|
|
DIRECTIVE 95/46/EC OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL
|
Směrnice Evropského parlamentu a Rady 95/46/ES
|
|
of 24 October 1995
|
ze dne 24. října 1995
|
|
on the protection of individuals with regard to the processing of personal data and on the free movement of such data
|
o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů
|
|
|
EVROPSKÝ PARLAMENT A RADA EVROPSKÉ UNIE,
|
|
THE EUROPEAN PARLIAMENT AND THE COUNCIL OF THE EUROPEAN UNION,
|
s ohledem na Smlouvu o založení Evropského společenství, a zejména na článek 100a této smlouvy,
|
|
Having regard to the Treaty establishing the European Community, and in particular Article 100a thereof,
|
s ohledem na návrh Komise [1],
|
|
Having regard to the proposal from the Commission (1),
|
s ohledem na stanovisko Hospodářského a sociálního výboru [2],
|
|
Having regard to the opinion of the Economic and Social Committee (2),
|
v souladu s postupem stanoveným v článku 189b Smlouvy [3],
|
|
Acting in accordance with the procedure referred to in Article 189b of the Treaty (3),
|
(1) vzhledem k tomu, že cíle Společenství, vyjádřené ve Smlouvě ve znění pozměněném Smlouvou o Evropské unii, spočívají ve vytváření stále užšího svazku mezi národy Evropy, ve vytváření stále těsnějších vztahů mezi státy, které Společenství sdružuje, v zajišťování hospodářského a sociálního pokroku společným jednáním vedoucím k odstraňování překážek rozdělujících Evropu, v podpoře neustálého zlepšování životních podmínek svých občanů, v zachování a posilování míru a svobody, a v podpoře demokracie na základě základních práv přiznávaných v ústavách a zákonech členských států a ustanoveními Evropské úmluvy o ochraně lidských práv a základních svobod;
|
|
(1) Whereas the objectives of the Community, as laid down in the Treaty, as amended by the Treaty on European Union, include creating an ever closer union among the peoples of Europe, fostering closer relations between the States belonging to the Community, ensuring economic and social progress by common action to eliminate the barriers which divide Europe, encouraging the constant improvement of the living conditions of its peoples, preserving and strengthening peace and liberty and promoting democracy on the basis of the fundamental rights recognized in the constitution and laws of the Member States and in the European Convention for the Protection of Human Rights and Fundamental Freedoms;
|
(2) vzhledem k tomu, že systémy zpracování údajů slouží lidem; že musí bez ohledu na státní občanství nebo bydliště fyzických osob dodržovat základní svobody a práva těchto osob, zejména právo na soukromí, a přispívat k hospodářskému a sociálnímu pokroku, k rozvoji obchodu, jakož i dobrých životních podmínek jednotlivců;
|
|
(2) Whereas data-processing systems are designed to serve man; whereas they must, whatever the nationality or residence of natural persons, respect their fundamental rights and freedoms, notably the right to privacy, and contribute to economic and social progress, trade expansion and the well-being of individuals;
|
(3) vzhledem k tomu, že vytvoření a fungování vnitřního trhu, v němž je zajištěn, v souladu s článkem 7a Smlouvy, volný pohyb zboží, osob, služeb a kapitálu, vyžaduje nejen možnost volného pohybu osobních údajů z jednoho členského státu do druhého, ale rovněž ochranu základních práv jednotlivců;
|
|
(3) Whereas the establishment and functioning of an internal market in which, in accordance with Article 7a of the Treaty, the free movement of goods, persons, services and capital is ensured require not only that personal data should be able to flow freely from one Member State to another, but also that the fundamental rights of individuals should be safeguarded;
|
(4) vzhledem k tomu, že ve Společenství se stále častěji využívá zpracování osobních údajů v různých oblastech hospodářské a sociální činnosti; že vývoj informačních technologií podstatně usnadňuje zpracování a výměnu těchto údajů;
|
|
(4) Whereas increasingly frequent recourse is being had in the Community to the processing of personal data in the various spheres of economic and social activity; whereas the progress made in information technology is making the processing and exchange of such data considerably easier;
|
(5) vzhledem k tomu, že hospodářská a sociální integrace vyplývající z vytvoření a z fungování vnitřního trhu ve smyslu článku 7a Smlouvy nezbytně povede k citelnému zvýšení přeshraničního toku osobních údajů mezi všemi účastníky hospodářského a sociálního života členských států, soukromými či veřejnými; že se dále bude zvyšovat výměna osobních údajů mezi podniky usazenými v různých členských státech; že na základě práva Společenství se od správních úřadů členských států vyžaduje, aby spolupracovaly a vyměňovaly si osobní údaje, aby tak mohly plnit své poslání nebo provádět úkoly ve prospěch správních úřadů jiného členského státu v rámci prostoru bez vnitřních hranic vytvořeného vnitřním trhem;
|
|
(5) Whereas the economic and social integration resulting from the establishment and functioning of the internal market within the meaning of Article 7a of the Treaty will necessarily lead to a substantial increase in cross-border flows of personal data between all those involved in a private or public capacity in economic and social activity in the Member States; whereas the exchange of personal data between undertakings in different Member States is set to increase; whereas the national authorities in the various Member States are being called upon by virtue of Community law to collaborate and exchange personal data so as to be able to perform their duties or carry out tasks on behalf of an authority in another Member State within the context of the area without internal frontiers as constituted by the internal market;
|
(6) vzhledem k tomu, že i posílení vědecké a technické spolupráce a koordinované zavádění nových telekomunikačních sítí ve Společenství vyžadují a usnadňují přeshraniční toky osobních údajů;
|
|
(6) Whereas, furthermore, the increase in scientific and technical cooperation and the coordinated introduction of new telecommunications networks in the Community necessitate and facilitate cross-border flows of personal data;
|
(7) vzhledem k tomu, že rozdíly mezi členskými státy, pokud jde o úroveň ochrany práv a svobod osob, zejména práva na soukromí, mohou s ohledem na zpracování osobních údajů zabránit přenosu těchto údajů z území jednoho členského státu na území jiného členského státu; že tyto rozdíly mohou napříště vytvářet překážku výkonu celé skupiny hospodářských činností na úrovni Společenství, narušit hospodářskou soutěž a bránit správním orgánům ve výkonu povinností, které mají na základě práva Společenství; že tyto rozdíly v úrovni ochrany vyplývají z rozdílů mezi vnitrostátními právními a správními předpisy;
|
|
(7) Whereas the difference in levels of protection of the rights and freedoms of individuals, notably the right to privacy, with regard to the processing of personal data afforded in the Member States may prevent the transmission of such data from the territory of one Member State to that of another Member State; whereas this difference may therefore constitute an obstacle to the pursuit of a number of economic activities at Community level, distort competition and impede authorities in the discharge of their responsibilities under Community law; whereas this difference in levels of protection is due to the existence of a wide variety of national laws, regulations and administrative provisions;
|
(8) vzhledem k tomu, že pro odstranění překážek toku osobních údajů musí být úroveň ochrany práv a svobod osob v souvislosti se zpracováním těchto údajů rovnocenná ve všech členských státech; že tohoto cíle, pro vnitřní trh životně důležitého, nemůže být dosaženo pouze jednotlivými členskými státy, zejména s přihlédnutím k množství odlišností, které se v současné době vyskytují mezi vnitrostátními právními předpisy z této oblasti, a k nezbytnosti koordinovat právní předpisy členských států, aby přeshraniční tok osobních údajů byl upraven spojitě a v souladu s cílem vnitřního trhu ve smyslu článku 7a Smlouvy; že je tedy nezbytný zásah Společenství směřující ke sblížení právních předpisů;
|
|
(8) Whereas, in order to remove the obstacles to flows of personal data, the level of protection of the rights and freedoms of individuals with regard to the processing of such data must be equivalent in all Member States; whereas this objective is vital to the internal market but cannot be achieved by the Member States alone, especially in view of the scale of the divergences which currently exist between the relevant laws in the Member States and the need to coordinate the laws of the Member States so as to ensure that the cross-border flow of personal data is regulated in a consistent manner that is in keeping with the objective of the internal market as provided for in Article 7a of the Treaty; whereas Community action to approximate those laws is therefore needed;
|
(9) vzhledem k tomu, že v důsledku rovnocenné ochrany vyplývající ze sblížení vnitrostátních právních předpisů nebudou moci členské státy nadále bránit mezi sebou volnému pohybu osobních údajů z důvodů ochrany práv a svobod osob, zejména práva na soukromí; že členské státy budou mít k dispozici volný prostor, kterého budou moci při provádění směrnice využít hospodářští a sociální partneři; že budou moci upřesnit ve svých právních předpisech obecné podmínky zákonnosti zpracování údajů; že členské státy budou přitom usilovat o zlepšení ochrany zajišťované až dosud jejich právními předpisy; že v mezích tohoto volného prostoru a v souladu s právem Společenství může při provádění směrnice dojít ke vzniku odlišností a že to může mít dopad na pohyb údajů jak uvnitř jednotlivých členských států, tak ve Společenství;
|
|
(9) Whereas, given the equivalent protection resulting from the approximation of national laws, the Member States will no longer be able to inhibit the free movement between them of personal data on grounds relating to protection of the rights and freedoms of individuals, and in particular the right to privacy; whereas Member States will be left a margin for manoeuvre, which may, in the context of implementation of the Directive, also be exercised by the business and social partners; whereas Member States will therefore be able to specify in their national law the general conditions governing the lawfulness of data processing; whereas in doing so the Member States shall strive to improve the protection currently provided by their legislation; whereas, within the limits of this margin for manoeuvre and in accordance with Community law, disparities could arise in the implementation of the Directive, and this could have an effect on the movement of data within a Member State as well as within the Community;
|
(10) vzhledem k tomu, že předmětem vnitrostátních právních předpisů o zpracování osobních údajů je chránit základní práva a svobody, zejména právo na soukromí uznaného v článku 8 Evropské úmluvy o ochraně lidských práv a základních svobod i v obecných zásadách práva Společenství; že z tohoto důvodu sblížení těchto právních předpisů nesmí vést k oslabení ochrany, kterou zajišťují, ale musí mít naopak za cíl zajištění vysoké úrovně ochrany ve Společenství;
|
|
(10) Whereas the object of the national laws on the processing of personal data is to protect fundamental rights and freedoms, notably the right to privacy, which is recognized both in Article 8 of the European Convention for the Protection of Human Rights and Fundamental Freedoms and in the general principles of Community law; whereas, for that reason, the approximation of those laws must not result in any lessening of the protection they afford but must, on the contrary, seek to ensure a high level of protection in the Community;
|
(11) vzhledem k tomu, že zásady ochrany lidských práv a svobod, zejména práva na soukromí, obsažené v této směrnici upřesňují a rozšiřují zásady obsažené v Úmluvě Rady Evropy ze dne 28. ledna 1981 o ochraně osob s ohledem na automatizované zpracování osobních údajů;
|
|
(11) Whereas the principles of the protection of the rights and freedoms of individuals, notably the right to privacy, which are contained in this Directive, give substance to and amplify those contained in the Council of Europe Convention of 28 January 1981 for the Protection of Individuals with regard to Automatic Processing of Personal Data;
|
(12) vzhledem k tomu, že zásady ochrany se musí vztahovat na veškerá zpracování osobních údajů kteroukoli osobou, jejíž činnosti spadají do oblasti působnosti práva Společenství; že je třeba vyloučit zpracování údajů fyzickou osobou při výkonu činností, které mají výlučně osobní povahu, jako je korespondence nebo vedení adresáře;
|
|
(12) Whereas the protection principles must apply to all processing of personal data by any person whose activities are governed by Community law; whereas there should be excluded the processing of data carried out by a natural person in the exercise of activities which are exclusively personal or domestic, such as correspondence and the holding of records of addresses;
|
(13) vzhledem k tomu, že činnosti uvedené v hlavě V a VI Smlouvy o Evropské unii týkající se veřejné bezpečnosti, obrany, bezpečnosti státu nebo činností státu v oblasti trestního práva nespadají do oblasti působnosti práva Společenství, aniž jsou tím dotčeny povinnosti členských států vyplývající z čl. 56 odst. 2 a článků 57 a 100a Smlouvy; že zpracování osobních údajů nezbytné pro zachování hospodářské stability státu nespadá do působnosti této směrnice, pokud je toto zpracování spojeno s otázkami bezpečnosti státu;
|
|
(13) Whereas the acitivities referred to in Titles V and VI of the Treaty on European Union regarding public safety, defence, State security or the acitivities of the State in the area of criminal laws fall outside the scope of Community law, without prejudice to the obligations incumbent upon Member States under Article 56 (2), Article 57 or Article 100a of the Treaty establishing the European Community; whereas the processing of personal data that is necessary to safeguard the economic well-being of the State does not fall within the scope of this Directive where such processing relates to State security matters;
|
(14) vzhledem k tomu, že s ohledem na význam současného rozvoje technologií pro příjem, přenos, úpravu, zaznamenání, uchování či sdělování zvukových a obrazových údajů týkajících se fyzických osob v rámci informační společnosti se tato směrnice použije i na zpracování těchto údajů;
|
|
(14) Whereas, given the importance of the developments under way, in the framework of the information society, of the techniques used to capture, transmit, manipulate, record, store or communicate sound and image data relating to natural persons, this Directive should be applicable to processing involving such data;
|
(15) vzhledem k tomu, že tato směrnice se vztahuje na zpracování těchto údajů, pouze pokud jsou automatizována nebo pokud jsou zpracovávané údaje obsaženy nebo mají být obsaženy v rejstříku uspořádaném podle zvláštních hledisek týkajících se osob, aby byl umožněn snadný přístup k dotčeným osobním údajům;
|
|
(15) Whereas the processing of such data is covered by this Directive only if it is automated or if the data processed are contained or are intended to be contained in a filing system structured according to specific criteria relating to individuals, so as to permit easy access to the personal data in question;
|
(16) vzhledem k tomu, že tato směrnice se nevztahuje na zpracování údajů tvořených zvuky či obrazy, jako například údajů zjištěných při dohledu pomocí videokamer, pokud byly zavedeny pro zajištění veřejné bezpečnosti, obrany a bezpečnosti státu, nebo pro výkon činností státu v oblasti trestní nebo pro výkon jiných činností, které nespadají do oblasti působnosti práva Společenství;
|
|
(16) Whereas the processing of sound and image data, such as in cases of video surveillance, does not come within the scope of this Directive if it is carried out for the purposes of public security, defence, national security or in the course of State activities relating to the area of criminal law or of other activities which do not come within the scope of Community law;
|
(17) vzhledem k tomu, že na zpracování zvuků a obrazů pro účely žurnalistiky nebo literárního či uměleckého vyjádření, zejména v audiovizuální oblasti, se zásady této směrnice uplatní jen omezeným způsobem podle článku 9;
|
|
(17) Whereas, as far as the processing of sound and image data carried out for purposes of journalism or the purposes of literary or artistic expression is concerned, in particular in the audiovisual field, the principles of the Directive are to apply in a restricted manner according to the provisions laid down in Article 9;
|
(18) vzhledem k tomu, že z důvodu, aby se zamezilo případům, kdy jednotlivcům nebude poskytnuta ochrana, která jim je zaručena na základě této směrnice, je nezbytné, aby veškeré zpracování osobních údajů uskutečněné ve Společenství dodržovalo právní předpisy některého členského státu; že v této souvislosti je třeba podřídit zpracování údajů prováděné v rámci povinností správce, který je usazen v členském státě, právním předpisům tohoto státu;
|
|
(18) Whereas, in order to ensure that individuals are not deprived of the protection to which they are entitled under this Directive, any processing of personal data in the Community must be carried out in accordance with the law of one of the Member States; whereas, in this connection, processing carried out under the responsibility of a controller who is established in a Member State should be governed by the law of that State;
|
(19) vzhledem k tomu, že usazení na území členského státu předpokládá účinný a skutečný výkon činnosti prostřednictvím stálého zařízení; že právní forma takové provozovny, ať jde o pobočku nebo dceřinou společnost s vlastní právní subjektivitou, není z tohoto hlediska rozhodující; že pokud je stejný správce usazen na území několika členských států, zejména prostřednictvím dceřiné společnosti, musí zajistit, aby všechny provozovny plnily povinnosti stanovené vnitrostátními právními předpisy, které se vztahují na jejich činnost, zejména s cílem vyloučit jejich obcházení;
|
|
(19) Whereas establishment on the territory of a Member State implies the effective and real exercise of activity through stable arrangements; whereas the legal form of such an establishment, whether simply branch or a subsidiary with a legal personality, is not the determining factor in this respect; whereas, when a single controller is established on the territory of several Member States, particularly by means of subsidiaries, he must ensure, in order to avoid any circumvention of national rules, that each of the establishments fulfils the obligations imposed by the national law applicable to its activities;
|
(20) vzhledem k tomu, že skutečnost, že zpracování údajů provádí osoba usazená ve třetí zemi, nesmí bránit ochraně osob stanovené v této směrnici; že v takovýchto případech je třeba podřídit zpracování dotčených údajů právním předpisům členského státu, ve kterém jsou lokalizována zařízení pro zpracování údajů, a přijmout záruky, aby práva a povinnosti uvedené v této směrnici byly v praxi dodržovány;
