(1)

Ochrana fyzických osob v souvislosti se zpracováváním osobních údajů je základním právem. Ustanovení čl. 8 odst. 1 Listiny základních práv Evropské unie (dále jen „Listina“) a čl. 16 odst. 1 Smlouvy stanoví, že každý má právo na ochranu osobních údajů, které se jej týkají.

(2)

Zpracování osobních údajů má sloužit lidem; zásady a pravidla ochrany fyzických osob v souvislosti se zpracováváním jejich osobních údajů by proto měly bez ohledu na státní příslušnost nebo bydliště těchto osob dodržovat jejich základní práva a svobody, zejména právo na ochranu osobních údajů. Zpracování osobních údajů by mělo přispět k dotvoření prostoru svobody, bezpečnosti a práva a hospodářské unie, k hospodářskému a sociálnímu pokroku, posilování a sbližování ekonomik v rámci vnitřního trhu a k dobrým životním podmínkám jednotlivců.

(3)

Účelem směrnice Evropského parlamentu a Rady 95/46/ES (4) je harmonizovat právní předpisy o ochraně základních práv a svobod fyzických osob v souvislosti se zpracováním údajů a zaručit volný pohyb osobních údajů mezi členskými státy.

(4)

Hospodářská a sociální integrace vyplývající z fungování vnitřního trhu vedla ke značnému nárůstu přeshraničního pohybu údajů. Výměna údajů mezi hospodářskými a sociálními, veřejnými a soukromými subjekty se v celé Unii zvýšila. Právo Unie zavazuje vnitrostátní orgány členských států ke spolupráci a výměně osobních údajů, aby mohly plnit své povinnosti nebo provádět úkoly jménem orgánu jiného členského státu.

(5)

Rychlý technologický rozvoj a globalizace s sebou přinesly nové výzvy pro oblast ochrany osobních údajů. Objem sdílených a sbíraných údajů dramaticky vzrostl. Technologie umožňují jak soukromým společnostem, tak orgánům veřejné moci využívat při provádění jejich činností osobní údaje v nebývalém rozsahu. Jednotlivé osoby stále častěji zveřejňují své osobní údaje i v globálním měřítku. Technologie změnily ekonomiku i společenský život a vyžadují další zjednodušení volného pohybu údajů v rámci Unie a předávání do třetích zemí a mezinárodním organizacím a zároveň zajištění vysoké úrovně ochrany osobních údajů.

(6)

V souvislosti s tímto vývojem je třeba vytvořit pevný a jednotnější rámec pro ochranu údajů na úrovni Unie, jenž by se opíral o důrazné vymáhání práva, aby byla nastolena důvěra, která by umožnila rozvoj digitální ekonomiky na celém vnitřním trhu. Jednotlivé osoby by měly mít možnost kontrolovat své vlastní osobní údaje a měla by být posílena právní a praktická jistota pro jednotlivce, hospodářské subjekty a orgány veřejné moci.

(7)

Pokud jde o cíle a zásady, směrnice 95/46/EC zůstává v platnosti, avšak nezabránila roztříštěnosti, pokud jde o způsob uplatňování ochrany osobních údajů v rámci celé Unie, právní nejistotě a rozšířenému pocitu veřejnosti, že zejména s internetovými činnostmi jsou spojena značná rizika ohledně ochrany jednotlivých osob. Rozdíly v úrovni ochrany práv a svobod jednotlivých osob, zejména práva na ochranu osobních údajů, v souvislosti se zpracováním osobních údajů poskytované v členských státech mohou bránit volnému pohybu osobních údajů v rámci Unie. Tyto rozdíly mohou být překážkou pro výkon hospodářských činností na úrovni Unie, narušovat hospodářskou soutěž a bránit správním orgánům ve výkonu povinností, které mají na základě práva Unie. Tento rozdíl v úrovni ochrany vyplývá z rozdílů, které existují v provádění a uplatňování směrnice 95/46/ES.

(8)

S cílem zajistit jednotnou a vysokou úroveň ochrany fyzických osob a odstranit překážky pohybu osobních údajů by měla být úroveň ochrany práv a svobod osob v souvislosti se zpracováním těchto údajů rovnocenná ve všech členských státech. V celé Unii je třeba zajistit jednotné uplatňování pravidel ochrany základních práv a svobod fyzických osob v souvislosti se zpracováváním osobních údajů.

(9)

Účinná ochrana osobních údajů v celé Unii vyžaduje posílení a upřesnění práv subjektů údajů a povinností těch, kteří zpracovávají osobní údaje a určují způsob jejich zpracování, ale také stejné pravomoci členských států při sledování a zajišťování souladu s pravidly ochrany osobních údajů a stejné sankce za jejich porušování.

(10)

Ustanovení čl. 16 odst. 2 Smlouvy zmocňuje Evropský parlament a Radu ke stanovení pravidel týkajících se ochrany jednotlivců v souvislosti se zpracováváním osobních údajů a pravidel souvisejících s volným pohybem osobních údajů.

(11)

Aby byla zajištěna jednotná úroveň ochrany jednotlivců v celé Unii a odstraněny rozdíly bránící volnému pohybu údajů v rámci vnitřního trhu, je nezbytné přijmout nařízení, které poskytne hospodářským subjektům, včetně mikropodniků, malých a středních podniků, právní jistotu a transparentnost, jednotlivcům zaručí ve všech členských státech stejná právně vymahatelná práva a správcům a zpracovatelům uloží stejné povinnosti a odpovědnosti s cílem zajistit účinné sledování zpracovávání osobních údajů a stejné sankce ve všech členských státech, jakož i účinnou spolupráci mezi orgány dozoru různých členských států. Aby byla zohledněna specifická situace mikropodniků, malých a středních podniků, obsahuje toto nařízení řadu výjimek. Kromě toho jsou orgány a subjekty Unie, členské státy a jejich orgány dozoru podporovány v tom, aby při uplatňování tohoto nařízení zohledňovaly specifické potřeby mikropodniků, malých a středních podniků. Pojem mikropodniky, malé a střední podniky by měl vycházet z doporučení Komise 2003/361/ES (5).

(12)

Ochrana poskytovaná tímto nařízením se týká zpracovávání osobních údajů fyzických osob bez ohledu na jejich státní příslušnost nebo bydliště. Pokud jsou zpracovávány údaje právnických osob a zejména podniků vytvořených jako právnické osoby, např. název, právní forma a kontaktní údaje, neměly by se tyto právnické osoby domáhat ochrany na základě tohoto nařízení. To by mělo platit rovněž v případě, kdy jméno právnické osoby obsahuje jména jedné nebo více fyzických osob.

(13)

Ochrana jednotlivců by měla být technologicky neutrální a nezávislá na používaných postupech, jinak by bylo riziko obcházení předpisů příliš velké. Měla by platit jak pro automatizované zpracování osobních údajů, tak pro manuální zpracování, pokud jsou nebo mají být uloženy v evidenci. Záznamy nebo soubory záznamů, stejně jako jejich titulní strany, které nejsou uspořádány podle určených hledisek, by neměly spadat do oblasti působnosti tohoto nařízení.

(14)

Toto nařízení se nezabývá otázkami ochrany základních práv a svobod nebo volného pohybu údajů v souvislosti s činnostmi, které nespadají do působnosti práva Unie. ani zpracováním osobních údajů orgány, institucemi a jinými subjekty Unie, na které se vztahuje nařízení Nařízení Evropského parlamentu a Rady (ES) č. 45/2001  (6) nebo zpracováním osobních údajů členskými státy při výkonu jejich činností v rámci společné zahraniční a bezpečnostní politiky Unie by s tímto nařízením mělo být sladěno a uplatňováno v souladu s ním . [pozm. návrh 1]

(15)

Toto nařízení by se nemělo uplatňovat na zpracování osobních údajů fyzickou osobou, které má výlučně osobní, rodinnou či domácí povahu, jako je korespondence a vedení adresářů či soukromý prodej , a které se neprovádí za účelem zisku, a tedy provádí bez jakékoli souvislosti s profesní nebo obchodní činností. Obdobně Toto nařízení by se výjimka neměla vztahovat na správce nebo a zpracovatele, kteří pro tyto osobní či domácí činnosti poskytují prostředky pro zpracování osobních údajů. [pozm. návrh 2]

(16)

Ochrana fyzických osob v souvislosti se zpracováváním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů a o volném pohybu těchto údajů je upravena vlastním právním nástrojem na úrovni Unie. Proto by se toto nařízení nemělo uplatňovat při zpracovávání údajů za těmito účely. Na údaje zpracovávané orgány veřejné moci podle tohoto nařízení, pokud jsou používány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, by se však měl vztahovat konkrétnější právní nástroj na úrovni Unie (směrnice Evropského parlamentu a Rady 2014/…/EU o ochraně fyzických osob v souvislosti se zpracováváním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů a o volném pohybu těchto údajů).

(17)

Tímto nařízením by nemělo být dotčeno uplatňování směrnice Evropského parlamentu a Rady 2000/31/ES (7), zejména pokud jde o pravidla týkající se odpovědnosti poskytovatelů zprostředkovatelských služeb uvedená v článcích 12 až 15 uvedené směrnice.

