci v souladu s článkem 86 za účelem dalšího vymezení kritérií a požadavků, pokud jde o hlavní činnosti správce nebo zpracovatele uvedené v odst. 1 písm. c), a za účelem dalšího vymezení kritérií pro profesní kvality inspektora ochrany údajů uvedené v odst. 5.

 

Pozměňovací návrh   133

Návrh nařízení

Článek 36

Znění navržené Komisí

Pozměňovací návrh

Postavení inspektora ochrany údajů

Postavení inspektora ochrany údajů

1. Správce nebo zpracovatel zajistí, aby byl inspektor ochrany údajů náležitě a včas zapojen do veškerých záležitostí souvisejících s ochranou osobních údajů.

1. Správce nebo zpracovatel zajistí, aby byl inspektor ochrany údajů náležitě a včas zapojen do veškerých záležitostí souvisejících s ochranou osobních údajů.

2. Správce nebo zpracovatel zajistí, aby inspektor ochrany údajů plnil své povinnosti a úkoly nezávisle a nepřijímal žádné pokyny k výkonu své funkce. Inspektor ochrany údajů je přímo podřízen vedení správce nebo zpracovatele.

2. Správce nebo zpracovatel zajistí, aby inspektor ochrany údajů plnil své povinnosti a úkoly nezávisle a nepřijímal žádné pokyny k výkonu své funkce. Inspektor ochrany údajů je přímo podřízen výkonnému vedení správce nebo zpracovatele. Správce nebo zpracovatel jmenují za tímto účelem člena výkonného vedení, který odpovídá za soulad s ustanoveními tohoto nařízení.

3. Správce nebo zpracovatel jsou inspektorovi ochrany údajů při plnění jeho úkolů nápomocni a poskytují mu personál, prostory, vybavení a jakékoliv další zdroje potřebné k výkonu povinností a úkolů uvedených v článku 37.

3. Správce nebo zpracovatel jsou inspektorovi ochrany údajů při plnění jeho úkolů nápomocni a poskytují mu veškeré prostředky, a také personál, prostory, vybavení a jakékoliv další zdroje potřebné k výkonu povinností a úkolů uvedených v článku 37 a k podpoře jeho odborných znalostí.

 

4. Ve věci totožnosti subjektů údajů a okolností, na jejichž základě lze subjekty údajů identifikovat, je inspektor ochrany údajů vázán tajemstvím, pokud jej subjekt údajů této povinnosti nezprostí.

Pozměňovací návrh   134

Návrh nařízení

Článek 37

Znění navržené Komisí

Pozměňovací návrh

Úkoly inspektora ochrany údajů

Úkoly inspektora ochrany údajů

1. Správce nebo zpracovatel svěří inspektorovi ochrany údajů alespoň tyto úkoly:

Správce nebo zpracovatel svěří inspektorovi ochrany údajů alespoň tyto úkoly:

a) informovat správce nebo zpracovatele a udílet jim rady, pokud jde o jejich povinnosti plynoucí z tohoto nařízení, a vést dokumentaci o této činnosti a obdržených odpovědích;

a) zlepšovat informovanost, informovat správce nebo zpracovatele a udílet jim rady, pokud jde o jejich povinnosti plynoucí z tohoto nařízení, zejména v souvislosti s technickými a organizačními opatřeními a postupy, a vést dokumentaci o této činnosti a obdržených odpovědích;

b) sledovat provádění a uplatňování politik správce nebo zpracovatele souvisejících s ochranou osobních údajů včetně svěřování odpovědnosti, školení pracovníků zapojených do zpracovávání a souvisejících auditů;

b) sledovat provádění a uplatňování politik správce nebo zpracovatele souvisejících s ochranou osobních údajů včetně svěřování odpovědnosti, školení pracovníků zapojených do zpracovávání a souvisejících auditů;

c) sledovat provádění a uplatňování tohoto nařízení, zejména požadavků týkajících se ochrany údajů již od návrhu, standardního nastavení ochrany údajů a bezpečnosti údajů a požadavků týkajících se informovanosti subjektů údajů a jejich žádostí o výkon jejich práv podle tohoto nařízení;

c) sledovat provádění a uplatňování tohoto nařízení, zejména požadavků týkajících se ochrany údajů již od návrhu, standardního nastavení ochrany údajů a bezpečnosti údajů a požadavků týkajících se informovanosti subjektů údajů a jejich žádostí o výkon jejich práv podle tohoto nařízení;

d) zajišťovat, aby se vedla dokumentace uvedená v článku 28;

d) zajišťovat, aby se vedla dokumentace uvedená v článku 28;

e) sledovat dokumentaci a ohlašování a oznamování případů narušení bezpečnosti osobních údajů podle článků 31 a 32;

e) sledovat dokumentaci a ohlašování a oznamování případů narušení bezpečnosti osobních údajů podle článků 31 a 32;

f) sledovat, zda správce nebo zpracovatel vypracovávají posouzení dopadu na ochranu údajů a žádají o předchozí povolení nebo předchozí konzultaci, jsou-li těmito úkony povinováni podle článků 33 a 34;

f) sledovat, zda správce nebo zpracovatel vypracovávají posouzení dopadu na ochranu údajů a žádají o předchozí konzultaci, jsou-li těmito úkony povinováni podle článků 32a, 33 a 34;

g) sledovat reakce na žádosti orgánu dozoru a v mezích svých pravomocí inspektora ochrany údajů spolupracovat s orgánem dozoru, pokud o to požádá, nebo pokud k tomu dá podnět inspektor ochrany údajů;

g) sledovat reakce na žádosti orgánu dozoru a v mezích svých pravomocí inspektora ochrany údajů spolupracovat s orgánem dozoru, pokud o to požádá, nebo pokud k tomu dá podnět inspektor ochrany údajů;

h) působit jako kontaktní osoba pro orgán dozoru v záležitostech souvisejících se zpracováváním, a je-li záhodno, vést s orgánem dozoru konzultace z vlastní iniciativy.

h) působit jako kontaktní osoba pro orgán dozoru v záležitostech souvisejících se zpracováváním, a je-li záhodno, vést s orgánem dozoru konzultace z vlastní iniciativy.

 

i) ověřit soulad s tímto nařízením, na který se vztahuje mechanismus předchozí konzultace stanovený v článku 34;

 

j) informovat zástupce zaměstnanců o zpracování údajů zaměstnanců;

2. Komise je zmocněna přijímat akty v přenesené pravomoci v souladu s článkem 86 za účelem dalšího vymezení kritérií a požadavků, pokud jde o úkoly, osvědčení, postavení, pravomoci a zdroje inspektora ochrany údajů podle odstavce 1.

 

Pozměňovací návrh   135

Návrh nařízení

Článek 38

Znění navržené Komisí

Pozměňovací návrh

Kodexy chování

Kodexy chování

1. Členské státy, orgány dozoru a Komise podporují vypracování kodexů chování, které mají přispět k řádnému uplatňování tohoto nařízení s ohledem na konkrétní povahu různých odvětví zpracovávajících údaje, zejména pokud jde o:

1. Členské státy, orgány dozoru a Komise podporují vypracování kodexů chování nebo přijetí kodexů chování vypracovaných orgánem dozoru, které mají přispět k řádnému uplatňování tohoto nařízení s ohledem na konkrétní povahu různých odvětví zpracovávajících údaje, zejména pokud jde o:

a) korektnost a průhlednost při zpracovávání údajů;

a) korektnost a průhlednost při zpracovávání údajů;

 

aa) dodržování práv spotřebitelů;

b) sběr údajů;

b) sběr údajů;

c) informovanost veřejnosti a subjektů údajů;

c) informovanost veřejnosti a subjektů údajů;

d) žádosti subjektů údajů v souvislosti s výkonem jejich práv;

d) žádosti subjektů údajů v souvislosti s výkonem jejich práv;

e) informovanost a ochranu dětí;

e) informovanost a ochranu dětí;

f) předávání údajů do třetích zemí nebo mezinárodním organizacím;

f) předávání údajů do třetích zemí nebo mezinárodním organizacím;

g) mechanismy sledující a zajišťující dodržování kodexu ze strany správců, kteří se k němu hlásí;

g) mechanismy sledující a zajišťující dodržování kodexu ze strany správců, kteří se k němu hlásí;

h) mimosoudní vyrovnání a jiné postupy pro řešení sporů mezi správci a subjekty údajů v souvislosti se zpracováváním osobních údajů, aniž by byla dotčena práva subjektů údajů podle článků 73 a 75.

h) mimosoudní vyrovnání a jiné postupy pro řešení sporů mezi správci a subjekty údajů v souvislosti se zpracováváním osobních údajů, aniž by byla dotčena práva subjektů údajů podle článků 73 a 75.

2. Sdružení a jiné subjekty, které zastupují kategorie správců či zpracovatelů v jednom členském státě a které hodlají zavést kodexy chování nebo upravit či rozšířit kodexy chování již zavedené, je v tomto členském státě mohou předložit k posouzení orgánu dozoru. Orgán dozoru může vydat stanovisko k tomu, zda je daný návrh kodexu chování nebo jeho úpravy v souladu s tímto nařízením. Orgán dozoru zjistí, jak se k těmto návrhům staví subjekty údajů nebo jejich zástupci.

2. Sdružení a jiné subjekty, které zastupují kategorie správců či zpracovatelů v jednom členském státě a které hodlají zavést kodexy chování nebo upravit či rozšířit kodexy chování již zavedené, je v tomto členském státě mohou předložit k posouzení orgánu dozoru. Orgán dozoru bez zbytečného odkladu vydá stanovisko k tomu, zda je zpracování podle návrhu kodexu chování nebo jeho úpravy v souladu s tímto nařízením. Orgán dozoru zjistí, jak se k těmto návrhům staví subjekty údajů nebo jejich zástupci.

3. Sdružení a jiné subjekty, které zastupují kategorie správců v několika členských státech, mohou návrhy nových kodexů chování a návrhy na úpravu či rozšíření stávajících kodexů předložit Komisi.

3. Sdružení a jiné subjekty, které zastupují kategorie správců nebo zpracovatelů v několika členských státech, mohou návrhy nových kodexů chování a návrhy na úpravu či rozšíření stávajících kodexů předložit Komisi.

4. Komise může přijmout prováděcí akty, aby rozhodla, že nové kodexy chování a úpravy či rozšíření stávajících kodexů, které jí byly předloženy podle odstavce 3, mají obecnou platnost v rámci Unie. Tyto prováděcí akty se přijímají v souladu s přezkumným postupem podle čl. 87 odst. 2.

4. Komise je poté, co požádá o stanovisko Evropské rady pro ochranu údajů, zmocněna přijmout akty v přenesené pravomoci v souladu s článkem 86, aby rozhodla, že nové kodexy chování a úpravy či rozšíření stávajících kodexů, které jí byly předloženy podle odstavce 3, jsou v souladu s tímto nařízením a mají obecnou platnost v rámci Unie. Tyto akty v přenesené pravomoci přiznávají subjektům údajů vymahatelná práva.

5. Komise zajistí odpovídající zviditelnění kodexů, u nichž se rozhodne o obecné platnosti podle odstavce 4.

5. Komise zajistí odpovídající zviditelnění kodexů, u nichž se rozhodne o obecné platnosti podle odstavce 4.

Pozměňovací návrh   136

Návrh nařízení

Článek 39

Znění navržené Komisí

Pozměňovací návrh

Osvědčení

Osvědčení

1. Členské státy a Komise podpoří, zejména na evropské úrovni, zavedení mechanismů pro vydávání osvědčení o ochraně údajů a zavedení pečetí a známek dokládajících ochranu údajů, aby se subjektům údajů umožnilo rychle zhodnotit úroveň ochrany údajů, kterou jim správci a zpracovatelé nabízejí. Mechanismy pro vydávání osvědčení o ochraně údajů přispějí k řádnému uplatňování tohoto nařízení s přihlédnutím ke konkrétní povaze různých odvětví a různých zpracování.

 

 

1a. Každý správce nebo zpracovatel může za adekvátní poplatek se zohledněním administrativních nákladů požádat kterýkoli orgán dozoru v Unii o osvědčení, že zpracování osobních údajů probíhá v souladu s tímto nařízením, především se zásadami stanovenými v článcích 5, 23 a 30, povinnostmi správce a zpracovatele a právy subjektu údajů.

 

1b. Vydávání osvědčení je dobrovolné, cenově přijatelné a dostupné prostřednictvím transparentního postupu, jenž nepředstavuje nadměrnou zátěž.

 

1c. Orgány dozoru a Evropská rada pro ochranu údajů spolupracují v rámci mechanismu jednotnosti uvedeného v článku 57 s cílem zajistit jednotný mechanismus pro vydávání osvědčení o ochraně údajů včetně jednotných poplatků v Unii.

 

1d. V průběhu postupu pro udělení osvědčení může orgán dozoru zmocnit auditory specializované třetí strany, aby jejich jménem provedli audit správce nebo zpracovatele. Auditoři třetí strany mají dostatečně kvalifikovaný personál, jsou nestranní a mimo jakýkoli střet zájmů v souvislosti se svými povinnostmi. Orgány dozoru zruší schválení v případě, že se lze domnívat, že auditor neplní řádně své povinnosti. Konečné osvědčení je vydáno orgánem dohledu.

 

1e. Orgány dohledu zaručí správcům a zpracovatelům, kteří na základě auditu získali osvědčení o tom, že zpracovávají osobní údaje v souladu s tímto nařízením, standardizovanou známku dokládající ochranu údajů – „Evropskou pečeť ochrany údajů“.

 

1f. Platnost Evropské pečeti ochrany údajů trvá, dokud je způsob zpracovávání údajů schváleného správce nebo zpracovatele plně v souladu s tímto nařízením.

 

1g. Aniž je dotčen odstavec 1f, osvědčení platí po dobu nejvýše pěti let.

 

1h. Evropská rada pro ochranu údajů zřídí veřejný elektronický rejstřík, do nějž bude moci nahlížet veřejnost v souvislosti se všemi platnými a neplatnými osvědčeními, která byla vydána v členských státech.

 

1i. Evropská rada pro ochranu údajů může z vlastní iniciativy osvědčit, že technická norma zlepšující ochranu údajů je v souladu s tímto nařízením.

2. Komise je zmocněna přijímat akty v přenesené pravomoci v souladu s článkem 86 za účelem dalšího vymezení kritérií a požadavků, pokud jde o mechanismy pro vydávání osvědčení o ochraně údajů uvedené v odstavci 1 včetně podmínek pro udělování a odebírání a požadavků na uznávání v rámci Unie a ve třetích zemích.

2. Komise je poté, co požádá o stanovisko Evropské rady pro ochranu údajů a konzultuje ze zúčastněnými stranami, především zástupci odvětví a nevládních organizací, zmocněna přijímat akty v přenesené pravomoci v souladu s článkem 86 za účelem dalšího vymezení kritérií a požadavků, pokud jde o mechanismy pro vydávání osvědčení o ochraně údajů uvedené v odstavcích 1a až 1h, včetně požadavků na akreditaci auditorů, podmínek pro udělování a odebírání a požadavků na uznávání a propagaci v rámci Unie a ve třetích zemích. Tyto akty v přenesené pravomoci přiznávají subjektům údajů vymahatelná práva.

3. Pro mechanismy osvědčování a pro pečeti a známky dokládající ochranu údajů může Komise stanovit technické normy a mechanismy pro propagaci a uznávání. Tyto prováděcí akty se přijímají v souladu s přezkumným postupem podle čl. 87 odst. 2.

 

Pozměňovací návrh   137

Návrh nařízení

Článek 41

Znění navržené Komisí

Pozměňovací návrh

Předávání založené na rozhodnutí o přiměřenosti

Předávání založené na rozhodnutí o přiměřenosti

1. K předání může dojít, pokud Komise rozhodla, že daná třetí země nebo území či odvětví zpracovávání v dané třetí zemi nebo daná mezinárodní organizace zaručuje přiměřenou úroveň ochrany. Takovéto předání nevyžaduje žádné další povolení.

1. K předání může dojít, pokud Komise rozhodla, že daná třetí země nebo území či odvětví zpracovávání v dané třetí zemi nebo daná mezinárodní organizace zaručuje přiměřenou úroveň ochrany. Takovéto předání nevyžaduje žádné zvláštní povolení.

2. Při posuzování toho, zda je úroveň ochrany přiměřená, přihlíží Komise k následujícím aspektům:

2. Při posuzování toho, zda je úroveň ochrany přiměřená, přihlíží Komise k následujícím aspektům:

a) právnímu státu, související platné legislativě, a to obecné i odvětvové, včetně právních předpisů o veřejné bezpečnosti, obraně a vnitrostátní bezpečnosti, trestnímu právu; profesním pravidlům a bezpečnostním opatřením, která jsou v dané zemi nebo dané mezinárodní organizaci dodržována, jakož i k účinným a vynutitelným právům včetně účinné správní a soudní nápravy pro subjekty údajů, zejména pro ty z nich, jež mají bydliště v Unii a jejichž osobní údaje jsou předávány;

a) právnímu státu, související platné legislativě, a to obecné i odvětvové, včetně právních předpisů o veřejné bezpečnosti, obraně a vnitrostátní bezpečnosti, trestnímu právu a uplatňování těchto právních předpisů; profesním pravidlům a bezpečnostním opatřením, která jsou v dané zemi nebo dané mezinárodní organizaci dodržována, precedenční judikatuře, jakož i k účinným a vynutitelným právům včetně účinné správní a soudní nápravy pro subjekty údajů, zejména pro ty z nich, jež mají bydliště v Unii a jejichž osobní údaje jsou předávány;

b) existenci a účinnému fungování jednoho nebo více nezávislých orgánů dozoru v dané třetí zemi nebo mezinárodní organizaci odpovědných za zajišťování souladu s pravidly pro ochranu údajů, za pomoc a poradenství subjektům údajů při výkonu jejich práv a za spolupráci s orgány dozoru Unie a členských států a dále

b) existenci a účinnému fungování jednoho nebo více nezávislých orgánů dozoru v dané třetí zemi nebo mezinárodní organizaci odpovědných za zajišťování souladu s pravidly pro ochranu údajů, včetně dostatečných pravomocí ukládat sankce, za pomoc a poradenství subjektům údajů při výkonu jejich práv a za spolupráci s orgány dozoru Unie a členských států a dále

c) k mezinárodním závazkům, které daná třetí země nebo mezinárodní organizace přijala.

c) k mezinárodním závazkům, které daná třetí země nebo mezinárodní organizace přijala, především veškerým právně závazným úmluvám nebo nástrojům s ohledem na ochranu osobních údajů.

3. Komise může rozhodnout, že určitá třetí země nebo území či odvětví zpracovávání v dané třetí zemi nebo určitá mezinárodní organizace zajišťuje přiměřenou úroveň ochrany ve smyslu odstavce 2. Tyto prováděcí akty se přijímají v souladu s přezkumným postupem podle čl. 87 odst. 2.

3. Komise je zmocněna přijímat akty v přenesené pravomoci v souladu s článkem 86, aby rozhodla, že určitá třetí země nebo území či odvětví zpracovávání v dané třetí zemi nebo určitá mezinárodní organizace zajišťuje přiměřenou úroveň ochrany ve smyslu odstavce 2. Týkají-li se tyto akty v přenesené pravomoci odvětví zpracování, obsahují ustanovení o skončení platnosti a jsou zrušeny v souladu s odstavcem 5, jakmile není zajištěna přiměřená úroveň ochrany podle tohoto nařízení.

4. V prováděcím aktu se stanoví jeho zeměpisné a odvětvové použití a v příslušném případě se v něm také určí orgán dozoru uvedený v odst. 2 písm. b).

4. V aktu v přenesené pravomoci se stanoví jeho teritoriální a odvětvové použití a v příslušném případě se v něm také určí orgán dozoru uvedený v odst. 2 písm. b).

 

4a. V případě přijetí aktu v přenesené pravomoci podle odstavce 3 Komise průběžně sleduje vývoj ve třetích zemích a mezinárodních organizacích, jenž by mohl ovlivnit aspekty uvedené v odstavci 2.

5. Komise může rozhodnout, že určitá třetí země nebo území či odvětví zpracovávání v dané třetí zemi nebo určitá mezinárodní organizace nezajišťuje přiměřenou úroveň ochrany ve smyslu odstavce 2 tohoto článku, konkrétně v případech, kdy příslušné platné právní předpisy, a to obecné i odvětvové, v dané třetí zemi nebo mezinárodní organizaci nezaručují účinná a vynutitelná práva včetně účinné správní a soudní nápravy pro subjekty údajů, a zejména pro ty z nich, jež mají bydliště v Unii a jejichž osobní údaje jsou předávány. Tyto prováděcí akty se přijímají v souladu s přezkumným postupem podle čl. 87 odst. 2, nebo ve zvlášť naléhavých případech souvisejících s právem fyzických osob na ochranu osobních údajů v souladu s postupem podle čl. 87 odst. 3.

5. Komise je zmocněna přijímat akty v přenesené pravomoci v souladu s článkem 86, aby rozhodla, že určitá třetí země nebo území či odvětví zpracovávání v dané třetí zemi nebo určitá mezinárodní organizace nezajišťuje či již nezajišťuje přiměřenou úroveň ochrany ve smyslu odstavce 2 tohoto článku, konkrétně v případech, kdy příslušné platné právní předpisy, a to obecné i odvětvové, v dané třetí zemi nebo mezinárodní organizaci nezaručují účinná a vynutitelná práva včetně účinné správní a soudní nápravy pro subjekty údajů, a zejména pro ty z nich, jež mají bydliště v Unii a jejichž osobní údaje jsou předávány.

6. Rozhodne-li Komise podle odstavce 5, zakazuje se jakékoli předání osobních údajů do dané země nebo na některé území či do některého odvětví zpracovávání v této zemi nebo jakékoli předání osobních údajů dané mezinárodní organizaci, aniž by tím byla dotčena ustanovení článků 42 až 44. Ve vhodný okamžik zahájí Komise s danou třetí zemí nebo mezinárodní organizací konzultace s cílem napravit stav, který z rozhodnutí podle odstavce 5 tohoto článku vyplývá.

6. Rozhodne-li Komise podle odstavce 5, zakazuje se jakékoli předání osobních údajů do dané země nebo na některé území či do některého odvětví zpracovávání v této zemi nebo jakékoli předání osobních údajů dané mezinárodní organizaci, aniž by tím byla dotčena ustanovení článků 42 až 44. Ve vhodný okamžik zahájí Komise s danou třetí zemí nebo mezinárodní organizací konzultace s cílem napravit stav, který z rozhodnutí podle odstavce 5 tohoto článku vyplývá.

 

6a. Předtím než Komise přijme akt v přenesené pravomoci podle odstavců 3 a 5, požádá Evropskou radu pro ochranu údajů o stanovisko, zda je zajištěna přiměřená úroveň ochrany. Za tímto účelem Komise poskytne Evropské radě pro ochranu údajů veškerou potřebnou dokumentaci, včetně korespondence s vládou dotčené třetí země nebo území či odvětvím zpracování v dané třetí zemi nebo s mezinárodní organizací.

7. Komise zveřejní v Úředním věstníku Evropské unie seznam třetích zemí, území a odvětví zpracovávání v určité zemi a mezinárodních organizací, v nichž podle jejího rozhodnutí přiměřená úroveň ochrany je nebo není zaručena.

