4.5.2016   

CS

Úřední věstník Evropské unie

L 119/89

(1)

Ochrana fyzických osob v souvislosti se zpracováním osobních údajů je základním právem. Ustanovení čl. 8 odst. 1 Listiny základních práv Evropské unie (dále jen „Listina“) a čl. 16 odst. 1 Smlouvy o fungování Evropské unie (dále jen „Smlouva o fungování EU“) přiznávají každému právo na ochranu osobních údajů, které se jej týkají.

(2)

Zásady a pravidla ochrany fyzických osob v souvislosti se zpracováním jejich osobních údajů by bez ohledu na jejich státní příslušnost nebo bydliště měly respektovat jejich základní práva a svobody, zejména právo na ochranu osobních údajů. Cílem této směrnice je přispět k dotvoření prostoru svobody, bezpečnosti a práva.

(3)

Rychlý technologický rozvoj a globalizace s sebou přinesly nové výzvy pro ochranu osobních údajů. Rozsah shromažďování a sdílení osobních údajů významně vzrostl. Technologie umožňují využívat osobní údaje v nebývalém rozsahu pro účely provádění činností, jako jsou prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkon trestů.

(4)

Volný pohyb osobních údajů mezi příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení v rámci Unie, a předávání těchto osobních údajů do třetích zemí a mezinárodním organizacím by měly být usnadněny při zajištění vysoké úrovně ochrany osobních údajů. Tento vývoj vyžaduje vybudování pevného a jednotnějšího rámce pro ochranu osobních údajů v Unii, jenž se bude opírat o důrazné vymáhání práva.

(5)

Směrnice Evropského parlamentu a Rady 95/46/ES (3) se vztahuje na veškeré zpracování osobních údajů v členských státech jak ve veřejném, tak v soukromém sektoru. Nevztahuje se však na zpracování osobních údajů prováděné pro výkon činností, které nespadají do oblasti působnosti práva Společenství, například činností v oblastech justiční spolupráce v trestních věcech a policejní spolupráce.

(6)

Rámcové rozhodnutí Rady 2008/977/SVV (4) se použije v oblastech justiční spolupráce v trestních věcech a policejní spolupráce. Oblast působnosti uvedeného rámcového rozhodnutí je omezena na zpracování osobních údajů předaných nebo zpřístupněných mezi členskými státy.

(7)

Pro zajištění účinné justiční spolupráce v trestních věcech a policejní spolupráce má zásadní význam zajištění jednotné a vysoké úrovně ochrany osobních údajů fyzických osob a usnadnění výměny osobních údajů mezi příslušnými orgány členských států. Proto by měla být úroveň ochrany práv a svobod fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení, ve všech členských státech rovnocenná. Účinná ochrana osobních údajů v celé Unii vyžaduje nejen posílení práv subjektů údajů a povinností těch, kdo osobní údaje zpracovávají, ale také rovnocenné pravomoci pro monitorování a zajišťování souladu s pravidly ochrany osobních údajů v členských státech.

(8)

Ustanovení čl. 16 odst. 2 Smlouvy o fungování EU zmocňuje Evropský parlament a Radu ke stanovení pravidel o ochraně fyzických osob při zpracovávání osobních údajů a pravidel o volném pohybu těchto údajů.

(9)

Na tomto základě stanoví nařízení Evropského parlamentu a Rady (EU) 2016/679 (5) obecná pravidla pro ochranu fyzických osob v souvislosti se zpracováním osobních údajů a zajištění volného pohybu osobních údajů v Unii.

(10)

V prohlášení č. 21 o ochraně osobních údajů v oblasti justiční spolupráce v trestních věcech a policejní spolupráce, připojeném k závěrečnému aktu mezivládní konference, která přijala Lisabonskou smlouvu, konference uznala, že zvláštní pravidla pro ochranu osobních údajů a volný pohyb osobních údajů v oblastech justiční spolupráce v trestních věcech a policejní spolupráce, založená na článku 16 Smlouvy o fungování EU, by se mohla vzhledem ke specifické povaze těchto oblastí ukázat jako nezbytná.

(11)

Je proto vhodné, aby byly tyto oblasti upraveny v samostatné směrnici, která stanoví zvláštní pravidla pro ochranu fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení, při respektování zvláštní povahy těchto činností. Tyto příslušné orgány mohou zahrnovat nejen orgány veřejné moci, jako jsou justiční orgány, policie nebo jiné donucovací orgány, ale také jakýkoli jiný orgán nebo subjekt pověřený právem členského státu plnit veřejnou funkci a vykonávat veřejnou moc pro účely této směrnice. Pokud takový orgán nebo subjekt zpracovává osobní údaje pro jiné účely než pro účely této směrnice, použije se nařízení (EU) 2016/679. Nařízení (EU) 2016/679 se proto použije v případech, kdy orgán nebo subjekt shromažďuje osobní údaje pro jiné účely a tyto osobní údaje dále zpracovává za účelem splnění právní povinnosti, která mu je uložena. Například finanční instituce uchovávají určité osobní údaje, které zpracovaly, pro účely vyšetřování, odhalování nebo stíhání a poskytují tyto osobní údaje pouze příslušným vnitrostátním orgánům ve zvláštních případech a v souladu s právem členského státu. Orgán nebo subjekt, který zpracovává osobní údaje pro tyto orgány v oblasti působnosti této směrnice, by měl být vázán smlouvou nebo jiným právním aktem, jakož i předpisy vztahujícími se na zpracovatele podle této směrnice, přičemž použití nařízení (EU) 2016/679 zůstává nedotčeno, pokud jde o zpracování osobních údajů prováděné zpracovatelem mimo oblast působnosti této směrnice.

(12)

Činnosti policie nebo jiných donucovacích orgánů jsou zaměřeny především na prevenci, vyšetřování, odhalování či stíhání trestných činů, včetně policejní činnosti bez předchozí znalosti, zda určitá událost je nebo není trestným činem. Tyto činnosti mohou rovněž zahrnovat výkon pravomoci prostřednictvím donucovacích opatření, jako je činnost policie během demonstrací, významných sportovních událostí a nepokojů. Zahrnují rovněž udržování veřejného pořádku jako úkolu svěřeného policii nebo jiným donucovacím orgánům tam, kde je to nutné k ochraně před hrozbami pro veřejnou bezpečnost a pro základní zájmy společnosti chráněné právem, které by mohly vést k trestnému činu, a k předcházení těmto hrozbám. Členské státy mohou pověřit příslušné orgány i jinými úkoly, které nemusí být nutně prováděny za účelem prevence, vyšetřování, odhalování či stíhání trestných činů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení, tak aby zpracování osobních údajů pro tyto jiné účely v rozsahu, v němž náleží do oblasti působnosti práva Unie, spadalo do oblasti působnosti nařízení (EU) 2016/679.

(13)

Pojem trestného činu ve smyslu této směrnice by měl být autonomním pojmem unijního práva, jak jej vykládá Soudní dvůr Evropské unie (dále jen „Soudní dvůr“).

(14)

Jelikož by se tato směrnice neměla vztahovat na zpracování osobních údajů prováděné při výkonu činností, které nespadají do oblasti působnosti práva Unie, neměly by být za činnosti spadající do oblasti působnosti této směrnice považovány činnosti týkající se národní bezpečnosti, činnosti agentur nebo jednotek zabývajících se otázkami národní bezpečnosti ani zpracování osobních údajů členskými státy při výkonu činností spadajících do oblasti působnosti hlavy V kapitoly 2 Smlouvy o Evropské unii (dále jen „Smlouva o EU“).

(15)

S cílem zajistit jednotnou úroveň ochrany fyzických osob na základě právně vymahatelných práv v celé Unii a zamezit rozdílům bránícím výměně osobních údajů mezi příslušnými orgány by tato směrnice měla stanovit harmonizovaná pravidla pro ochranu a volný pohyb osobních údajů zpracovávaných za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení. Sblížení práva členských států by nemělo vést k oslabení ochrany osobních údajů, kterou zajišťují, ale mělo by naopak mít za cíl zajištění vysoké úrovně ochrany v rámci Unie. Členské státy by měly mít možnost stanovit záruky, které jsou přísnější než záruky zavedené v této směrnici, pro ochranu práv a svobod subjektu údajů v souvislosti se zpracováním osobních údajů příslušnými orgány.

(16)

Touto směrnicí není dotčena zásada přístupu veřejnosti k úředním dokumentům. Podle nařízení (EU) 2016/679 může osobní údaje v úředních dokumentech, které jsou v držení orgánu veřejné moci či veřejného nebo soukromého subjektu za účelem plnění úkolu ve veřejném zájmu, uvedený orgán či subjekt zpřístupnit v souladu s právem Unie nebo členského státu, kterému podléhá, aby tak zajistil soulad mezi přístupem veřejnosti k úředním dokumentům a právem na ochranu osobních údajů.

(17)

Ochrana poskytovaná touto směrnicí by se měla týkat zpracování osobních údajů fyzických osob bez ohledu na jejich státní příslušnost nebo bydliště.

(18)

S cílem zabránit vzniku vážného rizika obcházení by ochrana fyzických osob měla být technologicky neutrální a nezávislá na použitých technikách. Ochrana fyzických osob by se měla vztahovat jak na automatizované zpracování osobních údajů, tak na manuální zpracování v případě, že jsou tyto údaje uloženy v evidenci nebo do ní mají být vloženy. Záznamy nebo soubory záznamů ani jejich titulní strany, které nejsou uspořádány podle určených hledisek, by do oblasti působnosti této směrnice spadat neměly.

(19)

Nařízení Evropského parlamentu a Rady (ES) č. 45/2001 (6) se vztahuje na zpracování osobních údajů orgány, institucemi a jinými subjekty Unie. Nařízení (ES) č. 45/2001 a další právní akty Unie týkající se takového zpracování osobních údajů by měly být uzpůsobeny zásadám a pravidlům zavedeným nařízením (EU) 2016/679.

(20)

Tato směrnice nebrání členským státům v tom, aby ve vnitrostátních předpisech o trestním řízení stanovily operace a postupy zpracování v souvislosti se zpracováním osobních údajů soudy a dalšími justičními orgány, zejména pokud jde o osobní údaje obsažené v soudních rozhodnutích nebo v záznamech v souvislosti s trestním řízením.

(21)

Zásady ochrany údajů by se měly uplatňovat na všechny informace týkající se identifikované nebo identifikovatelné fyzické osoby. Při určování, zda je fyzická osoba identifikovatelná, by se mělo přihlédnout ke všem prostředkům, o nichž lze rozumně předpokládat, že je správce nebo jiná osoba použijí pro přímou či nepřímou identifikaci dané fyzické osoby. Ke stanovení toho, zda lze rozumně předpokládat použití prostředků k identifikaci fyzické osoby, by měly být vzaty v úvahu všechny objektivní faktory, jako jsou náklady a čas, které si identifikace vyžádá, s přihlédnutím k technologii dostupné v době zpracování i k technologickému rozvoji. Zásady ochrany osobních údajů by se proto neměly vztahovat na anonymní informace, totiž informace, které se netýkají identifikované či identifikovatelné fyzické osoby, ani na osobní údaje anonymizované tak, že subjekt údajů již není identifikovatelný.

(22)

Orgány veřejné moci, kterým jsou osobní údaje sdělovány na základě právní povinnosti pro účely výkonu jejich úředních povinností, jako jsou daňové a celní orgány, finanční vyšetřovací jednotky, nezávislé správní orgány nebo orgány finančního trhu příslušné pro regulaci trhů s cennými papíry a dohled nad nimi, by neměly být považovány za příjemce, pokud obdrží osobní údaje, které jsou nezbytné pro provedení konkrétního šetření v obecném zájmu v souladu s právem Unie či členského státu. Žádost o sdělení osobních údajů zaslaná orgány veřejné moci by měla být vždy písemná a odůvodněná, měla by se týkat jednotlivého případu a neměla by se vztahovat na celou evidenci ani vést k propojení evidencí. Zpracování osobních údajů těmito orgány veřejné moci by mělo být v souladu s platnými pravidly pro ochranu osobních údajů podle účelů zpracování.

(23)

Genetické údaje by měly být definovány jako osobní údaje týkající se zděděných nebo získaných genetických znaků určité fyzické osoby, které poskytují jedinečné informace o její fyziologii či zdravotním stavu a které vyplývají z analýzy biologického vzorku dotčené fyzické osoby, zejména chromozomů nebo kyseliny deoxyribonukleové (DNA) či ribonukleové (RNA), anebo z analýzy jiného prvku, která umožňuje získat rovnocenné informace. Vzhledem ke složitosti a citlivosti genetických informací existuje velké riziko, že je správce zneužije nebo opakovaně použije pro různé účely. Jakákoli diskriminace na základě genetických rysů by měla být v zásadě zakázána.