(18)

Toto nařízení umožňuje při provádění ustanovení v něm uvedených vzít v úvahu zásadu práva na přístup veřejnosti k úředním dokumentům. Orgán veřejné moci nebo veřejný subjekt může v souladu s právními předpisy Unie nebo členského státu týkajícími se práva veřejnosti na přístup k úředním dokumentům sdělit osobní údaje uvedené v dokumentech, které má v držení, je-li zajištěn soulad práva na ochranu údajů s právem veřejnosti na přístup k úředním dokumentům a spravedlivé vyvážení jednotlivých zúčastněných zájmů. [pozm. návrh 3]

(19)

Jakékoli zpracování osobních údajů v rámci činností provozovny správce nebo zpracovatele v Unii by mělo být prováděno v souladu s tímto nařízením bez ohledu na to, zda samotné zpracování probíhá v Unii nebo mimo ni. Provozovna předpokládá účinný a skutečný výkon činnosti prostřednictvím stálého zařízení. Právní forma této provozovny, ať již jde o pobočku nebo dceřinou společnost s právní subjektivitou, není v tomto ohledu rozhodujícím faktorem.

(20)

Aby se zamezilo případům, kdy jednotlivcům nebude poskytnuta ochrana, která jim je zaručena na základě tohoto nařízení, mělo by zpracování osobních údajů subjektů údajů usazených v Unii uskutečněné správcem, jenž není usazen v Unii, podléhat tomuto nařízení, pokud zpracovávání souvisí s nabídkou zboží nebo služeb, ať už placených či neplacených, těmto subjektům údajů nebo se sledováním chování těchto subjektů údajů. S cílem určit, zda takový správce nabízí v Unii zboží nebo služby těmto subjektům údajů, je třeba rozhodnout, zda je zjevné, že správce má v úmyslu nabízet služby subjektům údajů v jednom nebo více členských státech v Unii. [pozm. návrh 4]

(21)

Aby se určilo, zda může být zpracovávání považováno za „sledování chování“ subjektu údajů, mělo by být zjištěno, zda jsou sledovány při své činnosti na internetu za pomoci technik bez ohledu na původ údajů nebo zda jsou o nich shromažďovány jiné údaje, včetně údajů z veřejných rejstříků a oznámení v Unii, které jsou přístupné v zemích mimo Unii, a to i s úmyslem použít či případně následně použít techniky zpracovávání údajů, které spočívají ve vytvoření „profilu“osoby, zejména pro přijímání rozhodnutí, která se jí daného subjektu týkají, nebo pro rozbor nebo předpovídání jejích jeho osobních preferencí, postojů a jejího chování. [pozm. návrh 5]

(22)

Pokud se vnitrostátní právo členského státu uplatňuje na základě mezinárodního práva veřejného, například u diplomatické mise členského státu nebo na konzulárním zastoupení, mělo by se toto nařízení vztahovat také na správce, který není usazen v Unii.

(23)

Zásady ochrany údajů by se měly uplatňovat na všechny informace týkající se identifikovaných nebo identifikovatelných fyzických osob. Při určování, zda je osoba identifikovatelná, by se mělo přihlédnout ke všem prostředkům, o nichž lze důvodně předpokládat, že je správce nebo jakákoli jiná osoba použijí pro přímou či nepřímou identifikaci či zjištění dané osoby. Ke stanovení toho, zda lze důvodně předpokládat použití prostředků k identifikaci fyzické osoby, je třeba vzít v úvahu všechny objektivní faktory, jako jsou náklady a čas, které si identifikace vyžádá, s přihlédnutím k technologii dostupné v době zpracování a k technologickému rozvoji. Zásady ochrany údajů by se proto neměly uplatňovat na anonymní údaje, tj. údaje, které byly dostatečně anonymizovány tak, aby subjekt údajů již nebyl identifikovatelný se nevztahují k žádné identifikované či identifikovatelné fyzické osobě . Toto nařízení se tudíž netýká zpracování těchto anonymních údajů, a to ani zpracování pro statistické a výzkumné účely. [pozm. návrh 6]

(24)

Při využívání on-line služeb mohou být uživateli přiřazeny elektronické Toto nařízení by se mělo vztahovat na zpracování zahrnující identifikátory, jako jsou adresy internetového protokolu nebo identifikátory cookies nebo štítky pro radiofrekvenční identifikaci , které používají jeho zařízení, aplikace, nástroje a protokoly, s výjimkou případů, kdy se identifikátory nevztahují na identifikovanou či identifikovatelnou fyzickou osobu . To může zanechávat stopy, které mohou být spolu s jedinečnými identifikátory a dalšími informacemi, které servery získávají, použity k vytvoření profilů jednotlivých osob a k jejich identifikaci. Z toho vyplývá, že identifikační čísla, lokalizační údaje, elektronické identifikátory nebo jiné specifické prvky jako takové nemusejí být nezbytně za všech okolností považovány za osobní údaje. [pozm. návrh 7]

(25)

Souhlas by měl být dán výslovně prostřednictvím vhodné metody, jež umožňuje svobodný, konkrétní a vědomý projev vůle subjektu údajů formou prohlášení nebo jednoznačného potvrzení, které je výsledkem volby a z něhož vyplývá, že jednotlivci jsou si vědomi, že dávají souhlas se zpracováním osobních údajů. například zaškrtnutím Za jednoznačné potvrzení by mohlo být považováno zaškrtnutí políčka při návštěvě webové stránky nebo jiným prohlášením jiné prohlášení nebo jednáním jednání , které v tomto kontextu jasně signalizuje souhlas subjektu údajů s navrhovaným zpracováním jeho osobních údajů. Mlčení, pouhé využití služby nebo nečinnost tudíž neznamenají souhlas. Souhlas by se měl vztahovat na veškeré činnosti zpracovávání prováděné pro stejný účel nebo stejné účely. Je-li subjekt údajů vyzván k vyjádření souhlasu elektronickou cestou, musí být žádost jasná, stručná a nesmí zbytečně přerušovat využívání služby, pro kterou je souhlas dáván. [pozm. návrh 8]

(26)

Mezi osobní údaje o zdravotním stavu by měly být zahrnuty zejména všechny údaje související se zdravotním stavem subjektu údajů; informace o evidenci osoby pro poskytování zdravotní péče; informace o platbách nebo způsobilosti ke zdravotní péči dané osoby; číslo, symbol nebo specifický údaj přiřazený osobě za účelem její jednoznačné identifikace pro zdravotnické účely; jakékoliv informace o osobě shromážděné během poskytování zdravotních služeb této osobě; informace získané během provádění testů nebo vyšetřování části těla nebo tělesných látek, včetně biologických vzorků; identifikace osoby, poskytující dané osobě zdravotní péči nebo jakékoli informace například o nemoci, postižení, riziku onemocnění, anamnéze, klinické léčbě nebo fyziologickém či biomedicínském stavu subjektu údajů nezávisle na jejich původu, tedy bez ohledu na to, zda pocházejí od lékaře nebo jiného zdravotníka, ze zdravotnického zařízení, ze zdravotnického prostředku či diagnostických testů in vitro.

(27)

Hlavní provozovna správce v Unii by měla být určena na základě objektivních kritérií. Jedním z nich by měl být účinný a skutečný výkon řídících činností prostřednictvím stálého zařízení, v němž jsou přijímána hlavní rozhodnutí ohledně účelů, podmínek a prostředků zpracování. Přitom by nemělo být rozhodující, zda je zpracování osobních údajů skutečně prováděno na tomto místě; existence a používání technických prostředků a technologií pro zpracovávání osobních údajů nevytváří samy o sobě hlavní provozovnu, a proto nejsou rozhodujícím kritériem pro její určení. Hlavní provozovna správce by měla být místem, kde se nachází jeho ústřední správa v Unii.

(28)

Skupina podniků by měla zahrnovat řídící podnik a jím řízené podniky, přičemž řídícím podnikem by měl být podnik, jenž může uplatňovat dominantní vliv na jiné podniky například na základě vlastnictví, finanční účasti nebo pravidel, kterými se podnik řídí, či pravomoci zavádět předpisy týkající se ochrany osobních údajů.

