DŮVODOVÁ ZPRÁVA

1. SOUVISLOSTI NÁVRHU

Tato důvodová zpráva blíže představuje navrhovaný nový právní rámec pro ochranu osobních údajů v EU, jak stanoví sdělení KOM(2012) 9 v konečném znění[1]. Navrhovaný nový právní rámec sestává ze dvou legislativních návrhů:

– návrhu nařízení Evropského parlamentu a Rady o ochraně fyzických osob v souvislosti se zpracováváním osobních údajů a o volném pohybu těchto údajů (obecného nařízení o ochraně údajů) a

– návrhu směrnice Evropského parlamentu a Rady o ochraně fyzických osob v souvislosti se zpracováváním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů a o volném pohybu těchto údajů[2].

Tato důvodová zpráva se týká legislativního návrhu obecného nařízení o ochraně údajů.

Základem stávajících právních předpisů EU o ochraně osobních údajů je směrnice 95/46/ES[3], která byla přijata v roce 1995 a zaměřovala se na dva cíle: chránit základní právo na ochranu údajů a zaručit volný pohyb osobních údajů mezi členskými státy. Směrnice byla doplněna rámcovým rozhodnutím Rady 2008/977/SVV, které jako obecný nástroj na úrovni Unie upravuje ochranu osobních údajů v oblasti policejní a justiční spolupráce v trestních věcech[4].

Rychlý technologický rozvoj staví ochranu osobních údajů před nové výzvy. Objem sdílených a shromažďovaných údajů dramaticky roste. Technologie umožňují jak soukromým společnostem, tak orgánům veřejné moci využívat při provádění jejich činností osobní údaje v nebývalém rozsahu. Jednotlivé osoby stále častěji zveřejňují své osobní údaje i v globálním měřítku. Technologie změnily ekonomiku i společenský život.

Budování důvěryhodnosti internetového prostředí má pro hospodářský rozvoj klíčový význam. Nedostatek důvěry vede k tomu, že se spotřebitelé zdráhají nakupovat on-line a využívat nové služby. Mohlo by tedy dojít ke zpomalení rozvoje inovativního využívání nových technologií. Ochrana osobních údajů proto hraje ústřední roli v Digitální agendě pro Evropu[5] a ještě obecněji ve strategii Evropa 2020[6].

V čl. 16 odst. 1 Smlouvy o fungování Evropské unie (SFEU), který byl zaveden Lisabonskou smlouvou, je zakotvena zásada, že každý má právo na ochranu osobních údajů, které se jej týkají. Kromě toho Lisabonská smlouva zavedla s čl. 16 odst. 2 SFEU zvláštní právní základ pro přijetí pravidel ochrany osobních údajů. V článku 8 Listiny základních práv EU je ochrana osobních údajů zakotvena jako základní právo.

Evropská rada vyzvala Komisi, aby zhodnotila fungování nástrojů EU pro ochranu údajů a v případě potřeby předložila další legislativní a nelegislativní iniciativy[7]. Evropský parlament ve svém usnesení o Stockholmském programu[8] uvítal návrh komplexního režimu ochrany údajů v EU a mimo jiné vyzval k revizi rámcového rozhodnutí. Komise ve svém Akčním plánu provádění Stockholmského programu[9] zdůraznila potřebu soustavného uplatňování základního práva na ochranu osobních údajů ve všech politikách EU.

Ve svém sdělení „Komplexní přístup k ochraně osobních údajů v Evropské unii“[10] Komise dospěla k závěru, že pokud jde o základní právo na ochranu osobních údajů, potřebuje EU komplexnější a jednotnější politiku.

Cíle a zásady stávajícího rámce zůstávají v platnosti, rámec však nebrání nejednotnému uplatňování ochrany osobních údajů v rámci celé Unie, právní nejistotě a rozšířenému pocitu veřejnosti, že zejména s internetovými činnostmi jsou spojena značná rizika[11]. Proto nadešel čas vytvořit pevnější a jednotnější rámec pro ochranu údajů v EU, jenž se bude opírat o důrazné vymáhání práva a jenž umožní rozvoj digitální ekonomiky na celém vnitřním trhu, občanům dá možnost kontrolovat své vlastní údaje a zvýší právní a praktickou jistotu pro hospodářské subjekty a orgány veřejné moci.

2. VÝSLEDKY KONZULTACÍ SE ZÚČASTNĚNÝMI STRANAMI A POSOUZENÍ DOPADŮ

Tato iniciativa je výsledkem rozsáhlých konzultací se všemi hlavními zúčastněnými stranami o přezkumu stávajícího právního rámce pro ochranu osobních údajů, které trvaly více než dva roky a v jejichž rámci se uskutečnila konference na vysoké úrovni v květnu 2009[12]. Veřejná konzultace proběhla ve dvou fázích:

– konzultace o právním rámci pro základní právo na ochranu osobních údajů probíhala od 9. července do 31. prosince 2009. Komise obdržela 168 odpovědí, z toho 127 od jednotlivých osob, obchodních organizací a sdružení a 12 od orgánů veřejné moci[13],

– konzultace o komplexním přístupu Komise k ochraně osobních údajů v Evropské unii probíhala od 4. listopadu 2010 do 15. ledna 2011. Komise obdržela 305 odpovědí, z toho 54 odpovědí od občanů, 31 od orgánů veřejné moci a 220 od soukromých organizací, zejména obchodních sdružení a nevládních organizací[14].

Kromě toho probíhaly cílené konzultace s hlavními zúčastněnými stranami; v červnu a červenci 2010 byly zorganizovány konkrétní akce s orgány členských států a účastníky ze soukromého sektoru, jakož i organizacemi na ochranu soukromí, ochranu údajů a ochranu spotřebitelů[15]. V listopadu 2010 zorganizovala místopředsedkyně Evropské komise Viviane Redingová jednání u kulatého stolu o reformě ochrany údajů. Dne 28. ledna 2011 (den ochrany údajů) Evropská komise a Rada společně uspořádaly konferenci na vysoké úrovni, aby se projednaly otázky související s reformou právního rámce EU a potřebou společných norem pro ochranu údajů v celosvětovém měřítku[16]. Dvě konference o ochraně údajů uspořádalo maďarské a polské předsednictví Rady ve dnech 16.–17. června 2011 a dne 21. září 2011.

Během roku 2011 probíhaly tematické workshopy a semináře o konkrétních otázkách. Evropská agentura pro bezpečnost sítí a informací (ENISA)[17] zorganizovala v lednu seminář o oznamování porušení ochrany údajů v Evropě[18]. V únoru Komise svolala seminář, na němž s orgány členských států projednala otázky ochrany údajů v oblasti policejní a justiční spolupráce v trestních věcech, včetně provádění rámcového rozhodnutí, a Agentura pro základní práva uspořádala konzultační schůzku se zúčastněnými stranami o ochraně údajů a soukromí. Diskuse s vnitrostátními orgány pro ochranu údajů o klíčových otázkách reformy proběhla dne 13. července 2011. Konzultace s občany EU proběhla prostřednictvím průzkumu Eurobarometr v listopadu a prosinci 2010[19]. Byla také provedena řada studií[20]. „Pracovní skupina zřízená podle článku 29“[21] poskytla Komisi několik stanovisek a užitečné vstupy[22]. Evropský inspektor ochrany údajů rovněž vydal obsáhlé stanovisko k otázkám, které vyplynuly ze sdělení Komise z listopadu 2010[23].

Evropský parlament schválil svým usnesením ze dne 6. července 2011 zprávu, která podpořila přístup Komise k reformě rámce pro ochranu údajů.[24] Rada Evropské unie přijala dne 24. února 2011 závěry, v nichž v široké míře podporuje úmysl Komise reformovat rámec pro ochranu údajů a souhlasí s mnoha prvky jejího přístupu. Evropský hospodářský a sociální výbor obdobně podpořil cíl Komise zajistit jednotnější uplatňování pravidel EU pro ochranu údajů[25] ve všech členských státech a odpovídající přezkum směrnice 95/46/ES[26].

Během konzultací o komplexním přístupu velká většina zúčastněných stran souhlasila s tím, aby obecné zásady platily i nadále, avšak zároveň uvedla, že stávající rámec je třeba upravit, aby lépe reagoval na výzvy, které s sebou rychlý vývoj nových technologií (především on-line) a rostoucí globalizace přinášejí. Technologická neutralita právního rámce by však měla zůstat zachována. Velké kritice byla podrobena stávající nejednotnost ochrany osobních údajů v Unii, zejména ze strany hospodářských subjektů, které požadovaly větší právní jistotu a harmonizaci pravidel ochrany osobních údajů. Složitá pravidla týkající se mezinárodního předávání osobních údajů považují zúčastněné strany za významnou překážku při provádění svých činností, neboť pravidelně potřebují předávat osobní údaje z EU do jiných částí světa.

V souladu se svou politikou zlepšování právní úpravy provedla Komise posouzení dopadů jednotlivých alternativ politiky. Posouzení dopadů vycházelo ze tří politických cílů – posílení dimenze vnitřního trhu při ochraně údajů, zvýšení účinnosti výkonu práv na ochranu údajů ze strany jednotlivců a vytvoření komplexního a jednotného rámce, který by se vztahoval na všechny oblasti pravomocí Unie, včetně policejní a justiční spolupráce v trestních věcech. Hodnoceny byly tři možnosti politiky s různým stupněm intervence: první možnost spočívala v minimálních legislativních změnách, využití výkladových sdělení a podpůrných politických opatření, jako jsou programy financování a technické nástroje, druhou možnost tvořil soubor právních předpisů, které řeší všechny problémy zjištěné v analýze, a třetí možností byla centralizace ochrany údajů na úrovni EU prostřednictvím přesných a podrobných pravidel pro všechny sektory a zřízení agentury EU pro sledování a prosazování právních předpisů.

Podle metodologie zavedené Komisí byla každá politická možnost posouzena, mj. za pomoci meziútvarové řídící skupiny, z hlediska své účinnosti při dosahování politických cílů, svého hospodářského dopadu na zúčastněné strany (také na rozpočet orgánů EU), svého sociálního dopadu a účinku na základní práva. Dopady na životní prostředí se neposuzovaly. Z analýzy celkového dopadu vyplynula preferovaná politická možnost, která vychází z druhé možnosti a obsahuje určité prvky z ostatních dvou možností a která je začleněna do tohoto návrhu.Podle hodnocení dopadů povede její provedení mimo jiné ke značnému zlepšení právní jistoty pro správce údajů a občany, ke snížení administrativní zátěže, k jednotnému prosazování ochrany údajů v Unii, účinnému výkonu práv na ochranu údajů pro jednotlivce při ochraně osobních údajů v rámci EU a účinné kontrole a prosazování ochrany údajů. Očekává se, že provádění preferovaných politických možností rovněž přispěje ke splnění cíle Komise zjednodušit a omezit administrativní zátěž a ke splnění cílů Digitální agendy pro Evropu, Stockholmského akčního plánu a strategie Evropa 2020.

Výbor pro posouzení dopadů vydal stanovisko k této předloze posouzení dopadů dne 9. září 2011. V návaznosti na stanovisko výboru byly do posouzení dopadů zapracovány tyto změny:

– byly upřesněny cíle stávajícího právního rámce (v jakém rozsahu byly či nebyly splněny), jakož i cíle plánované reformy,

– do oddílu definice problémů bylo přidáno více důkazů a dodatečná vysvětlení/objasnění,

– byl doplněn oddíl o proporcionalitě,

– všechny výpočty a odhady související s administrativní zátěží v základním scénáři a v preferované možnosti byly celkově přezkoumány a revidovány a byl vyjasněn vztah mezi náklady na oznamování a celkovými náklady způsobenými nejednotností (včetně přílohy 10),

– byly podrobněji vymezeny dopady na mikropodniky, malé a střední podniky, zejména na inspektory ochrany údajů a posouzení dopadů na ochranu údajů.

Zpráva o posouzení dopadů a její shrnutí se zveřejní spolu s návrhy.

3. PRÁVNÍ STRÁNKA NÁVRHU 3.1. Právní základ

Tento návrh je založen na článku 16 SFEU, který je novým právním základem pro přijetí pravidel pro ochranu údajů zavedeným Lisabonskou smlouvou. Toto ustanovení umožňuje přijmout pravidla týkající se ochrany fyzických osob při zpracování osobních údajů členskými státy při výkonu činností, jež spadají do působnosti práva Unie. Rovněž umožňuje přijmout pravidla týkající se volného pohybu osobních údajů, včetně osobních údajů zpracovávaných členskými státy nebo soukromými subjekty.

Za nejvhodnější právní nástroj pro definování rámce pro ochranu osobních údajů v Unii se považuje nařízení. Na základě přímé použitelnosti nařízení podle článku 288 SFEU se omezí právní nejednotnost a zvýší právní jistota tím, že se zavede harmonizovaný soubor základních pravidel, zlepší ochrana základních práv jednotlivců a přispěje k fungování vnitřního trhu.

Odkaz na čl. 114 odst. 1 SFEU je nutný pro změnu směrnice 2002/58/ES pouze do té míry, že směrnice rovněž poskytuje ochranu oprávněných zájmů účastníků, kteří jsou právnickými osobami.

3.2. Subsidiarita a proporcionalita

V souladu se zásadou subsidiarity (čl. 5 odst. 3 Smlouvy o EU) by měla být opatření na úrovni Unie přijata pouze v případě, že plánovaných cílů nelze uspokojivě dosáhnout na úrovni samotných členských států, a proto jich lze z důvodu rozsahu či účinků navrhovaného opatření lépe dosáhnout na úrovni Unie. Vzhledem k problémům uvedeným výše je v analýze subsidiarity uvedena potřeba činnosti na úrovni EU z těchto důvodů:

– Právo na ochranu osobních údajů, zakotvené v článku 8 Listiny základních práv, vyžaduje stejnou úroveň ochrany údajů v celé Unii. Absence společných pravidel v EU by znamenala riziko různé úrovně ochrany v členských státech a omezení přeshraničního pohybu osobních údajů mezi členskými státy, které používají odlišné normy.

– Osobní údaje jsou předávány přes hranice jednotlivých států – jak přes vnitřní, tak přes vnější hranice – ve stále větším objemu. Kromě toho existují praktické obtíže při prosazování právních předpisů o ochraně údajů, proto musí být potřebná spolupráce mezi členskými státy a jejich orgány organizována na úrovni EU, aby se zajistilo jednotné uplatňování práva Unie. EU má také nejlepší předpoklady pro to, aby jednotlivým osobám účinně a jednotně zajistila stejnou úroveň ochrany, pokud jsou jejich osobní údaje předávány do třetích zemí.

– Členské státy nemohou ve stávající situaci samy omezit problémy, zejména problémy způsobené nejednotností vnitrostátních právních předpisů. Proto je zvláště třeba zavést harmonizovaný a jednotný rámec, který by umožňoval plynulé předávání osobních údajů přes hranice v rámci EU a zároveň zajišťoval účinnou ochranu všem fyzickým osobám v celé EU.

– Navrhovaná opatření právních předpisů EU budou účinnější než podobná opatření na úrovni členských států, neboť problémy mají takovou povahu a rozsah, že nejsou jen vnitrostátní záležitostí jednoho nebo několika členských států.

Zásada proporcionality vyžaduje, aby byl každý zásah cílený a nepřekračoval rámec toho, co je nezbytné pro dosažení cílů. Tento princip je vodicím prvkem přípravy tohoto návrhu od identifikace a hodnocení alternativních možností politiky až po vypracování legislativního návrhu.

3.3. Shrnutí otázek základních práv

Právo na ochranu osobních údajů je zakotveno v článku 8 Listiny, článku 16 SFEU a v článku 8 Úmluvy o ochraně lidských práv a základních svobod. Jak zdůraznil Soudní dvůr EU[27], právo na ochranu osobních údajů není právem absolutním, avšak musí být posuzováno v souvislosti se svou funkcí ve společnosti[28]. Ochrana údajů je úzce spjata s respektováním soukromého a rodinného života, které je zakotveno v článku 7 Listiny. Tato skutečnost se odráží v čl. 1 odst. 1 směrnice 95/46/ES, který stanoví, že členské státy zajišťují ochranu základních práv a svobod fyzických osob, zejména jejich soukromí, v souvislosti se zpracováním osobních údajů.

Dotčena by mohla být také další základní práva zakotvená v Listině, např. svoboda projevu (článek 11 Listiny); svoboda podnikání (článek 16); právo na vlastnictví a zejména ochrana duševního vlastnictví (čl. 17 odst. 2); zákaz diskriminace mimo jiné založené na rase, etnickém původu, genetických rysech, náboženském vyznání nebo přesvědčení, politických názorech či jakýchkoli jiných názorech, zdravotním postižení nebo sexuální orientaci (článek 21); práva dítěte (článek 24); právo na vysoký stupeň péče o lidského zdraví (článek 35); právo na přístup k dokumentům (článek 42); právo na účinnou právní ochranu a spravedlivý proces (článek 47).

3.4. Podrobné vysvětlení návrhu 3.4.1. KAPITOLA I – OBECNÁ USTANOVENÍ

Článek 1 definuje předmět nařízení a stejně jako článek 1 směrnice 95/46/ES stanoví dva cíle nařízení.

Článek 2 vymezuje věcnou působnost nařízení.

Článek 3 vymezuje územní působnost nařízení.

Článek 4 obsahuje definice pojmů, které nařízení používá. Některé definice se přebírají ze směrnice 95/46/ES, jiné se pozměňují, doplňují o nové prvky, nebo se zavádějí nové definice (definice „narušení bezpečnosti osobních údajů“ vychází z čl. 2 písm. h) směrnice o soukromí a elektronických komunikacích 2002/58/ES[29] ve znění směrnice 2009/136/ES[30], definice „genetických údajů“, „biometrických údajů“, „údajů o zdravotním stavu“, „hlavní provozovny“, „zástupce“, „podniku“, „skupiny podniků“, „závazných podnikových pravidel“ a definice „dítěte“, jež vychází z Úmluvy OSN o právech dítěte[31], a „orgánu dozoru“).

V definici souhlasu je doplněno kritérium „výslovný“ s cílem předejít matoucí podobnosti s pojmem „jednoznačný“ souhlas, aby existovala jediná a jednotná definice souhlasu zajišťující, že subjekt údajů si je vědom, že dává souhlas a k čemu dává souhlas.

3.4.2. KAPITOLA II – ZÁSADY

V článku 5 jsou stanoveny zásady související se zpracováním osobních údajů, jež odpovídají zásadám uvedeným v článku 6 směrnice 95/46/ES. Dodatečným novým prvkem je zejména zásada transparentnosti, vyjasnění zásady minimalizace údajů a zavedení komplexní odpovědnosti správce.

Článek 6 vychází z článku 7 směrnice 95/46/ES a stanoví kritéria zákonného zpracování údajů, která jsou dále specifikována, pokud jde o vyváženost kritéria zájmu, splnění právních povinností a veřejný zájem.

Článek 7 vymezuje podmínky, za jakých je souhlas platný jako právní důvod pro zákonné zpracování údajů.

Článek 8 stanoví další podmínky zákonného zpracování osobních údajů dětí v souvislosti se službami informační společnosti, které jsou přímo nabízeny dětem.

Článek 9 stanoví obecný zákaz zpracování zvláštních kategorií osobních údajů a výjimky z tohoto obecného pravidla na základě článku 8 směrnice 95/46/ES.

Článek 10 objasňuje, že správce není povinen získávat dodatečné informace k identifikaci subjektu údajů výlučně za účelem zajištění souladu s ustanoveními tohoto nařízení.

3.4.3. KAPITOLA III – PRÁVA SUBJEKTU ÚDAJŮ 3.4.3.1. Oddíl 1 – Transparentnost a metody

Článkem 11 se zavádí pro správce povinnost poskytovat transparentní, snadno dostupné a srozumitelné informace. Vychází zejména z Madridského usnesení o mezinárodních normách o ochraně osobních údajů a soukromí[32].

Článek 12 ukládá správci povinnost zajistit postupy a mechanismy pro výkon práv subjektu údajů, včetně prostředků pro podávání elektronických žádostí, vyžádání odpovědi na žádost subjektu údajů ve stanovené lhůtě a důvody zamítnutí.

Článek 13 rozšiřuje práva příjemců na základě čl. 12 odst. c) směrnice 95/46/ES na všechny příjemce, včetně společných správců a zpracovatelů.

3.4.3.2. Oddíl 2 – Informace a přístup k údajům

Článek 14 dále upřesňuje povinnosti správce informovat subjekt údajů, a to na základě článků 10 a 11 směrnice 95/46/ES, tedy poskytovat subjektu údajů dodatečné informace, například o době uchovávání údajů, právu podat stížnost, o mezinárodním předávání údajů a zdroji, ze kterého údaje pocházejí. Zachovává rovněž ustanovení o případných výjimkách uvedených ve směrnici 95/46/ES, tzn. tato povinnost není stanovena, pokud je zaznamenávání nebo sdělování údajů výslovně stanoveno zákonem. To se týká například zpracování údajů ze strany orgánů pro hospodářskou soutěž, daňové či celní správy nebo útvarů příslušných v oblasti sociálního zabezpečení.

Článek 15, který se opírá o čl. 12 písm. a) směrnice 95/46/ES, stanoví právo subjektu údajů na přístup ke svým osobním údajům a přidává nové prvky, jako je právo subjektu údajů na informace o době uchovávání, právo na opravu a výmaz a právo podat stížnost.

3.4.3.3. Oddíl 3 – Oprava a výmaz

Článek 16 stanoví právo subjektu údajů na opravu údajů a vychází z čl. 12 odst. b) směrnice 95/46/ES.

Článek 17 stanoví právo subjektu údajů být zapomenut a právo na výmaz. Dále rozpracovává a upřesňuje právo na výmaz uvedené v čl. 12 odst. b) směrnice 95/46/ES a stanoví podmínky pro uplatňování práva být zapomenut, včetně povinnosti správce, jenž osobní údaje zveřejnil, informovat třetí strany o žádosti subjektu údajů o výmaz všech odkazů na tyto osobní údaje nebo kopií či replikací těchto osobních údajů. Zavádí rovněž právo na omezení zpracování údajů v určitých případech, čímž se vyhýbá nejednoznačnému pojmu „blokování“.

Článkem 18 se zavádí právo subjektu údajů na přenositelnost údajů, tzn. na předávání údajů z jednoho automatizovaného systému zpracování do jiného, aniž by tomu správce bránil. Jako předpoklad a s cílem dále zlepšovat přístup fyzických osob k jejich osobním údajům poskytuje právo obdržet od správce tyto údaje ve strukturovaném a běžně používaném elektronickém formátu.

3.4.3.4. Oddíl 4 – Právo vznést námitku a profilování

Článek 19 zaručuje subjektu údajů právo vznést námitku. Je založen na článku 14 směrnice 95/46/ES s určitými úpravami, mimo jiné ohledně důkazního břemene a jeho uplatňování v přímém marketingu.

Článek 20 se týká práva subjektu údajů nebýt předmětem opatření založeného na profilování. Základem je čl. 15 odst. 1 směrnice 95/46 o automatizovaných individuálních rozhodnutích s určitými úpravami a dodatečnými zárukami a s ohledem na doporučení Rady Evropy o profilování[33].

3.4.3.5. Oddíl 5 – Omezení

Článek 21 vysvětluje pravomoc Unie nebo členských států zachovat či zavést omezení zásad ve smyslu článku 5 a práv subjektu údajů ve smyslu článků 11 až 20 a článku 32. Toto ustanovení vychází z článku 13 směrnice 95/46/ES a z požadavků vyplývajících z Listiny základních práv a Úmluvy o ochraně lidských práv a základních svobod ve smyslu výkladu Soudního dvora EU a Evropského soudu pro lidská práva.

3.4.4. KAPITOLA IV – SPRÁVCE A ZPRACOVATEL 3.4.4.1. Oddíl 1 – Obecné povinnosti

Článek 22 zohledňuje diskusi o „zásadě odpovědnosti“ a podrobně popisuje povinnost správce nést odpovědnost za dodržování souladu s tímto nařízením a tento soulad prokázat, mimo jiné přijetím vnitřních politik a mechanismů pro zajištění tohoto souladu.

Článek 23 stanoví povinnosti správce vyplývající ze zásady ochrany údajů již od návrhu a ze zásady standardního nastavení ochrany údajů.

Článek 24 o společných správcích upřesňuje odpovědnosti společných správců, pokud jde o jejich vzájemný vztah a vztah vůči subjektu údajů.

Článek 25 předepisuje za určitých podmínek správcům, kteří nejsou usazeni v Unii a na jejichž činnosti spojené se zpracováváním údajů se nařízení vztahuje, aby za určitých podmínek určili v Unii svého zástupce.

Článek 26, který částečně vychází z čl. 17 odst. 2 směrnice 95/46/ES, upřesňuje postavení a povinnosti zpracovatele a obsahuje nové prvky, například že by zpracovatel, který zpracovává údaje nad rámec pokynů správce, měl být považován za společného správce.

Článek 27 o zpracování z pověření správce a zpracovatele vychází z článku 16 směrnice 95/46/ES.

Článek 28 zavádí namísto obecné oznamovací povinnosti vůči orgánu dozoru podle čl. 18 odst. 1 a článku 19 směrnice 95/46/ES povinnost správce a zpracovatele vést dokumentaci o všech zpracováních, za která nesou odpovědnost.

Článek 29 vymezuje povinnosti správce a zpracovatele spolupracovat s orgánem dozoru.

3.4.4.2. Oddíl 2 – Bezpečnost údajů

Článek 30 ukládá správci a zpracovateli povinnost přijmout vhodná opatření pro zajištění bezpečnosti zpracování. Vychází z čl. 17 odst. 1 směrnice 95/46/ES a rozšiřuje tuto povinnost na zpracovatele bez ohledu na smluvní vztah se správcem.

Články 31 a 32 zavádějí povinnost oznamovat případy narušení bezpečnosti osobních údajů a vycházejí z čl. 4 odst. 3 směrnice o soukromí a elektronických komunikacích 2002/58/ES.

3.4.4.3. Oddíl 3 – Posuzování dopadu na ochranu údajů a předchozí povolení

Článek 33 zavádí pro správce a zpracovatele povinnost vypracovat posouzení dopadu na ochranu údajů před zpracováním údajů spojeným s riziky.

Článek 34 se týká případů, v nichž se musí před zpracováním údajů získat povolení orgánu dozoru nebo se musí tento orgán konzultovat, a vychází z koncepce předběžné kontroly podle článku 20 směrnice 95/46/ES.

3.4.4.4. Oddíl 4 – Inspektor ochrany údajů

Článek 35 předepisuje povinné jmenování inspektora ochrany údajů pro veřejný sektor a v soukromém sektoru v případě velkých podniků nebo pokud hlavní činnost správce nebo zpracovatele spočívá ve zpracovávání údajů, které vyžaduje pravidelné a systematické sledování. Vychází z čl. 18 odst. 2 směrnice 95/46/ES, který členským státům umožňuje zavést tuto povinnost jako náhradu za obecnou oznamovací povinnost.

Článek 36 upravuje postavení inspektora ochrany údajů.

Článek 37 vymezuje hlavní úkoly inspektora ochrany údajů.

3.4.4.5. Oddíl 5 – Kodexy chování a osvědčování

Článek 38 vychází z čl. 27 odst. 1 směrnice 95/46/ES a týká se kodexů chování. Upřesňuje obsah kodexů a postupů a pověřuje Komisi přijímáním rozhodnutí o obecné platnosti kodexů chování.

Článek 39 předpokládá možnost zavést mechanismy pro vydávání osvědčení o ochraně údajů a zavedení pečetí a známek dokládajících ochranu údajů.

3.4.5. KAPITOLA V – PŘEDÁVÁNÍ OSOBNÍCH ÚDAJŮ DO TŘETÍCH ZEMÍ NEBO MEZINÁRODNÍM ORGANIZACÍM

Článek 40 uvádí jako obecnou zásadu, že splnění povinností stanovených v této kapitole je povinné pro veškerá předávání osobních údajů do třetích zemí nebo mezinárodním organizacím, včetně dalšího předávání.

Článek 41, který vychází z článku 25 směrnice 95/46/ES, stanoví kritéria, podmínky a postupy přijímání rozhodnutí Komise o přiměřenosti. Kritéria, která se mají zohlednit při posuzování toho, zda je úroveň ochrany přiměřená či nikoli, zahrnují výslovně právní stát, soudní nápravu a nezávislý dozor. Článek nyní výslovně potvrzuje možnost, aby Komise posoudila úroveň ochrany poskytované na určitém území či v odvětví zpracovávání v dané třetí zemi.

Článek 42 vyžaduje, aby byly při předávání údajů do třetích zemí, u kterého Komise nepřijala rozhodnutí o přiměřenosti, uvedeny vhodné záruky, zejména standardní doložky o ochraně údajů, závazná podniková pravidla a smluvní doložky. Možnost využít standardní doložky Komise o ochraně osobních údajů vychází z čl. 26 odst. 4 směrnice 95/46/ES. Novým prvkem je, že tyto standardní doložky o ochraně údajů může nyní přijímat také orgán dozoru a Komise je může prohlásit za obecně platné. Závazná podniková pravidla jsou nyní výslovně zmíněna v textu nařízení. Možnost využít smluvní doložky ponechává správci a zpracovateli určitou flexibilitu, musí však být předem schválena orgánem dozoru.

Článek 43 podrobněji popisuje podmínky předávání údajů založeného na závazných podnikových pravidlech. Vychází z běžné praxe a požadavků orgánu dozoru.

Článek 44 uvádí a upřesňuje výjimky pro předávání údajů a vychází ze stávajících ustanovení článku 26 směrnice 95/46/ES. Uplatní se zejména v případech, kdy je předávání údajů požadované a nutné k ochraně důležitého veřejného zájmu, například v případech mezinárodního předávání údajů mezi příslušnými orgány pro hospodářskou soutěž, daňovými či celními správami nebo útvary příslušnými v oblasti sociálního zabezpečení nebo řízení rybolovu. Kromě toho může být předávání údajů za stanovených podmínek odůvodněno oprávněným zájmem správce nebo zpracovatele, avšak pouze poté, co byly posouzeny a zdokumentovány okolnosti předání.

Článek 45 v zájmu ochrany osobních údajů výslovně předpokládá vypracování mechanismů pro mezinárodní spolupráci mezi Komisí a orgány dozoru třetích zemí, zejména těmi, jejichž úroveň ochrany osobních údajů je považována za přiměřenou, a to s ohledem na doporučení Organizace pro hospodářskou spolupráci a rozvoj (OECD) o přeshraniční spolupráci při prosazování zákonů na ochranu soukromí ze dne 12. června 2007.

3.4.6. KAPITOLA VI – NEZÁVISLÉ ORGÁNY DOZORU 3.4.6.1. Oddíl 1 – Nezávislost postavení

Článek 46 ukládá na základě čl. 28 odst. 1 směrnice 95/46/ES členským státům povinnost zřídit orgány dozoru a přidává k jejich úkolům také vzájemnou spolupráci a spolupráci s Komisí.

Článek 47 objasňuje podmínky nezávislosti orgánů dozoru, které vycházejí z judikatury Soudního dvora Evropské unie[34] a z článku 44 nařízení (ES) č. 45/2001[35].

Článek 48 upravuje obecné podmínky pro členy orgánu dozoru, které vycházejí z příslušné ustálené judikatury[36] a z čl. 42 odst. 2 až 6 nařízení (ES) 45/2001.

Článek 49 stanoví, která pravidla pro zřízení orgánu dozoru mají členské státy upravit právním předpisem.

Článek 50 vychází z čl. 28 odst. 7 směrnice 95/46/ES a upravuje profesní tajemství členů orgánu dozoru a jeho pracovníků.

3.4.6.2. Oddíl 2 – Povinnosti a pravomoci

Článek 51 stanoví příslušnost orgánů dozoru. Obecné pravidlo, které vychází z čl. 28 odst. 6 směrnice 95/46/ES (pravomoci na území vlastního členského státu), je doplněno novou pravomocí jako vedoucího orgánu v případě, že správce nebo zpracovatel sídlí ve více členských státech, aby bylo zajištěno jednotné uplatňování (jediné kontaktní místo). Soudy jednající v rámci svých soudních pravomocí jsou osvobozeny od dohledu vykonávaného orgánem dozoru, podléhají však hmotněprávním pravidlům ochrany údajů.

V článku 52 jsou uvedeny povinnosti orgánu dozoru, například projednávání a prošetřování stížností a zvyšování povědomí veřejnosti o rizicích, pravidlech, zárukách a právech.

Článek 53 upravuje pravomoci orgánu dozoru, přičemž částečně vychází z čl. 28 odst. 3 směrnice 95/46/ES a článku 47 nařízení (ES) č. 45/2001, a doplňuje některé nové prvky, například pravomoc postihovat správní přestupky.

Článek 54 vychází z čl. 28 odst. 5 směrnice 95/46/ES a ukládá orgánům dozoru povinnost každý rok vypracovat zprávu o činnosti.

3.4.7. KAPITOLA VII – SPOLUPRÁCE A JEDNOTNOST 3.4.7.1. Oddíl 1 – Spolupráce

Článek 55 určuje výslovně povinnost vzájemné pomoci, včetně důsledků v případě nevyhovění žádosti jiného orgánu dozoru, a vychází z druhého pododstavce čl. 28 odst. 6 směrnice 95/46/ES.

Článek 56 zavádí pravidla pro společné operace, vychází z článku 17 rozhodnutí Rady 2008/615/SVV[37] a obsahuje mimo jiné právo orgánu dozoru účastnit se těchto operací.

3.4.7.2. Oddíl 2 – Jednotnost

Článek 57 zavádí mechanismus jednotnosti pro zajištění jednotného uplatňování práva, pokud jde o zpracovávání údajů, které se může týkat subjektů údajů v několika členských státech.

Článek 58 stanoví postupy a podmínky pro vydání stanoviska Evropské rady pro ochranu údajů.

Článek 59 se týká stanovisek Komise k záležitostem řešeným v rámci mechanismu jednotnosti, která mohou buď potvrdit stanovisko Evropské rady pro ochranu údajů nebo se od něj mohou odchylovat, a návrhu opatření orgánu dozoru. Pokud Evropská rada pro ochranu údajů požádá o řešení záležitosti podle čl. 58 odst. 3, lze očekávat, že Komise využije svého volného uvážení a v případě potřeby vydá stanovisko.

Článek 60 se týká rozhodnutí Komise, kterými se po příslušném orgánu vyžaduje, aby návrh opatření odložil, pokud je to nezbytné pro správné uplatňování tohoto nařízení.

Článek 61 počítá s možností přijmout postupem pro naléhavé případy dočasná opatření.

Článek 62 stanoví požadavky na prováděcí akty Komise v rámci mechanismu jednotnosti.

Článek 63 předepisuje, že opatření orgánu dozoru se vykonává ve všech příslušných členských státech, a stanoví, že příslušné opatření je právoplatné a vykonatelné pouze při použití mechanismu jednotnosti.

3.4.7.3. Oddíl 3 – Evropská rada pro ochranu údajů

Článkem 64 se zřizuje Evropská rada pro ochranu údajů, kterou tvoří vedoucí orgánu dozoru z každého členského státu a evropský inspektor ochrany údajů. Evropská rada pro ochranu údajů nahrazuje pracovní skupinu pro ochranu osob v souvislosti se zpracováním osobních údajů zřízenou podle článku 29 směrnice č. 95/46/ES. Je stanoveno, že Komise není členem Evropské rady pro ochranu údajů, avšak má právo účastnit se jejích činností a být v ní zastoupena.

Článek 65 zdůrazňuje a stanovuje nezávislost Evropské rady pro ochranu údajů.

Článek 66 na základě čl. 30 odst. 1 směrnice 95/46/ES vymezuje úkoly Evropské rady pro ochranu údajů a doplňuje nové prvky, které odrážejí širší oblast jejích činností v rámci Unie a mimo ni. Aby byla schopna reagovat v naléhavých situacích, má Komise možnost požádat Radu o stanovisko a stanovit lhůtu pro jeho poskytnutí.

Článek 67 požaduje, aby Evropská rada pro ochranu údajů předkládala každý rok zprávu o své činnosti. Vychází z čl. 30 odst. 6 směrnice 95/46/ES.

Článek 68 upravuje postupy rozhodování Evropské rady pro ochranu údajů, včetně povinnosti přijmout jednací řád, který by měl obsahovat rovněž provozní opatření.

Článek 69 obsahuje ustanovení týkající se předsedy a místopředsedů Evropské rady pro ochranu údajů.

Článek 70 stanoví úkoly předsedy.

Článek 71 stanoví, že služby sekretariátu Evropské rady pro ochranu údajů poskytuje evropský inspektor ochrany údajů, a vymezuje úkoly sekretariátu.

Článek 72 stanoví pravidla týkající se důvěrnosti.

3.4.8. KAPITOLA VIII – OPRAVNÉ PROSTŘEDKY, ODPOVĚDNOST A SANKCE

Článek 73 vychází z čl. 28 odst. 4 směrnice 95/46/ES a stanoví, že každý subjekt údajů má právo vznést stížnost k orgánu dozoru. Stanoví také subjekty, organizace nebo sdružení, které mohou vznést stížnost jménem subjektu údajů nebo – v případě narušení bezpečnosti osobních údajů – nezávisle na stížnosti subjektu údajů.

Článek 74 se týká práva na soudní opravné prostředky vůči orgánu dozoru. Vychází z obecných ustanovení čl. 28 odst. 3 směrnice 95/46/ES. Předpokládá výslovně soudní opravný prostředek, který orgán dozoru přiměje jednat ve věci stížnosti, a stanoví příslušnost soudů členského státu, v němž je orgán dozoru usazen. Umožňuje rovněž, aby orgán dozoru členského státu, v němž má subjekt údajů bydliště, zahájil jménem subjektu údajů řízení u soudů jiného členského státu, v němž je příslušný orgán dozoru usazen.

Článek 75 vychází z článku 22 směrnice 95/46/ES, týká se práva na soudní opravné prostředky vůči správci nebo zpracovateli a poskytuje možnost výběru zahájit řízení před soudem v členském státě, v němž je žalovaný usazen nebo v němž má subjekt údajů bydliště. Jestliže řízení, která se týkají téhož opatření, probíhají v rámci mechanismu jednotnosti, může soud s výjimkou naléhavých případů svá řízení odročit.

