(Riadny legislatívny postup: prvé čítanie)

Európsky parlament,

–  so zreteľom na návrh Komisie pre Európsky parlament a Radu (COM(2012)0011),

–  so zreteľom na článok 294 ods. 2, článok 16 ods. 2 a článok 114 ods. 1 Zmluvy o fungovaní Európskej únie, v súlade s ktorými Komisia predložila návrh Európskemu parlamentu (C7-0025/2012),

–  so zreteľom na článok 294 ods. 3 Zmluvy o fungovaní Európskej únie,

–  so zreteľom na odôvodnené stanoviská, ktoré predložili v rámci protokolu č. 2 o uplatňovaní zásad subsidiarity a proporcionality belgická Poslanecká snemovňa, nemecká Spolková rada, francúzsky Senát, talianska Poslanecká snemovňa a švédsky parlament, v ktorých sa uvádza, že návrh legislatívneho aktu nie je v súlade so zásadou subsidiarity,

–  so zreteľom na stanovisko Európskeho hospodárskeho a sociálneho výboru z 23. mája 2012(1),

–  po porade s Výborom regiónov,

–  so zreteľom na stanovisko európskeho dozorného úradníka pre ochranu údajov zo 7. marca 2012(2),

–  so zreteľom na stanovisko Agentúry Európskej únie pre základné práva z 1. októbra 2012,

–  so zreteľom na článok 55 rokovacieho poriadku,

–  so zreteľom na správu Výboru pre občianske slobody, spravodlivosť a vnútorné veci a stanoviská Výboru pre zamestnanosť a sociálne veci, Výboru pre priemysel, výskum a energetiku, Výboru pre vnútorný trh a ochranu spotrebiteľa a Výboru pre právne veci (A7-0402/2013),

1.  prijíma nasledujúcu pozíciu v prvom čítaní;

2.  žiada Komisiu, aby mu vec znovu predložila, ak má v úmysle podstatne zmeniť svoj návrh alebo ho nahradiť iným textom;

3.  poveruje svojho predsedu, aby postúpil túto pozíciu Rade, Komisii a národným parlamentom.

(1) Ú. v. EÚ C 229, 31.7.2012, s. 90. (2) Ú. v. EÚ C 192, 30.6.2012, s. 7.

(Text s významom pre EHP)

EURÓPSKY PARLAMENT A RADA EURÓPSKEJ ÚNIE,

so zreteľom na Zmluvu o fungovaní Európskej únie, a najmä na jej článok 16 ods. 2 a článok 114 ods. 1,

so zreteľom na návrh Európskej komisie,

po postúpení návrhu legislatívneho aktu národným parlamentom,

so zreteľom na stanovisko Európskeho hospodárskeho a sociálneho výboru(1),

po porade s Výborom regiónov,

so zreteľom na stanovisko európskeho dozorného úradníka pre ochranu údajov(2)

konajúc v súlade s riadnym legislatívnym postupom(3),

keďže:

(1)  Ochrana fyzických osôb v súvislosti so spracúvaním osobných údajom patrí medzi základné práva. V článku 8 ods. 1 Charty základných práv Európskej únie (ďalej len „charta”) a v článku 16 ods. 1 zmluvy sa stanovuje zásada, že každý má právo na ochranu osobných údajov, ktoré sa ho týkajú.

(2)  Spracovávanie údajov je určené k tomu, aby slúžilo človeku; zásady a pravidlá ochrany fyzických osôb pri spracúvaní ich osobných údajov by bez ohľadu na štátnu príslušnosť alebo bydlisko fyzických osôb mali rešpektovať základné práva a slobody, najmä ich právo na ochranu osobných údajov. Mali by prispieť k dokončeniu budovania priestoru slobody, bezpečnosti a spravodlivosti a hospodárskej únie, k hospodárskemu a sociálnemu pokroku, k posilneniu konvergencie ekonomík v rámci vnútorného trhu a ku prospechu fyzických osôb.

(3)  Úlohou smernice Európskeho parlamentu a Rady 95/46/ES(4) je harmonizovať ochranu základných práv a slobôd fyzických osôb v súvislosti so spracúvaním údajov a zabezpečiť voľný tok osobných údajov medzi členskými štátmi.

(4)  Hospodárska a sociálna integrácia, ktorá je dôsledkom fungovania vnútorného trhu, viedla k značnému nárastu cezhraničných tokov. Výmena údajov medzi hospodárskymi a sociálnymi, verejnými a súkromnými aktérmi v Únii vzrástla. Vnútroštátne orgány v členských štátoch sú na základe právnych predpisov Únie povinné spolupracovať a vymieňať si osobné údaje, aby mohli vykonávať svoje povinnosti a úlohy v mene orgánu iného členského štátu.

(5)  Rýchly technologický rozvoj so sebou priniesol nové výzvy v oblasti ochrany osobných údajov. Rozsah zdieľania a zhromažďovania údajov sa výrazne zväčšil. Technológia umožňuje súkromným podnikom a verejným orgánom pri výkone ich činností využívať osobné údaje v doteraz bezprecedentnom rozsahu. Fyzické osoby vo väčšej miere zverejňujú svoje osobné údaje, a to aj v globálnom meradle. Technológia transformovala hospodársky aj sociálny život a žiada si ďalšie zjednodušenie voľného toku údajov v rámci Únie a prenosu do tretích krajín a medzinárodným organizáciám pri súčasnom zabezpečení vysokej úrovne ochrany osobných údajov.

(6)  Táto situácia si vyžaduje vytvorenie silného a súdržnejšieho rámca ochrany údajov v Únii, ktorý sa bude intenzívne presadzovať vzhľadom na význam vybudovania dôvery, ktorá umožní rozvoj digitálnej ekonomiky v rámci vnútorného trhu. Fyzické osoby by mali mať kontrolu nad svojimi vlastnými osobnými údajmi a mala by sa posilniť právna a praktická istota pre fyzické osoby, hospodárskych aktérov a verejné orgány.

(7)  Ciele a zásady smernice 95/46/ES zostávajú platné, nepodarilo sa však zabrániť rozdielnosti implementácie ochrany údajov v Únii, právnej neistote a rozšírenému vnímaniu verejnosti, že v súvislosti s ochranou údajov v prípade fyzických osôb existujú značné riziká, najmä v online prostredí. Rozdiely, ktoré existujú v členských štátoch, pokiaľ ide o úroveň ochrany práv a slobôd fyzických osôb pri spracúvaní osobných údajov, konkrétne práva na ochranu osobných údajov, môžu brániť vo voľnom toku osobných údajov v Únii. Tieto rozdiely preto môžu predstavovať prekážku pri vykonávaní množstva hospodárskych činností na úrovni Únie, narúšať hospodársku súťaž a brániť orgánom v plnení úloh, ktoré majú vykonávať na základe práva Únie. Tento rozdiel v úrovni ochrany je spôsobený existenciou rozdielov vo vykonávaní a uplatňovaní smernice 95/46/ES.

(8)  Aby sa zabezpečila konzistentná a vysoká úroveň ochrany fyzických osôb a odstránili sa prekážky tokov osobných údajov, musí byť úroveň ochrany osobných práv a slobôd pri spracovávaní týchto údajov rovnaká vo všetkých členských štátoch. Konzistentné a jednotné uplatňovanie pravidiel ochrany základných práv a slobôd fyzických osôb pri spracúvaní osobných údajov by malo byť zabezpečené v rámci celej Únie.

(9)  Účinná ochrana osobných údajov v rámci Únie si vyžaduje posilnenie a spresnenie práv dotknutých osôb a povinností tých, ktorí osobné údaje spracúvajú a o ich spracovaní rozhodujú, no vyžaduje si aj zodpovedajúce právomoci na monitorovanie a zabezpečenie súladu s pravidlami ochrany osobných údajov a zodpovedajúce sankcie voči tým, ktorí v členských štátoch tieto pravidlá porušujú.

(10)  Podľa článku 16 ods. 2 zmluvy má Európsky parlament a Rada právomoc stanovovať pravidlá týkajúce sa ochrany fyzických osôb pri spracúvaní osobných údajov a pravidiel týkajúcich s voľného pohybu osobných údajov.

(11)  Aby sa zabezpečila konzistentná úroveň ochrany fyzických osôb v Únii a zabránilo sa rozdielom, ktoré sú prekážkou voľného pohybu údajov v rámci vnútorného trhu, je potrebné prijať nariadenie, ktoré by poskytlo právnu istotu a bolo by transparentné pre hospodárskych aktérov vrátane mikropodnikov a malých a stredných podnikov, ktoré by fyzickým osobám vo všetkých členských štátoch poskytlo rovnakú úroveň práv vymáhateľných právnymi prostriedkami a prevádzkovateľom a sprostredkovateľom uložilo povinnosti a zodpovednosti, ktoré by zabezpečilo konzistentné monitorovanie a spracovávanie osobných údajov a ktoré by stanovovalo zodpovedajúce sankcie vo všetkých členských štátoch, ako aj účinnú spoluprácu dozorných orgánov rozličných členských štátov. Aby sa zohľadnila osobitná situácia mikropodnikov a malých a stredných podnikov, toto nariadenie obsahuje aj niekoľko výnimiek. Okrem toho sú inštitúcie a orgány Únie, členské štáty a ich dozorné orgány nabádané k tomu, aby pri uplatňovaní tohto nariadenia zohľadňovali osobitné potreby mikropodnikov a malých a stredných podnikov. Pojem mikropodniky a malé a stredné podniky vychádza z odporúčania Komisie 2003/361/ES(5).

(12)  Ochrana, ktorú toto nariadenie poskytuje, sa týka fyzických osôb bez ohľadu na ich štátnu príslušnosť alebo bydlisko a vzťahuje sa na spracúvanie osobných údajov. Pokiaľ ide o spracúvanie údajov týkajúcich sa právnických osôb a najmä podnikov vystupujúcich ako právnické osoby vrátane názvu, formy a kontaktných údajov právnickej osoby, takéto právnické osoby sa nemôžu domáhať ochrany poskytovanej týmto nariadením. Toto pravidlo sa uplatňuje aj vtedy, ak názov právnickej osoby obsahuje mená jedného alebo viacerých fyzických osôb.

(13)  Ochrana fyzických osôb by mala byť technologicky neutrálna a nemala by sa odvíjať od použitých techník, inak by vznikalo závažné riziko obchádzania predpisov. Ochrana fyzických osôb by sa mala vzťahovať na spracúvanie osobných údajov automatizovaným spôsobom, ako aj na ručné spracovávanie, ak sú údaje uchované v informačnom systéme alebo doň majú byť uložené. Súbory alebo komplexy súborov ako aj ich hlavičky, ktoré nie sú štruktúrované podľa špecifických kritérií, nebudú patriť do pôsobnosti tejto smernice.

(14)  Toto nariadenie sa netýka otázok ochrany základných práv a slobôd alebo voľného toku údajov týkajúcich sa činností, ktoré nepatria do pôsobnosti práva Únie, a netýka sa ani spracúvania osobných údajov inštitúciami, orgánmi, úradmi a agentúrami Únie, na ktoré sa vzťahuje. Nariadenie Európskeho parlamentu a Rady (ES) č. 45/2001(6), či spracúvania osobných údajov členskými štátmi pri vykonávaní činností v súvislosti so spoločnou zahraničnou a bezpečnostnou politikou Únie by sa malo uviesť do súladu s týmto nariadením a uplatňovať v súlade s týmto nariadením. [PN 1]

(15)  Toto nariadenie by sa nemalo uplatňovať na spracovávanie osobných údajov fyzickou osobou, ktoré je výlučne osobnej, rodinnej či súkromnej povahy, ako je korešpondencia a uchovávanie adries alebo súkromný predaj, a ktoré je bez akéhokoľvek zárobkového motívu, a teda nesúvisí so žiadnou profesionálnou alebo komerčnou činnosťou. Výnimka by sa mala uplatňovať aj na prevádzkovateľov a sprostredkovateľov, ktorí poskytujú prostriedky pre spracovávanie osobných údajov na takéto osobné či súkromné činnosti. Toto nariadenie by sa však malo uplatňovať na prevádzkovateľov a sprostredkovateľov, ktorí poskytujú prostriedky na spracovávanie osobných údajov na takéto osobné či súkromné činnosti. [PN 2]

(16)  Ochrana fyzických osôb pri spracúvaní osobných údajov príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií a voľný pohyb takýchto údajov podlieha pôsobnosti osobitného právneho nástroja na úrovni Únie. Toto nariadenie by sa teda nemalo uplatňovať pri spracovávaní na takéto účely. Na údaje spracované verejnými orgánmi podľa tohto nariadenia, ak sa používajú na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na výkon trestov, by sa mal vzťahovať špecifickejší právny nástroj na úrovni Únie (smernica Európskeho parlamentu a Rady 2014/.../EÚ o ochrane fyzických osôb pri spracúvaní osobných údajov príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií a o voľnom pohybe takýchto údajov).

(17)  Týmto nariadením by nemalo byť dotknuté uplatňovanie smernice Európskeho parlamentu a Rady 2000/31/ES(7), najmä povinnosť poskytovateľov sprostredkovateľských služieb uvedená v článkoch 12 až 15 uvedenej smernice.

(18)  Toto nariadenie umožňuje, aby sa princíp verejného prístupu k oficiálnym dokumentom zohľadnil pri uplatňovaní ustanovení tohto nariadenia. Osobné údaje v dokumentoch v držbe verejného orgánu alebo verejného subjektu môže tento orgán alebo subjekt sprístupniť súlade s právom Únie alebo členského štátu o prístupe verejnosti k úradným dokumentom, ktoré zosúlaďuje právo na ochranu údajov s právom na prístup verejnosti k úradným dokumentom a predstavuje spravodlivú rovnováhu rôznych zúčastnených záujmov. [PN 3]

(19)  Každé spracovanie osobných údajov v súvislosti s činnosťami zariadenia prevádzkovateľa alebo sprostredkovateľa v Únii by sa malo vykonávať v súlade s týmto nariadením bez ohľadu na to, či sa samotné spracovanie realizuje v Únii alebo nie. Zariadenie znamená efektívny a skutočný výkon činnosti. Právna forma takéhoto zariadenia, či už ide o pobočku alebo dcérsku spoločnosť s právnou subjektivitou, nie je v tomto ohľade určujúcim faktorom.

(20)  Aby sa zabezpečilo, že fyzické osoby nebudú zbavené ochrany, na ktorú majú na základe tohto nariadenia právo, toto nariadenie by sa malo uplatňovať na spracovanie osobných údajov dotknutých osôb s bydliskom v Únii vykonávané prevádzkovateľom, ktorý nemá sídlo v Únii, ak spracovanie súvisí s ponukou tovaru alebo služieb bez ohľadu na to, či sa spája s platbami alebo nie, týmto dotknutým osobám alebo so sledovaním správania týchto dotknutých osôb. Aby bolo možné určiť, či takýto prevádzkovateľ ponúka tovar alebo služby takýmto dotknutým osobám v Únii, malo by sa zistiť, či je zrejmé, že prevádzkovateľ počíta s ponukou služieb dotknutým osobám v jednom alebo viacerých členských štátoch v Únii. [PN 4]

(21)  Na určenie toho, či spracúvanie údajov možno pokladať za „sledovanie správania dotknutých osôb“ dotknutej osoby, malo by sa zistiť, či je pohyb fyzických osôb na internete sledovaný prostredníctvom techník, bez ohľadu na pôvod údajov, alebo sa o nich zbierajú iné údaje vrátane z verejných registrov a oznámení Únie, ktoré sú prístupné mimo Únie, vrátane úmyslu použiť alebo potenciálne následne použiť techniky spracovania údajov, pomocou ktorých je fyzickej osobe pridelený „profil“ na účely prijatia rozhodnutia týkajúceho sa tejto osoby alebo na účely analýzy či predvídania osobných preferencií, správania a zvykov tejto osoby. [PN 5]

(22)  Ak sa podľa medzinárodného práva uplatňujú vnútroštátne právne predpisy niektorého členského štátu, toto nariadenie by sa malo uplatniť aj na prevádzkovateľa, ktorý nemá sídlo v Únii, napríklad na diplomatickom zastúpení alebo konzuláte členského štátu.

(23)  Zásady ochrany údajov by sa mali uplatňovať na všetky informácie týkajúce sa určenej alebo určiteľnej fyzickej osoby. Na určenie toho, či je osoba určiteľná, by sa mali brať do úvahy všetky prostriedky, pri ktorých existuje primeraná pravdepodobnosť, že ich využije prevádzkovateľ alebo ľubovoľná iná osoba na identifikáciu alebo vyčlenenie príslušnej osoby. priamo alebo nepriamo. S cieľom zistiť, či v prípade prostriedkov existuje primeraná pravdepodobnosť, že budú použité na identifikáciu jednotlivca, mali by sa vziať do úvahy všetky objektívne faktory, ako sú náklady a množstvo času potrebné na identifikáciu, pričom sa berú do úvahy dostupné technológie a technologický rozvoj v čase spracovania. Zásady ochrany údajov by sa preto nemali uplatňovať na anonymné údaje, ktoré sú považované za anonymizované takým spôsobom, že dotknutá osoba už nie je určiteľná, čiže informácie, ktoré sa netýkajú určenej alebo určiteľnej fyzickej osoby. Toto nariadenie sa preto netýka spracovania takýchto anonymných údajov vrátane údajov na štatistické a výskumné účely. [PN 6]

(24)  Pri používaní online služieb môžu byť fyzickým osobám pridelené online Toto nariadenie by sa malo vzťahovať na spracovanie zahŕňajúce identifikátory, ktoré sú generované prístrojmi, aplikáciami, nástrojmi a protokolmi, ako je sú IP adresa alebo cookies týchto služieb. Tieto môžu zanechávať stopy, ktoré môžu byť v kombinácii s jedinečnými identifikátormi a inými informáciami získanými zo serverov použité na vytvorenie profilov fyzických osôb a na ich identifikáciu. Vyplýva z toho, že identifikačné čísla, lokalizačné údaje, online identifikátory alebo iné osobitné faktory nemusia byť nutne ako také pokladané za všetkých okolností za osobné údaje a štítky na rádiofrekvenčnú identifikáciu, ak sa tieto identifikátory netýkajú určenej alebo určiteľnej fyzickej osoby. [PN 7]

(25)  Súhlas by mal byť daný výslovne pomocou vhodnej metódy, ktorá umožňuje slobodne poskytnúť špecifické a informované vyjadrenie o želaní dotknutej osoby, a to buď vo forme stanoviska alebo prostredníctvom výslovného prejavu vôle na základe rozhodnutia dotknutej osoby, a ktorá zabezpečuje, že jednotlivci sú si vedomí, že dávajú súhlas na spracovanie osobných údajov – prostredníctvom zakliknutia. Výslovný prejav vôle by mohol zahŕňať zakliknutie rámika pri návšteve internetovej stránky alebo podaním podanie iného vyjadrenia alebo vykonaním vykonanie inej činnosti, ktorá v tomto kontexte jasne znamená, že dotknutá osoba súhlasí s navrhovaným spracovaním jej osobných údajov. Nereagovanie, samotné použitie služby alebo nečinnosť sa preto nepokladajú za vyslovenie súhlasu. Súhlas by sa mal vzťahovať na každé spracovanie vykonávané na ten istý účel alebo účely. Ak má dotknutá osoba vyjadriť súhlas na základe elektronickej požiadavky, požiadavka musí byť jasná, stručná a bez zbytočného prerušenia používania služby, na ktorú sa poskytuje. [PN 8]

(26)  Osobné údaje týkajúce sa zdravia by mali zahŕňať najmä všetky údaje týkajúce sa zdravotného stavu dotknutej osoby, informácie o registrácii fyzickej osoby na poskytovanie zdravotníckych služieb, informácie o platbách alebo nároku na zdravotnú starostlivosť týkajúce sa fyzickej osoby, číslo, symbol alebo osobitný údaj, ktorý bol fyzickej osobe priradený na individuálnu identifikáciu fyzickej osoby na zdravotné účely, všetky informácie získané o fyzickej osobe počas poskytovania zdravotníckych služieb, informácie získané na základe vykonávania testov alebo prehliadok častí organizmu alebo telesných substancií vrátane biologických vzoriek, identifikácia osoby ako poskytovateľa zdravotnej starostlivosti fyzickej osobe, alebo akékoľvek informácie napr. o chorobe, zdravotnom postihnutí, riziku ochorenia, lekárskej anamnéze, klinickej liečbe, alebo o aktuálnom fyziologickom alebo biomedickom stave dotknutej osoby bez ohľadu na zdroj týchto informácií, či už pochádzajú od lekára alebo zdravotníka, z nemocnice, zo zdravotného prístroja alebo z vykonania diagnostického testu in vitro.

(27)  Hlavné zariadenie prevádzkovateľa v Únii by sa malo určiť podľa objektívnych kritérií a malo by zahŕňať efektívne a skutočné vykonávanie riadiacich činností stanovujúcich hlavné rozhodnutia týkajúce sa účelu, podmienok a prostriedkov spracúvania na trvalom základe. Toto kritérium by nemalo byť závislé od toho, či sa spracúvanie osobných údajov skutočne vykonáva na tomto mieste, existencia a použitie technických prostriedkov a technológií spracúvania osobných údajov alebo spracovateľských činností nepredstavujú sami osebe takéto hlavné ústredie a preto nie sú určujúcimi kritériami pre hlavné ústredie. Ústredím sprostredkovateľa by malo byť miesto jeho administratívneho sídla v Únii.

(28)  Skupina podnikov by mala pozostávať z kontrolujúceho podniku a ním kontrolovaných podnikov, pričom kontrolujúci podnik by mal byť podnikom, ktorý môže vykonávať dominantný vplyv na podniky napr. v dôsledku toho, že ich vlastní, v dôsledku finančnej účasti alebo pravidiel upravujúcich činnosť podniku alebo v dôsledku právomoci implementovať pravidlá ochrany osobných údajov.

(29)  Osobitnú ochranu osobných údajov si zasluhujú deti, keďže si môžu byť v menšej miere vedomé rizík, dôsledkov, záruk a práv súvisiacich so spracovávaním osobných údajov. Na určenie toho, kedy sa fyzická osoba pokladá za dieťa, by toto nariadenie malo prevziať definíciu stanovenú v Dohovore OSN o právach dieťaťa. Ak sa spracovanie údajov v súvislosti s ponukou tovarov alebo služieb adresovanej priamo dieťaťu zakladá na súhlase dotknutej osoby, u dieťaťa mladšieho ako 13 rokov by mal udeliť súhlas alebo ho schváliť rodič dieťaťa či jeho zákonný zástupca. Ak je zamýšľaný adresát dieťa, mal by sa použiť jazyk primeraný jeho veku. Iné dôvody zákonného spracovania, ako je verejný záujem, by mali zostať v platnosti, napríklad na spracovanie v rámci preventívnych alebo poradenských služieb, ktoré sú ponúkané priamo dieťaťu. [PN 9]

(30)  Každé spracovanie osobných údajov musí byť zákonné, spravodlivé a transparentné vo vzťahu k dotknutým fyzickým osobám. Najmä osobitné dôvody, pre ktoré sa údaje spracúvajú, by mali byť presné a legitímne a stanovené už v čase zhromažďovania údajov. Údaje by mali byť primerané, relevantné a obmedzené na minimum nevyhnutné na účely, na ktoré sa údaje spracúvajú; to si vyžaduje najmä zabezpečenie, aby množstvo zhromaždených údajov nebolo neúmerné a aby obdobie, počas ktorého sa tieto údaje uchovávajú, bolo obmedzené na prísne minimum. Osobné údaje by mali byť spracované len vtedy, ak účel spracovania nebolo možné dosiahnuť inými prostriedkami. Mali by sa prijať všetky primerané opatrenia, aby sa zabezpečilo vymazanie alebo oprava nepresných údajov. Prevádzkovateľ by mal stanoviť lehoty na výmaz alebo pravidelné prehodnotenie, aby sa zabezpečilo, že údaje nebudú uchovávané dlhšie, než je to nutné.

(31)  Aby bolo spracúvanie zákonné, osobné údaje by sa mali spracúvať na základe súhlasu dotknutej osoby alebo na nejakom inom legitímnom základe, ktorý je stanovený v právnych predpisoch, a to buď v tomto nariadení alebo v iných právnych predpisoch Únie alebo príslušného členského štátu, ako je to uvedené v tomto nariadení. V prípade dieťaťa alebo osoby, ktorá nená právnu spôsobilosť, mali by sa podmienky, za ktorých táto osoba vyjadruje alebo schvaľuje súhlas, určiť podľa príslušných právnych predpisov Únie alebo členského štátu. [PN 10]

(32)  Ak je spracovanie založené na súhlase dotknutej osoby, malo by byť povinnosťou prevádzkovateľa preukázať, že dotknutá osoba vyjadrila súhlas s operáciami spracovania údajov. Najmä v súvislosti s písomným vyhlásením v inej záležitosti by záruky mali zabezpečovať, že dotknutá osoba si je vedomá, že dáva súhlas a v akom rozsahu ho udeľuje. Na dodržanie zásady minimalizácie údajov by sa dôkazné bremeno okrem nevyhnutných prípadov nemalo chápať ako požiadavka na pozitívnu identifikáciu dotknutých osôb. Podobne ako v prípade podmienok občianskeho práva (napr. smernica Rady 93/13/EHS(8)), postupy v oblasti ochrany údajov by mali byť čo najzreteľnejšie a najtransparentnejšie. Nemali by obsahovať skryté ani znevýhodňujúce ustanovenia. Nemožno poskytnúť súhlas na spracovanie osobných údajov tretích osôb. [PN 11]

(33)  Aby sa zabezpečilo, že vyjadrenie súhlasu bude dobrovoľné, malo by sa ozrejmiť, že súhlas neposkytuje platný právny základ, ak fyzická osoba nemohla vykonať riadnu a slobodnú voľbu, a teda následne nemôže odmietnuť alebo odvolať súhlas bez nepriaznivých následkov. Je to tak najmä v prípade, keď prevádzkovateľ je orgán verejnej moci, ktorý môže z úradnej moci uložiť povinnosť a súhlas tak nemožno pokladať za dobrovoľne udelený. Použitie predvolených možností, ktoré musí dotknutá osoba zmeniť, ak chce voči spracovaniu údajov namietať, ako sú napríklad vopred zaškrtnuté políčka, nevyjadruje dobrovoľne udelený súhlas. Súhlas so spracovaním dodatočných osobných údajov, ktoré nie sú nevyhnutné na poskytovanie služby, by sa na používanie služby nemal vyžadovať. Ak sa súhlas vezme späť, môže sa tým umožniť ukončenie alebo nevykonávanie služby, ktorá od údajov závisí. V prípade, že ukončenie zamýšľaného účelu nie je jasné, prevádzkovateľ by mal v pravidelných intervaloch poskytovať dotknutej osobe informácie o spracúvaní a požiadať o opätovné potvrdenie jej súhlasu. [PN 12]

(34)  Súhlas by nemal byť platným právnym dôvodom na spracovanie osobných údajov, ak medzi postavením dotknutej osoby a prevádzkovateľa existuje jednoznačný nepomer. Týka sa to najmä situácie, keď je dotknutá osoba závislá od prevádzkovateľa, okrem iného, keď osobné údaje zamestnancov sú spracúvané zamestnávateľom v súvislosti s ich zamestnávaním. Ak je prevádzkovateľom verejný orgán, nepomer by nastal iba pri určitých operáciách spracovania údajov, pri ktorých verejný orgán môže uložiť zo svojej úradnej moci povinnosť a súhlas tak nemožno pokladať za dobrovoľne udelený z hľadiska záujmov dotknutej osoby. [PN 13]

(35)  Spracovanie by malo byť zákonné, ak je potrebné v súvislosti s plnením zmluvy alebo s úmyslom uzatvoriť zmluvu.

(36)  Ak sa spracúvanie údajov vykonáva v súlade so zákonnými povinnosťami, ktoré má prevádzkovateľ, alebo ak spracovanie je potrebné na splnenie úlohy vykonávanej vo verejnom záujme alebo na výkon úradnej moci, právny základ pre spracovanie by mal existovať v práve Únie alebo v práve niektorého členského štátu, a tento právny základ by mal spĺňať požiadavky charty týkajúce sa obmedzenia práv a slobôd. Mali by v tom byť zahrnuté aj kolektívne zmluvy, ktoré by mohli byť podľa vnútroštátneho práva uznané za zmluvy so všeobecnou platnosťou. V právnych predpisoch Únie alebo vo vnútroštátnych právnych predpisoch by malo byť takisto stanovené, či prevádzkovateľom vykonávajúcim úlohu vo verejnom záujme alebo z úradnej moci by mala byť verejná správa, alebo iná fyzická alebo právnická osoba, na ktorú sa vzťahuje verejné alebo súkromné právo, ako napríklad profesijné združenie. [PN 14]

(37)  Spracovanie osobných údajov sa musí považovať za rovnako zákonné tam, kde je potrebné na účely ochrany záujmu, ktorý je zásadný pre život dotknutej osoby.

(38)  Oprávnené záujmy prevádzkovateľa alebo v prípade zverejnenia tretej strany, ktorej sa údaje poskytujú, môžu poskytnúť právny základ pre spracovanie údajov, ak spĺňajú primerané očakávania dotknutej osoby na základe jej vzťahu s prevádzkovateľom a ak nad nimi neprevažujú záujmy alebo základné práva a slobody dotknutej osoby. Tu by bolo potrebné vykonávať podrobnejšie posúdenie, najmä ak je dotknutou osobou dieťa, keďže deti majú nárok na osobitnú ochranu. Ak záujmy alebo základné práva a slobody dotknutej osoby neprevažujú, malo by sa predpokladať, že spracovanie obmedzené na pseudonymné údaje spĺňa primerané očakávania dotknutej osoby založené na jej vzťahu s prevádzkovateľom. Dotknutá osoba by mala mať právo bezplatne namietať voči spracovaniu z dôvodov jej konkrétnej situácie. Aby sa zabezpečila transparentnosť, prevádzkovateľ by mal byť povinný výslovne informovať dotknutú osobu o oprávnených záujmoch, ktoré spracúvaním sleduje, a o jej práve namietať, a mal by byť takisto povinný zdokumentovať tieto oprávnené záujmy. Záujmy a základné práva dotknutej osoby by mohli byť nadradené záujmom prevádzkovateľa údajov najmä vtedy, ak sa osobné údaje spracúvajú za okolností, keď dotknuté osoby primerane neočakávajú ďalšie spracúvanie. Keďže je úlohou zákonodarcu stanoviť pre verejné orgány v právnych predpisoch právny základ pre spracovanie údajov, tento právny základ by sa nemal vzťahovať na spracúvanie verejnými orgánmi pri plnení ich úloh. [PN 15]

(39)  Spracúvane údajov v rozsahu nevyhnutne potrebnom a primeranom na účely zaistenia siete informačnej bezpečnosti, t. j. schopnosti siete alebo informačného systému s daným stupňom spoľahlivosti zabezpečiť, že sieť alebo systém odolá odolať poruchám alebo nezákonnému úmyselnému narušeniu, ktoré ovplyvňujú disponibilitu, autenticitu, integritu a dôvernosť uložených alebo prenesených údajov, spolu s bezpečnosťou súvisiacich služieb ponúkaných alebo dostupných prostredníctvom týchto sietí a systémov verejnými orgánmi, jednotkami reakcie na núdzové počítačové situácie (CERTs), jednotkami pre riešenie počítačových incidentov (CSIRTs), poskytovateľmi elektronických komunikačných sietí a služieb a poskytovateľmi bezpečnostných technológií a služieb predstavuje oprávnený záujem dotknutého prevádzkovateľa údajov. Takýto oprávnený záujem by mohol spočívať napríklad v zabránení v neoprávnenom prístupe k elektronickým komunikačným sieťam, v zabránení šíreniu poškodzujúcich programových kódov, v zastavení útokov vo forme cieleného preťaženia serverov („denial of service“), ako aj v zabránení poškodzovaniu počítačových a elektronických komunikačných systémov. Táto zásada sa uplatňuje aj na spracúvanie osobných údajov s cieľom obmedziť zneužívanie prístupu k verejne prístupným sieťovým alebo informačným systémom a ich využívanie, ako je napríklad zverejnenie elektronických identifikátorov na čiernej listine. [PN 16]

(39a)  Ak záujmy alebo základné práva a slobody dotknutej osoby neprevažujú, malo by sa predpokladať, že prevencia alebo obmedzenie škôd na strane prevádzkovateľa údajov sa vykonali v oprávnenom záujme prevádzkovateľa údajov, alebo v prípade zverejnenia v oprávnenom záujme tretej strany, ktorej sa údaje poskytli, a že boli splnené primerané očakávania dotknutej osoby založené na jej vzťahu s prevádzkovateľom. Rovnaká zásada sa uplatňuje aj pri presadzovaní právnych nárokov voči dotknutej osobe, ako je napríklad vymáhanie dlhov, náhrada škody a náprava. [PN 17]

(39b)  Ak záujmy alebo základné práva a slobody dotknutej osoby neprevažujú, malo by sa predpokladať, že spracovanie osobných údajov na účely priameho marketingu vlastných alebo podobných produktov a služieb, alebo na účely priameho poštového marketingu by sa mali vykonať v oprávnenom záujme prevádzkovateľa, alebo v prípade zverejnenia v oprávnenom záujme tretej strany, ktorej sa údaje poskytli, a že boli splnené primerané očakávania dotknutej osoby založené na jej vzťahu s prevádzkovateľom, ak bola poskytnutá jasne viditeľná informácia o práve vzniesť námietku a o zdroji osobných údajov. Malo by sa všeobecne mať za to, že spracovanie kontaktných obchodných údajov sa vykonalo v oprávnenom záujme prevádzkovateľa, alebo v prípade zverejnenia v oprávnenom záujme tretej strany, ktorej sa údaje poskytli, a že boli splnené primerané očakávania dotknutej osoby založené na jej vzťahu s prevádzkovateľom. To isté by malo platiť pre spracovanie osobných údajov, ktoré zjavne zverejnila dotknutá osoba. [PN 18]

(40)  Spracúvanie osobných údajov na iné účely by malo byť povolené len vtedy, ak je toto spracúvanie v súlade s účelmi, na ktoré boli údaje pôvodne zhromaždené, najmä ak spracúvanie je potrebné na historické, štatistické alebo vedeckovýskumné účely. V prípadoch, v ktorých tento iný účel nie je v súlade s pôvodným účelom, na ktorý boli údaje zhromaždené, prevádzkovateľ by mal získať súhlas dotknutej osoby na tejto iný účel alebo by mal spracovanie vykonať na základe iného legitímneho dôvodu zákonného spracúvania, a to najmä ak je takýto dôvod stanovený v práve Únie alebo v práve členského štátu, ktorému prevádzkovateľ podlieha. V každom prípade by sa malo zabezpečiť uplatnenie zásad stanovených v tomto nariadení a najmä povinnosti informovať dotknutú osobu o týchto iných účeloch. [PN 19]

(41)  Osobitnú ochranu je potrebné poskytnúť pri osobných údajoch, ktoré sú svojou povahou zvlášť citlivé a exponované v súvislosti so základnými právami alebo právom na súkromie. Takéto údaje by sa nemali spracúvať, pokým k tomu dotknutá osoba nedá výslovne súhlas. Mali by sa však stanoviť výslovné výnimky z tohto zákazu v súvislosti s osobitnými potrebami, najmä ak sa spracúvanie vykonáva v rámci legitímnych činností určitými združeniami alebo nadáciami, ktoré sa zasadzujú o základné slobody. [PN 20]

(42)  Výnimka zo zákazu spracúvania citlivých kategórií údajov by sa mala povoliť aj v prípade, že existujú pre to zákonné dôvody – s výhradou primeraných záruk ochrany osobných údajov a iných základných práv – ak takéto konanie je odôvodnené verejným záujmom a najmä na zdravotné účely vrátane verejného zdravia, sociálnej ochrany a riadenia poskytovania zdravotníckych služieb, zvlášť ak sa takto zabezpečí kvalita a nákladová efektívnosť postupov používaných pri uplatňovaní nárokov v rámci systému zdravotného poistenia, alebo na účely historické, štatistické a vedeckovýskumné alebo pre archivárske služby. [PN 21]

(43)  Okrem toho, spracovanie osobných údajov oficiálnymi orgánmi na dosiahnutie cieľov oficiálne uznaných náboženských združení – cieľov stanovených v ústave alebo v medzinárodnom verejnom práve – sa vykonáva z dôvodov verejného záujmu.

(44)  Tam, kde si počas volebných aktivít fungovanie demokratického systému v niektorom členskom štáte vyžaduje, aby politické strany zhromažďovali údaje o politických názoroch ľudí, môže byť spracovanie týchto údajov povolené z dôvodov verejného záujmu, a to za predpokladu, že sú poskytnuté náležité záruky.

(45)  Ak údaje spracúvané prevádzkovateľom nedovoľujú prevádzkovateľovi identifikovať fyzickú osobu, prevádzkovateľ nie je povinný získať dodatočné informácie na identifikovanie dotknutej osoby výlučne na to, aby dosiahol súlad s niektorým ustanovením tohto nariadenia. V prípade žiadosti o prístup k údajom má mať prevádzkovateľ právo žiadať dotknutú osobu o ďalšie informácie, ktoré mu umožnia lokalizovať osobné údaje, ktoré táto osoba hľadá. Ak je možné, aby dotknutá osoba takéto údaje poskytla, prevádzkovatelia by nemali mať možnosť dovolávať sa nedostatku informácií ako dôvodu zamietnutia žiadosti o prístup. [PN 22]

(46)  Zásada transparentnosti si vyžaduje, aby všetky informácie určené verejnosti alebo dotknutej osobe boli ľahko prístupné a ľahko pochopiteľné a napísané jasne a jednoducho. Týka sa to najmä situácií, ako je online reklama, v ktorých veľký počet účastníkov a technologická komplexnosť sťažujú dotknutej osobe zistiť a pochopiť, či osobné údaje, ktoré sa jej týkajú, boli zhromaždené, kým a na aké účely. Keďže deťom prislúcha osobitná ochrana, všetky informácie a každá komunikácia, pri ktorej sa spracovanie zameriava osobitne na dieťa, by mali byť napísané jasne a jednoducho, aby ich dieťa mohlo jednoducho pochopiť.

(47)  Mali by sa stanoviť spôsoby, ktoré by dotknutej osobe uľahčili uplatnenie jej práv stanovených v tomto nariadení, vrátane mechanizmov pre vyžiadanie si na získanie bezplatného prístupu k údajom, ich opravu, výmaz a na uplatnenie práva namietať. Prevádzkovateľ by mal byť povinný odpovedať na žiadosť dotknutej osoby v stanovenej primeranej lehote a uviesť dôvody v prípade, že nemôže vyhovieť žiadosti dotknutej osoby. [PN 23]

(48)  Zásady spravodlivého a transparentného spracúvania vyžadujú, aby dotknutá osoba bola informovaná najmä o existencii operácie spracovania a je jej účeloch, o tom, ako dlho budú údaje na každý účel pravdepodobne uchované, ak sa údaje majú poslať tretím stranám alebo do tretích krajín, o existencii opatrení na podávanie námietok a práva na prístup, opravu a výmaz a o práve namietať. Ak sa údaje zhromažďujú od dotknutej osoby, dotknutá osoba by mala byť informovaná aj o tom, či je povinná údaje poskytnúť, a o následkoch v prípade, že tieto údaje neposkytne. Tieto informácie by sa mali poskytovať – čo môže tiež znamenať ľahko sprístupňovať – dotknutej osobe po poskytnutí zjednodušených informácií vo forme štandardizovaných piktogramov. Malo by to tiež znamenať, že osobné údaje sa spracúvajú spôsobom, ktorý dotknutej osobe efektívne umožňuje uplatňovať svoje práva. [PN 24]

(49)  Informácie súvisiace so spracúvaním osobných údajov týkajúcich sa dotknutej osoby by sa dotknutej osobe mali poskytnúť v čase zhromaždenia údajov alebo, ak údaje nie sú zhromaždené od dotknutej osoby, v primeranej lehote v závislosti od okolností prípadu. Ak možno údaje legitímne poskytnúť inému príjemcovi, dotknutá osoba by mala byť informovaná o tom, kedy boli údaje prvýkrát poskytnuté tomuto príjemcovi.

(50)  Nie je však potrebné túto povinnosť uložiť, ak dotknutá osoba už tieto informácie má pozná, ak uloženie alebo poskytnutie údajov je výslovne stanovené v právnych predpisoch, alebo ak poskytnutie informácií dotknutej osobe nie je možné alebo by si vyžiadalo vynaloženie neprimeraného úsilia. Posledná situácia by sa mohla týkať najmä spracovania na historické, štatistické alebo vedeckovýskumné účely; v tejto súvislosti možno zohľadniť počet dotknutých osôb, vek údajov a všetky prijaté kompenzačné opatrenia. [PN 25]

(51)  Každá osoba by mala mať právo na prístup k údajom, ktoré boli o nej zhromaždené, a toto právo aj jednoducho uplatňovať, aby si bola vedomá zákonnosti spracovania a mohla si ju overiť. Každá dotknutá osoba by preto mala mať právo vedieť a byť informovaná najmä o účeloch spracúvania údajov, akú dlhú odhadovanú dobu budú uchovávané, ktorí príjemcovia údajov ich dostanú, aká je všeobecná logika spracúvania údajov a aké môžu byť následky takéhoto spracovania, aspoň v prípadoch, v ktorých sa spracovania opiera o profilovanie. Toto právo by sa nemalo nepriaznivo dotknúť práv a slobôd iných, ani obchodných tajomstiev alebo práv duševného vlastníctva a najmä, napríklad autorských práv týkajúcich sa ochrany softvéru. Výsledkom týchto obáv by však nemalo byť odmietnutie poskytnutia akýchkoľvek informácií dotknutej osobe. [PN 26]

(52)  Prevádzkovateľ by mal použiť všetky primerané opatrenia na overenie totožnosti dotknutej osoby žiadajúcej o prístup k údajom, najmä v súvislosti s online službami a online identifikátormi. Prevádzkovateľ by nemal uchovávať osobné údaje len preto, aby bol schopný reagovať na prípadné žiadosti.