(24)

Mezi osobní údaje o zdravotním stavu by měly být zahrnuty veškeré údaje související se zdravotním stavem subjektu údajů, které vypovídají o minulém, současném či budoucím tělesném nebo duševním zdraví subjektu údajů. To zahrnuje informace o dané fyzické osobě shromážděné v průběhu registrace pro účely zdravotní péče a jejího poskytování dotčené fyzické osobě podle směrnice Evropského parlamentu a Rady 2011/24/EU (7); číslo, symbol nebo specifický údaj přiřazený fyzické osobě za účelem její jedinečné identifikace pro zdravotnické účely; informace získané během provádění testů nebo vyšetřování části těla nebo tělesných látek, včetně z genetických údajů a biologických vzorků, a jakékoliv informace například o nemoci, postižení, riziku onemocnění, anamnéze, klinické léčbě nebo fyziologickém či biomedicínském stavu subjektu údajů nezávisle na jejich původu, tedy bez ohledu na to, zda pocházejí například od lékaře nebo jiného zdravotníka, z nemocnice, ze zdravotnického prostředku či diagnostických testů in vitro.

(25)

Všechny členské státy jsou členy Mezinárodní organizace kriminální policie (Interpol). Aby Interpol mohl plnit své poslání, přijímá, ukládá a šíří osobní údaje s cílem napomáhat příslušným orgánům při prevenci a potírání mezinárodní trestné činnosti. Je proto vhodné posilovat spolupráci mezi Unií a Interpolem podporou efektivní výměny osobních údajů za současného zajištění respektování základních práv a svobod, pokud jde o automatizované zpracování osobních údajů. Při předávání osobních údajů z Unie Interpolu a do zemí, které mají zástupce u Interpolu, by se měla použít tato směrnice, zejména ustanovení o mezinárodním předávání údajů. Touto směrnicí by neměla být dotčena zvláštní pravidla stanovená společným postojem Rady 2005/69/SVV (8) a rozhodnutím Rady 2007/533/SVV (9).

(26)

Jakékoli zpracování osobních údajů musí být zákonné, korektní a transparentní ve vztahu k dotčeným fyzickým osobám a musí být prováděno pouze pro specifické účely stanovené právním předpisem. To samo o sobě nebrání donucovacím orgánům v provádění činností, jako je skryté vyšetřování nebo dohled pomocí videokamer. Tyto činnosti lze provádět za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení, pokud jsou stanoveny právním předpisem a pokud jsou v demokratické společnosti s náležitým přihlédnutím k oprávněným zájmům dotčené fyzické osoby nutné a přiměřené. Zásada ochrany údajů týkající se korektního zpracování představuje jiný pojem, než je právo na spravedlivý proces, jak jej vymezuje článek 47 Listiny a článek 6 Evropské úmluvy o ochraně lidských práv a základních svobod (EÚLP). Fyzické osoby by měly být upozorněny na to, jaká rizika, pravidla, záruky a práva existují v souvislosti se zpracováním jejich osobních údajů a jak mají v souvislosti s tímto zpracováním uplatňovat svá práva. Zejména je zapotřebí, aby konkrétní účely, pro které jsou osobní údaje zpracovávány, byly jednoznačné a legitimní a aby byly stanoveny v okamžiku shromažďování osobních údajů. Osobní údaje by měly být přiměřené, relevantní a omezené na to, co je nezbytné z hlediska účelů, pro které jsou zpracovávány. Mělo by se zajistit, aby shromažďované osobní údaje byly omezené na nezbytný rozsah a aby nebyly uchovávány déle, než je nezbytné pro účel, pro který jsou zpracovávány. Osobní údaje by měly být zpracovány pouze tehdy, nemůže-li být účelu zpracování přiměřeně dosaženo jinými prostředky. Aby se zajistilo, že údaje nebudou uchovávány déle, než je nezbytné, měl by správce stanovit lhůty pro jejich výmaz nebo pravidelný přezkum. Členské státy by měly stanovit vhodné záruky pro případ osobních údajů uložených po delší dobu za účelem archivace ve veřejném zájmu či pro vědecké, statistické či historické využití.

(27)

Pro prevenci, vyšetřování a stíhání trestných činů je nutné, aby příslušné orgány mohly osobní údaje shromážděné v souvislosti s prevencí, vyšetřováním, odhalováním či stíháním určitých trestných činů zpracovat také v jiném kontextu, aby mohly lépe chápat trestné činnosti a nalézat souvislosti mezi různými odhalenými trestnými činy.

(28)

Aby byla zachována bezpečnost zpracování a zabránilo se zpracování v rozporu s touto směrnicí, měly by být osobní údaje zpracovávány způsobem, který zajistí náležitou úroveň zabezpečení a mlčenlivosti, včetně zabránění neoprávněnému přístupu k osobním údajům a k zařízení používanému ke zpracování nebo jejich neoprávněnému použití, a který bude brát ohled na současný stav techniky a technologií, náklady na provedení v souvislosti s riziky a povahu osobních údajů, které mají být chráněny.

(29)

Osobní údaje by měly být shromažďovány pro stanovené, výslovně vyjádřené a legitimní účely v oblasti působnosti této směrnice a neměly by být zpracovávány pro účely neslučitelné s účely prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení. Pokud osobní údaje zpracovává stejný nebo jiný správce pro účel spadající do oblasti působnosti této směrnice, který je jiný než účel, pro nějž byly tyto údaje shromážděny, mělo by být toto zpracování přípustné, je-li povoleno v souladu s platnými právními přepisy a je pro tento jiný účel nezbytné a přiměřené.

(30)

Zásada přesnosti údajů by měla být uplatňována s ohledem na povahu a účel daného zpracování. Prohlášení obsahující osobní údaje jsou zejména v soudních řízeních založena na subjektivním vnímání fyzických osob a nejsou vždy ověřitelná. Požadavek na přesnost by se tedy neměl týkat přesnosti prohlášení, ale pouze skutečnosti, že prohlášení bylo učiněno.

(31)

Při zpracovávání osobních údajů v oblasti justiční spolupráce v trestních věcech a policejní spolupráce se přirozeně jedná o subjekty údajů různých kategorií. Proto by se mělo v příslušných případech a pokud možno jednoznačně rozlišovat mezi osobními údaji různých kategorií subjektů údajů, jako jsou podezřelé osoby, osoby odsouzené za trestný čin, oběti a jiné osoby, například svědci, osoby, které mohou poskytnout relevantní informace, či kontaktní osoby a společníci podezřelých a odsouzených osob. To by nemělo bránit uplatňování práva presumpce neviny zaručeného Listinou a EÚLP, jak je vykládá judikatura Soudního dvora a Evropského soudu pro lidská práva.

(32)

Příslušné orgány by měly zajistit, aby nebyly předávány nebo zpřístupňovány osobní údaje, které jsou nepřesné, neúplné nebo již nejsou aktuální. Aby se zajistila ochrana fyzických osob i přesnost, úplnost, aktuálnost a spolehlivost předaných nebo zpřístupněných osobních údajů, měly by příslušné orgány při každém předání těchto údajů k nim pokud možno doplnit nezbytné informace.

(33)

Odkazy v této směrnici na právo či právní předpis, právní základ či legislativní opatření členského státu neznamenají nutně legislativní akt přijatý parlamentem, aniž jsou dotčeny požadavky vyplývající z ústavního řádu dotčeného členského státu. Toto právo, právní předpisy, právní základ či legislativní opatření členského státu by však měly být jasné a přesné a jejich použití by mělo být předvídatelné pro osoby, na něž se vztahují, jak to vyžaduje judikatura Soudního dvora a Evropského soudu pro lidská práva. Právo členského státu upravující oblast zpracování osobních údajů v rámci oblasti působnosti této směrnice by mělo specifikovat alespoň cíle, osobní údaje, které mají být zpracovány, účely zpracování, postupy k zachování neporušenosti a důvěrné povahy údajů a postupy jejich zničení, tak aby byly zajištěny dostatečné záruky proti riziku zneužití a svévole.

(34)

Zpracování osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení, by mělo zahrnovat jakoukoliv operaci či soubor operací s osobními údaji nebo soubory osobních údajů, které jsou prováděny automatizovaným či jiným zpracováním, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, seřazení či zkombinování, omezení zpracování, výmaz nebo zničení. Pravidla této směrnice by se měla vztahovat zejména na předávání osobních údajů pro účely této směrnice příjemci, na nějž se tato směrnice nevztahuje. Takovým příjemcem by se měla rozumět fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jakýkoli jiný subjekt, jemuž příslušný orgán osobní údaje zákonně sděluje. Pokud osobní údaje původně shromáždil příslušný orgán pro některý z účelů této směrnice, mělo by se na zpracování těchto údajů pro jiné účely, než jsou účely této směrnice, vztahovat nařízení (EU) 2016/679, pokud je toto zpracování povoleno právem Unie nebo vnitrostátním právem. Pravidla nařízení (EU) 2016/679 by se měla vztahovat zejména na předávání osobních údajů pro účely, které nespadají do oblasti působnosti této směrnice. Pro zpracování osobních údajů příjemcem, který není příslušným orgánem ani nejedná jako příslušný orgán ve smyslu této směrnice a jemuž osobní údaje zákonně sdělil příslušný orgán, by se mělo použít nařízení (EU) 2016/679. Při provádění této směrnice by členské státy měly rovněž moci dále vymezit uplatňování pravidel nařízení (EU) 2016/679, s výhradou podmínek v něm stanovených.

(35)

Aby bylo zpracování osobních údajů podle této směrnice zákonné, mělo by být nezbytné pro plnění úkolů vykonávaných ve veřejném zájmu příslušným orgánem na základě práva Unie nebo členského státu za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení. Tyto činnosti by měly zahrnovat ochranu životně důležitých zájmů subjektu údajů. Plnění úkolů prevence, vyšetřování, odhalování nebo stíhání trestných činů, kterými je institucionálně pověřily právní předpisy, pak příslušným orgánům umožňuje vyžadovat od fyzických osob nebo jim nařizovat, aby splnily, co je po nich požadováno. V takovém případě by souhlas subjektů údajů podle definice v nařízení (EU) 2016/679 neměl představovat právní základ pro zpracování osobních údajů příslušnými orgány. Pokud se od subjektu údajů vyžaduje splnění právní povinnosti, nemá tento subjekt skutečnou a svobodnou volbu, a jeho reakci tudíž nelze považovat za svobodný projev jeho vůle. To by členským státům nemělo bránit v tom, aby právním předpisem stanovily, že subjekt údajů může souhlasit se zpracováním svých osobních údajů pro účely této směrnice, jako jsou testy DNA při trestním vyšetřování nebo sledování místa, kde se nachází, elektronickými náramky pro účely výkonu trestu.

(36)

Členské státy by měly stanovit, že v případech, kdy právo Unie nebo členského státu použitelné pro předávající příslušný orgán stanoví zvláštní podmínky použitelné za určitých okolností na zpracování osobních údajů, jako je použití kódů pro další zacházení, by předávající příslušný orgán měl uvědomit příjemce takových osobních údajů o těchto podmínkách a o nutnosti je dodržovat. Tyto podmínky by mohly například zahrnovat zákaz dalšího předávání osobních údajů jiným osobám, zákaz jejich využití pro jiné účely, než pro které byly příjemci předány, nebo povinnost informovat subjekt údajů v případě omezení práva na informace bez předchozího souhlasu předávajícího příslušného orgánu. Tyto povinnosti by se měly vztahovat i na předávání příslušnými orgány příjemcům ve třetích zemích nebo v mezinárodních organizacích. Členské státy by měly zajistit, aby předávající příslušný orgán nepoužíval pro příjemce v jiných členských státech nebo pro agentury, úřady a jiné subjekty zřízené podle hlavy V kapitol 4 a 5 Smlouvy o fungování EU jiné podmínky než ty, které platí pro obdobná předání údajů v rámci členského státu tohoto příslušného orgánu.

(37)

Osobní údaje, které jsou svou povahou obzvláště citlivé z hlediska základních práv a svobod, zasluhují zvláštní ochranu, jelikož by při jejich zpracování mohla vzniknout závažná rizika pro základní práva a svobody. Mezi tyto osobní údaje by měly patřit osobní údaje vypovídající o rasovém či etnickém původu, ovšem s tím, že použití slov „rasový původ“ v této směrnici neznamená, že Unie akceptuje teorie, které se pokoušejí určit existenci různých lidských ras. Tyto osobní údaje by měly být zpracovávány pouze tehdy, podléhá-li zpracování vhodným zárukám pro práva a svobody subjektu údajů stanoveným právním předpisem a je-li povoleno v případech stanovených právním předpisem; v případech, kdy takovým právním přepisem ještě povoleno nebylo, je-li zpracování nutné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné osoby, nebo se týká údajů zjevně zveřejněných subjektem údajů. Vhodné záruky pro práva a svobody subjektu údajů by mohly zahrnovat možnost shromažďovat tyto údaje pouze ve spojení s jinými údaji o dotyčné fyzické osobě, možnost přiměřeně zabezpečit shromážděné údaje, přísnější pravidla pro přístup zaměstnanců příslušného orgánu k takovým údajům nebo zákaz předávání těchto údajů. Zpracování těchto údajů by mělo být právními předpisy povoleno rovněž tehdy, kdy subjekt údajů udělil výslovný souhlas se zpracováním údajů, které je pro něj zvláště invazivní. Souhlas subjektu údajů by však sám o sobě neměl představovat právní základ pro zpracování tak citlivých osobních údajů příslušnými orgány.