Článek 76 stanoví společná pravidla pro soudní řízení, včetně práva subjektů, organizací nebo sdružení zastupovat subjekt údajů před soudy, práva orgánu dozoru zapojit se do soudního řízení, informování soudů o paralelních řízeních v jiném členském státě a možnosti soudů v takovém případě řízení odročit[38]. Členské státy mají povinnost zajistit, aby soudní řízení probíhala rychle[39].

Článek 77 vymezuje právo na odškodnění a odpovědnost. Vychází z článku 23 směrnice 95/46/ES, rozšiřuje toto právo na škody způsobené zpracovateli a vymezuje odpovědnost společných správců a společných zpracovatelů.

Článek 78 ukládá členským státům povinnost stanovit pravidla pro sankce ukládané za porušení tohoto nařízení a zajistit jejich provádění.

Článek 79 ukládá každému orgánu dozoru povinnost postihovat správní přestupky uvedené ve výčtech v tomto ustanovení pokutami do maximální výše částek, a to při řádném zohlednění okolností každého jednotlivého případu.

3.4.9. KAPITOLA IX – USTANOVENÍ TÝKAJÍCÍ SE ZVLÁŠTNÍCH SITUACÍ, PŘI NICHŽ DOCHÁZÍ KE ZPRACOVÁVÁNÍ ÚDAJŮ

Článek 80 ukládá členským státům povinnost stanovit odchylky a výjimky z určitých ustanovení nařízení, je-li to nezbytné pro uvedení práva na ochranu osobních údajů do souladu s právem na svobodu projevu. Vychází z článku 9 směrnice 95/46/ES ve smyslu výkladu Soudního dvora EU[40].

Článek 81 ukládá členským státům povinnost zajistit kromě podmínek pro zpracování zvláštních kategorií údajů také zvláštní záruky pro zpracování údajů pro zdravotní účely.

Článek 82 dává členským státům pravomoc přijímat zvláštní právní předpisy pro zpracovávání osobních údajů v souvislosti se zaměstnáním.

Článek 83 vymezuje zvláštní podmínky pro zpracování osobních údajů pro účely historiografického, statistického a vědeckého výzkumu.

Článek 84 zmocňuje členské státy v případech, kdy správci podléhají povinnosti mlčenlivosti, k přijetí zvláštních pravidel pro přístup orgánů dozoru k osobním údajům nebo prostorám.

Článek 85 umožňuje církvím s ohledem na článek 17 Smlouvy o fungování Evropské unie nadále uplatňovat existující komplexní pravidla pro ochranu osobních údajů, pokud je uvedou v soulad s tímto nařízením.

3.4.10. KAPITOLA X – AKTY V PŘENESENÉ PRAVOMOCI A PROVÁDĚCÍ AKTY

Článek 86 obsahuje standardní ustanovení pro výkon přenesených pravomocí v souladu s článkem 290 SFEU. Tento článek umožňuje zákonodárci přenést na Komisi pravomoc přijímat nelegislativní akty s obecnou působností, kterými se doplňují nebo mění některé prvky legislativního aktu, které nejsou podstatné (kvazilegislativní akty).

Článek 87 obsahuje ustanovení týkající se postupu projednávání ve výborech potřebného pro svěření prováděcích pravomocí Komisi v případech, kdy jsou podle článku 291 SFEU pro provedení právně závazných aktů Unie nezbytné jednotné podmínky. Použije se přezkumný postup.

3.4.11. KAPITOLA XI – ZÁVĚREČNÁ USTANOVENÍ

Článkem 88 se zrušuje směrnice 95/46/ES.

Článek 89 vymezuje vztah k směrnici 2002/58/ES a obsahuje její změny.

Článek 90 ukládá Komisi povinnost provádět hodnocení nařízení a předkládat související zprávy.

Článek 91 stanoví datum vstupu nařízení v platnost a přechodné období, pokud jde o datum jeho použití.

4.           ROZPOČTOVÉ DŮSLEDKY

Konkrétní rozpočtové důsledky návrhu vyplývají z úkolů přenesených na orgán evropského inspektora ochrany údajů, jak je uvedeno v legislativním finančním výkazu připojeném k tomuto návrhu. Tyto důsledky vyžadují změnu okruhu 5 finančního výhledu.

Tento návrh nemá dopad na provozní výdaje.

Legislativní finanční výkaz k tomuto návrhu nařízení obsahuje rozpočtové důsledky pro samotné nařízení a pro směrnici o ochraně údajů v oblasti policie a trestního soudnictví.

2012/0011 (COD)

Návrh

NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY

o ochraně fyzických osob v souvislosti se zpracováváním osobních údajů a o volném pohybu těchto údajů (obecné nařízení o ochraně údajů)

(Text s významem pro EHP)

EVROPSKÝ PARLAMENT A RADA EVROPSKÉ UNIE,

s ohledem na Smlouvu o fungování Evropské unie, a zejména na čl. 16 odst. 2 a čl. 114 odst. 1 této smlouvy,

s ohledem na návrh Evropské komise,

po postoupení návrhu legislativního aktu vnitrostátním parlamentům,

s ohledem na stanovisko Evropského hospodářského a sociálního výboru[41],

po konzultaci s evropským inspektorem ochrany údajů[42],

v souladu s řádným legislativním postupem,

vzhledem k těmto důvodům:

(1) Ochrana fyzických osob v souvislosti se zpracováváním osobních údajů je základním právem. Ustanovení čl. 8 odst. 1 Listiny základních práv Evropské unie a čl. 16 odst. 1 Smlouvy stanoví, že každý má právo na ochranu osobních údajů, které se jej týkají.

(2) Zpracování osobních údajů má sloužit lidem; zásady a pravidla ochrany fyzických osob v souvislosti se zpracováváním jejich osobních údajů by proto měly bez ohledu na státní příslušnost nebo bydliště těchto osob dodržovat jejich základní práva a svobody, zejména právo na ochranu osobních údajů. Zpracování osobních údajů by mělo přispět k dotvoření prostoru svobody, bezpečnosti a práva a hospodářské unie, k hospodářskému a sociálnímu pokroku, posilování a sbližování ekonomik v rámci vnitřního trhu a k dobrým životním podmínkám jednotlivců.

(3) Účelem směrnice Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů[43] je harmonizovat právní předpisy o ochraně základních práv a svobod fyzických osob v souvislosti se zpracováním údajů a zaručit volný pohyb osobních údajů mezi členskými státy.

(4) Hospodářská a sociální integrace vyplývající z fungování vnitřního trhu vedla ke značnému nárůstu přeshraničního pohybu údajů. Výměna údajů mezi hospodářskými a sociálními, veřejnými a soukromými subjekty se v celé Unii zvýšila. Právo Unie zavazuje vnitrostátní orgány členských států ke spolupráci a výměně osobních údajů, aby mohly plnit své povinnosti nebo provádět úkoly jménem orgánu jiného členského státu.

(5) Rychlý technologický rozvoj a globalizace s sebou přinesly nové výzvy pro oblast ochrany osobních údajů. Objem sdílených a sbíraných údajů dramaticky vzrostl. Technologie umožňují jak soukromým společnostem, tak orgánům veřejné moci využívat při provádění jejich činností osobní údaje v nebývalém rozsahu. Jednotlivé osoby stále častěji zveřejňují své osobní údaje i v globálním měřítku. Technologie změnily ekonomiku i společenský život a vyžadují další zjednodušení volného pohybu údajů v rámci Unie a předávání do třetích zemí a mezinárodním organizacím a zároveň zajištění vysoké úrovně ochrany osobních údajů.

(6) V souvislosti s tímto vývojem je třeba vytvořit pevný a jednotnější rámec pro ochranu údajů na úrovni Unie, jenž by se opíral o důrazné vymáhání práva, aby byla nastolena důvěra, která by umožnila rozvoj digitální ekonomiky na celém vnitřním trhu. Jednotlivé osoby by měly mít možnost kontrolovat své vlastní osobní údaje a měla by být posílena právní a praktická jistota pro jednotlivce, hospodářské subjekty a orgány veřejné moci.

(7) Pokud jde o cíle a zásady, směrnice 95/46/EC zůstává v platnosti, avšak nezabránila roztříštěnosti, pokud jde o způsob uplatňování ochrany osobních údajů v rámci celé Unie, právní nejistotě a rozšířenému pocitu veřejnosti, že zejména s internetovými činnostmi jsou spojena značná rizika ohledně ochrany jednotlivých osob. Rozdíly v úrovni ochrany práv a svobod jednotlivých osob, zejména práva na ochranu osobních údajů, v souvislosti se zpracováním osobních údajů poskytované v členských státech mohou bránit volnému pohybu osobních údajů v rámci Unie. Tyto rozdíly mohou být překážkou pro výkon hospodářských činností na úrovni Unie, narušovat hospodářskou soutěž a bránit správním orgánům ve výkonu povinností, které mají na základě práva Unie. Tento rozdíl v úrovni ochrany vyplývá z rozdílů, které existují v provádění a uplatňování směrnice 95/46/ES.

(8) S cílem zajistit jednotnou a vysokou úroveň ochrany fyzických osob a odstranit překážky pohybu osobních údajů by měla být úroveň ochrany práv a svobod osob v souvislosti se zpracováním těchto údajů rovnocenná ve všech členských státech. V celé Unii je třeba zajistit jednotné uplatňování pravidel ochrany základních práv a svobod fyzických osob v souvislosti se zpracováváním osobních údajů.

(9) Účinná ochrana osobních údajů v celé Unii vyžaduje posílení a upřesnění práv subjektů údajů a povinností těch, kteří zpracovávají osobní údaje a určují způsob jejich zpracování, ale také stejné pravomoci členských států při sledování a zajišťování souladu s pravidly ochrany osobních údajů a stejné sankce za jejich porušování.

(10) Ustanovení čl. 16 odst. 2 Smlouvy zmocňuje Evropský parlament a Radu ke stanovení pravidel týkajících se ochrany jednotlivců v souvislosti se zpracováváním osobních údajů a pravidel souvisejících s volným pohybem osobních údajů.

(11) Aby byla zajištěna jednotná úroveň ochrany jednotlivců v celé Unii a odstraněny rozdíly bránící volnému pohybu údajů v rámci vnitřního trhu, je nezbytné přijmout nařízení, které poskytne hospodářským subjektům, včetně mikropodniků, malých a středních podniků, právní jistotu a transparentnost, jednotlivcům zaručí ve všech členských státech stejná právně vymahatelná práva a správcům a zpracovatelům uloží stejné povinnosti a odpovědnosti s cílem zajistit účinné sledování zpracovávání osobních údajů a stejné sankce ve všech členských státech, jakož i účinnou spolupráci mezi orgány dozoru různých členských států. Aby byla zohledněna specifická situace mikropodniků, malých a středních podniků, obsahuje toto nařízení řadu výjimek. Kromě toho jsou orgány a subjekty Unie, členské státy a jejich orgány dozoru podporovány v tom, aby při uplatňování tohoto nařízení zohledňovaly specifické potřeby mikropodniků, malých a středních podniků. Pojem mikropodniky, malé a střední podniky by měl vycházet z doporučení Komise 2003/361/ES ze dne 6. května 2003 o definici mikropodniků, malých a středních podniků.

(12) Ochrana poskytovaná tímto nařízením se týká zpracovávání osobních údajů fyzických osob bez ohledu na jejich státní příslušnost nebo bydliště. Pokud jsou zpracovávány údaje právnických osob a zejména podniků vytvořených jako právnické osoby, např. název, právní forma a kontaktní údaje, neměly by se tyto právnické osoby domáhat ochrany na základě tohoto nařízení. To by mělo platit rovněž v případě, kdy jméno právnické osoby obsahuje jména jedné nebo více fyzických osob.

(13) Ochrana jednotlivců by měla být technologicky neutrální a nezávislá na používaných postupech, jinak by bylo riziko obcházení předpisů příliš velké. Měla by platit jak pro automatizované zpracování osobních údajů, tak pro manuální zpracování, pokud jsou nebo mají být uloženy v evidenci. Záznamy nebo soubory záznamů, stejně jako jejich titulní strany, které nejsou uspořádány podle určených hledisek, by neměly spadat do oblasti působnosti tohoto nařízení.

(14) Toto nařízení se nezabývá otázkami ochrany základních práv a svobod nebo volného pohybu údajů v souvislosti s činnostmi, které nespadají do působnosti práva Unie, ani zpracováním osobních údajů orgány, institucemi a jinými subjekty Unie, na které se vztahuje nařízení (ES) č. 45/2001[44], nebo zpracováním osobních údajů členskými státy při výkonu jejich činností v rámci společné zahraniční a bezpečnostní politiky Unie.

(15) Toto nařízení by se nemělo uplatňovat na zpracování osobních údajů fyzickou osobou, které má výlučně osobní či domácí povahu, jako je korespondence a vedení adresářů, které se neprovádí za účelem zisku, a tedy bez jakékoli souvislosti s profesní nebo obchodní činností. Obdobně by se výjimka neměla vztahovat na správce nebo zpracovatele, kteří pro tyto osobní či domácí činnosti poskytují prostředky pro zpracování osobních údajů.

(16) Ochrana fyzických osob v souvislosti se zpracováváním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů a o volném pohybu těchto údajů je upravena vlastním právním nástrojem na úrovni Unie. Proto by se toto nařízení nemělo uplatňovat při zpracovávání údajů za těmito účely. Na údaje zpracovávané orgány veřejné moci podle tohoto nařízení, pokud jsou používány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, by se však měl vztahovat konkrétnější právní nástroj na úrovni Unie (směrnice XX/YYY).

(17) Tímto nařízením by nemělo být dotčeno uplatňování směrnice 2000/31/ES, zejména pokud jde o pravidla týkající se odpovědnosti poskytovatelů zprostředkovatelských služeb uvedená v článcích 12 až 15 uvedené směrnice.

(18) Toto nařízení umožňuje při provádění ustanovení v něm uvedených vzít v úvahu zásadu práva na přístup veřejnosti k úředním dokumentům.

(19) Jakékoli zpracování osobních údajů v rámci činností provozovny správce nebo zpracovatele v Unii by mělo být prováděno v souladu s tímto nařízením bez ohledu na to, zda samotné zpracování probíhá v Unii nebo mimo ni. Provozovna předpokládá účinný a skutečný výkon činnosti prostřednictvím stálého zařízení. Právní forma této provozovny, ať již jde o pobočku nebo dceřinou společnost s právní subjektivitou, není v tomto ohledu rozhodujícím faktorem.

(20) Aby se zamezilo případům, kdy jednotlivcům nebude poskytnuta ochrana, která jim je zaručena na základě tohoto nařízení, mělo by zpracování osobních údajů subjektů údajů usazených v Unii uskutečněné správcem, jenž není usazen v Unii, podléhat tomuto nařízení, pokud zpracovávání souvisí s nabídkou zboží nebo služeb těmto subjektům údajů nebo se sledováním chování těchto subjektů údajů.

(21) Aby se určilo, zda může být zpracovávání považováno za „sledování chování“ subjektu údajů, mělo by být zjištěno, zda jsou sledovány při své činnosti na internetu za pomoci technik zpracovávání údajů, které spočívají ve vytvoření „profilu“ osoby, zejména pro přijímání rozhodnutí, která se jí týkají, nebo pro rozbor nebo předpovídání jejích osobních preferencí, postojů a jejího chování.

(22) Pokud se vnitrostátní právo členského státu uplatňuje na základě mezinárodního práva veřejného, například u diplomatické mise členského státu nebo na konzulárním zastoupení, mělo by se toto nařízení vztahovat také na správce, který není usazen v Unii.

(23) Zásady ochrany údajů by se měly uplatňovat na všechny informace týkající se identifikovaných nebo identifikovatelných osob. Při určování, zda je osoba identifikovatelná, by se mělo přihlédnout ke všem prostředkům, o nichž lze důvodně předpokládat, že je správce nebo jakákoli jiná osoba použijí pro identifikaci dané osoby. Zásady ochrany údajů by se neměly uplatňovat na údaje, které byly dostatečně anonymizovány tak, aby subjekt údajů již nebyl identifikovatelný.

(24) Při využívání on-line služeb mohou být uživateli přiřazeny elektronické identifikátory, jako jsou adresy internetového protokolu nebo identifikátory cookies, které používají jeho zařízení, aplikace, nástroje a protokoly. To může zanechávat stopy, které mohou být spolu s jedinečnými identifikátory a dalšími informacemi, které servery získávají, použity k vytvoření profilů jednotlivých osob a k jejich identifikaci. Z toho vyplývá, že identifikační čísla, lokalizační údaje, elektronické identifikátory nebo jiné specifické prvky jako takové nemusejí být nezbytně za všech okolností považovány za osobní údaje.

(25) Souhlas by měl být dán výslovně prostřednictvím vhodné metody, jež umožňuje svobodný, konkrétní a vědomý projev vůle subjektu údajů formou prohlášení nebo jednoznačného potvrzení, že jednotlivci jsou si vědomi, že dávají souhlas se zpracováním osobních údajů, například zaškrtnutím políčka při návštěvě webové stránky nebo jiným prohlášením nebo jednáním, které v tomto kontextu jasně signalizuje souhlas subjektu údajů s navrhovaným zpracováním jeho osobních údajů. Mlčení nebo nečinnost tudíž neznamenají souhlas. Souhlas by se měl vztahovat na veškeré činnosti zpracovávání prováděné pro stejný účel nebo stejné účely. Je-li subjekt údajů vyzván k vyjádření souhlasu elektronickou cestou, musí být žádost jasná, stručná a nesmí zbytečně přerušovat využívání služby, pro kterou je souhlas dáván.

(26) Mezi osobní údaje o zdravotním stavu by měly být zahrnuty zejména všechny údaje související se zdravotním stavem subjektu údajů; informace o evidenci osoby pro poskytování zdravotní péče; informace o platbách nebo způsobilosti ke zdravotní péči dané osoby; číslo, symbol nebo specifický údaj přiřazený osobě za účelem její jednoznačné identifikace pro zdravotnické účely; jakékoliv informace o osobě shromážděné během poskytování zdravotních služeb této osobě; informace získané během provádění testů nebo vyšetřování části těla nebo tělesných látek, včetně biologických vzorků; identifikace osoby, poskytující dané osobě zdravotní péči nebo jakékoli informace například o nemoci, postižení, riziku onemocnění, anamnéze, klinické léčbě nebo fyziologickém či biomedicínském stavu subjektu údajů nezávisle na jejich původu, tedy bez ohledu na to, zda pocházejí od lékaře nebo jiného zdravotníka, ze zdravotnického zařízení, ze zdravotnického prostředku či diagnostických testů in vitro.

(27) Hlavní provozovna správce v Unii by měla být určena na základě objektivních kritérií. Jedním z nich by měl být účinný a skutečný výkon řídících činností prostřednictvím stálého zařízení, v němž jsou přijímána hlavní rozhodnutí ohledně účelů, podmínek a prostředků zpracování. Přitom by nemělo být rozhodující, zda je zpracování osobních údajů skutečně prováděno na tomto místě; existence a používání technických prostředků a technologií pro zpracovávání osobních údajů nevytváří samy o sobě hlavní provozovnu, a proto nejsou rozhodujícím kritériem pro její určení. Hlavní provozovna správce by měla být místem, kde se nachází jeho ústřední správa v Unii.

(28) Skupina podniků by měla zahrnovat řídící podnik a jím řízené podniky, přičemž řídícím podnikem by měl být podnik, jenž může uplatňovat dominantní vliv na jiné podniky například na základě vlastnictví, finanční účasti nebo pravidel, kterými se podnik řídí, či pravomoci zavádět předpisy týkající se ochrany osobních údajů.

(29) Zvláštní ochranu osobních údajů si zaslouží děti, protože si mohou být méně vědomy rizik, důsledků, záruk a svých práv v souvislosti se zpracováním osobních údajů. Pro určení, kdy je osoba dítětem, by toto nařízení mělo převzít definici uvedenou v Úmluvě OSN o právech dítěte.

(30) Jakékoli zpracování osobních údajů by mělo být vůči dotčeným jednotlivcům prováděno zákonným, korektním a transparentním způsobem. Obzvláště specifické účely, pro které jsou údaje zpracovávány, by měly být jednoznačné a legitimní a stanovené v době sběru údajů. Údaje by měly být z hlediska účelů, pro které jsou zpracovávány, přiměřené, podstatné a omezené na nezbytné minimum. Proto je třeba zejména zajistit, aby se nesbíralo neúměrné množství údajů a aby doba, po kterou jsou údaje uchovávány, byla omezena na nutné minimum. Osobní údaje by měly být zpracovávány pouze za účelem zpracování, kterého nemůže být dosaženo jinými prostředky. Měla by být přijata veškerá rozumná opatření, aby nepřesné osobní údaje byly opraveny nebo vymazány. Aby se zajistilo, že údaje nebudou uchovávány déle, než je to nezbytné, měl by správce stanovit lhůty pro výmaz nebo pravidelný přezkum.

(31) Aby bylo zpracování zákonné, měly by být osobní údaje zpracovávány na základě souhlasu příslušné osoby nebo jiného oprávněného důvodu stanoveného zákonem, který vyplývá buď z tohoto nařízení nebo z jiného práva Unie nebo členského státu odkazujícího na toto nařízení.

(32) Pokud je zpracování založeno na souhlasu subjektu údajů, měl by důkazní břemeno, že subjekt údajů vyjádřil souhlas se zpracováváním, nést správce. Zejména v případě písemného prohlášení souvisejícího s jinou skutečností by mělo být pomocí záruk zajištěno, že subjekt údajů si je vědom, že dává souhlas a v jakém rozsahu.

(33) Aby se zajistilo, že souhlas je svobodný, mělo by být upřesněno, že souhlas není platným právním důvodem zpracování, pokud osoba nemá skutečnou a svobodnou volbu, a tudíž není schopna souhlas odmítnout nebo odvolat, aniž by tím byla poškozena.

(34) Vyjádření souhlasu nepředstavuje platný právní důvod zpracování osobních údajů, pokud mezi postavením subjektu údajů a správce existuje značná nerovnováha. Jedná se zejména o případ, kdy je subjekt údajů závislý na správci, například pokud osobní údaje zaměstnanců v souvislosti se zaměstnáním zpracovává zaměstnavatel. Pokud je správce orgánem veřejné moci, došlo by k nerovnováze pouze při zpracovávání specifických údajů, při němž orgán veřejné moci může na základě svých příslušných veřejných pravomocí uložit povinnost a souhlas nemůže být považován za svobodně vyjádřený souhlas, přičemž je třeba vzít v úvahu zájmy subjektu údajů.

(35) Zpracování údajů by mělo být zákonné, pokud je nezbytné v souvislosti s plněním smlouvy nebo úmyslem smlouvu uzavřít.

(36) Pokud je zpracování prováděno pro splnění právní povinnosti, které podléhá správce, nebo je nezbytné pro vykonání úkolu ve veřejném zájmu nebo při výkonu veřejné moci, mělo by mít právní základ v právu Unie nebo v právu členského státu, které v případě jakéhokoli omezení práv a svobod splňuje požadavky Listiny základních práv Evropské unie. Obdobně by mělo být v právu Unie nebo vnitrostátním právu určeno, zda by správce vykonávající úkol ve veřejném zájmu nebo při výkonu veřejné moci měl být správním úřadem nebo jinou fyzickou nebo právnickou osobou podléhající veřejnému nebo soukromému právu, například profesním sdružením.

(37) Zpracování osobních údajů by mělo být rovněž považováno za zákonné, pokud je nezbytné pro ochranu životně důležitého zájmu subjektu údajů.

(38) Oprávněné zájmy správce mohou být právním základem zpracování za předpokladu, že nepřevažují nad zájmy a základními právy a svobodami subjektu údajů. Tyto zájmy je třeba pečlivě posoudit, zejména pokud je subjektem údajů dítě, neboť děti si zaslouží zvláštní ochranu. Subjekt údajů by měl mít právo bezplatně vznést proti zpracování námitku z důvodů týkajících se jeho konkrétní situace. Pro zajištění transparentnosti by správce měl mít povinnost výslovně informovat subjekt údajů o svých oprávněných zájmech a o jeho právu vznést námitku, jakož i povinnost tyto oprávněné zájmy dokumentovat. Jelikož právní základ pro zpracování údajů orgány veřejné moci upravuje zákonodárce právním předpisem, tento právní důvod se nepoužije pro zpracovávání prováděné orgány veřejné moci při plnění jejich úkolů.

(39) Zpracování údajů orgány veřejné moci, skupinami pro reakci na počítačové hrozby, skupinami pro reakci na incidenty v oblasti počítačové bezpečnosti, poskytovateli elektronických komunikačních sítí a služeb a poskytovateli bezpečnostních technologií a služeb představuje oprávněný zájem příslušného správce údajů v rozsahu nezbytně nutném pro zajištění bezpečnosti sítě a informací, tj. schopnosti sítě nebo informačního systému odolávat, na dané úrovni spolehlivosti, náhodným událostem nebo nezákonnému či zlovolnému jednání s cílem ohrozit dostupnost, pravost, správnost a důvěrnost uchovávaných či předávaných údajů a bezpečnost souvisejících služeb poskytovaných či přístupných prostřednictvím těchto sítí a systémů. Oprávněný zájem by například mohl spočívat v zabránění neoprávněnému přístupu k sítím elektronických komunikací a šíření škodlivých kódů a zamezení útokům, jejichž důsledkem je odepření služby, a škodám na počítačových systémech a systémech elektronických komunikací.

(40) Zpracování osobních údajů pro jiné účely by mělo být přípustné pouze v případech, pokud je slučitelné s účely, pro které byly údaje původně sbírány, zejména pokud je zpracování nezbytné pro účely historiografického, statistického a vědeckého výzkumu. Pokud jiný účel není slučitelný s původním účelem, pro který byly údaje sbírány, měl by správce pro tento účel zpracování získat souhlas subjektu údajů nebo by měl při zpracování vycházet z jiného oprávněného důvodu pro zákonné zpracování, který například vyplývá z práva Unie nebo práva členského státu, kterému správce podléhá. V každém případě by mělo být zajištěno, že budou zásady stanovené tímto nařízením uplatňovány a subjekt údajů bude informován o těchto jiných účelech.

(41) Osobní údaje, které jsou ve své podstatě obzvláště citlivé a ohrožené z hlediska základních práv nebo soukromí, si zaslouží zvláštní ochranu. Tyto údaje by neměly být zpracovávány bez výslovného souhlasu subjektu údajů. Avšak měly by být jednoznačně stanoveny odchylky od tohoto zákazu, aby se vyhovělo zvláštním potřebám, zejména pokud je zpracování těchto údajů prováděno v průběhu legitimních činností některých sdružení či nadací, jejichž cílem je umožnit výkon základních svobod.

(42) Odchylky od zákazu zpracování kategorií citlivých údajů by měly být rovněž povoleny, pokud byly učiněny na základě zákona a chráněny vhodnými zárukami na ochranu osobních údajů a jiných základních práv, je-li to opodstatněno z důvodů veřejného zájmu, zejména pokud jde o zdraví, včetně veřejného zdraví, sociální ochrany a řízení zdravotnických služeb, zejména pro zajištění kvality a hospodárnosti v postupech používaných pro vyřizování nároků na plnění a služby v rámci zdravotního pojištění nebo pro účely historiografického, statistického a vědeckého výzkumu.

(43) Zpracovávání osobních údajů orgány veřejné moci za účelem dosahování cílů státem uznaných sdružení náboženské povahy, které jsou stanoveny ústavním právem nebo mezinárodním právem veřejným, se uskutečňuje z důvodů veřejného zájmu.

(44) Pokud je v rámci činností spojených s volbami pro fungování demokratického systému v členském státě třeba, aby politické strany shromažďovaly údaje týkající se politických názorů jednotlivců, může být zpracování těchto údajů povoleno z důvodu veřejného zájmu za předpokladu, že jsou stanoveny vhodné záruky.

(45) Pokud údaje zpracovávané správcem nedovolují správci identifikovat fyzickou osobu, není správce povinen získat dodatečné informace pro zjištění totožnosti subjektu údajů výlučně za účelem dosažení souladu s některým ustanovením tohoto nařízení. V případě žádosti o přístup by správce měl být oprávněn požádat subjekt údajů o další informace, jež by správci údajů umožnily lokalizovat osobní údaje, které daná osoba hledá.

(46) Zásada transparentnosti vyžaduje, aby všechny informace určené veřejnosti nebo subjektu údajů byly snadno přístupné a srozumitelné a podávané v jasném a běžně užívaném jazyce. To platí obzvláště v situacích, jako je reklama on-line, do níž je zapojeno mnoho aktérů a jejíž technologická složitost znesnadňuje subjektu údajů, aby byl informován o tom, zda jsou jeho osobní údaje shromažďovány a kdo a za jakým účelem je shromažďuje, a aby těmto informacím rozuměl. Jelikož zvláštní ochranu zasluhují děti, měly by být všechny informace a oznámení, které jsou při zpracovávání určeny především dětem, podávány v tak jasném a běžně užívaném jazyce, aby mu dítě snadno porozumělo.

(47) Měly by být stanoveny postupy, které by subjektům údajů usnadnily výkon jejich práv, jež jim podle tohoto nařízení náležejí, včetně bezplatného používání mechanismů pro podávání žádostí zejména o přístup k údajům, o opravu, výmaz, nebo práva vznést námitku. Správci by měla být uložena povinnost odpovědět na žádost subjektu údajů ve stanovené lhůtě s uvedením důvodů v případě, že žádosti subjektu údajů nevyhoví.

(48) Podle zásad korektního a transparentního zpracování by subjekt údajů měl být informován především o probíhajícím zpracování údajů a jeho účelech, o tom, jak dlouho budou údaje uchovávány, o svém právu na přístup, opravu nebo výmaz a právu podat stížnost. Pokud jsou údaje získávány od subjektu údajů, měl by subjekt údajů být rovněž informován, zda je povinen údaje poskytnout, a o důsledcích v případě, že tyto údaje neposkytne.

(49) Informování subjektu údajů o tom, že jsou zpracovávány jeho osobní údaje, by mělo proběhnout v okamžiku jejich shromažďování nebo, pokud údaje nejsou získávány od subjektu údajů, v přiměřené lhůtě v závislosti na okolnostech případu. Jestliže mohou být údaje legitimně sděleny jinému příjemci, měl by být subjekt údajů informován o prvním sdělení údajů tomuto příjemci.

(50) Tuto povinnost však není třeba ukládat, pokud je subjekt údajů již informován nebo pokud zaznamenání nebo sdělování údajů je výslovně stanoveno zákonem nebo pokud poskytnutí těchto informací subjektu údajů není možné nebo by vyžadovalo neúměrné úsilí. Druhá možnost by mohla platit zejména v případě zpracování pro účely historiografického, statistického a vědeckého výzkumu; z tohoto hlediska lze přihlédnout k počtu subjektů údajů, ke stáří údajů, jakož i k přijatým vyrovnávacím opatřením.

(51) Každá osoba by měla mít právo na přístup k údajům, které se jí týkají, a toto právo snadno uplatňovat, aby se mohla přesvědčit o zákonnosti jejich zpracování. Každý subjekt údajů by proto měl mít právo vědět a dozvědět se zejména, za jakým účelem se údaje zpracovávají, jak dlouho budou uchovávány, kdo jsou příjemci údajů, podle jakého postupu jsou údaje zpracovávány a jaké mohou být důsledky takového zpracování přinejmenším v případech, kdy je zpracování založeno na profilování. Tímto právem by neměla být dotčena práva a svobody ostatních, například obchodní tajemství nebo duševní vlastnictví a zejména autorské právo chránící programové vybavení. Tyto úvahy by ovšem neměly vést k tomu, že by subjektu údajů byly odepřeny všechny informace.

(52) Správce by měl využít všech rozumných opatření k ověření totožnosti subjektu údajů, který žádá o přístup, zejména v souvislosti s on-line službami a elektronickými identifikátory. Správce by neměl uchovávat osobní údaje pouze za tím účelem, aby mohl reagovat na případné žádosti.

(53) Každý subjekt údajů by měl mít právo na opravu osobních údajů, které se ho týkají, a „právo být zapomenut“, pokud uchovávání těchto údajů není v souladu s tímto nařízením. Subjekty údajů by především měly mít právo na to, aby jejich osobní údaje byly vymazány a nebyly dále zpracovávány, pokud tyto údaje již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány, pokud subjekty údajů odvolaly svůj souhlas se zpracováním nebo pokud vznesly námitku proti zpracování osobních údajů, které se jich týkají, nebo pokud zpracování jejich osobních údajů není slučitelné s tímto nařízením z jiných důvodů. Toto právo je obzvláště důležité v případech, kdy subjekt údajů dal svůj souhlas v dětském věku, aniž by si byl v plném rozsahu vědom rizik spojených se zpracováním údajů, a později chce tyto osobní údaje zejména na internetu odstranit. Další uchovávání údajů by však mělo být přípustné, pokud je to nezbytné pro účely historiografického, statistického a vědeckého výzkumu, z důvodů veřejného zájmu v oblasti veřejného zdraví, pro výkon práva na svobodu projevu, pokud to vyžaduje zákon nebo pokud existuje důvod pro omezení zpracování údajů namísto jejich výmazu.

(54) Aby bylo v on-line prostředí posíleno „právo být zapomenut“, mělo by být rovněž rozšířeno právo na výmaz takovým způsobem, aby správce, který zveřejnil osobní údaje, měl povinnost informovat třetí strany, které tyto údaje zpracovávají, že subjekt údajů požaduje vymazání veškerých odkazů na své osobní údaje či veškerých kopií nebo replikací těchto osobních údajů. Správce by měl vzhledem k údajům, za jejichž zveřejnění je zodpovědný, přijmout veškerá rozumná opatření, včetně technických, aby toto informování třetích stran zajistil. V souvislosti se zveřejněním osobních údajů třetí stranou by měl odpovědnost nést správce, pokud třetí straně zveřejnění povolil.

(55) Aby měly subjekty údajů větší kontrolu nad svými vlastními údaji a lépe uplatňovaly své právo na přístup, měly by v případě, kdy se osobní údaje zpracovávají elektronicky a ve strukturovaném a běžně používaném formátu, mít právo získat kopii údajů, které se jich týkají, rovněž v běžně používaném elektronickém formátu. Subjekt údajů by měl být rovněž oprávněn přenést údaje, které poskytl, z jedné automatizované aplikace, například ze sociální sítě, do jiné aplikace. To by mělo být možné v případě, kdy subjekt údajů poskytl údaje do automatizovaného systému zpracování na základě svého souhlasu nebo při plnění smlouvy.

(56) V případech, kdy by osobní údaje mohly být oprávněně zpracovávány z důvodu ochrany životně důležitých zájmů subjektu údajů, z důvodů veřejného zájmu, výkonu veřejné správy nebo oprávněných zájmů správce, měl by každý dotčený subjekt údajů přesto mít právo vznést námitku proti zpracování údajů, které se jej týkají. Důkazní břemeno, že jeho oprávněné zájmy mohou převažovat nad zájmy nebo základními právy a svobodami subjektu údajů, by měl nést správce.

(57) Pokud jsou údaje zpracovávány pro účely přímého marketingu, měl by mít subjekt údajů právo zdarma, jednoduše a účinně vznést proti tomuto zpracování námitku.

(58) Každá fyzická osoba by měla mít právo, aby se na ni nevztahovalo žádné opatření založené na profilování prostřednictvím automatizovaného zpracování. Takové opatření by ovšem mělo být přípustné, pokud je výslovně povoleno zákonem, provedeno při uzavírání nebo plnění smlouvy, nebo pokud k tomu subjekt údajů dal svůj souhlas. V každém případě by takové zpracování mělo být spojeno s vhodnými zárukami, jako je informování subjektu údajů a právo na přímý osobní kontakt, jakož i vyloučení dětí z takového opatření.

(59) Právo Unie nebo právo členského státu může zavést omezení určitých zásad a práva na informace, přístup, opravu a výmaz nebo práva na přenositelnost údajů, práva vznést námitku, opatření založených na profilování, jakož i omezení týkající se oznamování případů narušení bezpečnosti osobních údajů subjektu údajů nebo určitých souvisejících povinností správců, pokud je to v demokratické společnosti nutné a přiměřené pro zachování veřejné bezpečnosti, mimo jiné pro ochranu lidských životů zejména v reakci na přírodní nebo člověkem způsobené katastrofy, pro prevenci, vyšetřování, odhalování či stíhání trestných činů nebo pro porušování deontologických pravidel regulovaných povolání, ochranu jiných veřejných zájmů Unie nebo členského státu, zejména důležitého hospodářského nebo finančního zájmu Unie nebo členského státu, nebo ochranu subjektu údajů či práv a svobod ostatních. Tato omezení by měla být v souladu s požadavky stanovenými v Listině základních práv Evropské unie a Úmluvě o ochraně lidských práv a základních svobod.

(60) Měla by být zavedena komplexní odpovědnost správce za jakékoli zpracování osobních údajů prováděné správcem nebo jeho jménem. Správce by měl zejména zajistit, aby každé zpracování bylo v souladu s tímto nařízením, a měl by být povinen tuto skutečnost doložit.

(61) Ochrana práv a svobod subjektů údajů v souvislosti se zpracováním osobních údajů vyžaduje, aby byla přijata příslušná technická a organizační opatření jak při přípravě zpracování, tak v průběhu vlastního zpracování, s cílem zajistit splnění požadavků tohoto nařízení. Aby správce zajistil a prokázal soulad s tímto nařízením, měl by stanovit interní politiky a přijmout vhodná opatření, která splňují zejména zásady ochrany údajů již od návrhu a standardního nastavení ochrany údajů.

(62) Pro ochranu práv a svobod subjektů údajů, jakož i z hlediska odpovědnosti správců a zpracovatele je třeba také s ohledem na sledování ze strany orgánů dozoru a jejich opatření jasně vymezit odpovědnosti podle tohoto nařízení, včetně případů, kdy správce určuje účely, podmínky a prostředky zpracování společně s jinými správci nebo kdy je zpracovávání prováděno jménem správce.

(63) Pokud správce, který není usazen v Unii, zpracovává osobní údaje subjektů údajů, které mají bydliště v Unii, a toto zpracování souvisí s nabídkou zboží nebo služeb těmto subjektům údajů nebo se sledováním jejich chování, měl by jmenovat svého zástupce; výjimkou jsou případy, kdy je správce usazen ve třetí zemi, která zajišťuje odpovídající úroveň ochrany, nebo kdy je správce malým nebo středním podnikem či orgánem veřejné moci, nebo kdy správce těmto subjektům údajů nabízí zboží nebo služby jen příležitostně. Zástupce by měl jednat jménem správce a orgány dozoru se na něj mohou obracet.