(29)

Zvláštní ochranu osobních údajů si zaslouží děti, protože si mohou být méně vědomy rizik, důsledků, záruk a svých práv v souvislosti se zpracováním osobních údajů. Pro určení, kdy je osoba dítětem, by toto nařízení mělo převzít definici uvedenou v Úmluvě OSN o právech dítěte. Je-li v souvislosti s nabízením zboží a služeb přímo dítěti zpracování údajů podmíněno souhlasem subjektu údajů, měl by tento souhlas v případě, že dítěti je méně než 13 let, dát nebo schválit jeho rodič nebo zákonný zástupce. Informace určené dítěti by měly být podávány v jazyce odpovídajícím jeho věku. Jiné důvody zákonného zpracování údajů, jako je veřejný zájem, by měly zůstat v platnosti, a to například v souvislosti se zpracováváním pro účely poskytování preventivních či poradenských služeb nabízených přímo dítěti. [pozm. návrh 9]

(30)

Jakékoli zpracování osobních údajů by mělo být vůči dotčeným jednotlivcům prováděno zákonným, korektním a transparentním způsobem. Obzvláště specifické účely, pro které jsou údaje zpracovávány, by měly být jednoznačné a legitimní a stanovené v době sběru údajů. Údaje by měly být z hlediska účelů, pro které jsou zpracovávány, přiměřené, podstatné a omezené na nezbytné minimum. Proto je třeba zejména zajistit, aby se nesbíralo neúměrné množství údajů a aby doba, po kterou jsou údaje uchovávány, byla omezena na nutné minimum. Osobní údaje by měly být zpracovávány pouze za účelem zpracování, kterého nemůže být dosaženo jinými prostředky. Měla by být přijata veškerá rozumná opatření, aby nepřesné osobní údaje byly opraveny nebo vymazány. Aby se zajistilo, že údaje nebudou uchovávány déle, než je to nezbytné, měl by správce stanovit lhůty pro výmaz nebo pravidelný přezkum.

(31)

Aby bylo zpracování zákonné, měly by být osobní údaje zpracovávány na základě souhlasu příslušné osoby nebo jiného oprávněného důvodu stanoveného zákonem, který vyplývá buď z tohoto nařízení nebo z jiného práva Unie nebo členského státu odkazujícího na toto nařízení. V případě dítěte či osoby, která není způsobilá k právním úkonům, by podmínky, za kterých může tato osoba souhlas udělit či schválit, měly být stanoveny na základě příslušných právních předpisů Unie či daného členského státu. [pozm. návrh 10]

(32)

Pokud je zpracování založeno na souhlasu subjektu údajů, měl by důkazní břemeno, že subjekt údajů vyjádřil souhlas se zpracováváním, nést správce. Zejména v případě písemného prohlášení souvisejícího s jinou skutečností by mělo být pomocí záruk zajištěno, že subjekt údajů si je vědom, že dává souhlas a v jakém rozsahu. V zájmu dodržení zásady minimalizace údajů by důkazní břemeno nemělo být považováno za požadavek na pozitivní identifikaci subjektů údajů, pokud to není nezbytné. Obdobně jako u ustanovení občanského práva (např. směrnice 93/13/EHS  (8) ) by opatření na ochranu údajů měla být co nejjasnější a nejtransparentnější. Neměla by zahrnovat skrytá nebo znevýhodňující ustanovení. Souhlas by neměl být udělován v případě zpracovávání osobních údajů třetích osob. [pozm. návrh 11]

(33)

Aby se zajistilo, že souhlas je svobodný, mělo by být upřesněno, že souhlas není platným právním důvodem zpracování, pokud osoba nemá skutečnou a svobodnou volbu, a tudíž není schopna souhlas odmítnout nebo odvolat, aniž by tím byla poškozena. To platí zvláště v případě, kdy správce je orgánem veřejné moci, který může na základě svých příslušných veřejných pravomocí stanovit takovou povinnost, a souhlas tedy nelze považovat za svobodný. Použití výchozího nastavení, které musí subjekt údajů změnit, aby vyjádřil nesouhlas se zpracováním údajů, např. předem zaškrtnutá políčka, nepředstavuje svobodný souhlas. V případě využití určité služby by neměl být požadován souhlas se zpracováním dalších osobních údajů, které pro poskytnutí této služby nejsou nezbytné. Odvolání souhlasu může vést k ukončení poskytování nebo nevykonání služby, která je na těchto údajích závislá. Pokud nelze jednoznačně určit, zda byl účel splněn, měl by správce v pravidelných intervalech poskytovat subjektu údajů informace o zpracovávání a žádat o potvrzení jeho souhlasu. [pozm. návrh 12]

(34)

Vyjádření souhlasu nepředstavuje platný právní důvod zpracování osobních údajů, pokud mezi postavením subjektu údajů a správce existuje značná nerovnováha. Jedná se zejména o případ, kdy je subjekt údajů závislý na správci, například pokud osobní údaje zaměstnanců v souvislosti se zaměstnáním zpracovává zaměstnavatel. Pokud je správce orgánem veřejné moci, došlo by k nerovnováze pouze při zpracovávání specifických údajů, při němž orgán veřejné moci může na základě svých příslušných veřejných pravomocí uložit povinnost a souhlas nemůže být považován za svobodně vyjádřený souhlas, přičemž je třeba vzít v úvahu zájmy subjektu údajů. [pozm. návrh 13]

(35)

Zpracování údajů by mělo být zákonné, pokud je nezbytné v souvislosti s plněním smlouvy nebo úmyslem smlouvu uzavřít.

(36)

Pokud je zpracování prováděno pro splnění právní povinnosti, které podléhá správce, nebo je nezbytné pro vykonání úkolu ve veřejném zájmu nebo při výkonu veřejné moci, mělo by mít právní základ v právu Unie nebo v právu členského státu, které v případě jakéhokoli omezení práv a svobod splňuje požadavky Listiny základních práv Evropské unie. K těmto případům by se měly řadit také kolektivní smlouvy, které lze z hlediska vnitrostátního práva uznat za obecně platné. Obdobně by mělo být v právu Unie nebo vnitrostátním právu určeno, zda by správce vykonávající úkol ve veřejném zájmu nebo při výkonu veřejné moci měl být správním úřadem nebo jinou fyzickou nebo právnickou osobou podléhající veřejnému nebo soukromému právu, například profesním sdružením. [pozm. návrh 14]

(37)

Zpracování osobních údajů by mělo být rovněž považováno za zákonné, pokud je nezbytné pro ochranu životně důležitého zájmu subjektu údajů.

(38)

Oprávněné zájmy správce nebo, v případě zveřejnění, třetí strany, které byly údaje zpřístupněny, mohou být právním základem zpracování za předpokladu, že odpovídají legitimním očekáváním subjektu údajů založeným na jeho vztahu ke správci a že nad nimi nepřevažují nad zájmy a základními právy a svobodami subjektu údajů. Tyto zájmy je třeba pečlivě posoudit, zejména pokud je subjektem údajů dítě, neboť děti si zaslouží zvláštní ochranu. V případě, že nepřevažují zájmy či základní práva a svobody subjektu údajů, má se za to, že zpracovávání omezené pouze na pseudonymní údaje odpovídá legitimním očekáváním subjektu údajů založeným na jeho vztahu ke správci. Subjekt údajů by měl mít právo bezplatně vznést proti zpracování námitku z důvodů týkajících se jeho konkrétní situace. Pro zajištění transparentnosti by správce měl mít povinnost výslovně informovat subjekt údajů o svých oprávněných zájmech a o jeho právu vznést námitku, jakož i povinnost tyto oprávněné zájmy dokumentovat. Zájmy a základní práva subjektu údajů by mohly převážit nad zájmy správce údajů zejména tehdy, jestliže ke zpracovávání osobních údajů dochází za okolností, kdy subjekt údajů jejich další zpracování legitimně neočekává. Jelikož právní základ pro zpracování údajů orgány veřejné moci upravuje zákonodárce právním předpisem, tento právní důvod se nepoužije pro zpracovávání prováděné orgány veřejné moci při plnění jejich úkolů. [pozm. návrh 15]

(39)

Zpracování údajů orgány veřejné moci, skupinami pro reakci na počítačové hrozby, skupinami pro reakci na incidenty v oblasti počítačové bezpečnosti, poskytovateli elektronických komunikačních sítí a služeb a poskytovateli bezpečnostních technologií a služeb představuje oprávněný zájem příslušného správce údajů v rozsahu nezbytně nutném a přiměřeném pro zajištění bezpečnosti sítě a informací, tj. schopnosti sítě nebo informačního systému odolávat, na dané úrovni spolehlivosti, náhodným událostem nebo nezákonnému či zlovolnému jednání s cílem ohrozit dostupnost, pravost, správnost a důvěrnost uchovávaných či předávaných údajů a bezpečnost souvisejících služeb poskytovaných či přístupných prostřednictvím těchto sítí a systémů. Oprávněný zájem by například mohl spočívat v zabránění neoprávněnému přístupu k sítím elektronických komunikací a šíření škodlivých kódů a zamezení útokům, jejichž důsledkem je odepření služby, a škodám na počítačových systémech a systémech elektronických komunikací. Tato zásada se uplatní rovněž v případě zpracování osobních údajů, jehož účelem je omezit protiprávní přístup k veřejně přístupné síti nebo informačním systémům a jejich používání, například v případě zařazení elektronických identifikátorů na černou listinu. [pozm. návrh 16]

(39a)

Jestliže zájmy nebo základní práva a svobody subjektu údajů nepřevažují, má se za to, že opatření v zájmu prevence či omezení škod na straně správce údajů jsou prováděna v legitimním zájmu správce údajů nebo, v případě zveřejnění, třetí strany, které byly údaje zpřístupněny, a odpovídají legitimním očekáváním subjektu údajů založeným na jeho vztahu ke správci. Stejná zásada se uplatní také v případě vymáhání právních nároků na subjektu údajů, jako je vymáhání pohledávek nebo občansko právní řízení o náhradu škody či nápravu. [pozm. návrh 17]