7. Komise zveřejní v Úředním věstníku Evropské unie a na svých internetových stránkách seznam třetích zemí, území a odvětví zpracovávání v určité zemi a mezinárodních organizací, v nichž podle jejího rozhodnutí přiměřená úroveň ochrany je nebo není zaručena.

8. Rozhodnutí přijatá Komisí na základě čl. 25 odst. 6 nebo čl. 26 odst. 4 směrnice 95/46/ES zůstávají platná až do chvíle, kdy je Komise změní, nahradí nebo zruší.

8. Rozhodnutí přijatá Komisí na základě čl. 25 odst. 6 nebo čl. 26 odst. 4 směrnice 95/46/ES zůstávají platná po dobu pěti let od vstupu tohoto nařízení v platnost, až na případy, kdy je Komise před uplynutím tohoto období změní, nahradí nebo zruší.

Pozměňovací návrh   138

Návrh nařízení

Článek 42

Znění navržené Komisí

Pozměňovací návrh

Předávání založené na vhodných zárukách

Předávání založené na vhodných zárukách

1. Jestliže Komise nepřijala žádné rozhodnutí podle článku 41, správce nebo zpracovatel mohou předat osobní údaje do třetí země, území nebo mezinárodní organizaci, pouze pokud ve věci ochrany osobních údajů uvedli vhodné záruky v právně závazném nástroji.

1. Jestliže Komise nepřijala žádné rozhodnutí podle článku 41 nebo rozhodla, že třetí země nebo území či odvětví zpracování v dané třetí zemi nebo mezinárodní organizace nezaručuje přiměřenou úroveň ochrany podle čl. 41 odst. 5, správce nebo zpracovatel nemohou předat osobní údaje do třetí země, území nebo mezinárodní organizaci, pokud ve věci ochrany osobních údajů neuvedli vhodné záruky v právně závazném nástroji.

2. Vhodné záruky zmíněné v odstavci 1 se stanoví konkrétně:

2. Vhodné záruky zmíněné v odstavci 1 se stanoví konkrétně:

a) závaznými podnikovými pravidly v souladu s článkem 43 nebo

a) závaznými podnikovými pravidly v souladu s článkem 43 nebo

 

aa) platnou „evropskou pečetí ochrany údajů“ pro správce a příjemce v souladu s odst. 1e čl. 39; nebo

b) standardními doložkami o ochraně údajů přijatými Komisí. Tyto prováděcí akty se přijímají v souladu s přezkumným postupem podle čl. 87 odst. 2; nebo

 

c) standardními doložkami o ochraně údajů přijatými orgánem dozoru v souladu s mechanismem jednotnosti uvedeným v článku 57, prohlásila-li Komise podle čl. 62 odst. 1 písm. b) tyto doložky za obecně platné, nebo

c) standardními doložkami o ochraně údajů přijatými orgánem dozoru v souladu s mechanismem jednotnosti uvedeným v článku 57, prohlásila-li Komise podle čl. 62 odst. 1 písm. b) tyto doložky za obecně platné, nebo

d) smluvními doložkami mezi správcem nebo zpracovatelem na straně jedné a příjemcem údajů na straně druhé, které schválí orgán dozoru v souladu s odstavcem 4.

d) smluvními doložkami mezi správcem nebo zpracovatelem na straně jedné a příjemcem údajů na straně druhé, které schválí orgán dozoru v souladu s odstavcem 4.

3. Předávání založené na standardních doložkách o ochraně údajů nebo na závazných podnikových pravidlech, jak je uvedeno v odst. 2 písm. a), b) nebo c), nevyžaduje žádné další povolení.

3. Předávání založené na standardních doložkách o ochraně údajů, na evropské pečeti ochrany údajů nebo na závazných podnikových pravidlech, jak je uvedeno v odst. 2 písm. a), aa) nebo c), nevyžaduje žádné zvláštní povolení.

4. Jestliže se určité předání zakládá na smluvních doložkách podle odst. 2 písm. d) tohoto článku, tyto smluvní doložky musí správci nebo zpracovateli nejdříve schválit orgán dozoru podle čl. 34 odst. 1 písm. a). Pokud je dané předání spojeno se zpracováním údajů týkajících se subjektů v jiném členském státu nebo v jiných členských státech nebo pokud významně ovlivňuje volný pohyb osobních údajů v rámci Unie, orgán dozoru použije mechanismus jednotnosti uvedený v článku 57.

4. Jestliže se určité předání zakládá na smluvních doložkách podle odst. 2 písm. d) tohoto článku, tyto smluvní doložky musí správci nebo zpracovateli nejdříve schválit orgán dozoru. Pokud je dané předání spojeno se zpracováním údajů týkajících se subjektů v jiném členském státu nebo v jiných členských státech nebo pokud významně ovlivňuje volný pohyb osobních údajů v rámci Unie, orgán dozoru použije mechanismus jednotnosti uvedený v článku 57.

5. Pokud nejsou vhodné záruky pro ochranu osobních údajů stanoveny v právně závazném nástroji, správce nebo zpracovatel musí k předání nebo řadě předání získat předchozí povolení, stejně tak jako jej musí získat k zapracování ustanovení do správních ujednání, jež jsou pro takové předání základem. Tato povolení orgánu dozoru jsou v souladu s čl. 34 odst. 1 písm. a). Pokud je dané předání spojeno se zpracováním údajů týkajících se subjektů v jiném členském státu nebo v jiných členských státech nebo pokud významně ovlivňuje volný pohyb osobních údajů v rámci Unie, orgán dozoru použije mechanismus jednotnosti uvedený v článku 57. Povolení orgánu dozoru na základě čl. 26 odst. 2 směrnice 95/46/ES zůstávají platná až do chvíle, kdy je orgán dozoru změní, nahradí nebo zruší.

5. Povolení orgánu dozoru na základě čl. 26 odst. 2 směrnice 95/46/ES zůstávají platná po dobu dvou let od vstupu tohoto nařízení v platnost nebo až do chvíle, kdy je orgán dozoru změní, nahradí nebo zruší před uplynutím tohoto období.

Pozměňovací návrh      139

Návrh nařízení

Článek 43

Znění navržené Komisí

Pozměňovací návrh

Předávání založené na závazných podnikových pravidlech

Předávání založené na závazných podnikových pravidlech

1. Orgán dozoru schvaluje v souladu s mechanismem jednotnosti stanoveným v článku 58 závazná podniková pravidla za předpokladu, že:

1. Orgán dozoru schvaluje v souladu s mechanismem jednotnosti stanoveným v článku 58 závazná podniková pravidla za předpokladu, že:

a) jsou právně závazná, používá a prosazuje je každý člen v rámci správcovy nebo zpracovatelovy skupiny podniků a vztahují se i na zaměstnance;

a) jsou právně závazná, používá a prosazuje je každý člen v rámci správcovy skupiny podniků a ti externí subdodavatelé, kteří spadají do oblasti působnosti závazných podnikových pravidel, a vztahují se i na zaměstnance;

b) výslovně přiznávají vynutitelná práva subjektům údajů;

b) výslovně přiznávají vynutitelná práva subjektům údajů;

c) splňují požadavky stanovené v odstavci 2.

c) splňují požadavky stanovené v odstavci 2.

 

1a. Pokud jde o údaje v souvislosti se zaměstnáním, jsou zástupci zaměstnanců informováni a v souladu s právními předpisy a postupy Unie nebo členského státu zapojeni do sestavování závazných podnikových pravidel podle článku 43.

2. Závazná podniková pravidla vymezují přinejmenším:

2. Závazná podniková pravidla vymezují přinejmenším:

a) strukturu a kontaktní údaje skupiny podniků a jejích členů;

a) strukturu a kontaktní údaje skupiny podniků a jejích členů a těch externích subdodavatelů, kteří spadají do oblasti působnosti závazných podnikových pravidel;

b) předání údajů nebo řadu předání, včetně kategorií osobních údajů, typu zpracování a jeho účelu, typu dotčených subjektů údajů a určení dané třetí země nebo daných třetích zemí;

b) předání údajů nebo řadu předání, včetně kategorií osobních údajů, typu zpracování a jeho účelu, typu dotčených subjektů údajů a určení dané třetí země nebo daných třetích zemí;

c) svoji právně závaznou povahu, a to interně i externě;

c) svoji právně závaznou povahu, a to interně i externě;

d) obecné zásady pro ochranu údajů, zejména účelové omezení, kvalitu údajů, právní základ pro zpracovávání a pro zpracovávání citlivých osobních údajů; opatření k zajištění bezpečnosti údajů a požadavky na další předávání organizacím, které touto politikou nejsou vázány;

d) obecné zásady pro ochranu údajů, zejména účelové omezení, minimalizaci údajů, omezené lhůty pro uchovávání údajů, kvalitu údajů, ochranu údajů již od návrhu a standardní nastavení ochrany údajů, právní základ pro zpracovávání a pro zpracovávání citlivých osobních údajů; opatření k zajištění bezpečnosti údajů; a požadavky na další předávání organizacím, které touto politikou nejsou vázány;

e) práva subjektů údajů a prostředky jejich výkonu, včetně práva nebýt předmětem opatření založeného na profilování v souladu s článkem 20, práva předložit stížnost příslušnému orgánu dozoru a příslušným soudům členských států v souladu s článkem 75, práva na nápravu a případně i práva na odškodnění v případě porušení závazných podnikových pravidel;

e) práva subjektů údajů a prostředky jejich výkonu, včetně práva nebýt předmětem opatření založeného na profilování v souladu s článkem 20, práva předložit stížnost příslušnému orgánu dozoru a příslušným soudům členských států v souladu s článkem 75, práva na nápravu a případně i práva na odškodnění v případě porušení závazných podnikových pravidel;

f) přijetí odpovědnosti ze strany správce nebo zpracovatele usazeného na území některého členského státu za porušení závazných podnikových pravidel kterýmkoli členem skupiny podniků neusazeným v Unii; správce nebo zpracovatel se může této odpovědnosti částečně nebo zcela zprostit, pouze pokud prokáže, že za okolnost, jež vedla ke vzniku škody, není daný člen odpovědný;

f) přijetí odpovědnosti ze strany správce usazeného na území některého členského státu za porušení závazných podnikových pravidel kterýmkoli členem skupiny podniků neusazeným v Unii; správce se může této odpovědnosti částečně nebo zcela zprostit, pouze pokud prokáže, že za okolnost, jež vedla ke vzniku škody, není daný člen odpovědný;

g) způsob poskytování informací o závazných podnikových pravidlech, zejména o jejich ustanoveních uvedených v písmenech d), e) a f) tohoto odstavce, subjektům údajů v souladu s článkem 11;

g) způsob poskytování informací o závazných podnikových pravidlech, zejména o jejich ustanoveních uvedených v písmenech d), e) a f) tohoto odstavce, subjektům údajů v souladu s článkem 11;

h) úkoly inspektora ochrany údajů jmenovaného v souladu s článkem 35 včetně sledování souladu se závaznými podnikovými pravidly v rámci skupiny podniků a sledování školení a vyřizování stížností;

h) úkoly inspektora ochrany údajů jmenovaného v souladu s článkem 35 včetně sledování souladu se závaznými podnikovými pravidly v rámci skupiny podniků a sledování školení a vyřizování stížností;

i) mechanismy, které mají v rámci skupiny podniků zajistit ověřování souladu se závaznými podnikovými pravidly;

i) mechanismy, které mají v rámci skupiny podniků zajistit ověřování souladu se závaznými podnikovými pravidly;

j) mechanismy pro podávání zpráv a pro zaznamenávání změn v politice a hlášení těchto změn orgánu dozoru;

j) mechanismy pro podávání zpráv a pro zaznamenávání změn v politice a hlášení těchto změn orgánu dozoru;

k) mechanismus spolupráce s orgánem dozoru, který zajistí dodržování pravidel každým členem skupiny podniků, zejména poskytování výsledků ověřování opatření uvedených v písmenu i) tohoto odstavce orgánu dozoru.

k) mechanismus spolupráce s orgánem dozoru, který zajistí dodržování pravidel každým členem skupiny podniků, zejména poskytování výsledků ověřování opatření uvedených v písmenu i) tohoto odstavce orgánu dozoru.

3. Komise je zmocněna přijímat akty v přenesené pravomoci v souladu s článkem 86 za účelem dalšího vymezení kritérií a požadavků na závazná podniková pravidla ve smyslu tohoto článku, zejména pokud jde o kritéria pro jejich schvalování, o uplatňování ustanovení odst. 2 písm. b), d), e) a f) na závazná podniková pravidla, k nimž se zpracovatelé hlásí, a o další požadavky potřebné k zajištění ochrany osobních údajů dotčených subjektů údajů.

3. Komise je zmocněna přijímat akty v přenesené pravomoci v souladu s článkem 86 za účelem dalšího vymezení formy a postupů, kritérií a požadavků na závazná podniková pravidla ve smyslu tohoto článku, zejména pokud jde o kritéria pro jejich schvalování, včetně transparentnosti pro subjekty údajů, o uplatňování ustanovení odst. 2 písm. b), d), e) a f) na závazná podniková pravidla, k nimž se zpracovatelé hlásí, a o další požadavky potřebné k zajištění ochrany osobních údajů dotčených subjektů údajů.

4. Komise může u závazných podnikových pravidel ve smyslu tohoto článku určit formát a postupy pro elektronickou výměnu informací mezi správci, zpracovateli a orgány dozoru. Tyto prováděcí akty se přijímají v souladu s přezkumným postupem podle čl. 87 odst. 2.

 

Pozměňovací návrh   140

Návrh nařízení

Článek 43 a (nový)

Znění navržené Komisí

Pozměňovací návrh

 

Článek 43a

 

Předávání či zveřejnění údajů nepovolené právem Unie

 

1. Žádný rozsudek soudního orgánu nebo rozhodnutí správního orgánu třetí země, které po správci nebo zpracovateli požadují zveřejnění osobních údajů, nelze uznat ani jakýmkoliv způsobem vymáhat, aniž by byla dotčena platná úmluva o vzájemné právní pomoci nebo mezinárodní smlouva mezi touto třetí zemí a Unií nebo členským státem.

 

2. Požaduje-li soud ve svém rozsudku nebo správní orgán třetí země ve svém rozhodnutí, aby správce nebo zpracovatel sdělil osobní údaje, správce nebo zpracovatel, a v patřičném případě zástupce správce, bez odkladu oznámí tento požadavek orgánu dozoru a získá od něho předchozí povolení k předání či zveřejnění údajů.

 

3. Orgán dozoru posoudí, zda je požadované předání v souladu s tímto nařízením, a zejména, zda je dané zveřejnění nezbytné a vyžadované zákonem v souladu s čl. 44 odst. 1 písm. d) a e) a čl. 44 odst. 5. V případech, kdy jsou dotčeny subjekty údajů z jiných členských států, orgán dozoru uplatní mechanismus jednotnosti uvedený v článku 57.

 

4. Orgán dozoru informuje o žádosti příslušný vnitrostátní orgán dozoru. Aniž by tím byl dotčen článek 21, správce nebo zpracovatel rovněž informuje subjekty údajů o žádosti a povolení orgánu dozoru a případně informuje subjekt údajů, zda byly osobní údaje poskytnuty veřejným orgánům během posledních po sobě následujících 12 měsíců v souladu s čl. 14 odst. 1 písm. ha).

Pozměňovací návrh   141

Návrh nařízení

Článek 44

Znění navržené Komisí

Pozměňovací návrh

Výjimky

Výjimky

1. Jestliže neexistuje rozhodnutí o přiměřenosti podle článku 41 nebo vhodné záruky podle článku 42, předání nebo řada předání osobních údajů do třetí země nebo mezinárodní organizaci se může uskutečnit pouze za podmínky, že:

1. Jestliže neexistuje rozhodnutí o přiměřenosti podle článku 41 nebo vhodné záruky podle článku 42, předání nebo řada předání osobních údajů do třetí země nebo mezinárodní organizaci se může uskutečnit pouze za podmínky, že:

a) daný subjekt údajů byl informován o rizicích takového předání v důsledku absence rozhodnutí o přiměřenosti a vhodných záruk a následně k navrhovanému předání vydal svůj souhlas; nebo

a) daný subjekt údajů byl informován o rizicích takového předání v důsledku absence rozhodnutí o přiměřenosti a vhodných záruk a následně k navrhovanému předání vydal svůj souhlas; nebo

b) předání je nezbytné pro splnění smlouvy mezi subjektem údajů a správcem nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost subjektu údajů; nebo

b) předání je nezbytné pro splnění smlouvy mezi subjektem údajů a správcem nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost subjektu údajů; nebo

c) předání je nezbytné pro uzavření nebo splnění smlouvy, která má být uzavřena nebo která byla uzavřena v zájmu subjektu údajů mezi správcem a jinou fyzickou nebo právnickou osobou; nebo

c) předání je nezbytné pro uzavření nebo splnění smlouvy, která má být uzavřena nebo která byla uzavřena v zájmu subjektu údajů mezi správcem a jinou fyzickou nebo právnickou osobou; nebo

d) předání je nezbytné z důvodu důležitého veřejného zájmu nebo

d) předání je nezbytné z důvodu důležitého veřejného zájmu; nebo

e) předání je nezbytné pro uplatnění, výkon nebo obhajobu právních nároků nebo

e) předání je nezbytné pro uplatnění, výkon nebo obhajobu právních nároků; nebo

f) předání je nezbytné k ochraně životně důležitých zájmů subjektu údajů nebo jiné osoby v případě, že subjekt údajů není fyzicky nebo právně způsobilý udělit svůj souhlas; nebo

f) předání je nezbytné k ochraně životně důležitých zájmů subjektu údajů nebo jiné osoby v případě, že subjekt údajů není fyzicky nebo právně způsobilý udělit svůj souhlas; nebo

g) k předání dochází z rejstříku, který je na základě práva Unie nebo členských států určen pro informování veřejnosti a je přístupný k nahlížení veřejnosti obecně nebo jakékoli osobě, která prokáže oprávněný zájem, pokud jsou v daném případě splněny právní předpisy Unie nebo členských států pro nahlížení; nebo

g) k předání dochází z rejstříku, který je na základě práva Unie nebo členských států určen pro informování veřejnosti a je přístupný k nahlížení veřejnosti obecně nebo jakékoli osobě, která prokáže oprávněný zájem, pokud jsou v daném případě splněny právní předpisy Unie nebo členských států pro nahlížení.

h) předání je nezbytné pro účely oprávněných zájmů správce nebo zpracovatele, nelze je označit za časté nebo značného rozsahu a správce nebo zpracovatel posoudil všechny okolnosti daného předání údajů nebo dané řady předání údajů a na základě tohoto posouzení přijal v případě potřeby vhodné záruky pro ochranu osobních údajů.

 

2. Předmětem předání podle odst. 1 písm. g) nejsou veškeré osobní údaje nebo veškeré kategorie osobních údajů, které jsou v rejstříku obsaženy. Má-li rejstřík sloužit k nahlížení osobám majícím oprávněný zájem, předání se uskuteční, pouze pokud o to tyto osoby požádají nebo pokud jsou tyto osoby příjemcem.

2. Předmětem předání podle odst. 1 písm. g) nejsou veškeré osobní údaje nebo veškeré kategorie osobních údajů, které jsou v rejstříku obsaženy. Má-li rejstřík sloužit k nahlížení osobám majícím oprávněný zájem, předání se uskuteční, pouze pokud o to tyto osoby požádají nebo pokud jsou tyto osoby příjemcem.

3. Jestliže se zpracování zakládá na odst. 1 písm. h), správce nebo zpracovatel zváží zvláště povahu údajů, účel a dobu trvání navrhovaného zpracování, jakož i situaci v zemi původu, v dané třetí zemi a v zemi konečného určení a v případě potřeby přijme vhodné záruky pro ochranu osobních údajů.

 

4. Ustanovení odst. 1 písm. b), c) a h) se nevztahují na činnosti prováděné orgány veřejné moci při výkonu jejich úředních pravomocí.

4. Ustanovení odst. 1 písm. b) a c) se nevztahují na činnosti prováděné orgány veřejné moci při výkonu jejich úředních pravomocí.

5. Veřejný zájem uvedený v odst. 1 písm. d) musí být uznáván právem Unie nebo právem členského státu, kterému správce podléhá.

5. Veřejný zájem uvedený v odst. 1 písm. d) musí být uznáván právem Unie nebo právem členského státu, kterému správce podléhá.

6. Správce nebo zpracovatel zaznamená posouzení i přijaté vhodné záruky uvedené v odst. 1 písm. h) tohoto článku v dokumentaci zmíněné v článku 28 a o předání informuje orgán dozoru.

 

7. Komise je zmocněna přijímat akty v přenesené pravomoci v souladu s článkem 86 za účelem dalšího vymezení „důležitého veřejného zájmu“ ve smyslu odst. 1 písm. d), jakož i za účelem vymezení kritérií a požadavků, pokud jde o vhodné záruky uvedené v odst. 1 písm. h).

7. Evropská rada pro ochranu údajů je v souladu s čl. 66 odst. 1 písm. b) pověřena úkolem vydávat pokyny, doporučení a osvědčené postupy za účelem dalšího vymezení kritérií a podmínek předávání údajů ve smyslu odstavce 1.

Pozměňovací návrh   142

Návrh nařízení

Čl. 45 – odst. 1 – písm. a

Znění navržené Komisí

Pozměňovací návrh

a) rozvoje účinných mechanismů pro mezinárodní spolupráci, aby se usnadnilo prosazování právních předpisů na ochranu osobních údajů;

a) rozvoje účinných mechanismů pro mezinárodní spolupráci, aby se zajistilo prosazování právních předpisů na ochranu osobních údajů;

Pozměňovací návrh   143

Návrh nařízení

Čl. 45 – odst. 1 – písm. d a (nové)

Znění navržené Komisí

Pozměňovací návrh

 

da) objasnění a konzultace o právních konfliktech se třetími zeměmi.

Pozměňovací návrh   144

Návrh nařízení

Článek 45 a (nový)

Znění navržené Komisí

Pozměňovací návrh

 

Článek 45a

 

Zpráva Komise

 

Komise předkládá Evropskému parlamentu a Radě zprávu o uplatňování článků 40 a 45, a to nejpozději čtyři roky po dni uvedeném v čl. 91 odst. 1 a následně v pravidelných intervalech. K tomu účelu může Komise požádat členské státy a orgány dozoru o informace, které musí být poskytnuty bez zbytečného odkladu. Tyto zprávy se zveřejňují.

Pozměňovací návrh   145

Návrh nařízení

Čl. 47 – odst. 1

Znění navržené Komisí

Pozměňovací návrh

1. Orgán dozoru jedná při výkonu povinností a pravomocí jemu svěřených zcela nezávisle.

1. Orgán dozoru jedná při výkonu povinností a pravomocí jemu svěřených zcela nezávisle a nestranně, aniž by tím byla dotčena opatření týkající se spolupráce a jednotnosti podle kapitoly VII tohoto nařízení.

Pozměňovací návrh   146

Návrh nařízení

Čl. 47 – odst. 7 a (nový)

Znění navržené Komisí

Pozměňovací návrh

 

7a. Každý členský stát zajistí, aby orgán dozoru byl z důvodu rozpočtové kontroly odpovědný parlamentu daného členského státu.