(64) Aby bylo stanoveno, zda správce nabízí zboží a služby subjektu údajů, který má bydliště v Unii, jen příležitostně, mělo by být zjištěno, zda je z celkových činností správce patrné, že nabízení zboží a služeb těmto subjektům údajů představuje pouze doplňující činnost k jeho hlavním činnostem.

(65) Aby bylo prokázáno dodržování tohoto nařízení, měl by správce nebo zpracovatel vést záznamy o všech činnostech zpracování. Každý správce a zpracovatel by měl být povinen spolupracovat s orgánem dozoru a na jeho žádost mu zpřístupnit tyto záznamy, aby na jejich základě mohla být provedena kontrola zpracování.

(66) Aby byla zachována bezpečnost a zabránilo se zpracování údajů, které by bylo v rozporu s tímto nařízením, měl by správce nebo zpracovatel posoudit riziko spojené se zpracováním a přijmout opatření ke zmírnění těchto rizik. Tato opatření by měla zajistit odpovídající úroveň bezpečnosti s ohledem na stav techniky a náklady na jejich provedení v souvislosti s riziky a povahou osobních údajů, které mají být chráněny. Komise by měla při stanovování technických norem a organizačních opatření k zajištění bezpečnosti zpracování podporovat technologickou neutralitu, interoperabilitu a inovace a případně spolupracovat se třetími zeměmi.

(67) Není-li odpovídajícím způsobem a včas řešeno narušení bezpečnosti osobních údajů, může to příslušnému jednotlivci způsobit značnou hospodářskou ztrátu a společenskou škodu, včetně zneužití jeho identity. Proto by měl správce, jakmile se dozví, že došlo k takovému narušení bezpečnosti, toto narušení oznámit orgánu dozoru bez zbytečného odkladu a, je-li to možné, do 24 hodin. Pokud není možné tak učinit během 24 hodin, měly by být v oznámení vysvětleny důvody této prodlevy. Jednotlivci, jejichž osobní údaje by mohly být narušením bezpečnosti nepříznivě ovlivněny, by měli být bez prodlení vyrozuměni, aby mohli učinit nezbytná opatření. Narušení bezpečnosti by mělo být považováno za škodlivé pro ochranu údajů nebo soukromí subjektu údajů, pokud by mohlo vést například ke krádeži nebo zneužití identity, fyzické újmě, významnému ponížení nebo poškození pověsti. Oznámení by mělo popisovat povahu daného případu narušení bezpečnosti osobních údajů a obsahovat doporučení pro příslušnou osobu, jak případné nežádoucí účinky zmírnit. Oznámení by mělo být subjektu údajů učiněno co nejdříve, jak jen to je možné, a v těsné spolupráci s orgánem dozoru a podle pokynů tohoto orgánu nebo jiného příslušného orgánu (např. donucovacích orgánů). Aby mohl subjekt údajů zmírnit riziko bezprostřední škody, je například nutné subjekt údajů ihned informovat, přičemž delší lhůta může být opodstatněna, je-li potřebné přijmout vhodná opatření, která by zabránila pokračujícímu nebo obdobnému narušení bezpečnosti.

(68) Aby se určilo, zda bylo narušení bezpečnosti osobních údajů ohlášeno orgánu dozoru a subjektu údajů bez zbytečného odkladu, mělo by být prověřeno, zda správce provedl a uplatnil dostatečná technická ochranná a organizační opatření, aby se ihned zjistilo, zda došlo k narušení bezpečnosti údajů, a aby byl orgán dozoru a subjekt údajů ihned informován, a to dříve než dojde k poškození osobních a hospodářských zájmů, přičemž je třeba vzít v úvahu zejména povahu a závažnost daného narušení a jeho důsledky a nežádoucí účinky pro subjekt údajů.

(69) Při vytváření podrobných pravidel týkajících se formy a postupů oznamování případů narušení bezpečnosti osobních údajů by měly být náležitě zohledněny okolnosti případu, včetně otázky, zda byly osobní údaje chráněny vhodnými technickými ochrannými opatřeními, jež pravděpodobnost zneužití totožnosti a jiných forem zneužívání účinně omezují. Tato pravidla a postupy by navíc měly vzít v úvahu oprávněné zájmy donucovacích orgánů v případech, kdy by předčasné zveřejnění mohlo zbytečně ztížit vyšetřování okolností narušení.

(70) Směrnice 95/46/ES stanovovala obecnou povinnost oznamovat zpracování osobních údajů orgánům dozoru. Jelikož tato povinnost s sebou nesla administrativní a finanční zátěž, nepřispívala ve všech případech ke zlepšení ochrany osobních údajů. Proto by měla být tato nerozlišující obecná oznamovací povinnost zrušena a nahrazena účinnými postupy a mechanismy, které by se místo toho zaměřovaly na ty činnosti zpracování, jež mohou na základě své povahy, svého rozsahu a svých účelů představovat specifická rizika z hlediska práv a svobod subjektů údajů. V těchto případech by měl správce nebo zpracovatel před zpracováním provést posouzení dopadu na ochranu údajů, jež by mělo zejména obsahovat plánovaná opatření, záruky a mechanismy pro zajištění ochrany osobních údajů a prokázání souladu s tímto nařízením.

(71) To by mělo platit zejména pro nově vytvořené rozsáhlé evidence, jež mají sloužit ke zpracovávání značného množství osobních údajů na regionální, národní nebo nadnárodní úrovni a jež by se mohly týkat velkého počtu subjektů údajů.

(72) Za určitých okolností může být rozumné a z hospodářského hlediska smysluplné, aby posouzení dopadu na ochranu údajů bylo pojato šířeji než pro jeden jediný projekt, například když orgány veřejné moci nebo veřejné subjekty mají v úmyslu vytvořit společnou aplikaci nebo platformu zpracování, nebo když několik správců chce zavést společnou aplikaci nebo zpracovatelské prostředí pro celé průmyslové odvětví nebo pro určitý segment nebo pro široce užívanou horizontální činnost.

(73) Posouzení dopadu na ochranu údajů by měl vypracovat orgán veřejné moci nebo veřejný subjekt, pokud takové posouzení dopadů nebylo vypracováno již v souvislosti s přijetím vnitrostátního zákona, na jehož základě orgán veřejné moci nebo veřejný subjekt plní své úkoly a který upravuje dané specifické úkony nebo soubory úkonů spojené se zpracováním.

(74) Pokud z posouzení dopadu na ochranu údajů vyplývá, že zpracovávání s sebou nese vysoké specifické riziko z hlediska práv a svobod subjektů údajů, například riziko, že dané osoby nebudou moci uplatnit své právo na ochranu údajů, nebo riziko plynoucí z využití nových specifických technologií, měl by být před zahájením činností konzultován orgán dozoru ohledně rizikového zpracování, které možná není v souladu s tímto nařízením, aby předložil návrhy na nápravu této situace. Tato konzultace může být rovněž uskutečněna během přípravy legislativního opatření vnitrostátního parlamentu nebo opatření založeného na tomto legislativním opatření, které vymezuje povahu zpracování a stanoví vhodné záruky.

(75) Pokud je zpracování prováděno ve veřejném sektoru nebo velkým soukromým podnikem, nebo pokud hlavní činnosti podniku bez ohledu na jeho velikost zahrnují zpracovávání, jež vyžaduje pravidelné a systematické sledování, měla by správci nebo zpracovateli při sledování toho, zda je v rámci podniku dodržován soulad s tímto nařízením, asistovat další osoba. Tito inspektoři ochrany údajů, bez ohledu na to, zda se jedná o zaměstnance správce, či nikoli, by měli plnit své povinnosti a úkoly nezávisle.

(76) Sdružení nebo jiné subjekty zastupující určité kategorie správců by měly být podněcovány k tomu, aby v souladu s tímto nařízením vypracovaly kodexy chování s cílem usnadnit účinné uplatňování tohoto nařízení, a to při zohlednění zvláštní povahy zpracování v některých oblastech.

(77) Aby se zvýšila transparentnost a zlepšilo dodržování tohoto nařízení, mělo by být podpořeno zavedení mechanismů pro vydávání osvědčení, pečetí a známek dokládajících ochranu údajů, aby subjekty údajů mohly rychle zhodnotit úroveň ochrany údajů u příslušných produktů a služeb.

(78) Přeshraniční pohyb osobních údajů je nezbytný pro rozvoj mezinárodního obchodu a mezinárodní spolupráce. Nárůst tohoto pohybu s sebou přinesl nové výzvy a problémy ohledně ochrany osobních údajů. Pokud jsou však osobní údaje předávány z Unie do třetích zemí nebo mezinárodním organizacím, neměla by být úroveň ochrany jednotlivců zaručovaná v Unii tímto nařízením oslabována. V každém případě by předávání do třetích zemí mělo být prováděno pouze za přísného dodržování tohoto nařízení.

(79) Tímto nařízením nejsou dotčeny mezinárodní dohody uzavřené mezi Unií a třetími zeměmi o předávání osobních údajů včetně vhodných záruk pro subjekty údajů.

(80) Komise může s účinkem pro celou Unii rozhodnout, že určité třetí země nebo území či odvětví zpracovávání v dané třetí zemi nebo určitá mezinárodní organizace zajišťují vhodnou úroveň ochrany údajů, a tímto způsobem ve vztahu k třetím zemím nebo mezinárodním organizacím, které jsou považovány za schopné poskytovat takovou úroveň ochrany, zajišťují právní jistotu a jednotné uplatňování práva v celé Unii. V těchto případech mohou být osobní údaje do těchto zemí předávány, aniž by bylo třeba získat další povolení.

(81) V souladu se základními hodnotami, na kterých je Unie založena a mezi něž patří zejména ochrana lidských práv, by Komise měla při svém hodnocení třetí země zohlednit, jak daná třetí země respektuje právní stát, přístup k spravedlnosti a mezinárodní normy a standardy v oblasti lidských práv.

(82) Komise může rovněž uznat, že třetí země nebo území či odvětví zpracovávání v dané třetí zemi nebo určitá mezinárodní organizace nezajišťuje přiměřenou úroveň ochrany údajů. Předávání osobních údajů do této třetí země by tudíž mělo být zakázáno. V tomto případě by měly být naplánovány konzultace mezi Komisí a těmito třetími zeměmi nebo mezinárodními organizacemi.

(83) V případě absence rozhodnutí o přiměřenosti by správce nebo zpracovatel měl k odstranění nedostatků v oblasti ochrany údajů ve třetí zemí přijmout vhodné záruky pro ochranu subjektu údajů. Tyto vhodné záruky mohou spočívat ve využívání závazných podnikových pravidel, standardních doložek o ochraně údajů přijatých Komisí, standardních doložek o ochraně údajů přijatých orgánem dozoru nebo smluvních doložek schválených orgánem dozoru nebo jiných vhodných a přiměřených opatření opodstatněných na základě všech okolností spojených s předáváním údajů nebo řady údajů, které byly schváleny orgánem dozoru.

(84) Skutečnost, že správci a zpracovatelé mohou používat standardní doložky o ochraně údajů přijaté Komisí nebo orgánem dozoru, by neměla správcům a zpracovatelům bránit v tom, aby zahrnuli standardní doložky o ochraně údajů i do rozsáhlejších smluv nebo doplnili jiné doložky, pokud tyto nejsou v přímém či nepřímém rozporu se standardními smluvními doložkami přijatými Komisí nebo orgánem dozoru nebo pokud neomezují práva a svobody subjektů údajů.

(85) Skupina podniků by měla mít možnost pro své mezinárodní předávání údajů z Unie organizacím ve stejné skupině podniků využívat schválená závazná podniková pravidla, pokud tato pravidla obsahují základní zásady a vymahatelná práva pro zajištění vhodných záruk pro předávání nebo kategorie předávání osobních údajů.

(86) Měla by být stanovena možnost předávat údaje za určitých okolností, pokud subjekt údajů dal svůj souhlas, pokud je předávání nezbytné v souvislosti se smlouvou anebo s uplatňováním právního nároku, pokud je to nutné z důvodů důležitého veřejného zájmu stanoveného právem Unie nebo členského státu nebo pokud je předávání prováděno z rejstříku zřízeného ze zákona, přístupného veřejnosti nebo osobám s oprávněným zájmem. V tomto případě by se takové předání nemělo týkat všech údajů ani celých kategorií údajů obsažených v tomto rejstříku, a pokud má být rejstřík přístupný osobám s oprávněným zájmem, mělo by být předání uskutečněno pouze na žádost těchto osob nebo pokud jsou tyto osoby jejich příjemci.

(87) Tyto odchylky se uplatní zejména v případech, kdy jsou předání údajů požadovaná a nutná k ochraně důležitého veřejného zájmu, například v případech mezinárodního předávání údajů mezi příslušnými orgány pro hospodářskou soutěž, daňovými či celními správami, orgány finančního dohledu, útvary příslušnými v oblasti sociálního zabezpečení nebo příslušnými orgány pro prevenci, vyšetřování, odhalování či stíhání trestných činů.

(88) Předání, které nelze označit za časté nebo značného rozsahu, by mohla být možná rovněž pro účely oprávněných zájmů správce nebo zpracovatele, pokud posoudil všechny okolnosti daného předání údajů. Při zpracování údajů pro účely historiografického, statistického a vědeckého výzkumu by měla být zohledněna oprávněná očekávání společnosti ohledně zvyšování znalostí.

(89) V každém případě, pokud Komise nepřijala rozhodnutí o odpovídající úrovni ochrany údajů ve třetí zemi, by měl správce nebo zpracovatel využít řešení, na jejichž základě je zaručeno, že jakmile jsou údaje předány, subjekty údajů i nadále požívají základních práv a záruk platných při zpracování jejich údajů v Unii.

(90) Některé třetí země přijaly zákony, nařízení a jiné právní předpisy, které mají přímo upravovat zpracovávání údajů ze strany fyzických nebo právnických osob spadajících do pravomoci členských států. Používání těchto zákonů, nařízení a jiných právních předpisů mimo území těchto třetích zemí může znamenat porušení mezinárodního práva a narušovat ochranu fyzických osob zaručenou v Unii tímto nařízením. Předávání údajů by mělo být přípustné jen tehdy, jsou-li splněny podmínky předávání údajů do třetích zemí stanovené v tomto nařízení. Tak tomu může být například v případě, kdy je sdělení údajů nezbytné z důvodu důležitého veřejného zájmu, jenž je uznán v právu Unie nebo v právu členského státu, kterému správce podléhá. Podmínky, za jakých se jedná o důvod důležitého veřejného zájmu, by měla Komise blíže vymezit v aktu v přenesené pravomoci.

(91) Při předávání osobních údajů přes hranice se jednotlivci mohou vystavovat vyššímu riziku, že nebudou schopni vykonávat svá práva na ochranu údajů, zejména se chránit před nezákonným použitím nebo zveřejňováním těchto informací. Zároveň se může stát, že orgány dozoru nebudou schopny vyřizovat stížnosti nebo provádět šetření týkající se činností prováděných za hranicemi svého státu. Překážkou pro jejich úsilí o přeshraniční spolupráci mohou být také nedostatečné preventivní a nápravné pravomoci, nejednotné právní řády a praktické překážky, například omezené zdroje. Proto je třeba podporovat užší spolupráci mezi orgány dozoru pro ochranu údajů s cílem umožnit jim výměnu informací a provádění šetření ve spolupráci s orgány dozoru jiných zemí.

(92) Zřízení orgánů dozoru vykonávajících zcela nezávisle své úkoly v členských státech je zásadním prvkem ochrany jednotlivců v souvislosti se zpracováním osobních údajů. Členské státy mohou zřídit více než jeden orgán dozoru, pokud to odpovídá jejich ústavní, organizační a administrativní struktuře.

(93) Pokud členský stát zřídí několik orgánů dozoru, měl by zavést právní nástroje, které by zajistily účinnou účast těchto orgánů dozoru v mechanismu jednotnosti. Tento členský stát by měl zejména jmenovat orgán dozoru, jenž bude fungovat jako jediné kontaktní místo pro účinnou účast těchto orgánů v mechanismu a jenž zajistí rychlou a plynulou spolupráci s ostatními orgány dozoru, Evropskou radou pro ochranu údajů a Komisí.

(94) Každému orgánu dozoru by měly být poskytnuty odpovídající finanční a lidské zdroje, prostory a infrastruktura, které bude potřebovat pro účinné vykonávání svých úkolů, včetně úkolů, jež bude plnit v rámci vzájemné pomoci a spolupráce s ostatními orgány dozoru v celé Unii.

(95) Obecné podmínky pro členy orgánu dozoru by měly být v každém členském státě upraveny právním předpisem a zejména by měly stanovit, že tito členové by měli být jmenováni parlamentem nebo vládou členského státu, a dále by měly obsahovat pravidla o osobní způsobilosti členů a jejich postavení.

(96) Orgány dozoru by měly sledovat uplatňování ustanovení tohoto nařízení a přispívat k jejich jednotnému uplatňování v celé Unii s cílem chránit fyzické osoby v souvislosti se zpracováváním jejich osobních údajů a usnadnit volný pohyb osobních údajů v rámci vnitřního trhu. Za tímto účelem by orgány dozoru měly spolupracovat s Komisí a mezi sebou.

(97) Dochází-li ke zpracování osobních údajů v rámci činnosti některé provozovny správce nebo zpracovatele ve více členských státech Unie, měl by být k dohledu nad činnostmi prováděnými správcem či zpracovatelem v celé Unii a k přijímání souvisejících rozhodnutí příslušný jen jediný orgán dozoru, aby se zlepšilo jednotné uplatňování předpisů, poskytla právní jistota a snížila administrativní zátěž těchto správců a zpracovatelů.

(98) Příslušný orgán, který převezme úkoly jediného kontaktního místa, by měl být orgán dozoru toho členského státu, v němž má správce nebo zpracovatel hlavní provozovnu.

(99) Ačkoli se toto nařízení vztahuje také na činnosti vnitrostátních soudů, neměly by být orgány dozoru příslušné k dozoru nad zpracováním osobních údajů, pokud soudy jednají v rámci svých soudních pravomocí, aby byla zachována nezávislost soudců při výkonu jejich soudních úkolů. Tato výjimka by však měla být striktně omezena na čistě soudní činnosti v soudních řízeních a neměla by se vztahovat na jiné činnosti, do kterých mohou být soudci v souladu s vnitrostátním právem zapojeni.

(100) Aby se zajistilo jednotné sledování a prosazování tohoto nařízení v celé Unii, měly by mít orgány dozoru v každém členském státě tytéž povinnosti a účinné pravomoci, včetně pravomocí provádět šetření, právně závazné zásahy, přijímat rozhodnutí a sankce, zejména v případech stížností jednotlivců, a pravomoci obrátit se na soud. Orgány dozoru by měly své pravomoci provádět šetření, pokud jde o zpřístupňování prostorů, vykonávat v souladu s právem Unie a právem členského státu. To se týká zejména požadavku získat předchozí soudní povolení.

(101) Každý orgán dozoru by se měl zabývat stížnostmi podanými kterýmkoli subjektem údajů a záležitost prošetřit. Šetření, které následuje po podání stížnosti, by mělo být s výhradou soudního přezkumu provedeno v rozsahu, jenž je v daném případě přiměřený. Orgán dozoru by měl subjekt údajů v rozumné lhůtě informovat o vývoji a výsledku stížnosti. Subjekt údajů by měl být průběžně informován v případě, kdy je zapotřebí další šetření nebo koordinace s jiným orgánem dozoru.

(102) Činnosti orgánů dozoru, jejichž cílem je zvyšování povědomí veřejnosti, by měly zahrnovat specifická opatření zaměřená na správce a zpracovatele, včetně mikropodniků, malých a středních podniků, jakož i na subjekty údajů.

(103) Orgány dozoru by si měly při provádění svých úkolů vzájemně pomáhat, aby bylo zajištěno jednotné uplatňování a prosazování tohoto nařízení na vnitřním trhu.

(104) Každý orgán dozoru by měl mít právo účastnit se společných operací orgánů dozoru. Dožadovaný orgán dozoru byl měl mít povinnost odpovědět na žádost ve stanovené lhůtě.

(105) Aby bylo zajištěno jednotné uplatňování tohoto nařízení v celé Unii, měl by být zaveden mechanismus jednotnosti pro spolupráci mezi orgány dozoru a s Komisí. Tento mechanismus by se měl použít především tehdy, má-li orgán dozoru v úmyslu přijmout opatření ohledně jednotlivých činností zpracování, které souvisejí s nabídkou zboží nebo služeb subjektům údajů v několika členských státech, nebo se sledováním těchto subjektů údajů nebo které by mohly významně ovlivnit volný pohyb osobních údajů. Měl by se použít také v případě, kdy orgán dozoru nebo Komise žádají, aby byla záležitost projednávána v rámci mechanismu jednotnosti. Tímto mechanismem by neměla být dotčena jiná opatření, která by Komise mohla přijmout při výkonu svých pravomocí podle Smluv.

(106) Při použití mechanismu jednotnosti by Evropská rada pro ochranu údajů, pokud tak rozhodne prostá většina jejích členů nebo pokud o to požádá jiný orgán dozoru či Komise, měla ve stanovené lhůtě vydat stanovisko.

(107) Aby byl zajištěn soulad s tímto nařízením, může Komise v této záležitosti zaujmout stanovisko nebo přijmout rozhodnutí, kterým po orgánu dozoru bude vyžadovat, aby přijetí navrhovaného opatření odložil.

(108) Může se vyskytnout naléhavá potřeba jednat, aby byly ochráněny zájmy subjektů údajů, zejména pokud hrozí, že výkon některého z práv subjektu údajů by mohl být značně ztížen. Orgán dozoru by proto měl při použití mechanismu jednotnosti mít možnost přijmout dočasná opatření se stanovenou dobou platnosti.

(109) Použití tohoto mechanismu by mělo být podmínkou pro právní platnost a prosazování příslušného rozhodnutí orgánem dozoru. V ostatních případech s přeshraničním rozměrem by si mohly příslušné orgány dozoru na dvoustranné nebo mnohostranné úrovni poskytovat vzájemnou pomoc a provádět společná šetření, aniž by použily mechanismus jednotnosti.

(110) Na úrovni Unie by měla být zřízena Evropská rada pro ochranu údajů. Tato Rada by měla nahradit pracovní skupinu pro ochranu fyzických osob v souvislosti se zpracováním osobních údajů zřízenou směrnicí 95/46/ES. Měla by být složena z vedoucího orgánu dozoru každého členského státu a evropského inspektora ochrany údajů. Komise by se měla jejích činností účastnit. Evropská rada pro ochranu údajů by měla přispívat k jednotnému uplatňování tohoto nařízení v celé Unii, například poskytovat Komisi poradenství a podporovat spolupráci orgánů dozoru v celé Unii. Evropská rada pro ochranu údajů by měla při plnění svých úkolů jednat nezávisle.

(111) Každý subjekt údajů by měl mít právo podat stížnost orgánu dozoru v jakémkoli členském státě a mít právo na soudní opravný prostředek, jestliže se domnívá, že byla porušena jeho práva podle tohoto nařízení, nebo pokud orgán dozoru na stížnost nereaguje nebo nejedná, přestože je to nutné pro ochranu práva subjektu údajů.

(112) Veškeré subjekty, organizace nebo sdružení, jejichž cílem je chránit práva a zájmy subjektů údajů v souvislosti s ochranou jejich osobních údajů a jež byly řádně zřízeny podle práva některého členského státu, by měly mít právo vznést jménem subjektů údajů stížnost k orgánu dozoru nebo uplatnit právo na soudní opravný prostředek, nebo nezávisle na stížnosti subjektu údajů podat vlastní stížnost, jestliže se domnívají, že došlo k narušení bezpečnosti osobních údajů.

(113) Každá fyzická nebo právnická osoba by měla mít právo na soudní opravný prostředek proti rozhodnutím orgánu dozoru, která se jí týkají. Řízení proti orgánu dozoru by se měla zahajovat před soudy toho členského státu, v němž je daný orgán dozoru usazen.

(114) Aby byla posílena soudní ochrana subjektu údajů v situacích, kdy je příslušný orgán dozoru usazen v jiném členském státě než je stát, ve kterém má subjekt údajů bydliště, může subjekt údajů požádat jakýkoli subjekt, organizaci nebo sdružení, jejichž cílem je chránit práva a zájmy subjektů údajů v souvislosti s ochranou jejich osobních údajů, aby proti tomuto orgánu dozoru v tomto jiném členském státě jeho jménem zahájil u příslušného soudu řízení.

(115) V případech, kdy příslušný orgán dozoru usazený v jiném členském státě v souvislosti se stížností nejedná nebo přijal nedostatečná opatření, může subjekt údajů požádat orgán dozoru v členském státě svého obvyklého pobytu, aby proti tomuto orgánu dozoru v tomto jiném členském státě zahájil u příslušného soudu řízení. Dožadovaný orgán dozoru může s výhradou soudního přezkumu rozhodnout, zda je vhodné této žádosti vyhovět či nikoli.

(116) Při řízeních proti správci nebo zpracovateli by žalobce měl mít možnost volby, zda podá žalobu u soudů členského státu, kde je správce nebo zpracovatel usazen nebo kde má subjekt údajů bydliště, s výjimkou případů, kdy je správce orgánem veřejné moci, který jedná v rámci výkonu veřejné moci.

(117) Existují-li náznaky, že řízení probíhá paralelně u soudů v různých členských státech, měly by soudy mít povinnost vzájemně se kontaktovat. Soudy by měly mít možnost řízení odročit, pokud řízení probíhá paralelně v jiném členském státě. Členské státy by měly zajistit, aby existovaly účinné soudní prostředky, které by umožňovaly rychlé přijetí opatření, jež by vedla k nápravě nebo by zabránila porušování tohoto nařízení.

(118) Veškeré škody, které mohou vzniknout osobám v důsledku protiprávního zpracování by měly být nahrazeny správcem nebo zpracovatelem, který může být zproštěn své odpovědnosti, pokud prokáže, že vznik škody mu nelze přičítat, zejména pokud prokáže chybu subjektu údajů nebo případ vyšší moci.

(119) Každé osobě, ať již podléhá soukromému či veřejnému právu, která nebude dodržovat toto nařízení, by měly být uloženy sankce. Členské státy by měly zajistit, že sankce budou účinné, přiměřené a odrazující, a měly by přijmout veškerá opatření pro uplatnění sankcí.

(120) Aby byly posíleny a harmonizovány správní sankce za porušení tohoto nařízení, měl by každý orgán dozoru mít pravomoc trestat správní přestupky. Tyto přestupky by měly být uvedeny v tomto nařízení spolu s maximální hranicí odpovídajících správních pokut, které by měly být stanoveny v každém jednotlivém případě poměrně ke konkrétní situaci a s ohledem zejména na povahu, závažnost a dobu trvání daného porušení. V rámci mechanismu jednotnosti mohou být projednávány také odchylky při používání správních sankcí.

(121) Zpracování osobních údajů prováděné výlučně pro účely žurnalistiky nebo uměleckého či literárního projevu by mělo opravňovat k výjimce z některých ustanovení tohoto nařízení za účelem uvedení práva na ochranu osobních údajů do souladu s právem na svobodu projevu, a především s právem získávat nebo sdělovat informace tak, jak to zejména zaručuje článek 11 Listiny základních práv Evropské unie. To by mělo platit zejména pro zpracování osobních údajů v audiovizuální oblasti a ve zpravodajských a tiskových archivech. Členské státy by proto měly přijmout legislativní opatření pro stanovování odchylek a výjimek, které jsou nezbytné pro vyvážení těchto základních práv. Členské státy by měly tyto odchylky a výjimky přijímat s ohledem na obecné zásady, práva subjektu údajů, správce a zpracovatele, předávání údajů do třetích zemí nebo mezinárodním organizacím, nezávislé orgány dozoru a na spolupráci a jednotné použití. To by ovšem nemělo vést k tomu, aby členské státy přijímaly výjimky pro jiná ustanovení tohoto nařízení. Aby byl zohledněn význam práva na svobodu projevu v každé demokratické společnosti, je třeba vykládat pojmy související s touto svobodou, například žurnalistika, šířeji. Členské státy by proto měly za účelem stanovení výjimek a odchylek podle tohoto nařízení vymezit „žurnalistické“ činnosti jako činnosti, jejichž cílem je sdělení informací, názorů či myšlenek veřejnosti bez ohledu na to, jaký sdělovací prostředek se použije. Tyto činnosti lze provozovat za účelem zisku či k neziskovým účelům a neměly by být omezeny na mediální podniky.

(122) Zpracování osobních údajů o zdravotním stavu jako zvláštní kategorie údajů, která si zasluhuje vyšší stupeň ochrany, může být často odůvodněno řadou oprávněných důvodů ve prospěch jednotlivců a společnosti jako celku, zejména pokud jde o zajištění kontinuity přeshraniční zdravotní péče. Toto nařízení by proto mělo s využitím vhodných a zvláštních záruk na ochranu základních práv a osobních údajů jednotlivců harmonizovat podmínky zpracování osobních údajů o zdravotním stavu. To zahrnuje právo jednotlivců na přístup k osobním údajům o svém zdravotním stavu, například k údajům ve své lékařské dokumentaci, která obsahuje například informace o diagnóze, výsledky vyšetření, posudky ošetřujících lékařů a údaje o léčbě a údaje o veškerých provedených ošetřeních nebo zákrocích.

(123) Z důvodů veřejného zájmu v oblasti veřejného zdraví může být nezbytné zpracovávat osobní údaje o zdravotním stavu bez souhlasu subjektu údajů. V této souvislosti by mělo být „veřejné zdraví“ vykládáno ve smyslu definice v nařízení Evropského parlamentu a Rady (ES) č. 1338/2008 ze dne 16. prosince 2008 o statistice Společenství v oblasti veřejného zdraví a bezpečnosti a ochrany zdraví při práci jako veškeré prvky týkající se zdraví, zejména zdravotní stav včetně nemocnosti a zdravotního postižení, determinanty ovlivňující tento zdravotní stav, potřeby zdravotní péče, prostředky přidělené na zdravotní péči, poskytování zdravotní péče a její všeobecná dostupnost, výdaje na zdravotní péči a její financování a příčiny úmrtnosti. Takové zpracování osobních údajů o zdravotním stavu z důvodu veřejného zájmu by nemělo vést k tomu, aby třetí strany, jako jsou zaměstnavatelé, pojišťovny a finanční společnosti, zpracovávaly osobní údaje pro jiné účely.

(124) Obecné zásady ochrany jednotlivců při zpracování osobních údajů by měly platit také v souvislosti se zaměstnáním. V mezích tohoto nařízení by měly členské státy mít možnost přijmout právním předpisem zvláštní pravidla, která upraví zpracovávání osobních údajů zaměstnanců v souvislosti se zaměstnáním.

(125) Aby bylo zpracování osobních údajů pro účely historiografického, statistického a vědeckého výzkumu zákonné, mělo by také respektovat další příslušné právní předpisy, upravující například klinické studie.

(126) Vědecký výzkum by pro účely tohoto nařízení měl zahrnovat základní výzkum, aplikovaný výzkum a výzkum financovaný ze soukromých zdrojů a kromě toho by měl zohledňovat cíl Unie podle čl. 179 odst. 1 Smlouvy o fungování Evropské unie, tj. vytvořit evropský výzkumný prostor.

(127) Pokud jde o pravomoci orgánů dozoru získat od správce nebo zpracovatele přístup k osobním údajům a přístup do jejich prostorů, mohou členské státy v mezích tohoto nařízení právním předpisem přijmout zvláštní pravidla pro ochranu povinnosti zachovávat profesní tajemství nebo jiné rovnocenné povinnosti mlčenlivosti, pokud je to nezbytné pro uvedení práva na ochranu osobních údajů do souladu s povinností zachovávat profesní tajemství.

(128) V souladu s článkem 17 Smlouvy o fungování Evropské unie toto nařízení respektuje a nepředjímá postavení církví a náboženských sdružení či spolků v členských státech podle vnitrostátního právního řádu. Jestliže církev v některém členském státě v době vstupu tohoto nařízení v platnost uplatňuje komplexní pravidla týkající se ochrany jednotlivců v souvislosti se zpracováváním osobních údajů, tato existující pravidla by měla nadále platit za předpokladu, že se uvedou do souladu s tímto nařízením. Tyto církve a náboženská sdružení by měly mít povinnost zajistit zřízení zcela nezávislého orgánu dozoru.

(129) Aby byly splněny cíle tohoto nařízení, zejména chránit základní práva a svobody fyzických osob a především jejich právo na ochranu osobních údajů a zajistit volný pohyb osobních údajů v rámci Unie, měla by být na Komisi převedena pravomoc přijímat akty v souladu s článkem 290 Smlouvy o fungování Evropské unie. Akty v přenesené pravomoci by měly být přijímány především s ohledem na zákonnost zpracování, vymezování kritérií a podmínek v souvislosti se souhlasem dítěte, zpracování zvláštních kategorií údajů, vymezování kritérií a podmínek určování zjevné nepřiměřenosti žádostí a poplatků pro výkon práv subjektu údajů, kritérií a požadavků pro informování subjektu údajů a v souvislosti s právem na přístup, právem být zapomenut a právem na výmaz, opatření založená na profilování, kritéria a požadavky v souvislosti s odpovědností správce a ochranou údajů již od návrhu a standardním nastavením ochrany údajů, na zpracovatele, na kritéria a požadavky na dokumentaci a bezpečnost zpracování, kritéria a požadavky, pokud jde o zjišťování případů narušení bezpečnosti osobních údajů a jejich oznamování orgánu dozoru a okolnosti, za jakých se narušení bezpečnosti osobních údajů pravděpodobně nepříznivě dotkne subjektu údajů, kritéria a podmínky zpracovávání, pro které je třeba vypracovat posouzení dopadu na ochranu údajů, kritéria a požadavky pro určování vysokého stupně specifických rizik vyžadujících předchozí konzultaci, určení inspektora ochrany údajů a jeho úkolů, kodexy chování, kritéria a požadavky týkající se mechanismů pro vydávání osvědčení, kritéria a požadavky předávání založeného na závazných podnikových pravidlech, na odchylky v předávání údajů, správní sankce, zpracovávání údajů pro zdravotní účely, zpracovávání údajů v souvislosti se zaměstnáním a zpracovávání údajů pro účely historiografického, statistického a vědeckého výzkumu. Je zvláště důležité, aby Komise v rámci přípravné činnosti vedla odpovídající konzultace, a to i na odborné úrovni. Při přípravě a vypracovávání aktů v přenesené pravomoci by Komise měla zajistit, aby byly příslušné dokumenty předány současně, včas a vhodným způsobem Evropskému parlamentu a Radě.

(130) V zájmu zajištění jednotných podmínek pro provádění tohoto nařízení je třeba svěřit Komisi prováděcí pravomoci za účelem stanovení standardních formulářů pro zpracovávání osobních údajů dítěte, standardních postupů a formulářů pro výkon práv subjektu údajů, standardních formulářů pro informování subjektu údajů, standardních formulářů a postupů v souvislosti s právem na přístup a právem na přenositelnost údajů, standardních formulářů v souvislosti s odpovědností správce za ochranu údajů již od návrhu a za standardní nastavení ochrany údajů a za dokumentaci, specifických požadavků na bezpečnost zpracování, standardních formulářů a postupů ohlašování případů narušení bezpečnosti osobních údajů orgánu dozoru a oznamování případů narušení bezpečnosti osobních údajů subjektu údajů, standardů a postupů pro posouzení dopadů na ochranu údajů, formulářů a postupů pro předchozí povolení nebo předchozí konzultaci, technických norem a mechanismů pro vydávání osvědčení, stanovení odpovídající úrovně ochrany poskytované třetí zemí nebo územím či odvětvím zpracovávání v třetí zemi nebo mezinárodní organizací, sdělování údajů nedovoleném právem Unie, vzájemné pomoci, společných operací a rozhodnutích v rámci mechanismu jednotnosti. Tyto pravomoci by měly být vykonávány v souladu s nařízením Evropského parlamentu a Rady (EU) č. 182/2011 ze dne 16. února 2011, kterým se stanoví pravidla a obecné zásady způsobu, jakým členské státy kontrolují Komisi při výkonu prováděcích pravomocí[45]. Komise v této souvislosti zváží zvláštní opatření, zejména pro správce, kteří jsou mikropodniky, malými a středními podniky.

(131) Přezkumný postup by se měl použít při přijímání standardních formulářů v souvislosti se souhlasem dítěte, standardních postupů a formulářů pro výkon práv subjektu údajů, standardních formulářů pro informování subjektu údajů, standardních formulářů a postupů v souvislosti s právem na přístup, právem na přenositelnost údajů, standardních formulářů v souvislosti s odpovědností správce za ochranu údajů již od návrhu a za standardní nastavení ochrany údajů a za dokumentaci, při přijímání specifických požadavků na bezpečnost zpracování, standardních formulářů a postupů ohlašování případů narušení bezpečnosti osobních údajů orgánu dozoru a oznamování případů narušení bezpečnosti osobních údajů subjektu údajů, standardů a postupů pro posouzení dopadů na ochranu údajů, formulářů a postupů pro předchozí povolení nebo předchozí konzultaci, technických norem a mechanismů pro vydávání osvědčení, odpovídající úrovně ochrany poskytované třetí zemí nebo územím či odvětvím zpracovávání v třetí zemi nebo mezinárodní organizací, při sdělování údajů nedovoleném právem Unie, vzájemné pomoci, společných operací a rozhodnutích v rámci mechanismu jednotnosti, za předpokladu, že se jedná o akty s obecnou působností.

(132) Komise by měla v řádně odůvodněných a krajně naléhavých případech týkajících se třetí země nebo území nebo odvětví zpracování v této třetí zemi nebo mezinárodní organizace, která nezajišťuje přiměřenou úroveň ochrany, a související se záležitostmi, které byly sděleny orgánům dozoru v rámci mechanismu jednotnosti, přijmout okamžitě uplatnitelné prováděcí akty.

(133) Vzhledem k tomu, že cílů tohoto nařízení, totiž zajištění přiměřené ochrany jednotlivců a volného pohybu údajů v Unii, nelze uspokojivě dosáhnout na úrovni členských států, a proto jich lze z důvodu rozsahu a účinků tohoto nařízení lépe dosáhnout na úrovni Unie, může Unie přijmout opatření v souladu se zásadou subsidiarity stanovenou v článku 5 Smlouvy o Evropské unii. V souladu se zásadou proporcionality stanovenou v uvedeném článku nepřekračuje toto nařízení rámec toho, co je nezbytné pro dosažení těchto cílů.