|
|
(20) Whereas the fact that the processing of data is carried out by a person established in a third country must not stand in the way of the protection of individuals provided for in this Directive; whereas in these cases, the processing should be governed by the law of the Member State in which the means used are located, and there should be guarantees to ensure that the rights and obligations provided for in this Directive are respected in practice;
|
(21) vzhledem k tomu, že tato směrnice se nedotýká zásad teritoriality platných v oblasti trestního práva;
|
|
(21) Whereas this Directive is without prejudice to the rules of territoriality applicable in criminal matters;
|
(22) vzhledem k tomu, že členské státy upřesní ve svých právních předpisech nebo při zavádění opatření přijatých k provedení této směrnice obecné podmínky, za kterých je zpracování údajů přípustné; že zejména článek 5 spolu s články 7 a 8 umožňuje členským státům stanovit, nezávisle na obecných pravidlech, zvláštní podmínky pro zpracování údajů ve zvláštních oblastech a pro různé kategorie údajů uvedených v článku 8;
|
|
(22) Whereas Member States shall more precisely define in the laws they enact or when bringing into force the measures taken under this Directive the general circumstances in which processing is lawful; whereas in particular Article 5, in conjunction with Articles 7 and 8, allows Member States, independently of general rules, to provide for special processing conditions for specific sectors and for the various categories of data covered by Article 8;
|
(23) vzhledem k tomu, že členské státy jsou oprávněny zajistit zavádění ochrany osob jak obecným právním předpisem o ochraně osob v souvislosti se zpracováním osobních údajů, tak právními předpisy z jednotlivých oblastí, jako například předpisy platnými pro statistické úřady;
|
|
(23) Whereas Member States are empowered to ensure the implementation of the protection of individuals both by means of a general law on the protection of individuals as regards the processing of personal data and by sectorial laws such as those relating, for example, to statistical institutes;
|
(24) vzhledem k tomu, že se tato směrnice nevztahuje na právní předpisy týkající se ochrany právnických osob v souvislosti se zpracováním údajů;
|
|
(24) Whereas the legislation concerning the protection of legal persons with regard to the processing data which concerns them is not affected by this Directive;
|
(25) vzhledem k tomu, že zásady ochrany se musí odrazit jednak v povinnostech jednotlivců, orgánů veřejné moci, podniků, agentur nebo jiných subjektů odpovědných za zpracování údajů týkajících se zejména kvality údajů, technického zabezpečení, oznamování okolností, za jakých může být zpracování provedeno, orgánu dozoru a jednak v právu poskytnutému osobám, jejichž údaje jsou zpracovávány, být informován o tom, že jsou zpracovávány, právu přístupu k údajům, právu žádat jejich opravu a právu odmítnout za určitých okolností zpracování;
|
|
(25) Whereas the principles of protection must be reflected, on the one hand, in the obligations imposed on persons, public authorities, enterprises, agencies or other bodies responsible for processing, in particular regarding data quality, technical security, notification to the supervisory authority, and the circumstances under which processing can be carried out, and, on the other hand, in the right conferred on individuals, the data on whom are the subject of processing, to be informed that processing is taking place, to consult the data, to request corrections and even to object to processing in certain circumstances;
|
(26) vzhledem k tomu, že zásady ochrany se musí vztahovat na veškeré informace týkající se identifikované či identifikovatelné osoby; že pro určení, zda je osoba identifikovatelná, je třeba přihlédnout ke všem prostředkům, které mohou být rozumně použity jak správcem tak jakoukoli jinou osobou pro identifikaci dané osoby; že zásady ochrany se nevztahují na údaje, které byly anonymizovány tak, že subjekt údajů již není identifikovatelný; žekodexy chování ve smyslu článku 27 mohou být užitečným nástrojem pro poskytování informací o způsobech, kterými mohou být údaje anonymizovány a uchovány v podobě, která již neumožňuje identifikaci subjektu údajů;
|
|
(26) Whereas the principles of protection must apply to any information concerning an identified or identifiable person; whereas, to determine whether a person is identifiable, account should be taken of all the means likely reasonably to be used either by the controller or by any other person to identify the said person; whereas the principles of protection shall not apply to data rendered anonymous in such a way that the data subject is no longer identifiable; whereas codes of conduct within the meaning of Article 27 may be a useful instrument for providing guidance as to the ways in which data may be rendered anonymous and retained in a form in which identification of the data subject is no longer possible;
|
(27) vzhledem k tomu, že ochrana osob se musí vztahovat jak na automatizované, tak na manuální zpracování údajů; že rozsah této ochrany nesmí být závislý na použitých technikách, jinak by se vytvořilo vážné riziko jejího obcházení; že nicméně, pokud jde o manuální zpracování, týká se tato směrnice pouze rejstříků a nikoli neuspořádaných záznamů; že obsah rejstříku musí být zejména uspořádán podle stanovených hledisek týkajících se osob, která umožňují snadný přístup k osobním údajům; že v souladu s definicí v čl. 2 písm. c) mohou být různá hlediska umožňující určit prvky uspořádaného souboru osobních údajů a jednotlivá hlediska upravující přístup k tomuto souboru údajů vymezena každým členským státem; že záznamy nebo soubory záznamů, stejně jako jejich obaly, které nejsou uspořádány podle určených hledisek, nespadají v žádném případě do oblasti působnosti této směrnice;
|
|
(27) Whereas the protection of individuals must apply as much to automatic processing of data as to manual processing; whereas the scope of this protection must not in effect depend on the techniques used, otherwise this would create a serious risk of circumvention; whereas, nonetheless, as regards manual processing, this Directive covers only filing systems, not unstructured files; whereas, in particular, the content of a filing system must be structured according to specific criteria relating to individuals allowing easy access to the personal data; whereas, in line with the definition in Article 2 (c), the different criteria for determining the constituents of a structured set of personal data, and the different criteria governing access to such a set, may be laid down by each Member State; whereas files or sets of files as well as their cover pages, which are not structured according to specific criteria, shall under no circumstances fall within the scope of this Directive;
|
(28) vzhledem k tomu, že jakékoli zpracování osobních údajů musí být prováděno zákonným a korektním způsobem vůči dotčeným jednotlivcům; že se zejména musí týkat údajů přiměřených, podstatných a v množství úměrném účelům zpracování; že tyto účely musí být výslovné a legitimní a musí být stanoveny při sběru údajů; že účely zpracování údajů následujícího po jejich sběru nesmějí být neslučitelné s původně stanovenými účely;
|
|
(28) Whereas any processing of personal data must be lawful and fair to the individuals concerned; whereas, in particular, the data must be adequate, relevant and not excessive in relation to the purposes for which they are processed; whereas such purposes must be explicit and legitimate and must be determined at the time of collection of the data; whereas the purposes of processing further to collection shall not be incompatible with the purposes as they were originally specified;
|
(29) vzhledem k tomu, že následné zpracování osobních údajů pro historické, statistické nebo vědecké účely se obecně nepovažuje za neslučitelné s účely, pro které byly předtím údaje sbírány, za předpokladu, že členské státy poskytují vhodná ochranná opatření; že tato ochranná opatření musí zejména vyloučit využití údajů na podporu opatření nebo rozhodnutí přijatých vůči osobě;
|
|
(29) Whereas the further processing of personal data for historical, statistical or scientific purposes is not generally to be considered incompatible with the purposes for which the data have previously been collected provided that Member States furnish suitable safeguards; whereas these safeguards must in particular rule out the use of the data in support of measures or decisions regarding any particular individual;
|
(30) vzhledem k tomu, že zpracování osobních údajů musí být, aby bylo zákonné, také prováděno se souhlasem subjektu údajů nebo musí být nezbytné pro uzavření nebo plnění smlouvy zavazující subjekt údajů nebo pro dodržení povinnosti vyplývající z právních předpisů nebo pro splnění úkolu ve veřejném zájmu či vyplývajícího z výkonu veřejné moci nebo pro výkon právního zájmu fyzické či právnické osoby za podmínky, že zájmy nebo práva a svobody subjektu údajů nejsou převažující; že pro zajištění rovnováhy dotčených zájmů, při zaručení účinné soutěže, mohou členské státy zejména upřesnit podmínky, za kterých mohou být osobní údaje použity nebo sdělovány třetí osobě v rámci legitimní běžné podnikatelské činnosti společností a jiných subjektů; že členské státy mohou rovněž upřesnit podmínky, za kterých je možno sdělovat třetí osobě osobní údaje pro účely marketingu, ať už prováděného komerčně nebo charitativními organizacemi nebo jinými sdruženími či nadacemi, například politické povahy, při dodržení ustanovení umožňujících subjektu údajů vznést námitku proti zpracování údajů, které se ho týkají, aniž by mu vznikly náklady a aniž by musel uvádět důvody;
|
|
(30) Whereas, in order to be lawful, the processing of personal data must in addition be carried out with the consent of the data subject or be necessary for the conclusion or performance of a contract binding on the data subject, or as a legal requirement, or for the performance of a task carried out in the public interest or in the exercise of official authority, or in the legitimate interests of a natural or legal person, provided that the interests or the rights and freedoms of the data subject are not overriding; whereas, in particular, in order to maintain a balance between the interests involved while guaranteeing effective competition, Member States may determine the circumstances in which personal data may be used or disclosed to a third party in the context of the legitimate ordinary business activities of companies and other bodies; whereas Member States may similarly specify the conditions under which personal data may be disclosed to a third party for the purposes of marketing whether carried out commercially or by a charitable organization or by any other association or foundation, of a political nature for example, subject to the provisions allowing a data subject to object to the processing of data regarding him, at no cost and without having to state his reasons;
|
(31) vzhledem k tomu, že zpracování osobních údajů musí být rovněž považováno za zákonné, pokud je uskutečňováno s cílem chránit zájem důležitý pro život subjektu údajů;
|
|
(31) Whereas the processing of personal data must equally be regarded as lawful where it is carried out in order to protect an interest which is essential for the data subject's life;
|
(32) vzhledem k tomu, že by vnitrostátním právním předpisům měly určit, zda správce zabývající se úkolem vykonávaným ve veřejném zájmu nebo úkolem vyplývajícím z výkonu veřejné moci, musí být správním úřadem nebo jinou fyzickou nebo právnickou osobou podléhající veřejnému nebo soukromému právu, jako například profesním sdružením;
|
|
(32) Whereas it is for national legislation to determine whether the controller performing a task carried out in the public interest or in the exercise of official authority should be a public administration or another natural or legal person governed by public law, or by private law such as a professional association;
|
(33) vzhledem k tomu, že údaje, které svou povahou mohou porušit základní svobody nebo soukromí, by neměly být předmětem zpracování, pokud k tomu nedá subjekt údajů výslovný souhlas; že odchylky z tohoto zákazu nicméně musejí být jednoznačně stanoveny, aby se vyhovělo zvláštním potřebám, zejména pokud je zpracování těchto údajů prováděno k určitým lékařským účelům osobami, které podléhají povinnosti zachovávat profesní tajemství, nebo pro výkon povolených činností některých sdružení či nadací, jejichž cílem je umožnit výkon základních svobod;
|
|
(33) Whereas data which are capable by their nature of infringing fundamental freedoms or privacy should not be processed unless the data subject gives his explicit consent; whereas, however, derogations from this prohibition must be explicitly provided for in respect of specific needs, in particular where the processing of these data is carried out for certain health-related purposes by persons subject to a legal obligation of professional secrecy or in the course of legitimate activities by certain associations or foundations the purpose of which is to permit the exercise of fundamental freedoms;
|
(34) vzhledem k tomu, že členské státy musejí být rovněž oprávněny odchýlit se od zákazu zpracovávat kategorie citlivých údajů, pokud to opodstatňuje důležitý veřejný zájem v oblastech, jako je zdravotnictví a sociální péče - zejména pro zajištění kvality a rentability postupů používaných pro vyřizování nároků na plnění a služby v rámci zdravotního pojištění - a vědecký výzkum a veřejné statistiky; že jim nicméně přísluší, aby poskytly vhodná a zvláštní ochranná opatření na ochranu základních práv a soukromí jednotlivců;
|
|
(34) Whereas Member States must also be authorized, when justified by grounds of important public interest, to derogate from the prohibition on processing sensitive categories of data where important reasons of public interest so justify in areas such as public health and social protection - especially in order to ensure the quality and cost-effectiveness of the procedures used for settling claims for benefits and services in the health insurance system - scientific research and government statistics; whereas it is incumbent on them, however, to provide specific and suitable safeguards so as to protect the fundamental rights and the privacy of individuals;
|
(35) vzhledem k tomu, že zpracování osobních údajů orgány veřejné moci za účelem dosahování cílů stanovených ústavními předpisy nebo mezinárodním právem veřejným ve prospěch státem uznaných uznaných sdružení náboženské povahy se uskutečňuje z důležitých důvodů veřejného zájmu;
|
|
(35) Whereas, moreover, the processing of personal data by official authorities for achieving aims, laid down in constitutional law or international public law, of officially recognized religious associations is carried out on important grounds of public interest;
|
(36) vzhledem k tomu, že pokud v rámci činností spojených s volbami fungování demokratického systému v některých členských státech předpokládá, že politické strany shromažďují údaje týkající se politických názorů jednotlivců, může být zpracování těchto údajů povoleno z důvodu důležitého veřejného zájmu za podmínky, že jsou stanovena vhodná ochranná opatření;
|
|
(36) Whereas where, in the course of electoral activities, the operation of the democratic system requires in certain Member States that political parties compile data on people's political opinion, the processing of such data may be permitted for reasons of important public interest, provided that appropriate safeguards are established;
|
(37) vzhledem k tomu, že zpracování osobních údajů pro účely žurnalistiky nebo uměleckého či literárního vyjádření, zejména v audiovizuální oblasti, by mělo opravňovat k výjimce z některých ustanovení této směrnice nebo k jejich omezení v míře nezbytné pro vytvoření souladu základních práv jednotlivců se svobodou projevu, zejména se svobodou získávat nebo sdělovat informace tak, jak to zejména zaručuje článek 10 Evropské úmluvy o ochraně lidských práv a základních svobod; že tedy přísluší členským státům, aby pro účely udržování rovnováhy mezi základními právy stanovily nezbytné výjimky a omezení, pokud jde o obecná opatření týkající se oprávněnosti zpracování údajů, o opatření týkající se předávání údajů do třetích zemí a pravomocí orgánů dozoru, aniž by nicméně stanovily výjimky z opatření pro zajištění bezpečnosti zpracování; že by bylo rovněž vhodné svěřit alespoň příslušnému orgánu dozoru v této oblasti některé pravomoci dodatečně, které budou spočívat například v pravidelném zveřejňování zprávy nebo v předávání věcí soudním orgánům;
|
|
(37) Whereas the processing of personal data for purposes of journalism or for purposes of literary of artistic expression, in particular in the audiovisual field, should qualify for exemption from the requirements of certain provisions of this Directive in so far as this is necessary to reconcile the fundamental rights of individuals with freedom of information and notably the right to receive and impart information, as guaranteed in particular in Article 10 of the European Convention for the Protection of Human Rights and Fundamental Freedoms; whereas Member States should therefore lay down exemptions and derogations necessary for the purpose of balance between fundamental rights as regards general measures on the legitimacy of data processing, measures on the transfer of data to third countries and the power of the supervisory authority; whereas this should not, however, lead Member States to lay down exemptions from the measures to ensure security of processing; whereas at least the supervisory authority responsible for this sector should also be provided with certain ex-post powers, e.g. to publish a regular report or to refer matters to the judicial authorities;
|
(38) vzhledem k tomu, že korektní zpracování údajů předpokládá, že subjekty údajů jsou informovány o probíhajícím zpracování a že mají nárok, pokud jsou údaje získávány od nich, na přesné a úplné informace o okolnostech tohoto shromažďování;
|
|
(38) Whereas, if the processing of data is to be fair, the data subject must be in a position to learn of the existence of a processing operation and, where data are collected from him, must be given accurate and full information, bearing in mind the circumstances of the collection;
|
(39) vzhledem k tomu, že některá zpracování se týkají údajů, které správce neshromažďoval přímo od subjektu údajů; že navíc údaje mohou být legitimně sděleny třetí osobě, i když to nebylo předem stanoveno při získávání údajů od subjektu údajů; že ve všech těchto případech musí být subjekt údajů informován při zaznamenávání údajů nebo nejpozději když jsou údaje poprvé sdělovány třetí osobě;
|
|
(39) Whereas certain processing operations involve data which the controller has not collected directly from the data subject; whereas, furthermore, data can be legitimately disclosed to a third party, even if the disclosure was not anticipated at the time the data were collected from the data subject; whereas, in all these cases, the data subject should be informed when the data are recorded or at the latest when the data are first disclosed to a third party;