Pozměňovací návrh   147

Návrh nařízení

Článek 50

Znění navržené Komisí

Pozměňovací návrh

Profesní tajemství

Profesní tajemství

Členové orgánu dozoru a jeho pracovníci jsou během svého funkčního období i po jeho skončení vázáni profesním tajemstvím, pokud jde o veškeré důvěrné informace, o nichž se dozví během výkonu svých služebních povinností.

Členové orgánu dozoru a jeho pracovníci jsou v souladu s vnitrostátními právními předpisy a postupy během svého funkčního období i po jeho skončení vázáni profesním tajemstvím, pokud jde o veškeré důvěrné informace, o nichž se dozví během výkonu svých služebních povinností, a své povinnosti plní nezávisle a transparentně, jak je uvedeno v tomto nařízení.

Pozměňovací návrh 148

Návrh nařízení

Čl. 51 – odst. 1

Znění navržené Komisí

Pozměňovací návrh

1. Každý orgán dozoru vykonává pravomoci, které mu byly svěřeny v souladu s tímto nařízením, na území svého vlastního členského státu.

1. Každý orgán dozoru je kompetentní k provádění povinností a výkonu pravomocí, které mu byly svěřeny v souladu s tímto nařízením, na území svého vlastního členského státu, aniž jsou tím dotčeny články 73 a 74. Zpracování údajů ze strany orgánu veřejné moci je sledováno pouze orgánem dozoru daného členského státu.

Pozměňovací návrh   149

Návrh nařízení

Čl. 51 – odst. 2

Znění navržené Komisí

Pozměňovací návrh

2. Dochází-li ke zpracování osobních údajů v rámci činností některé provozovny správce nebo zpracovatele v Unii a správce nebo zpracovatel sídlí ve více členských státech, k dohledu nad zpracováními prováděnými daným správcem či zpracovatelem je ve všech členských státech příslušný orgán dozoru správcovy nebo zpracovatelovy hlavní provozovny, aniž by tím byla dotčena ustanovení kapitoly VII tohoto nařízení.

vypouští se

Pozměňovací návrh   150

Návrh nařízení

Čl. 52 – odst. 1 – písm. b

Znění navržené Komisí

Pozměňovací návrh

b) zabývá se stížnostmi, které mu předloží subjekt údajů nebo sdružení, jež tento subjekt zastupuje, v souladu s článkem 73, v odpovídající míře dané záležitosti prošetřuje a v rozumné lhůtě informuje daný subjekt údajů či dané sdružení o vývoji a výsledku jejich stížností, a to zejména v případech, kdy je zapotřebí další šetření nebo koordinace s jiným orgánem dozoru;

b) zabývá se stížnostmi, které mu předloží subjekt údajů nebo sdružení v souladu s článkem 73, v odpovídající míře dané záležitosti prošetřuje a v rozumné lhůtě informuje daný subjekt údajů či dané sdružení o vývoji a výsledku jejich stížností, a to zejména v případech, kdy je zapotřebí další šetření nebo koordinace s jiným orgánem dozoru;

Pozměňovací návrh   151

Návrh nařízení

Čl. 52 – odst. 1 – písm. d

Znění navržené Komisí

Pozměňovací návrh

d) provádí šetření, a to z vlastní iniciativy nebo na základě stížnosti nebo na základě žádosti jiného orgánu dozoru, a o výsledku šetření v rozumné lhůtě informuje dotčené subjekty údajů, pokud tomuto orgánu dozoru adresují stížnost;

d) provádí šetření, a to z vlastní iniciativy nebo na základě stížnosti, získaných konkrétních a zaznamenaných informací poukazujících na případ nezákonného zpracování nebo na základě žádosti jiného orgánu dozoru, a o výsledku šetření v rozumné lhůtě informuje dotčené subjekty údajů, pokud tomuto orgánu dozoru adresují stížnost;

Pozměňovací návrh   152

Návrh nařízení

Čl. 52 – odst. 1 – písm. j a (nové)

Znění navržené Komisí

Pozměňovací návrh

 

ja) vydává správcům nebo zpracovatelům osvědčení dle článku 39.

Pozměňovací návrh   153

Návrh nařízení

Čl. 52 – odst. 2

Znění navržené Komisí

Pozměňovací návrh

2. Každý orgán dozoru zvyšuje povědomí veřejnosti o rizicích, pravidlech, zárukách a právech v souvislosti se zpracováváním osobních údajů. Zvláštní pozornost se přitom věnuje akcím, které jsou určeny speciálně pro děti.

2. Každý orgán dozoru zvyšuje povědomí veřejnosti o rizicích, pravidlech, zárukách a právech v souvislosti se zpracováváním osobních údajů a o vhodných opatřeních v oblasti ochrany osobních údajů. Zvláštní pozornost se přitom věnuje akcím, které jsou určeny speciálně pro děti.

Pozměňovací návrh   154

Návrh nařízení

Čl. 52 – odst. 2 a (nový)

Znění navržené Komisí

Pozměňovací návrh

 

2a. Každý orgán dozoru společně s Evropskou radou pro ochranu údajů zvyšuje povědomí správců a zpracovatelů o rizicích, pravidlech, zárukách a právech v souvislosti se zpracováváním osobních údajů. K tomu patří vedení rejstříku sankcí a porušení. Rejstřík by měl obsahovat co nejpodrobnější záznamy o veškerých varováních a sankcích a o způsobech, jímž bylo porušení vyřešeno. Každý orgán dozoru poskytne správcům a zpracovatelům mikropodniků a malých a středních podniků na požádání obecné informace o jejich odpovědnosti a povinnostech v souladu s tímto nařízením.

Pozměňovací návrh   155

Návrh nařízení

Čl. 52 – odst. 6

Znění navržené Komisí

Pozměňovací návrh

6. Jestliže jsou žádosti zjevně nepřiměřené, zvláště z toho důvodu, že se jejich obsah opakuje, orgán dozoru může jejich vyřízení zpoplatnit nebo ve věci vznesené subjektem údajů nejednat. Orgán dozoru nese důkazní břemeno, pokud jde o prokázání zjevné nepřiměřenosti těchto žádostí.

6. Jestliže jsou žádosti zjevně nepřiměřené, zvláště z toho důvodu, že se jejich obsah opakuje, orgán dozoru může jejich vyřízení v rozumné míře zpoplatnit nebo ve věci vznesené subjektem údajů nejednat. Výše tohoto poplatku nepřesáhne náklady na přijetí požadovaných opatření. Orgán dozoru nese důkazní břemeno, pokud jde o prokázání zjevné nepřiměřenosti těchto žádostí.

Pozměňovací návrh   156

Návrh nařízení

Článek 53

Znění navržené Komisí

Pozměňovací návrh

Pravomoci

Pravomoci

1. Každý orgán dozoru má pravomoc:

1. Každý orgán dozoru má v souladu s tímto nařízením pravomoc:

a) oznamovat správci nebo zpracovateli případy údajného porušení ustanovení o zpracovávání osobních údajů a v příslušných případech jim nařizovat, aby taková porušení konkrétním způsobem napravili v zájmu zlepšení ochrany subjektů údajů;

a) oznamovat správci nebo zpracovateli případy údajného porušení ustanovení o zpracovávání osobních údajů a v příslušných případech jim nařizovat, aby taková porušení konkrétním způsobem napravili v zájmu zlepšení ochrany subjektů údajů, nebo požadovat po správci, aby oznamoval případy porušení bezpečnosti osobních údajů subjektu údajů;

b) nařizovat správci nebo zpracovateli, aby vyhověli žádostem subjektů údajů o výkon práv stanovených tímto nařízením;

b) nařizovat správci nebo zpracovateli, aby vyhověli žádostem subjektů údajů o výkon práv stanovených tímto nařízením;

c) nařizovat správci a zpracovateli, a v příslušném případě zástupci, poskytnutí jakýchkoli informací relevantních pro plnění jeho povinností;

c) nařizovat správci a zpracovateli, a v příslušném případě zástupci, poskytnutí jakýchkoli informací relevantních pro plnění jeho povinností;

d) zajišťovat dodržování předchozích povolení a předchozích konzultací uvedených v článku 34;

d) zajišťovat dodržování předchozích povolení a předchozích konzultací uvedených v článku 34;

e) upozorňovat nebo napomínat správce nebo zpracovatele;

e) upozorňovat nebo napomínat správce nebo zpracovatele;

f) nařizovat opravu, výmaz nebo zničení všech údajů, při jejichž zpracování byla porušena ustanovení tohoto nařízení, a nařídit oznámení těchto opatření třetím osobám, kterým byly údaje sděleny;

f) nařizovat opravu, výmaz nebo zničení všech údajů, při jejichž zpracování byla porušena ustanovení tohoto nařízení, a nařídit oznámení těchto opatření třetím osobám, kterým byly údaje sděleny;

g) vydávat dočasné nebo trvalé zákazy zpracovávání;

g) vydávat dočasné nebo trvalé zákazy zpracovávání;

h) přerušit předávání údajů příjemci ve třetí zemi nebo předávání údajů mezinárodní organizaci;

h) přerušit předávání údajů příjemci ve třetí zemi nebo předávání údajů mezinárodní organizaci;

i) vydávat stanoviska k veškerým otázkám souvisejícím s ochranou osobních údajů;

i) vydávat stanoviska k veškerým otázkám souvisejícím s ochranou osobních údajů;

 

ia) vydávat správcům nebo zpracovatelům osvědčení dle článku 39;

j) informovat vnitrostátní parlament, vládu nebo jiné politické instituce a také veřejnost o jakýchkoli záležitostech souvisejících s ochranou osobních údajů.

j) informovat vnitrostátní parlament, vládu nebo jiné politické instituce a také veřejnost o jakýchkoli záležitostech souvisejících s ochranou osobních údajů;

 

ja) uplatňovat účinné mechanismy na podporu důvěrného podávání zpráv o porušení tohoto nařízení, při zohlednění pokynů vydaných Evropskou radou pro ochranu údajů na základě čl. 66 odst. 4 písm. b).

2. Každý orgán dozoru má vyšetřovací pravomoci, jež ho opravňují k tomu, aby od správce nebo zpracovatele získal:

2. Každý orgán dozoru má vyšetřovací pravomoci, jež ho opravňují k tomu, aby od správce nebo zpracovatele bez předchozího upozornění získal:

a) přístup ke všem osobním údajům a ke všem informacím, které potřebuje k výkonu svých povinností;

a) přístup ke všem osobním údajům a ke všem dokumentům a informacím, které potřebuje k výkonu svých povinností;

b) přístup do jejich veškerých prostorů, včetně veškerého zařízení a prostředků pro zpracovávání údajů, existují-li dostatečné důvody k předpokladu, že v těchto prostorech dochází k činnosti, jež je v rozporu s tímto nařízením.

b) přístup do jejich veškerých prostorů, včetně veškerého zařízení a prostředků pro zpracovávání údajů.

Pravomoc uvedená v písmenu b) musí být vykonávána v souladu s právem Unie a právem členského státu.

Pravomoc uvedená v písmenu b) musí být vykonávána v souladu s právem Unie a právem členského státu.

3. Každý orgán dozoru má pravomoc upozorňovat na porušení tohoto nařízení soudní orgány a účastnit se soudního řízení, zejména podle čl. 74 odst. 4 a čl. 75 odst. 2.

3. Každý orgán dozoru má pravomoc upozorňovat na porušení tohoto nařízení soudní orgány a účastnit se soudního řízení, zejména podle čl. 74 odst. 4 a čl. 75 odst. 2.

4. Každý orgán dozoru má pravomoc postihovat správní přestupky, zejména správní přestupky uvedené v čl. 79 odst. 4, 5 a 6.

4. Každý orgán dozoru má pravomoc postihovat správní přestupky v souladu s článkem 79. Tuto pravomoc vykonává účinným, přiměřeným a odrazujícím způsobem.

Pozměňovací návrh   157

Návrh nařízení

Článek 54

Znění navržené Komisí

Pozměňovací návrh

Každý orgán dozoru musí každý rok vypracovat zprávu o své činnosti. Zpráva se předkládá vnitrostátnímu parlamentu a poskytuje se k dispozici veřejnosti, Komisi a Evropské radě pro ochranu údajů.

Každý orgán dozoru musí alespoň jednou za dva roky vypracovat zprávu o své činnosti. Zpráva se předkládá příslušnému parlamentu a dává se k dispozici veřejnosti, Komisi a Evropské radě pro ochranu údajů.

Pozměňovací návrh   158

Návrh nařízení

Článek 54 a (nový)

Znění navržené Komisí

Pozměňovací návrh

 

Článek 54a

 

Vedoucí orgán

 

1. Dochází-li ke zpracování osobních údajů v rámci činnosti některé provozovny správce nebo zpracovatele v Unii a správce nebo zpracovatel sídlí ve více členských státech, nebo jsou zpracovávány osobní údaje obyvatel několika členských států, jedná orgán dozoru hlavní provozovny správce nebo zpracovatele jako vedoucí orgán odpovědný za dohled nad zpracováním údajů ze strany správce nebo zpracovatele ve všech členských státech v souladu s ustanoveními kapitoly VII tohoto nařízení.

 

2. Vedoucí orgán dozoru učiní vhodná opatření pro dohled nad zpracováním údajů ze strany správce nebo zpracovatele, za něž odpovídá pouze po konzultaci všech ostatních příslušných orgánů dozoru ve smyslu čl. 51 odst. 1 v rámci snahy dosáhnout konsensu. Za tímto účelem musí především předložit veškeré podstatné informace a konzultovat ostatní orgány předtím, než přijme opatření, které mají vyvolat právní účinky vůči správci nebo zpracovateli ve smyslu čl. 51 odst. 1. Vedoucí orgán věnuje maximální pozornost stanoviskům zúčastněných orgánů. Vedoucí orgán je jediným orgánem zmocněným k rozhodování o opatřeních, která mají vyvolat právní účinky, co se týče zpracování údajů ze strany správce nebo zpracovatele, za které odpovídá.

 

3. Evropská rada pro ochranu údajů na žádost příslušného orgánu dozoru vydá stanovisko k určení vedoucího orgánu, jenž odpovídá za správce nebo zpracovatele, pokud:

 

a) ze skutečností případu není jasné, kde je umístěna hlavní provozovna správce nebo zpracovatele; nebo

 

b) příslušné orgány se neshodnou, který orgán dozoru jedná jako hlavní orgán; nebo

 

c) správce není usazen v Unii a zpracování podle tohoto nařízení se dotkne rezidentů různých členských států.

 

3a. Pokud správce rovněž vykonává činnost jako zpracovatel, orgán dozoru správcovy hlavní provozovny jedná jako vedoucí orgán pro dohled nad zpracováním údajů.

 

4. Evropská rada pro ochranu údajů může rozhodnout o určení vedoucího orgánu.

(Odstavec 1 pozměňovacího návrhu Parlamentu se zakládá na čl. 51 odst. 2 návrhu Komise).

Pozměňovací návrh   159

Návrh nařízení

Čl. 55 – odst. 1

Znění navržené Komisí

Pozměňovací návrh

1. Orgány dozoru si vzájemně poskytují relevantní informace a pomoc v zájmu jednotného provádění a uplatňování tohoto nařízení, přičemž zavedou opatření pro účinnou spolupráci mezi sebou. Vzájemná spolupráce zahrnuje zejména žádosti o informace a opatření související s dohledem, např. žádosti o předchozí povolení a konzultace, inspekce a pohotové informování o otevírání případů a o následném vývoji, pokud je pravděpodobné, že zpracováním budou dotčeny subjekty údajů v několika členských státech.

1. Orgány dozoru si vzájemně poskytují relevantní informace a pomoc v zájmu jednotného provádění a uplatňování tohoto nařízení, přičemž zavedou opatření pro účinnou spolupráci mezi sebou. Vzájemná spolupráce zahrnuje zejména žádosti o informace a opatření související s dohledem, např. žádosti o předchozí povolení a konzultace, inspekce, šetření a pohotové informování o otevírání případů a o následném vývoji, pokud má správce nebo zpracovatel provozovny v několika členských státech nebo pokud je pravděpodobné, že zpracováním budou dotčeny subjekty údajů v několika členských státech. Vedoucí orgán dozoru definovaný v čl. 54 písm. a) zajišťuje koordinaci s příslušnými dotčenými orgány a působí jako jediné kontaktní místo pro správce nebo zpracovatele.

Pozměňovací návrh   160

Návrh nařízení

Čl. 55 – odst. 7

Znění navržené Komisí

Pozměňovací návrh

7. Za žádné kroky podniknuté v návaznosti na žádost o vzájemnou pomoc se neúčtují poplatky.

7. Za žádné kroky podniknuté v návaznosti na žádost o vzájemnou pomoc se předkládajícímu orgánu dozoru neúčtují poplatky.

Pozměňovací návrh   161

Návrh nařízení

Čl. 55 – odst. 8

Znění navržené Komisí

Pozměňovací návrh

8. Pokud orgán dozoru nepodnikne žádné kroky do jednoho měsíce od předložení žádosti jiným orgánem dozoru, předkládající orgán dozoru má pravomoc k přijetí dočasného opatření na území svého členského státu v souladu s čl. 51 odst. 1 a záležitost předloží Evropské radě pro ochranu údajů v souladu s postupem uvedeným v článku 57.

8. Pokud orgán dozoru nepodnikne žádné kroky do jednoho měsíce od předložení žádosti jiným orgánem dozoru, předkládající orgán dozoru má pravomoc k přijetí dočasného opatření na území svého členského státu v souladu s čl. 51 odst. 1 a záležitost předloží Evropské radě pro ochranu údajů v souladu s postupem uvedeným v článku 57. Pokud není prozatím možné přijmout konečné opatření, protože pomoc není ještě dokončena, může předkládající orgán dozoru přijmout na území svého členského státu předběžná opatření podle článku 53.

Pozměňovací návrh   162

Návrh nařízení

Čl. 55 – odst. 9

Znění navržené Komisí

Pozměňovací návrh

9. Orgán dozoru určí u takového dočasného opatření dobu platnosti. Tato doba nepřesáhne tři měsíce. Předmětná opatření oznámí orgán dozoru bez prodlení a s uvedením všech důvodů Evropské radě pro ochranu údajů a Komisi.

9. Orgán dozoru určí u takového dočasného opatření dobu platnosti. Tato doba nepřesáhne tři měsíce. Předmětná opatření oznámí orgán dozoru bez prodlení a s uvedením všech důvodů Evropské radě pro ochranu údajů a Komisi v souladu s postupem uvedeným v článku 57.

Pozměňovací návrh   163

Návrh nařízení

Čl. 55 – odst. 10

Znění navržené Komisí

Pozměňovací návrh

10. Komise může určit formát a postupy pro vzájemnou pomoc podle tohoto článku a může určit, jak bude probíhat elektronická výměna informací mezi orgány dozoru vzájemně a mezi orgány dozoru a Evropskou radou pro ochranu údajů, zejména pak může určit standardní formát uvedený v odstavci 6. Tyto prováděcí akty se přijímají v souladu s přezkumným postupem podle čl. 87 odst. 2.

10. Evropská rada pro ochranu údajů může určit formát a postupy pro vzájemnou pomoc podle tohoto článku a může určit, jak bude probíhat elektronická výměna informací mezi orgány dozoru vzájemně a mezi orgány dozoru a Evropskou radou pro ochranu údajů, zejména pak může určit standardní formát uvedený v odstavci 6.

Pozměňovací návrh   164

Návrh nařízení

Čl. 56 – odst. 2

Znění navržené Komisí

Pozměňovací návrh

2. V případech, kdy je pravděpodobné, že zpracováním budou dotčeny subjekty údajů v několika členských státech, má právo účastnit se společných investigativních úkolů či společných operací orgán dozoru každého z předmětných členských států. Příslušný orgán dozoru vyzve orgán dozoru každého z předmětných členských států k účasti na konkrétním investigativním úkolu nebo společné operaci a bez odkladu odpoví na žádost, ve které některý orgán dozoru projeví o účast na operacích zájem.

2. V případech, kdy má správce nebo zpracovatel provozovny v několika členských státech nebo pokud je pravděpodobné, že zpracováním budou dotčeny subjekty údajů v několika členských státech, má právo účastnit se společných investigativních úkolů či společných operací orgán dozoru každého z předmětných členských států. Vedoucí orgán definovaný v čl. 54 písm. a) zapojí orgán dozoru každého z předmětných členských států do konkrétního investigativního úkolu nebo společné operace a bez odkladu odpoví na žádost, ve které některý orgán dozoru projeví o účast na operacích zájem. Vedoucí orgán je jediným kontaktním místem pro správce nebo zpracovatele.

Pozměňovací návrh   165

Návrh nařízení

Článek 57

Znění navržené Komisí

Pozměňovací návrh

Mechanismus jednotnosti

Mechanismus jednotnosti

Pro účely vymezené v čl. 46 odst. 1 orgány dozoru spolupracují mezi sebou a s Komisí prostřednictvím mechanismu jednotnosti stanoveného v tomto oddíle.

Pro účely vymezené v čl. 46 odst. 1 orgány dozoru spolupracují mezi sebou a s Komisí prostřednictvím mechanismu jednotnosti jak v záležitostech obecné působnosti, tak v jednotlivých případech v souladu s ustanoveními obsaženými v tomto oddíle.

Pozměňovací návrh   166

Návrh nařízení

Článek 58

Znění navržené Komisí

Pozměňovací návrh

Stanovisko Evropské rady pro ochranu údajů

Jednotnost v záležitostech s obecnou působností

1. Dříve než některý orgán dozoru přijme opatření uvedené v odstavci 2, předloží návrh tohoto opatření Evropské radě pro ochranu údajů a Komisi.

1. Dříve než některý orgán dozoru přijme opatření uvedené v odstavci 2, předloží návrh tohoto opatření Evropské radě pro ochranu údajů a Komisi.

2. Povinnost stanovená v odstavci 1 se vztahuje na opatření, která mají vyvolat právní účinky a která:

2. Povinnost stanovená v odstavci 1 se vztahuje na opatření, která mají vyvolat právní účinky a která:

a) souvisejí s nabídkou zboží či služeb subjektům údajů v několika členských státech nebo se sledováním jejich chování;

 

b) mohou podstatně ovlivnit volný pohyb osobních údajů v rámci Unie nebo

 

c) mají za cíl přijmout seznam zpracování podléhajících předchozí konzultaci podle čl. 34 odst. 5 nebo

 

d) mají za cíl stanovit standardní doložky o ochraně údajů podle čl. 42 odst. 2 písm. c);

d) mají za cíl stanovit standardní doložky o ochraně údajů podle čl. 42 odst. 2 písm. c); nebo

e) mají za cíl schválit smluvní doložky podle čl. 42 odst. 2 písm. d);

e) mají za cíl schválit smluvní doložky podle čl. 42 odst. 2 písm. d) nebo

f) mají za cíl schválit závazná podniková pravidla ve smyslu článku 43.

f) mají za cíl schválit závazná podniková pravidla ve smyslu článku 43.

3. Kterýkoli orgán dozoru nebo Evropská rada pro ochranu údajů může požádat, aby se jakákoli záležitost řešila pomocí mechanismu jednotnosti, zejména pokud některý orgán dozoru nepředloží návrh opatření uvedeného v odstavci 2 nebo neplní povinnosti související s vzájemnou pomocí v souladu s článkem 55 nebo se společnými operacemi v souladu s článkem 56.

