Zoznam 
 Predchádzajúci 
 Nasledujúci 
 Úplné znenie 
Postup : 2012/0010(COD)
Postup v rámci schôdze
Postup dokumentu : A7-0403/2013

Predkladané texty :

A7-0403/2013

Rozpravy :

PV 11/03/2014 - 13
CRE 11/03/2014 - 13

Hlasovanie :

PV 12/03/2014 - 8.12
Vysvetlenie hlasovaní

Prijaté texty :

P7_TA(2014)0219

Prijaté texty
PDF 758kWORD 429k
Streda, 12. marca 2014 - Štrasburg
Spracúvanie osobných údajov na účely predchádzania trestným činom ***I
P7_TA(2014)0219A7-0403/2013
Uznesenie
 Zjednotený text

Legislatívne uznesenie Európskeho parlamentu z 12. marca 2014 o návrhu smernice Európskeho parlamentu a Rady o ochrane fyzických osôb pri spracúvaní osobných údajov príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií a o voľnom pohybe takýchto údajov (COM(2012)0010 – C7-0024/2012 – 2012/0010(COD))

(Riadny legislatívny postup: prvé čítanie)

Európsky parlament,

–  so zreteľom na návrh Komisie pre Európsky parlament a Radu (COM(2012)0010),

–  so zreteľom na článok 294 ods. 2 a článok 16 ods. 2 Zmluvy o fungovaní Európskej únie, v súlade s ktorými Komisia predložila návrh Európskemu parlamentu (C7-0024/2012),

–  so zreteľom na článok 294 ods. 3 Zmluvy o fungovaní Európskej únie,

–  so zreteľom na odôvodnené stanoviská predložené na základe Protokolu č. 2 o uplatňovaní zásad subsidiarity a proporcionality nemeckou Spolkovou radou a švédskym parlamentom, ktoré tvrdia, že návrh legislatívneho aktu nie je v súlade so zásadou subsidiarity,

–  so zreteľom na stanovisko európskeho dozorného úradníka pre ochranu údajov zo 7. marca 2012(1),

–  so zreteľom na stanovisko Agentúry Európskej únie pre základné práva z 1. októbra 2012,

–  so zreteľom na článok 55 rokovacieho poriadku,

–  so zreteľom na správu Výboru pre občianske slobody, spravodlivosť a vnútorné veci a stanovisko Výboru pre právne veci (A7-0403/2013),

1.  prijíma nasledujúcu pozíciu v prvom čítaní;

2.  žiada Komisiu, aby mu vec znovu predložila, ak má v úmysle podstatne zmeniť svoj návrh alebo ho nahradiť iným textom;

3.  poveruje svojho predsedu, aby postúpil túto pozíciu Rade, Komisii a národným parlamentom.

(1) Ú. v. EÚ C 192, 30.6.2012, s. 7.


Pozícia Európskeho parlamentu prijatá v prvom čítaní 12.marca 2014 na účely prijatia smernice Európskeho parlamentu a Rady 2014/.../EÚ o ochrane fyzických osôb pri spracúvaní osobných údajov príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií a o voľnom pohybe takýchto údajov
P7_TC1-COD(2012)0010

EURÓPSKY PARLAMENT A RADA EURÓPSKEJ ÚNIE,

so zreteľom na Zmluvu o fungovaní Európskej únie, a najmä na jej článok 16 ods. 2,

so zreteľom na návrh Európskej komisie,

po postúpení návrhu legislatívneho aktu národným parlamentom,

so zreteľom na stanovisko európskeho dozorného úradníka pre ochranu údajov(1),

konajúc v súlade s riadnym legislatívnym postupom(2),

keďže:

(1)  Ochrana fyzických osôb v súvislosti so spracovaním osobných údajom patrí medzi základné práva. V článku 8 ods. 1 Charty základných práv Európskej únie (ďalej len „charta“) a v článku 16 ods. 1 Zmluvy o fungovaní Európskej únie sa stanovuje zásada, že každý má právo na ochranu osobných údajov, ktoré sa ho týkajú. V článku 8 ods. 2 charty sa stanovuje, že tieto údaje musia byť riadne spracované na určené účely a na základe súhlasu dotknutej osoby alebo na inom oprávnenom základe stanovenom zákonom. [PN 1]

(2)  Spracúvanie údajov je určené na to, aby slúžilo človeku; zásady a pravidlá ochrany fyzických osôb pri spracúvaní ich osobných údajov by bez ohľadu na štátnu príslušnosť alebo bydlisko fyzických osôb mali rešpektovať základné práva a slobody, najmä ich právo na ochranu osobných údajov. Malo by to prispieť k dokončeniu budovania priestoru slobody, bezpečnosti a spravodlivosti.

(3)  Rýchly technologický rozvoj a globalizácia so sebou priniesli nové výzvy v oblasti ochrany osobných údajov. Rozsah zhromažďovania a zdieľania údajov sa výrazne zväčšil. Technológia umožňuje príslušným orgánom pri výkone ich činností využívať osobné údaje v doteraz bezprecedentnom rozsahu.

(4)  Preto Ak je to potrebné a vhodné, je nutné uľahčiť voľný tok údajov medzi príslušnými orgánmi v rámci Únie a ich prenos do tretích krajín a medzinárodným organizáciám, a to pri súčasnom zabezpečení vysokej úrovne ochrany osobných údajov. Táto situácia si vyžaduje vytvorenie silného a súdržnejšieho rámca ochrany údajov v Únii, ktorý sa bude dôrazne presadzovať. [PN 2]

(5)  Smernica Európskeho parlamentu a Rady 95/46/ES(3) sa vzťahuje na všetky činnosti v oblasti spracovania osobných údajov v členských štátoch, a to vo verejnom aj v súkromnom sektore. Nevzťahuje sa však na spracovanie osobných údajov „v rámci činností, ktoré sú mimo pôsobnosti práva Spoločenstva“, ako sú napríklad činnosti v oblasti justičnej spolupráce v trestných veciach a v oblasti policajnej spolupráce.

(6)  Rámcové rozhodnutie Rady 2008/977/SVV(4) sa vzťahuje na oblasť justičnej spolupráce v trestných veciach a oblasť policajnej spolupráce. Rozsah uplatňovania tohto rámcového rozhodnutia je obmedzený na spracúvanie osobných údajov, ktoré sú prenášané alebo sprístupňované medzi členskými štátmi.

(7)  V záujme zabezpečenia účinnej justičnej spolupráce v trestných veciach a policajnej spolupráce je kľúčové zaistiť súdržnú ochranu osobných údajov fyzických osôb na vysokej úrovni a uľahčiť výmenu osobných údajov medzi príslušnými orgánmi členských štátov. Na dosiahnutie tohto cieľa musí byť úroveň ochrany práv a slobôd fyzických osôb pri spracúvaní osobných údajov príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií rovnocenná vo všetkých členských štátoch. Účinná ochrana osobných údajov v rámci Únie si vyžaduje posilnenie práv dotknutých osôb a povinností tých, ktorí osobné údaje spracúvajú, no vyžaduje si aj zodpovedajúce právomoci na monitorovanie a zabezpečenie súladu s pravidlami ochrany osobných údajov v členských štátoch. Dôsledné a jednotné uplatňovanie pravidiel ochrany základných práv a slobôd fyzických osôb so zreteľom na spracúvanie osobných údajov by malo byť zabezpečené v rámci celej Únie. Účinná ochrana osobných údajov v rámci Únie si vyžaduje posilnenie práv dotknutých osôb a povinností tých, ktorí osobné údaje spracúvajú, no vyžaduje si aj zodpovedajúce právomoci na monitorovanie a zabezpečenie súladu s pravidlami ochrany osobných údajov v členských štátoch. [PN 3]

(8)  Článok 16 ods. 2 Zmluvy o fungovaní Európskej únie stanovuje, že Európsky parlament a Rada by mali stanoviť pravidlá týkajúce sa ochrany fyzických osôb pri spracúvaní osobných údajov a pravidlá týkajúce sa voľného pohybu ich osobných údajov. [PN 4]

(9)  Nariadenie Európskeho parlamentu a Rady (EÚ) č. …./2014 o ochrane fyzických osôb pri spracúvaní osobných údajov a voľnom pohybe týchto údajov (všeobecné nariadenie o ochrane údajov) na tomto základe stanovuje všeobecné pravidlá na ochranu fyzických osôb v súvislosti so spracovaním osobných údajov a na zabezpečenie voľného pohybu osobných údajov v rámci Únie.

(10)  Vo vyhlásení č. 21 o ochrane osobných údajov v oblasti justičnej spolupráce v trestných veciach a v oblasti policajnej spolupráce (pripojenom k záverečnému aktu medzivládnej konferencie, na ktorej bola prijatá Lisabonská zmluva), konferencia uznala, že sa môže preukázať ako nevyhnutné prijať osobitné pravidlá upravujúce ochranu osobných údajov a voľný pohyb takýchto údajov v oblasti justičnej spolupráce v trestných veciach a v oblasti policajnej spolupráce, ktoré vychádzajú z článku 16 Zmluvy o fungovaní Európskej únie, a to z dôvodu osobitnej povahy, ktorou sa tieto oblasti vyznačujú.

(11)  Osobitnej povahe týchto oblastí by preto mala vyhovieť osobitná smernica, ktorá by mala ustanoviť pravidlá týkajúce sa ochrany fyzických osôb pri spracúvaní osobných údajov príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií. [PN 5 Netýka sa slovenskej verzie]

(12)  S cieľom zabezpečiť rovnakú úroveň ochrany fyzických osôb právami, ktoré sú právnymi prostriedkami vymáhateľné v celej Únii, a zabrániť rozdielom, ktoré sú prekážkou voľnej výmeny osobných údajov medzi príslušnými orgánmi, by táto smernica mala stanoviť jednotné pravidlá ochrany a voľného pohybu osobných údajov v oblasti justičnej spolupráce v trestných veciach a v oblasti policajnej spolupráce.

(13)  Táto smernica umožňuje pri uplatňovaní jej ustanovení vziať do úvahy zásadu verejného prístupu k oficiálnym dokumentom.

(14)  Ochrana, ktorú táto smernica poskytuje, by sa mala týkať spracúvania osobných údajov fyzických osôb bez ohľadu na ich štátnu príslušnosť alebo miesto bydliska.

(15)  Ochrana fyzických osôb by mala byť technologicky neutrálna a nemala by závisieť od použitých techník, pretože v opačnom prípade by hrozilo veľké riziko obchádzania predpisov. Ochrana fyzických osôb by sa mala vzťahovať na spracúvanie osobných údajov automatizovanými prostriedkami, ako aj na ručné spracúvanie, ak sú údaje uvedené v informačnom systéme alebo do neho majú byť zahrnuté. Súbory alebo komplexy súborov, ako aj ich titulné strany, ktoré nie sú štruktúrované podľa špecifických kritérií, by nemali patriť do rozsahu pôsobnosti tejto smernice. Táto smernica by sa nemala vzťahovať na spracúvanie osobných údajov v rámci činnosti, ktorá nepatrí do rozsahu pôsobnosti práva Únie, najmä pokiaľ ide o národnú bezpečnosť, ani na údaje spracúvané inštitúciami, orgánmi, úradmi alebo agentúrami Únie, ako sú napríklad Europol alebo Eurojust. Nariadenie Európskeho parlamentu a Rady (ES) č. 45/2001(5) a osobitné právne nástroje uplatniteľné na agentúry, orgány alebo úrady Únie by sa mali zosúladiť a uplatňovať v súlade s touto smernicou. [PN 6]

(16)  Zásady ochrany údajov by sa mali uplatňovať na všetky informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby. Na určenie toho, či je fyzická osoba identifikovateľná, by sa mali brať do úvahy všetky prostriedky, u ktorých je primeraná pravdepodobnosť, že ich využije prevádzkovateľ alebo ľubovoľná iná osoba na identifikáciu alebo vyčlenenie príslušnej osoby. Zásady ochrany údajov by sa nemali uplatňovať na anonymizované údaje tak, že dotknutá osoba už nie je identifikovateľná. Táto smernica by sa nemala uplatňovať na anonymné údaje, čiže akékoľvek údaje, ktoré priamo alebo nepriamo, samostatne alebo v kombinácii so súvisiacimi údajmi nemožno spájať s fyzickou osobou. Vzhľadom na význam súčasného vývoja v rámci informačnej spoločnosti, techník používaných na zachytávanie, prenos, spracovávanie, zaznamenávanie, uchovávanie alebo oznamovanie lokalizačných údajov týkajúcich sa fyzických osôb, ktoré sa môžu použiť na rôzne účely vrátane sledovania a vytvárania profilov, by táto smernica mala byť uplatniteľná aj na spracúvanie zahŕňajúce takéto osobné údaje. [PN 7]

(16a)  Každé spracovanie osobných údajov musí byť zákonné, spravodlivé a transparentné vo vzťahu k dotknutým jednotlivcom. Najmä osobitné dôvody, pre ktoré sa údaje spracúvajú, by mali byť jednoznačne vymedzené a legitímne a mali by byť stanovené v čase zhromažďovania osobných údajov. Osobné údaje by mali byť primerané, relevantné a obmedzené na minimum nevyhnutné na účely, na ktoré sa údaje spracúvajú. Vyžaduje si to najmä, aby boli zbierané údaje a obdobie, počas ktorého sú údaje uchovávané, obmedzené na nevyhnutné minimum. Osobné údaje by sa mali spracúvať len vtedy, ak účel spracovania nebolo možné dosiahnuť inými prostriedkami. Mali by sa prijať všetky primerané opatrenia, aby sa zabezpečila oprava nepresných osobných údajov alebo ich vymazanie. Prevádzkovateľ by mal stanoviť lehoty na výmaz alebo pravidelné preskúmanie, aby sa zabezpečilo, aby údaje neboli uchovávané dlhšie, než je potrebné. [PN 8]

(17)  Osobné údaje týkajúce sa zdravia by mali zahŕňať najmä všetky údaje týkajúce sa zdravotného stavu dotknutej osoby, informácie o zaevidovaní fyzickej osoby v súvislosti s poskytnutím zdravotníckych služieb, informácie o platbách alebo nároku na zdravotnú starostlivosť týkajúce sa fyzickej osoby, číslo, symbol alebo osobitný údaj, ktorý bol fyzickej osobe pridelený na individuálnu identifikáciu fyzickej osoby na zdravotné účely, všetky informácie získané o fyzickej osobe počas poskytovania zdravotníckych služieb, ako aj informácie získané na základe vykonávania testov alebo prehliadok častí organizmu alebo telesných substancií, a to vrátane biologických vzoriek, identifikáciu osoby ako poskytovateľa zdravotnej starostlivosti fyzickej osobe, alebo akékoľvek informácie napr. o chorobe, postihnutí, riziku ochorenia, lekárskej anamnéze, klinickej liečbe, alebo o aktuálnom fyziologickom alebo biomedicínskom stave dotknutej osoby, a to bez ohľadu na zdroj týchto informácií, či už pochádzajú od lekára alebo zdravotníka, z nemocnice, zo zdravotného prístroja alebo z vykonania in vitro diagnostického testu.

(18)  Každé spracovanie osobných údajov by malo byť spravodlivé a zákonné vo vzťahu k dotknutým fyzickým osobám. A Predovšetkým by sa mali výslovne stanoviť osobitné účely, na ktoré sa tieto údaje spracúvajú. [PN 9]

(19)  V záujme predchádzania trestným činom, ich vyšetrovania a stíhania je potrebné, aby príslušné orgány uchovávali a spracúvali osobné údaje, ktoré boli zhromaždené v kontexte predchádzania osobitným trestným činom, ich vyšetrovania, odhaľovania alebo stíhania, aj mimo tohto kontextu s cieľom rozvíjať chápanie javov a trendov v oblasti trestnej činnosti, zhromažďovať spravodajské informácie o organizovaných zločineckých sieťach a zisťovať súvislosti medzi rôznymi odhalenými trestnými činmi. [PN 10]

(20)  Osobné údaje by sa nemali spracúvať na účely, ktoré nie sú zlučiteľné s účelom, na ktorý boli získané. Osobné údaje by mali byť primerané, relevantné a úmerné vzhľadom na účely, na ktoré sa spracúvajú. Mali by sa prijať všetky primerané opatrenia, aby sa zabezpečilo vymazanie alebo oprava nepresných údajov. [PN 11]

(20a)  Iba skutočnosť, že oba tieto dva účely sa týkajú predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo výkonu trestných sankcií, nevyhnutne neznamená, že sú zlučiteľné. Existujú však prípady, v ktorých by ďalšie spracovanie na nezlučiteľné účely malo byť možné, ak je to potrebné na splnenie zákonnej povinnosti prevádzkovateľa, ochranu zásadných záujmov dotknutej osoby či inej osoby alebo predchádzanie bezprostrednému a vážnemu ohrozeniu verejnej bezpečnosti. Členské štáty by preto mali mať možnosť prijímať vnútroštátne právne predpisy stanovujúce takéto výnimky v rozsahu, ktorý je nevyhnutne potrebný. Takéto vnútroštátne právne predpisy by mali obsahovať primerané záruky. [PN 12]

(21)  Zásada presnosti údajov by sa mala uplatňovať pri zohľadnení povahy a účelu predmetného spracovania. Najmä v rámci súdnych konaní sú vyjadrenia obsahujúce osobné údaje založené na subjektívnom vnímaní fyzických osôb a v niektorých prípadoch sa nedajú vždy overiť. Následkom toho by sa požiadavka na presnosť nemala vzťahovať na presnosť vyjadrenia, ale iba na skutočnosť, že konkrétne vyjadrenie bolo dané.

(22)  Pri výklade a uplatňovaní všeobecných zásad, ktoré sa týkajú spracúvania osobných údajov príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií, by sa mali zohľadniť osobitosti predmetného sektora vrátane konkrétnych sledovaných cieľov. [PN 13]

(23)  K spracúvaniu osobných údajov v oblasti justičnej spolupráce v trestných veciach a v oblasti policajnej spolupráce neodmysliteľne patrí spracúvanie osobných údajov, ktoré sa týkajú rôznych kategórií dotknutých osôb. Preto by sa malo v čo najväčšom možnom rozsahu jasne rozlišovať medzi osobnými údajmi rôznych kategórií dotknutých osôb, ako sú podozrivé osoby, osoby odsúdené za spáchanie trestného činu, obete a tretie strany, ako sú svedkovia, osoby disponujúce relevantnými informáciami alebo kontaktné osoby a spoločníci podozrivých osôb alebo odsúdených páchateľov trestných činov. Členské štáty by mali stanoviť osobitné pravidlá týkajúce sa následkov tejto kategorizácie, pričom zohľadnia rôzne účely, na ktoré sa údaje získavajú, a stanovia osobitné záruky pre osoby, ktoré nie sú podozrivé zo spáchania trestného činu ani neboli odsúdené za trestný čin. [PN 14]

(24)  Osobné údaje by sa mali v čo najväčšom rozsahu rozlišovať podľa stupňa ich presnosti a spoľahlivosti. Mali by sa rozlišovať fakty od osobných hodnotení, aby sa zabezpečila ochrana fyzických osôb aj kvalita a spoľahlivosť informácií, ktoré príslušné orgány spracúvajú.

(25)  Aby bolo spracovanie osobných údajov zákonné, malo by byť povolené len vtedy, keď je to nevyhnutné na splnenie zákonnej povinnosti prevádzkovateľa, na plnenie úloh vykonávaných vo verejnom záujme príslušným orgánom na základe zákona alebo na ochranu zásadných záujmov dotknutej osoby či inej osoby, alebo na predchádzanie bezprostrednému a vážnemu ohrozeniu verejnej bezpečnosti práva Únie alebo členského štátu, ktoré by malo obsahovať výslovné a podrobné ustanovenia, pokiaľ ide aspoň o ciele, osobné údaje, konkrétne účely a prostriedky a malo by určiť alebo umožniť určiť prevádzkovateľa a postupy, ktoré treba dodržiavať, a využívanie a vymedzenie rozsahu akejkoľvek právomoci konať podľa vlastného uváženia zverenej príslušným orgánom v súvislosti s činnosťami spracúvania. [PN 15]

(25a)  Osobné údaje by sa nemali spracúvať na účely, ktoré nie sú zlučiteľné s účelom, na ktorý boli získané. Ďalšie spracúvanie príslušnými orgánmi na účel spadajúci do rozsahu pôsobnosti tejto smernice, ktoré nie je v súlade s pôvodným účelom, by malo byť povolené len v osobitných prípadoch, ak je toto spracúvanie nevyhnutné na splnenie zákonnej povinnosti prevádzkovateľa na základe práva Únie alebo práva členského štátu alebo na ochranu zásadných záujmov dotknutej osoby či inej osoby alebo na predchádzanie bezprostrednému a vážnemu ohrozeniu verejnej bezpečnosti. Skutočnosť, že údaje sú spracúvané na účely presadzovania práva nevyhnutne neznamená, že tento účel je zlučiteľný s pôvodným účelom. Pojem zlučiteľného využívania je potrebné vykladať reštriktívne. [PN 16]

(25b)  Osobné údaje spracúvané v rozpore s vnútroštátnymi ustanoveniami prijatými podľa tejto smernice by sa ďalej nemali spracúvať. [PN 17]

(26)  Osobitnú ochranu je potrebné poskytnúť pri osobných údajoch, ktoré sú svojou povahou obzvlášť citlivé a exponované v súvislosti so základnými právami alebo právom na súkromie vrátane genetických údajov. Takéto údaje by sa mali spracúvať, len ak je spracovanie osobitne povoľuje zákon, ktorý stanovuje nevyhnutné na vykonávanie úlohy vo verejnom záujme na základe práva Únie alebo práva členského štátu, ktoré ustanovuje vhodné opatrenia na ochranu základných práv a oprávnených záujmov dotknutej osoby, alebo ak je spracúvanie nevyhnutné na ochranu zásadných záujmov dotknutej osoby či inej osoby alebo ak sa spracúvanie týka údajov, ktoré preukázateľne zverejnila dotknutá osoba. Citlivé osobné údaje by sa mali spracúvať len v prípade, že dopĺňajú iné osobné údaje už spracované na účely presadzovania práva. Každá výnimka zo zákazu spracovania citlivých údajov by sa mala vykladať reštriktívnym spôsobom a nemala by viesť k častému, hromadnému ani štrukturálnemu spracovaniu citlivých osobných údajov. [PN 18]

(26a)  Spracúvanie genetických údajov by malo byť povolené len v prípade, že existuje genetický vzťah, ktorý sa zistí v priebehu trestného stíhania alebo súdneho konania. Genetické údaje by mali byť uchovávané dovtedy, kým je to nevyhnutné na účely týchto vyšetrovaní a postupov, zatiaľ čo členské štáty môžu ustanoviť dlhšie uchovávanie za podmienok stanovených v tejto smernici. [PN 19]

(27)  Každá fyzická osoba by mala mať právo nepodliehať opatreniu, ktoré je výlučne čiastočne alebo úplne založené na automatizovanom spracúvaní, ak má toto opatrenie profilovaní prostredníctvom automatizovaného spracúvania. Takéto spracovanie, ktoré pre túto osobu nepriaznivé právne účinky alebo ju významne ovplyvňuje, by malo byť zakázané, ibaže by to povoľoval zákon a zároveň by boli stanovené vhodné opatrenia na zabezpečenie základných práv a oprávnených záujmov dotknutej osoby vrátane práva na získanie užitočných informácií o postupe, ktorý sa uplatňuje pri profilovaní. Takéto spracúvanie by za žiadnych okolností nemalo zahŕňať ani vytvárať osobitné kategórie údajov, ani na ich základe diskriminovať. [PN 20]

(28)  V záujme výkonu práv dotknutej osoby by jej mali byť ľahko dostupné a mali by pre ňu byť ľahko pochopiteľné akékoľvek informácie, ktoré by taktiež mali byť podané jasne a zrozumiteľne. Tieto informácie by mali byť prispôsobené potrebám dotknutej osoby, najmä ak sú informácie určené osobitne dieťaťu. [PN 21]

(29)  Mali by sa stanoviť modality, ktoré by dotknutej osobe uľahčili uplatnenie jej práv v zmysle tejto smernice, a to vrátane mechanizmov pre vyžiadanie si bezplatného prístupu k údajom, ich opravy a výmazu. Prevádzkovateľ by mal byť povinný odpovedať na žiadosť dotknutej osoby bez zbytočného odkladu a do jedného mesiaca po prijatí žiadosti. Ak sa osobné údaje spracúvajú automatizovanými prostriedkami, prevádzkovateľ by mal zabezpečiť prostriedky na podávanie žiadostí v elektronickej podobe. [PN 22]

(30)  Zásada spravodlivého a transparentného spracúvania si vyžaduje, aby dotknuté osoby boli informované najmä o existencii operácie spracúvania a jej účeloch, , jej právnom základe, o tom, ako dlho budú údaje uchovávané, o existencii práva na prístup, opravu a výmaz, ako aj o práve podať sťažnosť. Dotknutá osoba by okrem toho mala byť informovaná v prípade, že sa uskutoční profilovanie, ako aj o jeho zamýšľaných dôsledkoch. Ak sa údaje zhromažďujú od dotknutej osoby, dotknutá osoba by mala byť informovaná aj o tom, či je povinná údaje poskytnúť, ako aj o následkoch v prípade, že tieto údaje neposkytne. [PN 23]

(31)  Informácie súvisiace so spracúvaním osobných údajov týkajúcich sa dotknutej osoby by sa dotknutej osobe mali poskytnúť v čase zhromažďovania údajov alebo, ak sa údaje nezískavajú od dotknutej osoby, v čase zaznamenania alebo v primeranej lehote po ich zhromaždení, a to so zreteľom na osobitné okolnosti, za ktorých sa tieto údaje spracúvajú.