(38)

Subjekt údajů by měl mít právo nebýt předmětem žádného rozhodnutí hodnotícího osobní aspekty týkající se jeho osoby, které vychází výlučně z automatizovaného zpracování a které pro něj má nepříznivé právní účinky nebo se jej významně dotýká. V každém případě by takové zpracování mělo být spojeno s vhodnými zárukami, včetně poskytnutí konkrétních informací subjektu údajů a práva na lidský zásah, zejména vyjádřit svůj názor, získat vysvětlení k rozhodnutí učiněnému po takovém posouzení nebo toto rozhodnutí napadnout. Profilování, které vede k diskriminaci fyzických osob na základě osobních údajů, jež jsou ze své povahy obzvláště citlivé z hlediska základních práv a svobod, je zakázáno za podmínek stanovených v článcích 21 a 52 Listiny.

(39)

Aby mohl subjekt údajů uplatňovat svá práva, měly by mu být veškeré informace snadno přístupné, mimo jiné na internetových stránkách správce, srozumitelné a podávané za použití jasných a jednoduchých jazykových prostředků. Tyto informace by měly být přizpůsobeny potřebám zranitelných osob, jako jsou děti.

(40)

Je třeba stanovit postupy, které by subjektům údajů usnadnily výkon jejich práv podle předpisů přijatých na základě této směrnice, včetně mechanismů pro bezplatné podávání žádostí zejména o přístup k osobním údajům a jejich opravy nebo výmazu a omezení zpracování a případné bezplatné obdržení tohoto přístupu či těchto operací. Správci by měla být uložena povinnost odpovědět na žádost subjektu údajů bez zbytečného odkladu, pokud správce neuplatňuje omezení práv subjektu údajů v souladu s pravidly této směrnice. Pokud však jsou žádosti zjevně nedůvodné nebo nepřiměřené, jako v případě, kdy subjekt údajů bezdůvodně a opakovaně požaduje informace nebo kdy subjekt údajů zneužívá své právo na informace například poskytnutím nepravdivých nebo zavádějících informací při podání žádosti, měl by mít správce možnost uložit přiměřený poplatek nebo žádost odmítnout.

(41)

Pokud správce požaduje poskytnutí dodatečných informací nezbytných k potvrzení totožnosti subjektu údajů, měly by být tyto informace zpracovány pouze pro tento konkrétní účel a neměly by být uloženy déle, než je pro tento účel nezbytné.

(42)

Subjektu údajů by měly být poskytnuty alespoň tyto informace: totožnost správce, existence operací zpracování, účely zpracování, právo podat stížnost a existence práva požadovat od správce přístup k osobním údajům, jejich opravu nebo výmaz nebo omezení zpracování. Tyto informace by mohly být zpřístupněny na internetových stránkách příslušného orgánu. Kromě toho by subjekt údajů, ve zvláštních případech a s cílem umožnit výkon jeho práv, měl být informován o právním základě zpracování a o tom, jak dlouho budou údaje uloženy, jsou-li takové další informace nezbytné, s přihlédnutím ke zvláštním okolnostem, za nichž jsou osobní údaje zpracovávány, s cílem zajistit korektní zpracování s ohledem na subjekt údajů.

(43)

Fyzická osoba by měla mít právo na přístup ke shromážděným osobním údajům, které se jí týkají, a měla by moci toto právo snadno a v přiměřených odstupech uplatňovat, aby byla o jejich zpracování informována a mohla si ověřit jeho zákonnost. Každý subjekt údajů by proto měl mít právo vědět zejména o tom, za jakým účelem se osobní údaje zpracovávají, za jaké období a kdo jsou příjemci osobních údajů, včetně ve třetích zemích, a obdržet příslušná sdělení. Pokud tato sdělení obsahují informace o původu těchto osobních údajů, neměly by tyto informace odhalit totožnost fyzických osob, zejména důvěrné zdroje. K dodržení tohoto práva postačí, aby subjekt údajů obdržel úplný přehled těchto údajů ve srozumitelné formě, tj. ve formě, která subjektu údajů umožňuje se s těmito údaji seznámit a ověřit, že jsou přesné a že byly zpracovány v souladu s touto směrnicí, aby tak mohl vykonávat práva, jež mu tato směrnice přiznává. Tento přehled by mohl být poskytován formou kopie osobních údajů, které jsou zpracovávány.

(44)

Členské státy by měly mít možnost přijmout legislativní opatření, aby poskytnutí těchto informací subjektům údajů odložily, omezily či od něho upustily, nebo aby úplně nebo částečně omezily přístup k jejich osobním údajům, v takovém rozsahu a po takovou dobu, jak je to v demokratické společnosti s náležitým přihlédnutím k základním právům a oprávněným zájmům dotčené fyzické osoby nutné a přiměřené, s cílem zabránit maření úředních nebo právních šetření, vyšetřování nebo postupů, zabránit nepříznivému ovlivňování prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, chránit veřejnou nebo národní bezpečnost nebo chránit práva a svobody druhých. Správce by měl posoudit na základě konkrétního a individuálního přezkumu každého případu, zda by mělo být právo na přístup částečně nebo zcela omezeno.

(45)

Jakékoli odmítnutí nebo omezení přístupu by v zásadě mělo být subjektu údajů sděleno písemně a mělo by obsahovat věcné nebo právní důvody, které k danému rozhodnutí vedly.

(46)

Jakékoli omezení práv subjektu údajů musí být v souladu s Listinou a EÚLP, jak je vykládá judikatura Soudního dvora a Evropského soudu pro lidská práva, a především dodržovat podstatu těchto práv a svobod.

(47)

Fyzická osoba by měla mít právo na opravu nepřesných osobních údajů, které se jí týkají, zejména údajů o skutečnostech, a právo na výmaz, pokud je zpracování těchto údajů v rozporu s touto směrnicí. Nicméně právo na opravu by nemělo ovlivnit například obsah svědecké výpovědi. Fyzická osoba by rovněž měla mít právo na omezení zpracování, pokud zpochybňuje přesnost osobních údajů a tuto přesnost nebo nepřesnost nelze ověřit nebo pokud musí být dané osobní údaje uchovány pro účely dokazování. Namísto výmazu osobních údajů by mělo být jejich zpracování omezeno zejména tehdy, pokud v určitém konkrétním případě existují oprávněné důvody se domnívat, že by výmaz mohl poškodit oprávněné zájmy subjektu údajů. Omezené údaje by v takovém případě měly být zpracovávány pouze pro účel, který zabránil jejich výmazu. Způsoby, jak omezit zpracování osobních údajů, by mohly mimo jiné zahrnovat přesun vybraných údajů do jiného systému zpracování, například pro účely archivace, nebo znepřístupnění vybraných údajů. V systémech automatizovaného zpracování by omezení zpracování mělo být v zásadě zajištěno technickými prostředky. Skutečnost, že zpracování osobních údajů je omezeno, by měla být v systému jasně vyznačena. Takováto oprava nebo výmaz osobních údajů nebo omezení zpracování by měly být sděleny příjemcům, jimž byly údaje zpřístupněny, a příslušným orgánům, od nichž nepřesné údaje pocházely. Správci by také neměli tyto údaje dále šířit.

(48)

Pokud správce odepře subjektu údajů jeho právo na informace, přístup k osobním údajům, jejich opravu nebo výmaz anebo omezení zpracování, měl by mít subjekt údajů právo požadovat, aby vnitrostátní dozorový úřad ověřil zákonnost zpracování. Subjekt údajů by měl být o tomto právu informován. Pokud dozorový úřad koná v zájmu subjektu údajů, měl by jej informovat alespoň o tom, že provedl veškerá nezbytná ověření nebo přezkumy. Dozorový úřad by měl subjekt údajů rovněž informovat o právu na soudní ochranu.

(49)

Pokud jsou osobní údaje zpracovávány v průběhu trestního vyšetřování a soudního řízení v trestních věcech, mělo by být možné stanovit, že právo na informace, přístup k osobním údajům, jejich opravu nebo výmaz a omezení zpracování má být vykonáváno v souladu s vnitrostátní úpravou soudního řízení.

(50)

Měla by být stanovena odpovědnost správce za jakékoliv zpracování osobních údajů prováděné správcem nebo pro něj. Správce by měl být zejména povinen zavést vhodná a účinná opatření a být schopen doložit, že činnosti zpracování jsou v souladu s touto směrnicí. Tato opatření by měla zohledňovat povahu, rozsah, kontext a účely zpracování a riziko pro práva a svobody fyzických osob. Opatření přijatá správcem by měla zahrnovat vypracování a provedení konkrétních záruk, pokud jde o zpracování osobních údajů zranitelných osob, jako jsou děti.

(51)

Různě pravděpodobná a různě závažná rizika pro práva a svobody fyzických osob mohou vyplynout ze zpracování, které by mohlo vést k fyzické, hmotné nebo nehmotné újmě, zejména v případech: kdy by zpracování mohlo vést k diskriminaci, krádeži či zneužití totožnosti, finanční ztrátě, poškození pověsti, ztrátě důvěrnosti údajů chráněných služebním tajemstvím, neoprávněnému zrušení pseudonymizace nebo jakémukoliv jinému významnému hospodářskému či společenskému znevýhodnění; kdy by subjekty údajů mohly být zbaveny svých práv a svobod nebo možnosti kontrolovat své osobní údaje; kdy jsou zpracovávány osobní údaje, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filosofickém přesvědčení nebo členství v odborech; kdy jsou zpracovávány genetické či biometrické údaje za účelem jedinečné identifikace fyzické osoby nebo kdy jsou zpracovávány údaje o zdravotním stavu či sexuálním životě a sexuální orientaci nebo o odsouzení v trestních věcech a trestných činech či souvisejících bezpečnostních opatřeních; kdy jsou za účelem vytvoření či využití osobních profilů vyhodnocovány osobní aspekty, zejména prostřednictvím analýzy a odhadu aspektů týkajících se pracovních výsledků, ekonomické situace, zdravotního stavu, osobních preferencí nebo zájmů, spolehlivosti nebo chování, místa, kde se nachází, nebo pohybu; kdy jsou zpracovávány osobní údaje zranitelných osob, především dětí; nebo kdy je zpracováván velký objem osobních údajů a zpracování se dotýká velkého počtu subjektů údajů.

(52)

Pravděpodobnost a závažnost rizika by měly být určeny s ohledem na povahu, rozsah, kontext a účely zpracování. Riziko by mělo být hodnoceno objektivním posouzením zjišťujícím, zda operace zpracování představují vysoké riziko. Vysoké riziko je zvláštní riziko ohrožení práv a svobod subjektů údajů.

(53)

Pro ochranu práv a svobod fyzických osob v souvislosti se zpracováním osobních údajů je třeba přijmout vhodná technická a organizační opatření, aby se zajistilo splnění požadavků této směrnice. Provádění těchto opatření by nemělo záviset výlučně na ekonomických hlediscích. Aby správce mohl doložit soulad s touto směrnicí, měl by přijmout vnitřní koncepce a zavést opatření, která dodržují zejména zásady záměrné a standardní ochrany osobních údajů. Jestliže správce vypracoval posouzení vlivu na ochranu osobních údajů podle této směrnice, měly by být jeho výsledky zohledněny při vytváření uvedených opatření a postupů. Tato opatření by mohla mimo jiné spočívat v tom, že je co nejdříve použita pseudonymizace. Použití pseudonymizace pro účely této směrnice může posloužit jako nástroj, který by mohl usnadnit zejména volný pohyb osobních údajů v prostoru svobody, bezpečnosti a práva.

(54)

Ochrana práv a svobod subjektů údajů i odpovědnost správců a zpracovatelů, mimo jiné pokud jde o jejich monitorování a opatření vůči nim přijímaná dozorovými úřady, vyžadují, aby bylo jasně určeno, kdo má plnit jednotlivé povinnosti stanovené v této směrnici, včetně případů, kdy správce určuje účely a prostředky zpracování společně s jinými správci nebo kdy je operace zpracování prováděna pro správce.

(55)

Provádění zpracování zpracovatelem by se mělo řídit právním aktem, včetně smlouvy, který zavazuje zpracovatele vůči správci a zejména stanoví, že zpracovatel by měl jednat pouze podle pokynů správce. Zpracovatel by měl zohledňovat zásadu záměrné a standardní ochrany osobních údajů.

(56)

Aby správce nebo zpracovatel doložil soulad s touto směrnicí, měl by vést záznamy o všech kategoriích činností zpracování, za které odpovídá. Každý správce a zpracovatel by měl být povinen spolupracovat s dozorovým úřadem a na jeho žádost mu tyto záznamy zpřístupnit, aby na jejich základě mohly být tyto operace zpracování monitorovány. Správce nebo zpracovatel zpracovávající osobní údaje prostřednictvím neautomatizovaných systémů zpracování by měl mít zavedeny účinné způsoby dokládání zákonnosti zpracování, umožnění vlastní kontroly a zajištění neporušenosti a zabezpečení údajů, jako jsou logy nebo jiné formy záznamů.