(53)  Každá osoba by mala mať právo nechať opraviť osobné údaje, ktoré sa jej týkajú, a právo byť zabudnutá na výmaz, ak uchovávanie takýchto údajov nie je v súlade s týmto nariadením. Dotknuté osoby by mali mať najmä právo, aby ich osobné údaje boli vymazané a už viac neboli spracúvané, ak údaje už nie sú potrebné v súvislosti s účelmi, na ktoré boli zhromaždené alebo inak spracúvané, ak dotknuté osoby stiahli svoj súhlas s ich spracovaním, ak namietajú voči spracovaniu osobných údajov, ktoré sa ich týkajú, alebo ak spracovanie ich osobných údajov nie je v súlade s týmto nariadením z iných dôvodov. Toto právo je relevantné hlavné v situácii, v ktorej dotknutá osoba dala súhlas ako dieťa, teda v tom čase si ešte nebola plne vedomá rizík spojených so spracúvaním, a neskôr chce takéto osobné údaje odstrániť, najmä z internetu. Ďalšie uchovávanie údajov by malo byť povolené v prípadoch, ak je potrebné na historické, štatistické a vedeckovýskumné účely, z dôvodu verejného záujmu v oblasti verejného zdravia, na uplatnenie slobody prejavu, ak sa to vyžaduje v právnych predpisoch alebo ak existuje dôvod pre na obmedzenie spracúvania údajov namiesto ich vymazania. Právo na výmaz by sa taktiež nemalo uplatňovať v prípade, ak je uchovávanie osobných údajov potrebné na plnenie zmluvy s dotknutou osobou, alebo ak existuje zákonná povinnosť tieto údaje uchovávať. [PN 27]

(54)  Aby sa posilnilo právo byť zabudnutý na výmaz v online prostredí, malo by sa rozšíriť právo na výmaz, a to tak, že by prevádzkovateľ, ktorý osobné údaje zverejnil bez zákonného opodstatnenia, bol povinný informovať tretie strany, ktoré takéto údaje spracúvajú, o tom, že dotknutá osoba ich žiada, aby vymazali akékoľvek odkazy na tieto osobné údaje, ich kópie alebo replikácie. Aby sa táto informácia zabezpečila, prevádzkovateľ by mal prijať všetky primerané kroky vrátane technických opatrení v súvislosti s údajmi určenými na zverejnenie, za ktoré je tento prevádzkovateľ zodpovedný. V súvislosti so zverejnením osobných údajov treťou stranou by sa mal za zodpovedného za toto zverejnenie pokladať prevádzkovateľ, ak prevádzkovateľ takéto zverejnenie treťou stranou povolil prijať všetky potrebné kroky na vymazanie údajov, a to aj tretími stranami, bez toho, aby bolo dotknuté právo dotknutej osoby žiadať náhradu. [PN 28]

(54a)  Údaje, ktoré napadla dotknutá osoba a ktorých presnosť alebo nepresnosť sa nedá určiť, by sa mali blokovať, kým sa problém nevyrieši. [PN 29]

(55)  Na ďalšie posilnenie kontroly nad údajmi dotknutej osoby a práva na prístup by dotknutá osoba tam, kde sa osobné údaje spracúvajú elektronickými prostriedkami a štruktúrovaným spôsobom v bežne používanom formáte, mala mať právo získať kópiu údajov, ktoré sa jej týkajú, a to v bežne používanom elektronickom formáte. Dotknutá osoba by takisto mala mať právo prenášať tieto údaje, ktoré poskytla, z jednej automatizovanej aplikácie, ako je sociálna sieť, do inej. Prevádzkovatelia údajov by sa mali nabádať, aby vyvinuli interoperabilné formáty, ktoré umožnia prenositeľnosť údajov. Tento postup by sa mal uplatniť, ak dotknutá osoba poskytla údaje do automatizovaného systému spracovania na základe jej súhlasu alebo v rámci plnenia zmluvy. Poskytovatelia služieb informačnej spoločnosti by nemali prevod týchto údajov stanoviť ako povinnú podmienku poskytovania svojich služieb. [PN 30]

(56)  V prípade, že by osobné údaje mohli byť zákonne spracované na ochranu životných záujmov dotknutej osoby alebo z dôvodu verejného záujmu, pri výkone úradnej moci alebo na základe oprávnených záujmov prevádzkovateľa, dotknutá osoba by mala mať aj v takom prípade právo namietať proti spracovaniu akýchkoľvek údajov, ktoré sa jej týkajú, a to bezplatne a spôsobom, ktorý možno ľahko a účinne odvolať. Dôkazné bremeno by malo spočívať na prevádzkovateľovi a ten by mal preukázať oprávnené záujmy, ktoré môžu prevažovať nad záujmami alebo základnými právami a slobodami dotknutej osoby. [PN 31]

(57)  Ak sa osobné údaje spracúvajú na účely priameho marketingu, má dotknutá osoba by mala mať právo namietať proti takému spracovaniu, a to bezplatne a jednoduchým a účinným spôsobom prevádzkovateľ by to mal dotknutej osobe výslovne ponúknuť zrozumiteľným spôsobom a formou, pričom použije jasný a jednoduchý jazyk a mal by to jasne odlíšiť od ostatných informácií. [PN 32]

(58)  Bez toho, aby bola dotknutá zákonnosť spracovania údajov, každá fyzická osoba by mala mať právo, aby sa na ňu nevzťahovalo opatrenie založené na profilovaní prostredníctvom automatizovaného spracovania. Takéto opatrenie namietať proti profilovaniu. Profilovanie, ktoré vedie k opatreniam s právnymi dôsledkami týkajúcimi sa dotknutej osoby, alebo podobne významne ovplyvňuje záujmy, práva alebo slobody dotknutej osoby, by však malo byť povolené len vtedy, ak je výslovne povolené v právnych predpisoch, vykonáva sa v rámci uzatvorenia alebo plnenia zmluvy alebo ak dotknutá osoba dala svoj súhlas. V každom prípade by takéto spracúvanie malo podliehať primeraným zárukám vrátane povinnosti výslovného informovania dotknutej osoby, práva vymôcť zásah posúdenie ľudského činiteľa a pravidla, že takéto opatrenie by sa nemalo týkať detí. Takéto opatrenia by nemali viesť k diskriminácii jednotlivcov z dôvodu rasy alebo etnického pôvodu, politických názorov, náboženstva alebo presvedčenia, členstva v odboroch, sexuálnej orientácie alebo rodovej identity. [PN 33]

(58a)   Profilovanie založené výhradne na spracovaní pseudonymných údajov by nemalo významne ovplyvniť záujmy, práva alebo slobody dotknutej osoby. Ak profilovanie, či už na základe jedného zdroja pseudonymných údajov alebo skupiny pseudonymných údajov z rôznych zdrojov, umožňuje prevádzkovateľovi priradiť pseudonymné údaje ku konkrétnej dotknutej osobe, spracované údaje by sa už nemali považovať za pseudonymné. [PN 34]

(59)  Únia alebo členské štáty môžu zaviesť obmedzenia osobitných zásad a práva na informovanie, na prístup, opravu a výmaz alebo práva na prenosnosť prístup a získanie údajov, práva namietať, opatrení založených na profilovaní práva spojeného s profilovaním, ako aj oznámení dotknutej osobe o porušení ochrany osobných údajov a určitých povinností prevádzkovateľa, pokiaľ je to potrebné a v demokratickej spoločnosti primerané na zaistenie verejnej bezpečnosti vrátane ochrany zdravia ľudí – najmä v reakcii na prírodné alebo človekom zapríčinené katastrofy – pokiaľ je potrebné predchádzať trestným činom alebo porušovaniu etiky v regulovaných profesiách, vyšetrovať ich a stíhať, alebo ak je to potrebné pre iné špecifické a presne vymedzené verejné záujmy Únie alebo niektorého členského štátu, najmä ak ide o dôležitý hospodársky alebo finančný záujem Únie alebo niektorého členského štátu, alebo ak je to dôležité pre ochranu dotknutej osoby alebo práv a slobôd iných. Tieto obmedzenia by mali byť v súlade s požiadavkami stanovenými v charte a Európskom dohovore o ochrane ľudských práv a základných slobôd. [PN 35]

(60)  Mala by sa stanoviť celková zodpovednosť a povinnosť prevádzkovateľa týkajúca sa akéhokoľvek spracúvania osobných údajov vykonávaného prevádzkovateľom alebo v jeho mene, najmä pokiaľ ide o dokumentáciu, bezpečnosť údajov, posúdenie vplyvu, úradníka pre ochranu údajov a dohľad orgánov na ochranu údajov. Prevádzkovateľ by mal najmä zabezpečiť a mal by mať povinnosť byť schopný preukázať súlad každej operácie spracovania údajov s týmto nariadením. Mali by to overiť nezávislí interní alebo externí audítori. [PN 36]

(61)  Ochrana práv a slobôd dotknutých osôb v súvislosti so spracúvaním osobných údajov si vyžaduje prijatie primeraných technických a organizačných opatrení v čase prípravy spracúvania a aj v čase samotného spracúvania, aby sa zabezpečilo splnenie požiadaviek uvedených v tomto nariadení. Aby sa zabezpečil a preukázal súlad s týmto nariadením, prevádzkovateľ by mal prijať interné pravidlá a uplatniť primerané opatrenia, ktoré budú rešpektovať najmä zásady ochrany údajov špecificky navrhnutej a ochrany údajov štandardne určenej. Zásada špecificky navrhnutej ochrany údajov vyžaduje začlenenie ochrany údajov do celého životného cyklu technológie, a to už od začiatočnej etapy návrhu až po jeho konečné uskutočnenie, používanie a konečnú likvidáciu. Malo by to zahŕňať aj zodpovednosť za produkty a služby, ktoré využíva prevádzkovateľ alebo sprostredkovateľ. Zásada štandardne určenej ochrany údajov vyžaduje také nastavenia v oblasti súkromia v súvislosti so službami a produktmi, ktoré by štandardne spĺňali všeobecné zásady ochrany údajov, ako je minimalizácia množstva údajov a obmedzenie účelu. [PN 37]

(62)  Ochrana práv a slobôd dotknutých osôb, ako aj zodpovednosť a povinnosť prevádzkovateľov a sprostredkovateľa, a to aj v súvislosti s monitorovaním zo strany dozorných orgánov a ich opatreniami, si vyžaduje jasné priradenie zodpovednosti podľa tohto nariadenia vrátane prípadov, v ktorých prevádzkovateľ určuje účely, podmienky a prostriedky spracovania spoločne s inými prevádzkovateľmi alebo v prípadoch, v ktorých sa operácia spracovania vykonáva v mene prevádzkovateľa. Vzájomné usporiadanie medzi spoločnými prevádzkovateľmi by malo odzrkadľovať konkrétne úlohy a vzťahy spoločných prevádzkovateľov. Spracovanie osobných údajov by podľa tohto nariadenia malo zahŕňať povolenie pre prevádzkovateľa na prenos údajov spoločnému prevádzkovateľovi alebo sprostredkovateľovi na spracovanie údajov v jeho mene. [PN 38]

(63)  Ak prevádzkovateľ, ktorý nemá sídlo v Únii, spracúva osobné údaje dotknutej osoby s bydliskom v Únii, pričom jeho spracúvanie súvisí s ponukou tovaru a služieb takýmto dotknutým osobám alebo so sledovaním ich správania, prevádzkovateľ by mal určiť zástupcu, pokiaľ ak jeho sídlo nie je v tretej krajine, ktorá zabezpečuje primeranú úroveň ochrany, pokiaľ nie je malým alebo stredným podnikom či alebo sa spracovanie týka menej ako 5000 dotknutých osôb v priebehu 12 po sebe idúcich mesiacov a nespracúvajú sa osobitné kategórie osobných údajov, alebo je orgánom verejnej moci alebo verejným subjektom, alebo pokiaľ tento prevádzkovateľ neponúka tovar a služby dotknutým osobám iba príležitostne. Zástupca by mal konať v mene prevádzkovateľa a môže sa na neho obracať ktorýkoľvek dozorný orgán. [PN 39]

(64)  Aby bolo možné určiť, či prevádzkovateľ ponúka tovar a služby dotknutým osobám s bydliskom v Únii iba príležitostne, je potrebné uistiť sa, či je z celkovej činnosti prevádzkovateľa zjavné, že ponuka tovaru a služieb takýmto dotknutým osobám je vedľajšou činnosťou vykonávanou popri jeho hlavnej činnosti. [PN 40]

(65)  Aby sa preukázal mohol prevádzkovateľ alebo sprostredkovateľ preukázať súlad s týmto nariadením, mal by prevádzkovateľ alebo sprostredkovateľ zdokumentovať každú operáciu spracovania uchovávať potrebnú dokumentáciu, aby tým splnil požiadavky stanovené v tomto nariadení. Každý prevádzkovateľ a sprostredkovateľ by mal byť povinný spolupracovať s dozorným orgánom a na požiadanie mu sprístupniť svoju dokumentáciu tak, aby tento orgán mohol vykonávať monitorovanie týchto operácií spracovania údajov posúdiť súlad s týmto nariadením. Rovnaký dôraz a význam by sa však mal klásť na osvedčené postupy a dodržiavanie predpisov, nielen na vypĺňanie dokumentácie. [PN 41]

(66)  Aby sa zachovala bezpečnosť a aby sa predišlo spracúvaniu údajov v rozpore s týmto nariadením, prevádzkovateľ alebo sprostredkovateľ by mali posúdiť riziká súvisiace so spracovaním a uplatniť opatrenia na zmiernenie týchto rizík. Tieto opatrenia by mali zabezpečiť primeranú úroveň bezpečnosti pri zohľadnení najnovšieho stavu techniky a nákladov na jej zavedenie v súvislosti s rizikami a povahou osobných údajov, ktoré sa majú chrániť. Pri stanovovaní technických noriem a organizačných opatrení na zaistenie bezpečnosti spracúvania by Komisia sa mala podporovať technologickú neutralitu, interoperabilitu technologická neutralita, interoperabilita a inovácie, a prípadne by sa mala povzbudzovať spoluprácu spolupráca s tretími krajinami. [PN 42]

(67)  Ak nie je porušenie ochrany osobných údajov vhodne a včas riešené, môže spôsobiť značné hospodárske straty a sociálne škody vrátane krádeže totožnosti dotknutej fyzickej osoby. Preto hneď ako by mal prevádzkovateľ zistí, že došlo k porušeniu ochrany údajov, bez zbytočného odkladu oznámi oznámiť toto porušenie dozornému orgánu, pokiaľ možno do 24 čo by nemalo byť neskôr ako do 72 hodín. Ak túto skutočnosť nie je možné oznámiť do 24 hodín, k oznámeniu je potrebné V prípade potreby by s malo priložiť k oznámeniu vysvetlenie dôvodov omeškania. Fyzické osoby, ktorých osobné údaje by mohli byť nepriaznivo ovplyvnené takýmto porušením, by o tejto skutočnosti mali byť bez zbytočného odkladu informované, aby sa im umožnilo podniknúť potrebné kroky. Porušenie by sa malo pokladať za udalosť nepriaznivo ovplyvňujúcu ochranu osobných údajov alebo súkromia, ak by mohlo mať za následok napríklad krádež totožnosti alebo podvod, fyzickú ujmu, veľké poníženie alebo poškodenie dobrého mena. V informácii by mal byť opísaný charakter porušenia ochrany osobných údajov a mali by tu byť formulované odporúčania pre dotknutú osobu, ako zmierniť možné nepriaznivé dôsledky. Informovanie dotknutých osôb by malo realizovať čo možno najskôr, v úzkej spolupráci s dozorným orgánom a pri dodržaní usmernenia, ktoré tento orgán alebo iný relevantný orgán (napr. orgány presadzovania práva) poskytol. Napríklad možnosť pre dotknutú osobu zmierniť okamžité riziko ujmy si vyžaduje promptné informovanie dotknutých osôb, avšak v prípade, že je potrebné zaviesť primerané opatrenia na zabránenie pokračovaniu alebo výskytu podobných poručení ochrany údajov, môže byť opodstatnená aj dlhšia lehota. [PN 43]

(68)  Na určenie toho, či porušenie osobných údajov bolo oznámené dozornému orgánu a dotknutej osobe bez zbytočného odkladu, je potrebné uistiť sa, že prevádzkovateľ uplatnil a použil primeranú technologickú ochranu a organizačné opatrenia na bezodkladné zistenie, či došlo k porušeniu ochrany osobných údajov, a na promptné informovanie dozorného orgánu a dotknutej osoby skôr, než príde k poškodeniu osobných a ekonomických záujmov, a zohľadniť pritom najmä povahu a závažnosť porušenia ochrany osobných údajov, dôsledky tohto porušenia a nepriaznivé vplyvy pre dotknutú osobu.

(69)  Pri stanovovaní podrobných pravidiel týkajúcich sa formátu a postupov uplatniteľných na oznámenia o porušení ochrany osobných údajov je potrebné venovať veľkú pozornosť okolnostiam porušenia, ako aj tomu, či osobné údaje boli alebo neboli chránené primeranými technickými ochrannými opatreniami, ktoré účinne obmedzujú pravdepodobnosť podvodu alebo inej formy zneužitia. Takéto pravidlá a postupy by okrem toho mali zohľadňovať aj oprávnené záujmy orgánov presadzovania práva v prípadoch, v ktorých by predčasné zverejnenie informácií mohlo ľahko poškodiť vyšetrovanie okolností porušenia ochrany údajov.

(70)  V smernici 95/46/ES bola stanovená všeobecná povinnosť oznamovať spracúvanie osobných údajov dozorným orgánom. Keďže táto povinnosť spôsobovala administratívnu a finančnú záťaž, neprispela vždy k zlepšeniu ochrany osobných údajov. Takáto nerozlišujúca všeobecná oznamovacia povinnosť by preto mala byť zrušená a nahradená efektívnymi postupmi a mechanizmami zameranými namiesto toho na tie operácie spracovania, ktoré môžu predstavovať osobitné riziko pre práva a slobody dotknutých osôb z dôvodu ich povahy, rozsahu alebo účelu, na ktorý sa vykonávajú. V takých prípadoch by prevádzkovateľ alebo sprostredkovateľ mali pred spracovaním informácií vykonať posúdenie vplyvu na ochranu údajov, ktoré by malo zahŕňať najmä uvedenie plánovaných opatrení, záruky a mechanizmy zabezpečenia ochrany osobných údajov a mal by sa takisto preukázať súlad s týmto nariadením.

(71)  Tento postup by sa mal uplatniť najmä pri novozaložených rozsiahlych informačných systémoch, ktorých cieľom je spracovávať značný objem osobných údajov na regionálnej, vnútroštátnej alebo nadnárodnej úrovni a ktoré by mohli ovplyvniť veľký počet dotknutých osôb.

(71a)  Posúdenia vplyvu sú dôležitým základom každého udržateľného rámca ochrany údajov, keďže zaisťujú, aby si podniky od začiatku uvedomovali všetky možné dôsledky svojich operácií spracúvania údajov. Ak sú posúdenia vplyvu dôkladné, pravdepodobnosť akéhokoľvek porušenia ochrany údajov alebo operácie zasahujúce do súkromia možno podstatne obmedziť. Posúdenia vplyvu na ochranu údajov by preto mali zohľadňovať správu osobných údajov počas celého životného cyklu od zberu cez spracovanie až po vymazanie, pričom by mali podrobne opisovať plánované operácie spracovania, riziká ohrozujúce práva a slobody dotknutých osôb, opatrenia plánované na riešenie rizík, ochranné prvky, bezpečnostné opatrenia a mechanizmy na zabezpečenie dodržiavania tohto nariadenia. [PN 44]

(71b)  Prevádzkovatelia by sa mali zameriavať na ochranu osobných údajov počas celého životného cyklu údajov od zberu cez spracovanie až po vymazanie tak, že od počiatku investujú do udržateľného systému správy údajov a spoja ho s komplexným mechanizmom dodržiavania predpisov. [PN 45]

(72)  Existujú okolnosti, za ktorých môže byť vhodné a ekonomické, aby sa predmet posúdenia vplyvu na ochranu údajov nevzťahoval len na jeden projekt, ale bol širší, napríklad ak verejné orgány alebo subjekty zamýšľajú vytvoriť spoločnú aplikáciu či spracovateľskú platformu alebo ak niekoľko prevádzkovateľov zamýšľa zaviesť spoločnú aplikáciu či spracovateľské prostredie v rámci odvetvia alebo segmentu alebo na široko rozvetvenú horizontálnu činnosť.

(73)  Posúdenie vplyvu na ochranu údajov by mal vykonávať verejný orgán alebo verejný subjekt, ak takéto posúdenie nebolo vykonané už v súvislosti s prijímaním vnútroštátneho zákona, na ktorom je založené vykonávanie úloh verejného orgánu alebo verejného subjektu a ktorý reguluje osobitnú operáciu spracovania alebo súbor takýchto operácií. [PN 46]

(74)  Ak z posúdenia vplyvu na ochranu údajov vyplýva, že operácie spracovania údajov sú sprevádzané vysokým stupňom osobitných rizík pre práva a slobody dotknutých osôb, ako je napríklad vylúčenie jednotlivcov z uplatňovania ich práva, alebo v dôsledku použitia osobitných nových technológií, mal by byť malo by sa ešte pred začiatkom operácií kontaktovaný dozorný orgán a informovaný spracúvania konzultovať s úradníkom pre ochranu údajov alebo dozorným orgánom o riskantnom spracúvaní, ktoré nemusí byť v súlade s týmto nariadením, a mali by byť navrhnuté možnosti nápravy tejto situácie. Takéto Konzultácie s dozorným orgánom by sa mali rovnako vykonávať aj počas prípravy buď opatrenia prijatého vnútroštátnym parlamentom alebo opatrenia založeného na takomto legislatívnom opatrení, ktoré definuje povahu spracúvania a stanovuje náležité záruky. [PN 47]

(74a)  Posúdenia vplyvu môžu byť užitočné len v prípade, ak prevádzkovatelia zabezpečia dodržiavanie sľubov, ktoré v nich pôvodne dali. Prevádzkovatelia údajov by preto mali uskutočňovať pravidelné kontroly dodržiavania predpisov v oblasti ochrany údajov, ktoré by mali preukázať, že zavedené mechanizmy spracovania údajov sú v súlade so zárukami uvedenými v posúdení vplyvu na ochranu údajov. Okrem toho by mali preukázať schopnosť prevádzkovateľa údajov plniť nezávislé rozhodnutia dotknutých osôb. Navyše v prípade, že sa pri kontrole zistí nedôsledné dodržiavanie, malo by sa to zdôrazniť a predložiť odporúčania, ako dosiahnuť plnohodnotné dodržiavanie. [PN 48]

(75)  Ak sa spracúvanie vykonáva vo verejnoprávnom sektore, alebo ak sa v súkromnom sektore vykonáva spracúvanie veľký podnik týka viac než 5000 dotknutých osôb za 12 mesiacov, alebo ak hlavné činnosti podniku, bez ohľadu na jeho veľkosť, zahŕňajú operácie spracovania citlivých údajov, alebo operácie spracovania, ktoré si vyžaduje vyžadujú pravidelné a systematické monitorovanie, prevádzkovateľovi alebo sprostredkovateľovi by mala nejaká osoba pomáhať monitorovať vnútorné dodržiavanie tohto nariadenia. Takýto Pri určovaní, či sa spracúvajú údaje o veľkom počte dotknutých osôb, nemali by sa brať do úvahy archivované údaje, ktoré sú obmedzené tak, že sa na ne nevzťahuje bežný prístup k údajom a bežné činnosti spracovania prevádzkovateľom a už ich nemožno meniť. Takíto úradníci pre ochranu údajov, či už sú alebo nie sú zamestnancami prevádzkovateľa, a či vykonávajú túto činnosť na plný pracovný úväzok alebo nie, by mali byť schopní mať možnosť vykonávať svoje povinnosti a úlohy nezávisle a byť osobitne chránení pred prepustením. Konečnú zodpovednosť by však malo aj naďalej niesť vedenie organizácie. Pred vypracovaním návrhu, obstaraním, vývojom a zavedením systémov automatického spracovania osobných údajov by sa malo konzultovať najmä s úradníkom pre ochranu údajov, aby sa zabezpečili zásady špecificky navrhnutej a štandardne určenej ochrany súkromia. [PN 49]

(75a)  Úradník pre ochranu údajov by mal mať aspoň tieto kvalifikácie: rozsiahle znalosti o obsahu a uplatňovaní právnych predpisov o ochrane údajov vrátane technických a organizačných opatrení a postupov; znalosť technických požiadaviek špecificky navrhnutej a štandardne určenej ochrany súkromia a bezpečnosti údajov; špecifické znalosti z odvetvia v závislosti od veľkosti prevádzkovateľa alebo sprostredkovateľa a od citlivosti údajov, ktoré sa majú spracovať; schopnosť vykonávať kontroly, konzultácie, dokumentáciu a analýzu zaregistrovaných a odoslaných súborov (log file); a schopnosť pracovať so zástupcami zamestnancov. Prevádzkovateľ by mal úradníkovi pre ochranu údajov umožniť zúčastňovať sa na školeniach o moderných postupoch, aby mal aktuálne špecializované vedomosti potrebné na plnenie jeho úloh. Vykonávanie činnosti úradníka pre ochranu údajov nemusí nevyhnutne vyžadovať prácu príslušného zamestnanca na plný úväzok. [PN 50]

(76)  Združenia alebo iné orgány zastupujúce kategórie prevádzkovateľov by sa mali po konzultácii so zástupcami zamestnancov podnecovať k tomu, aby vypracovali kódy správania v rámci ustanovení tohto nariadenia, aby sa uľahčilo účinné uplatňovanie tohto nariadenia, pričom by sa zohľadnili osobitné črty spracúvania v určitých odvetviach. Takéto kódexy by mali príslušnému odvetviu uľahčiť dodržiavanie súladu s týmto nariadením. [PN 51]

(77)  Aby sa zlepšila transparentnosť a posilnil súlad s týmto nariadením, malo by sa podporiť zavádzanie mechanizmov certifikácie, plomb a štandardizovaných značiek pre potreby ochrany údajov, aby sa dotknutým osobám umožnilo rýchlo, spoľahlivo a overiteľne posúdiť úroveň ochrany údajov v prípade relevantných produktov a služieb. Mala by sa zaviesť „európska pečať ochrany údajov“, ktorej účelom by bolo vytvoriť dôveru medzi dotknutými osobami, právnu istotu pre prevádzkovateľov a zároveň exportovať európske normy na ochranu údajov tým, že sa neeurópskym spoločnostiam po certifikácii umožní ľahšie vstúpiť na európske trhy. [PN 52]

(78)  Cezhraničné toky osobných údajov sú potrebné pre rozmach medzinárodného obchodu a medzinárodnej spolupráce. Zvyšovanie týchto tokov so sebou prinieslo nové výzvy a obavy týkajúce sa ochrany osobných údajov. Avšak ani v prípade, keď sú osobné údaje prenášané z Únie do tretích krajín alebo medzinárodným organizáciám, úroveň ochrany údajov fyzických osôb zaručovaná Úniou na základe tohto nariadenia by nemala byť oslabená. V každom prípade by prenos do tretích krajín mal byť vykonávaný v úplnom súlade s týmto nariadením.

(79)  Toto nariadenie sa nedotýka medzinárodných dohôd uzatvorených medzi Úniou a tretími krajinami, ktoré upravujú prenos osobných údajov a poskytujú náležité záruky pre dotknuté osoby, pričom zabezpečujú primeranú úroveň ochrany základných práv občanov. [PN 53]

(80)  Komisia môže rozhodnúť s účinkom pre celú Úniu, že určité tretie krajiny, územie, sektor spracovania v niektorej tretej krajine alebo medzinárodná organizácia zaručujú primeranú úroveň ochrany údajov, čím poskytne právnu istotu a jednotnosť pre celú Úniu, pokiaľ ide o tretie krajiny alebo medzinárodné organizácie pokladané za krajiny a organizácie poskytujúce takúto úroveň ochrany. V takýchto prípadoch sa prenosy osobných údajov do týchto krajín môžu uskutočňovať bez potreby získania ďalšieho povolenia. Komisia sa môže potom, ako to tretej krajine oznámi a v plnom rozsahu odôvodní, rozhodnúť takéto rozhodnutie odvolať. [PN 54]

(81)  V súlade so základnými hodnotami, na ktorých je založená Únia, najmä pokiaľ ide o ochranu ľudských práv, by Komisia pri posudzovaní tretej krajiny mala zohľadniť skutočnosť, ako daná tretia krajina dodržiava zásady právneho štátu, prístupu k spravodlivosti, ako aj medzinárodné normy a štandardy v oblasti ľudských práv.

(82)  Komisia môže rovnako usúdiť, že tretia krajina, územie, sektor spracovania v tretej krajine alebo medzinárodná organizácia nezabezpečujú primeranú úroveň ochrany údajov. Všetky právne predpisy, ktoré ustanovujú extrateritoriálny prístup k osobným údajom spracúvaným v Únii bez povolenia podľa práva Únie alebo práva členských štátov, by sa mali považovať za neprimerané. V dôsledku toho by sa mal prenos osobných údajov do tejto tretej krajiny zakázať. V takomto prípade treba prijať ustanovenie o konzultácii medzi Komisiou a takýmito tretími krajinami alebo medzinárodnými organizáciami. [PN 55]

(83)  Pri absencii rozhodnutia o primeranosti by prevádzkovateľ a sprostredkovateľ mali prijať opatrenia na kompenzáciu za nedostatočnú ochranu údajov v tretej krajine prostredníctvom náležitých záruk pre dotknutú osobu. Takéto náležité záruky môžu spočívať v uplatnení záväzných firemných pravidiel, štandardných ustanovení o ochrane údajov prijatých Komisiou, štandardných ustanovení o ochrane údajov prijatých dozorným orgánom, alebo zmluvných ustanovení iných vhodných a primeraných opatrení opodstatnených všetkými okolnosťami operácie prenosu údajov alebo súboru operácií prenosu údajov a povolených dozorným orgánom. Uvedené náležité záruky by mali zabezpečiť adekvátne dodržiavanie práv dotknutých osôb ako v prípade spracovania v rámci Únie, a to najmä pokiaľ ide o obmedzenie účelu, právo na prístup, nápravu, výmaz a uplatňovanie odškodnenia. Uvedené záruky by mali konkrétne zaručiť dodržiavanie zásad spracovania osobných údajov, ochranu práv dotknutej osoby, a zabezpečiť účinný mechanizmus nápravy, zabezpečiť dodržiavanie zásad špecificky navrhnutej i štandardne určenej ochrany údajov a zaručiť existenciu úradníka pre ochranu údajov. [PN 56]

(84)  Možnosť pre prevádzkovateľa alebo sprostredkovateľa uplatniť štandardné ustanovenia o ochrane údajov prijaté Komisiou alebo dozorným orgánom by prevádzkovateľom ani sprostredkovateľom nemali brániť v tom, aby zahrnuli štandardné doložky o ochrane údajov do širšej zmluvy alebo k nim pridali ďalšie ustanovenia alebo doplňujúce záruky, pokiaľ nie sú priamo alebo nepriamo kontradiktórne vo vzťahu k štandardným zmluvným doložkám prijatým Komisiou alebo dozorným orgánom alebo pokiaľ sa nedotýkajú základných práv a slobôd dotknutých osôb. Štandardné ustanovenia o ochrane údajov prijaté Komisiou by mohli zahŕňať rôzne situácie, konkrétne prenosy od prevádzkovateľov usadených v Únii prevádzkovateľom usadeným mimo Únie a od prevádzkovateľov usadených v Únii sprostredkovateľom vrátane subdodávateľských sprostredkovateľov usadeným mimo Únie. Prevádzkovatelia a sprostredkovatelia by sa mali nabádať, aby poskytovali ešte rozsiahlejšie záruky prostredníctvom dodatočných zmluvných záväzkov, ktoré doplnia štandardné ustanovenia o ochrane údajov [PN 57]

(85)  Každá skupina podnikov by mala byť schopná uplatňovať záväzné firemné pravidlá pri svojich medzinárodných prenosoch z Únie organizáciám v rámci tej istej skupiny podnikov, pokiaľ takéto firemné pravidlá zahŕňajú všetky hlavné zásady a vymáhateľné práva na zabezpečenie náležitých záruk pre prenosy alebo kategórie prenosov osobných údajov. [PN 58]

(86)  Mali by byť prijaté ustanovenia o možnosti prenosov za určitých okolností, ak dotknutá osoba dala súhlas, ak je prenos potrebný v súvislosti so zmluvným alebo právnym nárokom, ak si to vyžadujú dôležité dôvody verejného záujmu stanoveného Úniou alebo členským štátom alebo ak je prenos realizovaný z registra vytvoreného na základe zákona alebo určeného na nahliadanie zo strany verejnosti alebo osôb s oprávneným záujmom. V poslednom uvedenom prípade by tento prenos nemal zahŕňať úplné údaje alebo celé kategórie údajov obsiahnutých v registri a ak je register učený na nahliadanie zo strany osôb s oprávneným záujmom, prenos by sa mal vykonať len na požiadanie takýchto osôb alebo vtedy, ak sú takéto osoby príjemcami údajov, pričom sa vezmú plne do úvahy záujmy a základné práva dotknutej osoby. [PN 59]

(87)  Tieto výnimky by sa mali uplatňovať najmä pri prenosoch údajov požadovaných a potrebných na ochranu dôležitých dôvodov verejného záujmu, napríklad v prípadoch medzinárodných prenosov medzi orgánmi hospodárskej súťaže, daňovými alebo colnými správami, orgánmi finančného dohľadu, medzi útvarmi zodpovednými za otázky sociálneho zabezpečenia alebo verejného zdravia alebo medzi príslušnými orgánmi verejnej moci na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania a stíhania vrátane predchádzania praniu špinavých peňazí a boja proti financovaniu terorizmu. Prenos osobných údajov by sa mal rovnako považovať za zákonný tam, kde je potrebný na ochranu záujmu, ktorý má zásadný význam pre život dotknutej alebo inej osoby, a to v prípade, ak dotknutá osoba nie je schopná dať súhlas. Prenos osobných údajov z takýchto významných dôvodov verejného záujmu by sa mal využívať len príležitostne. V každom jednotlivom prípade by sa mali dôkladne posúdiť všetky okolnosti prenosu. [PN 60]

(88)  Možno vykonávať aj prenosy, ktoré nemožno označiť za časté alebo hromadné, a to na účely oprávnených záujmov prevádzkovateľa alebo sprostredkovateľa, ak posúdili všetky okolnosti prenosu údajov. Na účely spracúvania Pri spracúvaní na historické, štatistické a vedeckovýskumné účely by sa mali zohľadniť legitímne očakávania spoločnosti týkajúce sa prehĺbenia znalostí. [PN 61]

(89)  V každom prípade, v ktorom Komisia neprijala rozhodnutie o primeranej úrovni ochrany údajov v niektorej tretej krajine, prevádzkovateľ alebo sprostredkovateľ by mali využiť riešenia, ktoré dotknutým osobám poskytujú právne záväzné záruky, že budú aj naďalej môcť uplatňovať základné práva a záruky, pokiaľ ide o spracúvanie ich údajov v Únii, keď budú tieto údaje prenesené, ak spracúvanie nie je masové, opakované ani štrukturálne. Záruka by mala zahŕňať finančné odškodnenie v prípade straty údajov, neoprávneného prístupu k nim alebo ich spracovania a povinnosť poskytovať bez ohľadu na vnútroštátne právne predpisy podrobné informácie o všetkých prístupoch orgánov verejnej moci tretej krajiny k údajom. [PN 62]

(90)  Niektoré tretie krajiny prijímajú zákony, nariadenia alebo iné legislatívne nástroje, ktoré priamo regulujú spracúvanie údajov fyzických a právnických osôb v rámci jurisdikcie členských štátov. Extrateritoriálne uplatňovanie týchto zákonov, nariadení a iných legislatívnych nástrojov môže byť v rozpore s medzinárodným právom a môže ohroziť ochranu fyzických osôb garantovanú Úniou v tomto nariadení. Prenosy by mali byť povolené len za podmienok uvedených v tomto nariadení pre prenosy do tretích krajín. Môže ísť okrem iného o prípad, keď zverejnenie je potrebné z dôležitého dôvodu verejného záujmu uznaného v právnych predpisoch Únie alebo v právnych predpisoch členských štátov, ktorým prevádzkovateľ podlieha. Podmienky, za ktorých existuje dôležitý dôvod verejného záujmu, by mala Komisia ďalej špecifikovať v delegovanom akte. V prípadoch, keď prevádzkovatelia alebo sprostredkovatelia čelia navzájom si odporujúcim požiadavkám na dodržiavanie predpisov medzi jurisdikciou Únie na jednej strane a jurisdikciou tretej krajiny na strane druhej, Komisia by mala zabezpečiť, aby malo právo Únie vždy prednosť. Komisia by mala prevádzkovateľovi a sprostredkovateľovi poskytovať usmernenia a pomoc a mala by sa snažiť vyriešiť jurisdikčný spor s príslušnou treťou krajinou. [PN 63]

(91)  Pri pohybe osobných údajov za hranice sa môže zvýšiť riziko z hľadiska možnosti fyzických osôb uplatniť práva ochrany údajov, a to najmä pokiaľ ide o ich schopnosť chrániť sa pred nezákonným využitím alebo zverejnením týchto informácií. Zároveň dozorné orgány môžu zistiť, že nie sú schopné riešiť sťažnosti alebo vykonávať vyšetrovanie týkajúce sa činností vykonávaných za ich hranicami. Prekážkou v ich úsilí spolupracovať v cezhraničnom kontexte môžu byť aj nedostatočné preventívne alebo nápravné právomoci, nekonzistentné právne režimy a praktické prekážky, napríklad nedostatočné zdroje. Preto je tu potreba podporovať užšiu spoluprácu medzi dozornými orgánmi pre ochranu údajov s cieľom pomôcť im pri výmene informácií a pri vyšetrovaniach vykonávaných v spolupráci s ich medzinárodnými partnermi.

(92)  Zriadenie dozorných orgánov v členských štátoch a vykonávanie ich funkcií v úplnej nezávislosti je zásadným prvkom ochrany fyzických osôb v súvislosti so spracúvaním ich osobných údajov. Členské štáty môžu zriadiť viac ako jeden dozorný orgán, aby zohľadnili svoju ústavnú, organizačnú a správnu štruktúru. Orgán má primerané finančné a personálne zdroje na plné vykonávanie svojich úloh, pričom sa zohľadňuje počet obyvateľov a množstvo spracúvaných osobných údajov. [PN 64]

(93)  Ak niektorý členský štát zriadi viacero dozorných orgánov, mal by v zákone stanoviť mechanizmy na zabezpečenie efektívnej účasti týchto dozorných orgánov na mechanizme konzistentnosti. Takéto členské štáty by mali najmä určiť dozorný orgán, ktorý bude fungovať ako jediné kontaktné miesto pre efektívnu účasť týchto orgánov na uvedenom mechanizme s cieľom zabezpečiť rýchlu a bezproblémovú spoluprácu s ostatnými dozornými orgánmi, Európskym výborom pre ochranu údajov a Komisiou.

(94)  Každý dozorný orgán by mal mať k dispozícii dostatok personálnych a finančných zdrojov, pričom sa osobitná pozornosť venuje zabezpečeniu primeraných technických a právnych znalostí zamestnancov, priestory a infraštruktúru, ktoré sú potrebné na účinné plnenie úloh vrátane tých, ktoré sa týkajú vzájomnej pomoci a spolupráce s ostatnými dozornými orgánmi v rámci Únie. [PN 65]

(95)  Všeobecné podmienky pre členov dozorného orgánu by mal každý členský štát stanoviť zákonným predpisom, kde by malo byť najmä stanovené, že členovia by mali byť menovaní vymenovaní parlamentom alebo vládou členského štátu, pričom sa náležitá pozornosť venuje minimalizácii možnosti politického zasahovania, a mali by tu byť uvedené pravidlá o osobnej kvalifikácii členov, zabránení konfliktom záujmov a pozícii týchto členov. [PN 66]

(96)  Dozorné orgány by mali monitorovať uplatňovanie ustanovení podľa tohto nariadenia a prispievať k jeho konzistentnému uplatňovaniu v rámci Únie, aby sa chránili fyzické osoby v súvislosti so spracúvaním ich osobných údajov a uľahčil sa voľný tok osobných údajov v rámci vnútorného trhu. Na tento účel by dozorné orgány mali spolupracovať navzájom, ako aj s Komisiou.

(97)  Ak sa spracovanie osobných údajov v rámci činnosti zariadenia prevádzkovateľa alebo sprostredkovateľa v Únii vykonáva vo viac ako jednom členskom štáte, pre monitorovanie činností prevádzkovateľa iba jeden dozorný orgán by mal vystupovať ako jednotné kontaktné miesto a vedúci orgán zodpovedný za dohľad nad prevádzkovateľom alebo sprostredkovateľa sprostredkovateľom v Únii a za prijímanie súvisiacich rozhodnutí by mal byť príslušný iba jeden dozorný orgán, aby sa posilnilo konzistentné uplatňovanie pravidiel, poskytla sa právna istota a znížilo sa administratívne zaťaženie pre takýchto prevádzkovateľov a sprostredkovateľov. [PN 67]

(98)  Príslušným Vedúcim orgánom, ktorý je takýmto jediným kontaktným miestom, by mal byť dozorný orgán členského štátu, v ktorom má prevádzkovateľ alebo sprostredkovateľ svoje ústredie alebo zastúpenie. Európsky výbor pre ochranu údajov môže v určitých prípadoch určiť prostredníctvom mechanizmu konzistentnosti vedúci orgán na žiadosť príslušného orgánu. [PN 68]

(98a)  Dotknuté osoby, ktorých osobné údaje spracúva prevádzkovateľ údajov alebo sprostredkovateľ v inom členskom štáte, by mali mať možnosť podať sťažnosť dozornému orgánu podľa vlastného výberu. Vedúci orgán pre ochranu údajov by mal koordinovať svoju činnosť s činnosťou ostatných zapojených orgánov. [PN 69]

(99)  Hoci sa toto nariadenie uplatňuje aj na činnosti vnútroštátnych súdov, príslušnosť dozorných orgánov by sa nemala vzťahovať na spracúvanie osobných údajov v prípadoch, v ktorých konajú súdy na základe ich súdnej právomoci, aby sa takto zaručila nezávislosť sudcov pri výkone ich sudcovských úloh. Táto výnimka by mala byť prísne obmedzená výlučne na sudcovské činnosti v rámci súdnych konaní a nemala by sa uplatňovať na iné činnosti, do ktorých môžu byť sudcovia zapojení v súlade s vnútroštátnym právom.

(100)  Aby sa zabezpečilo konzistentné monitorovanie a uplatňovanie tohto nariadenia v rámci Únie, dozorné orgány by mali mať vo všetkých členských štátoch rovnaké povinnosti a účinné právomoci vrátane právomoci vykonávať vyšetrovania, právomoci robiť právne záväzné úkony, prijímať rozhodnutia a ukladať sankcie, a to najmä v prípadoch sťažností od fyzických osôb, a právomoci zapájať sa do súdnych konaní. Vyšetrovacie právomoci dozorných orgánov, pokiaľ ide o prístup do priestorov, by sa mali uplatňovať v súlade s právnymi predpismi Únie a s vnútroštátnymi právnymi predpismi. Týka sa to najmä požiadavky získať povolenie súdu vopred.

(101)  Každý dozorný orgán by sa mal prejednať sťažnosti podané zaoberať sťažnosťou podanou ktoroukoľvek dotknutou osobou alebo združeniami konajúcimi vo verejnom záujme a vyšetriť predmetnú záležitosť. Vyšetrovanie na základe sťažnosti by sa malo vykonávať, s výhradou preskúmania veci súdom, v rozsahu primeranom pre konkrétny prípad. Dozorný orgán by mal informovať dotknutú osobu alebo združenie o pokroku pri vybavovaní sťažnosti a o výsledku sťažnosti v rámci primeranej lehoty. Ak si predmetná záležitosť vyžaduje ďalšie vyšetrovanie alebo koordináciu s iným dozorným orgánom, dotknutej osobe by sa mala poskytnúť priebežná informácia. [PN 70]

(102)  Aktivity dozorných orgánov zamerané na zvyšovanie informovanosti a adresované verejnosti by mali zahŕňať špecifické opatrenia určené prevádzkovateľom a sprostredkovateľom vrátane malých a stredných podnikov, ako aj dotknutým osobám.

(103)  Dozorné orgány by si mali navzájom pomáhať pri výkone svojich povinností a poskytovať vzájomnú pomoc s cieľom zabezpečiť konzistentné uplatňovanie a presadzovanie tohto nariadenia na vnútornom trhu.

(104)  Každý dozorný orgán by mal mať právo zúčastňovať sa na spoločných operáciách medzi dozornými orgánmi. Požiadaný dozorný orgán by mal mať povinnosť odpovedať na žiadosť v rámci vymedzenej časovej lehoty.

(105)  S cieľom zabezpečiť konzistentné uplatňovanie tohto nariadenia v celej Únii by sa mal zriadiť mechanizmus konzistentnosti pre spoluprácu medzi dozornými orgánmi navzájom a medzi nimi a Komisiou. Tento mechanizmus by sa mal uplatňovať najmä vtedy, keď dozorný orgán mieni prijať opatrenie týkajúce sa operácií spracovania, ktoré súvisia s ponukou tovaru alebo služieb dotknutým osobám v niekoľkých členských štátoch, alebo so sledovaním správania takýchto dotknutých osôb, alebo ktoré by mohli podstatne ovplyvniť voľný pohyb osobných údajov. Mal by sa takisto uplatniť vtedy, keď niektorý dozorný orgán alebo Komisia žiadajú, aby sa predmetná záležitosť riešila v rámci mechanizmu konzistentnosti. Okrem toho by mali mať dotknuté osoby právo dosiahnuť konzistentnosť, ak sa domnievajú, že opatrenie orgánu pre ochranu údajov členského štátu toto kritérium nesplnilo. Týmto mechanizmom by nemali byť dotknuté žiadne opatrenia, ktoré by Komisia mohla prijať pri výkone svojich právomocí v zmysle zmlúv. [PN 71]

(106)  Pri uplatňovaní mechanizmu konzistentnosti by Európsky výbor pre ochranu údajov mal v rámci vymedzenej časovej lehoty vydať stanovisko, ak o tom rozhodne jednoduchá väčšina jeho členov, alebo ak o to požiada niektorý dozorný orgán alebo Komisia.

(106a)  Na zabezpečenie jednotného uplatňovania tohto nariadenia môže Európsky výbor pre ochranu údajov prijať v jednotlivých prípadoch rozhodnutie, ktoré je pre príslušné dozorné orgány záväzné. [PN 72]

(107)  S cieľom zabezpečiť súlad s týmto nariadením môže Komisia prijať stanovisko k tejto veci alebo rozhodnutie, ktorým požiada dozorný orgán o pozastavenie jeho návrhu opatrenia. [PN 73]

(108)  Môže sa vyskytnúť naliehavá potreba konať kvôli ochrane záujmov dotknutých osôb, najmä ak existuje nebezpečenstvo, že by uplatňovanie práva dotknutej osoby mohlo byť podstatne sťažené. Dozorný orgán by preto mal mať možnosť pri uplatňovaní mechanizmu konzistentnosti prijímať dočasné opatrenia s vymedzenou dobou platnosti.

(109)  Uplatňovanie tohto mechanizmu by malo byť podmienkou právoplatnosti a vymáhania príslušného rozhodnutia dozorným orgánom. V iných prípadoch s cezhraničnou pôsobnosťou by sa vzájomná pomoc a spoločné vyšetrovanie mohli vykonávať medzi dotknutými dozornými orgánmi na dvojstrannom alebo viacstrannom základe bez uvedenia mechanizmu konzistentnosti do činnosti.

