Seznam 
 Předchozí 
 Další 
 Úplné znění 
Postup : 2012/0010(COD)
Průběh na zasedání
Stadia projednávání dokumentu : A7-0403/2013

Předložené texty :

A7-0403/2013

Rozpravy :

PV 11/03/2014 - 13
CRE 11/03/2014 - 13

Hlasování :

PV 12/03/2014 - 8.12
Vysvětlení hlasování

Přijaté texty :

P7_TA(2014)0219

Přijaté texty
PDF 875kWORD 432k
Středa, 12. března 2014 - Štrasburk
Zpracování osobních údajů za účelem prevence trestných činů ***I
P7_TA(2014)0219A7-0403/2013
Usnesení
 Úplné znění

Legislativní usnesení Evropského parlamentu ze dne 12. března 2014 o návrhu směrnice Evropského parlamentu a Rady o ochraně fyzických osob v souvislosti se zpracováváním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů a o volném pohybu těchto údajů (COM(2012)0010 – C7-0024/2012 – 2012/0010(COD))

(Řádný legislativní postup: první čtení)

Evropský parlament,

—  s ohledem na návrh Komise předložený Parlamentu a Radě (COM(2012)0010),

—  s ohledem na čl. 294 odst. 2 a čl. 16 odst. 2 Smlouvy o fungování Evropské unie, v souladu s nimiž Komise předložila svůj návrh Parlamentu (C7‑0024/2012),

—  s ohledem na čl. 294 odst. 3 Smlouvy o fungování Evropské unie,

—  s ohledem na odůvodněná stanoviska předložená německou Spolkovou radou a švédským parlamentem v rámci protokolu č. 2 o používání zásad subsidiarity a proporcionality uvádějící, že návrh legislativního aktu není v souladu se zásadou subsidiarity,

—  s ohledem na stanovisko evropského inspektora ochrany údajů ze dne 7. března 2012(1),

—  s ohledem na stanovisko Agentury Evropské unie pro základní práva ze dne 1. října 2012,

—  s ohledem na článek 55 jednacího řádu,

—  s ohledem na zprávu Výboru pro občanské svobody, spravedlnost a vnitřní věci a stanovisko Výboru pro právní záležitosti (A7-0403/2013),

1.  přijímá níže uvedený postoj v prvním čtení;

2.  vyzývá Komisi, aby věc znovu postoupila Parlamentu, bude-li mít v úmyslu svůj návrh podstatně změnit nebo jej nahradit jiným textem;

3.  pověřuje svého předsedu, aby postoj Parlamentu předal Radě, Komisi, jakož i vnitrostátním parlamentům.

(1) Úř. věst.C 192, 30.6.2012, s. 7.


Postoj Evropského parlamentu přijatý v prvním čtení dne 12. března 2014 k přijetí směrnice Evropského parlamentu a Rady 2014/.../EU o ochraně fyzických osob v souvislosti se zpracováváním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů a o volném pohybu těchto údajů
P7_TC1-COD(2012)0010

EVROPSKÝ PARLAMENT A RADA EVROPSKÉ UNIE,

s ohledem na Smlouvu o fungování Evropské unie, a zejména na čl. 16 odst. 2 této smlouvy,

s ohledem na návrh Evropské komise,

po postoupení návrhu legislativního aktu vnitrostátním parlamentům,

s ohledem na stanovisko evropského inspektora ochrany údajů(1),

v souladu s řádným legislativním postupem(2),

vzhledem k těmto důvodům:

(1)  Ochrana fyzických osob v souvislosti se zpracováním osobních údajů je základním právem. Ustanovení čl. 8 odst. 1 Listiny základních práv Evropské unie (dále jen "Listina") a čl. 16 odst. 1 Smlouvy o fungování Evropské unie stanoví, že každý má právo na ochranu osobních údajů, které se jej týkají. Čl. 8 odst. 2 Listiny se stanoví, že tyto údaje musí být zpracovány poctivě, k přesně stanoveným účelům a na základě souhlasu dotčené osoby nebo jiného oprávněného důvodu stanoveného zákonem. [pozm. návrh 1]

(2)  Zpracování osobních údajů má sloužit lidem; zásady a pravidla ochrany fyzických osob v souvislosti se zpracováním jejich osobních údajů by proto měly bez ohledu na státní příslušnost nebo bydliště těchto osob dodržovat jejich základní práva a svobody, zejména právo na ochranu osobních údajů. Zpracování osobních údajů by mělo přispět k dotvoření prostoru svobody, bezpečnosti a práva.

(3)  Rychlý technologický rozvoj a globalizace s sebou přinesly nové výzvy pro oblast ochrany osobních údajů. Objem sdílených a sbíraných údajů dramaticky vzrostl. Technologie umožňují příslušným orgánům využívat při provádění jejich činností osobní údaje v nebývalém rozsahu.

(4)  Proto je třeba, pokud je to nezbytné a přiměřené, usnadnit volný pohyb údajů mezi příslušnými orgány v rámci Unie a jejich předávání do třetích zemí a mezinárodním organizacím a zároveň zajistit vysokou úroveň ochrany osobních údajů. Tento vývoj vyžaduje vytvoření pevného a jednotnějšího rámce pro ochranu údajů v Unii, jenž by se opíral o důrazné vymáhání práva. [pozm. návrh 2]

(5)  Směrnice Evropského parlamentu a Rady 95/46/ES(3) se používá na veškeré zpracovávání osobních údajů v členských státech jak ve veřejném, tak v soukromém sektoru. Nevztahuje se však na zpracování osobních údajů prováděné pro výkon činností, které nespadají do oblasti působnosti práva Společenství, například činností v oblasti justiční spolupráce v trestních věcech a policejní spolupráce.

(6)  Rámcové rozhodnutí Rady 2008/977/SVV(4) se používá v oblastech justiční spolupráce v trestních věcech a policejní spolupráce. Oblast působnosti tohoto rámcového rozhodnutí je omezena na zpracování osobních údajů předaných nebo zpřístupněných mezi členskými státy.

(7)  Pro účely zajištění účinné justiční spolupráce v trestních věcech a policejní spolupráce má zásadní význam zajištění jednotné a vysoké úrovně ochrany osobních údajů fyzických osob a usnadnění výměny osobních údajů mezi příslušnými orgány členských států. V tomto ohledu musí být ve všech členských státech rovnocenná úroveň ochrany práv a svobod fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány pro účely prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů. V celé Unii je třeba zajistit jednotné a soudržné uplatňování pravidel ochrany základních práv a svobod fyzických osob v souvislosti se zpracováváním osobních údajů. Účinná ochrana osobních údajů v celé Unii vyžaduje posílení práv subjektů údajů a povinností těch, kteří zpracovávají osobní údaje, ale také stejné pravomoci při sledování a zajišťování souladu s pravidly ochrany osobních údajů v členských státech. [pozm. návrh 3]

(8)  Podle čl. 16 odst. 2 Smlouvy o fungování Evropské unie by Evropský parlament a Rada měly stanovit pravidla týkající se ochrany fyzických osob v souvislosti se zpracováváním osobních údajů a pravidla související s volným pohybem jejich osobních údajů. [pozm. návrh 4]

(9)  Na tomto základě stanoví nařízení Evropského parlamentu a Rady (EU) č.…/2014 o ochraně fyzických osob v souvislosti se zpracováváním osobních údajů a o volném pohybu těchto údajů (obecné nařízení o ochraně údajů) obecná pravidla pro ochranu fyzických osob v souvislosti se zpracováváním osobních údajů a zajištění volného pohybu osobních údajů v rámci Unie.

(10)  V prohlášení 21 o ochraně osobních údajů v oblasti justiční spolupráce v trestních věcech a policejní spolupráce připojeném k závěrečnému aktu konference zástupců vlád, která přijala Lisabonskou smlouvu, konference uznala, že by mohlo být vzhledem k zvláštní povaze těchto oblastí případně nutné zavést specifická pravidla ochrany osobních údajů a volného pohybu těchto údajů v oblasti justiční spolupráce v trestních věcech a policejní spolupráce podle článku 16 Smlouvy o fungování Evropské unie.

(11)  Proto by měla být přijata zvláštní směrnice, která by zohlednila zvláštní povahu této oblasti a stanovila pravidla pro ochranu fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů. [pozm. návrh 5]

(12)  Aby byla zajištěna stejná úroveň ochrany fyzických osob na základě právně vymahatelných práv v celé Unii a aby byly odstraněny rozdíly bránící výměně osobních údajů mezi příslušnými orgány, měla by tato směrnice stanovit harmonizovaná pravidla pro ochranu a volný pohyb osobních údajů v oblasti justiční spolupráce v trestních věcech a policejní spolupráce.

(13)  Tato směrnice umožňuje při provádění jejích ustanovení vzít v úvahu zásadu práva na přístup veřejnosti k úředním dokumentům.

(14)  Ochrana poskytovaná touto směrnicí by se měla týkat zpracování osobních údajů fyzických osob bez ohledu na jejich státní příslušnost nebo místo bydliště.

(15)  Ochrana fyzických osob by měla být technologicky neutrální a nezávislá na používaných postupech, jinak by bylo riziko obcházení předpisů příliš velké. Ochrana fyzických osob by měla platit jak pro automatizované zpracování osobních údajů, tak pro manuální zpracování, pokud údaje jsou nebo mají být uloženy v evidenci. Záznamy nebo soubory záznamů, stejně jako jejich titulní strany, které nejsou uspořádány podle určených hledisek, by neměly spadat do oblasti působnosti této směrnice. Tato směrnice by se neměla vztahovat na zpracovávání osobních údajů prováděné pro výkon činností, které nespadají do oblasti působnosti práva Unie, zejména v oblasti bezpečnosti státu, nebo na údaje zpracovávané orgány, institucemi a jinými subjekty Unie, jako je Europol nebo Eurojust. Nařízení Evropského parlamentu a Rady (ES) č. 45/2001(5) a specifické právní nástroje platné pro agentury, orgány nebo úřady Unie je třeba s touto směrnicí harmonizovat a uplatňovat je v souladu s ní. [pozm. návrh 6]

(16)  Zásady ochrany údajů by se měly uplatňovat na všechny informace týkající se identifikovaných nebo identifikovatelných fyzických osob. Při určování, zda je fyzická osoba identifikovatelná, by se mělo přihlédnout ke všem prostředkům, o nichž lze důvodně předpokládat, že je správce nebo jakákoli jiná osoba použijí pro identifikaci nebo vyčlenění dané osoby. Zásady ochrany údajů by se neměly uplatňovat na údaje, které byly dostatečně anonymizovány tak, aby subjekt údajů již nebyl identifikovatelný. Tato směrnice by se neměla vztahovat na anonymní údaje, jimiž se rozumí jakékoli údaje, které nelze přímo ani nepřímo, samotné či ve spojení s přiřazenými údaji spojit s fyzickou osobou. S ohledem na význam současného rozvoje informační společnosti a z toho plynoucího rozvoje technologií pro získávání, přenos, úpravu, zaznamenání, uchování či sdělování lokalizačních údajů týkajících se fyzických osob, které lze využít k různým účelům včetně sledování nebo vytváření profilů, by se tato směrnice měla vztahovat na zpracovávání těchto osobních údajů. [pozm. návrh 7]

(16a)  Jakékoli zpracování osobních údajů musí být vůči dotčeným jednotlivcům prováděno zákonným, korektním a transparentním způsobem. Především by měly být jednoznačně vymezeny konkrétní účely, pro něž jsou údaje zpracovávány, a mělo by se jednat o explicitní a legitimní důvody stanovené v době shromažďování osobních údajů. Osobní údaje by měly být přiměřené účelům, ke kterým se zpracovávají, měly by být vzhledem k těmto účelům relevantní a omezené na nezbytné minimum. K tomu je nutné především omezit na nezbytné minimum rozsah shromažďovaných údajů a dobu, po níž jsou údaje uchovávány. Osobní údaje by měly být zpracovávány pouze za účelem zpracování, kterého nemůže být dosaženo jinými prostředky. Měla by být přijata veškerá přiměřená opatření, aby nepřesné osobní údaje byly opraveny nebo vymazány. Aby se zajistilo, že údaje nebudou uchovávány déle, než je nezbytné, měl by správce stanovit lhůty pro výmaz nebo pravidelný přezkum. [pozm. návrh 8]

(17)  Mezi osobní údaje týkající se zdraví by měly být zahrnuty zejména všechny údaje související se zdravotním stavem subjektu údajů, informace o evidenci osoby pro poskytování zdravotní péče, informace o platbách nebo způsobilosti ke zdravotní péči dané osoby, číslo, symbol nebo specifický údaj přiřazený osobě za účelem její jednoznačné identifikace pro zdravotnické účely; jakékoliv informace o osobě shromážděné během poskytování zdravotních služeb této osobě, informace získané během provádění testů nebo vyšetřování části těla nebo tělesných látek, včetně biologických vzorků; identifikace osoby poskytující dané osobě zdravotní péči, nebo jakékoli informace, např. o nemoci, postižení, riziku onemocnění, anamnéze, klinické léčbě nebo aktuálním fyziologickém či biomedicínském stavu subjektu údajů nezávisle na jejich původu, tedy bez ohledu na to, zda pocházejí od lékaře nebo jiného zdravotníka, z nemocnice, ze zdravotnického prostředku či diagnostických testů in vitro.

(18)  Jakékoli zpracování osobních údajů by mělo být vůči dotčeným jednotlivcům prováděno zákonným a korektním způsobem. Především by měly být výslovně stanoveny účely, pro které jsou údaje zpracovávány. [pozm. návrh 9]

(19)  Pro prevenci, vyšetřování a stíhání trestných činů je nutné, aby příslušné orgány mohly osobní údaje shromážděné za účelem prevence, vyšetřování, odhalování či stíhání určitých trestných činů uchovávat a zpracovávat také v jiném kontextu, aby lépe mohly chápat aspekty a trendy trestné činnosti, získávat poznatky o sítích organizované trestné činnosti a nalézat souvislosti mezi různými odhalenými trestnými činy. [pozm. návrh 10]

(20)  Osobní údaje by neměly být zpracovávány pro účely, které nejsou slučitelné s účelem, pro který byly shromážděny. Osobní údaje by měly být odpovídající z hlediska účelu, pro který jsou zpracovávány, musí pro něj být relevantní a ve vztahu k němu přiměřené. Měla by být přijata veškerá rozumná opatření, aby nepřesné osobní údaje byly opraveny nebo vymazány. [pozm. návrh 11]

(20a)  Pouhá skutečnost, že se dva účely týkají prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, nutně neznamená, že jsou slučitelné. Existují však případy, v nichž by další zpracovávání pro neslučitelné účely mělo být možné, pokud je to nezbytné pro splnění právní povinnosti, které podléhá správce, pro ochranu mimořádně důležitých zájmů subjektu údajů nebo jiné osoby nebo pro zabránění bezprostřednímu a vážnému ohrožení veřejné bezpečnosti. Členské státy by tudíž měly mít možnost přijmout vnitrostátní právní předpisy, které stanoví výjimky v nezbytně nutném rozsahu. Tyto vnitrostátní právní předpisy by měly obsahovat přiměřené záruky. [pozm. návrh 12]

(21)  Zásada přesnosti údajů by měla být uplatňována s ohledem na povahu a účel daného zpracování údajů. Prohlášení obsahující osobní údaje jsou zejména v soudních řízeních založena na subjektivním vnímání osob a v některých případech nejsou vždy ověřitelná. Požadavek na přesnost by se tedy neměl týkat přesnosti určitého prohlášení, ale pouze skutečnosti, že konkrétní prohlášení bylo učiněno.

(22)  Při výkladu a uplatňování obecných zásad souvisejících se zpracováním údajů příslušnými orgány pro účely prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů by měla být zohledněna specifičnost odvětví, včetně sledovaných specifických cílů. [pozm. návrh 13]

(23)  Při zpracovávání osobních údajů v oblasti justiční spolupráce v trestních věcech a policejní spolupráce se přirozeně jedná o subjekty údajů různých kategorií. Proto by se mělo pokud možno jednoznačně rozlišovat mezi osobními údaji různých kategorií subjektů údajů, jako jsou podezřelé osoby, osoby odsouzené za trestný čin, oběti a třetí osoby, např. svědci, osoby, které mohou poskytnout informace o trestných činech nebo o kontaktu či společníkovi podezřelé osoby a odsouzeného pachatele. Členské státy vytvoří zvláštní pravidla upravující důsledky této kategorizace s přihlédnutím k různým účelům shromažďování údajů a stanoví zvláštní záruky pro osoby, které nejsou podezřelé ze spáchání trestného činu nebo nebyly za trestný čin odsouzeny. [pozm. návrh 14]

(24)  V mezích možností by se měly osobní údaje rozlišovat podle stupně přesnosti a spolehlivosti. Měla by se rozlišovat fakta od osobních hodnocení, aby se zajistila jak ochrana jednotlivců, tak kvalita a spolehlivost informací zpracovávaných příslušnými orgány.

(25)  Aby bylo zpracování osobních údajů zákonné, mělo by být povoleno pouze v případě, že je nezbytné pro splnění právní povinnosti, které podléhá správce, pro splnění úkolu prováděného příslušným orgánem ve veřejném zájmu na základě právních předpisů nebo pro ochranu životních zájmů subjektu údajů či jiné osoby nebo pro zabránění bezprostřednímu a vážnému ohrožení veřejné bezpečnosti Unie nebo členských států, které by měly obsahovat jednoznačná a podrobná ustanovení vymezující přinejmenším cíle, osobní údaje, konkrétní účely a prostředky a určit správce nebo povolit jeho určení, stanovit závazné postupy, využití a rozsah volného uvážení, jež je v souvislosti se zpracováním údajů ponecháno příslušným orgánům. [pozm. návrh 15]

(25a)  Osobní údaje by neměly být zpracovávány pro účely, které nejsou slučitelné s účelem, pro který byly shromážděny. Další zpracování příslušnými orgány k účelu, který spadá do oblasti působnosti této směrnice a není v souladu s původním účelem, by mělo být povoleno pouze ve zvláštních případech, kdy je to nezbytné pro splnění právní povinnosti, jíž správce podléhá a která vychází z právních předpisů Unie nebo členských států, nebo pro ochranu životně důležitých zájmů subjektu údajů nebo jiné osoby či pro zabránění bezprostřednímu a vážnému ohrožení veřejné bezpečnosti. Skutečnost, že jsou údaje zpracovávány pro účel vymáhání práva nemusí nutně znamenat, že je tento účel slučitelný s původním účelem. Pojem slučitelné využití je nutné vykládat restriktivně. [pozm. návrh 16]

(25b)  Osobní údaje zpracovávané v rozporu s vnitrostátními předpisy přijatými na základě této směrnice by již neměly být zpracovávány. [pozm. návrh 17]

(26)  Osobní údaje, které jsou ve své podstatě obzvláště citlivé a zneužitelné z hlediska základních práv nebo soukromí, například genetické údaje, si zaslouží zvláštní ochranu. Tyto údaje by měly být zpracovávány pouze tehdy, je-li zpracování výslovně povoleno právním předpisem nezbytné ke splnění úkolu ve veřejném zájmu na základě právního předpisu Unie nebo členských států, který obsahuje vhodná opatření k ochraně oprávněných zájmů subjektu údajů nebo je-li zpracování nutné pro ochranu základních práv a životních zájmů subjektu údajů nebo jiné osoby nebo se zpracování týká údajů očividně zveřejňovaných subjektem údajů. Citlivé osobní údaje by měly být zpracovávány pouze tehdy, pokud doplňují jiné osobní údaje, které již byly zpracovány pro účely vymáhání práva. Jakékoli výjimky ze zákazu zpracovávání citlivých údajů by měly být vykládány restriktivně a neměly by vést k častému, hromadnému nebo strukturálnímu zpracovávání citlivých osobních údajů. [pozm. návrh 18]

(26a)  Zpracování genetických údajů by mělo být povoleno pouze v případě, že je v průběhu vyšetřování nebo soudního řízení odhalena genetická spojitost. Genetické údaje by měly být uchovávány pouze po dobu nezbytně nutnou k účelům zmíněných vyšetřování a řízení, přičemž členské státy mohou za podmínek stanovených touto směrnicí povolit delší dobu uchovávání údajů. [pozm. návrh 19]

(27)  Každá fyzická osoba by měla mít právo nebýt předmětem opatření, které je založené pouze na automatizovaném částečném či úplném profilování prostřednictvím automatizovaného zpracování. Pokud tento druh zpracování vyvolává vůči této osobě nepříznivé právní účinky nebo pokud se jí významně dotýká, měl by být zakázán, s výjimkou případů, kdy je povoleno právními předpisy a spojeno s vhodnými opatřeními zajišťujícími ochranu základních práv a oprávněných zájmů subjektu údajů, včetně práva na poskytování srozumitelných informací o postupu používaném při profilování. Takové zpracovávání by v žádném případě nemělo obsahovat ani vytvářet zvláštní kategorie údajů ani by nemělo na základě zvláštních kategorií údajů rozlišovat. [pozm. návrh 20]

(28)  Aby mohl subjekt údajů uplatňovat svá práva, měly by pro něj být informace snadno přístupné a srozumitelné a podávané v jasném a běžně užívaném jazyce. Tyto informace by měly být přizpůsobeny potřebám subjektu údajů, především jsou-li konkrétně určeny dětem. [pozm. návrh 21]

(29)  Měly by být stanoveny postupy, které by subjektům údajů usnadnily výkon jejich práv, jež jim podle této směrnice náležejí, včetně bezplatného používání mechanismů pro podávání žádostí zejména o přístup k údajům, o opravu a výmaz. Správci by měla být uložena povinnost odpovědět na žádost subjektu údajů bez zbytečného odkladu do jednoho měsíce od přijetí žádosti. Pokud se osobní údaje zpracovávají automatizovanými prostředky, měl by správce rovněž poskytnout možnosti pro podávání žádostí v elektronické podobě. [pozm. návrh 22]

(30)  Zásada korektního a transparentního zpracování předpokládá, že by subjekt údajů měl být informován zejména o probíhajícím zpracování údajů a jeho účelech, o jeho právním základě, o tom, jak dlouho budou údaje uchovávány, o svém právu na přístup, opravu nebo výmaz a právu podat stížnost. Subjekt údajů by měl být dále informován o případném profilování a o jeho zamýšlených dopadech. Pokud jsou údaje získávány od subjektu údajů, měl by subjekt údajů být rovněž informován, zda je povinen údaje poskytnout, a o důsledcích v případě, že tyto údaje neposkytne. [pozm. návrh 23]

(31)  Informování subjektu údajů o tom, že jsou zpracovávány jeho osobní údaje, by mělo proběhnout v okamžiku shromažďování nebo, pokud údaje nejsou získávány od subjektu údajů, v době záznamu nebo v přiměřené lhůtě po jejich získání s přihlédnutím ke konkrétním okolnostem, za nichž se údaje zpracovávají.

