|
|
EXPOSÉ DES MOTIFS
|
DŮVODOVÁ ZPRÁVA
|
|
1.
CONTEXTE
DE LA PROPOSITION
|
1.
SOUVISLOSTI NÁVRHU
|
|
Le présent exposé des motifs précise le nouveau cadre
juridique envisagé pour la protection des données à caractère personnel dans
l'Union européenne, qui est décrit dans la communication
COM(2012) 9 final[1].
Ce nouveau cadre juridique se compose de deux propositions législatives:
|
Tato důvodová zpráva blíže představuje
navrhovaný nový právní rámec pro ochranu osobních údajů v EU, jak stanoví
sdělení KOM(2012) 9 v konečném znění[1].
Navrhovaný nový právní rámec sestává ze dvou legislativních návrhů:
|
|
–
une proposition de règlement du Parlement européen et du Conseil relatif
à la protection des personnes physiques à l’égard du traitement des données à
caractère personnel et à la libre circulation de ces données (règlement général
sur la protection des données), et
|
–
návrhu nařízení Evropského parlamentu a Rady o
ochraně fyzických osob v souvislosti se zpracováváním osobních údajů a o volném
pohybu těchto údajů (obecného nařízení o ochraně údajů) a
|
|
–
une proposition de directive du Parlement européen et du Conseil
relative à la protection des personnes physiques à l’égard du traitement des
données à caractère personnel par les autorités compétentes à des fins de
prévention et de détection des infractions pénales, d’enquêtes et de poursuites
en la matière, ou d'exécution de sanctions pénales, et à la libre circulation
de ces données[2].
|
–
návrhu směrnice Evropského parlamentu a Rady o
ochraně fyzických osob v souvislosti se zpracováváním osobních údajů
příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání
trestných činů nebo výkonu trestů a o volném pohybu těchto údajů[2].
|
|
Le présent exposé des motifs porte sur la proposition de
règlement général sur la protection des données.
|
Tato důvodová zpráva se týká legislativního
návrhu obecného nařízení o ochraně údajů.
|
|
La pièce maîtresse de la législation de l’UE en matière de
protection des données à caractère personnel, à savoir la directive 95/46/CE[3],
avait été adoptée en 1995 avec deux objectifs à l'esprit: protéger le droit
fondamental à la protection des données et garantir la libre circulation des
données à caractère personnel entre les États membres. Elle a été complétée par
la décision-cadre 2008/977/JAI destinée, à titre d'instrument général, au
niveau de l'Union, à protéger les données à caractère personnel dans les
domaines de la coopération policière et de la coopération judiciaire en matière
pénale[4].
|
Základem stávajících právních předpisů EU o
ochraně osobních údajů je směrnice 95/46/ES[3],
která byla přijata v roce 1995 a zaměřovala se na dva cíle: chránit základní
právo na ochranu údajů a zaručit volný pohyb osobních údajů mezi členskými
státy. Směrnice byla doplněna rámcovým rozhodnutím Rady 2008/977/SVV, které
jako obecný nástroj na úrovni Unie upravuje ochranu osobních údajů
v oblasti policejní a justiční spolupráce v trestních věcech[4].
|
|
La rapide évolution des technologies a créé de nouveaux
enjeux pour la protection des données à caractère personnel. Le partage et la
collecte de données ont connu une augmentation spectaculaire. Les nouvelles
technologies permettent tant aux entreprises privées qu’aux pouvoirs publics
d’utiliser les données à caractère personnel comme jamais auparavant dans le
cadre de leurs activités. De plus en plus de personnes physiques rendent des
informations les concernant accessibles à tout un chacun, où qu’il se trouve
dans le monde. Les nouvelles technologies ont ainsi transformé l’économie et
les rapports sociaux.
|
Rychlý technologický rozvoj staví ochranu
osobních údajů před nové výzvy. Objem sdílených a shromažďovaných údajů
dramaticky roste. Technologie umožňují jak soukromým společnostem, tak orgánům
veřejné moci využívat při provádění jejich činností osobní údaje
v nebývalém rozsahu. Jednotlivé osoby stále častěji zveřejňují své osobní
údaje i v globálním měřítku. Technologie změnily ekonomiku i společenský
život.
|
|
Or l’instauration d’un climat de confiance dans
l’environnement en ligne est essentielle au développement économique. S’ils
n’ont pas totalement confiance, les consommateurs hésiteront à faire des achats
en ligne et à recourir à de nouveaux services. Cela risque de ralentir
l’innovation dans l’utilisation des nouvelles technologies. La protection des
données à caractère personnel joue donc un rôle crucial dans la stratégie
numérique pour l'Europe[5]
et, plus généralement, dans la stratégie Europe 2020[6].
|
Budování důvěryhodnosti internetového
prostředí má pro hospodářský rozvoj klíčový význam. Nedostatek důvěry vede
k tomu, že se spotřebitelé zdráhají nakupovat on-line a využívat nové
služby. Mohlo by tedy dojít ke zpomalení rozvoje inovativního využívání nových
technologií. Ochrana osobních údajů proto hraje ústřední roli v Digitální
agendě pro Evropu[5]
a ještě obecněji ve strategii Evropa 2020[6].
|
|
L'article 16, paragraphe 1, du traité sur le
fonctionnement de l’Union européenne (TFUE), introduit par le traité de
Lisbonne, établit le principe selon lequel toute personne a droit à la
protection des données à caractère personnel la concernant. En outre, avec
l’article 16, paragraphe 2, du TFUE, le traité de Lisbonne a créé une
base juridique spécifique pour l’adoption de règles en matière de protection
des données à caractère personnel. L’article 8 de la charte des droits fondamentaux
de l’Union européenne consacre la protection des données à caractère personnel
en tant que droit fondamental.
|
V čl. 16 odst. 1 Smlouvy o fungování
Evropské unie (SFEU), který byl zaveden Lisabonskou smlouvou, je zakotvena
zásada, že každý má právo na ochranu osobních údajů, které se jej týkají. Kromě
toho Lisabonská smlouva zavedla s čl. 16 odst. 2 SFEU zvláštní právní základ
pro přijetí pravidel ochrany osobních údajů. V článku 8 Listiny základních
práv EU je ochrana osobních údajů zakotvena jako základní právo.
|
|
Le Conseil européen a invité la Commission à évaluer le
fonctionnement des instruments de l'UE relatifs à la protection des données et
à présenter, si besoin est, de nouvelles initiatives législatives et non
législatives[7].
Dans sa résolution sur le programme de Stockholm, le Parlement européen[8]
s’est félicité de la proposition d’un régime complet de protection des données
à l’intérieur de l’Union et a, entre autres, plaidé pour une révision de la
décision‑cadre. Dans son plan d'action mettant en œuvre le programme de
Stockholm[9],
la Commission insistait sur la nécessité de veiller à ce que le droit
fondamental à la protection des données à caractère personnel soit appliqué
systématiquement dans le cadre de toutes les politiques européennes.
|
Evropská rada vyzvala Komisi, aby zhodnotila
fungování nástrojů EU pro ochranu údajů a v případě potřeby předložila
další legislativní a nelegislativní iniciativy[7].
Evropský parlament ve svém usnesení o Stockholmském programu[8] uvítal návrh komplexního režimu
ochrany údajů v EU a mimo jiné vyzval k revizi rámcového rozhodnutí.
Komise ve svém Akčním plánu provádění Stockholmského programu[9] zdůraznila potřebu soustavného
uplatňování základního práva na ochranu osobních údajů ve všech politikách EU.
|
|
Dans sa communication intitulée «Une approche globale de la
protection des données à caractère personnel dans l’Union européenne»[10],
la Commission a conclu que l’UE avait besoin d’une politique plus globale et
plus cohérente à l’égard du droit fondamental à la protection des données à
caractère personnel.
|
Ve svém sdělení „Komplexní přístup
k ochraně osobních údajů v Evropské unii“[10] Komise dospěla k závěru,
že pokud jde o základní právo na ochranu osobních údajů, potřebuje EU
komplexnější a jednotnější politiku.
|
|
S’il demeure satisfaisant en ce qui concerne ses objectifs
et ses principes, le cadre juridique actuel n'a cependant pas permis d’éviter
une fragmentation de la mise en œuvre de la protection des données à caractère
personnel dans l'Union, une insécurité juridique et le sentiment, largement
répandu dans le public, que des risques importants subsistent, notamment dans
l’environnement en ligne[11].
C'est pourquoi il est temps de doter l’Union d’un cadre juridique plus solide
et plus cohérent en matière de protection des données, assorti d’une
application rigoureuse des règles, afin de permettre à l'économie numérique de
se développer sur tout le marché intérieur et aux personnes physiques de
maîtriser l’utilisation qui est faite des données les concernant, et de
renforcer la sécurité juridique et pratique pour les opérateurs économiques et
les pouvoirs publics.
|
Cíle a zásady stávajícího rámce zůstávají v
platnosti, rámec však nebrání nejednotnému uplatňování ochrany osobních údajů
v rámci celé Unie, právní nejistotě a rozšířenému pocitu veřejnosti, že
zejména s internetovými činnostmi jsou spojena značná rizika[11]. Proto nadešel čas vytvořit
pevnější a jednotnější rámec pro ochranu údajů v EU, jenž se bude opírat o
důrazné vymáhání práva a jenž umožní rozvoj digitální ekonomiky na celém
vnitřním trhu, občanům dá možnost kontrolovat své vlastní údaje a zvýší právní
a praktickou jistotu pro hospodářské subjekty a orgány veřejné moci.
|
|
2.
RÉSULTATS
DE LA CONSULTATION DES PARTIES INTÉRESSÉES ET DE L'ANALYSE D’IMPACT
|
2.
VÝSLEDKY KONZULTACÍ SE ZÚČASTNĚNÝMI STRANAMI A POSOUZENÍ DOPADŮ
|
|
La présente initiative fait suite à une vaste consultation
des principales parties prenantes sur l’opportunité de réviser le cadre
juridique actuel de la protection des données à caractère personnel, qui a duré
plus de deux ans et a notamment pris la forme d’une conférence à haut niveau en
mai 2009[12]
et de deux phases de consultation publique:
|
Tato iniciativa je výsledkem rozsáhlých
konzultací se všemi hlavními zúčastněnými stranami o přezkumu stávajícího
právního rámce pro ochranu osobních údajů, které trvaly více než dva roky a
v jejichž rámci se uskutečnila konference na vysoké úrovni v květnu
2009[12].
Veřejná konzultace proběhla ve dvou fázích:
|
|
–
du 9 juillet au 31 décembre 2009, la consultation sur
le cadre juridique applicable au droit fondamental à la protection des données
à caractère personnel. La Commission a reçu 168 réponses, dont
127 provenaient de particuliers, d’organisations et d’associations
professionnelles, et 12 de pouvoirs publics[13];
|
–
konzultace o právním rámci pro základní právo na
ochranu osobních údajů probíhala od 9. července
do 31. prosince 2009. Komise obdržela 168 odpovědí, z toho 127 od
jednotlivých osob, obchodních organizací a sdružení a 12 od orgánů veřejné moci[13],
|
|
–
du 4 novembre 2010 au 15 janvier 2011, la consultation
sur l’approche globale de la Commission en matière de protection des
données à caractère personnel dans l'Union européenne. La Commission a reçu
305 réponses, dont 54 émanaient de citoyens, 31 de pouvoirs publics et
220 d’organismes privés, notamment des associations professionnelles et
des organisations non gouvernementales[14].
|
–
konzultace o komplexním přístupu Komise
k ochraně osobních údajů v Evropské unii
probíhala od 4. listopadu 2010 do 15. ledna 2011. Komise obdržela 305
odpovědí, z toho 54 odpovědí od občanů, 31 od orgánů veřejné moci a 220 od
soukromých organizací, zejména obchodních sdružení a nevládních organizací[14].
|
|
Des consultations ciblées ont également été menées auprès
des principales parties prenantes; des manifestations spécifiques, associant
les autorités des États membres et les parties prenantes du secteur privé,
ainsi que des organisations de protection des données et de la vie privée, et
des associations de consommateurs, ont été organisées en juin et en
juillet 2010[15]..
En novembre 2010, Mme Viviane Reding, vice-présidente de la Commission
européenne, a tenu une table ronde sur la réforme de la protection des données.
Le 28 janvier 2011, lors de la Journée de la protection des données,
la Commission européenne et le Conseil de l'Europe ont organisé conjointement
une conférence à haut niveau afin d’examiner des questions liées à la réforme
du cadre juridique de l'UE ainsi que la nécessité d’instaurer des normes
communes de protection des données au niveau mondial[16].
Deux conférences sur la protection des données se sont tenues dans le cadre des
présidences hongroise et polonaise du Conseil,
les 16 et 17 juin 2011 et le 21 septembre 2011
respectivement.
|
Kromě toho probíhaly cílené konzultace
s hlavními zúčastněnými stranami; v červnu a červenci 2010 byly
zorganizovány konkrétní akce s orgány členských států a účastníky ze
soukromého sektoru, jakož i organizacemi na ochranu soukromí, ochranu údajů a
ochranu spotřebitelů[15].
V listopadu 2010 zorganizovala místopředsedkyně Evropské komise Viviane
Redingová jednání u kulatého stolu o reformě ochrany údajů. Dne 28. ledna 2011
(den ochrany údajů) Evropská komise a Rada společně uspořádaly konferenci na
vysoké úrovni, aby se projednaly otázky související s reformou právního
rámce EU a potřebou společných norem pro ochranu údajů v celosvětovém
měřítku[16].
Dvě konference o ochraně údajů uspořádalo maďarské a polské předsednictví Rady
ve dnech 16.–17. června 2011 a dne 21. září 2011.
|
|
Des ateliers et séminaires spécialisés, portant sur des
questions spécifiques, se sont déroulés tout au long de l'année 2011. En
janvier, l'ENISA[17]
a organisé un atelier sur la notification des violations de données en Europe[18].
En février, la Commission a convoqué un atelier avec les autorités des États
membres afin d’examiner des questions liées à la protection des données dans le
domaine de la coopération policière et judiciaire en matière pénale, notamment
la mise en œuvre de la décision-cadre, et l'Agence des droits fondamentaux a
tenu une réunion de consultation des parties prenantes sur «la protection des
données et le respect de la vie privée». Une discussion sur des aspects
essentiels de la réforme a eu lieu le 13 juillet 2011 avec les
autorités nationales chargées de la protection des données. Les citoyens de
l’Union ont été consultés dans le cadre d’une enquête Eurobaromètre qui s’est
déroulée aux mois de novembre et décembre 2010[19].
Plusieurs études ont également été entreprises[20].
Le groupe de travail «Article 29»[21]
a rendu plusieurs avis et apporté une contribution utile à la Commission[22].
Le contrôleur européen de la protection des données a également rendu un avis
exhaustif sur les questions soulevées dans la communication de la Commission de
novembre 2010[23].
|
Během roku 2011 probíhaly tematické workshopy
a semináře o konkrétních otázkách. Evropská agentura pro bezpečnost sítí a
informací (ENISA)[17]
zorganizovala v lednu seminář o oznamování porušení ochrany údajů
v Evropě[18].
V únoru Komise svolala seminář, na němž s orgány členských států
projednala otázky ochrany údajů v oblasti policejní a justiční spolupráce
v trestních věcech, včetně provádění rámcového rozhodnutí, a Agentura pro
základní práva uspořádala konzultační schůzku se zúčastněnými stranami o
ochraně údajů a soukromí. Diskuse s vnitrostátními orgány pro ochranu
údajů o klíčových otázkách reformy proběhla dne 13. července 2011. Konzultace
s občany EU proběhla prostřednictvím průzkumu Eurobarometr
v listopadu a prosinci 2010[19].
Byla také provedena řada studií[20].
„Pracovní skupina zřízená podle článku 29“[21]
poskytla Komisi několik stanovisek a užitečné vstupy[22]. Evropský inspektor ochrany
údajů rovněž vydal obsáhlé stanovisko k otázkám, které vyplynuly ze sdělení
Komise z listopadu 2010[23].
|
|
Par résolution du 6 juillet 2011, le Parlement
européen a approuvé un rapport qui appuyait l'approche de la Commission quant à
la réforme du cadre législatif régissant la protection des données[24].
Le Conseil de l'Union européenne a adopté, le 24 février 2011, des conclusions
dans lesquelles il soutient largement l'intention de la Commission de réformer
le cadre de la protection des données et approuve de nombreux éléments de son
approche. Le Comité économique et social européen s’est également déclaré
favorable à une révision appropriée de la directive 95/46/CE, soutenant
l’objectif général de la Commission d’assurer une application plus cohérente
des règles européennes en matière de protection des données[25]
dans tous les États membres[26].
|
Evropský parlament schválil svým usnesením ze
dne 6. července 2011 zprávu, která podpořila přístup Komise k reformě
rámce pro ochranu údajů.[24]
Rada Evropské unie přijala dne 24. února 2011 závěry, v nichž v široké
míře podporuje úmysl Komise reformovat rámec pro ochranu údajů a souhlasí s
mnoha prvky jejího přístupu. Evropský hospodářský a sociální výbor obdobně
podpořil cíl Komise zajistit jednotnější uplatňování pravidel EU pro ochranu
údajů[25]
ve všech členských státech a odpovídající přezkum směrnice 95/46/ES[26].
|
|
Au cours des consultations sur l’approche globale, la grande
majorité des parties prenantes a reconnu que les principes généraux restaient
valables, mais qu’il y avait lieu d’adapter le cadre juridique actuel afin de
mieux répondre aux défis posés par la rapide évolution des nouvelles
technologies (notamment en ligne) et la mondialisation croissante, tout en
préservant la neutralité technologique dudit cadre. La fragmentation de la
protection des données à caractère personnel à laquelle nous assistons
actuellement dans l’Union a fait l’objet de vives critiques, en particulier de
la part des opérateurs économiques, qui réclament une plus grande sécurité
juridique et une harmonisation plus poussée des règles en matière de protection
des données à caractère personnel. Ils considèrent que la complexité des règles
relatives aux transferts internationaux de données à caractère personnel
constitue un obstacle important à leur activité, puisqu’ils ont régulièrement
besoin de transférer ce type de données de l'UE vers d'autres parties du monde.
|
Během konzultací o komplexním přístupu velká
většina zúčastněných stran souhlasila s tím, aby obecné zásady platily i
nadále, avšak zároveň uvedla, že stávající rámec je třeba upravit, aby lépe
reagoval na výzvy, které s sebou rychlý vývoj nových technologií
(především on-line) a rostoucí globalizace přinášejí. Technologická neutralita
právního rámce by však měla zůstat zachována. Velké kritice byla podrobena
stávající nejednotnost ochrany osobních údajů v Unii, zejména ze strany
hospodářských subjektů, které požadovaly větší právní jistotu a harmonizaci
pravidel ochrany osobních údajů. Složitá pravidla týkající se mezinárodního
předávání osobních údajů považují zúčastněné strany za významnou překážku při
provádění svých činností, neboť pravidelně potřebují předávat osobní údaje z EU
do jiných částí světa.
|
|
Conformément à sa politique tendant à «mieux légiférer», la
Commission a réalisé une analyse d’impact des différentes options possibles.
Cette analyse reposait sur trois objectifs, à savoir: renforcer la
dimension «marché intérieur» de la protection des données, rendre
l’exercice du droit à la protection des données par les personnes physiques
plus effectif et instaurer un cadre global et cohérent couvrant tous les
domaines de compétence de l’Union, y compris la coopération policière et la
coopération judiciaire en matière pénale. Trois options, prévoyant un degré
d’intervention variable, ont été évaluées: la première consistait à apporter un
minimum de modifications législatives et à recourir à des communications
interprétatives et à des mesures de soutien telles que des programmes de
financement et des instruments techniques; la deuxième comprenait un ensemble
de dispositions législatives répondant à chacun des problèmes mis en évidence
dans l'analyse, et la troisième prévoyait la centralisation de la protection
des données au niveau de l’UE grâce à l’adoption de règles précises et
détaillées pour tous les secteurs et à la création d'une agence européenne
chargée de surveiller et de contrôler l'application des dispositions.
|
V souladu se svou politikou zlepšování
právní úpravy provedla Komise posouzení dopadů jednotlivých alternativ
politiky. Posouzení dopadů vycházelo ze tří politických cílů – posílení dimenze
vnitřního trhu při ochraně údajů, zvýšení účinnosti výkonu práv na ochranu
údajů ze strany jednotlivců a vytvoření komplexního a jednotného rámce, který
by se vztahoval na všechny oblasti pravomocí Unie, včetně policejní a justiční
spolupráce v trestních věcech. Hodnoceny byly tři možnosti politiky
s různým stupněm intervence: první možnost spočívala v minimálních
legislativních změnách, využití výkladových sdělení a podpůrných politických opatření,
jako jsou programy financování a technické nástroje, druhou možnost tvořil
soubor právních předpisů, které řeší všechny problémy zjištěné v analýze,
a třetí možností byla centralizace ochrany údajů na úrovni EU prostřednictvím
přesných a podrobných pravidel pro všechny sektory a zřízení agentury EU pro
sledování a prosazování právních předpisů.
|
|
Conformément à la méthode établie par la Commission, chaque
option a été évaluée, avec l’aide d’un groupe de pilotage interservices, au
regard de son efficacité pour atteindre les objectifs fixés, de son impact
économique sur les parties prenantes (y compris sur le budget des institutions
de l’UE), de son impact social et de son incidence sur les droits fondamentaux.
L’impact environnemental n’a pas été examiné. Cette analyse de l’incidence
globale des différentes options a permis de dégager l’option privilégiée qui
est fondée sur la deuxième option, en y associant quelques éléments des deux
autres, et est intégrée dans la présente proposition. D’après l’analyse
d’impact, l’option privilégiée devrait permettre, entre autres, de
considérablement accroître la sécurité juridique pour les responsables du
traitement des données et les citoyens, réduire la charge administrative,
harmoniser l’application des règles en matière de protection des données dans
l’Union, renforcer l’exercice effectif par les personnes physiques de leur
droit à la protection des données les concernant au sein de l’UE et améliorer
l’efficacité de la surveillance et du contrôle de l’application des règles en
la matière. La mise en œuvre de l’option privilégiée devrait également
contribuer à la réalisation de l'objectif de simplification et de réduction de
la charge administrative poursuivi par la Commission et des objectifs de la
stratégie numérique pour l'Europe, du plan d'action mettant en œuvre le
programme de Stockholm et de la stratégie Europe 2020.
|
Podle metodologie zavedené Komisí byla každá
politická možnost posouzena, mj. za pomoci meziútvarové řídící skupiny, z
hlediska své účinnosti při dosahování politických cílů, svého hospodářského
dopadu na zúčastněné strany (také na rozpočet orgánů EU), svého sociálního
dopadu a účinku na základní práva. Dopady na životní prostředí se neposuzovaly.
Z analýzy celkového dopadu vyplynula preferovaná politická možnost, která vychází
z druhé možnosti a obsahuje určité prvky z ostatních dvou možností a
která je začleněna do tohoto návrhu.Podle hodnocení dopadů povede její
provedení mimo jiné ke značnému zlepšení právní jistoty pro správce údajů a
občany, ke snížení administrativní zátěže, k jednotnému prosazování ochrany
údajů v Unii, účinnému výkonu práv na ochranu údajů pro jednotlivce při
ochraně osobních údajů v rámci EU a účinné kontrole a prosazování ochrany
údajů. Očekává se, že provádění preferovaných politických možností rovněž
přispěje ke splnění cíle Komise zjednodušit a omezit administrativní zátěž
a ke splnění cílů Digitální agendy pro Evropu, Stockholmského akčního plánu a
strategie Evropa 2020.
|
|
Le comité des analyses d'impact a rendu un avis sur le
projet d'analyse d'impact le 9 septembre 2011, à la suite de quoi ce
dernier a été modifié comme suit:
|
Výbor pro posouzení dopadů vydal stanovisko
k této předloze posouzení dopadů dne 9. září 2011. V návaznosti na
stanovisko výboru byly do posouzení dopadů zapracovány tyto změny:
|
|
–
les objectifs du cadre juridique actuel (la mesure dans laquelle ils ont
été atteints ou ne l’ont pas été) ainsi que ceux de la réforme envisagée ont
été précisés;
|
–
byly upřesněny cíle stávajícího právního rámce (v
jakém rozsahu byly či nebyly splněny), jakož i cíle plánované reformy,
|
|
–
des éléments de fait et des explications/précisions ont été ajoutés dans
la section relative à la définition des problèmes;
|
–
do oddílu definice problémů bylo přidáno více
důkazů a dodatečná vysvětlení/objasnění,
|
|
–
une section concernant la proportionnalité a été ajoutée;
|
–
byl doplněn oddíl o proporcionalitě,
|
|
–
tous les calculs et toutes les estimations relatifs à la charge
administrative dans le scénario de départ et dans l’option privilégiée ont été entièrement
révisés, et le rapport entre le coût des notifications et le coût total de la
fragmentation a été clarifié (y compris l'annexe 10);
|
–
všechny výpočty a odhady související
s administrativní zátěží v základním scénáři a v preferované
možnosti byly celkově přezkoumány a revidovány a byl vyjasněn vztah mezi
náklady na oznamování a celkovými náklady způsobenými nejednotností (včetně
přílohy 10),
|
|
–
les incidences sur les micro, petites et moyennes entreprises, notamment
celles de l’obligation de désigner un délégué à la protection des données et de
réaliser des analyses d’impact relatives à cette protection ont été précisées.
|
–
byly podrobněji vymezeny dopady na mikropodniky,
malé a střední podniky, zejména na inspektory ochrany údajů a posouzení dopadů
na ochranu údajů.
|
|
L'analyse d'impact et son résumé sont publiés avec les
propositions.
|
Zpráva o posouzení dopadů a její shrnutí se
zveřejní spolu s návrhy.
|
|
3.
ÉLÉMENTS
JURIDIQUES DE LA PROPOSITION
3.1.
Base juridique
|
3.
PRÁVNÍ STRÁNKA NÁVRHU
3.1.
Právní základ
|
|
La présente proposition est fondée sur
l'article 16 du TFUE, qui est la nouvelle base juridique,
introduite par le traité de Lisbonne, pour l’adoption de règles en matière de
protection des données. Cette disposition permet d'adopter des règles relatives
à la protection des personnes physiques à l’égard du traitement des données à
caractère personnel par les États membres dans l’exercice d’activités qui
relèvent du champ d’application du droit de l’Union. Elle permet également
l’adoption de règles relatives à la libre circulation de ces données, y compris
les données à caractère personnel traitées par les États membres ou des
personnes privées.
|
Tento návrh je založen na článku 16 SFEU,
který je novým právním základem pro přijetí pravidel pro ochranu údajů
zavedeným Lisabonskou smlouvou. Toto ustanovení umožňuje přijmout pravidla
týkající se ochrany fyzických osob při zpracování osobních údajů členskými
státy při výkonu činností, jež spadají do působnosti práva Unie. Rovněž
umožňuje přijmout pravidla týkající se volného pohybu osobních údajů, včetně osobních
údajů zpracovávaných členskými státy nebo soukromými subjekty.
|
|
Un règlement est considéré comme l’instrument juridique le
plus indiqué pour définir le cadre de la protection des données à caractère
personnel dans l'Union. Son applicabilité directe, prévue à
l’article 288 du TFUE, permettra de réduire la fragmentation
juridique et d’apporter une plus grande sécurité juridique, en instaurant un
corps harmonisé de règles de base, en améliorant la protection des droits
fondamentaux des personnes physiques et en contribuant au bon fonctionnement du
marché intérieur.
|
Za nejvhodnější právní nástroj pro definování
rámce pro ochranu osobních údajů v Unii se považuje nařízení. Na základě
přímé použitelnosti nařízení podle článku 288 SFEU se omezí právní nejednotnost
a zvýší právní jistota tím, že se zavede harmonizovaný soubor základních
pravidel, zlepší ochrana základních práv jednotlivců a přispěje k fungování
vnitřního trhu.
|
|
La référence à l’article 114, paragraphe 1, du
TFUE n’est nécessaire qu’aux fins de modification de la
directive 2002/58/CE dans la mesure où ladite directive prévoit également
la protection des intérêts légitimes des abonnés qui sont des personnes
morales.
|
Odkaz na čl. 114 odst. 1 SFEU je nutný pro
změnu směrnice 2002/58/ES pouze do té míry, že směrnice rovněž poskytuje
ochranu oprávněných zájmů účastníků, kteří jsou právnickými osobami.
|
|
3.2.
Subsidiarité et proportionnalité
|
3.2.
Subsidiarita a proporcionalita
|
|
Selon le principe de subsidiarité (article 5,
paragraphe 3, du TUE), une action au niveau de l’Union est entreprise
seulement si, et dans la mesure où, les objectifs envisagés ne peuvent pas être
atteints de manière suffisante par les États membres, mais peuvent l’être
mieux, en raison des dimensions ou des effets de l’action envisagée, au niveau
de l’Union. À la lumière des problèmes décrits ci-dessus, l’analyse de
subsidiarité indique la nécessité d'une action au niveau de l'UE pour les
raisons suivantes:
|
V souladu se zásadou subsidiarity (čl. 5 odst.
3 Smlouvy o EU) by měla být opatření na úrovni Unie přijata pouze v případě, že
plánovaných cílů nelze uspokojivě dosáhnout na úrovni samotných členských
států, a proto jich lze z důvodu rozsahu či účinků navrhovaného opatření lépe
dosáhnout na úrovni Unie. Vzhledem k problémům uvedeným výše je v analýze
subsidiarity uvedena potřeba činnosti na úrovni EU z těchto důvodů:
|
|
–
le droit à la protection des données à caractère personnel, consacré à
l'article 8 de la charte des droits fondamentaux, exige un niveau de
protection des données identique dans l'ensemble de l'Union. L'absence de
règles communes dans l’UE risquerait d’entraîner des niveaux de protection
différents dans les États membres et, partant, des restrictions sur les flux
transfrontières de données à caractère personnel entre les États membres
n’appliquant pas les mêmes normes;
|
–
Právo na ochranu osobních údajů, zakotvené
v článku 8 Listiny základních práv, vyžaduje stejnou úroveň ochrany údajů
v celé Unii. Absence společných pravidel v EU by znamenala riziko různé
úrovně ochrany v členských státech a omezení přeshraničního pohybu
osobních údajů mezi členskými státy, které používají odlišné normy.
|
|
–
les données à caractère personnel sont transférées de plus en plus
rapidement au-delà des frontières nationales, qu'il s’agisse de frontières
intérieures ou extérieures. En outre, le contrôle de la bonne application de la
législation sur la protection des données pose des problèmes pratiques et il
conviendrait d'instaurer une coopération entre les États membres et leurs
autorités, organisée au niveau de l'UE, afin d'assurer une application uniforme
du droit de l’Union. L'Union européenne est aussi la mieux placée pour garantir
d’une manière efficace et cohérente le même niveau de protection aux personnes
physiques, lorsque des données à caractère personnel les concernant sont
transférées vers des pays tiers;
|
–
Osobní údaje jsou předávány přes hranice
jednotlivých států – jak přes vnitřní, tak přes vnější hranice – ve stále
větším objemu. Kromě toho existují praktické obtíže při prosazování právních
předpisů o ochraně údajů, proto musí být potřebná spolupráce mezi členskými
státy a jejich orgány organizována na úrovni EU, aby se zajistilo jednotné
uplatňování práva Unie. EU má také nejlepší předpoklady pro to, aby jednotlivým
osobám účinně a jednotně zajistila stejnou úroveň ochrany, pokud jsou jejich
osobní údaje předávány do třetích zemí.
|
|
–
les États membres ne sont pas en mesure de résoudre seuls les problèmes
posés par la situation actuelle, en particulier ceux dus à la fragmentation des
législations nationales. Aussi y a-t-il précisément lieu de définir un cadre
harmonisé et cohérent permettant un transfert aisé des données à caractère
personnel au‑delà des frontières nationales au sein de l’UE, tout en assurant
une protection effective de toutes les personnes physiques dans l’ensemble de
l’UE;
|
–
Členské státy nemohou ve stávající situaci samy
omezit problémy, zejména problémy způsobené nejednotností vnitrostátních
právních předpisů. Proto je zvláště třeba zavést harmonizovaný a jednotný
rámec, který by umožňoval plynulé předávání osobních údajů přes hranice v rámci
EU a zároveň zajišťoval účinnou ochranu všem fyzickým osobám v celé EU.
|
|
–
les actions législatives envisagées au niveau de l’UE seront plus
efficaces que des actions comparables entreprises au niveau des États membres,
compte tenu de la nature et de l’ampleur des problèmes, qui ne se limitent pas
à un seul ou à plusieurs États membres.
|
–
Navrhovaná opatření právních předpisů EU budou
účinnější než podobná opatření na úrovni členských států, neboť problémy mají
takovou povahu a rozsah, že nejsou jen vnitrostátní záležitostí jednoho nebo
několika členských států.
|
|
Le principe de proportionnalité veut que toute intervention
soit ciblée et n'excède pas ce qui est nécessaire pour atteindre les objectifs
visés. Ce principe a guidé toute l’élaboration de la présente proposition législative,
de la détermination et l’évaluation des différentes options jusqu’à sa
rédaction.
|
Zásada proporcionality vyžaduje, aby byl každý
zásah cílený a nepřekračoval rámec toho, co je nezbytné pro dosažení cílů.
Tento princip je vodicím prvkem přípravy tohoto návrhu od identifikace a
hodnocení alternativních možností politiky až po vypracování legislativního
návrhu.
|
|
3.3.
Résumé des aspects relatifs aux droits fondamentaux
|
3.3.
Shrnutí otázek základních práv
|
|
Le droit à la protection des données à caractère personnel
est établi à l'article 8 de la charte et à l’article 16 du TFUE,
ainsi qu’à l’article 8 de la CEDH. Ainsi que l'a souligné la Cour de
justice de l’Union européenne[27],
le droit à la protection des données à caractère personnel n’apparaît pas comme
une prérogative absolue, mais doit être pris en considération par rapport à sa
fonction dans la société[28].
La protection des données est étroitement liée au respect de la vie privée et
familiale, protégé par l'article 7 de la charte. Cela trouve son
expression à l’article 1er, paragraphe 1, de la
directive 95/46/CE qui dispose que les États membres assurent la
protection des libertés et droits fondamentaux des personnes physiques,
notamment de leur vie privée, à l'égard du traitement des données à caractère
personnel.
|
Právo na ochranu osobních údajů je zakotveno v
článku 8 Listiny, článku 16 SFEU a v článku 8 Úmluvy o ochraně lidských
práv a základních svobod. Jak zdůraznil Soudní dvůr EU[27], právo na ochranu osobních
údajů není právem absolutním, avšak musí být posuzováno v souvislosti se
svou funkcí ve společnosti[28].
Ochrana údajů je úzce spjata s respektováním soukromého a rodinného
života, které je zakotveno v článku 7 Listiny. Tato skutečnost se odráží
v čl. 1 odst. 1 směrnice 95/46/ES, který stanoví, že členské státy
zajišťují ochranu základních práv a svobod fyzických osob, zejména jejich
soukromí, v souvislosti se zpracováním osobních údajů.
|
|
Les autres droits fondamentaux consacrés dans la charte et
susceptibles d'être affectés sont les suivants: la liberté d'expression
(article 11 de la charte); la liberté d'entreprise (article 16); le droit de
propriété, et notamment la protection de la propriété intellectuelle
(article 17, paragraphe 2); l’interdiction de toute discrimination fondée
notamment sur la race, les origines ethniques, les caractéristiques génétiques,
la religion ou les convictions, les opinions politiques ou toute autre opinion,
un handicap ou l'orientation sexuelle (article 21); les droits de l’enfant
(article 24); le droit à un niveau élevé de protection de la santé humaine
(article 35); le droit d’accès aux documents (article 42); le droit à
un recours effectif et à accéder à un tribunal impartial (article 47).
|
Dotčena by mohla být také další základní práva
zakotvená v Listině, např. svoboda projevu (článek 11 Listiny); svoboda
podnikání (článek 16); právo na vlastnictví a zejména ochrana duševního
vlastnictví (čl. 17 odst. 2); zákaz diskriminace mimo jiné založené na rase,
etnickém původu, genetických rysech, náboženském vyznání nebo přesvědčení,
politických názorech či jakýchkoli jiných názorech, zdravotním postižení nebo
sexuální orientaci (článek 21); práva dítěte (článek 24); právo na vysoký
stupeň péče o lidského zdraví (článek 35); právo na přístup k dokumentům
(článek 42); právo na účinnou právní ochranu a spravedlivý proces (článek 47).
|
|
3.4.
Explication détaillée de la proposition
3.4.1.
CHAPITRE I - DISPOSITIONS GÉNÉRALES
|
3.4.
Podrobné vysvětlení návrhu
3.4.1.
KAPITOLA I – OBECNÁ USTANOVENÍ
|
|
L’article 1er définit l’objet du règlement et,
comme l'article 1er de la directive 95/46/CE, les deux
objectifs poursuivis.
|
Článek 1 definuje předmět nařízení a stejně
jako článek 1 směrnice 95/46/ES stanoví dva cíle nařízení.
|
|
L'article 2 délimite le champ d'application matériel du
règlement.
|
Článek 2 vymezuje věcnou působnost nařízení.
|
|
L'article 3 délimite le champ d'application territorial du
règlement.
|
Článek 3 vymezuje územní působnost nařízení.
|
|
L'article 4 définit des termes employés dans le règlement.
Certaines définitions sont reprises de la directive 95/46/CE, tandis que
d'autres sont modifiées ou complétées par des éléments supplémentaires, ou sont
nouvelles (la «violation de données à caractère personnel» dont la définition
est fondée sur l'article 2, point h), de la directive 2002/58/CE[29]
(«vie privée et communications électroniques») telle que modifiée par la
directive 2009/136/CE[30],
les «données génétiques», les «données biométriques», les «données concernant
la santé», l’«établissement principal», le «représentant», l’«entreprise», le
«groupe d'entreprises», les «règles d'entreprise contraignantes», l’«enfant»
dont la définition est fondée sur la convention des Nations unies relative aux
droits de l'enfant[31],
et l’«autorité de contrôle»).
|
Článek 4 obsahuje definice pojmů, které
nařízení používá. Některé definice se přebírají ze směrnice 95/46/ES, jiné se
pozměňují, doplňují o nové prvky, nebo se zavádějí nové definice (definice
„narušení bezpečnosti osobních údajů“ vychází z čl. 2 písm. h) směrnice o
soukromí a elektronických komunikacích 2002/58/ES[29] ve znění směrnice 2009/136/ES[30], definice „genetických údajů“,
„biometrických údajů“, „údajů o zdravotním stavu“, „hlavní provozovny“,
„zástupce“, „podniku“, „skupiny podniků“, „závazných podnikových pravidel“ a
definice „dítěte“, jež vychází z Úmluvy OSN o právech dítěte[31], a „orgánu dozoru“).
|
|
Dans la définition du consentement, le qualificatif
«explicite» est ajouté à la liste des critères afin d’éviter tout parallélisme
prêtant à confusion avec le consentement «indubitable» et de disposer d’une
définition unique et cohérente du consentement, garantissant que la personne
concernée donne son consentement en toute connaissance de cause.
|
V definici souhlasu je doplněno kritérium
„výslovný“ s cílem předejít matoucí podobnosti s pojmem „jednoznačný“
souhlas, aby existovala jediná a jednotná definice souhlasu zajišťující, že
subjekt údajů si je vědom, že dává souhlas a k čemu dává souhlas.
|
|
3.4.2.
CHAPITRE II - PRINCIPES
|
3.4.2.
KAPITOLA II – ZÁSADY
|
|
L'article 5 énonce les principes relatifs au traitement des
données à caractère personnel, qui correspondent à ceux de l'article 6 de la
directive 95/46/CE. Des éléments nouveaux ont été ajoutés, tels que le principe
de transparence, des éclaircissements concernant le principe de minimisation
des données et l’instauration d'une responsabilité globale du responsable du
traitement.
|
V článku 5 jsou stanoveny zásady související
se zpracováním osobních údajů, jež odpovídají zásadám uvedeným v článku 6
směrnice 95/46/ES. Dodatečným novým prvkem je zejména zásada transparentnosti,
vyjasnění zásady minimalizace údajů a zavedení komplexní odpovědnosti správce.
|
|
L'article 6 définit, sur la base de l'article 7 de la
directive 95/46/CE, les critères de licéité du traitement, qui sont précisés en
ce qui concerne la mise en balance des intérêts, et le respect des obligations
légales et de l'intérêt général.
|
Článek 6 vychází z článku 7 směrnice
95/46/ES a stanoví kritéria zákonného zpracování údajů, která jsou dále
specifikována, pokud jde o vyváženost kritéria zájmu, splnění právních
povinností a veřejný zájem.
|
|
L’article 7 précise les conditions auxquelles le
consentement peut valablement fonder un traitement licite.
|
Článek 7 vymezuje podmínky, za jakých je
souhlas platný jako právní důvod pro zákonné zpracování údajů.
|
|
L'article 8 fixe d’autres conditions de licéité pour le
traitement des données à caractère personnel relatives aux enfants, en ce qui
concerne les services de la société de l’information qui sont directement
proposés à ces derniers.
|
Článek 8 stanoví další podmínky zákonného
zpracování osobních údajů dětí v souvislosti se službami informační
společnosti, které jsou přímo nabízeny dětem.
|
|
L'article 9, qui s’inspire de l’article 8 de la directive
95/46/CE, prévoit une interdiction générale des traitements portant sur des
catégories particulières de données à caractère personnel, et les exceptions à
cette règle générale.
|
Článek 9 stanoví obecný zákaz zpracování
zvláštních kategorií osobních údajů a výjimky z tohoto obecného pravidla
na základě článku 8 směrnice 95/46/ES.
|
|
L’article 10 précise que le responsable du traitement n’est
pas tenu d’obtenir des informations supplémentaires pour identifier la personne
concernée à la seule fin de respecter une disposition du présent règlement.
|
Článek 10 objasňuje, že správce není povinen
získávat dodatečné informace k identifikaci subjektu údajů výlučně za účelem
zajištění souladu s ustanoveními tohoto nařízení.
|
|
3.4.3.
CHAPITRE III - DROITS DE LA PERSONNE CONCERNÉE
3.4.3.1.
Section 1 – Transparence et modalités
|
3.4.3.
KAPITOLA III – PRÁVA SUBJEKTU ÚDAJŮ
3.4.3.1.
Oddíl 1 – Transparentnost a metody
|
|
L'article 11 introduit l'obligation, pour les responsables
du traitement, de fournir des informations transparentes, facilement
accessibles et intelligibles, qui s’inspire notamment de la résolution de
Madrid relative à des normes internationales en matière de protection des
données à caractère personnel et de la vie privée[32].
|
Článkem 11 se zavádí pro správce povinnost
poskytovat transparentní, snadno dostupné a srozumitelné informace. Vychází
zejména z Madridského usnesení o mezinárodních normách o ochraně osobních
údajů a soukromí[32].
|
|
L'article 12 oblige le responsable du traitement à
prévoir des procédures et des mécanismes permettant à la personne concernée
d’exercer ses droits, notamment les moyens d’effectuer une demande par voie
électronique, la fixation d’un délai de réponse à la demande de la personne
concernée et la motivation des refus.
|
Článek 12 ukládá správci povinnost zajistit
postupy a mechanismy pro výkon práv subjektu údajů, včetně prostředků pro
podávání elektronických žádostí, vyžádání odpovědi na žádost subjektu údajů ve
stanovené lhůtě a důvody zamítnutí.
|
|
L’article 13 prévoit des droits en faveur des
destinataires inspirés de l'article 12, point c), de la
directive 95/46/CE et étendus à tous les destinataires, y compris les responsables
conjoints du traitement et les sous‑traitants.
|
Článek 13 rozšiřuje práva příjemců na základě
čl. 12 odst. c) směrnice 95/46/ES na všechny příjemce, včetně společných
správců a zpracovatelů.
|
|
3.4.3.2.
Section 2 - Information et accès aux données
|
3.4.3.2.
Oddíl 2 – Informace a přístup k údajům
|
|
L’article 14 précise les informations que le responsable du
traitement est tenu de fournir à la personne concernée et en ajoute par rapport
aux articles 10 et 11 de la directive 95/46/CE, notamment la durée de
conservation, le droit d’introduire une réclamation, les transferts
internationaux et la source des données. Il reprend également les dérogations
prévues dans la directive 95/46/CE, par exemple l’absence d’obligation
d’information si la législation prévoit expressément l’enregistrement ou la
communication des données. Cela pourrait, par exemple, s’appliquer aux
procédures engagées par une autorité de concurrence, une administration fiscale
ou douanière, ou un service chargé des questions de sécurité sociale.
|
Článek 14 dále upřesňuje povinnosti správce
informovat subjekt údajů, a to na základě článků 10 a 11 směrnice 95/46/ES,
tedy poskytovat subjektu údajů dodatečné informace, například o době uchovávání
údajů, právu podat stížnost, o mezinárodním předávání údajů a zdroji, ze
kterého údaje pocházejí. Zachovává rovněž ustanovení o případných výjimkách
uvedených ve směrnici 95/46/ES, tzn. tato povinnost není stanovena, pokud je
zaznamenávání nebo sdělování údajů výslovně stanoveno zákonem. To se týká
například zpracování údajů ze strany orgánů pro hospodářskou soutěž, daňové či
celní správy nebo útvarů příslušných v oblasti sociálního zabezpečení.
|
|
L’article 15 confère à la personne concernée un droit
d'accès aux données à caractère personnel la concernant, tout comme le faisait
l’article 12, point a), de la directive 95/46/CE, en y ajoutant
de nouveaux éléments tels que l’obligation d’informer les personnes concernées
de la durée de conservation, de leur droit à rectification et à l'effacement et
de leur droit de réclamation.
|
Článek 15, který se opírá o čl. 12 písm. a)
směrnice 95/46/ES, stanoví právo subjektu údajů na přístup ke svým osobním
údajům a přidává nové prvky, jako je právo subjektu údajů na informace o době
uchovávání, právo na opravu a výmaz a právo podat stížnost.
|
|
3.4.3.3.
Section 3 – Rectification et effacement
|
3.4.3.3.
Oddíl 3 – Oprava a výmaz
|
|
L'article 16 confère à la personne concernée un droit à
rectification, sur la base de l’article 12, point b), de la
directive 95/46/CE.
|
Článek 16 stanoví právo subjektu údajů na
opravu údajů a vychází z čl. 12 odst. b) směrnice 95/46/ES.
|
|
L’article 17 lui confère, quant à lui, un droit à l’oubli
numérique et à l'effacement. Il développe et précise le droit d’effacement
prévu à l’article 12, point b), de la directive 95/46/CE et fixe
les conditions du droit à l’oubli numérique, notamment l’obligation qui est
faite au responsable du traitement ayant rendu publiques des données à
caractère personnel d’informer les tiers de la demande de la personne concernée
d'effacer tout lien vers ces données ou les copies ou reproductions qui en ont
été faites. Il intègre aussi le droit de limiter le traitement dans certains
cas, en évitant le terme équivoque de «verrouillage».
|
Článek 17 stanoví právo subjektu údajů být
zapomenut a právo na výmaz. Dále rozpracovává a upřesňuje právo na výmaz uvedené
v čl. 12 odst. b) směrnice 95/46/ES a stanoví podmínky pro uplatňování
práva být zapomenut, včetně povinnosti správce, jenž osobní údaje zveřejnil,
informovat třetí strany o žádosti subjektu údajů o výmaz všech odkazů na tyto
osobní údaje nebo kopií či replikací těchto osobních údajů. Zavádí rovněž právo
na omezení zpracování údajů v určitých případech, čímž se vyhýbá
nejednoznačnému pojmu „blokování“.
|
|
L'article 18 confère à la personne concernée un nouveau
droit, le droit à la portabilité des données, c’est-à-dire celui de transmettre
des données d’un système de traitement automatisé à un autre, sans que le
responsable du traitement ne puisse y faire obstacle. À titre de condition
préalable et pour améliorer l’accès des personnes physiques aux données à
caractère personnel les concernant, il prévoit le droit d’obtenir ces données
du responsable du traitement dans un format électronique structuré et
couramment utilisé.
|
Článkem 18 se zavádí právo subjektu údajů na
přenositelnost údajů, tzn. na předávání údajů z jednoho automatizovaného
systému zpracování do jiného, aniž by tomu správce bránil. Jako předpoklad a
s cílem dále zlepšovat přístup fyzických osob k jejich osobním údajům
poskytuje právo obdržet od správce tyto údaje ve strukturovaném a běžně
používaném elektronickém formátu.
|
|
3.4.3.4.
Section 4 — Droit d'opposition et profilage
|
3.4.3.4.
Oddíl 4 – Právo vznést námitku a profilování
|
|
L’article 19 confère à la personne concernée un droit
d’opposition. Il est fondé sur l’article 14 de la directive 95/46/CE,
auquel il apporte quelques modifications, notamment en ce qui concerne la
charge de la preuve et son application au marketing direct.
|
Článek 19 zaručuje subjektu údajů právo vznést
námitku. Je založen na článku 14 směrnice 95/46/ES s určitými
úpravami, mimo jiné ohledně důkazního břemene a jeho uplatňování v přímém
marketingu.
|
|
L'article 20 porte sur le droit
de la personne concernée de ne pas être soumise à une mesure fondée sur le
profilage. Il est inspiré de l’article 15, paragraphe 1, de la
directive 95/46 relatif aux décisions individuelles automatisées, qu'il
complète et assortit de garanties supplémentaires, et tient compte de la
recommandation du Conseil de l’Europe concernant le profilage[33].
|
Článek 20 se týká
práva subjektu údajů nebýt předmětem opatření založeného na profilování.
Základem je čl. 15 odst. 1 směrnice 95/46 o automatizovaných individuálních
rozhodnutích s určitými úpravami a dodatečnými zárukami a s ohledem na
doporučení Rady Evropy o profilování[33].
|
|
3.4.3.5.
Section 5 – Limitations
|
3.4.3.5.
Oddíl 5 – Omezení
|
|
L’article 21 précise dans
quelle mesure l’Union ou les États membres peuvent maintenir ou introduire des
limitations aux principes énoncés à l’article 5 et aux droits de la
personne concernée prévus aux articles 11 à 20 et à l’article 32.
Cette disposition repose sur l’article 13 de la directive 95/46/CE et
sur les exigences découlant de la charte des droits fondamentaux et de la
convention européenne de sauvegarde des droits de l'homme et des libertés
fondamentales, telles qu’elles ont été interprétées par la Cour de justice de
l'Union européenne et par la Cour européenne des droits de l’homme.
|
Článek 21
vysvětluje pravomoc Unie nebo členských států zachovat či zavést omezení zásad
ve smyslu článku 5 a práv subjektu údajů ve smyslu článků 11 až 20
a článku 32. Toto ustanovení vychází z článku 13 směrnice 95/46/ES a
z požadavků vyplývajících z Listiny základních práv a Úmluvy o ochraně
lidských práv a základních svobod ve smyslu výkladu Soudního dvora EU a
Evropského soudu pro lidská práva.
|
|
3.4.4.
CHAPITRE IV - RESPONSABLE DU TRAITEMENT ET SOUS‑TRAITANT
3.4.4.1.
Section 1 — Obligations générales
|
3.4.4.
KAPITOLA IV – SPRÁVCE A ZPRACOVATEL
3.4.4.1.
Oddíl 1 – Obecné povinnosti
|
|
L’article 22 tient compte du débat sur un «principe de
responsabilité» et décrit en détail les obligations incombant au responsable du
traitement pour se conformer au présent règlement et en apporter la preuve,
notamment par l'adoption de règles internes et de mécanismes à cet effet.
|
Článek 22 zohledňuje diskusi o „zásadě
odpovědnosti“ a podrobně popisuje povinnost správce nést odpovědnost za
dodržování souladu s tímto nařízením a tento soulad prokázat, mimo jiné
přijetím vnitřních politik a mechanismů pro zajištění tohoto souladu.
|
|
L'article 23 définit les obligations du responsable du
traitement qui découlent des principes de protection des données dès la
conception et de protection des données par défaut.
|
Článek 23 stanoví povinnosti správce
vyplývající ze zásady ochrany údajů již od návrhu a ze zásady standardního
nastavení ochrany údajů.
|
|
L’article 24 relatif aux responsables conjoints du
traitement précise les responsabilités de ces derniers en ce qui concerne leurs
relations internes et à l’égard de la personne concernée.
|
Článek 24 o společných správcích upřesňuje
odpovědnosti společných správců, pokud jde o jejich vzájemný vztah a vztah vůči
subjektu údajů.
|
|
L'article 25 oblige, dans certaines circonstances, les
responsables du traitement qui ne sont pas établis dans l’Union à y désigner un
représentant, lorsque le règlement s’applique à leurs activités de traitement.
|
Článek 25 předepisuje za určitých podmínek
správcům, kteří nejsou usazeni v Unii a na jejichž činnosti spojené se
zpracováváním údajů se nařízení vztahuje, aby za určitých podmínek určili
v Unii svého zástupce.
|
|
L'article 26 précise la fonction de sous‑traitant et
les obligations qui y sont attachées. Il est en partie fondé sur
l’article 17, paragraphe 2, de la directive 95/46/CE, auquel il ajoute de
nouveaux éléments, notamment le fait qu’un sous‑traitant qui traite des données
d'une autre manière que celle prévue dans les instructions du responsable du
traitement doit être considéré comme responsable conjoint du traitement.
|
Článek 26, který částečně vychází z čl.
17 odst. 2 směrnice 95/46/ES, upřesňuje postavení a povinnosti zpracovatele a
obsahuje nové prvky, například že by zpracovatel, který zpracovává údaje nad
rámec pokynů správce, měl být považován za společného správce.
|
|
L'article 27 relatif au traitement effectué sous l'autorité
du responsable du traitement et du sous‑traitant est fondé sur l'article 16
de la directive 95/46/CE.
|
Článek 27 o zpracování z pověření správce
a zpracovatele vychází z článku 16 směrnice 95/46/ES.
|
|
L’article 28 introduit l’obligation, pour les
responsables du traitement et les sous‑traitants, de conserver une trace
documentaire des opérations de traitement sous leur responsabilité, au lieu de
la notification générale à l'autorité de contrôle exigée par l’article 18,
paragraphe 1, et l'article 19 de la directive 95/46/CE.
|
Článek 28 zavádí namísto obecné oznamovací
povinnosti vůči orgánu dozoru podle čl. 18 odst. 1 a článku 19 směrnice
95/46/ES povinnost správce a zpracovatele vést dokumentaci o všech zpracováních,
za která nesou odpovědnost.
|
|
L’article 29 précise les obligations qui incombent au
responsable du traitement et au sous‑traitant dans le cadre de leur coopération
avec l’autorité de contrôle.
|
Článek 29 vymezuje povinnosti správce a
zpracovatele spolupracovat s orgánem dozoru.
|
|
3.4.4.2.
Section 2 – Sécurité des données
|
3.4.4.2.
Oddíl 2 – Bezpečnost údajů
|
|
L'article 30 oblige le responsable du traitement et le sous‑traitant
à mettre en œuvre les mesures appropriées pour assurer la sécurité du
traitement. Fondé sur l'article 17, paragraphe 1, de la directive 95/46/CE,
il étend cette obligation aux sous‑traitants, indépendamment du contrat conclu
avec le responsable du traitement.
|
Článek 30 ukládá správci a zpracovateli
povinnost přijmout vhodná opatření pro zajištění bezpečnosti zpracování.
Vychází z čl. 17 odst. 1 směrnice 95/46/ES a rozšiřuje tuto povinnost na
zpracovatele bez ohledu na smluvní vztah se správcem.
|
|
Les articles 31 et 32 introduisent une obligation de
notification des violations de données à caractère personnel, inspirée de la
notification des violations de données à caractère personnel prévue à l’article
4, paragraphe 3, de la directive 2002/58/CE («vie privée et communications
électroniques»).
|
Články 31 a 32 zavádějí povinnost oznamovat
případy narušení bezpečnosti osobních údajů a vycházejí z čl. 4 odst. 3
směrnice o soukromí a elektronických komunikacích 2002/58/ES.
|
|
3.4.4.3.