(110)  Na úrovni Únie by sa mal zriadiť Európsky výbor pre ochranu údajov. Mal by nahradiť pracovnú skupinu pre ochranu jednotlivcov so zreteľom na spracovanie osobných údajov, zriadenú smernicou 95/46/ES. Mal by pozostávať z vedúcich predstaviteľov dozorných orgánov, a to po jednom z každého členského štátu, a európskeho dozorného úradníka pre ochranu údajov. Na jeho činnosti by sa mala podieľať aj Komisia. Európsky výbor pre ochranu údajov by mal prispievať ku konzistentnému uplatňovaniu tohto nariadenia v rámci celej Únie, a to aj poskytovaním poradenstva Komisii inštitúciám Únie a podporou spolupráce medzi dozornými orgánmi v rámci celej Únie vrátane koordinácie spoločných operácií. Európsky výbor pre ochranu údajov by mal pri výkone svojich úloh konať nezávisle. Európsky výbor pre ochranu údajov by mal posilniť dialóg s príslušnými zainteresovanými stranami, ako sú združenia dotknutých osôb, spotrebiteľské organizácie, prevádzkovatelia údajov a iné relevantné zainteresované strany a experti. [PN 74]

(111)  Každá dotknutá osoba Dotknuté osoby by mala mali mať právo podať sťažnosť u dozorného orgánu v ktoromkoľvek členskom štáte a mať právo na účinné súdne prostriedky nápravy v súlade s článkom 47 charty, ak usúdi usúdia, že jej ich práva ustanovené týmto nariadením sa porušujú, alebo ak dozorný orgán nereaguje na sťažnosť alebo nekoná v prípade, že takéto konanie je nevyhnutné na ochranu práv dotknutej osoby. [PN 75]

(112)  Všetky orgány, organizácie či združenia, ktorých cieľom je ochrana práv a záujmov dotknutých osôb súvisiaca s ochranou ich údajov a konajúce vo verejnom záujme, ktoré sú zriadené podľa právnych predpisov niektorého členského štátu, by mali mať právo podať sťažnosť u dozorného orgánu v mene dotknutých osôb a s ich súhlasom alebo využiť právo na súdny opravný prostriedok v mene dotknutých osôb, ak ich poverila dotknutá osoba, alebo nezávisle od sťažnosti niektorej dotknutej osoby podať vlastnú sťažnosť v prípade, že usúdia, že došlo k porušeniu ochrany osobných údajov tohto nariadenia. [PN 76]

(113)  Každá fyzická či právnická osoba by mala mať právo na súdne prostriedky nápravy voči rozhodnutiam dozorného orgánu, ktoré sa jej týka. Návrh na začatie konania voči dozornému orgánu by sa mal podať na súde členského štátu, v ktorom má dozorný orgán sídlo.

(114)  S cieľom posilniť súdnu ochranu dotknutých osôb v situáciách, keď príslušný dozorný orgán má sídlo v inom členskom štáte, než je štát, v ktorom má dotknutá osoba bydlisko, dotknutá osoba môže požiadať poveriť ktorýkoľvek z orgánov, organizácií či združení, ktorých cieľom je ochrana práv a záujmov dotknutých osôb súvisiaca s ochranou ich osobných údajov, podať v mene dotknutej osoby ktoré konajú vo verejnom záujme, aby podali návrh na začatie konania voči dozornému orgánu na príslušnom súde v tomto druhom členskom štáte. [PN 77]

(115)  V situáciách, keď príslušný dozorný orgán so sídlom v inom členskom štáte nekoná alebo neprijal dostatočné opatrenia vo veci sťažnosti, dotknutá osoba môže požiadať dozorný orgán v členskom štáte jej obvyklého pobytu, aby tento podal návrh na začatie konania voči predmetnému dozornému orgánu na príslušnom súde v tomto druhom členskom štáte. Neplatí to pre obyvateľov krajín mimo Únie. Požiadaný dozorný orgán môže rozhodnúť, s výhradou preskúmania súdom, či je vhodné danej žiadosti vyhovieť alebo nie. [PN 78]

(116)  Pri konaniach voči prevádzkovateľovi alebo sprostredkovateľovi by žalobca mal mať možnosť podať návrh na začatie konania na súde členského štátu, v ktorom má prevádzkovateľ alebo sprostredkovateľ príslušné zariadenie v činnosti v prípade obyvateľov Únie, alebo kde má dotknutá osoba bydlisko, s výnimkou prípadov, keď prevádzkovateľom je orgán verejnej moci v Únii alebo členskom štáte konajúci v rámci výkonu svojich verejných právomocí. [PN 79]

(117)  Ak existujú náznaky, že sa na súdoch iných členských štátov vedú súbežné konania, príslušné súdy by mali mať povinnosť navzájom sa kontaktovať. Súdy by mali mať možnosť pozastaviť konanie vo veci v prípade, že sa v inom členskom štáte vedie súbežné konanie. Členské štáty by mali zabezpečiť, aby súdne opatrenia umožňovali v záujme ich účinnosti urýchlené prijatie opatrení na nápravu alebo na predchádzanie porušeniu tohto nariadenia.

(118)  Prevádzkovateľ alebo sprostredkovateľ by mali mal nahradiť akúkoľvek škodu, či finančnú alebo inú, ktorú určitá osoba utrpela v dôsledku nezákonného spracovania, avšak môžu môže byť zbavení zbavený tejto zodpovednosti, len ak poskytnú poskytne dôkaz o tom, že nenesú nenesie zodpovednosť za škodu, a to najmä vtedy, keď zistia zistí pochybenie dotknutej osoby, alebo v prípade vyššej moci. [PN 80]

(119)  Každej osobe, ktorá nedodrží toto nariadenie, by sa mali uložiť sankcie bez ohľadu na to, či podlieha súkromnému alebo verejnému právu. Členské štáty by mali zabezpečiť, aby sankcie boli účinné, primerané a odrádzajúce a prijať všetky opatrenia na vymáhanie týchto sankcií. Na pravidlá týkajúce sa sankcií by sa mali vzťahovať náležité procesné záruky v súlade so všeobecnými zásadami práva Únie a charty vrátane tých, ktoré sa týkajú práva na účinný súdny prostriedok nápravy, riadny proces a dodržiavanie zásady ne bis in idem. [PN 81]

(119a)  Pri uplatňovaní sankcií by členské štáty mali plne rešpektovať náležité procesné záruky vrátane práva na účinný súdny prostriedok nápravy, riadny proces a dodržiavanie zásady ne bis in idem. [PN 82]

(120)  S cieľom posilniť a harmonizovať správne sankcie za porušovanie tohto nariadenia by každý dozorný orgán mal mať právomoc sankcionovať správne priestupky. V tomto nariadení by sa mali uviesť tieto priestupky a horná hranica príslušných správnych pokút, ktoré by sa mali stanoviť v každom jednotlivom prípade úmerne ku konkrétnej situácii s náležitým zreteľom najmä na povahu, závažnosť a trvanie porušenia. Mechanizmus konzistentnosti by sa mal využiť aj na riešenie rozdielností pri uplatňovaní správnych sankcií.

(121)  Spracúvanie osobných údajov vykonávané výlučne na žurnalistické účely alebo na účely umeleckej alebo literárnej tvorby by malo byť predmetom výnimky Vo všetkých náležitých prípadoch by sa mali stanoviť výnimky z požiadaviek určitých ustanovení tohto nariadenia alebo odchýlky od nich, pokiaľ ide o spracúvanie osobných údajov, s cieľom zosúladiť právo na ochranu osobných údajov s právom slobody prejavu, konkrétne s právom dostávať nestranné informácie, ako sú zaručené najmä článkom 11 charty. Malo by sa to vzťahovať najmä na spracúvanie osobných údajov v audiovizuálnej oblasti a v archívoch spravodajstva a tlače. Členské štáty by preto mali prijať legislatívne opatrenia, ktorými sa určia výnimky a odchýlky nevyhnutné na vyvážené zabezpečenie týchto základných práv. Takéto výnimky a odchýlky by členské štáty mali prijať, pokiaľ ide o všeobecné zásady, práva dotknutej osoby, prevádzkovateľa a sprostredkovateľa, prenos údajov do tretích krajín alebo medzinárodným organizáciám, nezávislé dozorné orgány, spoluprácu a konzistentnosť a osobitné situácie spracúvania údajov. Nemalo by to však viesť k tomu, aby členské štáty stanovovali výnimky z iných ustanovení tohto nariadenia. S cieľom zohľadniť dôležitosť práva slobody prejavu v každej demokratickej spoločnosti je nevyhnutné pojmy súvisiace s touto slobodou, napríklad žurnalistiku, vykladať v širšom zmysle. Členské štáty by preto mali určiť kategórie „žurnalistických“ činností na účely výnimiek a odchýlok, ktoré sa majú určiť na základe tohto nariadenia, ak cieľom týchto činností je, aby sa pokryli všetky činnosti, ktorých cieľom je zverejňovanie informácií, názorov alebo námetov bez ohľadu na médium používané na ich prenos, s prihliadnutím aj na technologický rozvoj. Tieto činnosti by nemali byť obmedzené výlučne na mediálne podniky a malo by byť možné využívať ich na ziskové aj neziskové účely. [PN 83]

(122)  Spracúvanie osobných údajov týkajúcich sa zdravia ako osobitnej kategórie údajov, ktoré si zasluhujú vyšší stupeň ochrany, môže byť často opodstatnené celým radom legitímnych dôvodov v záujme fyzických osôb a spoločnosti ako celku, najmä v súvislosti so zabezpečením kontinuity cezhraničnej zdravotnej starostlivosti. Týmto nariadením by sa preto mali vytvoriť harmonizované podmienky pre spracúvanie osobných údajov týkajúcich sa zdravia s výhradou špecifických a vhodných záruk s cieľom chrániť základné práva a osobné údaje fyzických osôb. K tomu patrí aj právo fyzických osôb na prístup k ich osobným údajov týkajúcim sa ich zdravia, napríklad k údajom v ich lekárskych záznamoch obsahujúcich informácie ako diagnóza, výsledky vyšetrení, posudky ošetrujúcich lekárov a akákoľvek poskytnutá terapia alebo uskutočnené zákroky.

(122a)   Odborník, ktorý spracúva osobné údaje týkajúce sa zdravia, by mal podľa možností dostať anonymizované alebo pseudonymizované údaje, pričom vedomosť o totožnosti by mal mať len všeobecný lekár alebo špecialista, ktorý si takéto spracovanie údajov vyžiadal. [PN 84]

(123)  Spracúvanie osobných údajov týkajúcich sa zdravia bez súhlasu dotknutej osoby môže byť potrebné z dôvodov verejného záujmu v oblasti verejného zdravia. V tejto súvislosti by sa malo „verejné zdravie“ vykladať v zmysle nariadenia Európskeho parlamentu a Rady (ES) č. 1338/2008(9) zo 16. decembra 2008 o štatistikách Spoločenstva v oblasti verejného zdravia a bezpečnosti a ochrany zdravia pri práci, teda malo by zahŕňať všetky prvky súvisiace so zdravím, konkrétne zdravotný stav vrátane chorobnosti a zdravotného postihnutia, faktory ovplyvňujúce tento zdravotný stav, potreby zdravotnej starostlivosti, zdroje pridelené na zdravotnú starostlivosť, poskytovanie zdravotnej starostlivosti a jej všeobecnú dostupnosť, ako aj výdavky na zdravotnú starostlivosť a jej financovanie a príčiny smrti. Takéto spracúvanie osobných údajov týkajúcich sa zdravia z dôvodov verejného záujmu by nemalo viesť k spracúvaniu osobných údajov na iné účely tretími stranami, napríklad zamestnávateľmi či poisťovacími a bankovými spoločnosťami. [PN 85]

(123a)   Spracovanie osobných údajov z oblasti zdravia ako osobitnej kategórie údajov môže byť potrebné na historický, štatistický alebo vedecký výskum. Preto sa v tomto nariadení predpokladá výnimka z požiadavky súhlasu v prípadoch výskumu, ktorý slúži dôležitému verejnému záujmu. [PN 86]

(124)  Všeobecné zásady ochrany fyzických osôb pri spracúvaní osobných údajov by sa mali uplatňovať aj v súvislosti so zamestnaním a sociálnym zabezpečením. Preto s cieľom Členské štáty by mali mať možnosť upraviť spracúvanie osobných údajov zamestnancov v súvislosti so zamestnaním by členské štáty mali mať možnosť v medziach tohto nariadenia prijať špecifické zákonné pravidlá spracúvania a spracúvanie osobných údajov v oblasti zamestnanosti sociálneho zabezpečenia v súlade s pravidlami a minimálnymi normami stanovenými v tomto nariadení. Ak v danom členskom štáte existuje právny základ na úpravu záležitostí zamestnania na základe dohody medzi zástupcami zamestnancov a vedením podniku alebo podniku kontrolujúceho skupinu podnikov (kolektívna zmluva) alebo podľa smernice Európskeho parlamentu a Rady 2009/38/EC(10), spracúvanie osobných údajov v súvislosti so zamestnaním sa môže tiež upravovať takouto dohodou. [PN 87]

(125)  Spracúvanie osobných údajov na historické, štatistické alebo vedeckovýskumné účely by malo v záujme zákonnosti takisto rešpektovať ďalšie relevantné právne predpisy, napríklad predpisy o klinických skúškach.

(125a)  Osobné údaje môžu následne spracovávať aj archívne služby, ktorých hlavnou alebo povinnou úlohou je zhromažďovať, ochraňovať, využívať a šíriť archivované údaje vo verejnom záujme a poskytovať o nich informácie. Právne predpisy členských štátov by mali zladiť právo na ochranu osobných údajov s pravidlami o archívoch a o verejnom prístupe k administratívnym informáciám. Členské štáty by mali podporovať najmä Skupinu európskych archívov, aby vypracovala pravidlá, ktoré zaručia dôverný charakter údajov voči tretím stranám, ako aj autenticitu, integritu a riadnu ochranu údajov. [PN 88]

(126)  Vedecký výskum na účely tohto nariadenia by mal zahŕňať základný výskum, aplikovaný výskum a výskum financovaný zo súkromných zdrojov a okrem toho by mal zohľadňovať cieľ Únie stanovený v článku 179 ods. 1 Zmluvy o fungovaní Európskej únie, ktorým je vytvorenie európskeho výskumného priestoru. Spracovanie osobných údajov na historické, štatistické a vedecko-výskumné účely by nemalo mať za následok spracúvanie osobných údajov na iné účely, ak to nie je so súhlasom dotknutej osoby alebo na základe právnych predpisov Únie alebo členského štátu. [PN 89]

(127)  Pokiaľ ide o právomoci dozorných orgánov získať od prevádzkovateľa alebo sprostredkovateľa prístup k osobným údajom a prístup do ich prevádzkových priestorov, členské štáty môžu prijať formou zákona a v medziach tohto nariadenia osobitné pravidlá s cieľom zaručiť plnenie povinností týkajúcich sa služobného tajomstva alebo inej rovnocennej povinnosti zachovávať mlčanlivosť, ak je to potrebné na zosúladenie práva na ochranu osobných údajov s povinnosťou zachovávať služobné tajomstvo.

(128)  V zmysle článku 17 Zmluvy o fungovaní Európskej únie sa týmto nariadením rešpektuje a zároveň ním nie je dotknuté postavenie, ktoré majú cirkvi a náboženské združenia alebo spoločenstvá v členských štátoch podľa vnútroštátneho práva. Z toho vyplýva, že ak určitá cirkev v niektorom členskom štáte v čase nadobudnutia účinnosti tohto nariadenia uplatňuje komplexné primerané pravidlá ochrany fyzických osôb pri spracúvaní osobných údajov, tieto pravidlá by sa mali aj naďalej uplatňovať za podmienky, že sa zosúladia s týmto nariadením. Od takýchto cirkví a náboženských združení by sa malo vyžadovať, aby zabezpečili zriadenie úplne nezávislého dozorného orgánu a budú uznané za vyhovujúce predpisom. [PN 90]

(129)  Aby sa splnili S cieľom splniť ciele tohto nariadenia, konkrétne ochrana ochranu základných práv a slobôd fyzických osôb, najmä ich právo na ochranu osobných údajov, ako aj zabezpečenie voľného pohybu osobných údajov v rámci Únie, Komisii by sa mala mala by sa na Komisiu delegovať právomoc prijímať akty v súlade s článkom 290 Zmluvy o fungovaní Európskej únie. Delegované akty by sa mali predovšetkým prijímať, pokiaľ ide o: zákonnosť spracovania; určenie kritérií a podmienok súhlasu dieťaťa; spracúvanie osobitných kategórií osobných údajov; určenie kritérií a podmienok pre konštatovanie zjavne neprimeraných žiadostí a poplatkov za výkon práv dotknutej osoby; kritériá a požiadavky súvisiace s informáciami pre dotknutú osobu a s jej prístupovým právom; právo byť zabudnutý a podmienky spôsobu poskytovania informácií s využitím piktogramov; právo na výmaz; opatrenia založené na profilovaní; kritériá a požiadavky týkajúce sa zodpovednosti prevádzkovateľa a ochrany údajov špecificky navrhnutej a štandardne určenej; sprostredkovateľa; kritériá a požiadavky na dokumentáciu a bezpečnosť spracovania; kritériá a požiadavky pre konštatovanie porušenia ochrany osobných údajov, jeho oznamovanie dozornému orgánu a okolnosti, kedy porušenie ochrany osobných údajov môže nepriaznivo ovplyvniť dotknutú osobu; kritériá a požiadavky na operácie spracovania; pri ktorých sa vyžaduje posúdenie vplyvu na ochranu údajov; kritériá a požiadavky pre konštatovanie vysokého stupňa osobitných rizík, pri ktorých sa vyžaduje konzultácia vopred; určenie a úlohy úradníka pre ochranu údajov; vyhlásenie, že kódexy správania sú v súlade s týmto nariadením; kritériá a požiadavky na certifikačné mechanizmy; primeraný stupeň ochrany ponúkaný treťou krajinou alebo medzinárodnou organizáciou; kritériá a požiadavky na prenosy prostredníctvom záväzných firemných pravidiel; odchýlky od pravidiel pri prenose; správne sankcie; spracúvanie údajov na zdravotnícke účely; a spracúvanie v súvislosti so zamestnaním a spracúvanie na historické, štatistické a vedeckovýskumné účely. Je mimoriadne dôležité, aby Komisia viedla náležité konzultácie v priebehu prípravných prác vrátane konzultácií na expertnej úrovni, najmä s Európskym výborom pre ochranu údajov. Pri príprave a vypracúvaní delegovaných aktov by Komisia mala zabezpečiť súbežné, včasné a vhodne riešené predkladanie príslušných dokumentov Európskemu parlamentu a Rade. [PN 91]

(130)  S cieľom zabezpečiť jednotné podmienky uplatňovania vykonávania tohto nariadenia by sa na Komisiu mali preniesť vykonávacie právomoci, pokiaľ ide o: určenie štandardných formulárov pre špecifické metódy na získanie overiteľného súhlasu pre potreby spracúvania osobných údajov dieťaťa; štandardné postupy a formuláre pre výkon práv na informovanie dotknutých osôb o uplatňovaní ich práv; štandardné formuláre pre informácie pre dotknutú osobu; štandardné formuláre a postupy týkajúce sa prístupového práva, právo na prenosnosť údajov vrátane na oznamovanie osobných údajov dotknutej osobe; štandardné formuláre týkajúce sa zodpovednosti prevádzkovateľa za ochranu osobných údajov špecificky navrhnutú a štandardne určenú a formuláre týkajúce sa dokumentácie, ktorú má uchovávať prevádzkovateľ a sprostredkovateľ; osobitné požiadavky na bezpečnosť spracovania; štandardný formát a postupy pre formulár na oznámenie porušenia ochrany osobných údajov dozornému orgánu a pre informovanie dotknutej osoby o porušení na zdokumentovanie porušenia ochrany osobných údajov; normy a postupy pre posúdenie vplyvu na ochranu osobných údajov; formuláre a postupy týkajúce sa povolenia vopred a konzultácie vopred; technické normy a certifikačné mechanizmy; primeranú úroveň ochrany poskytovanú treťou krajinou alebo územím, alebo sektorom spracovania v tretej krajine alebo medzinárodnou organizáciou; sprístupňovanie údajov, ktoré právne predpisy Únie nepovoľujú; vzájomnú pomoc; spoločné operácie a rozhodnutia v rámci mechanizmu konzistentnosti a informovania dozorného orgánu vopred. Tieto právomoci by sa mali vykonávať v súlade s nariadením Európskeho parlamentu a Rady (EÚ) č. 182/2011 zo 16. februára 2011, ktorým sa ustanovujú pravidlá a všeobecné zásady mechanizmu, na základe ktorého členské štáty kontrolujú vykonávanie vykonávacích právomocí Komisie(11). Komisia by pritom mala zvážiť osobitné opatrenia pre mikropodniky a malé a stredné podniky. [PN 92]

(131)  Postup preskúmania by sa mal použiť v prípadoch, keď ide o: určenie prijatie štandardných formulárov pre vyjadrenie súhlasu: pre špecifické metódy na získanie overiteľného súhlasu v súvislosti so spracovaním osobných údajov dieťaťa; štandardné postupy a formuláre pre výkon práv dotknutých osôb; štandardné formuláre na informovanie dotknutej osoby o uplatňovaní jej práv; informácií pre dotknutú osobu; štandardné formuláre a postupy týkajúce sa prístupového práva; právo na prenosnosť údajov; štandardné formuláre, a to aj na oznamovanie osobných údajov dotknutej osobe; týkajúce sa zodpovednosti prevádzkovateľa za ochranu osobných údajov špecificky navrhnutú a štandardne určenú a formuláre týkajúce sa dokumentácie; osobitné požiadavky na bezpečnosť spracovania; štandardný formát a postupy pre dokumentácie, ktorú má uchovávať prevádzkovateľ a sprostredkovateľ; na oznámenie porušenia ochrany osobných údajov dozornému orgánu a pre informovanie dotknutej osoby o porušení na zdokumentovanie porušenia ochrany osobných údajov; normy a postupy pre posúdenie vplyvu na ochranu osobných údajov; formuláre a postupy týkajúce sa povolenia vopred a konzultácie vopred; technické normy a certifikačné mechanizmy; primeranú úroveň ochrany poskytovanú treťou krajinou alebo územím, alebo sektorom spracovania v tretej krajine alebo medzinárodnou organizáciou; sprístupňovanie údajov, ktoré právne predpisy Únie nepovoľujú; vzájomnú pomoc; spoločné operácie a rozhodnutia v rámci mechanizmu konzistentnosti, a informovania dozorného orgánu vopred, keďže tieto akty majú všeobecnú pôsobnosť. [PN 93]

(132)  Pokiaľ si to vyžadujú vážne a naliehavé dôvody, Komisia by mala prijať okamžite uplatniteľné akty, ak ide o riadne odôvodnené prípady týkajúce sa tretej krajiny alebo územia, alebo sektora spracúvania či medzinárodnej organizácie, ktoré nezabezpečujú náležitú úroveň ochrany a dozorné orgány riešia tieto prípady v rámci mechanizmu konzistentnosti. [PN 94]

(133)  Keďže ciele tohto nariadenia, a to zabezpečiť rovnocennú úroveň ochrany fyzických osôb a voľný tok údajov v rámci celej Únie, nie je možné uspokojivo dosiahnuť na úrovni jednotlivých členských štátov, ale z dôvodov jeho rozsahu a dôsledkov ho možno lepšie dosiahnuť na úrovni Únie, môže Únia prijať opatrenia v súlade so zásadou subsidiarity podľa článku 5 Zmluvy o Európskej únii. V súlade so zásadou proporcionality podľa uvedeného článku toto nariadenie neprekračuje rámec nevyhnutný na dosiahnutie týchto cieľov.

(134)  Smernica 95/46/ES by sa mala týmto nariadením zrušiť. Rozhodnutia, ktoré Komisia prijala, a povolenia, ktoré dozorné orgány vydali na základe smernice 95/46/ES, však zostávajú v platnosti. Rozhodnutia Komisie a povolenia dozorného orgánu týkajúce sa prenosu osobných údajov do tretích krajín podľa článku 41 ods. 8 by mali zostať v platnosti v prechodnom období piatich rokov po nadobudnutí účinnosti tohto nariadenia, ak ho Komisia pred uplynutím tejto lehoty nezmení, nenahradí alebo nezruší. [PN 95]

(135)  Toto nariadenie sa uplatňuje na všetky záležitosti týkajúce sa ochrany základných práv a slobôd pri spracúvaní osobných údajov, ktoré nepodliehajú osobitným povinnostiam uvedeným v smernici Európskeho parlamentu a Rady 2002/58/ES(12) s rovnakým cieľom, vrátane povinností prevádzkovateľa a práv fyzických osôb. S cieľom spresniť vzťah medzi týmto nariadením a smernicou 2002/58/ES by sa uvedená smernica mala zodpovedajúcim spôsobom zmeniť.

(136)  Pokiaľ ide o Island a Nórsko, toto nariadenie predstavuje vývoj ustanovení schengenského acquis do tej miery, že sa uplatňuje na spracúvanie osobných údajov orgánmi, ktoré sú zapojené do uplatňovania tohto acquis v zmysle Dohody uzatvorenej medzi Radou Európskej únie a Islandskou republikou a Nórskym kráľovstvom o pridružení týchto dvoch štátov pri vykonávaní, uplatňovaní a rozvoji schengenského acquis(13).

(137)  Pokiaľ ide o Švajčiarsko, toto nariadenie predstavuje vývoj ustanovení schengenského acquis do tej miery, že sa uplatňuje na spracúvanie osobných údajov orgánmi, ktoré sú zapojené do uplatňovania tohto acquis v zmysle Dohody medzi Európskou úniou, Európskym spoločenstvom a Švajčiarskou konfederáciou o pridružení Švajčiarskej konfederácie k vykonávaniu, uplatňovaniu a vývoju schengenského acquis(14).

(138)  Pokiaľ ide o Lichtenštajnsko, toto nariadenie predstavuje vývoj ustanovení schengenského acquis do tej miery, že sa uplatňuje na spracúvanie osobných údajov orgánmi, ktoré sú zapojené do uplatňovania tohto acquis v zmysle Protokolu medzi Európskou úniou, Európskym spoločenstvom, Švajčiarskou konfederáciou a Lichtenštajnským kniežatstvom o pristúpení Lichtenštajnského kniežatstva k Dohode medzi Európskou úniou, Európskym spoločenstvom a Švajčiarskou konfederáciou o pridružení Švajčiarskej konfederácie k vykonávaniu, uplatňovaniu a rozvoju schengenského acquis(15).

(139)  Vzhľadom na skutočnosť, ktorú zdôraznil aj Súdny dvor Európskej únie, že právo na ochranu osobných údajov nie je absolútnym právom, ale sa musí posudzovať v vzťahu k jeho funkcii v spoločnosti a musí byť vo vyváženom pomere s inými základnými právami, toto nariadenie v súlade so zásadou proporcionality rešpektuje všetky základné práva a dodržiava princípy uznané v charte, ako sú zakotvené v zmluvách, najmä právo na rešpektovanie súkromného a rodinného života, domova a komunikácie, právo na ochranu osobných údajov, slobodu myslenia, presvedčenia a viery, slobodu prejavu a informácií, slobodné podnikanie, právo na účinné prostriedky nápravy a spravodlivý proces, ako aj kultúrnu, náboženskú a jazykovú rozmanitosť,

PRIJALI TOTO NARIADENIE:

KAPITOLA I

VŠEOBECNÉ USTANOVENIA

Článok 1

Predmet úpravy a ciele

1.  Týmto nariadením sa stanovujú pravidlá ochrany fyzických osôb pri spracúvaní osobných údajov a pravidlá týkajúce sa voľného pohybu osobných údajov.

2.  Toto nariadenie chráni základné práva a slobody fyzických osôb, najmä ich právo na ochranu osobných údajov.

3.  Voľný pohyb osobných údajov v rámci Únie nemá byť obmedzený ani zakázaný z dôvodov súvisiacich s ochranou fyzických osôb pri spracúvaní osobných údajov.

Článok 2

Vecná pôsobnosť

1.  Toto nariadenie sa vzťahuje na spracovanie osobných údajov vykonávané úplne alebo čiastočne automatizovanými prostriedkami, bez ohľadu na metódu spracovania, a na spracovanie inými než automatickými prostriedkami v prípade osobných údajov, ktoré tvoria časť informačného systému alebo sú určené na tvorbu časti informačného systému.

2.  Toto nariadenie sa nevzťahuje na spracovanie osobných údajov:

a)  v rámci činnosti, ktorá nepatrí do pôsobnosti práva Únie, najmä ak sa týka národnej bezpečnosti;

b)  inštitúciami, orgánmi, úradmi a agentúrami Únie;

c)  členskými štátmi pri vykonávaní činností patriacich do rozsahu pôsobnosti kapitoly 2 hlavy V Zmluvy o Európskej únii;

d)  fyzickou osobou bez akéhokoľvek zárobkového motívu v rámci svojej výlučne osobnej alebo súkromnej činnosti. Toto vyňatie sa vzťahuje aj na zverejňovanie osobných údajov, ak možno dôvodne očakávať, že bude mať k nim prístup iba obmedzený počet osôb;

e)  príslušnými orgánmi verejnej moci na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania, alebo na výkon trestných sankcií.

3.  Týmto nariadením nie je dotknuté uplatňovanie smernice 2000/31/ES, najmä povinnosti poskytovateľov sprostredkovateľských služieb uvedené v článkoch 12 až 15 uvedenej smernice. [PN 96]

Článok 3

Územná pôsobnosť

1.  Toto nariadenie sa vzťahuje na spracovanie osobných údajov v rámci činnosti zariadenia prevádzkovateľa alebo sprostredkovateľa v Únii, a to bez ohľadu na to, či sa spracovanie vykonáva v Únii alebo nie.

2.  Toto nariadenie sa vzťahuje na spracovanie osobných údajov dotknutých osôb s bydliskom v Únii prevádzkovateľom alebo spracovateľom, ktorý nemá sídlo v Únii, pričom spracovateľská činnosť súvisí:

a)  s ponukou tovaru alebo služieb týmto dotknutým osobám v Únii, a to bez ohľadu na to, či sa od dotknutej osoby vyžaduje platba, alebo

b)  so sledovaním ich správania takýchto dotknutých osôb.

3.  Toto nariadenie sa vzťahuje na spracovanie osobných údajov prevádzkovateľom, ktorý nemá sídlo v Únii, ale v mieste, kde sa uplatňuje vnútroštátne právo niektorého členského štátu na základe medzinárodného práva verejného. [PN 97]

Článok 4

Vymedzenie pojmov

Na účely tohto nariadenia:

1.  „dotknutá osoba“ je určená fyzická osoba alebo fyzická osoba, ktorú možno určiť priamo alebo nepriamo, najmä odkazom na identifikačné číslo, lokalizačné údaje, online identifikátor, alebo odkazom na jeden či viaceré prvky, ktoré tvoria fyzickú, fyziologickú, psychickú, genetickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu tejto osoby a to spôsobmi, o ktorých možno odôvodnene predpokladať, že ich prevádzkovateľ alebo akákoľvek iná fyzická alebo právnická osoba používajú;

2.  „osobné údaje“ sú akékoľvek informácie, ktoré sa týkajú určenej alebo určiteľnej fyzickej osoby (ďalej len „dotknutej osoby dotknutá osoba“); určiteľná osoba je tá, ktorú možno určiť priamo alebo nepriamo, najmä odkazom na identifikátor, napríklad meno, identifikačné číslo, lokalizačné údaje, jedinečný identifikátor, alebo odkazom na jeden či viaceré prvky, ktoré tvoria fyzickú, fyziologickú, genetickú, mentálnu, ekonomickú, kultúrnu či sociálnu alebo rodovú identitu tejto osoby;

2a.  „pseudonymný údaj“ je osobný údaj, ktorý nemožno priradiť ku konkrétnej dotknutej osobe bez použitia dodatočných informácií, ak sa tieto dodatočné informácie uchovávajú oddelene a vzťahujú sa na ne technické a organizačné opatrenia, aby sa zabezpečilo, že k takémuto priradeniu nedôjde;

2b.  „zakódované údaje“ sú osobné údaje, ktoré sa použitím opatrení technickej ochrany stanú nečitateľnými pre všetky osoby, ktoré k nim nemajú povolený prístup;

3.  „spracúvanie osobných údajov“ znamená operáciu alebo súbor operácií, ktorými sa osobné údaje spracúvajú automatizovanými alebo neautomatizovanými prostriedkami, napríklad zhromažďovaním, zaznamenávaním, usporadúvaním, štruktúrovaním, uchovávaním, prepracúvaním alebo zmenou, vyhľadávaním, nahliadaním, využívaním, sprístupňovaním prenosom, šírením alebo ich sprístupnením iným spôsobom, preskupovaním alebo kombinovaním, vymazaním alebo likvidáciou;

3a.   „profilovanie“ je každé automatizované spracovanie osobných údajov určené na vyhodnotenie určitých osobných aspektov týkajúcich sa fyzickej osoby alebo na analyzovanie alebo predvídanie najmä pracovnej výkonnosti danej fyzickej osoby, jej ekonomickej situácie, lokalizácie, zdravia, osobných preferencií, spoľahlivosti alebo správania;

4.  „informačný systém“ je akýkoľvek usporiadaný súbor osobných údajov, ktoré sú prístupné podľa konkrétnych kritérií, bez ohľadu na to, či ide o systém centralizovaný, decentralizovaný alebo distribuovaný na funkčnom alebo geografickom základe;

5.  „prevádzkovateľ“ je fyzická alebo právnická osoba, verejný orgán, agentúra alebo akýkoľvek iný subjekt, ktorý sám alebo spoločne s inými určuje účel, podmienky a prostriedky spracúvania osobných údajov; v prípade, že účely, podmienky a prostriedky spracovania stanovujú právne predpisy Únie alebo právne predpisy členského štátu, možno prevádzkovateľa alebo konkrétne kritériá pre jeho určenie navrhnúť na základe právnych predpisov Únie alebo právnych predpisov členského štátu;

6.  „sprostredkovateľ“ je fyzická alebo právnická osoba, verejný orgán, agentúra alebo akýkoľvek iný subjekt, ktorý spracúva osobné údaje v mene prevádzkovateľa;

7.  „príjemca“ je fyzická alebo právnická osoba, verejný orgán, agentúra alebo akýkoľvek iný subjekt, ktorému sa sprístupňujú osobné údaje;

7a.  „tretia strana“ je každá fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo akýkoľvek subjekt iný ako dotknutá osoba, prevádzkovateľ, sprostredkovateľ a osoby, ktoré sú na základe priameho poverenia prevádzkovateľa alebo sprostredkovateľa poverené spracovaním údajov;

8.  „súhlas dotknutej osoby“ znamená akýkoľvek konkrétny, informovaný a výslovný prejav vôle danej osoby, ktorým dotknutá osoba buď formou vyhlásenia alebo iného jednoznačného potvrdzujúceho úkonu prejaví svoj súhlas so spracovaním svojich osobných údajov;

9.  „porušenie ochrany osobných údajov“ znamená porušenie bezpečnosti, ktoré má za následok náhodnú alebo nelegálnu likvidáciu, stratu, zmenu, neoprávnené zverejnenie alebo sprístupnenie osobných údajov, ktoré sa prenášajú, uchovávajú alebo inak spracúvajú;

10.  „genetické údaje“ sú všetky osobné údaje akéhokoľvek druhu, týkajúce sa dedičných znakov vzťahujúce sa na genetické znaky fyzickej osoby alebo jej znakov získaných v období raného prenatálneho vývoja, ktoré boli zdedené alebo získané ako výsledok analýzy biologickej vzorky danej fyzickej osoby, najmä analýzy týkajúcej sa chromozómov, deoxyribonukleovej kyseliny (DNA) alebo ribonukleovej kyseliny (RNA) alebo analýzy akejkoľvek inej látky, ktorá umožňuje získanie porovnateľných informácií;

11.  „biometrické údaje“ sú akékoľvek osobné údaje týkajúce sa fyzických, fyziologických alebo behaviorálnych charakteristík fyzickej osoby, ktoré umožňujú jej jednoznačnú identifikáciu, napríklad vyobrazenia tváre alebo daktyloskopické údaje;

12.  „údaje týkajúce sa zdravia“ sú všetky informácie osobné údaje týkajúce sa fyzického alebo duševného zdravia fyzickej osoby alebo poskytovania zdravotníckych služieb fyzickej osobe;

13.  „ústredie“ je v prípade miesto sídla prevádzkovateľa miesto jeho sídla podniku alebo skupiny podnikov v Únii, či už prevádzkovateľa alebo sprostredkovateľa, kde sa prijímajú najdôležitejšie rozhodnutia, pokiaľ ide o účely, podmienky a prostriedky spracúvania osobných údajov; ak sa v Únii neprijímajú žiadne rozhodnutia, pokiaľ ide o účely, podmienky a prostriedky spracúvania osobných údajov, ústredím je miesto, kde sa vykonáva hlavná činnosť zodpovedajúca činnosti zariadenia prevádzkovateľa v rámci Únie. V prípade sprostredkovateľa znamená „ústredie“ miesto jeho administratívneho sídla v Únii. Okrem iných možno zvážiť tieto objektívne kritériá: lokalizácia hlavného sídla prevádzkovateľa alebo sprostredkovateľa; lokalizácia subjektu v rámci skupiny podnikov, ktorý je z hľadiska riadiacich funkcií a administratívnej zodpovednosti v najlepšej pozícii na to, aby sa zaoberal pravidlami uvedenými v tomto nariadení a presadzoval ich; miesto, kde sa uskutočňuje výkonné a skutočné riadenie, v rámci ktorého sa rozhoduje o spracúvaní údajov prostredníctvom stabilných systémov;

14.  „zástupca“ je fyzická alebo právnická osoba so sídlom v Únii, ktorú prevádzkovateľ výslovne ustanovil, ktorá koná namiesto reprezentuje prevádzkovateľa a na ktorú sa môže obracať ktorýkoľvek dozorný orgán alebo iné orgány v Únii v otázkach týkajúcich sa povinností prevádzkovateľa v zmysle tohto nariadenia;

15.  „podnik“ je akýkoľvek subjekt vykonávajúci hospodársku činnosť bez ohľadu na jeho právnu formu; ide teda konkrétne aj o fyzické a právnické osoby, partnerstvá alebo združenia, ktoré pravidelne vykonávajú hospodársku činnosť;

16.  „skupina podnikov“ znamená kontrolujúci podnik a ním kontrolované podniky;

17.  „záväzné firemné pravidlá“ predstavujú politiku ochrany údajov, ktorú si osvojil prevádzkovateľ alebo sprostredkovateľ so sídlom na území členského štátu Únie na účely prenosov alebo súborov prenosov osobných údajov prevádzkovateľovi alebo sprostredkovateľovi v jednej alebo viacerých tretích krajinách v rámci skupiny podnikov;

18.  „dieťa“ je každá osoba mladšia ako 18 rokov;

19.  „dozorný orgán“ je orgán verejnej moci zriadený členským štátom v súlade s článkom 46. [PN 98]

KAPITOLA II

ZÁSADY

Článok 5

Zásady spracúvania osobných údajov

Osobné údaje musia byť sú:

a)  spracúvané zákonným spôsobom, spravodlivo a transparentne vo vzťahu k dotknutej osobe (zákonnosť, spravodlivosť a transparentnosť);

b)  zhromažďované na konkrétne určené, explicitné a legitímne účely a nesmú sa ďalej spracúvať spôsobmi, ktoré nie sú zlučiteľné s týmito účelmi (obmedzenie účelu);

c)  primerané, relevantné a obmedzené na nevyhnutné minimum z hľadiska účelov, na ktoré sa spracúvajú; majú sa spracúvať iba vtedy a len dovtedy, kým dané účely nemožno dosiahnuť spracovaním informácií, ktoré nezahŕňajú osobné údaje (minimalizácia údajov);

d)  presné a v prípade potreby aktualizované; musia sa vykonať všetky potrebné kroky, aby sa zabezpečilo, že sa osobné údaje, ktoré sú nepresné z hľadiska účelov, na ktoré sa spracúvajú, bezodkladne vymažú alebo opravia (presnosť);

e)  udržiavané vo forme, ktorá umožňuje priamu alebo nepriamu identifikáciu dotknutých osôb najviac po dobu, ktorá je potrebná na účely, na ktoré boli osobné údaje zhromaždené; osobné údaje možno uchovávať na dlhšiu dobu, pokiaľ sa údaje spracúvajú výlučne na historické, štatistické alebo vedeckovýskumné či archívne účely v súlade s pravidlami a podmienkami článku článkov 83 a 83a, a ak sa vykonáva pravidelné prehodnotenie s cieľom posúdiť potrebu ďalšieho uchovávania a ak sa zavedú vhodné technické a organizačné opatrenia s cieľom obmedziť prístup k údajom len na tieto účely (minimalizácia uchovávania);

ea)  spracúvané spôsobom, ktorý dotknutým osobám účinne umožňuje uplatňovať svoje práva (účinnosť);

eb)  spracúvané spôsobom, ktorý chráni pred nepovoleným alebo nezákonným spracovaním a pred náhodnou stratou, likvidáciou alebo poškodením tým, že sa používajú primerané technické alebo organizačné opatrenia (integrita);

f)  spracúvané v rámci okruhu zodpovednosti a povinností prevádzkovateľa, ktorý zabezpečí a dokáže pre každú operáciu spracovania preukáže preukázať súlad s ustanoveniami tohto nariadenia (zodpovednosť). [PN 99]

Článok 6

Zákonnosť spracúvania

1.  Spracúvanie osobných údajov je zákonné iba vtedy, keď je splnená aspoň jedna z nasledujúcich podmienok:

a)  dotknutá osoba vyjadrila súhlas so spracovaním svojich osobných údajov na určitý konkrétny účel či účely;

b)  spracovanie je nevyhnutné na plnenie zmluvy, ktorej je dotknutá osoba zmluvnou stranou, alebo na to, aby sa na základe žiadosti dotknutej osoby vykonali opatrenia pred uzatvorením zmluvy;

c)  spracovanie je nevyhnutné na splnenie zákonnej povinnosti prevádzkovateľa;

d)  spracovanie je nevyhnutné, aby sa ochránili životné záujmy dotknutej osoby;

e)  spracovanie je nevyhnutné na splnenie úlohy vykonávanej vo verejnom záujme alebo v rámci uplatňovania oficiálneho poverenia prevádzkovateľa;

f)  spracovanie je nevyhnutné na účely oprávnených záujmov, ktoré sleduje prevádzkovateľ, alebo v prípade zverejnenia tretia strana, ktorej sa údaje sprístupnili a ktorá spĺňa opodstatnené očakávania dotknutej osoby založené na jej vzťahu s prevádzkovateľom, s výnimkou prípadov, keď nad takýmito záujmami prevažujú záujmy alebo základné práva a slobody dotknutej osoby, ktoré potrebujú ochranu, najmä ak dotknutou osobu je dieťa. Toto sa nevzťahuje na spracovanie vykonávané verejnými orgánmi pri výkone ich úloh.

2.  Spracovanie osobných údajov, ktoré je nevyhnutné na historické, štatistické alebo vedeckovýskumné účely, je zákonné, pokiaľ sú splnené podmienky a záruky uvedené v článku 83.

3.  Základ spracovania uvedený v odseku 1 písm. c) a e) musí byť upravený:

a)  právnymi predpismi Únie alebo

b)  právnymi predpismi členského štátu, ktorému podlieha prevádzkovateľ.

Právne predpisy členského štátu musia spĺňať cieľ verejného záujmu alebo musia byť nevyhnutné na ochranu práv a slobôd ostatných, rešpektovať podstatu práva na ochranu osobných údajov a musia byť náležité z hľadiska sledovaného legitímneho cieľa. Právne predpisy členského štátu môžu v rámci obmedzení tohto nariadenia podrobnejšie upravovať zákonnosť spracovania, najmä pokiaľ ide o prevádzkovateľov údajov, účel spracovania a obmedzenie účelu, charakter údajov a dotknutých osôb, opatrenia a postupy týkajúce sa spracovania, príjemcov a trvanie uschovávania.

4.  V prípade, že ďalšie spracovanie nie je zlučiteľné s cieľom, na ktorý sa osobné údaje zhromaždili, spracovanie musí mať právny základ spočívajúci prinajmenšom v jednom z dôvodov uvedených v odseku 1 písm. a) až e). Týka sa to najmä akýchkoľvek zmien osobitných a všeobecných podmienok zmluvy.

5.  Komisia je splnomocnená prijať delegované akty v súlade s článkom 86 s cieľom bližšie určiť podmienky uvedené v odseku 1 písm. f) pre jednotlivé sektory a situácie, ktoré sa vyskytujú pri spracúvaní údajov, vrátane podmienok spracovania osobných údajov týkajúcich sa dieťaťa. [PN 100]

Článok 7

Podmienky vyjadrenia súhlasu

1.  Keď sa spracovanie zakladá na súhlase, dôkazné bremeno, že dotknutá osoba vyjadrila súhlas so spracovaním svojich osobných údajov na určené účely, znáša prevádzkovateľ.

2.  Ak súhlas dotknutej osoby má byť vyjadrený v rámci písomného vyhlásenia, ktoré sa týka aj inej veci, požiadavka na vyjadrenie súhlasu musí byť svojou podobou jasne odlíšiteľná od tejto druhej veci. Ustanovenia o súhlase dotknutej osoby, ktoré čiastočne porušujú toto nariadenie, sú v plnej miere neplatné.

3.  Bez ohľadu na iné právne dôvody na spracovanie dotknutá osoba má právo kedykoľvek odvolať svoj súhlas. Odvolanie súhlasu nemá vplyv na zákonnosť spracovania vychádzajúceho zo súhlasu pred jeho odvolaním. Odvolanie súhlasu je také jednoduché ako jeho poskytnutie. Prevádzkovateľ musí dotknutú osobu informovať, ak môže mať odvolanie súhlasu za následok ukončenie poskytovaných služieb alebo vzťahu s prevádzkovateľom.