(57)

Logy by měly být vedeny alespoň pro operace v rámci automatizovaných systémů zpracování, jako jsou shromažďování, pozměňování, nahlížení, sdělování včetně předávání, kombinování nebo výmaz. Měla by být zaznamenána totožnost fyzické osoby, která do osobních údajů nahlédla nebo je zpřístupnila, a z této totožnosti by mělo být možné odvodit důvody pro zpracování. Logy by se měly používat pouze pro ověření zákonnosti zpracování, pro vlastní kontrolu, pro zajištění neporušenosti a zabezpečení údajů a pro trestní řízení. Vlastní kontrola rovněž zahrnuje interní disciplinární řízení příslušných orgánů.

(58)

Správce by měl provést posouzení vlivu na ochranu osobních údajů v případě, že operace zpracování kvůli své povaze, rozsahu nebo účelu s sebou pravděpodobně nesou vysoká rizika pro práva a svobody subjektů údajů, přičemž by toto posouzení mělo zahrnovat zejména plánovaná opatření, záruky a mechanismy, jimiž lze zajistit ochranu osobních údajů a doložit soulad s touto směrnicí. Posouzení vlivu by mělo zahrnovat příslušné systémy a postupy operací zpracování, nikoli individuální případy.

(59)

Aby byla zajištěna účinná ochrana práv a svobod subjektů údajů, měl by správce nebo zpracovatel v určitých případech před zpracováním konzultovat s dozorovým úřadem.

(60)

V zájmu zachování bezpečnosti a zabránění zpracování, které by bylo v rozporu s touto směrnicí, by měl správce nebo zpracovatel posoudit rizika spojená se zpracováním a přijmout opatření ke zmírnění těchto rizik, například šifrování. Tato opatření by měla zajistit náležitou úroveň zabezpečení, včetně mlčenlivosti, s ohledem na stav techniky, náklady na provedení v souvislosti s rizikem a povahu osobních údajů, které mají být chráněny. Při posuzování rizik pro zabezpečení údajů by se měla vzít v úvahu rizika, která zpracování představuje, jako jsou náhodné nebo protiprávní zničení, ztráta, pozměnění, neoprávněné sdělení nebo zpřístupnění předaných, uložených nebo jiným způsobem zpracovaných osobních údajů, které by mohlo zejména vést k fyzické, hmotné nebo nehmotné újmě. Správce a zpracovatel by měli zajistit, aby zpracování osobních údajů neprováděly neoprávněné osoby.

(61)

Není-li porušení zabezpečení osobních údajů náležitě a včas řešeno, může to fyzickým osobám způsobit fyzickou, hmotnou či nehmotnou újmu, jako je ztráta kontroly nad jejich osobními údaji nebo omezení jejich práv, diskriminace, krádež nebo zneužití identity, finanční ztráta, neoprávněné zrušení pseudonymizace, poškození pověsti, ztráta důvěrnosti osobních údajů chráněných služebním tajemstvím nebo jakékoliv jiné významné hospodářské či společenské znevýhodnění dotčených fyzických osob. Jakmile se tedy správce o porušení zabezpečení osobních údajů dozví, měl by je bez zbytečného odkladu, a je-li to možné, do 72 hodin poté, co se o něm dozvěděl, ohlásit příslušnému dozorovému úřadu, ledaže může v souladu se zásadou odpovědnosti doložit, že je nepravděpodobné, že by dané porušení zabezpečení osobních údajů mělo za následek riziko pro práva a svobody fyzických osob. Není-li toto ohlášení možné učinit do 72 hodin, měly by být spolu s ním uvedeny důvody zpoždění a informace mohou být poskytnuty postupně bez zbytečného dalšího prodlení.

(62)

Je-li pravděpodobné, že porušení zabezpečení osobních údajů může mít za následek vysoké riziko pro práva a svobody fyzických osob, měly by být fyzické osoby bez zbytečného odkladu informovány, aby mohly přijmout nezbytná opatření. V oznámení by měla být popsána povaha daného případu porušení zabezpečení osobních údajů a obsažena doporučení pro dotčenou fyzickou osobu, jak případné nežádoucí účinky zmírnit. Tato oznámení by měla být subjektům údajů učiněna, jakmile je to proveditelné, v úzké spolupráci s dozorovým úřadem a v souladu s pokyny tohoto úřadu nebo jiných příslušných orgánů. Například v případě potřeby zmírnit bezprostřední riziko způsobení újmy je nutné tuto skutečnost subjektům údajů neprodleně oznámit, zatímco v situaci, kdy je zapotřebí zavést vhodná opatření s cílem zabránit tomu, aby porušení zabezpečení osobních údajů pokračovalo nebo aby docházelo k podobným případům porušení, může být opodstatněna delší lhůta. Není-li možné zabránění maření úředních nebo právních šetření, vyšetřování nebo postupů, zabránění nepříznivému ovlivňování prevence, odhalování, vyšetřování či stíhání trestných činů nebo výkonu trestů, ochrany veřejného pořádku, ochrany národní bezpečnosti nebo ochrany práv a svobod druhých dosáhnout zpožděním či omezením sdělení o porušení zabezpečení osobních údajů dotčené fyzické osobě, mohlo by být od tohoto sdělení ve výjimečných případech upuštěno.

(63)

Správce by měl určit osobu, která mu bude pomáhat monitorovat vnitřní dodržování ustanovení přijatých podle této směrnice, s výjimkou případů, kdy členský stát rozhodne o vynětí soudů a jiných nezávislých justičních orgánů jednajících v rámci svých justičních pravomocí. Tato osoba by mohla být součástí stávajícího personálu správce, který absolvoval zvláštní odbornou přípravu ohledně práva a praxe v oblasti ochrany údajů s cílem získat odborné znalosti v této oblasti. Potřebná úroveň odborných znalostí by se měla určit zejména podle prováděných operací zpracování a podle ochrany, která se vyžaduje pro osobní údaje zpracovávané správcem. Tato osoba by mohla plnit úkoly na částečný nebo plný úvazek. Pověřence pro ochranu osobních údajů může společně jmenovat více správců s ohledem na svou organizační strukturu a velikost, například v případě sdílených zdrojů v centrálních jednotkách. Tato osoba může být rovněž jmenována na různé pozice ve struktuře příslušných správců. Měla by správci a zaměstnancům zpracovávajícím osobní údaje pomáhat prostřednictvím informování a poradenství o dodržování jejich příslušných povinností týkajících se ochrany údajů. Tito pověřenci pro ochranu osobních údajů by měli být schopni plnit své povinnosti a úkoly nezávislým způsobem v souladu s právem členského státu.

(64)

Členské státy by měly zajistit, aby se předání údajů do třetí země nebo mezinárodní organizaci uskutečnilo jen tehdy, je-li to nezbytné za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení, a je-li správce v dané třetí zemi nebo v mezinárodní organizaci příslušným orgánem ve smyslu této směrnice. Předání by měly provádět pouze příslušné orgány jednající jako správci údajů vyjma případy, kdy jsou zpracovatelé výslovně pověřeni, aby předání provedli pro správce. Takové předání může být provedeno v případech, kdy Komise rozhodla, že daná třetí země nebo mezinárodní organizace zajišťuje odpovídající úroveň ochrany, kdy byly poskytnuty vhodné záruky nebo kdy se uplatní výjimky stanovené pro specifické situace. Pokud jsou osobní údaje předávány z Unie správcům, zpracovatelům nebo jiným příjemcům ve třetích zemích nebo v mezinárodních organizacích, neměla by být úroveň ochrany fyzických osob poskytovaná v Unii touto směrnicí znehodnocena, a to ani v případech dalšího předání osobních údajů ze třetí země nebo mezinárodní organizace správcům nebo zpracovatelům ve stejné nebo jiné třetí zemi nebo mezinárodní organizaci.

(65)

Pokud jsou osobní údaje předávány z členského státu do třetích zemí nebo mezinárodním organizacím, mělo by se takové předání v zásadě uskutečnit pouze poté, co členský stát, od něhož byly údaje získány, toto další předání povolil. V zájmu účinné spolupráce při vymáhání práva je třeba, aby v případech, kdy je povaha ohrožení veřejné bezpečnosti členského státu nebo třetí země či podstatných zájmů členského státu tak bezprostřední, že není možné včas získat předchozí povolení, měl příslušný orgán možnost předat příslušné osobní údaje do dotyčné třetí země nebo dotyčné mezinárodní organizaci bez tohoto předchozího povolení. Členské státy by měly stanovit, že třetím zemím a mezinárodním organizacím by měly být oznamovány veškeré zvláštní podmínky týkající se předání. Další předání osobních údajů by měla podléhat předchozímu povolení příslušného orgánu, který provedl původní předání. Při rozhodování o žádosti o povolení dalšího předání by měl příslušný orgán, který provedl původní předání, řádně zohlednit všechny relevantní faktory, včetně závažnosti trestného činu, zvláštních podmínek, za nichž došlo k původnímu předání údajů, účelu, pro který byly údaje původně předány, povahy a podmínek výkonu trestu a úrovně ochrany osobních údajů ve třetí zemi nebo v mezinárodní organizaci, které jsou osobní údaje dále předávány. Příslušný orgán, který provedl původní předání, by měl mít rovněž možnost stanovit zvláštní podmínky pro další předání. Tyto zvláštní podmínky mohou být popsány například v kódech pro další zacházení.

(66)

Komise by měla být schopna s účinkem pro celou Unii rozhodnout, že určitá třetí země, určité území či jedno nebo více konkrétních odvětví v určité třetí zemi nebo určitá mezinárodní organizace poskytují odpovídající úroveň ochrany osobních údajů, a tímto způsobem zajistit právní jistotu a jednotné uplatňování práva v celé Unii ve vztahu k dané třetí zemi nebo mezinárodní organizaci, u níž se má za to, že takovou úroveň ochrany poskytuje. V těchto případech by mělo být možné předat osobní údaje do této země nebo této mezinárodní organizaci bez potřeby získat nějaké zvláštní povolení, s výjimkou případů, kdy musí s předáním souhlasit jiný členský stát, od něhož byly údaje získány.

(67)

V souladu se základními hodnotami, na kterých je Unie založena a mezi něž patří zejména ochrana lidských práv, by Komise měla při svém hodnocení určité třetí země nebo určitého území nebo konkrétního odvětví v určité třetí zemi zohlednit skutečnost, jak tato třetí země dodržuje zásady právního státu a přístupu ke spravedlnosti, jakož i mezinárodní normy a standardy v oblasti lidských práv a příslušné obecné a odvětvové právní předpisy, včetně právních předpisů týkajících se veřejné bezpečnosti, obrany a národní bezpečnosti, jakož i veřejného pořádku a trestního práva. Přijetí rozhodnutí o odpovídající ochraně ve vztahu k určitému území nebo konkrétnímu odvětví v určité třetí zemi by mělo zohlednit jasná a objektivní kritéria, jako jsou určité činnosti zpracování a oblast působnosti použitelných právních standardů a právních předpisů platných v dané třetí zemi. Třetí země by měla nabídnout záruky zajišťující odpovídající úroveň ochrany v zásadě rovnocennou úrovni ochrany zajištěné v Unii, zejména pokud jsou osobní údaje zpracovávány v jednom nebo více konkrétních odvětvích. Daná třetí země by zejména měla zajistit účinný nezávislý dozor nad ochranou údajů a měla by stanovit mechanismy spolupráce s úřady členských států pro ochranu osobních údajů, přičemž subjektům údajů by měla být poskytnuta účinná a vymahatelná práva a účinná správní a soudní ochrana.

(68)

Vedle mezinárodních závazků, které daná třetí země nebo mezinárodní organizace přijala, by Komise měla zohlednit povinnosti vyplývající z účasti dané třetí země nebo mezinárodní organizace na mnohostranných nebo regionálních systémech, zejména ve vztahu k ochraně osobních údajů, jakož i plnění těchto povinností. Zohledněno by mělo být zejména přistoupení dané třetí země k Úmluvě Rady Evropy ze dne 28. ledna 1981 o ochraně osob se zřetelem na automatizované zpracování osobních dat a jejímu dodatkovému protokolu. Komise by měla při posuzování úrovně ochrany ve třetích zemích nebo mezinárodních organizacích konzultovat Evropský sbor pro ochranu osobních údajů, zřízený nařízením (EU) 2016/679 (dále jen „sbor“). Komise by rovněž měla zohlednit veškerá příslušná rozhodnutí Komise o odpovídající ochraně přijatá v souladu s článkem 45 nařízení (EU) 2016/679.

(69)

Komise by měla monitorovat fungování rozhodnutí o úrovni ochrany v určité třetí zemi, na určitém území či v konkrétním odvětví v určité třetí zemi nebo v určité mezinárodní organizaci. Ve svých rozhodnutích o odpovídající ochraně by Komise měla stanovit mechanismus pravidelného přezkumu jejich fungování. Tento pravidelný přezkum by měl probíhat za konzultace s dotčenou třetí zemí nebo mezinárodní organizací a měl by zohlednit veškerý významný vývoj v dané třetí zemi nebo mezinárodní organizaci.