(32)  Každá osoba by měla mít právo na přístup k údajům, které o ní byly získány, a toto právo snadno uplatňovat, aby se mohla přesvědčit o zákonnosti jejich zpracování. Každý subjekt údajů by proto měl mít právo vědět a dozvědět se zejména, za jakým účelem se údaje zpracovávají, na jakém právním základě, jak dlouho budou uchovávány, kdo jsou příjemci údajů, včetně subjektů údajů ve třetích zemích, získat srozumitelné informace o postupu automatického zpracovávání údajů, případných významných a předpokládaných důsledcích tohoto zpracovávání a o právu podat stížnost příslušnému orgánu dozoru a kontaktní údaje tohoto orgánu. Subjektu údajů by mělo by mu být povoleno získat kopii svých osobních údajů, které jsou zpracovávány. [pozm. návrh 24]

(33)  Členským státům by mělo být povoleno přijmout legislativní opatření, aby poskytnutí těchto informací subjektům údajů přiměřeně opozdily nebo omezily či od něho upustily, jestliže je v demokratické společnosti částečné nebo úplné omezení s přihlédnutím k základním právům a oprávněným zájmům dotčené osoby nutným a úměrným opatřením, aby se zabránilo maření úředních nebo právních šetření, vyšetřování nebo postupů, aby se zabránilo ovlivňování prevence, vyšetřování, odhalování a stíhání trestných činů nebo výkonu trestů, aby se zajistila ochrana veřejné nebo národní bezpečnosti nebo ochrana subjektu údajů nebo práv a svobod druhých. Správce každý případ zvlášť prošetří a posoudí, zda by se mělo uplatnit částečné nebo úplné omezení práva na přístup. [pozm. návrh 25]

(34)  Jakékoli zamítnutí nebo omezení přístupu by mělo být subjektu údajů sděleno písemně s uvedením věcných a právních důvodů, které k danému rozhodnutí vedly.

(34a)  Jakékoli omezení práv subjektu údajů musí být v souladu s Listinou a Evropskou úmluvou o lidských právech, jak to stanoví judikatura Soudního dvora Evropské unie a Evropského soudu pro lidská práva, a především dodržovat podstatu práv a svobod. [pozm. návrh 26]

(35)  Pokud členské státy přijaly legislativní opatření, jimiž přístup k informacím úplně nebo částečně omezily, subjekt údajů by měl mít právo požadovat, aby příslušný vnitrostátní orgán dozoru ověřil zákonnost zpracování. Subjekt údajů by měl být o tomto právu informován. Jestliže právo na přístup uplatňuje jménem subjektu údajů orgán dozoru, měl by subjekt údajů informovat přinejmenším o tom, že z jeho strany došlo k veškerým ověřením, a o výsledku, co se týče zákonnosti předmětného zpracování. Orgán dozoru by měl subjekt údajů rovněž informovat o právu uplatnit soudní opravný prostředek. [pozm. návrh 27]

(36)  Každá osoba by měla mít právo na opravu nepřesných nebo nezákonně zpracovaných osobních údajů, které se jí týkají, a právo na výmaz, pokud zpracování těchto údajů není v souladu s hlavními zásadami stanovenými v této směrnici ustanoveními této směrnice. Takováto oprava, doplnění nebo výmaz by měly být sděleny příjemcům, jimž byly údaje poskytnuty, a třetím stranám, od nichž nepřesné údaje pocházely. Správci by také neměli tyto údaje dále šířit. Pokud jsou osobní údaje zpracovávány v průběhu vyšetřování a v trestním řízení, plní se práva na opravu, informace, přístup, výmaz a omezení zpracování v souladu s vnitrostátními pravidly pro soudní řízení. [pozm. návrh 28]

(37)  Měla by být zavedena komplexní odpovědnost správce za jakékoli zpracování osobních údajů prováděné správcem nebo jeho jménem. Správce by měl zejména zajistit, aby každé zpracování bylo v souladu s pravidly přijatými podle této směrnice, a měl by mít povinnost být schopen tento soulad prokázat. [pozm. návrh 29]

(38)  Pro ochranu práv a svobod subjektů údajů v souvislosti se zpracováváním osobních údajů je třeba přijmout odpovídající technická a organizační opatření, aby se zajistilo splnění požadavků vyplývajících z této směrnice. Aby se zajistil soulad s ustanoveními přijatými podle této směrnice, měl by správce přijmout strategie a provést vhodná opatření, které splňují zejména zásady ochrany údajů již od návrhu a standardního nastavení ochrany údajů.

(39)  Pro ochranu práv a svobod subjektů údajů, jakož i odpovědnost správců a zpracovatelů je třeba jasně vymezit odpovědnosti podle této směrnice, včetně případů, kdy správce určuje účely, podmínky a prostředky zpracování společně s jinými správci nebo kdy je zpracování prováděno jménem správce. Subjekt údajů by měl mít právo uplatnit svá práva podle této směrnice ve vztahu ke kterémukoli ze společných správců a proti nim. [pozm. návrh 30]

(40)  Správce nebo zpracovatel by za účelem kontroly dodržování této směrnice měl zpracovávání dokumentovat. Každý správce a zpracovatel by měl být povinen spolupracovat s orgánem dozoru a na jeho žádost mu zpřístupnit tyto záznamy, aby na jejich základě mohla být provedena kontrola zpracování.

(40a)  Každé zpracování osobních údajů by mělo být zaznamenáno, aby bylo možné ověřit zákonnost zpracování údajů, provést vlastní kontrolu a řádně zajistit neporušenost a zabezpečení údajů. Tento záznam by měl být na požádání poskytnut orgánu dozoru pro účely sledování souladu s pravidly stanovenými v této směrnici. [pozm. návrh 31]

(40b)  Správce nebo zpracovatel by měl provést posouzení dopadu na ochranu údajů v případě, že zpracování údajů s sebou kvůli své povaze, rozsahu nebo účelu může nést zvláštní rizika z hlediska práv a svobod subjektů údajů, přičemž by toto posouzení mělo zahrnovat zejména plánovaná opatření, záruky a mechanismy, jimiž lze zajistit ochranu osobních údajů a prokázat soulad s touto směrnicí. Posouzení dopadů by se mělo týkat příslušných systémů a procesů zpracování osobních údajů, nikoli jednotlivých případů. [pozm. návrh 32]

(41)  Aby byla zajištěna účinná ochrana práv a svobod subjektů údajů prostřednictvím preventivních opatření, měl by správce nebo zpracovatel v určitých případech před zpracováním konzultovat orgán dozoru. Pokud navíc z posouzení dopadu na ochranu údajů vyplývá, že zpracování s sebou může nést vysokou míru specifického rizika pro práva a svobody subjektů údajů, měl by orgán dozoru mít pravomoc před zahájením činnosti zabránit rizikovému zpracování, které není v souladu s touto směrnicí, a předložit návrhy na nápravu této situace. Tato konzultace se rovněž může uskutečnit v průběhu přípravy opatření vnitrostátního parlamentu nebo opatření založeného na tomto legislativním opatření, které vymezuje povahu zpracování a stanoví vhodné záruky. [pozm. návrh 33]

(41a)  Aby byla zachována bezpečnost a zabránilo se zpracování údajů, které by bylo v rozporu s touto směrnicí, měl by správce nebo zpracovatel posoudit riziko spojené se zpracováním a přijmout opatření ke zmírnění těchto rizik. Tato opatření by měla zajistit odpovídající úroveň bezpečnosti s ohledem na stav techniky a náklady na jejich provedení v souvislosti s riziky a povahou osobních údajů, které mají být chráněny. Při stanovování technických standardů a organizačních opatření na zajištění bezpečnosti zpracovávání údajů je třeba podporovat technologickou neutralitu. [pozm. návrh 34]

(42)  Není-li odpovídajícím způsobem a včas řešeno narušení bezpečnosti osobních údajů, může to příslušnému jednotlivci způsobit značnou hospodářskou ztrátu a společenskou újmu, například v podobě poškození pověsti zneužití jeho totožnosti. Proto by měl správce, jakmile se dozví, že došlo k takovému narušení bezpečnosti, toto narušení ohlásit příslušnému vnitrostátnímu orgánu. Jednotlivci, jejichž osobní údaje nebo soukromí by mohly být narušením bezpečnosti nepříznivě ovlivněny, by měli být bez prodlení vyrozuměni, aby mohli učinit nezbytná opatření. Narušení bezpečnosti by mělo být považováno za škodlivé pro ochranu osobních údajů nebo soukromí jednotlivce, pokud by v souvislosti se zpracováním osobních údajů mohlo vést například ke krádeži totožnosti nebo podvodu, fyzické újmě, významnému ponížení nebo poškození pověsti. Ve vyrozumění by měly být uvedeny informace o opatřeních, jež poskytovatel v souvislosti s narušením bezpečnosti přijal, a doporučení pro dotčeného účastníka nebo jednotlivce. Vyrozumění by mělo být subjektu údajů předáno co nejdříve je to možné a v úzké spolupráci s orgánem dozoru a dle jeho pokynů. [pozm. návrh 35]

(43)  Při vytváření podrobných pravidel týkajících se formy a postupů ohlašování případů narušení bezpečnosti osobních údajů by měly být náležitě zohledněny okolnosti případu, včetně otázky, zda byly osobní údaje chráněny vhodnými technickými ochrannými opatřeními, jež pravděpodobnost zneužití účinně omezují. Tato pravidla a postupy by navíc měly vzít v úvahu oprávněné zájmy příslušných orgánů v případech, kdy by předčasné zveřejnění mohlo zbytečně ztížit vyšetřování okolností narušení.

(44)  Správce nebo zpracovatel by měl jmenovat osobu, která by mu pomáhala sledovat a prokazovat dodržování ustanovení přijatých podle této směrnice. Různé složky příslušného orgánu mohou společně jmenovat Pokud pod dohledem ústředního orgánu působí několik příslušných orgánů, měl by inspektora ochrany údajů jmenovat alespoň ústřední orgán. Tito inspektoři ochrany údajů by měli moci plnit své povinnosti a úkoly nezávisle a účinně, což se zajistí zejména zavedením pravidel, jimiž se předejde střetu zájmů s dalšími úkoly, které inspektor ochrany údajů vykonává. [pozm. návrh 36]

(45)  Členské státy by měly zajistit, aby se předávání údajů do třetích zemí uskutečnilo jen tehdy, je-li to toto konkrétní předání údajů nezbytné pro účely prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů a je-li správce ve třetí zemi nebo mezinárodní organizaci příslušným orgánem veřejné moci ve smyslu této směrnice. K předávání může dojít v případech, kdy Komise rozhodla, že daná třetí země nebo mezinárodní organizace zajišťuje přiměřenou úroveň ochrany, nebo pokud byly stanoveny vhodné záruky nebo pokud byly vhodné záruky zakotveny v právně závazném nástroji. Údaje předané příslušným orgánům veřejné moci ve třetích zemích by neměly být dále zpracovávány pro jiné účely, než pro které byly předány. [pozm. návrh 37]

(45a)  Další postoupení údajů příslušnými orgány ve třetích zemích nebo mezinárodními organizacemi, jimž byly osobní údaje předány, by mělo být přípustné pouze tehdy, pokud je další postoupení údajů nezbytné pro tentýž konkrétní účel jako jejich původní předání a pokud je dalším příjemcem rovněž příslušný orgán veřejné moci. Další postoupení údajů by nemělo být přípustné pro obecné účely vymáhání práva. Příslušný orgán, který provedl původní předání, by měl k jejich dalšímu postoupení vydat souhlas. [pozm. návrh 38]

(46)  Komise může s účinkem pro celou Unii rozhodnout, že určité třetí země nebo území či odvětví zpracovávání v dané třetí zemi nebo určitá mezinárodní organizace zajišťují vhodnou úroveň ochrany, a tímto způsobem ve vztahu k třetím zemím nebo mezinárodním organizacím, které jsou považovány za schopné poskytovat takovou úroveň ochrany, zajišťují právní jistotu a jednotné uplatňování práva v celé Unii. V těchto případech mohou být osobní údaje do těchto zemí předávány, aniž by bylo třeba získat další povolení.

(47)  V souladu se základními hodnotami, na kterých je Unie založena a mezi něž patří zejména ochrana lidských práv, by Komise měla zohlednit, jak daná třetí země respektuje právní stát, přístup k spravedlnosti a mezinárodní normy a standardy v oblasti lidských práv.

(48)  Komise by měla být rovněž schopna uznat, že třetí země nebo území či odvětví zpracovávání v dané třetí zemi nebo určitá mezinárodní organizace nezajišťuje přiměřenou úroveň ochrany údajů. Předávání osobních údajů do této třetí země by tudíž mělo být zakázáno, vyjma případů, kdy je založeno na mezinárodní dohodě, vhodných zárukách nebo na výjimce. Měly by být naplánovány postupy pro konzultace mezi Komisí a těmito třetími zeměmi nebo mezinárodními organizacemi. Avšak takovým rozhodnutím Komise by neměla být dotčena možnost předávat údaje na základě vhodných záruk prostřednictvím právně závazných nástrojů nebo na základě výjimky stanovené této směrnici. [pozm. návrh 39]

(49)  Předávání údajů, které není založené na rozhodnutí o přiměřenosti, by mělo být přípustné pouze v případě, pokud byly v právně závazném nástroji stanoveny vhodné záruky, jež zajišťují ochranu osobních údajů, nebo pokud správce nebo zpracovatel posoudil všechny okolnosti daného předání údajů nebo dané řady předání údajů a na základě tohoto posouzení se domnívá, že pro ochranu osobních údajů existují vhodné záruky. V případech, kdy neexistují důvody, které by připouštěly předávání údajů, by měly být povoleny výjimky, pokud je to nutné k ochraně životních zájmů subjektu údajů nebo jiné osoby nebo k ochraně oprávněných zájmů subjektu údajů, jestliže tak stanoví právo členského státu, který osobní údaje předává, pokud je to nezbytné pro odvrácení bezprostřední a závažné hrozby pro veřejnou bezpečnost v některém členském státě nebo třetí zemi, pokud je to v jednotlivých případech nutné pro účely prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů nebo pokud je to v jednotlivých případech nutné pro uplatnění, výkon nebo obhajobu právních nároků. [pozm. návrh 40]

(49a)  V případech, kdy neexistují důvody, které by připouštěly předávání údajů, by měly být povoleny výjimky, pokud je to nutné k ochraně životních zájmů subjektu údajů nebo jiné osoby nebo k ochraně oprávněných zájmů subjektu údajů, jestliže tak stanoví právo členského státu, který osobní údaje předává, pokud je to nezbytné pro odvrácení bezprostřední a závažné hrozby pro veřejnou bezpečnost v některém členském státě nebo třetí zemi, pokud je to v jednotlivých případech nutné pro účely prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů nebo pokud je to v jednotlivých případech nutné pro uplatnění, výkon nebo obhajobu právních nároků. Tyto výjimky je nutné vykládat restriktivně, neměly by povolovat časté, hromadné a systémové předávání osobních údajů ani umožňovat hromadná předávání údajů a měly by se omezit jen na zcela nezbytné údaje. O předání údajů rozhoduje řádně oprávněná osoba, toto předání je zdokumentováno a dokumentace je na požádání poskytnuta orgánu dozoru za účelem sledování [pozm. návrh 41]

(50)  Při předávání osobních údajů přes hranice se jednotlivci mohou vystavovat vyššímu riziku, že nebudou schopni vykonávat svá práva na ochranu údajů a chránit se před nezákonným použitím nebo zveřejňováním těchto údajů. Zároveň se může stát, že orgány dozoru nebudou schopny vyřizovat stížnosti nebo provádět šetření týkající se činností prováděných za hranicemi svého státu. Překážkou pro jejich úsilí o přeshraniční spolupráci mohou být také nedostatečné preventivní a nápravné pravomoci a nejednotné právní řády. Proto je třeba podporovat užší spolupráci mezi orgány dozoru pro ochranu údajů s cílem umožnit jim výměnu informací s orgány dozoru jiných zemí.

(51)  Zřízení orgánů dozoru v členských státech vykonávajících zcela nezávisle své úkoly je zásadním prvkem ochrany jednotlivců v souvislosti se zpracováním osobních údajů. Orgány dozoru by měly sledovat uplatňování ustanovení této směrnice a přispívat k jejich jednotnému uplatňování v celé Unii s cílem chránit fyzické osoby v souvislosti se zpracováním jejich osobních údajů. Za tímto účelem by orgány dozoru měly spolupracovat s Komisí a mezi sebou. [pozm. návrh 42]

(52)  Členské státy mohou na orgán dozoru, který již byl v členských státech zřízen podle nařízení (EU) .../2014, přenést odpovědnost za úkoly, jež mají plnit vnitrostátní orgány dozoru, které mají být zřízeny podle této směrnice.

(53)  Členské státy by měly mít možnost zřídit více než jeden orgán dozoru, pokud to odpovídá jejich ústavní, organizační a administrativní struktuře. Každému orgánu dozoru by měly být poskytnuty odpovídající finanční a lidské zdroje, prostory a infrastruktura, včetně technických možností, zkušeností a dovedností, které bude potřebovat pro účinné vykonávání svých úkolů, včetně úkolů, jež bude plnit v rámci vzájemné pomoci a spolupráce s ostatními orgány dozoru v celé Unii. [pozm. návrh 43]

(54)  Obecné podmínky pro členy orgánu dozoru by měly být v každém členském státě upraveny právním předpisem a měly by zejména stanovit, že tito členové by měli být jmenováni parlamentem nebo vládou členského státu nebo jeho vládou, která toto rozhodnutí nejprve konzultuje s parlamentem, a dále by měly obsahovat pravidla o osobní způsobilosti členů a jejich postavení. [pozm. návrh 44]

(55)  Ačkoli se tato směrnice vztahuje také na činnosti vnitrostátních soudů, neměly by být orgány dozoru příslušné k dozoru nad zpracováním osobních údajů, pokud soudy jednají v rámci svých soudních pravomocí, aby byla zachována nezávislost soudců při výkonu jejich soudních úkolů. Tato výjimka by však měla být omezena na čistě soudní činnosti v soudních řízeních a neměla by se vztahovat na jiné činnosti, do kterých mohou být soudci v souladu s vnitrostátním právem zapojeni.

(56)  Aby se zajistilo jednotné sledování a prosazování této směrnice v celé Unii, měly by mít orgány dozoru v každém členském státě tytéž povinnosti a účinné pravomoci, včetně účinných pravomocí provádět šetření, oprávnění k přístupu ke všem osobním údajům a veškerým informacím, které potřebují k výkonu své dozorčí funkce, oprávnění k přístupu do jakýchkoli prostor správce nebo zpracovatele údajů, včetně zařízení na zpracování údajů, a právně závazné zásahy, rozhodnutí a sankce, zejména v případech stížností jednotlivců, a pravomoci obrátit se na soud. [pozm. návrh 45]

(57)  Každý orgán dozoru by se měl zabývat stížnostmi podanými kterýmkoli subjektem údajů a záležitost prošetřit. Šetření, které následuje po podání stížnosti, by mělo být s výhradou soudního přezkumu provedeno v rozsahu, jenž je v daném případě přiměřený. Orgán dozoru by měl subjekt údajů v rozumné lhůtě informovat o vývoji a výsledku stížnosti. Subjekt údajů by měl být průběžně informován v případě, kdy je zapotřebí další šetření nebo koordinace s jiným orgánem dozoru.