(32)  Každá osoba by mala mať právo na prístup k údajom, ktoré boli o nej zhromaždené, a toto právo aj jednoducho uplatňovať, aby si bola vedomá zákonnosti spracovania a mohla si ju overiť. Každá dotknutá osoba by preto mala mať právo vedieť a byť informovaná najmä o účeloch spracúvania údajov, právnom základe, o tom, ako dlho budú tieto údaje uchovávané, ako aj o tom, ktorí príjemcovia údajov ich dostanú vrátané vrátane príjemcov v tretích krajinách, zrozumiteľné informácie o postupe súvisiacom s akýmkoľvek automatizovaným spracovaním a v náležitých prípadoch i s jeho podstatnými a predpokladanými dôsledkami a právo podať sťažnosť dozornému orgánu a jeho kontaktné údaje. Dotknuté osoby by mali možnosť dostať kópiu ich osobných údajov, ktoré sa spracúvajú. [PN 24]

(33)  Členské štáty môžu prijať právne opatrenia, ktorými sa odkladá, alebo obmedzuje alebo vylučuje poskytovanie informácií dotknutým osobám alebo prístup k ich osobným údajom, a to v takom rozsahu a na tak dlho, ako toto čiastočné alebo úplné obmedzenie s náležitým zreteľom na základné práva a oprávnené záujmy príslušnej osoby predstavuje nevyhnutné a primerané opatrenie v demokratickej spoločnosti s cieľom zaručiť, aby sa neovplyvnilo úradné alebo súdne vyšetrovanie alebo postup, aby sa zabránilo ovplyvňovaniu predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo výkonu trestných sankcií, aby sa ochránila verejná bezpečnosť alebo národná bezpečnosť, alebo aby sa ochránila dotknutá osoba alebo práva a slobody iných osôb. Prevádzkovateľ by mal prostredníctvom konkrétneho a individuálneho preskúmania jednotlivých prípadov posúdiť, či by sa malo uplatniť čiastočné alebo úplné obmedzenie práva na prístup. [PN 25]

(34)  Akékoľvek zamietnutie alebo obmedzenie prístupu by malo byť dotknutej osobe oznámené písomne, a to vrátane skutkových alebo právnych dôvodov, na ktorých je toto rozhodnutie založené.

(34a)  Akékoľvek obmedzenie práv dotknutej osoby musí byť v súlade s chartoua s Európskym dohovorom o ľudských právach, ako objasňuje judikatúra Súdneho dvora Európskej únie a Európskeho súdu pre ľudské práva, a predovšetkým musí rešpektovať podstatu práv a slobôd. [PN 26]

(35)  Ak členské štáty prijali právne opatrenia, ktoré úplne alebo čiastočne obmedzujú právo na prístup, dotknutá osoba by mala mať právo požiadať príslušný vnútroštátny dozorný orgán, aby overil zákonnosť tohto spracovania. Dotknutá osoba by mala byť o tomto práve informovaná. Ak prístup v mene dotknutej osoby vykonáva dozorný orgán, mal by dotknutú osobu informovať prinajmenšom o tom, že vykonal všetky potrebné overenia, ako aj o výsledku, pokiaľ ide o zákonnosť predmetného spracovania. Dozorný orgán by mal dotknutú osobu tiež informovať o práve na opravný prostriedok. [PN 27]

(36)  Ktorákoľvek osoba by mala mať právo na opravu nepresných alebo nezákonne spracovaných osobných údajov, ktoré sa jej týkajú, ako aj právo na ich vymazanie, ak spracovanie takýchto údajov nie je v súlade s hlavnými zásadami ustanoveniami stanovenými v tejto smernici. Takáto oprava, doplnenie alebo vymazanie by sa malo oznámiť príjemcom, ktorým sa údaje sprístupnili, a tretím stranám, od ktorých nepresné údaje pochádzajú. Prevádzkovatelia by takisto mali upustiť od ďalšieho šírenia takýchto údajov. Ak sú osobné údaje spracúvané počas vyšetrovania trestného činu a trestného konania, oprava, právo na informácie, prístup, výmaz a obmedzenie spracovania môžu byť vykonané v súlade s vnútroštátnymi pravidlami súdneho konania. [PN 28]

(37)  Mala by sa zaviesť komplexná zodpovednosť prevádzkovateľa za akékoľvek spracúvanie osobných údajov, ktoré vykonáva sám či ktoré sa vykonáva v jeho mene. Prevádzkovateľ by mal predovšetkým zabezpečiť a mal by mať povinnosť byť schopný preukázať súlad operácií každej operácie spracúvania s pravidlami prijatými podľa tejto smernice. [PN 29]

(38)  Ochrana práv a slobôd dotknutých osôb pri spracúvaní osobných údajov vyžaduje, aby sa prijali zodpovedajúce technické a organizačné opatrenia s cieľom zabezpečiť splnenie podmienok tejto smernice. V záujme zaistenia súladu s ustanoveniami prijatými podľa tejto smernice by mal prevádzkovateľ prijať politiky a uplatniť príslušné opatrenia, ktoré predovšetkým spĺňajú zásady ochrany údajov špecificky navrhnutej a štandardne určenej.

(39)  Ochrana práv a slobôd dotknutých osôb, ako aj zodpovednosť prevádzkovateľov a sprostredkovateľov si vyžaduje jednoznačné vymedzenie zodpovednosti v zmysle tejto smernice, a to aj v prípade, že prevádzkovateľ spoločne s ostatnými prevádzkovateľmi určí účely, podmienky a prostriedky spracovania alebo že sa operácia spracovania uskutočňuje v jeho mene. Dotknutá osoba by mala mať právo uplatniť svoje práva podľa tejto smernice, vo vzťahu k jednotlivým spoločným prevádzkovateľom a voči nim. [PN 30]

(40)  S cieľom monitorovať dodržiavanie tejto smernice by mal prevádzkovateľ a sprostredkovateľ dokumentovať operácie spracúvania. Povinnosťou každého prevádzkovateľa a sprostredkovateľa by malo byť spolupracovať s dozornými orgánom a túto dokumentáciu sprístupniť na požiadanie, aby mohla slúžiť na účely monitorovania operácií spracúvania.

(40a)  Každá operácia spracúvania osobných údajov by mala byť zaznamenaná na účely overenia zákonnosti spracovania údajov, vnútorného monitorovania a zabezpečenia náležitej integrity a bezpečnosti údajov. Tento záznam by mal byť na požiadanie poskytnutý príslušnému dozornému orgánu na účely monitorovania súladu s pravidlami stanovenými v tejto smernici. [PN 31]

(40b)  Prevádzkovateľ alebo sprostredkovateľ by mali uskutočniť posúdenie vplyvu na ochranu údajov, pokiaľ je pravdepodobné, že operácie spracúvania by mohli predstavovať osobitné riziká pre práva a slobody dotknutých osôb z dôvodu ich povahy, rozsahu alebo účelov, pričom toto posúdenie vplyvu by malo zahŕňať najmä plánované opatrenia, záruky a mechanizmy na zabezpečenie ochrany osobných údajov a na preukázanie súladu s touto smernicou. Posúdenia vplyvu by sa mali týkať príslušných systémov a procesov operácií spracúvania osobných údajov, ale nie jednotlivých prípadov. [PN 32]

(41)  Prevádzkovateľ alebo sprostredkovateľ by mal v niektorých prípadoch konzultovať dozorný orgán s dozorným orgánom pred spracovaním osobných údajov s cieľom preventívne zabezpečiť účinnú ochranu práv a slobôd dotknutých osôb. Okrem toho, ak z posúdenia vplyvu na ochranu údajov vyplýva, že je pravdepodobné, že operácie spracúvania údajov by mohli predstavovať osobitné riziká pre práva a slobody dotknutých osôb, dozorný orgán by mal mať možnosť zamedziť ešte pred začiatkom operácií riskantnému spracúvaniu, ktoré nie je v súlade s touto smernicou, a navrhnúť možnosť nápravy tejto situácie. Takéto konzultácie sa môžu takisto uskutočniť aj počas prípravy buď opatrenia zo strany národného parlamentu alebo opatrenia založeného na takom legislatívnom opatrení, ktoré vymedzuje povahu spracúvania a stanovuje náležité záruky. [PN 33]

(41a)  Aby sa zachovala bezpečnosť a aby sa predišlo spracúvaniu údajov v rozpore s touto smernicou, prevádzkovateľ alebo sprostredkovateľ by mali posúdiť riziká súvisiace so spracovaním a vykonávať opatrenia na zmiernenie týchto rizík. Tieto opatrenia by mali zabezpečiť primeranú úroveň bezpečnosti pri zohľadnení najnovšieho stavu techniky a nákladov na jej zavedenie v súvislosti s rizikami a povahou osobných údajov, ktoré sa majú chrániť. Pri zavádzaní technických noriem a organizačných opatrení na zaistenie bezpečnosti spracovania by sa mala podporovať technologická neutralita. [PN 34]

(42)  Ak sa porušenie ochrany osobných údajov nerieši primeraným spôsobom a včas, môže spôsobiť značné hospodárske straty a spoločenskú ujmu vrátane poškodenia dobrého mena dotknutej fyzickej osoby dotknutej fyzickej osoby vrátane podvodujej identitou. Ihneď ako prevádzkovateľ zistí, že došlo k takémuto porušeniu ochrany osobných údajov, mal by teda toto porušenie oznámiť príslušnému vnútroštátnemu orgánu. Fyzické osoby, u ktorých by porušenie ochrany osobných údajov malo nepriaznivý vplyv na ich osobné údaje alebo súkromie, by mali byť o porušení bez zbytočného odkladu informované, aby mohli podniknúť potrebné predbežné opatrenia. Za porušenie ochrany osobných údajov s nepriaznivým vplyvom na osobné údaje alebo súkromie fyzickej osoby by sa malo považovať také porušenie, ktoré by mohlo spôsobiť napríklad krádež totožnosti alebo podvod, fyzickú ujmu, značné poníženie alebo poškodenie dobrého mena v súvislosti so spracúvaním osobných údajov. Oznámenie by malo obsahovať informácie o opatreniach, ktoré poskytovateľ prijal v súvislosti s porušením, ako aj odporúčania pre príslušných užívateľov alebo jednotlivcov. Oznámenie by malo byť odovzdané dotknutej osobe čo najskôr, v úzkej spolupráci s dozorným orgánom a podľa jeho pokynov. [PN 35]

(43)  Pri stanovení podrobných pravidiel týkajúcich sa formátu a postupov uplatňovaných pri oznamovaní porušenia ochrany osobných údajov by sa mali náležitým spôsobom zvážiť okolnosti, za ktorých k porušeniu došlo, vrátane toho, či osobné údaje boli alebo neboli chránené zodpovedajúcimi opatreniami technickej ochrany, ktoré účinným spôsobom obmedzujú pravdepodobnosť zneužitia. Okrem toho by takého pravidlá a postupy mali zohľadňovať oprávnené záujmy príslušných orgánov v tých prípadoch, keď by skoré sprístupnenie mohlo zbytočne skomplikovať vyšetrovanie okolností porušenia ochrany osobných údajov.

(44)  Prevádzkovateľ alebo sprostredkovateľ by mali určiť osobu, ktorá bude prevádzkovateľovi alebo sprostredkovateľovi pomáhať monitorovať a preukazovať dodržiavanie ustanovení prijatých podľa tejto smernice. Úradníka pre ochranu údajov môže spoločne vymenovať niekoľko subjektov príslušného orgánu. Ak pod dohľadom ústredného orgánu konajú viaceré príslušné orgány, mal by takéhoto úradníka pre ochranu údajov určiť aspoň tento ústredný orgán. Úradníci pre ochranu údajov musia mať možnosť vykonávať svoje povinnosti a úlohy nezávisle a účinne, najmä stanovením pravidiel, ktoré zamedzujú konfliktu záujmov s inými úlohami vykonávanými úradníkom pre ochranu údajov. [PN 36]

(45)  Členské štáty by mali zabezpečiť, aby sa prenos do tretej krajiny uskutočnil len vtedy, ak je to potrebné tento konkrétny prenos potrebný na predchádzanie trestným činom, ich vyšetrovanie, odhaľovanie alebo stíhanie alebo na účely výkonu trestných sankcií, pričom prevádzkovateľ v tretej krajine alebo medzinárodná organizácia je príslušným orgánom verejnej moci v zmysle tejto smernice. Prenos sa môže uskutočniť v prípade, že Komisia rozhodla, že tretia krajina alebo predmetná medzinárodná organizácia zabezpečujú primeranú úroveň ochrany, alebo keď boli prijaté náležité záruky, alebo keď boli v právne záväznom nástroji uvedené náležité záruky. Údaje prenesené do príslušných orgánov verejnej moci v tretích krajinách by sa nemali ďalej spracúvať na iné účely než na účel ich prenesenia. [PN 37]

(45a)  Ďalší prenos z príslušných orgánov v tretích krajinách alebo medzinárodných organizácií, do ktorých boli osobné údaje prenesené, by sa mal povoliť iba vtedy, keď je ďalší prenos potrebný na ten istý konkrétny účel ako pôvodný prenos a druhý príjemca je takisto príslušným orgánom verejnej moci. Ďalší prenos by sa nemal povoliť na všeobecné účely presadzovania práva. Okrem toho by mal príslušný orgán, ktorý vykonal pôvodný prenos, s ďalším prenosom súhlasiť. [PN 38]

(46)  Komisia môže rozhodnúť s účinnosťou pre celú Úniu, že určitá tretia krajina, resp. územie alebo sektor spracovania v tretej krajine, alebo medzinárodná organizácia, zaručuje primeranú úroveň ochrany, čím poskytuje právnu istotu a jednotnosť v celej Únii, pokiaľ ide o tretie krajiny alebo medzinárodné organizácie, ktoré sa považujú za také tretie krajiny a medzinárodné organizácie, ktoré poskytujú takúto úroveň ochrany. V týchto prípadoch sa prenosy osobných údajov môžu uskutočniť bez toho, aby bolo nutné získať akékoľvek ďalšie povolenie.

(47)  V súlade so základnými hodnotami, na ktorých je Únia založená, a najmä v súlade s ochranou ľudských práv, by Komisia mala zohľadniť, ako sa v predmetnej tretej krajine dodržiavajú zásady právneho štátu, prístupu k spravodlivosti, ako aj medzinárodné normy a štandardy v oblasti ľudských práv.

(48)  Komisia by rovnako mala byť schopná dospieť k záveru, že tretia krajina, resp. územie, alebo sektor spracovania v tretej krajine, alebo medzinárodná organizácia, neposkytuje primeranú úroveň ochrany údajov. Následkom toho by sa mal prenos osobných údajov do predmetnej tretej krajiny zakázať s výnimkou prípadu, keď vychádza z medzinárodnej dohody, náležitých záruk alebo odchýlky. Mali by sa stanoviť postupy na účely konzultácie medzi Komisiou a takouto treťou krajinou či medzinárodnými organizáciami. Takýmto rozhodnutím Komisie však nie je dotknutá možnosť uskutočniť prenos na základe náležitých záruk prostredníctvom právne záväzných nástrojov alebo na základe odchýlky stanovenej v tejto smernici. [PN 39]

(49)  Prenosy, ktoré nie sú založené na takomto rozhodnutí o primeranosti, by mali byť umožnené len vtedy, ak boli stanovené náležité záruky v právne záväznom nástroji, ktorý zaisťuje ochranu osobných údajov, alebo ak prevádzkovateľ alebo sprostredkovateľ posúdil všetky okolnosti sprevádzajúce operáciu prenosu údajov alebo súbor operácií prenosu údajov, a na základe tohto posúdenia dospel k záveru, že existujú náležité záruky, pokiaľ ide o ochranu osobných údajov. Ak neexistujú žiadne dôvody na umožnenie prenosu, mali by byť v prípade potreby umožnené odchýlky s cieľom chrániť zásadné záujmy dotknutej osoby či inej osoby, alebo zabezpečiť oprávnené záujmy dotknutej osoby, ak sa tak ustanovuje v právnych predpisoch členského štátu prenášajúceho osobné údaje alebo ak je to nevyhnutné na predchádzanie bezprostrednému alebo vážnemu ohrozeniu verejnej bezpečnosti v členskom štáte alebo tretej krajine, alebo v jednotlivých prípadoch na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií, alebo v jednotlivých prípadoch na stanovenie, uplatňovanie alebo obranu právnych nárokov. [PN 40]

(49a)  V prípadoch, keď neexistujú žiadne dôvody na umožnenie prenosu, mali by byť v prípade potreby umožnené výnimky s cieľom chrániť zásadné záujmy dotknutej osoby či inej osoby alebo zabezpečiť oprávnené záujmy dotknutej osoby, ak to stanovuje právo členského štátu prenášajúceho osobné údaje, alebo ak je to nevyhnutné na predchádzanie bezprostrednému alebo vážnemu ohrozeniu verejnej bezpečnosti v členskom štáte alebo tretej krajine, alebo v jednotlivých prípadoch na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií, alebo v jednotlivých prípadoch na stanovenie, uplatňovanie alebo ochranu právnych nárokov. Tieto výnimky by sa mali vykladať reštriktívne a nemali by umožňovať častý, rozsiahly a štrukturálny prenos osobných údajov a nemali by umožňovať hromadný prenos údajov, ktorý by mal byť obmedzený na nevyhnutne potrebné údaje. Okrem toho by rozhodnutie o prenose mala prijať riadne oprávnená osoba a tento prenos musí byť zdokumentovaný a na požiadanie by mal byť sprístupnený dozornému orgánu na účely monitorovania zákonnosti prenosu. [PN 41]

(50)  Pohyb osobných údajov cez hranice môže výraznejšie ohroziť schopnosť fyzických osôb uplatňovať si práva na ochranu údajov v záujme vlastnej ochrany pred nezákonným použitím alebo zverejnením predmetných údajov. Dozorné orgány môžu zároveň zistiť, že nie sú schopné vybavovať sťažnosti alebo viesť vyšetrovania týkajúce sa operácií za hranicami ich štátov. Ich úsilie o spoluprácu v cezhraničnom kontexte môžu tiež komplikovať nedostačujúce preventívne alebo nápravné právomoci, ako aj nesúlad právnych poriadkov. Preto je nutné podporovať užšiu spoluprácu medzi dozornými orgánmi v oblasti ochrany údajov s cieľom pomôcť im pri výmene informácií s ich zahraničnými partnermi.

(51)  Vytvorenie dozorných orgánov v členských štátoch, ktoré budú svoje funkcie vykonávať úplne nezávisle, je základným prvkom ochrany fyzických osôb pri spracúvaní osobných údajov. Dozorné orgány by mali monitorovať uplatňovanie ustanovení prijatých podľa tejto smernice a prispievať k ich súdržnému uplatňovaniu v celej Únii, a to s cieľom ochraňovať fyzické osoby v súvislosti so spracúvaním ich osobných údajov. Na tento účel by dozorné orgány spolupracujú mali navzájom, ako aj s Komisiou spolupracovať. [PN 42]

(52)  Členské štáty môžu dozornému orgánu, ktorý je v členských štátoch už zriadený na základe nariadenia (EÚ) č. .../2014, zveriť zodpovednosť za úlohy, ktoré majú vykonávať vnútroštátne dozorné orgány, ktoré sa majú zriadiť na základe tejto smernice.

(53)  Členské štáty by mali mať možnosť zriadiť viac ako jeden dozorný orgán, ak je to potrebné vzhľadom na ich ústavnú, organizačnú a administratívnu štruktúru. Každému dozornému orgánu by mali byť poskytnuté primerané finančné a ľudské zdroje, priestory a infraštruktúra vrátane technických schopností, skúseností a zručností, ktoré sú potrebné na účinné vykonávanie ich úloh, a to vrátane úloh týkajúcich sa vzájomnej pomoci a spolupráce s inými dozornými orgánmi v celej Únii. [PN 43]

(54)  Všeobecné podmienky členstva v dozorných orgánoch by mali byť stanovené zákonom v každom členskom štáte a mali by najmä stanovovať, že títo členovia by mali byť menovaní parlamentom alebo vládou členského štátu na základe konzultácie s parlamentom členského štátu, a mali by obsahovať pravidlá týkajúce sa osobnej kvalifikácie a postavenia týchto členov. [PN 44]

(55)  Hoci sa táto smernica vzťahuje aj na činnosti vnútroštátnych súdov, právomoc dozorných orgánov by sa nemala týkať spracúvania osobných údajov, ku ktorému dochádza, keď súdne orgány plnia svoje súdne funkcie, aby sa zaručila nezávislosť sudcov pri výkone ich justičných úloh. Táto výnimka by sa mala obmedzovať len na skutočné súdne činnosti v rámci súdnych prípadov a nemala by sa uplatňovať na činnosti, do ktorých môžu byť sudcovia zapojení v súlade s vnútroštátnym právom.

(56)  S cieľom zabezpečiť konzistentné monitorovanie a presadzovanie tejto smernice v celej Únii by dozorné orgány mali mať rovnaké povinnosti a účinné právomoci v každom členskom štáte vrátane účinných vyšetrovacích právomoci, právomoci prístupu ku všetkým osobným údajom a všetkým informáciám potrebným na plnenie jednotlivých dozorných povinností, právomoci prístupu do akýchkoľvek priestorov prevádzkovateľa alebo sprostredkovateľa údajov vrátane zariadení na spracovanie údajov a právne záväznej intervencie, rozhodnutí a sankcií, a to najmä v prípadoch sťažností fyzických osôb, a účasti na súdnych konaniach. [PN 45]

(57)  Každý dozorný orgán by mal prerokovať sťažnosť, ktorú podala ktorákoľvek dotknutá osoba, a mal by v tejto veci viesť vyšetrovanie. Vyšetrovanie v nadväznosti na podanú sťažnosť a podliehajúce súdnemu preskúmaniu by sa malo uskutočniť v rozsahu, ktorý je v konkrétnom prípade primeraný. Dozorný orgán by mal dotknutú osobu informovať o dosiahnutom pokroku a výsledku jej žiadosti v primeranej lehote. Ak si prípad vyžaduje ďalšie vyšetrovanie alebo koordináciu s iným dozorným orgánom, dotknutej osobe by mali byť poskytnuté priebežné informácie.