3. Kterýkoli orgán dozoru nebo Evropská rada pro ochranu údajů může požádat, aby se jakákoli záležitost s obecnou působností řešila pomocí mechanismu jednotnosti, zejména pokud některý orgán dozoru nepředloží návrh opatření uvedeného v odstavci 2 nebo neplní povinnosti související s vzájemnou pomocí v souladu s článkem 55 nebo se společnými operacemi v souladu s článkem 56.

4. V zájmu zajištění správného a jednotného uplatňování tohoto nařízení může Komise požádat, aby se pomocí mechanismu jednotnosti řešily veškeré záležitosti.

4. V zájmu zajištění správného a jednotného uplatňování tohoto nařízení může Komise požádat, aby se pomocí mechanismu jednotnosti řešily veškeré záležitosti s obecnou působností.

5. Orgány dozoru a Komise elektronicky a za použití standardního formátu oznamují veškeré relevantní informace, podle situace včetně shrnutí skutečností, návrhu opatření a důvodů, pro které je provedení takového opatření zapotřebí.

5. Orgány dozoru a Komise elektronicky a za použití standardního formátu bez zbytečného odkladu oznamují veškeré relevantní informace, podle situace včetně shrnutí skutečností, návrhu opatření a důvodů, pro které je provedení takového opatření zapotřebí.

6. Předseda Evropské rady pro ochranu údajů bez prodlení, elektronicky a za použití standardního formátu sděluje členům Evropské rady pro ochranu údajů a Komisi veškeré relevantní informace, které mu byly oznámeny. Je-li to nutné, poskytuje předseda Evropské rady pro ochranu údajů relevantní informace v překladech.

6. Předseda Evropské rady pro ochranu údajů bez zbytečného odkladu, elektronicky a za použití standardního formátu sděluje členům Evropské rady pro ochranu údajů a Komisi veškeré relevantní informace, které mu byly oznámeny. Je-li to nutné, poskytuje sekretariát Evropské rady pro ochranu údajů relevantní informace v překladech.

 

6a. Evropská rada pro ochranu údajů přijme stanovisko o záležitostech uvedených v odstavci 2.

7. Evropská rada pro ochranu údajů vydává k dané záležitosti stanovisko, pokud tak rozhodne prostou většinou svých členů nebo pokud ji o to do týdne od poskytnutí relevantních informací podle odstavce 5 požádá kterýkoli orgán dozoru nebo Komise. Stanovisko se přijímá do jednoho měsíce prostou většinou členů Evropské rady pro ochranu údajů. Předseda Evropské rady pro ochranu údajů oznamuje stanovisko bez zbytečného odkladu orgánu dozoru uvedenému v odstavci 1 nebo 3, Komisi a příslušnému orgánu dozoru podle článku 51 a stanovisko zveřejňuje.

7. Evropská rada pro ochranu údajů může rozhodnout prostou většinou, zda přijme stanovisko k jakékoli záležitosti předložené v souladu s odstavci 3 a 4 při zohlednění toho, zda:

 

a) záležitost obsahuje prvky novosti, a to při zohlednění právního či faktického vývoje, především v oblasti informačních technologií a s ohledem na pokrok dosažený v rámci informační společnosti; a dále

 

b) Evropská rada pro ochranu údajů již vydala k této záležitosti stanovisko;

8. Orgán dozoru uvedený v odstavci 1 a příslušný orgán dozoru podle článku 51 vezmou stanovisko Evropské rady pro ochranu údajů v úvahu a do dvou týdnů od jeho oznámení předsedou Evropské rady pro ochranu údajů vyrozumí elektronickou cestou a za použití standardního formátu předsedu Evropské rady pro ochranu údajů a Komisi, zda svůj návrh opatření zachovávají nebo jej mění, přičemž v druhém případě Evropské radě pro ochranu údajů a Komisi sdělují i pozměněný návrh opatření.

8. Evropská rada pro ochranu údajů přijímá stanoviska podle odstavců 6a a 7 prostou většinou svých členů. Stanoviska se zveřejňují.

Pozměňovací návrh   167

Návrh nařízení

Článek 58 a (nový)

Znění navržené Komisí

Pozměňovací návrh

 

Článek 58a

 

Jednotnost v jednotlivých případech

 

1. Před tím, než učiní opatření, jehož účelem je vyvolat právní účinky ve smyslu článku 54a, sdílí vedoucí orgán veškeré relevantní informace se všemi ostatními příslušnými orgány a předloží jim návrh tohoto opatření. Vedoucí orgán opatření nepřijme, pokud některý příslušný orgán ve lhůtě tří týdnů oznámí, že má vůči danému opatření závažné námitky.

 

2. Pokud některý příslušný orgán oznámil, že má vůči danému návrhu opatření vedoucího orgánu závažné námitky, nebo pokud vedoucí orgán nepředloží návrh opatření podle odstavce 1, nesplní povinnost vzájemné pomoci v souladu s článkem 55 či společných operací v souladu s článkem 56, je záležitost posouzena Evropskou radou pro ochranu údajů.

 

3. Vedoucí orgán a/nebo jiné příslušné zúčastněné orgány a Komise bez zbytečného prodlení elektronickou cestou a za použití standardizovaného formátu Evropské radě pro ochranu údajů sdělí veškeré relevantní informace, včetně případného shrnutí skutečností, návrhu opatření, důvodů, na jejichž základě je přijetí daného opatření nezbytné, vznesených námitek a názorů dalších příslušných orgánů dozoru.

 

4. Evropská rada pro ochranu údajů záležitost uváží při zohlednění dopadu návrhu opatření vedoucího orgánu na základní práva a svobody subjektů údajů, a prostou většinou svých členů rozhodne, zda vydat k dané záležitosti stanovisko ve lhůtě dvou týdnů poté, co byly příslušné informace podle odstavce 3 poskytnuty.

 

5. Pokud se Evropská rada pro ochranu údajů rozhodne vydat stanovisko, učiní tak do šesti týdnů a zveřejní jej.

 

6. Vedoucí orgán maximálně zohlední stanovisko Evropské rady pro ochranu údajů a do dvou týdnů od jeho oznámení předsedou Evropské rady pro ochranu údajů vyrozumí elektronickou cestou a za použití standardního formátu předsedu Evropské rady pro ochranu údajů a Komisi, zda svůj návrh opatření zachovává nebo jej mění, přičemž v druhém případě Evropské radě pro ochranu údajů a Komisi sdělí i pozměněný návrh opatření. Pokud se vedoucí orgán nehodlá řídit stanoviskem Evropské rady pro ochranu údajů, poskytne k tomu své odůvodnění.

 

7. V případě, že Evropská rada pro ochranu údajů má vůči opatření orgánu dozoru podle odstavce 5 i nadále námitky, může ve lhůtě jednoho měsíce dvoutřetinovou většinou přijmout opatření, které je pro daný orgán dozoru závazné.

Pozměňovací návrh   168

Návrh nařízení

Článek 59

Znění navržené Komisí

Pozměňovací návrh

Článek 59

vypouští se

Stanovisko Komise

 

1. Do deseti týdnů po předložení záležitosti podle článku 58 nebo nejpozději do šesti týdnů v případech podle článku 61 může Komise přijmout k záležitostem předloženým podle článků 58 nebo 61 stanovisko, aby zajistila správné a jednotné uplatňování tohoto nařízení.

 

2. Pokud Komise přijme stanovisko v souladu s odstavcem 1, daný orgán dozoru jej maximálně zohlední a Komisi a Evropské radě pro ochranu údajů následně sdělí, zda svůj návrh opatření hodlá zachovat nebo jej změnit.

 

3. Ve lhůtě uvedené v odstavci 1 nesmí orgán dozoru návrh opatření přijmout.

 

4. Jestliže se orgán dozoru nehodlá stanoviskem Komise řídit, informuje o tom ve lhůtě uvedené v odstavci 1 Komisi a Evropskou radu pro ochranu údajů a svůj postoj zdůvodní. Návrh opatření v tomto případě nesmí být schválen během jednoho dalšího měsíce.

 

Pozměňovací návrh   169

Návrh nařízení

Článek 60

Znění navržené Komisí

Pozměňovací návrh

Článek 60

vypouští se

Odklad návrhu opatření

 

1. Pokud má Komise vážné pochybnosti o tom, zda by návrh opatření zajišťoval správné uplatňování tohoto nařízení, nebo o tom, zda by bez něho docházelo k nejednotnému uplatňování, může do jednoho měsíce od oznámení uvedeného v čl. 59 odst. 4 přijmout odůvodněné rozhodnutí, kterým bude od orgánu dozoru vyžadovat, aby přijetí daného opatření odložil s přihlédnutím ke stanovisku vydanému Evropskou radou pro ochranu údajů podle čl. 58 odst. 7 nebo čl. 61 odst. 2, pokud je to zjevně zapotřebí k:

 

a) sladění odlišných postojů orgánu dozoru a Evropské rady pro ochranu údajů, pokud se to stále zdá být možné, nebo

 

b) přijetí opatření podle čl. 62 odst. 1 písm. a).

 

2. Komise stanoví dobu trvání tohoto odkladu, která nepřesáhne 12 měsíců.

 

3. Během období uvedeného v odstavci 2 nesmí orgán dozoru návrh opatření přijmout.

 

Pozměňovací návrh   170

Návrh nařízení

Článek 60 a (nový)

Znění navržené Komisí

Pozměňovací návrh

 

Článek 60a

 

Vyrozumění Evropského parlamentu a Rady

 

Komise v pravidelných intervalech nejméně jednou za šest měsíců informuje Evropský parlament a Radu na základě zprávy od předsedy Evropské rady pro ochranu údajů o záležitostech řešených v rámci mechanismu jednotnosti a předkládá závěry Komise a Evropské rady pro ochranu údajů, s cílem zajistit jednotné provádění a uplatňování tohoto nařízení.

Pozměňovací návrh   171

Návrh nařízení

Čl. 61 – odst. 1

Znění navržené Komisí

Pozměňovací návrh

1. Za výjimečných okolností, kdy se orgán dozoru domnívá, že je třeba naléhavě jednat, aby byly ochráněny zájmy subjektů údajů, zejména pokud hrozí, že změna stávajícího stavu by mohla značně ztížit výkon některého z práv určitého subjektu údajů, nebo aby se předešlo významnému poškozování, nebo že je třeba naléhavě jednat z jiných důvodů, může se orgán dozoru odchýlit od postupu uvedeného v článku 58 a může okamžitě přijmout dočasná opatření se stanovenou dobou platnosti. Předmětná opatření oznámí orgán dozoru bez prodlení a s uvedením všech důvodů Evropské radě pro ochranu údajů a Komisi.

1. Za výjimečných okolností, kdy se orgán dozoru domnívá, že je třeba naléhavě jednat, aby byly ochráněny zájmy subjektů údajů, zejména pokud hrozí, že změna stávajícího stavu by mohla značně ztížit výkon některého z práv určitého subjektu údajů, nebo aby se předešlo významnému poškozování, nebo že je třeba naléhavě jednat z jiných důvodů, může se orgán dozoru odchýlit od postupu uvedeného v článku 58a a může okamžitě přijmout dočasná opatření se stanovenou dobou platnosti. Předmětná opatření oznámí orgán dozoru bez prodlení a s uvedením všech důvodů Evropské radě pro ochranu údajů a Komisi.

Pozměňovací návrh   172

Návrh nařízení

Čl. 61 – odst. 4

Znění navržené Komisí

Pozměňovací návrh

4. Odchylně od čl. 58 odst. 7 se urgentní stanovisko uvedené v odstavcích 2 a 3 tohoto článku přijímá do dvou týdnů prostou většinou členů Evropské rady pro ochranu údajů.

4. Urgentní stanovisko uvedené v odstavcích 2 a 3 tohoto článku se přijímá do dvou týdnů prostou většinou členů Evropské rady pro ochranu údajů.

Pozměňovací návrh   173

Návrh nařízení

Článek 62

Znění navržené Komisí

Pozměňovací návrh

Prováděcí akty

Prováděcí akty

1.Komise může přijímat prováděcí akty za účelem:

1. Komise může po vyžádání stanoviska Evropské rady pro ochranu údajů přijímat prováděcí akty s obecnou působností za účelem:

a) rozhodnutí o správném uplatňování tohoto nařízení v souladu s jeho cíli a požadavky ve vztahu k záležitostem oznámeným orgány dozoru podle článků 58 nebo 61, pokud jde o záležitost, u níž bylo přijato odůvodněné rozhodnutí podle čl. 60 odst. 1, nebo o záležitost, u níž orgán dozoru nepředloží návrh opatření a u níž orgán dozoru naznačil, že se nehodlá řídit stanoviskem Komise přijatým podle článku 59;

 

b) rozhodnutí ve lhůtě uvedené v čl. 59 odst. 1 o tom, zda prohlásí navrhované standardní doložky o ochraně údajů uvedené v čl. 58 odst. 2 písm. d) za obecně platné;

b) rozhodnutí o tom, zda prohlásí navrhované standardní doložky o ochraně údajů uvedené v čl. 42 odst. 2 písm. d) za obecně platné;

c) určení formátu a postupů pro uplatňování mechanismu jednotnosti uvedeného v tomto oddíle;

 

d) určení toho, jak bude probíhat elektronická výměna informací mezi orgány dozoru vzájemně a mezi orgány dozoru a Evropskou radou pro ochranu údajů, zejména určení standardního formátu uvedeného v čl. 58 odst. 5, 6 a 8.

d) určení toho, jak bude probíhat elektronická výměna informací mezi orgány dozoru vzájemně a mezi orgány dozoru a Evropskou radou pro ochranu údajů, zejména určení standardního formátu uvedeného v čl. 58 odst. 5, 6 a 8.

Tyto prováděcí akty se přijímají v souladu s přezkumným postupem podle čl. 87 odst. 2.

 

2. V naléhavých a řádně odůvodněných případech, které se týkají zájmů subjektů údajů a jsou uvedené v odst. 1 písm. a), přijme Komise okamžitě použitelné prováděcí akty postupem uvedeným v čl. 87 odst. 3. Tyto akty platí po dobu nepřesahující 12 měsíců.

 

3. Absencí nebo přijetím opatření podle tohoto oddílu není dotčeno žádné jiné opatření Komise podle Smluv.

3. Absencí nebo přijetím opatření podle tohoto oddílu není dotčeno žádné jiné opatření Komise podle Smluv.

Pozměňovací návrh   174

Návrh nařízení

Čl. 63 – odst. 2

Znění navržené Komisí

Pozměňovací návrh

2. Jestliže některý orgán dozoru nepředloží návrh určitého opatření do mechanismu jednotnosti, a poruší tak ustanovení čl. 58 odst. 1 až 5, toto jeho opatření nebude právoplatné ani vykonatelné.

2. Jestliže některý orgán dozoru nepředloží návrh určitého opatření do mechanismu jednotnosti, a poruší tak ustanovení čl. 58 odst. 1 a 2, nebo přijme opatření i přes vznesení závažné námitky podle čl. 58a odst. 1, toto jeho opatření nebude právoplatné ani vykonatelné.

Pozměňovací návrh   175

Návrh nařízení

Článek 66

Znění navržené Komisí

Pozměňovací návrh

Úkoly Evropské rady pro ochranu údajů

Úkoly Evropské rady pro ochranu údajů

1. Evropská rada pro ochranu údajů zajišťuje jednotné uplatňování tohoto nařízení. Za tímto účelem Evropská rada pro ochranu údajů ze své vlastní iniciativy nebo na žádost Komise zejména:

1. Evropská rada pro ochranu údajů zajišťuje jednotné uplatňování tohoto nařízení. Za tímto účelem Evropská rada pro ochranu údajů ze své vlastní iniciativy, na žádost Evropského parlamentu, Rady nebo Komise zejména:

a) poskytuje poradenství Komisi ve veškerých záležitostech souvisejících s ochranou osobních údajů v Unii včetně jakýchkoli navrhovaných změn tohoto nařízení;

a) poskytuje poradenství evropským orgánům ve veškerých záležitostech souvisejících s ochranou osobních údajů v Unii včetně jakýchkoli navrhovaných změn tohoto nařízení;

b) prošetřuje ze své vlastní iniciativy nebo na žádost jednoho ze svých členů nebo na žádost Komise veškeré otázky týkající se uplatňování tohoto nařízení a pro orgány dozoru vydává pokyny, doporučení a osvědčené postupy, aby podporovala jednotné uplatňování tohoto nařízení;

b) prošetřuje ze své vlastní iniciativy nebo na žádost jednoho ze svých členů nebo na žádost Evropského parlamentu, Rady či Komise veškeré otázky týkající se uplatňování tohoto nařízení a pro orgány dozoru vydává pokyny, doporučení a osvědčené postupy, aby podporovala jednotné uplatňování tohoto nařízení, a to i v otázce využívání pravomocí k vymáhání práva;

c) přezkoumává praktické uplatňování pokynů, doporučení a osvědčených postupů uvedených v písmenu b) a podává o nich Komisi pravidelné zprávy;

c) přezkoumává praktické uplatňování pokynů, doporučení a osvědčených postupů uvedených v písmenu b) a podává o nich Komisi pravidelné zprávy;

d) vydává stanoviska k návrhům rozhodnutí orgánů dozoru podle mechanismu jednotnosti uvedeného v článku 57;

d) vydává stanoviska k návrhům rozhodnutí orgánů dozoru podle mechanismu jednotnosti uvedeného v článku 57;

 

da) poskytuje stanoviska, který orgán by měl být vedoucím orgánem podle čl. 54a odst. 3;

e) podporuje spolupráci a účinnou dvou- a vícestrannou výměnu informací a postupů mezi orgány dozoru;

e) podporuje spolupráci a účinnou dvou- a vícestrannou výměnu informací a postupů mezi orgány dozoru včetně koordinace společných operací a jiných společných činností, jestliže tak rozhodne na základě žádosti jednoho nebo několika orgánů dozoru;

f) podporuje společné školicí programy a usnadňuje výměny pracovníků mezi orgány dozoru, kterých se ve vhodných případech účastní i orgány dozoru třetích zemí nebo mezinárodních organizací;

f) podporuje společné školicí programy a usnadňuje výměny pracovníků mezi orgány dozoru, kterých se ve vhodných případech účastní i orgány dozoru třetích zemí nebo mezinárodních organizací;

g) podporuje výměnu znalostí a dokumentů o legislativě a praxi v oblasti ochrany údajů s orgány dozoru pro ochranu údajů po celém světě.

g) podporuje výměnu znalostí a dokumentů o legislativě a praxi v oblasti ochrany údajů s orgány dozoru pro ochranu údajů po celém světě.

 

ga) poskytuje stanovisko Komisi při přípravě aktů v přenesené pravomoci a prováděcích aktů na základě tohoto nařízení;

 

gb) zaujímá stanovisko ke kodexům chování vypracovaným na úrovni Unie podle čl. 38 odst. 4);

 

gc) zaujímá stanovisko ke kritériím a požadavkům pro mechanismy vydávání osvědčení o ochraně údajů uvedené v čl. 39 odst. 3;

 

gd) vede veřejný elektronický rejstřík platných a neplatných osvědčení v souladu s čl. 39 odst. 1 písm. h);

 

ge) poskytuje na žádost pomoc vnitrostátním orgánům dohledu;

 

gf) vytváří a zveřejní seznam zpracování podléhajících předchozí konzultaci podle čl. 34;

 

gg) vede rejstřík sankcí, jež byly příslušnými orgány dohledu uvaleny na správce či zpracovatele.

2. Jestliže Komise žádá Evropskou radu pro ochranu údajů o poradenství, může stanovit lhůtu, během které jej má Evropská rada pro ochranu údajů poskytnout, s přihlédnutím k naléhavosti dané záležitosti.

2. Jestliže Evropský parlament, Rada či Komise žádá Evropskou radu pro ochranu údajů o poradenství, může stanovit lhůtu, během které jej má Evropská rada pro ochranu údajů poskytnout, s přihlédnutím k naléhavosti dané záležitosti.

3. Evropská rada pro ochranu údajů postupuje svá stanoviska, pokyny, doporučení a osvědčené postupy Komisi a výboru uvedenému v článku 87 a zveřejňuje je.

3. Evropská rada pro ochranu údajů postupuje svá stanoviska, pokyny, doporučení a osvědčené postupy Evropskému parlamentu, Radě a Komisi a výboru uvedenému v článku 87 a zveřejňuje je.

4. Komise informuje Evropskou radu pro ochranu údajů o krocích, jež podnikla v návaznosti na stanoviska, pokyny, doporučení a osvědčené postupy vydané touto radou.

4. Komise informuje Evropskou radu pro ochranu údajů o krocích, jež podnikla v návaznosti na stanoviska, pokyny, doporučení a osvědčené postupy vydané touto radou.

 

4a. Evropská rada pro ochranu údajů ve vhodných případech konzultuje zúčastněné strany a poskytuje jim možnost se v rozumné lhůtě vyjádřit. Evropská rada pro ochranu údajů výsledky postupu konzultace veřejně zpřístupní, aniž je tím dotčen článek 72.

 

4b. Evropská rada pro ochranu údajů je pověřena úkolem vydávat pokyny, doporučení a osvědčené postupy podle odst.1 písm. b) pro zavedení společných postupů k získávání a prověřování informací ohledně případů údajného protiprávního zpracování osobních údajů a zaručení důvěrnosti, co se týče získaných informací a zdrojů.

Pozměňovací návrh   176

Návrh nařízení

Čl. 67 – odst. 1

Znění navržené Komisí

Pozměňovací návrh

1.  Evropská rada pro ochranu údajů pravidelně a včas informuje Komisi o výsledcích své činnosti. Vypracovává každoroční zprávu o situaci, pokud jde o ochranu fyzických osob v souvislosti se zpracováváním osobních údajů v Unii a ve třetích zemích.

Tyto zprávy obsahují přezkum praktického uplatňování pokynů, doporučení a osvědčených postupů uvedených v čl. 66 odst. 1 písm. c).

1.  Evropská rada pro ochranu údajů pravidelně a včas informuje Evropský parlament, Radu a Komisi o výsledcích své činnosti. Alespoň každé dva roky vypracuje zprávu o situaci, pokud jde o ochranu fyzických osob v souvislosti se zpracováváním osobních údajů v Unii a ve třetích zemích.

Tyto zprávy obsahují přezkum praktického uplatňování pokynů, doporučení a osvědčených postupů uvedených v čl. 66 odst. 1 písm. c).

Pozměňovací návrh   177

Návrh nařízení

Čl. 68 – odst. 1

Znění navržené Komisí

Pozměňovací návrh

1. Evropská rada pro ochranu údajů přijímá rozhodnutí prostou většinou svých členů.

1. Evropská rada pro ochranu údajů přijímá rozhodnutí prostou většinou svých členů, pokud v jejím jednacím řádu není stanoveno jinak.

Pozměňovací návrh   178

Návrh nařízení

Čl. 69 – odst. 1

Znění navržené Komisí

Pozměňovací návrh

1. Evropská rada pro ochranu údajů si zvolí z řad svých členů předsedu a dva místopředsedy. Jedním místopředsedou je evropský inspektor ochrany údajů, pokud již tento nebyl zvolen předsedou.

1. Evropská rada pro ochranu údajů si zvolí z řad svých členů předsedu a alespoň dva místopředsedy.

Pozměňovací návrh   179

Návrh nařízení

Čl. 69 – odst. 2 a (nový)

Znění navržené Komisí

Pozměňovací návrh

 

2a. Funkce předsedy je funkcí na plný úvazek.