|
(40) vzhledem k tomu, že není ostatně nezbytné ukládat tuto povinnost, pokud je subjekt údajů již informován; že mimo jiné tato povinnost není stanovena, pokud je toto zaznamenávání nebo sdělení výslovně stanoveno zákonem nebo pokud není informování subjektu údajů možné nebo by vyžadovalo neúměrné úsilí, což může být případ zpracování pro historické, statistické či vědecké účely; že z tohoto hlediska je možno přihlédnout k počtu subjektů údajů, ke stáří údajů, jakož i k vyrovnávacím opatřením, která mohou být přijata;
|
|
(40) Whereas, however, it is not necessary to impose this obligation of the data subject already has the information; whereas, moreover, there will be no such obligation if the recording or disclosure are expressly provided for by law or if the provision of information to the data subject proves impossible or would involve disproportionate efforts, which could be the case where processing is for historical, statistical or scientific purposes; whereas, in this regard, the number of data subjects, the age of the data, and any compensatory measures adopted may be taken into consideration;
|
(41) vzhledem k tomu, že každá osoba musí mít možnost požívat práva na přístup k údajům, které se jí týkají a které jsou předmětem zpracování, aby se především přesvědčila o jejich přesnosti a o oprávněnosti jejich zpracování; že ze stejných důvodů musí mít každý subjekt údajů právo znát postup automatizovaného zpracování údajů, které se ho týkají, alespoň v případě automaticky přijímaných rozhodnutí uvedených v čl. 15 odst. 1; že toto právo nesmí narušovat obchodní tajemství ani duševní vlastnictví, zejména autorské právo chránící programové vybavení; že to nicméně nesmí vést k odmítnutí poskytnout veškeré informace subjektu údajů;
|
|
(41) Whereas any person must be able to exercise the right of access to data relating to him which are being processed, in order to verify in particular the accuracy of the data and the lawfulness of the processing; whereas, for the same reasons, every data subject must also have the right to know the logic involved in the automatic processing of data concerning him, at least in the case of the automated decisions referred to in Article 15 (1); whereas this right must not adversely affect trade secrets or intellectual property and in particular the copyright protecting the software; whereas these considerations must not, however, result in the data subject being refused all information;
|
(42) vzhledem k tomu, že členské státy mohou v zájmu subjektu údajů nebo za účelem ochrany práv a svobod druhých omezit právo na přístup a na informace; že mohou například upřesnit, že přístup k lékařským údajům může být zajištěn pouze prostřednictvím odborného zdravotnického pracovníka;
|
|
(42) Whereas Member States may, in the interest of the data subject or so as to protect the rights and freedoms of others, restrict rights of access and information; whereas they may, for example, specify that access to medical data may be obtained only through a health professional;
|
(43) vzhledem k tomu, že členské státy mohou omezit právo na přístup a na informace a některé povinnosti správce v míře nezbytné například pro zachování bezpečnosti státu, obrany, veřejné bezpečnosti, významného hospodářského nebo finančního zájmu členského státu nebo Evropské unie, pro vyšetřování a postihování trestných činů nebo porušení deontologických pravidel regulovaných povolání; že je vhodné uvést mezi výjimkami a omezeními monitorovací, inspekční či regulační úkoly nezbytné ve třech zmíněných oblastech, které se týkají veřejné bezpečnosti, hospodářských či finančních zájmů a trestního stíhání; že toto vyjmenování úkolů z těchto tří oblastí se nedotýká legitimity výjimek a omezení z důvodu bezpečnosti státu a obrany;
|
|
(43) Whereas restrictions on the rights of access and information and on certain obligations of the controller may similarly be imposed by Member States in so far as they are necessary to safeguard, for example, national security, defence, public safety, or important economic or financial interests of a Member State or the Union, as well as criminal investigations and prosecutions and action in respect of breaches of ethics in the regulated professions; whereas the list of exceptions and limitations should include the tasks of monitoring, inspection or regulation necessary in the three last-mentioned areas concerning public security, economic or financial interests and crime prevention; whereas the listing of tasks in these three areas does not affect the legitimacy of exceptions or restrictions for reasons of State security or defence;
|
(44) vzhledem k tomu, že členské státy mohou na základě práva Společenství přijmout výjimky z ustanovení této směrnice týkající se práva na přístup, povinnosti informovat osoby a kvality údajů, aby byly zachovány některé z výše uvedených cílů;
|
|
(44) Whereas Member States may also be led, by virtue of the provisions of Community law, to derogate from the provisions of this Directive concerning the right of access, the obligation to inform individuals, and the quality of data, in order to secure certain of the purposes referred to above;
|
(45) vzhledem k tomu, že v případech, kdy by údaje mohly být předmětem oprávněného zpracování z důvodu veřejného zájmu, výkonu veřejné správy nebo právního zájmu fyzické nebo právnické osoby, měl by nicméně každý dotčený subjekt mít právo podat ze závažných a legitimních důvodů týkajících se jeho zvláštní situace námitky proti tomu, aby údaje, které se jej týkají, byly předmětem zpracování; že členské státy mají nicméně možnost stanovit odchylné vnitrostátní předpisy;
|
|
(45) Whereas, in cases where data might lawfully be processed on grounds of public interest, official authority or the legitimate interests of a natural or legal person, any data subject should nevertheless be entitled, on legitimate and compelling grounds relating to his particular situation, to object to the processing of any data relating to himself; whereas Member States may nevertheless lay down national provisions to the contrary;
|
(46) vzhledem k tomu, že ochrana práv a svobod subjektů údajů v souvislosti se zpracováním osobních údajů vyžaduje, aby byla přijata příslušná technická a organizační opatření jak při přípravě systému zpracování, tak v průběhu vlastního zpracování, s cílem zajistit především bezpečnost a tím také zabránit jakémukoli neoprávněnému zpracování; že je povinností členskýchm států dbát na dodržování těchto opatření správci; že tato opatření musejí zajistit odpovídající úroveň bezpečnosti s ohledem na odbornou úroveň a náklady na jejich provedení v souvislosti s riziky vyplývajícími ze zpracování údajů a z povahy údajů, které mají být chráněny;
|
|
(46) Whereas the protection of the rights and freedoms of data subjects with regard to the processing of personal data requires that appropriate technical and organizational measures be taken, both at the time of the design of the processing system and at the time of the processing itself, particularly in order to maintain security and thereby to prevent any unauthorized processing; whereas it is incumbent on the Member States to ensure that controllers comply with these measures; whereas these measures must ensure an appropriate level of security, taking into account the state of the art and the costs of their implementation in relation to the risks inherent in the processing and the nature of the data to be protected;
|
(47) vzhledem k tomu, že pokud je zpráva obsahující osobní údaje předávána prostřednictvím telekomunikací nebo elektronickou poštou, jejichž jediným účelem je přenos zpráv tohoto typu, bude za správce ve vztahu k údajům obsaženým ve zprávě obvykle považována spíše osoba, která zprávu podává, nežli osoba, která nabízí službu pro její přenos; že nicméně osoby, které nabízejí tyto služby, jsou obvykle považovány za správce ve vztahu ke zpracování doplňujících osobních údajů nezbytných pro fungování služby;
|
|
(47) Whereas where a message containing personal data is transmitted by means of a telecommunications or electronic mail service, the sole purpose of which is the transmission of such messages, the controller in respect of the personal data contained in the message will normally be considered to be the person from whom the message originates, rather than the person offering the transmission services; whereas, nevertheless, those offering such services will normally be considered controllers in respect of the processing of the additional personal data necessary for the operation of the service;
|
(48) vzhledem k tomu, že cílem oznámení orgánu dozoru je zveřejnění účelu zpracování, jakož i jeho základních vlastností, aby byla umožněna kontrola jeho souladu s vnitrostátními předpisy přijatými k provedení této směrnice;
|
|
(48) Whereas the procedures for notifying the supervisory authority are designed to ensure disclosure of the purposes and main features of any processing operation for the purpose of verification that the operation is in accordance with the national measures taken under this Directive;
|
(49) vzhledem k tomu, že k vyloučení neodpovídajících správních formalit mohou členské státy zavést výjimky z oznamovací povinnosti a zjednodušení požadovaného oznámení v případech, kdy zpracování údajů nejsou způsobilá poškodit práva a svobody subjektů údajů, za podmínky, že jsou v souladu s opatřením členského státu, které upřesňuje příslušné meze; že členské státy mohou rovněž zavést výjimku nebo zjednodušení, pokud osoba určená správcem zaručuje, že prováděná zpracování nejsou způsobilá poškodit práva a svobody subjektů údajů; že osoba takto určená pro ochranu údajů, ať je zaměstnancem správce či nikoli, musí mít možnost vykonávat svou činnost zcela nezávisle;
|
|
(49) Whereas, in order to avoid unsuitable administrative formalities, exemptions from the obligation to notify and simplification of the notification required may be provided for by Member States in cases where processing is unlikely adversely to affect the rights and freedoms of data subjects, provided that it is in accordance with a measure taken by a Member State specifying its limits; whereas exemption or simplification may similarly be provided for by Member States where a person appointed by the controller ensures that the processing carried out is not likely adversely to affect the rights and freedoms of data subjects; whereas such a data protection official, whether or not an employee of the controller, must be in a position to exercise his functions in complete independence;
|
(50) vzhledem k tomu, že výjimka nebo zjednodušení mohou být zavedeny pro zpracování údajů, jejichž jediným účelem je vedení rejstříku určeného, s ohledem na vnitrostátní právo, pro informování veřejnosti, který je přístupný veřejnosti či jakékoli osobě, která osvědčí právní zájem;
|
|
(50) Whereas exemption or simplification could be provided for in cases of processing operations whose sole purpose is the keeping of a register intended, according to national law, to provide information to the public and open to consultation by the public or by any person demonstrating a legitimate interest;
|
(51) vzhledem k tomu, že výhoda zjednodušení nebo výjimka z oznamovací povinnosti nezbavují správce žádné další povinnosti vyplývající z této směrnice;
|
|
(51) Whereas, nevertheless, simplification or exemption from the obligation to notify shall not release the controller from any of the other obligations resulting from this Directive;
|
(52) vzhledem k tomu, že v této souvislosti dodatečná kontrola provedená příslušnými orgány musí být obecně považována za dostatečné opatření;
|
|
(52) Whereas, in this context, ex post facto verification by the competent authorities must in general be considered a sufficient measure;
|
(53) vzhledem k tomu, že některá zpracování mohou nicméně představovat zvláštní rizika pro práva a svobody subjektů údajů z důvodu jejich povahy, jejich dosahu nebo jejich účelů, jako například odnětí jednotlivci možnosti práva, plnění nebo smlouvu, nebo z důvodu zvláštního použití nové technologie; že členské státy, pokud si to přejí, upřesní ve svých právních předpisech tato rizika;
|
|
(53) Whereas, however, certain processing operation are likely to pose specific risks to the rights and freedoms of data subjects by virtue of their nature, their scope or their purposes, such as that of excluding individuals from a right, benefit or a contract, or by virtue of the specific use of new technologies; whereas it is for Member States, if they so wish, to specify such risks in their legislation;
|
(54) vzhledem k tomu, že s ohledem na veškerá zpracování, k nimž ve společnosti dochází, by měl být počet těch, která představují tato zvláštní rizika, omezen; že členské státy musejí zajistit, aby orgán dozoru nebo osoba určená pro ochranu údajů ve spolupráci s orgánem dozoru kontrolovaly takováto zpracování ještě před jejich uskutečněním; že na základě tohoto předběžného šetření může orgán dozoru v souladu s vnitrostátním právem, které se na něj vztahuje, zaujmout své stanovisko nebo vydat povolení ke zpracování údajů; že toto šetření může být rovněž uskutečněno během přípravy legislativního opatření vnitrostátního parlamentu nebo opatření založeného na tomto legislativním opatření, které vymezuje povahu zpracování a stanoví vhodná ochranná opatření;
|
|
(54) Whereas with regard to all the processing undertaken in society, the amount posing such specific risks should be very limited; whereas Member States must provide that the supervisory authority, or the data protection official in cooperation with the authority, check such processing prior to it being carried out; whereas following this prior check, the supervisory authority may, according to its national law, give an opinion or an authorization regarding the processing; whereas such checking may equally take place in the course of the preparation either of a measure of the national parliament or of a measure based on such a legislative measure, which defines the nature of the processing and lays down appropriate safeguards;
|
(55) vzhledem k tomu, že v případě nedodržování práv subjektů údajů správcem musí vnitrostátní právní předpisy stanovit opravné prostředky; že škody, které mohou vzniknout osobám v důsledku nepřípustného zpracování musí být nahrazeny správcem, který může být zproštěn své odpovědnosti, pokud prokáže, že vznik škody mu nelze přičítat, zejména pokud dokáže chybu subjektu údajů nebo v případě vyšší moci; že sankce se musí vztahovat na každou osobu soukromého nebo veřejného práva, která nedodržuje vnitrostátní předpisy přijaté na základě této směrnice;
|
|
(55) Whereas, if the controller fails to respect the rights of data subjects, national legislation must provide for a judicial remedy; whereas any damage which a person may suffer as a result of unlawful processing must be compensated for by the controller, who may be exempted from liability if he proves that he is not responsible for the damage, in particular in cases where he establishes fault on the part of the data subject or in case of force majeure; whereas sanctions must be imposed on any person, whether governed by private of public law, who fails to comply with the national measures taken under this Directive;
|
(56) vzhledem k tomu, že přeshraniční toky osobních údajů jsou nezbytné pro rozvoj mezinárodního obchodu; že ochrana osob zaručená ve Společenství touto směrnicí není v rozporu s předáváním osobních údajů do třetích zemí zajišťujících odpovídající úroveň ochrany; že odpovídající úroveň ochrany poskytovanou třetími zeměmi je třeba hodnotit z hlediska všech okolností souvisejících s předáním nebo předáváním;
|
|
(56) Whereas cross-border flows of personal data are necessary to the expansion of international trade; whereas the protection of individuals guaranteed in the Community by this Directive does not stand in the way of transfers of personal data to third countries which ensure an adequate level of protection; whereas the adequacy of the level of protection afforded by a third country must be assessed in the light of all the circumstances surrounding the transfer operation or set of transfer operations;
|
(57) vzhledem k tomu, že v případě, kdy třetí země naopak neposkytuje odpovídající úroveň ochrany, musí být předávání osobních údajů do této země zakázáno;
|
|
(57) Whereas, on the other hand, the transfer of personal data to a third country which does not ensure an adequate level of protection must be prohibited;
|
(58) vzhledem k tomu, že výjimky z tohoto zákazu mohou být stanoveny za určitých okolností, pokud subjekt údajů udělil svůj souhlas, pokud je předávání nezbytné v souvislosti se smlouvou anebo se soudním řízením, pokud to vyžaduje ochrana důležitého veřejného zájmu, například v případě mezinárodních předávání údajů mezi daňovými nebo celními orgány nebo mezi orgány příslušnými v oblasti sociálního zabezpečení nebo pokud je předávání prováděno z rejstříku zřízeného právními předpisy, přístupného veřejnosti nebo osobám, které osvědčí právní zájem; že v tomto případě by se takovéto předání nemělo týkat všech údajů ani celých kategorií údajů obsažených v tomto rejstříku; že v případě, že je rejstřík přístupný osobám, které osvědčí právní zájem, mělo by být předání uskutečněno pouze na žádost těchto osob nebo pokud jsou tyto osoby jejich příjemci;
|
|
(58) Whereas provisions should be made for exemptions from this prohibition in certain circumstances where the data subject has given his consent, where the transfer is necessary in relation to a contract or a legal claim, where protection of an important public interest so requires, for example in cases of international transfers of data between tax or customs administrations or between services competent for social security matters, or where the transfer is made from a register established by law and intended for consultation by the public or persons having a legitimate interest; whereas in this case such a transfer should not involve the entirety of the data or entire categories of the data contained in the register and, when the register is intended for consultation by persons having a legitimate interest, the transfer should be made only at the request of those persons or if they are to be the recipients;
|
(59) vzhledem k tomu, že mohou být přijata zvláštní opatření, aby došlo k odstranění nedostatků úrovně ochrany ve třetích zemích, pokud správce poskytne vhodná ochranná opatření; že mimo jiné musí být zavedeny postupy jednání mezi Společenstvím a dotčenými třetími zeměmi;
|
|
(59) Whereas particular measures may be taken to compensate for the lack of protection in a third country in cases where the controller offers appropriate safeguards; whereas, moreover, provision must be made for procedures for negotiations between the Community and such third countries;
|
(60) vzhledem k tomu, že v každém případě mohou být předání do třetích zemí uskutečňovány pouze při úplném dodržování předpisů přijatých členskými státy k provedení této směrnice, a zejména jejího článku 8;
|
|