(58)  Dozorné orgány by si mali pri výkone svojich povinností navzájom pomáhať a vzájomne si poskytovať pomoc, aby tak sa tak zabezpečilo súdržné uplatňovanie a presadzovanie ustanovení prijatých podľa tejto smernice. Každý dozorný orgán by mal byť pripravený podieľať sa na spoločných operáciách. Požiadaný dozorný orgán by mal mať povinnosť odpovedať na žiadosť vo vymedzenej časovej lehote. [PN 46]

(59)  Európsky výbor pre ochranu údajov vytvorený na základe nariadenia (EÚ) č. .../2012 2014 by mal prispievať k súdržnému uplatňovaniu tejto smernice v celej Únii, a to aj poskytovaním poradenstva Komisii a inštitúciám Únie podporovaním spolupráce medzi dozornými orgánmi v celej Únii a poskytovať stanovisko Komisii pri príprave delegovaných a vykonávacích aktov na základe tejto smernice. [PN 47]

(60)  Každá dotknutá osoba by mala mať právo podať sťažnosť u dozorného orgánu v ktoromkoľvek členskom štáte, ako aj právo na súdny prostriedok nápravy, ak sa domnieva, že jej práva podľa tejto smernice boli porušené alebo ak dozorný orgán nekonal na základe sťažnosti, resp. nekonal, keď takéto konanie bolo potrebné na ochranu práv dotknutej osoby.

(61)  Akýkoľvek subjekt, organizácia či združenie, ktoré konajú vo verejnom záujme ktoré má za cieľ ochranu práv a záujmov dotknutých osôb v súvislosti s ochranou ich údajov a je a boli zriadené podľa právnych predpisov členského štátu, by malo mať právo podať sťažnosť alebo právo uplatniť súdny opravný prostriedok nápravy v mene dotknutých osôb, ak je nimi riadne splnomocnené, resp. nezávisle od sťažnosti dotknutej osoby podať vlastnú sťažnosť, ak sa domnieva, že došlo k porušeniu ochrany osobných údajov. [PN 48]

(62)  Každá fyzická alebo právnická osoba by mala mať právo na súdny prostriedok nápravy voči rozhodnutiam dozorného orgánu, ktoré sa ich týkajú. Návrh na začatie konania proti dozornému orgánu by sa mal podávať na súdoch členského štátu, v ktorom má dozorný orgán sídlo.

(63)  Členské štáty by mali zabezpečiť, aby v záujme účinnosti súdne prostriedky nápravy umožňovali rýchle prijímanie opatrení na nápravu porušovania tejto smernice alebo na predchádzanie jej porušovaniu.

(64)  Akákoľvek škoda vrátane nefinančnej ujmy, ktorú môže osoba utrpieť v dôsledku nezákonného spracovania, by mala byť nahradená prevádzkovateľom alebo sprostredkovateľom, ktorý môže byť oslobodený od zodpovednosti, ak dokáže, že za spôsobenú škodu nenesie zodpovednosť, najmä ak sa zistí pochybenie na strane dotknutej osoby alebo v prípade vyššej moci. [PN 49]

(65)  Sankcie by sa mali ukladať akejkoľvek fyzickej alebo právnickej osobe – či už sa na ňu vzťahuje súkromné alebo verejné právo – ktorá nedodržiava túto smernicu. Členské štáty by mali zabezpečiť, aby boli sankcie účinné, primerané a odrádzajúce, a musia prijať všetky opatrenia na vykonávanie sankcií.

(65a)  Prenos osobných údajov iným orgánom alebo súkromným subjektom v Únii je zakázaný s výnimkou prípadov, keď je prenos v súlade s právnymi predpismi a príjemca má sídlo v niektorom členskom štáte a keď prenosu nebránia žiadne oprávnené konkrétne záujmy dotknutej osoby a prenos je v konkrétnom prípade nevyhnutný buď na splnenie zákonom uloženej povinnosti prevádzkovateľa prenášajúceho údaje, alebo na predchádzanie bezprostrednému a vážnemu ohrozeniu verejnej bezpečnosti, alebo na zamedzenie závažnému porušeniu práv fyzických osôb. Prevádzkovateľ by mal informovať príjemcu o účele spracovania a dozorný orgán o prenose. Príjemca by mal byť tiež informovaný o obmedzeniach spracovania a zabezpečiť, aby tieto obmedzenia boli dodržané. [PN 50]

(66)  S cieľom splniť ciele tejto smernice, a to najmä ochranu základných práv a slobôd fyzických osôb a predovšetkým ich práva na ochranu osobných údajov, a s cieľom zabezpečiť voľnú výmenu v záujme zabezpečenia voľnej výmeny osobných údajov medzi príslušnými orgánmi v rámci Únie, mala by sa Komisii udeliť by sa mala na Komisiu delegovať právomoc prijímať akty v súlade s článkom 290 Zmluvy o fungovaní Európskej únie. Delegované akty by sa mali prijať najmä v súvislosti s oznámeniami o porušení ochrany osobných záujme ďalšieho spresnenia kritérií a podmienok pre operácie spracovania, ktoré si vyžadujú posúdenie vplyvu na ochranu údajov zasielaných dozorným orgánom; kritériá a požiadavky týkajúce sa porušenia ochrany údajov, a pokiaľ ide o primeranú úroveň ochrany, ktorú poskytuje tretia krajina, územie alebo odvetvie spracovania v tejto tretej krajine, alebo medzinárodná organizácia. Je osobitne dôležité, aby Komisia počas prípravných prác uskutočnila vhodné príslušné konzultácie, a to aj na expertnej úrovni expertov, najmä s Európskym výborom pre ochranu údajov. Pri príprave a zostavovaní vypracúvaní delegovaných aktov by Komisia mala Komisia zabezpečiť súčasné, včasné a vhodné postúpenie príslušných dokumentov , aby sa príslušné dokumenty súčasne, vo vhodnom čase a vhodným spôsobom postúpili Európskemu parlamentu a Rade. [PN 51]

(67)  Na Komisiu by sa mali preniesť vykonávacie právomoci S cieľom zabezpečiť jednotné podmienky vykonávania tejto smernice, pokiaľ ide o dokumentáciu pripravovanú prevádzkovateľmi a sprostredkovateľmi, bezpečnosť spracúvania predovšetkým v súvislosti s normami šifrovania, a oznamovanie porušenia ochrany osobných údajov dozornému orgánu, a primeranú úroveň ochrany poskytovanú treťou krajinou, resp. územím, alebo sektorom spracovania v predmetnej tretej krajine alebo medzinárodnou organizáciou, s cieľom zabezpečiť jednotné podmienky vykonávania tejto smernice, by sa mali na Komisiu preniesť vykonávacie právomoci. Tieto právomoci by sa mali vykonávať v súlade s nariadením Európskeho parlamentu a Rady (EÚ) č. 182/2011 zo 16. februára 2011, ktorým sa ustanovujú pravidlá a všeobecné zásady mechanizmu, na základe ktorého členské štáty kontrolujú vykonávanie vykonávacích právomocí Komisie(6). [PN 52]

(68)  Vzhľadom na to, že tieto akty majú všeobecnú pôsobnosť, mal by sa na prijatie opatrení, pokiaľ ide o dokumentáciu pripravovanú prevádzkovateľmi a sprostredkovateľmi, bezpečnosť spracúvania predovšetkým v súvislosti s normami šifrovania, a oznamovanie porušenia ochrany osobných údajov dozornému orgánu, a primeranú úroveň ochrany poskytovanú treťou krajinou, resp. územím, alebo sektorom spracovania v predmetnej tretej krajine alebo medzinárodnou organizáciou, použiť postup preskúmania. [PN 53]

(69)  Ak je to z dôvodu naliehavosti nutné, Komisia by mala bezodkladne prijať vykonávacie akty v tých riadne opodstatnených prípadoch týkajúcich sa tretej krajiny, resp. územia, alebo sektoru spracovania v predmetnej tretej krajine alebo medzinárodnej organizácie, ktoré nezabezpečujú primeranú úroveň ochrany. [PN 4]

(70)  Keďže ciele tejto smernice, a to najmä ochranu základných práv a slobôd fyzických osôb a predovšetkým ich práva na ochranu ich osobných údajov, ako aj zabezpečenie voľnej výmeny osobných údajov medzi príslušnými orgánmi v rámci Únie, nie je možné uspokojivo dosiahnuť na úrovni samotných členských štátov a je preto možné, ale z dôvodu rozsahu alebo účinkov týchto opatrení možno tieto ciele lepšie dosiahnuť na úrovni Únie, môže Únia prijať opatrenia v súlade so zásadou subsidiarity vymedzenou v článku 5 Zmluvy o Európskej únii. V súlade so zásadou proporcionality podľa uvedeného článku táto smernica neprekračuje rámec nevyhnutný na dosiahnutie tohto cieľa týchto cieľov. Členské štáty môžu ustanoviť prísnejšie normy, než sú normy stanovené v tejto smernici. [PN 55]

(71)  Rámcové rozhodnutie 2008/977/SVV by sa malo touto smernicou zrušiť.

(72)  Osobitné ustanovenia so zreteľom na spracúvanie osobných údajov príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií, ktoré sú obsiahnuté v aktoch Únie prijatých pred dátumom nadobudnutia účinnosti tejto smernice a ktoré upravujú spracúvanie osobných údajov medzi členskými štátmi alebo prístup určených orgánov členských štátov do informačných systémov zriadených podľa zmlúv, zostávajú nedotknuté. S cieľom posúdiť potrebu zosúladenia týchto špecifických ustanovení s touto smernicou by Keďže z článku 8 charty a článku 16 ZFEÚ vyplýva, že základné právo na ochranu osobných údajov by malo byť zabezpečené konzistentným a homogénnym spôsobom v celej Únii, Komisia by do dvoch rokov od nadobudnutia účinnosti tejto smernice mala zhodnotiť situáciu, pokiaľ ide o súvis tejto smernice s aktmi prijatými pred dátumom nadobudnutia účinnosti tejto smernice, ktoré upravujú spracúvanie osobných údajov medzi členskými štátmi a prístup určených orgánov členských štátov do informačných systémov zriadených podľa zmlúv, a mala by predložiť vhodné návrhy s cieľom zabezpečiť konzistentné a homogénne právne pravidlá týkajúce sa spracúvania osobných údajov príslušnými orgánmi alebo prístupu určených orgánov členských štátov do informačných systémov zriadených podľa zmlúv, ako aj spracúvania osobných údajov inštitúciami, orgánmi, úradmi a agentúrami Únie na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií v rozsahu pôsobnosti tejto smernice. [PN 56]

(73)  S cieľom zabezpečiť komplexnú a súdržnú ochranu osobných údajov v Únii, by sa mali v súlade s touto smernicou zmeniť a doplniť medzinárodné zmluvy uzatvorené Úniou alebo členskými štátmi pred nadobudnutím účinnosti tejto smernice. [PN 57]

(74)  Touto smernicou nie sú dotknuté pravidlá týkajúce sa boja proti sexuálnemu zneužívaniu a sexuálnemu vykorisťovaniu detí a šíreniu detskej pornografie ustanovené v smernici Európskeho parlamentu a Rady 2011/93/EÚ(7).

(75)  V súlade s článkom 6a Protokolu č. 21 o postavení Spojeného kráľovstva a Írska s ohľadom na priestor slobody, bezpečnosti a spravodlivosti, ktorý je pripojený k Zmluve o Európskej únii a Zmluve o fungovaní Európskej únie, Spojené kráľovstvo a Írsko nebude viazané pravidlami stanovenými v tejto smernici, ak Spojené kráľovstvo alebo Írsko nie je viazané pravidlami Únie, ktorými sa spravujú formy justičnej spolupráce v trestných veciach alebo policajnej spolupráce, v rámci ktorých sa musia dodržiavať ustanovenia na základe článku 16 Zmluvy o fungovaní Európskej únie.

(76)  V súlade s článkami 2 a 2a Protokolu č. 22 o postavení Dánska, ktorý je pripojený k Zmluve o Európskej únii a k Zmluve o fungovaní Európskej únie, Dánsko nie je touto smernicou viazané ani nepodlieha jej uplatňovaniu. Vzhľadom na to, že táto smernica predstavuje vývoj schengenského acquis podľa ustanovení hlavy V tretej časti Zmluvy o fungovaní Európskej únie, Dánsko v súlade s článkom 4 uvedeného protokolu do šiestich mesiacov odo dňa prijatia tejto smernice rozhodne, či ju bude transponovať do svojho vnútroštátneho práva. [PN 58]

(77)  Pokiaľ ide o Island a Nórsko, táto smernica predstavuje vývoj ustanovení schengenského acquis v zmysle Dohody uzatvorenej medzi Radou Európskej únie a Islandskou republikou a Nórskym kráľovstvom o pridružení Islandskej republiky a Nórskeho kráľovstva pri vykonávaní, uplatňovaní a rozvoji schengenského acquis(8).

(78)  Pokiaľ ide o Švajčiarsko, táto smernica predstavuje vývoj ustanovení schengenského acquis v zmysle Dohody medzi Európskou úniou, Európskym spoločenstvom a Švajčiarskou konfederáciou o pridružení Švajčiarskej konfederácie k vykonávaniu, uplatňovaniu a vývoju schengenského acquis(9).

(79)  Pokiaľ ide o Lichtenštajnsko, táto smernica predstavuje vývoj ustanovení schengenského acquis v zmysle Protokolu medzi Európskou úniou, Európskym spoločenstvom, Švajčiarskou konfederáciou a Lichtenštajnským kniežatstvom o pristúpení Lichtenštajnského kniežatstva k Dohode medzi Európskou úniou, Európskym spoločenstvom a Švajčiarskou konfederáciou o pridružení Švajčiarskej konfederácie k vykonávaniu, uplatňovaniu a vývoju schengenského acquis(10).

(80)  Táto smernica rešpektuje základné práva a dodržiava zásady uznané v charte, ako je to zakotvené v zmluve, najmä právo na rešpektovanie súkromného a rodinného života, právo na ochranu osobných údajov, právo na účinný prostriedok nápravy a na spravodlivý proces. Obmedzenia vzťahujúce sa na tieto práva sú v súlade s článkom 52 ods. 1 charty, keďže sú potrebné na splnenie cieľov všeobecného záujmu uznaných Úniou alebo potrebné na ochranu práv a slobôd iných.

(81)  V súlade so spoločným politickým vyhlásením členských štátov a Komisie z 28. septembra 2011 k vysvetľujúcim dokumentom (11), sa členské štáty v odôvodnených prípadoch zaviazali pripojiť k oznámeniu o ich opatreniach na transpozíciu jeden alebo viacero dokumentov, v ktorých sa vysvetlí vzťah medzi príslušnými zložkami smernice a zodpovedajúcimi časťami vnútroštátnych nástrojov transpozície. Pokiaľ ide o túto smernicu zákonodarca považuje postúpenie takýchto dokumentov za opodstatnené.

(82)  Táto smernica by nemala členským štátom brániť v tom, aby transponovali výkon práv dotknutých osôb na informácie, prístup, opravu, výmaz a obmedzenie spracovania ich osobných údajov počas trestného konania, ako aj prípadné obmedzenia týchto práv do vnútroštátnych pravidiel týkajúcich sa trestného práva procesného,

PRIJALI TÚTO SMERNICU:

KAPITOLA I

VŠEOBECNÉ USTANOVENIA

Článok 1

Predmet úpravy a ciele

1.  Touto smernicou sa stanovujú pravidlá ochrany fyzických osôb so zreteľom na spracovanie osobných údajov príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo a na účely výkonu trestných sankcií a podmienky voľného pohybu takýchto osobných údajov.

2.  Členské štáty v súlade s touto smernicou:

a)  chránia základné práva a slobody fyzických osôb, najmä ich právo na ochranu ich osobných údajov a súkromia; a

b)  zabezpečia, aby výmena osobných údajov medzi príslušnými orgánmi v rámci Únie nebola obmedzená ani zakázaná z dôvodov súvisiacich s ochranou fyzických osôb so zreteľom na spracovanie osobných údajov.

2a.  Touto smernicou sa členským štátom nebráni v poskytovaní prísnejších záruk než sú tie, ktoré sú stanovené v tejto smernici. [PN 59]

Článok 2

Rozsah pôsobnosti

1.  Táto smernica sa vzťahuje na spracúvanie osobných údajov príslušnými orgánmi na účely uvedené v článku 1 ods. 1.

2.  Táto smernica sa vzťahuje na spracúvanie osobných údajov vykonávané úplne alebo čiastočne automatizovanými prostriedkami a na spracovanie inými než automatickými prostriedkami v prípade osobných údajov, ktoré tvoria časť informačného systému alebo sú určené na tvorbu časti informačného systému.

3.  Táto smernica sa nevzťahuje na spracovanie osobných údajov:

a)  v rámci činnosti, ktorá nepatrí do rozsahu pôsobnosti práva Únie, najmä ak sa týka národnej bezpečnosti;

b)  inštitúciami, orgánmi, úradmi a agentúrami Únie. [PN 60]

Článok 3

Vymedzenie pojmov

Na účely tejto smernice sa uplatňujú tieto vymedzenia pojmov:

1.  „dotknutá osoba“ je určená fyzická osoba alebo fyzická osoba, ktorú možno určiť priamo alebo nepriamo, najmä odkazom na identifikačné číslo, lokalizačné údaje, on-line identifikátor alebo odkazom na jeden či viaceré prvky, ktoré tvoria fyzickú, fyziologickú, psychickú, genetickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu tejto osoby a to spôsobmi, o ktorých možno odôvodnene predpokladať, že ich prevádzkovateľ alebo akákoľvek iná fyzická alebo právnická osoba používajú;

2.  „osobné údaje“ sú akékoľvek informácie, ktoré sa týkajú identifikovanej alebo identifikovateľnej fyzickej osoby (ďalej len „dotknutej osoby“); „identifikovateľná osoba“ je osoba, ktorú možno priamo alebo nepriamo identifikovať, a to najmä odkazom na identifikačný znak, ako je meno, identifikačné číslo, údaje o lokalite, jedinečný identifikačný znak, alebo jeden alebo viaceré faktory špecifické pre fyzickú, fyziologickú, genetickú, mentálnu, ekonomickú, kultúrnu, sociálnu alebo rodovú identitu tejto osoby;

2a.  „pseudonymné údaje“ sú osobné údaje, ktoré nemožno prideliť žiadnej konkrétnej dotknutej osobe bez využitia dodatočných informácií, pokiaľ sa takéto dodatočné informácie uchovávajú oddelene a podliehajú technickým a organizačným opatreniam s cieľom zabezpečiť nepridelenie;

3.  „spracúvanie osobných údajov“ je operácia alebo súbor operácií, ktorými sa osobné údaje spracúvajú automatizovanými alebo neautomatizovanými prostriedkami, napríklad zhromažďovaním, zaznamenávaním, usporadúvaním, štruktúrovaním, uchovávaním, prepracúvaním alebo zmenou, vyhľadávaním, nahliadaním, využívaním, sprístupňovaním prenosom, šírením alebo ich sprístupnením iným spôsobom, preskupovaním alebo kombinovaním, obmedzením, vymazaním alebo likvidáciou;

3a.   „profilovanie“ je akékoľvek automatizované spracovanie osobných údajov určené na vyhodnotenie určitých osobných aspektov týkajúcich sa fyzickej osoby alebo na analyzovanie alebo predvídanie predovšetkým pracovnej výkonnosti danej fyzickej osoby, jej ekonomickej situácie, umiestnenia, zdravia, osobných preferencií, spoľahlivosti alebo správania;

4.  „obmedzenie spracúvania“ je označenie uchovávaných osobných údajov s cieľom obmedziť ich spracovanie v budúcnosti;

5.  „informačný systém“ je akýkoľvek usporiadaný súbor osobných údajov, ktoré sú prístupné podľa konkrétnych kritérií, bez ohľadu na to, či ide o systém centralizovaný, decentralizovaný alebo distribuovaný na funkčnom alebo geografickom základe;

6.  „prevádzkovateľ“ je príslušný verejný orgán verejnej moci, ktorý sám alebo spoločne s inými určuje účel, podmienky a prostriedky spracúvania osobných údajov; v prípade, že účely, podmienky a prostriedky spracovania stanovujú právne predpisy Únie alebo právne predpisy členského štátu, možno prevádzkovateľa alebo konkrétne kritériá pre jeho určenie navrhnúť na základe práva Únie alebo práva členského štátu;

7.  „sprostredkovateľ“ je fyzická alebo právnická osoba, verejný orgán verejnej moci, agentúra, alebo akýkoľvek iný subjekt, ktorý spracúva osobné údaje v mene prevádzkovateľa;

8.  „príjemca“ je fyzická alebo právnická osoba, verejný orgán verejnej moci, agentúra, alebo akýkoľvek iný subjekt, ktorému sa sprístupňujú osobné údaje;

9.  „porušenie ochrany osobných údajov“ je porušenie bezpečnosti, ktoré má za následok náhodná alebo nelegálna likvidácia, strata, zmena, neoprávnené zverejnenie alebo sprístupnenie osobných údajov, ktoré sa prenášajú, ukladajú alebo inak spracúvajú;

10.  „genetické údaje“ sú všetky údaje akéhokoľvek druhu, týkajúce sa dedičných znakov fyzickej osoby alebo jej znakov získaných v období raného prenatálneho vývoja;

11.  „biometrické údaje“ sú akékoľvek osobné údaje týkajúce sa fyzických, fyziologických alebo behaviorálnych charakteristík fyzickej osoby, ktoré umožňujú jej jednoznačnú identifikáciu, napríklad vyobrazenia tváre alebo daktyloskopické údaje;

12.  „údaje týkajúce sa zdravia“ sú všetky informácie osobné údaje týkajúce sa fyzického alebo duševného zdravia fyzickej osoby alebo poskytovania zdravotníckych služieb fyzickej osobe;

13.  „dieťa“ je každá osoba mladšia ako 18 rokov;

14.  „príslušné orgány“ sú akékoľvek verejné orgány príslušné na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií.