(70)

Komise by měla být schopna konstatovat, že určitá třetí země, určité území či konkrétní odvětví v určité třetí zemi nebo určitá mezinárodní organizace již odpovídající úroveň ochrany údajů nezajišťuje. Předání osobních údajů do této třetí země nebo této mezinárodní organizaci by tudíž mělo být povoleno, jen pokud jsou splněny požadavky této směrnice týkající se předání na základě vhodných záruk a odchylek ve zvláštních situacích. Měly by být stanoveny postupy pro konzultace mezi Komisí a těmito třetími zeměmi nebo mezinárodními organizacemi. Komise by měla včas informovat danou třetí zemi nebo mezinárodní organizaci o důvodech a zahájit s ní konzultace za účelem nápravy situace.

(71)

Předání údajů, které není založeno na takovém rozhodnutí o odpovídající ochraně, by mělo být povoleno pouze v případě, pokud byly v právně závazném nástroji poskytnuty vhodné záruky, jež zajišťují ochranu osobních údajů, nebo pokud správce posoudil všechny okolnosti daného předání údajů a na základě tohoto posouzení se domnívá, že pro ochranu osobních údajů existují vhodné záruky. Takovými právně závaznými nástroji by například mohly být právně závazné dvoustranné dohody, které byly uzavřeny členskými státy a provedeny v jejich právním řádu a jichž by se mohly dovolávat jejich subjekty údajů, zajišťující splnění požadavků na ochranu údajů a práva subjektů údajů, včetně práva na účinné prostředky správním či soudní ochrany. Správce by měl mít možnost vzít v úvahu dohody o spolupráci uzavřené mezi Europolem nebo Eurojustem a třetími zeměmi, které umožňují výměnu osobních údajů při posouzení všech okolností daného předání údajů. Správce by měl mít možnost vzít v úvahu i skutečnost, že se na předání osobních údajů budou vztahovat povinnosti související se zachováním mlčenlivosti a zásada specifičnosti, což zaručí, že tyto údaje nebudou zpracovány pro jiné účely než pro účely předání. Správce by navíc měl vzít v úvahu i skutečnost, že osobní údaje nebudou použity v souvislosti se žádostí o trest smrti, jeho vynesením nebo výkonem nebo s jakoukoli formou krutého a nelidského zacházení. Zatímco tyto podmínky by mohly být považovány za vhodné záruky umožňující předání údajů, správce by měl mít možnost požadovat další záruky.

(72)

Kde neexistuje rozhodnutí o odpovídající ochraně ani vhodné záruky, mohlo by se předání nebo kategorie předání uskutečnit pouze ve zvláštních situacích, je-li to nutné k ochraně životních zájmů subjektu údajů nebo jiné osoby nebo k ochraně oprávněných zájmů subjektu údajů, jestliže tak stanoví právní předpisy členského státu, který osobní údaje předává, k zabránění bezprostřednímu a závažnému ohrožení veřejné bezpečnosti v některém členském státě nebo třetí zemi nebo, v individuálních případech, k prevenci, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení, nebo, v individuálních případech, ke stanovení, výkonu nebo ochraně právních nároků. Tyto výjimky by měly být vykládány restriktivně, neměly by umožňovat časté, hromadné a strukturální předávání osobních údajů ani rozsáhlá předávání údajů a měly by se omezit na přísně nezbytné údaje. Tato předání by měla být zdokumentována a měla by být zpřístupněna na požádání dozorového úřadu za účelem sledování zákonnosti předání.

(73)

Příslušné orgány členských států uplatňují platné dvoustranné nebo mnohostranné mezinárodní dohody uzavřené s třetími zeměmi v oblasti justiční spolupráce v trestních věcech a policejní spolupráce pro výměnu příslušných informací s cílem umožnit jim, aby plnily své právním předpisem stanovené úkoly. Tato výměna probíhá v zásadě prostřednictvím nebo přinejmenším za spolupráce orgánů příslušných v dotčených třetích zemí pro účely této směrnice, někdy dokonce za neexistence dvoustranné nebo mnohostranné mezinárodní dohody. Nicméně v konkrétních individuálních případech mohou být běžné postupy vyžadující kontaktování takového orgánu ve třetí zemi neúčinné nebo nevhodné, zejména proto, že by předání nemohlo být provedeno včas nebo protože uvedený orgán ve třetí zemi nedodržuje zásady právního státu nebo mezinárodní normy a standardy v oblasti lidských práv, a tak by příslušné orgány členských států mohly rozhodnout o předání osobních údajů přímo příjemcům usazeným v těchto třetích zemích. Může tomu tak být i v případě, že je naléhavě potřeba předat osobní údaje k záchraně života osoby, jíž hrozí, že se stane obětí trestného činu, nebo v zájmu předejití bezprostřednímu spáchání trestného činu, včetně terorismu. Přestože k tomuto předání mezi příslušnými orgány a příjemci usazenými ve třetích zemích by mělo docházet pouze ve zvláštních individuálních případech, měla by tato směrnice za účelem jejich úpravy stanovit podmínky. Uvedená ustanovení by neměla být považována za odchylky od jakýchkoli stávajících dvoustranných nebo mnohostranných mezinárodních dohod v oblasti justiční spolupráce v trestních věcech a policejní spolupráce. Zmíněná pravidla by se měla uplatnit spolu s ostatními pravidly obsaženými v této směrnici, zejména s pravidly o zákonnosti zpracování a pravidly kapitoly V.

(74)

Předání osobních údajů přes hranice může fyzické osoby vystavit zvýšenému riziku, že nebudou moci uplatnit svá práva na ochranu osobních údajů a chránit se před protiprávním použitím nebo poskytnutím těchto údajů. Zároveň se může stát, že dozorové úřady nebudou schopny vyřizovat stížnosti nebo provádět šetření týkající se činností prováděných za hranicemi svého státu. Překážkou pro jejich úsilí o přeshraniční spolupráci mohou být také nedostatečné preventivní nebo nápravné pravomoci a rozdíly v právní úpravě. Proto je třeba podporovat užší spolupráci mezi dozorovými úřady zabývajícími se ochranou osobních údajů s cílem napomoci jim při výměně informací s dozorovými úřady jiných zemí.

(75)

Zásadním prvkem ochrany fyzických osob v souvislosti se zpracováním jejich osobních údajů je zřízení dozorových úřadů, jež mohou v členských státech plnit své úkoly zcela nezávisle. Dozorové úřady by měly sledovat uplatňování předpisů přijatých na základě této směrnice a přispívat k jejímu soudržnému uplatňování v celé Unii s cílem chránit fyzické osoby v souvislosti se zpracováním jejich osobních údajů. Za tímto účelem by měly spolupracovat mezi sebou a s Komisí.

(76)

Členské státy mohou dozorový úřad, který již byl zřízen podle nařízení (EU) 2016/679, pověřit úkoly, jež mají plnit vnitrostátní dozorové úřady, které mají být zřízeny podle této směrnice.

(77)

Členské státy by měly mít možnost zřídit více než jeden dozorový úřad, aby zohlednily své ústavní, organizační a správní uspořádání. Každému dozorovému úřadu by měly být poskytnuty finanční a lidské zdroje, prostory a infrastruktura, které potřebuje pro účinné plnění svých úkolů, včetně úkolů souvisejících se vzájemnou pomocí a spoluprací s jinými dozorovými úřady v celé Unii. Každý dozorový úřad by měl mít samostatný roční veřejný rozpočet, který může být součástí celkového zemského nebo státního rozpočtu.

(78)

Dozorové úřady by měly podléhat nezávislým mechanismům kontroly nebo sledování, pokud jde o jejich finanční výdaje, za podmínky, že touto finanční kontrolou není dotčena jejich nezávislost.

(79)

Obecné podmínky pro člena nebo členy dozorového úřadu by měly být v každém členském státě upraveny právem členského státu, a zejména by měly stanovit, že tito členové mají být jmenováni transparentním způsobem parlamentem, vládou nebo hlavou dotčeného členského státu na návrh vlády, člena vlády, parlamentu nebo jeho komory, anebo nezávislým subjektem pověřeným právem členského státu. V zájmu zajištění nezávislosti dozorového úřadu by jeho člen nebo členové měli jednat poctivě a zdržet se jakéhokoliv jednání neslučitelného s výkonem jejich funkce a během svého funkčního období by neměli vykonávat žádnou výdělečnou ani nevýdělečnou pracovní činnost neslučitelnou s touto funkcí. V zájmu zajištění své nezávislosti by si měl dozorový úřad své zaměstnance vybírat sám, případně se zapojením nezávislého subjektu pověřeného právem členského státu.

(80)

Ačkoli se tato směrnice vztahuje také na činnosti vnitrostátních soudů a dalších justičních orgánů, neměla by se pravomoc dozorových úřadů vztahovat na zpracování osobních údajů soudy jednajícími v rámci svých justičních pravomocí, aby byla zachována nezávislost soudců při výkonu jejich justičních úkolů. Tato výjimka by měla být omezena na justiční činnosti v soudních řízeních a neměla by se vztahovat na jiné činnosti, do kterých mohou být soudci v souladu s právem členského státu zapojeni. Členské státy by rovněž měly mít možnost stanovit, že se pravomoc dozorového úřadu nevztahuje na zpracování osobních údajů jinými nezávislými justičními orgány jednajícími v rámci svých justičních pravomocí, například státním zastupitelstvím. Dodržování pravidel této směrnice soudy a jinými nezávislými justičními orgány by mělo být v každém případě vždy předmětem nezávislého dohledu podle čl. 8 odst. 3 Listiny.

(81)

Každý dozorový úřad by se měl zabývat stížnostmi podanými kterýmkoli subjektem údajů a danou záležitost buď prošetřit, nebo postoupit příslušnému dozorovému úřadu. Šetření, které následuje po podání stížnosti, by mělo být s výhradou soudního přezkumu provedeno v rozsahu, jenž je v daném případě přiměřený. Dozorový úřad by měl subjekt údajů v přiměřené lhůtě informovat o pokroku v řešení stížnosti a o jeho výsledku. Je-li v dané věci zapotřebí další šetření nebo koordinace s jiným dozorovým úřadem, měl by být subjekt údajů informován průběžně.

(82)

Aby se zajistilo účinné, spolehlivé a soudržné monitorování dodržování a prosazování této směrnice v celé Unii na základě Smlouvy o fungování EU, jak je vykládána Soudním dvorem, měly by mít dozorové úřady v každém členském státě tytéž úkoly a účinné pravomoci, včetně pravomocí provádět šetření, ukládat nápravná opatření a poskytovat poradenství, které jsou nezbytnými prostředky k plnění jejich úkolů. Jejich pravomoci by však neměly být v rozporu se zvláštními pravidly trestního řízení, včetně vyšetřování trestných činů a jejich stíhání, ani s nezávislostí soudů. Aniž jsou dotčeny pravomoci orgánů příslušných podávat obžalobu v trestním řízení podle vnitrostátního práva, měly by mít dozorové úřady rovněž pravomoc upozorňovat justiční orgány na porušení této směrnice nebo se obracet na soud. Pravomoci dozorových úřadů by měly být vykonávány v souladu s vhodnými procesními zárukami stanovenými právem Unie a členského státu nestranně, spravedlivě a v přiměřených lhůtách. Každé opatření by zejména mělo být vhodné, nezbytné a přiměřené, aby byl s přihlédnutím k okolnostem každého jednotlivého případu zajištěn soulad s touto směrnicí, mělo by respektovat právo všech osob být vyslechnuty dříve, než bude přijato jakékoliv individuální opatření, které by na ně mělo nepříznivý dopad, a nemělo by pro dotčené osoby znamenat zbytečné náklady a přílišné obtíže. Pravomoci provádět šetření, pokud jde o přístup do prostor, by měly být vykonávány v souladu s příslušnými požadavky práva členského státu, jako je například požadavek obstarat si předem soudní povolení. Přijetí právně závazného rozhodnutí by mělo podléhat soudnímu přezkumu v členském státě dozorového úřadu, který rozhodnutí přijal.

(83)

Dozorové úřady by si při plnění svých úkolů měly být vzájemně nápomocny, aby bylo zajištěno soudržné uplatňování a prosazování předpisů přijatých na základě této směrnice.

(84)

Sbor by měl přispívat k soudržnému uplatňování této směrnice v celé Unii, včetně poskytování poradenství Komisi a podpory spolupráce dozorových úřadů v celé Unii.

(85)

Každý subjekt údajů by měl mít právo podat stížnost u jediného dozorového úřadu a právo na účinnou soudní ochranu v souladu s článkem 47 Listiny, jestliže se domnívá, že byla porušena jeho práva vyplývající z předpisů přijatých na základě této směrnice, nebo pokud dozorový úřad na stížnost nereaguje, stížnost zcela či částečně zamítne či odmítne, nebo pokud nekoná, přestože je to nutné z důvodu ochrany práv subjektu údajů. Šetření, které následuje po podání stížnosti, by mělo být s výhradou soudního přezkumu provedeno v rozsahu, jenž je v daném případě přiměřený. Příslušný dozorový úřad by měl subjekt údajů v přiměřené lhůtě informovat o pokroku v řešení stížnosti a o jeho výsledku. Je-li v dané věci zapotřebí další šetření nebo koordinace s jiným dozorovým úřadem, měl by být subjekt údajů informován průběžně. S cílem usnadnit podávání stížností by měl každý dozorový úřad přijmout určitá opatření, například poskytnout formulář pro podání stížnosti, který lze vyplnit i elektronicky, aniž by byly vyloučeny další komunikační prostředky.