Section 3 – Évaluation de la protection des données et autorisation
préalable
|
3.4.4.3.
Oddíl 3 – Posuzování dopadu na ochranu údajů a
předchozí povolení
|
|
L’article 33 introduit l’obligation, pour les responsables
du traitement et les sous‑traitants, d’effectuer une analyse d’impact relative
à la protection des données préalablement aux traitements présentant des
risques.
|
Článek 33 zavádí pro správce a zpracovatele
povinnost vypracovat posouzení dopadu na ochranu údajů před zpracováním údajů
spojeným s riziky.
|
|
L'article 34, qui développe la notion de contrôles
préalables définie à l’article 20 de la directive 95/46/CE, concerne les
cas dans lesquels l'autorisation et la consultation de l’autorité de contrôle
sont obligatoires avant le traitement.
|
Článek 34 se týká případů, v nichž se
musí před zpracováním údajů získat povolení orgánu dozoru nebo se musí tento
orgán konzultovat, a vychází z koncepce předběžné kontroly podle článku 20
směrnice 95/46/ES.
|
|
3.4.4.4.
Section 4 – Délégué à la protection des données
|
3.4.4.4.
Oddíl 4 – Inspektor ochrany údajů
|
|
L'article 35 introduit l’obligation de désigner un délégué à
la protection des données pour le secteur public et, dans le secteur privé,
pour les grandes entreprises, ou lorsque les activités de base du responsable
du traitement ou du sous-traitant consistent en des traitements qui exigent un
suivi régulier et systématique. Cette disposition s’inscrit dans la continuité
de l’article 18, paragraphe 2, de la directive 95/46/CE, qui prévoyait la
possibilité pour les États membres d'introduire une telle obligation à la place
de l’obligation de notification générale.
|
Článek 35 předepisuje povinné jmenování
inspektora ochrany údajů pro veřejný sektor a v soukromém sektoru
v případě velkých podniků nebo pokud hlavní činnost správce nebo
zpracovatele spočívá ve zpracovávání údajů, které vyžaduje pravidelné a
systematické sledování. Vychází z čl. 18 odst. 2 směrnice 95/46/ES, který
členským státům umožňuje zavést tuto povinnost jako náhradu za obecnou
oznamovací povinnost.
|
|
L'article 36 définit la fonction du délégué à la protection
des données.
|
Článek 36 upravuje postavení inspektora
ochrany údajů.
|
|
L’article 37 prévoit les principales tâches du délégué à la
protection des données.
|
Článek 37 vymezuje hlavní úkoly inspektora
ochrany údajů.
|
|
3.4.4.5.
Section 5 – Codes de conduite et certification
|
3.4.4.5.
Oddíl 5 – Kodexy chování a osvědčování
|
|
L’article 38 porte sur les codes de conduite. Il
développe la notion figurant à l’article 27, paragraphe 1, de la
directive 95/46/CE, précise le contenu des codes et des procédures, et
habilite la Commission à se prononcer sur l’applicabilité générale des codes de
conduite.
|
Článek 38 vychází z čl. 27 odst. 1
směrnice 95/46/ES a týká se kodexů chování. Upřesňuje obsah kodexů a postupů a
pověřuje Komisi přijímáním rozhodnutí o obecné platnosti kodexů chování.
|
|
L’article 39 introduit la
possibilité de mettre en place des mécanismes de certification ainsi que des
marques et labels en matière de protection des données.
|
Článek 39
předpokládá možnost zavést mechanismy pro vydávání osvědčení o ochraně údajů a
zavedení pečetí a známek dokládajících ochranu údajů.
|
|
3.4.5.
CHAPITRE V - TRANSFERT DE DONNÉES À CARACTÈRE PERSONNEL VERS DES PAYS
TIERS OU À DES ORGANISATIONS INTERNATIONALES
|
3.4.5.
KAPITOLA V – PŘEDÁVÁNÍ OSOBNÍCH ÚDAJŮ DO TŘETÍCH
ZEMÍ NEBO MEZINÁRODNÍM ORGANIZACÍM
|
|
L’article 40 pose le principe général selon lequel le
respect des obligations énoncées dans ce chapitre est obligatoire pour tout
transfert de données à caractère personnel vers un pays tiers ou à une
organisation internationale, y compris les transferts ultérieurs.
|
Článek 40 uvádí jako obecnou zásadu, že
splnění povinností stanovených v této kapitole je povinné pro veškerá
předávání osobních údajů do třetích zemí nebo mezinárodním organizacím, včetně
dalšího předávání.
|
|
L'article 41 définit, sur la base de l'article 25 de la
directive 95/46/CE, les critères, conditions et procédures d'adoption d'une
décision de la Commission constatant un niveau de protection adéquat. Les critères
devant être pris en compte par la Commission aux fins de l’appréciation d’un
niveau de protection adéquat ou non incluent expressément l’État de droit,
l'existence d'un droit de recours judiciaire et un contrôle indépendant. Cet
article confirme désormais explicitement la faculté de la Commission
d’apprécier le niveau de protection assuré par un territoire ou un secteur de
traitement des données à l’intérieur d’un pays tiers.
|
Článek 41, který vychází z článku 25
směrnice 95/46/ES, stanoví kritéria, podmínky a postupy přijímání rozhodnutí
Komise o přiměřenosti. Kritéria, která se mají zohlednit při posuzování toho,
zda je úroveň ochrany přiměřená či nikoli, zahrnují výslovně právní stát,
soudní nápravu a nezávislý dozor. Článek nyní výslovně potvrzuje možnost, aby
Komise posoudila úroveň ochrany poskytované na určitém území či v odvětví
zpracovávání v dané třetí zemi.
|
|
L’article 42 subordonne les transferts vers des pays tiers
pour lesquels la Commission n’a pas adopté de décision constatant un niveau de
protection adéquat, à la présentation de garanties appropriées, notamment des
clauses types de protection des données, des règles d'entreprise contraignantes
et des clauses contractuelles. La possibilité d'utiliser des clauses types de
protection des données de la Commission est tirée de l’article 26,
paragraphe 4, de la directive 95/46/CE. Une nouveauté réside dans le
fait que ces clauses types de protection des données peuvent désormais être également
adoptées par une autorité de contrôle et être déclarées, par la Commission,
généralement applicables. Les règles d'entreprise contraignantes sont à présent
expressément mentionnées dans le texte juridique. L’option des clauses
contractuelles offre une certaine souplesse au responsable du traitement ou au
sous‑traitant, mais est subordonnée à l’autorisation préalable d’une autorité
de contrôle.
|
Článek 42 vyžaduje, aby byly při předávání
údajů do třetích zemí, u kterého Komise nepřijala rozhodnutí o přiměřenosti,
uvedeny vhodné záruky, zejména standardní doložky o ochraně údajů, závazná
podniková pravidla a smluvní doložky. Možnost využít standardní doložky Komise
o ochraně osobních údajů vychází z čl. 26 odst. 4 směrnice 95/46/ES. Novým
prvkem je, že tyto standardní doložky o ochraně údajů může nyní přijímat také
orgán dozoru a Komise je může prohlásit za obecně platné. Závazná podniková
pravidla jsou nyní výslovně zmíněna v textu nařízení. Možnost využít
smluvní doložky ponechává správci a zpracovateli určitou flexibilitu, musí však
být předem schválena orgánem dozoru.
|
|
L’article 43 décrit plus en détail les conditions
applicables aux transferts encadrés par des règles d'entreprise contraignantes,
sur la base des pratiques et des exigences actuelles des autorités de contrôle.
|
Článek 43 podrobněji popisuje podmínky
předávání údajů založeného na závazných podnikových pravidlech. Vychází
z běžné praxe a požadavků orgánu dozoru.
|
|
L’article 44 définit et précise les dérogations autorisées
pour les transferts de données, sur la base des dispositions existantes de
l’article 26 de la directive 95/46/CE. Cette disposition s'applique
en particulier aux transferts de données qui sont nécessaires pour des motifs
importants d'intérêt général, par exemple en cas de transfert international de
données entre autorités de la concurrence, administrations fiscales ou
douanières, ou entre services chargés des questions de sécurité sociale ou de
la gestion des activités de pêche. En outre, un transfert de données peut, dans
certaines circonstances, être justifié par un intérêt légitime du responsable
du traitement ou du sous‑traitant, mais seulement après évaluation et
justification des circonstances de cette opération de transfert.
|
Článek 44 uvádí a upřesňuje výjimky pro
předávání údajů a vychází ze stávajících ustanovení článku 26 směrnice
95/46/ES. Uplatní se zejména v případech, kdy je předávání údajů
požadované a nutné k ochraně důležitého veřejného zájmu, například
v případech mezinárodního předávání údajů mezi příslušnými orgány pro
hospodářskou soutěž, daňovými či celními správami nebo útvary příslušnými v
oblasti sociálního zabezpečení nebo řízení rybolovu. Kromě toho může být
předávání údajů za stanovených podmínek odůvodněno oprávněným zájmem správce
nebo zpracovatele, avšak pouze poté, co byly posouzeny a zdokumentovány
okolnosti předání.
|
|
L'article 45 prévoit expressément l’élaboration de
mécanismes de coopération internationaux dans le domaine de la protection des
données à caractère personnel, entre la Commission et les autorités de contrôle
de pays tiers, notamment ceux qui sont réputés assurer un niveau de protection
adéquat, compte tenu de la recommandation de l’Organisation de coopération et
de développement économiques (OCDE) du 12 juin 2007 relative à la coopération
transfrontière dans l’application des législations protégeant la vie privée.
|
Článek 45 v zájmu ochrany osobních údajů
výslovně předpokládá vypracování mechanismů pro mezinárodní spolupráci mezi
Komisí a orgány dozoru třetích zemí, zejména těmi, jejichž úroveň ochrany
osobních údajů je považována za přiměřenou, a to s ohledem na doporučení
Organizace pro hospodářskou spolupráci a rozvoj (OECD) o přeshraniční
spolupráci při prosazování zákonů na ochranu soukromí ze dne 12. června 2007.
|
|
3.4.6.
CHAPITRE VI – AUTORITÉS DE CONTRÔLE INDÉPENDANTES
3.4.6.1.
Section 1 – Statut d’indépendance
|
3.4.6.
KAPITOLA VI – NEZÁVISLÉ ORGÁNY DOZORU
3.4.6.1.
Oddíl 1 – Nezávislost postavení
|
|
L'article 46 fait obligation aux États membres de
mettre en place une ou plusieurs autorités de contrôle, ainsi que le requérait
l'article 28, paragraphe 1, de la directive 95/46/CE, et
d'élargir la mission de celles‑ci à la coopération entre elles et avec la
Commission.
|
Článek 46 ukládá na základě čl. 28 odst. 1
směrnice 95/46/ES členským státům povinnost zřídit orgány dozoru a přidává
k jejich úkolům také vzájemnou spolupráci a spolupráci s Komisí.
|
|
L'article 47 clarifie les conditions garantissant
l'indépendance des autorités de contrôle, en application de la jurisprudence de
la Cour de justice de l'Union européenne[34],
et en s'inspirant également de l'article 44 du règlement (CE)
n° 45/2001[35].
|
Článek 47 objasňuje podmínky nezávislosti
orgánů dozoru, které vycházejí z judikatury Soudního dvora Evropské unie[34] a z článku 44 nařízení (ES) č.
45/2001[35].
|
|
L'article 48 énonce les conditions générales
applicables aux membres de l’autorité de contrôle, en application de la
jurisprudence en la matière[36],
et en s'inspirant également de l'article 42, paragraphes 2 à 6,
du règlement (CE) n° 45/2001.
|
Článek 48 upravuje obecné podmínky pro členy
orgánu dozoru, které vycházejí z příslušné ustálené judikatury[36] a z čl. 42 odst. 2 až 6
nařízení (ES) 45/2001.
|
|
L'article 49 définit les règles encadrant la mise en
place de l'autorité de contrôle, que les États membres devront fixer par voie
législative.
|
Článek 49 stanoví, která pravidla pro zřízení
orgánu dozoru mají členské státy upravit právním předpisem.
|
|
Fondé sur l'article 28, paragraphe 7, de la
directive 95/46/CE, l’article 50 impose le secret professionnel aux
membres et au personnel de l'autorité de contrôle.
|
Článek 50 vychází z čl. 28 odst. 7
směrnice 95/46/ES a upravuje profesní tajemství členů orgánu dozoru a jeho
pracovníků.
|
|
3.4.6.2.
Section 2 – Fonctions et pouvoirs
|
3.4.6.2.
Oddíl 2 – Povinnosti a pravomoci
|
|
L'article 51 définit la compétence des autorités de
contrôle. La règle générale, reposant sur l'article 28, paragraphe 6,
de la directive 95/46/CE (compétence sur le territoire l'État membre dont
l'autorité relève) est complétée par une nouvelle compétence, celle d'autorité
chef de file lorsque le responsable du traitement ou le sous-traitant est
établi dans plusieurs États membres, afin d’assurer une application uniforme
(«guichet unique»). Lorsqu'elles agissent dans le cadre de leur fonction
juridictionnelle, les juridictions sont dispensées de se soumettre à la
surveillance de l’autorité de contrôle, mais pas d’appliquer les règles
matérielles relatives à la protection de données.
|
Článek 51 stanoví příslušnost orgánů dozoru.
Obecné pravidlo, které vychází z čl. 28 odst. 6 směrnice 95/46/ES
(pravomoci na území vlastního členského státu), je doplněno novou pravomocí
jako vedoucího orgánu v případě, že správce nebo zpracovatel sídlí ve více
členských státech, aby bylo zajištěno jednotné uplatňování (jediné kontaktní
místo). Soudy jednající v rámci svých soudních pravomocí jsou osvobozeny od
dohledu vykonávaného orgánem dozoru, podléhají však hmotněprávním pravidlům
ochrany údajů.
|
|
L'article 52 définit les fonctions de l'autorité de
contrôle, consistant notamment à recevoir et à examiner les réclamations, et à
sensibiliser le public aux risques, règles, garanties et droits existants.
|
V článku 52 jsou uvedeny povinnosti
orgánu dozoru, například projednávání a prošetřování stížností a zvyšování
povědomí veřejnosti o rizicích, pravidlech, zárukách a právech.
|
|
L'article 53 énonce les pouvoirs de l’autorité de
contrôle, en s'appuyant en partie sur l'article 28, paragraphe 3, de
la directive 95/46/CE et sur l'article 47 du règlement (CE)
n° 45/2001, et en y ajoutant quelques éléments nouveaux, dont le pouvoir
de sanctionner les infractions administratives.
|
Článek 53 upravuje pravomoci orgánu dozoru,
přičemž částečně vychází z čl. 28 odst. 3 směrnice 95/46/ES a článku 47
nařízení (ES) č. 45/2001, a doplňuje některé nové prvky, například pravomoc
postihovat správní přestupky.
|
|
L'article 54 fait obligation aux autorités de contrôle
d'établir des rapports d'activité annuels, ainsi que le requérait
l'article 28, paragraphe 5, de la directive 95/46/CE.
|
Článek 54 vychází z čl. 28 odst. 5
směrnice 95/46/ES a ukládá orgánům dozoru povinnost každý rok vypracovat zprávu
o činnosti.
|
|
3.4.7.
CHAPITRE VII ‑ COOPÉRATION ET COHÉRENCE
3.4.7.1.
Section 1 – Coopération
|
3.4.7.
KAPITOLA VII – SPOLUPRÁCE A JEDNOTNOST
3.4.7.1.
Oddíl 1 – Spolupráce
|
|
L'article 55 instaure des règles explicites en matière
d'assistance mutuelle obligatoire et prévoit notamment les conséquences en cas
de refus de se conformer à la demande d’une autre autorité de contrôle, sur la
base de l'article 28, paragraphe 6, deuxième alinéa, de la directive 95/46/CE.
|
Článek 55 určuje výslovně povinnost vzájemné
pomoci, včetně důsledků v případě nevyhovění žádosti jiného orgánu dozoru,
a vychází z druhého pododstavce čl. 28 odst. 6 směrnice 95/46/ES.
|
|
L'article 56 établit des règles applicables aux
opérations conjointes, s'inspirant de l'article 17 de la
décision 2008/615/JAI du Conseil[37],
y compris le droit conféré aux autorités de contrôle de participer à ces
opérations.
|
Článek 56 zavádí pravidla pro společné
operace, vychází z článku 17 rozhodnutí Rady 2008/615/SVV[37] a obsahuje mimo jiné právo
orgánu dozoru účastnit se těchto operací.
|
|
3.4.7.2.
Section 2 – Cohérence
|
3.4.7.2.
Oddíl 2 – Jednotnost
|
|
L'article 57 met en place un mécanisme de contrôle de
la cohérence, en vue d'assurer une application uniforme des règles lorsqu'il
s'agit de traitements qui peuvent viser des personnes concernées dans plusieurs
États membres.
|
Článek 57 zavádí mechanismus jednotnosti pro
zajištění jednotného uplatňování práva, pokud jde o zpracovávání údajů, které
se může týkat subjektů údajů v několika členských státech.
|
|
L'article 58 définit les procédures et conditions à
respecter pour demander l'avis du comité européen de la protection des données.
|
Článek 58 stanoví postupy a podmínky pro
vydání stanoviska Evropské rady pro ochranu údajů.
|
|
L'article 59 concerne les avis de la Commission
relatifs aux questions examinées dans le cadre du mécanisme de contrôle de la
cohérence, qui peuvent soit confirmer l’avis du comité européen de la
protection des données soit diverger de cet avis, et ceux relatifs aux projets
de mesure transmis par l’autorité de contrôle. Lorsque la question a été
soulevée par le comité européen de la protection des données en vertu de l’article 58, paragraphe 3, la Commission est
susceptible d’exercer son pouvoir discrétionnaire et, au besoin, de rendre un
avis.
|
Článek 59 se týká stanovisek Komise
k záležitostem řešeným v rámci mechanismu jednotnosti, která mohou
buď potvrdit stanovisko Evropské rady pro ochranu údajů nebo se od něj
mohou odchylovat, a návrhu opatření orgánu dozoru. Pokud Evropská rada pro
ochranu údajů požádá o řešení záležitosti podle čl. 58 odst. 3, lze očekávat,
že Komise využije svého volného uvážení a v případě potřeby vydá
stanovisko.
|
|
L'article 60 concerne la décision que la Commission
peut prendre pour contraindre une autorité compétente à suspendre son projet de
mesure lorsque cela est nécessaire pour garantir l'application correcte du
présent règlement.
|
Článek 60 se týká rozhodnutí Komise, kterými
se po příslušném orgánu vyžaduje, aby návrh opatření odložil, pokud je to
nezbytné pro správné uplatňování tohoto nařízení.
|
|
L'article 61 prévoit la possibilité d'adopter des
mesures provisoires, selon une procédure d'urgence.
|
Článek 61 počítá s možností přijmout postupem
pro naléhavé případy dočasná opatření.
|
|
L'article 62 définit les conditions relatives à l'adoption
d'actes d’exécution de la Commission dans le cadre du mécanisme de contrôle de
la cohérence.
|
Článek 62 stanoví požadavky na prováděcí akty
Komise v rámci mechanismu jednotnosti.
|
|
L'article 63 prévoit
l’obligation d’exécuter la mesure prévue par une autorité de contrôle dans tous
les États membres concernés, et précise que l'application du mécanisme de
contrôle de la cohérence est une condition préalable à la validité juridique et
à l'exécution de la mesure concernée.
|
Článek 63
předepisuje, že opatření orgánu dozoru se vykonává ve všech příslušných členských
státech, a stanoví, že příslušné opatření je právoplatné a vykonatelné pouze
při použití mechanismu jednotnosti.
|
|
3.4.7.3.
Section 3 – Comité européen de la protection des données
|
3.4.7.3.
Oddíl 3 – Evropská rada pro ochranu údajů
|
|
L'article 64 institue le comité européen de la
protection des données, composé des directeurs des autorités de contrôle de
tous les États membres et du contrôleur européen à la protection des données.
Le comité européen de la protection des données remplace le groupe de
protection des personnes à l'égard du traitement des données à caractère
personnel créé par l'article 29 de la directive 95/46/CE.
L'article 65 précise que la Commission n'est pas membre de ce comité, mais
a le droit de participer à ses activités et de s'y faire représenter.
|
Článkem 64 se zřizuje Evropská rada pro
ochranu údajů, kterou tvoří vedoucí orgánu dozoru z každého členského státu a
evropský inspektor ochrany údajů. Evropská rada pro ochranu údajů nahrazuje
pracovní skupinu pro ochranu osob v souvislosti se zpracováním osobních údajů
zřízenou podle článku 29 směrnice č. 95/46/ES. Je stanoveno, že Komise není
členem Evropské rady pro ochranu údajů, avšak má právo účastnit se jejích
činností a být v ní zastoupena.
|
|
L'article 65 souligne et explicite l'indépendance du
comité européen de la protection des données.
|
Článek 65 zdůrazňuje a stanovuje nezávislost
Evropské rady pro ochranu údajů.
|
|
L'article 66 décrit les missions du comité européen de
la protection des données, sur la base de l'article 30, paragraphe 1,
de la directive 95/46/CE, et prévoit des éléments supplémentaires, pour
tenir compte de l'élargissement du domaine d'activités de ce comité, tant au
sein qu'à l'extérieur de l'Union. Pour être en mesure de réagir à des
situations d’urgence, la Commission a la possibilité de demander audit comité
de formuler un avis dans un délai donné.
|
Článek 66 na základě čl. 30 odst. 1 směrnice
95/46/ES vymezuje úkoly Evropské rady pro ochranu údajů a doplňuje nové prvky,
které odrážejí širší oblast jejích činností v rámci Unie a mimo ni. Aby
byla schopna reagovat v naléhavých situacích, má Komise možnost požádat Radu o
stanovisko a stanovit lhůtu pro jeho poskytnutí.
|
|
L'article 67 fait obligation au comité européen de la
protection des données de présenter un rapport annuel sur ses activités, sur la
base de l’article 30, paragraphe 6, de la directive 95/46/CE.
|
Článek 67 požaduje, aby Evropská rada pro
ochranu údajů předkládala každý rok zprávu o své činnosti. Vychází z čl.
30 odst. 6 směrnice 95/46/ES.
|
|
L'article 68 définit les procédures décisionnelles du
comité européen de la protection des données, y compris l’obligation d’adopter
un règlement intérieur devant également déterminer ses modalités de
fonctionnement.
|
Článek 68 upravuje postupy rozhodování
Evropské rady pro ochranu údajů, včetně povinnosti přijmout jednací řád, který
by měl obsahovat rovněž provozní opatření.
|
|
L'article 69 contient des dispositions relatives au
président et aux vice-présidents du comité européen de la protection des
données.
|
Článek 69 obsahuje ustanovení týkající se
předsedy a místopředsedů Evropské rady pro ochranu údajů.
|
|
L’article 70 définit les missions du président.
|
Článek 70 stanoví úkoly předsedy.
|
|
L'article 71 prévoit que le secrétariat du comité
européen de la protection des données est assuré par le contrôleur européen de
la protection des données et il précise les missions de ce secrétariat.
|
Článek 71 stanoví, že služby sekretariátu
Evropské rady pro ochranu údajů poskytuje evropský inspektor ochrany údajů, a
vymezuje úkoly sekretariátu.
|
|
L'article 72 définit les règles de confidentialité.
|
Článek 72 stanoví pravidla týkající se
důvěrnosti.
|
|
3.4.8.
CHAPITRE III – VOIES DE RECOURS, RESPONSABILITÉ ET SANCTIONS
|
3.4.8.
KAPITOLA VIII – OPRAVNÉ PROSTŘEDKY, ODPOVĚDNOST A
SANKCE
|
|
L'article 73 prévoit le droit de toute personne
concernée de déposer une réclamation auprès d'une autorité de contrôle, sur la
base de l'article 28, paragraphe 4, de la directive 95/46/CE. Il
précise également les organismes, organisations ou associations habilités à
déposer une réclamation au nom de la personne concernée ou, en cas de violation
de données à caractère personnel, indépendamment de toute réclamation
introduite par une personne concernée.
|
Článek 73 vychází z čl. 28 odst. 4
směrnice 95/46/ES a stanoví, že každý subjekt údajů má právo vznést stížnost
k orgánu dozoru. Stanoví také subjekty, organizace nebo sdružení, které
mohou vznést stížnost jménem subjektu údajů nebo – v případě narušení
bezpečnosti osobních údajů – nezávisle na stížnosti subjektu údajů.
|
|
L'article 74 concerne le droit de former un recours
juridictionnel contre une autorité de contrôle. Il s'appuie sur la disposition
générale figurant à l'article 28, paragraphe 3 de la
directive 95/46/CE et prévoit, en particulier, un recours juridictionnel
pour contraindre une autorité de contrôle à donner suite à une réclamation,
tout en clarifiant la compétence des juridictions de l'État membre où
l'autorité de contrôle est établie. Il prévoit également la possibilité que
l'autorité de contrôle de l'État membre de résidence de la personne concernée
intente, au nom de cette dernière, une action devant les juridictions d'un
autre État membre dans lequel l'autorité de contrôle compétente est établie.
|
Článek 74 se týká práva na soudní opravné
prostředky vůči orgánu dozoru. Vychází z obecných ustanovení čl. 28 odst.
3 směrnice 95/46/ES. Předpokládá výslovně soudní opravný prostředek, který
orgán dozoru přiměje jednat ve věci stížnosti, a stanoví příslušnost soudů
členského státu, v němž je orgán dozoru usazen. Umožňuje rovněž, aby orgán
dozoru členského státu, v němž má subjekt údajů bydliště, zahájil jménem
subjektu údajů řízení u soudů jiného členského státu, v němž je příslušný orgán
dozoru usazen.
|
|
L'article 75 concerne le droit de former un recours
juridictionnel contre un responsable du traitement ou un sous-traitant,
s'appuyant sur l'article 22 de la directive 95/46/CE, et offre le
choix de saisir une juridiction dans l’État membre où le défendeur est établi
ou dans l'État membre de résidence de la personne concernée. Lorsqu'une
procédure portant sur la même question est pendante dans le cadre du mécanisme
de contrôle de la cohérence, la juridiction peut suspendre sa
procédure/surseoir à statuer, sauf en cas d'urgence.
|
Článek 75 vychází z článku 22 směrnice
95/46/ES, týká se práva na soudní opravné prostředky vůči správci nebo
zpracovateli a poskytuje možnost výběru zahájit řízení před soudem
v členském státě, v němž je žalovaný usazen nebo v němž má subjekt
údajů bydliště. Jestliže řízení, která se týkají téhož opatření, probíhají
v rámci mechanismu jednotnosti, může soud s výjimkou naléhavých případů
svá řízení odročit.
|
|
L'article 76 fixe des règles communes pour les
procédures juridictionnelles, y compris le droit conféré à des organismes,
organisations ou associations de représenter les personnes concernées devant
les tribunaux, le droit des autorités de contrôle d'ester en justice et
l'obligation d'informer les juridictions de l’existence d'une procédure
parallèle dans un autre État membre, et la possibilité offerte aux juridictions
nationales de suspendre la procédure en pareil cas[38].
Les États membres sont tenus de veiller à ce que les actions en justice
aboutissent rapidement[39].
|
Článek 76 stanoví společná pravidla pro soudní
řízení, včetně práva subjektů, organizací nebo sdružení zastupovat subjekt
údajů před soudy, práva orgánu dozoru zapojit se do soudního řízení,
informování soudů o paralelních řízeních v jiném členském státě a možnosti
soudů v takovém případě řízení odročit[38].
Členské státy mají povinnost zajistit, aby soudní řízení probíhala rychle[39].
|
|
L'article 77 traite du droit à réparation et de
la responsabilité. Il s’appuie sur l’article 23 de la
directive 95/46/CE, étend ce droit aux dommages causés par les
sous-traitants et clarifie la responsabilité des responsables conjoints du
traitement et des sous-traitants.
|
Článek 77 vymezuje právo na odškodnění a
odpovědnost. Vychází z článku 23 směrnice 95/46/ES,
rozšiřuje toto právo na škody způsobené zpracovateli a vymezuje odpovědnost
společných správců a společných zpracovatelů.
|
|
L'article 78 oblige les États membres à définir les
sanctions pénales applicables aux infractions aux dispositions du règlement et
à veiller à leur application.
|
Článek 78 ukládá členským státům povinnost
stanovit pravidla pro sankce ukládané za porušení tohoto nařízení a zajistit
jejich provádění.
|
|
L'article 79 impose à
chaque autorité de contrôle de sanctionner les infractions administratives
énumérées dans cette disposition, par des amendes plafonnées à un certain
montant, en fonction des circonstances propres à chaque cas.
|
Článek 79 ukládá
každému orgánu dozoru povinnost postihovat správní přestupky uvedené ve výčtech
v tomto ustanovení pokutami do maximální výše částek, a to při řádném
zohlednění okolností každého jednotlivého případu.
|
|
3.4.9.
CHAPITRE IX ‑ DISPOSITIONS RELATIVES À DES SITUATIONS PARTICULIÈRES DE
TRAITEMENT DES DONNÉES
|
3.4.9.
KAPITOLA IX – USTANOVENÍ TÝKAJÍCÍ SE ZVLÁŠTNÍCH
SITUACÍ, PŘI NICHŽ DOCHÁZÍ KE ZPRACOVÁVÁNÍ ÚDAJŮ
|
|
L'article 80 fait obligation aux États membres de
prévoir des exemptions et des dérogations à certaines dispositions du règlement
lorsqu'elles sont nécessaires pour concilier le droit à la protection des
données à caractère personnel avec le droit à la liberté d'expression. Il se
fonde sur l’article 9 de la directive 95/46/CE tel qu’il a été
interprété par la Cour de justice de l’UE[40].
|
Článek 80 ukládá členským státům povinnost
stanovit odchylky a výjimky z určitých ustanovení nařízení, je-li to
nezbytné pro uvedení práva na ochranu osobních údajů do souladu s právem
na svobodu projevu. Vychází z článku 9 směrnice 95/46/ES ve smyslu výkladu
Soudního dvora EU[40].
|
|
L'article 81 oblige les États membres à prévoir, outre
les conditions applicables à des catégories particulières de données, des
garanties spécifiques en cas de traitement de données concernant la santé.
|
Článek 81 ukládá členským státům povinnost
zajistit kromě podmínek pro zpracování zvláštních kategorií údajů také zvláštní
záruky pro zpracování údajů pro zdravotní účely.
|
|
L'article 82 habilite les États membres à adopter, par
voie législative, des règles spécifiques pour le traitement des données à
caractère personnel dans le secteur de l’emploi.
|
Článek 82 dává členským státům pravomoc
přijímat zvláštní právní předpisy pro zpracovávání osobních údajů
v souvislosti se zaměstnáním.
|
|
L'article 83 définit des conditions spécifiques pour le
traitement de données à caractère personnel à des fins historiques,
statistiques et de recherche scientifique.
|
Článek 83 vymezuje zvláštní podmínky pro
zpracování osobních údajů pro účely historiografického, statistického a
vědeckého výzkumu.
|
|
L'article 84 habilite les États membres à adopter des
règles spécifiques régissant l'accès des autorités de contrôle aux données à
caractère personnel et aux locaux, lorsque les responsables du traitement sont
soumis à des obligations de confidentialité.
|
Článek 84 zmocňuje členské státy
v případech, kdy správci podléhají povinnosti mlčenlivosti, k přijetí
zvláštních pravidel pro přístup orgánů dozoru k osobním údajům nebo
prostorám.
|
|
L'article 85 autorise les églises, en vertu de
l'article 17 du traité sur le fonctionnement de l'Union européenne, à
continuer à appliquer un ensemble complet de règles de protection des données,
à condition de les mettre en conformité avec le présent règlement.
|
Článek 85 umožňuje církvím s ohledem na
článek 17 Smlouvy o fungování Evropské unie nadále uplatňovat existující
komplexní pravidla pro ochranu osobních údajů, pokud je uvedou v soulad
s tímto nařízením.
|
|
3.4.10.
CHAPITRE X ‑ ACTES DÉLÉGUÉS ET ACTES D'EXÉCUTION
|
3.4.10.
KAPITOLA X – AKTY V PŘENESENÉ PRAVOMOCI
A PROVÁDĚCÍ AKTY
|
|
L’article 86 contient les dispositions types
applicables à l’exercice de la délégation, conformément à l'article 290 du
TFUE. Ce dernier autorise le législateur à déléguer à la Commission le pouvoir
d'adopter des actes non législatifs de portée générale qui complètent ou
modifient certains éléments non essentiels d’un acte législatif (actes quasi
législatifs).
|
Článek 86 obsahuje standardní ustanovení pro
výkon přenesených pravomocí v souladu s článkem 290 SFEU. Tento článek umožňuje
zákonodárci přenést na Komisi pravomoc přijímat nelegislativní akty s obecnou
působností, kterými se doplňují nebo mění některé prvky legislativního aktu,
které nejsou podstatné (kvazilegislativní akty).
|
|
L'article 87 contient la
disposition relative à la procédure de comité nécessaire pour conférer des
compétences d’exécution à la Commission, dans les cas où, conformément à
l'article 291 du TFUE, des conditions uniformes d'exécution d'actes
juridiquement contraignants de l'Union sont nécessaires. La procédure d’examen
s’applique.
|
Článek 87
obsahuje ustanovení týkající se postupu projednávání ve výborech potřebného pro
svěření prováděcích pravomocí Komisi v případech, kdy jsou podle článku
291 SFEU pro provedení právně závazných aktů Unie nezbytné jednotné podmínky.
Použije se přezkumný postup.
|
|
3.4.11.
CHAPITRE XI ‑ DISPOSITIONS FINALES
|
3.4.11.
KAPITOLA XI – ZÁVĚREČNÁ USTANOVENÍ
|
|
L'article 88 abroge la directive 95/46/CE.
|
Článkem 88 se zrušuje směrnice 95/46/ES.
|
|
L'article 89 clarifie la relation avec la
directive 2002/58/CE («vie privée et communications électroniques») et
modifie celle-ci.
|
Článek 89 vymezuje vztah k směrnici 2002/58/ES
a obsahuje její změny.
|
|
L'article 90 fait obligation à la Commission d'évaluer
le règlement et de présenter des rapports à ce sujet.
|
Článek 90 ukládá Komisi povinnost provádět
hodnocení nařízení a předkládat související zprávy.
|
|
L'article 91 fixe la date d'entrée en vigueur du
règlement et définit une période transitoire en ce qui concerne la date de son
application.
|
Článek 91 stanoví datum vstupu nařízení
v platnost a přechodné období, pokud jde o datum jeho použití.
|
|
4. INCIDENCE BUDGÉTAIRE
|
4. ROZPOČTOVÉ DŮSLEDKY
|
|
Les incidences budgétaires spécifiques de la proposition
concernent les missions dévolues au contrôleur européen de la protection des
données, comme il est indiqué dans la fiche financière législative jointe à la
présente proposition. Ces incidences nécessitent une reprogrammation de la
rubrique 5 du cadre financier.
|
Konkrétní rozpočtové důsledky návrhu vyplývají
z úkolů přenesených na orgán evropského inspektora ochrany údajů, jak je
uvedeno v legislativním finančním výkazu připojeném k tomuto návrhu.
Tyto důsledky vyžadují změnu okruhu 5 finančního výhledu.
|
|
La proposition n'a pas d'incidence sur les dépenses de
fonctionnement.
|
Tento návrh nemá dopad na provozní výdaje.
|
|
La fiche financière législative accompagnant la présente
proposition de règlement couvre les incidences budgétaires du règlement
lui-même et celles de la directive sur la protection des données dans le
domaine de la police et de la justice.
|
Legislativní finanční výkaz k tomuto
návrhu nařízení obsahuje rozpočtové důsledky pro samotné nařízení a pro
směrnici o ochraně údajů v oblasti policie a trestního soudnictví.
|
|
2012/0011 (COD)
|
2012/0011 (COD)
|
|
Proposition de
|
Návrh
|
|
RÈGLEMENT DU PARLEMENT EUROPÉEN ET DU CONSEIL
|
NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY
|
|
relatif à la protection des personnes physiques à l'égard
du traitement des données à caractère personnel et à la libre circulation de
ces données (règlement général sur la protection des données)
|
o ochraně fyzických osob v souvislosti se
zpracováváním osobních údajů a o volném pohybu těchto údajů (obecné nařízení o
ochraně údajů)
|
|
(Texte présentant de l'intérêt pour l'EEE)
|
(Text s významem pro EHP)
|
|
LE PARLEMENT EUROPÉEN ET LE CONSEIL DE L'UNION
EUROPÉENNE,
|
EVROPSKÝ PARLAMENT A RADA EVROPSKÉ
UNIE,
|
|
vu le traité sur le fonctionnement de l’Union européenne, et
notamment son article 16, paragraphe 2, et son article 114,
paragraphe 1,
|
s ohledem na Smlouvu o fungování Evropské
unie, a zejména na čl. 16 odst. 2 a čl. 114 odst. 1
této smlouvy,
|
|
vu la proposition de la Commission européenne,
|
s ohledem na návrh Evropské komise,
|
|
après transmission du projet d’acte législatif aux
parlements nationaux,
|
po postoupení návrhu legislativního aktu
vnitrostátním parlamentům,
|
|
vu l’avis du Comité économique et social européen[41],
|
s ohledem na stanovisko Evropského
hospodářského a sociálního výboru[41],
|
|
après consultation du contrôleur européen de la protection
des données[42],
|
po konzultaci s evropským inspektorem ochrany
údajů[42],
|
|
statuant conformément à la procédure législative ordinaire,
|
v souladu s řádným legislativním
postupem,
|
|
considérant ce qui suit:
|
vzhledem k těmto důvodům:
|
|
(1)
La protection des personnes physiques à l'égard du traitement des
données à caractère personnel est un droit fondamental. L’article 8,
paragraphe 1, de la charte des droits fondamentaux de l’Union européenne
et l’article 16, paragraphe 1, du traité sur le fonctionnement de
l’Union européenne disposent que toute personne a droit à la protection des
données à caractère personnel la concernant.
|
(1)
Ochrana fyzických osob v souvislosti se
zpracováváním osobních údajů je základním právem. Ustanovení čl. 8 odst. 1
Listiny základních práv Evropské unie a čl. 16 odst. 1 Smlouvy stanoví, že
každý má právo na ochranu osobních údajů, které se jej týkají.
|
|
(2)
Le traitement des données à caractère personnel est au service de
l’homme; les principes et les règles régissant la protection des personnes
physiques à l'égard du traitement des données les concernant devraient donc,
quelle que soit la nationalité ou la résidence de ces personnes, respecter
leurs libertés et leurs droits fondamentaux, notamment le droit à la protection
des données à caractère personnel. Le traitement des données devrait contribuer
à la réalisation d'un espace de liberté, de sécurité et de justice et d'une
union économique, au progrès économique et social, à la consolidation et à la
convergence des économies au sein du marché intérieur, ainsi qu'au bien-être
des personnes.
|
(2)
Zpracování osobních údajů má sloužit lidem; zásady
a pravidla ochrany fyzických osob v souvislosti se zpracováváním jejich
osobních údajů by proto měly bez ohledu na státní příslušnost nebo bydliště
těchto osob dodržovat jejich základní práva a svobody, zejména právo na ochranu
osobních údajů. Zpracování osobních údajů by mělo přispět k dotvoření
prostoru svobody, bezpečnosti a práva a hospodářské unie, k hospodářskému
a sociálnímu pokroku, posilování a sbližování ekonomik v rámci vnitřního
trhu a k dobrým životním podmínkám jednotlivců.
|
|
(3)
La directive 95/46/CE du Parlement européen et du Conseil du
24 octobre 1995 relative à la protection des personnes physiques à
l’égard du traitement des données à caractère personnel et à la libre
circulation de ces données[43]
vise à harmoniser la protection des libertés et des droits fondamentaux des
personnes physiques en ce qui concerne les activités de traitement de données
et à garantir la libre circulation des données à caractère personnel entre les
États membres.
|
(3)
Účelem směrnice Evropského parlamentu a Rady
95/46/ES ze dne 24. října 1995 o ochraně fyzických osob
v souvislosti se zpracováním osobních údajů a o volném pohybu
těchto údajů[43]
je harmonizovat právní předpisy o ochraně základních práv a svobod fyzických
osob v souvislosti se zpracováním údajů a zaručit volný pohyb osobních
údajů mezi členskými státy.
|
|
(4)
L'intégration économique et sociale résultant du fonctionnement du
marché intérieur a conduit à une augmentation substantielle des flux
transfrontières. Les échanges de données entre acteurs économiques et sociaux,
publics et privés, se sont intensifiés dans l'ensemble de l'Union. Le droit de
l'Union appelle les autorités nationales des États membres à coopérer et à
échanger des données à caractère personnel, afin d'être en mesure de remplir
leurs missions ou d'accomplir des tâches pour le compte d'une autorité d'un
autre État membre.
|
(4)
Hospodářská a sociální integrace vyplývající
z fungování vnitřního trhu vedla ke značnému nárůstu přeshraničního pohybu
údajů. Výměna údajů mezi hospodářskými a sociálními, veřejnými a soukromými
subjekty se v celé Unii zvýšila. Právo Unie zavazuje vnitrostátní orgány členských
států ke spolupráci a výměně osobních údajů, aby mohly plnit své povinnosti
nebo provádět úkoly jménem orgánu jiného členského státu.
|
|
(5)
La rapide évolution des technologies et la mondialisation ont créé de
nouveaux enjeux pour la protection des données à caractère personnel. La
collecte et le partage de données ont connu une augmentation spectaculaire. Les
nouvelles technologies permettent tant aux entreprises privées qu’aux pouvoirs
publics d’utiliser les données à caractère personnel comme jamais auparavant
dans le cadre de leurs activités. De plus en plus de personnes physiques
rendent des informations les concernant accessibles à tout un chacun, où qu’il
se trouve dans le monde. Les nouvelles technologies ont ainsi transformé
l’économie et les rapports sociaux, et elles exigent de faciliter davantage la
libre circulation des données au sein de l’Union et leur transfert vers des
pays tiers et à des organisations internationales, tout en assurant un niveau
élevé de protection des données à caractère personnel.
|
(5)
Rychlý technologický rozvoj a globalizace
s sebou přinesly nové výzvy pro oblast ochrany osobních údajů. Objem sdílených
a sbíraných údajů dramaticky vzrostl. Technologie umožňují jak soukromým
společnostem, tak orgánům veřejné moci využívat při provádění jejich činností
osobní údaje v nebývalém rozsahu. Jednotlivé osoby stále častěji
zveřejňují své osobní údaje i v globálním měřítku. Technologie změnily
ekonomiku i společenský život a vyžadují další zjednodušení volného pohybu
údajů v rámci Unie a předávání do třetích zemí a mezinárodním organizacím a
zároveň zajištění vysoké úrovně ochrany osobních údajů.
|
|
(6)
Cette évolution oblige à mettre en place dans l’Union un cadre de
protection des données plus solide et plus cohérent, assorti d'une application
rigoureuse des règles, compte tenu de l'importance de susciter la confiance qui
permettra à l’économie numérique de se développer dans l'ensemble du marché
intérieur. Les personnes physiques devraient maîtriser l'utilisation qui est
faite des données à caractère personnel les concernant, et la sécurité tant
juridique que pratique devrait être renforcée pour les particuliers, les
opérateurs économiques et les autorités publiques.
|
(6)
V souvislosti s tímto vývojem je třeba
vytvořit pevný a jednotnější rámec pro ochranu údajů na úrovni Unie, jenž by se
opíral o důrazné vymáhání práva, aby byla nastolena důvěra, která by umožnila
rozvoj digitální ekonomiky na celém vnitřním trhu. Jednotlivé osoby by měly mít
možnost kontrolovat své vlastní osobní údaje a měla by být posílena právní a
praktická jistota pro jednotlivce, hospodářské subjekty a orgány veřejné moci.
|
|
(7)
Si elle demeure satisfaisante en ce qui concerne ses objectifs et ses
principes, la directive 95/46/CE n'a pas permis d’éviter une fragmentation de
la mise en œuvre de la protection des données à caractère personnel dans
l'Union, une insécurité juridique et le sentiment, largement répandu dans le
public, que des risques importants subsistent, notamment dans l’environnement
en ligne. Si le niveau de protection des droits et libertés des personnes
physiques ‑ notamment du droit à la protection des données à caractère
personnel ‑ accordé dans les États membres à l’égard du traitement des données
à caractère personnel n'est pas identique, cela risque d'entraver la libre
circulation de ces données dans toute l'Union. Ces différences peuvent dès lors
constituer un obstacle à l'exercice des activités économiques au niveau de l’Union,
fausser la concurrence et empêcher les autorités de s'acquitter des obligations
qui leur incombent en vertu du droit de l'Union. Ces écarts de niveau de
protection résultent de l'existence de divergences dans la transposition et
l’application de la directive 95/46/CE.
|
(7)
Pokud jde o cíle a zásady, směrnice 95/46/EC
zůstává v platnosti, avšak nezabránila roztříštěnosti, pokud jde o způsob
uplatňování ochrany osobních údajů v rámci celé Unie, právní nejistotě a
rozšířenému pocitu veřejnosti, že zejména s internetovými činnostmi jsou
spojena značná rizika ohledně ochrany jednotlivých osob. Rozdíly v úrovni
ochrany práv a svobod jednotlivých osob, zejména práva na ochranu osobních
údajů, v souvislosti se zpracováním osobních údajů poskytované
v členských státech mohou bránit volnému pohybu osobních údajů
v rámci Unie. Tyto rozdíly mohou být překážkou pro výkon hospodářských
činností na úrovni Unie, narušovat hospodářskou soutěž a bránit správním
orgánům ve výkonu povinností, které mají na základě práva Unie. Tento rozdíl
v úrovni ochrany vyplývá z rozdílů, které existují v provádění a
uplatňování směrnice 95/46/ES.
|
|
(8)
Afin d'assurer la cohérence et un degré élevé de protection des
personnes, et de lever les obstacles à la circulation des données à caractère
personnel, le niveau de protection des droits et des libertés des personnes à
l'égard du traitement de ces données devrait être équivalent dans tous les
États membres. Il convient dès lors d'assurer une application cohérente et
homogène des règles de protection des libertés et droits fondamentaux des
personnes physiques à l'égard du traitement des données à caractère personnel
dans l'ensemble de l'Union.
|
(8)
S cílem zajistit jednotnou a vysokou úroveň
ochrany fyzických osob a odstranit překážky pohybu osobních údajů by měla být
úroveň ochrany práv a svobod osob v souvislosti se zpracováním těchto údajů
rovnocenná ve všech členských státech. V celé Unii je třeba zajistit jednotné
uplatňování pravidel ochrany základních práv a svobod fyzických osob v
souvislosti se zpracováváním osobních údajů.
|
|
(9)
Une protection effective des données à caractère personnel dans toute
l'Union exige non seulement de renforcer et de préciser les droits des
personnes concernées, ainsi que les obligations de ceux qui effectuent ou
déterminent le traitement des données à caractère personnel, mais aussi de
conférer, dans les États membres, des pouvoirs équivalents de surveillance et
de contrôle de l'application des règles relatives à la protection des données à
caractère personnel, et de prévoir des sanctions équivalentes pour les
contrevenants.
|
(9)
Účinná ochrana osobních údajů v celé Unii
vyžaduje posílení a upřesnění práv subjektů údajů a povinností těch, kteří zpracovávají
osobní údaje a určují způsob jejich zpracování, ale také stejné pravomoci
členských států při sledování a zajišťování souladu s pravidly ochrany
osobních údajů a stejné sankce za jejich porušování.
|
|
(10)
L’article 16, paragraphe 2, du traité donne mandat au
Parlement européen et au Conseil pour fixer les règles relatives à la
protection des personnes physiques à l’égard du traitement des données à
caractère personnel ainsi que les règles relatives à la libre circulation de
ces données.
|
(10)
Ustanovení čl. 16 odst. 2 Smlouvy zmocňuje Evropský
parlament a Radu ke stanovení pravidel týkajících se ochrany jednotlivců
v souvislosti se zpracováváním osobních údajů a pravidel souvisejících
s volným pohybem osobních údajů.
|
|
(11)
Afin d'obtenir un niveau uniforme de protection des personnes physiques
dans toute l'Union, et d'éviter que des divergences n'entravent la libre
circulation des données au sein du marché intérieur, un règlement est
nécessaire pour garantir la sécurité juridique et la transparence aux
opérateurs économiques, notamment les micro, petites et moyennes entreprises,
pour assurer aux personnes de tous les États membres un même niveau de droits
opposables, et des obligations et responsabilités égales pour les responsables
du traitement des données et les sous‑traitants, de même que pour assurer une
surveillance cohérente du traitement des données à caractère personnel, des
sanctions équivalentes dans tous les États membres et une coopération efficace
entre les autorités de contrôle des différents États membres. Pour tenir compte
de la situation particulière des micro, petites et moyennes entreprises, le présent
règlement comporte un certain nombre de dérogations. Les institutions et
organes de l'Union, les États membres et leurs autorités de contrôle sont, en
outre, encouragés à prendre en considération les besoins spécifiques des micro,
petites et moyennes entreprises dans le cadre l'application du présent
règlement. Pour définir la notion de micro, petites et moyennes entreprises, il
convient de s'inspirer de la recommandation 2003/361/CE de la Commission
du 6 mai 2003 concernant la définition des micro, petites et moyennes
entreprises.
|
(11)
Aby byla zajištěna jednotná úroveň ochrany
jednotlivců v celé Unii a odstraněny rozdíly bránící volnému pohybu údajů
v rámci vnitřního trhu, je nezbytné přijmout nařízení, které poskytne
hospodářským subjektům, včetně mikropodniků, malých a středních podniků, právní
jistotu a transparentnost, jednotlivcům zaručí ve všech členských státech
stejná právně vymahatelná práva a správcům a zpracovatelům uloží stejné
povinnosti a odpovědnosti s cílem zajistit účinné sledování zpracovávání
osobních údajů a stejné sankce ve všech členských státech, jakož i účinnou
spolupráci mezi orgány dozoru různých členských států. Aby byla zohledněna
specifická situace mikropodniků, malých a středních podniků, obsahuje toto
nařízení řadu výjimek. Kromě toho jsou orgány a subjekty Unie, členské státy a
jejich orgány dozoru podporovány v tom, aby při uplatňování tohoto nařízení
zohledňovaly specifické potřeby mikropodniků, malých a středních podniků. Pojem
mikropodniky, malé a střední podniky by měl vycházet z doporučení Komise
2003/361/ES ze dne 6. května 2003 o definici mikropodniků, malých a středních
podniků.
|
|
(12)
La protection conférée par le présent règlement concerne les personnes
physiques, indépendamment de leur nationalité ou de leur lieu de résidence,
dans le cadre du traitement des données à caractère personnel. En ce qui concerne
le traitement de données relatives à des personnes morales, et en particulier
des entreprises dotées de la personnalité juridique, notamment le nom, la forme
juridique et les coordonnées de la personne morale, la protection conférée par
le présent règlement ne devrait pas pouvoir être invoquée. Cela devrait être
également le cas lorsque le nom de la personne morale contient le nom d’une ou
plusieurs personnes physiques.
|
(12)
Ochrana poskytovaná tímto nařízením se týká
zpracovávání osobních údajů fyzických osob bez ohledu na jejich státní
příslušnost nebo bydliště. Pokud jsou zpracovávány údaje právnických osob a
zejména podniků vytvořených jako právnické osoby, např. název, právní forma a
kontaktní údaje, neměly by se tyto právnické osoby domáhat ochrany na základě
tohoto nařízení. To by mělo platit rovněž v případě, kdy jméno právnické
osoby obsahuje jména jedné nebo více fyzických osob.
|
|
(13)
La protection des personnes devrait être neutre sur le plan
technologique et ne pas dépendre des techniques utilisées, sous peine de créer
de graves risques de contournement. Elle devrait s'appliquer aux traitements de
données à caractère personnel automatisés ainsi qu'aux traitements manuels si
les données sont contenues ou destinées à être contenues dans un fichier. Les
dossiers ou ensembles de dossiers, de même que leurs couvertures, qui ne sont
pas structurés selon des critères déterminés, ne devraient pas relever du champ
d'application du présent règlement.
|
(13)
Ochrana jednotlivců by měla být technologicky
neutrální a nezávislá na používaných postupech, jinak by bylo riziko obcházení
předpisů příliš velké. Měla by platit jak pro automatizované zpracování
osobních údajů, tak pro manuální zpracování, pokud jsou nebo mají být uloženy v evidenci.
