EVROPSKÁ KOMISE

V Bruselu dne 24.1.2018

COM(2018) 43 final

SDĚLENÍ KOMISE EVROPSKÉMU PARLAMENTU A RADĚ

FMT:BoldPosílená ochrana, nové příležitosti – pokyny Komise týkající se přímého uplatňování obecného nařízení o ochraně osobních údajů ke dni 25. května 2018/FMT

Sdělení Komise Evropskému parlamentu a Radě

Posílená ochrana, nové příležitosti – pokyny Komise týkající se přímého uplatňování obecného nařízení o ochraně osobních údajů ke dni 25. května 2018

Úvod

Dne 6. dubna 2016 se EU dohodla na rozsáhlé reformě rámce pro ochranu údajů přijetím balíčku opatření pro reformu ochrany údajů, který zahrnuje obecné nařízení o ochraně osobních údajů  1 , jež nahrazuje dvacet let starou směrnici 95/46/ES 2 (dále jen „směrnice o ochraně údajů“) a policejní směrnici 3 . Dne 25. května 2018 se stane přímo použitelným nový celounijní nástroj na ochranu údajů, obecné nařízení o ochraně osobních údajů (dále jen „nařízení“), dva roky po jeho přijetí a vstupu v platnost 4 .

Nové nařízení posílí ochranu práva jednotlivce na ochranu osobních údajů, jež bude odrážet povahu ochrany údajů jakožto základního práva v Evropské unii 5 .

Tím, že stanoví jednotný soubor pravidel přímo použitelných v právních řádech členských států, zaručí volný pohyb osobních údajů mezi členskými státy EU a posílí důvěru a bezpečnost spotřebitelů, což jsou dva neoddělitelné prvky skutečného jednotného digitálního trhu. Tímto způsobem nařízení poskytne nové příležitosti pro podniky a společnosti, zejména ty menší, mimo jiné tím, že budou existovat jasnější pravidla pro mezinárodní předávání údajů.

Ačkoliv nový rámec pro ochranu údajů byl vytvořen na základě stávajících právních předpisů, bude mít široký dopad a bude vyžadovat výrazné úpravy některých aspektů. Z tohoto důvodu nařízení stanovilo přechodné období dvou let – do 25. května 2018 – aby členské státy a zúčastněné strany měly čas se na nový právní rámec plně připravit.

V posledních dvou letech se všechny zúčastněné strany, od vnitrostátních správních orgánů a vnitrostátních úřadů pro ochranu údajů po správce a zpracovatele údajů, zapojily do řady činností, aby se zajistilo, že význam a rozsah změn, které nová pravidla pro ochranu údajů přinesla, byly správně pochopeny a že všichni aktéři jsou připraveni na jejich používání. Vzhledem k blížící se lhůtě 25. května se Komise domnívá, že je nezbytné tyto činnosti vyhodnotit a zvážit další kroky, které mohou být užitečné k zajištění toho, aby byly zavedeny všechny prvky pro úspěšný vstup nového rámce v platnost 6 .

Toto sdělení:

·shrnuje hlavní inovace a možnosti, které přinesly nové právní předpisy EU o ochraně údajů,

·hodnotí přípravnou práci odvedenou dosud na úrovni EU,

·uvádí, co Evropská komise, vnitrostátní úřady pro ochranu údajů a vnitrostátní správní orgány stále ještě musí učinit, aby příprava byla úspěšně dokončena,

·stanoví opatření, jež má Komise v úmyslu přijmout v nadcházejících měsících.

Kromě toho souběžně s přijetím tohoto sdělení Komise zahajuje soubor nástrojů online s cílem pomoci zúčastněným stranám připravit se na uplatňování nařízení a s podporou zastoupení Komise informační kampaň ve všech členských státech.

1.NOVÝ RÁMEC EU PRO OCHRANU ÚDAJŮ – POSÍLENÁ OCHRANA A NOVÉ PŘÍLEŽITOSTI

Nařízení i nadále dodržuje přístup směrnice o ochraně údajů, avšak vychází z dvaceti let existence právních předpisů EU o ochraně údajů a související judikatury, vysvětluje a aktualizuje pravidla ochrany údajů; zavádí řadu nových prvků, jejichž cílem je posílit ochranu práv jednotlivce a nabídnout příležitosti pro společnosti a podniky, zejména:

·harmonizovaný právní rámec, který povede k jednotnému uplatňování pravidel ve prospěch jednotného digitálního trhu EU. Znamená to jediný soubor pravidel pro občany a podniky. Bude to řešit současnou situaci, kdy členské státy EU prováděly pravidla směrnice různým způsobem. Aby se zajistilo jednotné a důsledné uplatňování ve všech členských státech, byl zaveden mechanismus jediného kontaktního místa,

·rovné podmínky pro všechny společnosti působící na trhu EU. Nařízení vyžaduje od společností se sídlem mimo EU uplatňování stejných pravidel jako od společností se sídlem v EU, pokud nabízejí zboží a služby spojené s osobními údaji nebo sledují chování osob v Unii. Společnosti usazené mimo EU a aktivní na jednotném trhu musí za určitých okolností jmenovat zástupce v EU, na něhož se, kromě společnosti se sídlem v zahraničí nebo namísto ní, mohou obracet občané a orgány,

·zásady záměrné a standardní ochrany údajů vytvořením pobídek pro inovační řešení s cílem řešit otázky ochrany údajů od samého začátku,

·posílená práva jednotlivců. Nařízení zavádí nové požadavky na transparentnost; upevňuje práva na informace, na přístup a na výmaz („právo být zapomenut“); mlčení nebo nečinnost se už nebude považovat za platný souhlas, neboť k vyjádření souhlasu je vyžadováno jednoznačné potvrzení; ochrana dětí online,

·větší kontrolu osobních údajů jednotlivců. Nařízení zavádí nové právo na přenositelnost údajů, které občanům umožňuje požádat společnost nebo organizaci o vrácení osobních údajů, které této společnosti nebo organizaci poskytli na základě souhlasu nebo smlouvy; umožní rovněž přímé předání těchto osobních údajů jiné společnosti nebo organizaci, je-li to technicky proveditelné. Jelikož toto právo umožňuje přímé předávání osobních údajů z jedné společnosti nebo organizace do druhé, podpoří rovněž jejich volný pohyb v EU, zamezí jejich zablokování a povzbudí hospodářskou soutěž mezi společnostmi. Jelikož se občanům usnadní přechod mezi různými poskytovateli služeb, podpoří se tím rozvoj nových služeb v kontextu strategie jednotného digitálního trhu,