Pozměňovací návrh   180

Návrh nařízení

Čl. 71 – odst. 2

Znění navržené Komisí

Pozměňovací návrh

2. Sekretariát zajišťuje Evropské radě pro ochranu údajů analytickou, administrativní a logistickou podporu pod vedením jejího předsedy.

2. Sekretariát zajišťuje Evropské radě pro ochranu údajů analytickou, právní, administrativní a logistickou podporu pod vedením jejího předsedy.

Pozměňovací návrh   181

Návrh nařízení

Čl. 72 – odst. 1

Znění navržené Komisí

Pozměňovací návrh

1. Jednání Evropské rady pro ochranu údajů jsou důvěrná.

1. Jednání Evropské rady pro ochranu údajů mohou být v případě potřeby důvěrná, není-li v jejím jednacím řádu stanoveno jinak. Pořady jednání schůzí Evropské rady pro ochranu údajů se zveřejňují.

Pozměňovací návrh   182

Návrh nařízení

Článek 73

Znění navržené Komisí

Pozměňovací návrh

Právo vznést stížnost k orgánu dozoru

Právo vznést stížnost k orgánu dozoru

1. Aniž by tím byly dotčeny jakékoli jiné správní nebo soudní opravné prostředky, každý subjekt údajů má právo vznést stížnost k orgánu dozoru v kterémkoli členském státě, pokud se domnívá, že zpracování jeho osobních údajů není v souladu s tímto nařízením.

1. Aniž by tím byly dotčeny jakékoli jiné správní nebo soudní opravné prostředky či mechanismus jednotnosti, každý subjekt údajů má právo vznést stížnost k orgánu dozoru v kterémkoli členském státě, pokud se domnívá, že zpracování jeho osobních údajů není v souladu s tímto nařízením.

2. Veškeré subjekty, organizace nebo sdružení, jejichž cílem je chránit práva a zájmy subjektů údajů v souvislosti s ochranou jejich osobních údajů a jež byly řádně zřízeny v souladu s právem některého členského státu, mají právo vznést jménem jednoho či více subjektů údajů stížnost k orgánu dozoru v kterémkoli z členských států, jestliže se domnívají, že zpracováním osobních údajů byla narušena práva subjektu údajů podle tohoto nařízení.

2. Veškeré subjekty, organizace nebo sdružení, jež jednají ve veřejném zájmu a byly řádně zřízeny v souladu s právem některého členského státu, mají právo vznést jménem jednoho či více subjektů údajů stížnost k orgánu dozoru v kterémkoli z členských států, jestliže se domnívají, že zpracováním osobních údajů byla narušena práva subjektu údajů podle tohoto nařízení.

3. Pokud se kterýkoli subjekt, organizace nebo sdružení uvedené v odstavci 2 domnívá, že došlo k narušení bezpečnosti osobních údajů, má právo vznést stížnost k orgánu dozoru v kterémkoli členském státě nezávisle na stížnosti subjektu údajů.

3. Pokud se kterýkoli subjekt, organizace nebo sdružení uvedené v odstavci 2 domnívá, že došlo k porušení tohoto nařízení, má právo vznést stížnost k orgánu dozoru v kterémkoli členském státě nezávisle na stížnosti subjektu údajů.

Pozměňovací návrh   183

Návrh nařízení

Článek 74

Znění navržené Komisí

Pozměňovací návrh

Právo na soudní opravné prostředky vůči orgánu dozoru

Právo na soudní opravné prostředky vůči orgánu dozoru

1. Každá fyzická nebo právnická osoba má právo na soudní opravný prostředek proti rozhodnutím orgánu dozoru, která se jí týkají.

1. Aniž by tím byly dotčeny jakékoli jiné správní či mimosoudní opravné prostředky, každá fyzická nebo právnická osoba má právo na soudní opravný prostředek proti rozhodnutím orgánu dozoru, která se jí týkají.

2. Každý subjekt údajů má právo na soudní opravný prostředek, který orgán dozoru přiměje jednat ve věci stížnosti, pokud nebylo vydáno žádné rozhodnutí potřebné k ochraně jeho práv nebo pokud daný orgán dozoru neinformuje subjekt údajů do tří měsíců o vývoji či výsledcích stížnosti podle čl. 52 odst. 1 písm. b).

2. Aniž by tím byly dotčeny jakékoli jiné správní či mimosoudní opravné prostředky, každý subjekt údajů má právo na soudní opravný prostředek, který orgán dozoru přiměje jednat ve věci stížnosti, pokud nebylo vydáno žádné rozhodnutí potřebné k ochraně jeho práv nebo pokud daný orgán dozoru neinformuje subjekt údajů do tří měsíců o vývoji či výsledcích stížnosti podle čl. 52 odst. 1 písm. b).

3. Řízení proti orgánu dozoru se zahajují u soudů toho členského státu, v němž je daný orgán dozoru usazen.

3. Řízení proti orgánu dozoru se zahajují u soudů toho členského státu, v němž je daný orgán dozoru usazen.

4. Subjekt údajů, jehož se týká rozhodnutí orgánu dozoru v jiném členském státě, než kde má obvyklé bydliště, může požádat orgán dozoru v členském státě svého obvyklého bydliště, aby proti příslušnému orgánu dozoru v tomto jiném členském státě jeho jménem zahájil řízení.

4. Aniž by tím byl dotčen mechanismus jednotnosti, subjekt údajů, jehož se týká rozhodnutí orgánu dozoru v jiném členském státě, než kde má obvyklé bydliště, může požádat orgán dozoru v členském státě svého obvyklého bydliště, aby proti příslušnému orgánu dozoru v tomto jiném členském státě jeho jménem zahájil řízení.

5. Členské státy vykonávají konečná rozhodnutí soudů podle tohoto článku.

5. Členské státy vykonávají konečná rozhodnutí soudů podle tohoto článku.

Pozměňovací návrh   184

Návrh nařízení

Čl. 75 – odst. 2

Znění navržené Komisí

Pozměňovací návrh

2. Řízení proti správci nebo zpracovateli se zahajují u soudů toho členského státu, v němž má daný správce nebo zpracovatel provozovnu. Řízení se může popřípadě zahájit i u soudů členského státu, kde má subjekt údajů obvyklé bydliště, s výjimkou případů, kdy je správce orgánem veřejné moci a jedná v rámci výkonu veřejné moci.

2. Řízení proti správci nebo zpracovateli se zahajují u soudů toho členského státu, v němž má daný správce nebo zpracovatel provozovnu. Řízení se může popřípadě zahájit i u soudů členského státu, kde má subjekt údajů obvyklé bydliště, s výjimkou případů, kdy je správce orgánem veřejné moci Unie nebo členského státu a jedná v rámci výkonu veřejné moci.

Pozměňovací návrh   185

Návrh nařízení

Čl. 76 – odst. 1

Znění navržené Komisí

Pozměňovací návrh

1. Veškeré subjekty, organizace nebo sdružení uvedené v čl. 73 odst. 2 mají právo na výkon práv podle článků 74 a 75 jménem jednoho či více subjektů údajů.

1. Veškeré subjekty, organizace nebo sdružení uvedené v čl. 73 odst. 2 mají právo na výkon práv podle článků 74, 75 a 77, jsou-li pověřeny jedním či více subjekty údajů.

Pozměňovací návrh   186

Návrh nařízení

Čl. 77 – odst. 1

Znění navržené Komisí

Pozměňovací návrh

1. Kdokoli, kdo byl poškozen následkem protiprávního zpracování nebo jednání neslučitelného s tímto nařízením, má právo být správcem nebo zpracovatelem odškodněn za způsobenou škodu.

1. Kdokoli, kdo byl poškozen nebo utrpěl nemajetkovou újmu následkem protiprávního zpracování nebo jednání neslučitelného s tímto nařízením, má právo nárokovat od správce nebo zpracovatele odškodnění za způsobenou škodu.

Pozměňovací návrh   187

Návrh nařízení

Čl. 77 – odst. 2

Znění navržené Komisí

Pozměňovací návrh

2. Je-li do daného zpracování zapojen více než jeden správce nebo zpracovatel, za celkovou výši škod nese společnou a nerozdílnou odpovědnost každý z nich.

2. Je-li do daného zpracování zapojen více než jeden správce nebo zpracovatel, za celkovou výši škod nese společnou a nerozdílnou odpovědnost každý z těchto správců nebo zpracovatelů, pokud neuzavřeli příslušnou písemnou dohodu, která určuje odpovědnosti podle článku 24.

Pozměňovací návrh   188

Návrh nařízení

Článek 79

Znění navržené Komisí

Pozměňovací návrh

Správní sankce

Správní sankce

1. Každý orgán dozoru má pravomoc ukládat správní sankce v souladu s tímto článkem.

1. Každý orgán dozoru má pravomoc ukládat správní sankce v souladu s tímto článkem. Orgány dozoru v souladu s články 46 a 57 vzájemně spolupracují na zajištění harmonizované úrovně sankcí v rámci celé Unie.

2. Správní sankce jsou v každém jednotlivém případě účinné, přiměřené a odrazující. Výše správní pokuty se stanoví s patřičným přihlédnutím k povaze, závažnosti a době trvání daného porušení, k tomu, zda k porušení došlo úmyslně nebo z nedbalosti, k míře odpovědnosti dané fyzické či právnické osoby a k dřívějšímu porušování z jejich strany, k technickým a organizačním opatřením a postupům provedeným podle článku 23 a k míře spolupráce s orgánem dozoru za účelem nápravy daného porušení.

2. Správní sankce jsou v každém jednotlivém případě účinné, přiměřené a odrazující.

 

2a. Orgán dozoru uloží každému, kdo nedodržuje povinnosti stanovené v tomto nařízení, alespoň jednu z těchto sankcí:

 

a) písemné varování v případě prvního a neúmyslného nedodržení povinností;

 

b) pravidelné periodické audity ochrany údajů;

 

c) pokutu až do výše 100 000 000 EUR nebo v případě podniku až do výše 5 % ročního celosvětového obratu v závislosti na tom, která hodnota je vyšší.

 

2b. Pokud je správce nebo zpracovatel držitelem platné „Evropské pečeti ochrany údajů“ podle článku 39, ukládá se pokuta podle odst. 2a písm. c) pouze v případech úmyslného nebo nedbalostního porušení.

 

2c. Správní sankce zohlední následující faktory:

 

a) povahu, závažnost a dobu trvání neshody,

 

b) skutečnost, zda k porušení došlo úmyslně nebo z nedbalosti,

 

c) míru odpovědnosti dané fyzické či právnické osoby a dřívější porušování z její strany,

 

d) skutečnost, zda k danému porušení dochází opakovaně,

 

e) míru spolupráce s orgánem dozoru za účelem nápravy daného porušení a zmírnění jeho možných nežádoucích účinků,

 

f) konkrétní kategorie osobních údajů dotčené daným porušením,

 

g) rozsah škody, včetně nemajetkové újmy, kterou subjekt údajů utrpěl,

 

h) kroky podniknuté správcem či zpracovatelem ke zmírnění škod způsobených subjektům údajů,

 

i) jakýkoli zamýšlený nebo získaný finanční prospěch nebo zamezené ztráty, přímo či nepřímo vyplývající z porušení,

 

j) stupeň technických a organizačních opatření a postupů provedených v souladu s:

 

i) článkem 23 – Ochrana údajů již od návrhu a standardní nastavení ochrany údajů

 

ii) článkem 30 – Bezpečnost zpracovávání

 

iii) článkem 33 – Posuzování dopadu na ochranu údajů

 

iv) článkem 33a – Posouzení souladu s pravidly na ochranu údajů

 

v) článkem 35 – Jmenování inspektora ochrany údajů

 

k) odepření spolupráce s orgánem dozoru podle článku 53 nebo bránění inspekcím, auditům a kontrolám, které orgán dozoru provádí,

 

l) jiné přitěžující nebo polehčující faktory, jež lze uplatnit na okolnosti daného případu.

3. V případě, kdy dojde k nedodržení tohoto nařízení poprvé a neúmyslně, může být zasláno písemné upozornění a nemusí se uložit žádná sankce, pokud:

 

a) fyzická osoba zpracovává osobní údaje bez obchodního zájmu nebo

 

b) podnik či organizace zaměstnávající méně než 250 osob zpracovává osobní údaje v rámci doplňující činnosti ke svým hlavním činnostem.

 

4. Orgán dozoru uloží pokutu až do výše 250.000 EUR, nebo v případě podniků až do výše 0,5 % jejich ročního celosvětového obratu, každému, kdo úmyslně či z nedbalosti:

 

a) nezajistí mechanismy pro žádosti subjektů údajů nebo kdo neodpoví subjektům údajů pohotově či za použití požadovaného formátu podle čl. 12 odst. 1 a 2;

 

b) účtuje poplatek za informace nebo za odpovědi na žádosti subjektů údajů, a poruší tak čl. 12 odst. 4.

 

5. Orgán dozoru uloží pokutu až do výše 500 000 EUR, nebo v případě podniků až do výše 1 % jejich ročního celosvětového obratu, každému, kdo úmyslně či z nedbalosti:

 

a) neposkytne informace subjektu údajů podle článku 11, čl. 12 odst. 3 a článku 14, nebo mu je neposkytne v úplném rozsahu či dostatečně transparentně;

 

b) neposkytne subjektu údajů přístup k informacím nebo neopraví osobní údaje podle článků 15 a 16 nebo neoznámí relevantní informace příjemci podle článku 13;

 

c) nedodrží právo být zapomenut nebo právo na výmaz nebo kdo nezavede mechanismy, kterými by zajistil dodržování lhůt, nebo kdo nepodnikne všechny potřebné kroky k informování třetích stran o tom, že subjekt údajů požaduje vymazání veškerých odkazů na své osobní údaje či veškerých kopií či replikací svých osobních údajů, podle článku 17;

 

d) neposkytne kopii osobních údajů v elektronickém formátu nebo kdo znemožňuje subjektu údajů přenést osobní údaje do jiné aplikace, a porušuje tak ustanovení článku 18;

 

e) nevymezí povinnosti každého ze společných správců podle článku 24 nebo kdo je nevymezí v dostatečné míře;

 

f) nevede dokumentaci podle článku 28, čl. 31 odst. 4 a čl. 44 odst. 3 nebo kdo ji nevede v dostatečné míře;

 

g) nedodrží v případech, kdy se nenakládá se zvláštními kategoriemi údajů, pravidla související se svobodou projevu podle článku 80 nebo pravidla pro zpracovávání údajů v souvislosti se zaměstnáním podle článku 82 nebo podmínky pro zpracovávání údajů pro účely historiografického, statistického a vědeckého výzkumu podle článku 83.

 

6. Orgán dozoru uloží pokutu až do výše 1 000 000 EUR, nebo v případě podniků až do výše 2 % jejich ročního celosvětového obratu, každému, kdo úmyslně či z nedbalosti:

 

a) zpracovává osobní údaje bez žádného nebo dostatečného právního základu nebo nedodrží podmínky týkající se souhlasu podle článků 6, 7 a 8;

 

b) zpracovává zvláštní kategorie údajů a poruší při tom články 9 a 81;

 

c) nevyhoví námitce či požadavku podle článku 19;

 

d) nedodrží podmínky související s opatřeními založenými na profilování podle článku 20;

 

e) nepřijme interní politiky nebo neprovede odpovídající opatření za účelem zajištění a prokázání souladu podle článků 22, 23 a 30;

 

f) nejmenuje zástupce podle článku 25;

 

g) zpracovává osobní údaje a poruší při tom povinnosti týkající se zpracovávání jménem správce podle článků 26 a 27 nebo k takovému zpracovávání dá pokyn;

 

h) neupozorní na narušení bezpečnosti osobních údajů orgán dozoru nebo subjekt údajů podle článků 31 a 32 nebo jim toto narušení neohlásí nebo je neohlásí včas či v úplnosti;

 

i) neprovede posouzení dopadu na ochranu údajů nebo zpracuje osobní údaje bez předchozího povolení nebo bez předchozí konzultace orgánu dozoru podle článků 33 a 34;

 

j) nejmenuje inspektora ochrany údajů nebo nezajistí podmínky pro plnění úkolů podle článků 35, 36 a 37;

 

k) zneužije pečeť nebo známku dokládající ochranu údajů ve smyslu článku 39;

 

l) uskuteční předání údajů do třetí země nebo mezinárodní organizaci, které není povoleno rozhodnutím o přiměřenosti nebo vhodnými zárukami nebo výjimkou podle článků 40 až 44, nebo kdo k takovému předání vydá pokyn;

 

m) nesplní příkaz nebo dočasný či trvalý zákaz zpracovávání nebo přerušení předávání údajů orgánem dozoru podle čl. 53 odst. 1;

 

n) nesplní povinnosti vůči orgánu dozoru podle čl. 28 odst. 3, článku 29, čl. 34 odst. 6 a čl. 53 odst. 2, pokud jde o pomoc nebo odpovědi nebo poskytování relevantních informací nebo zpřístupňování prostorů;

 

o) nedodrží pravidla pro zachovávání profesního tajemství podle článku 84.

 

7. Komise je zmocněna přijímat akty v přenesené pravomoci v souladu s článkem 86, aby aktualizovala výše správních pokut uvedených v odstavcích 4, 5 a 6 s přihlédnutím ke kritériím podle odstavce 2.

7. Komise je zmocněna přijímat akty v přenesené pravomoci v souladu s článkem 86, aby aktualizovala absolutní částky správních pokut uvedených v odstavci 2a s přihlédnutím ke kritériím a faktorům podle odstavců 2 a 2c.

 

Pozměňovací návrh   189

Návrh nařízení

Čl. 80 – odst. 1

Znění navržené Komisí

Pozměňovací návrh

1. Aby se uvedlo právo na ochranu osobních údajů do souladu s předpisy upravujícími svobodu projevu, členské státy stanoví odchylky a výjimky z ustanovení o obecných zásadách v kapitole II, o právech subjektů údajů v kapitole III, o správci a zpracovateli v kapitole IV, o předávání osobních údajů do třetích zemí a mezinárodním organizacím v kapitole V, o nezávislých orgánech dozoru v kapitole VI a o spolupráci a jednotnosti v kapitole VII pro zpracovávání osobních údajů prováděné výlučně pro účely žurnalistiky nebo uměleckého či literárního projevu.

1. Aby se, je-li to třeba, uvedlo právo na ochranu osobních údajů do souladu s předpisy upravujícími svobodu projevu podle Listiny základních práv Evropské unie, stanoví členské státy odchylky a výjimky z ustanovení o obecných zásadách v kapitole II, o právech subjektů údajů v kapitole III, o správci a zpracovateli v kapitole IV, o předávání osobních údajů do třetích zemí a mezinárodním organizacím v kapitole V, o nezávislých orgánech dozoru v kapitole VI, o spolupráci a jednotnosti v kapitole VII a o zvláštních případech zpracování v kapitole IX.

Pozměňovací návrh   190

Návrh nařízení

Článek 80 a (nový)

Znění navržené Komisí

Pozměňovací návrh

 

Článek 80a

 

Přístup k dokumentům

 

1. Osobní údaje v dokumentech, které jsou v držení orgánu veřejné moci či veřejnoprávního subjektu, může tento orgán či subjekt zpřístupnit v souladu s právními předpisy Unie či členského státu upravujícími přístup veřejnosti k úředním dokumentům, což uvádí do souladu právo na ochranu osobních údajů a zásadu přístupu veřejnosti k úředním dokumentům.

 

2. Každý členský stát oznámí Komisi nejpozději do data uvedeného v čl. 91 odst. 2 právní ustanovení, která přijme podle odstavce 1, a bez zbytečného odkladu jakékoliv následné změny, jež se těchto ustanovení dotknou.

Pozměňovací návrh   191

Návrh nařízení

Článek 81

Znění navržené Komisí

Pozměňovací návrh

Zpracovávání osobních údajů o zdravotním stavu

Zpracovávání osobních údajů o zdravotním stavu

1. V mezích tohoto nařízení a v souladu s čl. 9 odst. 2 písm. h) se musí zpracovávání osobních údajů o zdravotním stavu zakládat na právu Unie nebo právu členského státu, které stanoví zvláštní a vhodná opatření k ochraně oprávněných zájmů subjektu údajů, a musí být zapotřebí:

1. V souladu s pravidly stanovenými tímto nařízením, zejména čl. 9 odst. 2 písm. h), se musí zpracovávání osobních údajů o zdravotním stavu zakládat na právu Unie nebo právu členského státu, které stanoví zvláštní, jednotná a vhodná opatření k ochraně zájmů a základních práv subjektu údajů, jsou-li zapotřebí a přiměřená a subjekt údajů může předvídat jejich účinky:

a) pro účely preventivní či pracovní medicíny, lékařské diagnostiky, pro účely poskytování zdravotní péče či léčby nebo pro účely řízení zdravotnických služeb, přičemž údaje musí zpracovávat zdravotník vázaný profesním tajemstvím nebo jiná osoba, na kterou se podle práva členského státu nebo podle pravidel stanovených příslušnými vnitrostátními orgány vztahuje rovnocenná povinnost mlčenlivosti, nebo

a) pro účely preventivní či pracovní medicíny, lékařské diagnostiky, pro účely poskytování zdravotní péče či léčby nebo pro účely řízení zdravotnických služeb, přičemž údaje musí zpracovávat zdravotník vázaný profesním tajemstvím nebo jiná osoba, na kterou se podle práva členského státu nebo podle pravidel stanovených příslušnými vnitrostátními orgány vztahuje rovnocenná povinnost mlčenlivosti, nebo

b) z důvodů veřejného zájmu v oblasti veřejného zdraví, například z důvodu ochrany před přeshraničními zdravotními hrozbami závažného charakteru nebo za účelem zajištění přísných norem pro kvalitu a bezpečnost, mimo jiné u léčivých přípravků nebo lékařských přístrojů, nebo

b) z důvodů veřejného zájmu v oblasti veřejného zdraví, například z důvodu ochrany před přeshraničními zdravotními hrozbami závažného charakteru nebo za účelem zajištění přísných norem pro kvalitu a bezpečnost, mimo jiné u léčivých přípravků nebo lékařských přístrojů, a jsou-li údaje zpracovávány osobou, která je vázána povinností mlčenlivosti, nebo

c) z jiných důvodů veřejného zájmu v oblastech, jako je sociální ochrana, zejména v zájmu zajištění kvality a hospodárnosti v postupech používaných pro vyřizování nároků na plnění a služby v systému zdravotního pojištění.

c) z jiných důvodů veřejného zájmu v oblastech, jako je sociální ochrana, zejména v zájmu zajištění kvality a hospodárnosti v postupech používaných pro vyřizování nároků na plnění a služby v systému zdravotního pojištění a poskytování zdravotnických služeb. Toto zpracování osobních údajů o zdravotním stavu z důvodu veřejného zájmu nesmí vést ke zpracování údajů k jiným důvodům, nedal-li k tomu subjekt údajů svůj souhlas nebo nezakládá-li se na právních předpisech Unie či členského státu.

 

1a. Není-li ke splnění účelů uvedených v odst. 1 písm. a) až c) nutné používat osobní údaje, nesmí být tyto údaje pro dané účely používány, nedal-li k tomu subjekt údajů svůj souhlas nebo nezakládá-li se tento krok na právních předpisech členského státu.

 

1b. Je-li vyžadován souhlas subjektu se zpracováním zdravotních údajů výhradně pro účely vědeckého výzkumu v oblasti veřejného zdraví, může být souhlas udělen pro jeden nebo více konkrétních a podobných výzkumů. Subjekt údajů však může svůj souhlas kdykoli odvolat.