Záznamy nebo soubory záznamů, stejně jako jejich titulní strany, které nejsou
uspořádány podle určených hledisek, by neměly spadat do oblasti působnosti
tohoto nařízení.
|
|
(14)
Le présent règlement ne traite pas des questions de protection des
libertés et droits fondamentaux ou de libre circulation des données relatives à
des activités n'entrant pas dans le champ d'application du droit de l'Union; il
ne couvre pas non plus le traitement des données à caractère personnel par les
institutions, organes et organismes de l'Union, qui relève du
règlement (CE) n° 45/2001[44],
ni celui qui est fait par les États membres dans le contexte de leurs activités
ayant trait à la politique étrangère et de sécurité commune de l'Union.
|
(14)
Toto nařízení se nezabývá otázkami ochrany
základních práv a svobod nebo volného pohybu údajů v souvislosti
s činnostmi, které nespadají do působnosti práva Unie, ani zpracováním
osobních údajů orgány, institucemi a jinými subjekty Unie, na které se vztahuje
nařízení (ES) č. 45/2001[44],
nebo zpracováním osobních údajů členskými státy při výkonu jejich činností v
rámci společné zahraniční a bezpečnostní politiky Unie.
|
|
(15)
Le présent règlement ne devrait pas s'appliquer aux traitements de
données à caractère personnel effectués par une personne physique, par exemple
un échange de correspondance ou la tenue d'un carnet d'adresses, qui sont
exclusivement personnels ou domestiques et sans but lucratif, donc sans lien
aucun avec une activité professionnelle ou commerciale. Elle ne devrait pas
valoir non plus pour les responsables du traitement de données ou leurs sous‑traitants
qui fournissent les moyens de traiter des données à caractère personnel pour de
telles activités personnelles ou domestiques.
|
(15)
Toto nařízení by se nemělo uplatňovat na zpracování
osobních údajů fyzickou osobou, které má výlučně osobní či domácí povahu, jako
je korespondence a vedení adresářů, které se neprovádí za účelem zisku, a tedy
bez jakékoli souvislosti s profesní nebo obchodní činností. Obdobně by se
výjimka neměla vztahovat na správce nebo zpracovatele, kteří pro tyto osobní či
domácí činnosti poskytují prostředky pro zpracování osobních údajů.
|
|
(16)
La protection des personnes physiques à l’égard du traitement des
données à caractère personnel par les autorités compétentes à des fins de
prévention et de détection des infractions pénales, d’enquêtes et de poursuites
en la matière ou d'exécution de sanctions pénales, et la libre circulation de
ces données font l’objet d’un instrument juridique spécifique au niveau de
l'Union. Le présent règlement ne devrait donc pas s'appliquer aux activités de
traitement effectuées à ces fins. Toutefois, le traitement de données à ces
fins par des autorités publiques devrait être régi par cet instrument juridique
plus spécifique au niveau de l'Union (à savoir la directive XX/YYY).
|
(16)
Ochrana fyzických osob v souvislosti se
zpracováváním osobních údajů příslušnými orgány za účelem prevence, vyšetřování,
odhalování či stíhání trestných činů nebo výkonu trestů a o volném pohybu
těchto údajů je upravena vlastním právním nástrojem na úrovni Unie. Proto by se
toto nařízení nemělo uplatňovat při zpracovávání údajů za těmito účely. Na
údaje zpracovávané orgány veřejné moci podle tohoto nařízení, pokud jsou
používány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů
nebo výkonu trestů, by se však měl vztahovat konkrétnější právní nástroj na
úrovni Unie (směrnice XX/YYY).
|
|
(17)
Le présent règlement devrait s'appliquer sans préjudice de la directive
2000/31/CE, et notamment de ses articles 12 et 15 relatifs à la
responsabilité des prestataires intermédiaires.
|
(17)
Tímto nařízením by nemělo být dotčeno uplatňování
směrnice 2000/31/ES, zejména pokud jde o pravidla týkající se odpovědnosti
poskytovatelů zprostředkovatelských služeb uvedená v článcích 12 až 15
uvedené směrnice.
|
|
(18)
Le présent règlement permet de prendre en compte, dans la mise en œuvre
de ses dispositions, le principe du droit d'accès du public aux documents
administratifs.
|
(18)
Toto nařízení umožňuje při provádění ustanovení v
něm uvedených vzít v úvahu zásadu práva na přístup veřejnosti k úředním
dokumentům.
|
|
(19)
Tout traitement de données à caractère personnel intervenant dans le
cadre des activités d'un établissement d'un responsable du traitement ou sous‑traitant
situé sur le territoire de l'Union devrait être effectué conformément au
présent règlement, que le traitement lui-même se déroule à l'intérieur de
l'Union ou non. L'établissement suppose l'exercice effectif et réel d'une
activité au moyen d'une installation stable. La forme juridique retenue pour un
tel établissement, qu'il s'agisse d'une succursale ou d'une filiale ayant la
personnalité juridique, n'est pas déterminante à cet égard.
|
(19)
Jakékoli zpracování osobních údajů v rámci
činností provozovny správce nebo zpracovatele v Unii by mělo být prováděno
v souladu s tímto nařízením bez ohledu na to, zda samotné zpracování
probíhá v Unii nebo mimo ni. Provozovna předpokládá účinný a skutečný
výkon činnosti prostřednictvím stálého zařízení. Právní forma této provozovny,
ať již jde o pobočku nebo dceřinou společnost s právní subjektivitou,
není v tomto ohledu rozhodujícím faktorem.
|
|
(20)
Afin d'éviter qu'une personne soit exclue de la protection qui lui est
garantie en vertu du présent règlement, le traitement de données à caractère
personnel concernant des personnes résidant dans l'Union, par un responsable du
traitement qui n'est pas établi dans l'Union, devrait être soumis au présent
règlement lorsque les activités de traitement sont liées à l'offre de biens ou
de services à ces personnes concernées, ou à l'observation de leur
comportement.
|
(20)
Aby se zamezilo případům, kdy jednotlivcům nebude
poskytnuta ochrana, která jim je zaručena na základě tohoto nařízení, mělo by
zpracování osobních údajů subjektů údajů usazených v Unii uskutečněné
správcem, jenž není usazen v Unii, podléhat tomuto nařízení, pokud
zpracovávání souvisí s nabídkou zboží nebo služeb těmto subjektům údajů
nebo se sledováním chování těchto subjektů údajů.
|
|
(21)
Afin de déterminer si une activité de traitement peut être considérée
comme «observant le comportement» des personnes concernées, il y a lieu
d'établir si les personnes physiques sont suivies sur l'internet au moyen de
techniques de traitement de données consistant à appliquer un «profil» à un
individu, afin notamment de prendre des décisions le concernant ou d'analyser
ou de prévoir ses préférences, son comportement et sa disposition d'esprit.
|
(21)
Aby se určilo, zda může být zpracovávání považováno
za „sledování chování“ subjektu údajů, mělo by být zjištěno, zda jsou sledovány
při své činnosti na internetu za pomoci technik zpracovávání údajů, které
spočívají ve vytvoření „profilu“ osoby, zejména pro přijímání rozhodnutí, která
se jí týkají, nebo pro rozbor nebo předpovídání jejích osobních preferencí,
postojů a jejího chování.
|
|
(22)
Lorsque le droit national d’un État membre s’applique en vertu du droit
international public, le présent règlement devrait s'appliquer également à un
responsable du traitement de données qui n’est pas établi dans l’Union mais,
par exemple, dans une mission diplomatique ou un poste consulaire d'un État
membre.
|
(22)
Pokud se vnitrostátní právo členského státu
uplatňuje na základě mezinárodního práva veřejného, například u diplomatické
mise členského státu nebo na konzulárním zastoupení, mělo by se toto nařízení
vztahovat také na správce, který není usazen v Unii.
|
|
(23)
Il y a lieu d'appliquer les principes de protection à toute information
concernant une personne identifiée ou identifiable. Pour déterminer si une
personne est identifiable, il convient de considérer l'ensemble des moyens
susceptibles d'être raisonnablement mis en œuvre, soit par le responsable du
traitement, soit par une autre personne, pour identifier ladite personne. Il
n'y a pas lieu d'appliquer les principes de protection aux données qui ont été
rendues suffisamment anonymes pour que la personne concernée ne soit plus
identifiable.
|
(23)
Zásady ochrany údajů by se měly uplatňovat na
všechny informace týkající se identifikovaných nebo identifikovatelných osob.
Při určování, zda je osoba identifikovatelná, by se mělo přihlédnout ke všem
prostředkům, o nichž lze důvodně předpokládat, že je správce nebo jakákoli jiná
osoba použijí pro identifikaci dané osoby. Zásady ochrany údajů by se neměly
uplatňovat na údaje, které byly dostatečně anonymizovány tak, aby subjekt údajů
již nebyl identifikovatelný.
|
|
(24)
Lorsqu'elles utilisent des services en ligne, les personnes physiques se
voient associer des identifiants en ligne tels que des adresses IP ou des
témoins de connexion («cookies») par les appareils, applications, outils et
protocoles utilisés. Ces identifiants peuvent laisser des traces qui, combinées
aux identifiants uniques et à d’autres informations reçues par les serveurs,
peuvent servir à créer des profils et à identifier les personnes. Il en découle
que des numéros d’identification, des données de localisation, des identifiants
en ligne ou d’autres éléments spécifiques ne doivent pas nécessairement être considérés,
en soi, comme des données à caractère personnel dans tous les cas de figure.
|
(24)
Při využívání on-line služeb mohou být uživateli
přiřazeny elektronické identifikátory, jako jsou adresy internetového protokolu
nebo identifikátory cookies, které používají jeho zařízení, aplikace, nástroje
a protokoly. To může zanechávat stopy, které mohou být spolu s jedinečnými
identifikátory a dalšími informacemi, které servery získávají, použity
k vytvoření profilů jednotlivých osob a k jejich identifikaci. Z toho
vyplývá, že identifikační čísla, lokalizační údaje, elektronické identifikátory
nebo jiné specifické prvky jako takové nemusejí být nezbytně za všech okolností
považovány za osobní údaje.
|
|
(25)
Le consentement devrait être donné de manière explicite, selon toute
modalité appropriée permettant une manifestation de volonté libre, spécifique
et informée, consistant soit en une déclaration soit en un acte non équivoque
de la personne concernée, garantissant qu'elle consent bien en toute
connaissance de cause au traitement des données à caractère personnel, par
exemple en cochant une case lorsqu'elle consulte un site internet ou par le
biais de toute déclaration ou tout comportement indiquant clairement dans ce
contexte qu'elle accepte le traitement proposé de ses données à caractère
personnel. Il ne saurait dès lors y avoir de consentement tacite ou passif. Le
consentement donné devrait valoir pour toutes les activités de traitement
effectuées ayant la même finalité. Si le
consentement de la personne concernée est donné à la suite d'une demande par
voie électronique, cette demande doit être claire, concise et ne doit pas
inutilement perturber l'utilisation du service pour lequel il est accordé.
|
(25)
Souhlas by měl být dán výslovně prostřednictvím
vhodné metody, jež umožňuje svobodný, konkrétní a vědomý projev vůle subjektu
údajů formou prohlášení nebo jednoznačného potvrzení, že jednotlivci jsou si
vědomi, že dávají souhlas se zpracováním osobních údajů, například zaškrtnutím
políčka při návštěvě webové stránky nebo jiným prohlášením nebo jednáním, které
v tomto kontextu jasně signalizuje souhlas subjektu údajů
s navrhovaným zpracováním jeho osobních údajů. Mlčení nebo nečinnost tudíž
neznamenají souhlas. Souhlas by se měl vztahovat na veškeré činnosti zpracovávání
prováděné pro stejný účel nebo stejné účely. Je-li subjekt údajů vyzván
k vyjádření souhlasu elektronickou cestou, musí být žádost jasná, stručná
a nesmí zbytečně přerušovat využívání služby, pro kterou je souhlas dáván.
|
|
(26)
Les données à caractère personnel concernant la santé devraient
comprendre, en particulier, l'ensemble des données se rapportant à l'état de
santé d'une personne concernée; les informations relatives à l'enregistrement
du patient pour la prestation de services de santé; les informations relatives
aux paiements ou à l'éligibilité du patient à des soins de santé; un numéro ou
un symbole attribué à un patient, ou des informations détaillées le concernant,
destinés à l'identifier de manière univoque à des fins médicales; toute
information relative au patient recueillie dans le cadre de la prestation de
services de santé audit patient; des informations obtenues lors d'un contrôle
ou de l'examen d'un organe ou d'une substance corporelle, y compris des
échantillons biologiques; l'identification d'une personne en tant que
prestataire de soins de santé au patient; ou toute information concernant, par
exemple, une maladie, un handicap, un risque de maladie, un dossier médical, un
traitement clinique ou l'état physiologique ou biomédical de la personne
concernée, indépendamment de sa source, qu'elle provienne par exemple d'un
médecin ou d'un autre professionnel de la santé, d'un hôpital, d'un dispositif
médical ou d'une épreuve diagnostique in vitro.
|
(26)
Mezi osobní údaje o zdravotním stavu by měly být
zahrnuty zejména všechny údaje související se zdravotním stavem subjektu údajů;
informace o evidenci osoby pro poskytování zdravotní péče; informace o platbách
nebo způsobilosti ke zdravotní péči dané osoby; číslo, symbol nebo specifický údaj
přiřazený osobě za účelem její jednoznačné identifikace pro zdravotnické účely;
jakékoliv informace o osobě shromážděné během poskytování zdravotních služeb
této osobě; informace získané během provádění testů nebo vyšetřování části těla
nebo tělesných látek, včetně biologických vzorků; identifikace osoby,
poskytující dané osobě zdravotní péči nebo jakékoli informace například o
nemoci, postižení, riziku onemocnění, anamnéze, klinické léčbě nebo
fyziologickém či biomedicínském stavu subjektu údajů nezávisle na jejich
původu, tedy bez ohledu na to, zda pocházejí od lékaře nebo jiného zdravotníka,
ze zdravotnického zařízení, ze zdravotnického prostředku či diagnostických
testů in vitro.
|
|
(27)
Le principal établissement d'un responsable du traitement ou d'un
sous-traitant devrait être déterminé en fonction de critères objectifs et
devrait supposer l’exercice effectif et réel d’activités de gestion déterminant
les décisions principales quant aux finalités, aux conditions et aux modalités
du traitement dans le cadre d'une installation stable. Ce critère ne devrait
pas dépendre du fait que le traitement ait effectivement lieu à cet endroit; la
présence et l'utilisation de moyens techniques et de technologies permettant le
traitement de données à caractère personnel ou la réalisation d'activités de ce
type ne constituent pas en soi l'établissement principal ni, dès lors, un
critère déterminant à cet égard. On entend par «établissement principal du sous‑traitant»
le lieu de son administration centrale dans l'Union.
|
(27)
Hlavní provozovna správce v Unii by měla být
určena na základě objektivních kritérií. Jedním z nich by měl být účinný a
skutečný výkon řídících činností prostřednictvím stálého zařízení, v němž
jsou přijímána hlavní rozhodnutí ohledně účelů, podmínek a prostředků
zpracování. Přitom by nemělo být rozhodující, zda je zpracování osobních údajů
skutečně prováděno na tomto místě; existence a používání technických prostředků
a technologií pro zpracovávání osobních údajů nevytváří samy o sobě hlavní
provozovnu, a proto nejsou rozhodujícím kritériem pro její určení. Hlavní
provozovna správce by měla být místem, kde se nachází jeho ústřední správa
v Unii.
|
|
(28)
Un groupe d’entreprises devrait consister en une entreprise qui exerce
le contrôle et des entreprises contrôlées, la première devant être celle qui
peut exercer une influence dominante sur les autres du fait, par exemple, de la
détention du capital, d'une participation financière ou des règles qui la
régissent, ou du pouvoir de faire appliquer les règles relatives à la
protection des données à caractère personnel.
|
(28)
Skupina podniků by měla zahrnovat řídící podnik a
jím řízené podniky, přičemž řídícím podnikem by měl být podnik, jenž může
uplatňovat dominantní vliv na jiné podniky například na základě vlastnictví,
finanční účasti nebo pravidel, kterými se podnik řídí, či pravomoci zavádět
předpisy týkající se ochrany osobních údajů.
|
|
(29)
Les données à caractère personnel relatives aux enfants nécessitent une
protection spécifique parce que ceux-ci peuvent être moins conscients des
risques, des conséquences, des garanties et de leurs droits en matière de traitement
des données. Afin de déterminer jusqu'à quel âge une personne est un enfant, le
règlement devrait reprendre la définition retenue par la convention des Nations
unies relative aux droits de l'enfant.
|
(29)
Zvláštní ochranu osobních údajů si zaslouží děti,
protože si mohou být méně vědomy rizik, důsledků, záruk a svých práv
v souvislosti se zpracováním osobních údajů. Pro určení, kdy je osoba
dítětem, by toto nařízení mělo převzít definici uvedenou v Úmluvě OSN o
právech dítěte.
|
|
(30)
Tout traitement de données à caractère personnel devrait être licite,
loyal et transparent à l'égard des personnes concernées. En particulier, les
finalités précises du traitement devraient être explicites et légitimes, et
déterminées lors de la collecte des données. Les données devraient être
adéquates, pertinentes et limitées au minimum nécessaire aux finalités pour
lesquelles elles sont traitées, ce qui exige notamment de veiller à ce que les
données collectées ne soient pas excessives et à ce que leur durée de
conservation soit limitée au strict minimum. Les données à caractère personnel
ne devraient être traitées que si la finalité du traitement ne peut être
atteinte par d'autres moyens. Il y a lieu de prendre toutes les mesures
raisonnables afin que les données à caractère personnel qui sont inexactes
soient rectifiées ou effacées. Afin de garantir que les données ne sont pas
conservées plus longtemps que nécessaire, des délais devraient être fixés par
le responsable du traitement en vue de leur effacement ou d'une révision
périodique.
|
(30)
Jakékoli zpracování osobních údajů by mělo být vůči
dotčeným jednotlivcům prováděno zákonným, korektním a transparentním způsobem.
Obzvláště specifické účely, pro které jsou údaje zpracovávány, by měly být
jednoznačné a legitimní a stanovené v době sběru údajů. Údaje by měly být
z hlediska účelů, pro které jsou zpracovávány, přiměřené, podstatné a omezené
na nezbytné minimum. Proto je třeba zejména zajistit, aby se nesbíralo neúměrné
množství údajů a aby doba, po kterou jsou údaje uchovávány, byla omezena na
nutné minimum. Osobní údaje by měly být zpracovávány pouze za účelem
zpracování, kterého nemůže být dosaženo jinými prostředky. Měla by být přijata
veškerá rozumná opatření, aby nepřesné osobní údaje byly opraveny nebo
vymazány. Aby se zajistilo, že údaje nebudou uchovávány déle, než je to
nezbytné, měl by správce stanovit lhůty pro výmaz nebo pravidelný přezkum.
|
|
(31)
Pour être licite, le traitement devrait être fondé sur le consentement
de la personne concernée ou sur tout autre fondement légitime prévu par la
législation, soit dans le présent règlement soit dans un autre acte législatif
de l'Union ou d'un État membre, ainsi que le prévoit le présent règlement.
|
(31)
Aby bylo zpracování zákonné, měly by být osobní
údaje zpracovávány na základě souhlasu příslušné osoby nebo jiného oprávněného
důvodu stanoveného zákonem, který vyplývá buď z tohoto nařízení nebo
z jiného práva Unie nebo členského státu odkazujícího na toto nařízení.
|
|
(32)
Lorsque le traitement est fondé sur le consentement de la personne
concernée, c'est au responsable du traitement que devrait incomber la charge de
prouver que ladite personne a bien consenti au traitement. En particulier, dans
le contexte d’une déclaration écrite relative à une autre question, des
garanties devraient faire en sorte que la personne concernée donne son
consentement en toute connaissance de cause.
|
(32)
Pokud je zpracování založeno na souhlasu subjektu
údajů, měl by důkazní břemeno, že subjekt údajů vyjádřil souhlas
se zpracováváním, nést správce. Zejména v případě písemného prohlášení
souvisejícího s jinou skutečností by mělo být pomocí záruk zajištěno, že
subjekt údajů si je vědom, že dává souhlas a v jakém rozsahu.
|
|
(33)
Pour garantir que le consentement soit libre, il y aurait lieu de préciser
qu'il ne constitue pas un fondement juridique valable si la personne ne dispose
pas d'une véritable liberté de choix et n'est, dès lors, pas en mesure de
refuser ou de se rétracter sans subir de préjudice.
|
(33)
Aby se zajistilo, že souhlas je svobodný, mělo by
být upřesněno, že souhlas není platným právním důvodem zpracování, pokud osoba
nemá skutečnou a svobodnou volbu, a tudíž není schopna souhlas odmítnout nebo
odvolat, aniž by tím byla poškozena.
|
|
(34)
Le consentement ne devrait pas constituer un fondement juridique valable
pour le traitement de données à caractère personnel lorsqu'il existe un
déséquilibre manifeste entre la personne concernée et le responsable du
traitement, surtout lorsque la première se trouve dans une situation de dépendance
par rapport au second, notamment lorsque les données à caractère personnel
concernent le salarié et sont traitées par son employeur dans le cadre de leur
relation de travail. Lorsque le responsable du traitement est une autorité
publique, il n’y a déséquilibre que dans le cas d’opérations de traitement
spécifiques dans le cadre desquelles l’autorité publique peut, en vertu de ses
prérogatives de puissance publique, imposer une obligation. Dans ce cas, le
consentement ne saurait être réputé librement consenti, compte tenu de
l’intérêt de la personne concernée.
|
(34)
Vyjádření souhlasu nepředstavuje platný právní
důvod zpracování osobních údajů, pokud mezi postavením subjektu údajů a správce
existuje značná nerovnováha. Jedná se zejména o případ, kdy je subjekt údajů
závislý na správci, například pokud osobní údaje zaměstnanců v souvislosti se
zaměstnáním zpracovává zaměstnavatel. Pokud je správce orgánem veřejné moci,
došlo by k nerovnováze pouze při zpracovávání specifických údajů, při němž
orgán veřejné moci může na základě svých příslušných veřejných pravomocí uložit
povinnost a souhlas nemůže být považován za svobodně vyjádřený souhlas, přičemž
je třeba vzít v úvahu zájmy subjektu údajů.
|
|
(35)
Le traitement devrait être licite lorsqu'il est nécessaire dans le cadre
d'un contrat ou de la conclusion envisagée d'un contrat.
|
(35)
Zpracování údajů by mělo být zákonné, pokud je
nezbytné v souvislosti s plněním smlouvy nebo úmyslem smlouvu uzavřít.
|
|
(36)
Lorsque le traitement est réalisé conformément à une obligation légale à
laquelle est soumis le responsable du traitement, ou lorsque le traitement est
nécessaire à l'exécution d'une mission d'intérêt général ou relevant de
l'exercice de l'autorité publique, le traitement devrait avoir son fondement
juridique dans le droit de l’Union ou dans une loi nationale respectant les
conditions imposées par la charte des droits fondamentaux de l'Union européenne
pour toute limitation des droits et des libertés. Il appartient également au
droit de l'Union ou à la loi nationale de déterminer si le responsable du
traitement investi d'une mission d'intérêt général ou relevant de l'exercice de
l'autorité publique doit être une administration publique ou une autre personne
physique ou morale de droit public, ou de droit privé telle qu'une association
professionnelle.
|
(36)
Pokud je zpracování prováděno pro splnění právní
povinnosti, které podléhá správce, nebo je nezbytné pro vykonání úkolu ve
veřejném zájmu nebo při výkonu veřejné moci, mělo by mít právní základ v právu
Unie nebo v právu členského státu, které v případě jakéhokoli omezení práv
a svobod splňuje požadavky Listiny základních práv Evropské unie. Obdobně by
mělo být v právu Unie nebo vnitrostátním právu určeno, zda by správce vykonávající
úkol ve veřejném zájmu nebo při výkonu veřejné moci měl být správním úřadem
nebo jinou fyzickou nebo právnickou osobou podléhající veřejnému nebo
soukromému právu, například profesním sdružením.
|
|
(37)
Le traitement de données à caractère personnel devrait être également
considéré comme licite lorsqu'il est nécessaire pour protéger un intérêt
essentiel à la vie de la personne concernée.
|
(37)
Zpracování osobních údajů by mělo být rovněž
považováno za zákonné, pokud je nezbytné pro ochranu životně důležitého zájmu
subjektu údajů.
|
|
(38)
Les intérêts légitimes du responsable du traitement peuvent constituer
un fondement juridique au traitement, à moins que ne prévalent les intérêts ou
les libertés et droits fondamentaux de la personne concernée. Ce point mérite
un examen attentif, surtout lorsque la personne concernée est un enfant, cette
catégorie de personnes nécessitant en effet une protection spécifique. La
personne concernée devrait pouvoir s'opposer au traitement des données la
concernant, pour des raisons tenant à sa situation personnelle, et
gratuitement. Afin d'assurer la transparence, le responsable du traitement
devrait être tenu d'informer expressément la personne concernée des intérêts
légitimes poursuivis, et de justifier ces derniers, ainsi que du droit de la
personne de s'opposer au traitement. Étant donné qu'il appartient au
législateur de fournir la base juridique autorisant les autorités publiques à
traiter des données, ce motif ne devrait pas valoir pour les traitements
effectués par ces autorités dans l'accomplissement de leur mission.
|
(38)
Oprávněné zájmy správce mohou být právním základem
zpracování za předpokladu, že nepřevažují nad zájmy a základními právy a
svobodami subjektu údajů. Tyto zájmy je třeba pečlivě posoudit, zejména pokud
je subjektem údajů dítě, neboť děti si zaslouží zvláštní ochranu. Subjekt údajů
by měl mít právo bezplatně vznést proti zpracování námitku z důvodů
týkajících se jeho konkrétní situace. Pro zajištění transparentnosti by správce
měl mít povinnost výslovně informovat subjekt údajů o svých oprávněných zájmech
a o jeho právu vznést námitku, jakož i povinnost tyto oprávněné zájmy
dokumentovat. Jelikož právní základ pro zpracování údajů orgány veřejné moci
upravuje zákonodárce právním předpisem, tento právní důvod se nepoužije pro
zpracovávání prováděné orgány veřejné moci při plnění jejich úkolů.
|
|
(39)
Le traitement des données relatives au trafic, dans la mesure
strictement nécessaire à la finalité de garantir la sécurité du réseau et des
informations, c’est-à-dire la capacité d’un réseau ou d’un système
d’information de résister, à un niveau de confiance donné, à des événements
accidentels ou à des actions illégales ou malveillantes qui compromettent la
disponibilité, l'authenticité, l’intégrité et la confidentialité de données
stockées ou transmises, ainsi que la sécurité des services connexes offerts ou
rendus accessibles via ces réseaux et systèmes, par les pouvoirs publics, des
équipes d'intervention en cas d'urgence informatique (CERT), des équipes de
réaction aux incidents touchant la sécurité informatique (CSIRT), des
fournisseurs de réseaux ou de services de communications électroniques, par des
fournisseurs de technologies et services de sécurité, constitue un intérêt
légitime du responsable des données. Il pourrait s'agir, par exemple,
d’empêcher l’accès non autorisé à des réseaux de communications électroniques
et la distribution de codes malveillants, et de faire cesser des attaques par
«déni de service» et des dommages touchant les systèmes de communications
informatiques et électroniques.
|
(39)
Zpracování údajů orgány veřejné moci, skupinami pro
reakci na počítačové hrozby, skupinami pro reakci na incidenty v oblasti
počítačové bezpečnosti, poskytovateli elektronických komunikačních sítí a
služeb a poskytovateli bezpečnostních technologií a služeb představuje
oprávněný zájem příslušného správce údajů v rozsahu nezbytně nutném pro
zajištění bezpečnosti sítě a informací, tj. schopnosti sítě nebo informačního
systému odolávat, na dané úrovni spolehlivosti, náhodným událostem nebo
nezákonnému či zlovolnému jednání s cílem ohrozit dostupnost, pravost,
správnost a důvěrnost uchovávaných či předávaných údajů a bezpečnost
souvisejících služeb poskytovaných či přístupných prostřednictvím těchto sítí
a systémů. Oprávněný zájem by například mohl spočívat v zabránění
neoprávněnému přístupu k sítím elektronických komunikací a šíření
škodlivých kódů a zamezení útokům, jejichž důsledkem je odepření služby, a škodám
na počítačových systémech a systémech elektronických komunikací.
|
|
(40)
Le traitement des données à caractère personnel à d’autres fins ne
devrait être autorisé que s'il est compatible avec les finalités de la collecte
initiale des données, notamment lorsque le traitement est nécessaire à des fins
statistiques ou de recherche historique ou scientifique. Lorsque cette autre
finalité n'est pas compatible avec la finalité initiale de la collecte des
données, il convient que le responsable du traitement obtienne le consentement
de la personne concernée à cette autre finalité ou qu'il fonde le traitement
sur un autre motif légitime, en particulier lorsque le droit de l'Union ou la
législation de l'État membre dont relève le responsable des données le prévoit.
En tout état de cause, l'application des principes énoncés par le présent
règlement et, en particulier, de respecter l'obligation d'informer la personne
concernée au sujet de ces autres finalités devrait être assurée.
|
(40)
Zpracování osobních údajů pro jiné účely by mělo
být přípustné pouze v případech, pokud je slučitelné s účely, pro
které byly údaje původně sbírány, zejména pokud je zpracování nezbytné pro
účely historiografického, statistického a vědeckého výzkumu. Pokud jiný účel
není slučitelný s původním účelem, pro který byly údaje sbírány, měl by
správce pro tento účel zpracování získat souhlas subjektu údajů nebo by měl při
zpracování vycházet z jiného oprávněného důvodu pro zákonné zpracování,
který například vyplývá z práva Unie nebo práva členského státu, kterému
správce podléhá. V každém případě by mělo být zajištěno, že budou zásady
stanovené tímto nařízením uplatňovány a subjekt údajů bude informován o těchto
jiných účelech.
|
|
(41)
Les données à caractère personnel qui sont, par nature, particulièrement
sensibles et vulnérables du point de vue des droits fondamentaux et de la vie
privée méritent une protection spécifique. Ces données ne devraient pas faire
l'objet d'un traitement, à moins que la personne concernée n'y consente
expressément. Toutefois, des dérogations à cette interdiction devraient être
expressément prévues pour tenir compte de besoins spécifiques, en particulier
lorsque le traitement a lieu dans le cadre d'activités légitimes de certaines
associations ou fondations ayant pour finalité de permettre l'exercice des
libertés fondamentales.
|
(41)
Osobní údaje, které jsou ve své podstatě obzvláště
citlivé a ohrožené z hlediska základních práv nebo soukromí, si zaslouží
zvláštní ochranu. Tyto údaje by neměly být zpracovávány bez výslovného souhlasu
subjektu údajů. Avšak měly by být jednoznačně stanoveny odchylky od tohoto
zákazu, aby se vyhovělo zvláštním potřebám, zejména pokud je zpracování těchto
údajů prováděno v průběhu legitimních činností některých sdružení či nadací,
jejichž cílem je umožnit výkon základních svobod.
|
|
(42)
Les exceptions à l'interdiction du traitement des catégories de données
sensibles devraient également être autorisées si elles résultent d'une loi et,
sous réserve de garanties appropriées, afin de protéger les données à caractère
personnel et d'autres droits fondamentaux, dans le cas où des raisons d'intérêt
général le justifient et, en particulier, à des fins de santé publique, en ce
compris la protection de la santé, la protection sociale et la gestion des
services de santé, notamment pour assurer la qualité et l'efficience des
procédures de règlement des demandes de remboursement et de services dans le
régime d’assurance‑maladie, ou à des fins statistiques ou de recherche historique ou scientifique.
|
(42)
Odchylky od zákazu zpracování kategorií citlivých
údajů by měly být rovněž povoleny, pokud byly učiněny na základě zákona a
chráněny vhodnými zárukami na ochranu osobních údajů a jiných základních práv,
je-li to opodstatněno z důvodů veřejného zájmu, zejména pokud jde o zdraví,
včetně veřejného zdraví, sociální ochrany a řízení zdravotnických služeb,
zejména pro zajištění kvality a hospodárnosti v postupech používaných pro
vyřizování nároků na plnění a služby v rámci zdravotního pojištění nebo pro
účely historiografického, statistického a vědeckého výzkumu.
|
|
(43)
En outre, le traitement de données à caractère personnel par des
autorités publiques en vue de réaliser les objectifs, prévus par le droit
constitutionnel ou le droit international public, d'associations à caractère
religieux officiellement reconnues est effectué pour des raisons d'intérêt
général.
|
(43)
Zpracovávání osobních údajů orgány veřejné moci za
účelem dosahování cílů státem uznaných sdružení náboženské povahy, které jsou
stanoveny ústavním právem nebo mezinárodním právem veřejným, se uskutečňuje z
důvodů veřejného zájmu.
|
|
(44)
Si, dans le cadre d'activités liées à des élections, le fonctionnement
du système démocratique suppose, dans un État membre, que les partis politiques
collectent des données relatives aux opinions politiques des personnes, le
traitement de telles données peut être autorisé pour des motifs d'intérêt
général, à condition que des garanties appropriées soient prévues.
|
(44)
Pokud je v rámci činností spojených s volbami pro
fungování demokratického systému v členském státě třeba, aby politické strany
shromažďovaly údaje týkající se politických názorů jednotlivců, může být
zpracování těchto údajů povoleno z důvodu veřejného zájmu za předpokladu, že
jsou stanoveny vhodné záruky.
|
|
(45)
Si les données qu’il traite ne lui permettent pas d'identifier une
personne physique, le responsable du traitement ne devrait pas être tenu
d'obtenir des informations supplémentaires pour identifier la personne
concernée à la seule fin de respecter une disposition du présent règlement.
Dans le cas d’une demande d’accès, il devrait être autorisé à demander d'autres
informations à la personne concernée, afin d'être en mesure de localiser les
données personnelles que cette personne recherche.
|
(45)
Pokud údaje zpracovávané správcem nedovolují
správci identifikovat fyzickou osobu, není správce povinen získat dodatečné
informace pro zjištění totožnosti subjektu údajů výlučně za účelem dosažení
souladu s některým ustanovením tohoto nařízení. V případě žádosti o
přístup by správce měl být oprávněn požádat subjekt údajů o další informace,
jež by správci údajů umožnily lokalizovat osobní údaje, které daná osoba hledá.
|
|
(46)
Le principe de transparence veut que toute information adressée au
public ou à la personne concernée soit aisément accessible et facile à
comprendre, et formulée en termes simples et clairs. Ceci vaut tout
particulièrement lorsque, dans des domaines tels que la publicité en ligne, la
multiplication des acteurs et la complexité des technologies utilisées
empêchent la personne concernée de savoir exactement si des données à caractère
personnel la concernant sont collectées, par qui et dans quel but. Les enfants
nécessitant une protection spécifique, toute information et communication,
lorsque le traitement des données les vise spécifiquement, devrait être rédigée
en des termes simples et clairs que l’enfant peut aisément comprendre.
|
(46)
Zásada transparentnosti vyžaduje, aby všechny
informace určené veřejnosti nebo subjektu údajů byly snadno přístupné a
srozumitelné a podávané v jasném a běžně užívaném jazyce. To platí
obzvláště v situacích, jako je reklama on-line, do níž je zapojeno mnoho aktérů
a jejíž technologická složitost znesnadňuje subjektu údajů, aby byl informován
o tom, zda jsou jeho osobní údaje shromažďovány a kdo a za jakým účelem je
shromažďuje, a aby těmto informacím rozuměl. Jelikož zvláštní ochranu zasluhují
děti, měly by být všechny informace a oznámení, které jsou při zpracovávání
určeny především dětem, podávány v tak jasném a běžně užívaném jazyce, aby
mu dítě snadno porozumělo.
|
|
(47)
Des modalités devraient être prévues pour faciliter l'exercice, par la
personne concernée, des droits qui lui sont conférés par le présent règlement,
notamment les moyens de demander sans frais l'accès aux données, leur
rectification ou leur effacement, et d'exercer son droit d'opposition. Le
responsable du traitement devrait être tenu de répondre à la personne concernée
dans un délai donné et de motiver tout refus.
|
(47)
Měly by být stanoveny postupy, které by subjektům
údajů usnadnily výkon jejich práv, jež jim podle tohoto nařízení náležejí,
včetně bezplatného používání mechanismů pro podávání žádostí zejména o přístup
k údajům, o opravu, výmaz, nebo práva vznést námitku. Správci by měla být
uložena povinnost odpovědět na žádost subjektu údajů ve stanovené lhůtě
s uvedením důvodů v případě, že žádosti subjektu údajů nevyhoví.
|
|
(48)
Le principe de traitement loyal et transparent exige que la personne
concernée soit informée, en particulier, de l'existence du traitement et de ses
finalités, de la durée pendant laquelle les données seront conservées, de
l’existence d’un droit d’accès, de rectification ou d’effacement, ainsi que de
son droit d'introduire une réclamation. Lorsque les données sont collectées
auprès de la personne concernée, il importe que celle‑ci sache également si
elle est obligée de fournir ces informations et à quelles conséquences elle
s'expose si elle ne les fournit pas.
|
(48)
Podle zásad korektního a transparentního zpracování
by subjekt údajů měl být informován především o probíhajícím zpracování údajů a
jeho účelech, o tom, jak dlouho budou údaje uchovávány, o svém právu na
přístup, opravu nebo výmaz a právu podat stížnost. Pokud jsou údaje získávány
od subjektu údajů, měl by subjekt údajů být rovněž informován, zda je povinen
údaje poskytnout, a o důsledcích v případě, že tyto údaje neposkytne.
|
|
(49)
L'information sur le traitement des données à caractère personnel
devrait être donnée à la personne concernée au moment où ces données sont
recueillies ou, si la collecte des données n'a pas lieu auprès de la personne
concernée, dans un délai raisonnable en fonction des circonstances propres à
chaque cas. Lorsque des données peuvent être légitimement divulguées à un autre
destinataire, il convient que la personne concernée soit informée lorsque ces
données sont divulguées pour la première fois audit destinataire.
|
(49)
Informování subjektu údajů o tom, že jsou
zpracovávány jeho osobní údaje, by mělo proběhnout v okamžiku jejich
shromažďování nebo, pokud údaje nejsou získávány od subjektu údajů, v přiměřené
lhůtě v závislosti na okolnostech případu. Jestliže mohou být údaje legitimně
sděleny jinému příjemci, měl by být subjekt údajů informován o prvním sdělení
údajů tomuto příjemci.
|
|
(50)
Toutefois, il n'est pas nécessaire d'imposer cette obligation si la
personne concernée dispose déjà de cette information, ou si l'enregistrement ou
la divulgation des données sont expressément prévus par la loi, ou si
l'information de la personne concernée se révèle impossible ou exige des efforts
disproportionnés. Tel pourrait être le cas, en particulier, des traitements à
des fins statistiques ou de recherche historique ou scientifique; à cet égard,
peuvent être pris en considération le nombre de personnes concernées,
l'ancienneté des données, ainsi que les mesures compensatrices éventuelles
adoptées.
|
(50)
Tuto povinnost však není třeba ukládat, pokud je
subjekt údajů již informován nebo pokud zaznamenání nebo sdělování údajů je
výslovně stanoveno zákonem nebo pokud poskytnutí těchto informací subjektu
údajů není možné nebo by vyžadovalo neúměrné úsilí. Druhá možnost by mohla
platit zejména v případě zpracování pro účely historiografického,
statistického a vědeckého výzkumu; z tohoto hlediska lze přihlédnout k počtu
subjektů údajů, ke stáří údajů, jakož i k přijatým vyrovnávacím opatřením.
|
|
(51)
Toute personne devrait avoir le droit d'accéder aux données qui ont été
collectées à son sujet et d'exercer ce droit facilement, afin de s'informer du
traitement qui en est fait et d'en vérifier la licéité. En conséquence, chaque
personne concernée devrait avoir le droit de connaître et de se faire
communiquer, en particulier, la finalité du traitement des données, la durée de
leur conservation, l'identité des destinataires, la logique qui sous‑tend le
traitement des données et les conséquences qu'il pourrait avoir, au moins en
cas de profilage. Ce droit ne devrait pas porter atteinte aux droits et
libertés d’autrui, notamment au secret des affaires, ni à la propriété
intellectuelle, notamment au droit d'auteur protégeant le logiciel. Toutefois,
ces considérations ne sauraient aboutir au refus de toute information de la
personne concernée.
|
(51)
Každá osoba by měla mít právo na přístup
k údajům, které se jí týkají, a toto právo snadno uplatňovat, aby se mohla
přesvědčit o zákonnosti jejich zpracování. Každý subjekt údajů by proto měl mít
právo vědět a dozvědět se zejména, za jakým účelem se údaje zpracovávají, jak
dlouho budou uchovávány, kdo jsou příjemci údajů, podle jakého postupu jsou
údaje zpracovávány a jaké mohou být důsledky takového zpracování přinejmenším
v případech, kdy je zpracování založeno na profilování. Tímto právem by
neměla být dotčena práva a svobody ostatních, například obchodní tajemství nebo
duševní vlastnictví a zejména autorské právo chránící programové vybavení. Tyto
úvahy by ovšem neměly vést k tomu, že by subjektu údajů byly odepřeny všechny
informace.
|
|
(52)
Le responsable du traitement devrait prendre toutes les mesures
raisonnables afin de s’assurer de l’identité d’une personne concernée demandant
l'accès aux données, en particulier dans le contexte des services et
identifiants en ligne. Un responsable des données ne devrait pas conserver des
données à caractère personnel à la seule fin d'être en mesure de réagir à d'éventuelles
demandes.
|
(52)
Správce by měl využít všech rozumných opatření
k ověření totožnosti subjektu údajů, který žádá o přístup, zejména
v souvislosti s on-line službami a elektronickými identifikátory.
Správce by neměl uchovávat osobní údaje pouze za tím účelem, aby mohl reagovat
na případné žádosti.
|
|
(53)
Toute personne devrait avoir le droit de faire rectifier des données à
caractère personnel la concernant, et disposer d'un «droit à l’oubli numérique»
lorsque la conservation de ces données n'est pas conforme au présent règlement.
En particulier, les personnes concernées devraient avoir le droit d'obtenir que
leurs données soient effacées et ne soient plus traitées, lorsque ces données
ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été
recueillies ou traitées, lorsque les personnes concernées ont retiré leur
consentement au traitement ou lorsqu'elles s'opposent au traitement de données
à caractère personnel les concernant ou encore, lorsque le traitement de leurs
données à caractère personnel n'est pas conforme au présent règlement. Ce droit
est particulièrement important lorsque la personne concernée a donné son
consentement à l'époque où elle était enfant et donc mal informée des risques
inhérents au traitement, et qu'elle souhaite par la suite supprimer ces données
à caractère personnel, en particulier sur l'internet. Toutefois, la
conservation des données devrait être autorisée lorsqu'elle est nécessaire à
des fins statistiques ou de recherche historique ou scientifique, pour des
motifs d'intérêt général dans le domaine de la santé publique, ou à l'exercice
du droit à la liberté d'expression, si elle est requise par la loi ou s'il
existe une raison de limiter le traitement des données au lieu de les effacer.
|
(53)
Každý subjekt údajů by měl mít právo na opravu
osobních údajů, které se ho týkají, a „právo být zapomenut“, pokud uchovávání
těchto údajů není v souladu s tímto nařízením. Subjekty údajů by
především měly mít právo na to, aby jejich osobní údaje byly vymazány a nebyly
dále zpracovávány, pokud tyto údaje již nejsou potřebné pro účely, pro které
byly shromážděny nebo jinak zpracovány, pokud subjekty údajů odvolaly svůj
souhlas se zpracováním nebo pokud vznesly námitku proti zpracování osobních
údajů, které se jich týkají, nebo pokud zpracování jejich osobních údajů není
slučitelné s tímto nařízením z jiných důvodů. Toto právo je obzvláště
důležité v případech, kdy subjekt údajů dal svůj souhlas v dětském věku,
aniž by si byl v plném rozsahu vědom rizik spojených se zpracováním údajů,
a později chce tyto osobní údaje zejména na internetu odstranit. Další
uchovávání údajů by však mělo být přípustné, pokud je to nezbytné pro účely
historiografického, statistického a vědeckého výzkumu, z důvodů veřejného zájmu
v oblasti veřejného zdraví, pro výkon práva na svobodu projevu, pokud to
vyžaduje zákon nebo pokud existuje důvod pro omezení zpracování údajů namísto
jejich výmazu.
|
|
(54)
Afin de renforcer le «droit à l'oubli numérique» dans l’environnement en
ligne, le droit à l'effacement des données devrait en outre être étendu de
façon à ce que le responsable du traitement qui a rendu les données à caractère
personnel publiques soit tenu d'informer les tiers qui traitent lesdites données
qu'une personne concernée leur demande d'effacer tous liens vers ces données,
ou toute copie ou reproduction de celles‑ci. Afin d'assurer cette information,
le responsable des données devrait prendre toutes les mesures raisonnables, y
compris les mesures techniques, à l'égard des données dont la publication lui
est imputable. En ce qui concerne la responsabilité de la publication de
données à caractère personnel par un tiers, elle devrait être imputée au
responsable du traitement lorsqu'il a lui-même autorisé le tiers à l'effectuer.
|
(54)
Aby bylo v on-line prostředí posíleno „právo
být zapomenut“, mělo by být rovněž rozšířeno právo na výmaz takovým způsobem,
aby správce, který zveřejnil osobní údaje, měl povinnost informovat třetí
strany, které tyto údaje zpracovávají, že subjekt údajů požaduje vymazání
veškerých odkazů na své osobní údaje či veškerých kopií nebo replikací těchto
osobních údajů. Správce by měl vzhledem k údajům, za jejichž zveřejnění je
zodpovědný, přijmout veškerá rozumná opatření, včetně technických, aby toto
informování třetích stran zajistil. V souvislosti se zveřejněním osobních
údajů třetí stranou by měl odpovědnost nést správce, pokud třetí straně
zveřejnění povolil.
|
|
(55)
Pour leur permettre de mieux maîtriser encore l'utilisation qui est
faite des données les concernant et renforcer leur droit d’accès, les personnes
devraient avoir le droit, lorsque des données à caractère personnel font l'objet
d'un traitement automatisé dans un format structuré et couramment utilisé,
d'obtenir une copie des données les concernant, également dans un format
électronique structuré et couramment utilisé. La personne concernée devrait en
outre être autorisée à transférer ces données, qu'elle a fournies, d'une
application automatisée, telle qu'un réseau social, à une autre. Ce droit
devrait s'appliquer lorsque la personne concernée a fourni les données au
système de traitement automatisé, en donnant son consentement ou dans le cadre
de l’exécution d’un contrat.
|
(55)
Aby měly subjekty údajů větší kontrolu nad svými
vlastními údaji a lépe uplatňovaly své právo na přístup, měly by
v případě, kdy se osobní údaje zpracovávají elektronicky a ve
strukturovaném a běžně používaném formátu, mít právo získat kopii údajů,
které se jich týkají, rovněž v běžně používaném elektronickém formátu. Subjekt
údajů by měl být rovněž oprávněn přenést údaje, které poskytl, z jedné
automatizované aplikace, například ze sociální sítě, do jiné aplikace. To by
mělo být možné v případě, kdy subjekt údajů poskytl údaje do
automatizovaného systému zpracování na základě svého souhlasu nebo při plnění smlouvy.
|
|
(56)
Dans les cas où des données à caractère personnel pourraient faire
l'objet d'un traitement licite afin de protéger les intérêts vitaux de la
personne concernée, ou pour un motif d'intérêt général, à l'exercice de
l'autorité publique ou à la poursuite des intérêts légitimes du responsable du
traitement, toute personne concernée devrait néanmoins avoir le droit de
s’opposer au traitement de toute donnée la concernant. Il devrait incomber au
responsable du traitement de prouver que ses intérêts légitimes prévalent sur
les intérêts ou les libertés et droits fondamentaux de la personne concernée.
|
(56)
V případech, kdy by osobní údaje mohly být
oprávněně zpracovávány z důvodu ochrany životně důležitých zájmů subjektu
údajů, z důvodů veřejného zájmu, výkonu veřejné správy nebo oprávněných
zájmů správce, měl by každý dotčený subjekt údajů přesto mít právo vznést
námitku proti zpracování údajů, které se jej týkají. Důkazní břemeno, že jeho
oprávněné zájmy mohou převažovat nad zájmy nebo základními právy a svobodami
subjektu údajů, by měl nést správce.
|
|
(57)
Lorsque des données à caractère personnel sont traitées à des fins de
marketing direct, la personne concernée devrait avoir le droit de s’opposer à
ce traitement, sans frais et d’une manière simple et effective.
|
(57)
Pokud jsou údaje zpracovávány pro účely přímého
marketingu, měl by mít subjekt údajů právo zdarma, jednoduše a účinně vznést
proti tomuto zpracování námitku.
|
|
(58)
Toute personne physique devrait avoir le droit de ne pas être soumise à
une mesure fondée sur le profilage par traitement automatisé. Toutefois, de
telles mesures devraient être permises lorsqu'elles sont expressément
autorisées par la loi, appliquées dans le cadre de la conclusion ou de
l'exécution d'un contrat, ou si la personne concernée y a donné son
consentement. En tout état de cause, un traitement de ce type devrait être
assorti de garanties appropriées, y compris une information spécifique de la
personne concernée et le droit d'obtenir une intervention humaine, et cette
mesure ne devrait pas concerner les enfants.
|
(58)
Každá fyzická osoba by měla mít právo, aby se na ni
nevztahovalo žádné opatření založené na profilování prostřednictvím
automatizovaného zpracování. Takové opatření by ovšem mělo být přípustné, pokud
je výslovně povoleno zákonem, provedeno při uzavírání nebo plnění smlouvy, nebo
pokud k tomu subjekt údajů dal svůj souhlas. V každém případě by
takové zpracování mělo být spojeno s vhodnými zárukami, jako je
informování subjektu údajů a právo na přímý osobní kontakt, jakož i vyloučení
dětí z takového opatření.
|
|
(59)
Des limitations des principes spécifiques et du droit à l'information,
du droit d'accès, de rectification et d'effacement, ou du droit à la
portabilité des données, du droit d'opposition, des mesures fondées sur le
profilage, ainsi que de la communication d'une violation des données à
caractère personnel à une personne concernée, et des limitations de certaines
obligations connexes des responsables du traitement des données peuvent être
imposées par le droit de l'Union ou d'un État membre, dans la mesure nécessaire
et proportionnée dans une société démocratique, pour garantir la sécurité
publique, notamment aux fins de la protection de la vie humaine en cas, plus
particulièrement, de catastrophe d'origine naturelle ou humaine, aux fins de la
prévention, de l'investigation et de la poursuite d'infractions pénales ou de
manquements à la déontologie des professions réglementées, aux fins d'autres
intérêts publics, y compris d'un intérêt économique ou financier important de
l'Union ou d'un État membre, ou aux fins de la protection de la personne
concernée ou des droits ou libertés de tiers. Ces limitations doivent être
conformes aux exigences énoncées par la charte des droits fondamentaux de
l'Union européenne et par la convention européenne de sauvegarde des droits de
l'homme et des libertés fondamentales.
|
(59)
Právo Unie nebo právo členského státu může zavést
omezení určitých zásad a práva na informace, přístup, opravu a výmaz nebo práva
na přenositelnost údajů, práva vznést námitku, opatření založených na
profilování, jakož i omezení týkající se oznamování případů narušení
bezpečnosti osobních údajů subjektu údajů nebo určitých souvisejících
povinností správců, pokud je to v demokratické společnosti nutné a
přiměřené pro zachování veřejné bezpečnosti, mimo jiné pro ochranu lidských
životů zejména v reakci na přírodní nebo člověkem způsobené katastrofy,
pro prevenci, vyšetřování, odhalování či stíhání trestných činů nebo pro
porušování deontologických pravidel regulovaných povolání, ochranu jiných
veřejných zájmů Unie nebo členského státu, zejména důležitého hospodářského
nebo finančního zájmu Unie nebo členského státu, nebo ochranu subjektu údajů či
práv a svobod ostatních. Tato omezení by měla být v souladu
s požadavky stanovenými v Listině základních práv Evropské unie
a Úmluvě o ochraně lidských práv a základních svobod.
|
|
(60)
Il y a lieu d'instaurer une responsabilité globale du responsable du
traitement pour tout traitement de données à caractère personnel qu'il effectue
lui‑même ou qui est réalisé pour son compte. Il importe en particulier que le
responsable du traitement veille à la conformité de chaque traitement au
présent règlement et soit tenu d'en apporter la preuve.
|
(60)
Měla by být zavedena komplexní odpovědnost správce
za jakékoli zpracování osobních údajů prováděné správcem nebo jeho jménem.
Správce by měl zejména zajistit, aby každé zpracování bylo v souladu s tímto
nařízením, a měl by být povinen tuto skutečnost doložit.
|
|
(61)
La protection des droits et libertés des personnes concernées à l'égard
du traitement des données à caractère personnel nécessite de prendre les
mesures techniques et organisationnelles appropriées, tant au moment de la
conception que de l'exécution du traitement, de sorte que les exigences du
présent règlement soient respectées. Afin d'assurer et de démontrer la
conformité de ses activités au présent règlement, le responsable du traitement
devrait adopter des règles internes et appliquer des mesures adaptées, qui
répondent en particulier aux principes de la protection des données dès la
conception et de la protection des données par défaut.
|
(61)
Ochrana práv a svobod subjektů údajů
v souvislosti se zpracováním osobních údajů vyžaduje, aby byla přijata
příslušná technická a organizační opatření jak při přípravě zpracování, tak v
průběhu vlastního zpracování, s cílem zajistit splnění požadavků tohoto
nařízení. Aby správce zajistil a prokázal soulad s tímto nařízením, měl by
stanovit interní politiky a přijmout vhodná opatření, která splňují zejména
zásady ochrany údajů již od návrhu a standardního nastavení ochrany údajů.
|
|
(62)
La protection des droits et libertés des personnes concernées, de même
que la responsabilité des responsables du traitement et de leurs
sous-traitants, y compris dans le cadre de la surveillance exercée par les
autorités de contrôle et des mesures prises par elles, exige une répartition
claire des responsabilités au titre du présent règlement, notamment dans le cas
où le responsable du traitement détermine les finalités, les conditions et les
moyens du traitement conjointement avec d'autres responsables, ou lorsqu'un traitement
est effectué pour le compte d'un responsable du traitement.
|
(62)
Pro ochranu práv a svobod subjektů údajů, jakož i
z hlediska odpovědnosti správců a zpracovatele je třeba také s ohledem na
sledování ze strany orgánů dozoru a jejich opatření jasně vymezit odpovědnosti
podle tohoto nařízení, včetně případů, kdy správce určuje účely, podmínky a
prostředky zpracování společně s jinými správci nebo kdy je zpracovávání
prováděno jménem správce.
|
|
(63)
Lorsqu'un responsable du traitement qui n'est pas établi dans l'Union
traite des données à caractère personnel concernant des personnes résidant dans
l'Union, et que les activités de traitement sont liées à l'offre de biens ou de
services à ces personnes, ou à l'observation de leur comportement, il
conviendrait que le responsable du traitement désigne un représentant, à moins
que ledit responsable ne soit établi dans un pays tiers qui assure un niveau de
protection adéquat, ou que le responsable ne soit une petite ou moyenne
entreprise ou une autorité ou un organisme public, ou qu'il ne propose
qu'occasionnellement des biens ou des services à ces personnes concernées. Le
représentant devrait agir pour le compte du responsable du traitement et
devrait pouvoir être contacté par toute autorité de contrôle.
|
(63)
Pokud správce, který není usazen v Unii,
zpracovává osobní údaje subjektů údajů, které mají bydliště v Unii, a toto
zpracování souvisí s nabídkou zboží nebo služeb těmto subjektům údajů nebo
se sledováním jejich chování, měl by jmenovat svého zástupce; výjimkou jsou případy,
kdy je správce usazen ve třetí zemi, která zajišťuje odpovídající úroveň
ochrany, nebo kdy je správce malým nebo středním podnikem či orgánem veřejné
moci, nebo kdy správce těmto subjektům údajů nabízí zboží nebo služby jen
příležitostně. Zástupce by měl jednat jménem správce a orgány dozoru se na něj
mohou obracet.
|
|
(64)
Afin de déterminer si un responsable des données n'offre
qu'occasionnellement des biens et des services à des personnes concernées
résidant dans l'Union, il y aurait lieu de vérifier s'il ressort de l'ensemble
de ses activités que l'offre de biens et de services à ces personnes concernées
est accessoire à ses activités principales.
|
(64)
Aby bylo stanoveno, zda správce nabízí zboží a
služby subjektu údajů, který má bydliště v Unii, jen příležitostně, mělo
by být zjištěno, zda je z celkových činností správce patrné, že nabízení
zboží a služeb těmto subjektům údajů představuje pouze doplňující činnost
k jeho hlavním činnostem.
|
|
(65)
Afin d’apporter la preuve qu'il se conforme au présent règlement, le
responsable du traitement ou le sous‑traitant devrait consigner chaque
opération de traitement. Chaque responsable du traitement et sous‑traitant
devrait être tenu de coopérer avec l'autorité de contrôle et de mettre ces
informations à sa disposition sur demande pour qu'elles servent au contrôle des
opérations en question.
|
(65)
Aby bylo prokázáno dodržování tohoto nařízení, měl
by správce nebo zpracovatel vést záznamy o všech činnostech zpracování. Každý
správce a zpracovatel by měl být povinen spolupracovat s orgánem dozoru a
na jeho žádost mu zpřístupnit tyto záznamy, aby na jejich základě mohla být
provedena kontrola zpracování.
|
|
(66)
Afin de préserver la sécurité et de prévenir tout traitement contraire
au présent règlement, il importe que le responsable du traitement ou le
sous-traitant évalue les risques inhérents au traitement et prenne des mesures
pour les atténuer. Ces mesures devraient assurer un niveau de sécurité
approprié compte tenu, d'une part, de l'état de la technique et de leur coût de
mise en œuvre, et, d'autre part, des risques présentés par les traitements et
de la nature des données à protéger. Lors de l’adoption de normes techniques et
de mesures organisationnelles destinées à garantir la sécurité du traitement,
la Commission devrait promouvoir la neutralité technologique,
l’interopérabilité et l’innovation, et au besoin, coopérer avec les pays tiers.
|
(66)
Aby byla zachována bezpečnost a zabránilo se
zpracování údajů, které by bylo v rozporu s tímto nařízením, měl by
správce nebo zpracovatel posoudit riziko spojené se zpracováním a přijmout
opatření ke zmírnění těchto rizik. Tato opatření by měla zajistit odpovídající
úroveň bezpečnosti s ohledem na stav techniky a náklady na jejich provedení v
souvislosti s riziky a povahou osobních údajů, které mají být chráněny. Komise
by měla při stanovování technických norem a organizačních opatření
k zajištění bezpečnosti zpracování podporovat technologickou neutralitu,
interoperabilitu a inovace a případně spolupracovat se třetími zeměmi.
|
|
(67)
Une violation de données à caractère personnel risque, si l'on
n'intervient pas à temps et de manière appropriée, de causer une grave perte
économique et des dommages sociaux importants, y compris une usurpation
d’identité, à la personne physique concernée. En conséquence, dès que le
responsable du traitement apprend qu’une telle violation s’est produite, il
conviendrait qu'il en informe l’autorité de contrôle sans retard injustifié et,
lorsque c'est possible, dans les 24 heures. Si ce délai ne peut être
respecté, la notification devrait être assortie d'une explication concernant ce
retard. Les personnes physiques dont les données à caractère personnel
pourraient être affectées par la violation devraient en être averties sans
retard injustifié afin de pouvoir prendre les précautions qui s’imposent. Il y
a lieu de considérer qu'une violation affecte les données à caractère personnel
ou la vie privée d'une personne concernée lorsqu'il peut en résulter, par
exemple, un vol ou une usurpation d'identité, un dommage physique, une
humiliation grave ou une atteinte à la réputation. La notification devra
décrire la nature de la violation des données à caractère personnel et formuler
des recommandations à la personne concernée afin d'atténuer les éventuels
effets négatifs. Il convient que les notifications aux personnes concernées
soient effectuées aussi rapidement que possible, en coopération étroite avec
l'autorité de contrôle, et dans le respect des directives fournies par celle-ci
ou par d'autres autorités compétentes (telles que les autorités répressives).