·silnější ochranu proti porušení zabezpečení údajů. Nařízení stanoví ucelený soubor pravidel týkajících se porušení zabezpečení osobních údajů. Jasně definuje, co je „porušení zabezpečení osobních údajů“, a zavádí povinnost nejpozději do 72 hodin oznámit dozorovému úřadu, když porušení zabezpečení údajů pravděpodobně ohrozí práva a svobodu jednotlivce. Za určitých okolností ukládá povinnost informovat osobu, jejíž údaje jsou porušením dotčeny. To značně posiluje ochranu ve srovnání se stávající situací v EU, kdy pouze poskytovatelé služeb elektronické komunikace, provozovatelé základních služeb a poskytovatelé digitálních služeb jsou povinni oznamovat případy porušení zabezpečení údajů podle směrnice o soukromí a elektronických komunikacích 7 a případně směrnice o bezpečnosti sítí a informačních systémů (dále jen „směrnice o bezpečnosti sítí a informací“) 8 ,

·nařízení svěřuje všem úřadům pro ochranu údajů pravomoc ukládat pokuty správcům a zpracovatelům, V současné době ne všichni z nich tuto pravomoc mají. To umožní lepší provádění pravidel. Pokuty mohou dosahovat až 20 milionů EUR, nebo jedná-li se o podnik, až 4 % ročního celosvětového obratu,

·větší flexibilitu pro správce a zpracovatele zpracovávající osobní údaje z důvodu jednoznačných ustanovení o odpovědnosti (zásada odpovědnosti). V nařízení je přechod od systému oznamování k zásadě odpovědnosti. Zásada odpovědnosti se uplatňuje prostřednictvím odstupňovaných povinností v závislosti na riziku (např. přítomnost pověřence pro ochranu osobních údajů nebo povinnost provádět posouzení vlivu na ochranu osobních údajů). Nový nástroj je zaveden s cílem pomoci posoudit riziko, než někdo začne se zpracováním: posouzení vlivu na ochranu osobních údajů. To se vyžaduje vždy, když zpracování pravděpodobně povede k vysokému riziku pro práva a svobody osob. V nařízení se jako takové výslovně uvádějí tři situace: když společnost systematicky a ve velkém rozsahu hodnotí osobní aspekty fyzické osoby (včetně profilování), když ve velkém měřítku zpracovává citlivé údaje, nebo soustavně rozsáhle monitoruje veřejné prostory. Vnitrostátní úřady pro ochranu osobních údajů budou muset uveřejnit seznamy případů, které vyžadují posouzení vlivu na ochranu údajů 9 ,

·větší přehlednost, pokud jde o povinnosti zpracovatelů a odpovědnost správců při výběru zpracovatele,

·moderní systém správy, aby se zajistilo, že pravidla se prosazují důsledněji a důrazněji. To zahrnuje harmonizované pravomoci úřadů pro ochranu osobních údajů, včetně pokut, a nové mechanismy spolupráce v síti pro tyto úřady,

·ochranu osobních údajů zaručenou nařízením při přesunu údajů mimo EU se zajištěním vysoké úrovně ochrany 10 . Přestože struktura pravidel mezinárodního předávání údajů zůstává v nařízení v podstatě stejná jako ve směrnici z roku 1995, reforma tato pravidla objasňuje a zjednodušuje jejich používání, a zavádí nové nástroje pro předávání údajů. Co se týče rozhodnutí o přiměřenosti, nařízení zavádí přesný a podrobný soupis prvků, které Komise musí zohlednit, když posuzuje, zda zahraniční systém náležitě chrání osobní údaje. Nařízení rovněž formalizuje a rozšiřuje počet alternativních nástrojů pro předávání údajů, například standardní smluvní doložky a závazná podniková pravidla.

Revidované nařízení pro orgány, instituce a jiné subjekty EU 11 a nařízení o soukromí a elektronických komunikacích, které se v současné době projednávají 12 , zajistí, že EU bude vybavena důkladným a komplexním souborem pravidel o ochraně údajů 13 .

2.Přípravná práce provedená dosud na úrovni EU

Úspěšné uplatňování nařízení vyžaduje spolupráci mezi všemi, kteří jsou zapojeni do ochrany údajů: členskými státy, včetně orgánů veřejné správy, vnitrostátními úřady pro ochranu údajů, podniky, organizacemi, které zpracovávají osobní údaje, a jednotlivci i Komisí.

2.1 Opatření Evropské komise

Krátce po vstupu nařízení v platnost v polovině roku 2016 navázala Komise kontakt s orgány členských států, úřady pro ochranu údajů a zúčastněnými stranami s cílem připravit uplatňování nařízení a poskytovat podporu a poradenství.

a) Podpora členských států a jejich orgánů

Komise velmi úzce spolupracuje s členskými státy, aby podpořila jejich práci během přechodného období, s cílem zajistit co nejvyšší míru souladu. Komise za tímto účelem vytvořila skupinu odborníků, jež má být nápomocna členským státům v jejich úsilí připravit se na nařízení. Skupina, která se sešla již třináctkrát, působí jako fórum, kde členské státy mohou sdílet své zkušenosti a odborné poznatky 14 . Komise se rovněž účastní dvoustranných schůzek s orgány členských států za účelem projednání otázek vznikajících na vnitrostátní úrovni.

b) Podpora jednotlivých úřadů pro ochranu údajů a vytvoření Evropského sboru pro ochranu osobních údajů

Komise aktivně podporuje práci pracovní skupiny zřízené podle článku 29, a to i s ohledem na zajištění plynulého přechodu k Evropskému sboru pro ochranu osobních údajů 15 .

c) Mezinárodní dosah

Nařízení ještě více posílí schopnost EU aktivně prosazovat své hodnoty v oblasti ochrany údajů a usnadní přeshraniční toky údajů, a to podporou sbližování právních systémů v celosvětovém měřítku 16 . Pravidla EU týkající se ochrany údajů jsou stále více uznávána na mezinárodní úrovni jakožto pravidla, jež stanoví jedny z nejvyšších standardů ochrany údajů na světě. Úmluva Rady Evropy č. 108, jediný právně závazný multilaterální nástroj v oblasti ochrany osobních údajů, se rovněž aktualizuje. Komise na tom pracuje s cílem odrazit stejné zásady, jaké jsou zakotveny v nových pravidlech EU o ochraně údajů, a pomoci tím zavést jednotný soubor vysokých standardů ochrany údajů. Komise bude aktivně podporovat rychlé přijetí aktualizovaného znění úmluvy, aby se EU mohla stát její smluvní stranou 17 . Komise podporuje země, které nejsou členy EU, aby ratifikovaly Úmluvu Rady Evropy č. 108 a její dodatkový protokol.