(86)

Každá fyzická nebo právnická osoba by měla mít právo podat u příslušného vnitrostátního soudu účinný prostředek nápravy proti rozhodnutí dozorového úřadu, které vůči ní zakládá právní účinky. Takové rozhodnutí se týká zejména výkonu šetřicích, nápravných a povolovacích pravomocí dozorovým úřadem nebo odmítnutí či zamítnutí stížností. Toto právo se však nevztahuje na další opatření dozorových úřadů, která nejsou právně závazná, jako jsou stanoviska vydávaná dozorovým úřadem nebo poradenství jím poskytované. Řízení proti dozorovému úřadu by mělo být zahájeno u soudů toho členského státu, v němž je daný dozorový úřad zřízen, a mělo by probíhat podle práva tohoto členského státu. Tyto soudy by měly vykonávat soudní pravomoc v plném rozsahu, která by měla zahrnovat pravomoc řešit všechny skutkové a právní otázky, které jsou pro jimi projednávaný spor relevantní.

(87)

Pokud se subjekt údajů domnívá, že jeho práva podle této směrnice byla porušena, měl by být oprávněn pověřit určitý subjekt, jehož cílem je chránit práva a zájmy subjektů údajů v souvislosti s ochranou jejich osobních údajů a jenž byl řádně zřízen podle práva členského státu, aby podal jeho jménem stížnost u dozorového úřadu a uplatnil právo na soudní ochranu. Právem na zastupování subjektů údajů by nemělo být dotčeno procesní právo členského státu, které může vyžadovat povinné zastupování subjektů údajů advokátem u vnitrostátních soudů, jak je vymezeno ve směrnici Rady77/249/EHS (10).

(88)

Veškerou újmu, která může osobám vzniknout v důsledku zpracování, které porušuje předpisy přijaté na základě této směrnice, by měl nahradit správce nebo jakýkoliv jiný orgán příslušný podle práva členského státu. Výklad pojmu „újma“ by měl být široký a opírat se o judikaturu Soudního dvora při plném zohlednění cílů této směrnice. Tím nejsou dotčeny jakékoliv nároky uplatňované v případě újmy způsobené porušením jiných pravidel práva Unie nebo členského státu. Odkazuje-li se na zpracování, které je protiprávní nebo je porušuje předpisy přijaté na základě této směrnice, rozumí se tím rovněž zpracování, které porušuje prováděcí akty přijaté podle této směrnice. Subjekty údajů by měly obdržet plnou a účinnou náhradu újmy, kterou utrpěly.

(89)

Každé fyzické nebo veřejnoprávní či soukromoprávní právnické osobě, která poruší tuto směrnici, by měly být uloženy sankce. Členské státy by měly zajistit, aby byly tyto sankce účinné, přiměřené a odrazující, a měly by přijmout všechna opatření pro jejich uplatňování.

(90)

V zájmu zajištění jednotných podmínek k provedení této směrnice by měly být Komisi svěřeny prováděcí pravomoci, pokud jde o odpovídající úroveň ochrany poskytované určitou třetí zemí, určitým územím či konkrétním odvětvím v určité třetí zemi nebo určitou mezinárodní organizací, o formát a postupy pro vzájemnou pomoc a o úpravu elektronické výměny informací mezi dozorovými úřady navzájem a mezi dozorovými úřady a sborem. Tyto pravomoci by měly být vykonávány v souladu s nařízením Evropského parlamentu a Rady (EU) č. 182/2011 (11).

(91)

Pro přijímání prováděcích aktů týkajících se odpovídající úrovně ochrany poskytované určitou třetí zemí, určitým územím či konkrétním odvětvím v určité třetí zemi nebo určitou mezinárodní organizací, formátu a postupů pro vzájemnou pomoc a úpravy elektronické výměny informací mezi dozorovými úřady navzájem a mezi dozorovými úřady a sborem by se měl vzhledem k tomu, že se jedná o akty s obecnou působností, použít přezkumný postup.

(92)

Je-li to nezbytné v závažných, naléhavých a řádně odůvodněných případech týkajících se určité třetí země, určitého území či konkrétního odvětví v určité třetí zemi nebo určité mezinárodní organizace, které již nezajišťují odpovídající úroveň ochrany, měla by Komise přijmout okamžitě použitelné prováděcí akty.

(93)

Jelikož cílů této směrnice, totiž ochrany základních práv a svobod fyzických osob, a zejména jejich práva na ochranu osobních údajů, a zajištění volného pohybu osobních údajů mezi příslušnými orgány v rámci Unie, nemůže být uspokojivě dosaženo členskými státy, ale spíše jich z důvodu rozsahu či účinků tohoto opatření může být lépe dosaženo na úrovni Unie, může Unie přijmout opatření v souladu se zásadou subsidiarity stanovenou v článku 5 Smlouvy o EU. V souladu se zásadou proporcionality stanovenou v uvedeném článku nepřekračuje tato směrnice rámec toho, co je nezbytné pro dosažení těchto cílů.

(94)

Konkrétní ustanovení aktů Unie v oblasti justiční spolupráce v trestních věcech a policejní spolupráce přijatých přede dnem přijetí této směrnice, jež upravují zpracování osobních údajů mezi členskými státy nebo přístup určených orgánů členských států do informačních systémů zřízených podle Smluv, by měla zůstat nedotčena, jako například zvláštní ustanovení o ochraně osobních údajů uplatňovaná podle rozhodnutí Rady 2008/615/SVV (12) nebo článek 23 Úmluvy o vzájemné pomoci v trestních věcech mezi členskými státy Evropské unie (13). Vzhledem k tomu, že článek 8 Listiny a článek 16 Smlouvy o fungování EU vyžadují, aby základní právo na ochranu osobních údajů bylo zajištěno soudržným způsobem v celé Unii, by Komise měla s cílem posoudit, zda je třeba tato konkrétní ustanovení uvést v soulad s touto směrnicí, vyhodnotit situaci, pokud jde o vztah mezi touto směrnicí a akty přijatými přede dnem jejího přijetí, jež upravují zpracování osobních údajů mezi členskými státy nebo přístup určených orgánů členských států do informačních systémů zřízených podle Smluv. V případě potřeby by měla Komise předložit návrhy za účelem zajištění vzájemného souladu právních předpisů týkajících se zpracování osobních údajů.

(95)

V zájmu zajištění komplexní a soudržné ochrany osobních údajů v Unii by mezinárodní dohody, které členské státy uzavřely přede dnem vstupu této směrnice v platnost a které jsou v souladu s příslušným právem Unie použitelným před uvedeným dnem, měly zůstat v platnosti, dokud nebudou změněny, nahrazeny či zrušeny.

(96)

Členským státům by k provedení této směrnice měla být poskytnuta lhůta ne delší než dva roky ode dne jejího vstupu v platnost. Zpracování, které již k uvedenému dni probíhá, by mělo být uvedeno v soulad s touto směrnicí do dvou let ode dne vstupu této směrnice v platnost. Pokud je však toto zpracování v souladu s právem Unie platným přede dnem vstupu této směrnice v platnost, neměly by se požadavky této směrnice týkající se předběžné konzultace dozorového úřadu vztahovat na operace zpracování, které již probíhaly před uvedeným dnem, neboť tyto požadavky musejí být ze své podstaty splněny před zpracováním. Pokud členské státy využijí delší období provádění pro splnění povinností ohledně vedení logů pro automatizované systémy zpracování zavedené přede dnem vstupu této směrnice v platnost, které skončí sedm let po uvedeném dni, měl by mít správce nebo zpracovatel zavedeny účinné způsoby dokládání zákonnosti zpracování, umožnění vlastní kontroly a zajištění neporušenosti a zabezpečení údajů, jako jsou logy nebo jiné formy záznamů.

(97)

Touto směrnicí nejsou dotčena pravidla pro boj proti pohlavnímu zneužívání a pohlavnímu vykořisťování dětí a proti dětské pornografii stanovená ve směrnici Evropského parlamentu a Rady 2011/93/EU (14).

(98)

Rámcové rozhodnutí 2008/977/SVV by proto mělo být zrušeno.

(99)

V souladu s článkem 6a Protokolu č. 21 o postavení Spojeného království a Irska s ohledem na prostor svobody, bezpečnosti a práva, připojeného ke Smlouvě o EU a Smlouvě o fungování EU, nejsou Spojené království a Irsko vázány pravidly stanovenými v této směrnici, která se týkají zpracování osobních údajů členskými státy, vykonávají-li činnosti spadající do oblasti působnosti části třetí hlavy V kapitoly 4 nebo 5 Smlouvy o fungování EU, pokud nejsou vázány pravidly Unie upravujícími formy justiční spolupráce v trestních věcech nebo policejní spolupráce, v jejichž rámci musí být dodržována pravidla přijatá na základě článku 16 Smlouvy o fungování EU.

(100)

V souladu s články 2 a 2a Protokolu č. 22 o postavení Dánska, připojeného ke Smlouvě o EU a Smlouvě o fungování EU, nejsou pro Dánsko závazná ani použitelná pravidla stanovená v této směrnici, která se týkají zpracování osobních údajů členskými státy, vykonávají-li činnosti spadající do oblasti působnosti části třetí hlavy V kapitoly 4 nebo 5 Smlouvy o fungování EU. Vzhledem k tomu, že tato směrnice navazuje na schengenské acquis podle části třetí hlavy V Smlouvy o fungování EU, rozhodne se Dánsko v souladu s článkem 4 uvedeného protokolu do šesti měsíců od přijetí této směrnice, zda ji provede ve svém vnitrostátním právu.

(101)

Pokud jde o Island a Norsko, rozvíjí tato směrnice ustanovení schengenského acquis ve smyslu Dohody uzavřené mezi Radou Evropské unie a Islandskou republikou a Norským královstvím o přidružení těchto dvou států k provádění, uplatňování a rozvoji schengenského acquis  (15).

(102)

Pokud jde o Švýcarsko, rozvíjí tato směrnice ustanovení schengenského acquis ve smyslu Dohody mezi Evropskou unií, Evropským společenstvím a Švýcarskou konfederací o přidružení Švýcarské konfederace k provádění, uplatňování a rozvoji schengenského acquis  (16).

(103)

Pokud jde o Lichtenštejnsko, rozvíjí tato směrnice ustanovení schengenského acquis ve smyslu Protokolu mezi Evropskou unií, Evropským společenstvím, Švýcarskou konfederací a Lichtenštejnským knížectvím o přistoupení Lichtenštejnského knížectví k Dohodě mezi Evropskou unií, Evropským společenstvím a Švýcarskou konfederací o přidružení Švýcarské konfederace k provádění, uplatňování a rozvoji schengenského acquis  (17).

(104)

Tato směrnice ctí základní práva a dodržuje zásady uznávané v Listině, jak jsou zakotveny ve Smlouvě o fungování EU, zejména právo na respektování soukromého a rodinného života, právo na ochranu osobních údajů, právo na účinnou právní ochranu a spravedlivý proces. Omezení výkonu těchto práv jsou v souladu s čl. 52 odst. 1 Listiny, neboť jsou nezbytná pro plnění cílů obecného zájmu, které uznává Unie, nebo naplnění potřeby ochrany práv a svobod druhého.

(105)

Členské státy se v souladu se společným politickým prohlášením členských států a Komise ze dne 28. září 2011 o informativních dokumentech zavázaly, že v odůvodněných případech doplní oznámení o opatřeních přijatých za účelem provedení směrnice ve vnitrostátním právu o jeden či více dokumentů s informacemi o vztahu mezi jednotlivými složkami směrnice a příslušnými částmi vnitrostátních opatření přijatých za účelem provedení směrnice ve vnitrostátním právu. V případě této směrnice považuje normotvůrce předložení těchto dokumentů za odůvodněné.

(106)

Evropský inspektor ochrany údajů byl konzultován v souladu s čl. 28 odst. 2 nařízení (ES) č. 45/2001 a vydal stanovisko dne 7. března 2012 (18).

(107)

Tato směrnice by neměla členským státům bránit v tom, aby výkon práv subjektů údajů na informace, přístup k osobním údajům, jejich opravu nebo výmaz a omezení zpracování v průběhu trestního řízení, a případná omezení výkonu těchto práv provedly ve vnitrostátních předpisech upravujících trestní řízení,

a)

chrání základní práva a svobody fyzických osob, zejména jejich právo na ochranu osobních údajů, a

b)

zajišťují, aby výměna osobních údajů příslušnými orgány uvnitř Unie, pokud je vyžadována právem Unie nebo členského státu, nebyla omezována ani zakazována z důvodů ochrany fyzických osob v souvislosti se zpracováním osobních údajů.

a)

při výkonu činností, které nespadají do oblasti působnosti práva Unie;

b)

orgány, institucemi a jinými subjekty Unie.