(60) Whereas, in any event, transfers to third countries may be effected only in full compliance with the provisions adopted by the Member States pursuant to this Directive, and in particular Article 8 thereof;
|
(61) vzhledem k tomu, že členské státy a Komise v rámci svých pravomocí musí podněcovat profesní sdružení a jiné významné dotčené organizace, aby vypracovaly kodexy chování s cílem podpořit, s ohledem na zvláštní povahu zpracování v některých oblastech, provádění této směrnice při dodržování vnitrostátních předpisů přijatých k jejímu provedení;
|
|
(61) Whereas Member States and the Commission, in their respective spheres of competence, must encourage the trade associations and other representative organizations concerned to draw up codes of conduct so as to facilitate the application of this Directive, taking account of the specific characteristics of the processing carried out in certain sectors, and respecting the national provisions adopted for its implementation;
|
(62) vzhledem k tomu, že zřízení orgánů dozoru v členských státech vykonávajících zcela nezávisle své úkoly je zásadním prvkem ochrany osob v souvislosti se zpracováním osobních údajů;
|
|
(62) Whereas the establishment in Member States of supervisory authorities, exercising their functions with complete independence, is an essential component of the protection of individuals with regard to the processing of personal data;
|
(63) vzhledem k tomu, že tyto orgány musejí být vybaveny nezbytnými prostředky pro plnění svých úkolů, včetně pravomocí provádět šetření a zasahovat, zejména pokud jsou těmto orgánům podány stížnosti, nebo pravomoci obrátit se na soud; že musejí přispět k průhlednosti zpracování údajů prováděného v členském státu, kterému podléhají;
|
|
(63) Whereas such authorities must have the necessary means to perform their duties, including powers of investigation and intervention, particularly in cases of complaints from individuals, and powers to engage in legal proceedings; whereas such authorities must help to ensure transparency of processing in the Member States within whose jurisdiction they fall;
|
(64) vzhledem k tomu, že správní orgány v různých členských státech budou vyzvány, aby si vzájemně pomáhaly při provádění svých úkolů s cílem zajistit dodržování pravidel ochrany v celé Evropské unii;
|
|
(64) Whereas the authorities in the different Member States will need to assist one another in performing their duties so as to ensure that the rules of protection are properly respected throughout the European Union;
|
(65) vzhledem k tomu, že na úrovni Společenství musí být zřízena Pracovní skupina pro ochranu fyzických osob v souvislosti se zpracováním osobních údajů a že musí tyto úkoly plnit zcela nezávisle; že s přihlédnutím ke své zvláštní povaze musí poskytovat rady Komisi a zejména přispívat k jednotnému provádění vnitrostátních předpisů přijatých na základě této směrnice;
|
|
(65) Whereas, at Community level, a Working Party on the Protection of Individuals with regard to the Processing of Personal Data must be set up and be completely independent in the performance of its functions; whereas, having regard to its specific nature, it must advise the Commission and, in particular, contribute to the uniform application of the national rules adopted pursuant to this Directive;
|
(66) vzhledem k tomu, že pokud jde o předávání údajů do třetích zemí, vyžaduje uplatňování této směrnice, aby Komisi byla udělena výkonná pravomoc a aby byl určen postup způsobem uvedeným v rozhodnutí Rady 87/373/EHS [4];
|
|
(66) Whereas, with regard to the transfer of data to third countries, the application of this Directive calls for the conferment of powers of implementation on the Commission and the establishment of a procedure as laid down in Council Decision 87/373/EEC (1);
|
(67) vzhledem k tomu, že dne 20. prosince 1994 došlo k dohodě mezi Evropským parlamentem, Radou a Komisí o modu vivendi o prováděcích opatřeních aktů přijatých postupem podle článku 189b Smlouvy;
|
|
(67) Whereas an agreement on a modus vivendi between the European Parliament, the Council and the Commission concerning the implementing measures for acts adopted in accordance with the procedure laid down in Article 189b of the EC Treaty was reached on 20 December 1994;
|
(68) vzhledem k tomu, že zásady uvedené v této směrnici, které upravují ochranu práv a svobod osob, zejména práva na soukromí, v souvislosti se zpracováním osobních údajů, mohou být upřesněny nebo doplněny, zejména pro některé oblasti, zvláštními předpisy odpovídajícími těmto zásadám;
|
|
(68) Whereas the principles set out in this Directive regarding the protection of the rights and freedoms of individuals, notably their right to privacy, with regard to the processing of personal data may be supplemented or clarified, in particular as far as certain sectors are concerned, by specific rules based on those principles;
|
(69) vzhledem k tomu, že je vhodné nechat členským státům lhůtu, která nesmí překročit tři roky od nabytí účinnosti vnitrostátních opatření provádějících tuto směrnici, aby měly možnost postupně uplatňovat na všechna již probíhající zpracování údajů nové výše zmíněné vnitrostátní předpisy; že pro zajištění hospodárnosti provádění těchto předpisů bude členským státům poskytnuta další lhůta, která uplyne dvanáct let po přijetí této směrnice, pro zajištění souladu stávajících manuálních rejstříků s některými ustanoveními této směrnice; že pokud jsou údaje obsažené v těchto rejstřících během tohoto rozšířeného přechodného období zpracovávány manuálně, musí být uvedení do souladu s těmito ustanoveními provedeno v okamžiku provádění tohoto zpracování;
|
|
(69) Whereas Member States should be allowed a period of not more than three years from the entry into force of the national measures transposing this Directive in which to apply such new national rules progressively to all processing operations already under way; whereas, in order to facilitate their cost-effective implementation, a further period expiring 12 years after the date on which this Directive is adopted will be allowed to Member States to ensure the conformity of existing manual filing systems with certain of the Directive's provisions; whereas, where data contained in such filing systems are manually processed during this extended transition period, those systems must be brought into conformity with these provisions at the time of such processing;
|
(70) vzhledem k tomu, že není nutné, aby subjekt údajů udělil správci nový souhlas, aby mohl po nabytí účinnosti vnitrostátních předpisů přijatých k provedení této směrnice pokračovat ve zpracování citlivých údajů nezbytných k provedení smlouvy uzavřené na základě svobodného a vědomého souhlasu před nabytím účinnosti výše zmíněných ustanovení;
|
|
(70) Whereas it is not necessary for the data subject to give his consent again so as to allow the controller to continue to process, after the national provisions taken pursuant to this Directive enter into force, any sensitive data necessary for the performance of a contract concluded on the basis of free and informed consent before the entry into force of these provisions;
|
(71) vzhledem k tomu, že tato směrnice nebrání tomu, aby členský stát upravil činnosti v oblasti marketingu zaměřeného na spotřebitele, kteří mají bydliště na jeho území, pokud se tato úprava netýká ochrany osob v souvislosti se zpracováním osobních údajů;
|
|
(71) Whereas this Directive does not stand in the way of a Member State's regulating marketing activities aimed at consumers residing in territory in so far as such regulation does not concern the protection of individuals with regard to the processing of personal data;
|
(72) vzhledem k tomu, že tato směrnice při provádění zásad v ní stanovených umožňuje vzít v úvahu zásadu práva na přístup veřejnosti k úředním dokumentům,
|
|
(72) Whereas this Directive allows the principle of public access to official documents to be taken into account when implementing the principles set out in this Directive,
|
PŘIJALY TUTO SMĚRNICI:
|
|
HAVE ADOPTED THIS DIRECTIVE:
|
KAPITOLA I
|
|
|
OBECNÁ USTANOVENÍ
|
|
|
Článek 1
|
|
CHAPTER I GENERAL PROVISIONS
|
Předmět směrnice
|
|
|
1. Členské státy zajišťují v souladu s touto směrnicí ochranu základních práv a svobod fyzických osob, zejména jejich soukromí, v souvislosti se zpracováním osobních údajů.
|
|
Article 1
|
2. Členské státy nemohou omezit ani zakázat volný pohyb osobních údajů mezi členskými státy z důvodů ochrany zajištěné podle odstavce 1.
|
|
Object of the Directive
|
Článek 2
|
|
1. In accordance with this Directive, Member States shall protect the fundamental rights and freedoms of natural persons, and in particular their right to privacy with respect to the processing of personal data.
|
Definice
|
|
2. Member States shall neither restrict nor prohibit the free flow of personal data between Member States for reasons connected with the protection afforded under paragraph 1.
|
Pro účely této směrnice se rozumí:
|
|
|
a) "osobními údaji" veškeré informace o identifikované nebo identifikovatelné osobě (subjekt údajů); identifikovatelnou osobou se rozumí osoba, kterou lze přímo či nepřímo identifikovat, zejména s odkazem na identifikační číslo nebo na jeden či více zvláštních prvků její fyzické, fyziologické, psychické, ekonomické, kulturní nebo sociální identity;
|
|
Article 2
|
b) "zpracováním osobních údajů" ("zpracování") jakýkoli úkon nebo soubor úkonů s osobními údaji, které jsou prováděny pomocí či bez pomoci automatizovaných postupů, jako je shromažďování, zaznamenávání, uspořádávání, uchovávání, přizpůsobování nebo pozměňování, vyhledávání, konzultace, použití, sdělení prostřednictvím přenosu, šíření nebo jakékoli jiné zpřístupnění, srovnání či kombinování, jakož i blokování, výmaz nebo likvidace;
|
|
Definitions
|
c) "rejstříkem osobních údajů" ("rejstřík") jakýkoli uspořádaný soubor osobních údajů přístupných podle určených kritérií, ať již je tento soubor centralizován, decentralizován nebo rozdělen podle funkčního či zeměpisného hlediska;
|
|
For the purposes of this Directive:
|
d) "správcem" fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jakýkoli jiný subjekt, který sám nebo společně s jinými určuje účel a prostředky zpracování osobních údajů; jsou-li účel a prostředky zpracování určeny právními a správními předpisy na úrovni jednotlivých států či Společenství, je možné určit správce nebo zvláštní kritéria pro jeho určení právem jednotlivých států nebo Společenství;
|
|
(a) 'personal data' shall mean any information relating to an identified or identifiable natural person ('data subject'); an identifiable person is one who can be identified, directly or indirectly, in particular by reference to an identification number or to one or more factors specific to his physical, physiological, mental, economic, cultural or social identity;
|
e) "zpracovatelem" fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jakýkoli jiný subjekt, který zpracovává osobní údaje pro správce;
|
|
(b) 'processing of personal data' ('processing') shall mean any operation or set of operations which is performed upon personal data, whether or not by automatic means, such as collection, recording, organization, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, blocking, erasure or destruction;
|
f) "třetí osobou" fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jakýkoli jiný subjekt jiný než subjekt údajů, než správce, než zpracovatel a než osoby přímo podléhající správci nebo zpracovateli, které jsou oprávněny ke zpracování údajů;
|
|
(c) 'personal data filing system' ('filing system') shall mean any structured set of personal data which are accessible according to specific criteria, whether centralized, decentralized or dispersed on a functional or geographical basis;
|
g) "příjemcem" fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jakýkoli jiný subjekt, kterým jsou údaje sdělovány, ať se jedná či nikoli o třetí osobu; orgány, které mohou získávat údaje v rámci zvláštního šetření, však nejsou považovány za příjemce;
|
|
(d) 'controller' shall mean the natural or legal person, public authority, agency or any other body which alone or jointly with others determines the purposes and means of the processing of personal data; where the purposes and means of processing are determined by national or Community laws or regulations, the controller or the specific criteria for his nomination may be designated by national or Community law;
|
h) "souhlasem subjektu údajů" jakýkoli svobodný, výslovný a vědomý projev vůle, kterým subjekt údajů dává své svolení k tomu, aby osobní údaje, které se jej týkají, byly předmětem zpracování.
|
|
(e) 'processor' shall mean a natural or legal person, public authority, agency or any other body which processes personal data on behalf of the controller;
|
Článek 3
|
|
(f) 'third party' shall mean any natural or legal person, public authority, agency or any other body other than the data subject, the controller, the processor and the persons who, under the direct authority of the controller or the processor, are authorized to process the data;
|
Oblast působnosti
|
|
(g) 'recipient' shall mean a natural or legal person, public authority, agency or any other body to whom data are disclosed, whether a third party or not; however, authorities which may receive data in the framework of a particular inquiry shall not be regarded as recipients;
|
1. Tato směrnice se vztahuje na zcela nebo částečně automatizované zpracování osobních údajů, jakož i na neautomatizované zpracování osobních údajů, které jsou obsaženy v rejstříku nebo do něj mají být zařazeny.
|
|
(h) 'the data subject's consent' shall mean any freely given specific and informed indication of his wishes by which the data subject signifies his agreement to personal data relating to him being processed.
|
2. Tato směrnice se nevztahuje na zpracování osobních údajů:
|
|
|
- prováďěné pro výkon činností, které nespadají do oblasti působnosti práva Společenství a jsou uvedeny v hlavě V a VI Smlouvy o Evropské unii, a v každém případě na zpracování, které se týká veřejné bezpečnosti, obrany, bezpečnosti státu (včetně hospodářské stability státu, pokud jsou tato zpracování spojená s otázkami bezpečnosti státu) a činnosti státu v oblasti trestního práva,
|
|
Article 3
|
- prováděné fyzickou osobou pro výkon výlučně osobních či domácích činností.
|
|
Scope
|
Článek 4
|
|
1. This Directive shall apply to the processing of personal data wholly or partly by automatic means, and to the processing otherwise than by automatic means of personal data which form part of a filing system or are intended to form part of a filing system.
|
Použitelné vnitrostátní právo
|
|
2. This Directive shall not apply to the processing of personal data:
|
1. Každý členský stát použije na zpracování osobních údajů vnitrostátní ustanovení, která přijme na základě této směrnice, pokud:
|
|
- in the course of an activity which falls outside the scope of Community law, such as those provided for by Titles V and VI of the Treaty on European Union and in any case to processing operations concerning public security, defence, State security (including the economic well-being of the State when the processing operation relates to State security matters) and the activities of the State in areas of criminal law,
|
a) zpracování je prováděno v rámci činností provozovny správce na území členského státu; pokud je stejný správce usazen na území několika členských států, musí přijmout opatření nezbytná pro dodržování povinností stanovených použitelným vnitrostátním právem každou ze svých provozoven;
|
|
- by a natural person in the course of a purely personal or household activity.
|
b) správce není usazen na území členského státu, ale v místě, kde se vnitrostátní právní předpisy daného členského státu platňují na základě mezinárodního práva veřejného;
|
|
|
c) správce není usazen na území Společenství a používá za účelem zpracování osobních údajů prostředků, automatizovaných či nikoli, umístěných na území zmíněného členského státu, ledaže jsou tyto prostředky použity pouze pro účely tranzitu přes území Společenství.
|
|
Article 4
|
2. V případě uvedeném v odst. 1 písm. c) správce musí určit zástupce usazeného na území zmíněného členského státu, aniž je tím dotčena možnost podniknout právní kroky proti správci samotnému.
|
|
National law applicable
|
KAPITOLA II
|
|
1. Each Member State shall apply the national provisions it adopts pursuant to this Directive to the processing of personal data where:
|
OBECNÉ PODMÍNKY PRO ZÁKONNOST ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ
|
|
(a) the processing is carried out in the context of the activities of an establishment of the controller on the territory of the Member State; when the same controller is established on the territory of several Member States, he must take the necessary measures to ensure that each of these establishments complies with the obligations laid down by the national law applicable;
|
Článek 5
|
|
(b) the controller is not established on the Member State's territory, but in a place where its national law applies by virtue of international public law;
|
Členské státy upřesní v mezích ustanovení této kapitoly podmínky, za kterých je zpracovávání osobních údajů zákonné.
|
|
(c) the controller is not established on Community territory and, for purposes of processing personal data makes use of equipment, automated or otherwise, situated on the territory of the said Member State, unless such equipment is used only for purposes of transit through the territory of the Community.
|
ODDÍL I
|
|
2. In the circumstances referred to in paragraph 1 (c), the controller must designate a representative established in the territory of that Member State, without prejudice to legal actions which could be initiated against the controller himself.
|
ZÁSADY PRO KVALITU ÚDAJŮ
|
|
|
Článek 6
|
|
CHAPTER II GENERAL RULES ON THE LAWFULNESS OF THE PROCESSING OF PERSONAL DATA
|
1. Členské státy stanoví, že osobní údaje musejí být:
|
|
|
a) zpracovány korektně a zákonným způsobem;
|
|
Article 5
|
b) shromažďovány pro stanovené účely, výslovně vyjádřené a legitimní, a nesmějí být dále zpracovávány způsobem neslučitelným s těmito účely. Další zpracování pro historické, statistické nebo vědecké účely není považováno za neslučitelné, pokud členské státy poskytnou vhodná ochranná opatření;
|
|
Member States shall, within the limits of the provisions of this Chapter, determine more precisely the conditions under which the processing of personal data is lawful.
|
c) přiměřené, podstatné a nepřesahující míru s ohledem na účely, pro které jsou shromažďovány a/nebo dále zpracovávány;
|
|
SECTION I
|
d) přesné, a je-li to nezbytné, i aktualizované; musí být přijata veškerá rozumná opatření, aby nepřesné nebo neúplné údaje s ohledem na účely, pro které byly shromažďovány nebo dále zpracovávány, byly vymazány nebo opraveny;
|
|
PRINCIPLES RELATING TO DATA QUALITY
|
e) uchovávány ve formě umožňující identifikaci subjektů údajů po dobu ne delší než je nezbytné pro uskutečnění cílů, pro které jsou shromažďovány nebo dále zpracovávány. Členské státy stanoví vhodná ochranná opatření pro osobní údaje, které jsou uchovávány po dobu delší než je uvedeno výše pro historické, statistické či vědecké účely.