Kromě toho řada zemí a regionálních organizací mimo EU, jak v našem bezprostředním sousedství, tak i v Asii, Latinské Americe a Africe, přijímá nové právní předpisy v oblasti ochrany údajů nebo upravuje stávající předpisy s cílem využít příležitosti, které nabízí globální digitální ekonomika, a reagovat na rostoucí požadavek na větší bezpečnost údajů a ochranu soukromí. Ačkoliv mezi jednotlivými zeměmi existují rozdíly, pokud jde o jejich přístup a úroveň legislativního vývoje, existují náznaky, že nařízení slouží čím dál tím víc jako referenční bod a zdroj inspirace 18 .

V této souvislosti se Komise zabývá mezinárodním dosahem v souladu se svým sdělením 19 z ledna 2017 tím, že se s klíčovými obchodními partnery aktivně angažuje, zejména ve východní a jihovýchodní Asii a v Latinské Americe, s cílem prozkoumat možnost přijetí rozhodnutí o odpovídající ochraně 20

Komise zejména spolupracuje s Japonskem na tom, aby obě strany současně dokázaly do začátku roku 2018 určit náležitou úroveň ochrany, jak oznámili předseda Juncker a předseda vlády Abe ve svém společném prohlášení ze dne 6. července 2017 21 . Rozhovory byly zahájeny také s Jižní Koreou s cílem dosažení případného rozhodnutí o odpovídající ochraně. Přijetí rozhodnutí o odpovídající ochraně by zajistilo volný pohyb údajů s příslušnými třetími zeměmi při současném zajištění vysoké úrovně ochrany, když se osobní údaje předávají z EU do těchto zemí.

Komise zároveň spolupracuje se zúčastněnými stranami s cílem plně využít potenciálu souboru nástrojů obecného nařízení o ochraně osobních údajů pro mezinárodní předávání údajů, a to vytvořením alternativních mechanismů předávání údajů přizpůsobených zvláštním potřebám konkrétních odvětví a/nebo hospodářských subjektů 22 .

d) Spolupráce se zúčastněnými subjekty

Komise uspořádala řadu akcí, aby navázala kontakty se zúčastněnými stranami 23 . Na první čtvrtletí roku 2018 je plánován nový seminář zaměřený na spotřebitele. Konala se rovněž specifická odvětvová jednání věnovaná takovým oblastem jako výzkum a finanční služby.

Komise zřídila také mnohostrannou skupinu zúčastněných stran pro nařízení složenou ze zástupců občanské společnosti a podniků, akademických pracovníků a odborníků z praxe. Skupina bude Komisi radit zejména v tom, jak mezi zúčastněnými stranami dosáhnout příslušné úrovně informovanosti týkající se nařízení 24 .

Nakonec Evropská komise prostřednictvím svého rámcového programu pro výzkum a inovace Horizont 2020 25 financovala opatření pro zpracování nástrojů podporujících účinné uplatňování pravidel podle nařízení, pokud jde o obsah, a metody analýzy údajů o ochraně soukromí, jako je mnohostranné zpracování údajů a homomorfické kódování.

2.2 Opatření pracovní skupiny zřízené podle článku 29 / Evropského sboru pro ochranu osobních údajů

Pracovní skupina zřízená podle článku 29, která sdružuje všechny vnitrostátní úřady pro ochranu údajů, včetně evropského inspektora ochrany údajů, hraje klíčovou úlohu v přípravě uplatňování nařízení, a to vydáváním pokynů pro společnosti a jiné zúčastněné strany. Vnitrostátní úřady pro ochranu údajů, jako vykonavatelé nařízení a přímých styků pro zúčastněné strany, mají nejlepší možnosti zajišťovat dodatečnou právní jistotu v souvislosti s výkladem nařízení.

Pracovní skupina zřízená podle článku 29 pracuje na aktualizaci existujících názorů, kromě jiného i názorů na nástroje pro předávání údajů do zemí, které nejsou členy EU.

Jelikož pro hospodářské subjekty je důležité, aby měly ucelený a jednotný soubor pokynů, musí se současné pokyny na vnitrostátní úrovni buď nahradit, nebo uvést do souladu s pokyny, které přijala pracovní skupina zřízená podle článku 29 / Evropský sbor pro ochranu osobních údajů ke stejné otázce.

Komise přikládá velký význam skutečnosti, že tyto pokyny jsou před svým dokončením předmětem veřejné konzultace. Je důležité, aby vklad zúčastněných stran do tohoto procesu byl co nejpřesnější a nejkonkrétnější, neboť to pomůže určit osvědčené postupy a informovat pracovní skupinu zřízenou podle článku 29 o odvětvových a sektorových aspektech. Konečná odpovědnost za tyto pokyny zůstává na pracovní skupině zřízené podle článku 29 a na budoucím Evropském sboru pro ochranu osobních údajů a úřady pro ochranu údajů se na ně budou při prosazování nařízení odkazovat.

Mělo by být možné měnit pokyny s ohledem na vývoj a postupy. Proto je podstatné, aby úřady pro ochranu údajů podporovaly kulturu dialogu se všemi zúčastněnými stranami, včetně podniků.

Je důležité připomenout, že pokud vyvstanou otázky týkající se výkladu a uplatňování nařízení, bude na soudech na vnitrostátní úrovni a na úrovni EU, aby poskytly jeho konečný výklad.

3.Zbývající kroky pro úspěšnou přípravu

3.1 Členské státy dokončí vytvoření právního rámce na vnitrostátní úrovni

Nařízení je přímo použitelné ve všech členských státech 27 . To znamená, že vstupuje v platnost bez ohledu na jakákoli vnitrostátní právní opatření: ustanovení nařízení se mohou obvykle přímo opírat o občany, podniky, orgány veřejné správy a další organizace, která zpracovávají osobní údaje. Nicméně v souladu s nařízením musí členské státy učinit potřebné kroky pro přizpůsobení svých právních předpisů nahrazením a změnou existujících právních předpisů a zřízením vnitrostátních úřadů pro ochranu údajů 28 , výběrem akreditačního orgánu 29 a stanovením pravidel pro uvedení svobody projevu a ochrany údajů do souladu 30 .

Nařízení rovněž poskytuje členským státům možnost dále upřesnit uplatňování pravidel o ochraně údajů v konkrétních oblastech: veřejný sektor 31 , zaměstnanost a sociální zabezpečení 32 , preventivní a pracovní lékařství, veřejné zdraví 33 , účely archivace ve veřejném zájmu nebo pro vědecké, historické či statistické použití 34 , vnitrostátní identifikační číslo 35 , přístup veřejnosti k úředním dokumentům 36 a povinnost mlčenlivosti 37 . Kromě toho v případě genetických údajů, biometrických údajů a údajů týkajících se zdraví nařízení opravňuje členské státy k zachování, nebo zavedení dalších podmínek, včetně omezení 38 .