(134) Směrnice 95/46/ES by tudíž měla být tímto nařízením zrušena. Avšak přijatá rozhodnutí Komise a schválení orgánů dozoru vycházející ze směrnice 95/46/ES by měla zůstat v platnosti.

(135) Toto nařízení by se mělo použít na všechny záležitosti týkající se ochrany základních práv a svobod při zpracovávání osobních údajů, na které se nevztahují specifické povinnosti stanovené ve směrnici 2002/58/ES a sledující stejný cíl, včetně povinností správce a práv jednotlivců. Za účelem vyjasnění vztahu mezi tímto nařízením a směrnicí 2002/58/ES by měla být tato směrnice odpovídajícím způsobem změněna.

(136) Pokud jde o Island a Norsko, rozvíjí toto nařízení v míře, v jaké se uplatňuje na zpracování osobních údajů ze strany orgánů zapojených do provádění tohoto acquis, ustanovení schengenského acquis ve smyslu Dohody uzavřené mezi Radou Evropské unie a Islandskou republikou a Norským královstvím o přidružení těchto dvou států k provádění, uplatňování a rozvoji schengenského acquis[46].

(137) Pokud jde o Švýcarsko, rozvíjí toto nařízení v míře, v jaké se uplatňuje na zpracování osobních údajů ze strany orgánů zapojených do provádění tohoto acquis, ustanovení schengenského acquis ve smyslu Dohody mezi Evropskou unií, Evropským společenstvím a Švýcarskou konfederací o přidružení Švýcarské konfederace k provádění, uplatňování a rozvoji schengenského acquis[47].

(138) Pokud jde o Lichtenštejnsko, rozvíjí toto nařízení v míře, v jaké se uplatňuje na zpracování osobních údajů ze strany orgánů zapojených do provádění tohoto acquis, ustanovení schengenského acquis ve smyslu Protokolu mezi Evropskou unií, Evropským společenstvím, Švýcarskou konfederací a Lichtenštejnským knížectvím o přistoupení Lichtenštejnského knížectví k dohodě mezi Evropskou unií, Evropským společenstvím a Švýcarskou konfederací o přidružení Švýcarské konfederace k provádění, uplatňování a rozvoji schengenského acquis[48].

(139) Vzhledem ke skutečnosti, že – jak zdůraznil Soudní dvůr Evropské unie – právo na ochranu osobních údajů není právem absolutním, avšak musí být posuzováno v souvislosti se svou funkcí ve společnosti a v souladu se zásadou proporcionality být v rovnováze s dalšími základními právy, respektuje toto nařízení všechna základní práva a sleduje zásady uznané v Listině základních práv Evropské unie, jak jsou zakotveny ve Smlouvě, zejména právo na respektování soukromého a rodinného života, obydlí a komunikace, právo na ochranu osobních údajů, na svobodu myšlení, svědomí a náboženství, svobodu projevu a informací, svobodu podnikání, právo na účinnou právní ochranu a spravedlivý proces, jakož i kulturní, náboženskou a jazykovou rozmanitost,

PŘIJALY TOTO NAŘÍZENÍ:

KAPITOLA I

OBECNÁ USTANOVENÍ

Článek 1 Předmět a cíle

1.           Tímto nařízením se stanoví pravidla týkající se ochrany fyzických osob v souvislosti se zpracováváním osobních údajů a pravidla týkající se volného pohybu osobních údajů.

2.           Tímto nařízením se chrání základní práva a svobody fyzických osob a zejména jejich právo na ochranu osobních údajů.

3.           Volný pohyb osobních údajů v Unii není z důvodu ochrany fyzických osob v souvislosti se zpracováváním osobních údajů omezen ani zakázán.

Článek 2 Věcná působnost

1.           Toto nařízení se vztahuje na zcela nebo částečně automatizované zpracování osobních údajů, jakož i na neautomatizované zpracování osobních údajů, které jsou obsaženy v evidenci nebo do ní mají být zařazeny.

2.           Toto nařízení se nevztahuje na zpracování osobních údajů:

a)      prováděné při výkonu činností, které nespadají do oblasti působnosti práva Unie, zejména v oblasti bezpečnosti státu;

b)      prováděné orgány, institucemi a jinými subjekty Unie;

c)      prováděné členskými státy při výkonu činností, které spadají do oblasti působnosti kapitoly 2 Smlouvy o Evropské unii;

d)      prováděné fyzickou osobou, které má výlučně osobní či domácí povahu a které se neprovádí za účelem zisku;

e)      prováděné příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů.

3.           Tímto nařízením není dotčeno uplatňování směrnice 2000/31/ES, zejména pokud jde o pravidla týkající se odpovědnosti poskytovatelů zprostředkovatelských služeb podle článků 12 až 15 uvedené směrnice.

Článek 3 Územní působnost

1.           Toto nařízení se vztahuje na zpracování osobních údajů v rámci činností provozovny správce nebo zpracovatele v Unii.

2.           Toto nařízení se vztahuje na zpracování osobních údajů subjektů údajů, které mají bydliště v Unii, ze strany správce, který není usazen v Unii, pokud zpracování údajů souvisí:

a)      s nabídkou zboží nebo služeb těmto subjektům údajů v Unii nebo

b)      se sledováním jejich chování.

3.           Toto nařízení se vztahuje na zpracování osobních údajů správcem, který není usazen v Unii, ale na místě, kde se vnitrostátní právní předpisy členského státu uplatňují na základě mezinárodního práva veřejného.

Článek 4 Definice

Pro účely tohoto nařízení se rozumí:

1) „subjektem údajů“ identifikovaná fyzická osoba nebo fyzická osoba, kterou lze přímo či nepřímo identifikovat prostředky, o nichž lze důvodně předpokládat, že je správce nebo jakákoli jiná fyzická nebo právnická osoba použijí pro identifikaci dané osoby, zejména s odkazem na identifikační číslo, lokalizační údaje, elektronický identifikátor nebo s odkazem na jeden či více zvláštních prvků její fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo sociální identity;

2) „osobními údaji“ veškeré informace o subjektu údajů;

3) „zpracováním“ každý úkon nebo soubor úkonů s osobními údaji nebo soubory osobních údajů, které jsou prováděny pomocí či bez pomoci automatizovaných postupů, jako je shromažďování, zaznamenávání, uspořádávání, strukturování, uchovávání, přizpůsobování nebo pozměňování, vyhledávání, nahlížení, užívání, zveřejňování přenosem, zveřejňování šířením nebo jejich zpřístupňování jiným způsobem, třídění nebo kombinování, vymazání nebo zničení;

4) „evidencí“ jakýkoli uspořádaný soubor osobních údajů přístupných podle určených kritérií, ať již je tento soubor centralizován, decentralizován nebo rozdělen podle funkčního či zeměpisného hlediska;

5) „správcem“ fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jakýkoli jiný subjekt, který sám nebo společně s jinými určuje účel, podmínky a prostředky zpracování osobních údajů; jsou-li účel, podmínky a prostředky zpracování určeny právem Unie či členského státu, je možné určit správce nebo zvláštní kritéria pro jeho jmenování na základě práva Unie nebo členského státu;

6) „zpracovatelem“ fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jakýkoli jiný subjekt, který zpracovává osobní údaje jménem správce;

7) „příjemcem“ fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jakýkoli jiný subjekt, kterým jsou údaje sdělovány;

8) „souhlasem subjektu údajů“ jakýkoli svobodný, konkrétní, vědomý a výslovný projev vůle, kterým subjekt údajů dává buď v podobě prohlášení nebo jiného jednoznačného potvrzení své svolení ke zpracování svých osobních údajů;

9) „narušením bezpečnosti osobních údajů“ narušení bezpečnosti, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně či neoprávněnému vyzrazení nebo zpřístupnění osobních údajů přenášených, uchovávaných nebo jinak zpracovávaných;

10) „genetickými údaji“ všechny údaje jakéhokoli typu týkající se dědičných znaků jednotlivce nebo znaků získaných v období raného prenatálního vývoje;

11) „biometrickými údaji“ všechny údaje týkající se fyzických či fyziologických znaků nebo znaků chování jedince, které umožňují jeho jednoznačnou identifikaci, například snímky obličeje nebo daktyloskopické údaje;

12) „údaji o zdravotním stavu“ veškeré informace týkající se fyzického nebo duševního zdraví osoby nebo poskytování zdravotních služeb této osobě;

13) „hlavní provozovnou“ v případě správce místo jeho usazení v Unii, kde jsou přijímána hlavní rozhodnutí ohledně účelu, podmínek a prostředků zpracování osobních údajů; nejsou-li ohledně účelu, podmínek a prostředků zpracování osobních údajů přijímána rozhodnutí v Unii, je hlavní provozovnou místo, kde jsou prováděny hlavní činnosti spojené se zpracováním údajů, jež odpovídají činnostem sídla správce v Unii. V případě zpracovatele je „hlavní provozovnou“ místo, kde se nachází jeho ústřední správa v Unii;

14) „zástupcem“ jakákoli fyzická nebo právnická osoba usazená v Unii, která je výslovně jmenována správcem k tomu, aby jednala a mohla být oslovována orgánem dozoru a dalšími orgány v Unii místo správce, pokud jde o povinnosti správce ve smyslu tohoto nařízení;

15) „podnikem“ každý subjekt vykonávající hospodářskou činnost bez ohledu na jeho právní formu. K těmto subjektům patří zejména fyzické a právnické osoby, obchodní společnosti nebo sdružení, která běžně vykonávají hospodářskou činnost;

16) „skupinou podniků“ skupina zahrnující řídící podnik a jím řízené podniky;

17) „závaznými podnikovými pravidly“ opatření na ochranu osobních údajů, která dodržuje správce nebo zpracovatel usazený na území členského státu Unie při předávání osobních údajů jednotlivě nebo v souborech správci nebo zpracovateli v rámci skupiny podniků v jedné nebo více třetích zemích;

18) „dítětem“ každá osoba mladší 18 let;

19) „orgánem dozoru“ orgán veřejné moci, který je zřízen členským státem podle článku 46.

KAPITOLA II ZÁSADY

Článek 5 Zásady související se zpracováváním osobních údajů         

Osobní údaje musí být:

a)      ve vztahu k subjektu údajů zpracovávány korektně, zákonným a transparentním způsobem;

b)      shromažďovány pro stanovené účely, výslovně vyjádřené a legitimní, a nesmí být dále zpracovávány způsobem, který je s těmito účely neslučitelný;

c)      odpovídající z hlediska účelu, pro který jsou zpracovávány, musí pro něj být relevantní a omezené na nezbytné minimum; zpracovávány jsou pouze tehdy a dokud nemůže být daného účelu dosaženo zpracováním informací, které nezahrnují osobní údaje;

d)      přesné a aktualizované; musí být přijata veškerá rozumná opatření, aby osobní údaje, které jsou nepřesné z hlediska účelů, pro které se zpracovávají, byly bezodkladně vymazány nebo opraveny;

e)      uchovávány ve formě umožňující identifikaci subjektů údajů po dobu ne delší, než je nezbytné pro účely, pro které jsou zpracovávány; osobní údaje lze uchovávat delší dobu, pokud se údaje zpracovávají výlučně za účelem historiografického, statistického a vědeckého výzkumu v souladu s pravidly a podmínkami uvedenými v článku 83 a pokud je prováděn pravidelný přezkum pro posouzení potřeby dalšího uchovávání;

f)       zpracovávány v odpovědnosti správce, který při každém zpracování zajistí a prokáže soulad s ustanoveními tohoto nařízení.

Článek 6 Zákonnost zpracování

1.           Zpracování osobních údajů je zákonné pouze tehdy a do té míry, pokud je splněna nejméně jedna z těchto podmínek:

a)      subjekt údajů udělil souhlas se zpracováním svých osobních údajů pro jeden či více konkrétních účelů;

b)      zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu;

c)      zpracování je nezbytné pro splnění právní povinnosti, které podléhá správce;

d)      zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů;

e)      zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce;

f)       zpracování je nezbytné pro uskutečnění oprávněných zájmů správce za podmínky, že tyto zájmy nepřevažují nad zájmem nebo základními právy a svobodami subjektu údajů vyžadujícími ochranu osobních údajů, zejména pokud je subjektem údajů dítě. To se netýká zpracování prováděného orgány veřejné moci při plnění jejich úkolů.

2.           Zpracování osobních údajů pro účely historiografického, statistického nebo vědeckého výzkumu je zákonné, pokud jsou splněny podmínky a záruky uvedené v článku 83.

3.           Právní základ pro zpracování údajů podle odst. 1 písm. c) a e) musí být stanoven:

a)      právem Unie nebo

b)       právem členského státu, kterému správce podléhá.

Právo členského státu musí splňovat cíl veřejného zájmu nebo musí být nezbytné pro ochranu práv a svobod ostatních, respektovat podstatu práva na ochranu osobních údajů a být přiměřené z hlediska sledovaného legitimního cíle.

4.           Pokud účel dalšího zpracování není slučitelný s účelem, pro který byly osobní údaje shromážděny, musí být právním základem zpracování nejméně jeden z důvodů uvedený v odst. 1 písm. a) až e). Platí to zejména pro všechny změny specifických a obecných smluvních podmínek.

5.           Komise je v souladu s článkem 86 zmocněna přijímat akty v přenesené pravomoci za účelem dalšího vymezení podmínek uvedených v odst. 1 písm. f) pro různá odvětví a různé situace při zpracovávání údajů, včetně zpracování osobních údajů týkajících se dítěte.

Článek 7 Podmínky vyjádření souhlasu

1.           Důkazní břemeno, že subjekt údajů vyjádřil souhlas se zpracováním svých osobních údajů za určitým účelem, nese správce.

2.           Pokud má být souhlas subjektu údajů vyjádřen písemným prohlášením, které se rovněž týká jiné skutečnosti, musí být požadavek na vyjádření souhlasu svou podobou odlišitelný od této druhé skutečnosti.

3.           Subjekt údajů má právo kdykoli svůj souhlas odvolat. Odvoláním souhlasu není dotčena zákonnost zpracování vycházejícího ze souhlasu, který byl dán před jeho odvoláním.

4.           Vyjádření souhlasu nepředstavuje právní základ pro zpracování údajů, pokud mezi postavením subjektu údajů a správce existuje značná nerovnováha.

Článek 8 Zpracování osobních údajů dítěte

1.           V souvislosti s nabídkou služeb informační společnosti přímo dítěti je pro účely tohoto nařízení zpracování osobních údajů dítěte mladšího 13 let zákonné pouze tehdy a do té míry, pokud byl souhlas vyjádřen nebo schválen rodičem dítěte nebo jeho zákonným zástupcem. Správce vyvine přiměřené úsilí o získání ověřitelného souhlasu s ohledem na dostupné technologie.

2.           Odstavcem 1 není dotčeno obecné smluvní právo členských států, například pravidla týkající se platnosti, uzavírání nebo účinků smlouvy vzhledem k dítěti.

3.           Komise je zmocněna přijímat akty v přenesené pravomoci v souladu s článkem 86 za účelem dalšího vymezení kritérií a požadavků týkajících se metod získávání ověřitelného souhlasu uvedeného v odstavci 1. Komise přitom zváží zvláštní opatření, zejména pro správce, kteří jsou mikropodniky a malými nebo středními podniky.

4.           Komise může pro zvláštní metody získávání ověřitelného souhlasu uvedeného v odstavci 1 stanovit standardní formuláře. Tyto prováděcí akty se přijímají v souladu s přezkumným postupem podle čl. 87 odst. 2.

Článek 9 Zpracovávání zvláštních kategorií osobních údajů

1.           Zakazuje se zpracování osobních údajů, které odhalují rasový či etnický původ, politické názory, náboženské vyznání nebo přesvědčení, členství v odborových organizacích, jakož i zpracování genetických údajů či údajů týkajících se zdravotního stavu či sexuálního života, nebo odsouzení v trestních věcech či související bezpečnostní opatření.

2.           Odstavec 1 se nepoužije, pokud:

a)      subjekt údajů udělil souhlas se zpracováním těchto osobních údajů za podmínek stanovených v článcích 7 a 8, s výjimkou případů, kdy právo Unie nebo členského státu stanoví, že zákaz uvedený v odstavci 1 nemůže být subjektem údajů zrušen nebo

b)      zpracování je nezbytné pro dodržení povinností a výkon zvláštních práv správce v oblasti pracovního práva, pokud je k tomu oprávněn právem Unie nebo členského státu, které poskytuje náležité záruky nebo

c)      zpracování je nutné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné osoby v případě, že subjekt údajů není fyzicky nebo právně způsobilý udělit souhlas nebo

d)      zpracování provádí v rámci svých legitimních činností a s vhodnými zárukami nadace, sdružení nebo jiný neziskový subjekt, který sleduje politické, filozofické, náboženské nebo odborové cíle, za podmínky, že se zpracování vztahuje pouze na současné nebo bývalé členy tohoto subjektu nebo na osoby, které s ním udržují pravidelné styky související s jeho cíli, a že tyto údaje nejsou sdělovány mimo tento subjekt bez souhlasu subjektu údajů nebo

e)      zpracování se týká osobních údajů zjevně zveřejňovaných subjektem údajů nebo

f)       zpracování je nezbytné pro vznik, výkon nebo obhajobu právních nároků nebo

g)      zpracování je nezbytné pro splnění úkolu ve veřejném zájmu na základě práva Unie nebo členského státu, které poskytuje vhodné záruky pro ochranu oprávněných zájmů subjektu údajů nebo

h)      zpracování údajů o zdravotním stavu je při splnění podmínek a záruk uvedených v článku 81 nezbytné pro zdravotní účely nebo

i)       zpracování je při splnění podmínek a záruk uvedených v článku 83 nezbytné pro účely historiografického, statistického a vědeckého výzkumu nebo

j)       zpracování údajů týkajících se rozsudků v trestních věcech či souvisejících bezpečnostních opatření se provádí pod dohledem orgánu veřejné moci, nebo pokud je zpracování nezbytné pro splnění právní či regulační povinnosti, které správce podléhá, nebo pro splnění úkolu z důvodu důležitého veřejného zájmu, a pokud je k tomu oprávněn právem Unie nebo právem členského státu poskytujícím vhodné záruky. Úplný rejstřík trestů je veden pouze pod dohledem orgánu veřejné moci.

3.           Komise je v souladu s článkem 86 zmocněna přijímat akty v přenesené pravomoci za účelem dalšího vymezení kritérií, podmínek a vhodných záruk pro zpracování zvláštních kategorií osobních údajů uvedených v odstavci 1 a výjimek stanovených v odstavci 2.

Článek 10 Zpracování bez možnosti identifikace

Pokud údaje zpracovávané správcem nedovolují správci identifikovat fyzickou osobu, není správce povinen získat dodatečné informace pro zjištění totožnosti subjektu údajů výlučně za účelem dosažení souladu s některým ustanovením tohoto nařízení.

KAPITOLA III PRÁVA SUBJEKTU ÚDAJŮ

ODDÍL 1 TRANSPARENTNOST A METODY

Článek 11 Transparentní informace a komunikace

1.           Správce musí mít transparentní a snadno dostupná pravidla pro zpracování osobních údajů a výkon práv subjektu údajů.

2.           Správce poskytuje subjektu údajů veškeré informace a veškerá oznámení v souvislosti se zpracováním osobních údajů ve srozumitelné formě, přičemž používá jasný a běžný jazyk přizpůsobený subjektu údajů, zejména v případě jakýchkoli informací určených speciálně dítěti.

Článek 12 Postupy a mechanismy pro výkon práv subjektu údajů

1.           Správce zavede postupy pro poskytování informací uvedených v článku 14 a pro výkon práv subjektů údajů uvedených v článku 13 a článcích 15 až 19. Správce vytvoří zejména mechanismy pro zjednodušení žádosti o úkony uvedené v článku 13 a článcích 15 až 19. Pokud se osobní údaje zpracovávají automatizovanými prostředky, správce rovněž poskytne prostředky pro podávání žádostí v elektronické podobě.

2.           Správce neprodleně, nejpozději však do jednoho měsíce od přijetí žádosti, informuje subjekt údajů, zda byla přijata opatření podle článku 13 a článků 15 až 19, a poskytne požadované informace. Tato lhůta může být prodloužena o další měsíc, pokud svá práva vykonává několik subjektů údajů a jejich spolupráce je nezbytná v přiměřeném rozsahu k tomu, aby správce nemusel vyvíjet zbytečné a neúměrné úsilí. Tyto informace se poskytují písemně. Jestliže subjekt údajů podává žádost v elektronické podobě, poskytují se informace v elektronické podobě, pokud subjekt údajů nepožádá o jiný způsob.

3.           Pokud správce odmítne provést opatření, o které subjekt údajů požádal, správce informuje subjekt údajů o důvodech tohoto odmítnutí a o možnostech podat stížnost orgánu dozoru a uplatnit soudní opravný prostředek.

4.           Informace a opatření přijaté na základě žádostí uvedených v odstavci 1 jsou bezplatné. Jestliže jsou žádosti zjevně nepřiměřené, zvláště z toho důvodu, že se opakují, může správce poskytnutí informací nebo provedení požadovaných opatření zpoplatnit, případně nemusí požadované opatření provést. Pokud jde o prokázání zjevné nepřiměřenosti žádosti, nese důkazní břemeno správce.

5.           Komise je zmocněna přijímat akty v přenesené pravomoci v souladu s článkem 86 za účelem dalšího vymezení kritérií a podmínek pro určování zjevné nepřiměřenosti žádostí a poplatků uvedených v odstavci 4.

6.           Komise může stanovit standardní formuláře a určit standardní postupy pro oznamování uvedené v odstavci 2, včetně elektronického formátu. Komise přitom přijme vhodná opatření pro mikropodniky, malé a střední podniky. Tyto prováděcí akty se přijímají v souladu s přezkumným postupem podle čl. 87 odst. 2.

Článek 13 Práva ve vztahu k příjemcům

Správce oznamuje jednotlivým příjemcům, jimž byly údaje zpřístupněny, všechny opravy nebo výmazy provedené v souladu s články 16 a 17 s výjimkou případů, kdy to není možné nebo to vyžaduje nepřiměřené úsilí.

ODDÍL 2 INFORMACE A PŘÍSTUP K ÚDAJŮM

Článek 14 Informování subjektu údajů

1.           Pokud se shromažďují údaje týkající se subjektu údajů, správce poskytne subjektu údajů alespoň tyto informace:

a)      totožnost a kontaktní údaje správce, případně jeho zástupce a inspektora ochrany údajů;

b)      účely zpracování, pro které jsou údaje určeny, včetně smluvních a všeobecných podmínek, pokud jsou údaje zpracovávány na základě čl. 6 odst. 1 písm. b), a oprávněných zájmů správce, pokud jsou údaje zpracovávány na základě čl. 6 odst. 1 písm. f);

c)      dobu, po kterou se budou osobní údaje uchovávat;

d)      existenci práva požadovat od správce přístup k osobním údajům týkajícím se subjektu údajů, jejich opravu nebo výmaz nebo vznést námitku proti zpracování těchto osobních údajů;

e)      právo podat stížnost příslušnému orgánu dozoru a kontaktní údaje orgánu dozoru;

f)       příjemce nebo kategorie příjemců osobních údajů;

g)      v případě potřeby uvést, že správce hodlá předat údaje do třetí země nebo mezinárodní organizaci a informaci o úrovni ochrany poskytované touto třetí zemí nebo mezinárodní organizací s odkazem na rozhodnutí Komise o přiměřenosti;

h)      jakékoli další informace potřebné k tomu, aby bylo subjektu údajů zaručeno korektní zpracování, a to s ohledem na zvláštní okolnosti, za kterých se osobní údaje shromažďují.

2.           Pokud se osobní údaje získávají od subjektu údajů, správce kromě informací uvedených v odstavci 1 poskytne subjektu údajů rovněž informace o tom, zda je poskytování osobních údajů povinné nebo dobrovolné, jakož i o možných důsledcích neposkytnutí těchto údajů.

3.           Pokud se osobní údaje nezískávají od subjektu údajů, správce kromě informací uvedených v odstavci 1 poskytne subjektu údajů informace o původu těchto osobních údajů.

4.           Správce poskytne informace uvedené v odstavcích 1, 2 a 3:

a)      v době, kdy se osobní údaje získávají od subjektu údajů nebo

b)      pokud se osobní údaje nezískávají od subjektu údajů, v době jejich zaznamenání nebo v rozumné lhůtě po jejich shromáždění s ohledem na zvláštní okolnosti, za kterých se údaje shromažďují nebo jinak zpracovávají, nebo pokud se uvažuje o jejich zpřístupnění dalšímu příjemci pak nejpozději tehdy, kdy se údaje zpřístupňují poprvé.

5.           Odstavce 1 a 4 se nepoužijí, pokud:

a)      subjekt údajů již má informace uvedené v odstavcích 1, 2 a 3 nebo

b)      údaje nebyly získány od subjektu údajů a poskytnutí těchto informací není možné nebo by vyžadovalo neúměrné úsilí nebo

c)      údaje nebyly získány od subjektu údajů a zaznamenání nebo sdělování údajů je výslovně stanoveno právním předpisem nebo

d)      údaje nebyly získány od subjektu údajů a poskytování takových informací naruší práva a svobody ostatních, jak je stanoveno v právu Unie nebo právu členského státu podle článku 21.

6.           V případě uvedeném v odst. 5 písm. b) správce provede vhodná opatření na ochranu oprávněných zájmů subjektu údajů.

7.           Komise je zmocněna přijímat akty v přenesené pravomoci v souladu s článkem 86 za účelem dalšího vymezení kritérií pro kategorie příjemců uvedených v odst. 1 písm. f), požadavků týkajících se oznámení o potenciálním přístupu uvedeném v odst. 1 písm. g), kritérií pro další nezbytné informace uvedené v odst. 1 písm. h) pro konkrétní odvětví a situací a podmínek a vhodných záruk pro výjimky uvedené v odst. 5 písm. b). Komise přitom přijme vhodná opatření pro mikropodniky, malé a střední podniky.

8.           Komise může stanovit standardní formuláře pro poskytování informací uvedených v odstavcích 1 až 3, případně s přihlédnutím ke zvláštní povaze a potřebám různých odvětví a situacím při zpracovávání údajů. Tyto prováděcí akty se přijímají v souladu s přezkumným postupem podle čl. 87 odst. 2.

Článek 15 Právo subjektu údajů na přístup k údajům

1.           Subjekt údajů má právo získat od správce na požádání kdykoli potvrzení o tom, zda jsou osobní údaje, které se jej týkají, zpracovávány či nikoli. Pokud jsou tyto osobní údaje zpracovávány, správce poskytne následující informace:

a)      účely zpracování;

b)      kategorie příslušných osobních údajů;

c)      informace o příjemcích nebo kategoriích příjemců, kterým mají být nebo byly osobní údaje zpřístupněny, zejména o příjemcích v třetích zemích;

d)      dobu, po kterou se budou osobní údaje uchovávat;

e)      existenci práva požadovat od správce opravu nebo výmaz osobních údajů týkajících se subjektu údajů nebo vznést námitku proti zpracování těchto osobních údajů;

f)       právo podat stížnost příslušnému orgánu dozoru a kontaktní údaje orgánu dozoru;

g)      informace o osobních údajích, které jsou zpracovávány, a veškeré dostupné informace o jejich původu;

h)      význam a předpokládané důsledky tohoto zpracování, alespoň v případě opatření uvedených v článku 20.

2.           Subjekt údajů má právo získat od správce informace o osobních údajích, které jsou zpracovávány. Jestliže subjekt údajů podává žádost v elektronické podobě, poskytují se informace v elektronické podobě, pokud subjekt údajů nepožádá o jiný způsob.

3.           Komise je zmocněna přijímat akty v přenesené pravomoci v souladu s článkem 86 za účelem dalšího vymezení kritérií a požadavků ohledně sdělování informací subjektu údajů o obsahu osobních údajů uvedených v odst. 1 písm. g).

4.           Komise může stanovit standardní formuláře a určit postupy pro podávání žádostí o přístup k informacím uvedeným v odstavci 1 a o jeho udělení, mimo jiné za účelem ověření totožnosti subjektu údajů a sdělení osobních údajů subjektu údajů, a to s přihlédnutím ke konkrétní povaze a potřebám různých odvětví a situacím zpracovávání údajů. Tyto prováděcí akty se přijímají v souladu s přezkumným postupem podle čl. 87 odst. 2.

ODDÍL 3

OPRAVA A VÝMAZ

Článek 16 Právo na opravu

Subjekt údajů má právo požadovat, aby správce opravil nepřesné osobní údaje, které se jej týkají. Subjekt údajů má právo požadovat, aby byly jeho neúplné osobní údaje doplněny, například formou opravného prohlášení.

Článek 17 Právo být zapomenut a právo na výmaz

1. Subjekt údajů má právo požadovat od správce výmaz osobních údajů, které se jej týkají, a zdržení se dalšího šíření těchto údajů, zejména v souvislosti s osobními údaji, které subjekt údajů zpřístupnil v dětském věku, pokud je splněn jeden z těchto důvodů:

a)      údaje již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány;

b)      subjekt údajů odvolá svůj souhlas, na jehož základě byly údaje podle čl. 6 odst. 1 písm. a) zpracovávány, nebo pokud vypršela lhůta pro uchovávání údajů, pro níž byl dán souhlas, a pokud neexistuje žádný další právní důvod pro zpracování údajů;

c)      subjekt údajů vznáší námitku proti zpracování osobních údajů podle článku 19;

d)      zpracování údajů není slučitelné s tímto nařízením z jiných důvodů.

2.           Pokud správce uvedený v odstavci 1 zveřejnil osobní údaje, přijme vzhledem k údajům, za jejichž zveřejnění je zodpovědný, veškerá rozumná opatření, včetně technických, aby informoval třetí strany, které tyto údaje zpracovávají, že subjekt údajů od nich požaduje vymazání všech odkazů na tyto osobní údaje nebo kopií či replikací těchto osobních údajů. Pokud správce povolil zveřejnění osobních údajů třetí straně, nese za něj odpovědnost správce.

3.           Správce provede výmaz neprodleně, s výjimkou případů, kdy je uchovávání osobních údajů nezbytné:

a) pro výkon práva na svobodu projevu podle článku 80;

b) z důvodů veřejného zájmu v oblasti veřejného zdraví v souladu s článkem 81;

c) pro účely historiografického, statistického a vědeckého výzkumu podle článku 83;

d) pro splnění právní povinnosti uchovávat osobní údaje, které správce podléhá na základě práva Unie nebo práva členského státu; právní předpisy členského státu musí sledovat cíl veřejného zájmu, respektovat podstatu práva na ochranu osobních údajů a být přiměřené z hlediska sledovaného legitimního cíle;

e) v případech uvedených v odstavci 4.

4.           Namísto vymazání osobních údajů může správce omezit jejich zpracování, pokud:

a)      subjekt údajů popírá jejich přesnost, a to na dobu potřebnou k tomu, aby správce mohl ověřit přesnost údajů;

b)      správce už osobní údaje ke splnění svých úkolů nepotřebuje, ale je třeba je uchovat jako důkaz;

c)      zpracování je nezákonné a subjekt údajů odmítá jejich výmaz a žádá místo toho o omezení jejich použití;

d)      subjekt údajů požaduje v souladu s čl. 18 odst. 2 přenos osobních údajů do jiného automatizovaného systému zpracování.

5.           Osobní údaje uvedené v odstavci 4 mohou být s výjimkou jejich uchovávání zpracovávány pouze jako důkaz nebo se souhlasem subjektu údajů, nebo za účelem ochrany práv jiné fyzické nebo právnické osoby nebo plnění cíle veřejného zájmu.

6.           Pokud je zpracování osobních údajů omezené ve smyslu odstavce 4, správce o tom informuje subjekt údajů před zrušením omezení zpracování.

7.           Správce zavede mechanismy, které zajistí dodržování lhůt stanovených pro výmaz osobních údajů a/nebo pro pravidelný přezkum s cílem posoudit potřebu uchovávat údaje.

8.           Pokud se provádí výmaz, správce nesmí tyto osobní údaje jinak zpracovávat.

9.           Komise je zmocněna přijímat akty v přenesené pravomoci v souladu s článkem 86 za účelem dalšího vymezení:

a)      kritérií a požadavků na uplatňování odstavce 1 v případě konkrétních odvětví a konkrétních situací, kdy se údaje zpracovávají,

b)      podmínek pro výmaz odkazů, kopií nebo replikací osobních údajů z veřejně dostupných komunikačních služeb, jak je uvedeno v odstavci 2;

c)      kritérií a podmínek pro omezení zpracování osobních údajů podle odstavce 4.

Článek 18 Právo na přenositelnost údajů

1.           Pokud se osobní údaje zpracovávají elektronicky a ve strukturovaném a běžně používaném formátu, má subjekt údajů právo získat od správce kopii zpracovávaných údajů elektronicky a ve strukturovaném a běžně používaném formátu, který umožňuje jejich další využití subjektem údajů.

2.           Pokud subjekt údajů poskytl osobní údaje a zpracování je založené na souhlasu nebo smlouvě, má subjekt údajů právo přenést tyto osobní údaje a jakékoli jiné informace jím poskytnuté a uchovávané v automatizovaném systému zpracování do jiného systému v běžně používaném elektronickém formátu, aniž by tomu správce, od něhož byly osobní údaje získány, bránil.

3.           Komise může určit elektronický formát uvedený v odstavci 1 a technické normy, metody a postupy pro přenos osobních údajů podle odstavce 2. Tyto prováděcí akty se přijímají v souladu s přezkumným postupem podle čl. 87 odst. 2.

ODDÍL 4

PRÁVO VZNÉST NÁMITKU A PROFILOVÁNÍ

Článek 19 Právo vznést námitku

1.           Subjekt údajů má právo vznést námitku z důvodů týkajících se jeho konkrétní situace kdykoli v průběhu zpracování osobních údajů, které je založeno na čl. 6 odst. 1 písm. d), e) a f), pokud správce neprokáže závažné legitimní důvody pro zpracování, které převažují nad zájmy a základními právy a svobodami subjektu údajů.

2.           Pokud se osobní údaje zpracovávají pro přímý marketing, má subjekt údajů právo zdarma vznést námitku proti zpracování svých osobních údajů pro tento marketing. Toto právo je subjektu údajů výslovně nabídnuto srozumitelným způsobem a je jasně odlišitelné od jiných informací.

3.           Pokud je vznesena námitka ve smyslu odstavců 1 a 2, správce již nemůže déle příslušné osobní údaje používat či jinak zpracovávat.

Článek 20 Opatření založená na profilování

1.           Každá fyzická osoba má právo, aby se na ni nevztahovalo žádné opatření, jež má vůči ní právní účinky nebo se jí významně dotýká, provedené pouze na základě automatizovaného zpracování určeného k vyhodnocení jistých rysů její osobnosti nebo k analýze či předpovídání zejména plnění pracovních povinností, ekonomické situace, lokalizace, zdravotního stavu, osobních preferencí, spolehlivosti nebo chování této fyzické osoby.

2. Aniž jsou dotčena další ustanovení tohoto nařízení, může se na osobu vztahovat opatření uvedené v odstavci 1 pouze tehdy, je-li zpracování:

a)      prováděno v rámci uzavírání nebo plnění smlouvy, pokud žádosti o uzavření nebo o plnění smlouvy podané subjektem údajů bylo vyhověno nebo pokud byla přijata vhodná opatření, která zajišťují ochranu jeho oprávněných zájmů, jako je právo na přímý osobní kontakt nebo

b)      výslovně povoleno právem Unie nebo členského státu, které rovněž stanoví vhodná opatření zajišťující ochranu oprávněných zájmů subjektu údajů nebo

c)      založeno na souhlasu subjektu údajů, s výhradou podmínek stanovených v článku 7 a vhodných záruk.

3. Automatické zpracování osobních údajů za účelem vyhodnocení určitých rysů osobnosti fyzické osoby se nesmí opírat pouze o zvláštní kategorie osobních údajů uvedené v článku 9.

4.           V případech uvedených v odstavci 2 musí informace poskytované správcem podle článku 14 obsahovat informace, zda byly údaje zpracovány pro účely opatření, na které se vztahuje odstavec 1, a k přepokládaným účinkům tohoto zpracování na subjekt údajů.

5.           Komise je zmocněna přijímat akty v přenesené pravomoci v souladu s článkem 86 za účelem dalšího vymezení kritérií a podmínek, které mají platit pro vhodná opatření na ochranu oprávněných zájmů subjektu údajů uvedených v odstavci 2.

ODDÍL 5 OMEZENÍ

Článek 21 Omezení

1.           Právo Unie nebo členského státu může prostřednictvím legislativního opatření omezit rozsah povinností a práv uvedených v čl. 5 písm. a) až e), v článcích 11 až 20 a v článku 32, pokud takové omezení představuje nezbytné a přiměřené opatření v demokratické společnosti s cílem zajistit:

a)      veřejnou bezpečnost;

b)      prevenci, vyšetřování, odhalování a stíhání trestných činů;

c)      jiné veřejné zájmy Unie nebo členského státu, zejména důležitý hospodářský nebo finanční zájem Unie nebo členského státu, včetně peněžních, rozpočtových a daňových záležitostí a ochrany stability a integrity trhu;

d)      prevenci, vyšetřování, odhalování a stíhání nedodržování deontologických pravidel pro regulovaná povolání;

e)      kontrolní, inspekční nebo regulační funkce vyplývající, i pouze příležitostně, z výkonu veřejné moci v případech uvedených v písmenech a), b) c) a d);

f)       ochranu subjektu údajů nebo práv a svobod druhých.

2.           Každé legislativní opatření uvedené v odstavci 1 obsahuje konkrétní ustanovení, alespoň pokud jde o cíle, které má zpracování sledovat, a určení správce.

KAPITOLA IV

SPRÁVCE A ZPRACOVATEL

ODDÍL 1 OBECNÉ POVINNOSTI

Článek 22 Odpovědnost správce

1.           Správce přijme politiky a provede vhodná opatření, aby zajistil, že zpracovávání osobních údajů probíhá v souladu s tímto nařízením, a aby byl schopen tuto skutečnost prokázat.

2.           Opatření uvedená v odstavci 1 zahrnují zejména:

a) vedení dokumentace podle článku 28;

b) provedení požadavků týkajících se bezpečnosti údajů uvedených v článku 30;

c) vypracování posouzení dopadu na ochranu údajů podle článku 33;

d) splnění požadavků ohledně předchozího povolení nebo předchozí konzultace orgánu dozoru podle čl. 34 odst. 1 a 2;

e) jmenování inspektora ochrany údajů podle čl. 35 odst. 1.