(58)  Orgány dozoru by si měly při provádění svých úkolů vzájemně pomáhat, aby bylo zajištěno jednotné uplatňování a prosazování ustanovení přijatých podle této směrnice. Každý orgán dozoru by měl být připraven zúčastnit se společných operací. Oslovený orgán dozoru by měl mít povinnost zareagovat na žádost ve stanovené lhůtě. [pozm. návrh 46]

(59)  Evropská rada pro ochranu údajů zřízená nařízením (EU) …/2012 2014 by měla přispívat k jednotnému uplatňování této směrnice v celé Unii, například poskytovat Komisi poradenství orgánům Unie, a podporovat spolupráci orgánů dozoru v celé Unii a předkládat Komisi stanoviska pro účely přípravy aktů v přenesené pravomoci a prováděcích aktů, které vychází z této směrnice. [pozm. návrh 47]

(60)  Každý subjekt údajů by měl mít právo podat stížnost orgánu dozoru v jakémkoli členském státě a měl by mít právo na soudní opravný prostředek, jestliže se domnívá, že byla porušena jeho práva podle této směrnice, nebo pokud orgán dozoru na stížnost nereaguje nebo nejedná, přestože je to nutné pro ochranu práva subjektu údajů.

(61)  Veškeré subjekty, organizace nebo sdružení, jejichž cílem je chránit práva a zájmy subjektů údajů v souvislosti s ochranou jejich osobních údajů které jednají ve veřejném zájmu a jež byly řádně zřízeny v souladu s právem některého členského státu, by měly mít právo vznést jménem subjektů údajů stížnost nebo uplatnit právo na soudní opravný prostředek, pokud od nich mají patřičné pověření, nebo nezávisle na stížnosti subjektu údajů podat vlastní stížnost, jestliže se domnívají, že došlo k narušení bezpečnosti osobních údajů. [pozm. návrh 48]

(62)  Každá fyzická nebo právnická osoba by měla mít právo na soudní opravný prostředek proti rozhodnutím orgánu dozoru, která se jí týkají. Řízení proti orgánu dozoru by se měla zahajovat před soudy toho členského státu, v němž je daný orgán dozoru usazen.

(63)  Členské státy by měly zajistit, aby existovaly účinné soudní prostředky, které by umožňovaly rychlé přijetí opatření, jež by vedla k nápravě nebo by zabránila porušování této směrnice.

(64)  Veškeré škody, včetně nemajetkové újmy, které mohou vzniknout osobám v důsledku nezákonného zpracování, by měly být nahrazeny správcem nebo zpracovatelem, který může být zproštěn své odpovědnosti, pokud prokáže, že vznik škody mu nelze přičítat, zejména pokud prokáže chybu subjektu údajů nebo v případě vyšší moci. [pozm. návrh 49]

(65)  Každé fyzické nebo právnické osobě, ať již podléhá soukromému či veřejnému právu, která nebude dodržovat tuto směrnici, by měly být uloženy sankce. Členské státy by měly zajistit, že sankce budou účinné, přiměřené a odrazující, a musí přijmout všechna opatření pro uplatnění sankcí.

(65a)  Předávání osobních údajů jiným orgánům nebo soukromým subjektům v Unii je zakázáno, s výjimkou případů, kdy je předání v souladu s právními předpisy a příjemce údajů je usazen v některém členském státě, kdy předání nebrání žádné oprávněné zvláštní zájmy subjektu údajů a je v konkrétním případě nezbytné buď ke splnění zákonem uložené povinnosti správce, který údaje předává, nebo k zabránění bezprostřednímu a závažnému ohrožení veřejné bezpečnosti nebo k předcházení závažnému porušení práv fyzických osob. Správce uvědomí příjemce o účelu zpracování a orgán dozoru o předání údajů. Příjemce by měl být rovněž informován o omezeních pro zpracovávání a zajistit, že tato omezení budou dodržena. [pozm. návrh 50]

(66)  Aby byly splněny cíle této směrnice, zejména chránit základní práva a svobody fyzických osob a především jejich právo na ochranu osobních údajů a zajistit volný pohyb osobních údajů mezi příslušnými orgány v rámci Unie, měla by být na Komisi převedena pravomoc přijímat akty v souladu s článkem 290 Smlouvy o fungování Evropské unie. Akty v přenesené pravomoci by měly být přijímány především s cílem dále specifikovat kritéria a podmínky pro zpracování, které vyžaduje posouzení dopadu na ochranu údajů; kritéria a požadavky v souvislosti s ohlašováním případů narušení  narušením bezpečnosti osobních údajů orgánu dozoru a přiměřenou úrovní ochrany, kterou poskytuje třetí země nebo území či úsek pro zpracování v dané třetí zemi nebo mezinárodní organizace. Je zvláště důležité, aby Komise v rámci přípravné činnosti vedla odpovídající konzultace, a to i na odborné úrovni, zejména konzultace s Evropskou radou pro ochranu údajů. Při přípravě a vypracovávání aktů v přenesené pravomoci by Komise měla zajistit souběžné, včasné a náležité předávání příslušných dokumentů Evropskému parlamentu a Radě. [pozm. návrh 51]

(67)  Komisi by měly být svěřeny prováděcí pravomoci za účelem zajištění jednotných podmínek pro provádění této směrnice, pokud jde o dokumentaci vedenou správci a zpracovateli, bezpečnost zpracování, zejména v souvislosti s normami kódování, a ohlašování případů narušení bezpečnosti osobních údajů orgánu dozoru a odpovídající úroveň ochrany poskytované třetí zemí nebo územím či odvětvím zpracovávání v třetí zemi nebo mezinárodní organizací. Tyto pravomoci by měly být vykonávány v souladu s nařízením Evropského parlamentu a Rady (EU) č. 182/2011 ze dne 16. února 2011, kterým se stanoví pravidla a obecné zásady způsobu, jakým členské státy kontrolují Komisi při výkonu prováděcích pravomocí(6). [pozm. návrh 52]

(68)  Pro přijímání opatření pokud jde o dokumentaci vedenou správci a zpracovateli, bezpečnost zpracování a ohlašování případů narušení bezpečnosti osobních údajů orgánu dozoru a odpovídající úroveň ochrany poskytované třetí zemí nebo územím či odvětvím zpracovávání v třetí zemi nebo mezinárodní organizací, by se měl použít přezkumný postup, neboť se jedná o akty s obecnou působností. [pozm. návrh 53]

(69)  Komise by měla v řádně odůvodněných a krajně naléhavých případech týkajících se třetí země nebo území nebo odvětví zpracování v této třetí zemi nebo mezinárodní organizace, která nezajišťuje přiměřenou úroveň ochrany, přijmout okamžitě uplatnitelné prováděcí akty. [pozm. návrh 54]

(70)  Vzhledem k tomu, že cílů této směrnice, totiž ochrany základních práv a svobod fyzických osob a zejména jejich práva na ochranu jejich osobních údajů a zajištění volného pohybu osobních údajů mezi příslušnými orgány v rámci Unie, nemůže být dosaženo uspokojivě členskými státy, a proto jich ale spíše jich z důvodu rozsahu a účinků tohoto opatření lépe může být lépe dosaženo na úrovni Unie, může Unie přijmout opatření v souladu se zásadou subsidiarity stanovenou v článku 5 Smlouvy o Evropské unii. V souladu se zásadou proporcionality stanovenou v uvedeném článku nepřekračuje tato směrnice rámec toho, co je nezbytné k dosažení těchto cílů. Členské státy mohou stanovit vyšší standardy, než jsou stanoveny v této směrnici. [pozm. návrh 55]

(71)  Rámcové rozhodnutí 2008/977/SVV by tudíž mělo být touto směrnicí zrušeno.

(72)  Konkrétní ustanovení pro zpracovávání osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů v aktech Unie, jež byla přijata před datem přijetí této směrnice a jež upravují zpracovávání osobních údajů mezi členskými státy nebo přístup určených orgánů členských států do informačních systémů zřízených podle Smluv, by neměla být nijak dotčena. Vzhledem k tomu, že z článku 8 Listiny a článku 16 Smlouvy o fungování EU vyplývá, že je nutné v celé Unii důsledně a jednotně zajistit základní právo na ochranu osobních údajů, by Komise by měla do dvou let po vstupu této směrnice v platnost posoudit vztah mezi touto směrnicí a akty, jež byly přijaty před datem přijetí této směrnice a jež upravují zpracovávání osobních údajů mezi členskými státy nebo přístup určených orgánů členských států do informačních systémů zřízených podle Smluv aby bylo zjištěno, nakolik je třeba sladit tato konkrétní ustanovení s touto směrnicí. a měla by předložit příslušné návrhy s cílem zajistit důsledná a jednotná právní pravidla pro zpracování osobních údajů příslušnými orgány nebo pro přístup určených orgánů členských států do informačních systémů zřízených podle Smluv a rovněž pro zpracování osobních údajů orgány, institucemi, úřady a agenturami Unie za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů v rámci oblasti působnosti této směrnice. [pozm. návrh 56]

(73)  Aby bylo zajištěna komplexní a jednotná ochrana osobních údajů v Unii, měly by být mezinárodní dohody uzavřené Unií nebo členskými státy před vstupem této směrnice v platnost změněny v souladu s touto směrnicí. [pozm. návrh 57]

(74)  Touto směrnicí nejsou dotčena pravidla pro boj proti pohlavnímu zneužívání a pohlavnímu vykořisťování dětí a proti dětské pornografii stanovená ve směrnici Evropského parlamentu a Rady 2011/93/EU(7).

(75)  V souladu s článkem 6a Protokolu č. 21 o postavení Spojeného království a Irska s ohledem na prostor svobody, bezpečnosti a práva, připojeného ke Smlouvě o Evropské unii a Smlouvě o fungování Evropské unie, Spojené království a Irsko nebudou vázány pravidly stanovenými v této směrnici, pokud nejsou vázány pravidly Unie pro formy justiční spolupráce v trestních věcech nebo policejní spolupráce, v jejichž rámci musí být ustanovení na základě článku 16 Smlouvy o fungování Evropské unie dodržována.

(76)  V souladu s články 2 a 2a Protokolu o postavení Dánska, připojeného ke Smlouvě o Evropské unii a Smlouvě o fungování Evropské unie, není Dánsko vázáno touto směrnicí a používání této směrnice se na ně nevztahuje. Vzhledem k tomu, že tato směrnice navazuje na schengenské acquis podle hlavy V části třetí Smlouvy o fungování Evropské unie, rozhodne se Dánsko v souladu s článkem 4 uvedeného protokolu do šesti měsíců od přijetí této směrnice, zda ji provede ve svém vnitrostátním právu. [pozm. návrh 58]

(77)  Pokud jde o Island a Norsko, rozvíjí tato směrnice ustanovení schengenského acquis ve smyslu Dohody uzavřené mezi Radou Evropské unie a Islandskou republikou a Norským královstvím o přidružení těchto dvou států k provádění, uplatňování a rozvoji schengenského acquis(8).

(78)  Pokud jde o Švýcarsko, rozvíjí tato směrnice ustanovení schengenského acquis ve smyslu Dohody mezi Evropskou unií, Evropským společenstvím a Švýcarskou konfederací o přidružení Švýcarské konfederace k provádění, uplatňování a rozvoji schengenského acquis(9).

(79)  Pokud jde o Lichtenštejnsko, rozvíjí tyto směrnice ustanovení schengenského acquis ve smyslu Protokolu mezi Evropskou unií, Evropským společenstvím, Švýcarskou konfederací a Lichtenštejnským knížectvím o přistoupení Lichtenštejnského knížectví k dohodě mezi Evropskou unií, Evropským společenstvím a Švýcarskou konfederací o přidružení Švýcarské konfederace k provádění, uplatňování a rozvoji schengenského acquis(10).

(80)  Tato směrnice respektuje základní práva a sleduje zásady uznané v Listině, jak jsou zakotveny ve Smlouvě, zejména právo na respektování soukromého a rodinného života, právo na ochranu osobních údajů, právo na účinnou právní ochranu a spravedlivý proces. Omezení těchto práv jsou v souladu s čl. 52 odst. 1 Listiny, neboť jsou nezbytná pro plnění cílů obecného zájmu, které uznává Unie, nebo plnění potřeby ochrany práv a svobod druhého.

(81)  Členské státy se v souladu se Společným politickým prohlášením členských států a Komise o informativních dokumentech ze dne 28. září 2011(11) zavázaly, že v odůvodněných případech doplní oznámení o opatřeních přijatých za účelem provedení směrnice do vnitrostátního práva o jeden či více dokumentů s informacemi o vztahu mezi jednotlivými složkami směrnice a příslušnými částmi vnitrostátních nástrojů přijatých za účelem provedení směrnice do vnitrostátního práva. Ve vztahu k této směrnici považuje zákonodárce předložení těchto dokumentů za odůvodněné.

(82)  Tato směrnice by členským státům neměla bránit v provedení ustanovení o výkonu práv subjektů údajů na informace, přístup, opravu, výmaz a omezení zpracování jejich osobních údajů v průběhu trestních řízení a případných omezení těchto práv do vnitrostátních pravidel v oblasti trestního řízení,

PŘIJALY TUTO SMĚRNICI:

KAPITOLA I

OBECNÁ USTANOVENÍ

Článek 1

Předmět a cíle

1.  Touto směrnicí se stanoví pravidla pro ochranu fyzických osob v souvislosti se zpracováváním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo a výkonu trestů a podmínky pro volný pohyb těchto osobních údajů.

2.  Členské státy v souladu s touto směrnicí:

a)  chrání základní práva a svobody fyzických osob, zejména jejich právo na ochranu jejich osobních údajů a soukromí, a

b)  zajišťují, aby z důvodu ochrany fyzických osob v souvislosti se zpracováváním osobních údajů nebyla omezena ani zakázána výměna osobních údajů příslušnými orgány v rámci Unie.

2a.  Tato směrnice členským státům nebrání ve stanovení přísnějších záruk, než jsou uvedeny v této směrnici. [pozm. návrh 59]

Článek 2

Oblast působnosti

1.  Tato směrnice se vztahuje na zpracovávání osobních údajů příslušnými orgány za účely uvedenými v čl. 1 odst. 1.

2.  Tato směrnice se vztahuje na zcela nebo částečně automatizované zpracovávání osobních údajů, jakož i na neautomatizované zpracovávání osobních údajů, které jsou obsaženy v evidencích nebo do nich mají být zařazeny.

3.  Tato směrnice se nevztahuje na zpracovávání osobních údajů:

a)  prováděné při výkonu činností, které nespadají do oblasti působnosti práva Unie, zejména v oblasti bezpečnosti státu;

b)  prováděné orgány, institucemi a jinými subjekty Unie. [pozm. návrh 60]

Článek 3

Definice

Pro účely této směrnice se rozumí:

(1)  „subjektem údajů“ identifikovaná fyzická osoba nebo fyzická osoba, kterou lze přímo či nepřímo identifikovat prostředky, o nichž lze důvodně předpokládat, že je správce nebo jakákoli jiná fyzická nebo právnická osoba použijí pro identifikaci dané osoby, zejména s odkazem na identifikační číslo, lokalizační údaje, elektronické identifikátory nebo s odkazem na jeden či více zvláštních prvků její fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo sociální identity;

(2)  „osobními údaji“ veškeré informace o identifikované nebo identifikovatelné fyzické osobě subjektu („subjekt údajů“); identifikovatelnou osobou osoba, kterou lze přímo či nepřímo identifikovat, zejména podle určitého identifikátoru, například podle jména, identifikačního čísla, lokalizačních údajů, jedinečného identifikátoru nebo jednoho či více prvků specifických pro fyzickou, fyziologickou, genetickou, psychickou, ekonomickou, kulturní nebo sociální či pohlavní identitu této osoby;

(2a)  „pseudonymními údaji“ osobní údaje, které nemohou být přiřazeny konkrétnímu subjektu údajů, aniž by byly použity dodatečné informace, pokud jsou tyto dodatečné informace uchovávány odděleně a vztahují se na ně technická a organizační opatření, aby bylo zajištěno, že nebudou přiřazeny;

(3)  „zpracováním“ každý úkon nebo soubor úkonů s osobními údaji nebo soubory osobních údajů, které jsou prováděny pomocí či bez pomoci automatizovaných postupů, jako je shromažďování, zaznamenávání, uspořádávání, strukturování, uchovávání, přizpůsobování nebo pozměňování, vyhledávání, nahlížení, užívání, zveřejňování přenosem, zveřejňování šířením nebo jejich zpřístupňování jiným způsobem, třídění nebo kombinování, omezování, vymazávání nebo ničení;

(3a)   „profilováním“ jakákoli forma automatického zpracování osobních údajů, jehož účelem je hodnocení určitých osobních aspektů vztahujících se k fyzické osobě nebo analýza či odhad zejména pracovního výkonu fyzické osoby, její ekonomické situace, lokalizace, zdraví, osobních preferencí, spolehlivosti nebo chování;

(4)  „omezením zpracování“ značení uložených osobních údajů za účelem omezení jejich zpracování v budoucnu;

(5)  „evidencí“ jakýkoli uspořádaný soubor osobních údajů přístupných podle určených kritérií, ať již je tento soubor centralizován, decentralizován nebo rozdělen podle funkčního či zeměpisného hlediska;

(6)  „správcem“ příslušný orgán veřejné moci, který sám nebo společně s jinými určuje účel, podmínky a prostředky zpracování osobních údajů; jsou-li účel, podmínky a prostředky zpracování určeny právem Unie či členského státu, je možné určit správce nebo zvláštní kritéria pro jeho jmenování na základě práva Unie nebo členského státu;

(7)  „zpracovatelem“ fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jakýkoli jiný subjekt, který zpracovává osobní údaje jménem správce;

(8)  „příjemcem“ fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jakýkoli jiný subjekt, kterým jsou údaje sdělovány;

(9)  „narušením bezpečnosti osobních údajů“ narušení bezpečnosti, které vede k náhodnému náhodné nebo protiprávnímu protiprávní zničení, ztrátě, změně ztráta, změna či neoprávněnému neoprávněné vyzrazení nebo zpřístupnění osobních údajů přenášených, uchovávaných nebo jinak zpracovávaných;

(10)  „genetickými údaji“ všechny údaje jakéhokoli typu týkající se dědičných znaků jedince nebo znaků získaných v období raného prenatálního vývoje;

(11)  „biometrickými údaji“ všechny osobní údaje týkající se fyzických či fyziologických znaků nebo znaků chování jedince, které umožňují jeho jednoznačnou identifikaci, například snímky obličeje nebo daktyloskopické údaje;

(12)  „údaji o zdravotním stavu“ veškeré informace osobní údaje týkající se fyzického nebo duševního zdraví osoby nebo poskytování zdravotních služeb této osobě;

(13)  „dítětem“ každá osoba mladší 18 let;

(14)  „příslušnými orgány“ veškeré orgány veřejné moci příslušné k prevenci, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů;

(15)  „orgánem dozoru“ orgán veřejné moci, který je zřízen členským státem v souladu s článkem 39. [pozm. návrh 61]

KAPITOLA II

ZÁSADY

Článek 4

Zásady související se zpracováváním osobních údajů

Členské státy stanoví, že osobní údaje musí být:

a)  ve vztahu k subjektu údajů zpracovávány korektně a zákonným, transparentním a ověřitelným způsobem;

b)  shromažďovány pro stanovené účely, výslovně vyjádřené a legitimní, a nesmí být dále zpracovávány způsobem, který je s těmito účely neslučitelný;

c)  odpovídající z hlediska účelu, pro který jsou zpracovávány, musí pro něj být relevantní a ve vztahu k němu přiměřené musí být omezeny na nezbytné minimum; zpracovávány jsou pouze tehdy a do té míry, pokud nemůže být daného účelu dosaženo zpracováním informací, které nezahrnují osobní údaje;

d)  přesné, a je-li to nezbytné, i aktualizované; musí být přijata veškerá rozumná opatření, aby osobní údaje, které jsou nepřesné z hlediska účelů, pro které se zpracovávají, byly bezodkladně vymazány nebo opraveny;

e)  uchovávány ve formě umožňující identifikaci subjektů údajů po dobu ne delší, než je nezbytné pro účely, pro které jsou zpracovávány;

f)  zpracovávány v odpovědnosti správce, který zajistí a bude schopen prokázat dodržování ustanovení přijatých podle této směrnice.

fa)  zpracovávány způsobem, jenž subjektu údajů umožňuje účinný výkon jeho práv, jak je stanoveno v článcích 10 až 17;

fb)  zpracovávány způsobem, který chrání před neoprávněným či nezákonným zpracováním a před náhodnou ztrátou, zničením nebo poškozením pomocí vhodných technických nebo organizačních opatření;

fc)  zpracovávány pouze těmi řádně pověřenými pracovníky příslušných orgánů, kteří je potřebují pro výkon svých úkolů. [pozm. návrh 62]

Článek 4a

Přístup k údajům, které byly původně zpracovány k jiným účelům, než jsou účely uvedené v čl. 1 odst. 1

1.  Členské státy stanoví, aby osobní údaje, které byly původně zpracovány k jiným účelům, než jsou účely uvedené v čl. 1 odst. 1, byly příslušným orgánům zpřístupněny, pouze pokud to výslovně povolují právní předpisy Unie nebo členských států, které musí splňovat požadavky stanovené v čl. 7 odst. 1a a musí stanovit, aby:

a)  přístup byl povolen pouze řádně pověřenými pracovníky příslušných orgánů v rámci plnění jejich povinností, za předpokladu, že se lze oprávněně domnívat, že v daném případě zpracování osobních údajů podstatně přispěje k prevenci, vyšetřování, odhalování nebo stíhání trestných činů či výkonu trestů;

b)  žádosti o přístup byly podány písemně a odkazovaly na právní základ žádosti;

c)  písemná žádost byla zdokumentována a

d)  byly zajištěny vhodné záruky, které v souvislosti se zpracováním osobních údajů zajistí ochranu základních práv a svobod. Tyto záruky nemají vliv na zvláštní podmínky pro přístup k osobním údajům, jako je soudní povolení v souladu s právními předpisy členských států, a zároveň tyto podmínky doplňují.