 

1c. Pro účely poskytnutí souhlasu s účastí na vědeckém výzkumu v rámci klinického hodnocení se použijí příslušná ustanovení směrnice Evropského parlamentu a Rady 2001/20/ES1.

2. Na zpracovávání osobních údajů o zdravotním stavu, jež je zapotřebí pro účely historiografického, statistického či vědeckého výzkumu, například v souvislosti se zřizováním rejstříků pacientů za účelem zlepšování diagnostiky a rozlišování mezi podobnými typy nemocí a za účelem přípravy terapeutických studií, se vztahují podmínky a záruky uvedené v článku 83.

2. Zpracovávání osobních údajů o zdravotním stavu, jež je zapotřebí pro účely historiografického, statistického či vědeckého výzkumu, je povoleno pouze se souhlasem subjektu údajů a vztahují se na ně podmínky a záruky uvedené v článku 83.

 

2a. Členské státy mohou ve svých právních předpisech stanovit výjimky z požadavku na souhlas subjektu údajů se zpracováním pro účely výzkumu podle odstavce 2, pokud se jedná o výzkum, jenž je z hlediska veřejného zájmu významný, a pokud jej nelze provést jiným způsobem. Dotčené údaje musí být anonymizovány nebo, pokud to pro účely výzkumu není možné, pseudonymizovány podle nejpřísnějších technických norem a musí být přijata veškerá nezbytná opatření, aby se zabránilo neoprávněné opětovné identifikaci subjektů údajů. V souladu s článkem 19 však má subjekt údajů právo vznést kdykoli námitku.

3. Komise je zmocněna přijímat akty v přenesené pravomoci v souladu s článkem 86 za účelem bližšího určení jiných důvodů veřejného zájmu v oblasti veřejného zdraví, jak je uvedeno v odst. 1 písm. b), jakož i kritérií a požadavků, pokud jde o záruky pro zpracovávání osobních údajů za účely uvedenými v odstavci 1.

3. Komise je poté, co požádá o stanovisko Evropské rady pro ochranu údajů, zmocněna přijímat akty v přenesené pravomoci v souladu s článkem 86 za účelem bližšího určení veřejného zájmu v oblasti veřejného zdraví, jak je uvedeno v odst. 1 písm. b), a významného veřejného zájmu v oblasti výzkumu, jak je uvedeno v odstavci 2a.

 

3a. Každý členský stát oznámí Komisi nejpozději do data uvedeného v čl. 91 odst. 2 právní ustanovení, která přijme podle odstavce 1, a bez zbytečného odkladu jakékoliv následné změny, jež se těchto ustanovení dotknou.

 

1 Směrnice Evropského parlamentu a Rady 2001/20/ES ze dne 4. dubna 2001 o sbližování právních a správních předpisů členských států týkajících se uplatňování správné klinické praxe při provádění klinických hodnocení humánních léčivých přípravků (Úř. věst. L 121, 1.5.2001, s. 34).

Pozměňovací návrh   192

Návrh nařízení

Článek 82

Znění navržené Komisí

Pozměňovací návrh

Zpracovávání v souvislosti se zaměstnáním

Minimální normy pro zpracovávání údajů v souvislosti se zaměstnáním

1. V mezích tohoto nařízení mohou členské státy právním předpisem přijmout zvláštní pravidla, která upraví zpracovávání osobních údajů zaměstnanců v souvislosti se zaměstnáním, zejména za účelem náboru, plnění pracovní smlouvy včetně plnění povinností stanovených zákonem nebo kolektivní smlouvou; řízení, plánování a organizace práce, zdraví a bezpečnosti na pracovišti, dále za účelem individuálního a kolektivního výkonu a požívání práv a výhod spojených se zaměstnáním a za účelem ukončení zaměstnaneckého poměru.

1. V souladu s pravidly stanovenými tímto nařízením a s ohledem na zásadu proporcionality mohou členské státy právními předpisy přijmout zvláštní pravidla, která upraví zpracovávání osobních údajů zaměstnanců v souvislosti se zaměstnáním, zejména, nikoliv však výlučně, za účelem náboru a žádostí o zaměstnání v rámci skupiny podniků, plnění pracovní smlouvy, včetně plnění povinností stanovených zákonem a kolektivní smlouvou v souladu s vnitrostátními právními předpisy a zvyklostmi, řízení, plánování a organizace práce, zdraví a bezpečnosti na pracovišti, dále za účelem individuálního a kolektivního výkonu a požívání práv a výhod spojených se zaměstnáním a za účelem ukončení zaměstnaneckého poměru. Členské státy mohou umožnit, aby v kolektivních smlouvách byla blíže určena ustanovení podle tohoto článku.

 

1a. Účel zpracování takových údajů musí mít souvislost s důvodem, pro nějž byly shromážděny, a musí mít i nadále souvislost se zaměstnáním. Profilování nebo používání pro druhotné účely není dovoleno.

 

1b. Vyjádření souhlasu zaměstnancem nepředstavuje právní základ pro zpracování údajů zaměstnavatelem, nebyl-li tento souhlas dán svobodně.

 

1c. Aniž jsou dotčena ostatní ustanovení tohoto nařízení, obsahují právní předpisy členských států uvedené v odstavci 1 přinejmenším následující minimální normy:

 

 

a) Zpracovávání údajů o zaměstnancích bez jejich vědomí je nepřípustné. Odchylně od první věty mohou členské státy ze zákona takové zpracovávání údajů povolit, jestliže dokumentované skutečnosti potvrzují důvodné podezření, že se zaměstnanec v průběhu pracovního poměru dopustil trestného činu nebo jiného závažného porušení povinností, k jehož objasnění je nutné zahájit sběr údajů vedený takovým způsobem a v takovém rozsahu, které jsou nezbytné a přiměřené účelu. Členské státy musí pro tyto účely stanovit přiměřené lhůty na výmaz údajů. Za všech okolností je třeba respektovat soukromí a intimitu zaměstnanců. Vyšetřování vedou příslušné orgány.

 

b) Otevřené elektronické sledování s optickými a akustickými indikátory veřejně nepřístupných částí podniků, jež zaměstnancům slouží převážně k soukromým účelům, jako jsou zejména sanitární prostory, šatny a prostory určené k odpočinku a spánku, je nepřípustné. V každém případě je zakázáno tajné sledování.

 

c) Pokud podniky nebo orgány sbírají a zpracovávají v rámci zdravotních vyšetření nebo kontrol způsobilosti osobní údaje, musí uchazeči nebo zaměstnanci předem objasnit, pro jaké účely budou tyto údaje použity, a zajistit, aby jim aby tyto údaje posléze spolu s výsledky sděleny a na požádání vysvětleny. Získávání údajů pro účely genetického testování a analýz je ze zásady zakázáno.

 

d) Kolektivní smlouvy mohou stanovit, zda a v jakém rozsahu lze využívat telefon, e-mail, internet a jiné telekomunikační služby i k soukromým účelům. Pokud to kolektivní smlouva blíže neupravuje, zaměstnavatel se dohodne přímo se zaměstnancem. Je-li soukromé používání těchto služeb povoleno, je zpracovávání souvisejících provozních údajů povoleno zejména k zajištění bezpečnosti údajů, řádného fungování telekomunikačních sítí a služeb a k fakturaci.

 

Odchylně od třetí věty mohou členské státy ze zákona takové zpracovávání údajů povolit, jestliže dokumentované skutečnosti potvrzují důvodné podezření, že se zaměstnanec v průběhu pracovního poměru dopustil trestného činu nebo jiného závažného porušení povinností, k jehož objasnění je nutné zahájit sběr údajů vedený takovým způsobem a v takovém rozsahu, které jsou nezbytné a přiměřené účelu. Členské státy musí pro tyto účely stanovit přiměřené lhůty na výmaz údajů. Za všech okolností je třeba respektovat soukromí a intimitu zaměstnanců. Vyšetřování vedou příslušné orgány.

 

e) Osobní údaje zaměstnanců, především citlivé údaje, jako je politická orientace či příslušnost k odborům nebo činnost v nich, nesmějí být v žádném případě použity k zařazování zaměstnanců na tzv. „černé listiny“, k jejich prověřování nebo k zabránění jejich přijetí do budoucího zaměstnání. Zpracovávání osobních údajů, jejich používání v souvislosti se zaměstnáním, sestavování a předávání černých listin zaměstnanců a veškeré další formy diskriminace jsou zakázány. Členské státy provádějí kontroly a ukládají odpovídající postihy v souladu s čl. 79 odst. 6 s cílem zajistit účinné provádění tohoto písmene.

 

1d. Předávání a zpracovávání osobních údajů zaměstnanců mezi podniky se samostatnou právní subjektivitou v rámci skupiny podniků a s odborníky v právní a daňové oblasti je přípustné, pokud se týká provozu podniku a provádění účelově vázaných pracovních či správních postupů a pokud není v rozporu se zájmy a základními právy subjektu údajů, které si žádají ochranu. Jsou-li údaje zaměstnanců předávány do třetí země nebo mezinárodní organizaci, uplatní se postup podle kapitoly V.

2. Každý členský stát oznámí Komisi nejpozději do data uvedeného v čl. 91 odst. 2 právní ustanovení, která přijme podle odstavce 1, a bez zbytečného odkladu jakékoliv následné změny, jež se těchto ustanovení dotknou.

2. Každý členský stát oznámí Komisi nejpozději do data uvedeného v čl. 91 odst. 2 právní ustanovení, která přijme podle odstavců 1 a 1b, a bez zbytečného odkladu jakékoliv následné změny, jež se těchto ustanovení dotknou.

3. Komise je zmocněna přijímat akty v přenesené pravomoci v souladu s článkem 86 za účelem dalšího vymezení kritérií a požadavků, pokud jde o záruky pro zpracovávání osobních údajů za účely uvedenými v odstavci 1.

3. Komise je poté, co požádá o stanovisko Evropské rady pro ochranu údajů, zmocněna přijímat akty v přenesené pravomoci v souladu s článkem 86 za účelem dalšího vymezení kritérií a požadavků, pokud jde o záruky pro zpracovávání osobních údajů za účely uvedenými v odstavci 1.

Pozměňovací návrh   193

Návrh nařízení

Článek 82 a (nový)

Znění navržené Komisí

Pozměňovací návrh

 

Článek 82a

 

Zpracovávání osobních údajů v oblasti sociálního zabezpečení

 

1. Členské státy mohou v souladu s pravidly stanovenými tímto nařízením přijmout zvláštní právní předpisy, v nichž upřesní podmínky zpracovávání osobních údajů, jež v oblasti sociálního zabezpečení provádějí veřejné instituce a orgány veřejné správy daného členského státu, pokud je zpracování prováděno ve veřejném zájmu.

 

2. Každý členský stát oznámí Komisi nejpozději do data uvedeného v čl. 91 odst. 2 ustanovení, která přijme podle odstavce 1, a bez zbytečného odkladu jakékoliv následné změny, jež se těchto ustanovení dotknou.

Pozměňovací návrh   194

Návrh nařízení

Článek 83

Znění navržené Komisí

Pozměňovací návrh

Zpracovávání údajů pro účely historiografického, statistického a vědeckého výzkumu

Zpracovávání údajů pro účely historiografického, statistického a vědeckého výzkumu

1. Osobní údaje se mohou v mezích tohoto nařízení zpracovávat pro účely historiografického, statistického a vědeckého výzkumu pouze:

1. V souladu s pravidly stanovenými tímto nařízením se osobní údaje mohou zpracovávat pro účely historiografického, statistického a vědeckého výzkumu pouze:

a) pokud tyto účely nelze splnit jinak zpracováváním údajů, které identifikaci subjektu údajů neumožňují nebo které ji umožňovat přestaly;

a) pokud tyto účely nelze splnit jinak zpracováváním údajů, které identifikaci subjektu údajů neumožňují nebo které ji umožňovat přestaly;

b) pokud se údaje, na základě nichž je možné přiřadit informace k identifikovanému nebo identifikovatelnému subjektu údajů, uchovávají odděleně od ostatních informací, jestliže lze tímto způsobem splnit sledované účely.

b) pokud se údaje, na základě nichž je možné přiřadit informace k identifikovanému nebo identifikovatelnému subjektu údajů, uchovávají odděleně od ostatních informací podle nejpřísnějších technických norem a jsou přijata veškerá nezbytná opatření, aby se zabránilo neoprávněné opětovné identifikaci subjektů údajů.

2. Subjekty provádějící historiografický, statistický nebo vědecký výzkum smí osobní údaje zveřejnit nebo jiným způsobem veřejně odtajnit pouze:

 

a) pokud subjekt údajů udělí souhlas za podmínek stanovených článkem 7;

 

b) pokud je zveřejnění osobních údajů nutné k předložení výsledků výzkumu nebo k usnadnění výzkumu a nad těmito zájmy nepřeváží zájmy nebo základní práva či svobody subjektů údajů nebo

 

c) pokud údaje zveřejnil subjekt údajů.

 

3. Komise je zmocněna přijímat akty v přenesené pravomoci v souladu s článkem 86 za účelem dalšího vymezení kritérií a požadavků, pokud jde o zpracovávání osobních údajů pro účely uvedené v odstavcích 1 a 2, jakož i veškerých potřebných omezení práv subjektu údajů na informace a zpřístupnění a upřesnění podmínek a záruk pro práva subjektu údajů za těchto okolností.

 

Pozměňovací návrh   195

Návrh nařízení

Článek 83 a (nový)

Znění navržené Komisí

Pozměňovací návrh

 

Článek 83a

 

Zpracovávání osobních údajů archivními službami

 

1. Jakmile je původní zpracování, pro jehož účely byly osobní údaje shromážděny, dokončeno, mohou být tyto údaje zpracovány archivními službami, jejichž hlavním nebo povinným úkolem je shromažďovat, uchovávat, využívat a šířit archiválie a poskytovat o nich informace ve veřejném zájmu, zejména s cílem podložit důkazy práva jednotlivců nebo pro účely historiografického, statistického nebo vědeckého výzkumu. Tyto úkoly jsou prováděny v souladu s předpisy týkajícími se přístupu ke správním nebo archivním dokumentům a jejich zveřejňování a šíření, které stanoví členské státy, a v souladu s pravidly stanovenými tímto nařízením, obzvláště v souvislosti se souhlasem a právem vznést námitku.

 

2. Každý členský stát oznámí Komisi nejpozději do data uvedeného v čl. 91 odst. 2 právní ustanovení, která přijme podle odstavce 1, a bez zbytečného odkladu jakékoliv následné změny, jež se těchto ustanovení dotknou.

Pozměňovací návrh   196

Návrh nařízení

Čl. 84 – odst. 1

Znění navržené Komisí

Pozměňovací návrh

1. Je-li to nutné a přiměřené pro soulad práva na ochranu osobních údajů s povinností mlčenlivosti, členské státy mohou v mezích tohoto nařízení přijmout zvláštní pravidla, kterými určí vyšetřovací pravomoci orgánů dozoru uvedené v čl. 53 odst. 2 ve vztahu ke správcům nebo zpracovatelům, již podle vnitrostátního práva nebo pravidel stanovených příslušnými vnitrostátními orgány podléhají povinnosti zachovávat profesní tajemství nebo jiným rovnocenným povinnostem mlčenlivosti. Tato pravidla platí pouze ve vztahu k osobních údajům, které správce nebo zpracovatel obdržel nebo získal při činnosti podléhající povinnosti mlčenlivosti.

1. V souladu s pravidly stanovenými tímto nařízením zajistí členské státy, aby byla zavedena zvláštní pravidla, kterými stanoví pravomoci orgánů dozoru uvedené v článku 53 ve vztahu ke správcům nebo zpracovatelům, již podle vnitrostátního práva nebo pravidel stanovených příslušnými vnitrostátními orgány podléhají povinnosti zachovávat profesní tajemství nebo jiným rovnocenným povinnostem mlčenlivosti. Tato pravidla platí pouze ve vztahu k osobních údajům, které správce nebo zpracovatel obdržel nebo získal při činnosti podléhající povinnosti mlčenlivosti.

Pozměňovací návrh   197

Návrh nařízení

Článek 85

Znění navržené Komisí

Pozměňovací návrh

Zavedená pravidla pro ochranu údajů uplatňovaná církvemi a náboženskými sdruženími

Zavedená pravidla pro ochranu údajů uplatňovaná církvemi a náboženskými sdruženími

1. Jestliže církve a náboženská sdružení či spolky v některém členském státě v době vstupu tohoto nařízení v platnost uplatňují komplexní pravidla týkající se ochrany jednotlivců v souvislosti se zpracováváním osobních údajů, tato pravidla mohou nadále platit za předpokladu, že se uvedou do souladu s ustanoveními tohoto nařízení.

1. Jestliže církve a náboženská sdružení či spolky v některém členském státě v době vstupu tohoto nařízení v platnost uplatňují přiměřená pravidla týkající se ochrany jednotlivců v souvislosti se zpracováváním osobních údajů, tato pravidla mohou nadále platit za předpokladu, že se uvedou do souladu s ustanoveními tohoto nařízení.

2. Církve a náboženská sdružení, jež uplatňují komplexní pravidla v souladu s odstavcem 1, zajistí zřízení nezávislého orgánu dozoru v souladu s kapitolou VI tohoto nařízení.

2. Církve a náboženská sdružení, jež uplatňují přiměřená pravidla v souladu s odstavcem 1, obdrží stanovisko k souladu podle článku 38.

Pozměňovací návrh   198

Návrh nařízení

Článek 85 a (nový)

Znění navržené Komisí

Pozměňovací návrh

 

Článek 85a

 

Dodržování základních práv

 

Tímto nařízením není dotčena povinnost dodržovat základní práva a obecné právní zásady zakotvené v článku 6 Smlouvy o Evropské unii.

Pozměňovací návrh   199

Návrh nařízení

Článek 85 b (nový)

Znění navržené Komisí

Pozměňovací návrh

 

Článek 85b

 

Standardní formuláře

 

1. Komise může s přihlédnutím ke konkrétní povaze a k potřebám různých odvětví a situacím při zpracovávání údajů stanovit standardní formuláře pro:

 

a) specifické metody získávání ověřitelného souhlasu uvedeného v čl. 8 odst. 1,

 

b) informace uvedené v čl. 12 odst. 2, včetně elektronického formátu,

 

c) poskytnutí informací uvedených v čl. 14 odst. 1 až 3,

 

d) podávání žádostí o přístup k informacím uvedeným v čl. 15 odst. 1 a pro jeho udělení, včetně sdělování osobních údajů subjektu údajů,

 

e) dokumentaci uvedenou v čl. 28 odst. 1,

 

f) ohlašování případů narušení bezpečnosti osobních údajů podle článku 31 orgánu dozoru a dokumentaci uvedenou v čl. 31 odst. 4,

 

g) předchozí povolení uvedené v článku 34 a pro poskytování informací orgánu dozoru podle čl. 34 odst. 6.

 

2. Komise přitom přijme vhodná opatření pro mikropodniky a malé a střední podniky.

 

3. Tyto prováděcí akty se přijímají v souladu s přezkumným postupem podle čl. 87 odst. 2.

Pozměňovací návrh   200

Návrh nařízení

Čl. 86 – odst. 2

Znění navržené Komisí

Pozměňovací návrh

2. Pravomoc přijímat akty v přenesené pravomoci uvedená v čl. 6 odst. 5, čl. 8 odst. 3, čl. 9 odst. 3, čl. 12 odst. 5, čl. 14 odst. 7, čl. 15 odst. 3, čl. 17 odst. 9, čl. 20 odst. 6, čl. 22 odst. 4, čl. 23 odst. 3, čl. 26 odst. 5, čl. 28 odst. 5, čl. 30 odst. 3, čl. 31 odst. 5, čl. 32 odst. 5, čl. 33 odst. 6, čl. 34 odst. 8, čl. 35 odst. 11, čl. 37 odst. 2, čl. 39 odst. 2, čl. 43 odst. 3, čl. 44 odst. 7, čl. 79 odst. 6, čl. 81 odst. 3, čl. 82 odst. 3 a čl. 83 odst. 3 je svěřena Komisi na dobu neurčitou počínaje datem vstupu tohoto nařízení v platnost.

2. Pravomoc přijímat akty v přenesené pravomoci uvedená v čl. 13a odst. 5, čl. 17 odst. 9, čl. 38 odst. 4, čl. 39 odst. 2, čl. 41 odst. 3 a 5, čl. 43 odst. 3, čl. 79 odst. 7, čl. 81. odst. 3 a čl. 82 odst. 3 je svěřena Komisi na dobu neurčitou počínaje datem vstupu tohoto nařízení v platnost.

Pozměňovací návrh   201

Návrh nařízení

Čl. 86 – odst. 3

Znění navržené Komisí

Pozměňovací návrh

3. Evropský parlament nebo Rada mohou přenesení pravomocí uvedené v čl. 6 odst. 5, čl. 8 odst. 3, čl. 9 odst. 3, čl. 12 odst. 5, čl. 14 odst. 7, čl. 15 odst. 3, čl. 17 odst. 9, čl. 20 odst. 5, čl. 22 odst. 4, čl. 23 odst. 3, čl. 26 odst. 5, čl. 28 odst. 5, čl. 30 odst. 3, čl. 31 odst. 5, čl. 32 odst. 5, čl. 33 odst. 7, čl. 34 odst. 8, čl. 35 odst. 11, čl. 37 odst. 2, čl. 39 odst. 2, čl. 43 odst. 3, čl. 44 odst. 7, čl. 79 odst. 6, čl. 81 odst. 3, čl. 82 odst. 3 a čl. 83 odst. 3 kdykoli zrušit. Rozhodnutím o zrušení se ukončuje přenesení pravomocí v něm blíže určených. Rozhodnutí nabývá účinku prvním dnem po vyhlášení v Úředním věstníku Evropské unie, nebo k pozdějšímu dni, který je v něm upřesněn. Nedotýká se platnosti již platných aktů v přenesené pravomoci.

3. Evropský parlament nebo Rada mohou přenesení pravomocí uvedené v čl. 13a odst. 5, čl. 17 odst. 9, čl. 38 odst. 4, čl. 39 odst. 2, čl. 41 odst. 3 a 5, čl. 43 odst. 3, čl. 79 odst. 7, čl. 81 odst. 3 a čl. 82 odst. 3 kdykoli zrušit. Rozhodnutím o zrušení se ukončuje přenesení pravomoci v něm blíže určené. Rozhodnutí nabývá účinku prvním dnem po vyhlášení v Úředním věstníku Evropské unie, nebo k pozdějšímu dni, který je v něm upřesněn. Nedotýká se platnosti již platných aktů v přenesené pravomoci.