3.           Správce zavede mechanismy pro ověření účinnosti opatření uvedených v odstavcích 1 a 2. Je-li to přiměřené, provede toto ověření nezávislý interní nebo externí auditor.

4.           Komise je zmocněna přijímat akty v přenesené pravomoci v souladu s článkem 86 za účelem dalšího vymezení kritérií a požadavků na vhodná opatření uvedená v odstavci 1, která nebyla uvedena v odstavci 2, stanovení podmínek pro mechanismy ověřování a auditu uvedené v odstavci 3 a kritérií proporcionality podle odstavce 3 a zvážení specifických opatření zejména pro mikropodniky, malé a střední podniky.

Článek 23 Ochrana údajů již od návrhu a standardní nastavení ochrany údajů

1.           S ohledem na stav techniky a náklady provedení přijme správce při určování prostředků zpracování i při samotném zpracovávání vhodná technická a organizační opatření a postupy tak, aby dané zpracování splňovalo požadavky tohoto nařízení a zaručovalo ochranu práv subjektu údajů.

2.           Správce přijme mechanismy, aby zajistil, že standardně se budou zpracovávat pouze ty osobní údaje, které jsou pro každý konkrétní účel zpracování nutné, a že zejména jejich shromažďování či uchovávání nepřesáhne minimum, jež je pro tyto účely nezbytné, a to jak co do množství údajů, tak do doby jejich uchovávání. Tyto mechanismy konkrétně zaručí, že osobní údaje se nebudou standardně zpřístupňovat neomezenému počtu fyzických osob.

3.           Komise je zmocněna přijímat akty v přenesené pravomoci v souladu s článkem 86 za účelem vymezení jakýchkoli dalších kritérií a požadavků, pokud jde o vhodná opatření a mechanismy uvedené v odstavcích 1 a 2, zejména požadavků na ochranu údajů již od návrhu, které budou platit napříč odvětvími, produkty a službami.

4.           Komise může stanovit technické normy pro požadavky uvedené v odstavcích 1 a 2. Tyto prováděcí akty se přijímají v souladu s přezkumným postupem podle čl. 87 odst. 2.

Článek 24  Společní správci

Kde správce určuje účel, podmínky a prostředky zpracování osobních údajů společně s ostatními, určí společní správci ve vzájemném ujednání, jakou odpovědnost každý z nich nese za plnění povinností vyplývajících z tohoto nařízení, zejména pokud jde o postupy a mechanismy pro výkon práv subjektu údajů.

Článek 25 Zástupci správců neusazených v Unii

1.           V případě popsaném v čl. 3 odst. 2 správce určí v Unii svého zástupce.

2.           Touto povinností nejsou vázáni:

a)      správci usazení ve třetích zemích, které podle rozhodnutí Komise zaručují přiměřenou úroveň ochrany v souladu s článkem 41, nebo

b)      podniky zaměstnávající méně než 250 osob nebo

c)      orgány veřejné moci či veřejnoprávní subjekty nebo

d)      správci, kteří subjektům údajů s bydlištěm v Unii nabízejí zboží či služby pouze příležitostně.

3.           Zástupce je usazen v jednom z členských států, ve kterém mají bydliště subjekty údajů, jejichž osobní údaje jsou v souvislosti s nabízeným zbožím či službami zpracovávány, nebo u nichž se sleduje jejich chování.

4.           Tím, že správce jmenuje svého zástupce, nejsou dotčeny právní kroky, které by mohly být podniknuty proti správci samotnému.

Článek 26 Zpracovatel

1.           Má-li být provedeno zpracování údajů jménem správce, správce vybere zpracovatele, který nabízí dostatečné záruky k přijetí vhodných technických a organizačních opatření a postupů tak, aby dané zpracování splňovalo požadavky tohoto nařízení a zaručovalo ochranu práv subjektu údajů, zejména pokud jde o technická bezpečnostní opatření a organizační opatření, jimiž se bude plánované zpracování řídit, a zajistí soulad s těmito opatřeními.

2.           Zpracování údajů zpracovatelem je upraveno smlouvou nebo jiným právním aktem, který zavazuje zpracovatele vůči správci a který stanoví zejména, že zpracovatel:

a)      jedná pouze podle pokynů správce, zejména je-li zakázáno dané osobní údaje předávat;

b)      zaměstnává pouze pracovníky, kteří se zavázali k mlčenlivosti nebo na které se povinnost mlčenlivosti vztahuje ze zákona;

c)      podnikne všechna požadovaná opatření podle článku 30;

d)      zapojí do zpracování údajů dalšího zpracovatele pouze s předchozím souhlasem správce;

e)      v míře, do jaké je to s ohledem na povahu daného zpracování možné, vypracuje po dohodě se správcem nezbytné technické a organizační požadavky pro splnění správcovy povinnosti reagovat na žádosti o výkon práv subjektu údajů stanovených v kapitole III;

f)       napomáhá správci zajišťovat plnění povinností podle článků 30 až 34;

g)      předává po zpracování veškeré výsledky správci a osobní údaje jinak nezpracovává;

h)      poskytne správci a orgánu dozoru veškeré informace potřebné pro kontrolu toho, zda byly splněny povinnosti stanovené v tomto článku.

3.           Správce a zpracovatel písemně zdokumentují správcovy pokyny a zpracovatelovy povinnosti uvedené v odstavci 2.

4.           Jestliže zpracovatel zpracovává jiné osobní údaje, než k jakým mu dal pokyn správce, považuje se ve vztahu k takovému zpracování za správce a vztahují se na něho pravidla o společných správcích uvedená v článku 24.

5.           Komise je zmocněna přijímat akty v přenesené pravomoci v souladu s článkem 86 za účelem dalšího vymezení kritérií a požadavků, pokud jde o odpovědnosti, povinnosti a úkoly zpracovatele v souladu s odstavcem 1, a za účelem vymezení podmínek, jež umožní usnadnit zpracovávání osobních údajů ve skupině podniků, zejména za účelem kontroly a podávání zpráv.

Článek 27 Zpracovávání z pověření správce a zpracovatele

Zpracovatel a kdokoli, kdo jedná z pověření správce nebo zpracovatele a má přístup k osobním údajům, může tyto osobní údaje zpracovávat pouze na pokyn správce s výjimkou situace, kdy je k jejich zpracování povinován právem Unie nebo členského státu.

Článek 28 Dokumentace

1.           Každý správce a zpracovatel, a v patřičném případě zástupce správce, vede dokumentaci o všech zpracováních, za která nese odpovědnost.

2.           V dokumentaci jsou obsaženy přinejmenším tyto údaje:

a)      jméno a kontaktní údaje správce nebo případného společného správce či zpracovatele a v patřičném případě zástupce;

b)      v patřičném případě jméno a kontaktní údaje inspektora ochrany údajů;

c)      účely zpracování, včetně oprávněných zájmů správce tam, kde se zpracování údajů zakládá na čl. 6 odst. 1 písm. f);

d)      popis kategorií subjektů údajů a kategorií osobních údajů, které se na ně vztahují;

e)      informace o příjemcích nebo kategoriích příjemců daných osobních údajů, včetně správců, kterým se osobní údaje sdělují s ohledem na jejich oprávněné zájmy;

f)       v příslušných případech informace o předávání údajů do třetích zemí nebo mezinárodním organizacím, včetně informací, jež danou třetí zemi či mezinárodní organizaci identifikují, a v případě předávání podle čl. 44 odst. 1 písm. h) doložení vhodných záruk;

g)      obecné informace o lhůtách pro výmaz jednotlivých kategorií údajů;

h)      popis mechanismů podle čl. 22 odst. 3.

3.           Správce a zpracovatel, a v patřičném případě zástupce správce, poskytnou tuto dokumentaci na požádání orgánu dozoru.

4.           Povinnosti uvedené v odstavcích 1 a 2 se nevztahují na následující správce a zpracovatele:

a)      fyzické osoby, které zpracovávají osobní údaje bez obchodního zájmu, nebo

b)      podniky či organizace, které zaměstnávají méně než 250 osob a pro které je zpracovávání osobních údajů pouze doplňkem k jejich hlavním činnostem.

5.           Komise je zmocněna přijímat akty v přenesené pravomoci v souladu s článkem 86 za účelem dalšího vymezení kritérií a požadavků, pokud jde o dokumentaci uvedenou v odstavci 1, aby zohlednila zejména odpovědnosti správce a zpracovatele, a v patřičném případě zástupce správce.

6.           Komise může pro dokumentaci uvedenou v odstavci 1 stanovit standardní formuláře. Tyto prováděcí akty se přijímají v souladu s přezkumným postupem podle čl. 87 odst. 2.

Článek 29 Spolupráce s orgánem dozoru

1.           Správce a zpracovatel, a v patřičném případě zástupce správce, spolupracují na požádání s orgánem dozoru při výkonu jeho povinností, a to zejména tím, že mu poskytují informace uvedené v čl. 53 odst. 2 písm. a) a přístup podle písm. b) zmíněného odstavce.

2.           Správce a zpracovatel reagují na výkon práv ze strany orgánu dozoru podle čl. 53 odst. 2 tak, že orgánu dozoru odpoví v rozumné lhůtě jím stanovené. V návaznosti na připomínky orgánu dozoru popíší v odpovědi přijatá opatření a dosažené výsledky.

ODDÍL 2 BEZPEČNOST ÚDAJŮ

Článek 30 Bezpečnost zpracovávání

1.           S ohledem na stav techniky a náklady provedení přijmou správce a zpracovatel vhodná technická a organizační opatření, aby zajistili úroveň bezpečnosti, která bude odpovídat rizikům vyplývajícím ze zpracování a z povahy osobních údajů, jež mají být chráněny.

2.           Správce a zpracovatel přijmou po vyhodnocení rizik opatření podle odstavce 1, aby ochránili osobní údaje před náhodným či nepovoleným zničením nebo před náhodnou ztrátou a aby předešli jakýmkoli nepovoleným formám zpracování, zejména nedovolenému sdělování či šíření osobních údajů, přístupu k nim nebo jejich pozměnění.

3.           Komise je zmocněna přijímat akty v přenesené pravomoci v souladu s článkem 86 za účelem dalšího vymezení kritérií a požadavků, pokud jde o technická a organizační opatření uvedená v odstavcích 1 a 2, včetně určení toho, co se pro konkrétní odvětví a v konkrétních situacích, kdy se zpracovávají údaje, rozumí stavem techniky, přičemž zohlední vývoj technologií a metod standardního nastavení ochrany údajů a ochrany soukromí již od návrhu, s výjimkou případů, kdy se použije odstavec 4.

4.           Komise může v případě potřeby přijmout prováděcí akty, aby vymezila požadavky stanovené v odstavcích 1 a 2 ve vztahu k několika situacím, konkrétně aby:

a)      předešla nedovolenému přístupu k osobním údajům;

b)      předešla nedovolenému sdělování, čtení, kopírování, upravování, výmazu či odstranění osobních údajů;

c)      zajistila ověření zákonnosti zpracování.

Tyto prováděcí akty se přijímají v souladu s přezkumným postupem podle čl. 87 odst. 2.

Článek 31 Ohlašování případů narušení bezpečnosti osobních údajů orgánu dozoru

1.           Dojde-li k narušení bezpečnosti osobních údajů, správce jej ohlásí orgánu dozoru, a to bez zbytečného odkladu, a je-li to možné, nejpozději do 24 hodin od chvíle, kdy toto narušení zjistil. Pokud není případ ohlášen orgánu dozoru do 24 hodin, k ohlášení je třeba připojit odůvodnění.

2.           Podle čl. 26 odst. 2 písm. f) je zpracovatel povinen informovat správce o narušení bezpečnosti osobních údajů okamžitě poté, co je narušení zjištěno, a na tuto skutečnost jej upozornit.

3.           V ohlášení podle odstavce 1 musí být přinejmenším:

a)      popsána povaha daného případu narušení bezpečnosti osobních údajů, včetně kategorií a počtu dotčených subjektů údajů a kategorií a množství dotčených záznamů;

b)      sdělena totožnost a kontaktní údaje inspektora ochrany údajů nebo jiného kontaktního subjektu, který může poskytnout bližší informace;

c)      doporučena opatření ke zmírnění nežádoucích účinků, které by dané narušení bezpečnosti osobních údajů mohlo mít;

d)      popsány důsledky narušení bezpečnosti osobních údajů;

e)      popsána opatření, která správce navrhl nebo přijal k řešení daného narušení.

4.           Veškeré případy narušení bezpečnosti osobních údajů správce zdokumentuje, přičemž zaznamená příslušné okolnosti, účinky daného narušení a kroky podniknuté pro jeho nápravu. Dokumentace musí orgánu dozoru umožňovat ověření souladu s tímto článkem. Dokumentace obsahuje pouze ty informace, které jsou k tomuto účelu nutné.

5.           Komise je zmocněna přijímat akty v přenesené pravomoci v souladu s článkem 86 za účelem dalšího vymezení kritérií a požadavků, pokud jde o zjišťování případů narušení bezpečnosti osobních údajů podle odstavců 1 a 2 a o konkrétní okolnosti, za nichž jsou správce a zpracovatel povinni narušení ohlašovat.

6.           Komise může stanovit standardní formát pro hlášení orgánu dozoru, může stanovit postupy pro ohlašovací povinnost a formu a způsoby dokumentace uvedené v odstavci 4 včetně lhůt pro výmaz informací v ní obsažených. Tyto prováděcí akty se přijímají v souladu s přezkumným postupem podle čl. 87 odst. 2.

Článek 32 Oznamování případů narušení bezpečnosti osobních údajů subjektům údajů

1.           Jestliže je pravděpodobné, že narušení bezpečnosti osobních údajů se nepříznivě dotkne ochrany osobních údajů nebo soukromí subjektu údajů, správce po ohlášení uvedeném v článku 31 oznámí případ narušení bez zbytečného odkladu dotčenému subjektu údajů.

2.           V oznámení subjektu údajů podle odstavce 1 se popíše povaha narušení bezpečnosti osobních údajů a uvedou se v něm přinejmenším informace a doporučení podle čl. 31 odst. 3 písm. b) a c) .

3.           Oznámení o narušení bezpečnosti osobních údajů dotčenému subjektu údajů není nutné, pokud správce ke spokojenosti orgánu dozoru prokáže, že zavedl náležitá technická ochranná opatření a že tato opatření byla použita u údajů, jejichž bezpečnost byla narušena. Tato technická ochranná opatření zajistí, že dotčené údaje nebudou srozumitelné pro nikoho, kdo není oprávněn k nim přistupovat.

4.           Aniž by byla dotčena povinnost správce oznamovat narušení bezpečnosti osobních údajů dotčeným subjektům údajů, jestliže již správce narušení bezpečnosti osobních údajů dotčenému subjektu údajů neoznámil, takové oznámení od něho může po zvážení pravděpodobných nežádoucích účinků narušení požadovat orgán dozoru.

5.           Komise je zmocněna přijímat akty v přenesené pravomoci v souladu s článkem 86 za účelem dalšího vymezení kritérií a požadavků, pokud jde o okolnosti, za jakých se narušení bezpečnosti osobních údajů pravděpodobně nepříznivě dotkne osobních údajů, jak je uvedeno v odstavci 1.

6.           Pro oznámení subjektům údajů uvedená odstavci 1 může Komise stanovit formát a příslušné postupy. Tyto prováděcí akty se přijímají v souladu s přezkumným postupem podle čl. 87 odst. 2.

ODDÍL 3 POSUZOVÁNÍ DOPADU NA OCHRANU ÚDAJŮ A PŘEDCHOZÍ POVOLENÍ

Článek 33 Posuzování dopadu na ochranu údajů

1.           Jestliže je zpracování údajů kvůli své povaze, rozsahu nebo účelu spojeno s pravděpodobnými specifickými riziky z hlediska práv a svobod subjektů údajů, správce nebo zpracovatel jednající jeho jménem posoudí dopad plánovaného zpracování na ochranu osobních údajů.

2.           Specifická rizika uvedená v odstavci 1 jsou spojena zejména s těmito zpracováními:

a)      se systematickým a rozsáhlým vyhodnocováním osobních aspektů fyzických osob nebo s rozborem či předpovídáním zejména ekonomické situace, lokalizace, zdraví, osobních preferencí, spolehlivosti či chování těchto fyzických osob, jestliže je zpracování údajů automatizované a zakládají se na něm opatření, která vyvolají ve vztahu k daným jednotlivcům právní účinky nebo která se těchto jednotlivců významným způsobem dotknou;

b)      se zpracováváním údajů o sexuálním životě, zdravotním stavu, rase a etnickém původu nebo údajů pro poskytování zdravotní péče, údajů souvisejících s epidemiologickým výzkumem či s průzkumy o duševních nebo infekčních nemocech, jestliže se tyto údaje zpracovávají ve velkém měřítku za účelem přijetí opatření či rozhodnutí týkajících se konkrétních jednotlivců;

c)      se sledováním veřejně přístupných prostorů, především pokud se k němu ve velké míře používá optických elektronických přístrojů (videokamer);

d)      se zpracováváním osobních údajů o dětech a genetických a biometrických údajů z objemných evidencí;

e)      s jinými zpracováními, u nichž se podle čl. 34 odst. 2 písm. b) vyžaduje konzultace orgánu dozoru.

3.           V posouzení jsou obsaženy alespoň obecný popis plánovaného zpracování, posouzení rizik z hlediska práv a svobod subjektů údajů, plánovaná opatření k řešení těchto rizik, záruky, bezpečnostní opatření a mechanismy k zajištění ochrany osobních údajů a k prokázání souladu s tímto nařízením, a to s přihlédnutím k právům a oprávněným zájmům subjektů údajů a dalších dotčených osob.

4.           Správce zjistí, jak se k zamýšlenému zpracování staví subjekty údajů nebo jejich zástupci, aniž by byla dotčena ochrana obchodních či veřejných zájmů nebo bezpečnost zpracování.

5.           Pokud je správce orgánem veřejné moci či veřejnoprávním subjektem a pokud se zpracování zakládá na právní povinnosti podle čl. 6 odst. 1 písm. c), která pro tato zpracování stanoví pravidla a postupy a která je upravena právem Unie, nepoužijí se odstavce 1 až 4 s výjimkou případů, kdy členské státy považují vypracování takového posouzení před zpracováním údajů za nutné.

6.           Komise je zmocněna přijímat akty v přenesené pravomoci v souladu s článkem 86 za účelem dalšího vymezení kritérií a podmínek, pokud jde o zpracování, jež by pravděpodobně mohla vyvolat specifická rizika uvedená v odstavcích 1 a 2, a za účelem vymezení požadavků na posouzení zmíněná v odstavci 3 včetně podmínek v podobě škálovatelnosti, ověřování a auditovatelnosti. Komise přitom zváží zvláštní opatření, zejména pro správce, kteří jsou malými podniky, středními podniky a mikropodniky.

7.           Komise může pro přípravu posouzení podle odstavce 3 a pro jeho ověřování a audit určit normy a postupy. Tyto prováděcí akty se přijímají v souladu s přezkumným postupem podle čl. 87 odst. 2.

Článek 34 Předchozí povolení a předchozí konzultace

1.           Správce nebo zpracovatel musí před zpracováním osobních údajů získat povolení orgánu dozoru, aby se zajistil soulad zamýšleného zpracování s tímto nařízením, a zejména aby se omezila související rizika pro subjekty údajů, pokud správce nebo zpracovatel přijme smluvní doložky podle čl. 42 odst. 2 písm. d) nebo nestanoví vhodné záruky v právně závazném nástroji, jak je uvedeno v čl. 42 odst. 5, v souvislosti s předáváním osobních údajů do třetí země nebo mezinárodní organizaci.

2.           Správce nebo zpracovatel jednající jeho jménem musí před zpracováním osobních údajů konzultovat orgán dozoru, aby se zajistil soulad zamýšleného zpracování s tímto nařízením, a zejména aby se omezila rizika pro subjekty údajů, pokud:

a)      posouzení dopadu na ochranu údajů, jak je stanoveno v článku 33, nasvědčuje tomu, že zpracování bude kvůli své povaze, rozsahu nebo účelu spojeno s vysokou mírou pravděpodobných specifických rizik, nebo

b)      orgán dozoru považuje za nutné předchozí konzultace o zpracováních, která jsou kvůli své povaze, rozsahu a/nebo účelu pravděpodobně spojena se specifickými riziky z hlediska práv a svobod subjektů údajů a která jsou vymezena podle odstavce 4.

3.           Pokud se orgán dozoru domnívá, že zamýšlené zpracování není v souladu s tímto nařízením, zejména pokud nejsou dostatečně určena či omezena rizika, zamýšlené zpracování zakáže a připraví příslušné návrhy na nápravu takového nesouladu.

4.           Orgán dozoru sepíše a zveřejní seznam zpracování, na která se vztahuje předchozí konzultace podle odst. 2 písm. b). Tyto seznamy sdělí orgán dozoru Evropské radě pro ochranu údajů.

5.           Jestliže jsou na seznamu stanoveném v odstavci 4 uvedena zpracování související s nabídkou zboží či služeb subjektům údajů v několika členských státech nebo se sledováním jejich chování nebo jestliže seznam může výrazně ovlivnit volný pohyb osobních údajů v rámci Unie, orgán dozoru před přijetím tohoto seznamu použije mechanismus jednotnosti uvedený v článku 57.

6.           Správce nebo zpracovatel poskytnou orgánu dozoru posouzení dopadu na ochranu údajů uvedené v článku 33 a na požádání jakékoliv další informace, jež orgánu dozoru umožní posoudit soulad zpracování s tímto nařízením a zejména pak posoudit rizika z hlediska ochrany osobních údajů pro subjekty údajů a související záruky.

7.           Členské státy konzultují orgán dozoru při přípravě legislativního opatření přijímaného vnitrostátním parlamentem – nebo opatření založeného na takovémto legislativním opatření –, které definuje povahu zpracování, aby se zajistil soulad zamýšleného zpracování s tímto nařízením, a zejména pak aby se omezila rizika pro subjekty údajů.

8.           Komise je zmocněna přijímat akty v přenesené pravomoci v souladu s článkem 86 za účelem dalšího vymezení kritérií a požadavků, pokud jde o určování vysoké míry specifického rizika uvedené v odst. 2 písm. a).

9.           Komise může stanovit standardní formuláře a postupy pro předchozí povolení a konzultace uvedené v odstavcích 1 a 2 a standardní formuláře a postupy pro informování orgánů dozoru podle odstavce 6. Tyto prováděcí akty se přijímají v souladu s přezkumným postupem podle čl. 87 odst. 2.

ODDÍL 4 INSPEKTOR OCHRANY ÚDAJŮ

Článek 35 Jmenování inspektora ochrany údajů

1.           Správce a zpracovatel jmenují inspektora ochrany údajů v každém případě, kdy:

a)      zpracování provádí orgán veřejné moci či veřejnoprávní subjekt nebo

b)      zpracování provádí podnik zaměstnávající 250 či více osob nebo

c)      hlavní činnost správce nebo zpracovatele spočívá ve zpracovávání údajů, která kvůli své povaze, rozsahu a/nebo účelu vyžadují pravidelné a systematické sledování subjektů údajů.

2.           V případě uvedeném v odst. 1 písm. b) může skupina podniků jmenovat jediného inspektora ochrany údajů.

3.           Je-li správce nebo zpracovatel orgánem veřejné moci či veřejnoprávním subjektem, inspektor ochrany údajů může být s přihlédnutím k organizační struktuře daného orgánu veřejné moci či veřejnoprávního subjektu jmenován pro několik jeho organizačních jednotek.

4.           V jiných případech, než jaké jsou uvedeny v odstavci 1, mohou inspektora ochrany údajů jmenovat správce nebo zpracovatel nebo sdružení a jiné subjekty zastupující kategorie správců či zpracovatelů.

5.           Správce nebo zpracovatel jmenují inspektora ochrany údajů na základě profesních kvalit, zejména na základě jeho odborných znalostí práva a praxe v oblasti ochrany údajů a na základě jeho schopnosti plnit úkoly stanovené v článku 37. Potřebná úroveň odborných znalostí se konkrétně určí podle prováděného zpracování údajů a podle ochrany, která se pro osobní údaje zpracovávané správcem nebo zpracovatelem požaduje.

6.           Správce nebo zpracovatel zajistí, že jakékoliv jiné profesní povinnosti inspektora ochrany údajů budou slučitelné s jeho úkoly a povinnostmi coby inspektora a že nebudou vyvolávat střet zájmů.

7.           Správce nebo zpracovatel jmenují inspektora ochrany údajů na minimální období dvou let. Inspektor ochrany údajů může být opětovně jmenován na další funkční období. Během funkčního období může být inspektor ochrany údajů odvolán z funkce pouze tehdy, pokud přestal splňovat podmínky požadované pro výkon jeho povinností.

8.           Inspektor ochrany údajů může být zaměstnancem správce či zpracovatele nebo může své úkoly plnit na základě smlouvy o službách.

9.           Správce nebo zpracovatel oznámí jméno a kontaktní údaje inspektora ochrany údajů orgánu dozoru a veřejnosti.

10.         Subjekty údajů mají právo obracet se na inspektora ochrany údajů ve všech záležitostech souvisejících se zpracováváním jejich údajů a požadovat výkon práv podle tohoto nařízení.

11.         Komise je zmocněna přijímat akty v přenesené pravomoci v souladu s článkem 86 za účelem dalšího vymezení kritérií a požadavků, pokud jde o hlavní činnosti správce nebo zpracovatele uvedené v odst. 1 písm. c), a za účelem dalšího vymezení kritérií pro profesní kvality inspektora ochrany údajů uvedené v odst. 5.

Článek 36 Postavení inspektora ochrany údajů

1.           Správce nebo zpracovatel zajistí, aby byl inspektor ochrany údajů náležitě a včas zapojen do veškerých záležitostí souvisejících s ochranou osobních údajů.

2.           Správce nebo zpracovatel zajistí, aby inspektor ochrany údajů plnil své povinnosti a úkoly nezávisle a nepřijímal žádné pokyny k výkonu své funkce. Inspektor ochrany údajů je přímo podřízen vedení správce nebo zpracovatele.

3.           Správce nebo zpracovatel jsou inspektorovi ochrany údajů při plnění jeho úkolů nápomocni a poskytují mu personál, prostory, vybavení a jakékoliv další zdroje potřebné k výkonu povinností a úkolů uvedených v článku 37.

Článek 37 Úkoly inspektora ochrany údajů

1.           Správce nebo zpracovatel svěří inspektorovi ochrany údajů alespoň tyto úkoly:

a)      informovat správce nebo zpracovatele a udílet jim rady, pokud jde o jejich povinnosti plynoucí z tohoto nařízení, a vést dokumentaci o této činnosti a obdržených odpovědích;

b)      sledovat provádění a uplatňování politik správce nebo zpracovatele souvisejících s ochranou osobních údajů včetně svěřování odpovědnosti, školení pracovníků zapojených do zpracovávání a souvisejících auditů;

c)      sledovat provádění a uplatňování tohoto nařízení, zejména požadavků týkajících se ochrany údajů již od návrhu, standardního nastavení ochrany údajů a bezpečnosti údajů a požadavků týkajících se informovanosti subjektů údajů a jejich žádostí o výkon jejich práv podle tohoto nařízení;

d)      zajišťovat, aby se vedla dokumentace uvedená v článku 28;

e)      sledovat dokumentaci a ohlašování a oznamování případů narušení bezpečnosti osobních údajů podle článků 31 a 32;

f)       sledovat, zda správce nebo zpracovatel vypracovávají posouzení dopadu na ochranu údajů a žádají o předchozí povolení nebo předchozí konzultaci, jsou-li těmito úkony povinováni podle článků 33 a 34;

g)      sledovat reakce na žádosti orgánu dozoru a v mezích svých pravomocí inspektora ochrany údajů spolupracovat s orgánem dozoru, pokud o to požádá, nebo pokud k tomu dá podnět inspektor ochrany údajů;

h)      působit jako kontaktní osoba pro orgán dozoru v záležitostech souvisejících se zpracováváním, a je-li záhodno, vést s orgánem dozoru konzultace z vlastní iniciativy.  

2.           Komise je zmocněna přijímat akty v přenesené pravomoci v souladu s článkem 86 za účelem dalšího vymezení kritérií a požadavků, pokud jde o úkoly, osvědčení, postavení, pravomoci a zdroje inspektora ochrany údajů podle odstavce 1.

ODDÍL 5 KODEXY CHOVÁNÍ A OSVĚDČOVÁNÍ

Článek 38 Kodexy chování

1.           Členské státy, orgány dozoru a Komise podporují vypracování kodexů chování, které mají přispět k řádnému uplatňování tohoto nařízení s ohledem na konkrétní povahu různých odvětví zpracovávajících údaje, zejména pokud jde o:

a)      korektnost a průhlednost při zpracovávání údajů;

b)      sběr údajů;

c)      informovanost veřejnosti a subjektů údajů;

d)      žádosti subjektů údajů v souvislosti s výkonem jejich práv;

e)      informovanost a ochranu dětí;

f)       předávání údajů do třetích zemí nebo mezinárodním organizacím;

g)      mechanismy sledující a zajišťující dodržování kodexu ze strany správců, kteří se k němu hlásí;

h)      mimosoudní vyrovnání a jiné postupy pro řešení sporů mezi správci a subjekty údajů v souvislosti se zpracováváním osobních údajů, aniž by byla dotčena práva subjektů údajů podle článků 73 a 75.

2.           Sdružení a jiné subjekty, které zastupují kategorie správců či zpracovatelů v jednom členském státě a které hodlají zavést kodexy chování nebo upravit či rozšířit kodexy chování již zavedené, je v tomto členském státě mohou předložit k posouzení orgánu dozoru. Orgán dozoru může vydat stanovisko k tomu, zda je daný návrh kodexu chování nebo jeho úpravy v souladu s tímto nařízením. Orgán dozoru zjistí, jak se k těmto návrhům staví subjekty údajů nebo jejich zástupci.

3.           Sdružení a jiné subjekty, které zastupují kategorie správců v několika členských státech, mohou návrhy nových kodexů chování a návrhy na úpravu či rozšíření stávajících kodexů předložit Komisi.

4.           Komise může přijmout prováděcí akty, aby rozhodla, že nové kodexy chování a úpravy či rozšíření stávajících kodexů, které jí byly předloženy podle odstavce 3, mají obecnou platnost v rámci Unie. Tyto prováděcí akty se přijímají v souladu s přezkumným postupem podle čl. 87 odst. 2.

5.           Komise zajistí odpovídající zviditelnění kodexů, u nichž se rozhodne o obecné platnosti podle odstavce 4.

Článek 39 Osvědčení

1.           Členské státy a Komise podpoří, zejména na evropské úrovni, zavedení mechanismů pro vydávání osvědčení o ochraně údajů a zavedení pečetí a známek dokládajících ochranu údajů, aby se subjektům údajů umožnilo rychle zhodnotit úroveň ochrany údajů, kterou jim správci a zpracovatelé nabízejí. Mechanismy pro vydávání osvědčení o ochraně údajů přispějí k řádnému uplatňování tohoto nařízení s přihlédnutím ke konkrétní povaze různých odvětví a různých zpracování.

2.           Komise je zmocněna přijímat akty v přenesené pravomoci v souladu s článkem 86 za účelem dalšího vymezení kritérií a požadavků, pokud jde o mechanismy pro vydávání osvědčení o ochraně údajů uvedené v odstavci 1 včetně podmínek pro udělování a odebírání a požadavků na uznávání v rámci Unie a ve třetích zemích.

3.           Pro mechanismy osvědčování a pro pečeti a známky dokládající ochranu údajů může Komise stanovit technické normy a mechanismy pro propagaci a uznávání. Tyto prováděcí akty se přijímají v souladu s přezkumným postupem podle čl. 87 odst. 2.

KAPITOLA V PŘEDÁVÁNÍ OSOBNÍCH ÚDAJŮ DO TŘETÍCH ZEMÍ NEBO MEZINÁRODNÍM ORGANIZACÍM

Článek 40 Obecná zásada pro předávání

K jakémukoli předání zpracovávaných nebo ke zpracování zamýšlených osobních údajů po jejich předání do třetí země nebo mezinárodní organizace může dojít pouze tehdy, splní-li správce a zpracovatel v závislosti na dalších ustanoveních tohoto nařízení podmínky stanovené v této kapitole, včetně podmínek pro další předávání osobních údajů z dané třetí země nebo mezinárodní organizace do jiné třetí země nebo jiné mezinárodní organizace.

Článek 41 Předávání založené na rozhodnutí o přiměřenosti

1.           K předání může dojít, pokud Komise rozhodla, že daná třetí země nebo území či odvětví zpracovávání v dané třetí zemi nebo daná mezinárodní organizace zaručuje přiměřenou úroveň ochrany. Takovéto předání nevyžaduje žádné další povolení.

2.           Při posuzování toho, zda je úroveň ochrany přiměřená, přihlíží Komise k následujícím aspektům:

a)      právnímu státu, související platné legislativě, a to obecné i odvětvové, včetně právních předpisů o veřejné bezpečnosti, obraně a vnitrostátní bezpečnosti, trestnímu právu; profesním pravidlům a bezpečnostním opatřením, která jsou v dané zemi nebo dané mezinárodní organizaci dodržována, jakož i k účinným a vynutitelným právům včetně účinné správní a soudní nápravy pro subjekty údajů, zejména pro ty z nich, jež mají bydliště v Unii a jejichž osobní údaje jsou předávány;

b)      existenci a účinnému fungování jednoho nebo více nezávislých orgánů dozoru v dané třetí zemi nebo mezinárodní organizaci odpovědných za zajišťování souladu s pravidly pro ochranu údajů, za pomoc a poradenství subjektům údajů při výkonu jejich práv a za spolupráci s orgány dozoru Unie a členských států a dále

c)      k mezinárodním závazkům, které daná třetí země nebo mezinárodní organizace přijala.

3.           Komise může rozhodnout, že určitá třetí země nebo území či odvětví zpracovávání v dané třetí zemi nebo určitá mezinárodní organizace zajišťuje přiměřenou úroveň ochrany ve smyslu odstavce 2. Tyto prováděcí akty se přijímají v souladu s přezkumným postupem podle čl. 87 odst. 2.

4.           V prováděcím aktu se stanoví jeho zeměpisné a odvětvové použití a v příslušném případě se v něm také určí orgán dozoru uvedený v odst. 2 písm. b).

5.           Komise může rozhodnout, že určitá třetí země nebo území či odvětví zpracovávání v dané třetí zemi nebo určitá mezinárodní organizace nezajišťuje přiměřenou úroveň ochrany ve smyslu odstavce 2 tohoto článku, konkrétně v případech, kdy příslušné platné právní předpisy, a to obecné i odvětvové, v dané třetí zemi nebo mezinárodní organizaci nezaručují účinná a vynutitelná práva včetně účinné správní a soudní nápravy pro subjekty údajů, a zejména pro ty z nich, jež mají bydliště v Unii a jejichž osobní údaje jsou předávány. Tyto prováděcí akty se přijímají v souladu s přezkumným postupem podle čl. 87 odst. 2, nebo ve zvlášť naléhavých případech souvisejících s právem fyzických osob na ochranu osobních údajů v souladu s postupem podle čl. 87 odst. 3.

6.           Rozhodne-li Komise podle odstavce 5, zakazuje se jakékoli předání osobních údajů do dané země nebo na některé území či do některého odvětví zpracovávání v této zemi nebo jakékoli předání osobních údajů dané mezinárodní organizaci, aniž by tím byla dotčena ustanovení článků 42 až 44. Ve vhodný okamžik zahájí Komise s danou třetí zemí nebo mezinárodní organizací konzultace s cílem napravit stav, který z rozhodnutí podle odstavce 5 tohoto článku vyplývá.

7.           Komise zveřejní v Úředním věstníku Evropské unie seznam třetích zemí, území a odvětví zpracovávání v určité zemi a mezinárodních organizací, v nichž podle jejího rozhodnutí přiměřená úroveň ochrany je nebo není zaručena.

8.           Rozhodnutí přijatá Komisí na základě čl. 25 odst. 6 nebo čl. 26 odst. 4 směrnice 95/46/ES zůstávají platná až do chvíle, kdy je Komise změní, nahradí nebo zruší.

Článek 42 Předávání založené na vhodných zárukách

1.           Jestliže Komise nepřijala žádné rozhodnutí podle článku 41, správce nebo zpracovatel mohou předat osobní údaje do třetí země nebo mezinárodní organizaci, pouze pokud ve věci ochrany osobních údajů uvedli vhodné záruky v právně závazném nástroji.

2.           Vhodné záruky zmíněné v odstavci 1 se stanoví konkrétně:

a)      závaznými podnikovými pravidly v souladu s článkem 43 nebo

b)      standardními doložkami o ochraně údajů přijatými Komisí. Tyto prováděcí akty se přijímají v souladu s přezkumným postupem podle čl. 87 odst. 2; nebo

c)      standardními doložkami o ochraně údajů přijatými orgánem dozoru v souladu s mechanismem jednotnosti uvedeným v článku 57, prohlásila-li Komise podle čl. 62 odst. 1 písm. b) tyto doložky za obecně platné, nebo

d)      smluvními doložkami mezi správcem nebo zpracovatelem na straně jedné a příjemcem údajů na straně druhé, které schválí orgán dozoru v souladu s odstavcem 4.

3.           Předávání založené na standardních doložkách o ochraně údajů nebo na závazných podnikových pravidlech, jak je uvedeno v odst. 2 písm. a), b) nebo c), nevyžaduje žádné další povolení.

4.           Jestliže se určité předání zakládá na smluvních doložkách podle odst. 2 písm. d) tohoto článku, tyto smluvní doložky musí správci nebo zpracovateli nejdříve schválit orgán dozoru podle čl. 34 odst. 1 písm. a). Pokud je dané předání spojeno se zpracováním údajů týkajících se subjektů v jiném členském státu nebo v jiných členských státech nebo pokud významně ovlivňuje volný pohyb osobních údajů v rámci Unie, orgán dozoru použije mechanismus jednotnosti uvedený v článku 57.