Opatření členských států tvoří v této souvislosti dva prvky:

1.článek 8 Listiny v tom smyslu, že každý zákon o vnitrostátních specifikacích musí dodržet požadavky článku 8 Listiny (a nařízení, které je založeno na článku 8 Listiny); a

2.ustanovení čl. 16 odst. 2 SFEU, podle kterého vnitrostátní právní předpisy nemohou zasahovat do volného pohybu osobních údajů v EU.

Nařízení představuje příležitost pro zjednodušení právního prostředí, aby hospodářské subjekty měly méně vnitrostátních pravidel a větší jasnost.

Když členské státy přizpůsobují své vnitrostátní právní předpisy, měly by zohlednit skutečnost, že jakákoli vnitrostátní opatření, která by vedla k vytvoření překážky pro přímou použitelnost nařízení a k ohrožení jeho současného a jednotného uplatňování v celé EU, jsou v rozporu se smlouvami 39 .

Rovněž je zakázáno opakovat znění nařízení ve vnitrostátním právu (např. opakování definicí nebo práv fyzických osob), pokud takové opakování není naprosto nezbytné pro soudržnost a s cílem učinit vnitrostátní právní předpisy srozumitelné pro ty, na které se vztahují 40 . Doslovné reprodukování znění nařízení v zákonu o vnitrostátních specifikacích by mělo být výjimečné a odůvodněné a nelze ho použít pro doplnění dalších podmínek nebo výkladů ke znění nařízení.

Výklad nařízení je ponechán evropským soudům (vnitrostátním soudům a nakonec Evropskému soudnímu dvoru), a nikoliv zákonodárcům členských států. Vnitrostátní zákonodárce proto nemůže kopírovat znění nařízení, pokud to není nezbytné vzhledem ke kritériím stanoveným judikaturou, ani jej vykládat nebo doplnit další podmínky k pravidlům přímo použitelným podle nařízení. Pokud by tak učinil, hospodářské subjekty v celé Unii by se znovu potýkaly s roztříštěností a nevěděly by, jaká pravidla musí dodržovat.

V této fázi pouze dva členské státy již přijaly příslušné vnitrostátní právní předpisy 41 ; ostatní členské státy se nacházejí v různých fázích svých legislativních postupů 42 a lhůty pro přijetí právního předpisu mají do 25. května 2018. Je důležité dát hospodářským subjektům dostatek času, aby se připravily na všechna ustanovení, která musí dodržovat.

Jestliže členské státy neučiní nezbytná opatření potřebná podle nařízení, přijmou je se zpožděním, nebo použijí doložky o specifikacích stanovené v něm způsobem, který je s ním v rozporu, Komise využije všech nástrojů, které má k dispozici, včetně právního prostředku řízení o protiprávním jednání.

3.2 Úřady pro ochranu osobních údajů zabezpečí, aby nový nezávislý Evropský sbor pro ochranu osobních údajů byl plně funkční

Je důležité, aby nový orgán zřízený nařízením, Evropský sbor pro ochranu osobních údajů 43 , právní nástupce pracovní skupiny zřízené podle článku 29, byl od 25. května 2018 plně funkční.

Evropský inspektor ochrany údajů, který je úřadem pro ochranu osobních údajů odpovědným za dohled nad orgány a institucemi EU, poskytne sekretariát Evropskému sboru pro ochranu osobních údajů za účelem větší součinnosti a efektivnosti. Za tímto účelem zahájil evropský inspektor ochrany údajů v minulých měsících potřebnou přípravu.

Evropský sbor pro ochranu osobních údajů bude centrem ochrany údajů v Evropě. Bude přispívat k důslednému uplatňování práva v oblasti ochrany údajů a poskytovat silný základ pro spolupráci mezi úřady pro ochranu údajů, včetně evropského inspektora ochrany údajů. Evropský sbor pro ochranu osobních údajů bude nejenom vydávat pokyny o tom, jak vykládat klíčové pojmy nařízení, ale bude rovněž vyzván, aby vydával závazná rozhodnutí o sporech týkajících se přeshraničního zpracovávání údajů. Zajistí se tím jednotné uplatňování pravidel a zamezí tomu, aby se stejný případ v různých členských státech řešil odlišným způsobem.

Plynulé a efektivní fungování Evropského sboru pro ochranu osobních údajů je proto podmínkou k tomu, aby systém dobře fungoval jako celek. Evropský sbor pro ochranu osobních údajů bude muset více než kdykoli dřív vytvářet společnou kulturu ochrany údajů mezi všemi vnitrostátními úřady pro ochranu údajů s cílem zajistit, aby se pravidla nařízení vykládala jednotně. Nařízení podporuje spolupráci mezi úřady pro ochranu údajů tím, že jim poskytuje nástroje pro účinnou a efektivní spolupráci: zejména budou moci provádět společné operace, přijímat rozhodnutí po dohodě a vyřešit případné rozdíly týkající se výkladu nařízení v rámci sboru prostřednictvím stanovisek a závazných rozhodnutí. Komise vyzývá úřady pro ochranu údajů k tomu, aby se k těmto změnám postavily čelem a přizpůsobily své fungování, financování a pracovní kulturu tak, aby mohly plnit nová práva a povinnosti.

3.3 Členské státy poskytnou vnitrostátním úřadům pro ochranu osobních údajů potřebné finanční a lidské zdroje

Zřízení plně nezávislých dozorových úřadů v každém členském státě je důležité k zabezpečení ochrany fyzických osob v souvislosti se zpracováním jejich osobních údajů v EU 44 . Dozorové úřady nemohou účinně chránit práva a svobody osob, pokud nejednají zcela nezávisle. Nezajištění jejich nezávislosti a účinného výkonu jejich pravomocí má rozsáhlý negativní vliv na vymáhání právních předpisů o ochraně údajů 45 .

Nařízení kodifikuje požadavek, aby veškeré úřady pro ochranu osobních údajů jednaly zcela nezávisle 46 . Posiluje nezávislost vnitrostátních úřadů pro ochranu údajů a zajišťuje jim jednotné pravomoci v celé EU, aby byly náležitě vybaveny pro účinné vyřizování stížností, provádění efektivních vyšetřování, přijímání závazných rozhodnutí a ukládání účinných a odrazujících sankcí. Poskytuje jim rovněž pravomoc ukládat správní pokuty správcům nebo zpracovatelům až do výše 20 milionů EUR, nebo jedná-li se o podnik, až 4 % celkového ročního celosvětového obratu za předchozí finanční rok, podle toho, která hodnota je vyšší.

Úřady pro ochranu údajů jsou přirozenými příslušnými orgány a prvním kontaktním místem pro širokou veřejnost, podniky a orgány veřejné správy v otázkách týkajících se nařízení. Úloha úřadů pro ochranu údajů zahrnuje informování správců a zpracovatelů o jejich povinnostech, zvyšování informovanosti široké veřejnosti a chápání rizik, pravidel, ochranných opatření a práv ve vztahu ke zpracovávání údajů. To však neznamená, že by správci a zpracovatelé měli od úřadů pro ochranu údajů očekávat poskytnutí takového druhu právního poradenství přizpůsobeného individuálním potřebám, které může zajišťovat pouze právník nebo pověřenec pro ochranu osobních údajů.