|
|
|
2. Dodržování odstavce 1 zajistí správce.
|
|
Article 6
|
ODDÍL II
|
|
1. Member States shall provide that personal data must be:
|
ZÁSADY PRO OPRÁVNĚNÉ ZPRACOVÁNÍ ÚDAJŮ
|
|
(a) processed fairly and lawfully;
|
Článek 7
|
|
(b) collected for specified, explicit and legitimate purposes and not further processed in a way incompatible with those purposes. Further processing of data for historical, statistical or scientific purposes shall not be considered as incompatible provided that Member States provide appropriate safeguards;
|
Členské státy stanoví, že zpracování osobních údajů může být provedeno pouze pokud:
|
|
(c) adequate, relevant and not excessive in relation to the purposes for which they are collected and/or further processed;
|
a) subjekt údajů nezpochybnitelně udělil souhlas; nebo
|
|
(d) accurate and, where necessary, kept up to date; every reasonable step must be taken to ensure that data which are inaccurate or incomplete, having regard to the purposes for which they were collected or for which they are further processed, are erased or rectified;
|
b) je zpracování nezbytné pro splnění smlouvy, kde je subjekt údajů jednou ze stran, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu; nebo
|
|
(e) kept in a form which permits identification of data subjects for no longer than is necessary for the purposes for which the data were collected or for which they are further processed. Member States shall lay down appropriate safeguards for personal data stored for longer periods for historical, statistical or scientific use.
|
c) je nezbytné pro splnění právní povinnosti, které podléhá správce; nebo
|
|
2. It shall be for the controller to ensure that paragraph 1 is complied with.
|
d) je nezbytné pro zachování životně důležitých zájmů subjektu údajů; nebo
|
|
SECTION II
|
e) je nezbytné pro vykonání úkolu ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce nebo třetí osoba, které jsou údaje sdělovány; nebo
|
|
CRITERIA FOR MAKING DATA PROCESSING LEGITIMATE
|
f) je nezbytné pro uskutečnění oprávněných zájmů správce nebo třetí osoby či osob, kterým jsou údaje sdělovány, za podmínky, že nepřevyšují zájem nebo základní práva a svobody subjektu údajů, které vyžadují ochranu podle čl. 1 odst. 1.
|
|
|
ODDÍL III
|
|
Article 7
|
ZVLÁŠTNÍ KATEGORIE ZPRACOVÁNÍ
|
|
Member States shall provide that personal data may be processed only if:
|
Článek 8
|
|
(a) the data subject has unambiguously given his consent; or
|
Zpracování zvláštních kategorií údajů
|
|
(b) processing is necessary for the performance of a contract to which the data subject is party or in order to take steps at the request of the data subject prior to entering into a contract; or
|
1. Členské státy zakáží zpracování osobních údajů, které odhalují rasový či etnický původ, politické názory, náboženské nebo filozofické přesvědčení, odborovou příslušnost, jakož i zpracování údajů týkajících se zdraví a sexuálního života.
|
|
(c) processing is necessary for compliance with a legal obligation to which the controller is subject; or
|
2. Odstavec 1 se nepoužije, pokud:
|
|
(d) processing is necessary in order to protect the vital interests of the data subject; or
|
a) subjekt údajů udělí výslovný souhlas k takovému zpracování, ledaže právní předpisy členského státu stanoví, že zákaz uvedený v odstavci 1 nelze zrušit udělením souhlasu subjektu údajů; nebo
|
|
(e) processing is necessary for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller or in a third party to whom the data are disclosed; or
|
b) zpracování je nezbytné pro dodržení povinností a zvláštních práv správce v oblasti pracovního práva, pokud je k tomu oprávněn vnitrostátními právními předpisy, které stanoví příslušná ochranná opatření; nebo
|
|
(f) processing is necessary for the purposes of the legitimate interests pursued by the controller or by the third party or parties to whom the data are disclosed, except where such interests are overridden by the interests for fundamental rights and freedoms of the data subject which require protection under Article 1 (1).
|
c) zpracování je nezbytné k obraně životně důležitých zájmů subjektu údajů nebo jiné osoby v případě, že subjekt údajů není fyzicky nebo právně způsobilý udělit svůj souhlas; nebo
|
|
SECTION III
|
d) zpracování provádí v rámci jejich legitimních činností a s odpovídajícími zárukami nadace, sdružení nebo jakýkoli jiný neziskový subjekt, který sleduje politické, filozofické, náboženské nebo odborové cíle, za podmínky, že se zpracování vztahuje pouze na členy tohoto subjektu nebo na osoby, které s ním udržují pravidelné styky související s jeho cíly, a že tyto údaje nejsou sdělovány třetím osobám bez souhlasu subjektu údajů; nebo
|
|
SPECIAL CATEGORIES OF PROCESSING
|
e) zpracování se týká údajů očividně zveřejňovaných subjektem údajů nebo je nezbytné pro zjištění, uplatnění nebo obranu právních nároků před soudem.
|
|
|
3. Odstavec 1 se nepoužije, je-li zpracování údajů nezbytné pro účely zdravotní prevence, lékařských diagnóz, lékařské péče a ošetřování nebo správy zdravotnických služeb a pokud tyto údaje zpracovává odborný zdravotnický pracovník, který je na základě vnitrostátního práva nebo právních předpisů přijatých příslušnými vnitrostátními orgány vázán povinností zachovávat profesní tajemství, nebo jiná osoba rovněž podléhající obdobné povinnosti mlčenlivosti.
|
|
Article 8
|
4. Jsou-li poskytnuta vhodná ochranná opatření, mohou členské státy stanovit z důvodu významného veřejného zájmu i jiné výjimky, než jaké jsou stanoveny v odstavci 2 buď prostřednictvím vnitrostátních právních předpisů, nebo rozhodnutím orgánu dozoru.
|
|
The processing of special categories of data
|
5. Zpracování údajů týkajících se protiprávního jednání, rozsudků v trestních věcech nebo bezpečnostních opatření lze provádět pouze pod kontrolou orgánu veřejné moci nebo pokud vnitrostátní právo stanoví vhodná zvláštní ochranná opatření, s výhradou výjimek, které mohou být uděleny členským státem na základě vnitrostátních předpisů upravujících vhodná zvláštní ochranná opatření. Úplná sbírka rozsudků v trestních věcech musí být v každém případě vedena pod kontrolou orgánu veřejné moci.
|
|
1. Member States shall prohibit the processing of personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, trade-union membership, and the processing of data concerning health or sex life.
|
Členské státy mohou stanovit, že údaje týkající se správních sankcí nebo rozsudků v občanských věcech budou rovněž zpracovávány pod kontrolou orgánu veřejné moci.
|
|
2. Paragraph 1 shall not apply where:
|
6. Odchylky z odstavce 1 stanovené v odstavcích 4 a 5 se oznamují Komisi.
|
|
(a) the data subject has given his explicit consent to the processing of those data, except where the laws of the Member State provide that the prohibition referred to in paragraph 1 may not be lifted by the data subject's giving his consent; or
|
7. Členské státy určí podmínky, za kterých může být předmětem zpracování vnitrostátní identifikační číslo nebo jakýkoli jiný identifikátor obecného významu.
|
|
(b) processing is necessary for the purposes of carrying out the obligations and specific rights of the controller in the field of employment law in so far as it is authorized by national law providing for adequate safeguards; or
|
Článek 9
|
|
(c) processing is necessary to protect the vital interests of the data subject or of another person where the data subject is physically or legally incapable of giving his consent; or
|
Zpracování osobních údajů a svoboda projevu
|
|
(d) processing is carried out in the course of its legitimate activities with appropriate guarantees by a foundation, association or any other non-profit-seeking body with a political, philosophical, religious or trade-union aim and on condition that the processing relates solely to the members of the body or to persons who have regular contact with it in connection with its purposes and that the data are not disclosed to a third party without the consent of the data subjects; or
|
Členské státy stanoví pro zpracování osobních údajů prováděné výlučně pro účely žurnalistiky nebo uměleckého či literárního projevu, odchylky a výjimky z této kapitoly a z kapitol IV a VI, pouze pokud se ukáží jako nezbytné pro uvedení práva na soukromí do souladu s předpisy upravujícími svobodu projevu.
|
|
(e) the processing relates to data which are manifestly made public by the data subject or is necessary for the establishment, exercise or defence of legal claims.
|
ODDÍL IV
|
|
3. Paragraph 1 shall not apply where processing of the data is required for the purposes of preventive medicine, medical diagnosis, the provision of care or treatment or the management of health-care services, and where those data are processed by a health professional subject under national law or rules established by national competent bodies to the obligation of professional secrecy or by another person also subject to an equivalent obligation of secrecy.
|
INFORMOVÁNÍ SUBJEKTU ÚDAJŮ
|
|
4. Subject to the provision of suitable safeguards, Member States may, for reasons of substantial public interest, lay down exemptions in addition to those laid down in paragraph 2 either by national law or by decision of the supervisory authority.
|
Článek 10
|
|
5. Processing of data relating to offences, criminal convictions or security measures may be carried out only under the control of official authority, or if suitable specific safeguards are provided under national law, subject to derogations which may be granted by the Member State under national provisions providing suitable specific safeguards. However, a complete register of criminal convictions may be kept only under the control of official authority.
|
Informování v případě shromažďování údajů od subjektu údajů
|
|
Member States may provide that data relating to administrative sanctions or judgements in civil cases shall also be processed under the control of official authority.
|
Členské státy stanoví, že správce nebo jeho zástupce musí poskytnout osobě, od které získává údaje, které se jí týkají, alespoň dále uvedené informace, ledaže s nimi subjekt údajů již byl seznámen:
|
|
6. Derogations from paragraph 1 provided for in paragraphs 4 and 5 shall be notified to the Commission.
|
a) totožnost správce a popřípadě jeho zástupce;
|
|
7. Member States shall determine the conditions under which a national identification number or any other identifier of general application may be processed.
|
b) účely zpracování, pro které jsou údaje určeny;
|
|
|
c) veškeré doplňující informace jako:
|
|
Article 9
|
- příjemci nebo kategorie příjemců údajů,
|
|
Processing of personal data and freedom of expression
|
- skutečnost, zda jsou odpovědi na otázky povinné nebo dobrovolné a případné důsledky neposkytnutí odpovědi,
|
|
Member States shall provide for exemptions or derogations from the provisions of this Chapter, Chapter IV and Chapter VI for the processing of personal data carried out solely for journalistic purposes or the purpose of artistic or literary expression only if they are necessary to reconcile the right to privacy with the rules governing freedom of expression.
|
- existence práva na přístup k údajům, které se subjektu údajů týkají, a právo na jejich opravu,
|
|
SECTION IV
|
v míře, v jaké jsou tyto doplňující informace nezbytné pro zajištění řádného zpracování údajů vůči subjektu údajů, s ohledem na zvláštní okolnosti, za jakých jsou údaje shromažďovány.
|
|
INFORMATION TO BE GIVEN TO THE DATA SUBJECT
|
Článek 11
|
|
|
Informování v případě, že údaje neposkytuje subjekt údajů
|
|
Article 10
|
1. Pokud údaje neposkytuje subjekt údajů, stanoví členské státy, že správce nebo jeho zástupce musí po zaznamenání údajů nebo, počítá-li se se sdělením údajů třetí osobě, nejpozději při jejich prvním sdělení poskytnout subjektu údajů alespoň dále uvedené informace, ledaže s nimi subjekt údajů již byl seznámen:
|
|
Information in cases of collection of data from the data subject
|
- totožnost správce, popřípadě jeho zástupce;
|
|
Member States shall provide that the controller or his representative must provide a data subject from whom data relating to himself are collected with at least the following information, except where he already has it:
|
- účely zpracování;
|
|
(a) the identity of the controller and of his representative, if any;
|
- veškeré doplňující informace jako:
|
|
(b) the purposes of the processing for which the data are intended;
|
- kategorie dotčených údajů;
|
|
(c) any further information such as
|
- příjemci nebo kategorie příjemců údajů;
|
|
- the recipients or categories of recipients of the data,
|
- existence práva na přístup k údajům, které se subjektu údajů týkají, a právo na jejich opravu,
|
|
- whether replies to the questions are obligatory or voluntary, as well as the possible consequences of failure to reply,
|
v míře, v jaké jsou tyto doplňující informace nezbytné pro zajištění řádného zpracování údajů vůči subjektu údajů s ohledem na zvláštní okolnosti, za jakých jsou údaje shromažďovány.
|
|
- the existence of the right of access to and the right to rectify the data concerning him
|
2. Odstavec 1 se nepoužije, ukáže-li se, zejména u zpracování pro účely statistiky nebo historických či vědeckých výzkumů, že informování subjektu údajů není možné nebo by vyžadovalo neúměrné úsilí, nebo pokud právní předpisy výslovně upravují zaznamenávání nebo sdělování údajů. V těchto případech členské státy stanoví vhodná ochranná opatření.
|
|
in so far as such further information is necessary, having regard to the specific circumstances in which the data are collected, to guarantee fair processing in respect of the data subject.
|
ODDÍL V
|
|
|
PRÁVO SUBJEKTU ÚDAJŮ NA PŘÍSTUP K ÚDAJŮM
|
|
Article 11
|
Článek 12
|
|
Information where the data have not been obtained from the data subject
|
Právo na přístup
|
|
1. Where the data have not been obtained from the data subject, Member States shall provide that the controller or his representative must at the time of undertaking the recording of personal data or if a disclosure to a third party is envisaged, no later than the time when the data are first disclosed provide the data subject with at least the following information, except where he already has it:
|
Členské státy zaručí každému subjektu údajů právo získat od správce:
|
|
(a) the identity of the controller and of his representative, if any;
|
a) bez omezení, v rozumných intervalech a bez prodlení nebo nadměrných nákladů:
|
|
(b) the purposes of the processing;
|
- potvrzení, že údaje, které se ho týkají, jsou či nejsou zpracovávány, jakož i informace týkající se alespoň účelů zpracování, kategorií údajů, na které se zpracování vztahuje, a příjemců nebo kategorií příjemců, kterým jsou údaje sdělovány,
|
|
(c) any further information such as
|
- sdělení srozumitelnou formou o údajích, které jsou předmětem zpracování, a veškeré dostupné informace o původu údajů,
|
|
- the categories of data concerned,
|
- oznámení postupu automatického zpracování údajů, které se ho týkají, alespoň v případě automaticky přijímaných rozhodnutí uvedených v čl. 15 odst. 1;
|
|
- the recipients or categories of recipients,
|
b) podle daného případu opravu, výmaz nebo blokování údajů, jejichž zpracování není v souladu s touto směrnicí, zejména z důvodů neúplné nebo nepřesné povahy údajů;
|
|
- the existence of the right of access to and the right to rectify the data concerning him
|
c) oznámení třetí osobě, které údaje byly sděleny, veškerých oprav, výmazů nebo blokování provedeného v souladu s písmenem b), pokud se to neukáže jako nemožné nebo to nevyžaduje nepřiměřené úsilí.
|
|
in so far as such further information is necessary, having regard to the specific circumstances in which the data are processed, to guarantee fair processing in respect of the data subject.
|
ODDÍL VI
|
|
2. Paragraph 1 shall not apply where, in particular for processing for statistical purposes or for the purposes of historical or scientific research, the provision of such information proves impossible or would involve a disproportionate effort or if recording or disclosure is expressly laid down by law. In these cases Member States shall provide appropriate safeguards.
|
VÝJIMKY A OMEZENÍ
|
|
SECTION V
|
Článek 13
|
|
THE DATA SUBJECT'S RIGHT OF ACCESS TO DATA
|
Výjimky a omezení
|
|
|
1. Členské státy mohou přijmout legislativní opatření s cílem omezit rozsah povinností a práv uvedených v čl. 6 odst. 1, v článku 10, v čl. 11 odst. 1 a v článcích 12 a 21, pokud toto omezení představuje opatření nezbytné pro zajištění:
|
|
Article 12
|
a) bezpečnosti státu;
|
|
Right of access
|
b) obrany;
|
|
Member States shall guarantee every data subject the right to obtain from the controller:
|
c) veřejné bezpečnosti;
|
|
(a) without constraint at reasonable intervals and without excessive delay or expense:
|
d) předcházení trestným činům a jejich vyšetřování, odhalování a stíhání nebo nedodržování deontologických pravidel pro regulovaná povolání;
|
|
- confirmation as to whether or not data relating to him are being processed and information at least as to the purposes of the processing, the categories of data concerned, and the recipients or categories of recipients to whom the data are disclosed,
|
e) významného hospodářského nebo finančního zájmu členského státu nebo Evropské unie včetně měnové, rozpočtové a daňové oblasti;
|
|
- communication to him in an intelligible form of the data undergoing processing and of any available information as to their source,
|
f) kontrolní, inspekční nebo regulační funkce vyplývající, i pouze příležitostně, z výkonu veřejné moci v případech uvedených v písmenech c), d) a e);
|
|
- knowledge of the logic involved in any automatic processing of data concerning him at least in the case of the automated decisions referred to in Article 15 (1);
|
g) ochrany subjektu údajů nebo práv a svobod druhých.