2.  Přístup k osobním údajům shromážděným soukromými subjekty nebo jinými orgány veřejné moci je povolen pouze za účelem vyšetřování nebo stíhání trestných činů v souladu s požadavky nezbytnosti a přiměřenosti, které stanoví právní předpisy Unie nebo členských států, v plném souladu s článkem 7a. [pozm. návrh 63]

Článek 4b

Lhůta uchovávání údajů a přezkum

1.  Členské státy stanoví, aby příslušné orgány vymazaly osobní údaje zpracované v souladu s touto směrnicí, jakmile již nejsou nezbytné pro dosažení účelů, pro něž byly zpracovány.

2.  Členské státy stanoví, aby příslušné orgány zavedly mechanismy, jimiž zajistí stanovení lhůt v souladu s článkem 4 pro vymazání osobních údajů a pro pravidelný přezkum toho, zda je nutné údaje uchovávat, a stanoví lhůty pro uchovávání různých kategorií osobních údajů. Jsou stanovena procesní opatření, která zajistí dodržování těchto lhůt a intervalů pro pravidelné přezkumy. [pozm. návrh 64]

Článek 5

Rozlišování mezi různými kategoriemi Různé kategorie subjektů údajů

1.  Členské státy stanoví, že správce v míře, do jaké je to možné, příslušné orgány mohou za účely uvedenými v čl. 1 odst. 1 zpracovávat osobní údaje následujících různých kategorií subjektů údajů a správce jednoznačně rozlišuje mezi osobními údaji různých kategorií subjektů údajů, například: těmito kategoriemi:

a)  osob, u nichž existují závažné rozumné důvody k domněnce, že spáchaly trestný čin nebo se jej chystají spáchat;

b)  osob odsouzených za trestný čin;

c)  osob, které se staly obětí trestného činu nebo u kterých některé skutečnosti vedou k domněnce, že by obětí trestného činu mohly být, a

d)  třetích osob v souvislosti s trestným činem, například osob, které by mohly být předvolány jako svědci při vyšetřování nebo při následném trestním řízení nebo které mohou poskytnout informace o trestných činech nebo o kontaktu či společníkovi některé z osob uvedených v písmenech a) a b), a

e)  osob, které nespadají do žádné z výše uvedených kategorií.

2.  Osobní údaje jiných subjektů údajů, než jsou subjekty údajů uvedené v odstavci 1, mohou být zpracovávány pouze:

a)  po dobu nezbytnou pro vyšetřování či stíhání konkrétního trestného činu za účelem posouzení relevantnosti údajů pro jednu z kategorií uvedených v odstavci 1 nebo

b)  pokud je takové zpracování nezbytné pro cílené preventivní účely nebo pro účely trestní analýzy, tehdy a do té míry, pokud jsou tyto účely legitimní, náležitě vymezené a konkrétní a pokud je zpracování striktně omezeno na posouzení relevantnosti údajů pro jednu z kategorií uvedených v odstavci 1. To podléhá pravidelnému přezkumu prováděnému nejméně jednou za šest měsíců. Jakékoli další použití je zakázáno.

3.  Členské státy stanoví, aby se na další zpracovávání osobních údajů týkajících se subjektů údajů uvedených v odst. 1 písm. c) a d) vztahovala další omezení a záruky. [pozm. návrh 65]

Článek 6

Různé stupně přesnosti a spolehlivosti osobních údajů

1.  Členské státy zajistí, aby se v míře, do jaké je to možné, rozlišovaly různé kategorie stanoví, aby byla zajištěna přesnost a spolehlivost zpracovávaných osobních údajů podle stupně jejich přesnosti a spolehlivosti.

2.  Členské státy zajistí, aby se v míře, do jaké je to možné, rozlišovaly osobní údaje založené na skutečnostech od osobních údajů založených na osobním hodnocení, podle stupně jejich přesnosti a spolehlivosti.

2a.  Členské státy zajistí, aby nebyly předávány nebo zpřístupňovány osobní údaje, které jsou nepřesné, neúplné či již neaktuální. Příslušné orgány za tímto účelem posoudí kvalitu osobních údajů předtím, než jsou předány nebo zpřístupněny. Při každém předání údajů se k nim pokud možno doplní dostupné informace, čímž bude mít přijímající členský stát možnost zhodnotit stupeň jejich přesnosti, úplnosti, spolehlivosti a míru aktuálnosti. Osobní údaje se nepředávají, pokud o ně příslušné orgány nepožádají, zejména pokud jde o údaje, jež pochází od soukromých subjektů.

2b.  Zjistí-li se, že došlo k předání nesprávných údajů nebo že údaje byly předány protiprávně, musí o tom být příjemce neprodleně informován. Příjemce je povinen tyto údaje neprodleně opravit v souladu s čl. 15 odst. 1 nebo vymazat v souladu s článkem 16. [pozm. návrh 66]

Článek 7

Zákonnost zpracování

1.   Členské státy stanoví, že zpracování osobních údajů je zákonné, pouze pokud je založené na právních předpisech Unie nebo členských států pro účely stanovené v čl. 1 odst. 1 a je nutné:

(a)  pro splnění úkolu prováděného příslušným orgánem na základě právních předpisů pro účely stanovené v čl. 1 odst. 1 nebo

(b)  pro splnění právní povinnosti, které podléhá správce, nebo

(c)  pro ochranu životních zájmů subjektu údajů nebo jiné osoby nebo

(d)  pro zabránění bezprostřednímu a vážnému ohrožení veřejné bezpečnosti.

1a.  Právní předpisy členských států upravující zpracovávání osobních údajů v rámci působnosti této směrnice obsahují explicitní a podrobná ustanovení, alespoň pokud jde o:

a)  cíle zpracování údajů;

b)  zpracovávané osobní údaje;

c)  konkrétní účely a prostředky zpracování;

d)  jmenování správce nebo určení zvláštních kritérií pro jeho jmenování;

e)  kategorie řádně pověřených pracovníků příslušných orgánů, které zpracovávají osobní údaje;

f)  postup zpracování;

g)  možné využití získaných osobních údajů;

h)  rozsah volného uvážení, jež je v souvislosti se zpracováním údajů ponecháno příslušným orgánům. [pozm. návrh 67]

Článek 7a

Další zpracování údajů pro neslučitelné účely

1.  Členské státy stanoví, že osobní údaje lze dále zpracovávat pro jiný účel stanovený v čl. 1 odst. 1, který není slučitelný s účely, k nimž byly údaje původně shromážděny, pokud:

a)  je účel zcela nezbytný a přiměřený v demokratické společnosti a je vyžadován právními předpisy Unie nebo členských států pro legitimní, náležitě vymezený a konkrétní účel;

b)  zpracování je striktně omezeno na dobu, která nepřesahuje dobu potřebnou pro konkrétní zpracování údajů;

c)  je jakékoli další použití pro jiné účely zakázáno.

Před jakýmkoli zpracováním členský stát konzultuje příslušný vnitrostátní orgán dozoru a provede posouzení dopadu na ochranu údajů.

2.  Kromě požadavků uvedených v čl. 7 odst. 1a obsahují právní předpisy členských států, jimiž je povoleno další zpracování uvedené v odstavci 1, jednoznačná a podrobná ustanovení alespoň pro:

a)  konkrétní účely a prostředky použité při daném zpracování;

b)  zajištění, aby přístup byl povolen pouze řádně pověřenými pracovníky příslušných orgánů v rámci plnění jejich povinností, existují-li rozumné důvody k předpokladu, že v daném případě zpracování osobních údajů podstatně přispěje k prevenci, vyšetřování, odhalování a stíhání trestných činů nebo výkonu trestů a

c)  stanovení vhodných záruk, které v souvislosti se zpracováním osobních údajů zajistí ochranu základních práv a svobod.

Členské státy mohou požadovat, aby přístup k osobním údajům podléhal dalším podmínkám v souladu s právními předpisy daného členského státu, jako je soudní povolení.

3.  Členské státy mohou rovněž povolit další zpracovávání osobních údajů pro historické, statistické nebo vědecké účely za předpokladu, že stanoví přiměřené záruky, jako je anonymizace údajů. [pozm. návrh 68]

Článek 8

Zpracovávání zvláštních kategorií osobních údajů

1.  Členské státy zakáží zpracovávání osobních údajů, které odhalují rasový či etnický původ, politické názory, náboženské vyznání nebo filozofické přesvědčení, sexuální orientaci nebo genderovou identitu, členství a činnost v odborových organizacích, jakož i zpracovávání genetických biometrických údajů nebo údajů o zdraví či sexuálním životě.

2.  Odstavec 1 se nepoužije:

a)  pokud je zpracování povoleno právním předpisem, který stanoví vhodné záruky, nezbytně nutné a přiměřené pro splnění úkolů prováděných příslušnými orgány za účely stanovenými v čl. 1 odst. 1 na základě právních předpisů Unie nebo členských států, které stanoví specifická a vhodná opatření k zabezpečení oprávněných zájmů subjektu údajů, včetně konkrétního povolení soudního orgánu, pokud to právní předpisy vyžadují nebo

b)  pokud je zpracování nutné pro ochranu životních zájmů subjektu údajů nebo jiné osoby nebo

c)  pokud se zpracování týká údajů očividně zveřejňovaných subjektem údajů, za předpokladu, že jsou relevantní a nezbytně nutné pro účel sledovaný v daném konkrétním případě. [pozm. návrh 69]

Článek 8a

Zpracování genetických údajů za účelem vyšetřování trestného činu nebo pro potřeby soudního řízení

1.  Členské státy zajistí, aby genetické údaje mohly být použity pouze k určení genetické spojitosti v rámci předkládání důkazů, které zabrání ohrožení veřejné bezpečnosti nebo předejde spáchání konkrétního trestného činu. Genetické údaje nelze použít k určení dalších charakteristik, jež mohou mít genetickou souvislost.

2.  Členské státy stanoví, aby genetické údaje nebo informace pocházející z jejich analýzy bylo možné uchovat pouze po dobu nezbytnou pro dosažení účelů, pro něž byly zpracovány, a pokud dotyčná osoba byla odsouzena za závažné trestné činy namířené proti životu, integritě nebo bezpečnosti osob, přičemž pro uchovávání údajů platí přísné lhůty stanovené právními předpisy členských států.

3.  Členské státy zajistí, aby genetické údaje nebo informace pocházející z jejich analýzy bylo možné uchovávat déle, pouze pokud je nelze přiřadit k určité osobě, zejména jsou-li nalezeny na místě trestného činu. [pozm. návrh 70]

Článek 9

Opatření založená na profilování a automatizované zpracovávání

1.  Členské státy stanoví, že opatření, která vůči subjektu údajů zakládají nepříznivé právní účinky nebo která se jej významně dotýkají a která byla částečně nebo plně přijata výlučně na základě automatizovaného zpracování osobních údajů určeného k vyhodnocení určitých rysů jeho osobnosti, se zakazují s výjimkou případů, kdy jsou povolena právním předpisem, který rovněž upřesňuje opatření zajišťující ochranu oprávněných zájmů subjektu údajů.

2.  Automatizované zpracovávání osobních údajů za účelem vyhodnocení určitých osobnostních rysů subjektu údajů se nesmí opírat pouze o zvláštní kategorie osobních údajů uvedené v článku 8.

2a.  Automatizované zpracovávání osobních údajů za účelem vyčlenění jednoho subjektu údajů bez existence předchozího podezření, že tento subjekt údajů mohl spáchat či spáchá trestný čin, je zákonné pouze tehdy a do té míry, pokud je to zcela nezbytné pro vyšetřování závažného trestného činu nebo pro zabránění jednoznačnému a bezprostřednímu ohrožení veřejné bezpečnosti, existence státu nebo života lidí, zjištěnému na základě věcných skutečností.

2b.  Profilování , které (ať již záměrně, či nikoli) má za důsledek diskriminaci jednotlivců na základě rasy či etnického původu, politických názorů, náboženského vyznání nebo přesvědčení, členství v odborových organizacích nebo sexuální orientace nebo které (ať již záměrně, či nikoli) vede k opatřením, které mají takovýto důsledek, je zakázáno ve všech případech. [pozm. návrh 71]

Článek 9a

Obecné zásady pro práva subjektu údajů

1.  Členské státy zajistí, aby základ pro ochranu údajů byl jasný a vyplývala z něj jednoznačná práva pro subjekt údajů, která správce údajů dodržuje. Cílem ustanovení této směrnice je tato práva posílit, vyjasnit, zaručit a případně kodifikovat.

2.  Členské státy zajistí, aby tato práva mimo jiné zahrnovala poskytování jasných a snadno srozumitelných informací subjektu údajů o zpracovávání osobních údajů tohoto subjektu, právo na přístup k těmto údajům, jejich opravu či výmaz, právo na získání údajů, právo podat příslušnému orgánu na ochranu údajů stížnost a zahájit soudní řízení i právo na kompenzaci a náhradu škody vyplývající z nezákonného zpracování údajů. Tato práva se obecně uplatňují bezplatně. Správce údajů vyřizuje žádosti subjektu údajů v rozumné časové lhůtě. [pozm. návrh 72]

KAPITOLA III

PRÁVA SUBJEKTŮ ÚDAJŮ

Článek 10

Podmínky pro výkon práv subjektů údajů

1.  Členské státy stanoví, že správce podnikne všechny přiměřené kroky k tomu, aby měl má stručná, transparentní, jasná a snadno dostupná pravidla, kterými se řídí zpracovávání osobních údajů a výkon práv subjektů subjektu údajů.

2.  Členské státy stanoví, že správce poskytuje subjektům údajů veškeré informace a veškerá oznámení související se zpracováváním osobních údajů srozumitelnou formou za použití jasného, běžně užívaného jazyka, zejména v případě, kdy jsou informace konkrétně určeny dítěti.

3.  Členské státy stanoví, že správce podnikne všechny přiměřené kroky k tomu, aby zavedl zavede postupy pro poskytování informací uvedených v článku 11 a pro výkon práv subjektů subjektu údajů uvedených v článcích 12 až 17. Pokud se osobní údaje zpracovávají automatizovanými prostředky, správce rovněž poskytne prostředky pro podávání žádostí v elektronické podobě.

4.  Členské státy stanoví, že správce bez zbytečného odkladu informuje subjekt údajů o tom, jaké kroky se podnikají v návaznosti na jeho žádost a v každém případě nejpozději do jednoho měsíce od obdržení žádosti. Informace jsou poskytovány písemně. V případě, že subjekt údajů podá žádost elektronicky, jsou informace poskytnuty v elektronické podobě.

5.  Členské státy stanoví, že správce poskytuje veškeré informace a podniká veškeré kroky v návaznosti na žádosti uvedené v odstavcích 3 a 4 bezplatně. Jestliže jsou žádosti zjevně nepřiměřené a zatěžující, zvláště kvůli svému objemu či rozsahu nebo z toho důvodu tomu, že se jejich obsah opakuje, může správce za poskytnutí informací či provedení požadovaných opatření zpoplatnit, nebo nemusí požadované opatření provést účtovat rozumný poplatek s ohledem na administrativní náklady. V takovém případě nese správce důkazní břemeno, pokud jde o prokázání toho, že je daná žádost svou povahou zjevně nepřiměřená a zatěžující.

5a.  Členské státy mohou stanovit, že subjekt údajů může svá práva uplatnit přímo u správce údajů nebo prostřednictvím příslušného vnitrostátního orgánu dozoru. Pokud orgán dozoru jednal na základě žádosti subjektu údajů, informuje orgán dozoru subjekt údajů o provedeném šetření. [pozm. návrh 73]

Článek 11

Informování subjektů údajů

1.  Pokud se shromažďují osobní údaje týkající se určitého subjektu údajů, členské státy zajistí, že správce přijme všechna odpovídající opatření, aby poskytne danému subjektu údajů poskytl alespoň tyto informace:

a)  totožnost a kontaktní údaje správce a inspektora ochrany údajů;

b)  právní základ a účely zpracování, pro které jsou osobní údaje určeny;

c)  dobu, po kterou se budou osobní údaje uchovávat;

d)  informace o tom, zda má subjekt údajů právo požadovat od správce přístup ke svým osobním údajům a zda má právo na jejich opravu, výmaz nebo omezené zpracování;

e)  informace o právu vznést stížnost k orgánu dozoru uvedenému v článku 39 a jeho kontaktní údaje;

f)  informace o příjemcích nebo kategoriích příjemců daných osobních údajů včetně příjemců v třetích zemích nebo mezinárodních organizacích a o tom, kdo má podle právních předpisů dané třetí země nebo pravidel dané mezinárodní organizace povolen přístup k těmto údajům, zda existuje, či nikoli rozhodnutí Komise o přiměřenosti, nebo v případě předávání údajů podle článku 35 nebo článku 36, o prostředku, jakým získat kopii příslušných záruk použitých pro předání údajů;

fa)  pokud správce zpracovává osobní údaje podle čl. 9 odst. 1, informace o existenci zpracování pro účely některého z opatření uvedených v čl. 9 odst. 1 a zamýšlené dopady takového zpracování na subjekt údajů, informace o logice použité při profilování a o právu na to, aby vyhodnocení bylo provedeno člověkem;

fb)  o bezpečnostních opatřeních přijatých na ochranu osobních údajů;

g)  jakékoli další informace, pokud jsou potřebné k tomu, aby se zaručilo korektní zpracování vzhledem k subjektu údajů, a to s ohledem na zvláštní okolnosti, za kterých se dané osobní údaje zpracovávají.

2.  Pokud se osobní údaje získávají od subjektu údajů, správce kromě informací uvedených v odstavci 1 poskytne subjektu údajů rovněž informace o tom, zda je poskytnutí osobních údajů povinné nebo dobrovolné, jakož i o možných důsledcích neposkytnutí těchto údajů.

3.  Správce poskytne informace uvedené v odstavci 1:

a)  v době, kdy se osobní údaje získávají od subjektu údajů, nebo

b)  jestliže se osobní údaje nezískávají od subjektu údajů, v době záznamu nebo v rozumné lhůtě po jejich získání s přihlédnutím ke konkrétním okolnostem, za nichž se údaje zpracovávají.

4.  Členské státy mohou přijmout legislativní opatření, aby poskytnutí těchto informací subjektům údajů v konkrétním případě přiměřeně opozdily nebo, omezily či od něho upustily, jestliže je v demokratické společnosti částečné nebo úplné omezení s přihlédnutím k základním právům a oprávněným zájmům dotčené osoby nutným a úměrným opatřením:

(a)   aby se zabránilo maření úředních nebo právních šetření, vyšetřování nebo postupů;

(b)  aby se zabránilo ovlivňování prevence, odhalování, vyšetřování a stíhání trestných činů nebo výkonu trestů;

(c)  pro ochranu veřejné bezpečnosti;

(d)  pro ochranu národní bezpečnosti;

(e)  pro ochranu práv a svobod ostatních.

5.  Členské státy zajistí, aby správce každý případ zvlášť prošetřil a posoudil, zda by se mělo uplatnit částečné nebo úplné omezení z jednoho z důvodů uvedených v odstavci 4. Členské státy mohou určit kategorie zpracování, na něž se mohou plně nebo částečně vztahovat výjimky podle odstavce 4 písm. a), b), c) a d). [pozm. návrh 74]

Článek 12

Právo subjektu údajů na přístup

1.  Členské státy stanoví, že subjekt údajů má právo na potvrzení od správce, že se zpracovávají nebo nezpracovávají jeho osobní údaje. Pokud se jsou tyto osobní údaje zpracovávají zpracovávány, správce mu poskytne tyto následující informace, pokud je již neposkytl dříve:

—a)  informace o osobních údajích, které jsou předmětem zpracování, veškeré dostupné informace o jejich původu, a pokud možno srozumitelné informace o postupu automatického zpracování údajů;

—aa)  význam a předpokládané důsledky tohoto zpracování, alespoň v případě opatření uvedených v článku 9;

a)  účely a právní základ zpracování;

b)  kategorie příslušných osobních údajů;

c)  informace o příjemcích nebo kategoriích příjemců, kterým byly osobní údaje zpřístupněny, zejména o příjemcích v třetích zemích;

d)  dobu, po kterou se budou osobní údaje uchovávat;

e)  informace o tom, zda má subjekt údajů právo požadovat od správce opravu, výmaz nebo omezené zpracování svých osobních údajů;

f)  informace o právu podat stížnost orgánu dozoru a kontaktní údaje orgánu dozoru;

g)  informace o osobních údajích, které jsou předmětem zpracování, a veškeré dostupné informace o jejich původu.