4.  Vyjadrenie súhlasu nedáva právny základ pre spracovanie, ak je značný nepomer medzi postavením dotknutej osoby a prevádzkovateľa. Súhlas je obmedzený na daný účel a stráca platnosť, keď prestane existovať účel alebo keď spracovanie osobných údajov už nie je potrebné na plnenie účelu, na ktorý boli pôvodne získané. Plnenie zmluvy alebo poskytovanie služby nemôže byť podmienené súhlasom so spracovaním údajov, ktoré nie sú potrebné na plnenie zmluvy alebo poskytovanie služby podľa článku 6 ods. 1 písm. b). [PN 101]

Článok 8

Spracúvanie osobných údajov dieťaťa

1.  Na účely tohto nariadenia, v súvislosti s ponukou tovarov alebo služieb informačnej spoločnosti adresovanej adresovanou priamo dieťaťu, je spracúvanie osobných údajov dieťaťa mladšieho než 13 rokov zákonné iba vtedy a do takej miery, ako bol súhlas vyjadrený alebo schválený rodičom dieťaťa alebo jeho opatrovníkom zákonným zástupcom. Prevádzkovateľ vyvinie primerané úsilie na získanie overiteľného overenie takéhoto súhlasu so zreteľom na dostupné technológie bez toho, aby spôsobil inak nepotrebné spracúvanie osobných údajov.

1a.  Informácie poskytované deťom, rodičom a zákonným zástupcom, aby vyjadrili súhlas, ako aj informácie o zbere a použití osobných údajov prevádzkovateľom by sa mali poskytovať zrozumiteľným jazykom, vhodným pre zamýšľaného adresáta.

2.  Odsekom 1 nie je dotknuté všeobecné zmluvné právo členských štátov, napríklad pravidlá platnosti, uzatvárania alebo účinkov zmluvy vo vzťahu k dieťaťu.

3.  Komisia je splnomocnená prijať delegované akty v súlade s článkom 86 s cieľom bližšie určiť kritériá a požiadavky Európsky výbor pre ochranu údajov je v súlade s článkom 66 poverený úlohou vydať usmernenia, odporúčania a osvedčené postupy týkajúce sa metód na získanie overiteľného overovania súhlasu uvedeného v odseku 1. Komisia pritom zváži osobitné opatrenia pre mikropodniky a malé a stredné podniky.

4.  Komisia môže určiť štandardné formuláre pre osobitné metódy získavania overiteľného súhlasu uvedeného v odseku 1. Tieto vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 87 ods. 2. [PN 102]

Článok 9

Spracúvanie osobitných kategórií osobných Osobitné kategórie údajov

1.  Zakazuje sa spracúvanie osobných údajov odhaľujúcich rasový alebo etnický pôvod, politické názory, náboženstvo alebo vieru a filozofické presvedčenie, sexuálnu orientáciu alebo rodovú identitu, členstvo a činnosť v odboroch, ako aj spracúvanie genetických alebo biometrických údajov alebo údajov týkajúcich sa zdravia či sexuálneho života, alebo administratívnych sankcií, rozsudkov, trestných rozsudkov činov alebo predpokladaných trestných činov, odsúdení či súvisiacich bezpečnostných opatrení.

2.  Odsek 1 sa neuplatňuje, ak nastane niektorá z týchto situácií:

a)  dotknutá osoba vyjadrila súhlas so spracovaním týchto osobných údajov na jeden alebo viacero určených účelov za podmienok uvedených v článkoch 7 a 8, s výnimkou prípadov, keď právne predpisy Únie alebo členského štátu určujú, že zákaz uvedený v odseku 1 nemôže dotknutá osoba zrušiť, alebo

aa)  spracovanie je potrebné na plnenie alebo vykonávanie zmluvy, ktorej je dotknutá osoba zmluvnou stranou, alebo na to, aby sa na žiadosť dotknutej osoby vykonali opatrenia pred uzatvorením zmluvy;

b)  spracovanie je nevyhnutné na účely plnenia záväzkov a výkonu špecifických práv prevádzkovateľa v oblasti pracovného práva, pokiaľ je to povolené právnymi predpismi Únie alebo právnymi predpismi členského štátu alebo kolektívnymi zmluvami poskytujúcimi náležité záruky základných práv a záujmov dotknutej osoby, ako je právo na nediskrimináciu, pričom platia podmienky a záruky uvedené v článku 82, alebo

c)  spracovanie je nevyhnutné na ochranu životných záujmov dotknutej osoby alebo inej osoby v prípade, že dotknutá osoba nie je fyzicky alebo právne spôsobilá vyjadriť svoj súhlas, alebo

d)  spracovanie vykonáva v rámci svojej zákonnej činnosti s náležitými zárukami nadácia, združenie alebo akýkoľvek iný neziskový orgán s politickým, filozofickým, náboženským alebo odborárskym zameraním a za podmienky, že spracovanie sa týka výlučne členov alebo bývalých členov orgánu alebo osôb, ktoré majú pravidelný kontakt s ním v súvislosti s jeho cieľmi, a že údaje sa nesprístupnia mimo tohto orgánu bez súhlasu dotknutej osoby, alebo

e)  spracovanie sa týka osobných údajov, ktoré dotknutá osoba preukázateľne zverejnila, alebo

f)  spracovanie je nevyhnutné na stanovenie, uplatňovanie alebo obranu právnych nárokov, alebo

g)  spracovanie je nevyhnutné na vykonávanie úlohy vo v dôležitom verejnom záujme na základe právnych predpisov Únie alebo členského štátu, ktoré sú primerané vzhľadom na sledovaný cieľ, rešpektujú podstatu práva na ochranu údajov a určujú vhodné opatrenia na zabezpečenie oprávnených základných práv a záujmov dotknutej osoby, alebo

h)  spracovanie údajov týkajúcich sa zdravia je nevyhnutné na zdravotné účely a za podmienok a záruk uvedených v článku 81, alebo

i)  spracovanie je nevyhnutné na historické, štatistické alebo vedeckovýskumné účely za podmienok a záruk uvedených v článku 83, alebo

ia)  spracovanie je nevyhnutné pre archívne služby za podmienok a záruk uvedených v článku 83a, alebo

j)  spracovanie údajov týkajúcich sa administratívnych sankcií, rozsudkov, trestných rozsudkov činov, odsúdení alebo súvisiacich bezpečnostných opatrení sa vykonáva pod kontrolou oficiálneho orgánu, alebo ak je spracovanie nevyhnutné na splnenie právneho záväzku alebo zákonnej povinnosti, ktorým prevádzkovateľ podlieha, alebo na plnenie úlohy vykonávanej z dôvodu dôležitého verejného záujmu, a pokiaľ je spracovanie povolené právnymi predpismi Únie alebo právnymi predpismi členského štátu poskytujúcimi náležité záruky. Úplný rešpektovania základných práv a záujmov dotknutej osoby. Každý register trestov možno viesť iba pod kontrolou úradnej moci.

3.  Komisia je splnomocnená prijať delegované akty v súlade s článkom 86 s cieľom bližšie určiť kritériá, podmienky a náležité záruky týkajúce sa spracúvania Európsky výbor pre ochranu údajov sa poverí v súlade s článkom 66 vydaním usmernení, odporúčaní a osvedčených postupov pre spracúvanie osobitných kategórií osobných údajov uvedených v odseku 1 a výnimky uvedené v odseku 2. [PN 103]

Článok 10

Spracovanie bez možnosti identifikácie

1.  Ak údaje spracúvané prevádzkovateľom nedovoľujú prevádzkovateľovi alebo sprostredkovateľovi priamo alebo nepriamo identifikovať fyzickú osobu alebo pozostávajú iba z pseudonymných údajov, prevádzkovateľ nie je povinný získať nespracúva ani nezískava dodatočné informácie na zistenie totožnosti dotknutej osoby výlučne na to, aby dosiahol súlad s niektorým ustanovením tohto nariadenia.

2.  Ak prevádzkovateľ údajov nedokáže dodržať ustanovenia tohto nariadenia z dôvodov uvedených v odseku 1, prevádzkovateľ nie je povinný dodržať to konkrétne ustanovenie tohto nariadenia. Keď v dôsledku toho prevádzkovateľ údajov nie je schopný vyhovieť žiadosti dotknutej osoby, informuje ju o tom. [PN 104]

Článok 10a

Všeobecné zásady týkajúce sa práv dotknutých osôb

1.  Základom ochrany údajov sú jasné a jednoznačné práva dotknutých osôb, ktoré prevádzkovateľ údajov rešpektuje. Ustanovenia tohto nariadenia majú za cieľ posilniť, ozrejmiť, zaručiť a v prípade potreby kodifikovať tieto práva.

2.  Medzi tieto práva patrí okrem iného poskytovanie jasných a ľahko zrozumiteľných informácií o spracúvaní osobných údajov dotknutých osôb, právo na prístup k údajom, právo na opravu a výmaz svojich údajov, právo na získanie údajov, právo namietať proti profilovaniu, právo podať sťažnosť na príslušnom orgáne pre ochranu údajov a začať súdne konanie, ako aj právo na kompenzáciu a náhradu škody vyplývajúcej z nezákonného spracovania. Tieto práva sa vo všeobecnosti uplatňujú bezplatne. Prevádzkovateľ údajov odpovedá na žiadosti dotknutej osoby v primeranej lehote. [PN 105]

KAPITOLA III

PRÁVA DOTKNUTEJ OSOBY

ODDIEL 1

TRANSPARENTNOSŤ A METÓDY

Článok 11

Transparentnosť informácií a komunikácie

1.  Prevádzkovateľ musí mať stručné, transparentné, jasné a ľahko dostupné pravidlá týkajúce sa spracúvania osobných údajov a uplatňovania práv dotknutých osôb.

2.  Prevádzkovateľ poskytuje všetky informácie a uskutočňuje komunikáciu v súvislosti so spracúvaním osobných údajov vo vzťahu k dotknutej osobe v zrozumiteľnej forme, pričom používa jasný a jednoduchý jazyk prispôsobený dotknutej osobe, najmä v prípade akýchkoľvek informácií adresovaných výslovne dieťaťu. [PN 106]

Článok 12

Postupy a mechanizmy na výkon práv dotknutej osoby

1.  Prevádzkovateľ zavedie postupy na poskytovanie informácií uvedených v článku 14 a na výkon práv dotknutých osôb uvedených v článku 13 a v článkoch 15 až 19. Prevádzkovateľ zabezpečí najmä mechanizmy na zjednodušenie podania žiadosti o úkony uvedené v článku 13 a v článkoch 15 až 19. Ak sa osobné údaje spracúvajú automatizovanými prostriedkami, prevádzkovateľ podľa možnosti takisto zabezpečí prostriedky na podávanie žiadostí v elektronickej podobe.

2.  Prevádzkovateľ informuje dotknutú osobu bezodkladne bez zbytočného odkladu a najneskôr do jedného mesiaca 40 kalendárnych dní od prijatia žiadosti, či sa prijali nejaké opatrenia podľa článku 13 a článkov 15 až 19, a poskytne požadovanú informáciu. Túto lehotu možno predĺžiť o ďalší mesiac, ak svoje práva vykonáva niekoľko dotknutých osôb a ich spolupráca je nevyhnutná v primeranej miere tak, aby prevádzkovateľ nemusel vyvinúť zbytočné a neprimerané úsilie. Táto informácia sa vydáva písomne, a ak je to možné, prevádzkovateľ môže poskytnúť prístup na diaľku k bezpečnému systému, ktorý dotknutej osobe zabezpečí priamy prístup k jej osobným údajom. Ak dotknutá osoba podala žiadosť v elektronickej podobe, uvedená informácia sa poskytne podľa možnosti v elektronickej forme, pokiaľ dotknutá osoba nepožiadala o iný spôsob.

3.  Ak prevádzkovateľ odmietne prijať neprijme opatrenia na základe žiadosti dotknutej osoby, prevádzkovateľ informuje dotknutú osobu o dôvodoch zamietnutia nekonania a o možnostiach podania sťažnosti dozornému orgánu a uplatnenia súdnych prostriedkov nápravy.

4.  Informácie a opatrenia prijaté na základe žiadostí uvedených v odseku 1 sú bezplatné. Ak sú žiadosti zjavne neprimerané, najmä v dôsledku ich opakujúcej sa povahy, prevádzkovateľ môže vyberať primeraný poplatok zohľadňujúci administratívne náklady za poskytnutie informácií alebo za vykonanie požadovaných opatrení, prípadne nemusí vykonať požadované opatrenie. V takom prípade znáša prevádzkovateľ dôkazné bremeno, pokiaľ ide o zjavne neprimeraný charakter žiadosti.

5.  Komisia je splnomocnená prijať delegované akty v súlade s článkom 86 s cieľom bližšie určiť kritériá a podmienky týkajúce sa zjavne neprimeraných žiadostí a poplatkov uvedených v odseku 4.

6.  Komisia môže určiť štandardné formuláre a stanoviť štandardné postupy oznámenia uvedeného v odseku 2 vrátane elektronického formátu. Komisia pritom prijme osobitné opatrenia pre mikropodniky a malé a stredné podniky. Tieto vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 87 ods. 2. [PN 107]

Článok 13

Práva vo vzťahu k príjemcom Požiadavky na informovanie v prípade opravy a výmazu

Prevádzkovateľ oznámi každému príjemcovi, ktorému boli údaje sprístupnené prenesené, všetky prípady opravy alebo výmazu uskutočnené v súlade s článkami 16 a 17, pokiaľ sa to neukáže ako nemožné alebo pokiaľ si to nevyžaduje neprimerané úsilie. Prevádzkovateľ o týchto príjemcoch informuje dotknutú osobu, ak to dotknutá osoba požaduje. [PN 108]

Článok 13a

Štandardizované informačné pravidlá

1.  Keď sa zhromažďujú osobné údaje o dotknutej osobe, prevádzkovateľ pred poskytnutím informácií podľa článku 14 poskytne dotknutej osobe tieto podrobné informácie:

a)  či sa osobné údaje zhromažďujú nad rámec minima potrebného na každý konkrétny účel spracovania;

b)  či sa osobné údaje uchovávajú nad rámec minima potrebného na každý konkrétny účel spracovania;

c)  či sa osobné údaje spracúvajú na účely odlišné od tých, na ktoré sa zhromažďovali;

d)  či sa osobné údaje poskytujú tretím stranám komerčného charakteru;

e)  či sa osobné údaje predávajú alebo prenajímajú;

f)  či sa osobné údaje uchovávajú v zakódovanej forme.

2.  Podrobné informácie uvedené v odseku 1 sa predložia podľa prílohy k tomuto nariadeniu v zosúladenom tabuľkovom formáte s použitím textu a symbolov v týchto troch stĺpcoch:

a)  prvý stĺpec opisuje grafické tvary symbolizujúce tieto podrobné informácie;

b)  druhý stĺpec obsahuje základné informácie s opisom týchto podrobných informácií;

c)  tretí stĺpec opisuje grafické tvary, ktoré vyjadrujú, či bola splnená konkrétna podrobná informácia.

3.  Informácie uvedené v odsekoch 1 a 2 sa uvádzajú dobre viditeľným a ľahko zrozumiteľným spôsobom a zobrazujú sa v jazyku, ktorému dobre rozumejú spotrebitelia členských štátov, ktorým sa informácie poskytujú. Ak sa podrobné informácie uvádzajú elektronicky, musia byť strojovo čitateľné.

4.  Žiadne ďalšie podrobné informácie sa neposkytujú. Podrobné vysvetlenie alebo ďalšie poznámky týkajúce sa podrobných informácií uvedených v odseku 1 sa môžu poskytnúť spoločne s ďalšími informačnými požiadavkami podľa článku 14.

5.  Komisia je splnomocnená v súlade s článkom 86 po požiadaní o stanovisko Európskej rady pre ochranu údajov prijímať delegované akty týkajúce sa ďalšieho spresnenia podrobných informácií uvedených v odseku 1 a ich prezentácie podľa odseku 2 a prílohy k tomuto nariadeniu. [PN 109]

ODDIEL 2

INFORMÁCIE A PRÍSTUP K ÚDAJOM

Článok 14

Informovanie dotknutej osoby

1.  V prípadoch, keď sa zhromažďujú osobné údaje týkajúce sa dotknutej osoby, prevádzkovateľ po poskytnutí podrobných informácií podľa článku 13a poskytne dotknutej osobe informácie obsahujúce aspoň:

a)  totožnosť a kontaktné údaje prevádzkovateľa, prípadne jeho zástupcu, ak je ustanovený, a úradníka pre ochranu údajov;

b)  účely spracovania, na ktoré sú osobné údaje určené, ako aj informácie o bezpečnosti spracovania osobných údajov vrátane zmluvných a všeobecných podmienok v prípade, že sa spracovanie údajov vykonáva na základe článku 6 ods. 1 písm. b), a oprávnených záujmov, ktoré sleduje prevádzkovateľ, ak sa spracovanie údajov vykonáva na základe vo vhodnom prípade informácie o vykonávaní a plnení požiadaviek uvedených v článku 6 ods. 1 písm. f);

c)  obdobie, počas ktorého sa osobné údaje budú uchovávať, alebo ak to nie je možné, kritériá používané na stanovenie tohto obdobia;

d)  právo požadovať od prevádzkovateľa prístup k osobným údajom týkajúcim sa dotknutej osoby a právo na ich opravu alebo výmaz, alebo na vznesenie námietky proti spracovaniu týchto osobných údajov alebo na získanie údajov;

e)  právo podať sťažnosť dozornému orgánu a kontaktné údaje dozorného orgánu;

f)  príjemcov alebo kategórie príjemcov osobných údajov;

g)  v relevantnom prípade informáciu, že prevádzkovateľ zamýšľa prenos údajov do tretej krajiny alebo medzinárodnej organizácii a informáciu o úrovni ochrany poskytovanej touto treťou krajinou alebo medzinárodnou organizáciou s odkazom na rozhodnutie existencii alebo neexistencii rozhodnutia Komisie o primeranosti alebo, v prípade prenosov uvedených v článku 42 alebo 43 odkaz na náležité záruky a prostriedky na získanie ich kópie;

ga)  v náležitých prípadoch informáciu o existencii profilovania, opatreniach založených na profilovaní a predpokladanom vplyve profilovania na dotknutú osobu;

gb)  užitočné informácie o metóde použitej v každom automatizovanom spracúvaní;

h)  akékoľvek ďalšie informácie potrebné na to, aby sa zaručilo spravodlivé spracovanie vo vzťahu k dotknutej osobe, a to so zreteľom na špecifické okolnosti, za ktorých sa osobné údaje zhromažďujú alebo spracúvajú, najmä na existenciu určitých činností a operácií spracovania, v prípade ktorých posúdenie vplyvu týkajúce sa osobných údajov ukázalo, že môžu byť vysoko rizikové;

ha)  v relevantnom prípade informáciu o tom, či sa za posledných 12 mesiacov poskytli osobné údaje orgánom verejnej moci.

2.  Ak sa osobné údaje získavajú od dotknutej osoby, prevádzkovateľ okrem informácií uvedených v odseku 1 informuje dotknutú osobu aj o tom, či poskytovanie osobných údajov je povinné záväzné alebo dobrovoľné, ako aj o možných dôsledkoch neposkytnutia týchto údajov.

2a.   Pri rozhodovaní o ďalších informáciách, ktoré sú potrebné na to, aby spracovanie bolo spravodlivé podľa odseku 1 písm. h), prevádzkovatelia zohľadňujú všetky relevantné usmernenia podľa článku 34.

3.  Ak osobné údaje neboli získané od dotknutej osoby, prevádzkovateľ okrem informácií uvedených v odseku 1 informuje dotknutú osobu aj o tom, z akých zdrojov tieto konkrétne osobné údaje pochádzajú. Ak osobné údaje pochádzajú z verejne dostupných zdrojov, možno poskytnúť všeobecnú informáciu.

4.  Prevádzkovateľ poskytne informácie uvedené v odsekoch 1, 2 a 3:

a)  v čase, keď sa tieto osobné údaje získavajú od dotknutej osoby, alebo bez zbytočného odkladu, ak vyššie uvedené nie je možné; alebo

aa)  na žiadosť subjektu, organizácie alebo združenia podľa článku 73;

b)  ak osobné údaje neboli získané od dotknutej osoby, potom v čase ich zaznamenania alebo v rámci primeraného obdobia po ich zhromaždení so zreteľom na osobitné okolnosti, za ktorých sa údaje zhromažďujú alebo inak spracúvajú, alebo ak sa uvažuje o ich sprístupnení prenose ďalšiemu príjemcovi, a najneskôr vtedy, keď sa údaje sprístupňujú po prvý raz. v čase prvého prenosu, alebo ak sa údaje majú použiť na komunikáciu s príslušnou dotknutou osobou, najneskôr v čase prvej komunikácie s touto dotknutou osobou; alebo

ba)  iba na požiadanie, keď sa údaje spracúvajú v malom podniku alebo v mikropodniku, ktorý spracúva osobné údaje iba ako vedľajšiu činnosť.

5.  Odseky 1 až 4 sa neuplatňujú v prípadoch, keď:

a)  dotknutá osoba už má informácie uvedené v odsekoch 1, 2 a 3 alebo

b)  údaje sa spracúvajú na historické, štatistické alebo vedeckovýskumné účely podľa podmienok a záruk uvedených v článku 81 a 83, neboli získané od dotknutej osoby a, poskytnutie týchto informácií sa ukáže ako nemožné alebo by si vyžadovalo neprimerané úsilie a prevádzkovateľ informácie zverejnil, aby si ich mohol každý vyhľadať; alebo

c)  údaje neboli získané od dotknutej osoby a ich zaznamenávanie alebo sprístupnenie je výslovne určené zákonom, ktorému prevádzkovateľ podlieha a ktorý obsahuje príslušné opatrenia na ochranu legitímnych záujmov dotknutej osoby so zreteľom na riziká, ktoré predstavuje spracúvanie a povaha osobných údajov; alebo

d)  údaje neboli získané od dotknutej osoby a poskytnutie takýchto informácií by poškodzovalo práva a slobody iných fyzických osôb, ako sú ustanovené právnymi predpismi Únie alebo členského štátu v súlade s článkom 21;

da)  údaje spracúva pri výkone svojej profesie osoba podliehajúca povinnosti profesijnej mlčanlivosti, ktorá je regulovaná právom Únie alebo členského štátu, alebo osoba podliehajúca zákonnej povinnosti mlčanlivosti, alebo sú údaje tejto osobe zverené alebo sa s nimi oboznámi, ak údaje nie sú získané priamo od dotknutej osoby.

6.  V prípade uvedenom v odseku 5 písm. b) prevádzkovateľ zabezpečí primerané opatrenia na ochranu práv alebo oprávnených záujmov dotknutej osoby.

7.  Komisia je splnomocnená prijať delegované akty v súlade s článkom 86 s cieľom bližšie určiť kritériá pre kategórie príjemcov uvedených v odseku 1 písm. f), požiadavky týkajúce sa oznámenia o potenciálnom prístupe uvedenom v odseku 1 písm. g), kritériá pre ďalšie potrebné informácie uvedené v odseku 1 písm. h) pre špecifické sektory, situácie a podmienky, ako aj náležité záruky pre výnimky uvedené v odseku 5 písm. b). Komisia pritom prijme osobitné opatrenia pre mikropodniky a malé a stredné podniky.

8.  Komisia môže určiť štandardné formuláre na poskytovanie informácií uvedených v odsekoch 1 až 3, pričom v prípade potreby prihliadne na osobitné charakteristiky a potreby jednotlivých sektorov a situácie, ktoré sa vyskytujú pri spracúvaní údajov. Tieto vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 87 ods. 2. [PN 110]

Článok 15

Prístupové práva Právo dotknutej osoby na prístup k údajom a na získanie údajov

1.  Podľa článku 12 ods. 4 dotknutá osoba má právo dostať od prevádzkovateľa na požiadanie kedykoľvek potvrdenie v zrozumiteľnom a jednoduchom jazyku o tom, či sa spracúvajú jej osobné údaje. Ak sa takéto osobné údaje spracúvajú, prevádzkovateľ poskytne, informácie obsahujúce:

a)  účely spracovania pre každú kategóriu osobných údajov;

b)  kategórie dotknutých osobných údajov;

c)  príjemcov alebo kategórie príjemcov, ktorým osobné údaje majú byť alebo boli sprístupnené, najmä príjemcovia vrátane príjemcov v tretích krajinách;

d)  obdobie, počas ktorého sa osobné údaje budú uchovávať, alebo ak to nie je možné, kritériá používané na stanovenie tohto obdobia;

e)  právo žiadať od prevádzkovateľa opravu alebo vymazanie osobných údajov týkajúcich sa dotknutej osoby alebo vzniesť námietku proti spracovaniu týchto osobných údajov;

f)  právo podať sťažnosť dozornému orgánu a kontaktné údaje dozorného orgánu;

g)  informáciu o osobných údajoch, ktoré sa spracúvajú, a o akýchkoľvek dostupných informáciách, pokiaľ ide o ich zdroj;

h)  význam a predpokladané dôsledky tohto spracovania, a to prinajmenšom v prípade opatrení uvedených v článku 20;

ha)  užitočné informácie o metóde použitej v každom automatizovanom spracúvaní;

hb)  bez toho, aby bol dotknutý článok 21, v prípade sprístupnenia osobných údajov verejnému orgánu na základe žiadosti verejného orgánu potvrdenie skutočnosti, že takáto žiadosť bola podaná.

2.  Dotknutá osoba má právo získať od prevádzkovateľa informáciu o osobných údajoch, ktoré sa spracúvajú. Ak dotknutá osoba podala žiadosť v elektronickej podobe, uvedená informácia sa poskytne v elektronickej forme elektronickom a štruktúrovanom formáte, pokiaľ dotknutá osoba nepožiadala o iný spôsob. Bez toho, aby bol dotknutý článok 10, prijme prevádzkovateľ všetky primerané kroky na overenie, či osoba, ktorá žiada o prístup k údajom, je dotknutou osobou.

2a.  Ak dotknutá osoba poskytla osobné údaje a ak sa osobné údaje spracúvajú elektronicky, dotknutá osoba má právo dostať od prevádzkovateľa kópiu poskytnutých osobných údajov v elektronickom a interoperabilnom formáte, ktorý sa bežne používa a umožňuje ďalšie používanie dotknutou osobou, a to bez prekážok zo strany prevádzkovateľa, od ktorého sa osobné údaje presunuli. Tam, kde je to technicky možné a dosiahnuteľné, údaje sa na žiadosť dotknutej osoby prenesú priamo od prevádzkovateľa na prevádzkovateľa.

2b.  Týmto článkom nie je dotknutá povinnosť vymazať údaje, keď už nie sú potrebné, podľa článku 5 ods. 1 písm. e).

2c.  Neexistuje právo na prístup k údajom podľa odsekov 1 a 2, ak ide o údaje v zmysle článku 14 ods. 5 písm. da), s výnimkou prípadu, ak je dotknutá osoba oprávnená predmetnú mlčanlivosť odvolať a aj tak urobí.

3.  Komisia je splnomocnená prijať delegované akty v súlade s článkom 86 s cieľom bližšie určiť kritériá a požiadavky týkajúce sa informácie adresovanej dotknutej osobe o obsahu osobných údajov uvedených v odseku 1 písm. g).

4.  Komisia môže určiť štandardné formuláre a stanoviť postupy na podávanie žiadostí o prístup k informáciám uvedeným v odseku 1 a o jeho udelení, a to aj na účely overenia totožnosti dotknutej osoby a informácie o osobných údajoch dotknutej osobe s prihliadnutím na osobitné charakteristiky a potreby jednotlivých sektorov a situácie, ktoré sa vyskytujú pri spracúvaní údajov. Tieto vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 87 ods. 2. [PN 111]

ODDIEL 3

OPRAVA A VÝMAZ

Článok 16

Právo na opravu

Dotknutá osoba má právo vymôcť prostredníctvom prevádzkovateľa opravu svojich osobných údajov, ktoré sú nesprávne. Dotknutá osoba má právo vymôcť doplnenie svojich osobných údajov, a to aj predložením opravného vyhlásenia.

Článok 17

Právo byť zabudnutý a právo na výmaz

1.  Dotknutá osoba má právo vymôcť prostredníctvom prevádzkovateľa výmaz svojich osobných údajov, ako aj to, aby sa prevádzkovateľ zdržal ďalšieho šírenia týchto údajov, najmä pokiaľ ide o osobné údaje, ktoré dotknutá osoba sprístupnila v čase, keď bola v dieťaťom, a vymôcť od tretích strán výmaz všetkých odkazov na tieto údaje, ich kópií alebo replikácií, ak sa na tieto údaje vzťahuje niektorý z týchto dôvodov:

a)  údaje už nie sú potrebné na účely, na ktoré sa zhromažďovali alebo inak spracúvali;

b)  dotknutá osoba odvolá súhlas, na základe ktorého sa spracovanie vykonáva, ako je ustanovené v článku 6 ods. 1 písm. a), alebo ak uplynulo obdobie uchovávania, na ktoré bol daný súhlas, a ak nejestvuje iný právny základ pre spracovanie údajov;

c)  dotknutá osoba v súlade s článkom 19 namieta proti spracovaniu osobných údajov;

ca)  súd alebo regulačný orgán so sídlom v Únii právoplatne rozhodol, že je nutné príslušné údaje vymazať;

d)  spracovanie údajov nie je v súlade s týmto nariadením z iných dôvodov. údaje boli spracované nezákonne.

1a.  Uplatňovanie odseku 1 závisí od schopnosti prevádzkovateľa overiť, či osoba, ktorá o výmaz žiada, je dotknutou osobou.

2.  V prípade, že prevádzkovateľ uvedený v odseku 1 zverejnil osobné údaje, bez odôvodnenia podľa článku 6 ods. 1, musí podniknúť všetky primerané kroky súvisiace s údajmi na zverejnenie, za ktoré prevádzkovateľ nesie zodpovednosť, vrátane technických opatrení, s cieľom informovať tretie strany, ktoré spracúvajú tieto údaje, že dotknutá osoba ich žiada, aby odstránili všetky odkazy na tieto osobné údaje či ich kópiu alebo replikáciu. Ak prevádzkovateľ povolil tretej strane zverejnenie osobných údajov, tento prevádzkovateľ sa považuje za zodpovedného za zverejnenie na výmaz týchto údajov vrátane u tretích strán, bez toho, aby bol dotknutý článok 77. Prevádzkovateľ podľa možnosti informuje dotknutú osobu o opatreniach, ktoré prijali príslušné tretie strany.

3.  Prevádzkovateľ vykoná a v relevantnom prípade tretia strana vykonajú vymazanie bezodkladne s výnimkou prípadu, keď uchovanie osobných údajov je potrebné:

a)  na uplatnenie práva na slobodu prejavu v súlade s článkom 80;

b)  z dôvodov verejného záujmu v oblasti verejného zdravia v súlade s článkom 81;

c)  na historické, štatistické a vedeckovýskumné účely v súlade s článkom 83;

d)  na splnenie zákonnej povinnosti uchovávať osobné údaje v zmysle právnych predpisov Únie alebo právnych predpisov členského štátu, ktorým prevádzkovateľ podlieha; právne predpisy členských štátov musia spĺňať cieľ verejného záujmu, rešpektovať podstatu práva na ochranu osobných údajov a musia byť primerané sledovanému legitímnemu cieľu;

e)  v prípadoch uvedených v odseku 4.

4.  Namiesto výmazu prevádzkovateľ obmedzí spracovanie osobných údajov tak, aby neboli predmetom normálnych operácií súvisiacich s prístupom k údajom a s ich spracúvaním a aby sa viac nemohli meniť, v prípade, že:

a)  dotknutá osoba napadne ich presnosť, a to na dobu umožňujúcu prevádzkovateľovi overiť presnosť údajov;

b)  prevádzkovateľ už nepotrebuje údaje na plnenie svojich úloh, tie však musia zostať uchované na dôkazné účely;

c)  spracovanie je protizákonné a dotknutá osoba namieta proti ich vymazaniu a žiada namiesto toho obmedzenie ich použitia;

ca)  súd alebo regulačný orgán so sídlom v Únii právoplatne rozhodol, že je nutné príslušné spracovanie obmedziť;

d)  dotknutá osoba žiada o prenos osobných údajov do iného automatizovaného systému spracovania v súlade s článkom 18 ods. 2 15 ods. 2a;

da)  konkrétny typ technológie skladovania neumožňuje výmaz a bol inštalovaný pred nadobudnutím účinnosti tohto nariadenia.

5.  Osobné údaje uvedené v odseku 4 možno s výnimkou uchovania spracúvať iba na dôkazné účely alebo so súhlasom dotknutej osoby na ochranu práv inej fyzickej alebo právnickej osoby, alebo na cieľ verejného záujmu.

6.  Ak je spracovanie osobných údajov obmedzené v zmysle odseku 4, prevádzkovateľ pred zrušením obmedzenia na spracovanie informuje o tom dotknutú osobu.

7.  Prevádzkovateľ zavedie mechanizmy na zabezpečenie dodržiavania lehôt stanovených na vymazanie osobných údajov a/alebo na pravidelné prehodnotenie potreby uchovávania týchto údajov.

8.  Ak sa vykonáva výmaz, prevádzkovateľ nesmie spracovať dotknuté osobné údaje iným spôsobom.

8a.  Prevádzkovateľ zavedie mechanizmy na zabezpečenie dodržiavania lehôt stanovených na výmaz osobných údajov a/alebo na pravidelné prehodnotenie potreby uchovávania týchto údajov.

9.  Komisia je oprávnená splnomocnená v súlade s článkom 86 prijímať po požiadaní Európskeho výboru pre ochranu údajov o stanovisko delegované akty v súlade s článkom 86 s cieľom bližšie určiť:

a)  kritériá a požiadavky na uplatňovanie odseku 1 v prípade osobitných sektorov, ako aj v osobitných situáciách spracúvania údajov;

b)  podmienky na vymazanie súvisiacich odkazov, kópií alebo replikácií osobných údajov z verejne dostupných komunikačných služieb, ako sa uvádza v odseku 2;

c)  kritériá a podmienky pre obmedzenie spracovania osobných údajov podľa odseku 4. [PN 112]

Článok 18

Právo na prenosnosť údajov

1.  Ak sa osobné údaje spracúvajú v elektronickej podobe a v štruktúrovanom a bežne používanom formáte, dotknutá osoba má právo dostať od prevádzkovateľa kópiu údajov spracovaných v elektronickej a štruktúrovanej forme, ktorá je bežne používaná a ktorá umožňuje ďalšie využívanie dotknutou osobou.

2.  Ak dotknutá osoba poskytla osobné údaje a spracovanie sa vykonáva na základe súhlasu alebo na základe zmluvy, dotknutá osoba má právo preniesť tieto osobné údaje a akékoľvek iné informácie ňou poskytnuté a uchovávané v automatizovanom systéme spracovania do iného systému v elektronickom formáte, ktorý sa bežne používa, a to bez prekážok zo strany prevádzkovateľa, od ktorého sa osobné údaje presunuli.

3.  Komisia môže určiť elektronický formát uvedený v odseku 1 a technické normy, metódy a postupy na prenos osobných údajov podľa odseku 2. Tieto vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 87 ods. 2. [PN 113]

ODDIEL 4

PRÁVO NAMIETAŤ A PROFILOVANIE

Článok 19

Právo namietať

1.  Dotknutá osoba má právo namietať z dôvodov týkajúcich sa jej konkrétnej situácie kedykoľvek v priebehu spracúvania osobných údajov vykonávaného na základe článku 6 ods. 1 písm. d), a e) a f), pokiaľ prevádzkovateľ nepreukáže závažné legitímne dôvody na spracovanie, ktoré prevažujú nad záujmami alebo základnými právami a slobodami dotknutej osoby.

2.  Ak sa osobné údaje spracúvajú na účely priameho marketingu, spracúvanie osobných údajov zakladá na článku 6 ods. 1 písm. f), dotknutá osoba má právo kedykoľvek a bez ďalšieho odôvodnenia bezplatne namietať všeobecne alebo z akéhokoľvek konkrétneho dôvodu proti proti spracovaniu svojich osobných údajov pre takýto marketing. Toto právo sa má dotknutej osobe dať na vedomie výslovným a zrozumiteľným spôsobom a musí byť jasne odlíšiteľné od iných informácií.

2a.   Právo uvedené v odseku 2 sa dotknutej osobe dá na vedomie výslovným a zrozumiteľným spôsobom a formou, s použitím jasného a jednoduchého jazyka, najmä v prípade, keď je adresátom dieťa, a musí to byť jasne odlíšiteľné od iných informácií.

2b.  V súvislosti s používaním služieb informačnej spoločnosti a bez ohľadu na smernicu 2002/58/ES sa môže právo na námietku uplatňovať pomocou automatizovaných prostriedkov s použitím technickej normy, ktorá umožní dotknutej osobe jasne vyjadriť svoje želanie.

3.  Ak je vznesená námietka v zmysle odsekov 1 a 2, prevádzkovateľ nemôže ďalej používať alebo inak spracúvať dotknuté osobné údaje na účely určené v námietke. [PN 114]

Článok 20

Opatrenia založené na profilovaníProfilovanie

1.  Bez toho, aby boli dotknuté ustanovenia článku 6, každá fyzická osoba má právo, aby nebola podrobená žiadnemu opatreniu, ktoré má právne účinky týkajúce sa tejto fyzickej osoby, alebo ktoré má významné dôsledky pre túto fyzickú osobu a ktoré je založené výlučne na automatizovanom spracovaní na účely hodnotenia určitých osobných aspektov týkajúcich sa tejto fyzickej osoby, alebo na analýzu či prognózovanie týkajúce sa najmä pracovnej výkonnosti, ekonomickej situácie, bydliska, zdravia, osobných preferencií, spoľahlivosti alebo správania tejto fyzickej osoby namietať proti profilovaniu podľa článku 19. Dotknutá osoba musí byť informovaná dobre viditeľným spôsobom o práve vzniesť námietku proti profilovaniu.

2.  S výhradou ostatných ustanovení tohto nariadenia možno určitú osobu podrobiť opatreniu typu uvedeného v odseku 1 profilovaniu, ktoré vedie k opatreniam s právnymi dôsledkami týkajúcimi sa dotknutej osoby, alebo podobne významne ovplyvňuje záujmy, práva a slobody príslušnej dotknutej osoby iba vtedy, ak je spracovanie:

a)  vykonávané v priebehu uzatvárania potrebné na uzatváranie alebo plnenia plnenie zmluvy, ak sa žiadosti dotknutej osoby o uzatvorenie alebo plnenie zmluvy vyhovelo, alebo ak za predpokladu, že boli prijaté vhodné opatrenia na zabezpečenie oprávnených záujmov dotknutej osoby, napríklad právo vymôcť zásah ľudského činiteľa, alebo

b)  výslovne povolené právnym predpisom EÚ alebo členského štátu, ktorý zároveň stanovuje aj vhodné opatrenia zaručujúce ochranu oprávnených záujmov dotknutej osoby, alebo

c)  založené na súhlase dotknutej osoby s výhradou podmienok stanovených v článku 7 a vhodných záruk.

3.  Automatizované spracovanie osobných údajov na účely hodnotenia určitých osobných aspektov týkajúcich sa fyzickej osoby Profilovanie, ktorého dôsledkom je diskriminácia fyzických osôb na základe rasového alebo etnického pôvodu, politických názorov, náboženstva alebo presvedčenia, členstva v odboroch, sexuálnej orientácie alebo rodovej identity, alebo ktoré vedie k opatreniam s takýmto účinkom, je zakázané. Prevádzkovateľ musí zaviesť účinnú ochranu pred možnou diskrimináciou vyplývajúcou z profilovania. Profilovanie nesmie byť založené výlučne na osobitných kategóriách osobných údajov uvedených v článku 9.

4.  V prípadoch uvedených v odseku 2 informácie, ktoré má poskytnúť prevádzkovateľ podľa článku 14, obsahujú aj informáciu o tom, či sa vykonáva spracovanie na účely opatrenia, na ktoré sa vzťahuje odsek 1, a predpokladané dôsledky takéhoto spracovania pre dotknutú osobu.

5.  Komisia je splnomocnená prijať delegované akty v súlade s článkom 86 s cieľom bližšie určiť kritériá a podmienky pre Profilovanie, ktoré vedie k opatreniam s právnymi dôsledkami týkajúcimi sa dotknutej osoby alebo podobne významne ovplyvňuje záujmy, práva alebo slobody príslušnej dotknutej osoby, sa nemôže zakladať výlučne alebo prevažne na automatizovanom spracovaní a musí zahŕňať aj ľudské hodnotenie vrátane vysvetlenia rozhodnutia, ktoré bolo prijaté po takomto hodnotení. Vhodné opatrenia na ochranu oprávnených záujmov dotknutej osoby uvedených v odseku 2 zahŕňajú právo na získanie ľudského hodnotenia a vysvetlenie rozhodnutia, ktoré bolo prijaté po takomto hodnotení.

5a.  Európsky výbor pre ochranu údajov je v súlade s článkom 66 ods. 1 písm. b) poverený úlohou vydať usmernenia, odporúčania a najlepšie postupy týkajúce sa ďalšieho spresnenia kritérií a podmienok profilovania podľa odseku 2. [PN 115]

ODDIEL 5

Obmedzenia

Článok 21

Obmedzenia

1.  Právne predpisy Únie alebo členského štátu môžu prostredníctvom legislatívneho opatrenia obmedziť rozsah povinností a práv uvedených v článku 5 písm. a) až e), v článkoch 11 až 20 19 a v článku 32, ak takéto obmedzenie predstavuje plní jasne vymedzený cieľ verejného záujmu, rešpektuje podstatu práva na ochranu osobných údajov, je primerané k legitímnemu sledovanému cieľu a rešpektuje základné práva a záujmy dotknutej osoby a je to nevyhnutné a primerané opatrenie v demokratickej spoločnosti s cieľom zaručiť:

a)  verejnú bezpečnosť;

b)  predchádzanie trestným činom, ich vyšetrovanie, odhaľovanie a stíhanie;

c)  iné verejné záujmy Únie alebo členského štátu, najmä predmet dôležitého hospodárskeho alebo finančného záujmu Únie alebo členského štátu vrátane peňažných, rozpočtových a daňových záležitostí a ochranu stability a integrity trhu daňové záležitosti;

d)  predchádzanie porušeniam etiky pre regulované profesie, ich vyšetrovanie, odhaľovanie a stíhanie;

e)  monitorovaciu, kontrolnú alebo regulačnú funkciu spojenú, hoci aj príležitostne, s výkonom v rámci vykonávania úloh oficiálneho príslušného orgánu verejnej moci v prípadoch uvedených v písmenách a), b), c) a d);

f)  ochranu dotknutej osoby alebo práv a slobôd iných.

2.  Každé legislatívne opatrenie uvedené v odseku 1 musí byť v demokratickej spoločnosti predovšetkým potrebné a primerané a musí obsahovať špecifické ustanovenia, prinajmenšom pokiaľ ide o ciele spracovania údajov a určenie prevádzkovateľa.:

a)   ciele, ktoré sa majú spracovaním sledovať;

b)   určenie prevádzkovateľa;

c)  konkrétne účely a spôsoby spracovania;

d)  záruky zabraňujúce zneužitiu údajov alebo nezákonnému prístupu či prenosu;

e)  právo dotknutej osoby na informovanie o obmedzeniach.

2a.  Legislatívne opatrenia uvedené v odseku 1 súkromným prevádzkovateľom nepovoľujú, ani ich nezaväzujú uchovávať údaje dodatočné k údajom, ktoré sú nevyhnutné na pôvodný účel. [PN 116]

KAPITOLA IV

PREVÁDZKOVATEĽ A SPROSTREDKOVATEĽ

ODDIEL 1

VŠEOBECNÉ POVINNOSTI

Článok 22

Zodpovednosť a povinnosti prevádzkovateľa

1.  Prevádzkovateľ prijme náležité pravidlá a uplatňuje vhodné a preukázateľné technické a organizačné opatrenia s cieľom zabezpečiť a byť schopný transparentne preukázať, že spracúvanie osobných údajov sa vykonáva v súlade s týmto nariadením, so zreteľom na aktuálny stav techniky, charakter spracovania osobných údajov, kontext, rozsah a účely spracovania, riziká pre práva a slobody dotknutej osoby a na typ organizácie, a to v čase stanovenia spôsobu spracovania i v čase samotného spracovania.

1a.  So zreteľom na aktuálny stav techniky a náklady na vykonávanie prijme prevádzkovateľ všetky zodpovedajúce kroky na to, aby vykonával politiky a postupy na dosiahnutie súladu, ktoré neustále rešpektujú nezávislé rozhodnutia dotknutých osôb. Tieto politiky na dosiahnutie súladu sa aspoň každé dva roky preskúmajú a v prípade potreby sa aktualizujú.

2.  K opatreniam uvedeným v odseku 1 patria najmä:

(a)  vedenie dokumentácie podľa článku 28;

(b)  plnenie požiadaviek bezpečnosti údajov stanovených v článku 30;

(c)  posúdenie vplyvu na ochranu údajov podľa článku 33;

(d)  plnenie požiadaviek týkajúcich sa povolenia vopred alebo konzultácie vopred s dozorným orgánom podľa článku 34 ods. 1 a 2;

(e)  určenie úradníka pre ochranu údajov v súlade s článkom 35 ods. 1.

3.  Prevádzkovateľ zavedie mechanizmy na overovanie účinnosti musí byť schopný preukázať primeranosť a účinnosť opatrení uvedených v odsekoch 1 a 2. V odôvodnených prípadoch vykonávajú toto overovanie nezávislí interní alebo externí audítori. Všetky pravidelné všeobecné správy o činnosti prevádzkovateľa, napríklad povinné správy verejne obchodovaných spoločností, obsahujú súhrnný opis politík a opatrení uvedených v odseku 1.

3a.  Prevádzkovateľ má právo postúpiť osobné údaje v Únii v rámci skupiny podnikov, ktorej je prevádzkovateľ súčasťou, ak je také spracovanie potrebné na legitímne vnútorné administratívne účely medzi prepojenými obchodnými oblasťami skupiny podnikov a ak je zaručená dostatočná úroveň ochrany údajov, ako aj záujmov dotknutých subjektov prostredníctvom interných ustanovení na ochranu údajov alebo rovnocenného kódexu správania, ako sa uvádza v článku 38.