15.  „dozorný orgán“ je verejný orgán zriadený členským štátom v súlade s článkom 39. [PN 61]

KAPITOLA II

ZÁSADY

Článok 4

Zásady spracúvania osobných údajov

Členské štáty stanovia, že osobné údaje musia byť:

a)  spracúvané spravodlivo a zákonne zákonným, spravodlivým a transparentným a preveriteľným spôsobom vo vzťahu k dotknutej osobe;

b)  zhromažďované na konkrétne určené, explicitné a zákonné účely a nesmú sa ďalej spracúvať spôsobmi, ktoré nie sú zlučiteľné s týmito účelmi;

c)  primerané, relevantné a úmerné obmedzené na nevyhnutné minimum vzhľadom na účely, na ktoré sa spracúvajú; spracúvajú sa iba vtedy a len dovtedy, pokiaľ dané účely nemožno dosiahnuť spracovaním informácií, ktoré nezahŕňajú osobné údaje;

d)  presné a v prípade potreby aktualizované; musia sa podniknúť všetky primerané kroky, aby sa zabezpečilo, že sa osobné údaje, ktoré sú nepresné z hľadiska účelov, na ktoré sa spracúvajú, bezodkladne vymažú alebo opravia;

e)  udržiavané vo forme, ktorá umožňuje identifikáciu dotknutých osôb najviac po dobu, ktorá je potrebná obdobie, ktoré je potrebné na účely, na ktoré boli osobné údaje zhromaždené;

f)  spracúvané v rámci okruhu povinností a zodpovednosti prevádzkovateľa, ktorý zabezpečí a môže preukázať súlad s ustanoveniami prijatými podľa tejto smernice.

fa)  spracúvané spôsobom, ktorý dotknutej osobe účinne umožňuje uplatňovať jej práva opísané v článkoch 10 až 17;

fb)  spracúvané spôsobom, ktorý chráni pred nepovoleným alebo nezákonným spracovaním a náhodnou stratou, likvidáciou alebo poškodením prostredníctvom primeraných technických alebo organizačných opatrení;

fc)  spracúvané iba riadne oprávneným personálom príslušných orgánov, ktorý ich potrebuje na vykonávanie svojich úloh. [PN 62]

Článok 4a

Prístup k údajom pôvodne spracovaným na iné účely, ako sú účely uvedené v článku 1 ods. 1

1.  Členské štáty stanovia, že príslušné orgány môžu mať prístup k osobným údajom pôvodne spracovaným na iné účely, ako sú účely uvedené v článku 1 ods. 1 len vtedy, ak na to majú výslovné povolenie podľa práva Únie alebo členského štátu, ktoré musí spĺňať požiadavky stanovené v článku 7 ods. 1a a musí stanoviť, že:

a)  prístup je povolený len riadne oprávneným pracovníkom príslušných orgánov pri výkone ich úloh, pokiaľ v konkrétnom prípade existujú opodstatnené dôvody domnievať sa, že spracovanie osobných údajov podstatne prispeje k predchádzaniu trestným činom, ich vyšetrovaniu, odhaľovaniu alebo stíhaniu alebo výkonu trestných sankcií;

b)  žiadosti o prístup musia byť v písomnej forme a musia uvádzať právny dôvod žiadosti;

c)  písomná žiadosť musí byť zdokumentovaná; a

d)  sú zavedené náležité záruky na zabezpečenie ochrany základných práv a slobôd v súvislosti so spracovaním osobných údajov. Týmito zárukami nie sú dotknuté špecifické podmienky prístupu k osobným údajom, ako je súdne povolenie v súlade s právnymi predpismi členského štátu, a tieto záruky dopĺňajú uvedené špecifické podmienky.

2.  K osobným údajom, ktoré sú v držbe súkromných subjektov alebo iných orgánov verejnej moci, je možný prístup len na účely vyšetrovania alebo stíhania trestných činov v súlade s požiadavkami nevyhnutnosti a primeranosti, ktoré sú vymedzené právom Únie alebo právom členského štátu v súlade s článkom 7a. [PN 63]

Článok 4b

Lehoty na uchovávanie a prehodnocovanie

1.  Členské štáty stanovia, že osobné údaje spracované na základe tejto smernice príslušný orgán vymaže, ak už nie sú potrebné na účely, na ktoré boli spracované.

2.  Členské štáty stanovia, aby príslušné orgány zaviedli mechanizmy s cieľom zabezpečiť, aby sa podľa článku 4 určili lehoty pre výmaz osobných údajov a pravidelné preskúmanie potreby uchovávania údajov vrátane stanovenia období uchovávania pre rôzne kategórie osobných údajov. Stanovia sa procesné opatrenia s cieľom zaistiť dodržiavanie týchto lehôt alebo intervalov pravidelného preskúmania. [PN 64]

Článok 5

Rozlišovanie medzi rôznymi kategóriami Rôzne kategórie dotknutých osôb

1.  Členské štáty stanovia, že aby príslušné orgány na účely uvedené v článku 1 ods. 1 mohli spracúvať osobné údaje týchto jednotlivých kategórií dotknutých osôb, a prevádzkovateľ je v najväčšej možnej miere povinný jasne rozlišovať rozlišuje medzi osobnými údajmi rôznych kategórií dotknutých osôb, ako sú napríklad týmito kategóriami:

a)  osoby, v prípade ktorých existujú vážne opodstatnené dôvody domnievať sa, že spáchali alebo sa chystajú spáchať trestný čin;

b)  osoby odsúdené za spáchanie trestného činu;

c)  obete trestného činu, alebo osoby, v prípade ktorých sú na základe určitých skutočností dôvody domnievať sa, že sú alebo by mohli byť obeťami trestného činu; a+ľš+ľš

d)  tretie osoby v súvislosti s trestným činom, ako sú napríklad osoby, ktoré môžu byť vyzvané, aby svedčili v rámci vyšetrovania v súvislosti s trestnými činmi alebo v rámci následného trestného konania, alebo osoby, ktoré môžu poskytnúť informácie o trestných činoch, alebo kontaktné osoby či spoločníci niektorej z osôb uvedených v písmenách a) a b), a

2.  Osobné údaje o dotknutých osobách iných než tých, ktoré sú uvedené v odseku 1, možno spracúvať iba:

a)  tak dlho, ako je to nevyhnutné na vyšetrovanie alebo stíhanie konkrétneho trestného činu s cieľom posúdiť relevantnosť údajov pre jednu z kategórií uvedených v odseku 1; alebo

b)  keď je takéto spracovanie nevyhnutné na cielené, preventívne účely alebo na účely trestnej analýzy, pokiaľ je tento účel oprávnený, primerane definovaný a konkrétny a spracovanie sa prísne obmedzuje na posúdenie relevantnosti údajov pre jednu z kategórií uvedených v odseku 1. Vzťahuje sa naň pravidelné preskúmanie minimálne raz za šesť mesiacov. Akékoľvek ďalšie použitie je zakázané.

3.  Členské štáty stanovia, aby sa na ďalšie spracovanie osobných údajov týkajúcich sa dotknutých osôb uvedených v odseku 1 písm. c) a d) uplatňovali v súlade s právnymi predpismi členského štátu dodatočné obmedzenia a záruky. [PN 64]

Článok 6

Rozdielne stupne presnosti a spoľahlivosti osobných údajov

1.  Členské štáty zabezpečia stanovia, aby sa v najväčšej možnej miere rozlišovalo medzi rôznymi kategóriami zabezpečila presnosť a spoľahlivosť spracúvaných osobných údajov podľa stupňa ich presnosti a spoľahlivosti.

2.  Členské štáty zabezpečia, aby sa v najväčšej možnej miere rozlišovalo medzi osobnými údajmi založenými na faktoch a osobnými údajmi založenými na osobných hodnoteniach, a to podľa stupňa ich presnosti a spoľahlivosti.

2a.  Členské štáty zabezpečia, aby sa osobné údaje, ktoré sú nepresné, neúplné alebo už neaktuálne, neprenášali ani nesprístupňovali. Na tento účel príslušné orgány posúdia kvalitu osobných údajov pred ich prenosom alebo sprístupnením. Ak je to možné, pri každom prenose údajov sa doplnia dostupné informácie, ktoré prijímajúcemu členskému štátu umožnia posúdiť stupeň presnosti, úplnosti a spoľahlivosti údajov a do akej miery sú aktuálne. Osobné údaje, a to najmä údaje, ktoré sú pôvodne v držbe súkromných subjektov, sa neprenášajú bez žiadosti príslušného orgánu.

2b.  Ak sa zistí, že došlo k prenosu nesprávnych údajov alebo k nezákonnému prenosu údajov, musí sa to bezodkladne oznámiť príjemcovi. Príjemca je povinný tieto údaje bezodkladne opraviť v súlade s odsekom 1 a článkom 15 alebo ich vymazať v súlade s článkom 16. [PN 66]

Článok 7

Zákonnosť spracovania

1.  Členské štáty stanovia, že spracovanie osobných údajov je zákonné iba vtedy a do takej miery, ak je na účely stanovené v článku 1 ods. 1 založené na právnych predpisoch Únie alebo členského štátu a je nevyhnutné na:

a)  plnenie úloh príslušného orgánu na základe zákona a na účely stanovené v článku 1 ods. 1; alebo

b)  splnenie zákonnej povinnosti prevádzkovateľa, alebo

c)  ochranu zásadných záujmov dotknutej osoby či inej osoby; alebo

d)  prevenciu bezprostredného a vážneho ohrozenia verejnej bezpečnosti.

1a.  Právo členského štátu upravujúce spracovanie osobných údajov v rozsahu pôsobnosti tejto smernice obsahuje výslovné a podrobné ustanovenia, ktorými sa spresňujú najmä:

a)  ciele spracovania;

b)  osobné údaje, ktoré majú byť spracované;

c)  osobitné účely a prostriedky spracovania;

d)  vymenovanie prevádzkovateľa alebo osobitné kritériá pre vymenovanie prevádzkovateľa;

e)  kategórie riadne oprávnených pracovníkov príslušných orgánov na spracovanie osobných údajov;

f)  postup, ktorý je potrebné dodržiavať pri spracúvaní;

g)  možné využitie získaných osobných údajov;

h)  obmedzenie rozsahu akejkoľvek právomoci konať podľa vlastného uváženia zverenej príslušným orgánom v súvislosti s činnosťami spracúvania. [PN 67]

Článok 7a

Ďalšie spracovanie na nezlučiteľné účely

1.  Členské štáty stanovia, že osobné údaje môžu byť ďalej spracúvané na iný účel uvedený v článku 1 ods. 1, ktorý nie je zlučiteľný s účelmi, na ktoré boli údaje pôvodne zozbierané, iba pokiaľ:

a)  je účel absolútne nevyhnutný a primeraný v demokratickej spoločnosti a vyžaduje sa právnymi predpismi Únie alebo členského štátu pre oprávnený, náležite definovaný a osobitný účel;

b)  je spracúvanie prísne obmedzené na obdobie nepresahujúce čas potrebný na konkrétnu operáciu spracúvania údajov;

c)  je zakázané akékoľvek ďalšie použitie na iné účely.

Pred každým spracúvaním členský štát konzultuje s príslušným vnútroštátnym dozorným orgánom a vykoná posúdenie vplyvu na ochranu údajov.

2.  Okrem požiadaviek uvedených v článku 7 ods. 1a právo členského štátu oprávňujúce na ďalšie spracovanie v súlade s odsekom 1 obsahuje výslovné a podrobné ustanovenia, ktorými sa spresňujú najmä:

a)  osobitné účely a prostriedky daného spracovania;

b)  to, že prístup je povolený len riadne oprávneným pracovníkom príslušných orgánov pri výkone ich úloh, pokiaľ v konkrétnom prípade existujú opodstatnené dôvody domnievať sa, že spracovanie osobných údajov podstatne prispeje k predchádzaniu trestným činom, ich vyšetrovaniu, odhaľovaniu alebo stíhaniu alebo k výkonu trestných sankcií; a

c)  to, že sú stanovené náležité záruky na zabezpečenie ochrany základných práv a slobôd v súvislosti so spracúvaním osobných údajov.

Členské štáty môžu požadovať, aby sa na prístup k osobným údajom v súlade s ich vnútroštátnym právom vzťahovali ďalšie podmienky, ako je súdne povolenie.

3.  Členské štáty môžu takisto povoliť ďalšie spracúvanie osobných údajov na historické, štatistické alebo vedecké účely za predpokladu, že stanovia náležité záruky, ako je zabezpečenie anonymity údajov. [PN 68]

Článok 8

Spracúvanie osobitných kategórií osobných údajov

1.  Členské štáty zakážu spracúvanie osobných údajov odhaľujúcich rasový alebo etnický pôvod, politické názory, náboženstvo alebo vieru a filozofické presvedčenie, sexuálnu orientáciu alebo rodovú identitu, členstvo v odboroch a činnosti súvisiace s odbormi, ako aj spracúvanie genetických biometrických údajov alebo údajov týkajúcich sa zdravia či sexuálneho života.

2.  Odsek 1 sa neuplatňuje, ak:

a)  spracúvanie je povolené zákonom stanovujúcim náležité záruky absolútne nevyhnutné a primerané na vykonávanie úlohy uskutočňovanej príslušnými orgánmi na účely stanovené v článku 1 ods. 1 na základe právnych predpisov Únie alebo členského štátu, ktorými sa ustanovujú konkrétne a vhodné opatrenia na ochranu oprávnených záujmov dotknutej osoby vrátane osobitného splnomocnenia od súdneho orgánu, ak sa to vyžaduje na základe vnútroštátneho práva; alebo

b)  spracúvanie je nevyhnutné na ochranu zásadných záujmov dotknutej osoby či inej osoby; alebo

c)  spracúvanie sa týka údajov, ktoré preukázateľne zverejnila dotknutá osoba, za predpokladu, že sú relevantné a absolútne nevyhnutné na účel, ktorý sa sleduje v konkrétnom prípade. [PN 69]

Článok 8a

Spracovanie genetických údajov na účely vyšetrovania trestnej činnosti alebo súdneho konania

1.  Členské štáty zabezpečia, aby genetické údaje mohli byť použité len na určenie genetického vzťahu v rámci predkladania dôkazov, ktorým sa predíde ohrozeniu verejnej bezpečnosti alebo spáchaniu konkrétneho trestného činu. Genetické údaje nesmú byť použité na určenie iných vlastností, ktoré možno odvodiť od genetického základu.

2.  Členské štáty stanovia, že genetické údaje alebo informácie získané z ich analýzy možno uchovávať len tak dlho, ako je potrebné na účely, na ktoré sú údaje spracúvané, a v prípadoch, keď daná osoba bola odsúdená za závažné trestné činy proti životu, integrite alebo bezpečnosti osôb, a podliehajú prísnym obdobiam uchovávania, ktoré sú stanovené právom členského štátu.

3.  Členské štáty zabezpečia, aby genetické údaje alebo informácie získané z ich analýzy boli uchovávané počas dlhšieho obdobia len vtedy, keď genetické údaje nemožno priradiť k určitej osobe, najmä ak sa zistia na mieste trestného činu. [PN 70]

Článok 9

Opatrenia založené na profilovaní a automatizovanom spracovaní

1.  Členské štáty stanovia, že opatrenia, ktoré majú pre dotknutú osobu nepriaznivé právne účinky alebo významné dôsledky a ktoré sú sčasti alebo úplne založené výlučne na automatizovanom spracúvaní osobných údajov na účely hodnotenia určitých osobných aspektov týkajúcich sa tejto dotknutej osoby, sa zakazujú, ak nie sú povolené zákonom, v ktorom sa zároveň stanovujú opatrenia na zabezpečenie oprávnených záujmov dotknutej osoby.

2.  Automatizované spracovanie osobných údajov na účely hodnotenia určitých osobných aspektov týkajúcich sa dotknutej osoby nesmie byť založené výlučne na osobitných kategóriách osobných údajov uvedených v článku 8.

2a.  Automatizované spracovanie osobných údajov na účely vyčlenenia dotknutej osoby bez počiatočného podozrenia, že táto dotknutá osoba mohla spáchať alebo spácha trestný čin, je zákonné iba v prípade, že je to absolútne nevyhnutné na vyšetrovanie závažného trestného činu alebo na predchádzanie jasnému a bezprostrednému ohrozeniu verejnej bezpečnosti stanovenému na základe konkrétnych skutočností, ako aj ohrozeniu existencie štátu alebo života osôb.

2b.  Profilovanie, ktoré má - či už úmyselne alebo neúmyselne, - diskriminačný účinok voči jednotlivcovi na základe rasy alebo etnického pôvodu, politického názoru, náboženstva alebo viery, členstva v odboroch alebo rodovej alebo sexuálnej orientácie, alebo ktoré- či už úmyselne alebo neúmyselne - vedie k opatreniam, ktoré majú takýto účinok, je za každých okolností zakázané. [PN 71]

Článok 9a

Všeobecné zásady práv dotknutých osôb

1.  Členské štáty zabezpečia, aby bol základ ochrany údajov jasný a zahŕňal jednoznačné práva pre dotknutú osobu, ktoré prevádzkovateľ dodržiava. Ustanovenia tejto smernice sa zameriavajú na posilnenie, objasnenie, zaručenie a v náležitých prípadoch i kodifikáciu týchto práv.

2.  Členské štáty zabezpečia, aby takéto práva zahŕňali okrem iného i poskytovanie jasných a ľahko zrozumiteľných informácií týkajúcich sa spracúvania osobných údajov dotknutej osoby, právo na prístup, opravu a výmaz údajov, právo na získanie údajov, právo na podanie sťažnosti príslušnému orgánu na ochranu údajov a na začatie súdneho konania, ako aj právo na náhradu a škody vyplývajúce z nezákonného spracovania. Takéto práva sa vo všeobecnosti uplatňujú bezplatne. Prevádzkovateľ údajov v primeranej lehote odpovie na žiadosti dotknutej osoby. [PN 72]

KAPITOLA III

PRÁVA DOTKNUTEJ OSOBY

Článok 10

Modality výkonu práv dotknutej osoby

1.  Členské štáty stanovia, že prevádzkovateľ má povinnosť podniknúť všetky primerané kroky, aby mal transparentné disponuje stručnými, transparentnými, jasnými a ľahko dostupné pravidlá týkajúce dostupnými pravidlami týkajúcimi sa spracovania osobných údajov a uplatňovania práv dotknutých osôb dotknutej osoby.

2.  Členské štáty stanovia, že prevádzkovateľ poskytuje všetky informácie a uskutočňuje komunikáciu v súvislosti so spracovaním osobných údajov vo vzťahu k dotknutej osobe v zrozumiteľnej forme, pričom používa jasný a jednoduchý jazyk, najmä ak sú tieto informácie konkrétne určené deťom.

3.  Členské štáty stanovia, že prevádzkovateľ má povinnosť podniknúť všetky primerané kroky, aby zaviedol určí postupy na poskytovanie informácií uvedených v článku 11 a na výkon práv dotknutých osôb dotknutej osoby uvedených v článkoch 12 až 17. Ak sa osobné údaje spracúvajú automatizovanými prostriedkami, prevádzkovateľ zabezpečí prostriedky na podávanie žiadostí v elektronickej podobe.

4.  Členské štáty stanovia, že prevádzkovateľ má povinnosť informovať bez zbytočného odkladu dotknutú osobu o krokoch, ktoré podnikol v nadväznosti na jej žiadosť, a v každom prípade najneskôr do jedného mesiaca po prijatí žiadosti. Táto informácia sa vydáva písomne. Ak dotknutá osoba podala žiadosť v elektronickej podobe, uvedená informácia sa poskytne v elektronickej forme.

5.  Členské štáty stanovia, že informácie, ktoré prevádzkovateľ na základe žiadosti uvedenej v odseku 3 a 4 poskytuje, ako aj akékoľvek opatrenia, ktoré na tomto základe prijíma, sú bezplatné. Ak sú žiadosti jednoznačne neprimerané, a to najmä pre ich opakujúci sa charakter, resp. pre rozsah či objem žiadosti, môže prevádzkovateľ s ohľadom na administratívne náklady požadovať za poskytnutie informácií či vykonanie úkonu požadovať primeraný poplatok, resp. môže odmietnuť vykonať požadovaný úkon. V takom prípade znáša prevádzkovateľ bremeno preukázania jednoznačne neprimeraného charakteru žiadosti.

5a.  Členské štáty môžu stanoviť, že dotknutá osoba môže uplatňovať svoje práva priamo voči prevádzkovateľovi alebo prostredníctvom príslušného vnútroštátneho dozorného orgánu. Ak dozorný orgán reagoval na žiadosť dotknutej osoby, dozorný orgán informuje dotknutú osobu o vykonanom overovaní. [PN 73]

Článok 11

Informovanie dotknutej osoby

1.  Členské štáty zabezpečia, aby v prípadoch, keď sa zhromažďujú osobné údaje týkajúce sa dotknutej osoby, prevádzkovateľ prijal všetky príslušné opatrenia s cieľom poskytnúť poskytol dotknutej osobe aspoň tieto informácie:

a)  totožnosť a kontaktné údaje prevádzkovateľa a úradníka pre ochranu údajov;

b)  právny základ a účely spracovania, na ktoré sú osobné údaje určené;

c)  obdobie, počas ktorého sa osobné údaje budú uchovávať;

d)  existencia práva žiadať od prevádzkovateľa prístup k osobným údajom týkajúcim sa dotknutej osoby, ako aj ich opravu, výmaz alebo obmedzenie ich spracúvania;

e)  právo podať sťažnosť dozornému orgánu uvedenému v článku 39 a jeho kontaktné údaje;

f)  príjemcovia alebo kategórie príjemcov osobných údajov, a to aj v tretích krajinách či medzinárodných organizáciách, a osoby, ktoré sú oprávnené na prístup k týmto údajom podľa právnych predpisov tejto tretej krajiny alebo pravidiel tejto medzinárodnej organizácie, existencia alebo neexistencia primeraného rozhodnutia zo strany Komisie alebo v prípade presunov uvedených v článku 35 alebo 36, prostriedky na získanie kópie primeraných záruk používaných na prenos;

fa)  ak prevádzkovateľ spracúva osobné údaje podľa článku 9 ods. 1, informácie o existencii spracovania pre opatrenie takého druhu, ako sa uvádza v článku 9 ods. 1, a zamýšľaný účinok takéhoto spracovania na dotknutú osobu, informácie o postupe uplatňovanom pri profilovaní a právo na posúdenie vykonané človekom;

fb)  informácie týkajúce sa bezpečnostných opatrení prijatých v záujme ochrany osobných údajov;

g)  akékoľvek ďalšie informácie, ak sú potrebné, aby sa zaručilo spravodlivé spracovanie vo vzťahu k dotknutej osobe, a to so zreteľom na špecifické okolnosti, za ktorých sa osobné údaje spracúvajú.

2.  Ak sa osobné údaje získavajú od dotknutej osoby, prevádzkovateľ okrem informácií uvedených v odseku 1 informuje dotknutú osobu aj o tom, či poskytovanie osobných údajov je povinné alebo dobrovoľné, ako aj o možných dôsledkoch neposkytnutia týchto údajov.

3.  Prevádzkovateľ poskytne informácie uvedené v odseku 1:

a)  v čase, keď sa tieto osobné údaje získavajú od dotknutej osoby; alebo

b)  ak osobné údaje neboli získané od dotknutej osoby v čase ich zaznamenania alebo v primeranej lehote po ich zhromaždení, a to so zreteľom na špecifické okolnosti, za ktorých sa údaje spracúvajú.

4.  Členské štáty môžu prijať právne opatrenia, ktorými sa odkladá, alebo obmedzuje alebo vylučuje poskytovanie informácií dotknutej osobe v konkrétnom prípade v takom rozsahu a tak dlho, ako toto čiastočné či úplné obmedzenie s náležitým zreteľom na základné práva a oprávnené záujmy príslušnej osoby predstavuje nevyhnutné a primerané opatrenie v demokratickej spoločnosti s cieľom zaručiť:

a)  aby sa neovplyvnilo úradné alebo ani súdne vyšetrovanie alebo vyšetrovanie, ani postup;

b)  aby sa zabránilo ovplyvňovaniu predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo výkonu trestných sankcií;

c)  ochranu verejnej bezpečnosti;

d)  ochranu národnej bezpečnosti;

e)  ochranu práv a slobôd iných.