(39b)

Jestliže zájmy nebo základní práva a svobody subjektu údajů nepřevažují, má se za to, že zpracování osobních údajů pro přímý marketing vlastních nebo obdobných produktů a služeb či pro přímý marketing, který využívá poštovních služeb, je prováděno v legitimním zájmu správce údajů nebo, v případě zveřejnění, třetí strany, které byly údaje zpřístupněny, a odpovídá legitimním očekáváním subjektu údajů založeným na jeho vztahu ke správci, a to za předpokladu, že byly velmi zřetelným způsobem poskytnuty informace o právu na vznesení námitky a zdroji osobních údajů. Zpracování obchodních kontaktních údajů by mělo být obecně pokládáno za zpracování, které je prováděno v legitimním zájmu správce údajů nebo, v případě zveřejnění, třetí strany, které byly údaje zpřístupněny, a odpovídá legitimním očekáváním subjektu údajů založeným na jeho vztahu ke správci. Totéž by mělo platit v případě zpracování osobních údajů zjevně zveřejňovaných subjektem údajů. [pozm. návrh 18]

(40)

Zpracování osobních údajů pro jiné účely by mělo být přípustné pouze v případech, pokud je slučitelné s účely, pro které byly údaje původně sbírány, zejména pokud je zpracování nezbytné pro účely historiografického, statistického a vědeckého výzkumu. Pokud jiný účel není slučitelný s původním účelem, pro který byly údaje sbírány, měl by správce pro tento účel zpracování získat souhlas subjektu údajů nebo by měl při zpracování vycházet z jiného oprávněného důvodu pro zákonné zpracování, který například vyplývá z práva Unie nebo práva členského státu, kterému správce podléhá. V každém případě by mělo být zajištěno, že budou zásady stanovené tímto nařízením uplatňovány a subjekt údajů bude informován o těchto jiných účelech. [pozm. návrh 19]

(41)

Osobní údaje, které jsou ve své podstatě obzvláště citlivé a ohrožené z hlediska základních práv nebo soukromí, si zaslouží zvláštní ochranu. Tyto údaje by neměly být zpracovávány bez výslovného souhlasu subjektu údajů. Avšak měly by být jednoznačně stanoveny odchylky od tohoto zákazu, aby se vyhovělo zvláštním potřebám, zejména pokud je zpracování těchto údajů prováděno v průběhu legitimních činností některých sdružení či nadací, jejichž cílem je umožnit výkon základních svobod. [pozm. návrh 20]

(42)

Odchylky od zákazu zpracování kategorií citlivých údajů by měly být rovněž povoleny, pokud byly učiněny na základě zákona a chráněny vhodnými zárukami na ochranu osobních údajů a jiných základních práv, je-li to opodstatněno z důvodů veřejného zájmu, zejména pokud jde o zdraví, včetně veřejného zdraví, sociální ochrany a řízení zdravotnických služeb, zejména pro zajištění kvality a hospodárnosti v postupech používaných pro vyřizování nároků na plnění a služby v rámci zdravotního pojištění nebo pro účely historiografického, statistického a vědeckého výzkumu nebo pro archivační služby . [pozm. návrh 21]

(43)

Zpracovávání osobních údajů orgány veřejné moci za účelem dosahování cílů státem uznaných sdružení náboženské povahy, které jsou stanoveny ústavním právem nebo mezinárodním právem veřejným, se uskutečňuje z důvodů veřejného zájmu.

(44)

Pokud je v rámci činností spojených s volbami pro fungování demokratického systému v členském státě třeba, aby politické strany shromažďovaly údaje týkající se politických názorů jednotlivců, může být zpracování těchto údajů povoleno z důvodu veřejného zájmu za předpokladu, že jsou stanoveny vhodné záruky.

(45)

Pokud údaje zpracovávané správcem nedovolují správci identifikovat fyzickou osobu, není správce povinen získat dodatečné informace pro zjištění totožnosti subjektu údajů výlučně za účelem dosažení souladu s některým ustanovením tohoto nařízení. V případě žádosti o přístup by správce měl být oprávněn požádat subjekt údajů o další informace, jež by správci údajů umožnily lokalizovat osobní údaje, které daná osoba hledá. Pokud subjekt údajů může tyto informace poskytnout, správci by neměli mít možnost odmítnout žádost o přístup s odvoláním na nedostatek informací. [pozm. návrh 22]

(46)

Zásada transparentnosti vyžaduje, aby všechny informace určené veřejnosti nebo subjektu údajů byly snadno přístupné a srozumitelné a podávané v jasném a běžně užívaném jazyce. To platí obzvláště v situacích, jako je reklama on-line, do níž je zapojeno mnoho aktérů a jejíž technologická složitost znesnadňuje subjektu údajů, aby byl informován o tom, zda jsou jeho osobní údaje shromažďovány a kdo a za jakým účelem je shromažďuje, a aby těmto informacím rozuměl. Jelikož zvláštní ochranu zasluhují děti, měly by být všechny informace a oznámení, které jsou při zpracovávání určeny především dětem, podávány v tak jasném a běžně užívaném jazyce, aby mu dítě snadno porozumělo.

(47)

Měly by být stanoveny postupy, které by subjektům údajů usnadnily výkon jejich práv, jež jim podle tohoto nařízení náležejí, včetně bezplatného používání mechanismů, pro podávání žádostí na jejichž základě bezplatně získají zejména o přístup k údajům, o opravu, výmaz, možnost opravy a výmazu nebo uplatní práva vznést námitku. Správci by měla být uložena povinnost odpovědět na žádost subjektu údajů ve stanovené v přiměřené lhůtě s uvedením důvodů v případě, že žádosti subjektu údajů nevyhoví. [pozm. návrh 23]

(48)

Podle zásad korektního a transparentního zpracování by subjekt údajů měl být informován především o probíhajícím zpracování údajů a jeho účelech, o tom, jak dlouho budou údaje pravděpodobně uchovávány pro každý z těchto účelů , zda budou údaje předány třetí straně nebo do třetích zemí , o svém právu vznést námitku, právu na přístup, opravu nebo výmaz a právu podat stížnost. Pokud jsou údaje získávány od subjektu údajů, měl by subjekt údajů být rovněž informován, zda je povinen údaje poskytnout, a o důsledcích v případě, že tyto údaje neposkytne. Tyto informace by měly být subjektu údajů poskytnuty – což může znamenat také učiněny snadno dostupnými –poté, co mu budou podány zjednodušeným způsobem v podobě standardizovaných ikon. Znamená to také, že osobní údaje musí být zpracovávány způsobem, jenž subjektu údajů umožní účinně vykonávat jeho práva. [pozm. návrh 24]

(49)

Informování subjektu údajů o tom, že jsou zpracovávány jeho osobní údaje, by mělo proběhnout v okamžiku jejich shromažďování nebo, pokud údaje nejsou získávány od subjektu údajů, v přiměřené lhůtě v závislosti na okolnostech případu. Jestliže mohou být údaje legitimně sděleny jinému příjemci, měl by být subjekt údajů informován o prvním sdělení údajů tomuto příjemci.

(50)

Tuto povinnost však není třeba ukládat, pokud je subjekt údajů již informován nebo pokud zaznamenání nebo sdělování údajů je výslovně stanoveno zákonem nebo pokud poskytnutí těchto informací subjektu údajů není možné nebo by vyžadovalo neúměrné úsilí. Druhá možnost by mohla platit zejména v případě zpracování pro účely historiografického, statistického a vědeckého výzkumu; z tohoto hlediska lze přihlédnout k počtu subjektů údajů, ke stáří údajů, jakož i k přijatým vyrovnávacím opatřením. [pozm. návrh 25]

(51)

Každá osoba by měla mít právo na přístup k údajům, které se jí týkají, a toto právo snadno uplatňovat, aby se mohla přesvědčit o zákonnosti jejich zpracování. Každý subjekt údajů by proto měl mít právo vědět a dozvědět se zejména, za jakým účelem se údaje zpracovávají, jak dlouho budou podle odhadu uchovávány, kdo jsou příjemci údajů, podle jakého obecného postupu jsou údaje zpracovávány a jaké mohou být důsledky takového zpracování přinejmenším v případech, kdy je zpracování založeno na profilování. Tímto právem by neměla být dotčena práva a svobody ostatních, například obchodní tajemství nebo duševní vlastnictví, a zejména autorské právo chránící například v souvislosti s autorským právem chránícím programové vybavení. Tyto úvahy by ovšem neměly vést k tomu, že by subjektu údajů byly odepřeny všechny informace. [pozm. návrh 26]

(52)

Správce by měl využít všech rozumných opatření k ověření totožnosti subjektu údajů, který žádá o přístup, zejména v souvislosti s on-line službami a elektronickými identifikátory. Správce by neměl uchovávat osobní údaje pouze za tím účelem, aby mohl reagovat na případné žádosti.