Par exemple, pour que les personnes concernées puissent atténuer un risque
immédiat de préjudice, il faudrait leur adresser une notification le plus rapidement
possible, mais la nécessité de mettre en œuvre des mesures appropriées
empêchant la poursuite de la violation des données ou la survenance de
violations similaires pourrait justifier un délai plus long.
|
(67)
Není-li odpovídajícím způsobem a včas řešeno
narušení bezpečnosti osobních údajů, může to příslušnému jednotlivci způsobit
značnou hospodářskou ztrátu a společenskou škodu, včetně zneužití jeho
identity. Proto by měl správce, jakmile se dozví, že došlo k takovému
narušení bezpečnosti, toto narušení oznámit orgánu dozoru bez zbytečného
odkladu a, je-li to možné, do 24 hodin. Pokud není možné tak učinit během 24
hodin, měly by být v oznámení vysvětleny důvody této prodlevy. Jednotlivci,
jejichž osobní údaje by mohly být narušením bezpečnosti nepříznivě ovlivněny,
by měli být bez prodlení vyrozuměni, aby mohli učinit nezbytná opatření.
Narušení bezpečnosti by mělo být považováno za škodlivé pro ochranu údajů nebo
soukromí subjektu údajů, pokud by mohlo vést například ke krádeži nebo zneužití
identity, fyzické újmě, významnému ponížení nebo poškození pověsti. Oznámení by
mělo popisovat povahu daného případu narušení bezpečnosti osobních údajů a
obsahovat doporučení pro příslušnou osobu, jak případné nežádoucí účinky
zmírnit. Oznámení by mělo být subjektu údajů učiněno co nejdříve, jak jen to je
možné, a v těsné spolupráci s orgánem dozoru a podle pokynů tohoto
orgánu nebo jiného příslušného orgánu (např. donucovacích orgánů). Aby mohl
subjekt údajů zmírnit riziko bezprostřední škody, je například nutné subjekt
údajů ihned informovat, přičemž delší lhůta může být opodstatněna, je-li
potřebné přijmout vhodná opatření, která by zabránila pokračujícímu nebo
obdobnému narušení bezpečnosti.
|
|
(68)
Afin de déterminer si une violation des données à caractère personnel
est notifiée sans retard injustifié à l'autorité de contrôle et à la personne
concernée, il y a lieu de vérifier si le responsable du traitement a mis en
place et appliqué une protection technologique et des mesures d'organisation appropriées
pour établir immédiatement si une violation des données est intervenue et pour
informer dans les meilleurs délais l'autorité de contrôle et la personne
concernée, avant qu'une atteinte ne soit portée aux intérêts personnels ou
économiques de la personne, compte tenu notamment de la nature et de la gravité
de la violation des données et de ses conséquences et effets néfastes pour la
personne concernée.
|
(68)
Aby se určilo, zda bylo narušení bezpečnosti
osobních údajů ohlášeno orgánu dozoru a subjektu údajů bez zbytečného odkladu,
mělo by být prověřeno, zda správce provedl a uplatnil dostatečná technická
ochranná a organizační opatření, aby se ihned zjistilo, zda došlo k narušení
bezpečnosti údajů, a aby byl orgán dozoru a subjekt údajů ihned informován, a
to dříve než dojde k poškození osobních a hospodářských zájmů, přičemž je
třeba vzít v úvahu zejména povahu a závažnost daného narušení a jeho
důsledky a nežádoucí účinky pro subjekt údajů.
|
|
(69)
Lors de la fixation des règles détaillées concernant la forme et les
procédures applicables à la notification des violations de données à caractère
personnel, il convient de tenir dûment compte des circonstances de la
violation, notamment du fait que les données à caractère personnel étaient ou
non protégées par des mesures de protection techniques appropriées limitant
efficacement le risque d’usurpation d’identité ou d’autres formes d’abus. Par
ailleurs, ces règles et procédures devraient tenir compte des intérêts
légitimes des autorités répressives dans les cas où une divulgation prématurée
risquerait d’entraver inutilement l’enquête sur les circonstances de la
violation.
|
(69)
Při vytváření podrobných pravidel týkajících se
formy a postupů oznamování případů narušení bezpečnosti osobních údajů by
měly být náležitě zohledněny okolnosti případu, včetně otázky, zda byly osobní
údaje chráněny vhodnými technickými ochrannými opatřeními, jež pravděpodobnost
zneužití totožnosti a jiných forem zneužívání účinně omezují. Tato
pravidla a postupy by navíc měly vzít v úvahu oprávněné zájmy
donucovacích orgánů v případech, kdy by předčasné zveřejnění mohlo
zbytečně ztížit vyšetřování okolností narušení.
|
|
(70)
La directive 95/46/CE prévoyait une obligation générale de notifier les
traitements de données à caractère personnel aux autorités de contrôle. Or
cette obligation génère une charge administrative et financière, sans pour
autant avoir véritablement amélioré la protection des données. En conséquence,
l'obligation générale de notification devrait être supprimée et remplacée par
des procédures et des mécanismes efficaces ciblant plutôt les traitements
susceptibles de présenter des risques particuliers pour les droits et libertés
des personnes concernées, du fait de leur nature, de leur portée ou de leur
finalité. Dans de tels cas, une analyse d'impact relative à la protection des
données devrait être réalisée par le responsable du traitement ou le sous‑traitant,
préalablement au traitement, et devrait examiner notamment les dispositions,
garanties et mécanismes envisagés pour assurer la protection des données à
caractère personnel et pour démontrer que le présent règlement est respecté.
|
(70)
Směrnice 95/46/ES stanovovala obecnou povinnost
oznamovat zpracování osobních údajů orgánům dozoru. Jelikož tato povinnost
s sebou nesla administrativní a finanční zátěž, nepřispívala ve všech
případech ke zlepšení ochrany osobních údajů. Proto by měla být tato
nerozlišující obecná oznamovací povinnost zrušena a nahrazena účinnými postupy
a mechanismy, které by se místo toho zaměřovaly na ty činnosti zpracování, jež
mohou na základě své povahy, svého rozsahu a svých účelů představovat
specifická rizika z hlediska práv a svobod subjektů údajů. V těchto
případech by měl správce nebo zpracovatel před zpracováním provést posouzení
dopadu na ochranu údajů, jež by mělo zejména obsahovat plánovaná opatření,
záruky a mechanismy pro zajištění ochrany osobních údajů a prokázání souladu s
tímto nařízením.
|
|
(71)
Ceci devrait s'appliquer en particulier aux systèmes d'archivage à
grande échelle récemment créés, qui servent à traiter un volume considérable de
données à caractère personnel au niveau régional, national ou supranational et
pourraient affecter un nombre important de personnes concernées.
|
(71)
To by mělo platit zejména pro nově vytvořené
rozsáhlé evidence, jež mají sloužit ke zpracovávání značného množství osobních
údajů na regionální, národní nebo nadnárodní úrovni a jež by se mohly týkat
velkého počtu subjektů údajů.
|
|
(72)
Il existe des cas dans lesquels il pourrait être judicieux et économique
d'élargir l'analyse d'impact relative à la protection des données au-delà d'un
projet unique, par exemple lorsque des autorités ou organismes publics
entendent mettre en place une application ou une plateforme de traitement
commune, ou lorsque plusieurs responsables du traitement envisagent de créer
une application ou un environnement de traitement communs à tout un secteur ou
segment professionnel, ou pour une activité transversale largement utilisée.
|
(72)
Za určitých okolností může být rozumné a
z hospodářského hlediska smysluplné, aby posouzení dopadu na ochranu údajů
bylo pojato šířeji než pro jeden jediný projekt, například když orgány veřejné
moci nebo veřejné subjekty mají v úmyslu vytvořit společnou aplikaci nebo
platformu zpracování, nebo když několik správců chce zavést společnou aplikaci
nebo zpracovatelské prostředí pro celé průmyslové odvětví nebo pro určitý
segment nebo pro široce užívanou horizontální činnost.
|
|
(73)
Une autorité ou un organisme publics ne devraient réaliser une analyse
d'impact relative à la protection des données que si celle-ci n'a pas été faite
au moment de l'adoption de la loi nationale régissant la mission de l'autorité
ou de l'organisme publics concernés ainsi que l'opération ou l'ensemble
d'opérations de traitement en question.
|
(73)
Posouzení dopadu na ochranu údajů by měl vypracovat
orgán veřejné moci nebo veřejný subjekt, pokud takové posouzení dopadů nebylo
vypracováno již v souvislosti s přijetím vnitrostátního zákona, na
jehož základě orgán veřejné moci nebo veřejný subjekt plní své úkoly a který
upravuje dané specifické úkony nebo soubory úkonů spojené se zpracováním.
|
|
(74)
Lorsqu'une analyse d’impact relative à la protection des données indique
que des opérations de traitement exposent les droits et libertés des personnes
concernées à un degré élevé de risques particuliers, comme priver ces personnes
d'un droit, ou de par l'utilisation de certaines technologies nouvelles,
l'autorité de contrôle devrait pouvoir être consultée, avant le début de
l'opération, sur un traitement risqué susceptible de ne pas être conforme au
présent règlement, et formuler des propositions visant à y remédier. Cette
consultation devrait également avoir lieu pendant l'élaboration d'une mesure
législative du parlement national, ou d'une mesure fondée sur cette dernière
définissant la nature du traitement et instaurant les garanties appropriées.
|
(74)
Pokud z posouzení dopadu na ochranu údajů vyplývá,
že zpracovávání s sebou nese vysoké specifické riziko z hlediska práv a
svobod subjektů údajů, například riziko, že dané osoby nebudou moci uplatnit
své právo na ochranu údajů, nebo riziko plynoucí z využití nových specifických
technologií, měl by být před zahájením činností konzultován orgán dozoru
ohledně rizikového zpracování, které možná není v souladu s tímto
nařízením, aby předložil návrhy na nápravu této situace. Tato konzultace může
být rovněž uskutečněna během přípravy legislativního opatření vnitrostátního
parlamentu nebo opatření založeného na tomto legislativním opatření, které
vymezuje povahu zpracování a stanoví vhodné záruky.
|
|
(75)
Lorsque le traitement est réalisé dans le secteur public ou lorsque,
dans le secteur privé, il est effectué par une grande entreprise ou par une
entreprise, quelle que soit sa taille, dont les activités de base impliquent
des opérations de traitement exigeant un suivi régulier et systématique, une
personne devrait aider le responsable du traitement ou le sous‑traitant à
vérifier le respect, au niveau interne, du présent règlement. Ces délégués à la
protection des données, qu'ils soient ou non des employés du responsable du
traitement, devraient être en mesure d'exercer leurs fonctions et leurs tâches
en toute indépendance.
|
(75)
Pokud je zpracování prováděno ve veřejném sektoru
nebo velkým soukromým podnikem, nebo pokud hlavní činnosti podniku bez ohledu
na jeho velikost zahrnují zpracovávání, jež vyžaduje pravidelné a systematické
sledování, měla by správci nebo zpracovateli při sledování toho, zda je
v rámci podniku dodržován soulad s tímto nařízením, asistovat další
osoba. Tito inspektoři ochrany údajů, bez ohledu na to, zda se jedná o
zaměstnance správce, či nikoli, by měli plnit své povinnosti a úkoly nezávisle.
|
|
(76)
Il y a lieu d'encourager les associations et autres instances
représentatives des responsables de traitement de données à élaborer des codes
de conduite, dans le respect du présent règlement, de manière à faciliter sa
bonne application, en tenant compte des spécificités des traitements effectués
dans certains secteurs.
|
(76)
Sdružení nebo jiné subjekty zastupující určité
kategorie správců by měly být podněcovány k tomu, aby v souladu
s tímto nařízením vypracovaly kodexy chování s cílem usnadnit účinné
uplatňování tohoto nařízení, a to při zohlednění zvláštní povahy zpracování
v některých oblastech.
|
|
(77)
Afin de favoriser la transparence et le respect du présent règlement, la
création de mécanismes de certification, ainsi que de marques et de labels en
matière de protection des données, devrait être encouragée pour permettre aux
personnes concernées d'évaluer rapidement le niveau de protection des données
offert par les produits et services en question.
|
(77)
Aby se zvýšila transparentnost a zlepšilo
dodržování tohoto nařízení, mělo by být podpořeno zavedení mechanismů pro
vydávání osvědčení, pečetí a známek dokládajících ochranu údajů, aby subjekty
údajů mohly rychle zhodnotit úroveň ochrany údajů u příslušných produktů a
služeb.
|
|
(78)
La circulation transfrontière des données à caractère personnel est
nécessaire au développement de la coopération internationale et du commerce
mondial. L’augmentation de ces flux a cependant créé de nouveaux enjeux et de
nouvelles préoccupations en ce qui concerne la protection des données à caractère
personnel. Or il importe que, lorsque ces données sont transférées de l’Union
vers des pays tiers ou à des organisations internationales, le niveau de
protection des personnes physiques garanti dans l’Union par le présent
règlement ne soit pas amoindri. En tout état de cause, les transferts vers des
pays tiers ne peuvent avoir lieu que dans le plein respect du présent
règlement.
|
(78)
Přeshraniční pohyb osobních údajů je nezbytný pro
rozvoj mezinárodního obchodu a mezinárodní spolupráce. Nárůst tohoto pohybu
s sebou přinesl nové výzvy a problémy ohledně ochrany osobních údajů. Pokud
jsou však osobní údaje předávány z Unie do třetích zemí nebo mezinárodním
organizacím, neměla by být úroveň ochrany jednotlivců zaručovaná v Unii
tímto nařízením oslabována. V každém případě by předávání do třetích zemí
mělo být prováděno pouze za přísného dodržování tohoto nařízení.
|
|
(79)
Le présent règlement ne remet pas en cause les accords internationaux
conclus entre l'Union et les pays tiers en vue de réglementer le transfert des
données à caractère personnel, y compris les garanties appropriées au bénéfice
des personnes concernées.
|
(79)
Tímto nařízením nejsou dotčeny mezinárodní dohody
uzavřené mezi Unií a třetími zeměmi o předávání osobních údajů včetně vhodných
záruk pro subjekty údajů.
|
|
(80)
La Commission peut décider, avec effet dans l'ensemble de l'Union, que
certains pays tiers, un territoire ou un secteur de traitement de données dans
un pays tiers, ou une organisation internationale offrent un niveau de
protection adéquat, ce qui assurera une sécurité juridique et une uniformité
dans toute l'Union au sujet des pays tiers ou des organisations internationales
qui sont réputés assurer un tel niveau de protection. Dans ce cas, les
transferts de données à caractère personnel vers ces pays peuvent avoir lieu
sans qu'il soit nécessaire d'obtenir une autre autorisation.
|
(80)
Komise může s účinkem pro celou Unii
rozhodnout, že určité třetí země nebo území či odvětví zpracovávání v dané
třetí zemi nebo určitá mezinárodní organizace zajišťují vhodnou úroveň ochrany
údajů, a tímto způsobem ve vztahu k třetím zemím nebo mezinárodním
organizacím, které jsou považovány za schopné poskytovat takovou úroveň
ochrany, zajišťují právní jistotu a jednotné uplatňování práva v celé
Unii. V těchto případech mohou být osobní údaje do těchto zemí předávány,
aniž by bylo třeba získat další povolení.
|
|
(81)
Eu égard aux valeurs fondamentales sur lesquelles est fondée l'Union, en
particulier la protection des droits de l'homme, la Commission devrait, dans
son évaluation du pays tiers, prendre en considération la manière dont ce pays
respecte l'État de droit, garantit l’accès à la justice et observe les règles et
normes internationales dans le domaine des droits de l'homme.
|
(81)
V souladu se základními hodnotami, na kterých
je Unie založena a mezi něž patří zejména ochrana lidských práv, by Komise měla
při svém hodnocení třetí země zohlednit, jak daná třetí země respektuje právní
stát, přístup k spravedlnosti a mezinárodní normy a standardy
v oblasti lidských práv.
|
|
(82)
La Commission peut également constater qu’un pays tiers, un territoire
ou un secteur de traitement de données dans un pays tiers, ou une organisation
internationale n'offre pas un niveau adéquat de protection des données. Si tel
est le cas, le transfert de données à caractère personnel vers ce pays tiers
devrait être interdit. Il y aurait alors lieu de prendre des dispositions en
vue d'une consultation entre la Commission et le pays tiers ou l'organisation
internationale.
|
(82)
Komise může rovněž uznat, že třetí země nebo území
či odvětví zpracovávání v dané třetí zemi nebo určitá mezinárodní organizace
nezajišťuje přiměřenou úroveň ochrany údajů. Předávání osobních údajů do této
třetí země by tudíž mělo být zakázáno. V tomto případě by měly být naplánovány
konzultace mezi Komisí a těmito třetími zeměmi nebo mezinárodními organizacemi.
|
|
(83)
En l’absence de décision constatant le caractère adéquat du niveau de
protection, le responsable du traitement ou le sous‑traitant devrait prendre
des mesures pour compenser l'insuffisance de la protection des données dans le pays
tiers par des garanties appropriées en faveur de la personne concernée. Ces
garanties peuvent consister à recourir à des règles d'entreprise
contraignantes, des clauses types de protection des données adoptées par la
Commission, des clauses types de protection des données adoptées par une
autorité de contrôle ou des clauses contractuelles autorisées par celle-ci, ou
d'autres mesures adaptées et proportionnées qui se justifient au regard des
circonstances qui entourent une opération ou une série d'opérations de
transfert de données, et dans les cas autorisés par une autorité de contrôle.
|
(83)
V případě absence rozhodnutí o přiměřenosti by
správce nebo zpracovatel měl k odstranění nedostatků v oblasti ochrany údajů ve
třetí zemí přijmout vhodné záruky pro ochranu subjektu údajů. Tyto vhodné
záruky mohou spočívat ve využívání závazných podnikových pravidel,
standardních doložek o ochraně údajů přijatých Komisí, standardních doložek o
ochraně údajů přijatých orgánem dozoru nebo smluvních doložek schválených orgánem
dozoru nebo jiných vhodných a přiměřených opatření opodstatněných na základě
všech okolností spojených s předáváním údajů nebo řady údajů, které byly
schváleny orgánem dozoru.
|
|
(84)
La possibilité qu'ont les responsables du traitement et les sous‑traitants
de recourir aux clauses types de protection des données adoptées par la
Commission ou par une autorité de contrôle ne devrait pas les empêcher
d'inclure ces clauses dans un contrat plus large, ni d'y ajouter d’autres
clauses, à condition que celles‑ci ne contredisent pas, directement ou
indirectement, les clauses contractuelles types adoptées par la Commission ou
par une autorité de contrôle et qu'elles ne portent pas atteinte aux libertés
et droits fondamentaux des personnes concernées.
|
(84)
Skutečnost, že správci a zpracovatelé mohou
používat standardní doložky o ochraně údajů přijaté Komisí nebo orgánem dozoru,
by neměla správcům a zpracovatelům bránit v tom, aby zahrnuli standardní
doložky o ochraně údajů i do rozsáhlejších smluv nebo doplnili jiné doložky,
pokud tyto nejsou v přímém či nepřímém rozporu se standardními smluvními
doložkami přijatými Komisí nebo orgánem dozoru nebo pokud neomezují práva a
svobody subjektů údajů.
|
|
(85)
Un groupe d’entreprises devrait être autorisé à recourir à des règles
d'entreprise contraignantes pour ses transferts internationaux de l’Union vers
des entités du même groupe, à condition que ces règles d'entreprise incluent
des principes essentiels et des droits opposables fournissant des garanties
appropriées pour les transferts ou catégories de transferts de données à
caractère personnel.
|
(85)
Skupina podniků by měla mít možnost pro své
mezinárodní předávání údajů z Unie organizacím ve stejné skupině podniků
využívat schválená závazná podniková pravidla, pokud tato pravidla obsahují
základní zásady a vymahatelná práva pro zajištění vhodných záruk pro předávání
nebo kategorie předávání osobních údajů.
|
|
(86)
Le présent règlement devrait autoriser les transferts dans certains cas
où la personne concernée a donné son consentement, lorsque le transfert est
nécessaire dans le cadre d'un contrat ou d'une action en justice, lorsque des
motifs importants d'intérêt général établis par le droit de l'Union ou d'un
État membre l'exigent, ou lorsque le transfert est effectué à partir d'un
registre établi par la loi et destiné à être consulté par le public ou par des
personnes y ayant un intérêt légitime. Dans ce dernier cas de figure, le
transfert ne devrait toutefois pas porter sur la totalité des données ni sur
des catégories entières de données contenues dans le registre et, lorsque ce
dernier est destiné à être consulté par des personnes qui y ont un intérêt
légitime, le transfert ne devrait avoir lieu que si ces personnes le demandent
ou si elles en sont les destinataires.
|
(86)
Měla by být stanovena možnost předávat údaje za
určitých okolností, pokud subjekt údajů dal svůj souhlas, pokud je předávání
nezbytné v souvislosti se smlouvou anebo s uplatňováním právního nároku,
pokud je to nutné z důvodů důležitého veřejného zájmu stanoveného právem Unie
nebo členského státu nebo pokud je předávání prováděno z rejstříku zřízeného
ze zákona, přístupného veřejnosti nebo osobám s oprávněným zájmem. V tomto
případě by se takové předání nemělo týkat všech údajů ani celých kategorií
údajů obsažených v tomto rejstříku, a pokud má být rejstřík přístupný
osobám s oprávněným zájmem, mělo by být předání uskutečněno pouze na žádost
těchto osob nebo pokud jsou tyto osoby jejich příjemci.
|
|
(87)
Ces dérogations devraient s'appliquer en particulier aux transferts de
données qui sont nécessaires à la protection pour des motifs importants
d'intérêt général, par exemple en cas de transfert international de données
entre autorités de la concurrence, administrations fiscales ou douanières,
entre autorités de surveillance financière, entre services chargés des
questions de sécurité sociale, ou en cas de transfert aux autorités compétentes
chargées de la prévention et de la détection des infractions pénales, des
enquêtes et des poursuites en la matière.
|
(87)
Tyto odchylky se uplatní zejména v případech,
kdy jsou předání údajů požadovaná a nutná k ochraně důležitého veřejného zájmu,
například v případech mezinárodního předávání údajů mezi příslušnými
orgány pro hospodářskou soutěž, daňovými či celními správami, orgány finančního
dohledu, útvary příslušnými v oblasti sociálního zabezpečení nebo příslušnými
orgány pro prevenci, vyšetřování, odhalování či stíhání trestných činů.
|
|
(88)
Les transferts qui ne peuvent être qualifiés de fréquents ou massifs pourraient
également être autorisés aux fins de la poursuite des intérêts légitimes du
responsable du traitement ou du sous-traitant, après que ces derniers ont
évalué toutes les circonstances entourant le transfert. Pour les traitements à
des fins historiques, statistiques et de recherche scientifique, il y aurait
lieu de prendre en considération les attentes légitimes de la société en
matière de progrès des connaissances.
|
(88)
Předání, které nelze označit za časté nebo značného
rozsahu, by mohla být možná rovněž pro účely oprávněných zájmů správce nebo
zpracovatele, pokud posoudil všechny okolnosti daného předání údajů. Při
zpracování údajů pro účely historiografického, statistického a vědeckého
výzkumu by měla být zohledněna oprávněná očekávání společnosti ohledně
zvyšování znalostí.
|
|
(89)
En tout état de cause, lorsque la Commission ne s'est pas prononcée sur
le caractère adéquat de la protection des données dans un pays tiers, le
responsable du traitement ou le sous‑traitant devrait adopter des solutions qui
garantissent aux personnes concernées qu'elles continueront de bénéficier des
droits fondamentaux et des garanties qui leur sont accordés dans l'Union pour
le traitement des données les concernant, une fois que ces données auront été
transférées.
|
(89)
V každém případě, pokud Komise nepřijala
rozhodnutí o odpovídající úrovni ochrany údajů ve třetí zemi, by měl správce
nebo zpracovatel využít řešení, na jejichž základě je zaručeno, že jakmile jsou
údaje předány, subjekty údajů i nadále požívají základních práv a záruk
platných při zpracování jejich údajů v Unii.
|
|
(90)
Certains pays tiers édictent des lois, des règlements et d'autres
instruments législatifs qui visent à régir directement des activités de
traitement des données effectuées par des personnes physiques et morales qui
relèvent de la compétence des États membres de l'Union. L’application
extraterritoriale de ces lois, règlements et autres instruments législatifs
peut être contraire au droit international et faire obstacle à la protection
des personnes garantie dans l’Union par le présent règlement. . Les transferts
ne devraient donc être autorisés que lorsque les conditions fixées par le
présent règlement pour les transferts vers les pays tiers sont remplies. Ce
peut être le cas, notamment, lorsque la divulgation est nécessaire pour un
motif important d'intérêt général reconnu par le droit de l'Union ou par le
droit d'un État membre auquel le responsable des données est soumis. Les critères
d'existence d'un motif important d'intérêt général devraient être précisés par
la Commission dans un acte délégué.
|
(90)
Některé třetí země přijaly zákony, nařízení a jiné
právní předpisy, které mají přímo upravovat zpracovávání údajů ze strany
fyzických nebo právnických osob spadajících do pravomoci členských států.
Používání těchto zákonů, nařízení a jiných právních předpisů mimo území těchto
třetích zemí může znamenat porušení mezinárodního práva a narušovat ochranu
fyzických osob zaručenou v Unii tímto nařízením. Předávání údajů by mělo
být přípustné jen tehdy, jsou-li splněny podmínky předávání údajů do třetích
zemí stanovené v tomto nařízení. Tak tomu může být například v případě,
kdy je sdělení údajů nezbytné z důvodu důležitého veřejného zájmu, jenž je
uznán v právu Unie nebo v právu členského státu, kterému správce
podléhá. Podmínky, za jakých se jedná o důvod důležitého veřejného zájmu, by
měla Komise blíže vymezit v aktu v přenesené pravomoci.
|
|
(91)
Lorsque des données à caractère personnel franchissent les frontières,
elles accroissent le risque que les personnes physiques ne puissent exercer
leur droit à la protection des données, notamment pour se protéger de
l’utilisation ou la divulgation illicite de ces informations. De même, les
autorités de contrôle peuvent être confrontées à l'impossibilité d'examiner des
réclamations ou de mener des enquêtes sur les activités exercées en dehors de
leurs frontières. Leurs efforts pour collaborer dans le contexte transfrontière
peuvent également être freinés par les pouvoirs insuffisants dont elles
disposent, par l'hétérogénéité des régimes juridiques et par des obstacles
pratiques tels que le manque de ressources. En conséquence, il est nécessaire
de favoriser une coopération plus étroite entre les autorités de contrôle de la
protection des données, afin qu'elles puissent échanger des informations et
mener des enquêtes avec leurs homologues internationaux.
|
(91)
Při předávání osobních údajů přes hranice se
jednotlivci mohou vystavovat vyššímu riziku, že nebudou schopni vykonávat svá
práva na ochranu údajů, zejména se chránit před nezákonným použitím nebo
zveřejňováním těchto informací. Zároveň se může stát, že orgány dozoru nebudou
schopny vyřizovat stížnosti nebo provádět šetření týkající se činností
prováděných za hranicemi svého státu. Překážkou pro jejich úsilí o přeshraniční
spolupráci mohou být také nedostatečné preventivní a nápravné pravomoci, nejednotné
právní řády a praktické překážky, například omezené zdroje. Proto je třeba
podporovat užší spolupráci mezi orgány dozoru pro ochranu údajů s cílem
umožnit jim výměnu informací a provádění šetření ve spolupráci s orgány
dozoru jiných zemí.
|
|
(92)
L'institution d'autorités de contrôle dans les États membres, exerçant
leurs fonctions en toute indépendance, est un élément essentiel de la
protection des personnes physiques à l'égard du traitement des données à
caractère personnel. Les États membres ont la possibilité d'instituer plusieurs
autorités de contrôle, pour s'aligner sur leur structure constitutionnelle,
organisationnelle et administrative.
|
(92)
Zřízení orgánů dozoru vykonávajících zcela
nezávisle své úkoly v členských státech je zásadním prvkem ochrany jednotlivců
v souvislosti se zpracováním osobních údajů. Členské státy mohou zřídit více
než jeden orgán dozoru, pokud to odpovídá jejich ústavní, organizační a
administrativní struktuře.
|
|
(93)
Lorsqu'un État membre crée plusieurs autorités de contrôle, il devrait
prévoir, dans sa législation, des dispositifs garantissant la participation
effective de ces autorités au mécanisme de contrôle de la cohérence. Il devrait
en particulier désigner l'autorité de contrôle qui servira de point de contact
unique, permettant une participation efficace de ces autorités au mécanisme,
afin d'assurer une coopération rapide et facile avec les autres autorités de
contrôle, le comité européen de la protection des données et la Commission.
|
(93)
Pokud členský stát zřídí několik orgánů dozoru, měl
by zavést právní nástroje, které by zajistily účinnou účast těchto orgánů
dozoru v mechanismu jednotnosti. Tento členský stát by měl zejména
jmenovat orgán dozoru, jenž bude fungovat jako jediné kontaktní místo pro
účinnou účast těchto orgánů v mechanismu a jenž zajistí rychlou a plynulou
spolupráci s ostatními orgány dozoru, Evropskou radou pro ochranu údajů a
Komisí.
|
|
(94)
Il conviendrait que chaque autorité de contrôle soit dotée de tous les
moyens financiers et humains, les locaux et les infrastructures nécessaires à
la bonne exécution de ses tâches, y compris celles qui sont liées à
l'assistance mutuelle et à la coopération avec d'autres autorités de contrôle
dans l'ensemble de l'Union.
|
(94)
Každému orgánu dozoru by měly být poskytnuty odpovídající
finanční a lidské zdroje, prostory a infrastruktura, které bude potřebovat pro
účinné vykonávání svých úkolů, včetně úkolů, jež bude plnit v
rámci vzájemné pomoci a spolupráce s ostatními orgány dozoru
v celé Unii.
|
|
(95)
Les conditions générales applicables aux membres de l’autorité de
contrôle devraient être fixées par la loi dans chaque État membre, prévoir
notamment que ces membres sont nommés par le parlement ou par le gouvernement
national, et comprendre des dispositions régissant la qualification et la
fonction de ces membres.
|
(95)
Obecné podmínky pro členy orgánu dozoru by měly být
v každém členském státě upraveny právním předpisem a zejména by měly
stanovit, že tito členové by měli být jmenováni parlamentem nebo vládou
členského státu, a dále by měly obsahovat pravidla o osobní způsobilosti členů
a jejich postavení.
|
|
(96)
Il appartiendrait aux autorités de contrôle de surveiller l'application
des dispositions du présent règlement et de contribuer à ce que cette
application soit uniforme dans l'ensemble de l'Union, pour protéger les
personnes physiques à l'égard du traitement de leurs données à caractère
personnel et faciliter la libre circulation de ces données au sein du marché
intérieur. À cet effet, il conviendrait que les autorités de contrôle coopèrent
entre elles et avec la Commission.
|
(96)
Orgány dozoru by měly sledovat uplatňování
ustanovení tohoto nařízení a přispívat k jejich jednotnému uplatňování
v celé Unii s cílem chránit fyzické osoby v souvislosti se
zpracováváním jejich osobních údajů a usnadnit volný pohyb osobních údajů
v rámci vnitřního trhu. Za tímto účelem by orgány dozoru měly
spolupracovat s Komisí a mezi sebou.
|
|
(97)
Lorsque, dans l'Union, le traitement de données à caractère personnel
intervenant dans le cadre des activités d'un établissement d'un responsable du
traitement ou d'un sous‑traitant a lieu dans plusieurs États membres, il
conviendrait qu’une seule autorité de contrôle soit compétente pour surveiller
les activités du responsable du traitement ou du sous‑traitant dans toute
l'Union et pour prendre les décisions y afférentes, afin de favoriser une
application cohérente, de garantir la sécurité juridique et de réduire les
charges administratives pour le responsable du traitement et ses sous‑traitants.
|
(97)
Dochází-li ke zpracování osobních údajů v rámci
činnosti některé provozovny správce nebo zpracovatele ve více členských státech
Unie, měl by být k dohledu nad činnostmi prováděnými správcem či zpracovatelem
v celé Unii a k přijímání souvisejících rozhodnutí příslušný jen
jediný orgán dozoru, aby se zlepšilo jednotné uplatňování předpisů, poskytla
právní jistota a snížila administrativní zátěž těchto správců a zpracovatelů.
|
|
(98)
L'autorité compétente faisant ainsi office de guichet unique devrait
être l'autorité de contrôle de l'État membre dans lequel le responsable du
traitement ou le sous‑traitant a son principal établissement.
|
(98)
Příslušný orgán, který převezme úkoly jediného
kontaktního místa, by měl být orgán dozoru toho členského státu, v němž má
správce nebo zpracovatel hlavní provozovnu.
|
|
(99)
Bien que le présent règlement s'applique également aux activités des
juridictions nationales, la compétence des autorités de contrôle ne devrait pas
s'étendre aux traitements de données à caractère personnel effectués par les
juridictions lorsqu'elles agissent dans le cadre de leur fonction
juridictionnelle, afin de préserver l'indépendance des juges dans le cadre de
leur fonction juridictionnelle. Il conviendrait toutefois que cette exception
soit strictement limitée aux activités purement judiciaires intervenant dans le
cadre d'affaires portées devant les tribunaux et qu'elle ne s'applique pas aux
autres activités auxquelles les juges pourraient être associés en vertu du
droit national.
|
(99)
Ačkoli se toto nařízení vztahuje také na činnosti
vnitrostátních soudů, neměly by být orgány dozoru příslušné k dozoru nad
zpracováním osobních údajů, pokud soudy jednají v rámci svých soudních
pravomocí, aby byla zachována nezávislost soudců při výkonu jejich soudních
úkolů. Tato výjimka by však měla být striktně omezena na čistě soudní činnosti
v soudních řízeních a neměla by se vztahovat na jiné činnosti, do kterých
mohou být soudci v souladu s vnitrostátním právem zapojeni.
|
|
(100)
Afin d'assurer la cohérence du contrôle et de l'application du présent
règlement dans l'ensemble de l'Union, les autorités de contrôle devraient
avoir, dans chaque État membre, les mêmes missions et pouvoirs effectifs, dont
des pouvoirs d'enquête, d'intervention juridiquement contraignante, de décision
et de sanction, en particulier en cas de réclamation introduite par des
personnes physiques, ainsi que le pouvoir d'ester en justice. Les pouvoirs d'investigation
des autorités de contrôle en matière d'accès aux locaux devraient être exercés
conformément au droit de l'Union et au droit national applicable. Cela concerne
en particulier de l'obligation d'obtenir préalablement une autorisation
judiciaire.
|
(100)
Aby se zajistilo jednotné sledování a prosazování
tohoto nařízení v celé Unii, měly by mít orgány dozoru v každém
členském státě tytéž povinnosti a účinné pravomoci, včetně pravomocí provádět
šetření, právně závazné zásahy, přijímat rozhodnutí a sankce, zejména
v případech stížností jednotlivců, a pravomoci obrátit se na soud. Orgány
dozoru by měly své pravomoci provádět šetření, pokud jde o zpřístupňování
prostorů, vykonávat v souladu s právem Unie a právem členského státu.
To se týká zejména požadavku získat předchozí soudní povolení.
|
|
(101)
Chaque autorité devrait recevoir les réclamations des personnes
concernées et examiner les affaires en question. L’enquête faisant suite à une
réclamation devrait être menée, sous contrôle juridictionnel, dans la mesure
appropriée requise par l'affaire. L'autorité de contrôle devrait informer la
personne concernée de l'état d'avancement et du résultat de la réclamation dans
un délai raisonnable. Si l'affaire requiert un complément d'enquête ou une
coordination avec une autre autorité de contrôle, des informations
intermédiaires devraient être fournies à la personne concernée.
|
(101)
Každý orgán dozoru by se měl zabývat stížnostmi
podanými kterýmkoli subjektem údajů a záležitost prošetřit. Šetření, které
následuje po podání stížnosti, by mělo být s výhradou soudního přezkumu
provedeno v rozsahu, jenž je v daném případě přiměřený. Orgán dozoru
by měl subjekt údajů v rozumné lhůtě informovat o vývoji a výsledku stížnosti.
Subjekt údajů by měl být průběžně informován v případě, kdy je zapotřebí další
šetření nebo koordinace s jiným orgánem dozoru.
|
|
(102)
Les activités de sensibilisation organisées par les autorités de
contrôle à l'intention du public devraient comprendre des mesures spécifiques
aux responsables du traitement et aux sous-traitants, y compris les micro,
petites et moyennes entreprises, et aux personnes concernées.
|
(102)
Činnosti orgánů dozoru, jejichž cílem je zvyšování
povědomí veřejnosti, by měly zahrnovat specifická opatření zaměřená na správce
a zpracovatele, včetně mikropodniků, malých a středních podniků, jakož i na
subjekty údajů.
|
|
(103)
Les autorités de contrôle devraient se prêter mutuellement assistance
dans l’exercice de leurs fonctions afin d'assurer une application cohérente du
présent règlement dans le marché intérieur.
|
(103)
Orgány dozoru by si měly při provádění svých úkolů
vzájemně pomáhat, aby bylo zajištěno jednotné uplatňování a prosazování tohoto
nařízení na vnitřním trhu.
|
|
(104)
Chaque autorité de contrôle devrait avoir le droit de participer à des
opérations conjointes entre autorités de contrôle. L'autorité de contrôle
requise devrait être tenue de répondre à la demande dans un délai déterminé.
|
(104)
Každý orgán dozoru by měl mít právo účastnit se
společných operací orgánů dozoru. Dožadovaný orgán dozoru byl měl mít povinnost
odpovědět na žádost ve stanovené lhůtě.
|
|
(105)
Afin de garantir l’application cohérente du présent règlement dans toute
l'Union, il y a lieu d'instaurer un mécanisme de contrôle de la cohérence
encadrant la coopération entre les autorités de contrôle elles-mêmes et avec la
Commission. Ce mécanisme devrait notamment s'appliquer lorsqu'une autorité de
contrôle a l'intention de prendre une mesure à l'égard d'opérations de
traitement qui sont liées à l'offre de biens ou de services à des personnes
concernées se trouvant dans plusieurs États membres, ou à l'observation de ces
personnes, ou qui pourraient affecter considérablement la libre circulation des
données à caractère personnel. Il devrait également s'appliquer lorsqu'une
autorité de contrôle ou la Commission demande qu'une question soit traitée dans
ce cadre. Le mécanisme devrait s'appliquer sans préjudice des éventuelles
mesures que la Commission pourrait prendre dans l'exercice des pouvoirs que lui
confèrent les traités.
|
(105)
Aby bylo zajištěno jednotné uplatňování tohoto
nařízení v celé Unii, měl by být zaveden mechanismus jednotnosti pro
spolupráci mezi orgány dozoru a s Komisí. Tento mechanismus by se měl
použít především tehdy, má-li orgán dozoru v úmyslu přijmout opatření
ohledně jednotlivých činností zpracování, které souvisejí s nabídkou zboží
nebo služeb subjektům údajů v několika členských státech, nebo se
sledováním těchto subjektů údajů nebo které by mohly významně ovlivnit volný
pohyb osobních údajů. Měl by se použít také v případě, kdy orgán dozoru
nebo Komise žádají, aby byla záležitost projednávána v rámci mechanismu
jednotnosti. Tímto mechanismem by neměla být dotčena jiná opatření, která by
Komise mohla přijmout při výkonu svých pravomocí podle Smluv.
|
|
(106)
En application du mécanisme de contrôle de la cohérence, le comité
européen de la protection des données devrait émettre un avis, dans un délai
déterminé, si une majorité simple de ses membres le décide ou s'il est saisi
d'une demande en ce sens par une autorité de contrôle ou par la Commission.
|
(106)
Při použití mechanismu jednotnosti by Evropská rada
pro ochranu údajů, pokud tak rozhodne prostá většina jejích členů nebo pokud o
to požádá jiný orgán dozoru či Komise, měla ve stanovené lhůtě vydat
stanovisko.
|
|
(107)
Afin de garantir le respect du présent règlement, la Commission peut
adopter un avis sur cette question, ou une décision ordonnant à l'autorité de
contrôle de suspendre son projet de mesure.
|
(107)
Aby byl zajištěn soulad s tímto nařízením,
může Komise v této záležitosti zaujmout stanovisko nebo přijmout
rozhodnutí, kterým po orgánu dozoru bude vyžadovat, aby přijetí navrhovaného
opatření odložil.
|
|
(108)
Il peut être nécessaire d'agir de toute urgence pour protéger les
intérêts des personnes concernées, en particulier lorsque l'exercice du droit
d'une personne concernée risque d'être considérablement entravé. En
conséquence, lorsqu'elle applique le mécanisme de contrôle de la cohérence,
l'autorité de contrôle devrait pouvoir adopter des mesures provisoires d'une
durée déterminée.
|
(108)
Může se vyskytnout naléhavá potřeba jednat, aby
byly ochráněny zájmy subjektů údajů, zejména pokud hrozí, že výkon některého z
práv subjektu údajů by mohl být značně ztížen. Orgán dozoru by proto měl při
použití mechanismu jednotnosti mít možnost přijmout dočasná opatření se
stanovenou dobou platnosti.
|
|
(109)
L'application de ce mécanisme devrait conditionner la validité juridique
et l'exécution de la décision par une autorité de contrôle. Dans d'autres cas
présentant une dimension transfrontière, les autorités de contrôle concernées
pourraient se prêter mutuellement assistance et mener des enquêtes conjointes
sur une base bilatérale ou multilatérale, sans actionner le mécanisme de
contrôle de la cohérence.
|
(109)
Použití tohoto mechanismu by mělo být podmínkou pro
právní platnost a prosazování příslušného rozhodnutí orgánem dozoru.
V ostatních případech s přeshraničním rozměrem by si mohly příslušné
orgány dozoru na dvoustranné nebo mnohostranné úrovni poskytovat vzájemnou
pomoc a provádět společná šetření, aniž by použily mechanismus jednotnosti.
|
|
(110)
Un comité européen de la protection des données devrait être créé au
niveau de l'Union. Il devrait remplacer le groupe de protection des personnes à
l'égard du traitement des données à caractère personnel institué par
l'article 29 de la directive 95/46/CE. Il devrait se composer d'un
directeur d'une autorité de contrôle de chaque État membre et du contrôleur
européen de la protection des données. La Commission devrait participer à ses
activités. Le comité européen de la protection des données devrait contribuer à
l'application cohérente du présent règlement dans toute l'Union, notamment en
conseillant la Commission et en favorisant la coopération des autorités de
contrôle dans l'ensemble de l'Union. Il devrait exercer ses fonctions en toute
indépendance.
|
(110)
Na úrovni Unie by měla být zřízena Evropská rada
pro ochranu údajů. Tato Rada by měla nahradit pracovní skupinu pro ochranu
fyzických osob v souvislosti se zpracováním osobních údajů zřízenou směrnicí
95/46/ES. Měla by být složena z vedoucího orgánu dozoru každého členského
státu a evropského inspektora ochrany údajů. Komise by se měla jejích činností
účastnit. Evropská rada pro ochranu údajů by měla přispívat k jednotnému
uplatňování tohoto nařízení v celé Unii, například poskytovat Komisi
poradenství a podporovat spolupráci orgánů dozoru v celé Unii. Evropská rada
pro ochranu údajů by měla při plnění svých úkolů jednat nezávisle.
|
|
(111)
Toute personne concernée devrait avoir le droit d'introduire une
réclamation auprès d'une autorité de contrôle dans tout État membre et disposer
d'un droit de recours si elle estime que les droits que lui confère le présent
règlement ne sont pas respectés, si l’autorité de contrôle ne réagit pas à une
réclamation ou si elle n’agit pas alors qu'une action est nécessaire pour
protéger les droits de la personne concernée.
|
(111)
Každý subjekt údajů by měl mít právo podat stížnost
orgánu dozoru v jakémkoli členském státě a mít právo na soudní opravný
prostředek, jestliže se domnívá, že byla porušena jeho práva podle tohoto
nařízení, nebo pokud orgán dozoru na stížnost nereaguje nebo nejedná, přestože
je to nutné pro ochranu práva subjektu údajů.
|
|
(112)
Tout organisme, organisation ou association qui œuvre à la protection
des droits et intérêts des personnes concernées dans le domaine de la
protection des données et qui est constitué(e) conformément au droit d’un État
membre devrait avoir le droit d'introduire une réclamation auprès d'une
autorité de contrôle ou d'exercer le droit de recours au nom de personnes
concernées, ou d'introduire une réclamation en son propre nom, indépendamment
de celle d'une personne concernée, dans les cas où l'organisme, l'organisation
ou l'association considère qu'une violation de données à caractère personnel a
été commise.
|
(112)
Veškeré subjekty, organizace nebo sdružení, jejichž
cílem je chránit práva a zájmy subjektů údajů v souvislosti s ochranou jejich
osobních údajů a jež byly řádně zřízeny podle práva některého členského státu,
by měly mít právo vznést jménem subjektů údajů stížnost k orgánu dozoru nebo
uplatnit právo na soudní opravný prostředek, nebo nezávisle na stížnosti
subjektu údajů podat vlastní stížnost, jestliže se domnívají, že došlo k
narušení bezpečnosti osobních údajů.
|
|
(113)
Toute personne physique ou morale devrait disposer d'un droit de recours
contre les décisions d'une autorité de contrôle qui la concernent. Les actions
contre une autorité de contrôle devraient être intentées devant les
juridictions de l’État membre sur le territoire duquel l'autorité de contrôle
est établie.
|
(113)
Každá fyzická nebo právnická osoba by měla mít
právo na soudní opravný prostředek proti rozhodnutím orgánu dozoru, která se jí
týkají. Řízení proti orgánu dozoru by se měla zahajovat před soudy toho
členského státu, v němž je daný orgán dozoru usazen.
|
|
(114)
Afin de renforcer la protection judiciaire de la personne concernée dans
les cas où l'autorité de contrôle compétente est établie dans un autre État
membre que celui dans lequel la personne concernée réside, cette dernière peut
demander à tout organisme, organisation ou association œuvrant à la protection
des droits et intérêts des personnes concernées en vue de protéger leurs
données à caractère personnel, d'intenter, pour son compte, un recours contre
l'autorité de contrôle en question devant la juridiction compétente de l'autre
État membre.
|
(114)
Aby byla posílena soudní ochrana subjektu údajů
v situacích, kdy je příslušný orgán dozoru usazen v jiném členském
státě než je stát, ve kterém má subjekt údajů bydliště, může subjekt údajů
požádat jakýkoli subjekt, organizaci nebo sdružení, jejichž cílem je chránit
práva a zájmy subjektů údajů v souvislosti s ochranou jejich osobních údajů,
aby proti tomuto orgánu dozoru v tomto jiném členském státě jeho jménem zahájil
u příslušného soudu řízení.
|
|
(115)
Dans le cas où l'autorité de contrôle compétente établie dans un autre
État membre n'agit pas ou a pris des mesures insuffisantes au sujet d'une
réclamation, la personne concernée peut demander à l'autorité de contrôle de
l'État membre dans lequel elle réside habituellement d'intenter une action
contre l'autorité de contrôle défaillante, devant la juridiction compétente de
l'autre État membre. L'autorité de contrôle requise peut décider, sous contrôle
juridictionnel, s'il y a lieu ou non de faire droit à la demande.
|
(115)
V případech, kdy příslušný orgán dozoru
usazený v jiném členském státě v souvislosti se stížností nejedná
nebo přijal nedostatečná opatření, může subjekt údajů požádat orgán dozoru
v členském státě svého obvyklého pobytu, aby proti tomuto orgánu dozoru v
tomto jiném členském státě zahájil u příslušného soudu řízení. Dožadovaný orgán
dozoru může s výhradou soudního přezkumu rozhodnout, zda je vhodné této
žádosti vyhovět či nikoli.
|
|
(116)
En ce qui concerne les recours à l'encontre d'un responsable du
traitement ou d'un sous‑traitant, le demandeur devrait pouvoir choisir
d'intenter l'action devant les juridictions des États membres dans lesquels le
responsable du traitement ou le sous‑traitant a un établissement ou dans l'État
membre dans lequel la personne concernée réside, sauf si le responsable du
traitement est une autorité publique agissant dans l’exercice de la puissance
publique.
|
(116)
Při řízeních proti správci nebo zpracovateli by
žalobce měl mít možnost volby, zda podá žalobu u soudů členského státu, kde je
správce nebo zpracovatel usazen nebo kde má subjekt údajů bydliště, s výjimkou
případů, kdy je správce orgánem veřejné moci, který jedná v rámci výkonu
veřejné moci.
|
|
(117)
S'il existe des raisons de penser que des procédures parallèles sont
pendantes devant les juridictions de différents États membres, ces juridictions
devraient être tenues de prendre contact les unes avec les autres. Les
juridictions devraient avoir la possibilité de surseoir à statuer lorsqu'une
affaire parallèle est pendante dans un autre État membre. Les États membres
devraient veiller à ce que les actions en justice, pour être efficaces,
permettent l'adoption rapide de mesures visant à réparer ou à prévenir une
violation du présent règlement.
|
(117)
Existují-li náznaky, že řízení probíhá paralelně u
soudů v různých členských státech, měly by soudy mít povinnost vzájemně se
kontaktovat. Soudy by měly mít možnost řízení odročit, pokud řízení probíhá
paralelně v jiném členském státě. Členské státy by měly zajistit, aby
existovaly účinné soudní prostředky, které by umožňovaly rychlé přijetí
opatření, jež by vedla k nápravě nebo by zabránila porušování tohoto
nařízení.
|
|
(118)
Tout dommage qu'une personne pourrait subir du fait d'un traitement
illicite devrait être réparé par le responsable du traitement ou le sous‑traitant,
qui peut cependant s'exonérer de sa responsabilité s'il prouve que le dommage
ne lui est pas imputable, notamment s'il établit l'existence d'une faute de la
personne concernée, ou en cas de force majeure.
|
(118)
Veškeré škody, které mohou vzniknout osobám v
důsledku protiprávního zpracování by měly být nahrazeny správcem nebo
zpracovatelem, který může být zproštěn své odpovědnosti, pokud prokáže, že
vznik škody mu nelze přičítat, zejména pokud prokáže chybu subjektu údajů nebo
případ vyšší moci.
|
|
(119)
Toute personne de droit privé ou de droit public qui ne respecte pas le
présent règlement devrait faire l'objet de sanctions pénales. Les États membres
devraient veiller à ce que les sanctions soient effectives, proportionnées et
dissuasives, et prendre toutes mesures nécessaires à leur application.
|
(119)
Každé osobě, ať již podléhá soukromému či veřejnému
právu, která nebude dodržovat toto nařízení, by měly být uloženy sankce.
Členské státy by měly zajistit, že sankce budou účinné, přiměřené a odrazující,
a měly by přijmout veškerá opatření pro uplatnění sankcí.
|
|
(120)
Afin de renforcer et d'harmoniser les sanctions administratives
applicables en cas de violation du présent règlement, chaque autorité de
contrôle devrait avoir le pouvoir de sanctionner les infractions
administratives. Le présent règlement devrait définir ces infractions ainsi que
le montant maximal des amendes administratives dont elles sont passibles. Le
montant de l'amende devrait être fixé, dans chaque cas, en fonction de la
situation spécifique, compte dûment tenu, notamment, de la nature, de la
gravité et de la durée de l'infraction. Il pourrait en outre être recouru au
mécanisme de contrôle de la cohérence pour résoudre les divergences
d'application des sanctions administratives.
|
(120)
Aby byly posíleny a harmonizovány správní sankce za
porušení tohoto nařízení, měl by každý orgán dozoru mít pravomoc trestat
správní přestupky. Tyto přestupky by měly být uvedeny v tomto nařízení
spolu s maximální hranicí odpovídajících správních pokut, které by měly
být stanoveny v každém jednotlivém případě poměrně ke konkrétní situaci a
s ohledem zejména na povahu, závažnost a dobu trvání daného porušení.