|
|
(b) as appropriate the rectification, erasure or blocking of data the processing of which does not comply with the provisions of this Directive, in particular because of the incomplete or inaccurate nature of the data;
|
2. S výhradou přiměřených právních ochranných opatření vylučujících zejména, že údaje mohou být použity pro účely opatření nebo rozhodnutí vztahujících se na konkrétní osoby, mohou členské státy, pokud prokazatelně neexistuje nebezpečí narušení soukromí subjektu údajů, omezit legislativním opatřením práva uvedená v článku 12, jsou-li údaje zpracovávány výlučně pro účely vědeckého výzkumu nebo jsou-li uchovávány formou osobních záznamů po dobu nepřesahující období nezbytné pro vypracování statistik.
|
|
(c) notification to third parties to whom the data have been disclosed of any rectification, erasure or blocking carried out in compliance with (b), unless this proves impossible or involves a disproportionate effort.
|
ODDÍL VII
|
|
SECTION VI
|
PRÁVO SUBJEKTU ÚDAJŮ NA NÁMITKU
|
|
EXEMPTIONS AND RESTRICTIONS
|
Článek 14
|
|
|
Právo subjektu údajů na námitku
|
|
Article 13
|
Členské státy přiznávají subjektu údajů právo:
|
|
Exemptions and restrictions
|
a) alespoň v případech uvedených v čl. 7 písm. e) a f) vznést kdykoli z vážných a legitimních důvodů souvisejících s jeho osobní situací námitku proti zpracování osobních údajů, které se ho týkají, ledaže vnitrostátní právo stanoví jinak. Je-li námitka oprávněná, nesmí se zpracování zahájené správcem těchto údajů nadále týkat;
|
|
1. Member States may adopt legislative measures to restrict the scope of the obligations and rights provided for in Articles 6 (1), 10, 11 (1), 12 and 21 when such a restriction constitutes a necessary measures to safeguard:
|
b) na návrh a bezplatně vznést námitku proti zpracování osobních údajů, které se ho týkají, připravovanému správcem pro účely přímého marketingu; nebo být informován dříve než jsou osobní údaje poprvé sděleny třetí osobě nebo než jsou použity na její účet pro účely přímého marketingu a musí mu být výslovně poskytnuto právo bezplatně vznést námitky proti zmíněnému sdělení nebo použití.
|
|
(a) national security;
|
Členské státy přijmou nezbytná opatření, aby zaručily, že subjekty údajů jsou informovány o existenci práva uvedeného v písm. b) prvním pododstavci.
|
|
(b) defence;
|
Článek 15
|
|
(c) public security;
|
Automatizovaná individuální rozhodnutí
|
|
(d) the prevention, investigation, detection and prosecution of criminal offences, or of breaches of ethics for regulated professions;
|
1. Členské státy přiznají všem osobám právo nestat se subjektem rozhodnutí, které vůči nim zakládá právní účinky nebo které se jich významně dotýká, přijatého výlučně na základě automatizovaného zpracování údajů určeného k hodnocení určitých rysů jejich osobnosti, například pracovního výkonu, důvěryhodnosti, spolehlivost, chování, atd.
|
|
(e) an important economic or financial interest of a Member State or of the European Union, including monetary, budgetary and taxation matters;
|
2. Členské státy stanoví, aniž jsou tím dotčena jiná ustanovení této směrnice, že osoba může být subjektem rozhodnutí uvedeného v odstavci 1, pokud je toto rozhodnutí:
|
|
(f) a monitoring, inspection or regulatory function connected, even occasionally, with the exercise of official authority in cases referred to in (c), (d) and (e);
|
a) přijato v rámci uzavírání nebo plnění smlouvy za podmínky, že žádosti o uzavření nebo o plnění smlouvy podané subjektem údajů bylo vyhověno nebo že existují vhodná opatření, která zajišťují ochranu jeho oprávněných zájmů, jako možnost projevit svůj názor; nebo
|
|
(g) the protection of the data subject or of the rights and freedoms of others.
|
b) povoleno právním předpisem, který rovněž upřesňuje opatření zajišťující ochranu oprávněných zájmů subjektu údajů.
|
|
2. Subject to adequate legal safeguards, in particular that the data are not used for taking measures or decisions regarding any particular individual, Member States may, where there is clearly no risk of breaching the privacy of the data subject, restrict by a legislative measure the rights provided for in Article 12 when data are processed solely for purposes of scientific research or are kept in personal form for a period which does not exceed the period necessary for the sole purpose of creating statistics.
|
ODDÍL VIII
|
|
SECTION VII
|
DŮVĚRNÁ POVAHA A BEZPEČNOST ZPRACOVÁNÍ
|
|
THE DATA SUBJECT'S RIGHT TO OBJECT
|
Článek 16
|
|
|
Důvěrná povaha zpracování
|
|
Article 14
|
Jakákoli osoba, která jedná z pověření správce nebo zpracovatele, jakož i samotný zpracovatel, který má přístup k osobním údajům, je může zpracovávat pouze podle pokynů správce, ledaže právo stanoví jinak.
|
|
The data subject's right to object
|
Článek 17
|
|
Member States shall grant the data subject the right:
|
Bezpečnost zpracování
|
|
(a) at least in the cases referred to in Article 7 (e) and (f), to object at any time on compelling legitimate grounds relating to his particular situation to the processing of data relating to him, save where otherwise provided by national legislation. Where there is a justified objection, the processing instigated by the controller may no longer involve those data;
|
1. Členské státy stanoví, že správce musí přijmout vhodná technická a organizační opatření na ochranu osobních údajů proti náhodnému nebo nedovolenému zničení, náhodné ztrátě, úpravám, neoprávněnému sdělování nebo přístupu, zejména pokud zpracování zahrnuje předávání údajů v síti, jakož i proti jakékoli jiné podobě nedovoleného zpracování.
|
|
(b) to object, on request and free of charge, to the processing of personal data relating to him which the controller anticipates being processed for the purposes of direct marketing, or to be informed before personal data are disclosed for the first time to third parties or used on their behalf for the purposes of direct marketing, and to be expressly offered the right to object free of charge to such disclosures or uses.
|
Tato opatření mají zajistit, s ohledem na stav techniky a na náklady na jejich provedení, přiměřenou úroveň bezpečnosti odpovídající rizikům vyplývajícím ze zpracování údajů a z povahy údajů, které mají být chráněny.
|
|
Member States shall take the necessary measures to ensure that data subjects are aware of the existence of the right referred to in the first subparagraph of (b).
|
2. Členské státy stanoví, že správce, pokud je toto zpracování prováděno na jeho účet, si musí zvolil zpracovatele poskytujícího dostatečné záruky s ohledem na technická bezpečnostní opatření a organizační opatření usměrňující zpracování, jež má být provedeno, a že musí dbát na dodržování těchto opatření.
|
|
|
3. Zpracování údajů zpracovatelem musí být upraveno smlouvou nebo právním aktem, který zavazuje zpracovatele vůči správci a který stanoví zejména, že:
|
|
Article 15
|
- zpracovatel jedná pouze podle pokynů správce;
|
|
Automated individual decisions
|
- povinnosti uvedené v odstavci 1 tak, jak jsou vymezeny právními předpisy členského státu, ve kterém je usazen zpracovatel, jsou pro něj rovněž závazné.
|
|
1. Member States shall grant the right to every person not to be subject to a decision which produces legal effects concerning him or significantly affects him and which is based solely on automated processing of data intended to evaluate certain personal aspects relating to him, such as his performance at work, creditworthiness, reliability, conduct, etc.
|
4. Pro zachování důkazů jsou části smlouvy nebo právního aktu o ochraně údajů a požadavků souvisejících s opatřeními uvedenými v odstavci 1 potvrzena písemně nebo jinou rovnocennou formou.
|
|
2. Subject to the other Articles of this Directive, Member States shall provide that a person may be subjected to a decision of the kind referred to in paragraph 1 if that decision:
|
ODDÍL IX
|
|
(a) is taken in the course of the entering into or performance of a contract, provided the request for the entering into or the performance of the contract, lodged by the data subject, has been satisfied or that there are suitable measures to safeguard his legitimate interests, such as arrangements allowing him to put his point of view; or
|
OZNÁMENÍ
|
|
(b) is authorized by a law which also lays down measures to safeguard the data subject's legitimate interests.
|
Článek 18
|
|
SECTION VIII
|
Oznamovací povinnost vůči orgánu dozoru
|
|
CONFIDENTIALITY AND SECURITY OF PROCESSING
|
1. Členské státy stanoví, že správce nebo popřípadě jeho zástupce musí zaslat oznámení orgánu dozoru uvedenému v článku 28, a to před zahájením zcela nebo částečně automatizovaného zpracování nebo souboru těchto zpracování se stejným účelem nebo se souvisejícími účely.
|
|
|
2. Členské státy mohou stanovit zjednodušení oznámení nebo výjimku z oznamovací povinnosti pouze v následujících případech a za následujících podmínek:
|
|
Article 16
|
- pokud upřesní pro kategorie zpracování, které s přihlédnutím ke zpracovávaným údajům nemohou poškodit práva a svobody subjektů údajů, účely zpracování, údaje nebo kategorie zpracovávaných údajů, kategorii nebo kategorie subjektů údajů, příjemce nebo kategorie příjemců, kterým mají být údaje sděleny, a dobu uchování údajů a/nebo
|
|
Confidentiality of processing
|
- pokud správce určí, v souladu s vnitrostátním právem, kterému podléhá, osobu pověřenou ochranou údajů, který je zejména pověřen:
|
|
Any person acting under the authority of the controller or of the processor, including the processor himself, who has access to personal data must not process them except on instructions from the controller, unless he is required to do so by law.
|
- zajistit nezávislým způsobem interní uplatňování vnitrostátních předpisů přijatých k provedení této směrnice,
|
|
|
- vést seznam zpracování provedených správcem, který obsahuje informace uvedené v čl. 21 odst. 2,
|
|
Article 17
|
a zajistí tímto způsobem, že zpracování nemohou poškodit práva a svobody subjektů údajů.
|
|
Security of processing
|
3. Členské státy mohou stanovit, že se odstavec 1 nevztahuje na zpracování, jejichž jediným účelem je vedení rejstříku, který je podle právních předpisů určen pro poskytování informací veřejnosti a je přístupný obecně veřejnosti nebo jakékoli jiné osobě, která osvědčí právní zájem.
|
|
1. Member States shall provide that the controller must implement appropriate technical and organizational measures to protect personal data against accidental or unlawful destruction or accidental loss, alteration, unauthorized disclosure or access, in particular where the processing involves the transmission of data over a network, and against all other unlawful forms of processing.
|
4. Členské státy mohou stanovit výjimku z oznamovací povinnosti nebo zjednodušení oznámení pro zpracování uvedená v čl. 8 odst. 2 písm. d).
|
|
Having regard to the state of the art and the cost of their implementation, such measures shall ensure a level of security appropriate to the risks represented by the processing and the nature of the data to be protected.
|
5. Členské státy mohou stanovit, že neautomatizovaná zpracování osobních údajů nebo některá z nich jsou předmětem oznámení popřípadě zjednodušeného oznámení.
|
|
2. The Member States shall provide that the controller must, where processing is carried out on his behalf, choose a processor providing sufficient guarantees in respect of the technical security measures and organizational measures governing the processing to be carried out, and must ensure compliance with those measures.
|
Článek 19
|
|
3. The carrying out of processing by way of a processor must be governed by a contract or legal act binding the processor to the controller and stipulating in particular that:
|
Obsah oznámení
|
|
- the processor shall act only on instructions from the controller,
|
1. Členské státy upřesní informace, které musí být uvedeny v oznámení. Obsahují alespoň:
|
|
- the obligations set out in paragraph 1, as defined by the law of the Member State in which the processor is established, shall also be incumbent on the processor.
|
a) jméno a adresu správce a popřípadě jeho zástupce;
|
|
4. For the purposes of keeping proof, the parts of the contract or the legal act relating to data protection and the requirements relating to the measures referred to in paragraph 1 shall be in writing or in another equivalent form.
|
b) účel nebo účely zpracování;
|
|
SECTION IX
|
c) popis kategorie nebo kategorií subjektů údajů a údajů nebo kategorií údajů, které se na ně vztahují;
|
|
NOTIFICATION
|
d) příjemce nebo kategorie příjemců, kterým mohou být údaje sděleny;
|
|
|
e) předpokládané předávání údajů do třetích zemí;
|
|
Article 18
|
f) obecný popis umožňující předběžně posoudit vhodnost opatření přijatých pro zajištění bezpečnosti zpracování ve smyslu článku 17.
|
|
Obligation to notify the supervisory authority
|
2. Členské státy upřesní postupy oznamování změn týkajících se informací uvedených v odstavci 1 orgánu dozoru.
|
|
1. Member States shall provide that the controller or his representative, if any, must notify the supervisory authority referred to in Article 28 before carrying out any wholly or partly automatic processing operation or set of such operations intended to serve a single purpose or several related purposes.
|
Článek 20
|
|
2. Member States may provide for the simplification of or exemption from notification only in the following cases and under the following conditions:
|
Předběžné kontroly
|
|
- where, for categories of processing operations which are unlikely, taking account of the data to be processed, to affect adversely the rights and freedoms of data subjects, they specify the purposes of the processing, the data or categories of data undergoing processing, the category or categories of data subject, the recipients or categories of recipient to whom the data are to be disclosed and the length of time the data are to be stored, and/or
|
1. Členské státy vymezí zpracování, která by mohla představovat zvláštní rizika z hlediska práv a svobod subjektů údajů, a dbají na to, aby tato zpracování byla před jejich započetím prošetřena.
|
|
- where the controller, in compliance with the national law which governs him, appoints a personal data protection official, responsible in particular:
|
2. Tato předběžná šetření jsou prováděna orgány dozoru po obdržení oznámení od správce nebo osobu pověřenou ochranou údajů, který musí v případě pochybností konzultovat orgán dozoru.
|
|
- for ensuring in an independent manner the internal application of the national provisions taken pursuant to this Directive
|
3. Členské státy mohou přistoupit k tomuto šetření rovněž v rámci vypracování opatření přijatého vnitrostátním parlamentem nebo opatření založeného na tomto legislativním opatření, které vymezuje povahu zpracování a stanoví vhodná ochranná opatření.
|
|
- for keeping the register of processing operations carried out by the controller, containing the items of information referred to in Article 21 (2),
|
Článek 21
|
|
thereby ensuring that the rights and freedoms of the data subjects are unlikely to be adversely affected by the processing operations.
|
Zveřejnění zpracování
|
|
3. Member States may provide that paragraph 1 does not apply to processing whose sole purpose is the keeping of a register which according to laws or regulations is intended to provide information to the public and which is open to consultation either by the public in general or by any person demonstrating a legitimate interest.
|
1. Členské státy přijmou opatření, kterými zajistí zveřejnění zpracování.
|
|
4. Member States may provide for an exemption from the obligation to notify or a simplification of the notification in the case of processing operations referred to in Article 8 (2) (d).
|
2. Členské státy stanoví, že orgány dozoru povedou rejstřík zpracování oznámených na základě článku 18.
|
|
5. Member States may stipulate that certain or all non-automatic processing operations involving personal data shall be notified, or provide for these processing operations to be subject to simplified notification.
|
Rejstřík obsahuje alespoň informace vyjmenované v čl. 19 odst. 1 písm. a) až e).
|
|
|
Tento rejstřík je přístupný komukoli.
|
|
Article 19
|
3. Pokud jde o zpracování, která nepodléhají oznámení, členské státy stanoví, že správce nebo jiný subjekt určený členským státem poskytnou vhodnou formou komukoli, kdo o to požádá, alespoň informace uvedené v čl. 19 odst. 1 písm. a) až e).
|
|
Contents of notification
|
Členské státy mohou stanovit, že toto ustanovení se nepoužije pro zpracování, jejichž jediným účelem je vedení rejstříku, který je na základě právních předpisů určen pro informování veřejnosti a je přístupný veřejnosti nebo jakékoli osobě, která osvědčí právní zájem.
|
|
1. Member States shall specify the information to be given in the notification. It shall include at least:
|
KAPITOLA III
|
|
(a) the name and address of the controller and of his representative, if any;
|
SOUDNÍ PŘEZKUM, ODPOVĚDNOST A SANKCE
|
|
(b) the purpose or purposes of the processing;
|
Článek 22
|
|
(c) a description of the category or categories of data subject and of the data or categories of data relating to them;
|
Soudní přezkum
|
|
(d) the recipients or categories of recipient to whom the data might be disclosed;
|
Aniž je tím dotčena možnost opravného prostředku ve správním řízení, který je možno podat, zejména orgánu dozoru uvedenému v článku 28, stanoví všechny členské státy, že každá osoba má právo v případě porušení práv, jež jí jsou zaručeny vnitrostátními předpisy, které se uplatní na dotčené zpracování, předložit věc soudu.
|
|
(e) proposed transfers of data to third countries;
|
Článek 23
|
|
(f) a general description allowing a preliminary assessment to be made of the appropriateness of the measures taken pursuant to Article 17 to ensure security of processing.
|
Odpovědnost
|
|
2. Member States shall specify the procedures under which any change affecting the information referred to in paragraph 1 must be notified to the supervisory authority.