1)

„osobními údaji“ veškeré informace o identifikované nebo identifikovatelné fyzické osobě (dále jen „subjekt údajů“); identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména s odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby;

2)

„zpracováním“ jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení;

3)

„omezením zpracování“ označení uložených osobních údajů za účelem omezení jejich zpracování v budoucnu;

4)

„profilováním“ jakákoli forma automatizovaného zpracování osobních údajů spočívající v jejich použití k hodnocení některých osobních aspektů vztahujících se k fyzické osobě, zejména k rozboru nebo odhadu aspektů týkajících se jejího pracovního výkonu, ekonomické situace, zdravotního stavu, osobních preferencí, zájmů, spolehlivosti, chování, místa, kde se nachází, nebo pohybu;

5)

„pseudonymizací“ zpracování osobních údajů tak, že již nemohou být přiřazeny konkrétnímu subjektu údajů bez použití dodatečných informací, pokud jsou tyto dodatečné informace uchovávány odděleně a vztahují se na ně technická a organizační opatření, aby bylo zajištěno, že nebudou přiřazeny identifikované či identifikovatelné fyzické osobě;

6)

„evidencí“ jakýkoliv strukturovaný soubor osobních údajů přístupných podle zvláštních kritérií, ať již je centralizovaný, decentralizovaný, nebo rozdělený podle funkčního či zeměpisného hlediska;

7)

„příslušným orgánem“:

8)

„správcem“ příslušný orgán, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů; jsou-li účely a prostředky tohoto zpracování určeny právem Unie či členského státu, může toto právo určit dotčeného správce nebo zvláštní kritéria pro jeho určení;

9)

„zpracovatelem“ fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce;

10)

„příjemcem“ fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, kterým jsou osobní údaje poskytnuty, ať už se jedná o třetí stranu, či nikoli. Avšak orgány veřejné moci, které mohou získávat osobní údaje v rámci zvláštního šetření v souladu s právem členského státu, se za příjemce nepovažují; zpracování těchto osobních údajů těmito orgány veřejné moci musí být v souladu s použitelnými pravidly pro ochranu údajů v souladu s účely zpracování;

11)

„porušením zabezpečení osobních údajů“ porušení zabezpečení, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně či neoprávněnému poskytnutí nebo zpřístupnění předávaných, uložených nebo jinak zpracovávaných osobních údajů;

12)

„genetickými údaji“ osobní údaje týkající se zděděných nebo získaných genetických znaků fyzické osoby, které poskytují jedinečné informace o její fyziologii či zdravotním stavu a které vyplývají zejména z analýzy biologického vzorku dotčené fyzické osoby;

13)

„biometrickými údaji“ osobní údaje vyplývající z konkrétního technického zpracování týkající se fyzických či fyziologických znaků nebo znaků chování fyzické osoby, které umožňuje nebo potvrzuje její jedinečnou identifikaci, například zobrazení obličeje nebo daktyloskopické údaje;

14)

„údaji o zdravotním stavu“ osobní údaje týkající se tělesného nebo duševního zdraví fyzické osoby, včetně údajů o poskytnutí zdravotních služeb, které vypovídají o jejím zdravotním stavu;

15)

„dozorovým úřadem“ nezávislý orgán veřejné moci zřízený členským státem podle článku 41;

16)

„mezinárodní organizací“ organizace a jí podřízené subjekty podléhající mezinárodnímu právu veřejnému nebo jiný subjekt zřízený dohodou mezi dvěma nebo více zeměmi nebo na jejím základě.

a)

zpracovávány zákonným a korektním způsobem;

b)

shromažďovány pro určité, výslovně vyjádřené a legitimní účely a nebyly zpracovávány způsobem, který je s těmito účely neslučitelný;

c)

přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelům, pro které jsou zpracovávány;

d)

přesné a v případě potřeby aktualizované; musí být přijata veškerá rozumná opatření zajišťující, aby osobní údaje, které jsou nepřesné s přihlédnutím k účelům, pro které jsou zpracovávány, byly bezodkladně vymazány nebo opraveny;

e)

uchovávány ve formě umožňující identifikaci subjektů údajů po dobu ne delší, než je nezbytné pro účely, pro které jsou zpracovávány;

f)

zpracovávány způsobem, který zajistí náležité zabezpečení osobních údajů, včetně jejich ochrany pomocí vhodných technických nebo organizačních opatření před neoprávněným či protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením.

a)

je správce oprávněn zpracovávat takové osobní údaje pro takový účel v souladu s právem Unie či členského státu a

b)

je zpracování pro tento jiný účel nezbytné a přiměřené v souladu s právem Unie či členského státu.

a)

osob, u nichž existují závažné důvody se domnívat, že spáchaly trestný čin nebo se jej chystají spáchat;

b)

osob odsouzených za trestný čin;

c)

osob, které se staly obětí trestného činu nebo u kterých některé skutečnosti vedou k domněnce, že by obětí trestného činu mohly být, a

d)

třetích stran v souvislosti s trestným činem, například osob, které by mohly být předvolány jako svědci při vyšetřování trestného činu nebo při následném trestním řízení nebo které mohou poskytnout informace o trestných činech, nebo kontaktních osob či společníků některé z osob uvedených v písmenech a) a b).

a)

pokud je povoleno právem Unie nebo členského státu;

b)

na ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby; nebo

c)

pokud se týká údajů zjevně zveřejněných subjektem údajů.

a)

uložit přiměřený poplatek zohledňující administrativní nákladů spojené s poskytnutím požadovaných informací nebo sdělení nebo učinění požadovaných úkonů; nebo

b)

odmítnout žádosti vyhovět.

a)

údaje o totožnosti a kontaktní údaje správce;

b)

kontaktní údaje případného pověřence pro ochranu osobních údajů;

c)

informace o účelech zpracování, pro které jsou osobní údaje určeny;

d)

informace o právu podat stížnost u příslušného dozorovému úřadu a kontaktní údaje tohoto úřadu;

e)

informace o existenci práva požadovat od správce přístup k osobním údajům týkajícím se subjektu údajů, jejich opravu nebo výmaz anebo omezení jejich zpracování.

a)

právní základ zpracování;

b)

dobu, po kterou budou osobní údaje uloženy, nebo není-li ji možné určit, kritéria použitá ke stanovení této doby;

c)

případné kategorie příjemců daných osobních údajů, včetně příjemců ve třetích zemích nebo v mezinárodních organizacích;

d)

v případě potřeby doplňující informace, zejména jsou-li osobní údaje sebrány bez vědomí subjektu údajů.

a)

zabránit maření úředních nebo právních šetření, vyšetřování nebo postupů;

b)

zabránit nepříznivému ovlivňování prevence, odhalování, vyšetřování či stíhání trestných činů nebo výkonu trestů;

c)

chránit veřejnou bezpečnost;

d)

chránit národní bezpečnost;

e)

chránit práva a svobody druhých.

a)

účely a právní základ zpracování;

b)

kategorie dotčených osobních údajů;

c)

příjemci nebo kategorie příjemců, kterým byly osobní údaje zpřístupněny, zejména příjemci ve třetích zemích nebo v mezinárodních organizacích;

d)

pokud možno předpokládaná doba, po kterou budou osobní údaje uloženy, nebo není-li ji možné určit, kritéria použitá ke stanovení této doby;

e)

existence práva požadovat od správce opravu nebo výmaz osobních údajů týkajících se subjektu údajů nebo omezení jejich zpracování;

f)

právo podat stížnost u dozorového úřadu a kontaktní údaje tohoto úřadu;

g)

sdělení osobních údajů, které jsou předmětem zpracování, a veškerých dostupných informací o jejich původu.

a)

zabránit maření úředních nebo právních šetření, vyšetřování nebo postupů;

b)

zabránit nepříznivému ovlivňování prevence, odhalování, vyšetřování či stíhání trestných činů nebo výkonu trestů;

c)

chránit veřejnou bezpečnost;

d)

chránit národní bezpečnost;

e)

chránit práva a svobody druhých.

a)

zpochybňuje-li subjekt údajů přesnost osobního údaje a nelze-li ji ověřit; nebo

b)

musí-li být dané osobní údaje uchovány pro účely dokazování.

a)

zabránit maření úředních nebo právních šetření, vyšetřování nebo postupů;

b)

zabránit nepříznivému ovlivňování prevence, odhalování, vyšetřování či stíhání trestných činů nebo výkonu trestů;

c)

chránit veřejnou bezpečnost;

d)

chránit národní bezpečnost;

e)

chránit práva a svobody druhých.

a)

jedná pouze podle pokynů správce;

b)

zajistí, aby se osoby oprávněné zpracovávat osobní údaje zavázaly k mlčenlivosti nebo aby se na ně vztahovala zákonná povinnost mlčenlivosti;

c)

pomáhá správci jakýmikoli vhodnými prostředky zajistit dodržování předpisů o právech subjektu údajů;

d)

podle rozhodnutí správce po ukončení poskytování služeb zpracování vymaže nebo vrátí všechny osobní údaje správci a vymaže existující kopie, pokud právo Unie nebo členského státu nevyžadují uložení osobních údajů;

e)

poskytne správci veškeré informace potřebné k doložení souladu s tímto článkem;

f)

dodržuje podmínky pro zapojení dalšího zpracovatele uvedené v odstavcích 2 a 3.

a)

jméno a kontaktní údaje správce a případného společného správce a pověřence pro ochranu osobních údajů;

b)

účely zpracování;

c)

kategorie příjemců, kterým byly nebo budou osobní údaje zpřístupněny, včetně příjemců ve třetích zemích nebo mezinárodních organizacích;

d)

popis kategorií subjektů údajů a kategorií osobních údajů;

e)

případné použití profilování;

f)

případné kategorie předávání osobních údajů do třetí země nebo mezinárodní organizaci;

g)

uvedení právního základu operace zpracování, včetně předání, pro něž jsou osobní údaje určeny;

h)

je-li to možné, plánované lhůty pro výmaz jednotlivých kategorií osobních údajů;

i)

je-li to možné, obecný popis technických a organizačních bezpečnostních opatření uvedených v čl. 29 odst. 1.

a)

jméno a kontaktní údaje zpracovatele nebo zpracovatelů a každého správce, pro něhož zpracovatel jedná, a případného pověřence pro ochranu osobních údajů;

b)

kategorie zpracování prováděného pro každého ze správců;

c)

informace o případném předání osobních údajů do třetí země nebo mezinárodní organizaci, na výslovný pokyn správce, včetně identifikace této třetí země či mezinárodní organizace;

d)

je-li to možné, obecný popis technických a organizačních bezpečnostních opatření uvedených v čl. 29 odst. 1.

a)

z posouzení vlivu na ochranu osobních údajů podle článku 27 vyplývá, že by dané zpracování mělo za následek vysoké riziko v případě, že by správce nepřijal opatření ke zmírnění tohoto rizika; nebo

b)

druh zpracování, zejména při využití nových technologií, mechanismů nebo postupů, s sebou nese vysoké riziko pro práva a svobody subjektů údajů.

a)

zabránit neoprávněným osobám v přístupu k zařízení využívanému pro zpracování („kontrola přístupu k zařízením“);

b)

zabránit neoprávněnému čtení, kopírování, pozměňování nebo odstraňování nosičů údajů („kontrola nosičů údajů“);

c)

zabránit neoprávněnému vkládání osobních údajů a neoprávněnému prohlížení, pozměňování nebo mazání uložených osobních údajů („kontrola uložení“);

d)

zabránit neoprávněným osobám v užívání automatizovaných systémů pro zpracování pomocí zařízení pro přenos údajů („kontrola uživatelů“);

e)

zajistit, aby osoby oprávněné k využívání určitého automatizovaného systému pro zpracování měly přístup pouze k osobním údajům, na které se vztahuje jejich povolení k přístupu („kontrola přístupu k údajům“);

f)

zajistit, aby bylo možné ověřit a zjistit, kterým subjektům byly nebo mohou být osobní údaje předány nebo zpřístupněny za použití zařízení pro přenos údajů („kontrola přenosu“);

g)

zajistit, aby bylo možné zpětně ověřit a zjistit, které osobní údaje byly vloženy do automatizovaných systémů pro zpracování a kdo a kdy je do těchto systémů vložil („kontrola vkládání“);

h)

zabránit neoprávněnému čtení, kopírování, pozměňování nebo mazání osobních údajů při předávání osobních údajů nebo při přepravě nosičů údajů („kontrola přepravy“);

i)

zajistit, aby instalované systémy mohly být v případě výpadku obnoveny („obnova“);

j)

zajistit, aby systém fungoval, aby byl hlášen výskyt chyb ve funkcích („spolehlivost“) a aby uložené osobní údaje nebylo možné poškodit špatným fungováním systému („neporušenost“).

a)

popis povahy daného případu porušení zabezpečení osobních údajů včetně, pokud je to možné, kategorií a přibližného počtu dotčených subjektů údajů a kategorií a přibližného množství dotčených záznamů osobních údajů;

b)

jméno a kontaktní údaje pověřence pro ochranu osobních údajů nebo jiného kontaktního místa, které může poskytnout bližší informace;

c)

popis pravděpodobných důsledků porušení zabezpečení osobních údajů;

d)

popis opatření, která správce přijal nebo navrhl k přijetí s cílem vyřešit dané porušení zabezpečení osobních údajů, včetně případných opatření ke zmírnění možných nepříznivých dopadů.