V rámci mechanismu jednotnosti mohou být projednávány také odchylky při
používání správních sankcí.
|
|
(121)
Le traitement de données à caractère personnel à des fins uniquement
journalistiques ou aux fins d'expression artistique ou littéraire devrait
pouvoir bénéficier d'une dérogation à certaines dispositions du présent
règlement, pour concilier le droit à la protection de ces données avec le droit
à la liberté d'expression, et notamment le droit de recevoir et de communiquer
des informations, garanti en particulier par l’article 11 de la charte des
droits fondamentaux de l'Union européenne. Ceci devrait notamment s’appliquer
aux traitements de données à caractère personnel dans le domaine de
l’audiovisuel et dans les documents d'archives et bibliothèques de journaux. En
conséquence, les États membres devraient adopter des mesures législatives qui
prévoient les exemptions et dérogations nécessaires pour assurer l'équilibre
avec ces droits fondamentaux. Les États membres devraient adopter de telles
exemptions et dérogations en ce qui concerne les principes généraux, les droits
de la personne concernée, le responsable des données et le sous-traitant, le
transfert des donnés vers des pays tiers ou à des organisations
internationales, les autorités de contrôle indépendantes, et la coopération et
la cohérence. Néanmoins, ceci ne devrait pas conduire les États membres à
prévoir des dérogations aux autres dispositions du présent règlement. Pour
tenir compte de l'importance du droit à la liberté d'expression dans toute
société démocratique, il y a lieu de retenir une interprétation large des
notions liées à cette liberté, comme le journalisme. Par conséquent, aux fins
des exemptions et dérogations à établir en vertu du présent règlement, les
États membres devraient qualifier de «journalistiques» les activités ayant pour
objet de communiquer au public des informations, des opinions ou des idées,
quel que soit le vecteur utilisé pour les transmettre. Il convient de ne pas
limiter cette catégorie aux seules activités des entreprises de médias et d'y
inclure tant celles qui poursuivent un but lucratif que celles qui n'en
poursuivent pas.
|
(121)
Zpracování osobních údajů prováděné výlučně pro účely
žurnalistiky nebo uměleckého či literárního projevu by mělo opravňovat k
výjimce z některých ustanovení tohoto nařízení za účelem uvedení práva na
ochranu osobních údajů do souladu s právem na svobodu projevu, a především
s právem získávat nebo sdělovat informace tak, jak to zejména zaručuje článek
11 Listiny základních práv Evropské unie. To by mělo platit zejména pro
zpracování osobních údajů v audiovizuální oblasti a ve zpravodajských a
tiskových archivech. Členské státy by proto měly přijmout legislativní opatření
pro stanovování odchylek a výjimek, které jsou nezbytné pro vyvážení těchto
základních práv. Členské státy by měly tyto odchylky a výjimky přijímat s
ohledem na obecné zásady, práva subjektu údajů, správce a zpracovatele,
předávání údajů do třetích zemí nebo mezinárodním organizacím, nezávislé orgány
dozoru a na spolupráci a jednotné použití. To by ovšem nemělo vést k tomu,
aby členské státy přijímaly výjimky pro jiná ustanovení tohoto nařízení. Aby
byl zohledněn význam práva na svobodu projevu v každé demokratické
společnosti, je třeba vykládat pojmy související s touto svobodou,
například žurnalistika, šířeji. Členské státy by proto měly za účelem stanovení
výjimek a odchylek podle tohoto nařízení vymezit „žurnalistické“ činnosti jako
činnosti, jejichž cílem je sdělení informací, názorů či myšlenek veřejnosti bez
ohledu na to, jaký sdělovací prostředek se použije. Tyto činnosti lze
provozovat za účelem zisku či k neziskovým účelům a neměly by být omezeny
na mediální podniky.
|
|
(122)
Le traitement des données à caractère personnel concernant la santé, qui
constituent une catégorie spéciale de données exigeant une protection plus élevée,
peut souvent être justifié par divers motifs légitimes, dans l'intérêt des
personnes et de la société dans son ensemble, notamment lorsqu'il s'agit
d'assurer la continuité des soins de santé d'un pays à un autre. Le présent
règlement devrait donc prévoir des conditions harmonisées pour le traitement
des données à caractère personnel dans le domaine de la santé, en les
assortissant de garanties spécifiques et appropriées pour protéger les droits
fondamentaux et les données à caractère personnel des personnes physiques. Ceci
inclut leur droit d'accéder aux données ayant trait à leur santé, par exemple
les données des dossiers médicaux faisant état de diagnostics, de résultats
d'examens, d'avis de médecins traitants ou de tout traitement ou intervention effectués.
|
(122)
Zpracování osobních údajů o zdravotním stavu jako
zvláštní kategorie údajů, která si zasluhuje vyšší stupeň ochrany, může být
často odůvodněno řadou oprávněných důvodů ve prospěch jednotlivců a společnosti
jako celku, zejména pokud jde o zajištění kontinuity přeshraniční zdravotní
péče. Toto nařízení by proto mělo s využitím vhodných a zvláštních záruk
na ochranu základních práv a osobních údajů jednotlivců harmonizovat podmínky
zpracování osobních údajů o zdravotním stavu. To zahrnuje právo jednotlivců na
přístup k osobním údajům o svém zdravotním stavu, například k údajům ve své
lékařské dokumentaci, která obsahuje například informace o diagnóze, výsledky
vyšetření, posudky ošetřujících lékařů a údaje o léčbě a údaje o veškerých
provedených ošetřeních nebo zákrocích.
|
|
(123)
Le traitement de données à caractère personnel concernant la santé peut
être nécessaire pour des raisons d'intérêt général dans les domaines de la
santé publique, et sans le consentement de la personne concernée. Dans ce
contexte, la notion de «santé publique» s'interprète selon la définition prévue
dans le règlement (CE) n° 1338/2008 du Parlement européen et du Conseil du
16 décembre 2008 relatif aux statistiques communautaires de la santé
publique et de la santé et de la sécurité au travail, et désigne l'ensemble des
éléments liés à la santé, à savoir, l'état de santé, y compris le décès et le
handicap, les éléments déterminant cet état de santé, les besoins en soins de
santé, les ressources allouées aux soins de santé, l'offre de soin et l'accès universel
à ces soins ainsi que les dépenses et le financement des soins de santé et les
causes de décès. Ces traitements de données à caractère personnel concernant la
santé autorisés pour des motifs d'intérêt général ne doivent pas aboutir à ce
que ces données soient traitées à d'autres fins par des tiers, tels que les
employeurs, les compagnies d'assurance et les banques.
|
(123)
Z důvodů veřejného zájmu v oblasti veřejného zdraví
může být nezbytné zpracovávat osobní údaje o zdravotním stavu bez souhlasu
subjektu údajů. V této souvislosti by mělo být „veřejné zdraví“ vykládáno
ve smyslu definice v nařízení Evropského parlamentu a Rady (ES) č.
1338/2008 ze dne 16. prosince 2008 o statistice Společenství v oblasti
veřejného zdraví a bezpečnosti a ochrany zdraví při práci jako veškeré prvky
týkající se zdraví, zejména zdravotní stav včetně nemocnosti a zdravotního
postižení, determinanty ovlivňující tento zdravotní stav, potřeby zdravotní
péče, prostředky přidělené na zdravotní péči, poskytování zdravotní péče a její
všeobecná dostupnost, výdaje na zdravotní péči a její financování a příčiny
úmrtnosti. Takové zpracování osobních údajů o zdravotním stavu z důvodu
veřejného zájmu by nemělo vést k tomu, aby třetí strany, jako jsou
zaměstnavatelé, pojišťovny a finanční společnosti, zpracovávaly osobní údaje
pro jiné účely.
|
|
(124)
Les principes généraux concernant la protection des personnes physiques
à l’égard du traitement des données à caractère personnel devraient également
être applicables dans le contexte de l'emploi. En conséquence, pour réglementer
le traitement des données à caractère personnel des salariés dans ce contexte,
les États membres devraient pouvoir, dans les limites du présent règlement, adopter
par voie législative des règles spécifiques au traitement des données à
caractère personnel dans le secteur de l’emploi.
|
(124)
Obecné zásady ochrany jednotlivců při zpracování
osobních údajů by měly platit také v souvislosti se zaměstnáním. V mezích
tohoto nařízení by měly členské státy mít možnost přijmout právním předpisem
zvláštní pravidla, která upraví zpracovávání osobních údajů zaměstnanců v
souvislosti se zaměstnáním.
|
|
(125)
Le traitement de données à caractère personnel à des fins statistiques
ou de recherche historique ou scientifique devrait, pour être licite, également
respecter d'autres législations pertinentes, telles que celle relative aux
essais cliniques.
|
(125)
Aby bylo zpracování osobních údajů pro účely
historiografického, statistického a vědeckého výzkumu zákonné, mělo by také
respektovat další příslušné právní předpisy, upravující například klinické
studie.
|
|
(126)
Aux fins du présent règlement, la notion de «recherche scientifique»
devrait comprendre la recherche fondamentale, la recherche appliquée et la
recherche financée par le secteur privé, et devrait en outre tenir compte de
l'objectif de l'Union mentionné à l'article 179, paragraphe 1, du
traité sur le fonctionnement de l'Union européenne, consistant à réaliser un
espace européen de la recherche.
|
(126)
Vědecký výzkum by pro účely tohoto nařízení měl
zahrnovat základní výzkum, aplikovaný výzkum a výzkum financovaný ze soukromých
zdrojů a kromě toho by měl zohledňovat cíl Unie podle čl. 179 odst. 1
Smlouvy o fungování Evropské unie, tj. vytvořit evropský výzkumný prostor.
|
|
(127)
En ce qui concerne le pouvoir qu'ont les autorités de contrôle d'obtenir
du responsable du traitement ou du sous‑traitant l’accès aux données à
caractère personnel et l'accès à ses locaux, les États membres peuvent adopter
par voie législative, dans les limites du présent règlement, des règles
spécifiques visant à préserver le secret professionnel ou d'autres obligations
équivalentes de confidentialité, dans la mesure où cela est nécessaire pour
concilier le droit à la protection des données à caractère personnel et une
obligation de secret professionnel.
|
(127)
Pokud jde o pravomoci orgánů dozoru získat od
správce nebo zpracovatele přístup k osobním údajům a přístup do jejich
prostorů, mohou členské státy v mezích tohoto nařízení právním předpisem
přijmout zvláštní pravidla pro ochranu povinnosti zachovávat profesní tajemství
nebo jiné rovnocenné povinnosti mlčenlivosti, pokud je to nezbytné pro uvedení
práva na ochranu osobních údajů do souladu s povinností zachovávat
profesní tajemství.
|
|
(128)
Conformément à l'article 17 du traité sur le fonctionnement de l'Union
européenne, le présent règlement respecte et ne préjuge pas du statut dont
bénéficient, en vertu du droit national, les églises et les associations ou
communautés religieuses dans les États membres. Il s'ensuit que si, dans un
État membre, une église applique, à la date d'entrée en vigueur du présent
règlement, un ensemble complet de règles relatives à la protection des
personnes physiques à l’égard du traitement des données à caractère personnel,
ces règles existantes devraient continuer de s'appliquer si elles sont mises en
conformité avec les dispositions du présent règlement. Ces églises et les
associations religieuses devraient être tenues d'instituer une autorité de
contrôle totalement indépendante.
|
(128)
V souladu s článkem 17 Smlouvy o
fungování Evropské unie toto nařízení respektuje a nepředjímá postavení církví
a náboženských sdružení či spolků v členských státech podle vnitrostátního
právního řádu. Jestliže církev v některém členském státě v době vstupu tohoto
nařízení v platnost uplatňuje komplexní pravidla týkající se ochrany
jednotlivců v souvislosti se zpracováváním osobních údajů, tato existující
pravidla by měla nadále platit za předpokladu, že se uvedou do souladu s tímto
nařízením. Tyto církve a náboženská sdružení by měly mít povinnost zajistit
zřízení zcela nezávislého orgánu dozoru.
|
|
(129)
Afin de remplir les objectifs du présent règlement, à savoir la
protection des droits et libertés fondamentaux des personnes physiques, et en
particulier de leur droit à la protection des données à caractère personnel, et
pour garantir la libre circulation de ces dernières au sein de l’Union, le
pouvoir d'adopter des actes conformément à l’article 290 du traité sur le
fonctionnement de l'Union européenne devrait être délégué à la Commission.
Concrètement, des actes délégués devraient être adoptés en ce qui concerne la
licéité du traitement; la spécification des critères et conditions concernant
le consentement des enfants; les traitements portant sur des catégories
particulières de données; la spécification des critères et conditions
applicables aux demandes manifestement excessives et des frais facturés à la
personne concernée pour exercer ses droits; les critères et les exigences
applicables à l'information de la personne concernée et au droit d'accès; le
droit à l'oubli numérique et à l'effacement; les mesures fondées sur le
profilage; les critères et exigences en rapport avec les obligations incombant
au responsable du traitement et avec la protection des données dès la
conception ou par défaut; les sous-traitants; les critères et exigences
spécifiques pour la documentation et la sécurité du traitement; les critères et
exigences en vue d'établir une violation des données à caractère personnel et
de la notifier à l'autorité de contrôle, et les cas dans lesquels une violation
des données à caractère personnel est susceptible de porter préjudice à la
personne concernée; les critères et conditions déterminant la nécessité d'une
analyse d'impact en ce qui concerne des opérations de traitement; les critères
et exigences pour établir l'existence d'un degré élevé de risques spécifiques
justifiant une consultation préalable; la désignation et les missions du
délégué à la protection des données; les codes de conduite; les critères et
exigences applicables aux mécanismes de certification; les transferts encadrés
par des règles d'entreprise contraignantes les dérogations relatives aux
transferts; les sanctions administratives; les traitements à des fins
médicales; les traitements dans le contexte professionnel et les traitements à
des fins historiques, statistiques et de recherche scientifique. Il importe
particulièrement que la Commission procède aux consultations appropriées tout
au long de son travail préparatoire, y compris au niveau des experts. Durant la
phase de préparation et de rédaction des actes délégués, la Commission devrait
transmettre simultanément, en temps utile et en bonne et due forme, les
documents pertinents au Parlement européen et au Conseil.
|
(129)
Aby byly splněny cíle tohoto nařízení, zejména
chránit základní práva a svobody fyzických osob a především jejich právo na
ochranu osobních údajů a zajistit volný pohyb osobních údajů v rámci Unie,
měla by být na Komisi převedena pravomoc přijímat akty v souladu
s článkem 290 Smlouvy o fungování Evropské unie. Akty v přenesené
pravomoci by měly být přijímány především s ohledem na zákonnost
zpracování, vymezování kritérií a podmínek v souvislosti se souhlasem
dítěte, zpracování zvláštních kategorií údajů, vymezování kritérií a podmínek
určování zjevné nepřiměřenosti žádostí a poplatků pro výkon práv subjektu
údajů, kritérií a požadavků pro informování subjektu údajů a v souvislosti
s právem na přístup, právem být zapomenut a právem na výmaz, opatření
založená na profilování, kritéria a požadavky v souvislosti
s odpovědností správce a ochranou údajů již od návrhu a standardním
nastavením ochrany údajů, na zpracovatele, na kritéria a požadavky na
dokumentaci a bezpečnost zpracování, kritéria a požadavky, pokud jde o
zjišťování případů narušení bezpečnosti osobních údajů a jejich oznamování
orgánu dozoru a okolnosti, za jakých se narušení bezpečnosti osobních údajů
pravděpodobně nepříznivě dotkne subjektu údajů, kritéria a podmínky
zpracovávání, pro které je třeba vypracovat posouzení dopadu na ochranu údajů,
kritéria a požadavky pro určování vysokého stupně specifických rizik
vyžadujících předchozí konzultaci, určení inspektora ochrany údajů a jeho
úkolů, kodexy chování, kritéria a požadavky týkající se mechanismů pro vydávání
osvědčení, kritéria a požadavky předávání založeného na závazných podnikových
pravidlech, na odchylky v předávání údajů, správní sankce, zpracovávání
údajů pro zdravotní účely, zpracovávání údajů v souvislosti se zaměstnáním a
zpracovávání údajů pro účely historiografického, statistického a vědeckého
výzkumu. Je zvláště důležité, aby Komise v rámci přípravné činnosti vedla
odpovídající konzultace, a to i na odborné úrovni. Při přípravě a
vypracovávání aktů v přenesené pravomoci by Komise měla zajistit, aby byly
příslušné dokumenty předány současně, včas a vhodným způsobem Evropskému
parlamentu a Radě.
|
|
(130)
Afin de garantir des conditions uniformes pour la mise en œuvre du
présent règlement, il y aurait lieu de conférer des compétences d'exécution à
la Commission pour qu'elle définisse les formulaires types relatifs au
traitement des données à caractère personnel des enfants; des procédures et
formulaires types pour l'exercice des droits de la personne concernée; des
formulaires types pour l'information de la personne concernée; les formulaires
types et les procédures pour le droit d'accès et le droit à la portabilité des
données; des formulaires types concernant les obligations du responsable du
traitement en matière de protection des données dès la conception, de
protection des données par défaut, et de documentation; des exigences
spécifiques relatives à la sécurité du traitement des données; de la forme
normalisée et des procédures pour la notification des violations de données à
caractère personnel à l'autorité de contrôle, et pour la communication d'une
violation des données à caractère personnel à la personne concernée; des
critères et procédures pour l'analyse d'impact relative à la protection de
données; des formulaires et des procédures d'autorisation et de consultation
préalables; des normes techniques et des mécanismes de certification; du niveau
de protection adéquat offert par un pays tiers, par un territoire ou un secteur
de traitement de données dans ce pays tiers, ou par une organisation
internationale; des divulgations non autorisées par le droit de l’Union; de
l'assistance mutuelle; des opérations conjointes; les décisions relevant du mécanisme
de contrôle de la cohérence. Ces compétences devraient être exercées
conformément au règlement (UE) n° 182/2011 du Parlement européen et
du Conseil du 16 février 2011 établissant les règles et
principes généraux relatifs aux modalités de contrôle par les États membres de
l'exercice des compétences d'exécution par la Commission[45].
Dans ce cadre, la Commission devrait envisager des mesures spécifiques pour les
micro, petites et moyennes entreprises.
|
(130)
V zájmu zajištění jednotných podmínek pro provádění
tohoto nařízení je třeba svěřit Komisi prováděcí pravomoci za účelem stanovení
standardních formulářů pro zpracovávání osobních údajů dítěte, standardních
postupů a formulářů pro výkon práv subjektu údajů, standardních formulářů pro
informování subjektu údajů, standardních formulářů a postupů v souvislosti
s právem na přístup a právem na přenositelnost údajů, standardních formulářů
v souvislosti s odpovědností správce za ochranu údajů již od návrhu a
za standardní nastavení ochrany údajů a za dokumentaci, specifických
požadavků na bezpečnost zpracování, standardních formulářů a postupů ohlašování
případů narušení bezpečnosti osobních údajů orgánu dozoru a oznamování případů
narušení bezpečnosti osobních údajů subjektu údajů, standardů a postupů pro
posouzení dopadů na ochranu údajů, formulářů a postupů pro předchozí povolení
nebo předchozí konzultaci, technických norem a mechanismů pro vydávání
osvědčení, stanovení odpovídající úrovně ochrany poskytované třetí zemí nebo
územím či odvětvím zpracovávání v třetí zemi nebo mezinárodní organizací,
sdělování údajů nedovoleném právem Unie, vzájemné pomoci, společných operací a
rozhodnutích v rámci mechanismu jednotnosti. Tyto pravomoci by měly být
vykonávány v souladu s nařízením Evropského parlamentu a Rady
(EU) č. 182/2011 ze dne 16. února 2011, kterým se stanoví pravidla a
obecné zásady způsobu, jakým členské státy kontrolují Komisi při výkonu prováděcích
pravomocí[45].
Komise v této souvislosti zváží zvláštní opatření, zejména pro správce,
kteří jsou mikropodniky, malými a středními podniky.
|
|
(131)
La procédure d'examen devrait être appliquée pour l'établissement des
formulaires types en vue de l'obtention du consentement d'un enfant; des
procédures et formulaires types pour l'exercice des droits de la personne
concernée; des formulaires types pour l'information de la personne concernée;
des formulaires types et des procédures pour le droit d'accès et le droit à la
portabilité des données; des formulaires types concernant les obligations du
responsable du traitement en matière de protection des données dès la
conception, de protection des données par défaut, et de documentation; des
exigences spécifiques relatives à la sécurité du traitement des données; de la
forme normalisée et des procédures pour la notification des violations de
données à caractère personnel à l'autorité de contrôle, et pour la communication
d'une violation des données à caractère personnel à la personne concernée; des
critères et procédures pour l'analyse d'impact relative à la protection de
données; des formulaires et des procédures d'autorisation et de consultation
préalables; des normes techniques et des mécanismes de certification; du niveau
de protection adéquat offert par un pays tiers, par un territoire ou un secteur
de traitement de données dans ce pays tiers, ou par une organisation
internationale; des divulgations non autorisées par le droit de l’Union; de
l'assistance mutuelle; des opérations conjointes; et pour l'adoption des
décisions relevant du mécanisme de contrôle de la cohérence, puisque ces actes
sont de portée générale.
|
(131)
Přezkumný postup by se měl použít při přijímání
standardních formulářů v souvislosti se souhlasem dítěte, standardních
postupů a formulářů pro výkon práv subjektu údajů, standardních formulářů pro
informování subjektu údajů, standardních formulářů a postupů v souvislosti
s právem na přístup, právem na přenositelnost údajů, standardních
formulářů v souvislosti s odpovědností správce za ochranu údajů již
od návrhu a za standardní nastavení ochrany údajů a za dokumentaci, při
přijímání specifických požadavků na bezpečnost zpracování, standardních
formulářů a postupů ohlašování případů narušení bezpečnosti osobních údajů
orgánu dozoru a oznamování případů narušení bezpečnosti osobních údajů subjektu
údajů, standardů a postupů pro posouzení dopadů na ochranu údajů, formulářů a
postupů pro předchozí povolení nebo předchozí konzultaci, technických norem a
mechanismů pro vydávání osvědčení, odpovídající úrovně ochrany poskytované
třetí zemí nebo územím či odvětvím zpracovávání v třetí zemi nebo mezinárodní
organizací, při sdělování údajů nedovoleném právem Unie, vzájemné pomoci,
společných operací a rozhodnutích v rámci mechanismu jednotnosti, za
předpokladu, že se jedná o akty s obecnou působností.
|
|
(132)
La Commission devrait adopter des actes d’exécution immédiatement
applicables lorsque, dans des cas dûment justifiés concernant un pays tiers, ou
un territoire ou secteur de traitement de données dans ce pays tiers, ou une
organisation internationale, qui n'assure pas un niveau de protection adéquat,
ou concernant des questions communiquées par les autorités de contrôle dans le
cadre du mécanisme de contrôle de la cohérence, des raisons d’urgence
impérieuses l’exigent.
|
(132)
Komise by měla v řádně odůvodněných a krajně
naléhavých případech týkajících se třetí země nebo území nebo odvětví
zpracování v této třetí zemi nebo mezinárodní organizace, která
nezajišťuje přiměřenou úroveň ochrany, a související se záležitostmi, které
byly sděleny orgánům dozoru v rámci mechanismu jednotnosti, přijmout
okamžitě uplatnitelné prováděcí akty.
|
|
(133)
Étant donné que les objectifs du présent règlement, à savoir assurer un
niveau équivalent de protection des personnes physiques et la libre circulation
des données dans l'ensemble de l'Union, ne peuvent pas être réalisés de manière
suffisante par les États membres et peuvent donc, en raison des dimensions ou
des effets de l'action, être mieux réalisés au niveau de l'Union, celle-ci peut
prendre des mesures, conformément au principe de subsidiarité consacré à
l'article 5 du traité sur l'Union européenne. Conformément au principe de
proportionnalité énoncé audit article, le présent règlement n’excède pas ce qui
est nécessaire pour atteindre cet objectif.
|
(133)
Vzhledem k tomu, že cílů tohoto nařízení, totiž
zajištění přiměřené ochrany jednotlivců a volného pohybu údajů v Unii, nelze
uspokojivě dosáhnout na úrovni členských států, a proto jich lze z důvodu
rozsahu a účinků tohoto nařízení lépe dosáhnout na úrovni Unie, může Unie
přijmout opatření v souladu se zásadou subsidiarity stanovenou v článku 5
Smlouvy o Evropské unii. V souladu se zásadou proporcionality stanovenou v
uvedeném článku nepřekračuje toto nařízení rámec toho, co je nezbytné pro
dosažení těchto cílů.
|
|
(134)
La directive 95/46/CE devrait être abrogée par le présent
règlement. Néanmoins, les décisions de la Commission qui ont été adoptées, et
les autorisations qui ont été accordées par les autorités de contrôle, sur le
fondement de ladite directive devraient demeurer en vigueur.
|
(134)
Směrnice 95/46/ES by tudíž měla být tímto nařízením
zrušena. Avšak přijatá rozhodnutí Komise a schválení orgánů dozoru vycházející
ze směrnice 95/46/ES by měla zůstat v platnosti.
|
|
(135)
Le présent règlement devrait s'appliquer à tous les aspects de la
protection des droits et libertés fondamentaux à l'égard du traitement des
données à caractère personnel, qui ne relèvent pas d'obligations spécifiques,
ayant le même objectif, énoncées dans la directive 2002/58/CE, y compris
les obligations incombant au responsable du traitement et les droits des
personnes physiques. Afin de clarifier la relation entre le présent règlement
et la directive 2002/58/CE, cette dernière devrait être modifiée en
conséquence.
|
(135)
Toto nařízení by se mělo použít na všechny
záležitosti týkající se ochrany základních práv a svobod při zpracovávání
osobních údajů, na které se nevztahují specifické povinnosti stanovené ve
směrnici 2002/58/ES a sledující stejný cíl, včetně povinností správce a práv
jednotlivců. Za účelem vyjasnění vztahu mezi tímto nařízením a směrnicí
2002/58/ES by měla být tato směrnice odpovídajícím způsobem změněna.
|
|
(136)
En ce qui concerne l'Islande et la Norvège, le présent règlement
constitue un développement des dispositions de l'acquis de Schengen, dans la
mesure où il s'applique au traitement des données à caractère personnel par les
autorités participant à la mise en œuvre de cet acquis, au sens de l'accord
conclu par le Conseil de l'Union européenne, et la République d'Islande et le
Royaume de Norvège sur l'association de ces deux États à la mise en œuvre, à
l'application et au développement de l'acquis de Schengen[46].
|
(136)
Pokud jde o Island a Norsko, rozvíjí toto nařízení
v míře, v jaké se uplatňuje na zpracování osobních údajů ze strany
orgánů zapojených do provádění tohoto acquis, ustanovení schengenského acquis
ve smyslu Dohody uzavřené mezi Radou Evropské unie a Islandskou republikou
a Norským královstvím o přidružení těchto dvou států
k provádění, uplatňování a rozvoji schengenského acquis[46].
|
|
(137)
En ce qui concerne la Suisse, le présent règlement constitue un
développement des dispositions de l'acquis de Schengen, dans la mesure où il
s'applique au traitement des données à caractère personnel par les autorités
participant à la mise en œuvre de cet acquis, au sens de l'accord entre l'Union
européenne, la Communauté européenne et la Confédération suisse sur
l'association de la Confédération suisse à la mise en œuvre, à l'application et
au développement de l'acquis de Schengen[47].
|
(137)
Pokud jde o Švýcarsko, rozvíjí toto nařízení
v míře, v jaké se uplatňuje na zpracování osobních údajů ze strany
orgánů zapojených do provádění tohoto acquis, ustanovení schengenského acquis
ve smyslu Dohody mezi Evropskou unií, Evropským společenstvím a Švýcarskou
konfederací o přidružení Švýcarské konfederace k provádění, uplatňování a
rozvoji schengenského acquis[47].
|
|
(138)
En ce qui concerne le Liechtenstein, le présent règlement constitue un
développement des dispositions de l'acquis de Schengen dans la mesure où il
s'applique au traitement des données à caractère personnel par les autorités
participant à la mise en œuvre de cet acquis, au sens du protocole signé entre
l'Union européenne, la Communauté européenne, la Confédération suisse et la
Principauté de Liechtenstein sur l'adhésion de la Principauté de Liechtenstein
à l'accord entre l'Union européenne, la Communauté européenne et la
Confédération suisse sur l'association de la Confédération suisse à la mise en
œuvre, à l'application et au développement de l'acquis de Schengen[48].
|
(138)
Pokud jde o Lichtenštejnsko, rozvíjí toto
nařízení v míře, v jaké se uplatňuje na zpracování osobních údajů ze
strany orgánů zapojených do provádění tohoto acquis, ustanovení
schengenského acquis ve smyslu Protokolu mezi Evropskou unií,
Evropským společenstvím, Švýcarskou konfederací a Lichtenštejnským
knížectvím o přistoupení Lichtenštejnského knížectví k dohodě mezi
Evropskou unií, Evropským společenstvím a Švýcarskou konfederací
o přidružení Švýcarské konfederace k provádění, uplatňování
a rozvoji schengenského acquis[48].
|
|
(139)
Étant donné que, comme la Cour de justice de l'Union européenne l'a
souligné, le droit à la protection des données à caractère personnel n’apparaît
pas comme une prérogative absolue, mais doit être pris en considération par
rapport à sa fonction dans la société et être mis en balance avec d'autres
droits fondamentaux, conformément au principe de proportionnalité, le présent
règlement respecte tous les droits fondamentaux et observe les principes
reconnus par la Charte des droits fondamentaux de l’Union européenne, consacrés
par les traités, et notamment le droit au respect de la vie privée et
familiale, du domicile et des communications, le droit à la protection des
données à caractère personnel, le droit à la liberté de pensée, de conscience
et de religion, le droit à la liberté d'expression et d'information, le droit à
la liberté d'entreprise, le droit à un recours effectif et à un procès
équitable, ainsi que le respect de la diversité culturelle, religieuse et
linguistique,
|
(139)
Vzhledem ke skutečnosti, že – jak zdůraznil Soudní
dvůr Evropské unie – právo na ochranu osobních údajů není právem absolutním,
avšak musí být posuzováno v souvislosti se svou funkcí ve společnosti a
v souladu se zásadou proporcionality být v rovnováze
s dalšími základními právy, respektuje toto nařízení všechna základní
práva a sleduje zásady uznané v Listině základních práv Evropské unie, jak jsou
zakotveny ve Smlouvě, zejména právo na respektování soukromého a rodinného
života, obydlí a komunikace, právo na ochranu osobních údajů, na svobodu
myšlení, svědomí a náboženství, svobodu projevu a informací, svobodu podnikání,
právo na účinnou právní ochranu a spravedlivý proces, jakož i kulturní,
náboženskou a jazykovou rozmanitost,
|
|
ONT ADOPTÉ LE PRÉSENT RÈGLEMENT:
|
PŘIJALY TOTO NAŘÍZENÍ:
|
|
CHAPITRE
I
|
KAPITOLA I
|
|
DISPOSITIONS GÉNÉRALES
|
OBECNÁ USTANOVENÍ
|
|
Article premier
Objet et objectifs
|
Článek 1
Předmět a cíle
|
|
1. Le présent règlement établit des règles
relatives à la protection des personnes physiques à l’égard du traitement des
données à caractère personnel et des règles relatives à la libre circulation de
ces données.
|
1. Tímto nařízením se stanoví
pravidla týkající se ochrany fyzických osob v souvislosti se zpracováváním
osobních údajů a pravidla týkající se volného pohybu osobních údajů.
|
|
2. Le présent règlement protège les libertés
et droits fondamentaux des personnes physiques et en particulier leur droit à
la protection des données à caractère personnel.
|
2. Tímto nařízením se chrání
základní práva a svobody fyzických osob a zejména jejich právo na ochranu
osobních údajů.
|
|
3. La libre circulation des données à
caractère personnel au sein de l'Union n'est ni limitée ni interdite pour des
motifs liés à la protection des personnes physiques à l’égard du traitement des
données à caractère personnel.
|
3. Volný pohyb osobních údajů
v Unii není z důvodu ochrany fyzických osob v souvislosti se
zpracováváním osobních údajů omezen ani zakázán.
|
|
Article 2
Champ d'application matériel
|
Článek 2
Věcná působnost
|
|
1. Le présent règlement s'applique au
traitement de données à caractère personnel, automatisé en tout ou en partie,
ainsi qu'au traitement non automatisé de données à caractère personnel
contenues ou appelées à figurer dans un fichier.
|
1. Toto nařízení se vztahuje na
zcela nebo částečně automatizované zpracování osobních údajů, jakož i na
neautomatizované zpracování osobních údajů, které jsou obsaženy v evidenci
nebo do ní mají být zařazeny.
|
|
2. Le présent règlement ne s’applique pas au
traitement de données à caractère personnel:
|
2. Toto nařízení se nevztahuje
na zpracování osobních údajů:
|
|
a) dans le cadre d'une activité n'entrant pas dans le
champ d'application du droit de l'Union, en ce qui concerne notamment la
sécurité nationale;
|
a) prováděné při výkonu činností, které
nespadají do oblasti působnosti práva Unie, zejména v oblasti bezpečnosti
státu;
|
|
b) par les institutions, organes et organismes de l'Union;
|
b) prováděné orgány, institucemi a jinými
subjekty Unie;
|
|
c) par les États membres dans l'exercice d'activités qui
relèvent du champ d’application du chapitre 2 du traité sur l'Union
européenne;
|
c) prováděné členskými státy při výkonu
činností, které spadají do oblasti působnosti kapitoly 2 Smlouvy o Evropské
unii;
|
|
d) par une personne physique sans but lucratif dans le
cadre de ses activités exclusivement personnelles ou domestiques;
|
d) prováděné fyzickou osobou, které má
výlučně osobní či domácí povahu a které se neprovádí za účelem zisku;
|
|
e) par les autorités compétentes à des fins de prévention
et de détection des infractions pénales, d'enquêtes et de poursuites en la
matière, ou d'exécution de sanctions pénales.
|
e) prováděné příslušnými orgány za účelem
prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů.
|
|
3. Le présent règlement s'applique sans
préjudice de la directive 2000/31/CE, et en particulier des dispositions
des articles 12 à 15 de ladite directive établissant les règles en matière
de responsabilité des prestataires intermédiaires.
|
3. Tímto nařízením není dotčeno
uplatňování směrnice 2000/31/ES, zejména pokud jde o pravidla týkající se
odpovědnosti poskytovatelů zprostředkovatelských služeb podle článků 12 až 15
uvedené směrnice.
|
|
Article 3
Champ d'application territorial
|
Článek 3
Územní působnost
|
|
1. Le présent règlement s'applique au
traitement des données à caractère personnel effectué dans le cadre des
activités d'un établissement d'un responsable du traitement de données ou d'un
sous-traitant sur le territoire de l'Union.
|
1. Toto nařízení se vztahuje na
zpracování osobních údajů v rámci činností provozovny správce nebo zpracovatele
v Unii.
|
|
2. Le présent règlement s'applique au
traitement des données à caractère personnel appartenant à des personnes
concernées ayant leur résidence sur le territoire l'Union, par un responsable
du traitement qui n'est pas établi dans l'Union, lorsque les activités de
traitement sont liées:
|
2. Toto nařízení se vztahuje na
zpracování osobních údajů subjektů údajů, které mají bydliště v Unii, ze
strany správce, který není usazen v Unii, pokud zpracování údajů souvisí:
|
|
a) à l'offre de biens ou de services à ces personnes
concernées dans l'Union; ou
|
a) s nabídkou zboží nebo služeb těmto
subjektům údajů v Unii nebo
|
|
b) à l’observation de leur comportement.
|
b) se sledováním jejich chování.
|
|
3. Le présent règlement s'applique au
traitement de données à caractère personnel par un responsable du traitement
qui n’est pas établi dans l’Union, mais dans un lieu où la législation
nationale d’un État membre s’applique en vertu du droit international public.
|
3. Toto nařízení se vztahuje na
zpracování osobních údajů správcem, který není usazen v Unii, ale na místě, kde
se vnitrostátní právní předpisy členského státu uplatňují na základě
mezinárodního práva veřejného.
|
|
Article 4
Définitions
|
Článek 4
Definice
|
|
Aux fins du présent règlement, on entend par:
|
Pro účely tohoto nařízení se rozumí:
|
|
(1)
«personne concernée»: une personne physique identifiée ou une personne
physique qui peut être identifiée, directement ou indirectement, par des moyens
raisonnablement susceptibles d'être utilisés par le responsable du traitement
ou par toute autre personne physique ou morale, notamment par référence à un
numéro d’identification, à des données de localisation, à un identifiant en ligne
ou à un ou plusieurs éléments spécifiques, propres à son identité physique,
physiologique, génétique, psychique, économique, culturelle ou sociale;
|
1)
„subjektem údajů“ identifikovaná fyzická osoba nebo
fyzická osoba, kterou lze přímo či nepřímo identifikovat prostředky, o nichž
lze důvodně předpokládat, že je správce nebo jakákoli jiná fyzická nebo
právnická osoba použijí pro identifikaci dané osoby, zejména s odkazem na
identifikační číslo, lokalizační údaje, elektronický identifikátor nebo s
odkazem na jeden či více zvláštních prvků její fyzické, fyziologické,
genetické, psychické, ekonomické, kulturní nebo sociální identity;
|
|
(2)
«données à caractère personnel»: toute information se rapportant à une
personne concernée;
|
2)
„osobními údaji“ veškeré informace o subjektu
údajů;
|
|
(3)
«traitement de données à caractère personnel»: toute opération ou
ensemble d’opérations effectuée(s) ou non à l’aide de procédés automatisés, et
appliquée(s) à des données à caractère personnel, telle(s) que la collecte,
l’enregistrement, l’organisation, la structuration, la conservation,
l’adaptation ou la modification, l'extraction, la consultation, l’utilisation,
la communication par transmission, diffusion ou toute autre forme de mise à
disposition, le rapprochement ou l'interconnexion, ainsi que l'effacement ou la
destruction;
|
3)
„zpracováním“ každý úkon nebo soubor úkonů s
osobními údaji nebo soubory osobních údajů, které jsou prováděny pomocí či bez
pomoci automatizovaných postupů, jako je shromažďování, zaznamenávání,
uspořádávání, strukturování, uchovávání, přizpůsobování nebo pozměňování,
vyhledávání, nahlížení, užívání, zveřejňování přenosem, zveřejňování šířením
nebo jejich zpřístupňování jiným způsobem, třídění nebo kombinování, vymazání
nebo zničení;
|
|
(4)
«fichier»: tout ensemble structuré de données à caractère personnel
accessibles selon des critères déterminés, que cet ensemble soit centralisé,
décentralisé ou réparti de manière fonctionnelle ou géographique;
|
4)
„evidencí“ jakýkoli uspořádaný soubor osobních
údajů přístupných podle určených kritérií, ať již je tento soubor centralizován,
decentralizován nebo rozdělen podle funkčního či zeměpisného hlediska;
|
|
(5)
«responsable du traitement»: la personne physique ou morale, l’autorité
publique, le service ou tout autre organisme qui, seul ou conjointement avec
d’autres, détermine les finalités, les conditions et les moyens du traitement
de données à caractère personnel; lorsque les finalités, les conditions et les
moyens du traitement sont déterminés par le droit de l'Union ou la législation
d'un État membre, le responsable du traitement peut être désigné, ou les
critères spécifiques applicables pour le désigner peuvent être fixés, par le
droit de l'Union ou par la législation d'un État membre;
|
5)
„správcem“ fyzická nebo právnická osoba, orgán
veřejné moci, agentura nebo jakýkoli jiný subjekt, který sám nebo společně s
jinými určuje účel, podmínky a prostředky zpracování osobních údajů; jsou-li
účel, podmínky a prostředky zpracování určeny právem Unie či členského státu,
je možné určit správce nebo zvláštní kritéria pro jeho jmenování na základě
práva Unie nebo členského státu;
|
|
(6)
«sous-traitant»: la personne physique ou morale, l'autorité publique, le
service ou tout autre organisme qui traite des données à caractère personnel
pour le compte du responsable du traitement;
|
6)
„zpracovatelem“ fyzická nebo právnická osoba, orgán
veřejné moci, agentura nebo jakýkoli jiný subjekt, který zpracovává osobní
údaje jménem správce;
|
|
(7)
«destinataire»: la personne physique ou morale, l'autorité publique, le
service ou tout autre organisme qui reçoit communication de données à caractère
personnel;
|
7)
„příjemcem“ fyzická nebo právnická osoba, orgán
veřejné moci, agentura nebo jakýkoli jiný subjekt, kterým jsou údaje sdělovány;
|
|
(8)
«consentement de la personne concernée»: toute manifestation de volonté,
libre, spécifique, informée et explicite par laquelle la personne concernée
accepte, par une déclaration ou par un acte positif univoque, que des données à
caractère personnel la concernant fassent l'objet d'un traitement;
|
8)
„souhlasem subjektu údajů“ jakýkoli svobodný,
konkrétní, vědomý a výslovný projev vůle, kterým subjekt údajů dává buď
v podobě prohlášení nebo jiného jednoznačného potvrzení své svolení ke
zpracování svých osobních údajů;
|
|
(9)
«violation de données à caractère personnel»: une violation de la
sécurité entraînant de manière accidentelle ou illicite la destruction, la
perte, l'altération, la divulgation ou la consultation non autorisées de
données à caractère personnel transmises, conservées ou traitées d’une autre
manière;
|
9)
„narušením bezpečnosti osobních údajů“ narušení
bezpečnosti, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně
či neoprávněnému vyzrazení nebo zpřístupnění osobních údajů přenášených,
uchovávaných nebo jinak zpracovávaných;
|
|
(10)
«données génétiques»: toutes les données, de quelque nature que ce soit,
concernant les caractéristiques d'une personne physique qui sont héréditaires
ou acquises à un stade précoce de son développement prénatal;
|
10)
„genetickými údaji“ všechny údaje jakéhokoli typu
týkající se dědičných znaků jednotlivce nebo znaků získaných v období
raného prenatálního vývoje;
|
|
(11)
«données biométriques»: toutes les données relatives aux caractéristiques
physiques, physiologiques ou comportementales d'une personne physique qui
permettent son identification unique, telles que des images faciales ou des
données dactyloscopiques;
|
11)
„biometrickými údaji“ všechny údaje týkající se
fyzických či fyziologických znaků nebo znaků chování jedince, které umožňují
jeho jednoznačnou identifikaci, například snímky obličeje nebo daktyloskopické
údaje;
|
|
(12)
«données concernant la santé»: toute information relative à la santé physique
ou mentale d'une personne, ou à la prestation de services de santé à cette
personne;
|
12)
„údaji o zdravotním stavu“ veškeré informace
týkající se fyzického nebo duševního zdraví osoby nebo poskytování zdravotních
služeb této osobě;
|
|
(13)
«établissement principal»: en ce qui concerne le responsable du
traitement, le lieu de son établissement dans l'Union où sont prises les
principales décisions quant aux finalités, aux conditions et aux moyens du
traitement de données à caractère personnel; si aucune décision de ce type
n’est prise dans l’Union, l’établissement principal est le lieu où sont
exercées les principales activités de traitement dans le cadre des activités
d’un établissement d’un responsable du traitement dans l’Union; en ce qui
concerne le sous-traitant, on entend par «établissement principal» le lieu de
son administration centrale dans l'Union;
|
13)
„hlavní provozovnou“ v případě správce místo
jeho usazení v Unii, kde jsou přijímána hlavní rozhodnutí ohledně účelu,
podmínek a prostředků zpracování osobních údajů; nejsou-li ohledně účelu,
podmínek a prostředků zpracování osobních údajů přijímána rozhodnutí
v Unii, je hlavní provozovnou místo, kde jsou prováděny hlavní činnosti
spojené se zpracováním údajů, jež odpovídají činnostem sídla správce
v Unii. V případě zpracovatele je „hlavní provozovnou“ místo, kde se
nachází jeho ústřední správa v Unii;
|
|
(14)
«représentant»: toute personne physique ou morale établie dans l'Union
expressément désignée par le responsable du traitement, qui agit en lieu et
place de ce dernier et peut être contactée à sa place par les autorités de
contrôle et d'autres entités dans l'Union, en ce qui concerne les obligations du
responsable du traitement en vertu du présent règlement;
|
14)
„zástupcem“ jakákoli fyzická nebo právnická osoba
usazená v Unii, která je výslovně jmenována správcem k tomu, aby jednala a
mohla být oslovována orgánem dozoru a dalšími orgány v Unii místo správce,
pokud jde o povinnosti správce ve smyslu tohoto nařízení;
|
|
(15)
«entreprise»: toute entité exerçant une activité économique, quelle que
soit sa forme juridique, y compris, notamment, les personnes physiques et
morales, les sociétés de personnes ou les associations qui exercent
régulièrement une activité économique;
|
15)
„podnikem“ každý subjekt vykonávající hospodářskou
činnost bez ohledu na jeho právní formu. K těmto subjektům patří zejména
fyzické a právnické osoby, obchodní společnosti nebo sdružení, která běžně
vykonávají hospodářskou činnost;
|
|
(16)
«groupe d'entreprises»: une entreprise qui exerce le contrôle et les
entreprises qu'elle contrôle;
|
16)
„skupinou podniků“ skupina zahrnující řídící podnik
a jím řízené podniky;
|
|
(17)
«règles d'entreprise contraignantes»: les règles internes relatives à la
protection des données à caractère personnel qu'applique un responsable du
traitement ou un soustraitant établi sur le territoire d’un État membre de
l’Union, aux transferts ou à un ensemble de transferts de données à caractère
personnel à un responsable du traitement ou à un soustraitant dans un ou
plusieurs pays tiers au sein d'un groupe d'entreprises;
|
17)
„závaznými podnikovými pravidly“ opatření na
ochranu osobních údajů, která dodržuje správce nebo zpracovatel usazený na
území členského státu Unie při předávání osobních údajů jednotlivě nebo v
souborech správci nebo zpracovateli v rámci skupiny podniků v jedné nebo
více třetích zemích;
|
|
(18)
«enfant»: toute personne âgée de moins de dix-huit ans;
|
18)
„dítětem“ každá osoba mladší 18 let;
|
|
(19)
«autorité de contrôle»: une autorité publique qui est instituée par un
État membre conformément aux dispositions de l'article 46.
|
19)
„orgánem dozoru“ orgán veřejné moci, který je
zřízen členským státem podle článku 46.
|
|
CHAPITRE II
PRINCIPES
|
KAPITOLA II
ZÁSADY
|
|
Article 5
Principes relatifs au traitement des données à caractère personnel
|
Článek 5
Zásady související se zpracováváním osobních údajů
|
|
Les données à caractère personnel doivent être:
|
Osobní údaje musí být:
|
|
a) traitées de manière licite, loyale et transparente au
regard de la personne concernée;
|
a) ve vztahu k subjektu údajů zpracovávány
korektně, zákonným a transparentním způsobem;
|
|
b) collectées pour des finalités déterminées, explicites
et légitimes, et ne pas être traitées ultérieurement de manière incompatible
avec ces finalités;
|
b) shromažďovány pro stanovené účely,
výslovně vyjádřené a legitimní, a nesmí být dále zpracovávány způsobem, který
je s těmito účely neslučitelný;
|
|
c) adéquates, pertinentes et limitées au minimum
nécessaire au regard des finalités pour lesquelles elles sont traitées; elles
ne sont traitées que si, et pour autant que, les finalités du traitement ne
peuvent pas être atteintes par le traitement d'informations ne contenant pas de
données à caractère personnel;
|
c) odpovídající z hlediska účelu, pro který
jsou zpracovávány, musí pro něj být relevantní a omezené na nezbytné minimum;
zpracovávány jsou pouze tehdy a dokud nemůže být daného účelu dosaženo
zpracováním informací, které nezahrnují osobní údaje;
|
|
d) exactes et tenues à jour; toutes les mesures raisonnables
sont prises pour que les données inexactes, eu égard aux finalités pour
lesquelles elles sont traitées, soient effacées ou rectifiées sans délai;
|
d) přesné a aktualizované; musí být přijata
veškerá rozumná opatření, aby osobní údaje, které jsou nepřesné z hlediska
účelů, pro které se zpracovávají, byly bezodkladně vymazány nebo opraveny;
|
|
e) conservées sous une forme permettant l'identification
des personnes concernées pendant une durée n'excédant pas celle nécessaire à la
réalisation des finalités pour lesquelles elles sont collectées; les données à
caractère personnel peuvent être conservées pour des durées plus longues dans
la mesure où elles ne seront traitées qu’à des fins de recherche historique,
statistique ou scientifique conformément aux règles et aux conditions énoncées
à l'article 83 et s’il est procédé à un examen périodique visant à évaluer
la nécessité de poursuivre la conservation;
|
e) uchovávány ve formě umožňující
identifikaci subjektů údajů po dobu ne delší, než je nezbytné pro účely, pro
které jsou zpracovávány; osobní údaje lze uchovávat delší dobu, pokud se údaje
zpracovávají výlučně za účelem historiografického, statistického a vědeckého
výzkumu v souladu s pravidly a podmínkami uvedenými v článku 83 a pokud je
prováděn pravidelný přezkum pro posouzení potřeby dalšího uchovávání;
|
|
f) traitées sous la responsabilité du responsable du
traitement, qui veille à la conformité de chaque opération de traitement avec
les dispositions du présent règlement et en apporte la preuve .
|
f) zpracovávány v odpovědnosti správce,
který při každém zpracování zajistí a prokáže soulad s ustanoveními tohoto
nařízení.
|
|
Article 6
Licéité du traitement
|
Článek 6
Zákonnost zpracování
|
|
1. Le traitement de données à caractère personnel
n'est licite que si et dans la mesure où l’une au moins des situations
suivantes s'applique:
|
1. Zpracování osobních údajů je zákonné
pouze tehdy a do té míry, pokud je splněna nejméně jedna z těchto
podmínek:
|
|
a) la personne concernée a consenti au traitement de ses
données à caractère personnel pour une ou plusieurs finalités spécifiques;
|
a) subjekt údajů udělil souhlas se
zpracováním svých osobních údajů pro jeden či více konkrétních účelů;
|
|
b) le traitement est nécessaire à l'exécution d'un contrat
auquel la personne concernée est partie ou à l'exécution de mesures
précontractuelles prises à la demande de celle-ci;
|
b) zpracování je nezbytné pro splnění
smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření
přijatých před uzavřením smlouvy na žádost tohoto subjektu;
|
|
c) le traitement est nécessaire au respect d'une
obligation légale à laquelle le responsable du traitement est soumis;
|
c) zpracování je nezbytné pro splnění právní
povinnosti, které podléhá správce;
|
|
d) le traitement est nécessaire à la sauvegarde des
intérêts vitaux de la personne concernée;
|
d) zpracování je nezbytné pro ochranu
životně důležitých zájmů subjektu údajů;
|
|
e) le traitement est nécessaire à l'exécution d'une
mission effectuée dans l'intérêt général ou relevant de l'exercice de
l'autorité publique dont est investi le responsable du traitement;
|
e) zpracování je nezbytné pro splnění úkolu
prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen
správce;
|
|
f) le traitement est nécessaire aux fins des intérêts
légitimes poursuivis par un responsable du traitement, à moins que ne prévalent
les intérêts ou les libertés et droits fondamentaux de la personne concernée,
qui exigent une protection des données à caractère personnel, notamment lorsque
la personne concernée est un enfant. Ces considérations ne s'appliquent pas au
traitement effectué par les autorités publiques dans l'exécution de leurs
missions.
|
f) zpracování je nezbytné pro uskutečnění
oprávněných zájmů správce za podmínky, že tyto zájmy nepřevažují nad zájmem
nebo základními právy a svobodami subjektu údajů vyžadujícími ochranu osobních
údajů, zejména pokud je subjektem údajů dítě. To se netýká zpracování
prováděného orgány veřejné moci při plnění jejich úkolů.
|
|
2. Le traitement de données à caractère
personnel qui est nécessaire à des fins de recherche historique, statistique ou
scientifique est licite sous réserve des conditions et des garanties prévues à
l'article 83.
|
2. Zpracování osobních údajů pro
účely historiografického, statistického nebo vědeckého výzkumu je zákonné,
pokud jsou splněny podmínky a záruky uvedené v článku 83.
|
|
3. Le fondement juridique du traitement visé
au paragraphe 1, points c) et e), doit être prévu dans:
|
3. Právní základ pro zpracování
údajů podle odst. 1 písm. c) a e) musí být stanoven:
|
|
a) le droit de l'Union, ou
|
a) právem Unie nebo
|
|
b) la législation de l'État membre à laquelle le
responsable du traitement des données est soumis.
|
b) právem členského státu, kterému správce
podléhá.
|
|
La législation de l'État membre doit répondre à un objectif
d’intérêt général ou être nécessaire à la protection des droits et libertés
d'autrui, être respectueuse du contenu essentiel du droit à la protection des
données à caractère personnel et proportionnée à l'objectif légitime poursuivi.
|
Právo členského státu musí splňovat cíl veřejného
zájmu nebo musí být nezbytné pro ochranu práv a svobod ostatních, respektovat
podstatu práva na ochranu osobních údajů a být přiměřené z hlediska
sledovaného legitimního cíle.
|
|
4. Lorsque la finalité du traitement ultérieur
n'est pas compatible avec celle pour laquelle les données à caractère personnel
ont été collectées le traitement doit trouver sa base juridique au moins dans
l'un des motifs mentionnés au paragraphe 1, points a) à e). Ceci
s'applique en particulier à toute modification des clauses et des conditions
générales d'un contrat.
|
4. Pokud účel dalšího zpracování
není slučitelný s účelem, pro který byly osobní údaje shromážděny, musí
být právním základem zpracování nejméně jeden z důvodů uvedený
v odst. 1 písm. a) až e). Platí to zejména pro všechny změny specifických
a obecných smluvních podmínek.
|
|
5. La Commission est habilitée à adopter des
actes délégués en conformité avec l’article 86, aux fins de préciser davantage
les conditions prévues au paragraphe 1, point f), pour divers
secteurs et situations en matière de traitement de données, y compris en ce qui
concerne le traitement des données à caractère personnel relatives à un enfant.
|
5. Komise je v souladu
s článkem 86 zmocněna přijímat akty v přenesené pravomoci za účelem
dalšího vymezení podmínek uvedených v odst. 1 písm. f) pro různá odvětví a
různé situace při zpracovávání údajů, včetně zpracování osobních údajů
týkajících se dítěte.
|
|
Article 7
Conditions de consentement
|
Článek 7
Podmínky vyjádření souhlasu
|
|
1. La charge de prouver que la personne
concernée a consenti au traitement de ses données à caractère personnel à des
fins déterminées incombe au responsable du traitement.
|
1. Důkazní břemeno, že subjekt
údajů vyjádřil souhlas se zpracováním svých osobních údajů za určitým
účelem, nese správce.
|
|
2. Si le consentement de la personne concernée
est requis dans le contexte d'une déclaration écrite qui concerne également une
autre affaire, l'exigence du consentement doit apparaître sous une forme qui le
distingue de cette autre affaire.
|
2. Pokud má být souhlas subjektu
údajů vyjádřen písemným prohlášením, které se rovněž týká jiné skutečnosti,
musí být požadavek na vyjádření souhlasu svou podobou odlišitelný od této druhé
skutečnosti.
|
|
3. La personne concernée a le droit de retirer
son consentement à tout moment. Le retrait du consentement ne compromet pas la
licéité du traitement fondé sur le consentement préalablement donné.
|
3. Subjekt údajů má právo
kdykoli svůj souhlas odvolat. Odvoláním souhlasu není dotčena zákonnost
zpracování vycházejícího ze souhlasu, který byl dán před jeho odvoláním.
|
|
4. Le consentement ne constitue pas un
fondement juridique valable pour le traitement lorsqu'il existe un déséquilibre
significatif entre la personne concernée et le responsable du traitement.
|
4. Vyjádření souhlasu
nepředstavuje právní základ pro zpracování údajů, pokud mezi postavením
subjektu údajů a správce existuje značná nerovnováha.
|
|
Article 8
Traitement de données à caractère personnel relatives aux enfants
|
Článek 8
Zpracování osobních údajů dítěte
|
|
1. Aux fins du présent règlement, s'agissant
de l'offre directe de services de la société de l’information aux enfants, le
traitement des données à caractère personnel relatives à un enfant de moins de
13 ans n'est licite que si et dans la mesure où le consentement est donné
ou autorisé par un parent de l'enfant ou par une personne qui en a la garde. Le
responsable du traitement s’efforce raisonnablement d'obtenir un consentement
vérifiable, compte tenu des moyens techniques disponibles.
|
1. V souvislosti
s nabídkou služeb informační společnosti přímo dítěti je pro účely tohoto
nařízení zpracování osobních údajů dítěte mladšího 13 let zákonné pouze tehdy a
do té míry, pokud byl souhlas vyjádřen nebo schválen rodičem dítěte nebo jeho
zákonným zástupcem. Správce vyvine přiměřené úsilí o získání ověřitelného
souhlasu s ohledem na dostupné technologie.
|
|
2. Le paragraphe 1 n'affecte pas la
législation générale des États membres en matière contractuelle, telle que les
dispositions régissant la validité, la formation ou les effets d'un contrat à
l’égard d’un enfant.
|
2. Odstavcem 1 není dotčeno
obecné smluvní právo členských států, například pravidla týkající se platnosti,
uzavírání nebo účinků smlouvy vzhledem k dítěti.
|
|
3. La Commission est habilitée à adopter des
actes délégués en conformité avec l’article 86, aux fins de préciser
davantage les critères et exigences applicables aux méthodes d'obtention du
consentement vérifiable visé au paragraphe 1. Ce faisant, la Commission
envisage des mesures spécifiques pour les micro, petites et moyennes
entreprises.
|
3. Komise je zmocněna přijímat
akty v přenesené pravomoci v souladu s článkem 86 za účelem dalšího vymezení
kritérií a požadavků týkajících se metod získávání ověřitelného souhlasu
uvedeného v odstavci 1. Komise přitom zváží zvláštní opatření, zejména pro
správce, kteří jsou mikropodniky a malými nebo středními podniky.
|
|
4. La Commission peut établir des formulaires
types pour les méthodes particulières d'obtention du consentement vérifiable
prévu au paragraphe 1. Les actes d'exécution correspondants sont adoptés
conformément à la procédure d'examen prévue à l'article 87,
paragraphe 2.
|
4. Komise může pro zvláštní
metody získávání ověřitelného souhlasu uvedeného v odstavci 1 stanovit
standardní formuláře. Tyto prováděcí akty se přijímají v souladu s přezkumným
postupem podle čl. 87 odst. 2.
|
|
Article 9
Traitements portant sur des catégories particulières de données à caractère
personnel
|
Článek 9
Zpracovávání zvláštních kategorií osobních údajů
|
|
1. Le traitement des données à caractère
personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques,
la religion ou les croyances, l'appartenance syndicale, ainsi que le traitement
des données génétiques ou des données concernant la santé ou relatives à la vie
sexuelle ou à des condamnations pénales ou encore à des mesures de sûreté
connexes sont interdits.