5.           Pokud nejsou vhodné záruky pro ochranu osobních údajů stanoveny v právně závazném nástroji, správce nebo zpracovatel musí k předání nebo řadě předání získat předchozí povolení, stejně tak jako jej musí získat k zapracování ustanovení do správních ujednání, jež jsou pro takové předání základem. Tato povolení orgánu dozoru jsou v souladu s čl. 34 odst. 1 písm. a). Pokud je dané předání spojeno se zpracováním údajů týkajících se subjektů v jiném členském státu nebo v jiných členských státech nebo pokud významně ovlivňuje volný pohyb osobních údajů v rámci Unie, orgán dozoru použije mechanismus jednotnosti uvedený v článku 57. Povolení orgánu dozoru na základě čl. 26 odst. 2 směrnice 95/46/ES zůstávají platná až do chvíle, kdy je orgán dozoru změní, nahradí nebo zruší.

Článek 43 Předávání založené na závazných podnikových pravidlech

1.           Orgán dozoru schvaluje v souladu s mechanismem jednotnosti stanoveným v článku 58 závazná podniková pravidla za předpokladu, že:

a)      jsou právně závazná, používá a prosazuje je každý člen v rámci správcovy nebo zpracovatelovy skupiny podniků a vztahují se i na zaměstnance;

b)      výslovně přiznávají vynutitelná práva subjektům údajů;

c)      splňují požadavky stanovené v odstavci 2.

2.           Závazná podniková pravidla vymezují přinejmenším:

a)      strukturu a kontaktní údaje skupiny podniků a jejích členů;

b)      předání údajů nebo řadu předání, včetně kategorií osobních údajů, typu zpracování a jeho účelu, typu dotčených subjektů údajů a určení dané třetí země nebo daných třetích zemí;

c)      svoji právně závaznou povahu, a to interně i externě;

d)      obecné zásady pro ochranu údajů, zejména účelové omezení, kvalitu údajů, právní základ pro zpracovávání a pro zpracovávání citlivých osobních údajů; opatření k zajištění bezpečnosti údajů a požadavky na další předávání organizacím, které touto politikou nejsou vázány;

e)      práva subjektů údajů a prostředky jejich výkonu, včetně práva nebýt předmětem opatření založeného na profilování v souladu s článkem 20, práva předložit stížnost příslušnému orgánu dozoru a příslušným soudům členských států v souladu s článkem 75, práva na nápravu a případně i práva na odškodnění v případě porušení závazných podnikových pravidel;

f)       přijetí odpovědnosti ze strany správce nebo zpracovatele usazeného na území některého členského státu za porušení závazných podnikových pravidel kterýmkoli členem skupiny podniků neusazeným v Unii; správce nebo zpracovatel se může této odpovědnosti částečně nebo zcela zprostit, pouze pokud prokáže, že za okolnost, jež vedla ke vzniku škody, není daný člen odpovědný;

g)      způsob poskytování informací o závazných podnikových pravidlech, zejména o jejich ustanoveních uvedených v písmenech d), e) a f) tohoto odstavce, subjektům údajů v souladu s článkem 11;

h)      úkoly inspektora ochrany údajů jmenovaného v souladu s článkem 35 včetně sledování souladu se závaznými podnikovými pravidly v rámci skupiny podniků a sledování školení a vyřizování stížností;

i)       mechanismy, které mají v rámci skupiny podniků zajistit ověřování souladu se závaznými podnikovými pravidly;

j)       mechanismy pro podávání zpráv a pro zaznamenávání změn v politice a hlášení těchto změn orgánu dozoru;

k)      mechanismus spolupráce s orgánem dozoru, který zajistí dodržování pravidel každým členem skupiny podniků, zejména poskytování výsledků ověřování opatření uvedených v písmenu i) tohoto odstavce orgánu dozoru.

3.           Komise je zmocněna přijímat akty v přenesené pravomoci v souladu s článkem 86 za účelem dalšího vymezení kritérií a požadavků na závazná podniková pravidla ve smyslu tohoto článku, zejména pokud jde o kritéria pro jejich schvalování, o uplatňování ustanovení odst. 2 písm. b), d), e) a f) na závazná podniková pravidla, k nimž se zpracovatelé hlásí, a o další požadavky potřebné k zajištění ochrany osobních údajů dotčených subjektů údajů.

4.           Komise může u závazných podnikových pravidel ve smyslu tohoto článku určit formát a postupy pro elektronickou výměnu informací mezi správci, zpracovateli a orgány dozoru. Tyto prováděcí akty se přijímají v souladu s přezkumným postupem podle čl. 87 odst. 2.

Článek 44 Výjimky

1.           Jestliže neexistuje rozhodnutí o přiměřenosti podle článku 41 nebo vhodné záruky podle článku 42, předání nebo řada předání osobních údajů do třetí země nebo mezinárodní organizaci se může uskutečnit pouze za podmínky, že:

a)      daný subjekt údajů byl informován o rizicích takového předání v důsledku absence rozhodnutí o přiměřenosti a vhodných záruk a následně k navrhovanému předání vydal svůj souhlas nebo

b)      předání je nezbytné pro splnění smlouvy mezi subjektem údajů a správcem nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost subjektu údajů nebo

c)      předání je nezbytné pro uzavření nebo splnění smlouvy, která má být uzavřena nebo která byla uzavřena v zájmu subjektu údajů mezi správcem a jinou fyzickou nebo právnickou osobou, nebo

d)      předání je nezbytné z důvodu důležitého veřejného zájmu nebo

e)      předání je nezbytné pro uplatnění, výkon nebo obhajobu právních nároků nebo

f)       předání je nezbytné k ochraně životně důležitých zájmů subjektu údajů nebo jiné osoby v případě, že subjekt údajů není fyzicky nebo právně způsobilý udělit svůj souhlas, nebo

g)      k předání dochází z rejstříku, který je na základě práva Unie nebo členských států určen pro informování veřejnosti a je přístupný k nahlížení veřejnosti obecně nebo jakékoli osobě, která prokáže oprávněný zájem, pokud jsou v daném případě splněny právní předpisy Unie nebo členských států pro nahlížení, nebo

h)      předání je nezbytné pro účely oprávněných zájmů správce nebo zpracovatele, nelze je označit za časté nebo značného rozsahu a správce nebo zpracovatel posoudil všechny okolnosti daného předání údajů nebo dané řady předání údajů a na základě tohoto posouzení přijal v případě potřeby vhodné záruky pro ochranu osobních údajů.

2.           Předmětem předání podle odst. 1 písm. g) nejsou veškeré osobní údaje nebo veškeré kategorie osobních údajů, které jsou v rejstříku obsaženy. Má-li rejstřík sloužit k nahlížení osobám majícím oprávněný zájem, předání se uskuteční, pouze pokud o to tyto osoby požádají nebo pokud jsou tyto osoby příjemcem.

3.           Jestliže se zpracování zakládá na odst. 1 písm. h), správce nebo zpracovatel zváží zvláště povahu údajů, účel a dobu trvání navrhovaného zpracování, jakož i situaci v zemi původu, v dané třetí zemi a v zemi konečného určení a v případě potřeby přijme vhodné záruky pro ochranu osobních údajů.

4.           Ustanovení odst. 1 písm. b), c) a h) se nevztahují na činnosti prováděné orgány veřejné moci při výkonu jejich úředních pravomocí.

5.           Veřejný zájem uvedený v odst. 1 písm. d) musí být uznáván právem Unie nebo právem členského státu, kterému správce podléhá.

6.           Správce nebo zpracovatel zaznamená posouzení i přijaté vhodné záruky uvedené v odst. 1 písm. h) tohoto článku v dokumentaci zmíněné v článku 28 a o předání informuje orgán dozoru.

7.           Komise je zmocněna přijímat akty v přenesené pravomoci v souladu s článkem 86 za účelem dalšího vymezení „důležitého veřejného zájmu“ ve smyslu odst. 1 písm. d), jakož i za účelem vymezení kritérií a požadavků, pokud jde o vhodné záruky uvedené v odst. 1 písm. h).

Článek 45 Mezinárodní spolupráce v zájmu ochrany osobních údajů

1.           Ve vztahu k třetím zemím a mezinárodním organizacím podniknou Komise a orgány dozoru odpovídající kroky v zájmu:

a)      rozvoje účinných mechanismů pro mezinárodní spolupráci, aby se usnadnilo prosazování právních předpisů na ochranu osobních údajů;

b)      poskytování vzájemné pomoci na mezinárodní úrovni při prosazování právních předpisů na ochranu osobních údajů, a to mimo jiné formou oznamování, postupování stížností, pomoci při vyšetřování a výměny informací, pod podmínkou vhodných záruk pro ochranu osobních údajů a jiných základních práv a svobod;

c)      zapojení příslušných zúčastněných stran do diskuse a činností zacílených na prohlubování mezinárodní spolupráce při prosazování právních předpisů na ochranu osobních údajů;

d)      podpoření výměny a dokumentace v souvislosti s právními předpisy a praxí v oblasti ochrany osobních údajů.

2.           Pro účely odstavce 1 podnikne Komise odpovídající kroky, aby rozvinula vztah se třetími zeměmi nebo mezinárodními organizacemi, zejména s jejich orgány dozoru, pokud rozhodla, že zajišťují přiměřenou úroveň ochrany ve smyslu čl. 41 odst. 3.

KAPITOLA VI NEZÁVISLÉ ORGÁNY DOZORU

ODDÍL 1 NEZÁVISLOST POSTAVENÍ

Článek 46 Orgán dozoru

1.           Každý členský stát stanoví, že jeden nebo více orgánů veřejné moci ponese odpovědnost za sledování uplatňování tohoto nařízení a za přispívání k jeho jednotnému uplatňování v celé Unii, aby byla chráněna základní práva a svobody fyzických osob v souvislosti se zpracováváním jejich osobních údajů a usnadnil se volný pohyb osobních údajů v rámci Unie. Orgány dozoru budou za tímto účelem spolupracovat s Komisí a mezi sebou.

2.           Pokud je v některém členském státě zřízen více než jeden orgán dozoru, daný členský stát jmenuje orgán dozoru, jenž bude fungovat jako jediné kontaktní místo pro účinnou účast těchto orgánů v Evropské radě pro ochranu údajů, a stanoví mechanismus, který zajistí, že budou ostatní orgány dodržovat pravidla týkající se mechanismu jednotnosti uvedeného v článku 57.

3.           Každý členský stát oznámí Komisi nejpozději do data uvedeného v čl. 91 odst. 2 právní ustanovení, která přijme podle této kapitoly, a bez zbytečného odkladu jakékoliv následné změny, jež se těchto ustanovení dotknou.

Článek 47 Nezávislost

1.           Orgán dozoru jedná při výkonu povinností a pravomocí jemu svěřených zcela nezávisle.

2.           Členové orgánu dozoru při plnění svých povinností u nikoho nevyhledávají ani od nikoho nepřijímají žádné pokyny.

3.           Členové orgánu dozoru se zdrží veškeré činnosti, která je neslučitelná s povinnostmi jejich funkce, a v průběhu svého funkčního období nesmí vykonávat žádné jiné neslučitelné zaměstnání, ať už placené či neplacené.

4.           Po skončení svého funkčního období jsou členové orgánu dozoru povinni jednat čestně a uvážlivě, pokud jde o přijímání funkcí a výhod.

5.           Každý členský stát zajistí, aby byl orgán dozoru vybaven odpovídajícími lidskými, technickými a finančními zdroji, prostory a infrastrukturou, které bude potřebovat pro účinné vykonávání svých povinností a pravomocí, včetně povinností a pravomocí, jež bude plnit v rámci vzájemné pomoci, spolupráce a účasti v Evropské radě pro ochranu údajů.

6.           Každý členský stát zajistí, aby měl orgán dozoru své vlastní pracovníky, kteří budou jmenováni vedoucím orgánu dozoru a budou podléhat jeho řízení.

7.           Členské státy zajistí, aby orgán dozoru podléhal finanční kontrole, přičemž nebude nijak ovlivněna jeho nezávislost. Členské státy zajistí, aby měl orgán dozoru samostatný roční rozpočet. Tyto rozpočty se zveřejňují.

Článek 48 Obecné podmínky pro členy orgánu dozoru

1.           Členské státy stanoví, že členové orgánu dozoru musí být jmenováni parlamentem, nebo vládou daného členského státu.

2.           Členové jsou vybíráni z osob, jejichž nezávislost je nade vší pochybnost a jež prokázaly zkušenosti a dovednosti potřebné k výkonu svých povinností, především v oblasti ochrany osobních údajů.

3.           Povinnosti člena orgánu dozoru končí v okamžiku uplynutí jeho funkčního období, odstoupení nebo povinného odchodu do důchodu v souladu s odstavcem 5.

4.           Pokud člen orgánu dozoru přestane splňovat podmínky požadované pro výkon svých povinností nebo se dopustil závažného pochybení, může být příslušným vnitrostátním soudem odvolán nebo zbaven práva na penzi či jiné výhody poskytované namísto ní.

5.           Jestliže uplyne členovo funkční období nebo člen odstoupí, člen pokračuje v plnění svých povinností, dokud nebude jmenován nový člen.

Článek 49 Pravidla pro zřízení orgánu dozoru

Každý členský stát upraví právním předpisem v mezích tohoto nařízení:

a)      zřízení orgánu dozoru a jeho postavení;

b)      kvalifikaci, zkušenosti a dovednosti požadované pro výkon povinností členů orgánu dozoru;

c)      pravidla a postupy pro jmenování členů orgánu dozoru, jakož i pravidla týkající se činností nebo zaměstnání neslučitelných s povinnostmi úřadu;

d)      délku funkčního období členů orgánu dozoru, která dosáhne minimálně čtyř let s výjimkou prvních jmenování po vstupu tohoto nařízení v platnost, jež mohou být na dobu kratší, je-li k ochraně nezávislosti orgánu dozoru nutný proces postupného jmenování;

e)      způsobilost členů orgánu dozoru k opětovnému jmenování;

f)       právní předpisy a obvyklé podmínky, jimiž se řídí povinnosti členů a pracovníků orgánu dozoru;

g)      pravidla a postupy pro ukončení povinností členů orgánu dozoru, včetně případu, kdy přestanou splňovat podmínky požadované pro výkon svých povinností nebo kdy se dopustili závažného pochybení.

Článek 50 Profesní tajemství

Členové orgánu dozoru a jeho pracovníci jsou během svého funkčního období i po jeho skončení vázáni profesním tajemstvím, pokud jde o veškeré důvěrné informace, o nichž se dozví během výkonu svých služebních povinností.

ODDÍL 2 POVINNOSTI A PRAVOMOCI

Článek 51 Příslušnost

1.           Každý orgán dozoru vykonává pravomoci, které mu byly svěřeny v souladu s tímto nařízením, na území svého vlastního členského státu.

2.           Dochází-li ke zpracování osobních údajů v rámci činností některé provozovny správce nebo zpracovatele v Unii a správce nebo zpracovatel sídlí ve více členských státech, k dohledu nad zpracováními prováděnými daným správcem či zpracovatelem je ve všech členských státech příslušný orgán dozoru správcovy nebo zpracovatelovy hlavní provozovny, aniž by tím byla dotčena ustanovení kapitoly VII tohoto nařízení.

3.           Orgán dozoru není příslušný k dohledu nad zpracováními, která provádějí soudy jednající v rámci svých soudních pravomocí.

Článek 52 Povinnosti

1.           Orgán dozoru:

a)      sleduje a zajišťuje uplatňování tohoto nařízení;

b)      zabývá se stížnostmi, které mu předloží subjekt údajů nebo sdružení, jež tento subjekt zastupuje, v souladu s článkem 73, v odpovídající míře dané záležitosti prošetřuje a v rozumné lhůtě informuje daný subjekt údajů či dané sdružení o vývoji a výsledku jejich stížností, a to zejména v případech, kdy je zapotřebí další šetření nebo koordinace s jiným orgánem dozoru;

c)      pomáhá na principu vzájemnosti dalším orgánům dozoru, dělí se s nimi o informace a zajišťuje jednotné uplatňování a prosazování tohoto nařízení;

d)      provádí šetření, a to z vlastní iniciativy nebo na základě stížnosti nebo na základě žádosti jiného orgánu dozoru, a o výsledku šetření v rozumné lhůtě informuje dotčené subjekty údajů, pokud tomuto orgánu dozoru adresují stížnost;

e)      sleduje vývoj v relevantních oblastech, pokud mají dopad na ochranu osobních údajů, zejména vývoj informačních a komunikačních technologií a obchodních praktik;

f)       je konzultován orgány či subjekty členských států o právních a správních opatřeních, jež se týkají ochrany práv a svobod fyzických osob v souvislosti se zpracováváním osobních údajů;

g)      schvaluje zpracování uvedená v článku 34 a je otevřen jejich konzultaci;

h)      vydává stanovisko k návrhům kodexů chování podle čl. 38 odst. 2;

i)       schvaluje závazná podniková pravidla podle článku 43;

j)       účastní se na činnostech Evropské rady pro ochranu údajů.

2.           Každý orgán dozoru zvyšuje povědomí veřejnosti o rizicích, pravidlech, zárukách a právech v souvislosti se zpracováváním osobních údajů. Zvláštní pozornost se přitom věnuje akcím, které jsou určeny speciálně pro děti.

3.           Je-li o to požádán, orgán dozoru poskytuje subjektu údajů poradenství při výkonu práv podle tohoto nařízení, a je-li záhodno, spolupracuje za tímto účelem s orgány dozoru v jiných členských státech.

4.           V případě stížností uvedených v odst. 1 písm. b) nabízí orgán dozoru formulář pro jejich předkládání, který lze vyplnit elektronicky, aniž by byly vyloučeny ostatní komunikační prostředky.

5.           Orgán dozoru neúčtuje subjektům údajů za plnění svých povinností žádné poplatky.

6.           Jestliže jsou žádosti zjevně nepřiměřené, zvláště z toho důvodu, že se jejich obsah opakuje, orgán dozoru může jejich vyřízení zpoplatnit nebo ve věci vznesené subjektem údajů nejednat. Orgán dozoru nese důkazní břemeno, pokud jde o prokázání zjevné nepřiměřenosti těchto žádostí.

Článek 53 Pravomoci

1.           Každý orgán dozoru má pravomoc:

a)      oznamovat správci nebo zpracovateli případy údajného porušení ustanovení o zpracovávání osobních údajů a v příslušných případech jim nařizovat, aby taková porušení konkrétním způsobem napravili v zájmu zlepšení ochrany subjektů údajů;

b)      nařizovat správci nebo zpracovateli, aby vyhověli žádostem subjektů údajů o výkon práv stanovených tímto nařízením;

c)      nařizovat správci a zpracovateli, a v příslušném případě zástupci, poskytnutí jakýchkoli informací relevantních pro plnění jeho povinností;

d)      zajišťovat dodržování předchozích povolení a předchozích konzultací uvedených v článku 34;

e)      upozorňovat nebo napomínat správce nebo zpracovatele;

f)       nařizovat opravu, výmaz nebo zničení všech údajů, při jejichž zpracování byla porušena ustanovení tohoto nařízení, a nařídit oznámení těchto opatření třetím osobám, kterým byly údaje sděleny;

g)      vydávat dočasné nebo trvalé zákazy zpracovávání;

h)      přerušit předávání údajů příjemci ve třetí zemi nebo předávání údajů mezinárodní organizaci;

i)       vydávat stanoviska k veškerým otázkám souvisejícím s ochranou osobních údajů;

j)       informovat vnitrostátní parlament, vládu nebo jiné politické instituce a také veřejnost o jakýchkoli záležitostech souvisejících s ochranou osobních údajů.

2.           Každý orgán dozoru má vyšetřovací pravomoci, jež ho opravňují k tomu, aby od správce nebo zpracovatele získal:

a)      přístup ke všem osobním údajům a ke všem informacím, které potřebuje k výkonu svých povinností;

b)      přístup do jejich veškerých prostorů, včetně veškerého zařízení a prostředků pro zpracovávání údajů, existují-li dostatečné důvody k předpokladu, že v těchto prostorech dochází k činnosti, jež je v rozporu s tímto nařízením.

Pravomoc uvedená v písmenu b) musí být vykonávána v souladu s právem Unie a právem členského státu.

3.           Každý orgán dozoru má pravomoc upozorňovat na porušení tohoto nařízení soudní orgány a účastnit se soudního řízení, zejména podle čl. 74 odst. 4 a čl. 75 odst. 2.

4.           Každý orgán dozoru má pravomoc postihovat správní přestupky, zejména správní přestupky uvedené v čl. 79 odst. 4, 5 a 6.

Článek 54 Zprávy o činnosti

Každý orgán dozoru musí každý rok vypracovat zprávu o své činnosti. Zpráva se předkládá vnitrostátnímu parlamentu a poskytuje se k dispozici veřejnosti, Komisi a Evropské radě pro ochranu údajů.

KAPITOLA VII

SPOLUPRÁCE A JEDNOTNOST

ODDÍL 1 SPOLUPRÁCE

Článek 55 Vzájemná pomoc

1.           Orgány dozoru si vzájemně poskytují relevantní informace a pomoc v zájmu jednotného provádění a uplatňování tohoto nařízení, přičemž zavedou opatření pro účinnou spolupráci mezi sebou. Vzájemná spolupráce zahrnuje zejména žádosti o informace a opatření související s dohledem, např. žádosti o předchozí povolení a konzultace, inspekce a pohotové informování o otevírání případů a o následném vývoji, pokud je pravděpodobné, že zpracováním budou dotčeny subjekty údajů v několika členských státech.

2.           Každý orgán dozoru přijme všechna příslušná opatření, která jsou požadována jakožto odpověď na žádost jiného orgánu dozoru, a to bez odkladu a nejpozději do jednoho měsíce od přijetí předmětné žádosti. Mezi těmito opatřeními mohou být zejména předávání relevantních informací o průběhu vyšetřování nebo donucovací opatření k ukončení nebo zákazu zpracovávání, které je v rozporu s tímto nařízením.

3.           Žádost o pomoc obsahuje všechny potřebné informace včetně účelu žádosti a důvodů pro její předložení. Poskytnuté informace se použijí pouze pro účely, ke kterým byly vyžádány.

4.           Orgán dozoru, jemuž byla žádost o pomoc předložena, jí musí vyhovět s výjimkou těchto případů:

a)      orgán dozoru není ve věci dané žádosti příslušný nebo

b)      vyhovění žádosti by nebylo slučitelné s ustanoveními tohoto nařízení.

5.           Orgán dozoru, kterému je žádost předložena, informuje předkládající orgán dozoru podle situace o výsledcích, nebo o vývoji či opatřeních, jež byla přijata v zájmu jejího vyřízení.

6.           Informace, které po nich jiné orgány dozoru požadují, poskytují orgány dozoru elektronicky, v co nejkratší možné době a za použití standardního formátu.

7.           Za žádné kroky podniknuté v návaznosti na žádost o vzájemnou pomoc se neúčtují poplatky.

8.           Pokud orgán dozoru nepodnikne žádné kroky do jednoho měsíce od předložení žádosti jiným orgánem dozoru, předkládající orgán dozoru má pravomoc k přijetí dočasného opatření na území svého členského státu v souladu s čl. 51 odst. 1 a záležitost předloží Evropské radě pro ochranu údajů v souladu s postupem uvedeným v článku 57.

9.           Orgán dozoru určí u takového dočasného opatření dobu platnosti. Tato doba nepřesáhne tři měsíce. Předmětná opatření oznámí orgán dozoru bez prodlení a s uvedením všech důvodů Evropské radě pro ochranu údajů a Komisi.

10.         Komise může určit formát a postupy pro vzájemnou pomoc podle tohoto článku a může určit, jak bude probíhat elektronická výměna informací mezi orgány dozoru vzájemně a mezi orgány dozoru a Evropskou radou pro ochranu údajů, zejména pak může určit standardní formát uvedený v odstavci 6. Tyto prováděcí akty se přijímají v souladu s přezkumným postupem podle čl. 87 odst. 2.

Článek 56 Společné operace orgánů dozoru

1.           V zájmu posílení spolupráce a vzájemné pomoci provádějí orgány dozoru společné investigativní úkoly, přijímají společná donucovací opatření a podnikají jiné společné operace, do nichž jsou zapojeni určení členové nebo pracovníci orgánů dozoru z jiných členských států.

2.           V případech, kdy je pravděpodobné, že zpracováním budou dotčeny subjekty údajů v několika členských státech, má právo účastnit se společných investigativních úkolů či společných operací orgán dozoru každého z předmětných členských států. Příslušný orgán dozoru vyzve orgán dozoru každého z předmětných členských států k účasti na konkrétním investigativním úkolu nebo společné operaci a bez odkladu odpoví na žádost, ve které některý orgán dozoru projeví o účast na operacích zájem.

3.           Každý orgán dozoru může jakožto hostitelský orgán dozoru svěřovat v souladu se svým vlastním vnitrostátním právem a za souhlasu vysílajícího orgánu dozoru výkonné pravomoci včetně investigativních úkolů členům nebo pracovníkům vysílajícího orgánu dozoru zapojeným do společných operací nebo, pokud to umožňují právní předpisy hostitelského orgánu dozoru, povolit členům nebo pracovníkům vysílajícího orgánu dozoru uplatňování jejich výkonných pravomocí v souladu s právními předpisy vysílajícího orgánu dozoru. Takovéto výkonné pravomoci lze uplatňovat pouze pod vedením a zpravidla za přítomnosti členů nebo pracovníků hostitelského orgánu dozoru. Členové nebo pracovníci vysílajícího orgánu dozoru podléhají vnitrostátním právním předpisům hostitelského orgánu dozoru. Hostitelský orgán dozoru přijímá odpovědnost za jejich jednání.

4.           Orgány dozoru stanoví praktické aspekty konkrétních akcí spolupráce.

5.           Jestliže některý orgán dozoru nesplní do jednoho měsíce povinnost stanovenou v odstavci 2, ostatní orgány dozoru mají pravomoc přijmout dočasné opatření na území svého členského státu v souladu s čl. 51 odst. 1.

6.           U dočasného opatření uvedeného v odstavci 5 určí orgán dozoru dobu platnosti. Tato doba nepřesáhne tři měsíce. Orgán dozoru oznámí předmětná opatření bez prodlení a s uvedením všech důvodů Evropské radě pro ochranu údajů a Komisi a záležitost postoupí do mechanismu uvedeného v článku 57.

ODDÍL 2 JEDNOTNOST

Článek 57 Mechanismus jednotnosti

Pro účely vymezené v čl. 46 odst. 1 orgány dozoru spolupracují mezi sebou a s Komisí prostřednictvím mechanismu jednotnosti stanoveného v tomto oddíle.

Článek 58 Stanovisko Evropské rady pro ochranu údajů

1.           Dříve než některý orgán dozoru přijme opatření uvedené v odstavci 2, předloží návrh tohoto opatření Evropské radě pro ochranu údajů a Komisi.

2.           Povinnost stanovená v odstavci 1 se vztahuje na opatření, která mají vyvolat právní účinky a která:

a)      souvisejí s nabídkou zboží či služeb subjektům údajů v několika členských státech nebo se sledováním jejich chování nebo

b)      mohou podstatně ovlivnit volný pohyb osobních údajů v rámci Unie nebo

c)      mají za cíl přijmout seznam zpracování podléhajících předchozí konzultaci podle čl. 34 odst. 5 nebo

d)      mají za cíl stanovit standardní doložky o ochraně údajů podle čl. 42 odst. 2 písm. c) nebo

e)      mají za cíl schválit smluvní doložky podle čl. 42 odst. 2 písm. d) nebo

f)       mají za cíl schválit závazná podniková pravidla ve smyslu článku 43.

3.           Kterýkoli orgán dozoru nebo Evropská rada pro ochranu údajů může požádat, aby se jakákoli záležitost řešila pomocí mechanismu jednotnosti, zejména pokud některý orgán dozoru nepředloží návrh opatření uvedeného v odstavci 2 nebo neplní povinnosti související s vzájemnou pomocí v souladu s článkem 55 nebo se společnými operacemi v souladu s článkem 56.

4.           V zájmu zajištění správného a jednotného uplatňování tohoto nařízení může Komise požádat, aby se pomocí mechanismu jednotnosti řešily veškeré záležitosti.

5.           Orgány dozoru a Komise elektronicky a za použití standardního formátu oznamují veškeré relevantní informace, podle situace včetně shrnutí skutečností, návrhu opatření a důvodů, pro které je provedení takového opatření zapotřebí.

6.           Předseda Evropské rady pro ochranu údajů bez prodlení, elektronicky a za použití standardního formátu sděluje členům Evropské rady pro ochranu údajů a Komisi veškeré relevantní informace, které mu byly oznámeny. Je-li to nutné, poskytuje předseda Evropské rady pro ochranu údajů relevantní informace v překladech.

7.           Evropská rada pro ochranu údajů vydává k dané záležitosti stanovisko, pokud tak rozhodne prostou většinou svých členů nebo pokud ji o to do týdne od poskytnutí relevantních informací podle odstavce 5 požádá kterýkoli orgán dozoru nebo Komise. Stanovisko se přijímá do jednoho měsíce prostou většinou členů Evropské rady pro ochranu údajů. Předseda Evropské rady pro ochranu údajů oznamuje stanovisko bez zbytečného odkladu orgánu dozoru uvedenému v odstavci 1 nebo 3, Komisi a příslušnému orgánu dozoru podle článku 51 a stanovisko zveřejňuje.

8.           Orgán dozoru uvedený v odstavci 1 a příslušný orgán dozoru podle článku 51 vezmou stanovisko Evropské rady pro ochranu údajů v úvahu a do dvou týdnů od jeho oznámení předsedou Evropské rady pro ochranu údajů vyrozumí elektronickou cestou a za použití standardního formátu předsedu Evropské rady pro ochranu údajů a Komisi, zda svůj návrh opatření zachovávají nebo jej mění, přičemž v druhém případě Evropské radě pro ochranu údajů a Komisi sdělují i pozměněný návrh opatření.

Článek 59 Stanovisko Komise

1.           Do deseti týdnů po předložení záležitosti podle článku 58 nebo nejpozději do šesti týdnů v případech podle článku 61 může Komise přijmout k záležitostem předloženým podle článků 58 nebo 61 stanovisko, aby zajistila správné a jednotné uplatňování tohoto nařízení.

2.           Pokud Komise přijme stanovisko v souladu s odstavcem 1, daný orgán dozoru jej maximálně zohlední a Komisi a Evropské radě pro ochranu údajů následně sdělí, zda svůj návrh opatření hodlá zachovat nebo jej změnit.

3.           Ve lhůtě uvedené v odstavci 1 nesmí orgán dozoru návrh opatření přijmout.

4.           Jestliže se orgán dozoru nehodlá stanoviskem Komise řídit, informuje o tom ve lhůtě uvedené v odstavci 1 Komisi a Evropskou radu pro ochranu údajů a svůj postoj zdůvodní. Návrh opatření v tomto případě nesmí být schválen během jednoho dalšího měsíce.

Článek 60 Odklad návrhu opatření

1.           Pokud má Komise vážné pochybnosti o tom, zda by návrh opatření zajišťoval správné uplatňování tohoto nařízení, nebo o tom, zda by bez něho docházelo k nejednotnému uplatňování, může do jednoho měsíce od oznámení uvedeného v čl. 59 odst. 4 přijmout odůvodněné rozhodnutí, kterým bude od orgánu dozoru vyžadovat, aby přijetí daného opatření odložil s přihlédnutím ke stanovisku vydanému Evropskou radou pro ochranu údajů podle čl. 58 odst. 7 nebo čl. 61 odst. 2, pokud je to zjevně zapotřebí k:

a)      sladění odlišných postojů orgánu dozoru a Evropské rady pro ochranu údajů, pokud se to stále zdá být možné, nebo

b)      přijetí opatření podle čl. 62 odst. 1 písm. a).

2.           Komise stanoví dobu trvání tohoto odkladu, která nepřesáhne 12 měsíců.

3.           Během období uvedeného v odstavci 2 nesmí orgán dozoru návrh opatření přijmout.

Článek 61 Postup pro naléhavé případy

1.           Za výjimečných okolností, kdy se orgán dozoru domnívá, že je třeba naléhavě jednat, aby byly ochráněny zájmy subjektů údajů, zejména pokud hrozí, že změna stávajícího stavu by mohla značně ztížit výkon některého z práv určitého subjektu údajů, nebo aby se předešlo významnému poškozování, nebo že je třeba naléhavě jednat z jiných důvodů, může se orgán dozoru odchýlit od postupu uvedeného v článku 58 a může okamžitě přijmout dočasná opatření se stanovenou dobou platnosti. Předmětná opatření oznámí orgán dozoru bez prodlení a s uvedením všech důvodů Evropské radě pro ochranu údajů a Komisi.

2.           Pokud orgán dozoru přijme opatření podle odstavce 1 a domnívá se, že je třeba naléhavě přijmout konečná opatření, může požádat Evropskou radu pro ochranu údajů o urgentní stanovisko, přičemž svou žádost o takové stanovisko zdůvodní a zdůvodní také naléhavost konečných opatření.

3.           O urgentní stanovisko může požádat kterýkoli orgán dozoru, jestliže příslušný orgán dozoru nepodnikl odpovídající opatření v situaci, kdy je třeba naléhavě jednat v zájmu ochrany zájmů subjektů údajů, přičemž svou žádost o takové stanovisko zdůvodní a zdůvodní také potřebu naléhavého jednání.

4.           Odchylně od čl. 58 odst. 7 se urgentní stanovisko uvedené v odstavcích 2 a 3 tohoto článku přijímá do dvou týdnů prostou většinou členů Evropské rady pro ochranu údajů.

Článek 62 Prováděcí akty

1.           Komise může přijímat prováděcí akty za účelem:

a)      rozhodnutí o správném uplatňování tohoto nařízení v souladu s jeho cíli a požadavky ve vztahu k záležitostem oznámeným orgány dozoru podle článků 58 nebo 61, pokud jde o záležitost, u níž bylo přijato odůvodněné rozhodnutí podle čl. 60 odst. 1, nebo o záležitost, u níž orgán dozoru nepředloží návrh opatření a u níž orgán dozoru naznačil, že se nehodlá řídit stanoviskem Komise přijatým podle článku 59;

b)      rozhodnutí ve lhůtě uvedené v čl. 59 odst. 1 o tom, zda prohlásí navrhované standardní doložky o ochraně údajů uvedené v čl. 58 odst. 2 písm. d) za obecně platné;

c)      určení formátu a postupů pro uplatňování mechanismu jednotnosti uvedeného v tomto oddíle;

d)      určení toho, jak bude probíhat elektronická výměna informací mezi orgány dozoru vzájemně a mezi orgány dozoru a Evropskou radou pro ochranu údajů, zejména určení standardního formátu uvedeného v čl. 58 odst. 5, 6 a 8.

Tyto prováděcí akty se přijímají v souladu s přezkumným postupem podle čl. 87 odst. 2.

2.           V naléhavých a řádně odůvodněných případech, které se týkají zájmů subjektů údajů a jsou uvedené v odst. 1 písm. a), přijme Komise okamžitě použitelné prováděcí akty postupem uvedeným v čl. 87 odst. 3. Tyto akty platí po dobu nepřesahující 12 měsíců.

3.           Absencí nebo přijetím opatření podle tohoto oddílu není dotčeno žádné jiné opatření Komise podle Smluv.

Článek 63 Vykonávání

1.           Vykonatelné opatření orgánu dozoru jednoho členského státu se pro účely tohoto nařízení vykonává ve všech dotčených členských státech.

2.           Jestliže některý orgán dozoru nepředloží návrh určitého opatření do mechanismu jednotnosti, a poruší tak ustanovení čl. 58 odst. 1 až 5, toto jeho opatření nebude právoplatné ani vykonatelné.

ODDÍL 3 EVROPSKÁ RADA PRO OCHRANU ÚDAJŮ

Článek 64 Evropská rada pro ochranu údajů

1.           Zřizuje se Evropská rada pro ochranu údajů.

2.           Evropskou radu pro ochranu údajů tvoří vedoucí jednoho orgánu dozoru z každého členského státu a evropský inspektor ochrany údajů.

3.           Pokud je v některém členském státě za sledování toho, zda jsou uplatňována ustanovení tohoto nařízení, odpovědný více než jeden orgán dozoru, dané orgány dozoru navrhnou vedoucího jednoho z nich jakožto společného zástupce.

4.           Komise má právo účastnit se činností a schůzek Evropské rady pro ochranu údajů a jmenuje svého zástupce. O všech činnostech Evropské rady pro ochranu údajů zpravuje Komisi bez prodlení předseda této rady.

Článek 65 Nezávislost

1.           Evropská rada pro ochranu údajů jedná při plnění svých povinností podle článků 66 a 67 nezávisle.

2.           Evropská rada pro ochranu údajů při výkonu svých povinností nevyhledává ani nepřijímá ničí pokyny, aniž by tím byly dotčeny žádosti Komise uvedené v čl. 66 odst. 1 písm. b) a odst. 2.

Článek 66 Úkoly Evropské rady pro ochranu údajů

1.           Evropská rada pro ochranu údajů zajišťuje jednotné uplatňování tohoto nařízení. Za tímto účelem Evropská rada pro ochranu údajů ze své vlastní iniciativy nebo na žádost Komise zejména:

a)      poskytuje poradenství Komisi ve veškerých záležitostech souvisejících s ochranou osobních údajů v Unii včetně jakýchkoli navrhovaných změn tohoto nařízení;

b)      prošetřuje ze své vlastní iniciativy nebo na žádost jednoho ze svých členů nebo na žádost Komise veškeré otázky týkající se uplatňování tohoto nařízení a pro orgány dozoru vydává pokyny, doporučení a osvědčené postupy, aby podporovala jednotné uplatňování tohoto nařízení;

c)      přezkoumává praktické uplatňování pokynů, doporučení a osvědčených postupů uvedených v písmenu b) a podává o nich Komisi pravidelné zprávy;

d)      vydává stanoviska k návrhům rozhodnutí orgánů dozoru podle mechanismu jednotnosti uvedeného v článku 57;

e)      podporuje spolupráci a účinnou dvou- a vícestrannou výměnu informací a postupů mezi orgány dozoru;

f)       podporuje společné školicí programy a usnadňuje výměny pracovníků mezi orgány dozoru, kterých se ve vhodných případech účastní i orgány dozoru třetích zemí nebo mezinárodních organizací;

g)      podporuje výměnu znalostí a dokumentů o legislativě a praxi v oblasti ochrany údajů s orgány dozoru pro ochranu údajů po celém světě.

2.           Jestliže Komise žádá Evropskou radu pro ochranu údajů o poradenství, může stanovit lhůtu, během které jej má Evropská rada pro ochranu údajů poskytnout, s přihlédnutím k naléhavosti dané záležitosti.