Vnitrostátní úřady pro ochranu údajů proto hrají ústřední úlohu, ale relativní nerovnováha mezi lidskými zdroji a finančními prostředky přidělenými pro ně v různých členských státech může ohrozit jejich efektivnost a nakonec i úplnou nezávislost vyžadovanou podle nařízení. Může mít rovněž negativní dopad na způsob, jakým úřady pro ochranu údajů mohou vykonávat pravomoci, jako jsou jejich pravomoci ve vyšetřování. Členské státy se vyzývají, aby plnily svou právní povinnost poskytovat svým vnitrostátním úřadům pro ochranu údajů lidské zdroje a technické a finanční prostředky, prostory a infrastrukturu nezbytné pro efektivní plnění jejich úkolů a výkon jejich pravomocí 47 .

3.4 Příprava podniků, orgánů veřejné správy a jiných organizací, které zpracovávají údaje, na uplatňování nových pravidel

Nařízení podstatně nemění hlavní pojetí a zásady právních předpisů o ochraně údajů zavedených v roce 1995. To by mělo znamenat, že převažující většina správců a zpracovatelů za předpokladu, že již splňují stávající právní předpisy EU o ochraně údajů, nebude muset provést velké změny svých operací zpracovávání údajů, aby dodrželi nařízení.

Nařízení má dopad na většinu hospodářských subjektů, jejichž hlavní obchodní činností je zpracovávání údajů a/nebo zacházení s citlivými údaji. Ovlivňuje rovněž ty, kteří provádějí rozsáhlé pravidelné a soustavné sledování jednotlivých osob. Tyto hospodářské subjekty budou pravděpodobně muset jmenovat pověřence pro ochranu osobních údajů, posuzovat vliv na ochranu údajů a oznamovat případy porušení zabezpečení údajů, jsou-li ohrožena práva a svobody fyzických osob. Na rozdíl od toho hospodářské subjekty, zejména malé a střední podniky, které nejsou zapojeny do vysoce rizikového zpracovávání jako své hlavní činnosti, obvykle nebudou podléhat těmto specifickým povinnostem vyplývajícím z nařízení.

Je důležité, aby správci a zpracovatelé prováděli důkladné přezkumy svého cyklu politiky v oblasti údajů, aby jasně určili, které údaje mají, za jakým účelem a na jakém právním základě (např. prostředí cloud computingu; hospodářské subjekty ve finančním odvětví). Musí rovněž posoudit existující smlouvy, zejména smlouvy mezi správci a zpracovateli, cesty mezinárodního předávání údajů a celkovou správu (jaké informační technologie a organizační opatření se mají zavést), včetně jmenování pověřence pro ochranu osobních údajů. Podstatným prvkem v tomto procesu je zajistit, aby se vrcholové vedení zapojilo do těchto přezkumů, aby poskytovalo svůj vklad, pravidelně dostávalo nejnovější informace, a aby se s ním konzultovaly změny politiky podniku v oblasti údajů.

Některé hospodářské subjekty používají za tímto účelem kontrolní seznamy pro posuzování souladu (buď vnitřní, nebo vnější), snaží se získat poznatky z konzultací a rady od právních firem a vyhledávají produkty, které mohou splnit požadavky na záměrnou a standardní ochranu údajů. Každé odvětví musí zpracovat mechanismy, které jsou vhodné pro konkrétní charakter jeho oblasti a přizpůsobené jeho modelu podnikání.

Podniky a jiné organizace, které zpracovávají údaje, budou moci také využívat výhodu nových nástrojů poskytnutých v nařízení jako prvek k prokázání dodržování předpisů, např. kodexy chování a mechanismy pro vydávání osvědčení. Ty tvoří přístupy zdola nahoru, které pocházejí z podnikatelské sféry, od sdružení nebo jiných organizací představujících kategorie správců nebo zpracovatelů a odrážejí osvědčený postup, významný vývoj v daném odvětví, nebo mohou informovat o úrovni ochrany údajů vyžadované některými produkty a službami. Nařízení poskytuje jednodušší soubor pravidel pro tyto mechanismy a současně zohledňuje situaci na trhu (např. vydávání osvědčení subjektem pro vydávání osvědčení nebo úřadem pro ochranu údajů).

Nicméně zatímco velké společnosti se aktivně připravují na uplatňování nových pravidel, mnohé malé a střední podniky nejsou ještě plně informovány o chystaných pravidlech týkajících se ochrany údajů.

Stručně řečeno, hospodářské subjekty by se měly připravit na nová pravidla a přizpůsobit se jim a nařízení chápat jako:

·příležitost dát svůj podnik do pořádku z hlediska toho, jaké osobní údaje mají a jaká je jejich správa,

·povinnost vyvíjet produkty, které zajišťují ochranu soukromí a osobních údajů, a vytvářet nový vztah se svými zákazníky na základě transparentnosti a důvěry, a

·možnost obnovit vztahy s úřady pro ochranu údajů na základě odpovědnosti a aktivního dodržování předpisů.

3.5 Informovat zúčastněné strany, zejména občany a malé a střední podniky

Úspěch nařízení spočívá v náležité informovanosti všech subjektů, jichž se nová pravidla dotýkají (podnikatelská sféra a jiné organizace, které zpracovávají údaje, veřejný sektor a občané). Na vnitrostátní úrovni úkol zvyšovat informovanost a být prvním kontaktním místem pro správce, zpracovatele a jednotlivé osoby leží především na úřadech pro ochranu údajů. Úřady pro ochranu údajů jakožto orgány pro vymáhání pravidel o ochraně údajů na svém území mohou nejlépe vysvětlit změny zavedené nařízením pro společnosti a veřejný sektor a seznámit občany s jejich právy.

Úřady pro ochranu údajů začaly informovat zúčastněné strany v souladu se specifickým vnitrostátním přístupem. Některé organizují semináře s orgány veřejné správy, kromě jiného i na regionální a místní úrovni, a pořádají semináře s různými podnikatelskými sektory s cílem zvýšit informovanost týkající se hlavních ustanovení nařízení. Některé organizují zvláštní programy odborné přípravy pro pověřence pro ochranu osobních údajů. Většina z nich zajišťuje informační materiály v různých formách na svých internetových stránkách (kontrolní seznamy, videa atd.).