4.  Komisia je splnomocnená prijať delegované akty v súlade s článkom 86 s cieľom určiť akékoľvek ďalšie kritériá a požiadavky na primerané opatrenia uvedené v odseku 1, iné než tie, ktoré sú už uvedené v odseku 2, podmienky mechanizmov overovania a auditu uvedených v odseku 3, ako aj kritériá primeranosti podľa odseku 3, a zvážiť osobitné opatrenia pre mikropodniky a malé a stredné podniky. [PN 117]

Článok 23

Ochrana údajov špecificky navrhnutá a štandardne určená

1.  So zreteľom na najnovší stav techniky a náklady na jej zavedenie aktuálne technické poznatky, najlepšie medzinárodné postupy a riziká vyplývajúce zo spracovania údajov prevádzkovateľ a sprostredkovateľ, ak existuje, v čase určenia účelov a prostriedkov na spracovanie, ako aj v čase samotného spracúvania uplatní zodpovedajúce a primerané technické a organizačné opatrenia a postupy tak, aby spracovanie spĺňalo požiadavky tohto nariadenia a zabezpečovalo ochranu práv dotknutej osoby, najmä so zreteľom na zásady stanovené v článku 5. Špecificky navrhnutá ochrana údajov osobitne zohľadňuje riadenie celého životného cyklu osobných údajov od zhromažďovania cez spracúvanie až po vymazanie, pričom sa systematicky zameriava na komplexné procesné záruky týkajúce sa presnosti, dôvernosti, neporušenosti, fyzickej bezpečnosti a vymazania osobných údajov. Ak prevádzkovateľ vykonal posúdenie vplyvu na ochranu údajov v súlade s článkom 33, jeho výsledky sa berú do úvahy pri príprave týchto opatrení a postupov.

1a.  S cieľom podporiť široké zavádzanie špecificky navrhnutej ochrany v rôznych hospodárskych odvetviach je takáto ochrana požiadavkou pre verejné obstarávanie podľa smernice Európskeho parlamentu a Rady 2004/18/ES(16), ako aj podľa smernice Európskeho parlamentu a Rady 2004/17/EC(17) (smernica o verejnoprospešných službách).

2.  Prevádzkovateľ zavedie mechanizmy, ktorými sa zabezpečí, aby sa štandardne spracúvali iba tie osobné údaje, ktoré sú potrebné pre jednotlivé konkrétne účely spracovania, a najmä aby sa nezhromažďovali a, neuchovávali ani nerozširovali nad minimum nevyhnutné na tieto účely, a to či už ide o množstvo údajov alebo obdobie ich uchovávania. Týmito mechanizmami sa má predovšetkým štandardne zabezpečiť, aby osobné údaje neboli prístupné pre ľubovoľný počet fyzických osôb a aby dotknuté osoby dokázali kontrolovať šírenie svojich osobných údajov.

3.  Komisia je splnomocnená prijať delegované akty v súlade s článkom 86 s cieľom určiť akékoľvek ďalšie kritériá a požiadavky na vhodné opatrenia a mechanizmy uvedené v odsekoch 1 a 2, a to najmä požiadavky na špecificky navrhnutú ochranu údajov, platné pre všetky sektory, výrobky a služby.

4.  Komisia môže stanoviť technické normy pre požiadavky stanovené v odsekoch 1 a 2. Tieto vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 87 ods. 2. [PN 118]

Článok 24

Spoloční prevádzkovatelia

Ak prevádzkovateľ stanovuje viacerí prevádzkovatelia spoločne stanovujú účely, podmienky a spôsob spracovania osobných údajov spoločne s inými, spoloční prevádzkovatelia formou dohody medzi sebou stanovia svoje príslušné okruhy zodpovednosti za plnenie povinností podľa tohto nariadenia, najmä pokiaľ ide o postupy a mechanizmy na uplatnenie práv dotknutej osoby. Dohody náležite vyjadrujú príslušné konkrétne úlohy spoločných prevádzkovateľov a vzťahy voči dotknutým osobám a základné časti dohody sú k dispozícii dotknutým osobám. V prípade nejasnosti, pokiaľ ide o zodpovednosť, prevádzkovatelia majú spoločnú a nerozdielnu zodpovednosť. [PN 119]

Článok 25

Zástupcovia prevádzkovateľov so sídlom mimo Únie

1.  V situácii uvedenej v článku 3 ods. 2 prevádzkovateľ ustanoví svojho zástupcu v Únii.

2.  Táto povinnosť sa nevzťahuje na:

a)  prevádzkovateľa so sídlom v tretej krajine v prípade, že Komisia rozhodla, že táto tretia krajina zabezpečuje primeranú úroveň ochrany v súlade s článkom 41, ani na

b)  podnik, ktorý zamestnáva menej než 250 osôb prevádzkovateľa, ktorý spracúva osobné údaje týkajúce sa menej než 5000 dotknutých osôb v priebehu 12 po sebe idúcich mesiacov a ktorý nespracúva osobitné kategórie osobných údajov, ako je uvedené v článku 9 ods. 1, lokalizačné údaje ani údaje o deťoch alebo zamestnancoch v rozsiahlych informačných systémoch, ani na

c)  verejný orgán či subjekt, ani na

d)  prevádzkovateľa ponúkajúceho tovar alebo služby dotknutým osobám s bydliskom v Únii len príležitostne, ak sa spracúvanie osobných údajov netýka osobitných kategórií osobných údajov, ako je uvedené v článku 9 ods. 1, lokalizačných údajov alebo údajov o deťoch alebo zamestnancoch v rozsiahlych informačných systémoch.

3.  Zástupca musí mať sídlo v jednom z tých členských štátov, v ktorých majú bydlisko dotknuté osoby, ktorých osobné údaje sa spracúvajú v súvislosti s ponukou sa uskutočňuje ponuka tovaru alebo služieb dotknutým osobám pre nich, alebo ktorých správanie sa sleduje ich monitorovanie.

4.  Určením svojho zástupcu prevádzkovateľom nie sú dotknuté právne kroky, ktoré by mohli byť iniciované proti samotnému prevádzkovateľovi. [PN 120]

Článok 26

Sprostredkovateľ

1.  Ak sa operácia spracovania spracovanie má vykonať v mene prevádzkovateľa, prevádzkovateľ si zvolí sprostredkovateľa poskytujúceho dostatočné záruky, že uplatní vhodné technické a organizačné opatrenia a postupy tak, aby spracovanie spĺňalo požiadavky tohto nariadenia a aby sa zabezpečila ochrana práv dotknutej osoby, najmä pokiaľ ide o technické bezpečnostné opatrenia a organizačné opatrenia, ktorými sa bude riadiť plánované spracovanie, a že zabezpečí dodržanie týchto opatrení.

2.  Vykonanie spracovania sprostredkovateľom sa musí riadiť zmluvou alebo iným právnym aktom, ktorý zaväzuje sprostredkovateľa voči prevádzkovateľovi a najmä stanovuje,. Prevádzkovateľ a sprostredkovateľ majú možnosť slobodne stanoviť príslušné úlohy a povinnosti vzhľadom na požiadavky tohto nariadenia a zabezpečia, že sprostredkovateľ:

a)  koná spracúva osobné údaje len na základe pokynov prevádzkovateľa, najmä v prípade, keď prenos použitých osobných údajov je zakázaný, ak nie je stanovené inak právnymi predpismi Únie alebo členského štátu;

b)  zamestnáva iba zamestnancov, ktorí sa zaviazali k zachovaniu dôvernosti alebo majú zákonnú povinnosť zachovávať dôvernosť,

c)  vykoná všetky požadované opatrenia v súlade s článkom 30;

d)  zapojí stanoví podmienky zapojenia ďalšieho sprostredkovateľa iba na základe predchádzajúceho povolenia prevádzkovateľa, ak nie je stanovené inak;

e)  pokiaľ to umožňuje charakter spracovania, vytvorí po dohode s prevádzkovateľom potrebné náležité a relevantné technické a organizačné požiadavky na plnenie povinnosti prevádzkovateľa reagovať na žiadosti o výkon práv dotknutej osoby ustanovených v kapitole III;

f)  pomáha prevádzkovateľovi zabezpečiť plnenie povinností podľa článkov 30 až 34 s prihliadnutím na povahu spracovania a informácie dostupné sprostredkovateľovi;

g)  po ukončení spracovania odovzdá vráti všetky výsledky prevádzkovateľovi a, nespracúva osobné údaje iným spôsobom a vymaže existujúce kópie, ak právne predpisy Únie alebo členského štátu nepožadujú uchovanie týchto údajov;

h)  dá k dispozícii prevádzkovateľovi a dozornému orgánu všetky informácie potrebné na kontrolu preukázanie dodržiavania povinností stanovených v tomto článku a umožní kontroly na mieste.

3.  Prevádzkovateľ a sprostredkovateľ dokumentujú pokyny prevádzkovateľa a povinnosti sprostredkovateľa uvedené v odseku 2 písomne.

3a.  Dostatočné záruky uvedené v odseku 1 možno preukázať dodržiavaním kódexov správania alebo mechanizmov certifikácie podľa článku 38 alebo 39 tohto nariadenia.

4.  Ak sprostredkovateľ spracúva osobné údaje iné než sú údaje podľa pokynov prevádzkovateľa, alebo sa stane určujúcou stranou, pokiaľ ide o cieľ a spôsob spracovania údajov, sprostredkovateľ sa v rozsahu tohto spracovania považuje za prevádzkovateľa a podlieha pravidlám o spoločných prevádzkovateľoch stanoveným v článku 24.

5.  Komisia je splnomocnená prijať delegované akty v súlade s článkom 86 s cieľom bližšie určiť kritériá a požiadavky týkajúce sa zodpovednosti, povinností a úloh vo vzťahu k sprostredkovateľovi v súlade s odsekom 1, a podmienky, ktoré umožnia zjednodušenie postupu pri spracúvaní osobných údajov v rámci skupiny podnikov, najmä na účely kontroly a podávania správ. [PN 121]

Článok 27

Spracovanie na základe právomoci prevádzkovateľa a sprostredkovateľa

Sprostredkovateľ ani žiadna iná osoba konajúca na základe právomoci prevádzkovateľa alebo sprostredkovateľa, ktorá má prístup k osobným údajom, nespracuje tieto údaje inak než podľa pokynov prevádzkovateľa, pokiaľ to od nej nevyžadujú právne predpisy Únie alebo členského štátu.

Článok 28

Dokumentácia

1.  Každý prevádzkovateľ, a sprostredkovateľ a prípadný zástupca prevádzkovateľa musí viesť vedie pravidelne aktualizovanú dokumentáciu všetkých operácií spracovania patriacich do rámca jeho zodpovednosti potrebnú na splnenie požiadaviek stanovených v tomto nariadení.

2.  Dokumentácia obsahuje minimálne tieto informácie Okrem toho každý prevádzkovateľ a sprostredkovateľ vedie dokumentáciu s týmito informáciami:

a)  meno a kontaktné údaje prevádzkovateľa alebo prípadného spoločného prevádzkovateľa alebo sprostredkovateľa a zástupcu, ak je ustanovený;

b)  meno a kontaktné údaje úradníka pre ochranu údajov, ak je určený;

c)  účely spracovania vrátane oprávnených záujmov, ktoré sleduje prevádzkovateľ, ak sa spracovanie vykonáva na základe článku 6 ods. 1 písm. f);

d)  opis kategórií dotknutých osôb a kategórií osobných údajov, ktoré sa ich týkajú;

e)  príjemcov alebo kategórie príjemcov osobných údajov vrátane meno a kontaktné údaje prevádzkovateľov, ktorým sa osobné údaje sprístupňujú na účely oprávnených záujmov, ktoré sledujú, ak takí sú;

f)  v relevantných prípadoch prenosy údajov do tretej krajiny alebo medzinárodnej organizácii vrátane označenia predmetnej tretej krajiny alebo medzinárodnej organizácie a v prípade prenosov uvedených v článku 44 ods. 1 písm. h) dokumentáciu náležitých záruk;

g)  všeobecné určenie lehôt na výmaz rôznych kategórií údajov;

h)  opis mechanizmov uvedených v článku 22 ods. 3.

3.  Prevádzkovateľ, sprostredkovateľ a prípadný zástupca prevádzkovateľa na požiadanie sprístupnia dokumentáciu dozornému orgánu.

4.  Povinnosti uvedené v odsekoch 1 a 2 sa nevzťahujú na týchto prevádzkovateľov a sprostredkovateľov:

a)  fyzické osoby spracúvajúce osobné údaje bez komerčného záujmu alebo

b)  podniky alebo organizácie zamestnávajúce menej než 250 osôb, ktoré spracúvajú osobné údaje iba ako vedľajšiu činnosť popri svojej hlavnej činnosti.

5.  Komisia je splnomocnená prijať delegované akty v súlade s článkom 86 s cieľom bližšie určiť kritériá a požiadavky na dokumentáciu uvedenú v odseku 1, aby sa zohľadnili najmä povinnosti prevádzkovateľa a sprostredkovateľa a zástupcu prevádzkovateľa, ak je ustanovený.

6.  Komisia môže určiť štandardné formuláre pre dokumentáciu uvedenú v odseku 1. Tieto vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 87 ods. 2. [PN 122]

Článok 29

Spolupráca s dozorným orgánom

1.  Prevádzkovateľ, prípadný sprostredkovateľ a prípadný zástupca prevádzkovateľa na požiadanie spolupracujú s dozorným orgánom pri výkone jeho povinností, najmä poskytovaním informácií uvedených v článku 53 ods. 2 písm. a) a udeľovaním prístupu podľa písm. b) uvedeného odseku.

2.  V reakcii na uplatnenie právomocí dozorného orgánu podľa článku 53 ods. 2 prevádzkovateľ a sprostredkovateľ odpovedajú dozornému orgánu v primeranej lehote, ktorú určí dozorný orgán. Odpoveď má obsahovať aj opis prijatých opatrení a dosiahnuté výsledky v reakcii na pripomienky dozorného orgánu. [PN 123]

ODDIEL 2

BEZPEČNOSŤ ÚDAJOV

Článok 30

Bezpečnosť spracovania

1.  Prevádzkovateľ a sprostredkovateľ uplatnia primerané technické a organizačné opatrenia, aby zaistili úroveň bezpečnosti primeranú rizikám, ktoré predstavuje spracovanie a povaha osobných údajov, ktoré sa majú chrániť, s prihliadnutím na výsledky posúdenia vplyvov na ochranu údajov podľa článku 33, so zreteľom na najnovší stav techniky a náklady na zavedenie týchto opatrení.

1a.  So zreteľom na najnovší stav techniky a náklady na zavedenie táto bezpečnostná politika zahŕňa:

a)  schopnosť zabezpečiť potvrdenie integrity osobných údajov;

b)  schopnosť zabezpečiť trvalú dôvernosť, integritu, dostupnosť a odolnosť systémov a služieb v oblasti spracovania osobných údajov;

c)  schopnosť včas obnoviť dostupnosť údajov a prístup k nim v prípade fyzického alebo technického incidentu, ktorý má vplyv na dostupnosť, integritu a dôvernosť informačných systémov a služieb;

d)  v prípade spracúvania citlivých osobných údajov podľa článkov 8 a 9 ďalšie bezpečnostné opatrenia na zabezpečenie situačnej informovanosti o rizikách a schopnosti prijať preventívne, nápravné a zmierňujúce opatrenia v takmer reálnom čase proti zisteným citlivým oblastiam alebo incidentom, ktoré by mohli pre údaje predstavovať riziko;

e)  proces pravidelného testovania, posudzovania a hodnotenia účinnosti bezpečnostných politík, postupov a plánov zavedených na zabezpečenie trvalej účinnosti.

2.  Na základe vyhodnotenia príslušných rizík prevádzkovateľ a sprostredkovateľ prijmú Opatrenia uvedené v odseku 1 na ochranu osobných údajov pred ich náhodnou alebo protizákonnou likvidáciou alebo náhodnou stratou a s cieľom predísť akýmkoľvek nezákonným formám spracovania, najmä akémukoľvek neoprávnenému zverejneniu, sprístupneniu alebo pozmeňovaniu osobných údajov prinajmenšom:

a)  zabezpečujú, aby prístup k osobným údajom mali len osoby s povolením na zákonne povolené účely;

b)  chránia uchovávané alebo prenášané osobné údaje pred ich náhodnou alebo protizákonnou likvidáciou, náhodnou stratou alebo zmenou a nepovoleným alebo protizákonným uchovávaním, spracúvaním, prístupom k nim alebo ich sprístupnením a

c)  zaisťujú zavedenie bezpečnostnej politiky v súvislosti so spracúvaním osobných údajov.

3.  Komisia je splnomocnená prijať delegované akty v súlade s článkom 86 s cieľom bližšie určiť kritériá a podmienky Európsky výbor pre ochranu údajov je v súlade s článkom 66 ods. 1 písm. b) poverený úlohou vydať usmernenia, odporúčania a najlepšie postupy pre technické a organizačné opatrenia uvedené v odsekoch 1 a 2 vrátane stanovenia toho, čo predstavuje najnovší stav techniky pre konkrétne sektory a v osobitných situáciách spracúvania údajov, najmä s prihliadnutím na vývoj v oblasti technológií a na riešenia pre ochranu súkromia špecificky navrhnuté a ochranu údajov štandardne určenú, pokiaľ sa neuplatňuje odsek 4.

4.  Komisia môže v prípade potreby prijať vykonávacie akty na konkrétnejšie určenie požiadaviek stanovených v odsekoch 1 a 2 pre rôzne situácie, najmä s cieľom:

a)  zabrániť akémukoľvek neoprávnenému prístupu k osobným údajom;

b)  zabrániť akémukoľvek neoprávnenému sprístupneniu, čítaniu, kopírovaniu, pozmeňovaniu, vymazaniu alebo odstráneniu osobných údajov;

c)  zabezpečiť overenie zákonnosti operácií spracovania.

Tieto vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 87 ods. 2. [PN 124]

Článok 31

Oznámenie o porušení ochrany osobných údajov dozornému orgánu

1.  V prípade, že dôjde k porušeniu ochrany osobných údajov, prevádzkovateľ bez zbytočného odkladu a podľa možnosti najneskôr do 24 hodín po tom, čo sa o tejto skutočnosti dozvedel, oznámi porušenie ochrany osobných údajov dozornému orgánu. K oznámeniu dozornému orgánu sa pripája náležité zdôvodnenie, ak oznámenie nebolo predložené do 24 hodín.

2.  V súlade s článkom 26 ods. 2 písm. f) Sprostredkovateľ upozorní a informuje prevádzkovateľa ihneď bez zbytočného odkladu po zistení porušenia ochrany osobných údajov.

3.  Oznámenie uvedené v odseku 1 musí obsahovať prinajmenšom:

a)  opis charakteru porušenia ochrany osobných údajov vrátane kategórií a počtu dotknutých osôb a kategórií a počtu dotknutých údajových záznamov;

b)  údaje totožnosti a kontaktné údaje úradníka pre ochranu údajov alebo iné kontaktné miesto, kde možno získať viac informácií;

c)  odporúčané opatrenia na zmiernenie potenciálnych nepriaznivých účinkov porušenia ochrany osobných údajov;

d)  opis dôsledkov porušenia ochrany osobných údajov;

e)  opis opatrení navrhovaných alebo prijatých prevádzkovateľom s cieľom vyriešiť porušenie ochrany osobných údajov a zmierniť jeho dôsledky.

Informácie sa môžu podľa potreby poskytovať postupne.

4.  Prevádzkovateľ zdokumentuje každý prípad porušenia ochrany osobných údajov, pričom uvedie všetky skutočnosti spojené s predmetným porušením, jeho následky a prijaté opatrenia na nápravu. Táto dokumentácia musí umožniť byť dostatočná, aby umožnila dozorným orgánom overiť súlad s týmto článkom a s článkom 30. Dokumentácia obsahuje len informácie, ktoré sú na tento účel potrebné.

4a.  Dozorný orgán vedie verejný register typov oznámených porušení.

5.  Komisia je splnomocnená prijať delegované akty v súlade s článkom 86 s cieľom bližšie určiť kritériá a požiadavky Európsky výbor pre ochranu údajov je v súlade s článkom 66 ods. 1 písm. b) poverený úlohou vydať usmernenia, odporúčania a najlepšie postupy na konštatovanie skutočnosti porušenia ochrany osobných údajov v zmysle odsekov a stanovenie zbytočného odkladu uvedeného v odsekoch 1 a 2, ako aj osobitné okolnosti, za ktorých sa od prevádzkovateľa a sprostredkovateľa vyžaduje, aby oznámili porušenie ochrany osobných údajov.

6.  Komisia môže stanoviť štandardný formát takéhoto oznámenia dozornému orgánu, postupy týkajúce sa oznamovacej povinnosti a formu a spôsoby dokumentácie uvedenej v odseku 4 vrátane lehôt na výmaz informácií, ktoré sú v nej obsiahnuté. Tieto vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 87 ods. 2. [PN 125]

Článok 32

Informovanie dotknutej osoby o porušení ochrany osobných údajov

1.  Ak je pravdepodobné, že porušenie ochrany osobných údajov bude mať nepriaznivý vplyv na ochranu osobných údajov a, súkromie, právo alebo oprávnené záujmy dotknutej osoby, prevádzkovateľ musí okrem oznámenia uvedeného po oznámení uvedenom v článku 31 informovať o porušení ochrany osobných údajov aj dotknutú osobu bez zbytočného odkladu informuje bez zbytočného odkladu dotknutú osobu o porušení ochrany osobných údajov.

2.  Informácia pre dotknutú osobu uvedená v odseku 1 má obsahovať je vyčerpávajúca a vyjadrená jasným a jednoduchým jazykom. Obsahuje opis charakteru porušenia ochrany osobných údajov a prinajmenšom informácie a odporúčania uvedené v článku 31 ods. 3 písm. b) a, c) a d) a informácie o právach dotknutej osoby vrátane prostriedkov nápravy.

3.  Informovanie dotknutej osoby o porušení ochrany osobných údajov sa nevyžaduje, ak prevádzkovateľ preukáže k spokojnosti dozorného orgánu, že vykonal primerané technické ochranné opatrenia a že tieto opatrenia uplatnil na údaje, ktorých sa narušenie osobných údajov týka. Použitím takýchto opatrení technickej ochrany sa údaje stanú nečitateľnými pre všetky osoby, ktoré nemajú k nim povolený prístup.

4.  Bez toho, aby bola dotknutá povinnosť prevádzkovateľa informovať dotknutú osobu o porušení ochrany osobných údajov, ak prevádzkovateľ ešte neinformoval dotknutú osobu, ktorej sa porušenie ochrany osobných údajov týka, dozorný orgán po zvážení možných nepriaznivých účinkov porušenia môže požadovať, aby tak urobil.

5.  Komisia je splnomocnená prijať delegované akty v súlade s článkom 86 s cieľom bližšie určiť kritériá a požiadavky Európsky výbor pre ochranu údajov je v súlade s článkom 66 ods. 1 písm. b) poverený úlohou vydať usmernenia, odporúčania a najlepšie postupy týkajúce sa okolností, za ktorých môže mať porušenie ochrany osobných údajov nepriaznivý vplyv na osobné údaje, súkromie, práva alebo oprávnené záujmy dotknutej osoby uvedené v odseku 1.

6.  Komisia môže stanoviť formát informácie uvedenej v odseku 1, určenej pre dotknutú osobu, ako aj postupy, ktoré sa vzťahujú na túto informáciu. Tieto vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 87 ods. 2. [PN 126]

Článok 32a

Analýza rizík

1.  Prevádzkovateľ, alebo prípadne sprostredkovateľ vykonajú analýzu rizík možného vplyvu zamýšľaného spracovania údajov na práva a slobody dotknutých osôb, pričom posúdia, či ich operácie spracovania môžu predstavovať osobitné riziko.

2.  Nasledujúce operácie spracovania môžu predstavovať osobitné riziká:

a)  spracúvanie osobných údajov, ktoré sa týka vyše 5 000 dotknutých osôb počas každého obdobia 12 po sebe nasledujúcich mesiacov;

b)  spracúvanie osobitných kategórií osobných údajov podľa článku 9 ods. 1, lokalizačných údajov alebo údajov o deťoch alebo zamestnancoch v rozsiahlych informačných systémoch;

c)  profilovanie, ktoré je základom opatrení s právnymi účinkami týkajúcimi sa tejto fyzickej osoby alebo majú na ňu podobný významný vplyv;

d)  spracúvanie osobných údajov na účely poskytovania zdravotnej starostlivosti, epidemiologických výskumov alebo prieskumov týkajúcich sa duševných alebo infekčných ochorení, v prípade ktorých sa údaje spracúvajú v záujme prijímania opatrení alebo rozhodnutí, ktoré sa týkajú veľkého počtu určitých fyzických osôb;

e)  automatické monitorovanie verejne prístupných miest vo veľkom rozsahu;

f)  ďalšie operácie spracovania, pri ktorých sa v zmysle článku 34 ods. 2 písm. b) vyžaduje konzultácia s úradníkom pre ochranu údajov alebo dozorným orgánom;

g)  ak je pravdepodobné, že porušenie ochrany osobných údajov bude mať nepriaznivý vplyv na ochranu osobných údajov, súkromie, práva alebo oprávnené záujmy dotknutej osoby;

h)  základné činnosti prevádzkovateľa alebo sprostredkovateľa pozostávajú z operácií spracovania, ktoré si z dôvodov svojej povahy, rozsahu a/alebo účelov vyžadujú pravidelné a systematické monitorovanie dotknutých osôb;

i)  keď sú osobné údaje sprístupnené osobám, ktorých počet nie je možné reálne obmedziť.

3.  Podľa výsledkov analýzy rizík:

a)  ak existuje niektorá z operácií spracovania uvedených v odseku 2 písm. a) alebo b), prevádzkovatelia, ktorí nemajú sídlo v Únii, určia svojho zástupcu v Únii v súlade s požiadavkami a výnimkami stanovenými v článku 25;

b)  ak existuje niektorá z operácií spracovania uvedených v odseku 2 písm. a), b) alebo h), prevádzkovateľ určí úradníka pre ochranu údajov v súlade s požiadavkami a výnimkami stanovenými v článku 35;

c)  ak existuje niektorá z operácií spracovania uvedených v odseku 2 písm. a), b), c), d), e), f), g) alebo h), prevádzkovateľ alebo sprostredkovateľ konajúci v mene prevádzkovateľa uskutoční posúdenie vplyvu na ochranu údajov podľa článku 33;

d)  ak existujú operácie spracovania uvedené v odseku 2 písm. f), prevádzkovateľ o tom konzultuje s úradníkom pre ochranu údajov, alebo ak úradník pre ochranu údajov nie je určený, konzultuje s dozorným orgánom podľa článku 34.

4.  Analýza rizika sa prehodnocuje najneskôr po roku alebo ihneď, ak sa povaha, rozsah alebo účely operácií spracovania údajov výrazne zmenia. Keď podľa odseku 3 písm. c) prevádzkovateľ nie je povinný vykonať posúdenie vplyvu na ochranu údajov, analýza rizika sa zdokumentuje. [PN 127]

ODDIEL 3

POSÚDENIE VPLYVU NA OCHRANU RIADENIE OCHRANY ÚDAJOV A POVOLENIE VOPRED POČAS CELÉHO ŽIVOTNÉHO CYKLU [PN 128]

Článok 33

Posúdenie vplyvu na ochranu údajov

1.  Ak operácie spracovania predstavujú špecifické riziká pre práva a slobody dotknutých osôb svojou povahou, rozsahom alebo účelmi, sa to vyžaduje podľa článku 32a ods. 3 písm. c), prevádzkovateľ alebo sprostredkovateľ konajúci v mene prevádzkovateľa vykoná posúdenie vplyvu plánovanej operácie spracovania na práva a slobody dotknutých osôb, najmä na ich právo na ochranu osobných údajov. Postačuje jedno posúdenie, ktoré sa zaoberá súborom podobných operácií spracovania, ktoré predstavujú podobné riziká.

2.  Osobitné riziká v zmysle odseku 1 predstavujú najmä tieto operácie spracovania:

a)  systematické a rozsiahle hodnotenie osobných aspektov týkajúcich sa určitej fyzickej osoby alebo slúžiacich na analýzu či prognózovanie týkajúce sa najmä ekonomickej situácie, bydliska, zdravia, osobných preferencií, spoľahlivosti alebo správania, ktoré je založené na automatizovanom spracovaní a ktoré je základom opatrení s právnymi účinkami týkajúcimi sa tejto fyzickej osoby;

b)  informácie o sexuálnom živote, zdraví, rase a etnickom pôvode alebo informácie na účely poskytovania zdravotnej starostlivosti, epidemiologických výskumov alebo prieskumov duševných alebo infekčných ochorení, v prípade ktorých sa údaje spracúvajú na účely prijímania opatrení alebo rozhodnutí týkajúcich sa určitých fyzických osôb vo veľkom rozsahu;

c)  monitorovanie verejne prístupných miest, najmä ak sa používajú optoelektronické zariadenia (kamerový dohľad) vo veľkom rozsahu;

d)  osobné údaje v rozsiahlych informačných systémoch týkajúcich sa detí, genetické údaje alebo biometrické údaje;

e)  ďalšie činnosti spracovania, pri ktorých sa v zmysle článku 34 ods. 2 písm. b) vyžaduje konzultácia s dozorným orgánom.

3.  Posúdenie zohľadňuje riadenie osobných údajov počas ich celého životného cyklu, od zberu cez spracovanie až po vymazani. Obsahuje prinajmenšom: všeobecný opis plánovaných operácií spracovania, posúdenie rizík vo vzťahu k právam a slobodám dotknutých osôb, opatrenia na riešenie rizík, záruky, bezpečnostné opatrenia a mechanizmy na zabezpečenie ochrany osobných údajov a na preukázanie súladu s týmto nariadením pri zohľadnení práv a oprávnených záujmov dotknutých osôb a prípadných ďalších osôb.

a)  systematický opis plánovaných operácií spracovania, účely spracovania a v relevantnom prípade oprávnené záujmy, ktoré sleduje prevádzkovateľ;

b)  posúdenie nutnosti a primeranosti operácií spracovania vo vzťahu k účelu;

c)  posúdenie rizík vo vzťahu k právam a slobodám dotknutých osôb vrátane rizika diskriminácie, ktoré operácia v sebe nesie alebo zvyšuje;

d)  opis plánovaných opatrení na riešenie rizík a minimalizáciu množstva spracúvaných osobných údajov;

e)  zoznam záruk, bezpečnostné opatrenia a mechanizmy na zabezpečenie ochrany osobných údajov, ako je pseudonymizácia, a na preukázanie súladu s týmto nariadením, pričom sa prihliada na práva a oprávnené záujmy dotknutých osôb a iných zainteresovaných osôb;

f)  všeobecné určenie lehôt na výmaz jednotlivých kategórií údajov;

g)  vysvetlenie, ktoré postupy ochrany údajov, ktorá bola špecificky navrhnutá a štandardne určená podľa článku 23, boli zavedené;

h)  zoznam príjemcov alebo kategórií príjemcov osobných údajov;

i)  v relevantných prípadoch zoznam zamýšľaných prenosov údajov do tretej krajiny alebo medzinárodnej organizácie vrátane identifikácie predmetnej tretej krajiny alebo medzinárodnej organizácie ;

j)  posúdenie v kontexte spracovania údajov.

3a.  Ak prevádzkovateľ alebo sprostredkovateľ určil úradníka pre ochranu údajov, tento sa zapája do procesu posudzovania vplyvu.

3b.  Posúdenie sa zdokumentuje a určí sa plán pravidelných kontrol dodržiavania predpisov v oblasti ochrany údajov v súlade s článkom 33a ods. 1. Posúdenie sa aktualizuje bez zbytočného odkladu, ak výsledky kontrol dodržiavania predpisov v oblasti ochrany údajov podľa článku 33a vykazujú nedostatky. Prevádzkovateľ a sprostredkovateľ a prípadne zástupca prevádzkovateľa sprístupnia posúdenie na požiadanie dozornému orgánu.

4.  Prevádzkovateľ sa usiluje získať názory dotknutých osôb alebo ich zástupcov na zamýšľané spracovanie bez toho, aby bola dotknutá ochrana komerčných alebo verejných záujmov, alebo bezpečnosť operácií spracovania.

5.  Ak je prevádzkovateľom verejný orgán alebo subjekt a ak spracovanie vyplýva zo zákonnej povinnosti v zmysle článku 6 ods. 1 písm. c), ktorým sa ustanovujú pravidlá a postupy týkajúce sa operácií spracovania upravených právnymi predpismi Únie, odseky 1 a 4 sa neuplatňujú, pokiaľ členské štáty nepovažujú za potrebné vykonať takéto posúdenie pred začatím operácií spracovania.

6.  Komisia je splnomocnená prijať delegované akty v súlade s článkom 86 s cieľom bližšie určiť kritériá a podmienky pre operácie spracovania, ktoré môžu predstavovať osobitné riziká v zmysle odsekov 1 a 2, a požiadavky na posúdenie uvedené v odseku 3 vrátane podmienok pre rozšíriteľnosť, overovanie a kontrolovateľnosť. Komisia pritom zváži osobitné opatrenia pre mikropodniky a malé a stredné podniky.

7.  Komisia môže určiť normy a postupy na vykonávanie, overovanie a audit posúdenia uvedeného v odseku 3. Tieto vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 87 ods. 2. [PN 129]

Článok 33a

Kontrola dodržiavania predpisov v oblasti ochrany údajov

1.  Najneskôr dva roky po uskutočnení posúdenia vplyvu podľa článku 33 ods. 1 prevádzkovateľ alebo sprostredkovateľ konajúci v mene prevádzkovateľa uskutoční kontrolu dodržiavania predpisov. Táto kontrola dodržiavania predpisov ukáže, či sa spracúvanie osobných údajov uskutočňuje v súlade s posúdením vplyvu na ochranu údajov.

2.  Kontrola dodržiavania predpisov sa uskutočňuje pravidelne aspoň každé dva roky alebo okamžite po tom, ako nastane zmena v osobitných rizikách, ktoré predstavujú operácie spracovania.

3.  Ak výsledky kontroly dodržiavania predpisov vykazujú nedostatky, kontrola dodržiavania predpisov poskytne odporúčania o tom, ako dosiahnuť plnohodnotné dodržiavanie predpisov.

4.  Kontrola dodržiavania predpisov a jej odporúčania sa dokumentujú. Prevádzkovateľ a sprostredkovateľ, prípadne zástupca prevádzkovateľa sprístupňujú výsledky kontroly dodržiavania predpisov na požiadanie dozornému orgánu.

5.  Ak prevádzkovateľ alebo sprostredkovateľ určil úradníka pre ochranu údajov, tento sa zapája do procesu kontroly dodržiavania predpisov. [PN 130]

Článok 34

Povolenie vopred a Konzultácia vopred

1.  Prevádzkovateľ, prípadne sprostredkovateľ musia získať povolenie od dozorného orgánu pred spracovaním osobných údajov s cieľom zabezpečiť súlad zamýšľaného spracovania s týmto nariadením a najmä zmierniť riziká pre dotknuté osoby, ak prevádzkovateľ alebo sprostredkovateľ prijmú zmluvné doložky, ako sa ustanovuje v článku 42 ods. 2 písm. d) alebo nezabezpečia náležité záruky prostredníctvom právne záväzného nástroja v zmysle článku 42 ods. 5 pre prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii.

2.  Prevádzkovateľ alebo sprostredkovateľ konajúci v mene prevádzkovateľa musí konzultovať s úradníkom pre ochranu údajov, alebo ak úradník pre ochranu údajov nie je určený, s dozorným orgánom pred spracovaním osobných údajov s cieľom zabezpečiť súlad zamýšľaného spracovania s týmto nariadením a najmä zmierniť riziká pre dotknuté osoby, ak:

a)  v posúdení vplyvu na ochranu údajov podľa článku 33 sa uvádza, že operácie spracovania by z dôvodu svojej povahy, rozsahu alebo účelov mohli predstavovať vysoký stupeň špecifických rizík, alebo

b)  úradník pre ochranu údajov alebo dozorný orgán považuje za potrebné vykonať konzultácie vopred k operáciám spracovania, ktoré by mohli predstavovať osobitné riziká z hľadiska práv a slobôd dotknutých osôb z dôvodu svojej povahy, rozsahu a/alebo účelov a ktoré sú vymedzené v odseku 4.

3.  Ak je príslušný dozorný orgán toho názoru v súlade so svojou právomocou stanoví, že plánované spracovanie nie je v súlade s týmto nariadením, najmä, keď riziká nie sú dostatočne zistené alebo zmiernené, zakáže zamýšľané spracovanie a predloží vhodné návrhy na nápravu tohto nesúladu.

4.  Dozorný orgán Európsky výbor pre ochranu údajov vypracuje a zverejní zoznam operácií spracovania, ktoré podliehajú povinnosti konzultácie vopred podľa odseku 2 písm. b). Dozorný orgán oznámi tieto zoznamy Európskemu výboru pre ochranu údajov.

5.  Ak zoznam uvedený v odseku 4 zahŕňa operácie spracovania, ktoré súvisia s ponukou tovaru alebo služieb dotknutým subjektom vo viacerých členských štátoch, alebo so sledovaním ich správania, alebo môžu podstatne ovplyvniť voľný pohyb osobných údajov v rámci Únie, dozorný orgán pred prijatím zoznamu uplatní mechanizmus konzistentnosti uvedený v článku 57.

6.  Prevádzkovateľ alebo sprostredkovateľ poskytnú dozornému orgánu na ochranu údajov posúdenie vplyvu uvedené v článku 33 a na požiadanie poskytnú akékoľvek iné informácie, ktoré dozornému orgánu umožnia posúdiť súlad spracovania s týmto nariadením a najmä riziká z hľadiska ochrany osobných údajov dotknutej osoby a súvisiace záruky. poskytne na požiadanie dozornému orgánu posúdenie vplyvu na ochranu údajov podľa článku 33 a na požiadanie aj všetky ďalšie informácie, ktoré dozornému orgánu umožnia posúdiť súlad spracovania údajov s právnymi predpismi, a najmä riziká z hľadiska ochrany osobných údajov dotknutej osoby a súvisiace záruky.

7.  Členské štáty konzultujú s dozorným orgánom pri príprave legislatívneho opatrenia, ktoré má prijať národný parlament, alebo pri príprave opatrenia založeného na takomto legislatívnom opatrení, ktoré určuje povahu spracovania, s cieľom zabezpečiť súlad zamýšľaného spracovania s týmto nariadením a najmä zmierniť riziká pre dotknuté osoby.

8.  Komisia je splnomocnená prijať delegované akty v súlade s článkom 86 s cieľom bližšie určiť kritériá a požiadavky na konštatovanie vysokého stupňa osobitného rizika uvedeného v odseku 2 písm. a).

9.  Komisia môže určiť štandardné formuláre a postupy pre povolenia a konzultácie vopred, uvedené v odsekoch 1 a 2, a štandardné formuláre a postupy na informovanie orgánov dohľadu v zmysle odseku 6. Tieto vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 87 ods. 2. [PN 131]

ODDIEL 4

ÚRADNÍK PRE OCHRANU ÚDAJOV

Článok 35

Určenie úradníka pre ochranu údajov

1.  Prevádzkovateľ a sprostredkovateľ určia úradníka pre ochranu údajov v každom prípade, keď:

a)  spracovanie vykonáva verejný orgán alebo subjekt;

b)  spracovanie vykonáva podnik, ktorý zamestnáva 250 osôb alebo viac, právnická osoba a týka sa viac ako 5000 dotknutých osôb za 12 po sebe nasledujúcich mesiacov, alebo

c)  základné činnosti prevádzkovateľa alebo sprostredkovateľa pozostávajú z operácií spracovania, ktoré si z dôvodov svojej povahy, rozsahu a/alebo účelov, vyžadujú pravidelné a systematické monitorovanie dotknutých osôb; alebo

d)  základné činnosti prevádzkovateľa alebo sprostredkovateľa spočívajú v spracovaní osobitných kategórií údajov podľa článku 9 ods. 1, lokalizačných údajov alebo údajov o deťoch alebo zamestnancoch v rozsiahlych informačných systémoch.

2.  V prípade uvedenom v odseku 1 písm. b) môže Skupina podnikov môže určiť spoločného hlavného zodpovedného úradníka pre ochranu údajov, ak je zabezpečené, že úradník pre ochranu údajov je ľahko dostupný z každého zariadenia.

3.  Ak je prevádzkovateľom alebo sprostredkovateľom verejný orgán alebo subjekt, úradník pre ochranu údajov môže byť určený pre viaceré ich podriadené zložky podľa danej štruktúry verejného orgánu alebo subjektu.

4.  V prípadoch iných, než sú uvedené v odseku 1, môže úradníka pre ochranu údajov určiť prevádzkovateľ alebo sprostredkovateľ, alebo združenia a iné orgány zastupujúce kategórie prevádzkovateľov alebo sprostredkovateľov.

5.  Prevádzkovateľ alebo sprostredkovateľ určia úradníka pre ochranu údajov na základe odborných kvalít, a to najmä na základe odborných znalostí práva a praxe v oblasti ochrany údajov a na základe schopností plniť úlohy uvedené v článku 37. Potrebná úroveň odborných znalostí sa určí najmä s ohľadom na spracovanie osobných údajov, ktoré sa vykonáva, a na ochranu vyžadovanú pre osobné údaje, ktoré spracúva prevádzkovateľ alebo sprostredkovateľ.

6.  Prevádzkovateľ alebo sprostredkovateľ zabezpečia, aby akékoľvek ďalšie odborné úlohy úradníka pre ochranu údajov boli v súlade s úlohami a povinnosťami tejto osoby ako úradníka pre ochranu údajov a neviedli ku konfliktu záujmov.

7.  Prevádzkovateľ alebo sprostredkovateľ určia úradníka pre ochranu údajov na obdobie najmenej dvoch štyroch rokov, ak ide o zamestnanca, alebo na dva roky, ak ide o externého dodávateľa služieb. Úradníka pre ochranu údajov možno opätovne poveriť touto funkciou na ďalšie obdobia. Počas jeho funkčného obdobia možno úradníka pre ochranu údajov odvolať iba vtedy, ak prestal spĺňať podmienky požadované na výkon svojich služobných povinností.

8.  Úradník pre ochranu údajov môže byť zamestnancom prevádzkovateľa alebo sprostredkovateľa, alebo môže plniť svoje úlohy na základe zmluvy o poskytovaní služieb.

9.  Prevádzkovateľ alebo sprostredkovateľ oznámia meno a kontaktné údaje úradníka pre ochranu údajov dozornému orgánu a verejnosti.

10.  Dotknuté osoby majú právo obracať sa na úradníka pre ochranu údajov vo všetkých otázkach týkajúcich sa spracovania ich údajov a jeho prostredníctvom môžu požiadať o výkon práv podľa tohto nariadenia.

11.  Komisia je splnomocnená prijať delegované akty v súlade s článkom 86 s cieľom bližšie určiť kritériá a požiadavky pre základné činnosti prevádzkovateľa alebo sprostredkovateľa uvedené v odseku 1 písm. c) a kritériá hodnotenia odborných kvalít úradníka pre ochranu údajov uvedené v odseku 5. [PN 132]

Článok 36

Postavenie úradníka pre ochranu údajov

1.  Prevádzkovateľ alebo sprostredkovateľ zabezpečia, aby bol úradník pre ochranu údajov riadnym spôsobom a včas zapojený do všetkých otázok, ktoré súvisia s ochranou osobných údajov.

2.  Prevádzkovateľ alebo sprostredkovateľ zabezpečia, aby úradník pre ochranu údajov plnil svoje povinnosti nezávisle, a aby v súvislosti s výkonom tejto funkcie nedostával žiadne pokyny. Úradník pre ochranu údajov priamo podáva správy výkonnému vedeniu prevádzkovateľa alebo sprostredkovateľa. Prevádzkovateľ alebo sprostredkovateľ určia na tento účel člena výkonného vedenia, ktorý bude zodpovedný za dodržiavanie ustanovení tohto nariadenia.

3.  Prevádzkovateľ alebo sprostredkovateľ podporujú úradníka pre ochranu údajov pri plnení úloh a poskytnú všetky prostriedky, okrem iného personál, miestnosti, vybavenie a akékoľvek iné zdroje potrebné na vykonávanie povinností a úloh uvedených v článku 37 a zabezpečia ich odborné znalosti.