3.           Evropská rada pro ochranu údajů postupuje svá stanoviska, pokyny, doporučení a osvědčené postupy Komisi a výboru uvedenému v článku 87 a zveřejňuje je.

4.           Komise informuje Evropskou radu pro ochranu údajů o krocích, jež podnikla v návaznosti na stanoviska, pokyny, doporučení a osvědčené postupy vydané touto radou.

Článek 67 Zprávy

1.           Evropská rada pro ochranu údajů pravidelně a včas informuje Komisi o výsledcích své činnosti. Vypracovává každoroční zprávu o situaci, pokud jde o ochranu fyzických osob v souvislosti se zpracováváním osobních údajů v Unii a ve třetích zemích.

Tyto zprávy obsahují přezkum praktického uplatňování pokynů, doporučení a osvědčených postupů uvedených v čl. 66 odst. 1 písm. c).

2.           Zprávy se zveřejňují a předávají Evropskému parlamentu, Radě a Komisi.

Článek 68 Postupy

1.           Evropská rada pro ochranu údajů přijímá rozhodnutí prostou většinou svých členů.

2.           Evropská rada pro ochranu údajů přijme svůj jednací řád a organizuje svá vlastní provozní opatření. Zajistí zejména plnění svých povinností poté, co některému členovi skončí funkční období nebo některý člen odstoupí z funkce, zajistí zřízení podskupin pro konkrétní záležitosti či odvětví a stanoví své postupy v souvislosti s mechanismem jednotnosti uvedeným v článku 57.

Článek 69 Předseda

1.           Evropská rada pro ochranu údajů si zvolí z řad svých členů předsedu a dva místopředsedy. Jedním místopředsedou je evropský inspektor ochrany údajů, pokud již tento nebyl zvolen předsedou.

2.           Funkční období předsedy a místopředsedů trvá pět let a lze jej prodloužit.

Článek 70 Úkoly předsedy

1.           Předseda plní následující úkoly:

a)      svolává schůzky Evropské rady pro ochranu údajů a připravuje jejich program;

b)      zajišťuje včasné plnění úkolů Evropskou radou pro ochranu údajů, a to zejména v souvislosti s mechanismem jednotnosti uvedeným v článku 57.

2.           Evropská rada pro ochranu údajů stanoví rozdělení úkolů mezi předsedu a místopředsedy ve svém jednacím řádu.

Článek 71 Sekretariát

1.           Evropské radě pro ochranu údajů je k dispozici sekretariát. Služby sekretariátu jí poskytuje evropský inspektor ochrany údajů.

2.           Sekretariát zajišťuje Evropské radě pro ochranu údajů analytickou, administrativní a logistickou podporu pod vedením jejího předsedy.

3.           Sekretariát odpovídá zejména za:

a)      každodenní fungování Evropské rady pro ochranu údajů;

b)      komunikaci mezi členy Evropské rady pro ochranu údajů, jejím předsedou a Komisí a za komunikaci s dalšími institucemi a veřejností;

c)      využívání elektronických prostředků k interní a externí komunikaci;

d)      překlady relevantních informací;

e)      přípravu schůzek Evropské rady pro ochranu údajů a za práci, která na ně navazuje;

f)       přípravu, navrhování a zveřejňování stanovisek a jiných textů přijímaných Evropskou radou pro ochranu údajů.

Článek 72 Důvěrnost

1.           Jednání Evropské rady pro ochranu údajů jsou důvěrná.

2.           Dokumenty předkládané členům Evropské rady pro ochranu údajů, odborníkům a zástupcům třetích stran jsou důvěrné, pokud k nim není poskytnut přístup v souladu s nařízením (ES) č. 1049/2001 nebo je Evropská rada pro ochranu údajů jinak nezveřejní.

3.           Od členů Evropské rady pro ochranu údajů, jakož i od odborníků a zástupců třetích stran se vyžaduje, aby důvěrnost stanovenou v tomto článku respektovali. Předseda zajistí, aby odborníci a zástupci třetích stran byli obeznámeni s požadavky důvěrnosti, které se na ně vztahují.

KAPITOLA VIII

OPRAVNÉ PROSTŘEDKY, ODPOVĚDNOST A SANKCE

Článek 73 Právo vznést stížnost k orgánu dozoru

1.           Aniž by tím byly dotčeny jakékoli jiné správní nebo soudní opravné prostředky, každý subjekt údajů má právo vznést stížnost k orgánu dozoru v kterémkoli členském státě, pokud se domnívá, že zpracování jeho osobních údajů není v souladu s tímto nařízením.

2.           Veškeré subjekty, organizace nebo sdružení, jejichž cílem je chránit práva a zájmy subjektů údajů v souvislosti s ochranou jejich osobních údajů a jež byly řádně zřízeny v souladu s právem některého členského státu, mají právo vznést jménem jednoho či více subjektů údajů stížnost k orgánu dozoru v kterémkoli z členských států, jestliže se domnívají, že zpracováním osobních údajů byla narušena práva subjektu údajů podle tohoto nařízení.

3.           Pokud se kterýkoli subjekt, organizace nebo sdružení uvedené v odstavci 2 domnívá, že došlo k narušení bezpečnosti osobních údajů, má právo vznést stížnost k orgánu dozoru v kterémkoli členském státě nezávisle na stížnosti subjektu údajů.

Článek 74 Právo na soudní opravné prostředky vůči orgánu dozoru

1.           Každá fyzická nebo právnická osoba má právo na soudní opravný prostředek proti rozhodnutím orgánu dozoru, která se jí týkají.

2.           Každý subjekt údajů má právo na soudní opravný prostředek, který orgán dozoru přiměje jednat ve věci stížnosti, pokud nebylo vydáno žádné rozhodnutí potřebné k ochraně jeho práv nebo pokud daný orgán dozoru neinformuje subjekt údajů do tří měsíců o vývoji či výsledcích stížnosti podle čl. 52 odst. 1 písm. b).

3.           Řízení proti orgánu dozoru se zahajují u soudů toho členského státu, v němž je daný orgán dozoru usazen.

4.           Subjekt údajů, jehož se týká rozhodnutí orgánu dozoru v jiném členském státě, než kde má obvyklé bydliště, může požádat orgán dozoru v členském státě svého obvyklého bydliště, aby proti příslušnému orgánu dozoru v tomto jiném členském státě jeho jménem zahájil řízení.

5.           Členské státy vykonávají konečná rozhodnutí soudů podle tohoto článku.

Článek 75 Právo na soudní opravné prostředky vůči správci nebo zpracovateli

1.           Aniž by tím byl dotčen jakýkoli dostupný správní opravný prostředek včetně práva na podání stížnosti orgánu dozoru podle článku 73, každá fyzická osoba má právo na soudní opravný prostředek, jestliže se domnívá, že zpracováním jejích osobních údajů při nedodržení tohoto nařízení byla porušena její práva podle tohoto nařízení.

2.           Řízení proti správci nebo zpracovateli se zahajují u soudů toho členského státu, v němž má daný správce nebo zpracovatel provozovnu. Řízení se může popřípadě zahájit i u soudů členského státu, kde má subjekt údajů obvyklé bydliště, s výjimkou případů, kdy je správce orgánem veřejné moci a jedná v rámci výkonu veřejné moci.

3.           Jestliže probíhá řízení v mechanismu jednotnosti podle článku 58, které se týká téhož opatření, rozhodnutí nebo praxe, může soud řízení, jež u něho bylo zahájeno, odročit, s výjimkou případů, kdy naléhavost ochrany práv subjektů údajů nedovoluje čekat na výsledky, ke kterým se dospěje v mechanismu jednotnosti.

4.           Členské státy vykonávají konečná rozhodnutí soudů podle tohoto článku.

Článek 76 Společná pravidla pro soudní řízení

1.           Veškeré subjekty, organizace nebo sdružení uvedené v čl. 73 odst. 2 mají právo na výkon práv podle článků 74 a 75 jménem jednoho či více subjektů údajů.

2.           Každý orgán dozoru má právo účastnit se soudního řízení a podat žalobu k soudu v zájmu prosazování ustanovení tohoto nařízení nebo v zájmu zajištění jednotnosti ochrany osobních údajů v rámci Unie.

3.           Jestliže má příslušný soud v členském státě oprávněné důvody se domnívat, že v jiném členském státě je vedeno paralelní řízení, kontaktuje příslušný soud v tomto jiném členském státě, aby se o existenci takového paralelního řízení utvrdil.

4.           Pokud se toto paralelní řízení v jiném členském státě týká téhož opatření, rozhodnutí či praxe, může soud řízení odročit.

5.           Členské státy zajistí, aby soudní prostředky dostupné ve vnitrostátním právu umožňovaly rychlé přijetí opatření, včetně předběžných opatření, kterými by se ukončilo jakékoli domnělé porušování práva a předešlo dalšímu poškozování dotčených zájmů.

Článek 77 Právo na odškodnění a odpovědnost

1.           Kdokoli, kdo byl poškozen následkem protiprávního zpracování nebo jednání neslučitelného s tímto nařízením, má právo být správcem nebo zpracovatelem odškodněn za způsobenou škodu.

2.           Je-li do daného zpracování zapojen více než jeden správce nebo zpracovatel, za celkovou výši škod nese společnou a nerozdílnou odpovědnost každý z nich.

3.           Správce nebo zpracovatel se může této odpovědnosti částečně nebo zcela zprostit, pokud prokáže, že za okolnost, jež vedla ke vzniku škody, neodpovídá.

Článek 78 Sankce

1.           Členské státy stanoví pravidla pro sankce, jež se budou ukládat za porušení ustanovení tohoto nařízení, a podniknou všechna opatření, která jsou zapotřebí k zajištění jejich provádění, včetně případů, kdy správce nedodrží svou povinnost jmenovat zástupce. Stanovené sankce musí být účinné, přiměřené a odrazující.

2.           Jestliže správce určil zástupce, veškeré sankce se vztahují na zástupce, aniž by tím byly dotčeny jakékoli sankce, které by mohly být iniciovány ve vztahu ke správci.

3.           Každý členský stát oznámí Komisi nejpozději do data uvedeného v čl. 91 odst. 2 právní ustanovení, která přijme podle odstavce 1, a bez zbytečného odkladu jakékoliv následné změny, jež se těchto ustanovení dotknou.

Článek 79 Správní sankce

1.           Každý orgán dozoru má pravomoc ukládat správní sankce v souladu s tímto článkem.

2.           Správní sankce jsou v každém jednotlivém případě účinné, přiměřené a odrazující. Výše správní pokuty se stanoví s patřičným přihlédnutím k povaze, závažnosti a době trvání daného porušení, k tomu, zda k porušení došlo úmyslně nebo z nedbalosti, k míře odpovědnosti dané fyzické či právnické osoby a k dřívějšímu porušování z jejich strany, k technickým a organizačním opatřením a postupům provedeným podle článku 23 a k míře spolupráce s orgánem dozoru za účelem nápravy daného porušení.

3.           V případě, kdy dojde k nedodržení tohoto nařízení poprvé a neúmyslně, může být zasláno písemné upozornění a nemusí se uložit žádná sankce, pokud:

a) fyzická osoba zpracovává osobní údaje bez obchodního zájmu nebo

b) podnik či organizace zaměstnávající méně než 250 osob zpracovává osobní údaje v rámci doplňující činnosti ke svým hlavním činnostem.

4.           Orgán dozoru uloží pokutu až do výše 250 000 EUR, nebo v případě podniků až do výše 0,5 % jejich ročního celosvětového obratu, každému, kdo úmyslně či z nedbalosti:

a) nezajistí mechanismy pro žádosti subjektů údajů nebo kdo neodpoví subjektům údajů pohotově či za použití požadovaného formátu podle čl. 12 odst. 1 a 2;

b) účtuje poplatek za informace nebo za odpovědi na žádosti subjektů údajů, a poruší tak čl. 12 odst. 4.

5.           Orgán dozoru uloží pokutu až do výše 500 000 EUR, nebo v případě podniků až do výše 1 % jejich ročního celosvětového obratu, každému, kdo úmyslně či z nedbalosti:

a) neposkytne informace subjektu údajů podle článku 11, čl. 12 odst. 3 a článku 14, nebo mu je neposkytne v úplném rozsahu či dostatečně transparentně;

b) neposkytne subjektu údajů přístup k informacím nebo neopraví osobní údaje podle článků 15 a 16 nebo neoznámí relevantní informace příjemci podle článku 13;

c) nedodrží právo být zapomenut nebo právo na výmaz nebo kdo nezavede mechanismy, kterými by zajistil dodržování lhůt, nebo kdo nepodnikne všechny potřebné kroky k informování třetích stran o tom, že subjekt údajů požaduje vymazání veškerých odkazů na své osobní údaje či veškerých kopií či replikací svých osobních údajů, podle článku 17;

d) neposkytne kopii osobních údajů v elektronickém formátu nebo kdo znemožňuje subjektu údajů přenést osobní údaje do jiné aplikace, a porušuje tak ustanovení článku 18;

e) nevymezí povinnosti každého ze společných správců podle článku 24 nebo kdo je nevymezí v dostatečné míře;

f) nevede dokumentaci podle článku 28, čl. 31 odst. 4 a čl. 44 odst. 3 nebo kdo ji nevede v dostatečné míře;

g) nedodrží v případech, kdy se nenakládá se zvláštními kategoriemi údajů, pravidla související se svobodou projevu podle článku 80 nebo pravidla pro zpracovávání údajů v souvislosti se zaměstnáním podle článku 82 nebo podmínky pro zpracovávání údajů pro účely historiografického, statistického a vědeckého výzkumu podle článku 83.

6.           Orgán dozoru uloží pokutu až do výše 1 000 000 EUR, nebo v případě podniků až do výše 2 % jejich ročního celosvětového obratu, každému, kdo úmyslně či z nedbalosti:

a) zpracovává osobní údaje bez žádného nebo dostatečného právního základu nebo nedodrží podmínky týkající se souhlasu podle článků 6, 7 a 8;

b) zpracovává zvláštní kategorie údajů a poruší při tom články 9 a 81;

c) nevyhoví námitce či požadavku podle článku 19;

d) nedodrží podmínky související s opatřeními založenými na profilování podle článku 20;

e) nepřijme interní politiky nebo neprovede odpovídající opatření za účelem zajištění a prokázání souladu podle článků 22, 23 a 30;

f) nejmenuje zástupce podle článku 25;

g) zpracovává osobní údaje a poruší při tom povinnosti týkající se zpracovávání jménem správce podle článků 26 a 27 nebo k takovému zpracovávání dá pokyn;

h) neupozorní na narušení bezpečnosti osobních údajů orgán dozoru nebo subjekt údajů podle článků 31 a 32 nebo jim toto narušení neohlásí nebo je neohlásí včas či v úplnosti;

i) neprovede posouzení dopadu na ochranu údajů nebo zpracuje osobní údaje bez předchozího povolení nebo bez předchozí konzultace orgánu dozoru podle článků 33 a 34;

j) nejmenuje inspektora ochrany údajů nebo nezajistí podmínky pro plnění úkolů podle článků 35, 36 a 37;

k) zneužije pečeť nebo známku dokládající ochranu údajů ve smyslu článku 39;

l) uskuteční předání údajů do třetí země nebo mezinárodní organizaci, které není povoleno rozhodnutím o přiměřenosti nebo vhodnými zárukami nebo výjimkou podle článků 40 až 44, nebo kdo k takovému předání vydá pokyn;

m) nesplní příkaz nebo dočasný či trvalý zákaz zpracovávání nebo přerušení předávání údajů orgánem dozoru podle čl. 53 odst. 1;

n) nesplní povinnosti vůči orgánu dozoru podle čl. 28 odst. 3, článku 29, čl. 34 odst. 6 a čl. 53 odst. 2, pokud jde o pomoc nebo odpovědi nebo poskytování relevantních informací nebo zpřístupňování prostorů;

o) nedodrží pravidla pro zachovávání profesního tajemství podle článku 84.

7.           Komise je zmocněna přijímat akty v přenesené pravomoci v souladu s článkem 86, aby aktualizovala výše správních pokut uvedených v odstavcích 4, 5 a 6 s přihlédnutím ke kritériím podle odstavce 2.

KAPITOLA IX USTANOVENÍ TÝKAJÍCÍ SE ZVLÁŠTNÍCH PŘÍPADŮ ZPRACOVÁNÍ

Článek 80 Zpracovávání osobních údajů a svoboda projevu

1.           Aby se uvedlo právo na ochranu osobních údajů do souladu s předpisy upravujícími svobodu projevu, členské státy stanoví odchylky a výjimky z ustanovení o obecných zásadách v kapitole II, o právech subjektů údajů v kapitole III, o správci a zpracovateli v kapitole IV, o předávání osobních údajů do třetích zemí a mezinárodním organizacím v kapitole V, o nezávislých orgánech dozoru v kapitole VI a o spolupráci a jednotnosti v kapitole VII pro zpracovávání osobních údajů prováděné výlučně pro účely žurnalistiky nebo uměleckého či literárního projevu.

2.           Každý členský stát oznámí Komisi nejpozději do data uvedeného v čl. 91 odst. 2 právní ustanovení, která přijme podle odstavce 1, a bez prodlení jakékoliv následné novely nebo změny, jež se těchto ustanovení dotknou.

Článek 81 Zpracovávání osobních údajů o zdravotním stavu

1.           V mezích tohoto nařízení a v souladu s čl. 9 odst. 2 písm. h) se musí zpracovávání osobních údajů o zdravotním stavu zakládat na právu Unie nebo právu členského státu, které stanoví zvláštní a vhodná opatření k ochraně oprávněných zájmů subjektu údajů, a musí být zapotřebí:

a)      pro účely preventivní či pracovní medicíny, lékařské diagnostiky, pro účely poskytování zdravotní péče či léčby nebo pro účely řízení zdravotnických služeb, přičemž údaje musí zpracovávat zdravotník vázaný profesním tajemstvím nebo jiná osoba, na kterou se podle práva členského státu nebo podle pravidel stanovených příslušnými vnitrostátními orgány vztahuje rovnocenná povinnost mlčenlivosti, nebo

b)      z důvodů veřejného zájmu v oblasti veřejného zdraví, například z důvodu ochrany před přeshraničními zdravotními hrozbami závažného charakteru nebo za účelem zajištění přísných norem pro kvalitu a bezpečnost, mimo jiné u léčivých přípravků nebo lékařských přístrojů, nebo

c)      z jiných důvodů veřejného zájmu v oblastech, jako je sociální ochrana, zejména v zájmu zajištění kvality a hospodárnosti v postupech používaných pro vyřizování nároků na plnění a služby v systému zdravotního pojištění.

2.           Na zpracovávání osobních údajů o zdravotním stavu, jež je zapotřebí pro účely historiografického, statistického či vědeckého výzkumu, například v souvislosti se zřizováním rejstříků pacientů za účelem zlepšování diagnostiky a rozlišování mezi podobnými typy nemocí a za účelem přípravy terapeutických studií, se vztahují podmínky a záruky uvedené v článku 83.

3.           Komise je zmocněna přijímat akty v přenesené pravomoci v souladu s článkem 86 za účelem bližšího určení jiných důvodů veřejného zájmu v oblasti veřejného zdraví, jak je uvedeno v odst. 1 písm. b), jakož i kritérií a požadavků, pokud jde o záruky pro zpracovávání osobních údajů za účely uvedenými v odstavci 1.

Článek 82 Zpracovávání v souvislosti se zaměstnáním

1.           V mezích tohoto nařízení mohou členské státy právním předpisem přijmout zvláštní pravidla, která upraví zpracovávání osobních údajů zaměstnanců v souvislosti se zaměstnáním, zejména za účelem náboru, plnění pracovní smlouvy včetně plnění povinností stanovených zákonem nebo kolektivní smlouvou; řízení, plánování a organizace práce, zdraví a bezpečnosti na pracovišti, dále za účelem individuálního a kolektivního výkonu a požívání práv a výhod spojených se zaměstnáním a za účelem ukončení zaměstnaneckého poměru.

2.           Každý členský stát oznámí Komisi nejpozději do data uvedeného v čl. 91 odst. 2 právní ustanovení, která přijme podle odstavce 1, a bez zbytečného odkladu jakékoliv následné změny, jež se těchto ustanovení dotknou.

3.           Komise je zmocněna přijímat akty v přenesené pravomoci v souladu s článkem 86 za účelem dalšího vymezení kritérií a požadavků, pokud jde o záruky pro zpracovávání osobních údajů za účely uvedenými v odstavci 1.

Článek 83 Zpracovávání údajů pro účely historiografického, statistického a vědeckého výzkumu

1.           Osobní údaje se mohou v mezích tohoto nařízení zpracovávat pro účely historiografického, statistického a vědeckého výzkumu pouze:

a)      pokud tyto účely nelze splnit jinak zpracováváním údajů, které identifikaci subjektu údajů neumožňují nebo které ji umožňovat přestaly;

b)      pokud se údaje, na základě nichž je možné přiřadit informace k identifikovanému nebo identifikovatelnému subjektu údajů, uchovávají odděleně od ostatních informací, jestliže lze tímto způsobem splnit sledované účely.

2.           Subjekty provádějící historiografický, statistický nebo vědecký výzkum smí osobní údaje zveřejnit nebo jiným způsobem veřejně odtajnit pouze:

a)      pokud subjekt údajů udělí souhlas za podmínek stanovených článkem 7;

b)      pokud je zveřejnění osobních údajů nutné k předložení výsledků výzkumu nebo k usnadnění výzkumu a nad těmito zájmy nepřeváží zájmy nebo základní práva či svobody subjektů údajů nebo

c)      pokud údaje zveřejnil subjekt údajů.

3.           Komise je zmocněna přijímat akty v přenesené pravomoci v souladu s článkem 86 za účelem dalšího vymezení kritérií a požadavků, pokud jde o zpracovávání osobních údajů pro účely uvedené v odstavcích 1 a 2, jakož i veškerých potřebných omezení práv subjektu údajů na informace a zpřístupnění a upřesnění podmínek a záruk pro práva subjektu údajů za těchto okolností.

Článek 84 Povinnost mlčenlivosti

1.           Je-li to nutné a přiměřené pro soulad práva na ochranu osobních údajů s povinností mlčenlivosti, členské státy mohou v mezích tohoto nařízení přijmout zvláštní pravidla, kterými určí vyšetřovací pravomoci orgánů dozoru uvedené v čl. 53 odst. 2 ve vztahu ke správcům nebo zpracovatelům, již podle vnitrostátního práva nebo pravidel stanovených příslušnými vnitrostátními orgány podléhají povinnosti zachovávat profesní tajemství nebo jiným rovnocenným povinnostem mlčenlivosti. Tato pravidla platí pouze ve vztahu k osobních údajům, které správce nebo zpracovatel obdržel nebo získal při činnosti podléhající povinnosti mlčenlivosti.

2.           Každý členský stát oznámí Komisi nejpozději do data uvedeného v čl. 91 odst. 2 pravidla, která přijme podle odstavce 1, a bez zbytečného odkladu jakékoliv následné změny, jež se těchto pravidel dotknou.

Článek 85 Zavedená pravidla pro ochranu údajů uplatňovaná církvemi a náboženskými sdruženími

1.           Jestliže církve a náboženská sdružení či spolky v některém členském státě v době vstupu tohoto nařízení v platnost uplatňují komplexní pravidla týkající se ochrany jednotlivců v souvislosti se zpracováváním osobních údajů, tato pravidla mohou nadále platit za předpokladu, že se uvedou do souladu s ustanoveními tohoto nařízení.

2.           Církve a náboženská sdružení, jež uplatňují komplexní pravidla v souladu s odstavcem 1, zajistí zřízení nezávislého orgánu dozoru v souladu s kapitolou VI tohoto nařízení.

KAPITOLA X AKTY V PŘENESENÉ PRAVOMOCI A PROVÁDĚCÍ AKTY

Článek 86 Výkon přenesené pravomoci

1.           Pravomoc přijímat akty v přenesené pravomoci svěřená Komisi podléhá podmínkám stanoveným v tomto článku.

2.           Pravomoc přijímat akty v přenesené pravomoci uvedená v čl. 6 odst. 5, čl. 8 odst. 3, čl. 9 odst. 3, čl. 12 odst. 5, čl. 14 odst. 7, čl. 15 odst. 3, čl. 17 odst. 9, čl. 20 odst. 6, čl. 22 odst. 4, čl. 23 odst. 3, čl. 26 odst. 5, čl. 28 odst. 5, čl. 30 odst. 3, čl. 31 odst. 5, čl. 32 odst. 5, čl. 33 odst. 6, čl. 34 odst. 8, čl. 35 odst. 11, čl. 37 odst. 2, čl. 39 odst. 2, čl. 43 odst. 3, čl. 44 odst. 7, čl. 79 odst. 6, čl. 81 odst. 3, čl. 82 odst. 3 a čl. 83 odst. 3 je svěřena Komisi na dobu neurčitou počínaje datem vstupu tohoto nařízení v platnost.

3.           Evropský parlament nebo Rada mohou přenesení pravomocí uvedené v čl. 6 odst. 5, čl. 8 odst. 3, čl. 9 odst. 3, čl. 12 odst. 5, čl. 14 odst. 7, čl. 15 odst. 3, čl. 17 odst. 9, čl. 20 odst. 6, čl. 22 odst. 4, čl. 23 odst. 3, čl. 26 odst. 5, čl. 28 odst. 5, čl. 30 odst. 3, čl. 31 odst. 5, čl. 32 odst. 5, čl. 33 odst. 6, čl. 34 odst. 8, čl. 35 odst. 11, čl. 37 odst. 2, čl. 39 odst. 2, čl. 43 odst. 3, čl. 44 odst. 7, čl. 79 odst. 6, čl. 81 odst. 3, čl. 82 odst. 3 a čl. 83 odst. 3 kdykoli zrušit. Rozhodnutím o zrušení se ukončuje přenesení pravomocí v něm blíže určených. Rozhodnutí nabývá účinku prvním dnem po vyhlášení v Úředním věstníku Evropské unie, nebo k pozdějšímu dni, který je v něm upřesněn. Nedotýká se platnosti již platných aktů v přenesené pravomoci.

4.           Přijetí aktu v přenesené pravomoci Komise neprodleně oznámí současně Evropskému parlamentu a Radě.

5.           Akt v přenesené pravomoci přijatý podle článku čl. 6 odst. 5, čl. 8 odst. 3, čl. 9 odst. 3, čl. 12 odst. 5, čl. 14 odst. 7, čl. 15 odst. 3, čl. 17 odst. 9, čl. 20 odst. 6, čl. 22 odst. 4, čl. 23 odst. 3, čl. 26 odst. 5, čl. 28 odst. 5, čl. 30 odst. 3, čl. 31 odst. 5, čl. 32 odst. 5, čl. 33 odst. 6, čl. 34 odst. 8, čl. 35 odst. 11, čl. 37 odst. 2, čl. 39 odst. 2, čl. 43 odst. 3, čl. 44 odst. 7, čl. 79 odst. 6, čl. 81 odst. 3, čl. 82 odst. 3 a čl. 83 odst. 3 vstoupí v platnost, pouze pokud proti němu Evropský parlament nebo Rada nevysloví námitky ve lhůtě dvou měsíců ode dne, kdy jim byl tento akt oznámen, nebo pokud Evropský parlament i Rada před uplynutím této lhůty informují Komisi o tom, že námitky nevysloví. Z podnětu Evropského parlamentu nebo Rady se tato lhůta prodlouží o dva měsíce.

Článek 87 Postup projednávání ve výboru

1.           Komisi je nápomocen výbor. Tento výbor je výborem ve smyslu nařízení (EU) č. 182/2011.

2.           Odkazuje-li se na tento odstavec, použije se článek 5 nařízení (EU) č. 182/2011.

3.           Odkazuje-li se na tento odstavec, použije se článek 8 nařízení (EU) č. 182/2011 ve spojení s článkem 5 uvedeného nařízení.

KAPITOLA XI

ZÁVĚREČNÁ USTANOVENÍ

Článek 88 Zrušení směrnice 95/46/ES

1.           Směrnice 95/46/ES se zrušuje.

2.           Odkazy na zrušenou směrnici se považují za odkazy na toto nařízení. Odkazy na pracovní skupinu pro ochranu fyzických osob v souvislosti se zpracováním osobních údajů zřízenou článkem 29 směrnice 95/46/ES se považují za odkazy na Evropskou radu pro ochranu údajů zřízenou tímto nařízením.

Článek 89 Vztah k směrnici 2002/58/ES a její změna

1.           Toto nařízení neukládá žádné další povinnosti fyzickým nebo právnických osobám, pokud jde o zpracovávání osobních údajů ve spojení s poskytováním veřejně dostupných služeb elektronických komunikací ve veřejných komunikačních sítích v Unii, co se týče záležitostí, u nichž se na ně vztahují konkrétní povinnosti s týmž cílem stanovené ve směrnici 2002/58/ES.

2.           Ustanovení čl. 1 odst. 2 směrnice 2002/58/ES se ruší.

Článek 90 Hodnocení

Komise předkládá Evropskému parlamentu a Radě v pravidelných intervalech zprávy o hodnocení a přezkumu tohoto nařízení. První zprávu předloží nejpozději do čtyř let od vstupu tohoto nařízení v platnost. Následné zprávy pak bude předkládat každé čtyři roky. Komise v případě potřeby předkládá příslušné návrhy, aby změnila toto nařízení a uvedla v soulad jiné právní nástroje, konkrétně s přihlédnutím k vývoji informačních technologií a ve světle pokroku v informační společnosti. Tyto zprávy se zveřejňují.

Článek 91 Vstup v platnost a použitelnost

1.           Toto nařízení vstupuje v platnost dvacátým dnem po vyhlášení v Úředním věstníku Evropské unie.

2.           Použije se od [dva roky od data uvedeného v odstavci 1].

Toto nařízení je závazné v celém rozsahu a přímo použitelné ve všech členských státech.

V Bruselu dne 25.1.2012.

Za Evropský parlament                                 Za Radu

předseda/předsedkyně                                   předseda/předsedkyně

LEGISLATIVNÍ FINANČNÍ VÝKAZ

1.           RÁMEC NÁVRHU/PODNĚTU

              1.1.    Název návrhu/podnětu

              1.2.    Příslušné oblasti politik podle členění ABM/ABB

              1.3.    Povaha návrhu/podnětu

              1.4.    Cíle

              1.5.    Odůvodnění návrhu/podnětu

              1.6.    Doba trvání akce a finanční dopad

              1.7.    Předpokládaný způsob řízení

2.           SPRÁVNÍ OPATŘENÍ

              2.1.    Pravidla pro sledování a podávání zpráv

              2.2.    Systém řízení a kontroly

              2.3.    Opatření k zamezení podvodů a nesrovnalostí

3.           ODHADOVANÝ FINANČNÍ DOPAD NÁVRHU/PODNĚTU

              3.1.    Okruhy víceletého finančního rámce a dotčené výdajové rozpočtové linie

              3.2.    Odhadovaný dopad na výdaje

              3.2.1. Odhadovaný souhrnný dopad na výdaje

              3.2.2. Odhadovaný dopad na operační prostředky

              3.2.3. Odhadovaný dopad na prostředky správní povahy

              3.2.4. Soulad se stávajícím víceletým finančním rámcem

              3.2.5. Příspěvky třetích stran

              3.3.    Odhadovaný dopad na příjmy

LEGISLATIVNÍ FINANČNÍ VÝKAZ

1. RÁMEC NÁVRHU/PODNĚTU

V tomto finančním výkazu jsou podrobně nastíněny požadavky, pokud jde o správní výdaje na provedení reformy ochrany údajů, jak je vysvětleno v příslušném hodnocení dopadu. Součástí reformy jsou dva legislativní návrhy, obecné nařízení o ochraně údajů a směrnice o ochraně fyzických osob v souvislosti se zpracováváním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů. Tento finanční výkaz se zabývá dopadem obou nástrojů na rozpočet.

Z rozdělení úkolů vyplývá, že zdroje požaduje Komise a evropský inspektor ochrany údajů.

Co se týče Komise, potřebné zdroje jsou již zahrnuty do navrhovaného finančního výhledu na období 2014–2020. Ochrana údajů je jedním z cílů programu Práva a občanství, který rovněž podpoří opatření pro uvedení daného právního rámce do praxe. Správní prostředky včetně požadavků na personál jsou zahrnuty ve správním rozpočtu GŘ pro spravedlnost.

Pokud jde o evropského inspektora ochrany údajů, potřebné zdroje bude třeba zohlednit v jeho příslušných ročních rozpočtech. Zdroje jsou podrobně uvedeny v příloze tohoto finančního výkazu. Aby se zajistily zdroje požadované v souvislosti s novými úkoly Evropské rady pro ochranu údajů, které bude evropský inspektor ochrany údajů poskytovat služby sekretariátu, bude zapotřebí přeorganizovat programy v rámci okruhu 5 finančního výhledu na období 2014–2020.

1.1. Název návrhu/podnětu

Návrh nařízení Evropského parlamentu a Rady o ochraně fyzických osob v souvislosti se zpracováváním osobních údajů a o volném pohybu těchto údajů (obecného nařízení o ochraně údajů).

Návrh směrnice Evropského parlamentu a Rady o ochraně fyzických osob v souvislosti se zpracováváním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů a o volném pohybu těchto údajů.

1.2. Příslušné oblasti politik podle členění ABM/ABB[49]

Spravedlnost – ochrana osobních údajů

Dopad na rozpočet se týká Komise a evropského inspektora ochrany údajů (EIOÚ). Dopad na rozpočet Komise je podrobně popsán v tabulkách tohoto finančního výkazu. Operační výdaje jsou součástí programu Práva a občanství a byly již zohledněny v jeho finančním výkazu, jelikož správní výdaje patří do finanční obálky GŘ pro spravedlnost. Údaje týkající se EIOÚ jsou uvedeny v příloze.

1.3. Povaha návrhu/podnětu

¨ Návrh/podnět se týká nové akce

¨ Návrh/podnět se týká nové akce následující po pilotním projektu / přípravné akci[50]

þ Návrh/podnět se týká prodloužení stávající akce

¨ Návrh/podnět se týká akce přesměrované na jinou akci

1.4. Cíle 1.4.1. Víceleté strategické cíle Komise sledované návrhem/podnětem

Cílem předmětné reformy je přispět k plnému dosažení původních cílů s přihlédnutím k novému vývoji a novým problémům:

— zvýšit účinnost základního práva na ochranu údajů a umožnit, aby fyzické osoby měly nad svými údaji kontrolu, zejména v souvislosti s vývojem techniky a rostoucí globalizací,

— posílit ochranu údajů na vnitřním trhu omezením roztříštěnosti, posílením jednotnosti a zjednodušením právního prostředí, čímž by zároveň došlo k odstranění zbytečných nákladů a k omezení administrativní zátěže,

Vstup Lisabonské smlouvy v platnost, zejména zavedení nového právního základu (článku 16 SFEU), pak poskytlo příležitost dosáhnout nového cíle, a to:

— zavedení komplexního rámce pro ochranu údajů, který pokryje všechny oblasti.

1.4.2. Specifické cíle a příslušné aktivity ABM/ABB

Specifický cíl č. 1

Zajistit jednotné prosazování pravidel pro ochranu údajů

Specifický cíl č. 2

Vysvětlit stávající systém správy v zájmu přispění k jednotnějšímu prosazování

Příslušné aktivity ABM/ABB

[…]

1.4.3. Očekávané výsledky a dopady

Upřesněte účinky, které by návrh/podnět měl mít na příjemce / cílové skupiny.

Pokud jde o správce údajů, veřejnoprávním i soukromým subjektům by se měla zajistit větší právní jistota prostřednictvím harmonizovaných a vyjasněných unijních pravidel a postupů pro ochranu údajů, které by vytvořily rovné podmínky pro všechny, zajistily by jednotné prosazování pravidel pro ochranu údajů a značně by snížily administrativní zátěž.

Fyzické osoby by tak měly lepší kontrolu nad svými osobními údaji, měly by důvěru v digitální prostředí a těšily by se i nadále ochraně, a to i v případech, kdy se jejich osobní údaje zpracovávají v zahraničí. Zajištěna by byla rovněž větší odpovědnost osob zpracovávajících osobní údaje.

Komplexní systém ochrany údajů by se navíc vztahoval na policejní a justiční oblast včetně bývalého třetího pilíře a nad jeho rámec.

1.4.4. Ukazatele výsledků a dopadů

Upřesněte ukazatele, podle kterých je možno uskutečňování návrhu/podnětu sledovat.

(Viz posouzení dopadu, oddíl 8)

Ukazatele se budou pravidelně vyhodnocovat a patřit mezi ně budou:

•        čas a náklady věnované správci údajů na dodržování právních předpisů v jiných členských státech,

•        zdroje přidělované orgánům pro ochranu údajů,

•        inspektoři ochrany údajů zřízení ve veřejnoprávních a soukromých organizacích,

•        využívání hodnocení dopadu na ochranu údajů,

•        počet stížností ze strany subjektů údajů a jejich odškodnění

•        počet případů vedoucích ke stíhání správců údajů,

•        pokuty uložené správcům údajů odpovědným za případy porušení ochrany údajů.

1.5. Odůvodnění návrhu/podnětu 1.5.1. Potřeby, které mají být uspokojeny v krátkodobém nebo dlouhodobém horizontu

Stávající rozdíly v provádění, výkladu a prosazování směrnice v členských státech působí rušivě na fungování vnitřního trhu a na spolupráci mezi orgány veřejné moci ve vztahu k unijním politikám. To je v rozporu se základním cílem směrnice, jež má usnadňovat volný pohyb osobních údajů na vnitřním trhu. Rychlý vývoj nových technologií a globalizace tento problém dále umocňují.

Kvůli roztříštěnosti a nejednotnému provádění a prosazování v jednotlivých členských státech požívají fyzické osoby v souvislosti s ochranou údajů různých práv. Jednotlivci navíc často nevědí, co se s jejich osobními údaji děje, ani nad nimi nemají kontrolu, a to se negativně promítá do výkonu jejich práv.

1.5.2. Přidaná hodnota ze zapojení EU

Členské státy nemohou problémy za stávající situace omezit samy, což obzvlášť platí o problémech plynoucích z roztříštěnosti ve vnitrostátních právních předpisech, kterými se provádí regulační rámec EU pro ochranu údajů. Právní rámec pro ochranu údajů na úrovni EU se tedy jeví jako nanejvýš opodstatněný. Obzvlášť zapotřebí je zavedení harmonizovaného a jednotného rámce, který by umožňoval bezproblémové předávání osobních údajů přes hranice v rámci EU a který by zároveň zajišťoval účinnou ochranu všem fyzickým osobám v celé EU.