Dosud však neexistuje dostatečně rozšířené povědomí občanů o změnách a o posílených právech, jež nová pravidla pro ochranu údajů přinesou. Vzdělávací a osvětové iniciativy zahájené z podnětu úřadů pro ochranu údajů by měly pokračovat a být posíleny, se zvláštním zaměřením na malé a střední podniky. Kromě toho vnitrostátní odvětvové správy mohou podpořit činnosti úřadů pro ochranu údajů a na základě jejich příspěvku vykonávat vlastní činnosti spojené s poskytováním informací mezi různými zúčastněnými stranami.

4.Další kroky

V nadcházejících měsících bude Komise nadále aktivně podporovat všechny subjekty v přípravě na uplatňování nařízení.

a) Spolupráce s členskými státy

Komise bude pokračovat ve spolupráci s členskými státy v období do května 2018. Od května 2018 bude v dalším období monitorovat, jak členské státy uplatňují nová pravidla a přijímají příslušná potřebná opatření.

b) Nové pokyny online ve všech jazycích EU a činnosti ke zvyšování informovanosti

Komise zpřístupňuje praktické pokyny 48 , aby podnikům, zejména malým a středním podnikům, orgánům veřejné správy a veřejnosti pomohla dodržovat nová pravidla o ochraně údajů a mít z nich prospěch.

Pokyny mají formu praktického nástroje online, který je dostupný ve všech jazycích EU. Nástroj online se bude pravidelně aktualizovat a je určen k tomu, aby sloužil třem hlavním adresátům: občanům, podnikům (zejména malým a středním podnikům), jiným organizacím a orgánům veřejné správy. Obsahuje otázky a odpovědi vybrané na základě zpětné vazby od zúčastněných stran s praktickými příklady a odkazy na různé zdroje informací (např. články týkající se nařízení; pokyny pracovní skupiny zřízené podle článku 29 / Evropského sboru pro ochranu osobních údajů; a materiály zpracované na vnitrostátní úrovni).

Komise bude nástroj pravidelně aktualizovat, přidávat otázky a aktualizovat odpovědi na základě obdržené zpětné vazby a s ohledem na nové otázky, jež vyvstanou v souvislosti s prováděním.

Pokyny budou podpořeny informační kampaní a osvětovou činností ve všech členských státech zaměřenými na podniky a veřejnost.

Jelikož nařízení posiluje práva jednotlivce, Komise rovněž bude podnikat činnosti ke zvýšení informovanosti a bude se účastnit různých akcí v členských státech s cílem informovat občany o výhodách a dopadech nařízení.

c) Finanční podpora pro vnitrostátní kampaně a zvyšování informovanosti

Komise podporuje úsilí zaměřené na zvyšování informovanosti a dodržování předpisů vyvíjené na vnitrostátní úrovni udělováním grantů, které lze použít na poskytování odborné přípravy v úřadech pro ochranu údajů, orgánech veřejné správy, pro právní profese a pověřence pro ochranu osobních údajů 49 a za účelem jejich seznámení s nařízením.

Šesti příjemcům zahrnujícím více než polovinu členských států EU bude přiděleno kolem 1,7 milionu EUR. Financování bude zaměřeno na místní orgány veřejné správy, včetně pověřenců pro ochranu osobních údajů z místních orgánů veřejné správy, z orgánů veřejné správy a ze soukromého sektoru a na soudce a právníky. Granty budou použity na zpracování materiálů pro odbornou přípravu úřadů pro ochranu údajů, pověřenců pro ochranu osobních údajů a jiných odborníků a rovněž jako „školící programy pro školitele“.

Komise také zveřejnila výzvu k předkládání návrhů zaměřenou zejména na úřady pro ochranu údajů. Bude mít celkový rozpočet ve výši 2 milionů EUR a podpoří je v tom, aby se pomoc dostala k zúčastněným stranám 50 . Cílem je poskytnout 80 % spolufinancování na opatření přijímaná úřady pro ochranu údajů v období 2018–2019, aby se zvýšila informovanost mezi podniky, zejména malými a středními podniky, a aby se reagovalo na jejich pochybnosti. Toto financování lze rovněž použít na zvýšení informovanosti široké veřejnosti.

d) Posouzení potřeby použít pravomoci Komise

Nařízení 51 umožňuje Komisi vydat prováděcí akty nebo akty v přenesené pravomoci, aby se dále podpořilo provádění nových pravidel. Komise tyto pravomoci použije, pouze když se jasně prokáže přidaná hodnota a na základě zpětné vazby z konzultací se zúčastněnými stranami. Komise se bude zejména zabývat otázkou vydávání osvědčení na základě studie zadané externím odborníkům a vkladem a poradenstvím k této otázce od mnohostranné skupiny zúčastněných stran pro nařízení zřízené na konci roku 2017. V této souvislosti bude rovněž důležitá práce, kterou v oblasti kybernetické bezpečnosti vykonala Agentura Evropské unie pro bezpečnost sítí a informací (ENISA).

e) Začlenění nařízení do Dohody o EHP

Komise bude pokračovat ve spolupráci se třemi státy ESVO (Islandem, Lichtenštejnskem a Norskem) v Evropském hospodářském prostoru (EHP), aby nařízení bylo začleněno do dohody o EHP 52 . Teprve po vstupu začlenění nařízení do Dohody o EHP v platnost bude moci volný pohyb osobních údajů mezi zeměmi EU a EHP probíhat stejným způsobem jako mezi členskými státy EU.

f) Vystoupení Spojeného království z EU

V souvislosti s jednáními mezi EU a Spojeným královstvím týkajícími se dohody o vystoupení na základě článku 50 Smlouvy o Evropské unii bude Komise usilovat o to, aby se zajistilo, že se ustanovení práva Unie o ochraně osobních údajů použitelná v den předcházející vystoupení budou vztahovat i nadále na osobní údaje ve Spojeném království zpracované před datem vystoupení 53 . Například dotčené osoby by měly mít i nadále právo na informace, právo na přístup, právo na opravu, na výmaz, na omezení zpracování, na přenositelnost údajů a také právo vznést námitku proti zpracování a nepodléhat rozhodnutí, které vychází výlučně z automatizovaného zpracování, na základě příslušných ustanovení práva Unie použitelného k datu vystoupení. Osobní údaje uvedené výše by se neměly uchovávat déle, než je nezbytné k účelům, pro které byly zpracovány.

K datu vystoupení a s výhradou jakékoli přechodné dohody, která může být obsažena v možné dohodě o vystoupení, se na Spojené království uplatňují pravidla nařízení pro předávání osobních údajů třetím zemím 54 .

g) Hodnocení v květnu 2019

Po 25. květnu 2018 bude Komise pozorně sledovat uplatňování nových pravidel a bude připravena přijmout opatření, pokud nastanou významné problémy. Komise rok po vstupu nařízení v platnost (2019) uspořádá akci za účelem vyhodnocení zkušeností různých zúčastněných stran z jeho provádění. Bude to zahrnuto rovněž do zprávy o hodnocení a přezkumu nařízení, kterou musí Komise zpracovat do května 2020. Tato zpráva se zaměří zejména na mezinárodní předávání údajů a ustanovení o spolupráci a jednotnosti, která patří do činnosti úřadů pro ochranu údajů.