|
1. Zakazuje se zpracování
osobních údajů, které odhalují rasový či etnický původ, politické názory,
náboženské vyznání nebo přesvědčení, členství v odborových organizacích,
jakož i zpracování genetických údajů či údajů týkajících se zdravotního stavu
či sexuálního života, nebo odsouzení v trestních věcech či související
bezpečnostní opatření.
|
|
2. Le paragraphe 1 ne s'applique pas
lorsque:
|
2. Odstavec 1 se nepoužije,
pokud:
|
|
a) la personne concernée a
donné son consentement au traitement de ces données à caractère personnel, dans
les conditions fixées à l’article 7 et à l'article 8, sauf lorsque le
droit de l’Union ou la législation nationale prévoit que l'interdiction visée
au paragraphe 1 ne peut pas être levée par la personne concernée; ou
|
a) subjekt údajů
udělil souhlas se zpracováním těchto osobních údajů za podmínek stanovených v
článcích 7 a 8, s výjimkou případů, kdy právo Unie nebo členského státu
stanoví, že zákaz uvedený v odstavci 1 nemůže být subjektem údajů zrušen nebo
|
|
b) le traitement est nécessaire aux fins de l’exécution
des obligations et de l’exercice des droits propres au responsable du
traitement en matière de droit du travail, dans la mesure où ce traitement est
autorisé par le droit de l’Union ou par une législation nationale prévoyant des
garanties appropriées; ou
|
b) zpracování je nezbytné pro dodržení
povinností a výkon zvláštních práv správce v oblasti pracovního práva, pokud je
k tomu oprávněn právem Unie nebo členského státu, které poskytuje náležité
záruky nebo
|
|
c) le traitement est nécessaire à la sauvegarde des
intérêts vitaux de la personne concernée ou d'une autre personne dans le cas où
la personne concernée se trouve dans l'incapacité physique ou juridique de
donner son consentement, ou
|
c) zpracování je nutné pro ochranu životně
důležitých zájmů subjektu údajů nebo jiné osoby v případě, že subjekt údajů
není fyzicky nebo právně způsobilý udělit souhlas nebo
|
|
d) le traitement est effectué, dans le cadre de leurs
activités légitimes et moyennant les garanties appropriées, par une fondation,
une association ou tout autre organisme à but non lucratif et poursuivant une
finalité politique, philosophique, religieuse ou syndicale, à condition que
ledit traitement se rapporte exclusivement aux membres ou aux anciens membres
de cet organisme ou aux personnes entretenant avec lui des contacts réguliers
en liaison avec ses objectifs et que les données ne soient pas divulguées à un
tiers extérieur à cet organisme sans le consentement des personnes concernées; ou
|
d) zpracování provádí v rámci svých
legitimních činností a s vhodnými zárukami nadace, sdružení nebo jiný neziskový
subjekt, který sleduje politické, filozofické, náboženské nebo odborové cíle,
za podmínky, že se zpracování vztahuje pouze na současné nebo bývalé členy
tohoto subjektu nebo na osoby, které s ním udržují pravidelné styky související
s jeho cíli, a že tyto údaje nejsou sdělovány mimo tento subjekt bez souhlasu
subjektu údajů nebo
|
|
e) le traitement porte sur des données à caractère
personnel manifestement rendues publiques par la personne concernée; ou
|
e) zpracování se týká osobních údajů zjevně
zveřejňovaných subjektem údajů nebo
|
|
f) le traitement est nécessaire à la constatation, à
l'exercice ou à la défense d'un droit en justice; ou
|
f) zpracování je nezbytné pro vznik, výkon
nebo obhajobu právních nároků nebo
|
|
g) le traitement est nécessaire à l'exécution d'une
mission effectuée dans l'intérêt général sur le fondement du droit de l’Union
ou d’un État membre, qui doit prévoir des mesures appropriées à la sauvegarde
des intérêts légitimes de la personne concernée; ou
|
g) zpracování je nezbytné pro splnění úkolu
ve veřejném zájmu na základě práva Unie nebo členského státu, které poskytuje
vhodné záruky pro ochranu oprávněných zájmů subjektu údajů nebo
|
|
h) le traitement des données relatives à la santé est
nécessaire à des fins liées à la santé, sous réserve des conditions et des
garanties prévues à l'article 81; ou
|
h) zpracování údajů o zdravotním stavu je
při splnění podmínek a záruk uvedených v článku 81 nezbytné pro zdravotní
účely nebo
|
|
i) le traitement est nécessaire à des fins de recherche
historique, statistique ou scientifique, sous réserve des conditions et des
garanties prévues à l'article 83; ou
|
i) zpracování je při splnění podmínek a
záruk uvedených v článku 83 nezbytné pro účely historiografického,
statistického a vědeckého výzkumu nebo
|
|
j) le traitement des données relatives aux condamnations
pénales ou aux mesures de sûreté connexes est effectué soit sous le contrôle de
l'autorité publique, ou lorsque le traitement est nécessaire au respect d'une
obligation légale ou réglementaire à laquelle le responsable du traitement est
soumis, ou à l'exécution d'une mission effectuée pour des motifs importants
d'intérêt général, dans la mesure où ce traitement est autorisé par le droit de
l’Union ou par la législation d'un État membre prévoyant des garanties
adéquates. Un registre complet des condamnations pénales ne peut être tenu que
sous le contrôle de l'autorité publique.
|
j) zpracování údajů týkajících se rozsudků
v trestních věcech či souvisejících bezpečnostních opatření se provádí pod
dohledem orgánu veřejné moci, nebo pokud je zpracování nezbytné pro
splnění právní či regulační povinnosti, které správce podléhá, nebo pro
splnění úkolu z důvodu důležitého veřejného zájmu, a pokud je k tomu oprávněn
právem Unie nebo právem členského státu poskytujícím vhodné záruky. Úplný
rejstřík trestů je veden pouze pod dohledem orgánu veřejné moci.
|
|
3. La Commission est habilitée à adopter des actes
délégués en conformité avec l’article 86, aux fins de préciser davantage
les critères, les conditions et les garanties appropriées pour le traitement
des catégories particulières de données à caractère personnel mentionnées au
paragraphe 1, ainsi que les dérogations prévues au paragraphe 2.
|
3. Komise je v souladu s
článkem 86 zmocněna přijímat akty v přenesené pravomoci za účelem dalšího
vymezení kritérií, podmínek a vhodných záruk pro zpracování zvláštních
kategorií osobních údajů uvedených v odstavci 1 a výjimek stanovených v
odstavci 2.
|
|
Article 10
Traitement ne permettant pas l'identification
|
Článek 10
Zpracování bez možnosti identifikace
|
|
Si les données traitées par un responsable du traitement ne
lui permettent pas d'identifier une personne physique, le responsable du
traitement n'est pas tenu d'obtenir des informations supplémentaires pour
identifier la personne concernée à la seule fin de respecter une disposition du
présent règlement.
|
Pokud údaje zpracovávané správcem nedovolují
správci identifikovat fyzickou osobu, není správce povinen získat dodatečné
informace pro zjištění totožnosti subjektu údajů výlučně za účelem dosažení
souladu s některým ustanovením tohoto nařízení.
|
|
CHAPITRE
III
DROITS DE LA PERSONNE CONCERNÉE
|
KAPITOLA III
PRÁVA SUBJEKTU ÚDAJŮ
|
|
SECTION 1
TRANSPARENCE ET MODALITÉS
|
ODDÍL 1
TRANSPARENTNOST A METODY
|
|
Article 11
Transparence des informations et des communications
|
Článek 11
Transparentní informace a komunikace
|
|
1. Le responsable du traitement applique des
règles internes transparentes et facilement accessibles en ce qui concerne le
traitement des données à caractère personnel et en vue de l’exercice de leurs
droits par les personnes concernées.
|
1. Správce musí mít
transparentní a snadno dostupná pravidla pro zpracování osobních údajů a výkon
práv subjektu údajů.
|
|
2. Le responsable du traitement procède à
toutes information et communication relatives au traitement des données à
caractère personnel à la personne concernée, sous une forme intelligible et en
des termes clairs et simples, adaptés à la personne concernée, en particulier
lorsqu'une information est adressée spécifiquement à un enfant.
|
2. Správce poskytuje subjektu
údajů veškeré informace a veškerá oznámení v souvislosti se zpracováním
osobních údajů ve srozumitelné formě, přičemž používá jasný a běžný jazyk
přizpůsobený subjektu údajů, zejména v případě jakýchkoli informací určených
speciálně dítěti.
|
|
Article 12
Procédures et mécanismes prévus pour l'exercice des droits de la personne
concernée
|
Článek 12
Postupy a mechanismy pro výkon práv subjektu údajů
|
|
1. Le responsable du traitement établit les
procédures d'information prévues à l’article 14 et les procédures
d'exercice des droits des personnes concernées mentionnés aux articles 13,
et 15 à 19. Il met notamment en place des mécanismes facilitant l’introduction
de la demande portant sur les mesures prévues aux articles 13, et 15 à 19.
Lorsque des données à caractère personnel font l'objet d'un traitement
automatisé, le responsable du traitement doit également fournir les moyens
d'effectuer des demandes par voie électronique.
|
1. Správce zavede postupy pro
poskytování informací uvedených v článku 14 a pro výkon práv subjektů údajů
uvedených v článku 13 a článcích 15 až 19. Správce vytvoří zejména mechanismy
pro zjednodušení žádosti o úkony uvedené v článku 13 a článcích 15 až 19.
Pokud se osobní údaje zpracovávají automatizovanými prostředky, správce rovněž
poskytne prostředky pro podávání žádostí v elektronické podobě.
|
|
2. Le responsable du traitement informe la
personne concernée sans tarder et, au plus tard, dans un délai d'un mois à
compter de la réception de la demande, indépendamment de l'éventuelle adoption
d'une mesure conformément aux articles 13, et 15 à 19 et fournit les
informations demandées. Ce délai peut être prolongé d'un mois, si plusieurs
personnes concernées exercent leurs droits et si leur coopération est
suffisamment nécessaire pour empêcher un effort inutile et disproportionné de
la part du responsable du traitement. Ces informations sont données par écrit.
Lorsque la personne concernée en fait la demande sous forme électronique, les
informations sont fournies sous forme électronique, à moins que la personne
concernée ne demande qu'il en soit autrement.
|
2. Správce neprodleně,
nejpozději však do jednoho měsíce od přijetí žádosti, informuje subjekt údajů,
zda byla přijata opatření podle článku 13 a článků 15 až 19, a poskytne
požadované informace. Tato lhůta může být prodloužena o další měsíc, pokud svá
práva vykonává několik subjektů údajů a jejich spolupráce je nezbytná
v přiměřeném rozsahu k tomu, aby správce nemusel vyvíjet zbytečné a
neúměrné úsilí. Tyto informace se poskytují písemně. Jestliže subjekt údajů
podává žádost v elektronické podobě, poskytují se informace
v elektronické podobě, pokud subjekt údajů nepožádá o jiný způsob.
|
|
3. Si le responsable du traitement refuse de
prendre des mesures demandées par la personne concernée, il informe cette
dernière des motifs du refus, des possibilités d'introduire une réclamation
auprès de l'autorité de contrôle et de former un recours juridictionnel.
|
3. Pokud správce odmítne provést
opatření, o které subjekt údajů požádal, správce informuje subjekt údajů o
důvodech tohoto odmítnutí a o možnostech podat stížnost orgánu dozoru a
uplatnit soudní opravný prostředek.
|
|
4. Les informations et les mesures prises dans
le cadre des demandes visées au paragraphe 1 sont gratuites. Lorsque les
demandes sont manifestement excessives, notamment en raison de leur caractère
répétitif, le responsable du traitement peut exiger le paiement de frais pour fournir
les informations ou pour prendre les mesures demandées, peut s'abstenir de
prendre les mesures demandées. Dans ce cas, il incombe au responsable du
traitement de prouver le caractère manifestement excessif de la demande.
|
4. Informace a opatření přijaté
na základě žádostí uvedených v odstavci 1 jsou bezplatné. Jestliže jsou
žádosti zjevně nepřiměřené, zvláště z toho důvodu, že se opakují, může správce
poskytnutí informací nebo provedení požadovaných opatření zpoplatnit, případně
nemusí požadované opatření provést. Pokud jde o prokázání zjevné nepřiměřenosti
žádosti, nese důkazní břemeno správce.
|
|
5. La Commission est habilitée à adopter des
actes délégués en conformité avec l’article 86, aux fins de préciser
davantage les critères et conditions applicables aux demandes manifestement
excessives, et les frais visés au paragraphe 4.
|
5. Komise je zmocněna přijímat
akty v přenesené pravomoci v souladu s článkem 86 za účelem dalšího vymezení
kritérií a podmínek pro určování zjevné nepřiměřenosti žádostí a poplatků
uvedených v odstavci 4.
|
|
6. La Commission peut établir des formulaires
types et préciser des procédures types pour la communication visée au
paragraphe 2, y compris sous forme électronique. Ce faisant, la Commission
prend les mesures appropriées pour les micro, petites et moyennes entreprises.
Les actes d'exécution correspondants sont adoptés conformément à la procédure
d'examen prévue à l'article 87, paragraphe 2.
|
6. Komise může stanovit
standardní formuláře a určit standardní postupy pro oznamování uvedené
v odstavci 2, včetně elektronického formátu. Komise přitom přijme vhodná
opatření pro mikropodniky, malé a střední podniky. Tyto prováděcí akty se
přijímají v souladu s přezkumným postupem podle čl. 87 odst. 2.
|
|
Article 13
Droits à l'égard des destinataires
|
Článek 13
Práva ve vztahu k příjemcům
|
|
Le responsable du traitement communique à chaque
destinataire à qui les données ont été transmises toute rectification ou
effacement effectué conformément aux articles 16 et 17, à moins qu'une
telle communication se révèle impossible ou suppose un effort disproportionné.
|
Správce oznamuje jednotlivým příjemcům, jimž
byly údaje zpřístupněny, všechny opravy nebo výmazy provedené v souladu
s články 16 a 17 s výjimkou případů, kdy to není možné nebo to
vyžaduje nepřiměřené úsilí.
|
|
SECTION 2
INFORMATION ET ACCÈS AUX DONNÉES
|
ODDÍL 2
INFORMACE A PŘÍSTUP K ÚDAJŮM
|
|
Article 14
Informations à fournir la personne concernée
|
Článek 14
Informování subjektu údajů
|
|
1. Lorsque des données à caractère personnel
relatives à une personne concernée sont collectées, le responsable du
traitement doit fournir à cette personne au moins les informations suivantes:
|
1. Pokud se shromažďují údaje
týkající se subjektu údajů, správce poskytne subjektu údajů alespoň tyto
informace:
|
|
a) l’identité et les coordonnées du responsable du
traitement et, le cas échéant, du représentant du responsable et celles du
délégué à la protection des données;
|
a) totožnost a kontaktní údaje správce,
případně jeho zástupce a inspektora ochrany údajů;
|
|
b) les finalités du traitement auquel sont destinées les
données à caractère personnel, y compris les clauses et les conditions
générales du contrat lorsque le traitement est fondé sur l’article 6,
paragraphe 1, point b), et les intérêts légitimes poursuivis par le
responsable du traitement lorsque le traitement est fondé sur l’article 6,
paragraphe 1, point f);
|
b) účely zpracování, pro které jsou údaje
určeny, včetně smluvních a všeobecných podmínek, pokud jsou údaje zpracovávány
na základě čl. 6 odst. 1 písm. b), a oprávněných zájmů správce, pokud jsou
údaje zpracovávány na základě čl. 6 odst. 1 písm. f);
|
|
c) la durée pendant laquelle les données à caractère
personnel seront conservées;
|
c) dobu, po kterou se budou osobní údaje
uchovávat;
|
|
d) l’existence du droit de demander au responsable du
traitement l'accès aux données à caractère personnel relatives à la personne
concernée, la rectification ou l'effacement de celles-ci, ou du droit de
s'opposer au traitement de ces données;
|
d) existenci práva požadovat od správce
přístup k osobním údajům týkajícím se subjektu údajů, jejich opravu nebo
výmaz nebo vznést námitku proti zpracování těchto osobních údajů;
|
|
e) le droit d’introduire une réclamation auprès de
l'autorité de contrôle et les coordonnées de ladite autorité;
|
e) právo podat stížnost příslušnému orgánu
dozoru a kontaktní údaje orgánu dozoru;
|
|
f) les destinataires ou les catégories de destinataires
des données à caractère personnel;
|
f) příjemce nebo kategorie příjemců
osobních údajů;
|
|
g) le cas échéant, son intention d'effectuer un transfert
vers un pays tiers ou à une organisation internationale, et le niveau de
protection offert par le pays tiers ou l'organisation internationale en
question, par référence à une décision relative au caractère adéquat du niveau
de protection rendue par la Commission;
|
g) v případě potřeby uvést, že správce
hodlá předat údaje do třetí země nebo mezinárodní organizaci a informaci o
úrovni ochrany poskytované touto třetí zemí nebo mezinárodní organizací s
odkazem na rozhodnutí Komise o přiměřenosti;
|
|
h) toute autre information nécessaire pour assurer un
traitement loyal des données à l'égard de la personne concernée, compte tenu
des circonstances particulières dans lesquelles les données à caractère
personnel sont collectées.
|
h) jakékoli další informace potřebné
k tomu, aby bylo subjektu údajů zaručeno korektní zpracování, a to
s ohledem na zvláštní okolnosti, za kterých se osobní údaje shromažďují.
|
|
2. Lorsque les données à caractère personnel
sont collectées auprès de la personne concernée, le responsable du traitement
fournit à cette dernière, outre les informations mentionnées au
paragraphe 1, des informations sur le caractère obligatoire ou facultatif
de la fourniture des données à caractère personnel, ainsi que sur les
conséquences éventuelles de la non-fourniture de ces données.
|
2. Pokud se osobní údaje
získávají od subjektu údajů, správce kromě informací uvedených v odstavci
1 poskytne subjektu údajů rovněž informace o tom, zda je poskytování osobních
údajů povinné nebo dobrovolné, jakož i o možných důsledcích neposkytnutí těchto
údajů.
|
|
3. Lorsque les données à caractère personnel
ne sont pas collectées auprès de la personne concernée, le responsable du
traitement fournit à cette dernière, outre les informations mentionnées au
paragraphe 1, des informations relatives à l'origine des données à
caractère personnel.
|
3. Pokud se osobní údaje
nezískávají od subjektu údajů, správce kromě informací uvedených
v odstavci 1 poskytne subjektu údajů informace o původu těchto osobních
údajů.
|
|
4. Le responsable du traitement fournit les
informations visées aux paragraphes 1, 2 et 3:
|
4. Správce poskytne informace
uvedené v odstavcích 1, 2 a 3:
|
|
a) au moment où les données à caractère personnel sont
recueillies auprès de la personne concernée, ou
|
a) v době, kdy se osobní údaje
získávají od subjektu údajů nebo
|
|
b) lorsque les données à caractère personnel ne sont pas
collectées auprès de la personne concernée, au moment de l’enregistrement ou
dans un délai raisonnable après la collecte, eu égard aux circonstances
particulières dans lesquelles les données sont collectées ou traitées, ou si la
communication à un autre destinataire est envisagée, et au plus tard au moment
où les données sont communiquées pour la première fois.
|
b) pokud se osobní údaje nezískávají od
subjektu údajů, v době jejich zaznamenání nebo v rozumné lhůtě po
jejich shromáždění s ohledem na zvláštní okolnosti, za kterých se údaje
shromažďují nebo jinak zpracovávají, nebo pokud se uvažuje o jejich zpřístupnění
dalšímu příjemci pak nejpozději tehdy, kdy se údaje zpřístupňují poprvé.
|
|
5. Les dispositions des paragraphes 1 et 4 ne
s'appliquent pas lorsque:
|
5. Odstavce 1 a 4 se nepoužijí,
pokud:
|
|
a) la personne concernée dispose déjà des informations
visées aux paragraphes 1, 2 et 3; ou
|
a) subjekt údajů již má informace uvedené
v odstavcích 1, 2 a 3 nebo
|
|
b) les données ne sont pas collectées auprès de la
personne concernée et que la fourniture de ces informations se révèle
impossible ou supposerait des efforts disproportionnés; ou
|
b) údaje nebyly získány od subjektu údajů a
poskytnutí těchto informací není možné nebo by vyžadovalo neúměrné úsilí nebo
|
|
c) les données ne sont pas collectées auprès de la
personne concernée et que l'enregistrement ou la communication des données sont
expressément prévus par la législation; ou
|
c) údaje nebyly získány od subjektu údajů a
zaznamenání nebo sdělování údajů je výslovně stanoveno právním předpisem nebo
|
|
d) les données ne sont pas collectées auprès de la
personne concernée et que la fourniture de ces informations porte atteinte aux
droits et libertés d'autrui tels qu'ils sont définis dans le droit de l'Union
ou le droit des États membres, conformément à l'article 21.
|
d) údaje nebyly získány od subjektu údajů a
poskytování takových informací naruší práva a svobody ostatních, jak je
stanoveno v právu Unie nebo právu členského státu podle článku 21.
|
|
6. Dans le cas visé au paragraphe 5,
point b), le responsable du traitement prend les mesures appropriées pour
protéger les intérêts légitimes de la personne concernée.
|
6. V případě uvedeném
v odst. 5 písm. b) správce provede vhodná opatření na ochranu oprávněných
zájmů subjektu údajů.
|
|
7. La Commission est habilitée à adopter des
actes délégués en conformité avec l’article 86, aux fins de préciser
davantage les critères applicables aux catégories de destinataires visées au
paragraphe 1, point f), l'obligation d'informer sur les possibilités
d'accès prévues au paragraphe 1, point g), les critères applicables à
l'obtention des informations supplémentaires nécessaires visées au
paragraphe 1, point h), pour les secteurs et les situations
spécifiques, et les conditions et les garanties appropriées encadrant les exceptions
prévues au paragraphe 5, point b). Ce faisant, la Commission prend
les mesures appropriées pour les micro, petites et moyennes entreprises.
|
7. Komise je zmocněna přijímat
akty v přenesené pravomoci v souladu s článkem 86 za účelem dalšího vymezení
kritérií pro kategorie příjemců uvedených v odst. 1 písm. f), požadavků
týkajících se oznámení o potenciálním přístupu uvedeném v odst. 1 písm.
g), kritérií pro další nezbytné informace uvedené v odst. 1 písm. h) pro
konkrétní odvětví a situací a podmínek a vhodných záruk pro výjimky uvedené
v odst. 5 písm. b). Komise přitom přijme vhodná opatření pro mikropodniky,
malé a střední podniky.
|
|
8. La Commission peut établir des formulaires
types pour la communication des informations énumérées aux paragraphes 1 à
3, compte tenu des caractéristiques et des besoins particuliers des différents
secteurs et, le cas échéant, des situations impliquant le traitement de
données. Les actes d'exécution correspondants sont adoptés conformément à la
procédure d'examen prévue à l'article 87, paragraphe 2.
|
8. Komise může stanovit
standardní formuláře pro poskytování informací uvedených v odstavcích 1 až
3, případně s přihlédnutím ke zvláštní povaze a potřebám různých odvětví a
situacím při zpracovávání údajů. Tyto prováděcí akty se přijímají v souladu s
přezkumným postupem podle čl. 87 odst. 2.
|
|
Article 15
Droit d'accès de la personne concernée
|
Článek 15
Právo subjektu údajů na přístup k údajům
|
|
1. La personne concernée a le droit d'obtenir,
à tout moment, à sa demande, auprès du responsable du traitement, confirmation
que les données à caractère personnel la concernant sont ou ne sont pas
traitées. Lorsque ces données à caractère personnel sont traitées, le
responsable du traitement fournit les informations suivantes:
|
1. Subjekt údajů má právo získat
od správce na požádání kdykoli potvrzení o tom, zda jsou osobní údaje, které se
jej týkají, zpracovávány či nikoli. Pokud jsou tyto osobní údaje zpracovávány,
správce poskytne následující informace:
|
|
a) les finalités du traitement;
|
a) účely zpracování;
|
|
b) les catégories de données à caractère personnel
concernées;
|
b) kategorie příslušných osobních údajů;
|
|
c) les destinataires ou les catégories de destinataires
auxquels les données à caractère personnel doivent être ou ont été
communiquées, en particulier lorsque les destinataires sont établis dans des
pays tiers;
|
c) informace o příjemcích nebo kategoriích
příjemců, kterým mají být nebo byly osobní údaje zpřístupněny, zejména o
příjemcích v třetích zemích;
|
|
d) la durée pendant laquelle les données à caractère personnel
seront conservées;
|
d) dobu, po kterou se budou osobní údaje uchovávat;
|
|
e) l’existence du droit de demander au responsable du
traitement la rectification ou l'effacement de données à caractère personnel
relatives à la personne concernée ou de s'opposer au traitement de ces données;
|
e) existenci práva požadovat od správce
opravu nebo výmaz osobních údajů týkajících se subjektu údajů nebo vznést
námitku proti zpracování těchto osobních údajů;
|
|
f) le droit d’introduire une réclamation auprès de
l'autorité de contrôle et les coordonnées de ladite autorité;
|
f) právo podat stížnost příslušnému orgánu
dozoru a kontaktní údaje orgánu dozoru;
|
|
g) la communication des données à caractère personnel en
cours de traitement, ainsi que toute information disponible sur l’origine de
ces données;
|
g) informace o osobních údajích, které jsou
zpracovávány, a veškeré dostupné informace o jejich původu;
|
|
h) l'importance et les
conséquences envisagées de ce traitement, au moins dans le cas des mesures
prévues à l'article 20.
|
h) význam a
předpokládané důsledky tohoto zpracování, alespoň v případě opatření
uvedených v článku 20.
|
|
2. La personne concernée a le droit d'obtenir
du responsable du traitement la communication des données à caractère personnel
en cours de traitement. Lorsque la personne concernée en fait la demande sous
forme électronique, les informations sont fournies sous forme électronique, à
moins que la personne concernée ne demande qu'il en soit autrement.
|
2. Subjekt údajů má právo získat
od správce informace o osobních údajích, které jsou zpracovávány. Jestliže
subjekt údajů podává žádost v elektronické podobě, poskytují se informace
v elektronické podobě, pokud subjekt údajů nepožádá o jiný způsob.
|
|
3. La Commission est habilitée à adopter des
actes délégués en conformité avec l’article 86, aux fins de préciser
davantage les critères et exigences applicables à la communication, à la
personne concernée, du contenu des données à caractère personnel mentionnées au
paragraphe 1, point g).
|
3. Komise je zmocněna přijímat
akty v přenesené pravomoci v souladu s článkem 86 za účelem dalšího vymezení
kritérií a požadavků ohledně sdělování informací subjektu údajů o obsahu
osobních údajů uvedených v odst. 1 písm. g).
|
|
4. La Commission peut préciser les formulaires
types et les procédures de demande et d'accès aux informations mentionnées au
paragraphe 1, y compris pour la vérification de l’identité de la personne
concernée et la communication de ses données à caractère personnel à la personne
concernée, compte tenu des besoins et des caractéristiques spécifiques des
différents secteurs et situations impliquant le traitement de données. Les
actes d'exécution correspondants sont adoptés conformément à la procédure
d'examen prévue à l'article 87, paragraphe 2.
|
4. Komise může stanovit
standardní formuláře a určit postupy pro podávání žádostí o přístup
k informacím uvedeným v odstavci 1 a o jeho udělení, mimo jiné za
účelem ověření totožnosti subjektu údajů a sdělení osobních údajů subjektu
údajů, a to s přihlédnutím ke konkrétní povaze a potřebám různých odvětví a
situacím zpracovávání údajů. Tyto prováděcí akty se přijímají v souladu s
přezkumným postupem podle čl. 87 odst. 2.
|
|
SECTION 3
|
ODDÍL 3
|
|
RECTIFICATION ET EFFACEMENT
|
OPRAVA A VÝMAZ
|
|
Article 16
Droit de rectification
|
Článek 16
Právo na opravu
|
|
La personne concernée a le droit d'obtenir du responsable du
traitement la rectification des données à caractère personnel la concernant qui
sont inexactes. La personne concernée a le droit d’obtenir que les données à
caractère personnel incomplètes soient complétées, y compris au moyen d'une
déclaration rectificative complémentaire.
|
Subjekt údajů má právo požadovat, aby správce
opravil nepřesné osobní údaje, které se jej týkají. Subjekt údajů má právo požadovat,
aby byly jeho neúplné osobní údaje doplněny, například formou opravného
prohlášení.
|
|
Article 17
Droit à l'oubli numérique et à l'effacement
|
Článek 17
Právo být zapomenut a právo na výmaz
|
|
1.
La personne concernée a le droit d'obtenir du responsable du traitement
l’effacement de données à caractère personnel la concernant et la cessation de
la diffusion de ces données, en particulier en ce qui concerne des données à
caractère personnel que la personne concernée avait rendues disponibles
lorsqu’elle était enfant, ou pour l'un des motifs suivants:
|
1.
Subjekt údajů má právo požadovat od správce výmaz
osobních údajů, které se jej týkají, a zdržení se dalšího šíření těchto údajů,
zejména v souvislosti s osobními údaji, které subjekt údajů
zpřístupnil v dětském věku, pokud je splněn jeden z těchto důvodů:
|
|
a) les données ne sont plus nécessaires au regard des
finalités pour lesquelles elles ont été collectées ou traitées,
|
a) údaje již nejsou potřebné pro účely, pro
které byly shromážděny nebo jinak zpracovány;
|
|
b) la personne concernée retire le consentement sur lequel
est fondé le traitement, conformément à l'article 6, paragraphe 1,
point a), ou lorsque le délai de conservation autorisé a expiré et qu'il
n'existe pas d'autre motif légal au traitement des données;
|
b) subjekt údajů odvolá svůj souhlas, na
jehož základě byly údaje podle čl. 6 odst. 1 písm. a) zpracovávány, nebo pokud
vypršela lhůta pro uchovávání údajů, pro níž byl dán souhlas, a pokud
neexistuje žádný další právní důvod pro zpracování údajů;
|
|
c) la personne concernée s'oppose au traitement des données
à caractère personnel en vertu de l'article 19;
|
c) subjekt údajů vznáší námitku proti
zpracování osobních údajů podle článku 19;
|
|
d) le traitement des données n'est pas conforme au présent
règlement pour d'autres motifs.
|
d) zpracování údajů není slučitelné
s tímto nařízením z jiných důvodů.
|
|
2. Lorsque le responsable du traitement visé
au paragraphe 1 a rendu publiques les données à caractère personnel, il
prend toutes les mesures raisonnables, y compris les mesures techniques, en ce
qui concerne les données publiées sous sa responsabilité, en vue d'informer les
tiers qui traitent lesdites données qu'une personne concernée leur demande
d'effacer tous liens vers ces données à caractère personnel, ou toute copie ou
reproduction de celles-ci. Lorsque le responsable du traitement a autorisé un
tiers à publier des données à caractère personnel, il est réputé responsable de
cette publication.
|
2. Pokud správce uvedený
v odstavci 1 zveřejnil osobní údaje, přijme vzhledem k údajům, za
jejichž zveřejnění je zodpovědný, veškerá rozumná opatření, včetně technických,
aby informoval třetí strany, které tyto údaje zpracovávají, že subjekt údajů od
nich požaduje vymazání všech odkazů na tyto osobní údaje nebo kopií či
replikací těchto osobních údajů. Pokud správce povolil zveřejnění osobních
údajů třetí straně, nese za něj odpovědnost správce.
|
|
3. Le responsable du traitement procède à
l'effacement sans délai, sauf lorsque la conservation des données à caractère
personnel est nécessaire:
|
3. Správce provede výmaz
neprodleně, s výjimkou případů, kdy je uchovávání osobních údajů nezbytné:
|
|
a) à l'exercice du droit à la liberté d'expression,
conformément à l'article 80;
|
a)
pro výkon práva na svobodu projevu podle článku 80;
|
|
b) pour des motifs d'intérêt général dans le domaine de la
santé publique, conformément à l'article 81;
|
b)
z důvodů veřejného zájmu v oblasti veřejného
zdraví v souladu s článkem 81;
|
|
c) à des fins de recherche historique, statistique et
scientifique, conformément à l'article 83;
|
c)
pro účely historiografického, statistického a
vědeckého výzkumu podle článku 83;
|
|
d) au respect d'une obligation légale de conserver les
données à caractère personnel prévue par le droit de l'Union ou par la
législation d'un État membre à laquelle le responsable du traitement est
soumis; la législation de l'État membre doit répondre à un objectif d’intérêt
général, respecter le contenu essentiel du droit à la protection des données à caractère
personnel et être proportionnée à l'objectif légitime poursuivi;
|
d)
pro splnění právní povinnosti uchovávat osobní
údaje, které správce podléhá na základě práva Unie nebo práva členského státu;
právní předpisy členského státu musí sledovat cíl veřejného zájmu, respektovat
podstatu práva na ochranu osobních údajů a být přiměřené z hlediska
sledovaného legitimního cíle;
|
|
e) dans les cas mentionnés au paragraphe 4.
|
e)
v případech uvedených v odstavci 4.
|
|
4. Au lieu de procéder à l'effacement, le
responsable du traitement limite le traitement de données à caractère
personnel:
|
4. Namísto vymazání osobních
údajů může správce omezit jejich zpracování, pokud:
|
|
a) pendant une durée permettant au responsable du
traitement de vérifier l’exactitude des données lorsque
cette dernière est contestée par la personne concernée;
|
a) subjekt údajů popírá jejich přesnost, a
to na dobu potřebnou k tomu, aby správce mohl ověřit přesnost údajů;
|
|
b) lorsqu’elles ne sont plus utiles au responsable du
traitement pour qu’il s’acquitte de sa mission, mais qu'elles doivent être
conservées à des fins probatoires, ou
|
b) správce už osobní údaje ke splnění svých
úkolů nepotřebuje, ale je třeba je uchovat jako důkaz;
|
|
c) lorsque leur traitement est illicite et que la personne
concernée s'oppose à leur effacement et exige à la place la limitation de leur
utilisation;
|
c) zpracování je nezákonné a subjekt údajů
odmítá jejich výmaz a žádá místo toho o omezení jejich použití;
|
|
d) lorsque la personne concernée demande le transfert des
données à caractère personnel à un autre système de traitement automatisé,
conformément à l'article 18, paragraphe 2.
|
d) subjekt údajů požaduje v souladu
s čl. 18 odst. 2 přenos osobních údajů do jiného automatizovaného systému
zpracování.
|
|
5. Les données à caractère personnel énumérées
au paragraphe 4 ne peuvent être traitées, à l’exception de la
conservation, qu’à des fins probatoires, ou avec le consentement de la personne
concernée, ou aux fins de la protection des droits d’une autre personne
physique ou morale ou pour un objectif d’intérêt général.
|
5. Osobní údaje uvedené
v odstavci 4 mohou být s výjimkou jejich uchovávání zpracovávány
pouze jako důkaz nebo se souhlasem subjektu údajů, nebo za účelem ochrany práv
jiné fyzické nebo právnické osoby nebo plnění cíle veřejného zájmu.
|
|
6. Lorsque le traitement des données à
caractère personnel est limité conformément au paragraphe 4, le
responsable du traitement informe la personne concernée avant de lever la
limitation frappant le traitement.
|
6. Pokud je zpracování osobních
údajů omezené ve smyslu odstavce 4, správce o tom informuje subjekt údajů před
zrušením omezení zpracování.
|
|
7. Le responsable du traitement met en œuvre
des mécanismes assurant le respect des délais applicables à l’effacement des
données à caractère personnel et/ou à un examen périodique de la nécessité de
conserver ces données.
|
7. Správce zavede mechanismy,
které zajistí dodržování lhůt stanovených pro výmaz osobních údajů a/nebo pro
pravidelný přezkum s cílem posoudit potřebu uchovávat údaje.
|
|
8. Lorsque l'effacement est effectué, le
responsable du traitement ne procède à aucun autre traitement de ces données à
caractère personnel.
|
8. Pokud se provádí výmaz,
správce nesmí tyto osobní údaje jinak zpracovávat.
|
|
9. La Commission est habilitée à adopter des
actes délégués en conformité avec l’article 86, aux fins de préciser:
|
9. Komise je zmocněna přijímat
akty v přenesené pravomoci v souladu s článkem 86 za účelem
dalšího vymezení:
|
|
a) les exigences et critères relatifs à l'application du
paragraphe 1 dans des secteurs spécifiques et des situations spécifiques
impliquant le traitement de données;
|
a) kritérií a požadavků na uplatňování
odstavce 1 v případě konkrétních odvětví a konkrétních situací, kdy se
údaje zpracovávají,
|
|
b) les conditions de la suppression des liens vers ces
données à caractère personnel, des copies ou des reproductions de celles-ci
existant dans les services de communication accessibles au public, ainsi que le
prévoit le paragraphe 2;
|
b) podmínek pro výmaz odkazů, kopií nebo
replikací osobních údajů z veřejně dostupných komunikačních služeb, jak je
uvedeno v odstavci 2;
|
|
c) les conditions et critères applicables à la limitation
du traitement des données à caractère personnel, visés au paragraphe 4.
|
c) kritérií a podmínek pro omezení
zpracování osobních údajů podle odstavce 4.
|
|
Article 18
Droit à la portabilité des données
|
Článek 18
Právo na přenositelnost údajů
|
|
1. Lorsque des données à caractère personnel
font l'objet d'un traitement automatisé dans un format structuré et couramment
utilisé, la personne concernée a le droit d'obtenir auprès du responsable du
traitement une copie des données faisant l'objet du traitement automatisé dans
un format électronique structuré qui est couramment utilisé et qui permet la
réutilisation de ces données par la personne concernée.
|
1. Pokud se osobní údaje
zpracovávají elektronicky a ve strukturovaném a běžně používaném formátu,
má subjekt údajů právo získat od správce kopii zpracovávaných údajů
elektronicky a ve strukturovaném a běžně používaném formátu, který
umožňuje jejich další využití subjektem údajů.
|
|
2. Lorsque la personne concernée a fourni les
données à caractère personnel et que le traitement est fondé sur le
consentement ou sur un contrat, elle a le droit de transmettre ces données à
caractère personnel et toutes autres informations qu'elle a fournies et qui
sont conservées par un système de traitement automatisé à un autre système dans
un format électronique qui est couramment utilisé, sans que le responsable du traitement
auquel les données à caractère personnel sont retirées n'y fasse obstacle.
|
2. Pokud subjekt údajů poskytl
osobní údaje a zpracování je založené na souhlasu nebo smlouvě, má subjekt
údajů právo přenést tyto osobní údaje a jakékoli jiné informace jím poskytnuté
a uchovávané v automatizovaném systému zpracování do jiného systému
v běžně používaném elektronickém formátu, aniž by tomu správce, od něhož
byly osobní údaje získány, bránil.
|
|
3. La Commission peut préciser le format
électronique visé au paragraphe 1, ainsi que les normes techniques, les
modalités et les procédures pour la transmission de données à caractère
personnel conformément au paragraphe 2. Les actes d'exécution
correspondants sont adoptés conformément à la procédure d'examen prévue à
l'article 87, paragraphe 2.
|
3. Komise může určit
elektronický formát uvedený v odstavci 1 a technické normy, metody a
postupy pro přenos osobních údajů podle odstavce 2. Tyto prováděcí akty se
přijímají v souladu s přezkumným postupem podle čl. 87 odst. 2.
|
|
SECTION 4
|
ODDÍL 4
|
|
DROIT D'OPPOSITION ET PROFILAGE
|
PRÁVO VZNÉST NÁMITKU A PROFILOVÁNÍ
|
|
Article 19
Droit d'opposition
|
Článek 19
Právo vznést námitku
|
|
1. La personne concernée a le droit de
s'opposer à tout moment, pour des raisons tenant à sa situation particulière, à
ce que des données à caractère personnel fassent l'objet d'un traitement fondé
sur l'article 6, paragraphe 1, points d), e) et f), à moins que
le responsable du traitement n'établisse l’existence de raisons impérieuses et
légitimes justifiant le traitement, qui priment les intérêts ou les libertés et
droits fondamentaux de la personne concernée.
|
1. Subjekt údajů má právo vznést
námitku z důvodů týkajících se jeho konkrétní situace kdykoli
v průběhu zpracování osobních údajů, které je založeno na čl. 6 odst. 1
písm. d), e) a f), pokud správce neprokáže závažné legitimní důvody pro
zpracování, které převažují nad zájmy a základními právy a svobodami subjektu
údajů.
|
|
2. Lorsque les données à caractère personnel
sont traitées à des fins de marketing direct, la personne concernée a le droit
de s'opposer au traitement de ses données à caractère personnel en vue de ce
marketing direct. Ce droit est explicitement proposé à la personne concernée
d'une façon intelligible et doit pouvoir être clairement distingué d'autres
informations.
|
2. Pokud se osobní údaje
zpracovávají pro přímý marketing, má subjekt údajů právo zdarma vznést námitku
proti zpracování svých osobních údajů pro tento marketing. Toto právo je
subjektu údajů výslovně nabídnuto srozumitelným způsobem a je jasně odlišitelné
od jiných informací.
|
|
3. Lorsqu'il est fait droit à une opposition
conformément aux paragraphes 1 et 2, le responsable du traitement n'utilise ni
ne traite plus les données à caractère personnel concernées.
|
3. Pokud je vznesena námitka ve
smyslu odstavců 1 a 2, správce již nemůže déle příslušné osobní údaje používat
či jinak zpracovávat.
|
|
Article 20
Mesures fondées sur le profilage
|
Článek 20
Opatření založená na profilování
|
|
1. Toute personne physique a le droit de ne
pas être soumise à une mesure produisant des effets juridiques à son égard ou
l'affectant de manière significative, prise sur le seul fondement d'un
traitement automatisé destiné à évaluer certains aspects personnels propres à
cette personne physique ou à analyser ou prévoir en particulier le rendement
professionnel de celle-ci, sa situation économique, sa localisation, son état
de santé, ses préférences personnelles, sa fiabilité ou son comportement.
|
1. Každá fyzická osoba má právo,
aby se na ni nevztahovalo žádné opatření, jež má vůči ní právní účinky nebo se
jí významně dotýká, provedené pouze na základě automatizovaného zpracování
určeného k vyhodnocení jistých rysů její osobnosti nebo k analýze či
předpovídání zejména plnění pracovních povinností, ekonomické situace,
lokalizace, zdravotního stavu, osobních preferencí, spolehlivosti nebo chování
této fyzické osoby.
|
|
2.
Sous réserve des autres dispositions du présent règlement, une personne
ne peut être soumise à une mesure telle que celle visée au paragraphe 1
que si le traitement:
|
2.
Aniž jsou dotčena další ustanovení tohoto nařízení,
může se na osobu vztahovat opatření uvedené v odstavci 1 pouze tehdy,
je-li zpracování:
|
|
a) est effectué dans le cadre de la conclusion ou de
l'exécution d'un contrat, lorsque la demande de conclusion ou d’exécution du
contrat, introduite par la personne concernée, a été satisfaite ou qu'ont été
invoquées des mesures appropriées garantissant la sauvegarde des intérêts
légitimes de la personne concernée, tels que le droit d’obtenir une
intervention humaine; ou
|
a) prováděno v rámci uzavírání nebo plnění
smlouvy, pokud žádosti o uzavření nebo o plnění smlouvy podané subjektem údajů
bylo vyhověno nebo pokud byla přijata vhodná opatření, která zajišťují ochranu
jeho oprávněných zájmů, jako je právo na přímý osobní kontakt nebo
|
|
b) est expressément autorisé par une législation de
l'Union ou d'un État membre qui prévoit également des mesures appropriées
garantissant la sauvegarde des intérêts légitimes de la personne concernée; ou
|
b) výslovně povoleno právem Unie nebo
členského státu, které rovněž stanoví vhodná opatření zajišťující ochranu
oprávněných zájmů subjektu údajů nebo
|
|
c) est fondé sur le consentement de la personne concernée,
sous réserve des conditions énoncées à l’article 7 et de garanties
appropriées.
|
c) založeno na souhlasu subjektu údajů,
s výhradou podmínek stanovených v článku 7 a vhodných záruk.
|
|
3.
Le traitement automatisé de données à caractère personnel destiné à
évaluer certains aspects personnels propres à une personne physique ne saurait
être exclusivement fondé sur les catégories particulières de données à
caractère personnel mentionnées à l’article 9.
|
3.
Automatické zpracování osobních údajů za účelem
vyhodnocení určitých rysů osobnosti fyzické osoby se nesmí opírat pouze o
zvláštní kategorie osobních údajů uvedené v článku 9.
|
|
4. Dans les cas prévus au paragraphe 2,
les informations que le responsable du traitement doit fournir en vertu de
l'article 14 comportent notamment des informations relatives à l’existence
du traitement pour une mesure telle que celle visée au paragraphe 1 et aux
effets escomptés de ce traitement sur la personne concernée.
|
4. V případech uvedených
v odstavci 2 musí informace poskytované správcem podle článku 14 obsahovat
informace, zda byly údaje zpracovány pro účely opatření, na které se vztahuje
odstavec 1, a k přepokládaným účinkům tohoto zpracování na subjekt údajů.
|
|
5. La Commission est habilitée à adopter des
actes délégués en conformité avec l’article 86, aux fins de préciser davantage
les critères et conditions applicables aux mesures appropriées garantissant la
sauvegarde des intérêts légitimes de la personne concernée conformément au
paragraphe 2.
|
5. Komise je zmocněna přijímat
akty v přenesené pravomoci v souladu s článkem 86 za účelem dalšího vymezení
kritérií a podmínek, které mají platit pro vhodná opatření na ochranu
oprávněných zájmů subjektu údajů uvedených v odstavci 2.
|
|
SECTION 5
Limitations
|
ODDÍL 5
OMEZENÍ
|
|
Article 21
Limitations
|
Článek 21
Omezení
|
|
1. Le droit de l'Union ou le droit des États
membres peuvent, par la voie de mesures législatives, limiter la portée des
obligations et des droits prévus à l'article 5, points a) à e), aux
articles 11 à 20 et à l'article 32, lorsqu'une telle limitation
constitue une mesure nécessaire et proportionnée dans une société démocratique
pour:
|
1. Právo Unie nebo členského
státu může prostřednictvím legislativního opatření omezit rozsah povinností a
práv uvedených v čl. 5 písm. a) až e), v článcích 11 až 20 a
v článku 32, pokud takové omezení představuje nezbytné a přiměřené opatření
v demokratické společnosti s cílem zajistit:
|
|
a) assurer la
sécurité publique;
|
a) veřejnou bezpečnost;
|
|
b) assurer la prévention et la détection d'infractions
pénales, ainsi que les enquêtes et les poursuites en la matière;
|
b) prevenci, vyšetřování, odhalování a
stíhání trestných činů;
|
|
c) sauvegarder d'autres intérêts généraux de l'Union ou
d'un État membre, notamment un intérêt économique ou financier important de
l’Union ou d'un État membre, y compris dans les domaines monétaire, budgétaire
et fiscal, ainsi que la stabilité et l'intégrité des marchés;
|
c) jiné veřejné zájmy Unie nebo členského
státu, zejména důležitý hospodářský nebo finanční zájem Unie nebo členského
státu, včetně peněžních, rozpočtových a daňových záležitostí a ochrany
stability a integrity trhu;
|
|
d) assurer la prévention et la détection de manquements à
la déontologie des professions réglementées, ainsi que les enquêtes et les
poursuites en la matière;
|
d) prevenci, vyšetřování, odhalování a
stíhání nedodržování deontologických pravidel pro regulovaná povolání;
|
|
e) assurer une mission de contrôle, d'inspection ou de
réglementation liée, même occasionnellement, à l'exercice de l'autorité
publique, dans les cas visés aux points a), b), c) et d);
|
e) kontrolní, inspekční nebo regulační
funkce vyplývající, i pouze příležitostně, z výkonu veřejné moci v případech
uvedených v písmenech a), b) c) a d);
|
|
f) garantir la protection de la personne concernée ou des
droits et libertés d'autrui.
|
f) ochranu subjektu údajů nebo práv a
svobod druhých.
|
|
2. Tout mesure législative visée au
paragraphe 1 doit notamment contenir des dispositions spécifiques
relatives, au moins, aux finalités du traitement et aux modalités
d'identification du responsable du traitement.
|
2. Každé legislativní opatření
uvedené v odstavci 1 obsahuje konkrétní ustanovení, alespoň pokud jde o
cíle, které má zpracování sledovat, a určení správce.
|
|
CHAPITRE
IV
|
KAPITOLA IV
|
|
RESPONSABLE DU TRAITEMENT ET
SOUS‑TRAITANT
|
SPRÁVCE A
ZPRACOVATEL
|
|
SECTION 1
OBLIGATIONS GÉNÉRALES
|
ODDÍL 1
OBECNÉ POVINNOSTI
|
|
Article 22
Obligations incombant au responsable du traitement
|
Článek 22
Odpovědnost správce
|
|
1. Le responsable du traitement adopte des
règles internes et met en œuvre les mesures appropriées pour garantir, et être
à même de démontrer, que le traitement des données à caractère personnel est
effectué dans le respect du présent règlement.
|
1. Správce přijme politiky a
provede vhodná opatření, aby zajistil, že zpracovávání osobních údajů probíhá
v souladu s tímto nařízením, a aby byl schopen tuto skutečnost
prokázat.
|
|
2. Les mesures prévues au paragraphe 1 portent
notamment sur:
|
2. Opatření uvedená
v odstavci 1 zahrnují zejména:
|
|
a) la tenue de la documentation en application de
l'article 28;
|
a)
vedení dokumentace podle článku 28;
|
|
b) la mise en œuvre des obligations en matière de sécurité
des données prévues à l’article 30;
|
b)
provedení požadavků týkajících se bezpečnosti
údajů uvedených v článku 30;
|
|
c) la réalisation d'une analyse d’impact relative à la
protection des données en application de l'article 33;
|
c)
vypracování posouzení dopadu na ochranu údajů podle
článku 33;
|
|
d) le respect des obligations en matière d'autorisation ou
de consultation préalables de l'autorité de contrôle en application de
l'article 34, paragraphes 1 et 2;
|
d)
splnění požadavků ohledně předchozího povolení nebo
předchozí konzultace orgánu dozoru podle čl. 34 odst. 1 a 2;
|
|
e) la désignation d'un délégué à la protection des données
en application de l’article 35, paragraphe 1.
|
e)
jmenování inspektora ochrany údajů podle čl. 35
odst. 1.
|
|
3. Le responsable du traitement met en œuvre
des mécanismes pour vérifier l’efficacité des mesures énoncées aux paragraphes
1 et 2. Sous réserve de la
proportionnalité d'une telle mesure, des auditeurs indépendants internes ou
externes procèdent à cette vérification.
|
3. Správce zavede mechanismy pro
ověření účinnosti opatření uvedených v odstavcích 1 a 2. Je-li to přiměřené, provede toto ověření
nezávislý interní nebo externí auditor.
|
|
4. La Commission est habilitée à adopter des
actes délégués en conformité avec l’article 86, aux fins de préciser
davantage d'éventuels critères et exigences supplémentaires applicables aux
mesures appropriées visées au paragraphe 1, autres que celles déjà visés au
paragraphe 2, les conditions de vérification et mécanismes d'audit visés au paragraphe
3 et le critère de proportionnalité prévu au paragraphe 3, et afin d'envisager
des mesures spécifiques pour les micro, petites entreprises et moyennes
entreprises.
|
4. Komise je zmocněna přijímat
akty v přenesené pravomoci v souladu s článkem 86 za účelem dalšího vymezení
kritérií a požadavků na vhodná opatření uvedená v odstavci 1, která nebyla
uvedena v odstavci 2, stanovení podmínek pro mechanismy ověřování a auditu
uvedené v odstavci 3 a kritérií proporcionality podle odstavce 3 a zvážení
specifických opatření zejména pro mikropodniky, malé a střední podniky.
|
|
Article 23
Protection des données dès la conception et protection des données par défaut
|
Článek 23
Ochrana údajů již od návrhu a standardní nastavení ochrany údajů
|
|
1. Compte étant tenu des techniques les plus
récentes et des coûts liés à leur mise en œuvre, le responsable du traitement
applique, tant lors de la définition des moyens de traitement que lors du
traitement proprement dit, les mesures et procédures techniques et
organisationnelles appropriées de manière à ce que le traitement soit conforme
aux prescriptions du présent règlement et garantisse la protection des droits
de la personne concernée.
|
1. S ohledem na stav techniky a
náklady provedení přijme správce při určování prostředků zpracování i při
samotném zpracovávání vhodná technická a organizační opatření a postupy tak,
aby dané zpracování splňovalo požadavky tohoto nařízení a zaručovalo ochranu
práv subjektu údajů.
|
|
2. Le responsable du traitement met en œuvre
des mécanismes visant à garantir que, par défaut, seules seront traitées les
données à caractère personnel nécessaires à chaque finalité spécifique du
traitement, ces données n'étant, en particulier, pas collectées ou conservées
au-delà du minimum nécessaire à ces finalités, pour ce qui est tant de la
quantité de données que de la durée de leur conservation. En particulier, ces
mécanismes garantissent que, par défaut, les données à caractère personnel ne
sont pas rendues accessibles à un nombre indéterminé de personnes physiques.
|
2. Správce přijme mechanismy,
aby zajistil, že standardně se budou zpracovávat pouze ty osobní údaje, které
jsou pro každý konkrétní účel zpracování nutné, a že zejména jejich
shromažďování či uchovávání nepřesáhne minimum, jež je pro tyto účely nezbytné,
a to jak co do množství údajů, tak do doby jejich uchovávání. Tyto mechanismy
konkrétně zaručí, že osobní údaje se nebudou standardně zpřístupňovat
neomezenému počtu fyzických osob.
|
|
3. La Commission est
habilitée à adopter des actes délégués en conformité avec l’article 86,
aux fins de préciser d'éventuels critères et exigences supplémentaires
applicables aux mesures appropriées et aux mécanismes visés aux paragraphes 1
et 2, en ce qui concerne notamment les exigences en matière de protection des
données dès la conception applicables à l’ensemble des secteurs, produits et
services.
|
3. Komise
je zmocněna přijímat akty v přenesené pravomoci v souladu s článkem 86 za
účelem vymezení jakýchkoli dalších kritérií a požadavků, pokud jde o vhodná
opatření a mechanismy uvedené v odstavcích 1 a 2, zejména požadavků na ochranu
údajů již od návrhu, které budou platit napříč odvětvími, produkty a službami.
|
|
4. La Commission peut
définir des normes techniques pour les exigences fixées aux paragraphes 1
et 2. Les actes d'exécution correspondants sont adoptés conformément à la
procédure d'examen prévue à l'article 87, paragraphe 2.
|
4. Komise
může stanovit technické normy pro požadavky uvedené v odstavcích 1 a 2. Tyto
prováděcí akty se přijímají v souladu s přezkumným postupem podle čl. 87
odst. 2.
|
|
Article 24
Responsables conjoints du traitement
|
Článek 24
Společní správci
|
|
Lorsqu'un responsable du traitement définit, conjointement
avec d'autres, les finalités, conditions et moyens du traitement de données à
caractère personnel, les responsables conjoints du traitement définissent, par
voie d’accord, leurs obligations respectives afin de se conformer aux exigences
du présent règlement, en ce qui concerne notamment les procédures et mécanismes
régissant l'exercice des droits de la personne concernée.
|
Kde správce určuje účel, podmínky a prostředky
zpracování osobních údajů společně s ostatními, určí společní správci ve
vzájemném ujednání, jakou odpovědnost každý z nich nese za plnění povinností
vyplývajících z tohoto nařízení, zejména pokud jde o postupy a mechanismy pro
výkon práv subjektu údajů.
|
|
Article 25
Représentants des responsables du traitement qui ne sont pas établis dans
l’Union
|
Článek 25
Zástupci správců neusazených v Unii
|
|
1. Dans le cas visé à l'article 3,
paragraphe 2, le responsable du traitement désigne un représentant dans
l'Union.