2.  Členské státy stanoví, že subjekt údajů má právo získat od správce kopii zpracovávaných osobních údajů. Jestliže subjekt údajů podává žádost v elektronické podobě, poskytují se informace v elektronické podobě, pokud subjekt údajů nepožádá o jiný způsob. [pozm. návrh 75]

Článek 13

Omezení práva na přístup

1.  Členské státy mohou přijmout legislativní opatření, aby přístup subjektů údajů k informacím v konkrétních případech úplně nebo částečně na určité období omezily, jestliže je v demokratické společnosti takové částečné nebo úplné omezení s přihlédnutím k základním právům a oprávněným zájmům dotčené osoby skutečně nutným a úměrným opatřením:

a)  aby se zabránilo maření úředních nebo právních šetření, vyšetřování nebo postupů;

b)  aby se zabránilo ovlivňování prevence, odhalování, vyšetřování a stíhání trestných činů nebo výkonu trestů;

c)  pro ochranu veřejné bezpečnosti;

d)  pro ochranu národní bezpečnosti;

e)  pro ochranu práv a svobod ostatních.

2.  Členské státy zajistí, aby správce každý konkrétní případ zvlášť prošetřil a posoudil, zda se uplatní částečné nebo úplné omezení z jednoho z důvodů uvedených v odstavci 1. Členské státy mohou rovněž pomocí právního předpisu určit kategorie zpracování, na něž se mohou plně nebo částečně vztahovat výjimky podle odstavce odst. 1 písm. a) až d).

3.  V případech uvedených v odstavcích 1 a 2 členské státy stanoví, že správce písemně a bez zbytečného prodlení informuje subjekt údajů o jakémkoli zamítnutí nebo omezení přístupu, o důvodech daného zamítnutí, o možnostech podání stížnosti orgánu dozoru a o uplatnění soudního opravného prostředku. Od sdělení věcných a právních důvodů, které k danému rozhodnutí vedly, lze upustit, pokud by poskytnutí takových informací ohrožovalo některý z účelů podle odstavce 1.

4.  Členské státy zajistí, aby správce zdokumentoval posouzení uvedené v odstavci 2 a rovněž důvody, které vedly k omezení proč se od sdělení věcných či právních důvodů daného rozhodnutí upustilo. Tyto informace se zpřístupní vnitrostátním orgánům dozoru. [pozm. návrh 76]

Článek 14

Podmínky pro uplatnění práva na přístup

1.  Členské státy stanoví, že subjekt údajů má právo požadovat kdykoli požádat, aby orgán dozoru ověřil zákonnost zpracování, a to zejména v případech uvedených v článku článcích 12 a 13.

2.  Členské státy stanoví, že správce informuje subjekty údajů o právu požadovat zásah orgánu dozoru podle odstavce 1.

3.  V případě výkonu práva podle odstavce 1 orgán dozoru informuje subjekty údajů přinejmenším o tom, že došlo k veškerým ověřením z jeho strany, a o výsledku, co se týče zákonnosti předmětného zpracování. Orgán dozoru rovněž subjekt údajů informuje o právu uplatnit soudní opravný prostředek.

3a.  Členské státy mohou stanovit, že subjekt údajů může toto právo uplatnit přímo u správce nebo prostřednictvím příslušného vnitrostátního orgánu dozoru.

3b.  Členské státy zajistí, aby byly stanoveny přiměřené časové lhůty, v nichž musí správce odpovědět na žádosti subjektu údajů týkající se výkonu jeho práva na přístup. [pozm. návrh 77]

Článek 15

Právo na opravu a doplnění

1.  Členské státy stanoví, že subjekt údajů má právo požadovat, aby správce opravil nepřesné nebo doplnil neúplné osobní údaje, které se ho týkají. Subjekt údajů má právo požadovat, aby byly doplněny jeho neúplné osobní údaje, konkrétně formou doplňujícího nebo opravného prohlášení.

2.  Členské státy stanoví, že správce písemně informuje subjekt poskytne subjektu údajů písemné řádně zdůvodněné rozhodnutí o jakémkoli zamítnutí žádosti o opravu či doplnění, o důvodech daného zamítnutí, o možnostech podání stížnosti orgánu dozoru a o uplatnění soudního opravného prostředku.

2a.  Členské státy stanoví, že správce oznámí každému příjemci, jemuž byly údaje zpřístupněny, veškeré provedené opravy s výjimkou případů, kdy to není možné nebo to vyžaduje nepřiměřené úsilí.

2b.  Členské státy stanoví, že správce informuje o opravě nesprávných osobních údajů třetí stranu, od níž tyto nesprávné osobní údaje pocházejí.

2c.  Členské státy stanoví, že subjekt údajů může toto právo uplatnit také prostřednictvím příslušného vnitrostátního orgánu dozoru. [pozm. návrh 78]

Článek 16

Právo na výmaz

1.  Členské státy stanoví, že subjekty údajů mají právo na výmaz svých osobních údajů ze strany správce, jestliže zpracování těchto údajů není v souladu s ustanoveními přijatými podle čl. 4 písm. a) až e) a podle článků článků 6 a 7 až 8 této směrnice.

2.  Správce provede výmaz neprodleně Správce tyto údaje nebude dále šířit.

3.  Správce osobní údaje namísto výmazu osobních údajů omezí jejich vymazání označí zpracování:

a)  pokud subjekt údajů popírá jejich přesnost, a to na dobu potřebnou k tomu, aby správce mohl přesnost údajů ověřit;

b)  pokud musí být dané osobní údaje uchovány pro účely dokazování nebo ochrany životně důležitých zájmů subjektu údajů či jiné osoby.

c)  pokud subjekt údajů odmítá jejich výmaz a žádá místo toho o omezení jejich použití.

3a.  Pokud je zpracování osobních údajů omezeno ve smyslu odstavce 3, správce informuje subjekt údajů před zrušením omezení zpracování.

4.  Členské státy stanoví, že správce písemně informuje subjekt poskytne subjektu údajů písemné řádně zdůvodněné rozhodnutí o jakémkoli zamítnutí výmazu nebo označení omezení, o důvodech daného zamítnutí a o možnostech podat stížnost orgánu dozoru a uplatnit soudní opravný prostředek.

4a.  Členské státy stanoví, že správce oznámí příjemcům, kterým byly tyto údaje zaslány, veškeré výmazy nebo omezení provedené podle odstavce 1, s výjimkou případů, kdy to není možné nebo to vyžaduje nepřiměřené úsilí. Správce informuje subjekt údajů o těchto třetích stranách.

4b.  Členské státy mohou stanovit, že subjekt údajů může toto právo uplatnit přímo u správce nebo prostřednictvím příslušného vnitrostátního orgánu dozoru. [pozm. návrh 79]

Článek 17

Práva subjektů údajů při vyšetřování a v trestním řízení

Členské státy mohou stanovit, že pokud jsou osobní údaje obsaženy v soudním rozhodnutí nebo v záznamu vypracovaném v průběhu vyšetřování a v trestním řízení, práva na informace, přístup, opravu, výmaz a omezení zpracování uvedená v článcích 11 až 16 se plní v souladu s vnitrostátními pravidly pro soudní řízení.

KAPITOLA IV

SPRÁVCE A ZPRACOVATEL

ODDÍL 1

OBECNÉ POVINNOSTI

Článek 18

Odpovědnost správce

1.  Členské státy stanoví, že správce přijímá politiky a provádí vhodná opatření, aby zajistil a byl schopen u každé operace zpracovávání transparentně prokázat, že zpracovávání osobních údajů bude probíhat v souladu s ustanoveními přijatými podle této směrnice, a to jak v okamžiku, kdy jsou určeny prostředky, jimiž má být zpracovávání prováděno, tak v době samotného zpracovávání.

2.  Součástí opatření uvedených v odstavci 1 je zejména:

a)  vedení dokumentace uvedené v článku 23;

aa)  vypracování posouzení dopadu na ochranu údajů podle článku 25a;

b)  dodržování požadavků na předchozí konzultace podle článku 26;

c)  provedení požadavků týkajících se bezpečnosti údajů stanovených v článku 27;

d)  jmenování inspektora ochrany údajů podle článku 30,

da)  ve vhodných případech vypracování a zavedení konkrétních záruk v oblasti zpracování osobních údajů týkajících se dětí.

3.  Správce zavede mechanismy pro ověření přiměřenosti a účinnosti opatření uvedených v odstavci 1 tohoto článku. Je-li to přiměřené, provede toto ověření nezávislý interní nebo externí auditor. [pozm. návrh 80]

Článek 19

Ochrana údajů již od návrhu a standardní nastavení ochrany údajů

1.  Členské státy stanoví, že správce přijme s ohledem na stav techniky, a náklady provedení odpovídající současné technické znalosti, mezinárodní osvědčené postupy a rizika, která představuje zpracování údajů, přijme správce a případně zpracovatel při určování účelů a prostředků zpracování i při samotném zpracovávání vhodná a přiměřená technická a organizační opatření a postupy tak, aby zpracovávání dané zpracování splňovalo požadavky ustanovení přijatých podle na základě této směrnice, a zaručí a zaručovalo ochranu práv subjektu údajů, zejména pak s ohledem na zásady uvedené v článku 4. Ochrana údajů již od návrhu se především soustředí na správu osobních údajů po celou dobu jejich existence, tj. od jejich shromáždění a zpracování až po jejich výmaz, a během celého procesu se soustavně zaměřuje na poskytování komplexních procesních záruk uplatňujících se na správnost, důvěrnost, celistvost, fyzickou bezpečnost a výmaz osobních údajů. Pokud správce provedl posouzení dopadů podle článku 25a, budou při vypracování těchto opatření a postupů jeho výsledky zohledněny.

2.  Správce zavede mechanismy, kterými zajistí, že standardně se budou zpracovávat pouze ty osobní údaje, jež které jsou pro účely daného každý konkrétní účel zpracování nutné, a že zejména jejich shromažďování, uchovávání či šíření nepřesáhne minimum, jež je pro tyto účely nezbytné, a to jak co do množství údajů, tak do doby jejich uchovávání. Tyto mechanismy konkrétně zaručí, že osobní údaje se nebudou standardně zpřístupňovat neomezenému počtu fyzických osob a že subjekty údajů budou mít možnost kontrolovat šíření svých osobních údajů. [pozm. návrh 81]

Článek 20

Společní správci

1.  Členské státy stanoví, že pokud správce určuje účel, podmínky a prostředky zpracování osobních údajů společně s ostatními, určí společní správci ve vzájemném prostřednictvím právně závazného vzájemného ujednání, jakou odpovědnost každý z nich nese za dodržování ustanovení přijatých podle této směrnice, zejména pokud jde o postupy a mechanismy pro výkon práv subjektů údajů.

2.  Nebyl-li subjekt údajů informován o tom, který ze společných správců nese příslušnou odpovědnost podle odstavce 1, může tento subjekt údajů uplatnit svá práva podle této směrnice ve vztahu ke kterémukoli ze dvou čí více společných správců a proti nim. [pozm. návrh 82]

Článek 21

Zpracovatel

1.  Členské státy stanoví, že pokud se provádí zpracování jménem správce, správce musí vybrat vybere zpracovatele, který nabízí dostatečné záruky k přijetí vhodných technických a organizačních opatření a postupů tak, aby dané zpracování splnilo požadavky vyplývající z ustanovení přijatých podle této směrnice a aby byla zaručena ochrana práv subjektu údajů, zejména z hlediska technických bezpečnostních opatření a organizačních opatření, jimiž se bude plánované zpracování řídit, a zajistí soulad s těmito opatřeními.

2.  Členské státy stanoví, že zpracovatel se musí při zpracovávání řídit smlouvou nebo právním aktem, který jej zavazuje které jej zavazují vůči správci a který které konkrétně stanoví, že zpracovatel: jedná pouze na pokyn správce, a to zejména tehdy, kdy je zakázáno používané osobní údaje předávat.

a)  jedná pouze podle pokynů správce;

b)  zaměstnává pouze pracovníky, kteří souhlasili s tím, že budou vázáni povinností zachovávat mlčenlivost, nebo na něž se povinnost mlčenlivosti vztahuje ze zákona;

c)  podnikne všechna požadovaná opatření podle článku 27;

d)  do zpracování údajů zapojí dalšího zpracovatele pouze se souhlasem správce, z čehož vyplývá, že jej o svém záměru zapojit dalšího zpracovatele uvědomí s dostatečným předstihem, aby správce mohl vznést námitky;

e)  v míře, do níž je to s ohledem na povahu daného zpracování možné, přijme po dohodě se správcem nezbytná technická a organizační opatření pro splnění správcovy povinnosti reagovat na žádosti o výkon práv subjektu údajů stanovených v kapitole III;

f)  napomáhá správci zajišťovat plnění povinností podle článků 25a až 29;

g)  vrací po ukončení zpracování veškeré výsledky správci, osobní údaje jinak nezpracovává a vymaže existující kopie, pokud právní předpisy Unie nebo členského státu nepožadují uchování údajů;

h)  poskytne správci a orgánu dozoru veškeré informace potřebné pro ověření toho, zda byly splněny povinnosti stanovené v tomto článku;

i)  zohledňuje zásadu ochrany údajů již od návrhu a standardního nastavení ochrany údajů.

2a.  Správce a zpracovatel písemně zdokumentují správcovy pokyny a zpracovatelovy povinnosti uvedené v odstavci 2.

3.  Jestliže zpracovatel zpracovává jiné osobní údaje, než k jakým mu dal pokyn správce, považuje se ve vztahu k takovému zpracování za správce a vztahují se na něho pravidla o společných správcích uvedená v článku 20.[pozm. návrh 83]

Článek 22

Zpracovávání z pověření správce a zpracovatele

1.   Členské státy stanoví, že zpracovatel a kdokoli, kdo jedná z pověření správce nebo zpracovatele a má přístup k osobním údajům, může tyto osobní údaje zpracovávat pouze na pokyn správce nebo pouze tehdy, kdy je zpracování požadováno právem Unie nebo právem členského státu.

1a.  Zpracovatel je považován za společného správce ve smyslu článku 20, jestliže má nebo získá rozhodující podíl na určení účelů, prostředků a metod zpracování údajů, nebo jestliže nejedná výhradně na základě pokynů správce. [pozm. návrh 84]

Článek 23

Dokumentace

1.  Členské státy stanoví, že každý správce a zpracovatel vede dokumentaci o všech systémech a postupech zpracování, za které nese odpovědnost.

2.  V dokumentaci jsou obsaženy přinejmenším tyto údaje:

a)  jméno a kontaktní údaje správce nebo případného společného správce či zpracovatele;

aa)  právně závazná dohoda v případě společných správců; seznam zpracovatelů a činností prováděných zpracovateli;

b)  účely zpracování;

ba)  informace o tom, které části organizace správce nebo zpracovatele jsou pověřeny zpracováním osobních údajů pro konkrétní účel;

bb)  popis kategorie nebo kategorií subjektů údajů a údajů nebo kategorií údajů, které se na ně vztahují;

c)  příjemci nebo kategorie příjemců osobních údajů;

ca)  v případě potřeby informace o tom, že dochází k profilování, o opatřeních založených na profilování a o mechanismech pro vznesení námitky proti profilování;

cb)  srozumitelné informace o postupu případného automatického zpracovávání údajů;

d)  informace o předávání údajů do třetích zemí nebo mezinárodním organizacím, včetně informací, jež danou třetí zemi či mezinárodní organizaci identifikují, a právního základu pro předání údajů; v případě, že předání vychází z článků 35 nebo 36 této směrnice, uvede se věcné vysvětlení;

da)  lhůty pro výmaz jednotlivých kategorií údajů;

db)  výsledky ověřování opatření uvedených v čl. 18 odst. 1;

dc)  uvedení právního základu zpracování, pro něž jsou údaje určeny;

3.  Správce a zpracovatel poskytnou tuto veškerou dokumentaci na požádání orgánu dozoru. [pozm. návrh 85]

Článek 24

Vedení záznamů

1.  Členské státy zajistí, aby se vedly záznamy přinejmenším o těchto zpracováních: o sběru, pozměňování, nahlížení, sdělování, kombinování nebo výmazu. V záznamech o nahlížení a sdělování se uvádějí zejména účel, datum a čas, kdy k takovým úkonům došlo, a je-li to možné, uvede se v nich rovněž totožnost osoby, která do osobních údajů nahlížela nebo která je sdělovala, a totožnost příjemců těchto údajů.

2.  Záznamy se používají výhradně za účelem ověření zákonnosti zpracování, vlastní kontroly a zajištění toho, aby údaje zůstaly neporušené a v bezpečí, nebo pro účely auditu, který provede buď inspektor ochrany údajů, nebo orgán ochrany údajů.

2a.  Správce a zpracovatel poskytnou tyto záznamy na požádání orgánu dozoru. [pozm. návrh 86]

Článek 25

Spolupráce s orgánem dozoru

1.  Členské státy stanoví, že správce a zpracovatel spolupracují na požádání s orgánem dozoru při výkonu jeho povinností, a to zejména tím, že mu poskytují veškeré informace které k plnění svých povinností potřebuje uvedené v čl. 46 odst. 2 písm. a) a umožňují mu přístup v souladu s ustanovením čl. 46 odst. 2 písm. b).

2.  Správce a zpracovatel reagují na výkon pravomocí ze strany orgánu dozoru podle čl. 46 odst. 1 písm. a) a b) tak, že orgánu dozoru odpovídají v rozumné lhůtě, kterou určí orgán dozoru. V návaznosti na připomínky orgánu dozoru popíší v odpovědi přijatá opatření a dosažené výsledky. [pozm. návrh 87]

Článek 25a

Posuzování dopadu na ochranu údajů

1.  Členské státy zajistí, aby správce nebo zpracovatel, který jedná jménem správce, provedli posouzení dopadu navrhovaných systémů a postupů zpracovávání údajů na ochranu osobních údajů v případě, kdy je zpracovávání údajů kvůli své povaze, rozsahu nebo účelům pravděpodobně spojeno s konkrétními riziky pro práva a svobody subjektů údajů, a to před zavedením nového postupu zpracování nebo co nejdříve v případě již zavedeného postupu zpracování.

2.  Tato konkrétní rizika uvedená v odstavci 1 s sebou pravděpodobně mohou nést především následující postupy zpracování:

a)  zpracování osobních údajů v systémech rozsáhlé evidence údajů za účelem prevence, odhalování, vyšetřování či stíhání trestných činů nebo výkonu trestů;

b)  zpracování zvláštních kategorií osobních údajů podle článku 8, osobních údajů týkajících se dětí a biometrických a lokalizačních údajů za účelem prevence, odhalování, vyšetřování či stíhání trestných činů nebo výkonu trestů;

c)  vyhodnocování osobních aspektů týkajících se fyzických osob nebo rozbor či předvídání především chování těchto fyzických osob, které vychází z automatizovaného zpracování údajů a na jejichž základě budou pravděpodobně přijímána opatření, jež ve vztahu k danému jednotlivci vyvolají právní účinky nebo se jej významným způsobem dotknou;

d)  sledování veřejně přístupných prostorů, především pokud se k němu používá optických elektronických přístrojů (videokamer); nebo

e)  jiné postupy zpracování, u nichž se podle čl. 26 odst. 1 vyžaduje konzultace orgánu dozoru.

3.  Posouzení obsahuje přinejmenším:

a)  systematický popis plánovaného zpracování;

b)  posouzení nezbytnosti a přiměřenosti zpracování z hlediska účelu;

c)  posouzení rizik vůči právům a svobodám subjektu údajů a opatření plánovaná k řešení těchto rizik a k minimalizaci objemu zpracovávaných osobních údajů;

d)  bezpečnostní opatření a mechanismy k zajištění ochrany osobních údajů a k prokázání souladu s ustanoveními přijatými na základě této směrnice, a to s přihlédnutím k právům a oprávněným zájmům subjektů údajů a dalších dotčených osob;

e)  obecné informace o lhůtách pro výmaz jednotlivých kategorií údajů;

f)  v příslušných případech seznam plánovaných předávání údajů do třetích zemí nebo mezinárodním organizacím, včetně informací, jež danou třetí zemi či mezinárodní organizaci identifikují, a v případě předávání podle čl. 36 odst. 2 doložení vhodných záruk.

4.  Pokud správce nebo zpracovatel jmenoval inspektora ochrany údajů, bude zapojen do vypracovávání posouzení dopadu.

5.  Členské státy stanoví, že správce konzultuje ohledně zamýšleného zpracování veřejnost, aniž je tím dotčena ochrana veřejného zájmu nebo bezpečnost zpracování.