(53)

Každý subjekt údajů by měl mít právo na opravu osobních údajů, které se ho týkají, a „právo na výmaz “, pokud uchovávání těchto údajů není v souladu s tímto nařízením. Subjekty údajů by především měly mít právo na to, aby jejich osobní údaje byly vymazány a nebyly dále zpracovávány, pokud tyto údaje již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány, pokud subjekty údajů odvolaly svůj souhlas se zpracováním nebo pokud vznesly námitku proti zpracování osobních údajů, které se jich týkají, nebo pokud zpracování jejich osobních údajů není slučitelné s tímto nařízením z jiných důvodů. Toto právo je obzvláště důležité v případech, kdy subjekt údajů dal svůj souhlas v dětském věku, aniž by si byl v plném rozsahu vědom rizik spojených se zpracováním údajů, a později chce tyto osobní údaje zejména na internetu odstranit. Další uchovávání údajů by však mělo být přípustné, pokud je to nezbytné pro účely historiografického, statistického a vědeckého výzkumu, z důvodů veřejného zájmu v oblasti veřejného zdraví, pro výkon práva na svobodu projevu, pokud to vyžaduje zákon nebo pokud existuje důvod pro omezení zpracování údajů namísto jejich výmazu. Právo na výmaz by se nemělo použít také v případě, že je uchování osobních údajů nutné pro plnění smlouvy uzavřené se subjektem údajů, nebo pokud existuje zákonná povinnost uchování těchto údajů. [pozm. návrh 27]

(54)

Aby bylo „právo na výmaz“ posíleno v on-line prostředí posíleno „právo být zapomenut“, mělo by být rovněž rozšířeno právo na výmaz takovým způsobem, aby správce, který zveřejnil osobní údaje, aniž by k tomu existovaly právní důvody, měl povinnost informovat třetí strany, které tyto údaje zpracovávají, že subjekt údajů požaduje vymazání veškerých odkazů na své osobní údaje či veškerých kopií nebo replikací těchto osobních údajů. Správce by měl vzhledem k údajům, za jejichž zveřejnění je zodpovědný, přijmout veškerá rozumná nezbytná opatření, včetně technických, aby toto informování k výmazu příslušných údajů , a to i v případě třetích stran, zajistil. V souvislosti se zveřejněním osobních údajů třetí stranou by měl odpovědnost nést správce, pokud třetí straně zveřejnění povolil aniž by bylo dotčeno právo subjektu údajů nárokovat odškodnění. [pozm. návrh 28]

(54a)

Údaje, proti nimž se subjekt údajů ohradil a jejichž správnost nebo nesprávnost nelze určit, se zablokují do doby vyjasnění této záležitosti. [pozm. návrh 29]

(55)

Aby měly subjekty údajů větší kontrolu nad svými vlastními údaji a lépe uplatňovaly své právo na přístup, měly by v případě, kdy se osobní údaje zpracovávají elektronicky a ve strukturovaném a běžně používaném formátu, mít právo získat kopii údajů, které se jich týkají, rovněž v běžně používaném elektronickém formátu. Subjekt údajů by měl být rovněž oprávněn přenést údaje, které poskytl, z jedné automatizované aplikace, například ze sociální sítě, do jiné aplikace. Správce údajů je třeba podporovat v rozvíjení interoperabilních formátů umožňujících přenositelnost údajů. To by mělo být možné v případě, kdy subjekt údajů poskytl údaje do automatizovaného systému zpracování na základě svého souhlasu nebo při plnění smlouvy. Poskytovatelé služeb informační společnosti by neměli stanovit, že v zájmu poskytování jejich služeb je toto předávání údajů povinné. [pozm. návrh 30]

(56)

V případech, kdy by osobní údaje mohly být oprávněně zpracovávány z důvodu ochrany životně důležitých zájmů subjektu údajů, z důvodů veřejného zájmu, výkonu veřejné správy nebo oprávněných zájmů správce, měl by každý dotčený subjekt údajů přesto mít právo bezplatně, jednoduše a účinně vznést námitku proti zpracování údajů, které se jej týkají. Důkazní břemeno, že jeho oprávněné zájmy mohou převažovat nad zájmy nebo základními právy a svobodami subjektu údajů, by měl nést správce. [pozm. návrh 31]

(57)

Pokud jsou údaje zpracovávány pro účely přímého marketingu, měl by mít má subjekt údajů právo zdarma, jednoduše a účinně vznést proti tomuto zpracování námitku, správce údajů by mu měl tuto možnost výslovně nabídnout, a to srozumitelným způsobem a ve srozumitelné podobě za použití jasného a běžného jazyka, přičemž by měl tyto informace jasně odlišit od ostatních informací . [pozm. návrh 32]

(58)

Aniž by tím byla dotčena legálnost zpracovávání údajů, každá fyzická osoba by měla mít právo aby se na ni nevztahovalo žádné opatření založené na profilování prostřednictvím automatizovaného zpracování. Takové opatření by ovšem vznést námitku proti profilování. Profilování , které vede k opatřením majícím vůči subjektu údajů právní účinky nebo které se obdobným způsobem významně dotýká jeho zájmů, práv a svobod, by mělo být přípustné jen tehdy , pokud je výslovně povoleno zákonem, provedeno při uzavírání nebo plnění smlouvy, nebo pokud k tomu subjekt údajů dal svůj souhlas. V každém případě by takové zpracování mělo být spojeno s vhodnými zárukami, jako je informování subjektu údajů a právo na přímý osobní kontakt posouzení prováděné člověkem , jakož i vyloučení dětí z takového opatření. Tato opatření by neměla vést k diskriminaci jednotlivců na základě rasového či etnického původu, politických názorů, náboženského vyznání či přesvědčení, členství v odborech, sexuální orientace nebo genderové identity. [pozm. návrh 33]

(58a)

Za profilování, které se významně dotýká zájmů, práv a svobod subjektů údajů, by nemělo být považováno profilování založené výlučně na zpracovávání pseudonymních údajů. Jestliže profilování, ať už je založeno na jediném zdroji pseudonymních údajů nebo na shromažďování pseudonymních údajů z různých zdrojů, umožňuje správci přiřadit pseudonymní údaje ke konkrétnímu subjektu údajů, zpracovávané údaje již nelze považovat za pseudonymní. [pozm. návrh 34]

(59)

Právní předpisy Unie nebo členských států mohou zavést omezení určitých zásad a práva na informace, přístup, opravu a výmaz nebo práva na přenositelnost přístup a na získání údajů, práva vznést námitku, opatření založených na profilování, jakož i omezení týkající se oznamování případů porušení ochrany osobních údajů subjektu údajů nebo určitých souvisejících povinností správců, pokud je to v demokratické společnosti nutné a přiměřené pro zachování veřejné bezpečnosti, mimo jiné pro ochranu lidských životů zejména v reakci na přírodní nebo člověkem způsobené katastrofy, pro předcházení trestným činům a porušování deontologických pravidel regulovaných povolání a jejich vyšetřování a stíhání, a rovněž pokud je to nutné s ohledem na jiné konkrétní a řádně vymezené veřejné zájmy Unie nebo členského státu, zejména jedná-li se o důležitý hospodářský či finanční zájem Unie nebo členského státu, nebo s ohledem na ochranu subjektu údajů či práv a svobod ostatních. Tato omezení by měla být v souladu s požadavky stanovenými v Listině základních práv Evropské unie a Úmluvě o ochraně lidských práv a základních svobod. [pozm. návrh 35]

(60)

Měla by být zavedena komplexní odpovědnost správce za jakékoli zpracování osobních údajů prováděné správcem nebo jeho jménem, zejména pokud jde o dokumentaci, zabezpečení údajů, posouzení dopadů, inspektora ochrany údajů a dohled orgánů pro ochranu údajů . Správce by měl zejména zajistit, aby každé zpracování bylo v souladu s tímto nařízením, a měl by být povinen schopen tuto skutečnost doložit. Ověření této skutečnosti by měl provést nezávislý interní nebo externí auditor. [pozm. návrh 36]

(61)

Ochrana práv a svobod subjektů údajů v souvislosti se zpracováním osobních údajů vyžaduje, aby byla přijata příslušná technická a organizační opatření jak při přípravě zpracování, tak v průběhu vlastního zpracování, s cílem zajistit splnění požadavků tohoto nařízení. Aby správce zajistil a prokázal soulad s tímto nařízením, měl by stanovit interní politiky a přijmout vhodná opatření, která splňují zejména zásady ochrany údajů již od návrhu a standardního nastavení ochrany údajů. Zásada ochrany údajů již od návrhu vyžaduje, aby ochrana údajů byla zakotvena v celém životním cyklu technologie, od rané fáze návrhu, přes její definitivní realizaci, používání a konečné odstranění. Vyžaduje také zodpovědnost za výrobky a služby používané správcem či zpracovatelem. Zásada standardního nastavení ochrany údajů vyžaduje, aby nastavení soukromí v případě služeb a produktů automaticky splňovalo obecné zásady ochrany údajů, jako jsou zásada minimalizace údajů a zásada omezení účelu. [pozm. návrh 37]

(62)