|
1. V případě popsaném v čl. 3
odst. 2 správce určí v Unii svého zástupce.
|
|
2. Cette obligation ne s’applique pas:
|
2. Touto povinností nejsou
vázáni:
|
|
a) à un responsable du traitement établi dans un pays
tiers lorsque la Commission a constaté par voie de décision que ce pays tiers
assurait un niveau de protection adéquat conformément à l'article 41; ou
|
a) správci usazení ve třetích zemích, které
podle rozhodnutí Komise zaručují přiměřenou úroveň ochrany v souladu s článkem
41, nebo
|
|
b) à une entreprise employant moins de 250 salariés;
ou
|
b) podniky zaměstnávající méně než 250 osob
nebo
|
|
c) à une autorité ou à un organisme publics; ou
|
c) orgány veřejné moci či veřejnoprávní
subjekty nebo
|
|
d) à un responsable du traitement n'offrant
qu'occasionnellement des biens ou des services à des personnes concernées
résidant dans l'Union.
|
d) správci, kteří subjektům údajů s
bydlištěm v Unii nabízejí zboží či služby pouze příležitostně.
|
|
3. Le représentant est établi dans l'un des
États membres dans lesquels résident les personnes physiques dont les données à
caractère personnel sont traitées dans le contexte de l'offre de biens ou de
services qui leur est proposée ou dont le comportement est observé.
|
3. Zástupce je usazen v jednom z
členských států, ve kterém mají bydliště subjekty údajů, jejichž osobní údaje
jsou v souvislosti s nabízeným zbožím či službami zpracovávány, nebo u nichž se
sleduje jejich chování.
|
|
4. La désignation d'un représentant par le
responsable du traitement est sans préjudice d'actions en justice qui
pourraient être intentées contre le responsable du traitement lui‑même.
|
4. Tím, že správce jmenuje svého
zástupce, nejsou dotčeny právní kroky, které by mohly být podniknuty proti
správci samotnému.
|
|
Article 26
Sous‑traitant
|
Článek 26
Zpracovatel
|
|
1. Lorsque le traitement est effectué pour son
compte, le responsable du traitement choisit un sous‑traitant qui présente des
garanties suffisantes de mise en œuvre des mesures et procédures techniques et
organisationnelles appropriées, de manière à ce que le traitement soit conforme
aux prescriptions du présent règlement et garantisse la protection des droits
de la personne concernée, en ce qui concerne notamment les mesures de sécurité
technique et d'organisation régissant le traitement à effectuer, et veille au
respect de ces mesures.
|
1. Má-li být provedeno
zpracování údajů jménem správce, správce vybere zpracovatele, který nabízí
dostatečné záruky k přijetí vhodných technických a organizačních opatření a
postupů tak, aby dané zpracování splňovalo požadavky tohoto nařízení a
zaručovalo ochranu práv subjektu údajů, zejména pokud jde o technická
bezpečnostní opatření a organizační opatření, jimiž se bude plánované
zpracování řídit, a zajistí soulad s těmito opatřeními.
|
|
2. La réalisation de traitements en sous‑traitance
est régie par un contrat ou un autre acte juridique qui lie le sous‑traitant au
responsable du traitement et qui prévoit notamment que le sous‑traitant:
|
2. Zpracování údajů
zpracovatelem je upraveno smlouvou nebo jiným právním aktem, který zavazuje
zpracovatele vůči správci a který stanoví zejména, že zpracovatel:
|
|
a) n'agit que sur instruction du responsable du
traitement, en particulier lorsque le transfert des données à caractère
personnel utilisées est interdit;
|
a) jedná pouze podle pokynů správce, zejména
je-li zakázáno dané osobní údaje předávat;
|
|
b) n'emploie que du personnel qui a pris des engagements
de confidentialité ou qui est soumis à une obligation légale de
confidentialité;
|
b) zaměstnává pouze pracovníky, kteří se
zavázali k mlčenlivosti nebo na které se povinnost mlčenlivosti vztahuje ze
zákona;
|
|
c) prend toutes les mesures nécessaires en vertu de
l’article 30;
|
c) podnikne všechna požadovaná opatření
podle článku 30;
|
|
d) n'engage un autre sous‑traitant que moyennant
l'autorisation préalable du responsable du traitement;
|
d) zapojí do zpracování údajů dalšího
zpracovatele pouze s předchozím souhlasem správce;
|
|
e) dans la mesure du possible compte tenu de la nature du
traitement, crée, en accord avec le responsable du traitement, les conditions
techniques et organisationnelles nécessaires pour permettre au responsable du
traitement de s'acquitter de son obligation de donner suite aux demandes dont
les personnes concernées le saisissent en vue d'exercer leurs droits prévus au
chapitre III;
|
e) v míře, do jaké je to s ohledem na povahu
daného zpracování možné, vypracuje po dohodě se správcem nezbytné technické a
organizační požadavky pro splnění správcovy povinnosti reagovat na žádosti o
výkon práv subjektu údajů stanovených v kapitole III;
|
|
f) aide le responsable du
traitement à garantir le respect des obligations prévues aux articles 30 à
34;
|
f) napomáhá
správci zajišťovat plnění povinností podle článků 30 až 34;
|
|
g) transmet tous les résultats au responsable du
traitement après la fin du traitement et s'abstient de traiter les données à
caractère personnel de toute autre manière;
|
g) předává po zpracování veškeré výsledky
správci a osobní údaje jinak nezpracovává;
|
|
h) met à la disposition du responsable du traitement et de
l'autorité de contrôle toutes les informations nécessaires au contrôle du
respect des obligations prévues par le présent article.
|
h) poskytne správci a orgánu dozoru veškeré
informace potřebné pro kontrolu toho, zda byly splněny povinnosti stanovené v
tomto článku.
|
|
3. Le responsable du traitement et le sous‑traitant
conservent une trace documentaire des instructions données par le responsable
du traitement et des obligations du sous‑traitant énoncées au
paragraphe 2.
|
3. Správce a zpracovatel písemně
zdokumentují správcovy pokyny a zpracovatelovy povinnosti uvedené v odstavci 2.
|
|
4. S'il traite des données à caractère
personnel d'une manière autre que celle définie dans les instructions du
responsable du traitement, le sous‑traitant est considéré comme responsable du
traitement à l’égard de ce traitement et il est soumis aux dispositions
applicables aux responsables conjoints du traitement prévues à
l'article 24.
|
4. Jestliže zpracovatel
zpracovává jiné osobní údaje, než k jakým mu dal pokyn správce, považuje se ve
vztahu k takovému zpracování za správce a vztahují se na něho pravidla o
společných správcích uvedená v článku 24.
|
|
5. La Commission est habilitée à adopter des
actes délégués en conformité avec l’article 86, aux fins de préciser
davantage les critères et exigences applicables aux responsabilités,
obligations et missions d'un sous‑traitant en conformité avec le
paragraphe 1, ainsi que les conditions qui permettent de faciliter le
traitement des données à caractère personnel au sein d’un groupe d’entreprises,
en particulier aux fins de contrôle et de présentation de rapports.
|
5. Komise je zmocněna přijímat
akty v přenesené pravomoci v souladu s článkem 86 za účelem dalšího vymezení
kritérií a požadavků, pokud jde o odpovědnosti, povinnosti a úkoly zpracovatele
v souladu s odstavcem 1, a za účelem vymezení podmínek, jež umožní usnadnit
zpracovávání osobních údajů ve skupině podniků, zejména za účelem kontroly a
podávání zpráv.
|
|
Article 27
Traitement effectué sous l'autorité du responsable du traitement et du sous‑traitant
|
Článek 27
Zpracovávání z pověření správce a zpracovatele
|
|
Le sous‑traitant ainsi que toute personne agissant sous
l'autorité du responsable du traitement ou sous celle du sous‑traitant, qui a
accès à des données à caractère personnel, ne peut les traiter que sur
instruction du responsable du traitement, à moins d’y être obligé par la
législation de l'Union ou d’un État membre.
|
Zpracovatel a kdokoli, kdo jedná z pověření
správce nebo zpracovatele a má přístup k osobním údajům, může tyto osobní údaje
zpracovávat pouze na pokyn správce s výjimkou situace, kdy je k jejich
zpracování povinován právem Unie nebo členského státu.
|
|
Article 28
Documentation
|
Článek 28
Dokumentace
|
|
1. Chaque responsable du traitement et chaque
sous‑traitant ainsi que, le cas échéant, le représentant du responsable du
traitement, conservent une trace documentaire de tous les traitements effectués
sous leur responsabilité.
|
1. Každý správce a zpracovatel,
a v patřičném případě zástupce správce, vede dokumentaci o všech zpracováních,
za která nese odpovědnost.
|
|
2. La documentation constituée comporte au
moins les informations suivantes:
|
2. V dokumentaci jsou obsaženy
přinejmenším tyto údaje:
|
|
a) le nom et les coordonnées du responsable du traitement,
ou de tout responsable conjoint du traitement ou de tout sous‑traitant, et du
représentant, le cas échéant;
|
a) jméno a kontaktní údaje správce nebo
případného společného správce či zpracovatele a v patřičném případě zástupce;
|
|
b) le nom et les coordonnées du délégué à la protection
des données, le cas échéant;
|
b) v patřičném případě jméno a kontaktní
údaje inspektora ochrany údajů;
|
|
c) les finalités du traitement, y compris les intérêts
légitimes poursuivis par le responsable du traitement, lorsque le traitement se
fonde sur l'article 6, paragraphe 1, point f);
|
c) účely zpracování, včetně oprávněných
zájmů správce tam, kde se zpracování údajů zakládá na čl. 6 odst. 1 písm. f);
|
|
d) une description des catégories de personnes concernées
et des catégories de données à caractère personnel s'y rapportant;
|
d) popis kategorií subjektů údajů a
kategorií osobních údajů, které se na ně vztahují;
|
|
e) les destinataires ou les catégories de destinataires
des données à caractère personnel, y compris les responsables du traitement
auxquels les données à caractère personnel sont communiquées aux fins de
l'intérêt légitime qu'ils poursuivent;
|
e) informace o příjemcích nebo kategoriích
příjemců daných osobních údajů, včetně správců, kterým se osobní údaje sdělují
s ohledem na jejich oprávněné zájmy;
|
|
f) le cas échéant, les transferts de données vers un pays
tiers ou à une organisation internationale, y compris le nom de ce pays tiers
ou de cette organisation internationale et, dans le cas des transferts visés à
l'article 44, paragraphe 1, point h), les documents attestant
l’existence de garanties appropriées;
|
f) v příslušných případech informace o
předávání údajů do třetích zemí nebo mezinárodním organizacím, včetně
informací, jež danou třetí zemi či mezinárodní organizaci identifikují, a v
případě předávání podle čl. 44 odst. 1 písm. h) doložení vhodných záruk;
|
|
g) une indication générale des délais impartis pour
l'effacement des différentes catégories de données;
|
g) obecné informace o lhůtách pro výmaz
jednotlivých kategorií údajů;
|
|
h) la description des mécanismes prévus à
l'article 22, paragraphe 3.
|
h) popis mechanismů podle čl. 22 odst. 3.
|
|
3. Le responsable du traitement et le sous‑traitant
ainsi que, le cas échéant, le représentant du responsable du traitement mettent
la documentation à la disposition de l'autorité de contrôle, à la demande de
celle‑ci.
|
3. Správce a zpracovatel, a v
patřičném případě zástupce správce, poskytnou tuto dokumentaci na požádání
orgánu dozoru.
|
|
4. Les obligations visées aux paragraphes 1 et 2
ne s'appliquent pas aux responsables du traitement et aux sous‑traitants
relevant des catégories suivantes:
|
4. Povinnosti uvedené v
odstavcích 1 a 2 se nevztahují na následující správce a zpracovatele:
|
|
a) personnes physiques traitant des données à caractère
personnel en l'absence de tout intérêt commercial; ou
|
a) fyzické osoby, které zpracovávají osobní
údaje bez obchodního zájmu, nebo
|
|
b) entreprises ou organismes comptant moins de
250 salariés traitant des données à caractère personnel uniquement dans le
cadre d'une activité qui est accessoire à leur activité principale.
|
b) podniky či organizace, které zaměstnávají
méně než 250 osob a pro které je zpracovávání osobních údajů pouze doplňkem k
jejich hlavním činnostem.
|
|
5. La Commission est habilitée à adopter des
actes délégués en conformité avec l’article 86, aux fins de préciser
davantage les critères et exigences applicables à la documentation visée au
paragraphe 1, pour tenir compte, notamment, des obligations du responsable
du traitement et du sous‑traitant et, le cas échéant, du représentant du
responsable du traitement.
|
5. Komise je zmocněna přijímat
akty v přenesené pravomoci v souladu s článkem 86 za účelem dalšího vymezení
kritérií a požadavků, pokud jde o dokumentaci uvedenou v odstavci 1, aby
zohlednila zejména odpovědnosti správce a zpracovatele, a v patřičném případě
zástupce správce.
|
|
6. La Commission peut établir des formulaires
types pour la documentation visée au paragraphe 1. Les actes d'exécution
correspondants sont adoptés conformément à la procédure d'examen prévue à
l'article 87, paragraphe 2.
|
6. Komise může pro dokumentaci
uvedenou v odstavci 1 stanovit standardní formuláře. Tyto prováděcí akty se
přijímají v souladu s přezkumným postupem podle čl. 87 odst. 2.
|
|
Article 29
Coopération avec l'autorité de contrôle
|
Článek 29
Spolupráce s orgánem dozoru
|
|
1. Le responsable du
traitement et le sous‑traitant ainsi que, le cas échéant, le représentant du
responsable du traitement, coopèrent, sur demande, avec l’autorité de contrôle
dans l'exécution de ses fonctions, en communiquant notamment les informations
énoncées à l'article 53, paragraphe 2, point a), et en accordant un accès,
conformément aux dispositions du point b) dudit paragraphe.
|
1. Správce
a zpracovatel, a v patřičném případě zástupce správce, spolupracují na požádání
s orgánem dozoru při výkonu jeho povinností, a to zejména tím, že mu poskytují
informace uvedené v čl. 53 odst. 2 písm. a) a přístup podle písm. b) zmíněného
odstavce.
|
|
2. Lorsque l'autorité
de contrôle exerce les pouvoirs qui lui sont conférés en vertu de
l'article 53, paragraphe 2, le responsable du traitement et le sous‑traitant
répondent à l'autorité de contrôle dans un délai raisonnable devant être fixé
par celle‑ci. La réponse comprend une description des mesures prises et des
résultats obtenus, compte tenu des observations formulées par l'autorité de
contrôle.
|
2. Správce
a zpracovatel reagují na výkon práv ze strany orgánu dozoru podle čl. 53 odst.
2 tak, že orgánu dozoru odpoví v rozumné lhůtě jím stanovené. V návaznosti na
připomínky orgánu dozoru popíší v odpovědi přijatá opatření a dosažené
výsledky.
|
|
SECTION 2
SÉCURITÉ DES DONNÉES
|
ODDÍL 2
BEZPEČNOST ÚDAJŮ
|
|
Article 30
Sécurité des traitements
|
Článek 30
Bezpečnost zpracovávání
|
|
1. Le responsable du traitement et le sous‑traitant
mettent en œuvre les mesures techniques et organisationnelles appropriées afin
de garantir, compte étant tenu des techniques les plus récentes et des coûts
liés à leur mise en œuvre, un niveau de sécurité adapté aux risques présentés
par le traitement et à la nature des données à caractère personnel à protéger.
|
1. S ohledem na stav techniky a
náklady provedení přijmou správce a zpracovatel vhodná technická a organizační
opatření, aby zajistili úroveň bezpečnosti, která bude odpovídat rizikům
vyplývajícím ze zpracování a z povahy osobních údajů, jež mají být chráněny.
|
|
2. À la suite d'une évaluation des risques, le
responsable du traitement et le sous‑traitant prennent les mesures prévues au
paragraphe 1 pour protéger les données à caractère personnel contre la
destruction accidentelle ou illicite et la perte accidentelle et pour empêcher
toute forme illicite de traitement, notamment la divulgation, la diffusion ou
l'accès non autorisés, ou l'altération de données à caractère personnel.
|
2. Správce a zpracovatel přijmou
po vyhodnocení rizik opatření podle odstavce 1, aby ochránili osobní údaje před
náhodným či nepovoleným zničením nebo před náhodnou ztrátou a aby předešli
jakýmkoli nepovoleným formám zpracování, zejména nedovolenému sdělování či
šíření osobních údajů, přístupu k nim nebo jejich pozměnění.
|
|
3. La Commission est habilitée à adopter des
actes délégués en conformité avec l’article 86, aux fins de préciser
davantage les critères et exigences applicables aux mesures techniques et
d'organisation visées aux paragraphes 1 et 2, y compris le point de savoir
quelles sont les techniques les plus modernes, pour des secteurs spécifiques et
dans des cas spécifiques de traitement de données, notamment compte tenu de
l'évolution des techniques et des solutions de protection des données dès la
conception ainsi que par défaut, sauf si le paragraphe 4 s'applique.
|
3. Komise je zmocněna přijímat
akty v přenesené pravomoci v souladu s článkem 86 za účelem dalšího vymezení
kritérií a požadavků, pokud jde o technická a organizační opatření uvedená v
odstavcích 1 a 2, včetně určení toho, co se pro konkrétní odvětví a v
konkrétních situacích, kdy se zpracovávají údaje, rozumí stavem techniky,
přičemž zohlední vývoj technologií a metod standardního nastavení ochrany údajů
a ochrany soukromí již od návrhu, s výjimkou případů, kdy se použije odstavec
4.
|
|
4. La Commission peut adopter, le cas échéant,
des actes d'exécution afin de préciser les exigences prévues aux paragraphes 1
et 2 dans diverses situations, en particulier en vue:
|
4. Komise může v případě potřeby
přijmout prováděcí akty, aby vymezila požadavky stanovené v odstavcích 1 a 2 ve
vztahu k několika situacím, konkrétně aby:
|
|
a) d’empêcher tout accès non autorisé à des données à
caractère personnel;
|
a) předešla nedovolenému přístupu k osobním
údajům;
|
|
b) d'empêcher toute forme non autorisée de divulgation, de
lecture, de copie, de modification, d'effacement ou de suppression de données à
caractère personnel;
|
b) předešla nedovolenému sdělování, čtení,
kopírování, upravování, výmazu či odstranění osobních údajů;
|
|
c) d'assurer la vérification de la licéité des
traitements.
|
c) zajistila ověření zákonnosti zpracování.
|
|
Ces actes d'exécution sont adoptés conformément à la procédure
d'examen prévue à l'article 87, paragraphe 2.
|
Tyto prováděcí akty se přijímají v souladu s
přezkumným postupem podle čl. 87 odst. 2.
|
|
Article 31
Notification à l'autorité de contrôle d'une
violation de données à caractère personnel
|
Článek 31
Ohlašování případů narušení bezpečnosti
osobních údajů orgánu dozoru
|
|
1. En cas de violation de données à caractère
personnel, le responsable du traitement en adresse notification à l'autorité de
contrôle sans retard injustifié et, si possible, 24 heures au plus tard
après en avoir pris connaissance. Lorsqu'elle a lieu après ce délai de
24 heures, la notification comporte une justification à cet égard.
|
1. Dojde-li k narušení
bezpečnosti osobních údajů, správce jej ohlásí orgánu dozoru, a to bez
zbytečného odkladu, a je-li to možné, nejpozději do 24 hodin od chvíle, kdy
toto narušení zjistil. Pokud není případ ohlášen orgánu dozoru do 24 hodin, k
ohlášení je třeba připojit odůvodnění.
|
|
2. En vertu de l’article 26, paragraphe 2,
point f), le sous‑traitant alerte et informe le responsable du traitement
immédiatement après avoir constaté la violation de données à caractère
personnel.
|
2. Podle čl. 26 odst. 2 písm. f)
je zpracovatel povinen informovat správce o narušení bezpečnosti osobních údajů
okamžitě poté, co je narušení zjištěno, a na tuto skutečnost jej upozornit.
|
|
3. La notification visée au paragraphe 1
doit, à tout le moins:
|
3. V ohlášení podle odstavce 1
musí být přinejmenším:
|
|
a) décrire la nature de la violation de données à
caractère personnel, y compris les catégories et le nombre de personnes
concernées par la violation et les catégories et le nombre d’enregistrements de
données concernés;
|
a) popsána povaha daného případu narušení
bezpečnosti osobních údajů, včetně kategorií a počtu dotčených subjektů údajů a
kategorií a množství dotčených záznamů;
|
|
b) communiquer l’identité et les coordonnées du délégué à
la protection des données ou d'un autre point de contact auprès duquel des
informations supplémentaires peuvent être obtenues;
|
b) sdělena totožnost a kontaktní údaje
inspektora ochrany údajů nebo jiného kontaktního subjektu, který může
poskytnout bližší informace;
|
|
c) recommander des mesures à prendre pour atténuer les
éventuelles conséquences négatives de la violation de données à caractère
personnel;
|
c) doporučena opatření ke zmírnění
nežádoucích účinků, které by dané narušení bezpečnosti osobních údajů mohlo
mít;
|
|
d) décrire les conséquences de la violation de données à
caractère personnel;
|
d) popsány důsledky narušení bezpečnosti
osobních údajů;
|
|
e) décrire les mesures proposées ou prises par le
responsable du traitement pour remédier à la violation de données à caractère
personnel.
|
e) popsána opatření, která správce navrhl
nebo přijal k řešení daného narušení.
|
|
4. Le responsable du traitement conserve une
trace documentaire de toute violation de données à caractère personnel, en
indiquant son contexte, ses effets et les mesures prises pour y remédier. La
documentation constituée doit permettre à l'autorité de contrôle de vérifier le
respect des dispositions du présent article. Elle comporte uniquement les
informations nécessaires à cette fin.
|
4. Veškeré případy narušení
bezpečnosti osobních údajů správce zdokumentuje, přičemž zaznamená příslušné
okolnosti, účinky daného narušení a kroky podniknuté pro jeho nápravu. Dokumentace
musí orgánu dozoru umožňovat ověření souladu s tímto článkem. Dokumentace
obsahuje pouze ty informace, které jsou k tomuto účelu nutné.
|
|
5. La Commission est habilitée à adopter des
actes délégués en conformité avec l’article 86, aux fins de préciser davantage
les critères et exigences applicables à l’établissement de la violation de
données visée aux paragraphes 1 et 2 et concernant les circonstances
particulières dans lesquelles un responsable du traitement et un sous-traitant
sont tenus de notifier la violation de données à caractère personnel.
|
5. Komise je zmocněna přijímat
akty v přenesené pravomoci v souladu s článkem 86 za účelem dalšího vymezení kritérií
a požadavků, pokud jde o zjišťování případů narušení bezpečnosti osobních údajů
podle odstavců 1 a 2 a o konkrétní okolnosti, za nichž jsou správce a
zpracovatel povinni narušení ohlašovat.
|
|
6. La Commission peut définir la forme
normalisée de cette notification à l'autorité de contrôle, les procédures
applicables à l’obligation de notification ainsi que le formulaire type et les
modalités selon lesquelles est constituée la documentation visée au paragraphe 4,
y compris les délais impartis pour l’effacement des informations qui y
figurent. Les actes d'exécution correspondants sont adoptés conformément à la
procédure d'examen prévue à l'article 87, paragraphe 2.
|
6. Komise může stanovit
standardní formát pro hlášení orgánu dozoru, může stanovit postupy pro
ohlašovací povinnost a formu a způsoby dokumentace uvedené v odstavci 4 včetně
lhůt pro výmaz informací v ní obsažených. Tyto prováděcí akty se přijímají v
souladu s přezkumným postupem podle čl. 87 odst. 2.
|
|
Article 32
Communication à la personne concernée d'une
violation de données à caractère personnel
|
Článek 32
Oznamování případů narušení bezpečnosti
osobních údajů subjektům údajů
|
|
1. Lorsque la violation de données à caractère
personnel est susceptible de porter atteinte à la protection des données à
caractère personnel ou à la vie privée de la personne concernée, le responsable
du traitement, après avoir procédé à la notification prévue à l'article 31,
communique la violation sans retard indu à la personne concernée.
|
1. Jestliže je pravděpodobné, že
narušení bezpečnosti osobních údajů se nepříznivě dotkne ochrany osobních údajů
nebo soukromí subjektu údajů, správce po ohlášení uvedeném v článku 31 oznámí
případ narušení bez zbytečného odkladu dotčenému subjektu údajů.
|
|
2. La communication à la personne concernée
prévue au paragraphe 1 décrit la nature de la violation des données à caractère
personnel et contient au moins les informations et recommandations prévues à
l’article 31, paragraphe 3, points b) et c).
|
2. V oznámení subjektu údajů
podle odstavce 1 se popíše povaha narušení bezpečnosti osobních údajů a uvedou
se v něm přinejmenším informace a doporučení podle čl. 31 odst. 3 písm. b) a c)
.
|
|
3. La communication à la personne concernée
d'une violation de ses données à caractère personnel n'est pas nécessaire si le
responsable du traitement prouve, à la satisfaction de l’autorité de contrôle,
qu'il a mis en œuvre les mesures de protection technologiques appropriées et
que ces dernières ont été appliquées aux données concernées par ladite
violation. De telles mesures de protection technologiques doivent rendre les
données incompréhensibles à toute personne qui n'est pas autorisée à y avoir
accès.
|
3. Oznámení o narušení
bezpečnosti osobních údajů dotčenému subjektu údajů není nutné, pokud správce
ke spokojenosti orgánu dozoru prokáže, že zavedl náležitá technická ochranná
opatření a že tato opatření byla použita u údajů, jejichž bezpečnost byla
narušena. Tato technická ochranná opatření zajistí, že dotčené údaje nebudou
srozumitelné pro nikoho, kdo není oprávněn k nim přistupovat.
|
|
4. Sans préjudice de l’obligation du
responsable du traitement de communiquer à la personne concernée la violation
de ses données à caractère personnel, si le responsable du traitement n'a pas
déjà averti la personne concernée de la violation de ses données à caractère
personnel, l'autorité de contrôle peut, après avoir examiné les effets
potentiellement négatifs de cette violation, exiger du responsable du
traitement qu'il s'exécute.
|
4. Aniž by byla dotčena
povinnost správce oznamovat narušení bezpečnosti osobních údajů dotčeným
subjektům údajů, jestliže již správce narušení bezpečnosti osobních údajů
dotčenému subjektu údajů neoznámil, takové oznámení od něho může po zvážení
pravděpodobných nežádoucích účinků narušení požadovat orgán dozoru.
|
|
5. La Commission est habilitée à adopter des
actes délégués en conformité avec l’article 86, aux fins de préciser
davantage les critères et exigences concernant les circonstances, visées au paragraphe 1,
dans lesquelles une violation de données à caractère personnel est susceptible
de porter atteinte aux données à caractère personnel.
|
5. Komise je zmocněna přijímat
akty v přenesené pravomoci v souladu s článkem 86 za účelem dalšího vymezení
kritérií a požadavků, pokud jde o okolnosti, za jakých se narušení bezpečnosti
osobních údajů pravděpodobně nepříznivě dotkne osobních údajů, jak je uvedeno v
odstavci 1.
|
|
6. La Commission peut définir la forme de la
communication à la personne concernée prévue au paragraphe 1 et les
procédures applicables à cette communication. Les actes d'exécution
correspondants sont adoptés conformément à la procédure d'examen prévue à
l'article 87, paragraphe 2.
|
6. Pro oznámení subjektům údajů uvedená
odstavci 1 může Komise stanovit formát a příslušné postupy. Tyto prováděcí akty
se přijímají v souladu s přezkumným postupem podle čl. 87 odst. 2.
|
|
SECTION 3
ANALYSE D'IMPACT RELATIVE À LA PROTECTION DES DONNÉES ET AUTORISATION PRÉALABLE
|
ODDÍL 3
POSUZOVÁNÍ DOPADU NA OCHRANU ÚDAJŮ A PŘEDCHOZÍ POVOLENÍ
|
|
Article 33
Analyse d’impact relative à la protection des données
|
Článek 33
Posuzování dopadu na ochranu údajů
|
|
1. Lorsque les traitements présentent des
risques particuliers au regard des droits et libertés des personnes concernées
du fait de leur nature, de leur portée ou de leurs finalités, le responsable du
traitement ou le sous‑traitant agissant pour le compte du responsable du
traitement effectuent une analyse de l'impact des traitements envisagés sur la
protection des données à caractère personnel.
|
1. Jestliže je zpracování údajů
kvůli své povaze, rozsahu nebo účelu spojeno s pravděpodobnými specifickými
riziky z hlediska práv a svobod subjektů údajů, správce nebo zpracovatel
jednající jeho jménem posoudí dopad plánovaného zpracování na ochranu osobních
údajů.
|
|
2. Les traitements présentant les risques
particuliers visés au paragraphe 1 sont notamment les suivants:
|
2. Specifická rizika uvedená v
odstavci 1 jsou spojena zejména s těmito zpracováními:
|
|
a) l'évaluation systématique et à grande échelle des
aspects personnels propres à une personne physique ou visant à analyser ou à
prévoir, en particulier, la situation économique de ladite personne physique,
sa localisation, son état de santé, ses préférences personnelles, sa fiabilité
ou son comportement, qui est fondée sur un traitement automatisé et sur la base
de laquelle sont prises des mesures produisant des effets juridiques concernant
ou affectant de manière significative ladite personne;
|
a) se systematickým a rozsáhlým
vyhodnocováním osobních aspektů fyzických osob nebo s rozborem či předpovídáním
zejména ekonomické situace, lokalizace, zdraví, osobních preferencí,
spolehlivosti či chování těchto fyzických osob, jestliže je zpracování údajů
automatizované a zakládají se na něm opatření, která vyvolají ve vztahu k daným
jednotlivcům právní účinky nebo která se těchto jednotlivců významným způsobem
dotknou;
|
|
b) le traitement d'informations relatives à la vie
sexuelle, à la santé, à l'origine raciale et ethnique ou destinées à la
fourniture de soins de santé, à des recherches épidémiologiques ou à des études
relatives à des maladies mentales ou infectieuses, lorsque les données sont
traitées aux fins de l'adoption de mesures ou de décisions à grande échelle
visant des personnes précises;
|
b) se zpracováváním údajů o sexuálním
životě, zdravotním stavu, rase a etnickém původu nebo údajů pro poskytování
zdravotní péče, údajů souvisejících s epidemiologickým výzkumem či s průzkumy o
duševních nebo infekčních nemocech, jestliže se tyto údaje zpracovávají ve
velkém měřítku za účelem přijetí opatření či rozhodnutí týkajících se
konkrétních jednotlivců;
|
|
c) la surveillance de zones accessibles au public, en
particulier lorsque des dispositifs opto‑électroniques (vidéosurveillance) sont
utilisés à grande échelle;
|
c) se sledováním veřejně přístupných
prostorů, především pokud se k němu ve velké míře používá optických
elektronických přístrojů (videokamer);
|
|
d) le traitement de données à caractère personnel dans des
fichiers informatisés de grande ampleur concernant des enfants, ou le
traitement de données génétiques ou biométriques;
|
d) se zpracováváním osobních údajů o dětech
a genetických a biometrických údajů z objemných evidencí;
|
|
e) les autres traitements pour lesquels la consultation de
l'autorité de contrôle est requise en application à l'article 34,
paragraphe 2, point b).
|
e) s jinými zpracováními, u nichž se podle
čl. 34 odst. 2 písm. b) vyžaduje konzultace orgánu dozoru.
|
|
3. L'analyse contient au moins une description
générale des traitements envisagés, une évaluation des risques pour les droits
et libertés des personnes concernées, les mesures envisagées pour faire face
aux risques, les garanties, mesures de sécurité et mécanismes visant à assurer
la protection des données à caractère personnel et à apporter la preuve de la
conformité avec le présent règlement, en tenant compte des droits et intérêts
légitimes des personnes concernées par les données et des autres personnes
touchées.
|
3. V posouzení jsou obsaženy alespoň
obecný popis plánovaného zpracování, posouzení rizik z hlediska práv a svobod
subjektů údajů, plánovaná opatření k řešení těchto rizik, záruky, bezpečnostní
opatření a mechanismy k zajištění ochrany osobních údajů a k prokázání souladu
s tímto nařízením, a to s přihlédnutím k právům a oprávněným zájmům subjektů
údajů a dalších dotčených osob.
|
|
4. Le responsable du traitement demande l'avis
des personnes concernées ou de leurs représentants au sujet du traitement
prévu, sans préjudice de la protection des intérêts généraux ou commerciaux ni de
la sécurité des traitements.
|
4. Správce zjistí, jak se k
zamýšlenému zpracování staví subjekty údajů nebo jejich zástupci, aniž by byla
dotčena ochrana obchodních či veřejných zájmů nebo bezpečnost zpracování.
|
|
5. Lorsque le responsable du traitement est
une autorité ou un organisme publics, et lorsque le traitement est effectué en
exécution d'une obligation légale conforme à l'article 6,
paragraphe 1, point c), prévoyant des règles et des procédures
relatives aux traitements et réglementées par le droit de l'Union, les
paragraphes 1 à 4 ne s'appliquent pas, sauf si les États membres estiment
qu'une telle analyse est nécessaire avant le traitement.
|
5. Pokud je správce orgánem
veřejné moci či veřejnoprávním subjektem a pokud se zpracování zakládá na
právní povinnosti podle čl. 6 odst. 1 písm. c), která pro tato zpracování
stanoví pravidla a postupy a která je upravena právem Unie, nepoužijí se
odstavce 1 až 4 s výjimkou případů, kdy členské státy považují vypracování
takového posouzení před zpracováním údajů za nutné.
|
|
6. La Commission est habilitée à adopter des
actes délégués en conformité avec l’article 86, aux fins de préciser
davantage les critères et conditions applicables aux traitements susceptibles
de présenter les risques particuliers visés aux paragraphes 1 et 2, ainsi que
les exigences applicables à l’analyse prévue au paragraphe 3, y compris les
conditions de modularité, de vérification et d'auditabilité. Ce faisant, la Commission
envisage des mesures spécifiques pour les micro, petites et moyennes
entreprises.
|
6. Komise je zmocněna přijímat
akty v přenesené pravomoci v souladu s článkem 86 za účelem dalšího vymezení
kritérií a podmínek, pokud jde o zpracování, jež by pravděpodobně mohla vyvolat
specifická rizika uvedená v odstavcích 1 a 2, a za účelem vymezení požadavků na
posouzení zmíněná v odstavci 3 včetně podmínek v podobě škálovatelnosti,
ověřování a auditovatelnosti. Komise přitom zváží zvláštní opatření, zejména
pro správce, kteří jsou malými podniky, středními podniky a mikropodniky.
|
|
7. La Commission peut définir des normes et
procédures pour la réalisation, la vérification et l’audit de l'analyse visée
au paragraphe 3. Les actes d'exécution correspondants sont adoptés
conformément à la procédure d'examen prévue à l'article 87,
paragraphe 2.
|
7. Komise může pro přípravu
posouzení podle odstavce 3 a pro jeho ověřování a audit určit normy a postupy.
Tyto prováděcí akty se přijímají v souladu s přezkumným postupem podle
čl. 87 odst. 2.
|
|
Article 34
Autorisation et consultation préalables
|
Článek 34
Předchozí povolení a předchozí konzultace
|
|
1. Le responsable du traitement ou le
sous-traitant, selon le cas, obtiennent une autorisation de l'autorité de
contrôle avant le traitement de données à caractère personnel afin de garantir
la conformité du traitement prévu avec le présent règlement et, notamment,
d'atténuer les risques pour les personnes concernées lorsqu'un responsable du
traitement ou un sous‑traitant adoptent des clauses contractuelles telles que
celles prévues à l'article 42, paragraphe 2, point d), ou
n'offrent pas les garanties appropriées dans un instrument juridiquement
contraignant tel que visé à l'article 42, paragraphe 5, régissant le
transfert de données à caractère personnel vers un pays tiers ou à une
organisation internationale.
|
1. Správce nebo zpracovatel musí
před zpracováním osobních údajů získat povolení orgánu dozoru, aby se zajistil
soulad zamýšleného zpracování s tímto nařízením, a zejména aby se omezila
související rizika pro subjekty údajů, pokud správce nebo zpracovatel přijme
smluvní doložky podle čl. 42 odst. 2 písm. d) nebo nestanoví vhodné záruky v
právně závazném nástroji, jak je uvedeno v čl. 42 odst. 5, v souvislosti s
předáváním osobních údajů do třetí země nebo mezinárodní organizaci.
|
|
2. Le responsable du traitement ou le
sous-traitant agissant au nom du responsable du traitement consultent
l'autorité de contrôle avant le traitement de données à caractère personnel
afin de garantir la conformité du traitement prévu avec le présent règlement
et, notamment, d'atténuer les risques pour les personnes concernées:
|
2. Správce nebo zpracovatel
jednající jeho jménem musí před zpracováním osobních údajů konzultovat orgán
dozoru, aby se zajistil soulad zamýšleného zpracování s tímto nařízením, a
zejména aby se omezila rizika pro subjekty údajů, pokud:
|
|
a) lorsqu'une analyse d’impact relative à la protection
des données telle que prévue à l’article 33 indique que les traitements sont,
du fait de leur nature, de leur portée ou de leurs finalités, susceptibles de
présenter un degré élevé de risques particuliers; ou
|
a) posouzení dopadu na ochranu údajů, jak je
stanoveno v článku 33, nasvědčuje tomu, že zpracování bude kvůli své povaze,
rozsahu nebo účelu spojeno s vysokou mírou pravděpodobných specifických rizik,
nebo
|
|
b) lorsque l'autorité de contrôle estime nécessaire de
procéder à une consultation préalable au sujet de traitements susceptibles de
présenter des risques particuliers au regard des droits et libertés des
personnes concernées, du fait de leur nature, de leur portée et/ou de leurs
finalités, ces traitements étant précisés conformément au paragraphe 4.
|
b) orgán dozoru považuje za nutné předchozí
konzultace o zpracováních, která jsou kvůli své povaze, rozsahu a/nebo účelu
pravděpodobně spojena se specifickými riziky z hlediska práv a svobod subjektů
údajů a která jsou vymezena podle odstavce 4.
|
|
3. Lorsque l'autorité de contrôle est d'avis
que le traitement prévu n'est pas conforme au présent règlement, en particulier
lorsque les risques ne sont pas suffisamment identifiés ou atténués, elle
interdit le traitement prévu et formule des propositions appropriées afin de
remédier à cette non‑conformité.
|
3. Pokud se orgán dozoru
domnívá, že zamýšlené zpracování není v souladu s tímto nařízením, zejména
pokud nejsou dostatečně určena či omezena rizika, zamýšlené zpracování zakáže a
připraví příslušné návrhy na nápravu takového nesouladu.
|
|
4. L'autorité de contrôle établit et publie
une liste des traitements devant faire l’objet d’une consultation préalable au
titre du paragraphe 2, point b). L'autorité de contrôle communique cette
liste au comité européen de la protection des données.
|
4. Orgán dozoru sepíše a
zveřejní seznam zpracování, na která se vztahuje předchozí konzultace podle
odst. 2 písm. b). Tyto seznamy sdělí orgán dozoru Evropské radě pro ochranu
údajů.
|
|
5. Si la liste prévue au paragraphe 4
comprend des traitements liés à l'offre de biens ou de services à des personnes
concernées dans plusieurs États membres ou liés à l'observation de leur
comportement, ou susceptibles d'affecter sensiblement la libre circulation des
données à caractère personnel au sein de l’Union, l’autorité de contrôle
applique le mécanisme de contrôle de la cohérence prévu à l'article 57
avant d’adopter la liste.
|
5. Jestliže jsou na seznamu
stanoveném v odstavci 4 uvedena zpracování související s nabídkou zboží či
služeb subjektům údajů v několika členských státech nebo se sledováním jejich
chování nebo jestliže seznam může výrazně ovlivnit volný pohyb osobních údajů v
rámci Unie, orgán dozoru před přijetím tohoto seznamu použije mechanismus jednotnosti
uvedený v článku 57.
|
|
6. Le responsable du traitement ou le sous‑traitant
fournissent à l'autorité de contrôle l'analyse d'impact relative à la
protection des données prévue à l’article 33 et, sur demande, toute autre
information afin de permettre à l'autorité de contrôle d'apprécier la
conformité du traitement et, en particulier, les risques pour la protection des
données à caractère personnel de la personne concernée et les garanties qui s'y
rapportent.
|
6. Správce nebo zpracovatel
poskytnou orgánu dozoru posouzení dopadu na ochranu údajů uvedené v článku 33 a
na požádání jakékoliv další informace, jež orgánu dozoru umožní posoudit soulad
zpracování s tímto nařízením a zejména pak posoudit rizika z hlediska ochrany
osobních údajů pro subjekty údajů a související záruky.
|
|
7. Les États membres consultent l'autorité de
contrôle dans le cadre de l'élaboration d'une mesure législative devant être
adoptée par le parlement national ou d'une mesure fondée sur une telle mesure
législative, qui définisse la nature du traitement, en vue d’assurer la
conformité du traitement prévu avec le présent règlement et, en particulier,
d'atténuer les risques pour les personnes concernées.
|
7. Členské státy konzultují
orgán dozoru při přípravě legislativního opatření přijímaného vnitrostátním
parlamentem – nebo opatření založeného na takovémto legislativním opatření –,
které definuje povahu zpracování, aby se zajistil soulad zamýšleného zpracování
s tímto nařízením, a zejména pak aby se omezila rizika pro subjekty údajů.
|
|
8. La Commission est habilitée à adopter des
actes délégués en conformité avec l’article 86, aux fins de préciser
davantage les critères et exigences applicables à la détermination du niveau
élevé de risque particulier visé au paragraphe 2, point a).
|
8. Komise je zmocněna přijímat
akty v přenesené pravomoci v souladu s článkem 86 za účelem dalšího vymezení
kritérií a požadavků, pokud jde o určování vysoké míry specifického rizika
uvedené v odst. 2 písm. a).
|
|
9. La Commission peut élaborer des formulaires
et procédures types pour les autorisations et consultations préalables visées
aux paragraphes 1 et 2, ainsi que des formulaires et procédures types pour
l'information des autorités de contrôle au titre du paragraphe 6. Les actes
d'exécution correspondants sont adoptés conformément à la procédure d'examen
prévue à l'article 87, paragraphe 2.
|
9. Komise může stanovit
standardní formuláře a postupy pro předchozí povolení a konzultace uvedené v
odstavcích 1 a 2 a standardní formuláře a postupy pro informování orgánů dozoru
podle odstavce 6. Tyto prováděcí akty se přijímají v souladu s přezkumným
postupem podle čl. 87 odst. 2.
|
|
SECTION 4
DÉLÉGUÉ À LA PROTECTION DES DONNÉES
|
ODDÍL 4
INSPEKTOR OCHRANY ÚDAJŮ
|
|
Article 35
Désignation du délégué à la protection des données
|
Článek 35
Jmenování inspektora ochrany údajů
|
|
1. Le responsable du traitement et le
sous-traitant désignent systématiquement un délégué à la protection des données
lorsque:
|
1. Správce a zpracovatel jmenují
inspektora ochrany údajů v každém případě, kdy:
|
|
a) le traitement est effectué par une autorité ou un
organisme publics; ou
|
a) zpracování provádí orgán veřejné moci či
veřejnoprávní subjekt nebo
|
|
b) le traitement est effectué par une entreprise employant
250 personnes ou plus; ou
|
b) zpracování provádí podnik zaměstnávající
250 či více osob nebo
|
|
c) les activités de base du responsable du traitement ou
du sous-traitant consistent en des traitements qui, du fait de leur nature, de
leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique
des personnes concernées.
|
c) hlavní činnost správce nebo zpracovatele
spočívá ve zpracovávání údajů, která kvůli své povaze, rozsahu a/nebo účelu
vyžadují pravidelné a systematické sledování subjektů údajů.
|
|
2. Dans le cas visé au paragraphe 1,
point b), un groupe d'entreprises peut désigner un délégué à la protection
des données unique.
|
2. V případě uvedeném v odst. 1
písm. b) může skupina podniků jmenovat jediného inspektora ochrany údajů.
|
|
3. Lorsque le responsable du traitement ou le
sous‑traitant est une autorité ou un organisme publics, le délégué à la
protection des données peut être désigné pour plusieurs de ses entités, compte
tenu de la structure organisationnelle de l'autorité ou de l'organisme publics.
|
3. Je-li správce nebo
zpracovatel orgánem veřejné moci či veřejnoprávním subjektem, inspektor ochrany
údajů může být s přihlédnutím k organizační struktuře daného orgánu veřejné
moci či veřejnoprávního subjektu jmenován pro několik jeho organizačních
jednotek.
|
|
4. Dans les cas autres que ceux visés au
paragraphe 1, le responsable du traitement ou le sous‑traitant ou les
associations et autres organismes représentant des catégories de responsables
du traitement ou de sous‑traitants peuvent désigner un délégué à la protection
des données.
|
4. V jiných případech, než jaké
jsou uvedeny v odstavci 1, mohou inspektora ochrany údajů jmenovat správce nebo
zpracovatel nebo sdružení a jiné subjekty zastupující kategorie správců či
zpracovatelů.
|
|
5. Le responsable du traitement ou le sous‑traitant
désignent le délégué à la protection des données sur la base de ses qualités
professionnelles et, en particulier, de ses connaissances spécialisées de la
législation et des pratiques en matière de protection des données, et de sa
capacité à accomplir les tâches énumérées à l’article 37. Le niveau de
connaissances spécialisées requis est déterminé notamment en fonction du
traitement des données effectué et de la protection exigée pour les données à caractère
personnel traitées par le responsable du traitement ou le sous‑traitant.
|
5. Správce nebo zpracovatel
jmenují inspektora ochrany údajů na základě profesních kvalit, zejména na
základě jeho odborných znalostí práva a praxe v oblasti ochrany údajů a na
základě jeho schopnosti plnit úkoly stanovené v článku 37. Potřebná úroveň
odborných znalostí se konkrétně určí podle prováděného zpracování údajů a podle
ochrany, která se pro osobní údaje zpracovávané správcem nebo zpracovatelem
požaduje.
|
|
6. Le responsable du traitement ou le sous‑traitant
veillent à ce que d'éventuelles autres fonctions professionnelles du délégué à
la protection des données soient compatibles avec les tâches et fonctions de
cette personne en qualité de délégué à la protection des données et
n'entraînent pas de conflit d'intérêts.
|
6. Správce nebo zpracovatel
zajistí, že jakékoliv jiné profesní povinnosti inspektora ochrany údajů budou
slučitelné s jeho úkoly a povinnostmi coby inspektora a že nebudou vyvolávat
střet zájmů.
|
|
7. Le responsable du traitement ou le
sous-traitant désignent un délégué à la protection des données pour une durée
minimale de deux ans. Le mandat du délégué à la protection des données est
reconductible. Durant son mandat, le délégué à la protection des données ne
peut être démis de ses fonctions que s'il ne remplit plus les conditions
requises pour l'exercice de celles-ci.
|
7. Správce nebo zpracovatel
jmenují inspektora ochrany údajů na minimální období dvou let. Inspektor
ochrany údajů může být opětovně jmenován na další funkční období. Během
funkčního období může být inspektor ochrany údajů odvolán z funkce pouze tehdy,
pokud přestal splňovat podmínky požadované pro výkon jeho povinností.
|
|
8. Le délégué à la protection des données peut
être un salarié du responsable du traitement ou du sous‑traitant, ou accomplir
ses tâches sur la base d'un contrat de service.
|
8. Inspektor ochrany údajů může
být zaměstnancem správce či zpracovatele nebo může své úkoly plnit na základě
smlouvy o službách.
|
|
9. Le responsable du traitement ou le
sous-traitant communiquent le nom et les coordonnées du délégué à la protection
des données à l’autorité de contrôle et au public.
|
9. Správce nebo zpracovatel
oznámí jméno a kontaktní údaje inspektora ochrany údajů orgánu dozoru a
veřejnosti.
|
|
10. Les personnes concernées ont le droit de
prendre contact avec le délégué à la protection des données au sujet de toutes
questions relatives au traitement de données les concernant et de demander à
exercer les droits que leur confère le présent règlement.
|
10. Subjekty údajů mají právo
obracet se na inspektora ochrany údajů ve všech záležitostech souvisejících se
zpracováváním jejich údajů a požadovat výkon práv podle tohoto nařízení.
|
|
11. La Commission est habilitée à adopter des
actes délégués en conformité avec l’article 86, aux fins de préciser
davantage les critères et exigences applicables aux activités de base du
responsable du traitement ou du sous-traitant, visées au paragraphe 1,
point c), ainsi que les critères applicables aux qualités professionnelles du
délégué à la protection des données visées au paragraphe 5.
|
11. Komise je zmocněna přijímat
akty v přenesené pravomoci v souladu s článkem 86 za účelem dalšího vymezení
kritérií a požadavků, pokud jde o hlavní činnosti správce nebo zpracovatele
uvedené v odst. 1 písm. c), a za účelem dalšího vymezení kritérií pro profesní
kvality inspektora ochrany údajů uvedené v odst. 5.
|
|
Article 36
Fonction du délégué à la protection des données
|
Článek 36
Postavení inspektora ochrany údajů
|
|
1. Le responsable du traitement ou le
sous-traitant veillent à ce que le délégué à la protection des données soit
associé d'une manière appropriée et en temps utile à toutes les questions
relatives à la protection des données à caractère personnel.
|
1. Správce nebo zpracovatel
zajistí, aby byl inspektor ochrany údajů náležitě a včas zapojen do veškerých
záležitostí souvisejících s ochranou osobních údajů.
|
|
2. Le responsable du traitement ou le
sous-traitant veillent à ce que le délégué à la protection des données
accomplisse ses missions et obligations en toute indépendance et ne reçoive
aucune instruction en ce qui concerne l'exercice de sa fonction. Le délégué à
la protection des données fait directement rapport à la direction du
responsable du traitement ou du sous-traitant.
|
2. Správce nebo zpracovatel
zajistí, aby inspektor ochrany údajů plnil své povinnosti a úkoly nezávisle a
nepřijímal žádné pokyny k výkonu své funkce. Inspektor ochrany údajů je přímo
podřízen vedení správce nebo zpracovatele.
|
|
3. Le responsable du traitement ou le
sous-traitant aident le délégué à la protection des données à exercer ses
missions et fournissent le personnel, les locaux, les équipements et toutes
autres ressources nécessaires à l'exécution des missions et obligations
énoncées à l’article 37.
|
3. Správce nebo zpracovatel jsou
inspektorovi ochrany údajů při plnění jeho úkolů nápomocni a poskytují mu
personál, prostory, vybavení a jakékoliv další zdroje potřebné k výkonu
povinností a úkolů uvedených v článku 37.
|
|
Article 37
Missions du délégué à la protection des données
|
Článek 37
Úkoly inspektora ochrany údajů
|
|
1. Le responsable du traitement ou le
sous-traitant confient au délégué à la protection des données au moins les
missions suivantes:
|
1. Správce nebo zpracovatel
svěří inspektorovi ochrany údajů alespoň tyto úkoly:
|
|
a) informer et conseiller le responsable du traitement ou
le sous-traitant sur les obligations qui leur incombent en vertu du présent
règlement et conserver une trace documentaire de cette activité et des réponses
reçues;
|
a) informovat správce nebo zpracovatele a
udílet jim rady, pokud jde o jejich povinnosti plynoucí z tohoto nařízení, a
vést dokumentaci o této činnosti a obdržených odpovědích;
|
|
b) contrôler la mise en œuvre et l'application des règles
internes du responsable du traitement ou du sous‑traitant en matière de
protection des données à caractère personnel, y compris la répartition des
responsabilités, la formation du personnel participant aux traitements, et les
audits s'y rapportant;
|
b) sledovat provádění a uplatňování politik
správce nebo zpracovatele souvisejících s ochranou osobních údajů včetně
svěřování odpovědnosti, školení pracovníků zapojených do zpracovávání a
souvisejících auditů;
|
|
c) contrôler la mise en œuvre et l'application du présent
règlement, notamment en ce qui concerne les exigences relatives à la protection
des données dès la conception, à la protection des données par défaut et à la
sécurité des données, ainsi que l'information des personnes concernées et
l’examen des demandes présentées dans l'exercice de leurs droits au titre du
présent règlement;
|
c) sledovat provádění a uplatňování tohoto
nařízení, zejména požadavků týkajících se ochrany údajů již od návrhu,
standardního nastavení ochrany údajů a bezpečnosti údajů a požadavků týkajících
se informovanosti subjektů údajů a jejich žádostí o výkon jejich práv podle
tohoto nařízení;
|
|
d) veiller à ce que la documentation visée à l’article 28
soit tenue à jour;
|
d) zajišťovat, aby se vedla dokumentace
uvedená v článku 28;
|
|
e) contrôler la documentation, la notification et la
communication, prévues aux articles 31 et 32, et relatives aux violations
de données à caractère personnel ;
|
e) sledovat dokumentaci a ohlašování a
oznamování případů narušení bezpečnosti osobních údajů podle článků 31 a 32;
|
|
f) vérifier que le responsable du traitement ou le sous‑traitant
a réalisé l’analyse d’impact relative à la protection des données, et que les
demandes d'autorisation ou de consultation préalables ont été introduites, si
elles sont requises au titre des articles 33 et 34;
|
f) sledovat, zda správce nebo zpracovatel
vypracovávají posouzení dopadu na ochranu údajů a žádají o předchozí povolení
nebo předchozí konzultaci, jsou-li těmito úkony povinováni podle článků 33 a
34;
|
|
g) vérifier qu'il a été répondu aux demandes de l’autorité
de contrôle et, dans le domaine de compétence du délégué à la protection des
données, coopérer avec l’autorité de contrôle, à la demande de celle-ci ou à
l'initiative du délégué à la protection des données;
|
g) sledovat reakce na žádosti orgánu dozoru
a v mezích svých pravomocí inspektora ochrany údajů spolupracovat s orgánem
dozoru, pokud o to požádá, nebo pokud k tomu dá podnět inspektor ochrany údajů;
|
|
h) faire office de point de contact pour l'autorité de
contrôle sur les questions liées au traitement, et consulter celle-ci, le cas
échéant, de sa propre initiative.
|
h) působit jako kontaktní osoba pro orgán
dozoru v záležitostech souvisejících se zpracováváním, a je-li záhodno, vést s
orgánem dozoru konzultace z vlastní iniciativy.
|
|
2. La Commission est habilitée à adopter des
actes délégués en conformité avec l’article 86, aux fins de préciser
davantage les critères et exigences applicables aux missions, à la
certification, au statut, aux prérogatives et aux ressources du délégué à la
protection des données au sens du paragraphe 1.
|
2. Komise je zmocněna přijímat
akty v přenesené pravomoci v souladu s článkem 86 za účelem dalšího vymezení
kritérií a požadavků, pokud jde o úkoly, osvědčení, postavení, pravomoci a
zdroje inspektora ochrany údajů podle odstavce 1.
|
|
SECTION 5
CODES DE CONDUITE ET CERTIFICATION
|
ODDÍL 5
KODEXY CHOVÁNÍ A OSVĚDČOVÁNÍ
|
|
Article 38
Codes de conduite
|
Článek 38
Kodexy chování
|
|
1. Les États membres, les autorités de
contrôle et la Commission encouragent l'élaboration de codes de conduite
destinés à contribuer, en fonction de la spécificité des différents secteurs de
traitement de données, à la bonne application des dispositions du présent
règlement, en ce qui concerne notamment:
|
1. Členské státy, orgány dozoru
a Komise podporují vypracování kodexů chování, které mají přispět k řádnému
uplatňování tohoto nařízení s ohledem na konkrétní povahu různých odvětví
zpracovávajících údaje, zejména pokud jde o:
|
|
a) le traitement loyal et
transparent des données;
|
a) korektnost a
průhlednost při zpracovávání údajů;
|
|
b) la collecte des données;
|
b) sběr údajů;
|
|
c) l'information du public et des
personnes concernées;
|
c) informovanost
veřejnosti a subjektů údajů;
|
|
d) les demandes formulées par les
personnes concernées dans l'exercice de leurs droits;
|
d) žádosti subjektů
údajů v souvislosti s výkonem jejich práv;
|
|
e) l'information et la protection
des enfants;
|
e) informovanost a
ochranu dětí;
|
|
f) le transfert de données vers
des pays tiers ou à des organisations internationales;
|
f) předávání údajů
do třetích zemí nebo mezinárodním organizacím;
|
|
g) les mécanismes de suivi et visant
à assurer le respect des dispositions du code par les responsables du
traitement qui y adhèrent;
|
g) mechanismy
sledující a zajišťující dodržování kodexu ze strany správců, kteří se k němu
hlásí;
|
|
h) les procédures
extrajudiciaires et les autres procédures de règlement des conflits permettant
de résoudre les litiges entre les responsables du traitement et les personnes
concernées relatifs au traitement de données à caractère personnel, sans
préjudice des droits des personnes concernées au titre des articles 73 et
75.
|
h) mimosoudní
vyrovnání a jiné postupy pro řešení sporů mezi správci a subjekty údajů v
souvislosti se zpracováváním osobních údajů, aniž by byla dotčena práva
subjektů údajů podle článků 73 a 75.
|
|
2. Les associations et les autres
organisations représentant des catégories de responsables du traitement ou de
sous‑traitants dans un État membre qui ont l'intention d'élaborer des codes de
conduite ou de modifier des codes de conduite existants ou d'en proroger la
validité peuvent les soumettre à l'examen de l'autorité de contrôle de l'État
membre concerné. L’autorité de contrôle peut rendre un avis sur la conformité,
avec le présent règlement, du projet de code de conduite ou de la modification.