4.  Úradníci pre ochranu údajov sú viazaní mlčanlivosťou, pokiaľ ide o totožnosť dotknutých osôb a okolnosti umožňujúce identifikáciu dotknutých osôb, okrem prípadov, keď ich dotknutá osoba tejto povinnosti zbavila. [PN 133]

Článok 37

Úlohy úradníka pre ochranu údajov

1.  Prevádzkovateľ alebo sprostredkovateľ poverujú úradníka pre ochranu údajov prinajmenšom týmito úlohami:

a)  zvýšenie informovanosti, poskytovanie informácií a poradenstva prevádzkovateľovi alebo sprostredkovateľovi, pokiaľ ide o ich povinnosti podľa tohto nariadenia, najmä čo sa týka technických a organizačných opatrení a postupov, ako aj dokumentácia tejto činnosti a došlých odpovedí;

b)  monitorovanie zavádzania a uplatňovania pravidiel prevádzkovateľa a sprostredkovateľa v súvislosti s ochranou osobných údajov vrátane rozdelenia povinností, odbornej prípravy zamestnancov zapojených do operácií spracúvania a súvisiacich auditov;

c)  monitorovanie vykonávania a uplatňovania tohto nariadenia, najmä pokiaľ ide o požiadavky súvisiace s ochranou údajov špecificky navrhnutou, ochranou údajov štandardne určenou, s bezpečnosťou údajov, informovaním dotknutých osôb a s ich žiadosťami, ktorými vykonávajú svoje práva vyplývajúce z ustanovení prijatých podľa tohto nariadenia;

d)  zabezpečenie uchovávania dokumentácie podľa článku 28;

e)  monitorovanie vedenia dokumentácie, oznámení o porušení ochrany osobných údajov a informácií zasielaných v zmysle článkov 31 a 32;

f)  monitorovanie posudzovania vplyvu na ochranu údajov vykonávaného prevádzkovateľom alebo sprostredkovateľom a uplatňovanie požiadavky na povolenie vopred alebo konzultácie vopred, pokiaľ sa vyžadujú podľa článkov 32a, 33 a 34;

g)  monitorovanie odpovedí na žiadosti dozorného orgánu a v rámci rozsahu právomocí úradníka pre ochranu údajov aj spolupráca s dozorným orgánom na jeho žiadosť či na základe jeho podnetu;

h)  plnenie úlohy kontaktného miesta pre dozorný orgán v súvislosti s otázkami týkajúcimi sa spracovania a uskutočňovanie konzultácií s dozorným orgánom, podľa potreby aj na základe vlastného podnetu úradníka pre ochranu údajov;

i)  overovanie súladu s týmto nariadením na základe mechanizmu konzultácie vopred, ktorý je stanovený v článku 34;

j)  informovanie zástupcov zamestnancov o spracovaní údajov o zamestnancoch.

2.  Komisia je splnomocnená prijať delegované akty v súlade s článkom 86 s cieľom bližšie určiť kritériá a požiadavky, pokiaľ ide o úlohy, certifikáciu, postavenie, právomoci a zdroje úradníka pre ochranu údajov podľa odseku 1. [PN 134]

ODDIEL 5

KÓDEXY SPRÁVANIA A CERTIFIKÁCIA

Článok 38

Kódexy správania

1.  Členské štáty, dozorné orgány a Komisia podporia vypracovanie kódexov správania alebo prijatie kódexov správania vypracovaných dozorným orgánom určených na to, aby prispeli k správnemu uplatňovaniu tohto nariadenia, pričom vezmú do úvahy špecifické črty jednotlivých sektorov spracúvania údajov, najmä pokiaľ ide o:

a)  spravodlivé a transparentné spracovanie údajov;

aa)  rešpektovanie práv spotrebiteľov;

b)  zhromažďovanie údajov;

c)  informovanie verejnosti a dotknutých osôb;

d)  žiadosti dotknutých osôb pri výkone ich práv;

e)  informovanie a ochranu detí;

f)  prenos údajov do tretích krajín alebo medzinárodným organizáciám;

g)  mechanizmy na monitorovanie a zabezpečenie dodržiavania kódexu prevádzkovateľmi, ktorí mu podliehajú;

h)  mimosúdne konania a iné postupy riešenia sporov zamerané na riešenie sporov medzi prevádzkovateľmi a dotknutými osobami v súvislosti so spracovaním osobných údajov, bez toho, aby boli dotknuté práva dotknutých osôb podľa článkov 73 a 75.

2.  Združenia a iné orgány predstavujúce kategórie prevádzkovateľov alebo sprostredkovateľov v jednom členskom štáte, ktoré majú v úmysle vypracovať kódexy správania alebo meniť alebo rozširovať súčasné kódexy správania, ich môžu predložiť k vyžiadaniu stanoviska dozorného orgánu v tomto členskom štáte. Dozorný orgán môže vydať vydá bez zbytočného odkladu stanovisko, či návrh spracovanie podľa návrhu kódexu správania alebo jeho zmena a doplnenie sú v súlade s týmto nariadením. Dozorný orgán sa usiluje získať názory dotknutých osôb alebo ich zástupcov na tieto návrhy.

3.  Združenia a iné orgány predstavujúce kategórie prevádzkovateľov alebo sprostredkovateľov v niekoľkých členských štátoch môžu Komisii predkladať návrhy kódexov správania a zmeny a doplnenia alebo rozšírenia existujúcich kódexov správania.

4.  Komisia môže prijať vykonávacie akty na účely je splnomocnená v súlade s článkom 86 po požiadaní o stanovisko Európskeho výboru pre ochranu údajov prijímať delegované akty týkajúce sa rozhodnutia, že kódexy správania a zmeny a doplnenia alebo rozšírenia existujúcich kódexov správania, ktoré jej boli predložené podľa odseku 3, sú v súlade s týmto nariadením a majú všeobecnú platnosť v rámci Únie. Tieto vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 87 ods. 2. Uvedenými delegovanými aktmi sa zakladajú vymáhateľné práva dotknutých osôb.

5.  Komisia môže zaistiť náležité zverejnenie kódexov, o ktorých bolo v súlade s odsekom 4 rozhodnuté, že majú všeobecnú platnosť v rámci Únie. [PN 135]

Článok 39

Certifikácia

1.  Členské štáty a Komisia podporia, predovšetkým na európskej úrovni, zavedenie mechanizmov certifikácie ochrany údajov a plomb a značiek pre potreby ochrany údajov, umožňujúce dotknutým osobám rýchlo posúdiť úroveň ochrany údajov, ktorú zabezpečujú prevádzkovatelia a sprostredkovatelia. Mechanizmy certifikácie ochrany údajov musia prispieť k riadnemu uplatňovaniu tohto nariadenia, a to so zreteľom na osobitné črty jednotlivých sektorov a rôznych operácií spracovania.

1a.  Každý prevádzkovateľ alebo sprostredkovateľ môže požiadať hociktorý dozorný orgán v Únii, aby za primeraný poplatok zohľadňujúci administratívne náklady vydal certifikát, že spracovanie osobných údajov sa vykonáva v súlade s týmto nariadením, najmä so zásadami stanovenými v článku 5, 25 a 30, povinnosťami prevádzkovateľa a sprostredkovateľa a právami dotknutej osoby.

1b.   Certifikácia je dobrovoľná, cenovo dostupná a možná prostredníctvom postupu, ktorý je transparentný a nepredstavuje zbytočnú záťaž.

1c.  Dozorné orgány a Európsky výbor pre ochranu údajov spolupracujú v rámci mechanizmu konzistentnosti podľa článku 57 s cieľom zabezpečiť harmonizovaný mechanizmus certifikácie v oblasti ochrany údajov vrátane harmonizovaných poplatkov v rámci Únie.

1d.  Počas tohto postupu certifikácie môžu dozorné orgány poveriť špecializovaných audítorov tretej strany, aby vykonali audit prevádzkovateľa alebo sprostredkovateľa v ich mene. Audítori tretej strany majú dostatočne kvalifikovaný personál, sú nestranní a bez konfliktu záujmov, pokiaľ ide o ich úlohy. Dozorné orgány odnímu audítorovi akreditáciu, ak existujú dôvody domnievať sa, že si riadne neplní úlohy. Konečnú certifikáciu zabezpečuje dozorný orgán.

1e.  Dozorné orgány udelia prevádzkovateľom a sprostredkovateľom, v prípade ktorých bolo na základe auditu potvrdené, že spracúvajú osobné údaje v súlade s týmto nariadením, štandardizovanú značku pre potreby ochrany údajov, tzv. „európsku pečať ochrany údajov“.

1f.  „Európska pečať ochrany údajov“ je platná, kým sú operácie spracovania údajov certifikovaného prevádzkovateľa alebo sprostredkovateľa plne v súlade s týmto nariadením.

1g.  Bez ohľadu na odsek 1f je certifikácia platná po dobu maximálne piatich rokov.

1h.  Európsky výbor pre ochranu údajov zriadi verejný elektronický register, v ktorom sprístupní verejnosti všetky platné a neplatné certifikácie, ktoré boli vydané v členskom štáte.

1i.  Európsky výbor pre ochranu údajov môže z vlastného podnetu potvrdiť, že technická norma zvyšujúca ochranu údajov je v súlade s týmto nariadením.

2.  Komisia je splnomocnená prijať prijímať na základe požiadania o stanovisko Európskeho výboru pre ochranu údajov a konzultácií so zúčastnenými stranami, najmä so zástupcami priemyslu a mimovládnych organizácií, delegované akty v súlade s článkom 86 s cieľom bližšie určiť kritériá a požiadavky týkajúce sa bližšieho určenia kritérií a požiadaviek na mechanizmy certifikácie ochrany údajov uvedené v odseku 1 v odsekoch 1a až 1h vrátane požiadaviek na akreditáciu audítorov, podmienok pre ich udelenie a odvolanie udelenia a odvolania certifikácie, ako aj kritériá požiadaviek pre ich uznanie v rámci Únie a v tretích krajinách. Uvedenými delegovanými aktmi sa zakladajú vymáhateľné práva dotknutých osôb.

3.  Komisia môže stanoviť technické normy pre mechanizmy certifikácie a plomby a značky pre potrebu ochrany údajov, ako aj mechanizmy na podporu a uznávanie mechanizmov certifikácie a plomb a značiek pre potreby ochrany údajov. Tieto vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 87 ods. 2. [PN 136]

KAPITOLA V

PRENOS OSOBNÝCH ÚDAJOV DO TRETÍCH KRAJÍN ALEBO MEDZINÁRODNÝM ORGANIZÁCIÁM

Článok 40

Všeobecné zásady prenosu

Akýkoľvek prenos osobných údajov, ktoré sú predmetom spracovania, alebo sú určené na spracovanie po prenose do tretej krajiny alebo medzinárodnej organizácii, sa môže uskutočniť iba ak prevádzkovateľ a sprostredkovateľ dodržiavajú podmienky ustanovené v tejto kapitole, ako aj ostatné ustanovenia tohto nariadenia vrátane podmienok ďalších prenosov osobných údajov z predmetnej tretej krajiny alebo od predmetnej medzinárodnej organizácie do inej tretej krajiny, alebo inej medzinárodnej organizácii.

Článok 41

Prenos na základe rozhodnutia o primeranosti

1.  Prenos sa môže uskutočniť v prípade, že Komisia rozhodla, že tretia krajina alebo územie, alebo sektor spracovania v tejto tretej krajine, alebo predmetná medzinárodná organizácia zabezpečujú primeranú úroveň ochrany. Na takýto prenos nie je nutné žiadne ďalšie osobitné povolenie.

2.  Pri posudzovaní primeranosti úrovne ochrany Komisia berie do úvahy tieto prvky:

a)  právny štát, príslušné platné právne predpisy, všeobecné aj odvetvové, vrátane predpisov týkajúcich sa verejnej bezpečnosti, obrany, národnej bezpečnosti a trestného práva, ako aj vykonávanie týchto právnych predpisov, profesijné pravidlá a bezpečnostné opatrenia, ktoré táto krajina alebo medzinárodná organizácia dodržiava, súdne precedensy, ako aj účinné a vymáhateľné práva vrátane účinných správnych a súdnych prostriedkov nápravy pre dotknuté osoby, najmä pre dotknuté osoby s bydliskom v Únii, ktorých osobné údaje sú predmetom prenosu;

b)  existenciu a účinné pôsobenie jedného či viacerých nezávislých dozorných orgánov v predmetnej tretej krajine či medzinárodnej organizácii, ktoré sú zodpovedné za zabezpečenie dodržiavania pravidiel ochrany údajov, vrátane dostatočných sankčných právomocí, za poskytovanie pomoci a poradenstva dotknutým osobám pri výkone ich práv a za spoluprácu s dozornými orgánmi Únie a členských štátov, a

c)  medzinárodné záväzky, ktorými je predmetná tretia krajina či medzinárodná organizácia viazaná, najmä všetky právne záväzné dohovory alebo nástroje, ktoré sa týkajú ochrany osobných údajov.

3.  Komisia je splnomocnená v súlade s článkom 86 prijímať delegované akty s cieľom môže rozhodnúť, že tretia krajina alebo územie, alebo sektor spracovania v predmetnej tretej krajine, alebo medzinárodná organizácia zabezpečujú primeranú úroveň ochrany v zmysle odseku 2. Tieto vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 87 ods. 2. Takéto delegované akty stanovia doložku o zániku, ak sa týkajú sektora spracovania, a budú odvolané podľa odseku 5 ihneď potom, ako prestane byť zabezpečená primeraná úroveň ochrany v súlade s týmto nariadením.

4.  Vo vykonávacom V delegovanom akte sa uvedie jeho územný a sektorový rozsah pôsobnosti a v príslušných prípadoch aj dozorný orgán podľa odseku 2 písm. b).

4a.  Komisia nepretržite sleduje vývoj v tretích krajinách a v medzinárodných organizáciách, ktorý by mohol mať vplyv na prvky uvedené v odseku 2, keď bol prijatý delegovaný akt podľa odseku 3.

5.  Komisia môže rozhodnúť je splnomocnená v súlade s článkom 86 prijímať delegované akty týkajúce sa rozhodnutia, že tretia krajina, alebos územie alebo sektor spracovania v tejto tretej krajine, alebo medzinárodná organizácia nezaručujú alebo ďalej nezaručujú primeranú úroveň ochrany zmysle odseku 2 tohto článku, a to najmä v prípadoch, keď príslušné právne predpisy platné v tejto krajine alebo pre túto medzinárodnú organizáciu, a to všeobecné aj odvetvové, nezaručujú účinné a vynútiteľné práva vrátane práv dotknutých osôb na účinnú administratívnu a súdnu nápravu, a to najmä pre dotknuté osoby s bydliskom v Únii, ktorých osobné údaje sú predmetom prenosu. Tieto vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 87 ods. 2, resp. keď je to pre fyzické osoby mimoriadne naliehavé v súvislosti s ich právom na ochranu osobných údajov, v súlade s postupom uvedeným v článku 87 ods. 3.

6.  Ak Komisia prijme rozhodnutie podľa odseku 5, potom je zakázaný akýkoľvek prenos osobných údajov do tretej krajiny alebo na územie, alebo do sektora spracovania v predmetnej tretej krajine, alebo medzinárodnej organizácii, a to bez toho, aby boli dotknuté ustanovenia článkov 42 až 44. Vo vhodnom čase Komisia začne konzultácie s treťou krajinou alebo medzinárodnou organizáciou s cieľom napraviť stav vzniknutý v dôsledku rozhodnutia prijatého podľa odseku 5 tohto článku.

6a.  Pred prijatím delegovaného aktu podľa odsekov 3 a 5 Komisia požiada Európsky výbor pre ochranu údajov o vydanie stanoviska o primeranosti úrovne ochrany. Na tento účel Komisia poskytne Európskemu výboru pre ochranu údajov všetku potrebnú dokumentáciu vrátane korešpondencie s vládou tretej krajiny, predstaviteľmi územia alebo sektora spracovania v uvedenej tretej krajine alebo s medzinárodnou organizáciou.

7.  Komisia uverejnení v Úradnom vestníku Európskej únie a na svojej internetovej stránke zoznam tých tretích krajín, území a sektorov spracovania v tretích krajinách, resp. medzinárodných organizácií, v prípade ktorých rozhodla, že je alebo nie je zaručená primeraná úroveň ochrany.

8.  Rozhodnutia prijaté Komisiou na základe článku 25 ods. 6 alebo článku 26 ods. 4 smernice 95/46/ES zostávajú v platnosti, pokým po dobu piatich rokov od nadobudnutia účinnosti tohto nariadenia, ak ich Komisia pred koncom tohto obdobia nezmení či nedoplní, nenahradí alebo nezruší. [PN 137]

Článok 42

Prenos na základe náležitých záruk

1.  Ak Komisia neprijala žiadne rozhodnutie podľa článku 41 alebo rozhodla, že tretia krajina, územie alebo sektor spracovania v tejto tretej krajine, alebo medzinárodná organizácia nezabezpečujú primeranú úroveň ochrany v súlade s článkom 41 ods. 5, prevádzkovateľ alebo sprostredkovateľ môžu nesmú preniesť osobné údaje do tretej krajiny alebo medzinárodnej organizácii len vtedy, ak okrem prípadov, keď prevádzkovateľ alebo sprostredkovateľ uviedli v podobe právne záväzného nástroja náležité záruky, pokiaľ ide o ochranu osobných údajov.

2.  Náležité záruky uvedené v odseku 1 sa stanovujú najmä prostredníctvom:

a)  záväzných firemných pravidiel v súlade s článkom 43 alebo

aa)  platnej „Európskej pečate ochrany údajov“ pre prevádzkovateľa a príjemcu v súlade s článkom 39 ods. 1e alebo

b)  štandardných ustanovení o ochrane údajov, ktoré prijala Komisia. Tieto vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 87 ods. 2, alebo

c)  štandardných ustanovení o ochrane údajov prijatých dozorným orgánom v súlade s mechanizmom konzistentnosti uvedeným v článku 57, ak ich Komisia vyhlásila za všeobecne platné v súlade s článkom 62 ods. 1 písm. b), alebo

d)  zmluvných doložiek medzi prevádzkovateľom alebo sprostredkovateľom a príjemcom údajov schválených dozorným orgánom v súlade s odsekom 4.

3.  K prenosu na základe štandardných ustanovení o ochrane údajov „Európskej pečate ochrany údajov“ alebo záväzných firemných pravidiel uvedených v odseku 2 písm. a), b) aa) alebo c) sa nevyžaduje žiadne ďalšie osobitné povolenie.

4.  Ak sa prenos uskutočňuje na základe zmluvných doložiek podľa odseku 2 písm. d) tohto článku, prevádzkovateľ alebo sprostredkovateľ musia k týmto zmluvným doložkám získať vopred povolenie od dozorného orgánu podľa článku 34 ods.1. Ak presun súvisí s činnosťou spracovania, ktorá sa týka dotknutých osôb v inom členskom štáte či štátoch, alebo podstatne ovplyvňuje voľný pohyb osobných údajov v rámci Únie, dozorný orgán uplatní mechanizmus konzistentnosti ustanovený v článku 57.

5.  V prípade, že náležité záruky na ochranu osobných údajov nie sú zabezpečené právne záväzným nástrojom, prevádzkovateľ alebo sprostredkovateľ musia vopred získať povolenie k prenosu či súboru prenosov, alebo k ustanoveniam, ktoré sa majú vložiť do administratívnych opatrení tvoriacich základ takéhoto prenosu. Takéto povolenie dozorného orgánu musí byť v súlade s článkom 34 ods. 1. Ak presun súvisí s činnosťou spracovania, ktorá sa týka dotknutých osôb v inom členskom štáte či štátoch, alebo podstatne ovplyvňuje voľný pohyb osobných údajov v rámci Únie, dozorný orgán uplatní mechanizmus konzistentnosti ustanovený v článku 57. Povolenia dozorného orgánu na základe článku 26 ods. 2 smernice 95/46/ES zostávajú v platnosti, pokým dva roky od nadobudnutia účinnosti tohto nariadenia, ak ich tento dozorný orgán pred ukončením uvedeného obdobia nezmení či nedoplní, nenahradí alebo nezruší. [PN 138]

Článok 43

Prenosy na základe záväzných firemných pravidiel

1.  Dozorný orgán v súlade s mechanizmom konzistentnosti ustanoveným v článku 58 schváli záväzné firemné pravidlá, ak spĺňajú tieto predpoklady:

a)  sú právne záväzné a vzťahujú sa na všetky podniky a zamestnancov v rámci skupiny podnikov prevádzkovateľa alebo sprostredkovateľa, ktoré ich povinne uplatňujú a tých externých subdodávateľov, na ktorých sa vzťahujú záväzné firemné pravidlá;

b)  výslovne udeľujú vymáhateľné práva dotknutým osobám;

c)  spĺňajú požiadavky ustanovené v odseku 2.

1a.  Pokiaľ ide o údaje súvisiace so zamestnaním, zástupcovia zamestnancov sú informovaní o záväzných firemných pravidlách podľa článku 43 a v súlade s právnymi predpismi a postupmi Únie alebo členských štátov sa podieľajú na ich vypracovaní.

2.  Záväzné firemné pravidlá obsahujú prinajmenšom:

a)  štruktúru a kontaktné údaje skupiny podnikov a jej členov a tých externých subdodávateľov, na ktorých sa vzťahujú záväzné firemné pravidlá;

b)  prenosy údajov alebo súbory prenosov vrátane kategórií osobných údajov, druhu spracovania a jeho účelov, typov dotknutých osôb, ktorých sa spracovanie týka a označenie predmetnej tretej krajiny či krajín;

c)  odkaz na ich záväznosť na vnútornej i vonkajšej úrovni;

d)  všeobecné zásady ochrany údajov, najmä obmedzenie účelu, minimalizáciu údajov, obmedzené lehoty uchovávania, kvalitu údajov, ochranu údajov špecificky navrhnutú a štandardne určenú, právny základ spracovania, spracúvanie citlivých osobných údajov, opatrenia na zaistenie bezpečnosti údajov, ako aj požiadavky na ďalší prenos pre potreby organizácií, ktoré nie sú viazané touto politikou;

e)  práva dotknutých osôb a prostriedky na výkon týchto práv vrátane práva nepodliehať opatreniu založenom na profilovaní v súlade s článkom 20, právo podať sťažnosť na príslušný dozorný orgán a na príslušné súdy členského štátu v súlade s článkom 75 a právo vymôcť nápravu a prípadnú kompenzáciu za porušenie záväzných firemných pravidiel;

f)  vyhlásenie, že prevádzkovateľ alebo sprostredkovateľ so sídlom na území členského štátu prijímajú prijíma zodpovednosť za všetky porušenia záväzných firemných pravidiel ktorýmkoľvek členom skupiny podnikov, ktorý nemá sídlo v Únii; prevádzkovateľ alebo sprostredkovateľ môžu môže byť úplne alebo čiastočne vyňatí vyňatý spod tohto záväzku, ak preukážu preukáže, že predmetný člen nie je zodpovedný za udalosť, z ktorej škoda vznikla;

g)  spôsob, akým sa v súlade s článkom 11 poskytujú dotknutým osobám informácie o záväzných firemných pravidlách, najmä pokiaľ ide o ustanovenia, ktoré sa uvádzajú v písmene d), e) a f) tohto odseku;

h)  úlohy úradníka pre ochranu údajov určeného v súlade s článkom 35 vrátane monitorovania dodržiavania záväzných firemných pravidiel, ako aj odbornej prípravy a vybavovania sťažností v rámci príslušnej skupiny podnikov;

i)  mechanizmy v rámci skupiny podnikov zamerané na zabezpečenie overovania dodržiavania záväzných firemných pravidiel;

j)  mechanizmy pre nahlasovanie a evidenciu zmien pravidiel a nahlasovanie týchto zmien dozornému orgánu;

k)  mechanizmus spolupráce s dozorným orgánom na zabezpečenie dodržiavania podmienok zo strany členov tejto skupiny podnikov, najmä sprístupnením výsledkov overovania opatrení uvedených v písm. i) tohto odseku dozornému orgánu.

3.  Komisia je splnomocnená v súlade s článkom 86 prijať delegované akty v súlade s článkom 86 s cieľom bližšie určiť formát, postupy, kritériá a požiadavky týkajúce sa záväzných firemných pravidiel v zmysle tohto článku, najmä kritériá na ich schválenie vrátane transparentnosti pre dotknuté osoby, ďalej uplatňovanie odseku 2 písm. b), d), e) a f) na záväzné firemné pravidlá, ktoré si osvojili sprostredkovatelia, ako aj ďalšie nevyhnutné požiadavky na zabezpečenie ochrany osobných údajov príslušných dotknutých osôb.

4.  Komisia môže stanoviť formát a postupy pre výmenu informácií elektronickými prostriedkami medzi prevádzkovateľmi, sprostredkovateľmi a dozornými orgánmi členských štátov o záväzných firemných pravidlách v zmysle tohto článku. Tieto vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 87 ods. 2. [PN 139]

Článok 43a

Prenosy a sprístupňovanie údajov, ktoré právne predpisy Únie nepovoľujú

1.  Nijaký rozsudok súdu alebo tribunálu ani nijaké rozhodnutie správneho orgánu tretej krajiny, v ktorých sa požaduje od prevádzkovateľa alebo sprostredkovateľa sprístupnenie osobných údajov, sa neuzná ani ho nemožno nijakým spôsobom vykonať bez toho, aby bola dotknutá dohoda o vzájomnej právnej pomoci alebo platná medzinárodná dohoda medzi žiadajúcou treťou krajinou a Úniou alebo členským štátom.

2.  Ak sa od prevádzkovateľa alebo sprostredkovateľa na základe rozsudku súdu alebo tribunálu, alebo rozhodnutia správneho orgánu tretej krajiny požaduje sprístupnenie osobných údajov, prevádzkovateľ alebo sprostredkovateľ, prípadne zástupca prevádzkovateľa túto žiadosť bezodkladne oznámia dozornému orgánu a na prenos alebo sprístupnenie musia od dozorného orgánu najprv získať povolenie.

3.  Dozorný orgán posúdi súlad požadovaného sprístupnenia s týmto nariadením, a najmä to, či je toto sprístupnenie potrebné a požadované zákonom podľa článku 44 ods. 1 písm. d) a e) a článku 44 ods. 5. Keď sa to týka dotknutých osôb z iného členského štátu, dozorný orgán uplatní mechanizmus konzistentnosti uvedený v článku 57.

4.  Dozorný orgán informuje o požiadavke príslušný vnútroštátny orgán. Bez toho, aby bol dotknutý článok 21, prevádzkovateľ alebo sprostredkovateľ informuje aj dotknuté osoby o žiadosti a o povolení dozorného orgánu a v relevantnom prípadne informuje v súlade s článkom 14 ods. 1 písm. ha) dotknutú osobu o tom, či za posledných 12 po sebe nasledujúcich mesiacov boli jej osobné údaje poskytnuté verejným orgánom. [PN 140]

Článok 44

Odchýlky

1.  Ak nebolo prijaté rozhodnutie o primeranosti podľa článku 41 alebo ak nie sú zabezpečené náležité záruky podľa článku 42, prenos alebo súbor prenosov osobných údajov do tretej krajiny alebo medzinárodnej organizácii sa môže uskutočniť, len ak:

a)  dotknutá osoba vyjadrila súhlas s navrhovaným prenosom po tom, ako bola informovaná o rizikách takéhoto prenosu z dôvodu absencie rozhodnutia o primeranosti a náležitých záruk alebo

b)  prenos je nevyhnutný na plnenie zmluvy medzi dotknutou osobou a prevádzkovateľom alebo na vykonanie predzmluvných opatrení prijatých na žiadosť dotknutej osoby, alebo

c)  prenos je nevyhnutný kvôli uzatvoreniu alebo plneniu zmluvy uzatváranej v záujme dotknutej osoby medzi prevádzkovateľom a inou fyzickou alebo právnickou osobou, alebo

d)  prenos je nevyhnutný z dôležitých dôvodov verejného záujmu, alebo

e)  prenos je nevyhnutný na stanovenie, uplatňovanie alebo obranu právnych nárokov, alebo

f)  prenos je nevyhnutný na ochranu životne dôležitých záujmov dotknutej osoby alebo inej osoby, ak je dotknutá osoba fyzicky alebo právne nespôsobilá vyjadriť súhlas, alebo

g)  prenos sa uskutočňuje z registra, ktorý je podľa práva Únie alebo členského štátu určený na poskytovanie informácií verejnosti a ktorý je otvorený na nahliadanie verejnosti alebo akejkoľvek osobe, ktorá môže preukázať oprávnený záujem, pokiaľ podmienky stanovené právnymi predpismi Únie alebo právnymi predpismi členského štátu na nahliadanie sú v tomto konkrétnom prípade splnené, alebo

h)  prenos je nevyhnutný na účely oprávnených záujmov, ktoré sleduje prevádzkovateľ alebo sprostredkovateľ a ktoré nemožno kvalifikovať ako časté alebo hromadné, a prevádzkovateľ alebo sprostredkovateľ posúdili všetky okolnosti sprevádzajúce operáciu prenosu údajov alebo súbor operácií prenosu údajov a na základe tohto posúdenia uviedli v prípade potreby náležité záruky, pokiaľ ide o ochranu osobných údajov.

2.  Prenos podľa odseku 1 písm. g) nezahŕňa všetky osobné údaje alebo celé kategórie osobných údajov obsiahnutých v registri. Ak je register určený na nahliadanie pre osoby s oprávneným záujmom, prenos sa uskutoční iba na žiadosť týchto osôb alebo vtedy, keď majú byť príjemcami.

3.  Ak sa spracúvanie vykonáva na základe odseku 1 písm. h), prevádzkovateľ alebo sprostredkovateľ musia osobitne prihliadať na povahu údajov, účel a trvanie navrhovanej operácie či operácií spracovania, ako aj na situáciu v krajine pôvodu, v tretej krajine a krajine konečného určenia a uviesť v prípade potreby náležité záruky, pokiaľ ide o ochranu osobných údajov.

4.  Odsek 1 písm. b), a c) a h) sa neuplatňujú na činnosti, ktoré vykonávajú verejné orgány pri uplatňovaní svojich verejných právomocí.

5.  Verejný záujem uvedený v odseku 1 písm. d) musí byť uznaný právnymi predpismi Únie alebo právnymi predpismi členského štátu, ktorému podlieha prevádzkovateľ.

6.  Prevádzkovateľ alebo sprostredkovateľ dokumentujú posúdenie, ako aj náležité záruky uvedené v odseku 1 písm. h) tohto článku v dokumentácii uvedenej v článku 28 a informujú dozorný orgán o prenose.

7.  Komisia je splnomocnená prijať delegované akty v súlade s článkom 87 Európsky výbor pre ochranu údajov je v súlade s článkom 66 ods. 1 písm. b) poverený úlohou vydať usmernenia, odporúčania a najlepšie postupy s cieľom bližšie určiť „dôležité dôvody verejného záujmu“ v zmysle odseku 1 písm. d), ako aj kritériá a požiadavky, pokiaľ ide o náležité záruky uvedené v týkajúce sa prenosu údajov na základe odseku 1 písm. h). [PN 141]

Článok 45

Medzinárodná spolupráca na účely ochrany osobných údajov

1.  Vo vzťahu k tretím krajinám a medzinárodným organizáciám Komisia a členské štáty podniknú náležité kroky s cieľom:

a)  vytvoriť účinné mechanizmy medzinárodnej spolupráce na uľahčenie zabezpečenie presadzovania právnych predpisov o ochrane osobných údajov; [PN 142]

b)  poskytovať vzájomnú medzinárodnú pomoc pri presadzovaní právnych predpisov na ochranu osobných údajov, a to aj prostredníctvom notifikácií, postúpenia sťažností, pomoci pri vyšetrovaní a výmeny informácií, pričom sa uplatní požiadavka na náležité záruky na ochranu osobných údajov a na ďalšie základné práva a slobody;

c)  zapájať príslušné zainteresované strany do diskusie a činnosti so zameraním na prehĺbenie medzinárodnej spolupráce v oblasti presadzovania právnych predpisov na ochranu osobných údajov;

d)  podporovať výmenu a dokumentáciu v oblasti právnych predpisov na ochranu osobných údajov a praxe v tejto sfére.;

da)  objasniť jurisdikčné konflikty a konzultovať o nich s tretími krajinami. [PN 143]

2.  Komisia podnikne na účely odseku 1 náležité kroky s cieľom rozvíjať vzťahy s tretími krajinami alebo medzinárodnými organizáciami, a to najmä s ich dozornými orgánmi, ak dospela k rozhodnutiu, že zaručujú primeranú úroveň ochrany v zmysle článku 41 ods. 3.

Článok 45a

Správa Komisie

Komisia predkladá Európskemu parlamentu a Rade v pravidelných intervaloch správu o uplatňovaní článkov 40 až 45, a to počnúc najneskôr štyri roky od dátumu uvedeného v článku 91 ods. 1. Na tento účel si Komisia môže vyžiadať od členských štátov a dozorných orgánov informácie, ktoré jej musia byť poskytnuté bez zbytočného odkladu. Správa sa zverejňuje. [PN 144]

KAPITOLA VI

NEZÁVISLÉ DOZORNÉ ORGÁNY

ODDIEL 1

NEZÁVISLÉ POSTAVENIE

Článok 46

Dozorný orgán

1.  Každý členský štát stanoví, že jeden alebo viaceré verejné orgány sú zodpovedné za monitorovanie uplatňovania tohto nariadenia a za prispievanie k jeho konzistentnému uplatňovaniu v rámci Únie s cieľom chrániť základné práva a slobody fyzických osôb v súvislosti so spracúvaním ich osobných údajov a uľahčiť voľný tok osobných údajov v rámci Únie. Na tento účel dozorné orgány spolupracujú vzájomne, ako aj s Komisiou.

2.  Ak je v členskom štáte určený viac než jeden dozorný orgán, tento členský štát určí na zabezpečenie efektívnej účasti týchto orgánov v Európskom výbore pre ochranu údajov príslušný orgán, ktorý pôsobí ako spoločné kontaktné miesto, a stanoví mechanizmus na zabezpečenie súladu zo strany ostatných orgánov s mechanizmom konzistentnosti uvedeným v článku 57.

3.  Do dátumu uvedeného v článku 91 ods. 2 každý členský štát oznámi Komisii ustanovenia svojich právnych predpisov, ktoré prijme podľa tejto kapitoly, a bezodkladne oznámi aj všetky následné zmeny a doplnenia, ktoré ich ovplyvňujú.

Článok 47

Nezávislosť

1.  Dozorný orgán koná pri plnení svojich povinností a výkone zverených právomocí úplne nezávisle a nestranne, bez toho, aby boli dotknuté ustanovenia o spolupráci a konzistentnosti z kapitoly VII tohto nariadenia. [PN 145]

2.  Členovia dozorného orgánu pri plnení svojich povinností od nikoho nežiadajú ani neprijímajú pokyny.

3.  Členovia dozorného orgánu sa zdržia akéhokoľvek konania nezlučiteľného s ich povinnosťami a počas svojho funkčného obdobia nevykonávajú žiadnu inú platenú ani neplatenú pracovnú činnosť nezlučiteľnú s touto funkciou.

4.  Členovia dozorného orgánu sa po uplynutí svojho funkčného obdobia správajú pri prijímaní funkcií alebo výhod čestne a rozvážne.

5.  Každý členský štát zabezpečí, aby sa dozornému orgánu poskytli primerané ľudské, technické a finančné zdroje, priestory a infraštruktúra, ktoré sú potrebné na účinné plnenie povinností a vykonávanie právomocí vrátane tých, ktoré sa majú plniť a vykonávať v súvislosti so vzájomnou pomocou, spoluprácou a účasťou v rámci Európskeho výboru pre ochranu údajov.

6.  Každý členský štát zabezpečí, aby dozorný orgán mal svojich vlastných zamestnancov, ktorí budú ustanovení do svojich pozícií vedúcim dozorného orgánu a budú podliehať jeho pokynom.

7.  Členské štáty zabezpečia, aby dozorný orgán podliehal finančnej kontrole, ktorá neovplyvní jeho nezávislosť. Členské štáty zabezpečia, aby mali dozorné orgány samostatné ročné rozpočty. Tieto rozpočty sa zverejnia.

7a.  Každý členský štát zabezpečí, aby bol dozorný orgán zodpovedný v oblasti rozpočtovej kontroly národnému parlamentu. [PN 146]

Článok 48

Všeobecné podmienky členstva v dozorných orgánoch

1.  Členské štáty stanovia, že členov dozorného orgánu ustanovuje buď parlament alebo vláda príslušného členského štátu.

2.  Členovia sa musia vybrať spomedzi osôb, v prípade ktorých niet pochybností o ich nezávislosti a ktoré majú preukázané skúsenosti a zručnosti potrebné na plnenie svojich povinností predovšetkým v oblasti ochrany osobných údajov.

3.  Povinnosti člena zanikajú uplynutím funkčného obdobia, vzdaním sa funkcie alebo jeho odvolaním v súlade s odsekom 5.

4.  Člena možno odvolať alebo pozbaviť jeho práva na dôchodok či iných dávok namiesto dôchodku rozhodnutím príslušného vnútroštátneho súdu, ak tento člen prestal spĺňať podmienky požadované na výkon svojich služobných povinností, resp. ak sa dopustil závažného pochybenia.

5.  V prípade uplynutia funkčného obdobia alebo vzdania sa funkcie si člen naďalej plní svoje povinnosti, až kým nie je ustanovený nový člen.

Článok 49

Pravidlá zriaďovania dozorného orgánu

Každý členský štát stanoví v medziach tohto nariadenia prostredníctvom zákona:

a)  zriadenie dozorného orgánu a jeho postavenie;

b)  kvalifikáciu, skúsenosti a zručnosti, ktoré sa požadujú na plnenie povinností člena dozorného orgánu;

c)  pravidlá a postupy ustanovovania členov dozorného orgánu, ako aj pravidlá, ktoré upravujú, aké konania či pracovné činnosti sú nezlučiteľné so služobnými povinnosťami spojenými s touto funkciou;

d)  funkčné obdobie členov dozorného orgánu, ktoré nesmie byť menej než štyri roky, s výnimkou prvého ustanovenia do funkcie po nadobudnutí účinnosti tejto smernice, ktoré môže mať kratšie trvanie, ak je z dôvodu ochrany nezávislosti dozorného orgánu nevyhnutné použiť časovo rozložený postup ustanovovania do funkcií;

e)  či členov dozorného orgánu možno ustanoviť do tejto funkcie opätovne;

f)  predpisy a spoločné podmienky upravujúce povinnosti členov a zamestnancov dozorného orgánu;

g)  pravidlá a postupy pri ukončení plnenia povinností člena dozorného orgánu, a to aj pre prípady, keď členovia prestali spĺňať podmienky požadované na výkon svojich povinností, resp. sa dopustili závažného pochybenia.

Článok 50

Služobné tajomstvo

Členovia a zamestnanci dozorného orgánu podliehajú počas funkčného obdobia či zamestnania, ako aj po ich uplynutí, a v súlade s vnútroštátnymi právnymi predpismi a praxou povinnosti zachovávať služobné tajomstvo, pokiaľ ide o dôverné informácie, o ktorých sa dozvedeli pri plnení svojich služobných povinností, pričom si plnia povinnosti nezávisle a transparentne, ako je stanovené v tomto nariadení. [PN 147]

ODDIEL 2

POVINNOSTI A PRÁVOMOCI

Článok 51

Pôsobnosť

1.  Každý dozorný orgán vykonáva na území svojho členského štátu je kompetentný plniť si úlohy a vykonávať právomoci, ktoré mu boli zverené v súlade s týmto nariadením, na území svojho členského štátu bez toho, aby bol dotknutý článok 73 a 74. Spracovanie údajov, ktoré uskutočňuje orgán verejnej moci, podlieha výlučne dohľadu dozorného orgánu daného členského štátu. [PN 148]

2.  Ak sa spracovanie osobných údajov uskutočňuje v rámci činnosti zariadenia prevádzkovateľa alebo sprostredkovateľa v Únii a prevádzkovateľ alebo sprostredkovateľ pôsobí vo viac než jednom členskom štáte, za dohľad nad činnosťou prevádzkovateľa alebo sprostredkovateľa pri spracúvaní údajov vo všetkých členských štátoch zodpovedá dozorný orgán členského štátu, v ktorom sa nachádza ústredie prevádzkovateľa alebo sprostredkovateľa, a to bez toho, aby boli dotknuté ustanovenia kapitoly VII tohto nariadenia. [PN 149]

3.  Dozorný orgán nie je príslušný pre dohľad nad operáciami spracovania na súdoch, ak ide o výkon ich súdnej právomoci.

Článok 52

Povinnosti

1.  Dozorný orgán:

a)  monitoruje a zabezpečuje uplatňovanie tohto nariadenia;

b)  prejednáva rieši sťažnosti podané akoukoľvek dotknutou osobou, alebo združením zastupujúcim dotknutú osobu v súlade s článkom 73, vyšetruje predmetnú záležitosť v náležitom rozsahu, informuje dotknutú osobu či združenie o pokroku a výsledkoch sťažnosti v primeranej lehote, najmä ak je nutné ďalšie vyšetrovanie alebo koordinácia s iným dozorným orgánom; [PN 150]

c)  vymieňa si informácie a poskytuje vzájomnú pomoc vo vzťahu k iným dozorným orgánom a zabezpečuje konzistentné uplatňovanie a presadzovanie tohto nariadenia;

d)  na vlastný podnet, na základe sťažnosti alebo osobitnej a zdokumentovanej informácie o údajnom nezákonnom spracovaní, alebo na žiadosť iného dozorného orgánu uskutočňuje vyšetrovania a ak dotknutá osoba podala sťažnosť tomuto dozornému orgánu, informuje túto dotknutú osobu o výsledku vyšetrovania v primeranej lehote; [PN 151]

e)  monitoruje príslušný vývoj, pokiaľ má dosah na ochranu osobných údajov, a to najmä vývoj informačných a komunikačných technológií a komerčných praktík;

f)  oslovujú inštitúcie a subjekty členského štátu s cieľom konzultovať právne a administratívne opatrenia súvisiace s ochranou práv a slobôd fyzických osôb pri spracúvaní osobných údajov,

g)  poskytuje konzultačnú pomoc v oblasti schvaľuje operácií spracovania uvedených v článku 34;

h)  vydáva stanovisko k návrhom kódexov správania v súlade s článkom 38 ods. 2;

i)  schvaľuje záväzné firemné pravidlá podľa článku 43,

j)  zúčastňuje sa na činnosti Európskeho výboru pre ochranu údajov,

ja)  certifikuje prevádzkovateľov a sprostredkovateľov podľa článku 39. [PN 152]

2.  Každý dozorný orgán podporuje zvyšovanie informovanosti verejnosti o rizikách, pravidlách, zárukách a právach v súvislosti so spracovaním osobných údajov a o náležitých opatreniach na ochranu osobných údajov. Osobitná pozornosť sa má venovať najmä činnostiam špecificky zameraným na deti. [PN 153]

2a.  Každý dozorný orgán spoločne s Európskym výborom pre ochranu údajov podporuje informovanosť prevádzkovateľov a sprostredkovateľov o rizikách, pravidlách, zárukách a právach v súvislosti so spracovaním osobných údajov. Patrí sem aj vedenie registra sankcií a porušení. Do registra sa čo najpodrobnejšie zaznamenávajú všetky upozornenia a sankcie, ako aj riešenie porušovania. Každý dozorný orgán poskytuje na požiadanie sprostredkovateľom a prevádzkovateľom, ktorí sú mikropodnikmi, malými a strednými podnikmi, všeobecné informácie o ich povinnostiach a záväzkoch v súlade s týmto nariadením. [PN 154]

3.  Dozorný orgán poskytne na požiadanie poradenstvo ktorejkoľvek dotknutej osobe v súvislosti s výkonom jej práv podľa tohto nariadenia, pričom v prípade potreby spolupracuje na tento účel s dozornými orgánmi v iných členských štátoch.

4.  Na účely podávania sťažností uvedených v odseku 1 písm. b) dozorný orgán poskytne formulár sťažnosti, ktorý je možné vyplniť elektronicky, pričom sa nevylučujú iné prostriedky komunikácie.

5.  Plnenie úloh dozorného orgánu je pre dotknutú osobu bezplatné.

6.  V prípade, že žiadosti sú zjavne neprimerané, a to najmä pre ich opakujúci sa charakter, dozorný orgán môže požadovať primeraný poplatok, resp. môže odmietnuť prijať opatrenia požadované dotknutou osobou. Výška tohto poplatku nepresahuje náklady na požadované opatrenie. Dôkazné bremeno, pokiaľ ide o zjavne neprimeraný charakter žiadosti, znáša dozorný orgán. [PN 155]

Článok 53

Právomoci

1.  Každý dozorný orgán má v súlade s týmto nariadením právomoc:

a)  oznamovať prevádzkovateľovi či sprostredkovateľovi domnelé porušenie ustanovení o spracovaní osobných údajov a v prípade potreby prevádzkovateľovi či sprostredkovateľovi nariadiť, aby konkrétnym spôsobom napravili toto porušenie s cieľom zlepšiť ochranu dotknutej osoby, alebo nariadiť prevádzkovateľovi povinnosť informovať dotknutú osobu o porušení ochrany osobných údajov;

b)  nariadiť prevádzkovateľovi či sprostredkovateľovi vyhovieť žiadostiam dotknutej osoby o výkon práv ustanovených týmto nariadením;

c)  nariadiť prevádzkovateľovi či sprostredkovateľovi a ich prípadnému zástupcovi, aby poskytli všetky informácie, ktoré sú dôležité pre výkon jeho povinností;

d)  zabezpečiť súlad s požiadavkou na povolenia vopred a konzultácie vopred podľa článku 34;

e)  varovať alebo napomenúť prevádzkovateľa či sprostredkovateľa;

f)  nariadiť opravu, výmaz alebo likvidáciu všetkých údajov, ak boli spracované v rozpore s ustanoveniami tohto nariadenia, a oznámenie týchto opatrení tretím stranám, ktorým boli údaje sprístupnené;

g)  nariadiť dočasný alebo trvalý zákaz spracovania;

h)  pozastaviť tok údajov smerom k príjemcovi v tretej krajine alebo medzinárodnej organizácii,

i)  vydávať stanoviská týkajúce sa akýchkoľvek otázok, ktoré súvisia s ochranou osobných údajov;

ia)  certifikovať prevádzkovateľov a sprostredkovateľov podľa článku 39;

j)  informovať národný parlament, vládu alebo iné politické inštitúcie, ako aj verejnosť o všetkých otázkach súvisiacich s ochranou osobných údajov;

ja)  zaviesť účinné mechanizmy na podporu podávania dôverných správ o porušení tohto nariadenia s prihliadnutím na usmernenia, ktoré vydá Európsky výbor pre ochranu údajov v súlade s článkom 66 ods. 4b.