Pro ochranu práv a svobod subjektů údajů, jakož i z hlediska odpovědnosti správců a zpracovatele je třeba také s ohledem na sledování ze strany orgánů dozoru a jejich opatření jasně vymezit odpovědnosti podle tohoto nařízení, včetně případů, kdy správce určuje účely, podmínky a prostředky zpracování společně s jinými správci nebo kdy je zpracovávání prováděno jménem správce. Ujednání, k němuž dojde mezi společnými správci, by mělo zohledňovat skutečné úlohy a vztahy společných správců. Zpracovávání osobních údajů v souladu s tímto nařízením by mělo zahrnovat povolení umožňující správci předat údaje společnému správci nebo zpracovateli, kteří je zpracovávají jeho jménem. [pozm. návrh 38]

(63)

Pokud správce, který není usazen v Unii, zpracovává osobní údaje subjektů údajů, které mají bydliště v Unii, a toto zpracování souvisí s nabídkou zboží nebo služeb těmto subjektům údajů nebo se sledováním jejich chování, měl by jmenovat svého zástupce; výjimkou jsou případy, kdy je správce usazen ve třetí zemi, která zajišťuje odpovídající úroveň ochrany, nebo kdy se zpracovávání týká méně než 5 000 subjektů údajů za jakékoli období dvanácti po sobě jdoucích měsíců a není prováděno v rámci zvláštních kategorií osobních údajů nebo kdy je správce malým nebo středním podnikem či orgánem veřejné moci, nebo kdy správce těmto subjektům údajů nabízí zboží nebo služby jen příležitostně. Zástupce by měl jednat jménem správce a orgány dozoru se na něj mohou obracet. [pozm. návrh 39]

(64)

Aby bylo stanoveno, zda správce nabízí zboží a služby subjektu údajů, který má bydliště v Unii, jen příležitostně, mělo by být zjištěno, zda je z celkových činností správce patrné, že nabízení zboží a služeb těmto subjektům údajů představuje pouze doplňující činnost k jeho hlavním činnostem. [pozm. návrh 40]

(65)

Aby bylo prokázáno možné prokázat dodržování tohoto nařízení, měl by správce nebo zpracovatel vést uchovávat záznamy o všech činnostech zpracování nezbytné ke splnění požadavků stanovených v tomto nařízení . Každý správce a zpracovatel by měl být povinen spolupracovat s orgánem dozoru a na jeho žádost mu zpřístupnit tyto záznamy, aby na jejich základě mohla být provedena kontrola zpracování mohl být posouzen soulad s tímto nařízením . Stejný důraz je však třeba klást na řádné postupy a dodržování pravidel, nikoli pouze na doplňování dokumentace. [pozm. návrh 41]

(66)

Aby byla zachována bezpečnost a zabránilo se zpracování údajů, které by bylo v rozporu s tímto nařízením, měl by správce nebo zpracovatel posoudit riziko spojené se zpracováním a přijmout opatření ke zmírnění těchto rizik. Tato opatření by měla zajistit odpovídající úroveň bezpečnosti s ohledem na stav techniky a náklady na jejich provedení v souvislosti s riziky a povahou osobních údajů, které mají být chráněny. Komise by měla Při stanovování technických norem a organizačních opatření k zajištění bezpečného bezpečnosti zpracování podporovat technologickou neutralitu, interoperabilitu a by měla být podporována technologická neutralita, interoperabilita a inovace a případně spolupracovat spolupráce se třetími zeměmi. [pozm. návrh 42]

(67)

Není-li odpovídajícím způsobem a včas řešeno narušení bezpečnosti osobních údajů, může to příslušnému jednotlivci způsobit značnou hospodářskou ztrátu a společenskou škodu, včetně zneužití jeho identity. Proto by měl správce, jakmile se dozví, že došlo k takovému narušení bezpečnosti, toto narušení oznámit orgánu dozoru bez zbytečného odkladu a, je-li to možné, tzn. nejpozději do 24 72 hodin. Pokud není možné tak učinit během 24 hodin Důvody prodlevy by měly by být případně vysvětleny v oznámení vysvětleny důvody této prodlevy. Jednotlivci, jejichž osobní údaje by mohly být narušením bezpečnosti nepříznivě ovlivněny, by měli být bez prodlení vyrozuměni, aby mohli učinit nezbytná opatření. Narušení bezpečnosti by mělo být považováno za škodlivé pro ochranu údajů nebo soukromí subjektu údajů, pokud by mohlo vést například ke krádeži nebo zneužití identity, fyzické újmě, významnému ponížení nebo poškození pověsti. Oznámení by mělo popisovat povahu daného případu narušení bezpečnosti osobních údajů a vypracovat doporučení pro příslušnou osobu, jak případné nežádoucí účinky zmírnit. Oznámení by mělo být subjektu údajů učiněno co nejdříve, jak jen to je možné, a v těsné spolupráci s orgánem dozoru a podle pokynů tohoto orgánu nebo jiného příslušného orgánu (např. donucovacích orgánů). Aby mohl subjekt údajů zmírnit riziko bezprostřední škody, je například nutné subjekt údajů ihned informovat, přičemž delší lhůta může být opodstatněna, je-li potřebné přijmout vhodná opatření, která by zabránila pokračujícímu nebo obdobnému narušení bezpečnosti. [pozm. návrh 43]

(68)

Aby se určilo, zda bylo narušení bezpečnosti osobních údajů ohlášeno orgánu dozoru a subjektu údajů bez zbytečného odkladu, mělo by být prověřeno, zda správce provedl a uplatnil dostatečná technická ochranná a organizační opatření, aby se ihned zjistilo, zda došlo k narušení bezpečnosti údajů, a aby byl orgán dozoru a subjekt údajů ihned informován, a to dříve než dojde k poškození osobních a hospodářských zájmů, přičemž je třeba vzít v úvahu zejména povahu a závažnost daného narušení a jeho důsledky a nežádoucí účinky pro subjekt údajů.

(69)

Při vytváření podrobných pravidel týkajících se formy a postupů oznamování případů narušení bezpečnosti osobních údajů by měly být náležitě zohledněny okolnosti případu, včetně otázky, zda byly osobní údaje chráněny vhodnými technickými ochrannými opatřeními, jež pravděpodobnost zneužití totožnosti a jiných forem zneužívání účinně omezují. Tato pravidla a postupy by navíc měly vzít v úvahu oprávněné zájmy donucovacích orgánů v případech, kdy by předčasné zveřejnění mohlo zbytečně ztížit vyšetřování okolností narušení.

(70)

Směrnice 95/46/ES stanovovala obecnou povinnost oznamovat zpracování osobních údajů orgánům dozoru. Jelikož tato povinnost s sebou nesla administrativní a finanční zátěž, nepřispívala ve všech případech ke zlepšení ochrany osobních údajů. Proto by měla být tato nerozlišující obecná oznamovací povinnost zrušena a nahrazena účinnými postupy a mechanismy, které by se místo toho zaměřovaly na ty činnosti zpracování, jež mohou na základě své povahy, svého rozsahu a svých účelů představovat specifická rizika z hlediska práv a svobod subjektů údajů. V těchto případech by měl správce nebo zpracovatel před zpracováním provést posouzení dopadu na ochranu údajů, jež by mělo zejména obsahovat plánovaná opatření, záruky a mechanismy pro zajištění ochrany osobních údajů a prokázání souladu s tímto nařízením.

(71)

To by mělo platit zejména pro nově vytvořené rozsáhlé evidence, jež mají sloužit ke zpracovávání značného množství osobních údajů na regionální, národní nebo nadnárodní úrovni a jež by se mohly týkat velkého počtu subjektů údajů.

(71a)

Posouzení dopadu jsou základním pilířem jakéhokoli udržitelného rámce pro ochranu údajů, jelikož podniky si jsou díky nim již od počátku vědomy všech možných důsledků, které jejich zpracovávání údajů může mít. Pokud budou posouzení dopadu důkladná, lze pravděpodobnost jakéhokoli porušení ochrany údajů či operace narušující soukromí významným způsobem omezit. Při posuzování dopadu zpracovávání osobních údajů na jejich ochranu by se mělo soustavně dbát na to, aby se při něm zohledňovala správa údajů během celé jejich existence, tj. od okamžiku jejich sběru, přes jejich zpracování až do okamžiku, kdy jsou vymazány, přičemž by se měly podrobně popsat plánované operace zpracování, rizika z hlediska práv a svobod subjektů údajů, plánovaná opatření k řešení těchto rizik, záruky, bezpečnostní opatření a mechanismy k zajištění souladu s tímto nařízením. [pozm. návrh 44]

(71b)

Správci by se měli zaměřit na ochranu osobních údajů v průběhu celého životního cyklu údajů od jejich sběru a zpracovávání až po jejich výmaz, a to tím, že již předem investují do udržitelného rámce správy údajů, na nějž bude navazovat komplexní mechanismus zajišťující dodržování pravidel. [pozm. návrh 45]

(72)

Za určitých okolností může být rozumné a z hospodářského hlediska smysluplné, aby posouzení dopadu na ochranu údajů bylo pojato šířeji než pro jeden jediný projekt, například když orgány veřejné moci nebo veřejné subjekty mají v úmyslu vytvořit společnou aplikaci nebo platformu zpracování, nebo když několik správců chce zavést společnou aplikaci nebo zpracovatelské prostředí pro celé průmyslové odvětví nebo pro určitý segment nebo pro široce užívanou horizontální činnost.