Elle recueille les observations des personnes concernées ou de leurs
représentants sur ces projets.
|
2. Sdružení a jiné subjekty,
které zastupují kategorie správců či zpracovatelů v jednom členském státě a
které hodlají zavést kodexy chování nebo upravit či rozšířit kodexy chování již
zavedené, je v tomto členském státě mohou předložit k posouzení orgánu dozoru.
Orgán dozoru může vydat stanovisko k tomu, zda je daný návrh kodexu chování
nebo jeho úpravy v souladu s tímto nařízením. Orgán dozoru zjistí, jak se k
těmto návrhům staví subjekty údajů nebo jejich zástupci.
|
|
3. Les associations et les autres
organisations représentant des catégories de responsables du traitement dans
plusieurs États membres peuvent soumettre à la Commission des projets de codes
de conduite ainsi que des modifications ou prorogations de codes de conduite
existants.
|
3. Sdružení a jiné subjekty,
které zastupují kategorie správců v několika členských státech, mohou návrhy
nových kodexů chování a návrhy na úpravu či rozšíření stávajících kodexů
předložit Komisi.
|
|
4. La Commission peut adopter des actes
d'exécution afin de constater par voie de décision que les codes de conduite
ainsi que les modifications ou prorogations de codes de conduite existants qui
lui ont été soumis en vertu du paragraphe 3 sont d’applicabilité générale
sur le territoire de l'Union. Les actes
d'exécution correspondants sont adoptés conformément à la procédure d'examen
prévue à l’article 87, paragraphe 2.
|
4. Komise může přijmout
prováděcí akty, aby rozhodla, že nové kodexy chování a úpravy či rozšíření
stávajících kodexů, které jí byly předloženy podle odstavce 3, mají obecnou
platnost v rámci Unie. Tyto prováděcí akty se
přijímají v souladu s přezkumným postupem podle čl. 87 odst. 2.
|
|
5. La Commission assure une publicité
appropriée aux codes dont elle a constaté par voie de décision qu’ils étaient
d’applicabilité générale conformément au paragraphe 4.
|
5. Komise zajistí odpovídající
zviditelnění kodexů, u nichž se rozhodne o obecné platnosti podle odstavce 4.
|
|
Article 39
Certification
|
Článek 39
Osvědčení
|
|
1. Les États membres et la Commission
encouragent, en particulier au niveau européen, la mise en place de mécanismes de
certification en matière de protection des données ainsi que de marques et de
labels en matière de protection des données, qui permettent aux personnes
concernées d'évaluer rapidement le niveau de protection des données offert par
les responsables du traitement et les sous‑traitants. Les mécanismes de
certification en matière de protection des données contribuent à la bonne
application du présent règlement, compte tenu des spécificités des divers
secteurs et des différents traitements.
|
1. Členské státy a Komise
podpoří, zejména na evropské úrovni, zavedení mechanismů pro vydávání osvědčení
o ochraně údajů a zavedení pečetí a známek dokládajících ochranu údajů, aby se
subjektům údajů umožnilo rychle zhodnotit úroveň ochrany údajů, kterou jim
správci a zpracovatelé nabízejí. Mechanismy pro vydávání osvědčení o ochraně
údajů přispějí k řádnému uplatňování tohoto nařízení s přihlédnutím ke
konkrétní povaze různých odvětví a různých zpracování.
|
|
2. La Commission est habilitée à adopter des
actes délégués en conformité avec l’article 86, aux fins de préciser
davantage les critères et exigences applicables aux mécanismes de certification
en matière de protection des données visés au paragraphe 1, y compris les
conditions d'octroi et de révocation, et les exigences en matière de
reconnaissance au sein de l’Union et dans les pays tiers.
|
2. Komise je zmocněna přijímat
akty v přenesené pravomoci v souladu s článkem 86 za účelem dalšího vymezení
kritérií a požadavků, pokud jde o mechanismy pro vydávání osvědčení o ochraně
údajů uvedené v odstavci 1 včetně podmínek pro udělování a odebírání a
požadavků na uznávání v rámci Unie a ve třetích zemích.
|
|
3. La Commission peut fixer des normes
techniques pour les mécanismes de certification, ainsi que des marques et
labels en matière de protection des données, afin de promouvoir et de
reconnaître les mécanismes de certification ainsi que les marques et labels en
matière de protection des données. Les actes
d'exécution correspondants sont adoptés conformément à la procédure d'examen
prévue à l’article 87, paragraphe 2.
|
3. Pro mechanismy osvědčování a
pro pečeti a známky dokládající ochranu údajů může Komise stanovit technické
normy a mechanismy pro propagaci a uznávání. Tyto
prováděcí akty se přijímají v souladu s přezkumným postupem podle čl. 87
odst. 2.
|
|
CHAPITRE V
TRANSFERT DE DONNÉES À CARACTÈRE PERSONNEL VERS DES PAYS TIERS OU À DES
ORGANISATIONS INTERNATIONALES
|
KAPITOLA V
PŘEDÁVÁNÍ OSOBNÍCH ÚDAJŮ DO TŘETÍCH ZEMÍ NEBO MEZINÁRODNÍM ORGANIZACÍM
|
|
Article 40
Principe général des transferts
|
Článek 40
Obecná zásada pro předávání
|
|
Un transfert de données à caractère personnel qui font ou
sont destinées à faire l'objet d'un traitement vers un pays tiers ou à une
organisation internationale ne peut avoir lieu que si, sous réserve des autres
dispositions du présent règlement, les conditions énoncées dans le présent
chapitre sont respectées par le responsable du traitement et le sous‑traitant,
y compris pour les transferts ultérieurs de données à caractère personnel vers
un autre pays tiers ou à une autre organisation internationale.
|
K jakémukoli předání zpracovávaných nebo ke
zpracování zamýšlených osobních údajů po jejich předání do třetí země nebo
mezinárodní organizace může dojít pouze tehdy, splní-li správce a zpracovatel v
závislosti na dalších ustanoveních tohoto nařízení podmínky stanovené v této
kapitole, včetně podmínek pro další předávání osobních údajů z dané třetí země
nebo mezinárodní organizace do jiné třetí země nebo jiné mezinárodní
organizace.
|
|
Article 41
Transferts assortis d’une décision relative au caractère adéquat du niveau
de protection
|
Článek 41
Předávání založené na rozhodnutí o přiměřenosti
|
|
1. Un transfert peut avoir lieu lorsque la
Commission a constaté par voie de décision que le pays tiers, un territoire ou
un secteur de traitement de données dans ce pays tiers, ou l'organisation
internationale en question assure un niveau de protection adéquat. Un tel
transfert ne nécessite pas d'autre autorisation.
|
1. K předání může dojít, pokud
Komise rozhodla, že daná třetí země nebo území či odvětví zpracovávání v dané
třetí zemi nebo daná mezinárodní organizace zaručuje přiměřenou úroveň ochrany.
Takovéto předání nevyžaduje žádné další povolení.
|
|
2. Lorsqu'elle apprécie le caractère adéquat
du niveau de protection, la Commission prend en considération les éléments
suivants:
|
2. Při posuzování toho, zda je
úroveň ochrany přiměřená, přihlíží Komise k následujícím aspektům:
|
|
a) la primauté du droit, la législation pertinente en
vigueur, tant générale que sectorielle, notamment en ce qui concerne la
sécurité publique, la défense, la sécurité nationale et le droit pénal, les
règles professionnelles et les mesures de sécurité qui sont respectées dans le
pays en question ou par l'organisation internationale en question, ainsi que
l'existence de droits effectifs et opposables, y compris un droit de recours
administratif et judiciaire effectif des personnes concernées, notamment celles
ayant leur résidence sur le territoire de l'Union et dont les données à
caractère personnel sont transférées;
|
a) právnímu státu, související platné
legislativě, a to obecné i odvětvové, včetně právních předpisů o veřejné
bezpečnosti, obraně a vnitrostátní bezpečnosti, trestnímu právu; profesním
pravidlům a bezpečnostním opatřením, která jsou v dané zemi nebo dané
mezinárodní organizaci dodržována, jakož i k účinným a vynutitelným právům
včetně účinné správní a soudní nápravy pro subjekty údajů, zejména pro ty z
nich, jež mají bydliště v Unii a jejichž osobní údaje jsou předávány;
|
|
b) l’existence et le fonctionnement effectif d’une ou de
plusieurs autorités de contrôle indépendantes dans le pays tiers ou
l'organisation internationale en question, chargées d’assurer le respect des
règles en matière de protection des données, d’assister et de conseiller les
personnes concernées dans l'exercice de leurs droits et de coopérer avec les
autorités de contrôle de l'Union et des États membres, et
|
b) existenci a účinnému fungování jednoho
nebo více nezávislých orgánů dozoru v dané třetí zemi nebo mezinárodní
organizaci odpovědných za zajišťování souladu s pravidly pro ochranu údajů, za
pomoc a poradenství subjektům údajů při výkonu jejich práv a za spolupráci s
orgány dozoru Unie a členských států a dále
|
|
c) les engagements internationaux souscrits par le pays
tiers ou l'organisation internationale en question.
|
c) k mezinárodním závazkům, které daná třetí
země nebo mezinárodní organizace přijala.
|
|
3. La Commission peut constater par voie de
décision qu’un pays tiers, ou un territoire ou un secteur de traitement de
données dans le pays tiers en question, ou une organisation internationale,
assure un niveau de protection adéquat au sens du paragraphe 2. Les actes
d'exécution correspondants sont adoptés conformément à la procédure d'examen
prévue à l'article 87, paragraphe 2.
|
3. Komise může rozhodnout, že
určitá třetí země nebo území či odvětví zpracovávání v dané třetí zemi nebo
určitá mezinárodní organizace zajišťuje přiměřenou úroveň ochrany ve smyslu
odstavce 2. Tyto prováděcí akty se přijímají v souladu s přezkumným postupem
podle čl. 87 odst. 2.
|
|
4. L'acte d'exécution précise son champ
d'application géographique et sectoriel et, le cas échéant, cite le nom de
l'autorité de contrôle mentionnée au paragraphe 2, point b).
|
4. V prováděcím aktu se stanoví
jeho zeměpisné a odvětvové použití a v příslušném případě se v něm také určí
orgán dozoru uvedený v odst. 2 písm. b).
|
|
5. La Commission peut constater par voie de
décision qu'un pays tiers, ou un territoire ou un secteur de traitement de
données dans ce pays tiers, ou une organisation internationale n'assure pas un
niveau de protection adéquat au sens du paragraphe 2, notamment dans les
cas où la législation pertinente, tant générale que sectorielle, en vigueur
dans le pays tiers ou l'organisation internationale en question, ne garantit
pas des droits effectifs et opposables, y compris un droit de recours
administratif et judiciaire effectif des personnes concernées, notamment celles
ayant leur résidence sur le territoire de l'Union et dont les données à
caractère personnel sont transférées. Les actes d'exécution correspondants sont
adoptés conformément à la procédure d'examen prévue à l'article 87,
paragraphe 2, ou, en cas d’extrême urgence pour des personnes physiques en
ce qui concerne leur droit à la protection de leurs données à caractère
personnel, conformément à la procédure prévue à l'article 87,
paragraphe 3.
|
5. Komise může rozhodnout, že
určitá třetí země nebo území či odvětví zpracovávání v dané třetí zemi nebo
určitá mezinárodní organizace nezajišťuje přiměřenou úroveň ochrany ve smyslu
odstavce 2 tohoto článku, konkrétně v případech, kdy příslušné platné právní
předpisy, a to obecné i odvětvové, v dané třetí zemi nebo mezinárodní
organizaci nezaručují účinná a vynutitelná práva včetně účinné správní a soudní
nápravy pro subjekty údajů, a zejména pro ty z nich, jež mají bydliště v Unii a
jejichž osobní údaje jsou předávány. Tyto prováděcí akty se přijímají v souladu
s přezkumným postupem podle čl. 87 odst. 2, nebo ve zvlášť naléhavých
případech souvisejících s právem fyzických osob na ochranu osobních údajů v
souladu s postupem podle čl. 87 odst. 3.
|
|
6. Lorsque la Commission adopte une décision
en vertu du paragraphe 5, tout transfert de données à caractère personnel
vers le pays tiers, ou un territoire ou un secteur de traitement de données
dans ce pays tiers, ou à l'organisation internationale en question est
interdit, sans préjudice des articles 42 à 44. La Commission engage, au
moment opportun, des consultations avec le pays tiers ou l'organisation
internationale en vue de remédier à la situation résultant de la décision
adoptée en vertu du paragraphe 5.
|
6. Rozhodne-li Komise podle
odstavce 5, zakazuje se jakékoli předání osobních údajů do dané země nebo na
některé území či do některého odvětví zpracovávání v této zemi nebo jakékoli
předání osobních údajů dané mezinárodní organizaci, aniž by tím byla dotčena
ustanovení článků 42 až 44. Ve vhodný okamžik zahájí Komise s danou třetí zemí
nebo mezinárodní organizací konzultace s cílem napravit stav, který z
rozhodnutí podle odstavce 5 tohoto článku vyplývá.
|
|
7. La Commission publie au Journal officiel
de l'Union européenne une liste des pays tiers, des territoires et secteurs
de traitement de données dans un pays tiers et des organisations
internationales pour lesquels elle a constaté par voie de décision qu'un niveau
de protection adéquat était ou n'était pas assuré.
|
7. Komise zveřejní v Úředním
věstníku Evropské unie seznam třetích zemí, území a odvětví zpracovávání v
určité zemi a mezinárodních organizací, v nichž podle jejího rozhodnutí
přiměřená úroveň ochrany je nebo není zaručena.
|
|
8. Les décisions adoptées par la Commission en
vertu de l'article 25, paragraphe 6, ou de l'article 26,
paragraphe 4, de la directive 95/46/CE demeurent en vigueur jusqu'à
leur modification, leur remplacement ou leur abrogation par la Commission.
|
8. Rozhodnutí přijatá Komisí na
základě čl. 25 odst. 6 nebo čl. 26 odst. 4 směrnice 95/46/ES zůstávají platná
až do chvíle, kdy je Komise změní, nahradí nebo zruší.
|
|
Article 42
Transferts moyennant des garanties appropriées
|
Článek 42
Předávání založené na vhodných zárukách
|
|
1. Lorsque la Commission n'a pas adopté de
décision en vertu l’article 41, le transfert de données à caractère
personnel vers un pays tiers ou à une organisation internationale n'est
possible que si le responsable du traitement ou le sous‑traitant a offert des
garanties appropriées en ce qui concerne la protection des données à caractère
personnel dans un instrument juridiquement contraignant.
|
1. Jestliže Komise nepřijala
žádné rozhodnutí podle článku 41, správce nebo zpracovatel mohou předat osobní
údaje do třetí země nebo mezinárodní organizaci, pouze pokud ve věci ochrany
osobních údajů uvedli vhodné záruky v právně závazném nástroji.
|
|
2. Les garanties appropriées visées au
paragraphe 1 sont notamment fournies par:
|
2. Vhodné záruky zmíněné v
odstavci 1 se stanoví konkrétně:
|
|
a) des règles d'entreprise contraignantes conformes à
l'article 43; ou
|
a) závaznými podnikovými pravidly v souladu
s článkem 43 nebo
|
|
b) des clauses types de protection des données adoptées
par la Commission. Les actes d'exécution correspondants sont adoptés
conformément à la procédure d'examen prévue à l’article 87,
paragraphe 2; ou
|
b) standardními doložkami o ochraně údajů
přijatými Komisí. Tyto prováděcí akty se přijímají v souladu s přezkumným
postupem podle čl. 87 odst. 2; nebo
|
|
c) des clauses types de protection des données adoptées
par une autorité de contrôle conformément au mécanisme de contrôle de la
cohérence prévu à l’article 57, lorsque la Commission a constaté leur
applicabilité générale conformément à l'article 62, paragraphe 1,
point b); ou
|
c) standardními doložkami o ochraně údajů
přijatými orgánem dozoru v souladu s mechanismem jednotnosti uvedeným v článku
57, prohlásila-li Komise podle čl. 62 odst. 1 písm. b) tyto doložky za obecně
platné, nebo
|
|
d) des clauses contractuelles liant le responsable du
traitement ou le sous‑traitant et le destinataire des données, approuvées par
une autorité de contrôle conformément au paragraphe 4.
|
d) smluvními doložkami mezi správcem nebo
zpracovatelem na straně jedné a příjemcem údajů na straně druhé, které schválí
orgán dozoru v souladu s odstavcem 4.
|
|
3. Un transfert effectué en vertu de clauses
types de protection des données ou de règles d'entreprise contraignantes telles
que celles visés au paragraphe 2, points a), b) ou c), ne nécessite
pas d'autre autorisation.
|
3. Předávání založené na
standardních doložkách o ochraně údajů nebo na závazných podnikových
pravidlech, jak je uvedeno v odst. 2 písm. a), b) nebo c), nevyžaduje žádné
další povolení.
|
|
4. Lorsqu'un transfert est effectué en vertu
de clauses contractuelles telles que celles visées au paragraphe 2,
point d), le responsable du traitement ou le sous‑traitant doit avoir
obtenu l'autorisation préalable des clauses contractuelles par l’autorité de
contrôle conformément à l'article 34, paragraphe 1, point a). Si
le transfert est lié à un traitement qui porte sur des personnes concernées
dans un ou plusieurs autres États membres, ou affecte sensiblement la libre
circulation des données à caractère personnel dans l’Union, l’autorité de
contrôle applique le mécanisme de contrôle de la cohérence prévu à
l’article 57.
|
4. Jestliže se určité předání
zakládá na smluvních doložkách podle odst. 2 písm. d) tohoto článku, tyto
smluvní doložky musí správci nebo zpracovateli nejdříve schválit orgán dozoru
podle čl. 34 odst. 1 písm. a). Pokud je dané předání spojeno se zpracováním
údajů týkajících se subjektů v jiném členském státu nebo v jiných členských
státech nebo pokud významně ovlivňuje volný pohyb osobních údajů v rámci Unie,
orgán dozoru použije mechanismus jednotnosti uvedený v článku 57.
|
|
5. Lorsque les garanties appropriées quant à
la protection de données à caractère personnel ne sont pas prévues dans un
instrument juridiquement contraignant, le responsable du traitement ou le sous‑traitant
doit obtenir l'autorisation préalable du transfert ou d'un ensemble de
transferts, ou de dispositions à insérer dans un régime administratif
constituant le fondement du transfert. Une autorisation de cette nature
accordée par l'autorité de contrôle doit être conforme à l'article 34, paragraphe 1,
point a). Si le transfert est lié à un traitement qui porte sur des
personnes concernées dans un ou plusieurs autres États membres, ou affecte
sensiblement la libre circulation des données à caractère personnel dans
l’Union, l’autorité de contrôle applique le mécanisme de contrôle de la
cohérence prévu à l’article 57. Les autorisations accordées par une
autorité de contrôle en vertu de l'article 26, paragraphe 2, de la
directive 95/46/CE demeurent valables jusqu'à leur modification, leur
remplacement ou leur abrogation par la même autorité de contrôle.
|
5. Pokud nejsou vhodné záruky
pro ochranu osobních údajů stanoveny v právně závazném nástroji, správce nebo
zpracovatel musí k předání nebo řadě předání získat předchozí povolení, stejně
tak jako jej musí získat k zapracování ustanovení do správních ujednání, jež
jsou pro takové předání základem. Tato povolení orgánu dozoru jsou v souladu s
čl. 34 odst. 1 písm. a). Pokud je dané předání spojeno se zpracováním údajů
týkajících se subjektů v jiném členském státu nebo v jiných členských státech
nebo pokud významně ovlivňuje volný pohyb osobních údajů v rámci Unie, orgán
dozoru použije mechanismus jednotnosti uvedený v článku 57. Povolení orgánu
dozoru na základě čl. 26 odst. 2 směrnice 95/46/ES zůstávají platná až do
chvíle, kdy je orgán dozoru změní, nahradí nebo zruší.
|
|
Article 43
Transferts encadrés par des règles d'entreprise contraignantes
|
Článek 43
Předávání založené na závazných podnikových pravidlech
|
|
1. Une autorité de contrôle approuve des
règles d’entreprise contraignantes conformément au mécanisme de contrôle de la
cohérence prévu à l'article 58, à condition:
|
1. Orgán dozoru schvaluje v
souladu s mechanismem jednotnosti stanoveným v článku 58 závazná podniková
pravidla za předpokladu, že:
|
|
a) qu'elles soient juridiquement contraignantes, qu'elles
s'appliquent à toutes les entités du groupe d’entreprises du responsable du
traitement ou du sous‑traitant, y compris à leurs salariés, et que lesdites entités
en assurent le respect;
|
a) jsou právně závazná, používá a prosazuje
je každý člen v rámci správcovy nebo zpracovatelovy skupiny podniků a vztahují
se i na zaměstnance;
|
|
b) qu'elles confèrent expressément aux personnes
concernées des droits opposables;
|
b) výslovně přiznávají vynutitelná práva
subjektům údajů;
|
|
c) qu'elles respectent les exigences prévues au
paragraphe 2.
|
c) splňují požadavky stanovené v odstavci 2.
|
|
2. Les règles d'entreprise contraignantes
précisent au moins:
|
2. Závazná podniková pravidla
vymezují přinejmenším:
|
|
a) la structure et les coordonnées du groupe d'entreprises
et des entités qui le composent;
|
a) strukturu a kontaktní údaje skupiny
podniků a jejích členů;
|
|
b) le transfert ou l'ensemble de transferts de données, y
compris les catégories de données à caractère personnel, le type de traitement
et ses finalités, la catégorie de personnes concernées et le nom du ou des pays
tiers en question;
|
b) předání údajů nebo řadu předání, včetně
kategorií osobních údajů, typu zpracování a jeho účelu, typu dotčených subjektů
údajů a určení dané třetí země nebo daných třetích zemí;
|
|
c) leur nature juridiquement contraignante, tant interne
qu'externe;
|
c) svoji právně závaznou povahu, a to
interně i externě;
|
|
d) les principes généraux de protection des données,
notamment la limitation de la finalité, la qualité des données, la base juridique
du traitement, le traitement de données à caractère personnel sensibles, les
mesures visant à garantir la sécurité des données, ainsi que les exigences en
matière de transferts ultérieurs à des organismes qui ne sont pas liés par les
mesures en question;
|
d) obecné zásady pro ochranu údajů, zejména
účelové omezení, kvalitu údajů, právní základ pro zpracovávání a pro
zpracovávání citlivých osobních údajů; opatření k zajištění bezpečnosti údajů a
požadavky na další předávání organizacím, které touto politikou nejsou vázány;
|
|
e) les droits des personnes concernées et les moyens de
les exercer, notamment le droit de ne pas être soumis à une mesure fondée sur
le profilage conformément à l'article 20, le droit de déposer une
réclamation auprès de l'autorité de contrôle compétente et devant les
juridictions compétentes des États membres conformément à l’article 75 et
d'obtenir réparation et, le cas échéant, une indemnisation pour violation des
règles d'entreprise contraignantes;
|
e) práva subjektů údajů a prostředky jejich
výkonu, včetně práva nebýt předmětem opatření založeného na profilování v
souladu s článkem 20, práva předložit stížnost příslušnému orgánu dozoru a
příslušným soudům členských států v souladu s článkem 75, práva na nápravu a
případně i práva na odškodnění v případě porušení závazných podnikových
pravidel;
|
|
f) l'acceptation, par le responsable du traitement ou le
sous‑traitant établi sur le territoire d’un État membre, de l’engagement de sa
responsabilité pour toute violation des règles d'entreprise contraignantes par
toute entité appartenant au groupe d’entreprises non établie dans l'Union; le
responsable du traitement ou le sous-traitant ne peut être exonéré, en tout ou
en partie, de cette responsabilité que s'il prouve que le fait générateur du
dommage n'est pas imputable à l'entité en cause;
|
f) přijetí odpovědnosti ze strany správce
nebo zpracovatele usazeného na území některého členského státu za porušení
závazných podnikových pravidel kterýmkoli členem skupiny podniků neusazeným v
Unii; správce nebo zpracovatel se může této odpovědnosti částečně nebo zcela
zprostit, pouze pokud prokáže, že za okolnost, jež vedla ke vzniku škody, není
daný člen odpovědný;
|
|
g) la manière dont les informations sur les règles
d'entreprise contraignantes, notamment en ce qui concerne les éléments
mentionnés aux points d), e) et f), sont fournies aux personnes
concernées, conformément à l'article 11;
|
g) způsob poskytování informací o závazných
podnikových pravidlech, zejména o jejich ustanoveních uvedených v písmenech d),
e) a f) tohoto odstavce, subjektům údajů v souladu s článkem 11;
|
|
h) les missions du délégué à la protection des données,
désigné conformément à l’article 35, notamment la surveillance, au sein du
groupe d'entreprises, du respect des règles d'entreprise contraignantes, ainsi
que le suivi de la formation et du traitement des réclamations;
|
h) úkoly inspektora ochrany údajů
jmenovaného v souladu s článkem 35 včetně sledování souladu se závaznými
podnikovými pravidly v rámci skupiny podniků a sledování školení a vyřizování
stížností;
|
|
i) les mécanismes mis en place au sein du groupe
d'entreprises pour garantir que le respect des règles d'entreprise
contraignantes est contrôlé;
|
i) mechanismy, které mají v rámci skupiny
podniků zajistit ověřování souladu se závaznými podnikovými pravidly;
|
|
j) les mécanismes mis en place pour communiquer et
archiver les modifications apportées aux règles internes et pour communiquer
ces modifications à l’autorité de contrôle;
|
j) mechanismy pro podávání zpráv a pro zaznamenávání
změn v politice a hlášení těchto změn orgánu dozoru;
|
|
k) le mécanisme de coopération avec l’autorité de contrôle
mis en place pour assurer le respect des règles par toutes les entités du
groupe d'entreprises, notamment en mettant à la disposition de l'autorité de
contrôle les résultats des contrôles des mesures prévues au point i).
|
k) mechanismus spolupráce s orgánem dozoru,
který zajistí dodržování pravidel každým členem skupiny podniků, zejména
poskytování výsledků ověřování opatření uvedených v písmenu i) tohoto odstavce
orgánu dozoru.
|
|
3. La Commission est habilitée à adopter des
actes délégués en conformité avec l’article 86, aux fins de préciser
davantage les critères et exigences applicables aux règles d'entreprise
contraignantes au sens du présent article, notamment en ce qui concerne les
critères applicables à leur approbation, l'application du paragraphe 2,
points b), d), e) et f), aux règles d'entreprise contraignantes auxquelles
adhèrent les sous‑traitants, et les exigences nécessaires supplémentaires pour
assurer la protection des données à caractère personnel des personnes
concernées en question.
|
3. Komise je zmocněna přijímat
akty v přenesené pravomoci v souladu s článkem 86 za účelem dalšího vymezení
kritérií a požadavků na závazná podniková pravidla ve smyslu tohoto článku,
zejména pokud jde o kritéria pro jejich schvalování, o uplatňování ustanovení
odst. 2 písm. b), d), e) a f) na závazná podniková pravidla, k nimž se
zpracovatelé hlásí, a o další požadavky potřebné k zajištění ochrany osobních
údajů dotčených subjektů údajů.
|
|
4. La Commission peut, pour les règles
d’entreprise contraignantes au sens du présent article, spécifier la forme de
l'échange d’informations par voie électronique entre les responsables du
traitement, les sous‑traitants et les autorités de contrôle, ainsi que les
procédures qui s'y rapportent. Les actes d'exécution correspondants sont
adoptés conformément à la procédure d'examen prévue à l’article 87,
paragraphe 2.
|
4. Komise může u závazných
podnikových pravidel ve smyslu tohoto článku určit formát a postupy pro
elektronickou výměnu informací mezi správci, zpracovateli a orgány dozoru. Tyto
prováděcí akty se přijímají v souladu s přezkumným postupem podle čl. 87
odst. 2.
|
|
Article 44
Dérogations
|
Článek 44
Výjimky
|
|
1. En l’absence d’une décision relative au
caractère adéquat du niveau de protection conformément à l’article 41 ou
de garanties appropriées conformément à l’article 42, un transfert ou un
ensemble de transferts de données à caractère personnel vers un pays tiers ou à
une organisation internationale ne peuvent être effectués qu'à condition que:
|
1. Jestliže neexistuje rozhodnutí
o přiměřenosti podle článku 41 nebo vhodné záruky podle článku 42, předání nebo
řada předání osobních údajů do třetí země nebo mezinárodní organizaci se může
uskutečnit pouze za podmínky, že:
|
|
a) la personne concernée ait consenti au transfert
envisagé, après avoir été informée des risques du transfert en raison de
l’absence d’une décision relative au caractère adéquat du niveau de protection
et de garanties appropriées; ou
|
a) daný subjekt údajů byl informován o
rizicích takového předání v důsledku absence rozhodnutí o přiměřenosti a
vhodných záruk a následně k navrhovanému předání vydal svůj souhlas nebo
|
|
b) le transfert soit nécessaire à l'exécution d'un contrat
entre la personne concernée et le responsable du traitement ou à l'exécution de
mesures précontractuelles prises à la demande de la personne concernée; ou
|
b) předání je nezbytné pro splnění smlouvy
mezi subjektem údajů a správcem nebo pro provedení opatření přijatých před
uzavřením smlouvy na žádost subjektu údajů nebo
|
|
c) le transfert soit nécessaire à la conclusion ou à
l'exécution d'un contrat conclu, dans l'intérêt de la personne concernée, entre
le responsable du traitement et une autre personne physique ou morale; ou
|
c) předání je nezbytné pro uzavření nebo
splnění smlouvy, která má být uzavřena nebo která byla uzavřena v zájmu
subjektu údajů mezi správcem a jinou fyzickou nebo právnickou osobou, nebo
|
|
d) le transfert soit nécessaire pour des motifs importants
d'intérêt général; ou
|
d) předání je nezbytné z důvodu důležitého
veřejného zájmu nebo
|
|
e) le transfert soit nécessaire à la constatation, à
l'exercice ou à la défense d'un droit en justice; ou
|
e) předání je nezbytné pro uplatnění, výkon
nebo obhajobu právních nároků nebo
|
|
f) le transfert soit nécessaire à la sauvegarde des
intérêts vitaux de la personne concernée ou d'une autre personne dans le cas où
la personne concernée se trouve dans l'incapacité physique ou juridique de
donner son consentement; ou
|
f) předání je nezbytné k ochraně životně
důležitých zájmů subjektu údajů nebo jiné osoby v případě, že subjekt údajů
není fyzicky nebo právně způsobilý udělit svůj souhlas, nebo
|
|
g) le transfert intervienne au départ d'un registre public
qui, en vertu de dispositions du droit de l'Union ou des États membres, est
destiné à l'information du public et est ouvert à la consultation du public ou
de toute personne justifiant d'un intérêt légitime, dans la mesure où les
conditions prévues dans le droit de l'Union ou des États membres pour la
consultation sont remplies dans le cas particulier; ou
|
g) k předání dochází z rejstříku, který je
na základě práva Unie nebo členských států určen pro informování veřejnosti a
je přístupný k nahlížení veřejnosti obecně nebo jakékoli osobě, která prokáže
oprávněný zájem, pokud jsou v daném případě splněny právní předpisy Unie nebo
členských států pro nahlížení, nebo
|
|
h) le transfert soit nécessaire aux fins des intérêts
légitimes poursuivis par le responsable du traitement ou le sous‑traitant,
qu'il ne puisse pas être qualifié de fréquent ou de massif et que le
responsable du traitement ou le sous‑traitant ait évalué toutes les
circonstances relatives à un transfert ou à une catégorie de transferts de
données et offert, sur la base de cette évaluation, des garanties appropriées
au regard de la protection des données à caractère personnel, s'il y a lieu.
|
h) předání je nezbytné pro účely oprávněných
zájmů správce nebo zpracovatele, nelze je označit za časté nebo značného
rozsahu a správce nebo zpracovatel posoudil všechny okolnosti daného předání
údajů nebo dané řady předání údajů a na základě tohoto posouzení přijal v
případě potřeby vhodné záruky pro ochranu osobních údajů.
|
|
2. Un transfert effectué en vertu du
paragraphe 1, point g), ne porte pas sur la totalité des données à
caractère personnel ni sur des catégories entières de données à caractère
personnel contenues dans le registre. Lorsque le registre est destiné à être
consulté par des personnes qui ont un intérêt légitime, le transfert n'est
effectué qu'à la demande de ces personnes ou lorsqu'elles en sont les
destinataires.
|
2. Předmětem předání podle odst.
1 písm. g) nejsou veškeré osobní údaje nebo veškeré kategorie osobních údajů,
které jsou v rejstříku obsaženy. Má-li rejstřík sloužit k nahlížení osobám
majícím oprávněný zájem, předání se uskuteční, pouze pokud o to tyto osoby
požádají nebo pokud jsou tyto osoby příjemcem.
|
|
3. Lorsque le traitement s'effectue en vertu
du paragraphe 1, point h), le responsable du traitement ou le sous‑traitant
prend particulièrement en considération la nature des données, la finalité et
la durée du ou des traitements envisagés, ainsi que la situation dans le pays
d'origine, le pays tiers et le pays de destination finale, et offre des
garanties appropriées au regard de la protection des données à caractère
personnel, s'il y a lieu.
|
3. Jestliže se zpracování
zakládá na odst. 1 písm. h), správce nebo zpracovatel zváží zvláště povahu
údajů, účel a dobu trvání navrhovaného zpracování, jakož i situaci v zemi
původu, v dané třetí zemi a v zemi konečného určení a v případě potřeby přijme
vhodné záruky pro ochranu osobních údajů.
|
|
4. Les points b), c) et h) du
paragraphe 1 ne sont pas applicables aux activités des autorités publiques
dans l'exercice de leurs prérogatives de puissance publique.
|
4. Ustanovení odst. 1 písm. b),
c) a h) se nevztahují na činnosti prováděné orgány veřejné moci při výkonu
jejich úředních pravomocí.
|
|
5. L'intérêt général visé au
paragraphe 1, point d), doit être reconnu par le droit de l'Union ou
le droit de l'État membre dont relève le responsable du traitement.
|
5. Veřejný zájem uvedený v odst.
1 písm. d) musí být uznáván právem Unie nebo právem členského státu, kterému
správce podléhá.
|
|
6. Le responsable du traitement ou le sous‑traitant
atteste la matérialité, dans la documentation visée à l'article 28, de
l'évaluation et des garanties appropriées offertes visées au paragraphe 1,
point h), et informe l'autorité de contrôle du transfert.
|
6. Správce nebo zpracovatel
zaznamená posouzení i přijaté vhodné záruky uvedené v odst. 1 písm. h) tohoto
článku v dokumentaci zmíněné v článku 28 a o předání informuje orgán dozoru.
|
|
7. La Commission est habilitée à adopter des
actes délégués en conformité avec l’article 86, aux fins de préciser
davantage les «motifs importants d'intérêt général» au sens du
paragraphe 1, point d), ainsi que les critères et exigences
applicables aux garanties appropriées prévues au paragraphe 1,
point h).
|
7. Komise je zmocněna přijímat
akty v přenesené pravomoci v souladu s článkem 86 za účelem dalšího vymezení
„důležitého veřejného zájmu“ ve smyslu odst. 1 písm. d), jakož i za účelem
vymezení kritérií a požadavků, pokud jde o vhodné záruky uvedené v odst. 1
písm. h).
|
|
Article 45
Coopération internationale dans le domaine de la protection des données à
caractère personnel
|
Článek 45
Mezinárodní spolupráce v zájmu ochrany osobních údajů
|
|
1. La Commission et les autorités de contrôle
prennent, à l'égard des pays tiers et des organisations internationales, les
mesures appropriées pour:
|
1. Ve vztahu k třetím zemím a
mezinárodním organizacím podniknou Komise a orgány dozoru odpovídající kroky v
zájmu:
|
|
a) élaborer des mécanismes de coopération internationaux
efficaces destinés à faciliter l’application de la législation relative à la
protection des données à caractère personnel;
|
a) rozvoje účinných mechanismů pro
mezinárodní spolupráci, aby se usnadnilo prosazování právních předpisů na
ochranu osobních údajů;
|
|
b) se prêter mutuellement assistance sur le plan international
dans la mise en application de la législation relative à la protection des
données à caractère personnel, notamment par la notification, la transmission
des réclamations, l’entraide pour les enquêtes et l’échange d’information, sous
réserve de garanties appropriées pour la protection des données à caractère
personnel et d'autres libertés et droits fondamentaux;
|
b) poskytování vzájemné pomoci na
mezinárodní úrovni při prosazování právních předpisů na ochranu osobních údajů,
a to mimo jiné formou oznamování, postupování stížností, pomoci při vyšetřování
a výměny informací, pod podmínkou vhodných záruk pro ochranu osobních údajů a
jiných základních práv a svobod;
|
|
c) associer les parties prenantes intéressées aux
discussions et activités visant à développer la coopération internationale dans
l’application de la législation relative à la protection des données à
caractère personnel;
|
c) zapojení příslušných zúčastněných stran
do diskuse a činností zacílených na prohlubování mezinárodní spolupráce při
prosazování právních předpisů na ochranu osobních údajů;
|
|
d) favoriser l'échange et la conservation de la
législation et des pratiques en matière de protection des données à caractère
personnel.
|
d) podpoření výměny a dokumentace v
souvislosti s právními předpisy a praxí v oblasti ochrany osobních údajů.
|
|
2. Aux fins de l'application du paragraphe 1,
la Commission prend les mesures appropriées pour intensifier les relations avec
les pays tiers ou les organisations internationales, et en particulier leurs
autorités de contrôle, lorsque la Commission a constaté par voie de décision
qu'ils assuraient un niveau de protection adéquat au sens de l'article 41,
paragraphe 3.
|
2. Pro účely odstavce 1 podnikne
Komise odpovídající kroky, aby rozvinula vztah se třetími zeměmi nebo
mezinárodními organizacemi, zejména s jejich orgány dozoru, pokud rozhodla, že
zajišťují přiměřenou úroveň ochrany ve smyslu čl. 41 odst. 3.
|
|
CHAPITRE
VI
AUTORITÉS DE CONTRÔLE INDÉPENDANTES
|
KAPITOLA VI
NEZÁVISLÉ ORGÁNY DOZORU
|
|
SECTION 1
STATUT D'INDÉPENDANCE
|
ODDÍL 1
NEZÁVISLOST POSTAVENÍ
|
|
Article 46
Autorité de contrôle
|
Článek 46
Orgán dozoru
|
|
1. Chaque État membre prévoit qu'une ou
plusieurs autorités publiques sont chargées de surveiller l'application du
présent règlement et de contribuer à son application cohérente dans l’ensemble
de l'Union, afin de protéger les libertés et droits fondamentaux des personnes
physiques en ce qui concerne le traitement de leurs données à caractère
personnel et de faciliter la libre circulation de ces données au sein de
l’Union. À cette fin, les autorités de contrôle coopèrent entre elles et avec
la Commission.
|
1. Každý členský stát stanoví,
že jeden nebo více orgánů veřejné moci ponese odpovědnost za sledování
uplatňování tohoto nařízení a za přispívání k jeho jednotnému uplatňování v
celé Unii, aby byla chráněna základní práva a svobody fyzických osob v
souvislosti se zpracováváním jejich osobních údajů a usnadnil se volný pohyb
osobních údajů v rámci Unie. Orgány dozoru budou za tímto účelem spolupracovat
s Komisí a mezi sebou.
|
|
2. Lorsqu'un État membre institue plusieurs
autorités de contrôle, il désigne celle qui sert de point de contact unique
permettant une participation efficace de ces autorités au comité européen de la
protection des données, et définit le mécanisme permettant de s’assurer du
respect, par les autres autorités, des règles relatives au mécanisme de
contrôle de la cohérence prévu à l'article 57.
|
2. Pokud je v některém členském
státě zřízen více než jeden orgán dozoru, daný členský stát jmenuje orgán
dozoru, jenž bude fungovat jako jediné kontaktní místo pro účinnou účast těchto
orgánů v Evropské radě pro ochranu údajů, a stanoví mechanismus, který zajistí,
že budou ostatní orgány dodržovat pravidla týkající se mechanismu jednotnosti
uvedeného v článku 57.
|
|
3. Chaque État membre notifie à la Commission
les dispositions de la législation qu'il adopte en vertu du présent chapitre,
au plus tard à la date figurant à l'article 91, paragraphe 2, et,
sans délai, toute modification ultérieure les affectant.
|
3. Každý členský stát oznámí
Komisi nejpozději do data uvedeného v čl. 91 odst. 2 právní ustanovení, která
přijme podle této kapitoly, a bez zbytečného odkladu jakékoliv následné změny,
jež se těchto ustanovení dotknou.
|
|
Article 47
Indépendance
|
Článek 47
Nezávislost
|
|
1. L'autorité de contrôle exerce en toute
indépendance les missions et les pouvoirs qui lui sont confiés.
|
1. Orgán dozoru jedná při výkonu
povinností a pravomocí jemu svěřených zcela nezávisle.
|
|
2. Dans l'accomplissement de leur mission, les
membres de l'autorité de contrôle ne sollicitent ni n'acceptent d'instructions
de quiconque.
|
2. Členové orgánu dozoru při
plnění svých povinností u nikoho nevyhledávají ani od nikoho nepřijímají žádné
pokyny.
|
|
3. Les membres de l’autorité de contrôle
s'abstiennent de tout acte incompatible avec leurs fonctions et, pendant la
durée de leur mandat, n'exercent aucune activité professionnelle incompatible,
rémunérée ou non.
|
3. Členové orgánu dozoru se
zdrží veškeré činnosti, která je neslučitelná s povinnostmi jejich funkce, a v
průběhu svého funkčního období nesmí vykonávat žádné jiné neslučitelné
zaměstnání, ať už placené či neplacené.
|
|
4. Après la cessation de leurs fonctions, les
membres de l'autorité de contrôle sont tenus de respecter les devoirs
d'honnêteté et de délicatesse quant à l'acceptation de certaines fonctions ou
de certains avantages.
|
4. Po skončení svého funkčního
období jsou členové orgánu dozoru povinni jednat čestně a uvážlivě, pokud jde o
přijímání funkcí a výhod.
|
|
5. Chaque État membre veille à ce que
l’autorité de contrôle dispose des ressources humaines, techniques et
financières appropriées, ainsi que des locaux et de l'infrastructure,
nécessaires à l'exécution effective de ses fonctions et pouvoirs, notamment ceux
qu'elle doit mettre en œuvre dans le cadre de l'assistance mutuelle, de la
coopération et de la participation au comité européen de la protection des
données.
|
5. Každý členský stát zajistí,
aby byl orgán dozoru vybaven odpovídajícími lidskými, technickými a finančními
zdroji, prostory a infrastrukturou, které bude potřebovat pro účinné vykonávání
svých povinností a pravomocí, včetně povinností a pravomocí, jež bude plnit v
rámci vzájemné pomoci, spolupráce a účasti v Evropské radě pro ochranu údajů.
|
|
6. Chaque État membre veille à ce que
l'autorité de contrôle dispose de son propre personnel, qui est désigné par le
directeur de l'autorité de contrôle et est placé sous les ordres de celui-ci.
|
6. Každý členský stát zajistí,
aby měl orgán dozoru své vlastní pracovníky, kteří budou jmenováni vedoucím
orgánu dozoru a budou podléhat jeho řízení.
|
|
7. Les États membres veillent à ce que
l'autorité de contrôle soit soumise à un contrôle financier qui ne menace pas
son indépendance. Les États membres veillent à ce que l’autorité de contrôle
dispose de budgets annuels propres. Les budgets sont rendus publics.
|
7. Členské státy zajistí, aby
orgán dozoru podléhal finanční kontrole, přičemž nebude nijak ovlivněna jeho
nezávislost. Členské státy zajistí, aby měl orgán dozoru samostatný roční
rozpočet. Tyto rozpočty se zveřejňují.
|
|
Article 48
Conditions générales applicables aux membres de l'autorité de contrôle
|
Článek 48
Obecné podmínky pro členy orgánu dozoru
|
|
1. Chaque État membre prévoit que les membres
de l’autorité de contrôle doivent être nommés soit par son parlement, soit par
son gouvernement.
|
1. Členské státy stanoví, že
členové orgánu dozoru musí být jmenováni parlamentem, nebo vládou daného
členského státu.
|
|
2. Les membres sont choisis parmi les
personnes offrant toutes garanties d'indépendance et qui possèdent une
expérience et une compétence notoires pour l'accomplissement de leurs
fonctions, notamment dans le domaine de la protection des données à caractère
personnel.
|
2. Členové jsou vybíráni z osob,
jejichž nezávislost je nade vší pochybnost a jež prokázaly zkušenosti a
dovednosti potřebné k výkonu svých povinností, především v oblasti ochrany
osobních údajů.
|
|
3. Les fonctions des membres prennent fin à
l'échéance de leur mandat, en cas de démission ou de mise à la retraite
d'office conformément au paragraphe 5.
|
3. Povinnosti člena orgánu
dozoru končí v okamžiku uplynutí jeho funkčního období, odstoupení nebo
povinného odchodu do důchodu v souladu s odstavcem 5.
|
|
4. Un membre peut être déclaré démissionnaire
ou déchu du droit à pension ou d'autres avantages en tenant lieu par la
juridiction nationale compétente, s'il ne remplit plus les conditions
nécessaires à l'exercice de ses fonctions ou s'il a commis une faute grave.
|
4. Pokud člen orgánu dozoru
přestane splňovat podmínky požadované pro výkon svých povinností nebo se
dopustil závažného pochybení, může být příslušným vnitrostátním soudem odvolán
nebo zbaven práva na penzi či jiné výhody poskytované namísto ní.
|
|
5. Un membre dont le mandat expire ou qui
démissionne continue d'exercer ses fonctions jusqu'à la nomination d'un nouveau
membre.
|
5. Jestliže uplyne členovo
funkční období nebo člen odstoupí, člen pokračuje v plnění svých povinností,
dokud nebude jmenován nový člen.
|
|
Article 49
Règles relatives à l'établissement de l'autorité de contrôle
|
Článek 49
Pravidla pro zřízení orgánu dozoru
|
|
Chaque État membre prévoit par voie législative, dans
les limites du présent règlement:
|
Každý členský stát upraví právním
předpisem v mezích tohoto nařízení:
|
|
a) l'établissement et le statut d’indépendance de
l’autorité de contrôle;
|
a) zřízení orgánu dozoru a jeho postavení;
|
|
b) les qualifications, l'expérience et les compétences
requises pour exercer les fonctions de membre de l'autorité de contrôle;
|
b) kvalifikaci, zkušenosti a dovednosti
požadované pro výkon povinností členů orgánu dozoru;
|
|
c) les règles et les procédures pour la nomination des
membres de l'autorité de contrôle, ainsi que les règles relatives aux activités
ou emplois incompatibles avec leurs fonctions;
|
c) pravidla a postupy pro jmenování členů
orgánu dozoru, jakož i pravidla týkající se činností nebo zaměstnání
neslučitelných s povinnostmi úřadu;
|
|
d) la durée du mandat des membres de l’autorité de
contrôle, qui ne doit pas être inférieure à quatre ans, sauf pour le premier
mandat après l'entrée en vigueur du présent règlement, qui peut être d’une
durée plus courte lorsque cela est nécessaire pour protéger l'indépendance de
l'autorité de contrôle au moyen d'une procédure de nominations échelonnées;
|
d) délku
funkčního období členů orgánu dozoru, která dosáhne minimálně čtyř let s
výjimkou prvních jmenování po vstupu tohoto nařízení v platnost, jež mohou být
na dobu kratší, je-li k ochraně nezávislosti orgánu dozoru nutný proces
postupného jmenování;
|
|
e) le caractère renouvelable ou non renouvelable du mandat
des membres de l'autorité de contrôle;
|
e) způsobilost členů orgánu dozoru k
opětovnému jmenování;
|
|
f) le statut et les conditions communes régissant les
fonctions des membres et agents de l’autorité de contrôle;
|
f) právní předpisy a obvyklé podmínky,
jimiž se řídí povinnosti členů a pracovníků orgánu dozoru;
|
|
g) les règles et les procédures relatives à la cessation
des fonctions des membres de l’autorité de contrôle, y compris lorsqu’ils ne
remplissent plus les conditions nécessaires à l'exercice de leurs fonctions ou
s'ils ont commis une faute grave.
|
g) pravidla a postupy pro ukončení
povinností členů orgánu dozoru, včetně případu, kdy přestanou splňovat podmínky
požadované pro výkon svých povinností nebo kdy se dopustili závažného
pochybení.
|
|
Article 50
Secret professionnel
|
Článek 50
Profesní tajemství
|
|
Les membres et agents de l'autorité de contrôle sont soumis,
y compris après la cessation de leurs activités, à l'obligation de secret
professionnel à l'égard de toute information confidentielle dont ils ont eu
connaissance dans l'exercice de leurs fonctions officielles.
|
Členové orgánu dozoru a jeho pracovníci jsou
během svého funkčního období i po jeho skončení vázáni profesním tajemstvím,
pokud jde o veškeré důvěrné informace, o nichž se dozví během výkonu svých
služebních povinností.
|
|
SECTION 2
FONCTIONS ET POUVOIRS
|
ODDÍL 2
POVINNOSTI A PRAVOMOCI
|
|
Article 51
Compétence
|
Článek 51
Příslušnost
|
|
1. Chaque autorité de contrôle exerce, sur le
territoire de l'État membre dont elle relève, les pouvoirs dont elle est
investie conformément au présent règlement.
|
1. Každý orgán dozoru vykonává
pravomoci, které mu byly svěřeny v souladu s tímto nařízením, na území svého
vlastního členského státu.
|
|
2. Lorsque le traitement des données à
caractère personnel a lieu dans le cadre des activités d'un responsable du
traitement ou d'un sous‑traitant établis dans l’Union, et lorsque le
responsable du traitement ou le sous‑traitant sont établis dans plusieurs États
membres, l'autorité de contrôle de l'État membre où se situe l'établissement
principal du responsable du traitement ou du sous-traitant est compétente pour
contrôler les activités de traitement du responsable du traitement ou du sous‑traitant
dans tous les États membres, sans préjudice des dispositions du
chapitre VII du présent règlement.
|
2. Dochází-li ke zpracování
osobních údajů v rámci činností některé provozovny správce nebo zpracovatele v
Unii a správce nebo zpracovatel sídlí ve více členských státech, k dohledu nad
zpracováními prováděnými daným správcem či zpracovatelem je ve všech členských
státech příslušný orgán dozoru správcovy nebo zpracovatelovy hlavní provozovny,
aniž by tím byla dotčena ustanovení kapitoly VII tohoto nařízení.
|
|
3. L’autorité de contrôle n'est pas compétente
pour contrôler les traitements effectués par les juridictions dans l'exercice
de leur fonction juridictionnelle.
|
3. Orgán dozoru není příslušný k
dohledu nad zpracováními, která provádějí soudy jednající v rámci svých
soudních pravomocí.
|
|
Article 52
Fonctions
|
Článek 52
Povinnosti
|
|
1. L'autorité de contrôle:
|
1. Orgán dozoru:
|
|
a) contrôle et assure l’application du présent règlement;
|
a) sleduje a zajišťuje uplatňování tohoto
nařízení;
|
|
b) reçoit les réclamations introduites par toute personne
concernée ou par une association la représentant conformément à
l'article 73, examine l'affaire pour autant que de besoin et informe la
personne concernée ou l'association de l'état d'avancement de l'affaire et de
l'issue de la réclamation dans un délai raisonnable, notamment si un complément
d'enquête ou une coordination avec une autre autorité de contrôle est
nécessaire;
|
b) zabývá se stížnostmi, které mu předloží
subjekt údajů nebo sdružení, jež tento subjekt zastupuje, v souladu s článkem
73, v odpovídající míře dané záležitosti prošetřuje a v rozumné lhůtě informuje
daný subjekt údajů či dané sdružení o vývoji a výsledku jejich stížností, a to
zejména v případech, kdy je zapotřebí další šetření nebo koordinace s jiným
orgánem dozoru;
|
|
c) partage des informations avec d'autres autorités de
contrôle, leur fournit une assistance mutuelle et veille à la cohérence de
l’application du présent règlement et des mesures prises pour en assurer le
respect;
|
c) pomáhá na principu vzájemnosti dalším
orgánům dozoru, dělí se s nimi o informace a zajišťuje jednotné uplatňování a
prosazování tohoto nařízení;
|
|
d) effectue des enquêtes, soit de sa propre initiative,
soit à la suite d'une réclamation ou à la demande d'une autre autorité de
contrôle, et informe la personne concernée, si elle l'a saisie d'une
réclamation, du résultat de ses enquêtes dans un délai raisonnable;
|
d) provádí šetření, a to z vlastní
iniciativy nebo na základě stížnosti nebo na základě žádosti jiného orgánu
dozoru, a o výsledku šetření v rozumné lhůtě informuje dotčené subjekty údajů,
pokud tomuto orgánu dozoru adresují stížnost;
|
|
e) surveille les faits nouveaux présentant un intérêt,
dans la mesure où ils ont une incidence sur la protection des données à
caractère personnel, notamment l'évolution des technologies de l'information et
des communications et celle des pratiques commerciales;
|
e) sleduje vývoj v relevantních oblastech,
pokud mají dopad na ochranu osobních údajů, zejména vývoj informačních a
komunikačních technologií a obchodních praktik;
|
|
f) est consultée par les institutions et organes de
l’État membre sur les mesures législatives et administratives relatives à la
protection des droits et libertés des personnes physiques à l'égard du
traitement des données à caractère personnel;
|
f) je konzultován orgány či subjekty
členských států o právních a správních opatřeních, jež se týkají ochrany práv a
svobod fyzických osob v souvislosti se zpracováváním osobních údajů;
|
|
g) autorise les traitements prévus à l’article 34 et
est consultée à leur sujet;
|
g) schvaluje zpracování uvedená v článku 34
a je otevřen jejich konzultaci;
|
|
h) émet un avis sur les projets de codes de conduite
prévus à l'article 38, paragraphe 2;
|
h) vydává stanovisko k návrhům kodexů
chování podle čl. 38 odst. 2;
|
|
i) approuve les règles d'entreprise contraignantes
conformément à l'article 43;
|
i) schvaluje závazná podniková pravidla
podle článku 43;
|