6.  Aniž by byla dotčena ochrana veřejného zájmu nebo bezpečnost zpracování, posouzení bude snadno dostupné veřejnosti.

7.  Komise je poté, co si vyžádá stanovisko Evropské rady pro ochranu údajů, v souladu s článkem 56 zmocněna přijímat akty v přenesené pravomoci, jejichž cílem je dále vymezit kritéria a podmínky pro zpracování, u nějž je pravděpodobné, že by mohlo představovat specifická rizika uvedená v odstavcích 1 a 2, a stanovit požadavky na posouzení zmíněné v odstavci 3, včetně podmínek v podobě škálovatelnosti, ověřování a auditovatelnosti. [pozm. návrh 88]

Článek 26

Předchozí konzultace orgánu dozoru

1.  Členské státy zajistí, aby správce nebo zpracovatel konzultoval orgán dozoru před zpracováním osobních údajů které budou součástí nové evidence, jež má být vytvořena s cílem zajistit soulad zamýšleného zpracování s ustanoveními přijatými na základě této směrnice, a zejména omezit související rizika pro subjekty údajů, pokud:

a)  se mají zpracovávat zvláštní kategorie posouzení dopadu na ochranu údajů uvedené v podle článku 8 25a nasvědčuje tomu, že zpracování bude kvůli své povaze, rozsahu nebo účelu pravděpodobně spojeno s vysokou mírou specifických rizik, nebo

b)  z typu zpracování, zejména při využití nových technologií, mechanismů nebo postupů, jinak vyplývají zvláštní rizika pro základní práva a svobody subjektu orgán dozoru považuje za nutné provést předběžné konzultace o konkrétních zpracováních, která jsou kvůli své povaze, rozsahu nebo účelu pravděpodobně spojena se specifickými riziky z hlediska práv a svobod subjektů údajů, zejména pro právo na ochranu osobních údajů.

1a.  Pokud orgán dozoru při výkonu své pravomoci určí, že zamýšlené zpracování není v souladu s ustanoveními přijatými na základě této směrnice, a zejména nejsou-li dostatečně určena či omezena rizika, zamýšlené zpracování zakáže a předloží příslušné návrhy na nápravu tohoto nesouladu.

2.  Členské státy mohou stanovit stanoví, že orgán dozoru sestaví po konzultaci Evropské rady pro ochranu údajů seznam zpracování, na která se vztahuje předchozí konzultace podle odstavce odst. 1 písm. b).

2a.  Členské státy stanoví, že správce nebo zpracovatel poskytují orgánu dozoru posouzení dopadu na ochranu údajů podle článku 25a a na požádání poskytnou jakékoli další informace, jež orgánu dozoru umožní posoudit soulad zpracování s touto směrnicí, a zejména posoudit rizika z hlediska ochrany osobních údajů subjektu údajů a související záruky.

2b.  Pokud se orgán dozoru domnívá, že zamýšlené zpracování není v souladu s ustanoveními přijatými na základě této směrnice, nebo že jsou rizika nedostatečně určena či omezena, předloží příslušné návrhy na nápravu tohoto nesouladu.

2c.  Členské státy mohou konzultovat orgán dozoru při přípravě legislativního opatření přijímaného vnitrostátním parlamentem nebo při přípravě opatření, které z takového legislativního opatření vychází, v nichž je určena povaha zpracování, aby se zajistil soulad zamýšleného zpracování s touto směrnicí, a zejména aby se omezila rizika pro subjekty údajů. [pozm. návrh 89]

ODDÍL 2

BEZPEČNOST ÚDAJŮ

Článek 27

Bezpečnost zpracovávání

1.  Členské státy stanoví, že správce a zpracovatel přijmou zavedou s ohledem na stav techniky a na náklady na jejich provedení vhodná technická a organizační opatření a postupy, aby zajistili úroveň bezpečnosti, která bude odpovídat rizikům vyplývajícím ze zpracování a z povahy údajů, jež mají být chráněny.

2.  Pokud jde o automatizované zpracovávání, všechny členské státy stanoví, že správce nebo zpracovatel provede po zhodnocení rizik opatření, jimiž:

a)  zabrání neoprávněným osobám v přístupu k zařízení využívanému pro zpracovávání osobních údajů (kontrola přístupu k zařízením);

b)  zabrání neoprávněnému čtení, kopírování, pozměňování nebo odstraňování nosičů údajů (kontrola nosičů údajů);

c)  zabrání neoprávněnému vkládání údajů a neoprávněnému prohlížení, pozměňování nebo vymazávání uložených osobních údajů (kontrola uchovávání);

d)  zabrání neoprávněným osobám v užívání automatizovaných systémů pro zpracovávání údajů pomocí zařízení pro přenos údajů (kontrola uživatelů);

e)  zajistí, aby osoby oprávněné k využívání určitého automatizovaného systému pro zpracovávání údajů měly přístup pouze k údajům, na které se vztahuje jejich oprávnění k přístupu (kontrola přístupu k údajům);

f)  zajistí, aby bylo možné ověřit a zjistit, kterým subjektům byly nebo mohou být osobní údaje předány nebo zpřístupněny za použití zařízení pro přenos údajů (kontrola přenosu);

g)  zajistí, aby bylo možné zpětně ověřit a zjistit, které osobní údaje byly vloženy do automatizovaných systémů pro zpracovávání údajů a kdo a kdy je do těchto systémů vložil (kontrola vkládání);

h)  zabrání neoprávněnému čtení, kopírování, pozměňování nebo vymazávání osobních údajů při předávání osobních údajů nebo při přepravě nosičů údajů (kontrola přepravy);

i)  zajistí, aby instalované systémy mohly být v případě výpadku obnoveny (obnova);

j)  zajistí, aby systém fungoval, aby byl hlášen výskyt chyb ve funkcích (spolehlivost) a aby uložené údaje nebylo možné poškodit špatným fungováním systému (neporušenost).

ja)  zajistí, aby v případě zpracování citlivých osobních údajů podle článku 8 byla vždy uplatněna dodatečná bezpečnostní opatření, která zajistí informovanost o rizicích v daném případě a možnost přijmout preventivní a opravná opatření a opatření ke zmírnění dopadů, a to v téměř reálném čase, pokud jde o odhalené zranitelné situace nebo incidenty, které by mohly představovat riziko pro dané údaje.

2a.  Členské státy stanoví, že zpracovatelem může být jmenován pouze ten, kdo poskytne záruku, že provede nezbytná technická a organizační opatření uvedená v odstavci 1 a že se bude řídit pokyny podle čl. 21 odst. 2 písm. a). Příslušný orgán nad zpracovatelem v tomto smyslu vykonává dozor.

3.  Komise může v případě potřeby přijmout prováděcí akty, aby vymezila požadavky stanovené v odstavcích 1 a 2 pro různé situace, zejména pokud jde o normy kódování. Tyto prováděcí akty se přijmou v souladu s přezkumným postupem uvedeným v čl. 57 odst. 2. [pozm. návrh 90]

Článek 28

Ohlašování případů narušení bezpečnosti osobních údajů orgánu dozoru

1.  Členské státy stanoví, že dojde-li k narušení bezpečnosti osobních údajů, správce jej ohlásí orgánu dozoru, a to bez zbytečného odkladu, a je-li to možné, nejpozději do 24 hodin od chvíle, kdy toto narušení zjistil. Pokud není případ ohlášen V případě zpoždění poskytne správce orgánu dozoru do 24 hodin, správce poskytne orgánu dozoru na požádání odůvodnění daného zpoždění. bude-li o ně požádán.

2.  Zpracovatel informuje správce o narušení bezpečnosti osobních údajů okamžitě bez zbytečného odkladu poté, co je zjistí je narušení zjištěno, a na tuto skutečnost jej upozorní.

3.  V oznámení uvedeném v odstavci 1 musí být přinejmenším:

a)  popsána povaha daného případu narušení bezpečnosti osobních údajů, včetně kategorií a počtu dotčených subjektů údajů a kategorií a množství dotčených záznamů;

b)  sdělena totožnost a kontaktní údaje inspektora ochrany údajů uvedeného v článku 30 nebo jiného kontaktního subjektu, který může poskytnout bližší informace;

c)  doporučena opatření ke zmírnění nežádoucích účinků, které by dané narušení bezpečnosti osobních údajů mohlo mít;

d)  popsány možné důsledky narušení bezpečnosti osobních údajů;

e)  popsána opatření, která správce navrhl nebo přijal k řešení daného narušení a ke zmírnění jeho dopadů.

V případě, že veškeré informace nemohou být poskytnuty bez zbytečného odkladu, správce může doplnit ohlášení ve druhé fázi.

4.  Členské státy stanoví, že veškeré případy narušení bezpečnosti osobních údajů správce zdokumentuje, přičemž zaznamená příslušné okolnosti, účinky daného narušení a kroky podniknuté pro jeho nápravu. Dokumentace musí orgánu být dostačující k tomu, aby orgán dozoru umožňovat ověření souladu mohl ověřit soulad s tímto článkem. Dokumentace obsahuje pouze ty informace, které jsou k tomuto účelu nutné.

4a.  Orgán dozoru vede veřejný rejstřík typů oznámených případů narušení bezpečnosti údajů.

5.  Komise je poté, co podá žádost o stanovisko Evropské rady pro ochranu údajů, zmocněna přijímat akty v přenesené pravomoci v souladu s článkem 56 za účelem dalšího vymezení kritérií a požadavků, pokud jde o zjišťování případů narušení bezpečnosti osobních údajů uvedené v odstavcích 1 a 2 a o konkrétní okolnosti, za nichž jsou správce a zpracovatel povinni narušení ohlašovat.

6.  Komise může stanovit standardní formát pro hlášení orgánu dozoru, může stanovit postupy pro ohlašovací povinnost a formu a způsoby dokumentace uvedené v odstavci 4 včetně lhůt pro výmaz informací v ní obsažených. Tyto prováděcí akty se přijmou v souladu s přezkumným postupem uvedeným v čl. 57 odst. 2. [pozm. návrh 91]

Článek 29

Oznamování případů narušení bezpečnosti osobních údajů subjektům údajů

1.  Členské státy stanoví, že jestliže je pravděpodobné, že narušení bezpečnosti osobních údajů se nepříznivě dotkne ochrany osobních údajů, soukromí nebo práv či oprávněných zájmů subjektu údajů, správce po ohlášení uvedeném v článku 28 oznámí případ narušení bez zbytečného odkladu dotčenému subjektu údajů.

2.  V oznámení Oznámení subjektu údajů podle odstavce 1 bude komplexní a bude napsáno v jasném a běžném jazyce. Popíše se popíše v něm povaha narušení bezpečnosti osobních údajů a uvedou se v něm přinejmenším informace a doporučení podle čl. 28 odst. 3 písm. b), a c) a d) a informace o právech subjektu údajů, včetně práva na nápravu.

3.  Oznámení o narušení bezpečnosti osobních údajů dotčenému subjektu údajů není nutné, pokud správce ke spokojenosti orgánu dozoru prokáže, že zavedl náležitá technická ochranná opatření a že tato opatření byla použita u osobních údajů, jejichž bezpečnost byla narušena. Tato technická ochranná opatření zajistí, že dotčené údaje nebudou srozumitelné pro nikoho, kdo není oprávněn k nim přistupovat.

3a.  Aniž by byla dotčena povinnost správce oznamovat narušení bezpečnosti osobních údajů dotčeným subjektům údajů, pokud správce již narušení bezpečnosti osobních údajů dotčenému subjektu údajů neoznámil, může mu po zvážení pravděpodobných nežádoucích účinků narušení toto oznámení subjektu údajů uložit orgán dozoru.

4.  Oznámení subjektu údajů lze odložit nebo, omezit či nerealizovat z důvodů uvedených v čl. 11 odst. 4. [pozm. návrh 92]

ODDÍL 3

INSPEKTOR OCHRANY ÚDAJŮ

Článek 30

Jmenování inspektora ochrany údajů

1.  Členské státy stanoví, že správce nebo zpracovatel jmenuje inspektora ochrany údajů.

2.  Inspektor ochrany údajů je jmenován na základě profesních kvalit, zejména na základě jeho odborných znalostí práva a praxe v oblasti ochrany údajů a na základě jeho schopnosti plnit úkoly stanovené v článku 32. Potřebná úroveň odborných znalostí se určí zejména podle prováděného zpracování údajů a podle ochrany, která se vyžaduje pro osobní údaje zpracovávané správcem nebo zpracovatelem.

2a.  Členské státy stanoví, že správce nebo zpracovatel zajistí, aby veškeré jiné profesní povinnosti inspektora ochrany údajů byly slučitelné s jeho úkoly a povinnostmi jakožto inspektora ochrany údajů a aby nevedly ke střetu zájmů.

2b.  Inspektor ochrany údajů je jmenován na dobu nejméně čtyř let. Inspektor ochrany údajů může být opětovně jmenován na další funkční období. Inspektor ochrany údajů může být během funkčního období odvolán z funkce, pouze pokud přestal splňovat podmínky pro výkon svých povinností.

2c.  Členské státy zajistí, aby subjekty údajů měly právo obrátit se na inspektora ochrany údajů ve všech záležitostech souvisejících se zpracováváním jejich osobních údajů.

3.  Inspektor ochrany údajů může být s přihlédnutím k organizační struktuře příslušného orgánu jmenován pro více organizačních jednotek.

3a.  Členské státy stanoví, že správce nebo zpracovatel sdělí jméno a kontaktní údaje inspektora ochrany údajů orgánu dozoru a veřejnosti. [pozm. návrh 93]

Článek 31

Postavení inspektora ochrany údajů

1.  Členské státy stanoví, že správce nebo zpracovatel zajistí, aby byl inspektor ochrany údajů náležitě a včas zapojen do veškerých záležitostí souvisejících s ochranou osobních údajů.

2.  Správce nebo zpracovatel zajistí, aby byl inspektor ochrany údajů vybaven prostředky k účinnému a nezávislému plnění svých povinností a úkolů uvedených v článku 32 a aby nepřijímal žádné pokyny k výkonu své funkce.

2a.  Správce nebo zpracovatel jsou inspektorovi ochrany údajů při plnění jeho úkolů nápomocni a poskytují mu veškeré prostředky, včetně personálu, prostor, vybavení, průběžných odborných školení a jakýchkoli dalších zdrojů nezbytných k výkonu povinností a úkolů uvedených v článku 32 a k udržování jeho odborných znalostí. [pozm. návrh 94]

Článek 32

Úkoly inspektora ochrany údajů

Členské státy stanoví, že správce nebo zpracovatel svěří inspektorovi ochrany údajů alespoň tyto úkoly:

(a)  posilovat jejich povědomí správce nebo zpracovatele, informovat je a udílet jim rady, pokud jde o jejich povinnosti plynoucí z ustanovení přijatých podle této směrnice, zejména v souvislosti s technickými a organizačními opatřeními a postupy, a vést dokumentaci o této činnosti a obdržených odpovědích;

(b)  sledovat provádění a uplatňování politik souvisejících s ochranou osobních údajů včetně svěřování odpovědnosti, školení pracovníků zapojených do zpracovávání a souvisejících auditů;

(c)  sledovat provádění a uplatňování ustanovení přijatých podle této směrnice, zejména požadavků týkajících se ochrany údajů již od návrhu, standardního nastavení ochrany údajů a bezpečnosti údajů a požadavků týkajících se informovanosti subjektů údajů a jejich žádostí o výkon jejich práv podle ustanovení přijatých podle této směrnice;

(d)  zajišťovat, aby se vedla dokumentace uvedená v článku 23;

(e)  sledovat dokumentaci a ohlašování a oznamování případů narušení bezpečnosti osobních údajů podle článků 28 a 29;

(f)  sledovat uplatňování posouzení dopadu na ochranu údajů ze strany jejich správce či zpracovatele a také to, zda je orgán dozoru žádán o předchozí konzultaci, je-li tato konzultace podle článku čl. 26 odst. 1 zapotřebí;

(g)  sledovat reakce na žádosti orgánu dozoru a v mezích svých pravomocí inspektora ochrany údajů spolupracovat s orgánem dozoru, pokud o to požádá, nebo pokud k tomu dá podnět inspektor ochrany údajů;

h)  působit jako kontaktní osoba pro orgán dozoru v záležitostech souvisejících se zpracováváním a v příslušných případech vést s orgánem dozoru konzultace z vlastní iniciativy. [pozm. návrh 95]

KAPITOLA V

PŘEDÁVÁNÍ OSOBNÍCH ÚDAJŮ DO TŘETÍCH ZEMÍ NEBO MEZINÁRODNÍM ORGANIZACÍM

Článek 33

Obecné zásady předávání osobních údajů

1.  Členské státy stanoví, že k předání zpracovávaných nebo ke zpracování zamýšlených osobních údajů do třetí země nebo mezinárodní organizaci ze strany příslušných orgánů, včetně dalšího předávání osobních údajů do jiné třetí země nebo mezinárodní organizaci, může dojít pouze:

a)  pokud je dané konkrétní předání nutné pro účely prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů a

aa)  pokud jsou údaje předány správci ve třetí zemi nebo mezinárodní organizaci, které jsou veřejným orgánem příslušným pro účely stanovené v čl. 1 odst. 1; a

ab)  pokud správce a zpracovatel splňují podmínky stanovené v této kapitole, včetně podmínek pro další předávání osobních údajů ze třetí země nebo mezinárodní organizace do jiné třetí země nebo mezinárodní organizace; a

b)  pokud správce a zpracovatel splňují podmínky stanovené v ostatní ustanovení přijatá podle této kapitole směrnice; a

ba)  pokud není ohrožena úroveň ochrany osobních údajů jednotlivců, která je na základě této směrnice v Unii zaručena; a

bb)  pokud Komise za podmínek a pomocí postupů stanovených v článku 34 rozhodla, že daná třetí země nebo mezinárodní organizace zajišťuje přiměřenou úroveň ochrany; nebo

bc)  pokud byly v právně závazném nástroji zakotveny vhodné záruky pro ochranu osobních údajů, jak je uvedeno v článku 35.

2.  Členské státy stanoví, že k dalšímu předávání osobních údajů podle odstavce 1 tohoto článku může kromě podmínek uvedených v daném odstavci dojít pouze:

a)  pokud je toto další předání nutné ze stejných zvláštních důvodů jako původní předání a

b)  pokud příslušný orgán, který provedl původní předání, další předání povolí. [pozm. návrh 96]

Článek 34

Předávání založené na rozhodnutí o přiměřenosti

1.  Členské státy stanoví, že k předání osobních údajů do některé třetí země nebo některé mezinárodní organizaci může dojít, pokud Komise rozhodla v souladu s článkem 41 nařízení (EU) …/2012 nebo v souladu s odstavcem 3 tohoto článku, že daná třetí země nebo území či odvětví zpracovávání v dané třetí zemi nebo daná mezinárodní organizace zaručuje přiměřenou úroveň ochrany. Takovéto předání nevyžaduje žádné další zvláštní povolení.

2.  Jestliže není vydáno žádné rozhodnutí v souladu s článkem 41 nařízení (EU) .../2012, Komise posoudí, Při posuzování toho, zda je úroveň ochrany přiměřená, a přihlédne přitom přihlíží Komise k následujícím aspektům:

a)  právnímu státu, související platné legislativě, a to obecné i odvětvové, včetně právních předpisů o veřejné bezpečnosti, obraně a vnitrostátní bezpečnosti a trestnímu právu a bezpečnostním opatřením provádění této legislativy a bezpečnostních opatření, která jsou v dané zemi nebo dané mezinárodní organizaci dodržována, jakož i k precedenční judikatuře a k účinným a vynutitelným právům včetně účinné správní a soudní nápravy pro subjekty údajů, zejména pro ty z nich, jež mají bydliště v Unii a jejichž osobní údaje jsou předávány;

b)  existenci a účinnému fungování jednoho nebo více nezávislých orgánů dozoru v dané třetí zemi nebo mezinárodní organizaci odpovědných za zajišťování souladu s pravidly pro ochranu údajů, včetně dostatečných pravomocí ukládat sankce, za pomoc a poradenství subjektům údajů při výkonu jejich práv a za spolupráci s orgány dozoru Unie a členských států a

c)  mezinárodním závazkům, které daná třetí země nebo mezinárodní organizace přijala, především veškerým právně závazným úmluvám nebo nástrojům týkajícím se ochrany osobních údajů.

3.  Komise může je poté, co si vyžádá stanovisko Evropské rady pro ochranu údajů, v souladu s článkem 56 zmocněna přijímat akty v přenesené pravomoci a v mezích této směrnice rozhodnout, že určitá třetí země nebo území či odvětví zpracovávání v dané třetí zemi nebo určitá mezinárodní organizace zajišťuje přiměřenou úroveň ochrany ve smyslu odstavce 2. Tyto prováděcí akty se přijmou v souladu s přezkumným postupem uvedeným v čl. 57 odst. 2.

4.  V prováděcím aktu v přenesené pravomoci se stanoví jeho zeměpisné a odvětvové použití a v příslušném případě také se v něm také určí orgán dozoru uvedený v odst. 2 písm. b).