Závěr

Dne 25. května vstoupí v celé EU v platnost nový jednotný soubor pravidel o ochraně údajů. Nový rámec přinese významný prospěch jednotlivcům, společnostem, orgánům veřejné správy, jakož i jiným organizacím. Je to rovněž příležitost pro to, aby EU zaujala vedoucí postavení ve světě v oblasti ochrany osobních údajů. Reforma však může uspět pouze tehdy, když všechny zapojené strany přijmou své povinnosti a svá práva.

Od přijetí nařízení v květnu 2016 se Komise spolu se všemi dotčenými subjekty – vládami, vnitrostátními orgány, podniky, občanskou společností – aktivně angažovala v uplatňování nových pravidel. Bylo vynaloženo značné úsilí k zajištění širokého povědomí a úplné připravenosti, avšak ještě zbývá hodně práce. Přípravy v jednotlivých členských státech a mezi rozličnými subjekty postupují různou rychlostí. Kromě toho znalosti výhod a příležitostí, které přinášejí nová pravidla, nejsou stejnoměrně rozšířeny. Zejména je zapotřebí posílit informovanost a pomoci malým a středním podnikům při dodržování právních předpisů.

Komise proto vyzývá všechny dotčené subjekty, aby zintenzivnily probíhající činnosti k zajištění důsledného uplatňování a výkladu nových pravidel v celé EU a zvyšovaly informovanost mezi podniky a také občany. Komise toto úsilí podpoří finančními prostředky a administrativní podporou a pomůže zvyšovat všeobecnou informovanost zejména zavedením souboru pokynů online.

Údaje se stávají velmi cennými pro dnešní ekonomiku a mají zásadní význam pro každodenní život občanů. Nová pravidla poskytují jedinečnou příležitost pro podniky i veřejnost. Podniky, zejména ty menší, budou moci využívat jednotného souboru pravidel příznivého pro inovace a dát si problematiku osobních údajů do pořádku, aby obnovily důvěru spotřebitelů, což budou moci používat jako svou konkurenční výhodu v celé EU. Občané budou moci mít prospěch z větší ochrany osobních údajů a získat větší kontrolu nad tím, jak jsou údaje společnostmi zpracovány.

V moderním světě, v němž dochází k prudkému rozvoji digitální ekonomiky, musí být Evropská unie, její občané a podniky plně připraveni beze zbytku využívat a chápat důsledky ekonomiky založené na datech. Nové nařízení nabízí nástroje nezbytné k tomu, aby se Evropa přizpůsobila požadavkům 21. století.

(1) Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů), Úř. věst. L 119, 4.5.2016.

(2) Směrnice Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů, Úř. věst. L 281, 23.11.1995.

(3) Směrnice Evropského parlamentu a Rady (EU) 2016/680 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, o volném pohybu těchto údajů a o zrušení rámcového rozhodnutí Rady 2008/977/SVV, Úř. věst. L 119, 4.5.2016.

(4) Nařízení je v platnosti od 24. května 2016 a použije se ode dne 25. května 2018.

(5) Článek 8 Listiny základních práv EU a článek 16 SFEU.

(6)   https://ec.europa.eu/commission/sites/beta-political/files/letter-of-intent-2017_cs.pdf .

(7) Směrnice Evropského parlamentu a Rady 2002/58/ES ze dne 12. července 2002 o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací (směrnice o soukromí a elektronických komunikacích), Úř. věst. L 201, 31.7.2002, s. 37–47. Podle článku 95 nařízení o ochraně osobních údajů nařízení neukládá žádné další povinnosti fyzickým nebo právnickým osobám, co se týče záležitostí, u nichž se na ně vztahují konkrétní povinnosti s týmž cílem stanovené ve směrnici 2002/58/ES. To například znamená, že subjekty, na něž se vztahuje směrnice o soukromí a elektronických komunikacích, podléhají povinnosti, již směrnice stanoví, oznamovat porušení zabezpečení osobních údajů, pokud se porušení týká služby, jež je v materiálním rozsahu působnosti směrnice o soukromí a elektronických komunikacích. Žádné další povinnosti jim v tomto ohledu obecné nařízení o ochraně osobních údajů neukládá.

(8) Směrnice Evropského parlamentu a Rady (EU) 2016/1148 ze dne 6. července 2016 o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v Unii, Úř. věst. L 194, 19.7.2016, s. 1–30. Subjekty v oblasti působnosti směrnice o bezpečnosti sítí a informací by měly hlásit incidenty, které mají značný nebo podstatný vliv na poskytování některých z jejich služeb. Ohlášením incidentů podle směrnice o bezpečnosti sítí a informací není dotčeno oznámení o porušení zabezpečení podle nařízení.

(9) Článek 35 nařízení.

(10) Sdělení Komise o výměně a ochraně osobních údajů v globalizovaném světě, COM(2017) 7 final.

(11) Návrh nařízení Evropského parlamentu a Rady o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány, institucemi a jinými subjekty Unie a o volném pohybu těchto údajů a o zrušení nařízení (ES) č. 45/2001 a rozhodnutí č. 1247/2002/ES, COM(2017) 8 final.

(12) Návrh nařízení Evropského parlamentu a Rady o respektování soukromého života a ochraně osobních údajů v elektronických komunikacích a o zrušení směrnice 2002/58/ES (nařízení o soukromí a elektronických komunikacích), COM(2017) 10 final.

(13) Do přijetí nařízení o soukromí a elektronických komunikacích a jeho vstupu v platnost se směrnice 2002/58/ES uplatňuje jako lex specialis k nařízení.

(14) Úplný seznam schůzek, pořadů jednání, shrnutí diskusí a přehled aktuálního stavu právních předpisů v různých členských státech viz http://ec.europa.eu/transparency/regexpert/index.cfm?do=groupDetail.groupDetail&groupID=3461 .

(15) Komise například poskytne Evropskému sboru pro ochranu osobních údajů možnost využívat systém pro výměnu informací o vnitřním trhu (IMI) pro komunikaci mezi jeho členy.

(16) Diskusní dokument o využití potenciálu globalizace, COM(2017) 240.

(17) Úmluva Rady Evropy ze dne 28. ledna 1981 o ochraně osob se zřetelem na automatizované zpracování osobních údajů (ETS č. 108) a dodatkový protokol k Úmluvě o ochraně osob se zřetelem na automatizované zpracování osobních dat, o orgánech dozoru a toku dat přes hranice z roku 2001 (ETS č. 181). Úmluva je otevřena pro nečleny Rady Evropy a ratifikovalo ji už 51 zemí (včetně Uruguaye, Mauricia, Senegalu a Tuniska).