Pozměňovací návrh   202

Návrh nařízení

Čl. 86 – odst. 5

Znění navržené Komisí

Pozměňovací návrh

5. Akt v přenesené pravomoci přijatý podle článku čl. 6 odst. 5, čl. 8 odst. 3, čl. 9 odst. 3, čl. 12 odst. 5, čl. 14 odst. 7, čl. 15 odst. 3, čl. 17 odst. 9, čl. 20 odst. 6, čl. 22 odst. 4, čl. 23 odst. 3, čl. 26 odst. 5, čl. 28 odst. 5, čl. 30 odst. 3, čl. 31 odst. 5, čl. 32 odst. 5, čl. 33 odst. 6, čl. 34 odst. 8, čl. 35 odst. 11, čl. 37 odst. 2, čl. 39 odst. 2, čl. 43 odst. 3, čl. 44 odst. 7, čl. 79 odst. 6, čl. 81 odst. 3, čl. 82 odst. 3 a čl. 83 odst. 3 vstoupí v platnost, pouze pokud proti němu Evropský parlament nebo Rada nevysloví námitky ve lhůtě dvou měsíců ode dne, kdy jim byl tento akt oznámen, nebo pokud Evropský parlament i Rada před uplynutím této lhůty informují Komisi o tom, že námitky nevysloví. Z podnětu Evropského parlamentu nebo Rady se tato lhůta prodlouží o dva měsíce.

5. Akt v přenesené pravomoci přijatý podle čl. 13a odst. 5, čl. 17 odst. 9, čl. 38 odst. 4, čl. 39 odst. 2, čl. 41 odst. 3 a 5, čl. 43 odst. 3, čl. 79 odst. 7, čl. 81 odst. 3 a čl. 82 odst. 3 vstoupí v platnost, pouze pokud proti němu Evropský parlament nebo Rada nevysloví námitky ve lhůtě šesti měsíců ode dne, kdy jim byl tento akt oznámen, nebo pokud Evropská parlament i Rada před uplynutím této lhůty informují Komisi o tom, že námitky nevysloví. Z podnětu Evropského parlamentu nebo Rady se tato lhůta prodlouží o šest měsíců.

Pozměňovací návrh   203

Návrh nařízení

Čl. 87 – odst. 3

Znění navržené Komisí

Pozměňovací návrh

3. Odkazuje-li se na tento odstavec, použije se článek 8 nařízení (EU) č. 182/2011 ve spojení s článkem 5 uvedeného nařízení.

vypouští se

Pozměňovací návrh   204

Návrh nařízení

Čl. 89 – odst. 2

Znění navržené Komisí

Pozměňovací návrh

2. Ustanovení čl. 1 odst. 2 směrnice 2002/58/ES se ruší.

2. Ustanovení čl. 1 odst. 2 a článků 4 a 15 směrnice 2002/58/ES se ruší.

Pozměňovací návrh   205

Návrh nařízení

Čl. 89 – odst. 2 a (nový)

Znění navržené Komisí

Pozměňovací návrh

 

2a. Komise předloží nejpozději k datu uvedenému v čl. 91 odst. 2 a bez zbytečného odkladu návrh na přezkum právního rámce pro zpracovávání osobních údajů a ochranu soukromí při elektronické komunikaci s cílem uvést právní předpisy do souladu s tímto nařízením a zajistit stálá a jednotná právní ustanovení týkající se základního práva na ochranu osobních údajů v Evropské unii.

Pozměňovací návrh   206

Návrh nařízení

Článek 89 a (nový)

Znění navržené Komisí

Pozměňovací návrh

 

Článek 89a

 

Vztah k nařízení (ES) č. 45/2001 a jeho změna

 

1. Pravidla uvedená v tomto nařízení se vztahují na zpracovávání osobních údajů prováděné orgány, institucemi a jinými subjekty Unie v souvislosti se záležitostmi, v nichž nepodléhají doplňkovým pravidlům uvedeným v nařízení (ES) č. 42/2001.

 

2. Komise předloží nejpozději do data uvedeného v čl. 91 odst. 2 a bez zbytečného odkladu návrh na přezkum právního rámce pro zpracování osobních údajů prováděné orgány, institucemi a jinými subjekty Unie.

Příloha 1 – Prezentace podrobností uvedených v článku 13a (novém)

1) S ohledem na proporce uvedené v bodě 6 se uvádí tyto podrobnosti:

2) Následující slova uvedená v řádcích ve druhém sloupci tabulky v bodě 1 nazvaném „ZÁKLADNÍ INFORMACE“ jsou formátována tučně:

a) slovo „neshromažďují“ v prvním řádku druhého sloupce;

b) slovo „neuchovávají“ ve druhém řádku druhého sloupce;

c) slovo „nezpracovávají“ ve třetím řádku druhého sloupce;

d) slovo „šířeny“ ve čtvrtém řádku druhého sloupce;

e) slova „prodávány ani pronajímány“ v pátém řádku druhého sloupce;

f) slovo „nešifrované“ v šestém řádku druhého sloupce.

3) S ohledem na proporce uvedené v bodě 6 se řádky ve třetím sloupci tabulky v bodě 1 nazvaném „SPLNĚNO“ vyplní jedním ze dvou níže uvedených grafických symbolů v souladu s podmínkami uvedenými v bodě 4:

a)

b)

4)

a) Pokud se neshromažďují žádné osobní údaje nad rámec minima nezbytného k danému konkrétnímu účelu zpracování, obsahuje první řádek třetího sloupce tabulky v bodě 1 grafický symbol uvedený v bodě 3a.

b) Pokud se shromažďují osobní údaje nad rámec minima nezbytného k danému konkrétnímu účelu zpracování, obsahuje první řádek třetího sloupce tabulky v bodě 1 grafický symbol uvedený v bodě 3b.

c) Pokud se neuchovávají žádné osobní údaje nad rámec minima nezbytného k danému konkrétnímu účelu zpracování, obsahuje druhý řádek třetího sloupce tabulky v bodě 1 grafický symbol uvedený v bodě 3a.

d) Pokud se uchovávají osobní údaje nad rámec minima nezbytného k danému konkrétnímu účelu zpracování, obsahuje druhý řádek třetího sloupce tabulky v bodě 1 grafický symbol uvedený v bodě 3b.

e) Pokud se žádné osobní údaje nezpracovávají k jiným účelům, než jsou ty, k nimž byly shromážděny, obsahuje třetí řádek třetího sloupce tabulky v bodě 1 grafický symbol uvedený v bodě 3a.

f) Pokud se osobní údaje zpracovávají k jiným účelům, než jsou ty, k nimž byly shromážděny, obsahuje třetí řádek třetího sloupce tabulky v bodě 1 grafický symbol uvedený v bodě 3b.

g) Pokud nejsou žádné osobní údaje šířeny komerčním třetím stranám, obsahuje čtvrtý řádek třetího sloupce tabulky v bodě 1 grafický symbol uvedený v bodě 3a.

h) Pokud jsou osobní údaje šířeny komerčním třetím stranám, obsahuje čtvrtý řádek třetího sloupce tabulky v bodě 1 grafický symbol uvedený v bodě 3b.

i) Pokud nejsou žádné osobní údaje prodávány ani pronajímány, obsahuje pátý řádek třetího sloupce tabulky v bodě 1 grafický symbol uvedený v bodě 3a.

j) Pokud jsou osobní údaje prodávány nebo pronajímány, obsahuje pátý řádek třetího sloupce tabulky v bodě 1 grafický symbol uvedený v bodě 3b.

k) Pokud nejsou žádné osobní údaje uchovávány v nešifrované podobě, obsahuje šestý řádek třetího sloupce tabulky v bodě 1 grafický symbol uvedený v bodě 3a.

l) Pokud jsou osobní údaje uchovávány v nešifrované podobě, obsahuje šestý řádek třetího sloupce tabulky v bodě 1 grafický symbol uvedený v bodě 3b.

5) Referenční barvy grafických symbolů uvedených v bodě 1 v barevné řadě Pantone jsou černá Pantone č. 7547 a červená Pantone č. 485. Referenční barva grafického symbolu uvedeného v bodě 3a v barevné řadě Pantone je zelená Pantone č. 370. Referenční barva grafického symbolu uvedeného v bodě 3b v barevné řadě Pantone je červená Pantone č. 485.

6) Proporce dané mřížkou na níže uvedeném obrázku musí být respektovány, i když je tabulka zmenšena nebo zvětšena:

(1)

Úř. věst. C 229, 31.7.2012, s. 90.


VYSVĚTLUJÍCÍ PROHLÁŠENÍ

Úvod

V souladu s článkem 8 Listiny základních práv EU, pokud jde o ochranu osobních údajů:

1.        Každý má právo na ochranu osobních údajů, které se ho týkají.

2.        Tyto údaje musí být zpracovány korektně, k přesně stanoveným účelům a na základě souhlasu dotčené osoby nebo na základě jiného oprávněného důvodu stanoveného zákonem. Každý má právo na přístup k údajům, které o něm byly shromážděny, a má právo na jejich opravu.

3.        Na dodržování těchto pravidel dohlíží nezávislý orgán.

Od přijetí směrnice 95/46/ES o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů došlo v oblasti ochrany údajů k nemalým změnám, především k technologickému vývoji, nárůstu objemu shromažďovaných a zpracovávaných osobních údajů, i pro účely vymáhání práva, vznikla nejrůznější platná pravidla pro ochranu údajů a dochází také ke globalizaci trhů a spolupráce.

Vzhledem k tomu, že ustanovení této směrnice nebyla v členských státech prováděna jednotně, nedošlo v této oblasti k náležité harmonizaci pravidel. Pro fyzické osoby („subjekty údajů“) je tak stále obtížnější uplatňovat své právo na ochranu osobních údajů.

Brání to také rozvoji jednotného trhu, neboť se společnosti (jež spravují nebo zpracovávají osobní údaje, „správci údajů“) a fyzické osoby potýkají s rozdílnými požadavky na ochranu údajů.

Po vstupu Lisabonské smlouvy v platnost disponuje Evropská unie výslovným právním základem pro ochranu údajů, jenž se vztahuje na zpracování osobních údajů ve veřejném i v soukromém sektoru, ale též v oblasti vymáhání práva (v důsledku odstranění „pilířové struktury“, jež existovala před přijetím Lisabonské smlouvy) (čl. 16 odst. 2 SFEU). Komise nyní využila čl. 16 odst. 2 SFEU jako právní základ pro předložení návrhů na přezkum rámce Unie pro ochranu údajů. Její návrh nařízení (COM(2012)0011) má nahradit směrnici 95/46/ES (zpravodaj: Jan Philipp Albrecht, Verts/ALE) a směrnice (COM(2012)0010) nahradí rámcové rozhodnutí 2008/977/SVV o ochraně osobních údajů zpracovávaných za účelem prevence, odhalování, vyšetřování či stíhání trestných činů (zpravodaj: Dimitrios Droutsas, S&D). Oba zpravodajové podporují vytvoření zcela soudržného, harmonického a pevného rámce, jenž zajistí vysokou úroveň ochrany jakéhokoli zpracování osobních údajů v EU(1). Aby bylo tohoto cíle dosaženo, musí být návrhy Komise považovány za jediný balíček opatření, jenž u obou textů vyžaduje koordinované legislativní přístupy.

O reformě ochrany údajů již obšírně diskutovali zpravodajové, stínoví zpravodajové, navrhovatelé a stínoví navrhovatelé příslušných výborů (ITRE, IMCO, JURI, EMPL), předsednictví Rady, Komise a zúčastněné strany (orgány pro ochranu údajů, vnitrostátní orgány, průmyslové společnosti, organizace zabývající se občanskými právy a organizace spotřebitelů), aby byla pro přístup Parlamentu zajištěna široká podpora.

Výbor LIBE uspořádal dne 29. května 2012 seminář pro zúčastněné strany. Uspořádal rovněž výroční meziparlamentní setkání výborů spolu s vnitrostátními parlamenty zaměřené na svobodu, bezpečnost a spravedlnost v souvislosti s balíčkem reformních opatření pro ochranu údajů, které se konalo ve dnech 9. a 10. října 2012. K tomuto balíčku byly vypracovány čtyři pracovní dokumenty.

Stanovisko k návrhu nařízení o ochraně údajů

Cíle návrhu Komise:

– komplexní přístup k ochraně údajů;

– posílení práv fyzických osob;

– další posílení dimenze vnitřního trhu a zajištění lepšího prosazování pravidel pro ochranu údajů; a

– posílení globálního rozměru.

Zpravodaj tyto cíle podporuje. Odpovídajícím způsobem představuje svůj přístup.

Komplexní přístup k ochraně údajů

Jak je uvedeno v pracovním dokumentu ze dne 6. července 2012(2), zpravodaj vítá skutečnost, že se Komise rozhodla nahradit směrnici 95/46/ES nařízením (které je přímo použitelné), neboť by se tak mohl sjednotit neucelený přístup členských států k ochraně údajů.

Rovněž souhlasí s pragmatickým přístupem Komise, jenž v souladu s tímto nařízením ponechává členským státům prostor, aby si mohly ponechat nebo přijímat zvláštní pravidla upravující např. svobodu projevu, profesní tajemství, zdraví a zaměstnání (články 81–85). Zejména zmiňuje práci Výboru pro zaměstnanost a sociální věci, který má předložit své stanovisko k článku 82(3).

Do oblasti působnosti nového nařízení nespadají orgány EU. Nařízení by se však mělo vztahovat i na ně, aby se zajistil soudržný a jednotný rámec platný v celé Unii. Bude však nutné přizpůsobit právní nástroje EU, zejména nařízení (ES) č. 45/2001 tak, aby byly zcela v souladu s obecným nařízením o ochraně údajů, dříve než bude uplatňováno. Zpravodaj se rovněž domnívá, že je nutné, aby diskuse probíhala více na horizontální úrovni na téma, jak řešit stávající změť pravidel pro ochranu údajů pro různé agentury EU (např. Europol a Eurojust) a zajistit soudržnost s balíčkem opatření pro ochranu údajů (čl. 2 písm. b), článek 89a).

Zpravodaj skutečně lituje, že se návrh Komise nevztahuje na spolupráci v oblasti vymáhání práva (k níž byla navržena samostatná směrnice). Nadále tak existuje právní nejistota v souvislosti s právy a povinnostmi ve sporných otázkách, např. jsou-li obchodní údaje zpřístupňovány donucovacím orgánům pro účely vymáhání práva a dochází-li k předávání údajů mezi orgány, jež nesou odpovědnost za vymáhání práva, a orgány, které za to odpovědné nejsou. Zpráva o návrhu směrnice se těmito otázkami zabývá a obsahuje pozměňovací návrhy. V nařízení je stanoveno, že z oblasti působnosti nařízení jsou vyňaty pouze příslušné orgány veřejné moci, jež vykonávají činnosti v oblasti vymáhání práva (nikoli soukromé subjekty), a že platné právní předpisy by měly stanovit přiměřené záruky vycházející ze zásad nezbytnosti a proporcionality (čl. 2 písm. e) a článek 21).

Pro jednotné uplatňování právních předpisů EU o ochraně údajů je důležitá územní působnost nařízení. Zpravodaj by rád vyjasnil, že nařízení by se mělo vztahovat i na správce, jež nejsou usazeni v Unii, pokud je cílem zpracování nabízet subjektům údajů v Unii zboží nebo služby, ať už jsou poskytovány za úhradu či nikoli, nebo tyto subjekty údajů sledovat (čl. 3 odst. 2).

Nařízení musí být komplexní, i pokud jde o zajištění právní jistoty. Nadměrně využívané akty v přenesené pravomoci a prováděcí akty jsou však s tímto cílem v rozporu. Zpravodaj proto navrhuje vypustit celou řadu ustanovení, jež Komisi svěřují pravomoc přijímat akty v přenesené pravomoci. Aby se nicméně pokud možno zajistila právní jistota, zpravodaj nahradil v textu nařízení některé akty podrobnějšími ustanoveními (např. čl. 6 odst. 1b, článek 15, čl. 35 odst. 10). Kromě jiného zpravodaj navrhuje, aby Evropská rada pro ochranu údajů byla v souvislosti s konkrétním ustanovením pověřena úkolem dále vymezit kritéria a požadavky, místo toho, aby byla Komisi svěřena pravomoc přijmout akt v přenesené pravomoci. V těchto případech se totiž jedná o spolupráci vnitrostátních orgánů dozoru, jež mohou nejlépe určit zásady a postupy, které je třeba uplatňovat (např. čl. 23 odst. 3, čl. 30 odst. 3, čl. 42 odst. 3, čl. 44 odst. 7, čl. 55 odst. 10).

Posílení práv fyzických osob

Vzhledem k tomu, že se nařízením provádí základní právo, zpravodaj nesouhlasí s omezením věcné působnosti, zejména pokud jde o vymezení „osobních údajů“, např. se zavedením subjektivních prvků v souvislosti s úsilím, které by správce údajů měl vyvíjet, aby osobní údaje identifikoval. Pojem osobní údaje je dále upřesněn pomocí objektivních kritérií (čl. 4 odst. 1, body odůvodnění 23 a 24). Oprávněnými obavami v souvislosti s konkrétními obchodními modely se však lze zabývat, aniž by fyzickým osobám byla upřena jejich základní práva. Zpravodaj v této souvislosti podporuje pseudonymní a anonymní využívání služeb. Používání pseudonymních údajů by tak bylo z hlediska povinnosti správce ulehčeno (čl. 4 odst. 2 písm. a), článek 10, bod odůvodnění 23).

Základním prvkem přístupu EU k ochraně údajů by měl být i nadále souhlas fyzických osob, neboť tak mohou nejlépe kontrolovat zpracovávání údajů. Informace by měly být subjektům údajů podávány srozumitelným způsobem, např. prostřednictvím standardizovaných log nebo ikon (čl. 11 odst. 2a a 2b). Technické normy, které vyjadřují jednoznačné požadavky subjektu údajů, lze považovat za právoplatnou formu poskytování výslovného souhlasu (čl. 7 odst. 2a, článek 23).

Aby se zajistil informovaný souhlas s profilováním, je třeba je definovat a upravit právním předpisem (čl. 4 odst. 3b, čl. 14 odst. 1 písm. g), ga) a gb), čl. 15 odst. 1 a článek 20). Je třeba jasně vymezit i jiné právní důvody pro zpracování než souhlas, především pak „oprávněné zájmy“ správce údajů (pozměňovací návrh, který čl. 6 odst. 1 písm. f) nahrazuje novým čl. 6 odst. 1a, 1b a 1c).

Hlavním prvkem ochrany údajů je omezení účelu, a to vzhledem k tomu, že chrání subjekty údajů před nepředvídatelným rozšířením zpracovávání údajů. Nemělo by být možné měnit účel osobních údajů po jejich shromáždění pouze na základě oprávněného zájmu správce údajů. Zpravodaj proto navrhuje čl. 6 odst. 4 namísto jeho rozšíření vypustit.

Zpravodaj souhlasí s posílením práva subjektu na přístup k údajům prostřednictvím práva na přenositelnost údajů, tedy možností převádět své údaje z jedné platformy do jiné. V digitálním věku mohou subjekty údajů i ve své úloze spotřebitelů oprávněně očekávat, že své osobní údaje obdrží v běžně používaném elektronickém formátu (čl. 15 odst. 2a). Navrhuje proto sloučit články 15 a 18.

Právo na výmaz a právo na opravu jsou pro subjekty údajů i nadále důležité, neboť se zpřístupňuje stále více informací, což může mít vážné důsledky. Podobně by mělo být vnímáno i „právo být zapomenut“. Cílem předložených pozměňovacích návrhů je vyjasnit tato práva v digitálním prostředí a zároveň zachovat obecnou výjimku v případě svobody projevu. Pokud jde o údaje předané třetím stranám nebo zveřejněné bez právního základu, měl by být prvotní správce údajů povinen sdělit tuto skutečnost dotčeným třetím stranám a zajistit výmaz příslušných údajů. Pokud však fyzická osoba souhlasila se zveřejněním svých údajů, není „právo být zapomenut“ zákonné ani reálné (článek 17, bod odůvodnění 54).

Právo vznést námitku vůči dalšímu zpracování údajů by mělo být za každých okolností bezplatné a mělo by být subjektu údajů výslovně nabídnuto srozumitelným způsobem, v jasném a běžném jazyce (čl. 19 odst. 2). Je nutné zajistit lepší možnosti účinné nápravy, a to i pro sdružení jednající ve veřejném zájmu (články 73, 76).

Další posílení dimenze vnitřního trhu a zajištění lepšího prosazování pravidel pro ochranu údajů

Zpravodaj vítá, že Komise navrhla přejít od oznamovacích povinností vůči orgánům pro ochranu údajů k praktické odpovědnosti a k podnikovým inspektorům ochrany údajů. Návrh nařízení lze zjednodušit sloučením práv na informace a požadavků na dokumentaci, neboť se v podstatě jedná o dvě strany jedné mince. Sníží se tak administrativní zátěž správců údajů a fyzické osoby snáze porozumí svým právům a budou je snáze uplatňovat (články 14, 28). V době cloud computingu by se prahová hodnota pro povinné jmenování inspektora ochrany údajů neměla odvíjet od velikosti podniku, ale spíše od významu zpracování údajů (kategorie osobních údajů, typ činnosti zpracovávání a počet osob, jejichž údaje jsou zpracovávány) (článek 35). Upřesňuje se, že inspektor ochrany údajů může svou funkci vykonávat na zkrácený pracovní úvazek, a to v závislosti na velikosti podniku a rozsahu zpracovávání údajů (bod odůvodnění 75).

Klíčovou inovací této reformy je ochrana údajů již od návrhu a standardní nastavení ochrany údajů. Zajistilo by se tak, aby byly skutečně zpracovávány pouze údaje, které jsou pro konkrétní účel nezbytné. Producenti a poskytovatelé služeb musí přijmout vhodná opatření. Evropská rada pro ochranu údajů by měla být pověřena vypracováním dalších pokynů (článek 23). Cílem pozměňovacích návrhů týkajících se posouzení dopadu na soukromí je přesněji vymezit případy, kdy by se toto posouzení mělo provádět (čl. 33 odst. 2), a skutečnosti, jež mají být posouzeny (čl. 33 odst. 3).

Zpravodaj navrhuje prodloužit lhůtu pro oznámení narušení bezpečnosti osobních údajů orgánu dozoru z 24 na 72 hodin. Aby se předcházelo zahlcení subjektů údajů oznámeními, mělo by být narušení oznamováno subjektu údajů pouze v případech, kdy je pravděpodobné, že bude mít nepříznivý dopad na ochranu osobních údajů nebo soukromí subjektu údajů, např. v případě krádeže nebo zneužití identity, fyzické újmy, významného ponížení nebo poškození pověsti. V oznámení se popíše povaha narušení bezpečnosti osobních údajů a uvedou se v něm informace o právech, včetně možností nápravy (články 31 a 32). Pokud jde o oznámení narušení bezpečnosti osobních údajů, posouzení dopadu, právo na výmaz a právo být zapomenut, zpravodaj navrhuje, aby Komise před uplatněním tohoto nařízení přijala akty v přenesené pravomoci a zajistila tak právní jistotu (čl. 86 odst. 5a).

Podporuje také kodexy chování, vydávání osvědčení a pečetí, je ale rovněž nutné motivovat k jejich zřizování a používání a jsou zapotřebí jasnější pravidla týkající se zásad, které musí být dodržovány, a důsledků v souvislosti se zákonným zpracováním údajů, povinnostmi a souvisejícími otázkami. Kodexy chování, o nichž Komise prohlásí, že jsou v souladu s tímto nařízením, musí subjektům údajů přiznávat vynutitelná práva. Mechanismy pro vydávání osvědčení a pečetí musí stanovit formální postup pro vydání a odnětí pečetě a musí zajistit dodržování zásad ochrany údajů a práv subjektu údajů (články 38 a 39).