a)

správce zavedl náležitá technická a organizační ochranná opatření a tato opatření byla použita u osobních údajů dotčených porušením zabezpečení osobních údajů, zejména taková, která činí tyto údaje nesrozumitelnými pro kohokoli, kdo není oprávněn k nim přistupovat, jako je například šifrování;

b)

správce přijal následná opatření, která zajistí, že vysoké riziko pro práva a svobody subjektů údajů uvedené v odstavci 1 se již pravděpodobně neprojeví;

c)

vyžadovalo by to nepřiměřené úsilí. V takovém případě musí být subjekty údajů informovány stejně účinným způsobem pomocí veřejného oznámení nebo podobného opatření.

a)

poskytovat informace a poradenství správci a zaměstnancům, kteří provádějí zpracování, o jejich povinnostech podle této směrnice a dalších předpisů Unie nebo členských států v oblasti ochrany údajů;

b)

monitorovat soulad s touto směrnicí, dalšími předpisy Unie nebo členských států v oblasti ochrany údajů a s koncepcemi správce v oblasti ochrany osobních údajů, včetně rozdělení odpovědnosti, zvyšování povědomí a odborné přípravy zaměstnanců zapojených do operací zpracování a souvisejících auditů;

c)

na požádání poskytovat poradenství, pokud jde o posouzení vlivu na ochranu osobních údajů, a monitorovat jeho uplatňování podle článku 27;

d)

spolupracovat s dozorovým úřadem;

e)

působit jako kontaktní místo pro dozorový úřad v záležitostech týkajících se zpracování, včetně předchozí konzultace podle článku 28, a případně vést konzultace v jakékoli jiné věci.

a)

dané předání je nutné pro účely uvedené v čl. 1 odst. 1;

b)

osobní údaje jsou předány správci ve třetí zemi nebo v mezinárodní organizaci, který je orgánem příslušným pro účely stanovené v čl. 1 odst. 1;

c)

v případě, že jsou předávány nebo zpřístupňovány osobní údaje z jiného členského státu, tento členský stát udělil předchozí povolení k předání v souladu se svým vnitrostátním právem;

d)

Komise přijala rozhodnutí o odpovídající ochraně podle článku 36 nebo v případě, že takové rozhodnutí neexistuje, byly poskytnuty nebo existují vhodné záruky podle článku 37, nebo v případě, že neexistuje rozhodnutí o odpovídající ochraně podle článku 36 ani vhodné záruky podle článku 37, uplatní se výjimky pro specifické situace podle článku 38; a

e)

v případě dalšího předání do jiné třetí země nebo mezinárodní organizace příslušný orgán, který provedl původní předání, nebo jiný příslušný orgán téhož členského státu povolí takové další předání po zohlednění všech relevantních faktorů, včetně závažnosti trestného činu, účelu, pro který byly osobní údaje původně předány, a úrovně ochrany osobních údajů ve třetí zemi nebo mezinárodní organizaci, které jsou osobní údaje dále předávány.

a)

právní stát, dodržování lidských práv a základních svobod, příslušné právní předpisy, obecné i odvětvové, včetně pravidel týkajících se veřejné bezpečnosti, obrany, národní bezpečnosti a trestního práva a přístupu orgánů veřejné moci k osobním údajům, jakož i provádění těchto právních předpisů, pravidla pro ochranu údajů, profesní pravidla a bezpečnostní opatření, včetně pravidel pro další předávání osobních údajů do další třetí země nebo mezinárodní organizaci, která jsou v dané třetí zemi nebo mezinárodní organizaci dodržována, judikaturu, jakož i existenci účinných a vymahatelných práv subjektu údajů a účinné správní či soudní ochrany pro subjekty údajů, jejichž osobní údaje se předávají;

b)

existenci a účinné fungování jednoho nebo více nezávislých dozorových úřadů, které působí v dané třetí zemi nebo kterým podléhá daná mezinárodní organizace, příslušných zajišťovat a vymáhat soulad s pravidly pro ochranu údajů, včetně přiměřených vymáhacích pravomocí, poskytovat pomoc a poradenství subjektům údajů při výkonu jejich práv a spolupracovat s dozorovými úřady členských států, a

c)

mezinárodní závazky, které daná třetí země nebo mezinárodní organizace přijala, nebo jiné závazky vyplývající z právně závazných úmluv nebo nástrojů, jakož i z její účasti v mnohostranných či regionálních systémech, zejména pokud jde o ochranu osobních údajů.

a)

pokud byly právně závazným nástrojem poskytnuty vhodné záruky ve vztahu k ochraně osobních údajů; nebo

b)

pokud správce posoudil všechny okolnosti daného předání osobních údajů a dospěl k závěru, že ve vztahu k ochraně osobních údajů existují vhodné záruky.

a)

k ochraně životně důležitých zájmů subjektu údajů nebo jiné osoby;

b)

k ochraně oprávněných zájmů subjektu údajů, jestliže tak stanoví právo členského státu, který osobní údaje předává;

c)

k tomu, aby se zabránilo bezprostřednímu a závažnému ohrožení veřejné bezpečnosti v určitém členském státě nebo třetí zemi;

d)

v individuálních případech pro účely uvedené v čl. 1 odst. 1; nebo

e)

v individuálním případě pro určení, výkon nebo obhajobu právních nároků v souvislosti s účely uvedenými v čl. 1 odst. 1.

a)

předání je nezbytně nutné ke splnění úkolu příslušného předávajícího orgánu podle práva Unie nebo členského státu pro účely stanovené v čl. 1 odst. 1;

b)

předávající příslušný orgán rozhodne, že nad veřejným zájmem vyžadujícím předání v daném případě nepřevažují žádná základní práva a svobody dotčeného subjektu údajů;

c)

předávající příslušný orgán se domnívá, že předání orgánu příslušnému pro účely uvedené v čl. 1 odst. 1 ve třetí zemi je neefektivní nebo nevhodné, zejména proto, že je nelze učinit včas;

d)

orgán příslušný pro účely uvedené v čl. 1 odst. 1 ve třetí zemi je bez zbytečného odkladu informován, ledaže to je neefektivní nebo nevhodné;

e)

předávající příslušný orgán informuje příjemce o konkrétním účelu nebo účelech, pro něž může osobní údaje zpracovat, pokud je takové zpracování nutné.

a)

rozvoje mechanismů pro mezinárodní spolupráci, aby se usnadnilo účinné vymáhání právních předpisů na ochranu osobních údajů;

b)

poskytování vzájemné pomoci na mezinárodní úrovni při vymáhání právních předpisů na ochranu osobních údajů, a to i formou oznamování, postupování stížností, pomoci při vyšetřování a výměny informací, pod podmínkou vhodných záruk ochrany osobních údajů a jiných základních práv a svobod;

c)

zapojení příslušných zúčastněných stran do diskuse a činností zaměřených na prohlubování mezinárodní spolupráce při vymáhání právních předpisů na ochranu osobních údajů;

d)

podpoření výměny a dokumentace v souvislosti s právními předpisy a praxí v oblasti ochrany osobních údajů, mimo jiné o kompetenčních sporech se třetími zeměmi.

—

parlamentem,

—

vládou,

—

hlavou státu nebo

—

nezávislým subjektem, kterému toto jmenování svěří právo členského státu.

a)

zřízení každého dozorového úřadu;

b)

kvalifikaci a podmínky způsobilosti požadované pro jmenování členem každého dozorového úřadu;

c)

pravidla a postupy pro jmenování člena nebo členů každého dozorového úřadu;

d)

délku funkčního období člena či členů každého dozorového úřadu, která činí nejméně čtyři roky, s výjimkou prvního jmenování po 6. květnu 2016, kdy někteří členové mohou být jmenováni na dobu kratší, je-li k ochraně nezávislosti dozorového úřadu nutný proces postupného jmenování;

e)

zda a případně na kolik funkčních období mohou být člen či členové každého dozorového úřadu jmenováni opětovně;

f)

podmínky, jimiž se řídí povinnosti člena nebo členů a zaměstnanců každého dozorového úřadu, zákaz jednání a pracovní činnosti a využívání výhod neslučitelných s těmito podmínkami během funkčního období a po jeho skončení a pravidla, jimiž se řídí ukončení zaměstnání.

a)

monitoruje a vymáhá uplatňování této směrnice a prováděcích opatření k ní;

b)

zvyšuje povědomí veřejnosti o rizicích, pravidlech, zárukách a právech v souvislosti se zpracováním a podporuje porozumění těmto otázkám;

c)

v souladu s právem členského státu poskytuje poradenství parlamentu, vládě a dalším orgánům a institucím svého členského státu ohledně legislativních a správních opatření týkajících se ochrany práv a svobod fyzických osob v souvislosti se zpracováním;

d)

podporuje povědomí správců a zpracovatelů o jejich povinnostech podle této směrnice;

e)

na požádání poskytuje všem subjektům údajů informace o výkonu jejich práv podle této směrnice a, je-li to vhodné, spolupracuje za tímto účelem s dozorovými úřady v jiných členských státech;

f)

vyřizuje stížnosti, které mu podá subjekt údajů nebo subjekt, organizace či sdružení v souladu s článkem 55, a ve vhodné míře prošetřuje předmět stížnosti a v přiměřené lhůtě informuje stěžovatele o pokroku a o výsledku šetření, zejména v případech, kdy je zapotřebí dalšího šetření nebo koordinace s jiným dozorovým úřadem;

g)

ověřuje zákonnost zpracování podle článku 17 a v přiměřené lhůtě informuje subjekt údajů o výsledku daného ověření podle odstavce 3 uvedeného článku nebo o důvodech, proč ověření nebylo provedeno;

h)

s cílem zajistit soudržné uplatňování a vymáhání této směrnice spolupracuje s dalšími dozorovými úřady, mimo jiné formou sdílení informací, a s těmito úřady si vzájemně poskytuje pomoc;

i)

provádí šetření o uplatňování této směrnice, mimo jiné na základě informací obdržených od jiného dozorového úřadu či jiného orgánu veřejné moci;

j)

monitoruje vývoj v relevantních oblastech, pokud má vliv na ochranu osobních údajů, zejména vývoj informačních a komunikačních technologií;

k)

poskytuje poradenství o operacích zpracování uvedených v článku 28 a

l)

přispívá k činnostem sboru.

a)

upozornit správce či zpracovatele, že zamýšlené operace zpracování pravděpodobně porušují předpisy přijaté na základě této směrnice;

b)

nařídit správci či zpracovateli, aby uvedl operace zpracování do souladu s předpisy přijatými na základě této směrnice, a to případně předepsaným způsobem a ve stanovené lhůtě, zejména tím, že nařídí opravu nebo výmaz osobních údajů či omezení zpracování podle článku 16;

c)

uložit dočasné nebo trvalé omezení zpracování, včetně jeho zákazu.

a)

není pro předmět žádosti nebo pro opatření, o jejichž výkon je žádán, příslušný; nebo

b)

vyhověním žádosti by došlo k porušení této směrnice nebo práva Unie či členského státu, kterému tento úřad podléhá.

a)

poskytuje poradenství Komisi ve veškerých záležitostech souvisejících s ochranou osobních údajů v Unii včetně jakýchkoli navrhovaných změn této směrnice;

b)

prošetřuje z vlastního podnětu nebo na žádost některého ze svých členů nebo Komise veškeré otázky týkající se uplatňování této směrnice a vydává pokyny, doporučení a osvědčené postupy, aby podporoval soudržné uplatňování této směrnice;

c)

vypracovává pokyny pro dozorové úřady ohledně uplatňování opatření uvedených v čl. 47 odst. 1 a 3;

d)

vydává pokyny, doporučení a osvědčené postupy podle písmene b) tohoto pododstavce k tomu, jak zjistit případy porušení zabezpečení osobních údajů a jak určit zbytečný odklad podle čl. 30 odst. 1 a 2 a konkrétní okolnosti, za nichž jsou správce nebo zpracovatel povinni porušení ohlásit;

e)

vydává pokyny, doporučení a osvědčené postupy podle písmene b) tohoto pododstavce, pokud jde o okolnosti, za nichž je pravděpodobné, že porušení zabezpečení osobních údajů bude mít za následek vysoké riziko pro práva a svobody fyzických osob, jak je uvedeno v čl. 31 odst. 1;

f)

přezkoumává praktické uplatňování pokynů, doporučení a osvědčených postupů uvedených v písmenech b) a c);

g)

poskytuje Komisi stanovisko pro posouzení odpovídající úrovně ochrany ve třetí zemi nebo mezinárodní organizaci a pro posouzení, zda určitá třetí země, určité území či jedno nebo více konkrétních odvětví v určité třetí zemi nebo určitá mezinárodní organizace již nezajišťuje odpovídající úroveň ochrany;

h)

podporuje spolupráci a účinnou dvoustrannou a vícestrannou výměnu informací a osvědčených postupů mezi dozorovými úřady;

i)

podporuje společné školicí programy a usnadňuje výměny pracovníků mezi dozorovými úřady, kterých se ve vhodných případech účastní i dozorové úřady třetích zemí nebo mezinárodních organizací;

j)

podporuje výměnu znalostí a dokumentů o právu a praxi v oblasti ochrany údajů s dozorovými úřady pro ochranu údajů po celém světě.