(73)

Posouzení dopadu na ochranu údajů by měl vypracovat orgán veřejné moci nebo veřejný subjekt, pokud takové posouzení dopadů nebylo vypracováno již v souvislosti s přijetím vnitrostátního zákona, na jehož základě orgán veřejné moci nebo veřejný subjekt plní své úkoly a který upravuje dané specifické úkony nebo soubory úkonů spojené se zpracováním. [pozm. návrh 46]

(74)

Pokud z posouzení dopadu na ochranu údajů vyplývá, že zpracovávání s sebou nese vysoké specifické riziko z hlediska práv a svobod subjektů údajů, například riziko, že dané osoby nebudou moci uplatnit své právo na ochranu údajů, nebo riziko plynoucí z využití nových specifických technologií, měl by být před zahájením činností konzultován inspektor ochrany údajů nebo orgán dozoru ohledně rizikového zpracování, které možná není v souladu s tímto nařízením, aby předložil návrhy na nápravu této situace. Tato Konzultace orgánu dozoru by měla být rovněž uskutečněna během přípravy legislativního opatření vnitrostátního parlamentu nebo opatření založeného na tomto legislativním opatření, které vymezuje povahu zpracování a stanoví vhodné záruky. [pozm. návrh 47]

(74a)

Posouzení dopadu mohou být přínosná pouze tehdy, pokud správci zajistí, že naplní cíle, s nimiž byla původně koncipována. Správci údajů by proto měli provádět pravidelné přezkumy souladu s pravidly o ochraně údajů, které prokážou, že jimi uplatňované mechanismy zpracovávání údajů odpovídají požadavkům stanoveným v posouzení dopadu zpracovávání údajů na jejich ochranu. Dále by se mělo v jejich rámci prokázat, že správce údajů je schopen vyhovět svobodným rozhodnutím subjektů údajů. Pokud se při přezkumu zjistí v dodržování souladu nedostatky, je třeba na ně upozornit a formulovat doporučení, jak docílit souladu v plné míře. [pozm. návrh 48]

(75)

Pokud je zpracování prováděno ve veřejném sektoru nebo velkým soukromým podnikem pokud je prováděno v soukromém sektoru a týká se více než 5000 subjektů údajů za 12 měsíců , nebo pokud hlavní činnosti podniku bez ohledu na jeho velikost zahrnují zpracovávání citlivých údajů nebo zpracovávání , jež vyžaduje pravidelné a systematické sledování, měla by správci nebo zpracovateli při sledování toho, zda je v rámci podniku dodržován soulad s tímto nařízením, asistovat další osoba. V rámci zjišťování, zda jsou zpracovávány údaje o velkém počtu subjektů údajů, by se neměly zohledňovat archivované údaje, pro něž platí omezení v tom smyslu, že k nim není možný běžný přístup, nepodléhají zpracování správcem a nelze je již změnit. Tito inspektoři ochrany údajů, bez ohledu na to, zda se jedná o zaměstnance správce, či nikoli, a zda tento úkol provádějí na plný úvazek, či nikoli, by měli plnit své povinnosti a úkoly nezávisle a měla by se na ně vztahovat zvláštní ochrana před propuštěním . Konečnou odpovědnost by mělo i nadále nést vedení příslušné organizace. S cílem zajistit dodržování zásad ochrany soukromí již od návrhu a standardního nastavení ochrany soukromí je především třeba vést konzultace s inspektorem ochrany údajů již před navrhováním systémů automatizovaného zpracování osobních údajů, zadáváním zakázek, vývojem a vytvářením těchto systémů . [pozm. návrh 49]

(75a)

Inspektor ochrany údajů by měl mít alespoň následující kvalifikace: rozsáhlé znalosti právních předpisů o ochraně údajů a jejich uplatňování, včetně technických a organizačních opatření a postupů; znalosti technických požadavků týkajících se zajištění ochrany soukromí již od návrhu, standardního nastavení ochrany soukromí a zabezpečení údajů; znalosti v příslušné oblasti podle velikosti správce nebo zpracovatele a citlivosti údajů, jež mají být zpracovávány; schopnost provádět inspekce, vést konzultace, vypracovat dokumentaci a provádět analýzy logovacích souborů a schopnost spolupracovat se zástupci zaměstnanců. Správce by měl inspektorovi ochrany údajů umožnit účast na pokročilé odborné přípravě, aby si inspektor mohl udržovat odborné znalosti požadované pro výkon svých povinností. Jmenování do funkce inspektora ochrany údajů nemusí nutně vyžadovat činnost příslušného zaměstnance na plný úvazek. [pozm. návrh 50]

(76)

Sdružení nebo jiné subjekty zastupující určité kategorie správců by měly být po konzultaci se zástupci zaměstnanců podněcovány k tomu, aby v souladu s tímto nařízením vypracovaly kodexy chování s cílem usnadnit účinné uplatňování tohoto nařízení, a to při zohlednění zvláštní povahy zpracování v některých oblastech. Tyto kodexy by měly odvětví usnadnit dodržování tohoto nařízení. [pozm. návrh 51]

(77)

Aby se zvýšila transparentnost a zlepšilo dodržování tohoto nařízení, mělo by být podpořeno zavedení mechanismů pro vydávání osvědčení, pečetí a  standardizovaných známek dokládajících ochranu údajů, aby subjekty údajů mohly rychle, spolehlivě a ověřitelným způsobem zhodnotit úroveň ochrany údajů u příslušných produktů a služeb. Na evropské úrovni je třeba zavést Evropskou pečeť ochrany údajů, která by měla vytvořit důvěru mezi subjekty údajů, přinést právní jistotu správcům a  současně exportovat evropské normy ochrany údajů tím, že neevropským společnostem, které získají osvědčení, bude usnadněn vstup na evropské trhy . [pozm. návrh 52]

(78)

Přeshraniční pohyb osobních údajů je nezbytný pro rozvoj mezinárodního obchodu a mezinárodní spolupráce. Nárůst tohoto pohybu s sebou přinesl nové výzvy a problémy ohledně ochrany osobních údajů. Pokud jsou však osobní údaje předávány z Unie do třetích zemí nebo mezinárodním organizacím, neměla by být úroveň ochrany jednotlivců zaručovaná v Unii tímto nařízením oslabována. V každém případě by předávání do třetích zemí mělo být prováděno pouze za přísného dodržování tohoto nařízení.

(79)

Tímto nařízením nejsou dotčeny mezinárodní dohody uzavřené mezi Unií a třetími zeměmi o předávání osobních údajů včetně vhodných záruk pro subjekty údajů, které zajistí dostatečnou úroveň ochrany základních práv občanů . [pozm. návrh 53]

(80)

Komise může s účinkem pro celou Unii rozhodnout, že určité třetí země nebo území či odvětví zpracovávání v dané třetí zemi nebo určitá mezinárodní organizace zajišťují vhodnou úroveň ochrany údajů, a tímto způsobem ve vztahu k třetím zemím nebo mezinárodním organizacím, které jsou považovány za schopné poskytovat takovou úroveň ochrany, zajišťují právní jistotu a jednotné uplatňování práva v celé Unii. V těchto případech mohou být osobní údaje do těchto zemí předávány, aniž by bylo třeba získat další povolení. Komise může rovněž rozhodnout o zrušení takového rozhodnutí, pokud tuto skutečnost třetí zemi oznámila a plně odůvodnila. [pozm. návrh 54]

(81)

V souladu se základními hodnotami, na kterých je Unie založena a mezi něž patří zejména ochrana lidských práv, by Komise měla při svém hodnocení třetí země zohlednit, jak daná třetí země respektuje právní stát, přístup k spravedlnosti a mezinárodní normy a standardy v oblasti lidských práv.