Toto nařízení by mělo zajistit také sjednocený pracovní rámec pro veškeré orgány pro ochranu údajů. Aby tyto orgány, které musí být zcela nezávislé, fungovaly, je naprosto zásadní, aby měly k dispozici dostatečné zdroje pro účinné plnění svých úkolů (článek 47). Upevní se rovněž jejich spolupráce, a to v souvislosti s Evropskou radou pro ochranu údajů (jež nahradí stávající „pracovní skupinu podle článku 29“). Zpravodaj považuje plánovaný mechanismus spolupráce a jednotnosti určený pro vnitrostátní orgány pro ochranu údajů za velký krok směrem k jednotnému uplatňování právních předpisů o ochraně údajů v celé EU. Model, který Komise navrhla, však nezajišťuje potřebnou nezávislost těchto orgánů. Na základě posouzení různých možností zpravodaj navrhuje alternativní mechanismus jednotnosti, který nadále zahrnuje koncepci vedoucího orgánu pro ochranu údajů, ale je založen i na úzké spolupráci orgánů pro ochranu údajů, aby se zajistila jednotnost (články 51, 55a). Orgán pro ochranu údajů je v zásadě příslušný k dohledu nad zpracováním údajů na svém území nebo nad zpracováním, které se týká subjektů údajů na jeho území. V případě, že zpracování provádí správce nebo zpracovatel usazený ve více než jednom členském státě nebo se zpracování dotkne subjektů údajů v několika členských státech, bude vedoucím orgánem a jediným kontaktním místem pro správce nebo zpracovatele orgán členského státu, kde se nachází hlavní provozovna správce údajů. Dříve než vedoucí orgán přijme opatření, zajistí koordinaci s dotčenými orgány a vede konzultace s ostatními orgány. Jestliže není zřejmé, který orgán je vedoucí, nebo se na něm orgány pro ochranu údajů nedohodly, určí vedoucí orgán Evropská rada pro ochranu údajů. Pokud zúčastněný orgán pro ochranu údajů nesouhlasí s návrhem opatření, které předložil vedoucí orgán, vydá Evropská rada pro ochranu údajů stanovisko. Pokud se vedoucí orgán nehodlá tímto stanoviskem řídit, informuje o tom radu a předloží odůvodnění. Evropská rada pro ochranu údajů může kvalifikovanou většinou přijmout konečné rozhodnutí, které je pro daný orgán dozoru právně závazné. Toto rozhodnutí může podléhat soudnímu přezkumu (články 45a, 55, 58). Komise může toto rozhodnutí napadnout u Soudního dvora EU a požadovat odklad opatření (článek 61a).

Zpravodaj souhlasí s tím, že je třeba posílit orgány pro ochranu údajů v oblasti vyšetřovacích pravomocí a sankcí. Návrh Komise však byl příliš normativní. Navrhuje proto zjednodušený režim, který orgánům poskytne větší volnost při rozhodování a Evropskou radu pro ochranu údajů současně pověří zajištěním jednotného uplatňování pravidel (články 52, 53, 78, 79). Systém sankcí upřesnil tím, že do něj začlenil několik kritérií, k nimž se musí při určování výše pokut, jež může orgán pro ochranu údajů uložit, přihlédnout.

Posílení globálního rozměru

Komise má i nadále pravomoc přijímat rozhodnutí, v nichž buď uzná, nebo neuzná, že třetí země nebo území v třetí zemi nebo mezinárodní organizace zajišťuje přiměřenou úroveň ochrany údajů. Zpravodaj však nesouhlasí s nově navrženou možností uznat, že odvětví ve třetích zemích zaručují přiměřenou úroveň ochrany, neboť by to vedlo k větší právní nejistotě a ohrozilo by to cíl Unie dosáhnout harmonizovaného a jednotného mezinárodního rámce pro ochranu údajů. Zpřísňují se kritéria pro posouzení přiměřené úrovně ochrany ve třetích zemích (čl. 41 odst. 2). Rovněž se navrhuje, aby Komise své zjištění týkající se přiměřené úrovně zveřejňovala prostřednictvím aktu v přenesené pravomoci, a nikoli prováděcího aktu, aby Rada a Parlament mohly uplatňovat své kontrolní pravomoci (čl. 41 odst. 3 a 5).

V případě, že Komise nevydá rozhodnutí týkající se přiměřené úrovně ochrany, měl by správce nebo zpracovatel přijmout nástroje s vhodnými zárukami, např. závazná podniková pravidla či standardní doložky o ochraně údajů přijaté Komisí nebo orgánem dozoru, aby se zajistila přiměřená ochrana a záruky. Pozměňovací návrhy k čl. 41 odst. 1 a k článku 42 upřesňují základní záruky, jež by tyto nástroje měly obsahovat.

Nový článek 43a se zabývá otázkou žádostí orgánů veřejné moci nebo soudů třetích zemí o zpřístupnění osobních údajů uchovávaných a zpracovávaných v EU. Předání by mělo být orgánem pro ochranu údajů povoleno pouze poté, co ověří, že je v souladu s nařízením, zejména s čl. 44 odst. 1 písm. d) nebo e). S rozšířením cloud computingu nabude tato situace na významu a je nutné se jí v tomto nařízení zabývat.

Shrnutí

Zpravodaj podporuje cíl posílit právo na ochranu osobních údajů a současně zajistit sjednocený právní rámec a omezit administrativní zátěž správců údajů. Navrhuje, aby byla úloha Komise při provádění nařízení omezena na nezbytné minimum, a to tím, že se v textu nařízení jednoznačně stanoví základní prvky a praktické uplatňování prostřednictvím mechanismu spolupráce bude ponecháno orgánům pro ochranu údajů. Navrhuje, aby se ještě více zdůraznilo zavádění technologických opatření na ochranu osobních údajů a zajištění souladu, jakož i motivace správců údajů při zavádění těchto opatření. V souladu s přístupem založeným na odpovědnosti je posílena úloha podnikových inspektorů ochrany údajů a omezuje se nutnost vést s orgánem dozoru předchozí konzultace. V polovině období by měly být do oblasti působnosti tohoto právního rámce zahrnuty i orgány, instituce a jiné subjekty Unie. Pokud Parlament, Rada a Komise tyto návrhy podpoří, bude nový právní rámec pro ochranu údajů znamenat lepší situaci jak pro fyzické osoby, tak pro správce údajů, a bude v nadcházejících letech sloužit svému účelu.

Během rozsáhlé spolupráce se stínovými zpravodaji všech politických skupin a navrhovateli stanovisek zpravodaj vypracoval velké množství pozměňovacích návrhů, jež jsou výsledkem diskusí vedených se všemi zúčastněnými kolegy. Součástí této zprávy je i několik kompromisních návrhů, které se týkají zejména zásad, právních důvodů ke zpracování osobních údajů, práv subjektu údajů, ustanovení týkajících se správce a zpracovatele, mechanismu jednotnosti a sankcí. Zpravodaj věří, že Evropský parlament na základě jeho návrhů rychle dosáhne dohody a že návrhy budou dobrým podkladem pro jednání s Radou během irského předsednictví.

(1)

DT/905569CS.doc

(2)

DT/905569CS.doc

(3)

PA/918358CS.doc


STANOVISKO Výboru pro zaměstnanost a sociální věci (4. 3. 2013)

pro Výbor pro občanské svobody, spravedlnost a vnitřní věci

k návrhu nařízení Evropského parlamentu a Rady o ochraně fyzických osob v souvislosti se zpracováváním osobních údajů a o volném pohybu těchto údajů (obecné nařízení o ochraně údajů)

(COM(2012)0011 – C7-0025/2012 – 2012/0011(COD))

Navrhovatelka: Nadja Hirsch

STRUČNÉ ODŮVODNĚNÍ

Navrhovatelka zvláště vítá předložené nařízení a jeho účel dále harmonizovat ochranu osobních údajů v Evropské unii.

Stanovisko sleduje tento cíl: Je zřejmé, že rozsáhlou evropskou ochranu údajů zaměstnanců nelze upravit jediným článkem. Záměrem je spíše stanovit určité opěrné body. V souvislosti s vytvořením skutečného evropského vnitřního pracovního trhu je třeba v dalším kroku uvažovat o ochraně údajů zaměstnanců na evropské úrovni, čehož je možné dosáhnout na základě článku 288 SFEU.

Přestože se velká část údajů zpracovávaných v EU týká pracovního poměru, otázce ochrany údajů zaměstnanců se v nařízení věnuje pouze malá pozornost. Vysoká úroveň abstrakce, s níž se v nařízení setkáváme, navíc často ztěžuje výklad pravidel v souvislostí se zaměstnáváním.

Z pohledu navrhovatelky je nejlepším řešením problémů ochrany osobních údajů zaměstnanců v této směrnici především omezení působnosti stanoviska na článek 82. To umožní důkladnou analýzu obsahu a seskupení různých článků nařízení, které mají vliv na ochranu zaměstnanců údajů.

K čl. 82 odst. 1 a bodu odůvodnění 124

Stávající znění tohoto nařízení, zejména pokud jde o oblast ochrany údajů zaměstnanců, poskytuje pouze minimální úroveň ochrany. Každý členský stát však musí mít i nadále možnost nabídnout zaměstnancům výhodnější podmínky. Kromě toho musí kolektivní smlouvy stanovení takových norem umožňovat. Formulaci „v mezích tohoto nařízení“ je nutné odmítnout, a to hned z několika důvodů. V první řadě je v rozporu s všeobecnou výjimkou z rozsahu působnosti článku 82 a ve spojení s navrhovanými akty v přenesené pravomoci svěřenými Komisi v článku 82 by mohla vést k nepřehledné situaci. Dále by to mohlo v nejhorším případě znamenat, že členské státy nebudou moci přijímat žádné další předpisy. Zdá se, že tato formulace byla zvolena náhodně, protože jiná ustanovení o výjimce, např. v oblasti sdělovacích prostředků, obdobná omezení neobsahují.

K čl. 82 odst. 1 písm. b

Vzhledem k tomu, že Komise dosud nepředložila žádný konkrétní návrh na ochranu údajů zaměstnanců, a s přihlédnutím k několika podstatným bodům týkajícím se ochrany údajů zaměstnanců v nařízení, je třeba stanovit celoevropské minimální normy ochrany. Čtyři předložené podbody nelze považovat za vyčerpávající seznam, ale pouze za základ podrobných evropských právních předpisů na ochranu údajů.

K čl. 82 odst. 1 písm. c

Inspektor ochrany údajů plní úlohu zásadního významu. Proto je naprosto jasné, že musí být schopen vykonávat své povinnosti beze strachu z tlaku nebo vnějšího vlivu a ve prospěch zaměstnanců. Je proto vhodná zvláštní ochrana jeho osoby před výpovědí a zákaz diskriminace.

K čl. 82 odst. 1 písm. e a bodu odůvodnění 124a

Návrh Komise dostatečně neupřesňuje ustanovení o předávání údajů v rámci skupiny podniků uvnitř EU. Tento pozměňovací návrh má tento nedostatek napravit a současně chránit zájmy zaměstnanců.

K čl. 82 odst. 1 písm. f a bodu odůvodnění 34

Úplné vyloučení souhlasu jako platného právního důvodu zpracování osobních údajů nebude mít v souvislosti se zaměstnáním žádoucí výsledek. Navrhovatelka proto navrhuje, aby byl jako právní důvod možný souhlas i v případě nerovnováhy mezi stranami, pokud to má mít příznivé právní a hospodářské důsledky pro zaměstnance.

K čl. 82 odst. 3

Akty v přenesené pravomoci by se podle názoru navrhovatelky měly použít pouze v případě, že je třeba rychle a flexibilně přizpůsobit nepodstatná ustanovení stávajícího nařízení technickým a bezpečnostním novinkám. V tomto ohledu se zdá znění návrhu Komise příliš široké. Kromě odstavce 1 by navíc mělo být možné upravovat právními akty i nový odstavec 1c.

K čl. 82 odst. 3 a

Toto ustanovení o přezkumu umožní nové posouzení.

POZMĚŇOVACÍ NÁVRHY

Výbor pro zaměstnanost a sociální věci vyzývá Výbor pro občanské svobody, spravedlnost a vnitřní věci jako věcně příslušný výbor, aby do své zprávy začlenil tyto pozměňovací návrhy:

Pozměňovací návrh   1

Návrh nařízení

Bod odůvodnění 34

Znění navržené Komisí

Pozměňovací návrh

(34) Vyjádření souhlasu nepředstavuje platný právní důvod zpracování osobních údajů, pokud mezi postavením subjektu údajů a správce existuje značná nerovnováha. Jedná se zejména o případ, kdy je subjekt údajů závislý na správci, například pokud osobní údaje zaměstnanců v souvislosti se zaměstnáním zpracovává zaměstnavatel. Pokud je správce orgánem veřejné moci, došlo by k nerovnováze pouze při zpracovávání specifických údajů, při němž orgán veřejné moci může na základě svých příslušných veřejných pravomocí uložit povinnost a souhlas nemůže být považován za svobodně vyjádřený souhlas, přičemž je třeba vzít v úvahu zájmy subjektu údajů.

(34) Vyjádření souhlasu nepředstavuje platný právní důvod zpracování osobních údajů, pokud mezi postavením subjektu údajů a správce existuje značná nerovnováha sil. Jedná se zejména o případ, kdy je subjekt údajů závislý na správci, například pokud osobní údaje zaměstnanců v souvislosti se zaměstnáním zpracovává zaměstnavatel. Výjimkou je zpracování údajů v zaměstnaneckém pracovním poměru, jestliže má převážně za cíl právní nebo hospodářské výhody pro zaměstnance. Pokud je správce orgánem veřejné moci, došlo by k nerovnováze pouze při zpracovávání specifických údajů, při němž orgán veřejné moci může na základě svých příslušných veřejných pravomocí uložit povinnost a souhlas nemůže být považován za svobodně vyjádřený souhlas, přičemž je třeba vzít v úvahu zájmy subjektu údajů.

Pozměňovací návrh   2

Návrh nařízení

Bod odůvodnění 75

Znění navržené Komisí

Pozměňovací návrh

(75) Pokud je zpracování prováděno ve veřejném sektoru nebo velkým soukromým podnikem, nebo pokud hlavní činnosti podniku bez ohledu na jeho velikost zahrnují zpracovávání, jež vyžaduje pravidelné a systematické sledování, měla by správci nebo zpracovateli při sledování toho, zda je v rámci podniku dodržován soulad s tímto nařízením, asistovat další osoba. Tito inspektoři ochrany údajů, bez ohledu na to, zda se jedná o zaměstnance správce, či nikoli, by měli plnit své povinnosti a úkoly nezávisle.

(75) Pokud je zpracování prováděno ve veřejném sektoru nebo soukromým podnikem, nebo pokud hlavní činnosti podniku bez ohledu na jeho velikost zahrnují zpracovávání, jež vyžaduje pravidelné a systematické sledování, měla by správci nebo zpracovateli při sledování toho, zda je v rámci podniku dodržován soulad s tímto nařízením, asistovat další osoba. Tito inspektoři ochrany údajů, bez ohledu na to, zda se jedná o zaměstnance správce, či nikoli, by měli plnit své povinnosti a úkoly nezávisle. Zpracování provede právnická osoba a týká se více než 250 dotčených osob za rok.

Pozměňovací návrh   3

Návrh nařízení

Bod odůvodnění 124

Znění navržené Komisí

Pozměňovací návrh

(124) Obecné zásady ochrany jednotlivců při zpracování osobních údajů by měly platit také v souvislosti se zaměstnáním. V mezích tohoto nařízení by měly členské státy mít možnost přijmout právním předpisem zvláštní pravidla, která upraví zpracovávání osobních údajů zaměstnanců v souvislosti se zaměstnáním.

 

Obecné zásady ochrany jednotlivců při zpracování osobních údajů by měly platit také v souvislosti se zaměstnáním. Členské státy by měly mít možnost upravit zpracovávání osobních údajů zaměstnanců v souvislosti se zaměstnáním v souladu s pravidly a minimálními standardy stanovenými v tomto nařízení. Pokud je v dotčeném členském státě stanoven právní základ pro úpravu otázek pracovního poměru dohodou mezi zástupci zaměstnanců a vedením podniku nebo řídícího podniku skupiny podniků (kolektivní dohoda) nebo na základě směrnice Evropského parlamentu a Rady 2009/38/ES ze dne 6. května 2009 o zřízení evropské rady zaměstnanců nebo vytvoření postupu pro informování zaměstnanců a projednání se zaměstnanci v podnicích působících na úrovni Společenství a skupinách podniků působících na úrovni Společenství1, mělo by být rovněž možné upravit zpracovávání osobních údajů v souvislosti se zaměstnáním takovou dohodou; v tomto konkrétním případě existuje možnost odchylek a výjimek v souladu s vnitrostátními právními předpisy a zvyklostmi.

 

________________

 

1 Úř. věst. L 122, 16.5.2009, s. 28.

Pozměňovací návrh   4

Návrh nařízení

Bod odůvodnění 124 a (nový)

Znění navržené Komisí

Pozměňovací návrh

 

Pro ochranu podnikových zájmů, které přímo souvisejí se zaměstnaneckým poměrem, je povoleno předávání a zpracovávání údajů o zaměstnancích také v rámci skupiny podniků. To nesmí být v rozporu se oprávněnými zájmy subjektu údajů. Údaje o zaměstnancích zahrnují všechny druhy osobních údajů subjektu údajů, které mají přímou souvislost s pracovním vztahem. Příslušné ustanovení v čl. 82 odst. 1e bere v potaz běžné postupy při zpracovávání údajů o zaměstnancích ve skupinách podniků.

Pozměňovací návrh   5

Návrh nařízení

Čl. 3 – odst. 1 a (nový)

Znění navržené Komisí

Pozměňovací návrh

 

1a. Toto nařízení se vztahuje na zpracování osobních údajů subjektů údajů, které nesídlí v Unii, a to ze strany správce nebo zpracovatele, který je usazen v Unii, prostřednictvím jejich hospodářských činností ve třetí zemi či ve třetích zemích.

Pozměňovací návrh   6

Návrh nařízení

Čl. 6 – odst. 1 – písm. f

Znění navržené Komisí

Pozměňovací návrh

f) zpracování je nezbytné pro uskutečnění oprávněných zájmů správce za podmínky, že tyto zájmy nepřevažují nad zájmem nebo základními právy a svobodami subjektu údajů vyžadujícími ochranu osobních údajů, zejména pokud je subjektem údajů dítě. To se netýká zpracování prováděného orgány veřejné moci při plnění jejich úkolů.

f) zpracování je nezbytné pro uskutečnění oprávněných zájmů správce nebo třetí strany či třetích stran, kterým jsou údaje sdělovány, za podmínky, že tyto zájmy nepřevažují nad zájmem nebo základními právy a svobodami subjektu údajů vyžadujícími ochranu osobních údajů, zejména pokud je subjektem údajů dítě. To se netýká zpracování prováděného orgány veřejné moci při plnění jejich úkolů.

Odůvodnění

Aby systém kolektivního vyjednávání řádně fungoval, musí mít odbory možnost dohlížet na dodržování kolektivních smluv. V současné době se tak děje v rámci čl. 7 písm. f) směrnice 95/46/ES. Článek 7 písm. f) uznává oprávněný zájem třetí strany na zpracovávání osobních údajů. Zaměstnavatel je většinou považován za správce a odbory za třetí stranu.

Pozměňovací návrh   7

Návrh nařízení

Čl. 6 – odst. 5

Znění navržené Komisí

Pozměňovací návrh

5. Komise je v souladu s článkem 86 zmocněna přijímat akty v přenesené pravomoci za účelem dalšího vymezení podmínek uvedených v odst. 1 písm. f) pro různá odvětví a různé situace při zpracovávání údajů, včetně zpracování osobních údajů týkajících se dítěte.

vypouští se

Odůvodnění

Ustanovení týkající se zákonnosti zpracování tvoří jádro pravidel o ochraně údajů. Jelikož se ustanovení o aktech v přenesené pravomoci musí omezit na nepodstatné prvky nařízení, měl by být odstavec 5 vypuštěn.

Pozměňovací návrh   8

Návrh nařízení

Čl. 9 – odst. 1

Znění navržené Komisí

Pozměňovací návrh

1. Zakazuje se zpracování osobních údajů, které odhalují rasový či etnický původ, politické názory, náboženské vyznání nebo přesvědčení, členství v odborových organizacích, jakož i zpracování genetických údajů či údajů týkajících se zdravotního stavu či sexuálního života, nebo odsouzení v trestních věcech či související bezpečnostní opatření.

1. Zakazuje se zpracování osobních údajů, které odhalují rasový či etnický původ, politické názory, náboženské vyznání nebo přesvědčení, členství a činnost v odborových organizacích, jakož i zpracování genetických údajů či údajů týkajících se zdravotního stavu či sexuálního života, nebo odsouzení v trestních věcech či související bezpečnostní opatření.

Pozměňovací návrh   9

Návrh nařízení

Čl. 14 – odst. 3

Znění navržené Komisí

Pozměňovací návrh

3. Pokud se osobní údaje nezískávají od subjektu údajů, správce kromě informací uvedených v odstavci 1 poskytne subjektu údajů informace o původu těchto osobních údajů.

3. Pokud se osobní údaje nezískávají od subjektu údajů, správce kromě informací uvedených v odstavci 1 poskytne subjektu údajů informace o původu těchto osobních údajů. Patří sem i údaje, které byly nezákonně získány od třetích stran a předány správci.

Pozměňovací návrh   10

Návrh nařízení

Čl. 17 – odst. 6 a (nový)

Znění navržené Komisí

Pozměňovací návrh

 

6a. V souladu s požadavky tohoto nařízení týkajícími se údajů, zejména na ochranu soukromí již od návrhu, není ustanoveními v odstavcích 4 a 6 tohoto článku dotčeno právo orgánů veřejné moci uchovávat údaje pro vedení záznamu k průběhu a vývoji daného případu.

Pozměňovací návrh   11

Návrh nařízení

Čl. 28 – odst. 4 – písm. b

Znění navržené Komisí

Pozměňovací návrh

b) podniky či organizace, které zaměstnávají méně než 250 osob a pro které je zpracovávání osobních údajů pouze doplňkem k jejich hlavním činnostem.

b) podniky či organizace, pro které je zpracovávání osobních údajů pouze doplňkem k jejich hlavním činnostem.

Odůvodnění

Omezení na 250 zaměstnanců přináší zaměstnavatelům nerovné podmínky, diskriminuje větší podniky a v žádném případě není nezbytné pro dosažení cíle. Počet zaměstnanců nemá souvislost s množstvím či druhem osobních údajů, které daná organizace uchovává. Malá organizace pouze s několika zaměstnanci může spravovat velké množství svěřených osobních údajů a naopak. Kromě toho není v některých ohledech výklad tohoto omezení snadný.

Pozměňovací návrh   12

Návrh nařízení

Čl. 35 – odst. 1 – návětí

Znění navržené Komisí

Pozměňovací návrh

1. Správce a zpracovatel jmenují inspektora ochrany údajů v každém případě, kdy:

1. Správce a zpracovatel jmenují se souhlasem zástupců zájmových skupin podniku inspektora ochrany údajů v každém případě, kdy:

Pozměňovací návrh   13

Návrh nařízení

Čl. 35 – odst. 1 – písm. a

Znění navržené Komisí

Pozměňovací návrh

a) zpracování provádí orgán veřejné moci či veřejnoprávní subjekt nebo

a) zpracování provádí orgán veřejné moci či veřejnoprávní subjekt