(18) Viz např. Data Protection Standards of the Ibero-American States’, http://www.redipd.es/documentacion/common/Estandares_eng_Con_logo_RIPD.pdf

(19) COM(2017) 7.

(20) COM(2017) 7 tamtéž, s. 10–11.

(21)   http://europa.eu/rapid/press-release_STATEMENT-17-1917_en.htm .

(22) COM(2017) 7 tamtéž, s. 10–11.

(23)

Dva semináře s průmyslem v červenci 2016 a dubnu 2017, dvě obchodní setkání u kulatého stolu v prosinci 2016 a květnu 2017, seminář o údajích týkajících se zdraví v říjnu 2017 a seminář se zástupci malých a středních podniků v listopadu 2017.

(24)   http://ec.europa.eu/transparency/regexpert/index.cfm?do=groupDetail.groupDetail&groupID=3537 .

(25) https://ec.europa.eu/programmes/horizon2020/h2020-sections

(26) Všechny přijaté pokyny jsou k dispozici na: http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083.

(27) Článek 288 SFEU.

(28) Ustanovení čl. 54 odst. 1 nařízení.

(29) V čl. 43 odst. 1 nařízení je stanoveno, že členské státy mohou subjektům pro vydávání osvědčení nabídnout dvě možné metody akreditace, tj. vnitrostátním dozorovým úřadem pro ochranu údajů zřízeným v souladu s právními předpisy o ochraně údajů nebo vnitrostátním akreditačním orgánem zřízeným podle nařízení (ES) č. 765/200, kterým se stanoví požadavky na akreditaci a dozor nad trhem. Evropská organizace pro spolupráci v oblasti akreditace („EA“, uznaná podle nařízení č. 765/2008), která soustřeďuje vnitrostátní akreditační orgány a dozorové úřady pro dohled nad obecným nařízením o ochraně osobních údajů, by měla za tímto účelem úzce spolupracovat.

(30) Ustanovení čl. 85 odst. 1 nařízení.

(31) Ustanovení čl. 6 odst. 2 nařízení.

(32) Článek 88 a čl. 9 odst. 2 písm. b) nařízení. Evropský pilíř sociálních práv také stanoví, že „Pracovníci mají právo na ochranu svých osobních údajů v kontextu zaměstnání.“ (2017/C 428/09, Úř. věst. C 428, 13.12.2017, s. 10–15).

(33) Ustanovení čl. 9 odst. 2 písm. h) a i) nařízení.

(34) Ustanovení čl. 9 odst. 2 písm. j) nařízení.

(35) Článek 87 nařízení.

(36) Článek 86 nařízení.

(37) Článek 90 nařízení.

(38) Ustanovení čl. 9 odst. 4 nařízení.

(39) Věc 94/77, Fratelli Zerbone Snc v. Amministrazione delle finanze dello Stato, ECLI:EU:C:1978:17 a 101.

(40) 8. bod odůvodnění nařízení.

(41) Rakousko ( http://www.ris.bka.gv.at/Dokumente/BgblAuth/BGBLA_2017_I_120/BGBLA_2017_I_120.pdf );
Německo ( https://www.bgbl.de/xaver/bgbl/start.xav?start=%2F%2F*%5B%40attr_id%3D%27bgbl117s2097.pdf%27 %5D#__bgbl__%2F%2F*%5B%40attr_id%3D%27bgbl117s2097.pdf%27 %5D__1513091793362 ).

(42) Přehled současného stavu zákonodárného procesu v různých členských státech viz http://ec.europa.eu/transparency/regexpert/index.cfm?do=groupDetail.groupDetail&groupID=3461

(43) Evropský sbor pro ochranu osobních údajů bude institucí EU s právní subjektivitou pověřený zajištěním důsledného uplatňování nařízení. Bude pozůstávat z vedoucího každého úřadu pro ochranu údajů a evropského inspektora ochrany údajů nebo jejich zástupců.

(44) 117. bod odůvodnění a již uvedené dříve v 62. bodě odůvodnění směrnice 95/46.

(45) Sdělení Komise Evropskému parlamentu a Radě o pokračování pracovního programu pro lepší provádění směrnice o ochraně osobních údajů, KOM(2007) 87 v konečném znění, 7.3.2007.

(46) Článek 52 nařízení.

(47) Ustanovení čl. 52 odst. 4 nařízení.

(48) Pokyny přispějí k lepšímu pochopení pravidel EU o ochraně údajů, avšak pouze znění nařízení má právní účinek. V důsledku toho pouze nařízení může založit práva a upravit povinnosti jednotlivců.

(49)  Granty poskytnuté v rámci programu Práva a občanství pro rok 2016 https://ec.europa.eu/research/participants/portal/desktop/en/opportunities/rec/calls/rec-data-2016.html#c,topics=callIdentifier/t/REC-DATA-2016/1/1/1/default-group&callStatus/t/Forthcoming/1/1/0/default-group&callStatus/t/Open/1/1/0/default-group&callStatus/t/Closed/1/1/0/default-group&+identifier/desc ).

(50)   http://ec.europa.eu/research/participants/portal/desktop/en/opportunities/rec/topics/rec-rdat-trai-ag-2017.html

(51) Akt v přenesené pravomoci pro informace, které mají být sděleny pomocí ikon, a postupy pro poskytování standardizovaných ikon (čl. 12 odst. 8 nařízení); akt v přenesené pravomoci pro požadavky, které je třeba zohlednit u mechanismu pro vydávání osvědčení (čl. 43 odst. 8 nařízení); prováděcí akt, kterým se stanoví technické normy pro mechanismy vydávání osvědčení a pro pečetě a známky dokládající ochranu údajů a mechanismy pro prosazování a uznávání mechanismů vydávání osvědčení a pečetí a známek dokládajících ochranu údajů (čl. 43 odst. 9 nařízení); prováděcí akt pro formát a postupy pro výměnu informací mezi správci, zpracovateli a dozorovými úřady pro účely závazných podnikových pravidel (čl. 47 odst. 3 nařízení); prováděcí akty pro formát a postupy pro vzájemnou pomoc a elektronickou výměnu informací mezi dozorovými úřady (čl. 61 odst. 9 a článek 67 nařízení).

(52) Informace o aktuálním stavu viz http://www.efta.int/eea-lex/32016R0679.

(53) https://ec.europa.eu/commission/publications/position-paper-use-data-and-protection-information-obtained-or-processed-withdrawal-date_en

(54) Viz sdělení Komise zúčastněným stranám s názvem: Withdrawal of the United Kingdom and EU rules in the field of data protection (http://ec.europa.eu/newsroom/just/document.cfm?action=display&doc_id=49245).