4a.  Komise průběžně sleduje vývoj, jenž by mohl ovlivnit dodržování aspektů uvedených v odstavci 2 ve třetích zemích a mezinárodních organizacích, vůči kterým byl přijat akt v přenesené pravomoci na základě odstavce 3.

5.  Komise se může v souladu s článkem 56 zmocňuje přijímat akty v přenesené pravomoci a v mezích této směrnice rozhodnout, že určitá třetí země nebo území či odvětví zpracovávání v dané třetí zemi nebo určitá mezinárodní organizace nezajišťuje přiměřenou úroveň ochrany ve smyslu odstavce 2, konkrétně a to zejména v případech, kdy příslušné platné právní předpisy, a to obecné i odvětvové, v dané třetí zemi nebo mezinárodní organizaci nezaručují účinná a vynutitelná práva včetně účinné správní a soudní nápravy pro subjekty údajů, a zejména pro ty z nich, jejichž osobní údaje se předávají. Tyto prováděcí akty se přijímají v souladu s přezkumným postupem podle čl. 57 odst. 2, nebo ve zvlášť naléhavých případech souvisejících s právem fyzických osob na ochranu osobních údajů v souladu s postupem podle čl. 57 odst. 3.

6.  Členské státy zajistí, že pokud Komise rozhodne podle odstavce 5, že se zakazuje zakáže se jakékoli předání osobních údajů do dané třetí země nebo na některé území či do některého odvětví zpracovávání v této zemi nebo jakékoli předání osobních údajů dané mezinárodní organizaci, tímto rozhodnutím nebudou dotčena předání podle čl. 35 odst. 1 nebo v souladu s článkem 36. Ve vhodný okamžik zahájí Komise s danou třetí zemí nebo mezinárodní organizací konzultace s cílem napravit stav, který z rozhodnutí podle odstavce 5 tohoto článku vyplývá.

7.  Komise zveřejní v Úředním věstníku Evropské unie seznam třetích zemí, území a odvětví zpracovávání v třetích zemích a mezinárodních organizací, v nichž podle jejího rozhodnutí přiměřená úroveň ochrany je nebo není zaručena.

8.  Komise sleduje uplatňování prováděcích aktů v přenesené pravomoci uvedených v odstavcích 3 a 5. [pozm. návrh 97]

Článek 35

Předávání založené na vhodných zárukách

1.  Jestliže Komise nepřijme nepřijala žádné rozhodnutí podle článku 34 nebo rozhodla, členské státy stanoví, že k předání osobních údajů příjemci v některé třetí země, nebo území v dané třetí zemi, nebo mezinárodní organizace může dojít: nezaručují přiměřenou úroveň ochrany podle čl. 34 odst. 5, správce nebo zpracovatel mohou předat osobní údaje do třetí země, na území v této třetí zemi, nebo mezinárodní organizaci, pouze pokud zakotvili vhodné záruky ve věci ochrany osobních údajů v právně závazném nástroji.

a)  pokud byly v právně závazném nástroji stanoveny vhodné záruky pro ochranu osobních údajů nebo

b)  pokud správce či zpracovatel vyhodnotil veškeré okolnosti daného předání a dospěl k závěru, že pro ochranu osobních údajů existují vhodné záruky.

2.  O Tato předání podle odst. 1 písm. b) musí rozhodnout řádně oprávněný pracovník. Předání se musí zdokumentovat a dokumentace se musí na požádání poskytnout orgánu předem povolit orgán dozoru. [pozm. návrh 98]

Článek 36

Výjimky

1.  Pokud Komise na základě čl. 34 odst. 5 rozhodne, že není zajištěna přiměřená úroveň ochrany, nelze předat osobní údaje dotčené třetí zemi, území nebo dotčené mezinárodní organizaci, jestliže v konkrétním případě převažují oprávněné zájmy subjektu údajů na neprovedení předání nad veřejným zájmem na předání takových údajů.

2.   Členské státy stanoví, že odchylně od článků 34 a 35 může k předání osobních údajů do třetí země nebo mezinárodní organizaci dojít pouze za podmínky, že:

a)  předání je nutné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné osoby nebo

b)  předání je nutné k ochraně oprávněných zájmů subjektu údajů, jestliže tak stanoví právo členského státu, který osobní údaje předává, nebo

c)  předání údajů je nezbytné, aby se zabránilo bezprostřednímu a závažnému ohrožení veřejné bezpečnosti v některém členském státě nebo třetí zemi, nebo

d)  předání je v jednotlivých případech nutné pro účely prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů nebo

e)  předání je v jednotlivých případech nutné pro uplatnění, výkon nebo obhajobu právních nároků v souvislosti s prevencí, vyšetřováním, odhalováním či stíháním určitých trestných činů nebo výkonu určitých trestů.

2a.  Zpracování na základě odstavce 2 musí mít právní základ v právu Unie nebo v právu členského státu, jemuž správce podléhá; toto právo musí splňovat cíl veřejného zájmu nebo musí být nezbytné pro ochranu práv a svobod ostatních, respektovat podstatu práva na ochranu osobních údajů a být přiměřené vůči sledovanému legitimnímu cíli.

2b.  Veškerá předání údajů provedená na základě výjimky musí být řádně odůvodněna a musí se omezovat na nezbytně nutné údaje, přičemž častá rozsáhlá předávání údajů nejsou přípustná.

2c.  O předání podle odstavce 2 musí rozhodnout řádně oprávněný pracovník. Takové předání musí být zdokumentováno a příslušná dokumentace na požádání zpřístupněna orgánu dozoru, přičemž musí obsahovat mimo jiné den a čas předání, informace o přijímajícím orgánu, odůvodnění předání a předávané údaje. [pozm. návrh 99]

Článek 37

Zvláštní podmínky pro předávání osobních údajů

Členské státy stanoví, že správce informuje příjemce osobních údajů o veškerých omezeních pro zpracovávání a přijme všechny přiměřené kroky, aby zajistil, že tato omezení budou dodržena. Správce rovněž oznámí příjemci osobních údajů veškeré aktualizace, opravy nebo výmazy těchto údajů, přičemž příjemce následně sám zašle odpovídající oznámení v případě, že údaje byly následně dále předány. [pozm. návrh 100]

Článek 38

Mezinárodní spolupráce v zájmu ochrany osobních údajů

1.  Ve vztahu k třetím zemím a mezinárodním organizacím podniknou Komise a členské státy odpovídající kroky v zájmu:

a)  rozvoje účinných mechanismů pro mezinárodní spolupráci, aby se usnadnilo zajistilo prosazování právních předpisů na ochranu osobních údajů; [pozm. návrh 101]

b)  poskytování vzájemné pomoci na mezinárodní úrovni při prosazování právních předpisů na ochranu osobních údajů, a to mimo jiné formou oznamování, postupování stížností, pomoci při vyšetřování a výměny informací, pod podmínkou vhodných záruk pro ochranu osobních údajů a jiných základních práv a svobod;

c)  zapojení příslušných zúčastněných stran do diskuse a činností zacílených na prohlubování mezinárodní spolupráce při prosazování právních předpisů na ochranu osobních údajů;

d)  podpoření výměny a rešerše v souvislosti s právními předpisy a praxí v oblasti ochrany osobních údajů;.

da)  vyjasnění konfliktů se třetími zeměmi v otázkách jurisdikce a konzultací s těmito zeměmi o těchto otázkách; [pozm. návrh 102]

2.  Pro účely odstavce 1 podnikne Komise odpovídající kroky, aby rozvinula vztah s třetími zeměmi nebo mezinárodními organizacemi, zejména s jejich orgány dozoru, pokud rozhodla, že zajišťují přiměřenou úroveň ochrany ve smyslu čl. 34 odst. 3.

Článek 38a

Zpráva Komise

Komise předkládá Evropskému parlamentu a Radě v pravidelných intervalech zprávy o uplatňování článků 33 až 38. První zprávu předloží nejpozději do čtyř let od vstupu této směrnice v platnost. K tomu účelu může Komise požádat členské státy a orgány dozoru o informace, které musí být poskytnuty bez zbytečného odkladu. Zpráva se zveřejňuje. [pozm. návrh 103]

KAPITOLA VI

NEZÁVISLÉ ORGÁNY DOZORU

ODDÍL 1

NEZÁVISLOST POSTAVENÍ

Článek 39

Orgán dozoru

1.  Všechny členské státy stanoví, že jeden nebo více orgánů veřejné moci ponese odpovědnost za sledování uplatňování ustanovení přijatých podle této směrnice a za přispívání k jejímu jednotnému uplatňování v celé Unii, aby byla chráněna základní práva a svobody fyzických osob v souvislosti se zpracováváním jejich osobních údajů a usnadnil se volný pohyb osobních údajů v rámci Unie. Orgány dozoru budou za tímto účelem spolupracovat s Komisí a mezi sebou.

2.  Členské státy mohou stanovit, že orgán dozoru zřízený v členských státech podle nařízení (EU) …/2014 přijímá odpovědnost za úkoly orgánu dozoru, který má být zřízen podle odstavce 1 tohoto článku.

3.  Pokud je v některém členském státě zřízen více než jeden orgán dozoru, daný členský stát jmenuje orgán dozoru, jenž bude fungovat jako jediné kontaktní místo pro účinnou účast těchto orgánů v Evropské radě pro ochranu údajů.

Článek 40

Nezávislost

1.  Členské státy zajistí, aby orgán dozoru jednal při výkonu povinností a pravomocí jemu svěřených zcela nezávisle, aniž jsou tím dotčena ustanovení o spolupráci podle kapitoly VII této směrnice. [pozm. návrh 104]

2.  Všechny členské státy stanoví, že členové orgánu dozoru při plnění svých povinností u nikoho nevyhledávají ani od nikoho nepřijímají žádné pokyny a zachovávají si naprostou nezávislost a nestrannost. [pozm. návrh 105]

3.  Členové orgánu dozoru se zdrží veškeré činnosti, která je neslučitelná s povinnostmi jejich funkce, a v průběhu svého funkčního období nesmí vykonávat žádné jiné neslučitelné zaměstnání, ať už placené či neplacené.

4.  Po skončení svého funkčního období jsou členové orgánu dozoru povinni jednat čestně a uvážlivě, pokud jde o přijímání funkcí a výhod.

5.  Všechny členské státy zajistí, aby byl orgán dozoru vybaven odpovídajícími lidskými, technickými a finančními zdroji, prostory a infrastrukturou, které bude potřebovat pro účinné vykonávání svých povinností a pravomocí, včetně povinností a pravomocí, jež bude plnit v rámci vzájemné pomoci, spolupráce a aktivní účasti v Evropské radě pro ochranu údajů.

6.  Všechny členské státy zajistí, že orgán dozoru bude muset mít své vlastní pracovníky, kteří budou jmenováni vedoucím orgánu dozoru a budou podléhat jeho řízení.

7.  Členské státy zajistí, aby orgán dozoru podléhal finanční kontrole, přičemž nebude nijak ovlivněna jeho nezávislost. Členské státy zajistí, aby měl orgán dozoru samostatný roční rozpočet. Tyto rozpočty se zveřejňují.

Článek 41

Obecné podmínky pro členy orgánu dozoru

1.  Členské státy stanoví, že členové orgánu dozoru musí být jmenováni parlamentem, nebo vládou daného členského státu.

2.  Členové jsou vybíráni z osob, jejichž nezávislost je nade vší pochybnost a jež prokázaly zkušenosti a dovednosti potřebné k výkonu svých povinností.

3.  Povinnosti člena orgánu dozoru končí v okamžiku uplynutí jeho funkčního období, odstoupení nebo povinného odchodu do důchodu v souladu s odstavcem 5.

4.  Pokud člen orgánu dozoru přestane splňovat podmínky požadované pro výkon svých povinností nebo se dopustil závažného pochybení, může být příslušným vnitrostátním soudem odvolán nebo zbaven práva na penzi či jiné výhody poskytované namísto ní.

5.  Jestliže uplyne členovo funkční období nebo člen odstoupí, člen pokračuje v plnění svých povinností, dokud nebude jmenován nový člen.

Článek 42

Pravidla pro zřízení orgánu dozoru

Všechny členské státy upraví právním předpisem:

a)  zřízení orgánu dozoru a jeho postavení v souladu s články 39 a 40;

b)  požadavky na kvalifikaci, zkušenosti a dovednosti pro výkon povinností členů orgánu dozoru;

c)  pravidla a postupy pro jmenování členů orgánu dozoru, jakož i pravidla týkající se činností nebo zaměstnání neslučitelných s povinnostmi úřadu;

d)  délku funkčního období členů orgánu dozoru, která dosáhne minimálně čtyř let s výjimkou prvních jmenování po vstupu této směrnice v platnost, kdy může být na dobu kratší;

e)  způsobilost členů orgánu dozoru k opětovnému jmenování;

f)  právní předpisy a obvyklé podmínky, jimiž se řídí povinnosti členů a pracovníků orgánu dozoru;

g)  pravidla a postupy pro ukončení povinností členů orgánu dozoru, včetně případu, kdy přestanou splňovat podmínky požadované pro výkon svých povinností nebo kdy se dopustili závažného pochybení.

Článek 43

Profesní tajemství

Členské státy stanoví, že členové orgánu dozoru a jeho pracovníci jsou během svého funkčního období i po jeho skončení a v souladu s vnitrostátními právními předpisy a praxí vázáni profesním tajemstvím, pokud jde o veškeré důvěrné informace, o nichž se dozví při výkonu svých služebních povinností, a své úkoly plní nezávisle a transparentně v souladu s touto směrnicí. [pozm. návrh 106]

ODDÍL 2

POVINNOSTI A PRAVOMOCI

Článek 44

Příslušnost

1.  Členské státy stanoví, že každý orgán dozoru vykonává pravomoci je příslušný pro plnění svých úkolů a výkon pravomocí, které mu byly svěřeny v souladu s touto směrnicí, na území svého vlastního členského státu. [pozm. návrh 107]

2.  Členské státy stanoví, že orgán dozoru není příslušný k dohledu nad zpracováními, která provádějí soudy jednající v rámci svých soudních pravomocí.

Článek 45

Povinnosti

1.  Členské státy stanoví, že orgán dozoru:

a)  sleduje a zajišťuje uplatňování ustanovení přijatých podle této směrnice a jejích prováděcích opatření;

b)  zabývá se stížnostmi, které mu předloží kterýkoli subjekt údajů nebo sdružení, jež tento subjekt zastupuje a má jeho patřičné pověření, v souladu s článkem 50, v odpovídající míře dané záležitosti prošetřuje a v rozumné lhůtě informuje daný subjekt údajů či dané sdružení o vývoji a výsledku jejich stížností, a to zejména v případech, kdy je zapotřebí další šetření nebo koordinace s jiným orgánem dozoru;

c)  ověřuje zákonnost zpracování údajů podle článku 14 a subjekt údajů informuje v rozumné lhůtě o výsledku daného ověření nebo o důvodech, proč ověření nebylo provedeno;

d)  pomáhá na principu vzájemnosti dalším orgánům dozoru a zajišťuje jednotné uplatňování a prosazování ustanovení přijatých podle této směrnice;

e)  provádí šetření, inspekce a audity, a to z vlastní iniciativy nebo na základě stížnosti nebo na základě žádosti jiného orgánu dozoru, a o výsledku šetření v rozumné lhůtě informuje subjekt údajů, pokud některý subjekt údajů podal stížnost;

f)  sleduje nové směry vývoje, pokud mají dopad na ochranu osobních údajů, zejména vývoj informačních a komunikačních technologií;

g)  je konzultován orgány či subjekty členských států o právních a správních opatřeních, jež se týkají ochrany práv a svobod fyzických osob v souvislosti se zpracováváním osobních údajů;

h)  je konzultován o zpracováních podle článku 26;

i)  účastní se činností Evropské rady pro ochranu údajů.

2.  Každý orgán dozoru zvyšuje povědomí veřejnosti o rizicích, pravidlech, zárukách a právech v souvislosti se zpracováváním osobních údajů. Zvláštní pozornost se přitom věnuje akcím, které jsou určeny speciálně pro děti.

3.  Je-li o to požádán, orgán dozoru poskytuje kterémukoli subjektu údajů poradenství při výkonu práv vyplývajících z ustanovení přijatých podle této směrnice, a je-li záhodno, spolupracuje za tímto účelem s orgány dozoru v jiných členských státech.

4.  V případě stížností uvedených v odst. 1 písm. b) nabízí orgán dozoru formulář pro jejich předkládání, který lze vyplnit elektronicky, aniž by byly vyloučeny ostatní komunikační prostředky.

5.  Členské státy stanoví, že orgán dozoru neúčtuje subjektům údajů za plnění svých povinností žádné poplatky.

6.  Jestliže jsou žádosti zjevně nepřiměřené a zatěžující, zvláště z toho důvodu, že se jejich obsah opakuje, orgán dozoru může jejich vyřízení přiměřeně zpoplatnit. nebo nemusí Výše tohoto poplatku nepřesáhne náklady na přijetí požadovaných opatření požadované subjektem údajů přijmout. Orgán dozoru nese důkazní břemeno, pokud jde o prokázání toho, že je daná žádost svou povahou zjevně nepřiměřená a zatěžující. [pozm. návrh 108]

Článek 46

Pravomoci

1.   Členské státy stanoví, že všechny orgány dozoru musí mít zejména mají pravomoc:

a)  pravomoci provádět šetření, zahrnující například právo na přístup k údajům, které jsou předmětem zpracování, a oprávnění shromažďovat veškeré informace potřebné pro plnění svých dozorčích povinností; oznamovat správci nebo zpracovateli případy údajného porušení ustanovení o zpracovávání osobních údajů a ve vhodných případech jim nařídit, aby taková porušení konkrétním způsobem napravili v zájmu zlepšení ochrany subjektů údajů;

b)  pravomoci účinně zasahovat, například vydávat stanoviska před provedením zpracování a zajišťovat náležité zveřejnění těchto stanovisek, nařizovat omezení, výmaz nebo zničení údajů nebo dočasně či trvale zakazovat zpracování, zasílat správcům upozornění či napomenutí nebo obracet se s věcmi na vnitrostátní parlamenty či jiné politické orgány; nařídit správci, aby vyhověl žádostem subjektu údajů o uplatnění jeho práv podle této směrnice, včetně těch, která zaručují články 12 až 17, pokud byly tyto žádosti zamítnuty v rozporu s těmito ustanoveními;

c)  pravomoc upozorňovat soudní orgány na porušení ustanovení přijatých podle této směrnice a účastnit se soudního řízení. nařídit správci nebo zpracovateli, aby poskytli informace v souladu s čl. 10 odst. 1 a 2 a s články 11, 28 a 29;

d)  zajistit dodržování stanovisek k předchozím konzultacím uvedeným v článku 26;

e)  upozorňovat nebo napomínat správce nebo zpracovatele;

f)  nařizovat opravu, výmaz nebo zničení všech údajů, při jejichž zpracování byla porušena ustanovení přijatá podle této směrnice, a nařídit oznámení těchto opatření třetím stranám, kterým byly údaje sděleny;

g)  vydávat dočasné nebo trvalé zákazy zpracovávání;

h)  přerušit předávání údajů příjemci ve třetí zemi nebo předávání údajů mezinárodní organizaci;

i)  informovat vnitrostátní parlament, vládu nebo jiné politické instituce a také veřejnost.

2.  Každý orgán dozoru má vyšetřovací pravomoci, jež ho opravňují k tomu, aby od správce nebo zpracovatele získal:

a)  přístup ke všem osobním údajům a ke všem informacím, které potřebuje k výkonu svých povinností v oblasti dozoru;

b)  přístup do všech jejich prostor, včetně veškerého zařízení a prostředků pro zpracovávání údajů, v souladu s vnitrostátním právem, a existují-li dostatečné důvody k předpokladu, že v těchto prostorách dochází k činnosti, jež je v rozporu s ustanoveními přijatými podle této směrnice, aniž je dotčena povinnost získat soudní povolení, vyžadují-li to vnitrostátní právní předpisy.

3.  Aniž je dotčen článek 43, členské státy stanoví, že na žádost orgánů dozoru nebudou vydávány žádné dodatečné požadavky na zachování tajemství.

4.  Členské státy mohou stanovit, že pro přístup k utajovaným informacím na obdobné úrovni jako je EU CONFIDENTIAL nebo úrovni vyšší se vyžaduje dodatečné bezpečnostní prověření v souladu s vnitrostátními právními předpisy. Pokud právní předpisy členského státu příslušného orgánu dozoru žádné dodatečné bezpečnostní prověření nevyžadují, musí všechny ostatní členské státy tuto skutečnost uznat.

5.  Každý orgán dozoru má pravomoc upozorňovat soudní orgány na porušování ustanovení přijatých na základě této směrnice, účastnit se soudního řízení a podávat žalobu k příslušnému soudu podle čl. 53 odst. 2.

6.  Každý orgán dozoru má pravomoc ukládat sankce za správní přestupky. [pozm. návrh 109]

Článek 46a

Oznamování porušení pravidel

1.  Členské státy stanoví, že orgány dozoru zohlední pokyny vydávané Evropskou radou pro ochranu údajů na základě čl. 66 odst. 4b nařízení (EU) ..../2014 a zavedou účinné mechanismy s cílem podpořit podávání důvěrných zpráv o porušování této směrnice.