1.5.3. Závěry vyvozené z podobných zkušeností v minulosti

Současné návrhy vycházejí ze zkušeností získaných v souvislosti se směrnicí 95/46/ES a ze zjištěných problémů, které byly způsobeny roztříštěností její transpozice a jejího provádění. Tato roztříštěnost byla až dosud překážkou pro dosažení obou jejích cílů, a sice vysoké úrovně ochrany údajů a jednotného trhu pro ochranu údajů.

1.5.4. Provázanost a možná synergie s dalšími relevantními nástroji

Tento balíček opatření pro reformu ochrany údajů má vytvořit pevný, jednotný a moderní rámec pro ochranu údajů na úrovni EU, který bude technicky neutrální a bude ke svému účelu sloužit po celá příští desetiletí. Tento reformní balíček bude přínosný pro fyzické osoby, neboť posílí jejich práva na ochranu údajů (zejména v digitálním prostředí), a také pro podniky a veřejný sektor, kde zjednoduší právní prostředí. Vytvořený rámec tak bude v souladu s cíli strategie Evropa 2020 podněcovat rozvoj digitálního hospodářství napříč celým vnitřním trhem EU i mimo něj.

Ústředními prvky tohoto reformního balíčku jsou:

—      nařízení nahrazující směrnici 95/46/ES,

—      směrnice o ochraně fyzických osob v souvislosti se zpracováváním osobních údajů příslušnými orgány za účelem prevence, odhalování, vyšetřování či stíhání trestných činů nebo výkonu trestů a o volném pohybu těchto údajů.

Výše uvedené legislativní návrhy doprovází zpráva o tom, jak členské státy provádí rámcové rozhodnutí 2008/977/SVV, což je současný hlavní nástroj EU pro ochranu údajů v oblasti policejní spolupráce a justiční spolupráce v trestních věcech.

1.6. Doba trvání akce a finanční dopad

¨ Časově omezený návrh/podnět

1. ¨  Návrh/podnět s platností od [DD/MM]RRRR do [DD/MM]RRRR

2. ¨  Finanční dopad od RRRR do RRRR

þ Časově neomezený návrh/podnět

1. Provádění s obdobím rozběhu od roku 2014 do roku 2016,

2. poté plné fungování.

1.7. Předpokládaný způsob řízení[51]

þ Přímé centralizované řízení Komisí

¨ Nepřímé centralizované řízení, při kterém jsou úkoly plnění rozpočtu svěřeny:

3. ¨  výkonným agenturám

4. ¨  subjektům zřízeným Společenstvími[52]

5. ¨  vnitrostátním veřejnoprávním subjektům / subjektům pověřeným výkonem veřejné služby

3. ¨  osobám pověřeným prováděním zvláštních opatření podle hlavy V Smlouvy o Evropské unii a označeným v příslušném základním právním aktu ve smyslu článku 49 finančního nařízení

¨ Sdílené řízení s členskými státy

¨ Decentralizované řízení s třetími zeměmi

¨ Společné řízení s mezinárodními organizacemi (upřesněte)

Pokud vyberete více způsobů řízení, upřesněte je v části „Poznámky“.

Poznámky

//

2. SPRÁVNÍ OPATŘENÍ 2.1. Pravidla pro sledování a podávání zpráv

Upřesněte četnost a podmínky.

První hodnocení se provede 4 roky po vstupu těchto právních nástrojů v platnost. V právních nástrojích je výslovně uvedena doložka o přezkumu, na základě níž bude Komise provádění hodnotit a o hodnocení následně informovat Evropský parlament a Radu. Další hodnocení se budou muset provádět každé čtyři roky. Použije se metodika Komise pro hodnocení. Zmíněná hodnocení se budou provádět za pomoci cílených studií o provádění předmětných právních nástrojů, pomocí dotazníků určených vnitrostátním orgánům pro ochranu údajů a pomocí diskusí s odborníky, praktických seminářů, průzkumů Eurobarometru atd.

2.2. Systém řízení a kontroly 2.2.1. Zjištěná rizika

V souvislosti s reformou unijního rámce pro ochranu údajů bylo provedeno hodnocení dopadu, které návrhy nařízení a směrnice doprovází.

Nový právní nástroj zavede mechanismus jednotnosti, aby se zajistilo, že nezávislé orgány dozoru v členských státech budou rámec uplatňovat jednotně a soudržně. Mechanismus bude fungovat prostřednictvím Evropské rady pro ochranu údajů, jejímiž členy budou vedoucí vnitrostátních orgánů dozoru a evropský inspektor ochrany údajů a jež nahradí stávající pracovní skupinu podle článku 29. Evropský inspektor ochrany údajů zajistí pro tuto radu služby sekretariátu.

Evropská rada pro ochranu údajů bude konzultována v případě možných odlišných rozhodnutí ze strany orgánů členských států, aby k daným záležitostem vyjádřila své stanovisko. Pokud tento postup selže nebo pokud se některý orgán dozoru odmítne stanoviskem rady řídit a Komise bude mít vážné pochybnosti o tom, zda by daný návrh opatření zajišťoval správné uplatňování tohoto nařízení, nebo o tom, zda by bez něho docházelo k nejednotnému uplatňování, Komise bude moci v zájmu zajištění správného a jednotného uplatňování tohoto nařízení vydat k věci stanovisko nebo, bude-li to potřeba, rozhodnutí.

Mechanismus jednotnosti si vyžaduje dodatečné zdroje pro evropského inspektora ochrany údajů na zajišťování služeb sekretariátu (12 plných pracovních úvazků a odpovídající správní a operační prostředky, např. na IT systémy a operace) a pro Komisi na řešení konkrétních případů (5 plných pracovních úvazků a související správní a operační prostředky).

2.2.2. Předpokládané metody kontroly

Dodatečné prostředky budou pokryty stávajícími metodami kontroly, které používají evropský inspektor ochrany údajů a Komise.

2.3. Opatření k zamezení podvodů a nesrovnalostí

Upřesněte stávající či předpokládaná preventivní a ochranná opatření.

Dodatečné prostředky budou pokryty stávajícími opatřeními pro prevenci podvodů, které používají evropský inspektor ochrany údajů a Komise.

3. ODHADOVANÝ FINANČNÍ DOPAD NÁVRHU/PODNĚTU 3.1. Okruhy víceletého finančního rámce a dotčené výdajové rozpočtové linie

1. Stávající výdajové rozpočtové linie

V pořadí okruhů víceletého finančního rámce a rozpočtových linií.

Okruh víceletého finančního rámce || Rozpočtová linie || Druh výdaje || Příspěvek

číslo [název……………………….……...……….] || RP/NRP ([53]) || zemí ESVO[54] || kandidátských zemí[55] || třetích zemí || ve smyslu čl. 18 odst. 1 písm. aa) finančního nařízení

|| || || || || ||

3.2. Odhadovaný dopad na výdaje 3.2.1. Odhadovaný souhrnný dopad na výdaje

v milionech EUR (zaokrouhleno na 3 desetinná místa)

Okruh víceletého finančního rámce || číslo ||

|| || || Rok N[56]= 2014 || Rok N+1 || Rok N+2 || Rok N+3 || … vložit počet let podle trvání finančního dopadu (viz bod 1.6) || CELKEM

Ÿ Operační prostředky || || || || || || || ||

Číslo rozpočtové linie || Závazky || (1) || || || || || || || ||

Platby || (2) || || || || || || || ||

Číslo rozpočtové linie || Závazky || (1a) || || || || || || || ||

Platby || (2a) || || || || || || || ||

Prostředky správní povahy financované  z rámce na zvláštní programy[57] || || || || || || || ||

Číslo rozpočtové linie || || (3) || || || || || || || ||

CELKEM prostředky pro GŘ || Závazky || =1+1a +3 || || || || || || || ||

Platby || =2+2a+3 || || || || || || || ||

Ÿ Operační prostředky CELKEM || Závazky || (4) || || || || || || || ||

Platby || (5) || || || || || || || ||

Ÿ Prostředky správní povahy financované z rámce na zvláštní programy CELKEM || (6) || || || || || || || ||

CELKEM prostředky z OKRUHU 3 víceletého finančního rámce || Závazky || =4+ 6 || || || || || || || ||

Platby || =5+ 6 || || || || || || || ||

Má-li návrh/podnět dopad na více okruhů:

Ÿ Operační prostředky CELKEM || Závazky || (4) || || || || || || || ||

Platby || (5) || || || || || || || ||

Ÿ Prostředky správní povahy financované z rámce na zvláštní programy CELKEM || (6) || || || || || || || ||

CELKEM prostředky z OKRUHU 1 až 4 víceletého finančního rámce (referenční částka) || Závazky || =4+ 6 || || || || || || || ||

Platby || =5+ 6 || || || || || || || ||

Okruh víceletého finančního rámce || 5 || Správní výdaje

v milionech EUR (zaokrouhleno na 3 desetinná místa)

|| || || Rok N= 2014 || Rok 2015 || Rok 2016 || Rok 2017 || Rok 2018 || Rok 2019 || Rok 2020 || CELKEM

GŘ: JUST ||

Ÿ Lidské zdroje || || 2,922 || 2,922 || 2,922 || 2,922 || 2,922 || 2,922 || 2,922 || 20,454

Ÿ Ostatní správní výdaje || || 0,555 || 0,555 || 0,555 || 0,555 || 0,555 || 0,555 || 0,555 || 3,885

GŘ JUST CELKEM || || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 24,339

CELKEM prostředky z OKRUHU 5 víceletého finančního rámce || (Závazky celkem = platby celkem) || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 24,339

v milionech EUR (zaokrouhleno na 3 desetinná místa)

|| || || Rok N[58] || Rok N+1 || Rok N+2 || Rok N+3 || … vložit počet let podle trvání finančního dopadu (viz bod 1.6) || CELKEM

CELKEM prostředky z OKRUHU 1 až 5 víceletého finančního rámce || Závazky || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 24,339

Platby || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 24,339

3.2.2. Odhadovaný dopad na operační prostředky

6. þ  Návrh/podnět nevyžaduje využití operačních prostředků

Vysoká úroveň ochrany osobních údajů je také jedním z cílů programu Práva a občanství.

7. ¨  Návrh/podnět vyžaduje využití operačních prostředků, jak je vysvětleno dále:

Prostředky na závazky v milionech EUR (zaokrouhleno na 3 desetinná místa)

Uveďte cíle a výstupy ò || || || Rok N=2014 || Rok N+1 || Rok N+2 || Rok N+3 || … vložit počet let podle trvání finančního dopadu (viz bod 1.6) || CELKEM ||

VÝSTUPY

Druh výstupu[59] || Průměrné náklady výstupu || Počet výstupů || Náklady || Počet výstupů || Náklady || Počet výstupů || Náklady || Počet výstupů || Náklady || Počet výstupů || Náklady || Počet výstupů || Náklady || Počet výstupů || Náklady || Celkový počet výstupů || Náklady celkem ||

SPECIFICKÝ CÍL Č. 1 ||

Výstup || Dokumenty[60] || || || || || || || || || || || || || || || || || ||

Mezisoučet za specifický cíl č. 1 || || || || || || || || || || || || || || || || ||

SPECIFICKÝ CÍL Č. 2 ||

Výstup || Případy[61] || || || || || || || || || || || || || || || || || ||

Mezisoučet za specifický cíl č. 2 || || || || || || || || || || || || || || || || ||

NÁKLADY CELKEM || || || || || || || || || || || || || || || || ||

3.2.3. Odhadovaný dopad na prostředky správní povahy 3.2.3.1. Shrnutí

8. ¨  Návrh/podnět nevyžaduje využití správních prostředků

9. þ  Návrh/podnět vyžaduje využití správních prostředků, jak je vysvětleno dále:

v milionech EUR (zaokrouhleno na 3 desetinná místa)

|| Rok N [62] 2014 || Rok 2015 || Rok 2016 || Rok 2017 || Rok 2018 || Rok 2019 || Rok 2020 || CELKEM

OKRUH 5 víceletého finančního rámce || || || || || || || ||

Lidské zdroje || 2,922 || 2,922 || 2,922 || 2,922 || 2,922 || 2,922 || 2,922 || 20,454

Ostatní správní výdaje || 0,555 || 0,555 || 0,555 || 0,555 || 0,555 || 0,555 || 0,555 || 3,885

Mezisoučet za OKRUH 5 víceletého finančního rámce || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 24,339

Mimo OKRUH 5[63] víceletého finančního rámce || || || || || || || ||

Lidské zdroje || || || || || || || ||

Ostatní výdaje správní povahy || || || || || || || ||

Mezisoučet mimo OKRUH 5 víceletého finančního rámce || || || || || || || ||

CELKEM || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 24,339

3.2.3.2.  Odhadované potřeby v oblasti lidských zdrojů

10. ¨         Návrh/podnět nevyžaduje využití lidských zdrojů

11. þ         Návrh/podnět vyžaduje využití lidských zdrojů, jak je vysvětleno dále:

Odhad vyjádřete v plných pracovních úvazcích (nebo zaokrouhlete nejvýše na 1 desetinné místo)

|| Rok 2014 || Rok 2015 || Rok 2016 || Rok 2017 || Rok 2018 || Rok 2019 || Rok 2020

Ÿ Pracovní místa podle plánu pracovních míst (místa úředníků a dočasných zaměstnanců)

XX 01 01 01 (v ústředí a v zastoupeních Komise) || 22 || 22 || 22 || 22 || 22 || 22 || 22

XX 01 01 02 (při delegacích) || || || || || || ||

Ÿ Externí zaměstnanci (v přepočtu na plné pracovní úvazky: FTE)[64]

XX 01 02 01 (SZ, ZAP, VNO z celkového rámce) || 2 || 2 || 2 || 2 || 2 || 2 || 2

XX 01 02 02 (SZ, ZAP, MOD, MZ a VNO při delegacích) || || || || || || ||

XX 01 04 yy[65] || — v ústředí[66] || || || || || || ||

— při delegacích || || || || || || ||

XX 01 05 02 (SZ, ZAP, VNO v nepřímém výzkumu) || || || || || || ||

10 01 05 02 (SZ, ZAP, VNO v přímém výzkumu) || || || || || || ||

Jiné rozpočtové linie (upřesněte) || || || || || || ||

CELKEM || 24 || 24 || 24 || 24 || 24 || 24 || 24

XX je oblast politiky nebo dotčená hlava rozpočtu.

V návaznosti na reformu bude muset Komise plnit kromě svých stávajících povinností v oblasti ochrany fyzických osob v souvislosti se zpracováváním osobních údajů i některé nové úkoly. Její další úkoly spočívají především v provádění nového mechanismu jednotnosti, který zajistí soudržné uplatňování harmonizovaných právních předpisů pro ochranu údajů, v posuzování přiměřenosti v případě třetích zemí, za něž Komise ponese výhradní odpovědnost, a v přípravě prováděcích opatření a aktů v přenesené pravomoci. Ve svých ostatních, současných úkolech (např. vývoj politiky, sledování provádění, zvyšování povědomí, řešení stížností atd.) bude Komise dále pokračovat.

Potřeby v oblasti lidských zdrojů budou pokryty ze zdrojů GŘ, které jsou již vyčleněny na řízení akce a/nebo byly vnitřně přeobsazeny v rámci GŘ, a případně doplněny z dodatečného přídělu, který lze řídícímu GŘ poskytnout v rámci ročního přidělování a s ohledem na rozpočtová omezení.

Popis úkolů:

Úředníci a dočasní zaměstnanci || Referenti pro řešení případů v rámci mechanismu jednotnosti zajišťujícího jednotné uplatňování unijních pravidel pro ochranu údajů. Úkoly zahrnují šetření a zkoumání případů postoupených orgány členských států za účelem vydání rozhodnutí, jednání s členskými státy a přípravu rozhodnutí Komise. Na základě zkušeností z poslední doby lze odhadnout, že mechanismus jednotnosti bude potřeba uplatnit u 5 až 10 případů za rok. Vyřizování žádostí o posouzení přiměřenosti si žádá přímou interakci s žádající zemí, potenciálně práci s odbornými studiemi o podmínkách v předmětné zemi, posuzování těchto podmínek, přípravu příslušných rozhodnutí Komise a celého procesu, včetně výboru, který bude Komisi a jakýmkoli odborným subjektům podle potřeby vypomáhat. Na základě stávajících zkušeností lze každý rok očekávat až 4 žádosti o posouzení přiměřenosti. Proces přijímání prováděcích opatření zahrnuje přípravná opatření, např. dokumentaci, výzkum a veřejné konzultace, vypracování předlohy samotného nástroje, vedení vyjednávacího procesu v příslušných výborech a jiných skupinách a také kontakty se zúčastněnými stranami obecně. V oblastech, kde jsou zapotřebí přesnější pokyny, lze očekávat vyřizování až tří prováděcích opatření ročně, přičemž postup může trvat až 24 měsíců v závislosti na intenzitě konzultací.

Externí zaměstnanci || Administrativní podpora a podpora sekretariátu

3.2.4. Soulad se stávajícím víceletým finančním rámcem

12. ¨         Návrh/podnět je v souladu s příštím víceletým finančním rámcem.

13. þ         Návrh/podnět si vyžádá úpravu příslušného okruhu víceletého finančního rámce.

Níže uvedená tabulka obsahuje výši finančních zdrojů, které bude každý rok potřebovat evropský inspektor ochrany údajů na své nové úkoly spojené s poskytováním služeb sekretariátu Evropské radě pro ochranu údajů a na související postupy a nástroje v období příštího finančního výhledu (kromě zdrojů, které již byly zahrnuty do plánu).

Rok || 2014 || 2015 || 2016 || 2017 || 2018 || 2019 || 2020 || Celkem

Personál atd. || 1,555 || 1,555 || 1,543 || 1,543 || 1,543 || 1,543 || 1,543 || 10,823

Operace || 0,850 || 1,500 || 1,900 || 1,900 || 1,500 || 1,200 || 1,400 || 10,250

Celkem || 2,405 || 3,055 || 3,443 || 3,443 || 3,043 || 2,743 || 2,943 || 21,073

14. ¨         Návrh/podnět vyžaduje použití nástroje pružnosti nebo změnu víceletého finančního rámce[67].

3.2.5. Příspěvky třetích stran

15. þNávrh/podnět nepočítá se spolufinancováním od třetích stran.

16. ¨Návrh/podnět počítá se spolufinancováním podle následujícího odhadu:

prostředky v milionech EUR (zaokrouhleno na 3 desetinná místa)

|| Rok N || Rok N+1 || Rok N+2 || Rok N+3 || … vložit počet let podle trvání finančního dopadu (viz bod 1.6) || Celkem

Upřesněte spolufinancující subjekt || || || || || || || ||

Spolufinancované prostředky CELKEM || || || || || || || ||

3.3. Odhadovaný dopad na příjmy

17. þ         Návrh/podnět nemá žádný finanční dopad na příjmy.

18. ¨         Návrh/podnět má tento finanční dopad:

· ¨         dopad na vlastní zdroje

· ¨         dopad na různé příjmy

v milionech EUR (zaokrouhleno na 3 desetinná místa)

Příjmová rozpočtová linie: || Prostředky použitelné v probíhajícím rozpočtovém roce || Dopad návrhu/podnětu[68]

Rok N || Rok N+1 || Rok N+2 || Rok N+3 || vložit tolik sloupců, kolik je třeba podle trvání finančního dopadu (viz bod 1.6)

|| || || || || || || ||

U účelově vázaných různých příjmů upřesněte dotčené výdajové rozpočtové linie.

Upřesněte způsob výpočtu dopadu na příjmy.

Příloha k legislativnímu finančnímu výkazu k návrhu nařízení Evropského parlamentu a Rady o ochraně fyzických osob v souvislosti se zpracováváním osobních údajů

Použitá metodika a hlavní výchozí předpoklady

Náklady spojené s novými úkoly, které bude podle dvou předmětných návrhů plnit evropský inspektor ochrany údajů, byly odhadnuty pro personální výdaje na základě nákladů, které v současné době vznikají v souvislosti s podobnými úkoly Komisi.

Evropský inspektor ochrany údajů bude hostit sekretariát Evropské rady pro ochranu údajů, která nahradí pracovní skupinu podle článku 29. Na základě stávající pracovní zátěže, kterou v souvislosti s tímto úkolem vykazuje Komise, bylo spočítáno, že zapotřebí budou 3 dodatečné plné pracovní úvazky plus příslušné správní a operační výdaje. Tato pracovní zátěž začne vstupem tohoto nařízení v platnost.

Evropský inspektor ochrany údajů bude dále zastávat úlohu v mechanismu jednotnosti, která si podle očekávání vyžádá 5 plných pracovních úvazků, a při vývoji a provozování společného IT nástroje pro vnitrostátní orgány pro ochranu údajů, která si vyžádá další 2 zaměstnance.

Výpočet zvýšení požadovaného rozpočtu na zaměstnance na prvních sedm let je uveden podrobněji v níže uvedené tabulce. V druhé tabulce je uveden požadovaný operační rozpočet. Údaje se odrazí v rozpočtu EU v oddíle IX – Evropský inspektor ochrany údajů.

Druh nákladu || Výpočet || Částka (v tisících)

2014 || 2015 || 2016 || 2017 || 2018 || 2019 || 2020 || Celkem

Plat a příspěvky || || || || || || || || ||

— předseda Evropské rady pro ochranu údajů || || 0,300 || 0,300 || 0,300 || 0,300 || 0,300 || 0,300 || 0,300 || 2,100

— z toho úředníci a dočasní zaměstnanci || =7*0,127 || 0,889 || 0,889 || 0,889 || 0,889 || 0,889 || 0,889 || 0,889 || 6,223

— z toho vyslaní národní odborníci || =1*0,073 || 0,073 || 0,073 || 0,073 || 0,073 || 0,073 || 0,073 || 0,073 || 0,511

— z toho smluvní zaměstnanci || =2*0,064 || 0,128 || 0,128 || 0,128 || 0,128 || 0,128 || 0,128 || 0,128 || 0,896

 Výdaje spojené s náborem || =10*0,005 || 0,025 || 0,025 || 0,013 || 0,013 || 0,013 || 0,013 || 0,013 || 0,113

Výdaje na služební cesty || || 0,090 || 0,090 || 0,090 || 0,090 || 0,090 || 0,090 || 0,090 || 0,630

Ostatní výdaje, školení || =10*0,005 || 0,050 || 0,050 || 0,050 || 0,050 || 0,050 || 0,050 || 0,050 || 0,350

Správní výdaje celkem || || 1,555 || 1,555 || 1,543 || 1,543 || 1,543 || 1,543 || 1,543 || 10,823

Popis úkolů:

Úředníci a dočasní zaměstnanci || Referenti na sekretariátu rady pro ochranu údajů. Kromě logistické podpory, jež zahrnuje mimo jiné rozpočtové a smluvní záležitosti, patří k úkolům referentů příprava programů schůzí a pozvánek odborníků, rešerše na témata programu skupiny, vedení dokumentace související s prací skupiny včetně příslušné ochrany údajů a požadavků na důvěrnost a zpřístupnění veřejnosti. Vezmou-li se v úvahu všechny podskupiny a odborné skupiny, lze očekávat, že každý rok bude třeba uspořádat až 50 schůzí a postupů pro vydání rozhodnutí. Referenti pro řešení případů v rámci mechanismu jednotnosti zajišťujícího jednotné uplatňování unijních pravidel pro ochranu údajů. Úkoly zahrnují šetření a zkoumání případů postoupených orgány členských států za účelem vydání rozhodnutí, jednání s členskými státy a přípravu rozhodnutí Komise. Na základě zkušeností z poslední doby lze odhadnout, že mechanismus jednotnosti bude potřeba uplatnit u 5 až 10 případů za rok. Provozní interakci mezi vnitrostátními orgány pro ochranu údajů a správci údajů, kteří jsou povinni sdílet informace s orgány veřejné moci, zjednoduší nástroj IT. Odpovědní zaměstnanci zajistí kontrolu kvality, řízení projektu a rozpočtové kontroly IT postupů pro organizaci požadavků a pro provádění a provoz systémů.

Externí zaměstnanci || Administrativní podpora a podpora sekretariátu

Výdaje EIOÚ na specifické úkoly

Uveďte cíle a výstupy ò || || || Rok N=2014 || Rok N+1 || Rok N+2 || Rok N+3 ||  vložit počet let podle trvání finančního dopadu (viz bod 1.6) || CELKEM

VÝSTUPY

Druh výstupu[69] || Průměrné náklady výstupu || Počet výstupů || Náklady || Počet výstupů || Náklady || Počet výstupů || Náklady || Počet výstupů || Náklady || Počet výstupů || Náklady || Počet výstupů || Náklady || Počet výstupů || Náklady || Celkový počet výstupů || Náklady celkem

SPECIFICKÝ CÍL Č. 1[70] || Sekretariát rady pro ochranu údajů

Výstup || Případy[71] || 0,010 || 30 || 0,300 || 40 || 0,400 || 50 || 0,500 || 50 || 0,500 || 50 || 0,500 || 50 || 0,500 || 50 || 0,500 || 320 || 3.200

Mezisoučet za specifický cíl č. 1 || 30 || 0,300 || 40 || 0,400 || 50 || 0,500 || 50 || 0,500 || 50 || 0,500 || 50 || 0,500 || 50 || 0,500 || 320 || 3,200

SPECIFICKÝ CÍL Č. 2 || Mechanismus jednotnosti

Výstup || Dokumenty[72] || 0,050 || 5 || 0,250 || 10 || 0,500 || 10 || 0,500 || 10 || 0,500 || 8 || 0,400 || 8 || 0,400 || 8 || 0,400 || 59 || 2,950

Mezisoučet za specifický cíl č. 2 || 5 || 0,250 || 10 || 0,500 || 10 || 0,500 || 10 || 0,500 || 8 || 0,400 || 8 || 0,400 || 8 || 0,400 || 59 || 2,950

SPECIFICKÝ CÍL Č. 3 || Společný nástroj IT pro orgány dozoru nad ochranou údajů (EIOÚ)

Výstup || Případy[73] || 0,100 || 3 || 0,300 || 6 || 0,600 || 9 || 0,900 || 9 || 0,900 || 6 || 0,600 || 3 || 0,300 || 5 || 0,500 || 41 || 4,100

Mezisoučet za specifický cíl č. 3 || 3 || 0,300 || 6 || 0,600 || 9 || 0,900 || 9 || 0,900 || 6 || 0,600 || 3 || 0,300 || 5 || 0,500 || 41 || 4,100

NÁKLADY CELKEM || 38 || 0,850 || 56 || 1,500 || 69 || 1,900 || 69 || 1,900 || 64 || 1,500 || 61 || 1,200 || 63 || 1,400 || 420 || 10,250

[1]               „Ochrana soukromí v propojeném světě – Evropský rámec pro ochranu údajů pro 21. století“, KOM(2012) 9 v konečném znění.

[2]               KOM(2012) 10 v konečném znění.

[3]               Směrnice Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů, Úř. věst. L 281, 23.11.1995, s. 31.

[4]               Rámcové rozhodnutí Rady 2008/977/SVV ze dne 27. listopadu 2008 o ochraně osobních údajů zpracovávaných v rámci policejní a justiční spolupráce v trestních věcech, Úř. věst. L 350, 30.12.2008, s. 60 („rámcové rozhodnutí“).

[5]               KOM(2010) 245 v konečném znění.

[6]               KOM(2010) 2020 v konečném znění.

[7]               „Stockholmský program – otevřená a bezpečná Evropa, která slouží svým občanům a chrání je“, Úř. věst. C 115, 4.5.2010, s. 1.

[8]               Usnesení Evropského parlamentu ze dne 25. listopadu 2009 o sdělení Komise Evropskému parlamentu a Radě o prostoru svobody, bezpečnosti a práva ve službách občanům – Stockholmský program (P7_TA(2009)0090).

[9]               KOM(2010) 171 v konečném znění.

[10]             KOM(2010) 609 v konečném znění.

[11]             Zvláštní průzkum Eurobarometr 359, Ochrana údajů a elektronické totožnosti v EU (2011): http://ec.europa.eu/public_opinion/archives/ebs/ebs_359_en.pdf .

[12]             http://ec.europa.eu/justice/newsroom/data-protection/events/090519_en.htm.

[13]             Příspěvky, které nejsou důvěrné, jsou k dispozici na webových stránkách Komise: http://ec.europa.eu/justice/newsroom/data-protection/opinion/090709_en.htm.

[14]             Příspěvky, které nejsou důvěrné, jsou k dispozici na webových stránkách Komise: http://ec.europa.eu/justice/newsroom/data-protection/opinion/101104_en.htm.

[15]             http://ec.europa.eu/justice/newsroom/data-protection/events/100701_en.htm.

[16]             http://www.coe.int/t/dghl/standardsetting/dataprotection/Data_protection_day2011_en.asp.

[17]             Evropská agentura pro bezpečnost sítí a informací se zabývá otázkami bezpečnosti v souvislosti s komunikačními sítěmi a informačními systémy.

[18]             Viz http://www.enisa.europa.eu/act/it/data-breach-notification/.

[19]             Zvláštní průzkum Eurobarometr 359, Ochrana údajů a elektronické totožnosti v EU (2011): http://ec.europa.eu/public_opinion/archives/ebs/ebs_359_en.pdf .

[20]             Viz studie s názvy Study on the economic benefits of privacy enhancing technologies a Comparative study on different approaches to new privacy challenges, in particular in the light of technological developments, leden 2010               (http://ec.europa.eu/justice/policies/privacy/docs/studies/new_privacy_challenges/final_report_en.pdf).

[21]             Pracovní skupina byla zřízena v roce 1996 (na základě článku 29 směrnice 95/46/ES), má poradní status a je složena ze zástupců vnitrostátních dozorčích orgánů pro ochranu údajů, evropského inspektora ochrany údajů a zástupců Komise. Více informací o její činnosti viz http://ec.europa.eu/justice/policies/privacy/workinggroup/index_en.htm.

[22]             Viz zejména následující stanoviska: k budoucnosti soukromí (2009, WP 168); k pojmům „správce“ a „zpracovatel“ (1/2010, WP 169); k internetové reklamě zaměřené na chování (2/2010, WP 171); k zásadě odpovědnosti (3/2010, WP 173); k použitelnému právu (8/2010, WP 179); k souhlasu (15/2011, WP 187). Pracovní skupina přijala na žádost Komise rovněž tyto tři poradní dokumenty: o oznámeních, o citlivých údajích a o praktickém provádění čl. 28 odst. 6 směrnice o ochraně údajů. K dispozici jsou na internetové stránce: http://ec.europa.eu/justice/data-protection/article-29/documentation/index_en.htm.

[23]             K dispozici na internetových stránkách evropského inspektora ochrany údajů na adrese: http://www.edps.europa.eu/EDPSWEB/.

[24]             Usnesení EP ze dne 6. července 2011 o komplexním přístupu k ochraně osobních údajů v Evropské unii, (2011/2025(INI), http://www.europarl.europa.eu/sides/getDoc.do?type=TA&reference=P7-TA-2011-0323&language=EN&ring=A7-2011-0244 (zpravodaj: poslanec EP Axel Voss (EPP/DE).

[25]             SEK(2012) 72.

[26]             CESE 999/2011.

[27]             Rozsudek Soudního dvora ze dne 9. listopadu 2010, společné věci C-92/09 a C-93/09, Volker und Markus Schecke a Eifert, Sb. rozh. 2010, s. I 0000.

[28]             V souladu s čl. 52 odst. 1 Listiny mohou být omezení výkonu práva na ochranu údajů zavedena tehdy, pokud jsou tato omezení stanovena zákonem a respektují podstatu těchto práv a svobod. Při dodržení zásady proporcionality mohou být omezení zavedena pouze tehdy, pokud jsou nezbytná a pokud skutečně odpovídají cílům obecného zájmu, které uznává Unie, nebo potřebě ochrany práv a svobod druhého.

[29]             Směrnice Evropského parlamentu a Rady 2002/58/ES ze dne 12. července 2002 o zpracování osobních údajů a ochraně soukromí v odvětví elektronických telekomunikací (směrnice o ochraně soukromí a elektronických komunikacích), Úř. věst. L 201, 31.07.2002, s. 37.

[30]             Směrnice Evropského parlamentu a Rady 2009/136/ES ze dne 25. listopadu 2009, kterou se mění směrnice 2002/22/ES o univerzální službě a právech uživatelů týkajících se sítí a služeb elektronických komunikací, směrnice 2002/58/ES o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací a nařízení (ES) č. 2006/2004 o spolupráci mezi vnitrostátními orgány příslušnými pro vymáhání dodržování zákonů na ochranu zájmů spotřebitele (Text s významem pro EHP), Úř. věst. L 337, 18.12.2009, s. 11.

[31]             Přijata a otevřena k podpisu, ratifikaci a přistoupení na základě rezoluce Valného shromáždění OSN 44/25 ze dne 20. listopadu 1989.

[32]             Přijaté na mezinárodní konferenci komisařů pro ochranu údajů dne 5. listopadu 2009. Viz též čl. 13 odst. 3 návrhu nařízení o společné evropské právní úpravě prodeje (KOM(2011) 635 v konečném znění).

[33]             CM/Rec (2010)13.

[34]             Rozsudek Soudního dvora EU ze dne 9. března 2010, Komise v. Německo, C-518/07, Sb. rozh. 2010, s. I 1885.

[35]             Nařízení Evropského parlamentu a Rady (ES) č. 45/2001 ze dne 18. prosince 2000 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány a institucemi Společenství a o volném pohybu těchto údajů, Úř. věst. L 008, 12.1.2001, s. 1.

[36]             Viz poznámka pod čarou 34.

[37]             Rozhodnutí Rady 2008/615/SVV ze dne 23. června 2008 o posílení přeshraniční spolupráce, zejména v boji proti terorismu a přeshraniční trestné činnosti.

[38]             Na základě čl. 5 odst. 1 rámcového rozhodnutí Rady 2009/948/SVV ze dne 30. listopadu 2009 o předcházení kompetenčním sporům při výkonu pravomoci v trestním řízení a jejich řešení, Úř. věst. L 328, 15.12.2009, s. 42 a čl. 13 odst. 1 nařízení Rady (ES) č. 1/2003 ze dne 16. prosince 2002 o provádění pravidel hospodářské soutěže stanovených v článcích 81 a 82 Smlouvy, Úř. věst. L 1, 4. 1. 2003, s. 1.

[39]             Na základě čl. 18 odst. 1 směrnice Evropského parlamentu a Rady 2000/31/ES ze dne 8. června 2000 o některých právních aspektech služeb informační společnosti, zejména elektronického obchodu, na vnitřním trhu („směrnice o elektronickém obchodu“), Úř. věst. L 178, 17.7.2000, s. 1.

[40]             K výkladu viz např. rozsudek Soudního dvora EU ze dne 16. prosince 2008, Satakunnan Markkinapörssi a Satamedia (C-73/07, Sb. rozh. 2008, s. I 9831).

[41]             Úř. věst. C , , s. .

[42]             Úř. věst. C , , s. .

[43]             Úř. věst. L 281, 23.11.1995, s. 31.

[44]             Úř. věst. L 8, 12.1.2001, s. 1.

[45]             Nařízení Evropského parlamentu a Rady (EU) č. 182/2011 ze dne 16. února 2011, kterým se stanoví pravidla a obecné zásady způsobu, jakým členské státy kontrolují Komisi při výkonu prováděcích pravomocí, Úř. věst. L 55, 28.2.2011, s. 13.

[46]             Úř. věst. L 176, 10.7.1999, s. 36.

[47]             Úř. věst. L 53, 27.2.2008, s. 52.           

[48]             Úř. věst. L 160, 18.6.2011, s. 19.

[49]             ABM: řízení podle činností (Activity-Based Management) – ABB: sestavování rozpočtu podle činností (Activity-Based Budgeting).

[50]             Uvedené v čl. 49 odst. 6 písm. a) nebo b) finančního nařízení.

[51]             Vysvětlení způsobů řízení spolu s odkazem na finanční nařízení jsou k dispozici na stránkách BudgWeb: http://www.cc.cec/budg/man/budgmanag/budgmanag_en.html

[52]             Uvedené v článku 185 finančního nařízení.

[53]             RP = rozlišené prostředky / NRP = nerozlišené prostředky.

[54]             ESVO: Evropské sdružení volného obchodu.

[55]             Kandidátské země a případně potenciální kandidátské země západního Balkánu.

[56]             Rokem N se rozumí rok, kdy se návrh/podnět začíná provádět.

[57]             Technická a/nebo administrativní pomoc a výdaje na podporu provádění programů a/nebo akcí EU (bývalé linie „BA“), nepřímý výzkum, přímý výzkum.

[58]             Rokem N se rozumí rok, kdy se návrh/podnět začíná provádět.

[59]             Výstupy se rozumí produkty a služby, které mají být dodány (např. počet financovaných studentských výměn, počet vybudovaných kilometrů silnic atd.).

[60]             Stanoviska, rozhodnutí, schůze rady ve věci postupů.

[61]             Případy řešené v rámci mechanismu jednotnosti.

[62]             Rokem N se rozumí rok, kdy se návrh/podnět začíná provádět.

[63]             Technická a/nebo administrativní pomoc a výdaje na podporu provádění programů a/nebo akcí EU (bývalé linie „BA“), nepřímý výzkum, přímý výzkum.

[64]             SZ = smluvní zaměstnanec; ZAP = zaměstnanec agentury práce; MOD = mladý odborník při delegaci; MZ = místní zaměstnanec; VNO = vyslaný národní odborník.

[65]             Dílčí strop na externí pracovníky z operačních prostředků (bývalé linie „BA“).

[66]             V podstatě na strukturální fondy, Evropský zemědělský fond pro rozvoj venkova (EZFRV) a Evropský rybářský fond.

[67]             Viz body 19 a 24 interinstitucionální dohody.

[68]             Pokud jde o tradiční vlastní zdroje (cla, dávky z cukru), je třeba uvést čisté částky, tj. hrubé částky po odečtení 25% nákladů na výběr.

[69]             Výstupy se rozumí produkty a služby, které mají být dodány (např. počet financovaných studentských výměn, počet vybudovaných kilometrů silnic atd.).

[70]             Popsaný v části 1.4.2. „Specifické cíle…“.

[71]             Případy řešené v rámci mechanismu jednotnosti.

[72]             Stanoviska, rozhodnutí, schůze rady ve věci postupů.

[73]             Celkové částky za každý rok jsou odhadem úsilí o rozvoj a provoz nástrojů IT.