5.  Členské štáty stanovia, že prevádzkovateľ v každom konkrétnom prípade posúdi prostredníctvom konkrétneho a individuálneho preskúmania, či sa uplatní čiastočné alebo úplné obmedzenie na základe jedného z dôvodov uvedených v odseku 4. Členské štáty môžu na základe zákona takisto stanoviť, na ktoré kategórie spracúvania údajov sa môžu úplne alebo čiastočne vzťahovať výnimky podľa odseku 4 písm. a), b), c) a d). [PN 74]

Článok 12

Právo dotknutej osoby na prístup

1.  Členské štáty stanovia, že dotknutá osoba má právo získať od prevádzkovateľa potvrdenie o tom, či sa spracúvajú jej osobné údaje. Ak sa takéto osobné údaje spracúvajú, prevádzkovateľ poskytne tieto informácie, ak už neboli poskytnuté:

—a)  informácia o osobných údajoch, ktoré sa spracúvajú, a o akýchkoľvek dostupných informáciách, pokiaľ ide o ich zdroj, a v náležitých prípadoch zrozumiteľné informácie o postupe každého automatizovaného spracovania;

—aa)  význam a predpokladané dôsledky takéhoto spracovania, a to prinajmenšom v prípade opatrení uvedených v článku 9;

a)  účely spracovania, ako aj právny základ spracovania;

b)  kategórie dotknutých osobných údajov;

c)  príjemcovia alebo kategórie príjemcov, ktorým osobné údaje boli sprístupnené, najmä príjemcovia v tretích krajinách;

d)  obdobie, počas ktorého sa osobné údaje budú uchovávať;

e)  existencia práva žiadať od prevádzkovateľa opravu osobných údajov týkajúcich dotknutej osoby, ich výmaz alebo obmedzenie ich spracúvania;

f)  právo podať sťažnosť dozornému orgánu a kontaktné údaje dozorného orgánu;

g)  informácia o osobných údajoch, ktoré sa spracúvajú, a o akýchkoľvek dostupných informáciách pokiaľ ide o ich zdroj.

2.  Členské štáty stanovia, že dotknutá osoba má právo získať od prevádzkovateľa kópiu spracúvaných osobných údajov. Ak dotknutá osoba podala žiadosť v elektronickej podobe, uvedená informácia sa poskytne v elektronickej forme, pokiaľ dotknutá osoba nepožiadala o iný spôsob. [PN 75]

Článok 13

Obmedzenia práva na prístup

1.  Členské štáty môžu prijať právne opatrenia, ktorými sa v závislosti od konkrétneho prípadu úplne alebo čiastočne obmedzuje právo dotknutej osoby na prístup v takom rozsahu a tak dlho na také obdobie, ako toto čiastočné či úplné obmedzenie s náležitým zreteľom na základné práva a oprávnené záujmy príslušnej osoby predstavuje absolútne nevyhnutné a primerané opatrenie v demokratickej spoločnosti s cieľom zaručiť:

a)  aby sa neovplyvnilo úradné alebo ani súdne vyšetrovanie alebo vyšetrovanie, ani postupy;

b)  aby sa zabránilo ovplyvňovaniu predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo výkonu trestných sankcií;

c)  ochranu verejnej bezpečnosti;

d)  ochranu národnej bezpečnosti;

e)  ochranu práv a slobôd iných.

2.  Členské štáty stanovia, že prevádzkovateľ v každom konkrétnom prípade posúdi prostredníctvom konkrétneho a individuálneho preskúmania, či sa uplatní čiastočné či úplné obmedzenie na základe jedného z dôvodov uvedených v odseku 1. Členské štáty môžu tiež zákonom stanoviť, na ktoré kategórie spracúvania údajov sa môžu úplne alebo čiastočne vzťahovať výnimky podľa odseku 1 písm. a) až d).

3.  Členské štáty v prípadoch uvedených v odseku 1 a 2 stanovia, že prevádzkovateľ bez zbytočného odkladu písomne informuje dotknutú osobu o akomkoľvek zamietnutí či obmedzení prístupu, zdôvodnení zamietnutia a o možnostiach podania sťažnosti dozornému orgánu a uplatnenia opravných súdnych prostriedkov nápravy. Informácie o skutkových alebo právnych dôvodoch, na ktorých sa rozhodnutie zakladá, možno neuviesť, ak by poskytnutie takýchto informácií ohrozilo účel uvedený v odseku 1.

4.  Členské štáty zabezpečia, aby prevádzkovateľ zdokumentoval posúdenie uvedené v odseku 2, ako aj dôvody neuvedenia skutkových alebo právnych dôvodov, na ktorých sa rozhodnutie zakladá. Tieto informácie sa poskytnú vnútroštátnym dozorným orgánom. [PN 76]

Článok 14

Modality výkonu práva na prístup

1.  Členské štáty stanovia, že dotknutá osoba má právo kedykoľvek, a to najmä v prípadoch uvedených v článku článkoch 12 a 13, žiadať, aby dozorný orgán preveril zákonnosť spracovania.

2.  Členské štáty stanovia, že prevádzkovateľ informuje dotknutú osobu o jej práve požadovať intervenciu dozorného orgánu podľa odseku 1.

3.  V prípade výkonu práva uvedeného v odseku 1 dozorný orgán informuje dotknutú osobu prinajmenšom o tom, že vykonal všetky potrebné overenia, a o výsledku, pokiaľ ide o zákonnosť predmetného spracovania. Dozorný orgán dotknutú osobu tiež informuje o jej práve na opravný prostriedok.

3a.  Členské štáty môžu stanoviť, že dotknutá osoba môže toto právo uplatňovať priamo voči prevádzkovateľovi alebo prostredníctvom príslušného vnútroštátneho dozorného orgánu.

3b.  Členské štáty zabezpečia, aby existovali primerané lehoty, v rámci ktorých bude prevádzkovateľ reagovať na žiadosti dotknutej osoby, pokiaľ ide o uplatňovanie jej práva na prístup. [PN 77]

Článok 15

Právo na opravu a doplnenie

1.  Členské štáty stanovia, že dotknutá osoba má právo vymôcť od prevádzkovateľa opravu alebo doplnenie svojich osobných údajov, ktoré sú nesprávne. Dotknutá osoba má právo vymôcť doplnenie svojich neúplných osobných údajov alebo neúplné, a to najmä prostredníctvom doplňujúceho alebo opravného vyhlásenia.

2.  Členské štáty stanovia, že prevádzkovateľ písomne informuje dotknutú osobu o akomkoľvek zamietnutí osobu prostredníctvom zdôvodnenia o akomkoľvek zamietnutí opravy, alebo doplnenia o dôvodoch zamietnutia a o možnostiach podania sťažnosti dozornému orgánu a uplatnenia súdnych opravných prostriedkov nápravy.

2a.  Členské štáty stanovia, že prevádzkovateľ oznámi vykonanie akýchkoľvek opráv každému príjemcovi, ktorému boli údaje poskytnuté, pokiaľ to nie je nemožné alebo si to nevyžaduje neprimerané úsilie.

2b.  Členské štáty stanovia, že prevádzkovateľ oznámi opravu nesprávnych osobných údajov tretej strane, od ktorej nesprávne osobné údaje pochádzajú.

2c.  Členské štáty stanovia, že dotknutá osoba môže toto právo uplatňovať aj prostredníctvom príslušného vnútroštátneho dozorného orgánu. [PN 78]

Článok 16

Právo na výmaz

1.  Členské štáty stanovia, že dotknutá osoba má právo vymôcť od prevádzkovateľa výmaz svojich osobných údajov, ak spracúvanie nie je v súlade s ustanoveniami prijatými podľa článku článkov 4 písm. a) až e) a článkov , 6, 7 a 8 tejto smernice.

2.  Prevádzkovateľ uskutoční výmaz bezodkladne. Prevádzkovateľ takisto upustí od ďalšieho šírenia takýchto údajov.

3.  Namiesto výmazu prevádzkovateľ označí osobné údaje obmedzí spracovanie osobných údajov v prípade, že:

a)  dotknutá osoba napadne ich presnosť, a to na dobu umožňujúcu obdobie umožňujúce prevádzkovateľovi overiť presnosť údajov;

b)  osobné údaje musia zostať uchované na dôkazné účely alebo na ochranu kľúčových záujmov dotknutej osoby alebo inej osoby.

c)  dotknutá osoba namieta proti ich vymazaniu a žiada namiesto toho obmedzenie ich použitia.

3a.  Ak je spracovanie osobných údajov obmedzené v zmysle odseku 3, prevádzkovateľ pred zrušením obmedzenia na spracovanie o tom informuje dotknutú osobu.

4.  Členské štáty stanovia, že prevádzkovateľ písomne informuje dotknutú osobu prostredníctvom zdôvodnenia o akomkoľvek zamietnutí výmazu či označenia alebo obmedzenia spracovania, dôvodoch zamietnutia a o možnostiach podania sťažnosti dozornému orgánu a uplatnenia súdnych opravných prostriedkov nápravy.

4a.  Členské štáty stanovia, že prevádzkovateľ oznámi príjemcom, ktorým boli tieto údaje zaslané, akýkoľvek výmaz alebo obmedzenie vykonané v súlade s odsekom 1, pokiaľ to nie je nemožné alebo si to nevyžaduje neprimerané úsilie. Prevádzkovateľ informuje dotknutú osobu o týchto tretích stranách.

4b.  Členské štáty môžu stanoviť, že dotknutá osoba môže toto právo uplatňovať priamo voči prevádzkovateľovi alebo prostredníctvom príslušného vnútroštátneho dozorného orgánu. [PN 79]

Článok 17

Práva dotknutej osoby v rámci vyšetrovania trestných činov a trestného konania

Členské štáty môžu stanoviť, že práva na informácie, prístup, opravu, výmaz alebo obmedzenie spracúvania v zmysle článkov 11 až 16 sa vykonávajú v súlade s vnútroštátnymi pravidlami súdneho konania, ak ide o osobné údaje obsiahnuté v súdnych rozhodnutiach či záznamoch spracúvaných v rámci vyšetrovania trestných činov a trestného konania.

KAPITOLA IV

Prevádzkovateľ a sprostredkovateľ

ODDIEL 1

VŠEOBECNÉ POVINNOSTI

Článok 18

Zodpovednosť prevádzkovateľa

1.  Členské štáty stanovia, že prevádzkovateľ prijme politiky a uplatňuje vhodné opatrenia s cieľom zabezpečiť, aby sa, aby zabezpečil a v prípade každej operácie spracovania mohol preukázať, že spracúvanie osobných údajov vykonávalo v súlade s ustanoveniami prijatými podľa tejto smernice, a to v čase stanovenia prostriedkov na spracovanie, ako aj v čase samotného spracovania.

2.  K opatreniam uvedeným v odseku 1 patria najmä:

a)  vedenie dokumentácie podľa článku 23;

aa)  vykonanie posúdenia vplyvu na ochranu údajov podľa článku 25a;

b)  plnenie požiadaviek týkajúcich sa konzultácie vopred podľa článku 26;

c)  plnenie požiadaviek bezpečnosti údajov stanovených v článku 27;

d)  určenie úradníka pre ochranu údajov v súlade s článkom 30.;

da)  prípadné vypracovanie a uplatňovanie osobitných záruk týkajúcich sa spracúvania osobných údajov o deťoch.

3.  Prevádzkovateľ zavedie mechanizmy na overovanie primeranosti a účinnosti opatrení uvedených v odseku 1 tohto článku. V odôvodnených prípadoch vykonávajú toto overovanie nezávislí interní alebo externí audítori. [PN 80]

Článok 19

Ochrana údajov špecificky navrhnutá a štandardne určená

1.  Členské štáty stanovia, že so zreteľom na najnovší stav techniky a náklady na implementáciu, súčasné technické znalosti, medzinárodné najlepšie postupy a riziká spracúvania údajov prevádzkovateľ uplatní a sprostredkovateľ uplatnia pri určovaní účelu a prostriedkov na spracovanie, ako aj pri samotnom spracovaní zodpovedajúce a primerané technické a organizačné opatrenia a postupy tak, aby spracovanie spĺňalo požiadavky ustanovení prijatých podľa tejto smernice a zabezpečilo ochranu práv dotknutej osoby, najmä s ohľadom na zásady stanovené v článku 4. Špecificky navrhnutá ochrana údajov osobitne zohľadňuje riadenie celého životného cyklu osobných údajov od zhromažďovania cez spracúvanie až po vymazanie, pričom sa kladie systematický dôraz na komplexné procesné záruky týkajúce sa presnosti, dôvernosti, neporušenosti, fyzickej bezpečnosti a vymazania osobných údajov. Ak prevádzkovateľ vykonal posúdenie vplyvu na ochranu údajov v súlade s článkom 25a, výsledky sa zohľadnia pri príprave týchto opatrení a postupov.

2.  Prevádzkovateľ zavedie mechanizmy, ktorými sa zabezpečí, aby sa štandardne zabezpečí, aby sa spracúvali iba tie osobné údaje, ktoré sú potrebné na účely spracovania pre každý konkrétny účel spracovania, a najmä aby sa nezhromažďovali, neuchovávali ani nešírili nad minimum nevyhnutné pre tieto účely, a to či už ide o množstvo údajov alebo obdobie ich uchovávania. Týmito mechanizmami sa má predovšetkým štandardne zabezpečiť, aby osobné údaje neboli prístupné pre ľubovoľný počet fyzických osôb a aby dotknuté osoby dokázali kontrolovať šírenie svojich osobných údajov. [PN 81]

Článok 20

Spoloční prevádzkovatelia

1.  Členské štáty stanovia, že ak prevádzkovateľ stanovuje účely, podmienky a spôsob spracovania osobných údajov spoločne s inými, spoloční prevádzkovatelia stanovia formou právne záväznej dohody medzi sebou svoje príslušné okruhy zodpovednosti za dodržiavanie ustanovení prijatých podľa tejto smernice, najmä pokiaľ ide o postupy a mechanizmy na uplatnenie práv dotknutej osoby.

2.  Pokiaľ dotknutá osoba nebola informovaná o tom, ktorý spoločný prevádzkovateľ je zodpovedný podľa odseku 1, dotknutá osoba si môže uplatniť svoje práva podľa tejto smernice vo vzťahu ku ktorémukoľvek z dvoch alebo viacerých spoločných prevádzkovateľov a voči nim. [PN 82]

Článok 21

Sprostredkovateľ

1.  Členské štáty stanovia, že ak sa spracúvanie uskutočňuje v mene prevádzkovateľa, prevádzkovateľ si musí zvoliť zvolí sprostredkovateľa, ktorý poskytuje dostatočné záruky, že uplatní primerané technické a organizačné opatrenia a postupy tak, aby spracovanie spĺňalo požiadavky ustanovení prijatých podľa tejto smernice a zabezpečilo ochranu práv dotknutej osoby, najmä pokiaľ ide o technické bezpečnostné opatrenia a organizačné opatrenia, ktorými sa upravuje spracovanie, ktoré sa má vykonať, a aby zaistilo dodržanie týchto opatrení.

2.  Členské štáty stanovia, že vykonávanie spracovania sprostredkovateľom prostredníctvom sprostredkovateľa sa musí riadiť zmluvou alebo právnym aktom, ktorý zaväzuje sprostredkovateľa voči prevádzkovateľovi a najmä stanovuje, že sprostredkovateľ koná len na základe pokynov prevádzkovateľa, najmä v prípade, keď je prenos osobných údajov zakázaný.:

a)  koná len na základe pokynov prevádzkovateľa;

b)  zamestnáva iba zamestnancov, ktorí súhlasili s tým, že sa zaviažu k zachovávaniu dôvernosti alebo majú zákonnú povinnosť zachovávať dôvernosť;

c)  vykonáva všetky požadované opatrenia v súlade s článkom 27;

d)  zapojí ďalšieho sprostredkovateľa len s povolením prevádzkovateľa, a preto informuje prevádzkovateľa o zámere zapojiť iného sprostredkovateľa v takom časovom predstihu, aby mal prevádzkovateľ možnosť vzniesť námietky;

e)  pokiaľ to umožňuje charakter spracovania, prijíma po dohode s prevádzkovateľom potrebné technické a organizačné požiadavky na splnenie povinnosti prevádzkovateľa reagovať na žiadosti o výkon práv dotknutej osoby ustanovených v kapitole III;

f)  pomáha prevádzkovateľovi zabezpečiť plnenie povinností podľa článkov 25a a 29;

g)  po ukončení spracovania vráti všetky výsledky prevádzkovateľovi, nespracúva osobné údaje iným spôsobom a vymaže existujúce kópie, ak si právne predpisy Únie alebo členského štátu nevyžadujú uchovanie týchto údajov;

h)  poskytuje prevádzkovateľovi a dozornému orgánu všetky informácie potrebné na overenie dodržiavania povinností stanovených v tomto článku;

i)  zohľadňuje zásadu špecificky navrhnutej a štandardne určenej ochrany údajov.

2a.  Prevádzkovateľ a sprostredkovateľ písomne dokumentujú pokyny prevádzkovateľa a povinnosti sprostredkovateľa uvedené v odseku 2.

3.  Ak sprostredkovateľ spracúva iné osobné údaje, než sú údaje podľa pokynov prevádzkovateľa, sprostredkovateľ sa v súvislosti s týmto spracovaním považuje za prevádzkovateľa a podlieha pravidlám o spoločných prevádzkovateľoch stanoveným v článku 20. [PN 83]

Článok 22

Spracovanie na základe právomoci prevádzkovateľa a sprostredkovateľa

1.  Členské štáty stanovia, že sprostredkovateľ a akákoľvek iná osoba konajúca na základe právomoci prevádzkovateľa či sprostredkovateľa, ktorá má prístup k osobným údajom, môže tieto údaje spracovať len podľa pokynov prevádzkovateľa alebo len vtedy, keď to vyžadujú právne predpisy Únie alebo členského štátu.

1a.  Ak sprostredkovateľ je alebo sa stane rozhodujúcou súčasťou vo vzťahu k účelom, prostriedkom alebo metódam spracovania údajov alebo nekoná výlučne podľa pokynov prevádzkovateľa, je podľa článku 20 považovaný za spoločného prevádzkovateľa. [PN 84]

Článok 23

Dokumentácia

1.  Členské štáty stanovia, že každý prevádzkovateľ a sprostredkovateľ musí viesť dokumentáciu všetkých systémov a postupov spracúvania patriacich do rámca jeho zodpovednosti.

2.  Dokumentácia obsahuje prinajmenšom tieto informácie:

a)  meno a kontaktné údaje prevádzkovateľa alebo prípadného spoločného prevádzkovateľa alebo sprostredkovateľa;

aa)  právne záväznú dohodu, ak ide o spoločných prevádzkovateľov; zoznam sprostredkovateľov a činností, ktoré sprostredkovatelia vykonávajú;

b)  účely spracovania;

ba)  označenie častí organizácie prevádzkovateľa alebo sprostredkovateľa povereného spracovaním osobných údajov na daný účel;

bb)  opis kategórie alebo kategórií dotknutých osôb a údajov alebo kategórií údajov, ktoré sa ich týkajú;

c)  príjemcovia alebo kategórie príjemcov osobných údajov;

ca)  prípadne informácie o existencii profilovania, opatrení založených na profilovaní a mechanizmov na vznášanie námietok proti profilovaniu;

cb)  zrozumiteľné informácie o postupe každého automatického spracovania;

d)  prenosy údajov do tretej krajiny alebo medzinárodnej organizácii vrátane označenia predmetnej tretej krajiny alebo medzinárodnej organizácie. a právne dôvody, na základe ktorých sú údaje prenášané; vecné vysvetlenie sa poskytne v prípade, že prenos sa zakladá na článkoch 35 alebo 36 tejto smernice;

da)  lehoty na výmaz rôznych kategórií údajov;

db)  výsledky overovania opatrení uvedených v článku 18 ods. 1;

dc)  uvedenie právneho základu operácie spracovania, pre ktorú sú údaje určené.

3.  Prevádzkovateľ a sprostredkovateľ na požiadanie sprístupnia celú dokumentáciu dozornému orgánu. [PN 85]

Článok 24

Uchovávanie záznamov

1.  Členské štáty zabezpečia, aby sa uchovávali záznamy prinajmenšom o týchto operáciách spracúvania: zhromažďovanie, zmena, nahliadanie, sprístupňovanie, kombinovanie alebo výmaz. V záznamoch o nahliadaní a sprístupňovaní sa uvádza predovšetkým účel, dátum a čas týchto operácií a v najväčšej možnej miere aj identifikačné údaje osoby, ktorá do týchto osobných údajov nahliadala alebo ich sprístupňovala, a totožnosť príjemcu týchto údajov.

2.  Záznamy sa využijú výlučne len na účely overovania zákonnosti spracúvania údajov, vlastného monitorovania a na zabezpečenie integrity a bezpečnosti údajov alebo na účely kontroly úradníka pre ochranu údajov alebo úradu pre ochranu údajov.

2a.  Prevádzkovateľ a sprostredkovateľ na požiadanie sprístupnia dostupné záznamy dozornému orgánu. [PN 86]

Článok 25

Spolupráca s dozorným orgánom

1.  Členské štáty stanovia, že prevádzkovateľ a sprostredkovateľ na požiadanie spolupracujú s dozorným orgánom pri výkone svojich povinností, a to najmä poskytovaním všetkých informácií, ktoré dozorný orgán potrebuje na plnenie svojich povinností uvedených v článku 46 ods. 2 písm. a) a umožňujú prístup, ako je stanovené v článku 46 ods. 2 písm. b).

2.  V reakcii na uplatnenie právomocí dozorného orgánu podľa článku 46 ods. 1 písm. a) a b) prevádzkovateľ a sprostredkovateľ odpovedajú dozornému orgánu v primeranej lehote, ktorú určí dozorný orgán. Odpoveď obsahuje aj opis prijatých opatrení a dosiahnuté výsledky ako odpoveď na pripomienky dozorného orgánu. [PN 87]

Článok 25a

Posúdenie vplyvu na ochranu údajov

1.  Členské štáty stanovia, že prevádzkovateľ alebo sprostredkovateľ, ktorý koná v mene prevádzkovateľa, vykoná posúdenie vplyvu plánovaných systémov spracúvania a postupov na ochranu osobných údajov, ak je pravdepodobné, že operácie spracovania budú predstavovať osobitné riziko pre práva a slobody dotknutých osôb z dôvodu ich povahy, rozsahu alebo účelu, a to ešte pred novými operáciami spracúvania alebo čo najskôr v prípade existujúcich operácií spracúvania.

2.  Takéto špecifické riziká, ako sa uvádza v odseku 1, budú pravdepodobne predstavovať najmä nasledujúce operácie spracúvania:

a)  spracúvanie osobných údajov v rozsiahlych informačných systémoch na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania a na účely výkonu trestných sankcií;

b)  spracúvanie osobitných kategórií osobných údajov v zmysle článku 8, osobných údajov týkajúcich sa detí a biometrických a lokalizačných údajov na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania a na účely výkonu trestných sankcií;

c)  hodnotenie osobných aspektov týkajúcich sa určitej fyzickej osoby alebo slúžiacich na analýzu či prognózovanie správania fyzickej osoby, ktoré je založené na automatizovanom spracovaní a ktoré pravdepodobne povedie k opatreniam, ktoré majú právne účinky týkajúce sa tejto fyzickej osoby alebo túto fyzickú osobu významne ovplyvňujú;

d)  monitorovanie verejne prístupných miest, najmä ak sa používajú optoelektronické zariadenia (kamerový dohľad); or

e)  ďalšie operácie spracúvania, pri ktorých sa v zmysle článku 26 ods. 1 vyžaduje konzultácia s dozorným orgánom.