|
1. Členské státy stanoví, že kdokoli, kdo byl poškozen neoprávněným zpracováním nebo jinou činností neslučitelnou s vnitrostátními předpisy přijatými k provedení této směrnice, má právo na náhradu utrpěné škody od správce.
|
|
|
2. Správce může být částečně nebo zcela zbaven této odpovědnosti, pokud prokáže, že za vznik škody neodpovídá.
|
|
Article 20
|
Článek 24
|
|
Prior checking
|
Sankce
|
|
1. Member States shall determine the processing operations likely to present specific risks to the rights and freedoms of data subjects and shall check that these processing operations are examined prior to the start thereof.
|
Členské státy přijmou vhodná opatření, kterými zajistí uplatňování ustanovení této směrnice, a zejména určí sankce, které se uplatní v případě porušení předpisů přijatých na základě této směrnice.
|
|
2. Such prior checks shall be carried out by the supervisory authority following receipt of a notification from the controller or by the data protection official, who, in cases of doubt, must consult the supervisory authority.
|
KAPITOLA IV
|
|
3. Member States may also carry out such checks in the context of preparation either of a measure of the national parliament or of a measure based on such a legislative measure, which define the nature of the processing and lay down appropriate safeguards.
|
PŘEDÁVÁNÍ OSOBNÍCH ÚDAJŮ DO TŘETÍCH ZEMÍ
|
|
|
Článek 25
|
|
Article 21
|
Zásady
|
|
Publicizing of processing operations
|
1. Členské státy stanoví, že k předávání osobních údajů, které jsou předmětem zpracování nebo které mají být předmětem zpracování po předání, do třetích zemí může dojít, aniž by tím bylo dotčeno dodržování vnitrostátních předpisů přijatých na základě ostatních ustanovení této směrnice, pouze pokud dotyčná třetí země zajistí odpovídající úroveň ochrany.
|
|
1. Member States shall take measures to ensure that processing operations are publicized.
|
2. Odpovídající úroveň ochrany poskytovaná třetí zemí se posoudí s ohledem na všechny okolnosti související s předáním nebo předáváním údajů; zejména se přihlédne k povaze údajů, účelu a trvání předpokládaného či předpokládaných zpracování, zemi původu a zemi konečného určení, právním předpisům, obecným nebo zvláštním, platným v dotčené třetí zemi, jakož i profesním pravidlům a bezpečnostním opatřením, která jsou ve třetí zemi dodržována.
|
|
2. Member States shall provide that a register of processing operations notified in accordance with Article 18 shall be kept by the supervisory authority.
|
3. Členské státy a Komise se vzájemně informují o případech, kdy se domnívají, že některá třetí země nezajišťuje odpovídající úroveň ochrany ve smyslu odstavce 2.
|
|
The register shall contain at least the information listed in Article 19 (1) (a) to (e).
|
4. Pokud Komise zjistí, postupem podle čl. 31 odst. 2, že třetí země nezajišťuje odpovídající úroveň ochrany ve smyslu odstavce 2 tohoto článku, přijmou členské státy opatření nezbytná pro zamezení jakémukoli předávání údajů stejného druhu do dotčené třetí země.
|
|
The register may be inspected by any person.
|
5. Ve vhodný okamžik Komise zahájí jednání s cílem napravit stav vyplývající ze zjištění podle odstavce 4.
|
|
3. Member States shall provide, in relation to processing operations not subject to notification, that controllers or another body appointed by the Member States make available at least the information referred to in Article 19 (1) (a) to (e) in an appropriate form to any person on request.
|
6. Postupem podle čl. 31 odst. 2 Komise může konstatovat, že třetí země zajišťuje odpovídající úroveň ochrany ve smyslu odstavce 2 tohoto článku na základě svých vnitrostátních předpisů nebo svých mezinárodních závazků sjednaných zejména na závěr jednání uvedených v odstavci 5 s cílem zajistit ochranu soukromí a základních práv a svobod osob.
|
|
Member States may provide that this provision does not apply to processing whose sole purpose is the keeping of a register which according to laws or regulations is intended to provide information to the public and which is open to consultation either by the public in general or by any person who can provide proof of a legitimate interest.
|
Členské státy přijmou opatření nezbytná pro dosažení souladu s rozhodnutím Komise.
|
|
|
Článek 26
|
|
CHAPTER III JUDICIAL REMEDIES, LIABILITY AND SANCTIONS
|
Výjimky
|
|
|
1. Odchylně od článku 25 a s výhradou opačných ustanovení jejich vnitrostátního práva upravujících zvláštní případy členské státy stanoví, že předání nebo předávání osobních údajů do třetí země, která nezajišťuje odpovídající úroveň ochrany ve smyslu čl. 25 odst. 2, může být provedeno za podmínky, že:
|
|
Article 22
|
a) subjekt údajů nepochybně udělil svůj souhlas s předpokládaným předáním; nebo
|
|
Remedies
|
b) předání je nezbytné pro splnění smlouvy mezi subjektem údajů a správcem nebo pro splnění předsmluvních opatření přijatých na žádost subjektu údajů; nebo
|
|
Without prejudice to any administrative remedy for which provision may be made, inter alia before the supervisory authority referred to in Article 28, prior to referral to the judicial authority, Member States shall provide for the right of every person to a judicial remedy for any breach of the rights guaranteed him by the national law applicable to the processing in question.
|
c) předání je nezbytné pro uzavření nebo plnění smlouvy, která byla uzavřena nebo která má být uzavřena v zájmu subjektu údajů mezi správcem a třetí osobou; nebo
|
|
|
d) předání je nezbytné nebo se stává právně závazným pro zachování důležitého veřejného zájmu nebo pro zjištění, výkon nebo obranu právních nároků před soudem; nebo
|
|
Article 23
|
e) předání je nezbytné pro ochranu životně důležitých zájmů subjektu údajů; nebo
|
|
Liability
|
f) k předání dochází z veřejného rejstříku, který je na základě právních předpisů určen pro informování veřejnosti a je přístupný veřejnosti nebo jakékoli osobě, která osvědčí svůj právní zájem, pokud jsou v daném případě splněny právní podmínky tohoto přístupu.
|
|
1. Member States shall provide that any person who has suffered damage as a result of an unlawful processing operation or of any act incompatible with the national provisions adopted pursuant to this Directive is entitled to receive compensation from the controller for the damage suffered.
|
2. Aniž je tím dotčen odstavec 1, může členský stát povolit předání nebo předávání osobních údajů do třetí země, která nezajišťuje odpovídající úroveň ochrany ve smyslu čl. 25 odst. 2, pokud správce poskytne dostatečná ochranná opatření pro ochranu soukromí a základních práv a svobod osob, jakož i pro výkon odpovídajících práv; tato ochranná opatření mohou zejména vyplývat z vhodných smluvních doložek.
|
|
2. The controller may be exempted from this liability, in whole or in part, if he proves that he is not responsible for the event giving rise to the damage.
|
3. Členský stát informuje Komisi a ostatní členské státy o povoleních, která udělí podle odstavce 2.
|
|
|
Pokud jiný členský stát nebo Komise podají námitky a řádně je odůvodní z hlediska ochrany soukromí a základních lidských práv a svobod, přijme Komise vhodná opatření postupem podle čl. 31 odst. 1.
|
|
Article 24
|
Členské státy přijmou opatření nezbytná pro dosažení souladu s rozhodnutím Komise.
|
|
Sanctions
|
4. Pokud Komise rozhodne postupem podle čl. 31 odst. 2, že některé standardní smluvní doložky představují dostatečná ochranná opatření uvedená v odstavci 2, přijmou členské státy opatření nezbytná pro dosažení souladu s rozhodnutím Komise.
|
|
The Member States shall adopt suitable measures to ensure the full implementation of the provisions of this Directive and shall in particular lay down the sanctions to be imposed in case of infringement of the provisions adopted pursuant to this Directive.
|
KAPITOLA V
|
|
|
KODEXY CHOVÁNÍ
|
|
CHAPTER IV TRANSFER OF PERSONAL DATA TO THIRD COUNTRIES
|
Článek 27
|
|
|
1. Členské státy a Komise podporují vypracování kodexů chování, které mají přispět s ohledem na zvláštní povahu různých odvětví k řádnému uplatňování vnitrostátních právních předpisů přijímaných členskými státy na základě této směrnice.
|
|
Article 25
|
2. Členské státy stanoví, že profesní sdružení a další organizace zastupující ostatní kategorie správců, které vypracovaly návrhy vnitrostátních kodexů chování nebo které mají v úmyslu změnit nebo prodloužit platnost stávajících vnitrostátních kodexů chování, je mohou předložit k posouzení vnitrostátnímu orgánu.
|
|
Principles
|
Členské státy stanoví, že tento orgán se mimo jiné ujistí o souladu návrhů, které jsou mu předloženy, s vnitrostátními předpisy přijatými k provedení této směrnice. Považuje-li to za účelné, může si tento orgán vyžádat připomínky subjektů údajů nebo jejich zástupců.
|
|
1. The Member States shall provide that the transfer to a third country of personal data which are undergoing processing or are intended for processing after transfer may take place only if, without prejudice to compliance with the national provisions adopted pursuant to the other provisions of this Directive, the third country in question ensures an adequate level of protection.
|
3. Návrhy kodexů ve Společenství, jakož i změny či prodloužení platnosti stávajících kodexů ve Společenství, mohou být předloženy pracovní skupině uvedené v článku 29. Tato pracovní skupina se mimo jiné vyjádří k souladu návrhů, které jí jsou předloženy, s vnitrostátními předpisy přijatými k provedení této směrnice. Považuje-li to za účelné, vyžádá si připomínky subjektů údajů nebo jejich zástupců. Komise může zajistit vhodné zveřejnění kodexů, které tato pracovní skupina schválila.
|
|
2. The adequacy of the level of protection afforded by a third country shall be assessed in the light of all the circumstances surrounding a data transfer operation or set of data transfer operations; particular consideration shall be given to the nature of the data, the purpose and duration of the proposed processing operation or operations, the country of origin and country of final destination, the rules of law, both general and sectoral, in force in the third country in question and the professional rules and security measures which are complied with in that country.
|
KAPITOLA VI
|
|
3. The Member States and the Commission shall inform each other of cases where they consider that a third country does not ensure an adequate level of protection within the meaning of paragraph 2.
|
ORGÁN DOZORU A PRACOVNÍ SKUPINA PRO OCHRANU FYZICKÝCH OSOB V SOUVISLOSTI SE ZPRACOVÁNÍM OSOBNÍCH ÚDAJŮ
|
|
4. Where the Commission finds, under the procedure provided for in Article 31 (2), that a third country does not ensure an adequate level of protection within the meaning of paragraph 2 of this Article, Member States shall take the measures necessary to prevent any transfer of data of the same type to the third country in question.
|
Článek 28
|
|
5. At the appropriate time, the Commission shall enter into negotiations with a view to remedying the situation resulting from the finding made pursuant to paragraph 4.
|
Orgán dozoru
|
|
6. The Commission may find, in accordance with the procedure referred to in Article 31 (2), that a third country ensures an adequate level of protection within the meaning of paragraph 2 of this Article, by reason of its domestic law or of the international commitments it has entered into, particularly upon conclusion of the negotiations referred to in paragraph 5, for the protection of the private lives and basic freedoms and rights of individuals.
|
1. Každý členský stát pověří jeden nebo několik orgánů veřejné moci na svém území dohledem nad dodržováním předpisů přijatých členskými státy na základě této směrnice.
|
|
Member States shall take the measures necessary to comply with the Commission's decision.
|
Tyto orgány plní úkoly, kterými jsou pověřeny, zcela nezávisle.
|
|
|
2. Každý členský stát zajistí, aby orgány dozoru byly konzultovány při vypracovávání správních opatření nebo předpisů týkajících se ochrany práv a svobod osob v souvislosti se zpracováním osobních údajů.
|
|
Article 26
|
3. Každý orgán dozoru má zejména:
|
|
Derogations
|
- pravomoci provádět šetření, jako například pravomoc přístupu k údajům, které jsou předmětem zpracování, a shromažďovat veškeré informace nezbytné pro splnění svého úkolu dozoru;
|
|
1. By way of derogation from Article 25 and save where otherwise provided by domestic law governing particular cases, Member States shall provide that a transfer or a set of transfers of personal data to a third country which does not ensure an adequate level of protection within the meaning of Article 25 (2) may take place on condition that:
|
- pravomoci účinně zasáhnout, jako například zaujmout stanovisko před zahájením zpracování v souladu s článkem 20 a zajistit vhodné zveřejnění těchto stanovisek nebo pravomoc nařídit blokování, výmaz nebo zničení údajů nebo dočasně nebo trvale zakázat zpracování nebo pravomoc zaslat správci upozornění či napomenutí nebo pravomoc obrátit se na parlament členského státu či na jiné politické orgány;
|
|
(a) the data subject has given his consent unambiguously to the proposed transfer; or
|
- pravomoc obrátit se na soud v případě porušení vnitrostátních předpisů přijatých k provedení této směrnice nebo pravomoc oznámit tato porušení soudním orgánům.
|
|
(b) the transfer is necessary for the performance of a contract between the data subject and the controller or the implementation of precontractual measures taken in response to the data subject's request; or
|
Proti rozhodnutím orgánu dozoru, která dala vzniknout stížnostem, je možné využít opravný prostředek k soudu.
|
|
(c) the transfer is necessary for the conclusion or performance of a contract concluded in the interest of the data subject between the controller and a third party; or
|
4. Na orgán dozoru se může obrátit jakákoli osoba nebo sdružení zastupující tuto osobu se žádostí týkající se ochrany svých práv a svobod v souvislosti se zpracováním osobních údajů. Dotčená osoba je informována o způsobu vyřízení své žádosti.
|
|
(d) the transfer is necessary or legally required on important public interest grounds, or for the establishment, exercise or defence of legal claims; or
|
Na orgán dozoru se může zejména obrátit kdokoli s žádostí o ověření přípustnosti zpracování, pokud se uplatní vnitrostátní předpisy přijaté na základě článku 13 této směrnice. Osoba je za každých okolností informována, zda k ověření došlo.
|
|
(e) the transfer is necessary in order to protect the vital interests of the data subject; or
|
5. Orgány dozoru vypracují v pravidelných lhůtách zprávu o své činnosti. Tato zpráva se zveřejní.
|
|
(f) the transfer is made from a register which according to laws or regulations is intended to provide information to the public and which is open to consultation either by the public in general or by any person who can demonstrate legitimate interest, to the extent that the conditions laid down in law for consultation are fulfilled in the particular case.
|
6. Nezávisle na vnitrostátním právu, které se použije na dané zpracování, je orgán dozoru oprávněn vykonávat na území vlastního členského státu pravomoci, které mu byly uděleny v souladu s odstavcem 3. Každý orgán může být vyzván, aby vykonával své pravomoci na žádost orgánu jiného členského státu.
|
|
2. Without prejudice to paragraph 1, a Member State may authorize a transfer or a set of transfers of personal data to a third country which does not ensure an adequate level of protection within the meaning of Article 25 (2), where the controller adduces adequate safeguards with respect to the protection of the privacy and fundamental rights and freedoms of individuals and as regards the exercise of the corresponding rights; such safeguards may in particular result from appropriate contractual clauses.
|
Orgány dozoru vzájemně spolupracují v míře nezbytné pro plnění svých úkolů, zejména výměnou veškerých užitečných informací.
|
|
3. The Member State shall inform the Commission and the other Member States of the authorizations it grants pursuant to paragraph 2.
|
7. Členské státy stanoví, že členové a zaměstnanci orgánů dozoru podléhají povinnosti dodržovat profesní tajemství v souvislosti s důvěrnými informacemi, ke kterým mají přístup, a to i po skončení své činnosti.
|
|
If a Member State or the Commission objects on justified grounds involving the protection of the privacy and fundamental rights and freedoms of individuals, the Commission shall take appropriate measures in accordance with the procedure laid down in Article 31 (2).
|
Článek 29
|
|
Member States shall take the necessary measures to comply with the Commission's decision.
|
Pracovní skupina pro ochranu fyzických osob v souvislosti se zpracováním osobních údajů
|
|
4. Where the Commission decides, in accordance with the procedure referred to in Article 31 (2), that certain standard contractual clauses offer sufficient safeguards as required by paragraph 2, Member States shall take the necessary measures to comply with the Commission's decision.
|
1. Zřizuje se pracovní skupina pro ochranu fyzických osob v souvislosti se zpracováním osobních údajů (dále jen "pracovní skupina").
|
|
|
Pracovní skupina má poradní funkci a je nezávislá.
|
|
CHAPTER V CODES OF CONDUCT
|
2. Pracovní skupinu tvoří zástupce orgánu dozoru nebo orgánů dozoru určených jednotlivými členskými státy, zástupce orgánu nebo orgánů vytvořených pro orgány a instituce Společenství a zástupce Komise.
|
|
|
Každý člen pracovní skupiny je jmenován institucí, orgánem nebo orgány, které zastupuje. Pokud členský stát určil několik orgánů dozoru, jmenují tyto orgány společného zástupce. Obdobně je tomu v případě orgánů vytvořených pro orgány a instituce Společenství.