2.  Každý dozorný orgán má vyšetrovaciu právomoc, ktorá umožňuje, aby mu prevádzkovateľ či sprostredkovateľ bez predchádzajúceho oznámenia poskytol:

a)  prístup ku všetkým osobným údajom a všetkým dokumentom a informáciám potrebným na plnenie jeho povinností;

b)  prístup do všetkých priestorov, ako aj k akémukoľvek zariadeniu a prostriedkom na spracúvanie údajov, ak existujú dostatočné dôvody predpokladať, že sa tam uskutočňuje činnosť, ktorá je v rozpore s týmto nariadením.

Právomoci uvedené v písmene b) sa vykonávajú v súlade s právnymi predpismi EÚ a právnymi predpismi členského štátu.

3.  Každý dozorný orgán má právomoc upovedomiť o porušení tohto nariadenia justičné orgány a postupovať súdnou cestou, predovšetkým podľa článku 74 ods. 4 a článku 75 ods. 2.

4.  Každý dozorný orgán je oprávnený sankcionovať správne delikty, najmä tie, ktoré sú uvedené v článku v súlade s článkom 79 ods. 4, 5 a 6. Tieto právomoci sa vykonávajú účinným, primeraným a odradzujúcim spôsobom. [PN 156]

Článok 54

Správa o činnosti

Každý kontrolný orgán musí aspoň v dvojročných intervaloch vypracovať výročnú správu o svojej činnosti. Správa sa predkladá národnému príslušnému parlamentu a sprístupní sa verejnosti, Komisii a Európskemu výboru pre ochranu údajov. [PN 157]

Článok 54a

Vedúci orgán

1.  Ak sa spracovanie osobných údajov uskutočňuje v rámci činností zariadenia prevádzkovateľa alebo sprostredkovateľa v Únii a prevádzkovateľ alebo sprostredkovateľ pôsobí vo viac než jednom členskom štáte, alebo ak sa spracúvajú osobné údaje osôb s pobytom v niekoľkých členských štátoch, dozorný orgán ústredia prevádzkovateľa alebo sprostredkovateľa vystupuje ako vedúci orgán zodpovedný za dohľad nad spracovávaním, ktoré vykonáva prevádzkovateľ alebo sprostredkovateľ, a to vo všetkých členských štátoch v súlade s ustanoveniami kapitoly VII tohto nariadenia.

2.  Vedúci orgán prijme náležité opatrenia, pokiaľ ide o dohľad nad spracúvaním, ktoré vykonáva prevádzkovateľ alebo sprostredkovateľ, za ktoré je zodpovedný, len po konzultácii so všetkými ostatnými príslušnými dozornými orgánmi v zmysle článku 51 ods. 1 v snahe dosiahnuť konsenzus. Na tento účel predloží predovšetkým všetky relevantné informácie a konzultuje s ostatnými orgánmi predtým, než prijme opatrenie s právnymi účinkami pre prevádzkovateľa alebo sprostredkovateľa, v zmysle článku 51 odseku 1. Vedúci orgán čo najviac zohľadní stanoviská zapojených orgánov. Vedúci orgán je jediný orgán oprávnený rozhodovať o opatreniach, ktoré majú právne účinky, pokiaľ ide o spracúvanie vykonávané prevádzkovateľom alebo sprostredkovateľom, za ktoré je zodpovedný.

3.  Európsky výbor pre ochranu údajov vydá na požiadanie príslušného dozorného orgánu stanovisko k určeniu vedúceho orgánu zodpovedného za prevádzkovateľa alebo sprostredkovateľa v prípadoch, keď:

a)  z údajov o prípade nie je jasné, kde je sídlo ústredia prevádzkovateľa alebo sprostredkovateľa; alebo

b)  príslušné orgány sa nedohodnú, ktorý dozorný orgán má fungovať ako vedúci orgán; alebo

c)  prevádzkovateľ nemá sídlo v Únii a obyvateľov z jednotlivých členských štátov sa týkajú operácie spracovania údajov v rámci pôsobnosti tohto nariadenia.

3a.  Ak prevádzkovateľ vykonáva aj úlohy sprostredkovateľa, dozorný orgán ústredia prevádzkovateľa vystupuje ako vedúci orgán zodpovedný za dohľad nad spracúvaním.

4.  Európsky výbor pre ochranu údajov môže rozhodnúť o určení vedúceho orgánu. [PN 158]

KAPITOLA VII

SPOLUPRÁCA A KONZISTENTNOSŤ

Oddiel 1

Spolupráca

Článok 55

Vzájomná pomoc

1.  Dozorné orgány si poskytujú navzájom relevantné informácie a pomoc v záujme konzistentného vykonávania a uplatňovania ustanovení tohto nariadenia a zavedú opatrenia na účinnú vzájomnú spoluprácu. Vzájomná pomoc sa týka najmä žiadostí o informácie a opatrení v oblasti dozoru, ako sú napríklad žiadosti o povolenie akonzultácie vopred, kontroly, vyšetrovania a promptné informácie o otvorení prípadov a ďalšom vývoji v prípade, prevádzkovateľ či sprostredkovateľ má zariadenia v niekoľkých členských štátoch, alebo keď je pravdepodobné, že operácie spracovania budú mať vplyv na dotknuté osoby v niekoľkých členských štátoch. Vedúci orgán definovaný v článku 54a zabezpečí koordináciu so zapojenými dozornými orgánmi a bude fungovať ako jednotné kontaktné miesto pre prevádzkovateľa alebo sprostredkovateľa. [PN 159]

2.  Každý dozorný orgán je povinný prijať všetky príslušné opatrenia, aby na žiadosť iného dozorného orgánu odpovedal bezodkladne a najneskôr do jedného mesiaca po prijatí žiadosti. K takýmto opatreniam môže patriť napríklad zaslanie relevantnej informácie o priebehu vyšetrovania alebo opatrenia na vymáhanie práva, ktorých cieľom je zastavenie alebo zákaz operácií spracovania, ktoré sú v rozpore s týmto nariadením.

3.  Žiadosť o pomoc má obsahovať všetky nevyhnutné informácie vrátane účelu a dôvodov žiadosti. Vymieňané informácie sa použijú iba v súvislosti s vecou, ku ktorej boli vyžiadané.

4.  Ak je dozornému orgánu adresovaná žiadosť o pomoc, nemôže jej odmietnuť vyhovieť, s výnimkou toho, keď:

a)  nie je príslušný vo veci žiadosti alebo

b)  vyhovieť tejto žiadosti by bolo v rozpore s týmto nariadením.

5.  Požiadaný dozorný orgán poskytne žiadajúcemu dozornému orgánu informácie o výsledkoch opatrení prijatých s cieľom vyhovieť požiadavke žiadajúceho dozornému orgánu, alebo podľa situácie o pokroku dosiahnutom v tejto súvislosti, resp. o opatreniach prijatých na tento účel.

6.  Dozorné orgány poskytnú informácie požadované inými dozornými orgánmi elektronickými prostriedkami a v čo najkratšom možnom čase, pričom používajú štandardizovaný formát.

7.  Za opatrenie vykonané na základe žiadosti o vzájomnú pomoc sa žiadajúcemu dozornému orgánu neúčtuje žiadny poplatok. [PN 160]

8.  Ak dozorný orgán nerozhodne o žiadosti iného dozorného orgánu do jedného mesiaca, žiadajúci dozorný orgán je oprávnený vydať dočasné opatrenie na území svojho členského štátu v súlade s článkom 51 ods. 1 a predložiť záležitosť Európskemu výboru pre ochranu údajov v súlade s postupom uvedeným v článku 57. Ak sa pomoc zatiaľ nedokončila, a teda nie je možné prijať konečné opatrenie, žiadajúci dozorný orgán môže na území svojho členského štátu prijať dočasné opatrenia podľa článku 53. [PN 161]

9.  Dozorný orgán určí obdobie platnosti týchto dočasných opatrení. Táto lehota nepresiahne tri mesiace. Dozorný orgán bezodkladne oznámi tieto opatrenia s úplným odôvodnením Európskemu výboru pre ochranu údajov a Komisii v súlade s postupom uvedeným v článku 57. [PN 162]

10.  Komisia Európsky výbor pre ochranu údajov môže stanoviť formát a postupy vzájomnej pomoci uvedené v tomto článku a opatrenia na výmenu informácií elektronickými prostriedkami medzi dozornými orgánmi navzájom, ako aj medzi dozornými orgánmi a Európskym výborom pre ochranu údajov, najmä štandardizovaný formát uvedený v odseku 6. Tieto vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 87 ods. 2. [PN 163]

Článok 56

Spoločné operácie dozorných orgánov

1.  V záujme posilnenia spolupráce a vzájomnej pomoci dozorné orgány realizujú spoločné úlohy v oblasti vyšetrovania, opatrenia v oblasti presadzovania práva a iné spoločné operácie, do ktorých sa zapájajú určení členovia alebo zamestnanci dozorných orgánov iných členských štátov.

2.  V prípadoch, keď prevádzkovateľ alebo sprostredkovateľ má zariadenia v niekoľkých členských štátoch alebo keď je pravdepodobné, že operácie spracovania budú mať vplyv na dotknuté osoby v niekoľkých členských štátoch, dozorný orgán každého z týchto členských štátov má právo podieľať sa podľa konkrétnej situácie na spoločných vyšetrovacích úlohách alebo spoločných operáciách. Príslušný dozorný orgán vyzve Vedúci orgán vymedzený v článku 54a zapojí dozorné orgány týchto jednotlivých členských štátov, aby sa zúčastnili na do príslušných vyšetrovacích úlohách úloh alebo spoločných operáciách operácií a aby reagovali bez zbytočného odkladu odpovedá na žiadosť ktoréhokoľvek dozorného orgánu o zapojenie sa do operácií bez zbytočného odkladu. Vedúci orgán koná ako jednotné kontaktné miesto pre prevádzkovateľa alebo sprostredkovateľa. [PN 164]

3.  Každý dozorný orgán, ktorý je hostiteľským dozorným orgánom, môže v súlade so svojimi vnútroštátnymi právnymi predpismi a povolením vysielajúceho dozorného orgánu udeliť zamestnancom vysielajúceho dozorného orgánu zúčastňujúcim sa na spoločných operáciách výkonné právomoci vrátane vyšetrovacích úloh, resp. v rozsahu, v akom to umožňujú právne predpisy, ktorým podlieha hostiteľský dozorný orgán, umožniť zamestnancom vysielajúceho dozorného orgánu uplatňovať ich výkonné právomoci v súlade s právnymi predpismi, ktorým podlieha vysielajúci dozorný orgán. Tieto výkonné právomoci sa môžu uplatňovať len pod usmernením členov alebo zamestnancov hostiteľského dozorného orgánu a spravidla v ich prítomnosti. Členovia a zamestnanci vysielajúceho dozorného orgánu podliehajú vnútroštátnym právnym predpisom krajiny hostiteľského dozorného orgánu. Zodpovednosť za ich činnosť nesie hostiteľský dozorný orgán.

4.  Dozorné orgány upravia praktické aspekty konkrétnych činností uskutočňovaných v rámci spolupráce.

5.  Ak dozorný orgán nesplní svoju povinnosť stanovenú v odseku 2 do jedného mesiaca, ostatné dozorné orgány sú oprávnené vydať dočasné opatrenie na území svojho členského štátu v súlade s článkom 51 ods. 1.

6.  Dozorný orgán určí obdobie platnosti dočasného opatrenia uvedeného v odseku 5. Toto obdobie nepresiahne tri mesiace. Dozorný orgán bezodkladne oznámi tieto opatrenia s úplným odôvodnením Európskemu výboru pre ochranu údajov a Komisii a predloží záležitosť prostredníctvom mechanizmu ustanoveného v článku 57.

Oddiel 2

Konzistentnosť

Článok 57

Mechanizmus konzistentnosti

Na účely uvedené v článku 46 ods. 1 dozorné orgány spolupracujú medzi sebou navzájom, ako aj s Komisiou prostredníctvom mechanizmu konzistentnosti, ako sa ustanovuje v tomto oddiele, a to v otázkach všeobecného uplatňovania i v jednotlivých prípadoch v súlade s ustanoveniami tohto oddielu. [PN 165]

Článok 58

Stanovisko Európskeho výboru pre ochranu údajov Konzistentnosť v otázkach všeobecného uplatňovania

1.  Predtým než dozorný orgán prijme opatrenia uvedené v odseku 2, tento dozorný orgán oznámi navrhované opatrenie Európskemu výboru pre ochranu údajov a Komisii.

2.  Povinnosť stanovená v odseku 1 sa uplatňuje na opatrenie, ktoré má mať právne účinky a ktoré:

a)  súvisí s činnosťami spracovania týkajúcimi sa ponuky tovaru alebo služieb dotknutým osobám v niekoľkých členských štátoch, alebo sledovania ich správania, alebo

b)  môže podstatne ovplyvniť voľný pohyb osobných údajov v rámci Únie, alebo

c)  ktorého cieľom je prijatie zoznamu operácií spracovania, na ktoré sa vzťahuje povinnosť konzultácie vopred podľa článku 34 ods. 5, alebo

d)  ktorého cieľom je má za cieľ určiť štandardné ustanovenia o ochrane údajov uvedené v článku 42 ods. 2 písm. c), alebo

e)  ktorého cieľom je má za cieľ schváliť zmluvné doložky uvedené v článku 42 ods. 2 písm. d), alebo

f)  ktorého cieľom je má za cieľ schváliť záväzné firemné pravidlá v zmysle článku 43.

3.  Ktorýkoľvek dozorný orgán alebo Európsky výbor pre ochranu údajov môžu požadovať, aby sa prostredníctvom mechanizmu konzistentnosti riešila akákoľvek záležitosť všeobecného uplatňovania, najmä ak dozorný orgán nepredloží návrh opatrenia uvedeného v odseku 2 alebo neplní povinnosti týkajúce sa vzájomnej pomoci v súlade s článkom 55 alebo spoločných operácií v súlade s článkom 56.

4.  Aby sa zabezpečilo správne a konzistentné uplatňovanie tohto nariadenia, Komisia môže požadovať, aby sa všetky otázky všeobecného uplatňovania riešili prostredníctvom mechanizmu konzistentnosti.

5.  Dozorné orgány a Komisia bez zbytočného odkladu elektronicky oznamujú všetky príslušné informácie, podľa potreby aj zhrnutie skutočností, navrhované opatrenie a dôvody, kvôli ktorým je vydanie takéhoto opatrenia nevyhnutné, pričom používajú štandardizovaný formát.

6.  Predseda Európskeho výboru pre ochranu údajov ihneď bez zbytočného odkladu elektronicky informuje členov Európskeho výboru pre ochranu údajov a Komisiu o všetkých relevantných informáciách, ktoré mu boli oznámené, pričom používa štandardizovaný formát. Predseda Sekretariát Európskeho výboru pre ochranu údajov poskytne v prípade potreby preklady relevantných informácií.

6a.  Európsky výbor pre ochranu údajov prijme stanovisko k otázkam uvedeným v odseku 2.

7.  Európsky výbor pre ochranu údajov vydá k veci môže rozhodnúť jednoduchou väčšinou, či prijme stanovisko, ak tak Európsky výbor pre ochranu údajov rozhodne jednoduchou väčšinou svojich členov alebo ak niektorý dozorný orgán alebo Komisia o to požiadali, a to do jedného týždňa po tom, ako boli príslušné informácie poskytnuté podľa odseku 5. Stanovisko musí byť prijaté do jedného mesiaca jednoduchou väčšinou členov Európskeho výboru pre ochranu údajov. Predseda Európskeho výboru pre ochranu údajov informuje o tomto stanovisku bez zbytočného odkladu a podľa konkrétneho prípadu dozorný orgán uvedený v odsekoch 1 a 3, Komisiu a dozorný orgán príslušný podľa článku 51, a stanovisko zverejní k akejkoľvek veci predloženej podľa odsekov 3 a 4, pričom vezme do úvahy:

a)  či otázka predstavuje nové prvky, pričom zohľadní najmä vývoj v oblasti legislatívy alebo faktov, predovšetkým v oblasti informačných technológií, a zohľadní aktuálny stav pokroku informačnej spoločnosti; a

b)  či Európsky výbor pre ochranu údajov už k rovnakej otázke vydal stanovisko.

8.  Dozorný orgán uvedený v odseku 1 a dozorný orgán príslušný podľa článku 51 zohľadnia stanovisko Európskeho výboru pre ochranu údajov a do dvoch týždňov po prijatí informácie o stanovisku predsedu Európskeho výboru pre ochranu údajov oznámia elektronicky predsedovi Európskeho výboru pre ochranu údajov a Komisii, či zotrvávajú na svojom návrhu opatrenia, alebo ho zmenia a doplnia, a v tomto druhom prípade zašlú aj zmenený a doplnený návrh opatrenia, pričom použijú štandardizovaný formát. Európsky výbor pre ochranu údajov prijíma stanoviská v súlade s odsekmi 6a a 7 jednoduchou väčšinou svojich členov. Tieto stanoviská sa zverejnia. [PN 166]

Článok 58a

Konzistentnosť v konkrétnych prípadoch

1.  Pred prijatím opatrenia, ktoré má právne účinky v zmysle článku 54a, vedúci orgán poskytuje všetkým ostatným príslušným orgánom všetky relevantné informácie a predkladá im návrh opatrenia. Vedúci orgán neprijme opatrenie, ak príslušný orgán vznesie do troch týždňov voči opatreniu vážne námietky.

2.  Keď príslušný orgán uviedol, že má vážne námietky voči návrhu opatrenia vedúceho orgánu, alebo keď vedúci orgán nepredloží návrh opatrenia uvedený v odseku 1, alebo si nesplní povinnosti v oblasti vzájomnej pomoci podľa článku 55 alebo v oblasti spoločných operácií podľa článku 56, vec posúdi Európsky výbor pre ochranu údajov.

3.  Vedúci orgán a/alebo iné zúčastnené príslušné orgány a Komisia bez zbytočného odkladu elektronicky a s použitím štandardizovaného formátu oznámia Európskemu výboru pre ochranu údajov všetky relevantné informácie, podľa potreby aj zhrnutie skutočností, navrhované opatrenie, dôvody potreby prijatia takéhoto opatrenia, námietky vznesené proti nemu a stanoviská ostatných zúčastnených dozorných orgánov.

4.  Európsky výbor pre ochranu údajov posúdi vec, pričom vezme do úvahy vplyv návrhu opatrenia vedúceho orgánu na základné práva a slobody dotknutých osôb, a rozhodne jednoduchou väčšinou svojich členov, či v tejto veci vydá do dvoch týždňov stanovisko potom, ako dostane príslušné informácie v súlade s odsekom 3.

5.  Keď sa Európsky výbor pre ochranu údajov rozhoduje vydať stanovisko, urobí tak v lehote šiestich týždňov a stanovisko zverejní.

6.  Vedúci orgán čo najviac zohľadní stanovisko Európskeho výboru pre ochranu údajov a do dvoch týždňov po prijatí informácie o stanovisku predsedu Európskeho výboru pre ochranu údajov oznámi elektronicky predsedovi Európskeho výboru pre ochranu údajov a Komisii, či orgán trvá na svojom návrhu opatrenia alebo ho zmení, a ak ho zmení, zašle zmenený návrh opatrenia, pričom použije štandardizovaný formát. Keď vedúci orgán nemá v úmysle postupovať podľa stanoviska Európskeho výboru pre ochranu údajov, predloží podložené zdôvodnenie.

7.  V prípade, že Európsky výbor pre ochranu údajov stále nesúhlasí s opatrením dozorného orgánu, môže v súlade s odsekom 5 prijať do jedného mesiaca dvojtretinovou väčšinou opatrenia, ktoré sú pre dozorný orgán záväzné. [PN 167]

Článok 59

Stanovisko Komisie

1.  Do desiatich týždňov po oznámení veci uvedenom v článku 58, alebo najneskôr do šiestich týždňov v prípade uvedenom v článku 61 môže Komisia prijať stanovisko k veciam oznámeným podľa článku 58 alebo 61 s cieľom zabezpečiť správne a konzistentné uplatňovanie tohto nariadenia.

2.  Ak Komisia prijala stanovisko v súlade s odsekom 1, dotknutý dozorný orgán v čo najväčšej miere zohľadní stanovisko Komisie a informuje Komisiu a Európsky výbor pre ochranu údajov, či má v úmysle zachovať alebo zmeniť a doplniť svoj návrh opatrenia.

3.  Počas obdobia uvedeného v odseku 1 dozorný orgán navrhované opatrenie neprijme.

4.  Ak dotknutý dozorný orgán nemá v úmysle postupovať podľa stanoviska Komisie, informuje o tom Komisiu a Európsky výbor pre ochranu údajov v rámci lehoty uvedenej v odseku 1 a predloží zdôvodnenie. V takom prípade sa navrhované opatrenie neprijme počas ďalšieho jednomesačného obdobia. [PN 168]

Článok 60

Pozastavenie návrhu opatrenia

1.  Do jedného mesiaca po oznámení uvedenom v článku 59 ods. 4 a v prípade, že Komisia má vážne pochybnosti, či by navrhované opatrenie zabezpečilo riadne uplatňovanie tohto nariadenia, alebo obavy, že by mohlo inak viesť k nekonzistentnému uplatňovaniu, Komisia môže prijať odôvodnené rozhodnutie, ktorým požiada dozorný orgán, aby pozastavil prijatie návrhu opatrenia, pričom vezme do úvahy stanovisko vydané Európskym výborom pre ochranu údajov v súlade s článkom 58 ods. 7 alebo článkom 61 ods. 2, ak sa ukazuje potreba:

a)  zosúladiť rozdielne stanoviská dozorného orgánu a Európskeho výboru pre ochranu údajov, pokiaľ je to ešte možné, alebo

b)  prijať opatrenie podľa článku 61 ods. 2 písm. a).

2.  Komisia určí trvanie pozastavenia, ktoré nepresahuje 12 mesiacov.

3.  Počas obdobia uvedeného v odseku 2 dozorný orgán nemôže prijať navrhované opatrenie. [PN 169]

Článok 60a

Informovanie Európskeho parlamentu a Rady

Komisia pravidelne aspoň raz za šesť mesiacov informuje Európsky parlament a Radu o podstate správy od predsedu Európskeho výboru pre ochranu údajov, o veciach riešených v rámci mechanizmu konzistentnosti, pričom uvedie závery, ku ktorým dospeli Komisia a Európsky výbor pre ochranu údajov s cieľom zabezpečiť konzistentné vykonávanie a uplatňovanie tohto nariadenia. [PN 170]

Článok 61

Postup pre naliehavé prípady

1.  Za výnimočných okolností, keď sa dozorný orgán domnieva, že existuje naliehavá potreba konať s cieľom chrániť záujmy dotknutej osoby, najmä keď existuje nebezpečenstvo, že presadzovaniu práva dotknutej osoby by mohla podstatným spôsobom brániť zmena existujúceho stavu, alebo je nutné predísť závažným nevýhodám, alebo z iných dôvodov, môže dozorný orgán odchylne od postupu uvedeného v článku 58 58a okamžite prijať dočasné opatrenia s určenou lehotou platnosti. Dozorný orgán bezodkladne oznámi tieto opatrenia s úplným odôvodnením Európskemu výboru pre ochranu údajov a Komisii. [PN 171]

2.  Ak dozorný orgán neprijme opatrenie podľa odseku 1 a usúdi, že je naliehavo potrebné prijať konečné opatrenia, môže požiadať Európsky výbor pre ochranu údajov o urgentné stanovisko, pričom uvedie dôvody, prečo požaduje takéto stanovisko vrátane dôvodov naliehavosti konečných opatrení.

3.  Ktorýkoľvek dozorný orgán môže požiadať o urgentné stanovisko, ak príslušný dozorný orgán neprijal primerané opatrenie v situácii, v ktorej existuje naliehavá potreba konať s cieľom chrániť záujmy dotknutých osôb, pričom uvedie dôvody, prečo požaduje takéto stanovisko, vrátane dôvodov naliehavej potreby konať.

4.  Odchylne od článku 58 ods. 7 sa Urgentné stanovisko uvedené v odsekoch 2 a 3 tohto článku sa prijme do dvoch týždňov jednoduchou väčšinou členov Európskeho výboru pre ochranu údajov. [PN 172]

Článok 62

Vykonávacie akty

1.  Komisia môže po vyžiadaní si stanoviska Európskeho výboru pre ochranu údajov prijať vykonávacie akty všeobecného uplatňovania s cieľom:

a)  rozhodnúť o správnom uplatňovaní tohto nariadenia v súlade s jeho cieľmi a požiadavkami v súvislosti so záležitosťami, ktoré oznámili dozorné orgány podľa článku 58 alebo 61, a to vo veci, v ktorej bolo prijaté odôvodnené rozhodnutie v súlade s článkom 60 ods. 1, alebo vo veci, ku ktorej dozorný orgán nepredkladá návrh opatrenia a tento dozorný orgán naznačil, že nemieni postupovať podľa stanoviska Komisie prijatého podľa článku 59;

b)  rozhodnúť v lehote uvedenej v článku 59 ods. 1, či vyhlási, že štandardné ustanovenia o ochrane údajov uvedené v článku 58 42 ods. 2 písm. d) majú všeobecnú platnosť;

c)  stanoviť formát a postupy na uplatňovanie mechanizmu konzistentnosti uvedené v tomto oddiele;

d)  stanoviť úpravu výmeny informácií elektronickými prostriedkami medzi dozornými orgánmi navzájom a medzi dozornými orgánmi a Európskym výborom pre ochranu údajov, najmä štandardizovaný formát uvedený v článku 58 ods. 5, 6 a 8.

Tieto vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 87 ods. 2.

2.  Na základe riadne opodstatnených naliehavých dôvodov týkajúcich sa záujmov dotknutých osôb v prípadoch uvedených v odseku 1 písm. a) Komisia bezodkladne prijme vykonávacie akty v súlade s postupom uvedeným v článku 87 ods. 3. Tieto akty zostávajú v platnosti počas obdobia nepresahujúceho 12 mesiacov.

3.  Absenciou alebo prijatím opatrenia podľa tohto oddielu nie je dotknuté žiadne iné opatrenie Komisie prijaté na základe zmlúv. [PN 173]

Článok 63

Vymáhanie

1.  Na účely tohto nariadenia sa vykonateľné opatrenie dozorného orgánu v jednom členskom štáte vykoná vo všetkých dotknutých členských štátoch.

2.  Ak dozorný orgán v rozpore s článkom 58 ods. 1 až 5 a 2 nepredloží návrh opatrenia v rámci mechanizmu konzistentnosti, alebo prijme opatrenie napriek vzneseniu vážnej námietky podľa článku 58a ods. 1, opatrenie tohto dozorného orgánu nie je právoplatné ani vymožiteľné. [PN 174]

Oddiel 3

Európsky výbor pre ochranu údajov

Článok 64

Európsky výbor pre ochranu údajov

1.  Týmto sa zriaďuje Európsky výbor pre ochranu údajov.

2.  Európsky výbor pre ochranu údajov pozostáva z vedúcich predstaviteľov dozorných orgánov, vždy jedného z každého členského štátu, a európskeho dozorného úradníka pre ochranu údajov.

3.  Ak v členskom štáte zodpovedá za monitorovanie uplatňovania ustanovení podľa tohto nariadenia viac než jeden orgán, tieto orgány určia vedúceho predstaviteľa jedného z týchto dozorných orgánov ako spoločného zástupcu.

4.  Komisia má právo zúčastňovať sa na činnosti a zasadnutiach Európskeho výboru pre ochranu údajov a určí na tento účel svojho zástupcu. Predseda Európskeho výboru pre ochranu údajov bezodkladne informuje Komisiu o všetkých aktivitách Európskeho výboru pre ochranu údajov.

Článok 48

Nezávislosť

1.  Európsky výbor pre ochranu údajov koná nezávisle pri vykonávaní svojich úloh podľa článkov 66 a 67.

2.  Bez toho, aby boli dotknuté žiadosti Komisie uvedené v odseku 1 písm. b) a v článku 66 ods. 2, Európsky výbor pre ochranu údajov pri výkone svojich úloh nebude žiadať ani prijímať pokyny od žiadneho subjektu.

Článok 66

Úlohy Európskeho výboru pre ochranu údajov

1.  Európsky výbor pre ochranu údajov zabezpečuje konzistentné uplatňovanie tohto nariadenia. Na tento účel Európsky výbor pre ochranu údajov na základe vlastnej iniciatívy alebo na požiadanie Európskeho parlamentu, Rady alebo Komisie konkrétne:

a)  poskytuje Komisii európskym inštitúciám poradenstvo v akejkoľvek otázke týkajúcej sa ochrany osobných údajov v Únii vrátane akýchkoľvek navrhovaných zmien a doplnení tohto nariadenia;

b)  preskúmava z vlastnej iniciatívy alebo na žiadosť svojich členov, alebo na žiadosť Európskeho parlamentu, Rady alebo Komisie akúkoľvek otázku týkajúcu sa uplatňovania tohto nariadenia a vydáva usmernenia, odporúčania a najlepšie postupy určené dozorným orgánom s cieľom podporiť konzistentné uplatňovanie tohto nariadenia, a to aj o využití právomocí presadzovania práva;

c)  preskúmava praktické uplatňovanie usmernení, odporúčaní a najlepších postupov uvedených v písm. b) a v pravidelných intervaloch o nich podáva Komisii správu;

d)  vydáva stanoviská k návrhom rozhodnutí dozorných orgánov v rámci mechanizmu konzistentnosti uvedeného v článku 57;

da)  vydáva stanovisko k tomu, ktorý orgán by mal byť vedúcim orgánom podľa článku 54a ods. 3;

e)  podporuje spoluprácu a účinnú dvojstrannú a mnohostrannú výmenu informácií a postupov medzi dozornými orgánmi vrátane koordinácie spoločných operácií a ďalších spoločných činností, ak tak rozhodne na žiadosť jedného alebo viacerých dozorných orgánov;

f)  podporuje spoločné programy odborného vzdelávania a uľahčuje výmeny zamestnancov medzi dozornými orgánmi, a to podľa potreby aj vrátane dozorných orgánov tretích krajín či medzinárodných organizácií;

g)  podporuje výmenu poznatkov a dokumentácie s dozornými orgánmi pre ochranu údajov z celého sveta, pokiaľ ide o právne predpisy na ochranu údajov a prax v tejto sfére;

ga)  poskytuje stanovisko Komisii pri príprave delegovaných a vykonávacích aktov vychádzajúcich z tohto nariadenia;

gb)  poskytuje stanovisko ku kódexom správania navrhnutým na úrovni Únie podľa článku 38 ods. 4;

gc)  poskytuje stanovisko ku kritériám a požiadavkám na mechanizmy certifikácie ochrany údajov podľa článku 39 ods. 2;

gd)  vedie verejný elektronický register o platných a neplatných certifikátoch podľa článku 39 ods. 1h;

ge)  poskytuje pomoc vnútroštátnym dozorným orgánom na ich požiadanie;

gf)  zostaví a zverejní zoznam operácií spracovania, ktoré podliehajú povinnosti konzultácie vopred podľa článku 34;

gg)  vedie register sankcií, ktoré prevádzkovateľom alebo sprostredkovateľom uložili príslušné dozorné orgány.

2.  V prípade, že Európsky parlament, Rada alebo Komisia požiada požiadajú Európsky výbor pre ochranu údajov o poskytnutie poradenstva, môže stanoviť časovú lehotu, v rámci ktorej je tento výbor povinný toto poradenstvo poskytnúť, pričom sa zohľadní naliehavosť predmetnej záležitosti.

3.  Európsky výbor pre ochranu údajov predkladá svoje stanoviská, usmernenia, odporúčania a najlepšie postupy Európskemu parlamentu, Rade a Komisii a výboru podľa článku 87 a tieto dokumenty zverejňuje.

4.  Komisia informuje Európsky výbor pre ochranu údajov o krokoch, ktoré podnikla na základe stanovísk, usmernení, odporúčaní a osvedčených postupov vydaných Európskym výborom pre ochranu údajov.

4a.  Európsky výbor pre ochranu údajov podľa potreby konzultuje so zainteresovanými stranami a poskytuje im príležitosť predložiť v primeranej lehote pripomienky. Bez toho, aby bol dotknutý článok 72, Európsky výbor pre ochranu údajov zverejní výsledky konzultačného postupu.

4b.  Európsky výbor pre ochranu údajov je v súlade s odsekom 1 písm. b) poverený úlohou vydať usmernenia, odporúčania a najlepšie postupy s cieľom stanoviť spoločné postupy, pokiaľ ide o prijímanie a prešetrovanie informácií o údajnom nezákonnom spracovaní a o zaručenie ochrany dôvernosti a zdrojov získaných informácií. [PN 175]

Článok 67

Podávanie správ

1.  Európsky výbor pre ochranu údajov pravidelne a včas informuje Európsky parlament, Radu a Komisiu o výsledkoch svojej činnosti. Minimálne raz za dva roky vypracúva výročnú správu o situácii v oblasti ochrany fyzických osôb pri spracúvaní osobných údajov v Únii a tretích krajinách.

Správa obsahuje zhodnotenie praktického uplatňovania usmernení, odporúčaní a najlepších postupov uvedených v článku 66 ods. 1 písm. c). [PN 176]

2.  Správa sa zverejní a zašle sa Európskemu parlamentu, Rade a Komisii.

Článok 68

Postup

1.  Európsky výbor pre ochranu údajov prijíma rozhodnutia jednoduchou väčšinou svojich členov, pokiaľ jeho rokovací poriadok nestanovuje inak. [PN 177]

2.  Európsky výbor pre ochranu údajov prijme svoj rokovací poriadok a stanoví svoje pracovné postupy. Zabezpečí predovšetkým kontinuitu vykonávania funkčných povinností v prípade, že uplynie funkčné obdobie člena alebo sa tento vzdá funkcie, ďalej ustanovenie podriadených skupín pre špecifické otázky alebo sektory a vlastné postupy týkajúce sa mechanizmu konzistentnosti uvedeného v článku 57.

Článok 69

Predseda

1.  Európsky výbor pre ochranu údajov zvolí svojho predsedu a aspoň dvoch zástupcov predsedu spomedzi svojich členov. Jedným zo zástupcov predsedu je európsky dozorný úradník pre ochranu údajov, pokiaľ nebol zvolený za predsedu. [PN 178]

2.  Funkčné obdobie predsedu a zástupcu predsedu je päť rokov a je obnoviteľné.

2a.  Pozícia predsedu je pozíciou na plný úväzok. [PN 179]

Článok 70

Úlohy predsedu

1.  Predseda má tieto úlohy:

a)  zvoláva zasadnutia Európskeho výboru pre ochranu údajov a pripravuje ich program;

b)  zabezpečuje včasné plnenie úloh Európskeho výboru pre ochranu údajov, najmä v súvislosti s mechanizmom konzistentnosti uvedeným v článku 57.

2.  Európsky výbor pre ochranu údajov stanoví vo svojom rokovacom poriadku rozdelenie úloh pre predsedu a zástupcov predsedu.

Článok 71

Sekretariát

1.  Európsky výbor pre ochranu údajov má k dispozícii sekretariát. Tento sekretariát zabezpečí európsky dozorný úradník pre ochranu údajov.

2.  Sekretariát poskytuje analytickú, právnu, administratívnu a logistickú podporu Európskemu výboru pre ochranu údajov pod vedením predsedu. [PN 180]

3.  Sekretariát je zodpovedný najmä za:

a)  plnenie každodenných úloh Európskeho výboru pre ochranu údajov;

b)  komunikáciu medzi členmi Európskeho výboru pre ochranu údajov, medzi jeho predsedom Komisiou, ako aj za komunikáciu s ostatnými inštitúciami a verejnosťou;

c)  používanie elektronických prostriedkov na internú a externú komunikáciu;

d)  preklady relevantných informácií;

e)  prípravu a opatrenia nadväzujúce na stretnutie Európskeho výboru pre ochranu údajov;

f)  prípravu, formulovanie a uverejňovanie stanovísk a iných dokumentov prijatých Európskym výborom pre ochranu údajov.

Článok 72

Dôvernosť

1.  Zasadnutia Európskeho výboru pre ochranu údajov sú dôverné môžu byť podľa potreby dôverné, ak nie je stanovené inak v jeho rokovacom poriadku. Program schôdzí Európskeho výboru pre ochranu údajov sa zverejňuje. [PN 181]

2.  Dokumenty predložené členom Európskeho výboru pre ochranu údajov, expertom a zástupcom tretích strán sú dôverné, pokiaľ nie je udelený prístup k týmto dokumentom v súlade s nariadením Európskeho parlamentu a Rady (ES) č. 1049/2001(18), alebo pokiaľ ich Európsky výbor pre ochranu údajov nezverejní inak.

3.  Od členov výboru, ako aj odborníkov a zástupcov tretích strán sa vyžaduje, aby rešpektovali povinnosti týkajúce sa dôvernosti stanovené v tomto článku. Predseda zabezpečí, aby experti a zástupcovia tretích strán boli oboznámení s požiadavkami dôvernosti, ktoré sú na nich kladené.

KAPITOLA VIII

PROSTRIEDKY NÁPRAVY, ZODPOVEDNOSŤ A SANKCIE

Článok 73

Právo podať sťažnosť dozornému orgánu

1.  Bez toho, aby boli dotknuté akékoľvek iné správne alebo súdne prostriedky nápravy s mechanizmus konzistentnosti, má každá dotknutá osoba právo podať sťažnosť dozornému orgánu v ktoromkoľvek členskom štáte, ak sa domnieva, že spracovanie osobných údajov, ktoré sa jej týkajú, nie je v súlade s týmto nariadením.

2.  Všetky orgány, organizácie či združenia, ktorých cieľom je ochrana práv a záujmov dotknutých osôb v súvislosti s ochranou ich osobných údajov ktoré konajú vo verejnom záujme a ktoré boli právoplatne zriadené podľa právnych predpisov členského štátu, majú právo podať sťažnosť v mene jednej či viacerých dotknutých osôb dozornému orgánu v ktoromkoľvek členskom štáte, ak sa domnievajú, že v dôsledku spracovania osobných údajov došlo k porušeniu práv dotknutých osôb podľa tohto nariadenia.

3.  Nezávisle od sťažnosti podanej dotknutou osobou majú všetky organizácie či združenia podľa odseku 2 právo podať sťažnosť dozornému orgánu v ktoromkoľvek členskom štáte, ak sa domnievajú, že došlo k porušeniu ochrany osobných údajov tohto nariadenia. [PN 182]

Článok 74

Právo na súdny prostriedok nápravy voči dozornému orgánu

1.  Bez toho, aby bol dotknutý akýkoľvek iný správny alebo mimosúdny prostriedok nápravy, má každá fyzická alebo právnická osoba má právo na súdne prostriedky nápravy voči rozhodnutiam dozorného orgánu, ktoré sa ich týkajú.

2.  Bez toho, aby bol dotknutý akýkoľvek iný správny alebo mimosúdny prostriedok nápravy, má každá dotknutá osoba má právo na súdny prostriedok nápravy ukladajúci dozornému orgánu povinnosť konať vo veci sťažnosti, ak nebolo prijaté rozhodnutie potrebné na ochranu práv dotknutej osoby, alebo ak dozorný orgán neinformoval dotknutú osobu do troch mesiacov o pokroku vo veci sťažnosti či o jej výsledku podľa článku 52 ods. 1 písm. b).

3.  Návrh na začatie konania proti dozornému orgánu sa podáva na súdoch členského štátu, v ktorom má dozorný úrad sídlo.

4.  Bez toho, aby bol dotknutý mechanizmu konzistentnosti, dotknutá osoba, ktorej sa týka rozhodnutie dozorného orgánu so sídlom v inom členskom štáte než je štát jej obvyklého pobytu, môže požiadať dozorný orgán členského štátu, v ktorom má svoj obvyklý pobyt, aby začal konanie voči príslušnému dozornému orgánu v uvedenom druhom členskom štáte.

5.  Členské štáty zabezpečia výkon právoplatných rozhodnutí súdov uvedených v tomto článku. [PN 183]

Článok 75

Právo na súdny prostriedok nápravy voči prevádzkovateľovi či sprostredkovateľovi

1.  Bez toho, aby bol dotknutý akýkoľvek dostupný správny prostriedok nápravy vrátane práva na podanie sťažnosti dozornému orgánu podľa článku 73, má každá fyzická osoba právo na súdny prostriedok nápravy, ak sa domnieva, že v dôsledku spracovania jej osobných údajov v rozpore s týmto nariadením došlo k porušeniu jej práv ustanovených týmto nariadením.

2.  Návrh na začatie konania proti prevádzkovateľovi alebo sprostredkovateľovi sa podáva na súdoch členského štátu, v ktorom má prevádzkovateľ alebo sprostredkovateľ takéto zariadenie v činnosti. Návrh na začatie takéhoto konania možno podať aj na súdoch členského štátu, v ktorom má dotknutá osoba svoj obvyklý pobyt, pokiaľ prevádzkovateľom nie je verejný orgán Únie alebo členského štátu konajúci v rámci výkonu svojich verejných právomocí. [PN 184]

3.  Ak prebiehajú konania v rámci mechanizmu konzistentnosti podľa článku 58, ktoré sa týkajú rovnakej záležitosti, rozhodnutia alebo postupu, súd môže pozastaviť konanie, vo veci ktorého mu bol podaný návrh, s výnimkou prípadu, že naliehavosť záležitosti z hľadiska ochrany práv dotknutej osoby neumožňuje čakať na výsledok konania v rámci mechanizmu konzistentnosti.

4.  Členské štáty zabezpečia výkon právoplatných rozhodnutí súdov uvedených v tomto článku.

Článok 76

Spoločné pravidlá pre súdne konania

1.  Každý orgán, organizácia či združenie uvedené v článku 73 ods. 2 má právo uplatňovať práva uvedené v článkoch 74 a, 75 v mene jednej či viacerých dotknutých osôb a 77, ak ich poverila jedna či viaceré dotknuté osoby. [PN 185]

2.  Každý dozorný orgán má právo zúčastniť sa na súdnych konaniach a podať návrh na začatie súdneho konania na účely presadzovania ustanovení tohto nariadenia alebo na zabezpečenie konzistentnosti ochrany osobných údajov v rámci Únie.

3.  Ak príslušný súd členského štátu má opodstatnené dôvody domnievať sa, že sa v inom členskom štáte vedie súbežné konanie, kontaktuje príslušný súd v tomto inom členskom štáte, aby ten potvrdil existenciu takéhoto súbežného konania.

4.  Ak sa takéto súbežné konanie v inom členskom štáte týka rovnakého opatrenia, rozhodnutia alebo postupu, súd môže konanie pozastaviť.

5.  Členské štáty zabezpečia, aby súdne prostriedky nápravy, dostupné podľa vnútroštátnych právnych predpisov, umožňovali rýchle prijímanie opatrení vrátane predbežných opatrení určených na ukončenie akéhokoľvek domnelého porušovania predpisov a na predchádzanie ďalšiemu poškodzovaniu príslušných záujmov.

Článok 77

Právo na kompenzáciu a zodpovednosť

1.  Každá osoba, ktorá utrpela škodu, a to aj nefinančnú ujmu, v dôsledku nezákonnej operácie spracovania alebo konania nezlučiteľného s týmto nariadením, má nárok na požadovať kompenzáciu od prevádzkovateľa alebo sprostredkovateľa za škodu, ktorú utrpela. [PN 186]

2.  Ak je do spracovania zapojený viac než jeden prevádzkovateľ či sprostredkovateľ, je za celú sumu náhrady škody zodpovedný spoločne a nerozdielne každý tento prevádzkovateľ či sprostredkovateľ okrem prípadov, keď majú náležitú písomnú dohodu o určení zodpovedností v súlade s článkom 24. [PN 187]

3.  Prevádzkovateľ či sprostredkovateľ môže byť úplne alebo čiastočne zbavený tejto zodpovednosti, ak poskytne dôkaz o tom, že nenesie zodpovednosť za udalosť, ktorá bola príčinou vzniknutej škody.

Článok 78

Sankcie

1.  Členské štáty stanovia pravidlá pre sankcie uplatniteľné v prípade porušenia ustanovení tohto nariadenia a prijmú všetky potrebné opatrenia na zabezpečenie ich vykonávania, vrátane prípadu, keď prevádzkovateľ nesplnil povinnosť ustanoviť svojho zástupcu. Stanovené sankcie musia byť účinné, primerané a odrádzajúce.

2.  Ak prevádzkovateľ ustanovil svojho zástupcu, všetky prípadné sankcie sa uplatňujú voči zástupcovi bez toho, aby boli dotknuté sankcie, ktoré by mohli byť iniciované proti prevádzkovateľovi.

3.  Do dátumu uvedeného v článku 91 ods. 2 každý členský štát oznámi Komisii ustanovenia svojich právnych predpisov, ktoré prijme podľa odseku 1, a bezodkladne oznámia aj všetky následné zmeny a doplnenia, ktoré ich ovplyvňujú.

Článok 79

Správne sankcie

1.  Každý dozorný orgán má právomoc ukladať správne sankcie v súlade s týmto článkom. Dozorné orgány navzájom spolupracujú v súlade s článkami 46 a 57 s cieľom zaručiť harmonizovanú úroveň sankcií v celej Únii.