3.  Posúdenie obsahuje prinajmenšom:

a)  systematický opis plánovaných operácií spracúvania;

b)  posúdenie potreby a primeranosti operácií spracúvania vo vzťahu k účelu;

c)  posúdenie rizík pre práva a slobody dotknutých osôb a opatrenia určené na riešenie týchto rizík a minimalizáciu objemu osobných údajov, ktoré sa spracúvajú;

d)  bezpečnostné opatrenia a mechanizmy na zabezpečenie ochrany osobných údajov a na preukázanie súladu s týmito ustanoveniami prijatými podľa tejto smernice, pri zohľadnení práv a oprávnených záujmov dotknutých osôb a ďalších zainteresovaných osôb;

e)  všeobecné určenie lehôt na výmaz rôznych kategórií údajov;

f)  v náležitých prípadoch zoznam plánovaných prenosov údajov do tretej krajiny alebo medzinárodnej organizácii vrátane označenia predmetnej tretej krajiny alebo medzinárodnej organizácie a v prípade prenosov uvedených v článku 36 ods. 2 dokumentáciu náležitých záruk;

4.  Ak prevádzkovateľ alebo sprostredkovateľ určil úradníka pre ochranu údajov, tento sa zapája do procesu posudzovania vplyvu.

5.  Členské štáty stanovia, že prevádzkovateľ prekonzultuje s verejnosťou zamýšľané spracovanie bez toho, aby bola dotknutá ochrana verejného záujmu alebo bezpečnosť operácií spracúvania.

6.  Posúdenie sa ľahko sprístupní verejnosti bez toho, aby bola dotknutá ochrana verejného záujmu alebo bezpečnosť operácií spracúvania.

7.  Komisia je splnomocnená v súlade s článkom 56 prijímať delegované akty po tom, ako požiada o stanovisko Európsky výbor pre ochranu údajov, s cieľom bližšie určiť kritériá a podmienky pre operácie spracúvania, ktoré budú pravdepodobne predstavovať osobitné riziká v zmysle odsekov 1 a 2, a požiadavky na posúdenie uvedené v odseku 3 vrátane podmienok pre rozšíriteľnosť, overovanie a kontrolovateľnosť. [PN 88]

Článok 26

Konzultácie vopred s dozorným orgánom

1.  Členské štáty zabezpečia, aby prevádzkovateľ či sprostredkovateľ uskutočnil konzultácie s dozorným orgánom pred spracúvaním osobných údajov, ktoré budú tvoriť časť nového informačného systému, ktorý sa vytvára s cieľom zabezpečiť súlad zamýšľaného spracovania s ustanoveniami prijatými podľa tejto smernice a najmä zmierniť riziká pre dotknuté osoby, ak:

a)  sa majú spracúvať osobitné kategórie údajov v zmysle článku 8; sa v posúdení vplyvu na ochranu údajov ustanoveného v článku 25a uvádza, že operácie spracúvania by z dôvodu svojej povahy, rozsahu a/alebo účelov mohli predstavovať vysoký stupeň špecifických rizík, alebo

b)  daný druh spracovania, najmä pokiaľ ide o použitie nových technológií, mechanizmov či postupov, inak predstavuje osobitné riziko pre základné práva a slobody dotknutých osôb, a to najmä pre ochranu ich osobných údajov dozorný orgán považuje za potrebné vykonať konzultácie vopred k uvedeným operáciám spracúvania, ktoré by mohli predstavovať osobitné riziká z hľadiska práv a slobôd dotknutých osôb z dôvodu svojej povahy, rozsahu alebo účelov.

1a.  Ak dozorný orgán stanoví v súlade so svojou právomocou, že plánované spracúvanie nezodpovedá ustanoveniam prijatým podľa tejto smernice, najmä keď riziká nie sú dostatočne zistené ani zmiernené, zakáže zamýšľané spracovanie a predloží vhodné návrhy na nápravu tohto nesúladu.

2.  Členské štáty môžu stanoviť stanovia, že dozorný orgán po konzultácii s Európskym výborom pre ochranu údajov vypracuje zoznam operácií spracúvania, ktoré podliehajú povinnosti uskutočniť konzultácie vopred podľa odseku 1 písm. b).

2a.  Členské štáty stanovia, že prevádzkovateľ alebo sprostredkovateľ poskytne dozornému orgánu posúdenie vplyvu na ochranu údajov podľa článku 25a a na požiadanie poskytne akékoľvek ďalšie informácie, ktoré dozornému orgánu umožnia posúdiť súlad spracovania a najmä riziká z hľadiska ochrany osobných údajov dotknutej osoby a súvisiacich záruk.

2b.  Ak dozorný orgán zastáva názor, že plánované spracovanie nie je v súlade s ustanoveniami prijatými podľa tejto smernice alebo že riziká nie sú dostatočne zistené ani zmiernené, predloží vhodné návrhy na nápravu tohto nesúladu.

2c.  Členské štáty môžu konzultovať s dozorným orgánom pri príprave legislatívneho opatrenia, ktoré má prijať národný parlament, alebo pri príprave opatrenia založeného na takomto legislatívnom opatrení, ktoré určuje povahu spracovania, s cieľom zabezpečiť súlad zamýšľaného spracovania podľa tejto smernice a najmä zmierniť riziká pre dotknuté osoby. [PN 89]

ODDIEL 2

BEZPEČNOSŤ ÚDAJOV

Článok 27

Bezpečnosť spracúvania

1.  Členské štáty stanovia, že prevádzkovateľ a sprostredkovateľ uplatnia vykonajú primerané technické a organizačné opatrenia a postupy, aby zabezpečili úroveň bezpečnosti primeranú rizikám, ktoré predstavuje spracovanie a povaha údajov, ktoré sa majú chrániť, a to so zreteľom na najnovší stav techniky a náklady na ich zavedenie.

2.  Pokiaľ ide o automatizované spracovanie osobných údajov, každý členský štát stanoví, že prevádzkovateľ či sprostredkovateľ na základe vyhodnotenia rizík uplatní opatrenia na:

a)  zabránenie neoprávnenému prístupu k zariadeniam na spracúvanie údajov, ktoré sa používajú na spracúvanie osobných údajov (kontrola prístupu k zariadeniam);

b)  zabránenie neoprávnenému čítaniu, kopírovaniu, pozmeňovaniu či odstráneniu nosičov údajov (kontrola nosičov údajov);

c)  zabránenie neoprávnenému vkladaniu údajov, ako aj neoprávnenému prezeraniu, pozmeňovaniu či vymazávaniu uchovávaných osobných údajov (kontrola uloženia);

d)  zabránenie používaniu automatizovaných systémov na spracúvanie údajov neoprávnenými osobami pomocou zariadenia na prenos údajov (kontrola užívateľov);

e)  zabezpečenie, aby osoby oprávnené na používanie automatizovaného systému na spracovanie údajov mali prístup iba k tým údajom, na ktoré sa vzťahuje poskytnuté oprávnenie na prístup (kontrola prístupu k údajom);

f)  zabezpečenie, aby sa dalo overiť a zistiť, ktorým subjektom boli či môžu byť prenášané alebo sprístupňované osobné údaje prostredníctvom zariadenia na prenos údajov (kontrola prenosu údajov);

g)  zabezpečenie, aby sa následne dalo overiť a zistiť, ktoré osobné údaje boli vložené do automatizovaného systému na spracúvanie údajov, kedy a kým (kontrola vkladania údajov);

h)  zabránenie, aby pri prenosoch osobných údajov či pri preprave nosičov údajov nedošlo k neoprávnenému čítaniu, kopírovaniu, pozmeňovaniu či vymazávaniu osobných údajov (kontrola prepravy);

i)  zabezpečenie, aby v prípade prerušenia bola možná obnova inštalovaných systémov (obnova);

j)  zabezpečenie, aby funkcie systému pracovali, aby sa výskyt chýb v jeho funkciách okamžite hlásil (spoľahlivosť) a aby uchovávané osobné údaje nemohli byť poškodené v dôsledku chybného fungovania systému (integrita).

ja)  zabezpečenie, aby boli v prípade spracúvania citlivých osobných údajov podľa článku 8 zavedené ďalšie bezpečnostné opatrenia na zabezpečenie situačnej informovanosti o rizikách a schopnosti prijať preventívne, nápravné a zmierňujúce kroky v takmer reálnom čase proti zisteným zraniteľným miestam alebo incidentom, ktoré by mohli predstavovať riziko pre údaje.

2a.  Členské štáty stanovia, že sprostredkovatelia môžu byť vymenovaní len vtedy, ak zaručia, že prijmú požadované technické a organizačné opatrenia uvedené v odseku 1 a dodržia pokyny stanovené v článku 21 ods. 2 písm. a). Príslušný orgán sprostredkovateľa v tomto smere kontroluje.

3.  Komisia môže v prípade potreby prijať vykonávacie akty na bližšie určenie požiadaviek stanovených v odsekoch 1 a 2 v súvislosti s rôznymi situáciami, a to najmä pokiaľ ide o normy šifrovania. Tieto vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 57 ods. 2. [PN 90]

Článok 28

Oznámenie o porušení ochrany osobných údajov dozornému orgánu

1.  Členské štáty stanovia, že v prípade, že dôjde k narušeniu ochrany osobných údajov, prevádzkovateľ bez zbytočného odkladu a podľa možnosti najneskôr do 24 hodín po tom, čo sa o tejto skutočnosti dozvedel, oznámi porušenie ochrany osobných údajov dozornému orgánu. Ak toto oznámenie nebolo predložené do 24 hodín, pPrevádzkovateľ v prípade akéhokoľvek oneskorenia na požiadanie poskytne dozornému orgánu náležité zdôvodnenie.

2.  Sprostredkovateľ upozorní a informuje prevádzkovateľa ihneď bez zbytočného odkladu po zistení porušenia ochrany osobných údajov.

3.  Oznámenie uvedené v odseku 1 musí obsahovať prinajmenšom:

a)  opis charakteru porušenia ochrany osobných údajov vrátane kategórií a počtu dotknutých osôb a kategórie a počet dotknutých údajových záznamov;

b)  údaje totožnosti a kontaktné údaje úradníka pre ochranu údajov uvedeného v článku 30 alebo iné kontaktné miesto, kde možno získať viac informácií;

c)  odporúčané opatrenia na zmiernenie potenciálnych nepriaznivých účinkov porušenia ochrany osobných údajov;

d)  opis potenciálnych dôsledkov porušenia ochrany osobných údajov;

e)  opis opatrení navrhovaných alebo prijatých prevádzkovateľom s cieľom vyriešiť porušenie ochrany osobných údajov a zmierniť jeho účinky.

V prípade, že všetky informácie nemožno poskytnúť bez zbytočného odkladu, prevádzkovateľ môže oznámenie doplniť v druhej fáze.

4.  Členské štáty stanovia, že prevádzkovateľ zdokumentuje každý prípad porušenia ochrany osobných údajov, pričom uvedie všetky skutočnosti spojené s predmetným porušením jeho následky a prijaté opatrenia na nápravu. Táto dokumentácia musí umožniť byť dostatočná na to, aby umožnila dozorným orgánom overiť súlad s týmto článkom. Dokumentácia obsahuje len informácie, ktoré sú na tento účel potrebné.

4a.  Dozorný orgán vedie verejný register typov oznámených porušení.

5.  Komisia je splnomocnená prijať delegované akty v súlade s článkom 56 v súlade s článkom 56 prijímať delegované akty po tom, ako požiada o stanovisko Európsky výbor pre ochranu údajov, s cieľom bližšie určiť kritériá a požiadavky na konštatovanie skutočnosti porušenia ochrany údajov v zmysle odsekov 1 a 2, ako aj osobitné okolnosti, za ktorých sa od prevádzkovateľa a sprostredkovateľa vyžaduje, aby oznámili porušenie ochrany osobných údajov.

6.  Komisia môže stanoviť štandardný formát takéhoto oznámenia dozornému orgánu, postupy týkajúce sa oznamovacej povinnosti a formu a spôsoby dokumentácie uvedenej v odseku 4 vrátane lehôt na výmaz informácií, ktoré sú v nej obsiahnuté. Tieto Uvedené vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 57 ods. 2. [PN 91]

Článok 29

Informovanie dotknutej osoby o porušení ochrany osobných údajov

1.  Členské štáty stanovia, že ak je pravdepodobné, že porušenie ochrany osobných údajov bude mať nepriaznivý vplyv na ochranu osobných údajov, súkromie, práva alebo oprávnené záujmy dotknutej osoby, prevádzkovateľ musí okrem oznámenia uvedeného v článku 28 informovať informuje o porušení osobných údajov bez zbytočného odkladu aj dotknutú osobu.

2.  Informácia pre dotknutú osobu uvedená v odseku 1 musí obsahovať je úplná a používa sa v nej jasný a zrozumiteľný jazyk. Obsahuje opis charakteru porušenia ochrany osobných údajov a prinajmenšom informácie a odporúčania uvedené v článku 28 ods. 3 písm. b) a, c) a d) a informácie o právach dotknutej osoby vrátane práva na opravu.

3.  Informovanie dotknutej osoby o porušení ochrany osobných údajov sa nevyžaduje, ak prevádzkovateľ preukáže k spokojnosti dozorného orgánu, že vykonal primerané technické ochranné opatrenia a že tieto opatrenia uplatnil na osobné údaje, ktorých ochrana bola porušená. Použitím takýchto opatrení technickej ochrany sa údaje stanú nečitateľnými pre všetky osoby, ktoré nie sú oprávnené na prístup k nim.

3a.  Bez toho, aby bola dotknutá povinnosť prevádzkovateľa informovať dotknutú osobu o porušení ochrany osobných údajov, ak prevádzkovateľ dotknutú osobu o tom ešte neinformoval, dozorný orgán po zvážení možných nepriaznivých účinkov porušenia môže požadovať, aby tak urobil.

4.  Poskytovanie informácií dotknutej osobe sa môže odložiť, alebo obmedziť alebo vylúčiť z dôvodov uvedených v článku 11 ods. 4. [PN 92]

ODDIEL 3

ÚRADNÍK PRE OCHRANU ÚDAJOV

Článok 30

Určenie úradníka pre ochranu údajov

1.  Členské štáty stanovia, že prevádzkovateľ alebo sprostredkovateľ určia úradníka pre ochranu údajov.

2.  Úradník pre ochranu údajov sa určí na základe odborných kvalít, a to najmä na základe odborných znalostí práva a praxe v oblasti ochrany údajov a na základe schopností plniť úlohy uvedené v článku 32. Potrebná úroveň odborných znalostí sa určí najmä s ohľadom na spracovanie osobných údajov, ktoré sa vykonáva, a na ochranu vyžadovanú pre osobné údaje, ktoré spracúva prevádzkovateľ alebo sprostredkovateľ.

2a.  Členské štáty stanovia, že prevádzkovateľ alebo sprostredkovateľ zabezpečí, aby akékoľvek ďalšie odborné úlohy úradníka pre ochranu údajov boli v súlade s úlohami a povinnosťami tejto osoby ako úradníka pre ochranu údajov a neviedli ku konfliktu záujmov.

2b.  Úradník pre ochranu údajov je vymenovaný na obdobie najmenej štyroch rokov. Úradníka pre ochranu údajov možno na túto funkciu opätovne vymenovať i na ďalšie obdobia. Počas funkčného obdobia možno úradníka pre ochranu údajov odvolať iba vtedy, ak už nespĺňa podmienky požadované na výkon svojich povinností.

2c.  Členské štáty stanovia, že dotknutá osoba má právo obrátiť sa na úradníka pre ochranu údajov so všetkými otázkami týkajúcimi sa spracovania jej osobných údajov.

3.  Úradníka pre ochranu údajov je možné určiť pre niekoľko subjektov, pri zohľadnení organizačnej štruktúry príslušného orgánu.

3a.  Členské štáty stanovia, že prevádzkovateľ alebo sprostredkovateľ oznámi meno a kontaktné údaje úradníka pre ochranu údajov dozornému orgánu a verejnosti. [PN 93]

Článok 31

Postavenie úradníka pre ochranu údajov

1.  Členské štáty stanovia, že prevádzkovateľ alebo sprostredkovateľ je povinný zabezpečiť, aby bol úradník pre ochranu údajov riadnym spôsobom a včas zapojený vo všetkých otázok, ktoré súvisia s ochranou osobných údajov.

2.  Prevádzkovateľ alebo sprostredkovateľ zabezpečia, aby sa úradníkovi pre ochranu údajov poskytli prostriedky potrebné na účinné a nezávislé plnenie jeho povinností a úloh uvedených v článku 32 a aby tento úradník v súvislosti s výkonom svojej funkcie nedostával žiadne pokyny.

2a.  Prevádzkovateľ alebo sprostredkovateľ podporujú úradníka pre ochranu údajov pri plnení jeho úloh a poskytujú všetky prostriedky vrátane personálu, priestorov, vybavenia, priebežného odborného vzdelávania a akýchkoľvek ďalších zdrojov potrebných na vykonávanie povinností a úloh uvedených v článku 32 a na udržiavanie jeho odborných znalostí. [PN 94]

Článok 32

Úlohy úradníka pre ochranu údajov

Členské štáty stanovia, že prevádzkovateľ alebo sprostredkovateľ je povinný zveriť úradníkovi pre ochranu údajov prinajmenšom tieto úlohy:

a)  zvyšovanie informovanosti, poskytovanie informácií a poradenstva prevádzkovateľovi alebo sprostredkovateľovi, pokiaľ ide o ich povinnosti, a to v súlade s ustanoveniami prijatými podľa tejto smernice, najmä s ohľadom na technické a organizačné opatrenia a postupy, ako aj dokumentácia tejto činnosti a reakcií, ktoré dostal;

b)  monitorovanie vykonávania a uplatňovania politík v súvislosti s ochranou osobných údajov vrátane rozdelenia povinností, odbornej prípravy zamestnancov zapojených do operácií spracúvania a súvisiacich auditov;

c)  monitorovanie vykonávania a uplatňovania ustanovení prijatých podľa tejto smernice, a to najmä pokiaľ ide o požiadavky súvisiace so špecificky navrhnutou ochranou údajov, štandardne určenou ochranou údajov, bezpečnosťou údajov, informovaním dotknutých osôb a s ich žiadosťami, ktorými vykonávajú svoje práva vyplývajúce z ustanovení prijatých podľa tejto smernice;

d)  zabezpečenie vedenia dokumentácie podľa článku 23;

e)  monitorovanie dokumentácie porušení ochrany osobných údajov, ich oznamovania a informovania o nich v zmysle článkov 28 a 29;

f)  monitorovanie uplatňovania posudzovania vplyvu na ochranu údajov prevádzkovateľom alebo sprostredkovateľom a monitorovanie žiadosti o konzultáciu s dozorným orgánom vopred, ak sa vyžaduje podľa článku 26 ods. 1;

g)  monitorovanie odpovedí na žiadosti dozorného orgánu a spolupráca, a to v rámci rozsahu právomocí úradníka pre ochranu údajov, s dozorným orgánom na jeho žiadosť či na základe jeho podnetu;

h)  plnenie úlohy kontaktného miesta pre dozorný orgán v súvislosti s otázkami týkajúcimi sa spracovania a uskutočňovanie konzultácií s dozorným orgánom, podľa potreby aj na základe vlastného podnetu úradníka pre ochranu údajov. [PN 95]

KAPITOLA V

PRENOS OSOBNÝCH ÚDAJOV DO TRETÍCH KRAJÍN ALEBO MEDZINÁRODNÝM ORGANIZÁCIÁM

Článok 33

Všeobecné zásady prenosu osobných údajov

1.  Členské štáty stanovia, že príslušné orgány môžu uskutočniť prenos spracúvaných osobných údajov alebo osobných údajov určených na spracovanie po prenose do tretej krajiny alebo medzinárodnej organizácii vrátane ďalšieho prenosu osobných údajov do inej tretej krajiny či inej medzinárodnej organizácii, len ak:

a)  prenos je je tento konkrétny prenos nevyhnutný na predchádzanie trestným činom, ich vyšetrovanie, odhaľovanie či stíhanie alebo na výkon trestných sankcií, ; a

aa)  sú údaje prenesené prevádzkovateľovi v tretej krajine alebo medzinárodnej organizácii, ktorá je orgánom verejnej moci príslušným na účely uvedené v článku 1 ods. 1; a

ab)  prevádzkovateľ a sprostredkovateľ spĺňajú podmienky stanovené v tejto kapitole, a to aj pre následný prenos osobných údajov z tretej krajiny alebo medzinárodnej organizácie do inej tretej krajiny alebo inej medzinárodnej organizácii; a

b)  prevádzkovateľ a sprostredkovateľ spĺňajú podmienky stanovené ďalšie ustanovenia prijaté podľa tejto kapitole smernice; a

ba)  nie je ohrozená úroveň ochrany osobných údajov fyzických osôb zaručená v Únii touto smernicou; a

bb)  Komisia rozhodla v súlade s podmienkami a postupom uvedeným v článku 34, že predmetná tretia krajina alebo medzinárodná organizácia zabezpečí primeranú úroveň ochrany; alebo

bc)  v právne záväznom nástroji boli stanovené náležité záruky, pokiaľ ide o ochranu osobných údajov, ako je uvedené v článku 35.

2.  Členské štáty stanovia, že ďalší prenos podľa odseku 1 tohto článku sa môže uskutočniť len vtedy, ak okrem podmienok stanovených v uvedenom odseku:

a)  ďalší prenos je potrebný na ten istý konkrétny účel ako pôvodný prenos; a

b)  príslušný orgán, ktorý vykonal pôvodný prenos, dá oprávnenie na ďalší prenos. [PN 96]

Článok 34

Prenos na základe rozhodnutia o primeranosti

1.  Členské štáty stanovia, že prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii sa môže uskutočniť, ak Komisia rozhodla v súlade s článkom 41 nariadenia (EÚ) č. ..../2012, resp. v súlade s odsekom 3 tohto článku, že predmetná tretia krajina, resp. územie alebo sektor spracovania v tejto tretej krajine, alebo medzinárodná organizácia zaručujú primeranú úroveň ochrany. Na takýto prenos nie je nutné žiadne ďalšie osobitné povolenie.

2.  V prípade, že niet rozhodnutia prijatého v súlade s článkom 41 nariadenia (EÚ) č. ..../2012, Pri posudzovaní primeranosti úrovne ochrany Komisia posúdi primeranosť úrovne ochrany, pričom zváži berie do úvahy tieto prvky:

a)  zásady právneho štátu, príslušné platné právne predpisy, a to všeobecné aj odvetvové, vrátane tých, ktoré sa týkajú verejnej bezpečnosti, obrany, národnej bezpečnosti a trestného práva, ako aj vykonávanie týchto právnych predpisov a bezpečnostné opatrenia, ktoré sa v tejto krajine alebo medzinárodnej organizácii dodržiavajú; takisto sa zohľadnia právne precedensy, ako aj účinné a vynútiteľné práva vrátane práv dotknutých osôb na účinnú administratívnu a súdnu nápravu, a to predovšetkým pre tie dotknuté osoby s pobytom v Únii, ktorých osobné údaje sa prenášajú;

b)  existencia a účinné pôsobenie jedného či viacerých nezávislých dozorných orgánov v predmetnej tretej krajine či medzinárodnej organizácii, ktoré sú zodpovedné za zabezpečenie súladu s pravidlami ochrany údajov vrátane dostatočných sankčných právomocí, poskytovanie pomoci a poradenstva dotknutej osobe pri výkone jej práv a za spoluprácu s dozornými orgánmi Únie a členských štátov; a

c)  medzinárodné záväzky, ktorými je predmetná tretia krajina či medzinárodná organizácia viazaná, najmä akékoľvek právne záväzné dohovory alebo nástroje týkajúce sa ochrany osobných údajov.

3.  Komisia môže je splnomocnená v súlade s článkom 56 prijímať delegované akty po tom, ako požiada o stanovisko Európsky výbor pre ochranu údajov, s cieľom rozhodnúť v rámci rozsahu pôsobnosti tejto smernice rozhodnúť, že tretia krajina, resp. územie alebo sektor spracovania v tejto tretej krajine, alebo medzinárodná organizácia zaručuje primeranú úroveň ochrany zmysle odseku 2. Tieto vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 57 ods. 2.