|
|
Article 27
|
3. Pracovní skupina přijímá rozhodnutí prostou většinou zástupců orgánů dozoru.
|
|
1. The Member States and the Commission shall encourage the drawing up of codes of conduct intended to contribute to the proper implementation of the national provisions adopted by the Member States pursuant to this Directive, taking account of the specific features of the various sectors.
|
4. Pracovní skupina zvolí svého předsedu. Funkční období předsedy je dva roky. Může být zvolen opakovaně.
|
|
2. Member States shall make provision for trade associations and other bodies representing other categories of controllers which have drawn up draft national codes or which have the intention of amending or extending existing national codes to be able to submit them to the opinion of the national authority.
|
5. Sekretariát pracovní skupiny zajišťuje Komise.
|
|
Member States shall make provision for this authority to ascertain, among other things, whether the drafts submitted to it are in accordance with the national provisions adopted pursuant to this Directive. If it sees fit, the authority shall seek the views of data subjects or their representatives.
|
6. Pracovní skupina přijme svůj jednací řád.
|
|
3. Draft Community codes, and amendments or extensions to existing Community codes, may be submitted to the Working Party referred to in Article 29. This Working Party shall determine, among other things, whether the drafts submitted to it are in accordance with the national provisions adopted pursuant to this Directive. If it sees fit, the authority shall seek the views of data subjects or their representatives. The Commission may ensure appropriate publicity for the codes which have been approved by the Working Party.
|
7. Pracovní skupina projednává otázky zařazené na pořad jednání jejím předsedou buď z jeho podnětu, nebo na žádost zástupce orgánů dozoru nebo Komise.
|
|
|
Článek 30
|
|
CHAPTER VI SUPERVISORY AUTHORITY AND WORKING PARTY ON THE PROTECTION OF INDIVIDUALS WITH REGARD TO THE PROCESSING OF PERSONAL DATA
|
1. Pracovní skupina má tyto úkoly:
|
|
|
a) posuzovat veškeré otázky týkající se uplatňování vnitrostátních předpisů přijatých k provedení této směrnice s cílem přispívat k jejich jednotnému uplatňování;
|
|
Article 28
|
b) zaujímat pro Komisi stanovisko o úrovni ochrany ve Společenství a ve třetích zemích;
|
|
Supervisory authority
|
c) poskytovat Komisi poradenství o všech návrzích změn této směrnice, o všech návrzích doplňujících nebo zvláštních opatření, která by měla být přijata pro ochranu práv a svobod fyzických osob v souvislosti se zpracováním osobních údajů, jakož i o všech ostatních návrzích opatření ve Společenství, která mají vliv na tato práva a svobody;
|
|
1. Each Member State shall provide that one or more public authorities are responsible for monitoring the application within its territory of the provisions adopted by the Member States pursuant to this Directive.
|
d) zaujmout stanovisko ke kodexům chování vypracovaným na úrovni Společenství.
|
|
These authorities shall act with complete independence in exercising the functions entrusted to them.
|
2. Pokud pracovní skupina zjistí, že mezi právními předpisy a praxí členských států vznikají rozpory, které by mohly narušit rovnocennost ochrany osob v souvislosti se zpracováním osobních údajů ve Společenství, uvědomí o tom Komisi.
|
|
2. Each Member State shall provide that the supervisory authorities are consulted when drawing up administrative measures or regulations relating to the protection of individuals' rights and freedoms with regard to the processing of personal data.
|
3. Pracovní skupina může z vlastního podnětu podat doporučení k jakékoli otázce týkající se ochrany osob v souvislosti se zpracováním osobních údajů ve Společenství.
|
|
3. Each authority shall in particular be endowed with:
|
4. Stanoviska a doporučení pracovní skupiny jsou předávána Komisi a výboru uvedenému v článku 31.
|
|
- investigative powers, such as powers of access to data forming the subject-matter of processing operations and powers to collect all the information necessary for the performance of its supervisory duties,
|
5. Komise uvědomí pracovní skupinu o způsobu zpracování předaných stanovisek a doporučení. Za tím účelem vypracuje zprávu, která je rovněž předána Evropskému parlamentu a Radě. Tato zpráva se zveřejní.
|
|
- effective powers of intervention, such as, for example, that of delivering opinions before processing operations are carried out, in accordance with Article 20, and ensuring appropriate publication of such opinions, of ordering the blocking, erasure or destruction of data, of imposing a temporary or definitive ban on processing, of warning or admonishing the controller, or that of referring the matter to national parliaments or other political institutions,
|
6. Pracovní skupina vypracuje výroční zprávu o stavu ochrany fyzických osob v souvislosti se zpracováním osobních údajů ve Společenství a třetích zemích, kterou předá Komisi, Evropskému parlamentu a Radě. Tato zpráva se zveřejní.
|
|
- the power to engage in legal proceedings where the national provisions adopted pursuant to this Directive have been violated or to bring these violations to the attention of the judicial authorities.
|
KAPITOLA VII
|
|
Decisions by the supervisory authority which give rise to complaints may be appealed against through the courts.
|
PROVÁDĚCÍ OPATŘENÍ VE SPOLEČENSTVÍ
|
|
4. Each supervisory authority shall hear claims lodged by any person, or by an association representing that person, concerning the protection of his rights and freedoms in regard to the processing of personal data. The person concerned shall be informed of the outcome of the claim.
|
Článek 31
|
|
Each supervisory authority shall, in particular, hear claims for checks on the lawfulness of data processing lodged by any person when the national provisions adopted pursuant to Article 13 of this Directive apply. The person shall at any rate be informed that a check has taken place.
|
Výbor
|
|
5. Each supervisory authority shall draw up a report on its activities at regular intervals. The report shall be made public.
|
1. Komisi je nápomocen výbor složený ze zástupců členských států, kterému předsedá zástupce Komise.
|
|
6. Each supervisory authority is competent, whatever the national law applicable to the processing in question, to exercise, on the territory of its own Member State, the powers conferred on it in accordance with paragraph 3. Each authority may be requested to exercise its powers by an authority of another Member State.
|
2. Zástupce Komise předloží výboru návrh opatření, která mají být přijata. Výbor zaujme stanovisko k tomuto návrhu ve lhůtě, kterou může předseda stanovit podle naléhavosti věci.
|
|
The supervisory authorities shall cooperate with one another to the extent necessary for the performance of their duties, in particular by exchanging all useful information.
|
Stanovisko se přijímá většinou stanovenou v čl. 148 odst. 2 Smlouvy. Hlasům zástupců členských států ve výboru je přidělena váha stanovená v uvedeném článku. Předseda nehlasuje.
|
|
7. Member States shall provide that the members and staff of the supervisory authority, even after their employment has ended, are to be subject to a duty of professional secrecy with regard to confidential information to which they have access.
|
Komise přijme opatření, která jsou okamžitě použitelná. Pokud však tato opatření nejsou v souladu se stanoviskem výboru, sdělí je Komise neprodleně Radě. V tomto případě:
|
|
|
- Komise odloží nejvýše o tři měsíce ode dne tohoto sdělení použitelnost opatření, o kterých rozhodla,
|
|
Article 29
|
- Rada může kvalifikovanou většinou ve lhůtě stanovené v první odrážce přijmout jiné rozhodnutí.
|
|
Working Party on the Protection of Individuals with regard to the Processing of Personal Data
|
ZÁVĚREČNÁ USTANOVENÍ
|
|
1. A Working Party on the Protection of Individuals with regard to the Processing of Personal Data, hereinafter referred to as 'the Working Party', is hereby set up.
|
Článek 32
|
|
It shall have advisory status and act independently.
|
1. Členské státy uvedou v účinnost právní a správní předpisy nezbytné pro dosažení souladu s touto směrnicí nejpozději do tří let od jejího přijetí.
|
|
2. The Working Party shall be composed of a representative of the supervisory authority or authorities designated by each Member State and of a representative of the authority or authorities established for the Community institutions and bodies, and of a representative of the Commission.
|
Tato opatření přijatá členskými státy musí obsahovat odkaz na tuto směrnici nebo musí být takový odkaz učiněn při jejich úředním vyhlášení.
|
|
Each member of the Working Party shall be designated by the institution, authority or authorities which he represents. Where a Member State has designated more than one supervisory authority, they shall nominate a joint representative. The same shall apply to the authorities established for Community institutions and bodies.
|
2. Členské státy dbají, aby zpracování zahájená před nabytím účinnosti vnitrostátních předpisů přijatých k provedení této směrnice byla uvedena v soulad s těmito předpisy nejpozději tři roky po tomto datu.
|
|
3. The Working Party shall take decisions by a simple majority of the representatives of the supervisory authorities.
|
Odchylně od předchozího pododstavce mohou členské státy stanovit, že zpracování údajů, která jsou ke dni nabytí účinnosti vnitrostátních předpisů přijatých k provedení této směrnice již obsažena v manuálních rejstřících, budou uvedena do souladu s články 6, 7 a 8 této směrnice ve lhůtě dvanácti let od jejího přijetí. Členské státy však umožní subjektu údajů, aby na svou žádost a zejména při výkonu práva na přístup dosáhl opravy, výmazu nebo blokování údajů neúplných, nepřesných nebo uchovávaných způsobem neslučitelným s legitimními účely sledovanými správcem.
|
|
4. The Working Party shall elect its chairman. The chairman's term of office shall be two years. His appointment shall be renewable.
|
3. Odchylně od odstavce 2 mohou členské státy stanovit s výhradou vhodných ochranných opatření, že údaje uchovávané výlučně pro účely vědeckého výzkumu nebudou uvedeny v soulad s články 6, 7 a 8 této směrnice.
|
|
5. The Working Party's secretariat shall be provided by the Commission.
|
4. Členské státy sdělí Komisi znění vnitrostátních právních předpisů, které přijmou v oblasti působnosti této směrnice.
|
|
6. The Working Party shall adopt its own rules of procedure.
|
Článek 33
|
|
7. The Working Party shall consider items placed on its agenda by its chairman, either on his own initiative or at the request of a representative of the supervisory authorities or at the Commission's request.
|
Komise pravidelně předkládá Evropskému parlamentu a Radě zprávu o provádění této směrnice poprvé nejpozději tři roky po dni stanoveném v čl. 32 odst. 1 a v případě potřeby ji doplní o návrhy na vhodné změny. Tato zpráva se zveřejní.
|
|
|
Komise posoudí zejména uplatňování této směrnice na zpracování údajů tvořených zvuky nebo obrazy, které se týkají fyzických osob, a předloží vhodné návrhy, které se projevíjako nezbytné s ohledem na rozvoj informačních technologií a na stav prací o informační společnosti.
|
|
Article 30
|
Článek 34
|
|
1. The Working Party shall:
|
Tato směrnice je určena členským státům.
|
|
(a) examine any question covering the application of the national measures adopted under this Directive in order to contribute to the uniform application of such measures;
|
|
|
(b) give the Commission an opinion on the level of protection in the Community and in third countries;
|
V Lucemburku dne 24. října 1995.
|
|
(c) advise the Commission on any proposed amendment of this Directive, on any additional or specific measures to safeguard the rights and freedoms of natural persons with regard to the processing of personal data and on any other proposed Community measures affecting such rights and freedoms;
|
Za Evropský parlament
|
|
(d) give an opinion on codes of conduct drawn up at Community level.
|
předseda
|
|
2. If the Working Party finds that divergences likely to affect the equivalence of protection for persons with regard to the processing of personal data in the Community are arising between the laws or practices of Member States, it shall inform the Commission accordingly.
|
K. Hansch
|
|
3. The Working Party may, on its own initiative, make recommendations on all matters relating to the protection of persons with regard to the processing of personal data in the Community.
|
Za Radu
|
|
4. The Working Party's opinions and recommendations shall be forwarded to the Commission and to the committee referred to in Article 31.
|
Předseda
|
|
5. The Commission shall inform the Working Party of the action it has taken in response to its opinions and recommendations. It shall do so in a report which shall also be forwarded to the European Parliament and the Council. The report shall be made public.
|
L. Atienza Serna
|
|
6. The Working Party shall draw up an annual report on the situation regarding the protection of natural persons with regard to the processing of personal data in the Community and in third countries, which it shall transmit to the Commission, the European Parliament and the Council. The report shall be made public.
|
[1] Úř. věst. C 277, 5.11.1990, s. 3.
|
|
|
[2] Úř. věst. C 159, 17.6.1991, s. 38.
|
|
CHAPTER VII COMMUNITY IMPLEMENTING MEASURES
|
[3] Stanovisko Evropského parlamentu ze dne 11. března 1992 (Úř. věst. C 94, 13.4.1992, s. 198), potvrzené dne 2. prosince 1993 (Úř. věst. C 342, 20.12.1993, s. 30); společný postoj Rady ze dne 20. února 1995 (Úř. věst. C 93, 13.4.1995, s. 1) a rozhodnutí Evropského parlamentu ze dne 15. června 1995 (Úř. věst. C 166, 3. 7. 1995).
|
|
|
[4] Úř. věst. L 197, 18.7.1987, s. 33.
|
|
Article 31
|
--------------------------------------------------
|
|
The Committee
|
|
|
1. The Commission shall be assisted by a committee composed of the representatives of the Member States and chaired by the representative of the Commission.
|
|
|
2. The representative of the Commission shall submit to the committee a draft of the measures to be taken. The committee shall deliver its opinion on the draft within a time limit which the chairman may lay down according to the urgency of the matter.
|
|
|
The opinion shall be delivered by the majority laid down in Article 148 (2) of the Treaty. The votes of the representatives of the Member States within the committee shall be weighted in the manner set out in that Article. The chairman shall not vote.
|
|
|
The Commission shall adopt measures which shall apply immediately. However, if these measures are not in accordance with the opinion of the committee, they shall be communicated by the Commission to the Council forthwith. It that event:
|
|
|
- the Commission shall defer application of the measures which it has decided for a period of three months from the date of communication,
|
|
|
- the Council, acting by a qualified majority, may take a different decision within the time limit referred to in the first indent.
|
|
|
|
|
|
FINAL PROVISIONS
|
|
|
|
|
|
Article 32
|
|
|
1. Member States shall bring into force the laws, regulations and administrative provisions necessary to comply with this Directive at the latest at the end of a period of three years from the date of its adoption.
|
|
|
When Member States adopt these measures, they shall contain a reference to this Directive or be accompanied by such reference on the occasion of their official publication. The methods of making such reference shall be laid down by the Member States.
|
|
|
2. Member States shall ensure that processing already under way on the date the national provisions adopted pursuant to this Directive enter into force, is brought into conformity with these provisions within three years of this date.
|
|
|
By way of derogation from the preceding subparagraph, Member States may provide that the processing of data already held in manual filing systems on the date of entry into force of the national provisions adopted in implementation of this Directive shall be brought into conformity with Articles 6, 7 and 8 of this Directive within 12 years of the date on which it is adopted. Member States shall, however, grant the data subject the right to obtain, at his request and in particular at the time of exercising his right of access, the rectification, erasure or blocking of data which are incomplete, inaccurate or stored in a way incompatible with the legitimate purposes pursued by the controller.
|
|
|
3. By way of derogation from paragraph 2, Member States may provide, subject to suitable safeguards, that data kept for the sole purpose of historical research need not be brought into conformity with Articles 6, 7 and 8 of this Directive.
|
|
|
4. Member States shall communicate to the Commission the text of the provisions of domestic law which they adopt in the field covered by this Directive.
|
|
|
|
|
|
Article 33
|
|
|
The Commission shall report to the Council and the European Parliament at regular intervals, starting not later than three years after the date referred to in Article 32 (1), on the implementation of this Directive, attaching to its report, if necessary, suitable proposals for amendments. The report shall be made public.
|
|
|
The Commission shall examine, in particular, the application of this Directive to the data processing of sound and image data relating to natural persons and shall submit any appropriate proposals which prove to be necessary, taking account of developments in information technology and in the light of the state of progress in the information society.
|
|
|
|
|
|
Article 34
|
|
|
This Directive is addressed to the Member States.
|
|
|
|
|
|
Done at Luxembourg, 24 October 1995.
|
|
|
For the European Parliament
|
|
|
The President
|
|
|
K. HAENSCH
|
|
|
For the Council
|
|
|
The President
|
|
|
L. ATIENZA SERNA
|
|
|
|
|
|
(1) OJ No C 277, 5. 11. 1990, p. 3 and OJ No C 311, 27. 11. 1992, p. 30.
|
|
|
(2) OJ No C 159, 17. 6. 1991, p 38.
|
|
|
(3) Opinion of the European Parliament of 11 March 1992 (OJ No C 94, 13. 4. 1992, p. 198), confirmed on 2 December 1993 (OJ No C 342, 20. 12. 1993, p. 30); Council common position of 20 February 1995 (OJ No C 93, 13. 4. 1995, p. 1) and Decision of the European Parliament of 15 June 1995 (OJ No C 166, 3. 7. 1995).
|
|
|
(1) OJ No L 197, 18. 7. 1987, p. 33.
|
|
|
|
|
|
|
|