2.  Členské státy stanoví, že příslušné orgány zavedou účinné mechanismy s cílem podpořit podávání důvěrných zpráv o porušování této směrnice. [pozm. návrh 110]

Článek 47

Zprávy o činnosti

Členské státy stanoví, že každý orgán dozoru vypracuje každý rok nejméně každé dva roky zprávu o své činnosti. Zpráva se dává k dispozici veřejnosti, příslušnému parlamentu, Komisi a Evropské radě pro ochranu údajů. Uvedou se v ní informace o tom, v jaké míře měly příslušné orgány ve své jurisdikci přístup k údajům shromážděným soukromými subjekty pro vyšetřování nebo stíhání trestných činů. [pozm. návrh 111]

KAPITOLA VII

SPOLUPRÁCE

Článek 48

Vzájemná pomoc

1.  Členské státy stanoví, že orgány dozoru si vzájemně poskytují pomoc v zájmu jednotného provádění a uplatňování ustanovení přijatých podle této směrnice a zavedou opatření pro účinnou spolupráci mezi sebou. Vzájemná spolupráce zahrnuje zejména žádosti o informace a dozorčí opatření, např. žádosti o předchozí konzultace, inspekce a vyšetřování.

2.  Členské státy stanoví, že orgán dozoru přijme všechna příslušná opatření, která jsou požadována jakožto odpověď na žádost jiného orgánu dozoru. K těmto opatřením může patřit zejména předávání relevantních informací nebo donucovací opatření, jejichž cílem je ukončit nebo zakázat zpracovávání, které je v rozporu s touto směrnicí, a to neprodleně a nejpozději do jednoho měsíce od přijetí žádosti.

2a.  Žádost o pomoc obsahuje všechny nezbytné informace včetně účelu žádosti a důvodů pro její předložení. Poskytnuté informace se použijí pouze pro účely, ke kterým byly vyžádány.

2b.  Orgán dozoru, jemuž byla žádost o pomoc předložena, jí musí vyhovět s výjimkou těchto případů:

a)  orgán není pro vyřízení žádosti příslušný; nebo

b)  vyhovění žádosti by nebylo slučitelné s ustanoveními přijatými na základě této směrnice.

3.  Orgán dozoru, kterému je žádost předložena, informuje předkládající orgán dozoru podle situace o výsledcích, nebo o vývoji či opatřeních, jež byla přijata v zájmu jejího vyřízení.

3a.  Informace, které po nich požadují jiné orgány dozoru, poskytují orgány dozoru elektronicky, v co nejkratší možné době a za použití standardního formátu.

3b.  Za žádné kroky podniknuté v návaznosti na žádost o vzájemnou pomoc se neúčtují poplatky. [pozm. návrh 112]

Článek 48a

Společné operace

1.  Členské státy stanoví, že orgány dozoru mohou v zájmu posílení spolupráce a vzájemné pomoci provádět společná donucovací opatření a podnikat další společné operace, díky nimž se určení členové nebo pracovníci orgánů dozoru z jiných členských států zapojí do operací na území některého členského státu.

2.  Členské státy stanoví, že v případech, kdy je pravděpodobné, že zpracováním budou dotčeny subjekty údajů v jiném členském státě nebo jiných členských státech, byl příslušný orgán dozoru přizván k účasti na společných operacích. Příslušný orgán dozoru může vyzvat orgán dozoru každého z těchto členských států k účasti na určité operaci a, je-li sám vyzván jiným orgánem dozoru k účasti na operacích, bez odkladu na žádost odpoví.

3.  Členské státy stanoví praktické aspekty specifických operací prováděných ve spolupráci. [pozm. návrh 113]

Článek 49

Úkoly Evropské rady pro ochranu údajů

1.  Evropská rada pro ochranu údajů zřízená nařízením (EU) …/2012 2014 plní ve vztahu ke zpracovávání údajů v mezích této směrnice následující úkoly:

a)  poskytuje poradenství Komisi orgánům Unie ve veškerých záležitostech souvisejících s ochranou osobních údajů v Unii včetně jakýchkoli navrhovaných změn této směrnice;

b)  posuzuje na žádost Komise, Evropského parlamentu či Rady nebo ze své vlastní iniciativy nebo na základě podnětu jednoho ze svých členů veškeré otázky týkající se uplatňování ustanovení přijatých podle této směrnice a pro orgány dozoru vydává pokyny, doporučení a osvědčené postupy, aby podporovala jednotné uplatňování daných ustanovení, a to i v otázce využívání pravomocí v oblasti vymáhání práva;

c)  přezkoumává praktické uplatňování pokynů, doporučení a osvědčených postupů uvedených v písmenu b) a podává o nich Komisi pravidelné zprávy;

d)  vydává Komisi stanovisko k úrovni ochrany v třetích zemích nebo mezinárodních organizacích;

e)  podporuje spolupráci a účinnou dvou- a vícestrannou výměnu informací a postupů mezi orgány dozoru, včetně koordinace společných operací a jiných společných činností, jestliže tak rozhodne na základě žádosti jednoho nebo více orgánů dozoru;

f)  podporuje společné školicí programy a usnadňuje výměny pracovníků mezi orgány dozoru, kterých se ve vhodných případech účastní i orgány dozoru třetích zemí nebo mezinárodních organizací;

g)  podporuje výměnu znalostí a dokumentů s orgány dozoru pro ochranu údajů po celém světě, jejímž předmětem jsou i legislativa a praxe v oblasti ochrany údajů.;

ga)  předkládá své stanovisko Komisi při přípravě aktů v přenesené pravomoci a prováděcích aktů na základě této směrnice.

2.  Jestliže Evropský parlament, Rada či Komise žádá Evropskou radu pro ochranu údajů o poradenství, může stanovit lhůtu, během které jej má Evropská rada pro ochranu údajů poskytnout, s přihlédnutím k naléhavosti dané záležitosti.

3.  Evropská rada pro ochranu údajů postupuje svá stanoviska, pokyny, doporučení a osvědčené postupy Komisi a výboru uvedenému v čl. 57 odst. 1 a zveřejňuje je.

4.  Komise informuje Evropskou radu pro ochranu údajů o krocích, jež podnikla v návaznosti na stanoviska, pokyny, doporučení a osvědčené postupy vydané touto radou. [pozm. návrh 114]

KAPITOLA VIII

OPRAVNÉ PROSTŘEDKY, ODPOVĚDNOST A SANKCE

Článek 50

Právo vznést stížnost k orgánu dozoru

1.  Aniž by tím byly dotčeny jakékoli jiné správní nebo soudní opravné prostředky, členské státy stanoví, že každý subjekt údajů má právo vznést stížnost k orgánu dozoru v kterémkoli členském státě, pokud se domnívá, že zpracování jeho osobních údajů není v souladu s ustanoveními přijatými podle této směrnice.

2.  Členské státy stanoví, že veškeré subjekty, organizace nebo sdružení, jejichž cílem je chránit práva a zájmy subjektů údajů v souvislosti s ochranou jejich osobních údajů a jež které jednají ve veřejném zájmu a byly řádně zřízeny v souladu s právem některého členského státu, mají právo vznést jménem jednoho či více subjektů údajů stížnost k orgánu dozoru v kterémkoli z členských států, jestliže se domnívají, že zpracováním osobních údajů byla narušena práva subjektu údajů podle této směrnice. Daná organizace nebo sdružení musí mít patřičné pověření subjektu či subjektů údajů. [pozm. návrh 115]

3.  Členské státy stanoví, že pokud se kterýkoli subjekt, organizace nebo sdružení uvedené v odstavci 2 domnívá, že došlo k narušení bezpečnosti osobních údajů, má právo vznést stížnost k orgánu dozoru v kterémkoli členském státě nezávisle na stížnosti subjektu údajů.

Článek 51

Právo na soudní opravné prostředky vůči orgánu dozoru

1.  Členské státy stanoví, že každá fyzická nebo právnická osoba má právo na soudní opravné prostředky proti rozhodnutím orgánu dozoru, která se jí týkají.

2.  Každý Členské státy stanoví, že každý subjekt údajů má právo na soudní opravný prostředek, který orgán dozoru přiměje jednat ve věci stížnosti, pokud nebylo vydáno žádné rozhodnutí potřebné k ochraně jeho práv nebo pokud daný orgán dozoru neinformuje subjekt údajů do tří měsíců o vývoji či výsledcích stížnosti podle čl. 45 odst. 1 písm. b).

3.  Členské státy stanoví, že řízení proti orgánu dozoru se zahajují u soudů toho členského státu, v němž je daný orgán dozoru usazen.

3a.  Členské státy zajistí výkon konečných soudních rozhodnutí podle tohoto článku. [pozm. návrh 116]

Článek 52

Právo na soudní opravné prostředky vůči správci nebo zpracovateli

1.  Aniž by tím byl dotčen jakýkoli dostupný správní opravný prostředek včetně práva na podání stížnosti orgánu dozoru, členské státy stanoví, že každá fyzická osoba má právo na soudní opravný prostředek, jestliže se domnívá, že zpracováním jejích osobních údajů při nedodržení ustanovení přijatých podle této směrnice byla porušena její práva, která jsou v těchto ustanoveních vymezena.

1a.  Členské státy zajistí výkon konečných soudních rozhodnutí podle tohoto článku. [pozm. návrh 117]

Článek 53

Společná pravidla pro soudní řízení

1.  Členské státy stanoví, že veškeré subjekty, organizace nebo sdružení uvedené v čl. 50 odst. 2 mají právo na výkon práv uvedených v článcích 51, a 52 a 54, jménem jednoho pokud je k tomu zmocnil jeden či více subjektů údajů. [pozm. návrh 118]

2.  Každý Členské státy stanoví, že každý orgán dozoru má právo zapojit se do soudního řízení a podat žalobu k soudu v zájmu prosazování ustanovení přijatých podle této směrnice nebo v zájmu zajištění jednotnosti ochrany osobních údajů v rámci Unie. [pozm. návrh 119]

3.  Členské státy zajistí, aby soudní prostředky dostupné ve vnitrostátním právu umožňovaly rychlé přijetí opatření, včetně předběžných opatření, kterými by se ukončilo jakékoli domnělé porušování práva a předešlo dalšímu poškozování dotčených zájmů.

Článek 54

Odpovědnost a právo na odškodnění

1.  Členské státy stanoví, že kdokoli, komu byla způsobena škoda kdo byl poškozen nebo utrpěl nemajetkovou újmu následkem protiprávního zpracování nebo jednání neslučitelného s ustanoveními přijatými podle této směrnice, má právo být správcem domáhat se od správce nebo zpracovatelem odškodněn zpracovatele odškodnění za způsobenou škodu. [pozm. návrh 120]

2.  Je-li do daného zpracování zapojen více než jeden správce nebo zpracovatel, za celkovou výši škod nese společnou a nerozdílnou odpovědnost každý z nich.

3.  Správce nebo zpracovatel se může této odpovědnosti částečně nebo zcela zprostit, pokud prokáže, že za okolnost, jež vedla ke vzniku škody, neodpovídá.

Článek 55

Sankce

Členské státy stanoví pravidla pro sankce za porušení ustanovení přijatých podle této směrnice a přijmou veškerá nezbytná opatření, aby zajistily jejich provádění. Stanovené sankce musí být účinné, přiměřené a odrazující.

KAPITOLA VIIIa

PŘEDÁVÁNÍ OSOBNÍCH ÚDAJŮ DALŠÍM STRANÁM

Článek 55a

Předávání osobních údajů dalším orgánům nebo soukromým subjektům v Unii

1.  Členské státy zajistí, aby správce nepředával osobní údaje fyzickým ani právnickým osobám, na něž se nevztahují ustanovení přijatá podle této směrnice, a nepověřoval tímto úkolem ani zpracovatele, s výjimkou následujících případů:

a)  předání je v souladu s právními předpisy Unie nebo členských států a

b)  příjemce je usazen v členském státě Evropské unie a

c)  předání nebrání žádné konkrétní oprávněné zájmy subjektu údajů a

d)  předání je v konkrétním případě pro správce, který osobní údaje předává, nezbytné z hlediska:

(i)  splnění úkolu, který je mu svěřen v souladu s právními předpisy, nebo

(ii)  zabránění bezprostřednímu a vážnému ohrožení veřejné bezpečnosti, nebo

(iii)  zamezení závažnému porušení práv jednotlivců.

2.  Správce uvědomí příjemce o účelu, k němuž lze osobní údaje výlučně zpracovat.

3.  Správce o těchto předáních informuje orgán dozoru.

4.  Správce informuje příjemce o omezeních zpracovávání a zajistí, že tato omezení budou dodržena. [pozm. návrh 121]

KAPITOLA IX

AKTY V PŘENESENÉ PRAVOMOCI A PROVÁDĚCÍ AKTY

Článek 56

Výkon přenesené pravomoci

1.  Pravomoc přijímat akty v přenesené pravomoci svěřená Komisi podléhá podmínkám stanoveným v tomto článku.

2.  Přenesení Pravomoc přijímat akty v přenesené pravomoci uvedené v podle čl. 25a odst. 7, čl. 28 odst. 5, čl. 34 odst. 3 a  5 se svěřuje na Komisi platí na dobu neurčitou počínaje datem vstupu této směrnice v platnost.

3.  Evropský parlament nebo Rada mohou přenesení pravomoci uvedené v čl. 25a odst. 7, čl. 28 odst. 5, čl. 34 odst. 3 a  5 kdykoli zrušit. Rozhodnutím o zrušení se ukončuje přenesení pravomocí pravomoci v něm blíže určených určené. Rozhodnutí nabývá účinku prvním dnem po vyhlášení zveřejnění v Úředním věstníku Evropské unie, nebo k pozdějšímu dni, který je v něm upřesněn. Nedotýká se platnosti již platných aktů v přenesené pravomoci.

4.  Přijetí aktu v přenesené pravomoci Komise neprodleně oznámí současně Evropskému parlamentu a Radě.

5.  Akt v přenesené pravomoci přijatý podle čl. 25a odst. 7, čl. 28 odst. 5, čl. 34 odst. 3 a 5 vstoupí v platnost, pouze pokud proti němu Evropský parlament nebo Rada nevysloví námitky ve lhůtě dvou šesti měsíců ode dne, kdy jim byl tento akt oznámen, nebo pokud Evropský parlament i Rada před uplynutím této lhůty Komisi informují o tom, že námitky nevysloví. Z podnětu Evropského parlamentu nebo Rady se tato lhůta prodlouží o 2 měsíce šest měsíců. [pozm. návrh 122]

Článek 56a

Lhůta pro přijetí aktů v přenesené pravomoci

Komise přijme akty v přenesené pravomoci podle čl. 25a odst. 7 a čl. 28 odst. 5 do [šesti měsíců před datem uvedeným v čl. 62 odst. 1]. Komise může prodloužit lhůtu uvedenou v tomto odstavci o šest měsíců. [pozm. návrh 123]

Článek 57

Postup projednávání ve výboru

1.  Komisi je nápomocen výbor. Tento výbor je výborem ve smyslu nařízení (EU) č. 182/2011.

2.  Odkazuje-li se na tento odstavec, použije se článek 5 nařízení (EU) č. 182/2011.

3.  Odkazuje-li se na tento odstavec, použije se článek 8 nařízení (EU) č. 182/2011 ve spojení s článkem 5 uvedeného nařízení. [pozm. návrh 124]

KAPITOLA X

ZÁVĚREČNÁ USTANOVENÍ

Článek 58

Zrušující ustanovení

1.  Zrušuje se rámcové rozhodnutí Rady 2008/977/SVV.

2.  Odkazy na zrušené rámcové rozhodnutí uvedené v odstavci 1 se považují za odkazy na tuto směrnici.

Článek 59

Vztah k dříve přijatým aktům Unie v oblasti justiční spolupráce v trestních věcech a policejní spolupráce

Konkrétní ustanovení o ochraně osobních údajů v souvislosti se zpracováváním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů v aktech Unie, jež byly přijaty před datem přijetí této směrnice a jež upravují zpracovávání osobních údajů mezi členskými státy a přístup určených orgánů členských států do informačních systémů zřízených podle Smluv v mezích působnosti této směrnice, nejsou nijak dotčena.

Článek 60

Vztah k dříve uzavřeným mezinárodním dohodám v oblasti justiční spolupráce v trestních věcech a policejní spolupráce

Mezinárodní dohody, které členské státy uzavřely před vstupem této směrnice v platnost, se v případě potřeby do pěti let od vstupu této směrnice v platnost změní.

Článek 61

Hodnocení

1.  Poté, co si vyžádá stanovisko Evropské rady pro ochranu údajů, vyhodnotí Komise vyhodnocuje uplatňování a provádění této směrnice. Komise svůj postup koordinuje v úzké spolupráci s členskými státy a tato hodnocení budou zahrnovat ohlášené a neohlášené inspekce. Evropský parlament a Rada jsou v průběhu celého procesu informovány a mají přístup k příslušným dokumentům.

2.  Komise do tří dvou let od vstupu této směrnice v platnost přezkoumá ostatní akty přijaté Evropskou unií v rámci regulace zpracovávání osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, zejména pak akty Unie uvedené v článku 59, aby zhodnotila potřebu jejich uvedení do souladu s touto směrnicí a aby v příslušných případech vypracovala potřebné a předloží vhodné návrhy, jejichž cílem bude zajistit důsledná a jednotná právní pravidla pro zpracovávání návrhy na změnu těchto aktů tak, aby byl zaručen jednotný přístup k ochraně osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů v rámci oblasti působnosti této směrnice.

2a.  Komise s cílem zajistit důsledná a jednotná právní pravidla týkající se základního práva na ochranu osobních údajů v Unii předloží do dvou let od vstupu této směrnice v platnost příslušné návrhy na revizi právního rámce upravujícího zpracovávání osobních údajů prováděné orgány, subjekty, úřady a agenturami Unie za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů.

3.  O hodnocení a přezkumu této směrnice podle odstavce 1 předkládá Komise v pravidelných intervalech zprávy Evropskému parlamentu a Radě. První zprávu předloží nejpozději do čtyř let od vstupu této směrnice v platnost. Následné zprávy pak bude předkládat každé čtyři roky. Komise v případě potřeby předkládá příslušné návrhy, aby změnila tuto směrnici a uvedla v soulad jiné právní nástroje. Zpráva se zveřejňuje. [pozm. návrh 125]

Článek 62

Provádění

1.  Členské státy přijmou a zveřejní právní a správní předpisy nezbytné pro dosažení souladu s touto směrnicí nejpozději do ...(12). Znění těchto předpisů neprodleně sdělí Komisi.

Členské státy budou tyto předpisy používat od ....

Tyto předpisy přijaté členskými státy musí obsahovat odkaz na tuto směrnici nebo musí být takový odkaz učiněn při jejich úředním vyhlášení. Způsob odkazu si stanoví členské státy.

2.  Členské státy sdělí Komisi znění hlavních ustanovení vnitrostátních právních předpisů, které přijmou v oblasti, na kterou se vztahuje tato směrnice.

Článek 63

Vstup v platnost a použitelnost

Tato směrnice vstupuje v platnost prvním dnem po vyhlášení v Úředním věstníku Evropské unie.

Článek 64

Určení

Tato směrnice je určena členským státům.

V ... dne ...

Za Evropský parlament Za Radu

předseda předseda nebo předsedkyně

(1) Úř. věst. C 192, 30.6.2012, s. 7.
(2) Postoj Evropského parlamentu ze dne 12. března 2014.
(3) Směrnice Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (Úř. věst. L 281, 23.11.1995, s. 31).
(4)Rámcové rozhodnutí Rady 2008/977/SVV ze dne 27. listopadu 2008 o ochraně osobních údajů zpracovávaných v rámci policejní a justiční spolupráce v trestních věcech (Úř. věst. L 350, 30.12.2008, s. 60).
(5) Nařízení Evropského parlamentu a Rady (ES) č. 45/2001 ze dne 18. prosince 2000 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány a institucemi Společenství a o volném pohybu těchto údajů (Úř. věst. L 8, 12.1.2001, s. 1).
(6)Nařízení Evropského parlamentu a Rady (EU) č. 182/2011 ze dne 16. února 2011, kterým se stanoví pravidla a obecné zásady způsobu, jakým členské státy kontrolují Komisi při výkonu prováděcích pravomocí (Úř. věst. L 55, 28.2.2011, s. 13).
(7)Směrnice Evropského parlamentu a Rady 2011/92/EU ze dne 13. prosince 2011 o boji proti pohlavnímu zneužívání a pohlavnímu vykořisťování dětí a proti dětské pornografii, kterou se nahrazuje rámcové rozhodnutí Rady 2004/68/SVV (Úř. věst. L 329, 17.12.2011, s. 1).
(8)Úř. věst. L 176, 10.7.1999, s. 36.
(9)Úř. věst. L 53, 27.2.2008, s. 52.
(10)Úř. věst. L 160, 18.6.2011, s. 21.
(11) Úř. věst. C 369, 17.12.2011, s. 14.
(12) Dva roky po vstupu této směrnice v platnost.

Právní upozornění - Ochrana soukromí