4.  Vo vykonávacom V delegovanom akte sa uvedie jeho geografický a sektorový rozsah pôsobnosti a v príslušných prípadoch aj dozorný orgán podľa odseku 2 písm. b).

4a.  Komisia priebežne sleduje vývoj, ktorý by mohol mať vplyv na plnenie prvkov uvedených v odseku 2 v tretích krajinách a medzinárodných organizáciách, v súvislosti s ktorými bol prijatý delegovaný akt v súlade s odsekom 3.

5.  Komisia môže je splnomocnená v súlade s článkom 56 prijímať delegované akty s cieľom rozhodnúť v rámci rozsahu pôsobnosti tejto smernice rozhodnúť, že tretia krajina, resp. územie alebo sektor spracovania v tejto tretej krajine, alebo medzinárodná organizácia nezaručuje primeranú úroveň ochrany zmysle odseku 2, a to najmä v prípadoch, keď príslušné platné právne predpisy v tejto krajine alebo medzinárodnej organizácii, a to všeobecné aj odvetvové, nezaručujú účinné a vynútiteľné práva vrátane práv dotknutých osôb na účinnú administratívnu a súdnu nápravu, a to predovšetkým pre tie dotknuté osoby, ktorých osobné údaje sa prenášajú. Tieto vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 57 ods. 2, resp. v prípadoch, keď je to pre fyzické osoby mimoriadne naliehavé v súvislosti s ich právom na ochranu osobných údajov, v súlade s postupom uvedeným v článku 57 ods. 3.

6.  Členské štáty zabezpečia, aby bol v prípade, že Komisia rozhodla v súlade s odsekom 5, zakázaný akýkoľvek prenos osobných údajov do predmetnej tretej krajiny, resp. na územie alebo do sektora spracovania v tejto tretej krajine, alebo medzinárodnej organizácii; týmto rozhodnutím nie sú dotknuté prenosy podľa článku 35 ods. 1 alebo v súlade s článkom 36. Komisia vo vhodnom čase začne konzultácie s treťou krajinou alebo medzinárodnou organizáciou s cieľom nápravy stavu vzniknutého v dôsledku prijatia rozhodnutia podľa odseku 5 tohto článku.

7.  Komisia uverejnení v Úradnom vestníku Európskej únie zoznam tých tretích krajín, území a sektorov spracovania v tretích krajinách alebo medzinárodných organizáciách, v prípade ktorých rozhodla, že je, alebo nie je zaručená primeraná úroveň ochrany.

8.  Komisia bude monitorovať uplatňovanie vykonávacích delegovaných aktov uvedených v odsekoch 3 a 5. [PN 97]

Článok 35

Prenos na základe náležitých záruk

1.  Členské štáty stanovia, že aAk Komisia neprijala žiadne rozhodnutie podľa článku 34, prenos osobných údajov príjemcovi v alebo rozhodla, že tretia krajina alebo územie v tejto tretej krajine, alebo medzinárodnej organizácii sa môže uskutočniť, ak: medzinárodná organizácia nezabezpečujú primeranú úroveň ochrany v súlade s článkom 34 ods. 5, prevádzkovateľ ani sprostredkovateľ nemôže preniesť osobné údaje do tretej krajiny ani na územie v tejto tretej krajine, ani medzinárodnej organizácii, iba ak prevádzkovateľ alebo sprostredkovateľ uviedol v právne záväznom nástroji náležité záruky, pokiaľ ide o ochranu osobných údajov.

a)  sú v príslušných prípadoch v právne záväznom nástroji uvedené náležité záruky, alebo

b)  prevádzkovateľ či sprostredkovateľ uskutočnil posúdenie všetkých okolností prenosu osobných údajov a dospel k záveru, že existujú náležité záruky, pokiaľ ide o ochranu osobných údajov.

2.  Rozhodnutie o prenosoch podľa odseku 1 písm. b) prijímajú zamestnanci, ktorí na to boli riadne poverení. Dozorný orgán musí T tieto prenosy musia byť zdokumentované a táto dokumentácia sa musí dozornému orgánu sprístupniť na požiadanie povoliť pred prenosom. [PN 98]

Článok 36

Odchýlky

1.  Ak Komisia v súlade s článkom 34 ods. 5 rozhodne, že neexistuje primeraná úroveň ochrany, prenos osobných údajov do príslušnej tretej krajiny alebo medzinárodnej organizácii sa nemôže uskutočniť, pokiaľ oprávnené záujmy dotknutej osoby o zamedzenie akémukoľvek takému prenosu v konkrétnom prípade prevažujú nad verejným záujmom o prenos takýchto údajov.

2.  Odchylne od článkov 34 a 35 členské štáty stanovia, že prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii sa môže uskutočniť, len ak:

a)  prenos je nevyhnutný na ochranu zásadných záujmov dotknutej osoby či inej osoby; alebo

b)  prenos je nevyhnutný na zabezpečenie oprávnených záujmov dotknutej osoby, ak sa tak ustanovuje v právnych predpisoch členského štátu prenášajúceho osobné údaje; alebo

c)  prenos údajov je nevyhnutný na to, aby sa predišlo bezprostrednému a vážnemu ohrozeniu verejnej bezpečnosti členského štátu alebo tretej krajiny; alebo

d)  prenos je v jednotlivých prípadoch nevyhnutný na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania či stíhania alebo výkonu trestných sankcií; alebo

e)  prenos je v jednotlivých prípadoch nevyhnutný na stanovenie, uplatňovanie alebo obranu právnych nárokov súvisiacich s predchádzaním trestným činom, ich vyšetrovaním, odhaľovaním či stíhaním alebo výkonom trestných sankcií.

2a.  Spracovanie na základe odseku 2 musí mať právny základ v práve Únie alebo v práve členského štátu, ktorému prevádzkovateľ podlieha. Toto právo musí spĺňať cieľ verejného záujmu alebo musí byť potrebné na ochranu práv a slobôd iných, pričom rešpektuje podstatu práva na ochranu osobných údajov a musí byť primerané sledovanému legitímnemu cieľu.

2b.  Všetky prenosy osobných údajov, o ktorých sa rozhodlo na základe odchýlok, sú náležite opodstatnené a obmedzujú sa len na to, čo je nevyhnutne potrebné, pričom časté rozsiahle prenosy údajov nie sú povolené.

2c.  Rozhodnutie o prenosoch podľa odseku 2 musia prijímať zamestnanci, ktorí na to boli riadne poverení. Tieto prenosy sa musia zdokumentovať, pričom dokumentácia sa musí na žiadosť poskytnúť dozornému orgánu a zahŕňa dátum a čas prenosu, informácie o prijímajúcom orgáne, odôvodnenia prenosu a prenášané údaje. [PN 99]

Článok 37

Osobitné podmienky prenosu osobných údajov

Členské štáty stanovia, že prevádzkovateľ je povinný informovať príjemcu osobných údajov o akýchkoľvek obmedzeniach spracovania a podniknúť všetky primerané kroky s cieľom zabezpečiť, aby tieto obmedzenia boli dodržané. Prevádzkovateľ tiež oboznámi príjemcu osobných údajov o akejkoľvek aktualizácii, oprave alebo vymazaní údajov a naopak príjemca vydá zase oznámenie v prípade, že údaje boli následne prenesené. [PN 100]

Článok 38

Medzinárodná spolupráca na účely ochrany osobných údajov

1.  V súvislosti s tretími krajinami a medzinárodnými organizáciami Komisia a členské štáty podniknú náležité kroky s cieľom:

a)  vytvoriť účinné mechanizmy medzinárodnej spolupráce na uľahčenie zabezpečenie presadzovania právnych predpisov o ochrane osobných údajov; [PN 101]

b)  poskytnúť vzájomnú medzinárodnú pomoc pri presadzovaní právnych predpisov na ochranu osobných údajov, a to aj prostredníctvom notifikácií, postúpenia sťažností, pomoci pri vyšetrovaní a výmeny informácií, pričom sa uplatnia náležité záruky na ochranu osobných údajov a ďalšie základné práva a slobody;

c)  zapojiť príslušné zainteresované strany do diskusie a aktivít zameraných na prehĺbenie medzinárodnej spolupráce v oblasti presadzovania právnych predpisov na ochranu osobných údajov;

d)  podporovať výmenu a dokumentáciu v oblasti právnych predpisov na ochranu osobných údajov a praxe v tejto sfére;

da)  objasniť jurisdikčné konflikty a prekonzultovať ich s tretími krajinami. [PN 102]

2.  Komisia podnikne na účely odseku 1 náležité kroky s cieľom rozvoja vzťahov s tretími krajinami alebo medzinárodnými organizáciami, a to najmä s ich dozornými orgánmi, ak dospeje k záveru, že zaručujú primeranú úroveň ochrany v zmysle článku 34 ods. 3.

Článok 38a

Správa Komisie

Komisia v pravidelných intervaloch predkladá Európskemu parlamentu a Rade správu o uplatňovaní článkov 33 až 38. Prvá správa sa predloží najneskôr do štyroch rokov po nadobudnutí účinnosti tejto smernice. Na tento účel si Komisia môže vyžiadať informácie od členských štátov a dozorných orgánov, ktoré jej tieto informácie poskytnú bez zbytočného odkladu. Správa sa zverejní. [PN 103]

KAPITOLA VI

NEZÁVISLÉ DOZORNÉ ORGÁNY

ODDIEL 1

NEZÁVISLÉ POSTAVENIE

Článok 39

Dozorný orgán

1.  Každý členský štát stanoví, že jeden alebo viaceré verejné orgány sú zodpovedné za monitorovanie uplatňovania ustanovení prijatých podľa tejto smernice a za prispievanie k jej súdržnému uplatňovaniu v rámci Únie, a to s cieľom chrániť základné práva a slobody fyzických osôb v súvislosti so spracovaním ich osobných údajov a uľahčiť voľný tok osobných údajov v rámci Únie. Na tento účel dozorné orgány spolupracujú, a to vzájomne, ako aj s Komisiou.

2.  Členské štáty môžu stanoviť, že dozorný orgán, ktorý v nich bol zriadený na základe nariadenia (EÚ) č. ..../2014, je zodpovedný za úlohy dozorného orgánu, ktorý sa má zriadiť podľa odseku 1 tohto článku.

3.  V prípade, že je v členskom štáte zriadený viac než jeden dozorný orgán, členský štát určí, ktorý z nich plní funkcie jediného kontaktného miesta v záujme účinnej účasti týchto orgánov v Európskom výbore pre ochranu údajov.

Článok 40

Nezávislosť

1.  Členské štáty zabezpečia, aby dozorný orgán konal pri plnení svojich povinností a výkone zverených právomocí úplne nezávisle bez ohľadu na ustanovenia o spolupráci podľa kapitoly VII tejto smernice. [PN 104]

2.  Každý členský štát zabezpečí, aby členovia dozorného orgánu pri plnení svojich povinností od nikoho nežiadali ani neprijímali pokyny a zachovali úplnú nezávislosť a objektívnosť. [PN 105]

3.  Členovia dozorného orgánu sa zdržia akéhokoľvek konania nezlučiteľného s ich povinnosťami a počas svojho funkčného obdobia nevykonávajú žiadnu nezlučiteľnú platenú ani neplatenú pracovnú činnosť.

4.  Členovia dozorného orgánu sa po uplynutí svojho funkčného obdobia správajú pri prijímaní funkcií alebo výhod čestne a rozvážne.

5.  Každý členský štát zabezpečí, aby sa dozornému orgánu poskytli primerané ľudské, technické a finančné zdroje, priestory a infraštruktúra, ktoré sú potrebné na účinné plnenie povinností a vykonávanie právomocí vrátane tých, ktoré sa majú plniť a vykonávať v súvislosti so vzájomnou pomocou, spoluprácou a aktívnou účasťou v Európskom výbore pre ochranu údajov.

6.  Každý členský štát zabezpečí, aby dozorný orgán musel mať svojich vlastných zamestnancov, ktorí budú ustanovení do svojich pozícií vedúcim dozorného orgánu a ktorí budú podliehať jeho pokynom.

7.  Členské štáty zabezpečia, aby dozorný orgán podliehal finančnej kontrole, ktorá neovplyvní jeho nezávislosť. Členské štáty zabezpečia, aby mali dozorné orgány samostatné ročné rozpočty. Tieto rozpočty sa zverejnia.

Článok 41

Všeobecné podmienky členstva v dozorných orgánoch

1.  Členské štáty stanovia, že členov dozorného orgánu ustanovuje buď parlament alebo vláda príslušného členského štátu.

2.  Členovia sa musia vybrať spomedzi osôb, v prípade ktorých niet pochybností o ich nezávislosti a ktoré majú preukázané skúsenosti a zručnosti potrebné na plnenie svojich povinností.

3.  Povinnosti člena zanikajú uplynutím funkčného obdobia, vzdaním sa funkcie alebo jeho odvolaním v súlade s odsekom 5.

4.  Člena možno odvolať alebo pozbaviť jeho práva na dôchodok či iných dávok namiesto dôchodku rozhodnutím príslušného vnútroštátneho súdu, ak tento člen prestal spĺňať podmienky požadované na výkon svojich služobných povinností, resp. ak sa dopustil závažného pochybenia.

5.  V prípade uplynutia funkčného obdobia alebo vzdania sa funkcie si člen plní svoje povinnosti, až kým nie je ustanovený nový člen.

Článok 42

Pravidlá zriaďovania dozorného orgánu

Každý členský štát prostredníctvom zákona stanoví:

a)  zriadenie dozorného orgánu a jeho postavenie v súlade s článkami 39 a 40;

b)  kvalifikáciu, skúsenosti a zručnosti, ktoré sa požadujú na plnenie povinností člena dozorného orgánu;

c)  pravidlá a postupy ustanovovania členov dozorného orgánu, ako aj pravidlá, ktoré upravujú, aké konania či pracovné činnosti sú nezlučiteľné so služobnými povinnosťami týchto členov;

d)  funkčné obdobie členov dozorného orgánu, ktoré nesmie byť menej než štyri roky, a to s výnimkou prvého ustanovenia po nadobudnutí účinnosti tejto smernice, ktoré môže mať kratšie trvanie;

e)  či členov dozorného orgánu možno ustanoviť do tejto funkcie opätovne;

f)  predpisy a spoločné podmienky upravujúce povinnosti členov a zamestnancov dozorného orgánu;

g)  pravidlá a postupy pri ukončení plnenia povinností člena dozorného orgánu, a to aj pre prípady, keď členovia prestali spĺňať podmienky požadované na výkon svojich povinností alebo sa dopustili závažného pochybenia.

Článok 43

Služobné tajomstvo

Členské štáty stanovia, že členovia a zamestnanci dozorného orgánu podliehajú počas funkčného obdobia či zamestnania, ako aj po ich jeho uplynutí, a v súlade s vnútroštátnymi právnymi predpismi a praxou povinnosti zachovávať služobné tajomstvo, pokiaľ ide o dôverné informácie, o ktorých sa dozvedeli pri plnení svojich služobných povinností, pričom svoje povinnosti vykonávajú nezávisle a transparentne, ako je uvedené v tejto smernici. [PN 106]

Oddiel 2

Povinnosti a právomoci

Článok 44

Pôsobnosť

1.  Členské štáty stanovia, že každý dozorný orgán vykonáva je oprávnený plniť si povinnosti a vykonávať na území svojho členského štátu právomoci, ktoré mu boli zverené v súlade s touto smernicou. [PN 107]

2.  Členské štáty stanovia, že dozorný orgán nemá právomoc dohliadať na operácie spracúvania na súdoch, keď tieto plnia svoje súdne funkcie.

Článok 45

Úlohy

1.  Členské štáty stanovia, že dozorný orgán:

a)  monitoruje a zabezpečuje uplatňovanie ustanovení prijatých podľa tejto smernice a jej vykonávacích opatrení;

b)  prejednáva prerokúva sťažnosti, ktoré podala akákoľvek dotknutá osoba, resp. združenie zastupujúce dotknutú osobu a ňou riadne splnomocnené v súlade s článkom 50, v náležitom rozsahu vyšetruje predmetnú záležitosť, informuje dotknutú osobu či združenie o pokroku a výsledkoch sťažnosti, pričom tak koná v primeranej lehote, a to najmä v tých prípadoch, keď je nutné ďalšie vyšetrovanie alebo koordinácia s iným dozorným orgánom;

c)  preveruje zákonnosť spracovania údajov podľa článku 14 a informuje dotknutú osobu v primeranej lehote o výsledku tohto preverenia, resp. o dôvodoch, pre ktoré k prevereniu nedošlo;

d)  poskytuje si ostatnými dozornými orgánmi vzájomnú pomoc a zabezpečuje súdržnosť uplatňovania a presadzovania ustanovení prijatých podľa tejto smernice;

e)  na vlastný podnet, na základe sťažnosti alebo na žiadosť iného dozorného orgánu uskutočňuje vyšetrovania, kontroly a audity a v primeranej lehote informuje príslušnú dotknutú osobu, ak podala sťažnosť, o výsledku tohto vyšetrovania;

f)  monitoruje príslušný vývoj, pokiaľ má dosah na ochranu osobných údajov, a to najmä vývoj informačných a komunikačných technológií;

g)  sa oslovuje inštitúciami a subjektmi členského štátu s cieľom konzultovať prekonzultovať právne a administratívne opatrenia súvisiace s ochranou práv a slobôd fyzických osôb týkajúcich sa spracovania osobných údajov;

h)  sa oslovuje s cieľom konzultovať prekonzultovať operácie spracúvania podľa článku 26;

i)  sa zúčastňuje na činnosti Európskeho výboru pre ochranu údajov.

2.  Každý dozorný orgán podporuje zvyšovanie verejnej informovanosti o rizikách, pravidlách, zárukách a právach v súvislosti so spracovaním osobných údajov. Osobitná pozornosť sa má venovať najmä činnostiam špecificky zameraným na deti.

3.  Dozorný orgán poskytne na požiadanie poradenstvo ktorejkoľvek dotknutej osobe v súvislosti s výkonom jej práv vymedzených v ustanoveniach prijatých podľa tejto smernice, pričom v prípade potreby na tento účel spolupracuje s dozornými orgánmi v iných členských štátoch.

4.  Na účely podávania sťažností uvedených v odseku 1 písm. b) dozorný orgán poskytne formulár, ktorý možno vyplniť elektronicky, bez toho, aby boli vylúčené iné prostriedky komunikácie.

5.  Členské štáty ustanovia, že plnenie úloh dozorného orgánu bude pre dotknutú osobu bezplatné.

6.  V prípade, že žiadosti sú neprimerané zjavne prehnané, a to najmä pre ich opakujúci sa charakter, môže dozorný orgán požadovať primeraný poplatok resp. môže odmietnuť vykonať úkon požadovaný dotknutou osobou. Takýto poplatok nepresiahne náklady na požadovanú činnosť. Bremeno preukázania neprimeraného zjavne prehnaného charakteru žiadosti znáša dozorný orgán. [PN 108]

Článok 46

Právomoci

1.  Členské štáty stanovia, že každý dozorný orgán musí mať predovšetkým tieto právomoci právomoc:

a)  vyšetrovacie právomoci, ako je právo prístupu k údajom tvoriacim predmet operácií spracúvania a právo zhromažďovať všetky informácie potrebné na plnenie jeho dozorných povinností oznamovať prevádzkovateľovi či sprostredkovateľovi domnelé porušenie ustanovení o spracovaní osobných údajov a v prípade potreby prevádzkovateľovi či sprostredkovateľovi nariadiť, aby konkrétnym spôsobom napravili toto porušenie s cieľom zlepšiť ochranu dotknutej osoby;

b)  účinné právomoci intervencie, ako napríklad vydávanie stanovísk pred uskutočnením spracúvania a zabezpečovanie primeraného uverejnenia týchto stanovísk, nariadenie obmedzenia, výmazu alebo likvidácie údajov, ukladanie dočasného alebo trvalého zákazu spracúvania, upozorňovanie prevádzkovateľa alebo jeho napomínanie, resp. predkladanie predmetnej záležitosti národným parlamentom alebo iným politickým inštitúciám nariadiť prevádzkovateľovi, aby vyhovel žiadosti dotknutej osoby o uplatnenie jej práv podľa tejto smernice vrátane práv, ktoré sú stanovené v článkoch 12 až 17, v prípadoch, keď boli tieto žiadosti zamietnuté pre porušenie týchto ustanovení;

c)  právomoc zúčastniť sa na súdnych konaniach v prípade, že došlo k porušeniu ustanovení prijatých podľa tejto smernice, resp. upozorniť súdne orgány na takéto porušenie. nariadiť prevádzkovateľovi či sprostredkovateľovi, aby poskytol informácie podľa článku 10 ods. 1 a 2 a článkov 11, 28 a 29;

d)  zabezpečiť súlad so stanoviskami ku konzultáciám vopred uvedeným v článku 26;

e)  varovať alebo napomenúť prevádzkovateľa či sprostredkovateľa;

f)  nariadiť opravu, výmaz alebo likvidáciu všetkých údajov, ak boli spracované v rozpore s ustanoveniami prijatými podľa tejto smernice, a oznámiť tieto opatrenia tretím stranám, ktorým boli údaje sprístupnené;

g)  nariadiť dočasný alebo trvalý zákaz spracovania;

h)  pozastaviť tok údajov smerom k príjemcovi v tretej krajine alebo medzinárodnej organizácii,

i)  informovať národné parlamenty, vládu alebo iné verejné inštitúcie, ako aj verejnosť o tejto veci.

2.  Každý dozorný orgán má vyšetrovaciu právomoc, ktorá umožňuje, aby mu prevádzkovateľ či sprostredkovateľ poskytol:

a)  prístup ku všetkým osobným údajom a všetkým informáciám potrebným na plnenie jeho dozorných povinností;

b)  prístup do všetkých jeho priestorov vrátane všetkých zariadení a prostriedkov na spracúvanie údajov v súlade s vnútroštátnymi právnymi predpismi, ak existujú opodstatnené dôvody domnievať sa, že v týchto priestoroch je vykonávaná činnosť v rozpore s ustanoveniami prijatými podľa tejto smernice, a to bez toho, aby bolo dotknuté súdne povolenie, ak si ho vyžaduje vnútroštátne právo;

3.  Bez toho, aby bol dotknutý článok 43, členský štát stanoví, že sa na žiadosť dozorných orgánov nevydajú žiadne dodatočné požiadavky na utajenie.

4.  Členské štáty môžu stanoviť, aby toto dodatočné bezpečnostné vyšetrovanie v súlade s vnútroštátnymi právnymi predpismi bolo povinné na získanie prístupu k informáciám na podobnom stupni utajenia ako EU CONFIDENTIAL alebo vyššej. Ak v súlade s právom členského štátu príslušného dozorného orgánu nie je potrebné žiadne dodatočné bezpečnostné vyšetrovanie, musia to uznať všetky ostatné členské štáty.

5.  Každý dozorný orgán má právomoc upozorniť justičné orgány na porušenie ustanovení prijatých v súlade s touto smernicou a obrátiť sa na súd a podať žalobu na príslušnom súde podľa článku 53 ods. 2.

6.  Každý dozorný orgán má právomoc ukladať sankcie, pokiaľ ide o správne priestupky. [PN 109]

Článok 46a

Oznamovanie porušení

1.  Členské štáty stanovia, že dozorné orgány zohľadnia usmernenie vydané Európskym výborom pre ochranu údajov podľa článku 66 ods. 4b nariadenia (EÚ) .../2014 a zavedú účinné mechanizmy na podporu podávania dôverných správ o porušení ustanovení tejto smernice.