2.  Správna sankcia musí byť účinná, primeraná a odrádzajúca. Výška správnej sankcie sa stanoví s náležitým zohľadnením povahy, závažnosti a dĺžky trvania porušenia, úmyselného alebo nedbanlivostného charakteru porušenia, stupňa zodpovednosti fyzickej alebo právnickej osoby a predchádzajúcich porušení zo strany tejto osoby, technických a organizačných opatrení a postupov zavedených v súlade s článkom 23, ako aj úrovne spolupráce s dozorným orgánom pri náprave porušenia.

2a.  Dozorný orgán uloží každému subjektu, ktorý nedodržiava povinnosti stanovené v tomto nariadení, aspoň jednu z týchto sankcií:

a)  písomné upozornenie v prípade prvého a neúmyselného nedodržania;

b)  pravidelné audity ochrany osobných údajov;

c)  pokutu až do výšky 100 000 000 EUR alebo v prípade podniku až do výšky 5 % jeho ročného celosvetového obratu, podľa toho, čo je vyššie.

2b.  Ak prevádzkovateľ alebo sprostredkovateľ vlastní platnú „Európsku pečať ochrany údajov“ podľa článku 39, pokuta podľa odseku 2a písm. c) sa uplatní len v prípadoch úmyselného nedodržania právnych predpisov alebo ich nedodržania z dôvodu nedbalosti.

2c.  Pri správnych sankciách sa berú do úvahy tieto faktory:

a)  povaha, závažnosť a dĺžka trvania nedodržania,

b)  úmyselný alebo nedbanlivostný charakter porušenia,

c)  stupeň zodpovednosti fyzickej alebo právnickej osoby a predchádzajúce porušenia, ktorých sa dopustila táto osoba,

d)  opakovaný charakter porušenia,

e)  miera spolupráce s dozorným orgánom pri náprave porušenia a zmiernení možných negatívnych účinkov porušenia,

f)  špecifické kategórie osobných údajov, ktorých sa porušenie týka,

g)  stupeň poškodenia vrátane nefinančnej ujmy, ktorú utrpela dotknutá osoba,

h)  opatrenia, ktoré prijal prevádzkovateľ alebo sprostredkovateľ na zmiernenie ujmy, ktorú utrpela dotknutá osoba,

i)  všetky finančné výhody plánované alebo získané, alebo straty, ktorým sa zabránilo, priamo alebo nepriamo v súvislosti s porušením,

j)  miera technických a organizačných opatrení a postupov vykonávaných v súlade:

i)  s článkom 23 – Ochrana údajov špecificky navrhnutá a štandardne určená

ii)  s článkom 30 – Bezpečnosť spracovania

iii)  s článkom 33 – Posúdenie vplyvu na ochranu údajov

iv)  s článkom 33a – Kontrola dodržiavania predpisov v oblasti ochrany údajov

v)  s článkom 35 – Určenie úradníka pre ochranu údajov,

k)  odmietnutie spolupracovať s dozorným orgánom alebo bránenie mu pri výkone inšpekcií, auditov a kontrol podľa článku 53,

l)  ďalšie priťažujúce alebo poľahčujúce faktory, ktoré sa vzťahujú na okolnosti prípadu.

3.  V prípade prvého, neúmyselného nedodržania ustanovení tohto nariadenia sa vydá písomné upozornenie a sankcia sa neuloží, ak:

(a)  fyzická osoba spracúva osobné údaje bez komerčného záujmu alebo

(b)  podnik alebo organizácia zamestnávajúce menej než 250 osôb spracúvajú osobné údaje iba ako vedľajšiu činnosť popri svojej hlavnej činnosti.

4.  Dozorný orgán uloží pokutu až do výšky 250 000 EUR, alebo v prípade podniku až do výšky 0,5 % jeho ročného celosvetového obratu komukoľvek, kto úmyselne alebo z nedbanlivosti:

(a)  nezavedie mechanizmy týkajúce sa žiadostí dotknutých osôb alebo neodpovie dotknutým osobám bez zbytočného odkladu, alebo v požadovanom formáte v súlade s článkom 12 ods. 1 a 2;

(b)  účtuje poplatok za informácie alebo za poskytnutie odpovedí na žiadosti dotknutých osôb v rozpore s článkom 12 ods. 4.

5.  Dozorný orgán uloží pokutu až do výšky 500 000 EUR, alebo v prípade podniku až do výšky 1 % jeho ročného celosvetového obratu komukoľvek, kto úmyselne alebo z nedbanlivosti:

(a)  neposkytne dotknutej osobe informácie, alebo jej poskytne neúplné informácie alebo jej neposkytne informácie dostatočne transparentným spôsobom podľa článku 11, článku 12 ods. 3 a článku 14;

(b)  neposkytne prístup dotknutej osobe alebo neopraví osobné údaje podľa článkov 15 a 16 alebo neoznámi príslušné informácie príjemcovi podľa článku 13;

(c)  nerešpektuje právo byť zabudnutý alebo právo na vymazanie, alebo nezaviedol mechanizmy na dodržanie časových limitov, alebo nevykonal všetky potrebné kroky na informovanie tretích strán, že dotknutá osoba žiada vymazať akékoľvek odkazy, kópie, alebo replikácie osobných údajov podľa článku 17;

(d)  v rozpore s článkom 18 neposkytne kópiu osobných údajov v elektronickom formáte alebo bráni dotknutej osobe preniesť si osobné údaje do inej aplikácie;

(e)  neurčil, alebo nedostatočne určil príslušné povinnosti s spoločných prevádzkovateľov podľa článku 24;

(f)  neuchováva alebo nedostatočne uchováva dokumentáciu podľa článku 28, článku 31 ods. 4 a článku 44 ods. 3;

(g)  v prípadoch, keď nejde o osobitné kategórie údajov, nepostupuje podľa článkov 80, 82 a 83 a pravidiel týkajúcich sa slobody prejavu, pravidiel spracúvania v súvislosti s pracovným pomerom, či podľa podmienok pre spracovanie na historické, štatistické a vedeckovýskumné účely.

6.  Dozorný orgán uloží pokutu až do výšky 1 000 000 EUR, alebo v prípade podniku až do výšky 2 % jeho ročného celosvetového obratu komukoľvek, kto úmyselne alebo z nedbanlivosti:

(a)  spracúva osobné údaje bez akéhokoľvek alebo dostatočného právneho základu pre spracovanie, alebo nedodržiava podmienky na udelenie súhlasu podľa článkov 6, 7 a 8;

(b)  spracúva osobitné kategórie údajov v rozpore s článkami 9 a 81;

(c)  nevyhovie námietke alebo požiadavke podľa článku 19;

(d)  nedodržiava podmienky, pokiaľ ide o opatrenia založené na profilovaní podľa článku 20;

(e)  neprijme interné pravidlá alebo nezavedie primerané opatrenia na zabezpečenie a preukázanie zhody podľa článkov 22, 23 a 30;

(f)  neustanoví svojho zástupcu podľa článku 25;

(g)  spracúva alebo nariaďuje spracovanie osobných údajov v rozpore s povinnosťami týkajúcimi sa spracovania v mene prevádzkovateľa podľa článkov 26 a 27;

(h)  neupozorní na porušenie ochrany osobných údajov alebo neoznámi porušenie ochrany údajov včas alebo vôbec dozornému orgánu alebo dotknutej osobe podľa článkov 31 a 32;

(i)  nevykoná posúdenie vplyvu na ochranu údajov alebo spracúva osobné údaje bez predchádzajúceho povolenia alebo konzultácie vopred zo strany dozorného orgánu podľa článkov 33 a 34;

(j)  neurčí úradníka pre ochranu údajov alebo nezabezpečuje podmienky na plnenie úloh podľa článkov 35, 36 a 37;

(k)  zneužíva plombu alebo značku pre potreby ochrany údajov uvedené v článku 39;

(l)  vykonáva alebo nariaďuje prenos údajov do tretej krajiny alebo medzinárodnej organizácii, ktorý nie je povolený na základe rozhodnutia o primeranosti, alebo náležitými zárukami, alebo prostredníctvom odchýlky podľa článkov 40 až 44;

(m)  nesplní príkaz alebo dočasný alebo definitívny zákaz zo strany dozorného orgánu na spracovanie alebo pozastavenie tokov údajov podľa článku 53 ods. 1;

(n)  neplní povinnosť pomáhať alebo odpovedať, či poskytnúť príslušné informácie alebo prístup dozornému orgánu do svojich priestorov v súlade s článkom 28 ods. 3, článkom 29, článkom 34 ods. 6 a článkom 53 ods. 2;

(o)  nedodržiava pravidlá zachovávania služobného tajomstva v zmysle článku 84.

7.  Komisia je splnomocnená prijať delegované akty v súlade s článkom 86 s cieľom aktualizovať absolútne sumy správnych sankcií uvedených v odsekoch 4, 5 a 6 odseku 2a so zreteľom na kritériá a faktory uvedené v odseku odsekoch 2 a 2c. [PN 188]

KAPITOLA IX

USTANOVENIA TÝKAJÚCE SA OSOBITNÝCH SITUÁCIÍ SPRACÚVANIA ÚDAJOV

Článok 80

Spracúvanie osobných údajov a sloboda prejavu

1.  Členské štáty stanovia výnimky a odchýlky od ustanovení týkajúcich sa všeobecných zásad v kapitole II, práv dotknutých osôb v kapitole III, prevádzkovateľa a sprostredkovateľa v kapitole IV, prenosu osobných údajov do tretích krajín a medzinárodným organizáciám v kapitole V, nezávislých dozorných orgánov v kapitole VI a, spolupráce a konzistentnosti v kapitole VII, platné pre spracúvanie osobných údajov vykonávané výlučne na žurnalistické účely alebo na účely umeleckej alebo literárnej tvorby a osobitných situácií spracúvania údajov v tejto kapitole, kedykoľvek to je potrebné, s cieľom zosúladiť právo na ochranu osobných údajov s pravidlami, ktorými sa riadi sloboda prejavu v súlade s chartou. [PN 189]

2.  Do dátumu uvedeného v článku 91 ods. 2 každý členský štát oznámi Komisii ustanovenia svojich právnych predpisov, ktoré prijal podľa odseku 1, a bezodkladne oznámi aj všetky následné právne predpisy či zmeny a doplnenia, ktoré ich ovplyvňujú.

Článok 80a

Prístup k dokumentom

1.  Osobné údaje v dokumentoch, ktoré uchováva verejný orgán alebo verejný subjekt, môže tento orgán alebo subjekt sprístupniť v súlade s právnymi predpismi Únie alebo členských štátov, ktoré sa týkajú verejného prístupu k oficiálnym dokumentom a ktoré zosúlaďujú právo na ochranu osobných údajov so zásadou verejného prístupu k oficiálnym dokumentom.

2.  Najneskôr do dátumu uvedeného v článku 91 ods. 2 každý členský štát oznámi Komisii ustanovenia svojich právnych predpisov, ktoré prijme podľa odseku 1, a bezodkladne oznámi aj všetky následné zmeny, ktoré ich ovplyvňujú. [PN 190]

Článok 81

Spracúvanie osobných údajov týkajúcich sa zdravia

1.  V medziach tohto nariadenia a v súlade V súlade s pravidlami stanovenými v tomto nariadení, najmä s článkom 9 ods. 2 písm. h), sa spracúvanie osobných údajov týkajúcich sa zdravia musí vykonávať na základe právnych predpisov Únie alebo právnych predpisov členského štátu, zabezpečujúcich vhodné, konzistentné a konkrétne opatrenia na ochranu oprávnených záujmov a základných práv dotknutej osoby, a musí byť do tej miery, ako je to potrebné a primerané a tak, že dotknutá osoba môže predvídať s tým spojené dôsledky:

a)  na účely preventívneho alebo pracovného lekárstva, lekárskej diagnostiky, poskytovania starostlivosti alebo terapií, alebo riadenia služieb zdravotnej starostlivosti, a v prípade, že tieto údaje spracúva zdravotnícky odborník, ktorý podlieha povinnosti zachovávať lekárske tajomstvo, alebo iná osoba, ktorá takisto podlieha rovnocennej povinnosti dôvernosti podľa právnych predpisov členského štátu alebo pravidiel ustanovených príslušnými vnútroštátnymi orgánmi, alebo

b)  z dôvodov verejného záujmu v oblasti verejného zdravia, ako je ochrana proti závažným cezhraničným hrozbám pre zdravie alebo zabezpečenie vysokých noriem kvality a bezpečnosti, okrem iného pre lieky a zdravotnícke pomôcky, a ak spracúvanie vykonáva osoba viazaná povinnosťou zachovať dôvernosť, alebo

c)  z iných dôvodov verejného záujmu v oblastiach, ako je sociálna ochrana, najmä s cieľom zabezpečiť kvalitu a nákladovú efektívnosť postupov používaných na uspokojovanie nárokov na plnenie a služby v systéme zdravotného poistenia, a poskytovanie zdravotníckych služieb. Takéto spracovanie osobných údajov týkajúcich sa zdravia na účely verejného záujmu nemá za následok spracúvanie osobných údajov na iné účely, ak to nie je so súhlasom dotknutej osoby alebo na základe právnych predpisov Únie alebo členského štátu.

1a.  Ak možno účely uvedené v odseku 1 písm. a) až c) dosiahnuť bez použitia osobných údajov, takéto údaje sa na tieto účely nepoužijú s výnimkou prípadov, že s tým súhlasí dotknutá osoba alebo to nariaďujú právne predpisy členského štátu.

1b.  Ak sa od dotknutej osoby vyžaduje súhlas so spracovaním zdravotných údajov výlučne na účely vedeckého výskumu v oblasti verejného zdravia, súhlas možno dať na jeden alebo viac konkrétnych a podobných výskumov. Dotknutá osoba môže súhlas kedykoľvek odvolať.

1c.  Na účely súhlasu s účasťou vo vedecko výskumných aktivitách v klinických štúdiách sa uplatňujú príslušné ustanovenia smernice Európskeho parlamentu a Rady 2001/20/ES(19).

2.  Spracúvanie osobných údajov týkajúcich sa zdravia, ktoré je potrebné na historické, štatistické alebo vedeckovýskumné účely a medzi ktoré patria registre pacientov vytvorené na zlepšenie diagnostiky a rozlišovanie medzi podobnými typmi chorôb a na prípravu štúdií na liečbu, je povolené len so súhlasom dotknutej osoby a podlieha podmienkam a zárukám uvedeným v článku 83.

2a.  Zákony členského štátu môžu stanoviť výnimky z požiadavky na udelenie súhlasu na výskumné účely, ako sa uvádza v odseku 2, a to so zreteľom na výskum, ktorý slúži dôležitému verejnému záujmu, ak tento výskum nemožno eventuálne vykonať inak. Predmetné údaje sa spracúvajú anonymne, alebo ak to vzhľadom na výskumné účely nie je možné, pseudonymizovane a za využitia najvyšších technických noriem, pričom sa prijmú všetky opatrenia potrebné na zabránenie neoprávnenej spätnej identifikácii dotknutých osôb. Dotknutá osoba však má právo vzniesť kedykoľvek námietku v súlade s článkom 19.

3.  Komisia je po vyžiadaní stanoviska Európskeho výboru pre ochranu údajov splnomocnená prijať delegované akty v súlade s článkom 86 s cieľom bližšie určiť iné dôvody verejného záujmu verejný záujem v oblasti verejného zdravia v zmysle odseku 1 písm. b), ako aj kritériá a požiadavky, pokiaľ ide o záruky pri spracúvaní osobných údajov na účely uvedené v odseku 1 ), ako aj dôležitý verejný záujem v oblasti výskumu uvedený v odseku 2a.

3a.  Najneskôr do dátumu uvedeného v článku 91 ods. 2 každý členský štát oznámi Komisii ustanovenia svojich právnych predpisov, ktoré prijme podľa odseku 1, a bezodkladne oznámi aj všetky následné zmeny, ktoré ich ovplyvňujú. [PN 191]

Článok 82

Minimálne normy pre spracúvanie údajov v súvislosti so zamestnaním

1.  Členské štáty môžu v medziach tohto nariadenia v súlade s pravidlami stanovenými v tomto nariadení a so zreteľom na zásadu proporcionality prijať v zákonnej podobe prostredníctvom právnych predpisov konkrétne pravidlá upravujúce spracúvanie osobných údajov zamestnancov v súvislosti s pracovným pomerom, najmä, nie však výlučne, na účely prijatia do zamestnania, a uchádzania sa o zamestnanie v rámci skupiny podnikov, výkonu pracovnej zmluvy vrátane plnenia zákonných povinností a povinností vyplývajúcich z kolektívnych zmlúv, v súlade s vnútroštátnymi právnymi predpismi a praxou, ďalej na účely riadenia, plánovania a organizácie práce, ochrany zdravia a bezpečnosti pri práci, ako aj na účely uplatňovania a využívania práv a výhod súvisiacich so zamestnaním na individuálnom alebo kolektívnom základe, a na účely ukončenia pracovného pomeru. Členské štáty môžu povoliť, aby sa v kolektívnych zmluvách bližšie spresnili ustanovenia uvedené v tomto článku.

1a.  Účel spracovania takýchto údajov sa musí spájať s dôvodom, pre ktorý boli zozbierané, a musí súvisieť so zamestnaním. Profilovanie alebo používanie na druhotné účely sa nepovoľuje.

1b.  Vyjadrenie súhlasu zamestnanca nedáva právny základ na spracovanie údajov zamestnávateľom, ak súhlas nebol udelený dobrovoľne.

1c.  Bez toho, aby boli dotknuté ostatné ustanovenia tohto nariadenia, obsahujú právne predpisy členských štátov uvedené v odseku 1 aspoň tieto minimálne normy:

a)  spracovanie údajov zamestnancov bez vedomia zamestnanca je neprípustné. Odchylne od prvej vety môžu členské štáty podľa zákona takéto spracovanie pripustiť, pričom stanovia primerané lehoty na výmaz údajov, ak existuje podozrenie podložené zdokumentovanými faktami, že sa zamestnanec počas pracovného pomeru dopustil trestného činu alebo závažného zanedbania povinností, tiež ak je zhromaždenie údajov potrebné na objasnenie danej záležitosti a ak sú povaha a rozsah zhromaždenia údajov potrebné a primerané na plánovaný účel. Súkromie a osobný život zamestnanca sa musí vždy chrániť. Vyšetrovanie vykonávajú príslušné orgány;

b)  otvorené monitorovanie opticko-elektronickými snímačmi a/alebo akusticko-elektronickými snímačmi častí podniku neprístupných verejnosti, ktoré slúžia prevažne na súkromné účely zamestnancov, najmä hygienických zariadení, šatní, priestorov slúžiacich na oddych a spánok, je zakázané. Tajné monitorovanie nie je v žiadnom prípade prípustné;

c)  v prípade, že podniky alebo orgány zbierajú a spracúvajú osobné údaje v rámci lekárskych vyšetrení a/alebo skúšok spôsobilosti, musia uchádzačovi o zamestnanie alebo zamestnancovi vopred objasniť, na čo budú tieto údaje použité, a zaručiť, že im budú potom spolu s výsledkami poskytnuté a na požiadanie vysvetlené. Získavanie údajov na účely genetických testov a analýz je zásadne zakázané;

d)  kolektívne zmluvy môžu určiť, či a v akom rozsahu je povolené používanie telefónu, e-mailu, internetu a iných telekomunikačných prostriedkov aj na súkromné účely. Ak to kolektívna zmluva neurčuje, dohodne sa na tom zamestnávateľ priamo so zamestnancom. Ak je povolené súkromné využívanie, spracúvanie zhromaždených prenášaných údajov sa povolí najmä na zabezpečenie ochrany údajov, zabezpečenie riadneho chodu telekomunikačných sietí a telekomunikačných služieb a na fakturáciu.

Odchylne od tretej vety môžu členské štáty podľa zákona takéto spracovanie pripustiť, pričom stanovia primerané lehoty na výmaz údajov, ak existuje podozrenie podložené zdokumentovanými faktami, že sa zamestnanec počas pracovného pomeru dopustil trestného činu alebo závažného zanedbania povinností, tiež ak je zhromaždenie údajov potrebné na objasnenie danej záležitosti a ak sú povaha a rozsah zhromaždenia údajov potrebné a primerané na plánovaný účel. Súkromie a osobný život zamestnanca sa musí vždy chrániť. Vyšetrovanie vykonávajú príslušné orgány;

e)  osobné údaje pracovníkov, najmä citlivé údaje, ako je politická orientácia a členstvo v odborových združeniach alebo odborárska činnosť, sa nesmú v žiadnom prípade použiť na zaradenie pracovníkov na tzv. čierne listiny a na to, aby sa pracovníci preverovali alebo sa im robili prekážky v súvislosti s budúcim zamestnaním. Spracúvanie, použitie v súvislosti so zamestnaním, vypracovanie a odovzdávanie čiernych listín zamestnancov alebo iných foriem diskriminácie je zakázané. Členské štáty vykonajú kontroly a prijmú primerané sankcie v súlade s článkom 79 ods. 6 s cieľom zabezpečiť účinné vykonávanie tohto písmena.

1d.  Prenos a spracovanie osobných údajov zamestnancov medzi právne samostatnými podnikmi v rámci jednej skupiny podnikov a v styku s odborníkmi na právne a daňové poradenstvo je prípustné, ak je to dôležité pre fungovanie podniku a uľahčuje vykonávanie špecifických činností alebo administratívnych postupov a ak to nie je v rozpore so záujmami a základnými právami príslušnej osoby, ktoré sa majú chrániť. Ak sa údaje zamestnancov prenášajú do tretej krajiny a/alebo medzinárodnej organizácie, uplatňuje sa kapitola V.

2.  Najneskôr do dátumu uvedeného v článku 91 ods. 2 každý členský štát oznámi Komisii ustanovenia svojich právnych predpisov, ktoré prijme podľa odseku 1 odsekov 1 a 1b, a bezodkladne oznámi aj všetky následné zmeny a doplnenia, ktoré ich ovplyvňujú.

3.  Komisia je po vyžiadaní stanoviska Európskeho výboru pre ochranu údajov splnomocnená prijať delegované akty v súlade s článkom 86 s cieľom bližšie určiť kritériá a požiadavky, pokiaľ ide o záruky vyžadované pri spracúvaní osobných údajov na účely uvedené v odseku 1. [PN 192]

Článok 82a

Spracúvanie údajov v oblasti sociálneho zabezpečenia

1.  Členské štáty môžu v súlade s pravidlami stanovenými v tomto nariadení prijať špecifické legislatívne predpisy, ktorými sa konkretizujú podmienky spracúvania osobných údajov ich verejnými inštitúciami a organizačnými zložkami v oblasti sociálneho zabezpečenia, ak sa vykonávajú vo verejnom záujme.

2.  Najneskôr do dátumu uvedeného v článku 91 ods. 2 každý členský štát oznámi Komisii tie ustanovenia, ktoré prijme podľa odseku 1, a bezodkladne oznámi všetky následné zmeny, ktoré ich ovplyvňujú. [PN 193]

Článok 83

Spracúvanie na historické, štatistické a vedeckovýskumné účely

1.  V medziach tohto nariadenia V súlade s pravidlami stanovenými v tomto nariadení sa osobné údaje môžu spracúvať na historické, štatistické alebo vedeckovýskumné účely, len ak:

a)  tieto ciele nemožno inak splniť takým spôsobom spracovania údajov, ktorý neumožňuje alebo už ďalej neumožňuje identifikovať dotknutú osobu;

b)  údaje umožňujúce priradenie informácie určenej alebo určiteľnej dotknutej osobe sú uchovávané oddelene od ostatných informácií, pokiaľ predmetné účely možno splniť týmto spôsobom s využitím najvyšších technických noriem, pričom sa prijmú všetky opatrenia potrebné na zabránenie neoprávnenej spätnej identifikácii dotknutých osôb.

2.  Orgány vykonávajúce historický, štatistický alebo vedecký výskum môžu zverejniť alebo inak verejne sprístupniť osobné údaje, len ak:

a)  dotknutá osoba vyjadrila súhlas s výhradou podmienok ustanovených v článku 7;

b)  zverejnenie osobných údajov je potrebné na prezentáciu výsledkov výskumu alebo na uľahčenie výskumu, pokiaľ záujmy alebo základné práva a slobody dotknutej osoby neprevažujú nad týmito záujmami, alebo

c)  dotknutá osoba už tieto údaje zverejnila.

3.  Komisia je splnomocnená prijať delegované akty v súlade s článkom 86 s cieľom bližšie určiť kritériá a požiadavky na spracovanie osobných údajov na účely uvedené v odsekoch 1 a 2, ako aj akékoľvek nevyhnutné obmedzenia práva na informácie a prístupu dotknutej osoby, a podrobne uviesť podmienky a záruky týkajúce sa práv dotknutej osoby za týchto okolností. [PN 194]

Článok 83a

Spracovanie osobných údajov archívnymi službami

1.  Osobné údaje môžu byť po skončení úvodného spracúvania, na ktoré boli zhromaždené, spracované archívnymi službami, ktorých hlavnou alebo záväznou úlohou je zhromažďovať, uchovávať, poskytovať informácie, využívať a šíriť archivované údaje vo verejnom záujme, najmä s cieľom potvrdiť individuálne práva, alebo na historické, štatistické alebo vedecko výskumné účely. Tieto úlohy sa vykonávajú v súlade s pravidlami stanovenými členskými štátmi, ktoré sa týkajú prístupu k administratívnym alebo archívnym dokumentom, ich sprístupňovania a šírenia, a v súlade s pravidlami stanovenými v tomto nariadení, najmä čo sa týka súhlasu a práva namietať.

2.  Najneskôr do dátumu uvedeného v článku 91 ods. 2 každý členský štát oznámi Komisii ustanovenia svojich právnych predpisov, ktoré prijme podľa odseku 1, a bezodkladne oznámi aj všetky následné zmeny, ktoré ich ovplyvňujú. [PN 195]

Článok 84

Povinnosť zachovávať mlčanlivosť

1.  Členské štáty môžu v medziach tohto nariadenia prijať špecifické pravidlá stanovujúce V súlade s pravidlami stanovenými v tomto nariadení členské štáty zabezpečia ustanovenie špecifických pravidiel stanovujúcich vyšetrovacie právomoci dozorných orgánov uvedené v článku 53 ods. 2, pokiaľ ide o prevádzkovateľov alebo sprostredkovateľov, ktorí na základe vnútroštátneho práva alebo pravidiel stanovených príslušnými vnútroštátnymi orgánmi podliehajú povinnosti služobného tajomstva alebo inej rovnocennej povinnosti zachovávať mlčanlivosť, ak je to potrebné a primerané na zosúladenie práva na ochranu osobných údajov s povinnosťou zachovávať mlčanlivosť. Tieto pravidlá sa uplatňujú iba na osobné údaje, ktoré prevádzkovateľ alebo sprostredkovateľ dostali alebo získali pri činnosti, na ktorú sa vzťahuje táto povinnosť zachovávať mlčanlivosť. [PN 196]

2.  Do dátumu uvedeného v článku 91 ods. 2 každý členský štát oznámi Komisii pravidlá prijaté podľa odseku 1 a bezodkladne oznámi aj všetky následné zmeny a doplnenia, ktoré ich ovplyvňujú.

Článok 85

Existujúce pravidlá ochrany údajov cirkví a náboženských združení

1.  Ak v čase nadobudnutia platnosti tohto nariadenia cirkvi a náboženské združenia v niektorom členskom štáte uplatňujú komplexné primerané pravidlá ochrany fyzických osôb pri spracúvaní osobných údajov, tieto pravidlá možno aj naďalej uplatňovať za podmienky, že sa zosúladia s ustanoveniami tohto nariadenia.

2.  Cirkvi a náboženské združenia, ktoré uplatňujú komplexné primerané pravidlá v súlade s článkom 1, zabezpečia zriadenie nezávislého dozorného orgánu v súlade s kapitolou VI tohto nariadenia musia získať stanovisko o súlade s predpismi podľa článku 38. [PN 197]

Článok 85a

Dodržiavanie základných práv

Týmto nariadením sa nemení povinnosť dodržiavať základné práva a základné právne zásady zakotvené v článku 6 ZEÚ. [PN 198]

Článok 85b

Štandardné formuláre

1.  Komisia môže s prihliadnutím na osobitné charakteristiky a potreby jednotlivých sektorov a situácie, ktoré sa vyskytujú pri spracúvaní údajov, ustanoviť štandardné formuláre na:.

a)  osobitné metódy získavania overiteľného súhlasu uvedené v článku 8 ods. 1,

b)  informovanie uvedené v článku 12 ods. 2 vrátane elektronického formátu,

c)  poskytovanie informácií uvedené v článku 14 ods. 1 až 3,

d)  požiadanie o prístup a poskytnutie prístupu k informáciám, ako sa uvádza v článku 15 ods. 1, vrátane na oznamovanie osobných údajov dotknutej osobe;

e)  dokumentáciu uvedenú v článku 28 ods. 1,

f)  oznámenie o porušení ochrany osobných údajov podľa článku 31 dozornému orgánu a na dokumentáciu uvedenú v článku 31 ods. 4,

g)  konzultáciu vopred uvedenú v článku 34 a na informovanie dozorných orgánov podľa článku 34 ods. 6.

2.  Komisia pritom prijme vhodné opatrenia pre mikropodniky, malé a stredné podniky.

3.  Uvedené vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 87 ods. 2. [PN 199]

KAPITOLA X

DELEGOVANÉ AKTY A VYKONÁVACIE AKTY

Článok 86

Výkon delegovaných právomocí

1.  Právomoc prijímať delegované akty sa Komisii udeľuje za podmienok stanovených v tomto článku.

2.  Delegovanie právomoci Právomoc prijímať delegované akty uvedené v článku 6 ods. 5, článku 8 ods. 3, článku 9 ods. 3, článku 12 ods. 5, článku 14 ods. 7, článku 15 ods. 3, článku 13a ods. 5, článku 17 ods. 9, článku 20 ods. 6, článku 22 ods. 4, článku 23 ods. 3, článku 26 ods. 5, článku 28 ods. 5, článku 30 ods. 3, článku 31 ods. 5, článku 32 ods. 5, článku 33 ods. 6, článku 34 ods. 8, článku 35 ods. 11, článku 37 ods. 2, článku 38 ods. 4, článku 39 ods. 2, článku 41 ods. 3, článku 41 ods. 5, článku 43 ods. 3, článku 44 ods. 7, článku 79 ods. 6 7, článku 81 ods. 3, a článku 82 ods. 3 a článku 83 ods. 3 sa Komisii udeľuje na dobu neurčitú odo dňa nadobudnutia účinnosti tohto nariadenia. [PN 200]

3.  Delegovanie právomoci uvedené v článku 6 ods. 5, článku 8 ods. 3, článku 9 ods. 3, článku 12 ods. 5, článku 14 ods. 7, článku 15 ods. 3, článku 13a ods. 5, článku 17 ods. 9, článku 20 ods. 6, článku 22 ods. 4, článku 23 ods. 3, článku 26 ods. 5, článku 28 ods. 5, článku 30 ods. 3, článku 31 ods. 5, článku 32 ods. 5, článku 33 ods. 6, článku 34 ods. 8, článku 35 ods. 11, článku 37 ods. 2, článku 38 ods. 4, článku 39 ods. 2, článku 41 ods. 3, článku 41 ods. 5, článku 43 ods. 3, článku 44 ods. 7, článku 79 ods. 6 7, článku 81 ods. 3 a článku 82 ods. 3 a článku 83 ods. 3 môže Európsky parlament alebo Rada kedykoľvek odvolať. Rozhodnutím o odvolaní sa ukončuje delegovanie právomoci v ňom uvedenej, ktoré sa v ňom uvádza. Rozhodnutie nadobúda účinnosť dňom nasledujúcim po jeho uverejnení v Úradnom vestníku Európskej únie alebo k neskoršiemu dátumu, ktorý je v ňom určený. Nie je ním dotknutá platnosť delegovaných aktov, ktoré už nadobudli účinnosť. [PN 201]

4.  Komisia oznamuje delegovaný akt Európskemu parlamentu a Rade súčasne, a to hneď po jeho prijatí.

5.  Delegovaný akt prijatý podľa článku 6 ods. 5, článku 8 ods. 3, článku 9 ods. 3, článku 12 ods. 5, článku 14 ods. 7, článku 15 ods. 3, článku 13a ods. 5, článku 17 ods. 9, článku 20 ods. 6, článku 22 ods. 4, článku 23 ods. 3, článku 26 ods. 5, článku 28 ods. 5, článku 30 ods. 3, článku 31 ods. 5, článku 32 ods. 5, článku 33 ods. 6, článku 34 ods. 8, článku 35 ods. 11, článku 37 ods. 2, článku 38 ods. 4, článku 39 ods. 2, článku 41 ods. 3, článku 41 ods. 5, článku 43 ods. 3, článku 44 ods. 7, článku 79 ods. 6 7, článku 81 ods. 3, a článku 82 ods. 3 a článku 83 ods. 3 nadobudne účinnosť, len ak Európsky parlament alebo Rada voči nemu nevzniesli námietku v lehote dvoch šiestich mesiacov odo dňa oznámenia uvedeného aktu Európskemu parlamentu a Rade alebo ak Európsky parlament a Rada pred uplynutím uvedenej lehoty informovali Komisiu o svojom rozhodnutí nevzniesť námietku. Na podnet Európskeho parlamentu alebo Rady sa táto lehota predĺži o dva mesiace šesť mesiacov. [PN 202]

Článok 87

Postup výboru

1.  Komisii pomáha výbor. Tento výbor je výborom v zmysle nariadenia (EÚ) č. 182/2011.

2.  Ak sa odkazuje na tento odsek, uplatňuje sa článok 5 nariadenia (EÚ) č. 182/2011.

3.  Ak sa odkazuje na tento odsek, uplatňuje sa článok 8 nariadenia (EÚ) č. 182/2011 v spojení s jeho článkom 5. [PN 203]

KAPITOLA XI

ZÁVEREČNÉ USTANOVENIA

Článok 88

Zrušenie smernice 95/46/ES

1.  Smernica 95/46/ES sa zrušuje.

2.  Odkazy na zrušenú smernicu sa považujú za odkazy na toto nariadenie. Odkazy na pracovnú skupinu pre ochranu jednotlivcov so zreteľom na spracovanie osobných údajov, ustanovenú článkom 29 smernice 95/46/ES, sa považujú za odkazy na Európsky výbor pre ochranu údajov ustanovený týmto nariadením.

Článok 89

Vzťah k smernici 2002/58/ES a zmeny a doplnenia uvedenej smernice

1.  Toto nariadenie neukladá dodatočné povinnosti fyzickým či právnickým osobám pri spracúvaní osobných údajov v súvislosti s poskytovaním verejne dostupných elektronických komunikačných služieb v Únii, pokiaľ ide o záležitosti, v ktorých podliehajú konkrétnym povinnostiam s rovnakým cieľom, stanoveným v smernici 2002/58/ES.

2 Článok 1 ods. 2, článok 4 a článok 15 smernice 2002/58/ES sa vypúšťa vypúšťajú. [PN 204]

2a.   Komisia bezodkladne, najneskôr do dátumu uvedeného v článku 91 ods. 2 predloží návrh na revíziu právneho rámca pre oblasť spracovávania osobných údajov a ochrany súkromia v elektronickej komunikácii s cieľom zosúladiť právne predpisy s týmto nariadením a zabezpečiť dôsledné a jednotné právne ustanovenia týkajúce sa základného práva na ochranu osobných údajov v Únii. [PN 205]

Článok 89a

Vzťah k nariadeniu (ES) č. 45/2001 a zmena uvedeného nariadenia

1.  Pravidlá stanovené v tomto nariadení sa vzťahujú na spracúvanie osobných údajov v inštitúciách, orgánoch, úradoch a agentúrach Únie v súvislosti so záležitosťami, v prípade ktorých sa neuplatňujú ďalšie pravidlá stanovené v nariadení (ES) č. 45/2001.

2.  Komisia predloží bezodkladne, najneskôr do dátumu uvedeného v článku 91 ods. 2 návrh na revíziu právneho rámca uplatniteľného na spracúvanie osobných údajov v inštitúciách, orgánoch, úradoch a agentúrach Únie. [PN 206]

Článok 90

Hodnotenie

Komisia predkladá správy o zhodnotení a preskúmaní tohto nariadenia Európskemu parlamentu a Rade v pravidelných intervaloch. Prvá správa sa predloží najneskôr do štyroch rokov po nadobudnutí účinnosti tohto nariadenia. Následné správy sa potom predkladajú každé štyri roky. Komisia v prípade potreby predloží vhodné návrhy s cieľom zmeniť a doplniť toto nariadenie, a zosúladiť iné právne nástroje, pričom zohľadní najmä vývoj v oblasti informačných technológií a vychádza z aktuálneho stavu pokroku v informačnej spoločnosti. Tieto správy sa zverejnia.

Článok 91

Nadobudnutie účinnosti a uplatňovanie

1.  Toto nariadenie nadobúda účinnosť dvadsiatym dňom po jeho uverejnení v Úradnom vestníku Európskej únie.

2.  Uplatňuje sa od ...(20).

Toto nariadenie je záväzné v celom rozsahu a priamo uplatniteľné vo všetkých členských štátoch.

V...

Za Európsky parlament Za Radu

predseda predseda

Príloha – Uvedenie podrobných informácií uvedených v článku 13a

1)  So zreteľom na proporcie uvedené v bode 6 sa podrobné informácie uvádzajú takto:

2)  V riadkoch druhého stĺpca tabuľky v bode 1 s názvom „DÔLEŽITÉ INFORMÁCIE“ sú tučným písmom formátované tieto výrazy:

a)  výraz „sa nezhromažďujú“ v prvom riadku druhého stĺpca;

b)  výraz „sa neuchovávajú“ v druhom riadku druhého stĺpca;

c)  výraz „sa nespracúvajú “v treťom riadku druhého stĺpca;

d)  výraz „sa neposkytujú“ vo štvrtom riadku druhého stĺpca;

e)  výraz „sa nepredávajú ani neprenajímajú“ v piatom riadku druhého stĺpca;

f)  výraz „nezakódovanej“ v šiestom riadku druhého stĺpca.

3)  So zreteľom na proporcie uvedené v bode 6 riadky v treťom stĺpci tabuľky v bode 1 s názvom „SPLNENÉ“ sa doplnia jednou z týchto dvoch grafických foriem v súlade s podmienkami uvedenými v bode 4:

a)

b)

4)  

a)  Ak sa nezhromaždí minimum osobných údajov potrebné na každý osobitný účel spracovania, prvý riadok tretieho stĺpca tabuľky v bode 1 má grafickú formu uvedenú v bode 3a.

b)  Ak sa zhromaždí minimum osobných údajov potrebné na každý osobitný účel spracovania, prvý riadok tretieho stĺpca tabuľky v bode 1 má grafickú formu uvedenú v bode 3b.

c)  Ak sa neuchováva minimum osobných údajov potrebné na každý osobitný účel spracovania, druhý riadok tretieho stĺpca tabuľky v bode 1 má grafickú formu uvedenú v bode 3a.

d)  Ak sa uchováva minimum osobných údajov potrebné na každý osobitný účel spracovania, druhý riadok tretieho stĺpca tabuľky v bode 1 má grafickú formu uvedenú v bode 3b.

e)  Ak sa osobné údaje nespracúvajú na iné účely, ako sú účely, na ktoré boli zhromaždené, tretí riadok tretieho stĺpca tabuľky v bode 1 má grafickú formu uvedenú v bode 3a.

f)  Ak sa osobné údaje spracúvajú na iné účely, ako sú účely, na ktoré boli zhromaždené, tretí riadok tretieho stĺpca tabuľky v bode 1 má grafickú formu uvedenú v bode 3b.

g)  Ak sa osobné údaje neposkytujú tretím stranám komerčného charakteru, štvrtý riadok tretieho stĺpca tabuľky v bode 1 má grafickú formu uvedenú v bode 3a.

h)  Ak sa osobné údaje poskytujú tretím stranám komerčného charakteru, štvrtý riadok tretieho stĺpca tabuľky v bode 1 má grafickú formu uvedenú v bode 3b.

i)  Ak sa osobné údaje nepredávajú ani neprenajímajú, piaty riadok tretieho stĺpca tabuľky v bode 1 má grafickú formu uvedenú v bode 3a.

j)  Ak sa osobné údaje predávajú alebo prenajímajú, piaty riadok tretieho stĺpca tabuľky v bode 1 má grafickú formu uvedenú v bode 3b.

k)  Ak sa osobné údaje neuchovávajú v nezakódovanej forme, šiesty riadok tretieho stĺpca tabuľky v bode 1 má grafickú formu uvedenú v bode 3a.

l)  Ak sa osobné údaje uchovávajú v nezakódovanej forme, šiesty riadok tretieho stĺpca tabuľky v bode 1 má grafickú formu uvedenú v bode 3b.

5)  Referenčné farby grafických foriem v bode 1 vo farebnej škále Pantone sú čierna Pantone č. 7547 a červená Pantone č. 485. Referenčná farba grafickej formy v bode 3a vo farebnej škále Pantone je zelená Pantone č. 370. Referenčná farba grafickej formy v bode 3b vo farebnej škále Pantone je červená Pantone č. 485.

6)  Aj keď sa tabuľka zmenší alebo zväčší, musia sa dodržať proporcie uvedené v tomto graduovanom náčrte:

[PN 207]

(1) Ú. v. EÚ C 229, 31.7.2012, s. 90. (2) Ú. v. EÚ C 192, 30.6.2012, s. 7. (3) Pozícia Európskeho parlamentu z 12. marca 2014. (4) Smernica Európskeho parlamentu a Rady 95/46/ES z 24. októbra 1995 o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov (Ú. v. ES, 23.11.1995, s. 31). (5) Odporúčanie Komisie 2003/361/ES zo 6. mája 2003 o definícii mikropodnikov a malých a stredných podnikov (Ú. v. EÚ 124, 20.5.2003, s. 36). (6) Nariadenie Európskeho parlamentu a Rady (ES) č. 45/2001 z 18. decembra 2000 o ochrane jednotlivcov so zreteľom na spracovanie osobných údajov inštitúciami a orgánmi Spoločenstva a o voľnom pohybe takýchto údajov (Ú. v. ES L 8, 12.1.2001, s. 1). (7) Smernica Európskeho parlamentu a Rady 2000/31/ES z 8. júna 2000 o určitých právnych aspektoch služieb informačnej spoločnosti na vnútornom trhu, najmä o elektronickom obchode (smernica o elektronickom obchode) (Ú. v. ES L 178, 17.7.2000, s. 1). (8) Smernica Rady 93/13/EHS z 5. apríla 1993 o nekalých podmienkach v spotrebiteľských zmluvách (Ú. v. ES L 95, 21.4.1993, s. 29). (9) Nariadenie Európskeho parlamentu a Rady (ES) č. 1338/2008 zo 16. decembra 2008 o štatistikách Spoločenstva v oblasti verejného zdravia a bezpečnosti a ochrany zdravia pri práci (Ú. v. EÚ L 354, 31.12.2008, s. 70). (10) Smernica Európskeho parlamentu a Rady 2009/38/ES zo 6. mája 2009 o zriaďovaní európskej zamestnaneckej rady alebo postupu v podnikoch s významom na úrovni Spoločenstva a v skupinách podnikov s významom na úrovni Spoločenstva na účely informovania zamestnancov a porady s nimi (Ú. v. EÚ L 122, 16.5.2009, s. 28). (11) Nariadenie Európskeho parlamentu a Rady (EÚ) č. 182/2011 zo 16. februára 2011, ktorým sa ustanovujú pravidlá a všeobecné zásady mechanizmu, na základe ktorého členské štáty kontrolujú vykonávanie vykonávacích právomocí Komisie (Ú. v. EÚ L 55, 28.2.2011, s. 13). (12) Smernica Európskeho parlamentu a Rady 2002/58/ES z 12. júla 2002, týkajúca sa spracovávania osobných údajov a ochrany súkromia v sektore elektronických komunikácií (smernica o súkromí a elektronických komunikáciách) (Ú. v. ES L 201, 31.7.2002, s. 37). (13) Ú. v. ES L 176, 10.7.1999, s. 36. (14) Ú. v. EÚ L 53, 27.2.2008, s. 52. (15) Ú. v. EÚ L 160, 18.6.2011, s. 21. (16) Smernica Európskeho parlamentu a Rady 2004/18/ES z 31. marca 2004 o koordinácii postupov zadávania verejných zákaziek na práce, verejných zákaziek na dodávku tovaru a verejných zákaziek na služby (Ú. v. EÚ L 134, 30.4.2004, s. 114). (17) Smernica Európskeho parlamentu a Rady 2004/17/ES z 31. marca 2004 o koordinácii postupov obstarávania subjektov pôsobiacich v odvetviach vodného hospodárstva, energetiky, dopravy a poštových služieb (Ú. v. EÚ L 134, 30.4.2004, s. 1). (18) Nariadenie Európskeho parlamentu a Rady (ES) č. 1049/2001 z 30. mája 2001 o prístupe verejnosti k dokumentom Európskeho parlamentu, Rady a Komisie (Ú. v. ES L 145, 31.5.2001, s. 43). (19) Smernica Európskeho parlamentu a Rady 2001/20/ES zo 4. apríla 2001 o aproximácii zákonov, iných právnych predpisov a správnych opatrení členských štátov týkajúcich sa uplatňovania dobrej klinickej praxe počas klinických pokusov s humánnymi liekmi (Ú. v. ES L 121, 1.5.2001, s. 34). (20) Dva roky odo dňa nadobudnutia účinnosti tohto nariadenia.