2.  Členské štáty stanovia, že príslušné orgány zavedú účinné mechanizmy na podporu podávania dôverných správ o porušení ustanovení tejto smernice. [PN 110]

Článok 47

Správa o činnosti

Členské štáty stanovia, že každý dozorný orgán vypracúva ročnú aspoň každé dva roky správu o svojej činnosti. Správa sa sprístupní verejnosti, príslušnému parlamentu, Komisii a Európskemu výboru pre ochranu údajov. Obsahuje informácie o rozsahu, v akom príslušné orgány v danej jurisdikcii pristupovali k údajom v držbe súkromných subjektov s cieľom vyšetrovať alebo stíhať trestné činy. [PN 111]

KAPITOLA VII

SPOLUPRÁCA

Článok 48

Vzájomná pomoc

1.  Členské štáty stanovia, že dozorné orgány si poskytujú vzájomnú pomoc v záujme súdržného vykonávania a uplatňovania ustanovení prijatých podľa tejto smernice a zavedú opatrenia na účinnú vzájomnú spoluprácu. Vzájomná pomoc sa týka najmä žiadostí o informácie a opatrení v oblasti dozoru, ako sú napríklad žiadosti o uskutočnenie konzultácií vopred, kontroly a vyšetrovania.

2.  Členské štáty stanovia, že dozorný orgán je povinný prijať všetky príslušné opatrenia, ktoré sú potrebné na účely odpovede na žiadosť iného dozorného orgánu. Takéto opatrenia môžu zahŕňať najmä prenos príslušných informácií alebo opatrenia na presadzovanie, ktorých cieľom je bezodkladne zastaviť alebo zakázať operácie spracúvania, ktoré sú v rozpore s touto smernicou, najneskôr však do jedného mesiaca po doručení žiadosti.

2a.  Žiadosť o pomoc obsahuje všetky nevyhnutné informácie vrátane účelu a dôvodov žiadosti. Vymieňané informácie sa použijú iba v súvislosti s vecou, ku ktorej boli vyžiadané.

2b.  Ak je dozornému orgánu adresovaná žiadosť o pomoc, tento orgán nemôže odmietnuť vyhovieť jej s výnimkou toho, keď:

a)  nie je príslušný na vybavenie žiadosti; or

b)  vyhovenie žiadosti by bolo nezlučiteľné s ustanoveniami prijatými podľa tejto smernice.

3.  Požiadaný dozorný orgán poskytne žiadajúcemu dozornému orgánu informácie o výsledkoch opatrení prijatých na účely odpovede žiadajúcemu dozornému orgánu, prípadne o pokroku dosiahnutom v tejto súvislosti, resp. o opatreniach prijatých na tento účel.

3a.  Dozorné orgány poskytnú informácie požadované inými dozornými orgánmi elektronickými prostriedkami a v čo najkratšom možnom čase, pričom použijú štandardizovaný formát.

3b.  Za opatrenie vykonané na základe žiadosti o vzájomnú pomoc sa neúčtuje žiadny poplatok. [PN 112]

Článok 48a

Spoločné operácie

1.  Členské štáty stanovia, že s cieľom posilniť spoluprácu a vzájomnú pomoc môžu dozorné orgány vykonávať spoločné opatrenia presadzovania a iné spoločné operácie, v rámci ktorých sa členovia alebo zamestnanci dozorných orgánov iných členských štátov zúčastňujú na operáciách na území členského štátu.

2.  Členské štáty stanovia, že v prípadoch, keď je pravdepodobné, že by operácie spracovania mohli mať vplyv na dotknuté osoby v inom členskom štáte alebo v iných členských štátoch, môže byť príslušný dozorný orgán vyzvaný zúčastniť sa na spoločných operáciách. Príslušný dozorný orgán môže vyzvať dozorné orgány týchto jednotlivých členských štátov, aby sa zúčastnili na príslušných operáciách a aby v prípade, že sú vyzvané, bezodkladne reagovali na žiadosť dozorného orgánu o zapojenie sa do operácií.

3.  Členské štáty upravia praktické aspekty konkrétnych činností uskutočňovaných v rámci spolupráce. [PN 113]

Článok 49

Úlohy Európskeho výboru pre ochranu údajov

1.  Európsky výbor pre ochranu údajov zriadený nariadením č. (EÚ)…./2012 2014 plní v súvislosti so spracúvaním údajov patriacim do rozsahu pôsobnosti tejto smernice tieto úlohy:

a)  poskytuje Komisii inštitúciám Únie poradenstvo v súvislosti s akýmikoľvek otázkami týkajúcimi sa ochrany osobných údajov v Únii, a to aj v súvislosti s akýmikoľvek návrhmi na zmenu a doplnenie tejto smernice;

b)  na žiadosť Komisie, Európskeho parlamentu alebo Rady, alebo na vlastný podnet či na podnet niektorého zo svojich členov skúma akúkoľvek otázku týkajúcu sa uplatňovania ustanovení prijatých podľa tejto smernice a vydáva usmernenia, odporúčania a najlepšie postupy určené dozorným orgánom v záujme podpory súdržného uplatňovania týchto ustanovení vrátane využívania právomocí v oblasti presadzovania;

c)  preskúmava praktické uplatňovanie usmernení, odporúčaní a osvedčených postupov uvedených v písmene b) a v pravidelných intervaloch o nich podáva Komisii správu;

d)  predkladá Komisii stanovisko o úrovni ochrany v tretích krajinách a medzinárodných organizáciách;

e)  podporuje spoluprácu a účinnú bilaterálnu a multilaterálnu výmenu informácií a postupov medzi dozornými orgánmi, vrátane koordinácie spoločných operácií a iných spoločných aktivít, ak sa tak rozhodne na žiadosť jedného alebo viacerých dozorných orgánov;

f)  podporuje spoločné programy odborného vzdelávania a uľahčuje výmeny zamestnancov medzi dozornými orgánmi, a to prípadne aj pokiaľ ide o zamestnancov dozorných orgánov tretích krajín či medzinárodných organizácií;

g)  podporuje výmenu poznatkov a dokumentácie s dozornými orgánmi zameranými na ochranu osobných údajov z celého sveta, a to aj pokiaľ ide o právne predpisy na ochranu osobných údajov a prax v tejto sfére.;

ga)  poskytuje stanovisko Komisii pri príprave delegovaných a vykonávacích aktov podľa tejto smernice.

2.  V prípade, že Európsky parlament, Rada alebo Komisia žiada Európsky výbor pre ochranu údajov o poskytnutie poradenstva, môže stanoviť časovú lehotu, v rámci ktorej je výbor povinný toto poradenstvo poskytnúť, pričom sa zohľadní naliehavosť predmetnej záležitosti.

3.  Európsky výbor pre ochranu údajov predkladá svoje stanoviská, usmernenia, odporúčania a najlepšie postupy Komisii a výboru podľa článku 57 ods. 1 a takisto tieto dokumenty zverejňuje.

4.  Komisia informuje Európsky výbor pre ochranu údajov o tom, aké opatrenia prijala na základe jeho stanovísk, usmernení, odporúčaní a najlepších postupov. [PN 114]

KAPITOLA VIII

ROSTRIEDKY NÁPRAVY, ZODPOVEDNOSŤ A SANKCIE

Článok 50

Právo podať sťažnosť dozornému orgánu

1.  Bez toho, aby bol dotknutý akýkoľvek iný správny alebo súdny prostriedok nápravy, členské štáty stanovia pre každú dotknutú osobu právo na podanie sťažnosti dozornému orgánu v ktoromkoľvek členskom štáte, ak sa dotknutá osoba domnieva, že spracúvanie osobných údajov, ktoré sa jej týkajú, nie je v súlade s ustanoveniami prijatými podľa tejto smernice.

2.  Členské štáty stanovia pre akýkoľvek subjekt, organizáciu či združenie, ktorých cieľom je ochrana práv a záujmov dotknutých osôb v súvislosti s ochranou ich osobných údajov a konajúce vo verejnom záujme, ktoré boli riadne zriadené podľa právnych predpisov členského štátu, právo podať sťažnosť v mene jednej či viacerých dotknutých osôb dozornému orgánu v ktoromkoľvek členskom štáte, ak sa domnievajú, že v dôsledku spracúvania osobných údajov došlo k porušeniu práv dotknutých osôb podľa tejto smernice. Táto organizácia či združenie musí byť riadne splnomocnené dotknutou osobou či dotknutými osobami. [PN 115]

3.  Členské štáty stanovia pre akýkoľvek subjekt, organizáciu či združenie podľa odseku 2, právo podať, a to nezávisle od sťažnosti dotknutej osoby, sťažnosť dozornému orgánu v ktoromkoľvek členskom štáte, ak sa domnievajú, že došlo k porušeniu ochrany osobných údajov.

Článok 51

Právo na súdny opravný prostriedok nápravy voči dozornému orgánu

1.  Členské štáty stanovia pre každú fyzickú alebo právnickú osobu právo na súdny prostriedok nápravy voči rozhodnutiam dozorného orgánu, ktoré sa ich týkajú.

2.  Členské štáty stanovia, že Kkaždá dotknutá osoba má právo na súdny opravný prostriedok nápravy ukladajúci dozornému orgánu povinnosť konať vo veci sťažnosti, ak nebolo prijaté rozhodnutie potrebné na ochranu práv dotknutej osoby alebo ak dozorný orgán neinformoval dotknutú osobu do troch mesiacov o pokroku vo veci sťažnosti či o jej výsledku podľa článku 45 ods. 1 písm. b).

3.  Členské štáty stanovia, že návrh na začatie konania proti dozornému orgánu sa podáva na súdoch členského štátu, v ktorom je tento dozorný orgán zriadený.

3a.  Členské štáty zabezpečia presadzovanie konečných rozhodnutí súdom uvedeným v tomto článku. [PN 116]

Článok 52

Právo na súdny prostriedok nápravy voči prevádzkovateľovi či sprostredkovateľovi

1.  Bez toho, aby bol dotknutý akýkoľvek dostupný správny prostriedok nápravy vrátane práva na podanie sťažnosti dozornému orgánu, členské štáty stanovia pre každú fyzickú osobu právo na súdny prostriedok nápravy, ak sa domnieva, že v dôsledku spracúvania jej osobných údajov v rozpore s ustanoveniami prijatými podľa tejto smernice došlo k porušeniu jej práv stanovených v ustanoveniach prijatých podľa tejto smernice.

1a.  Členské štáty zabezpečia presadzovanie konečných rozhodnutí súdom uvedeným v tomto článku.[PN 117]

Článok 53

Spoločné pravidlá pre súdne konania

1.  Členské štáty stanovia pre akýkoľvek subjekt, organizáciu či združenie uvedené v článku 50 ods. 2 právo uplatňovať práva uvedené v článkoch 51 a, 52 v mene jednej či viacerých a 54, pokiaľ ich na to poverila jedna alebo viacero dotknutých osôb. [PN 118]

2.  Členské štáty stanovia, že K každý dozorný orgán bude mať právo zúčastniť sa na súdnych konaniach a podať návrh na začatie súdneho konania na účely presadzovania ustanovení prijatých podľa tejto smernice alebo na zabezpečenie súdržnosti ochrany osobných údajov v rámci Únie. [PN 119]

3.  Členské štáty zabezpečia, aby súdne prostriedky nápravy, ktoré sú dostupné podľa vnútroštátnych právnych predpisov, umožňovali rýchle prijímanie opatrení vrátane predbežných opatrení, určených na ukončenie akéhokoľvek údajného porušovania a na predchádzanie ďalšiemu poškodzovaniu príslušných záujmov.

Článok 54

Zodpovednosť a právo na náhradu

1.  Členské štáty stanovia, že každá osoba, ktorá utrpela škodu vrátane nefinančnej ujmy v dôsledku nezákonnej operácie spracúvania alebo akéhokoľvek konania nezlučiteľného s ustanoveniami prijatými podľa tejto smernice, má právo dostať žiadať od prevádzkovateľa či sprostredkovateľa náhradu utrpenej škody. [PN 120]

2.  Ak je do spracovania zapojený viac než jeden prevádzkovateľ či sprostredkovateľ, je za celú sumu náhrady škody zodpovedný spoločne a nerozdielne každý prevádzkovateľ či sprostredkovateľ.

3.  Prevádzkovateľ či sprostredkovateľ môže byť úplne alebo čiastočne zbavený tejto zodpovednosti, ak poskytne dôkaz o tom, že nenesie zodpovednosť za udalosť, ktorá bola príčinou vzniknutej škody.

Článok 55

Sankcie

Členské štáty stanovia pravidlá o sankciách uplatniteľných na porušenia ustanovení prijatých podľa tejto smernice a prijmú všetky opatrenia potrebné na zabezpečenie ich vykonávania. Stanovené sankcie musia byť účinné, primerané a odrádzajúce.

KAPITOLA VIIIa

ODOVZDÁVANIE OSOBNÝCH ÚDAJOV INÝM STRANÁM

Článok 55a

Prenos osobných údajov iným orgánom alebo súkromným osobám v Únii

1.  Členské štáty zabezpečia, aby prevádzkovateľ neprenášal osobné údaje fyzickej alebo právnickej osobe, na ktorú sa nevzťahujú ustanovenia prijaté na základe tejto smernice, ani aby nežiadal sprostredkovateľa, aby prenášal osobné údaje fyzickej alebo právnickej osobe, iba ak:

a)  prenos je v súlade s právom Únie alebo právom členského štátu; a

b)  príjemca má sídlo v niektorom členskom štáte Európskej únie; a

c)  prenosu nebránia žiadne oprávnené konkrétne záujmy dotknutej osoby; a

d)  prenos je v konkrétnom prípade nevyhnutný pre prevádzkovateľa prenášajúceho osobné údaje na:

i)  vykonávanie úlohy, ktorou bol poverený na základe práva; alebo

ii)  predchádzanie bezprostrednému a vážnemu ohrozeniu verejnej bezpečnosti, alebo

iii)  predchádzanie vážnemu porušeniu práv fyzických osôb.

2.  Prevádzkovateľ informuje príjemcu o účele, na ktorý môžu byť osobné údaje výlučne spracované.

3.  Prevádzkovateľ informuje o takýchto prenosoch dozorný orgán.

4.  Prevádzkovateľ informuje príjemcu o obmedzeniach spracovania a zabezpečí, aby tieto obmedzenia boli rešpektované. [PN 121]

KAPITOLA IX

DELEGOVANÉ AKTY A VYKONÁVACIE AKTY

Článok 56

Vykonávanie delegovania právomoci

1.  Komisii sa udeľuje P právomoc prijímať delegované akty sa Komisii udeľuje za podmienok stanovených v tomto článku.

2.  Delegovanie právomoci Právomoc prijímať delegované akty uvedené článku 25a ods. 7, v článku 28 ods. 5, článku 34 ods. 3 a článku 34 ods. 5 sa Komisii udeľuje na dobu neurčitú od dátumu nadobudnutia účinnosti tejto smernice.

3.  Delegovanie právomoci uvedené v článku 25a ods. 7, článku 28 ods. 5 , článku 34 ods. 3 a článku 34 ods. 5 môže Európsky parlament alebo Rada kedykoľvek odvolať. Rozhodnutím o odvolaní sa ukončuje delegovanie právomoci v ňom uvedenej. Rozhodnutie nadobúda účinnosť dňom nasledujúcim po jeho uverejnení v Úradnom vestníku Európskej únie alebo k neskoršiemu dátumu, ktorý je v ňom určený. Nie je ním dotknutá platnosť delegovaných aktov, ktoré už nadobudli účinnosť.

4.  Komisia oznamuje delegovaný akt hneď po prijatí súčasne Európskemu parlamentu a Rade súčasne, a to hneď po jeho prijatí.

5.  Delegovaný akt prijatý podľa článku 25a ods. 7, článku 28 ods. 5, článku 34 ods. 3 a článku 34 ods. 5 nadobudne účinnosť, len ak Európsky parlament alebo Rada voči nemu nevzniesli námietku v lehote dvoch šiestich mesiacov odo dňa oznámenia uvedeného aktu Európskemu parlamentu a Rade alebo ak pred uplynutím uvedenej lehoty Európsky parlament a Rada informovali Komisiu o svojom rozhodnutí nevzniesť námietku. Na podnet Európskeho parlamentu alebo Rady sa táto lehota predĺži o dva mesiace šesť mesiacov. [PN 122]

Článok 56a

Lehota na prijatie delegovaných aktov

Komisia prijme delegované akty podľa článku 25a ods. 7 a článku 28 ods. 5 do [šesť mesiacov pred dátumom uvedeným v článku 62 ods. 1]. Komisia môže túto lehotu predĺžiť o šesť mesiacov. [PN 123]

Článok 57

Postup výboru

1.  Komisii pomáha výbor. Tento výbor je výborom v zmysle nariadenia (EÚ) č. 182/2011.

2.  Ak sa odkazuje na tento odsek, uplatňuje sa článok 5 nariadenia (EÚ) č. 182/2011.

3.  Ak sa odkazuje na tento odsek, uplatňuje sa článok 8 nariadenia (EÚ) č. 182/2011 v spojení s jeho článkom 5. [PN 124]

KAPITOLA X

ZÁVEREČNÉ USTANOVENIA

Článok 58

Zrušujúce ustanovenia

1.  Rámcové rozhodnutie 2008/977/SVV sa zrušuje.

2.  Odkazy na zrušené rámcové rozhodnutie uvedené v odseku 1 sa považujú za odkazy na túto smernicu.

Článok 59

Vzťah k skôr prijatým predpisom Únie o justičnej spolupráci v trestných veciach a policajnej spolupráci

Osobitné ustanovenia na ochranu osobných údajov pri spracúvaní osobných údajov príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania či stíhania alebo na účely výkonu trestných sankcií, ktoré sú obsiahnuté v aktoch Únie prijatých pred dátumom nadobudnutia účinnosti tejto smernice a ktoré upravujú spracúvanie osobných údajov medzi členskými štátmi a prístup určených orgánov členských štátov do informačných systémov zriadených podľa zmlúv v rámci rozsahu pôsobnosti tejto smernice, zostávajú nedotknuté.

Článok 60

Vzťah k skôr uzatvoreným medzinárodným dohodám v oblasti justičnej spolupráce v trestných veciach a policajnej spolupráce

Medzinárodné dohody uzatvorené členskými štátmi pred nadobudnutím účinnosti tejto smernice sa v prípade potreby zmenia a doplnia do piatich rokov po nadobudnutí účinnosti tejto smernice.

Článok 61

Hodnotenie

1.  Komisia po tom, ako požiada o stanovisko Európsky výbor pre ochranu údajov, zhodnotí uplatňovanie a vykonávanie tejto smernice. Koordinuje svoj postup v úzkej spolupráci s členskými štátmi a zahrnie ohlásené i neohlásené návštevy. Európsky parlament a Rada sú informovaní o priebehu celého procesu a majú prístup k príslušným dokumentom.

2.  Komisia do troch dvoch rokov po nadobudnutí účinnosti tejto smernice preskúma ďalšie akty prijaté Európskou úniou, ktoré upravujú spracúvanie osobných údajov príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania či stíhania alebo na účely výkonu trestných sankcií, a to predovšetkým akty prijaté Úniou a uvedené v článku 59, a vypracuje primerané návrhy s cieľom posúdiť potrebu ich zladenia s touto smernicou a podľa potreby vypracovať návrhy na ich zmenu a doplnenie v záujme zabezpečenia súdržného prístupu k ochrane osobných údajov zabezpečiť jednotné a homogénne právne pravidlá týkajúce sa spracúvania osobných údajov príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania či stíhania alebo na účely výkonu trestných sankcií v rámci rozsahu pôsobnosti tejto smernice.

2a.  Komisia predloží do dvoch rokov od nadobudnutia účinnosti tejto smernice primerané návrhy na revíziu právneho rámca uplatniteľného na spracúvanie osobných údajov inštitúciami, orgánmi, úradmi a agentúrami Únie na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií s cieľom zabezpečiť jednotné a homogénne právne pravidlá týkajúce sa základného práva na ochranu osobných údajov v Únii.

3.  Komisia v pravidelných intervaloch predkladá Európskemu parlamentu a Rade správy o hodnotení a preskúmaní tejto smernice v zmysle odseku 1. Prvé správy sa predložia najneskôr do štyroch rokov po nadobudnutí účinnosti tejto smernice. Ďalšie správy sa budú predkladať každé štyri roky. Komisia v prípade potreby predloží príslušné návrhy na zmenu tejto smernice a zladenie ostatných právnych predpisov. Správa sa zverejní. [PN 125]

Článok 62

Vykonávanie

1.  Členské štáty prijmú a uverejnia najneskôr do ...(12)zákony, iné právne predpisy a správne opatrenia potrebné na dosiahnutie súladu s touto smernicou. Komisii bezodkladne oznámia znenie týchto ustanovení.

Tieto ustanovenia sa uplatňujú od ...*.

Členské štáty uvedú priamo v prijatých ustanoveniach alebo pri ich úradnom uverejnení odkaz na túto smernicu. Podrobnosti o odkaze upravia členské štáty.

2.  Členské štáty oznámia Komisii znenie hlavných ustanovení vnútroštátnych právnych predpisov, ktoré prijmú v oblasti pôsobnosti tejto smernice.

Článok 63

Nadobudnutie účinnosti a uplatňovanie

Táto smernica nadobúda účinnosť prvým dňom po jej uverejnení v Úradnom vestníku Európskej únie.

Článok 64

Adresáti

Táto smernica je určená členským štátom.

V ...

Za Európsky parlament Za Radu

predseda predseda

(1) Ú. v. EÚ C 192, 30.6.2012, s. 7.
(2) Pozícia Európskeho parlamentu z 12. marca 2014.
(3)Smernica Európskeho parlamentu a Rady 95/46/EHS z 24. októbra 1995 o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov (Ú. v. EÚ L 281, 23.11.1995, s. 31).
(4)Rámcové rozhodnutie Rady 2008/977/SVV z 27. novembra 2008 o ochrane osobných údajov spracúvaných v rámci policajnej a justičnej spolupráce v trestných veciach (Ú. v. EÚ L 350, 30.12.2008, s. 60).
(5) Nariadenie Európskeho parlamentu a Rady (ES) č. 45/2001 z 18. decembra 2000 o ochrane jednotlivcov so zreteľom na spracovanie osobných údajov inštitúciami a orgánmi Spoločenstva a o voľnom pohybe takýchto údajov (Ú. v. ES L 8, 12.1.2001, s. 1).
(6)Nariadenie Európskeho parlamentu a Rady (EÚ) č. 182/2011 zo 16. februára 2011, ktorým sa ustanovujú pravidlá a všeobecné zásady mechanizmu, na základe ktorého členské štáty kontrolujú vykonávanie vykonávacích právomocí Komisie (Ú. v. EÚ L 55, 28.02.2011, s. 13).
(7)Smernica Európskeho parlamentu a Rady 2011/93/EÚ z 13. decembra 2011 o boji proti sexuálnemu zneužívaniu a sexuálnemu vykorisťovaniu detí a proti detskej pornografii, ktorou sa nahrádza rámcové rozhodnutie Rady 2004/68/SVV (Ú. v. EÚ L 335, 17.12.2011, s. 1).
(8)Ú. v. EÚ L 176, 10.7.1999, s. 36.
(9)Ú. v. EÚ L 53, 27.2.2008, s. 52.
(10)Ú. v. EÚ L 160, 18.6.2011, s. 21.
(11) Ú. v. EÚ C 369, 17.12.2011, s. 14.
(12) Dva roky od nadobudnutia účinnosti tejto smernice.

Právne upozornenie - Politika ochrany súkromia