(82)

Komise může rovněž uznat, že třetí země nebo území či odvětví zpracovávání v dané třetí zemi nebo určitá mezinárodní organizace nezajišťuje přiměřenou úroveň ochrany údajů. Za předpisy, které takovou úroveň ochrany nezajišťují, by měly být považovány veškeré právní předpisy, které k osobním údajům zpracovávaným v Unii umožňují přístup ze třetí země, aniž by to bylo v souladu s právními předpisy Unie či členského státu. Předávání osobních údajů do této třetí země by tudíž mělo být zakázáno. V tomto případě by měly být naplánovány konzultace mezi Komisí a těmito třetími zeměmi nebo mezinárodními organizacemi. [pozm. návrh 55]

(83)

V případě absence rozhodnutí o přiměřenosti by správce nebo zpracovatel měl k odstranění nedostatků v oblasti ochrany údajů ve třetí zemí přijmout vhodné záruky pro ochranu subjektu údajů. Tyto vhodné záruky mohou spočívat ve využívání závazných podnikových pravidel, standardních doložek o ochraně údajů přijatých Komisí, standardních doložek o ochraně údajů přijatých orgánem dozoru nebo smluvních doložek schválených orgánem dozoru nebo jiných vhodných a přiměřených opatření opodstatněných na základě všech okolností spojených s předáváním údajů nebo řady údajů, které byly schváleny orgánem dozoru. Tyto vhodné záruky by měly podpořit dodržování práv subjektů ve stejné míře, jak se tomu děje při zpracovávání údajů uvnitř EU, zejména pokud jde o omezení účelu, právo na přístup, opravu, provedení výmazu a právo nárokovat odškodnění. Tyto záruky by měly zejména zajistit dodržování zásad zpracovávání osobních údajů a práv subjektů údajů a stanovit účinné mechanismy nápravy, ale i zajistit dodržování zásad ochrany údajů již od návrhu a zásad standardního nastavení ochrany údajů a zaručit jmenování inspektora ochrany údajů. [pozm. návrh 56]

(84)

Skutečnost, že správci a zpracovatelé mohou používat standardní doložky o ochraně údajů přijaté Komisí nebo orgánem dozoru, by neměla správcům a zpracovatelům bránit v tom, aby zahrnuli standardní doložky o ochraně údajů i do rozsáhlejších smluv nebo doplnili jiné doložky či dodatečné záruky , pokud tyto nejsou v přímém či nepřímém rozporu se standardními smluvními doložkami přijatými Komisí nebo orgánem dozoru nebo pokud neomezují práva a svobody subjektů údajů. Standardní doložky o ochraně údajů přijaté Komisí by se mohly vztahovat na různé situace, zejména na situaci, kdy správci usazení v Evropské unii předávají údaje správcům usazeným mimo Evropskou unii či zpracovatelům usazeným mimo Evropskou unii, včetně dílčích zpracovatelů. Správci a zpracovatelé by měli být vybízeni k poskytování ještě větších záruk prostřednictvím dodatečných smluvních závazků, které doplní standardní doložky o ochraně údajů. [pozm. návrh 57]

(85)

Skupina podniků by měla mít možnost pro své mezinárodní předávání údajů z Unie organizacím ve stejné skupině podniků využívat schválená závazná podniková pravidla, pokud tato pravidla obsahují všechna základní zásady a vymahatelná práva pro zajištění vhodných záruk pro předávání nebo kategorie předávání osobních údajů. [pozm. návrh 58]

(86)

Měla by být stanovena možnost předávat údaje za určitých okolností, pokud subjekt údajů dal svůj souhlas, pokud je předávání nezbytné v souvislosti se smlouvou anebo s uplatňováním právního nároku, pokud je to nutné z důvodů důležitého veřejného zájmu stanoveného právem Unie nebo členského státu nebo pokud je předávání prováděno z rejstříku zřízeného ze zákona, přístupného veřejnosti nebo osobám s oprávněným zájmem. V tomto případě by se takové předání nemělo týkat všech údajů ani celých kategorií údajů obsažených v tomto rejstříku, a pokud má být rejstřík přístupný osobám s oprávněným zájmem, mělo by být předání uskutečněno pouze na žádost těchto osob nebo pokud jsou tyto osoby jejich příjemci, přičemž je třeba plně zohlednit zájmy a základní práva subjektu údajů . [pozm. návrh 59]

(87)

Tyto výjimky by se měly uplatnit zejména v případech, kdy je předání údajů nezbytné a nutné k ochraně z důležitých důvodů veřejného zájmu, například v případech mezinárodního předávání údajů mezi příslušnými orgány pro hospodářskou soutěž, daňovými či celními správami, orgány finančního dohledu, útvary příslušnými v oblasti sociálního zabezpečení nebo veřejného zdraví nebo příslušnými veřejnými orgány pro prevenci, vyšetřování, odhalování či stíhání trestných činů, včetně oblasti předcházení praní peněz a boje proti financování terorismu . Předání osobních údajů by mělo být považováno za zákonné rovněž tehdy, pokud je nezbytné pro ochranu životně důležitého zájmu subjektu údajů nebo jiné osoby, za předpokladu, že subjekt údajů není schopen udělit souhlas. Předávání osobních údajů z důvodu tak důležitého, jako je veřejný zájem, by se mělo uskutečňovat jen příležitostně. V každém případě je třeba provést pečlivé posouzení veškerých okolností, za nichž k předání údajů dojde. [pozm. návrh 60]

(88)

Předání, které nelze označit za časté nebo značného rozsahu, by mohla být možná rovněž pro účely oprávněných zájmů správce nebo zpracovatele, pokud posoudil všechny okolnosti daného předání údajů. Při zpracování údajů pro účely historiografického, statistického a vědeckého výzkumu by měla být zohledněna oprávněná očekávání společnosti ohledně zvyšování znalostí. [pozm. návrh 61]

(89)

V každém případě, pokud Komise nepřijala rozhodnutí o odpovídající úrovni ochrany údajů ve třetí zemi, by měl správce nebo zpracovatel využít řešení, na jejichž základě je zaručeno získají správci údajů právně závaznou záruku , že jakmile jsou údaje předány, požívají subjekty údajů i nadále požívají základních práv a záruk platných při zpracování jejich údajů v Unii, pokud se zpracování údajů neprovádí masově, opakovaně ani strukturovaně . Součástí této záruky je i finanční odškodnění v případě ztráty údajů či nedovoleného přístupu nebo zpracování těchto údajů a závazek poskytnout bez ohledu na vnitrostátní právní předpisy veškeré podrobnosti o každém přístupu orgánů veřejné moci ve třetích zemích k těmto údajům. [pozm. návrh 62]

(90)

Některé třetí země přijaly zákony, nařízení a jiné právní předpisy, které mají přímo upravovat zpracovávání údajů ze strany fyzických nebo právnických osob spadajících do pravomoci členských států. Používání těchto zákonů, nařízení a jiných právních předpisů mimo území těchto třetích zemí může znamenat porušení mezinárodního práva a narušovat ochranu fyzických osob zaručenou v Unii tímto nařízením. Předávání údajů by mělo být přípustné jen tehdy, jsou-li splněny podmínky předávání údajů do třetích zemí stanovené v tomto nařízení. Tak tomu může být například v případě, kdy je sdělení údajů nezbytné z důvodu důležitého veřejného zájmu, jenž je uznán v právu Unie nebo v právu členského státu, kterému správce podléhá. Podmínky, za jakých se jedná o důvod důležitého veřejného zájmu, by měla Komise blíže vymezit v aktu v přenesené pravomoci. Komise by měla zajistit, že bude vždy uplatňováno právo EU, pokud se správce či zpracovatel ocitne v situaci, kdy se unijní předpisy a předpisy třetí země nebudou shodovat. Komise by měla správci a zpracovateli poskytovat pokyny a pomoc a měla by usilovat o to, aby se příslušný právní konflikt se třetí zemí vyřešil. [pozm. návrh 63]

(91)

Při předávání osobních údajů přes hranice se jednotlivci mohou vystavovat vyššímu riziku, že nebudou schopni vykonávat svá práva na ochranu údajů, zejména se chránit před nezákonným použitím nebo zveřejňováním těchto informací. Zároveň se může stát, že orgány dozoru nebudou schopny vyřizovat stížnosti nebo provádět šetření týkající se činností prováděných za hranicemi svého státu. Překážkou pro jejich úsilí o přeshraniční spolupráci mohou být také nedostatečné preventivní a nápravné pravomoci, nejednotné právní řády a praktické překážky, například omezené zdroje. Proto je třeba podporovat užší spolupráci mezi orgány dozoru pro ochranu údajů s cílem umožnit jim výměnu informací a provádění šetření ve spolupráci s orgány dozoru jiných zemí.

(92)

Zřízení orgánů dozoru vykonávajících zcela nezávisle své úkoly v členských státech je zásadním prvkem ochrany jednotlivců v souvislosti se zpracováním osobních údajů. Členské státy mohou zřídit více než jeden orgán dozoru, pokud to odpovídá jejich ústavní, organizační a administrativní struktuře. Orgán musí mít s ohledem na počet obyvatel a rozsah zpracovávání osobních údajů odpovídající finanční a lidské zdroje, aby byl schopen plnit svou úlohu v plném rozsahu. [pozm. návrh 64]

(93)

Pokud členský stát zřídí několik orgánů dozoru, měl by zavést právní nástroje, které by zajistily účinnou účast těchto orgánů dozoru v mechanismu jednotnosti. Tento členský stát by měl zejména jmenovat orgán dozoru, jenž bude fungovat jako jediné kontaktní místo pro účinnou účast těchto orgánů v mechanismu a jenž zajistí rychlou a plynulou spolupráci s ostatními orgány dozoru, Evropskou radou pro ochranu údajů a Komisí.

(94)

Každému orgánu dozoru by měly být poskytnuty odpovídající finanční a lidské zdroje, přičemž se zvláštní pozornost věnuje zajištění odpovídajících technických dovedností zaměstnanců a jejich znalostí práva, a prostory a infrastruktura, které bude potřebovat pro účinné vykonávání svých úkolů, včetně úkolů, jež bude plnit v rámci vzájemné pomoci a spolupráce s ostatními orgány dozoru v celé Unii. [pozm. návrh 65]

(95)

Obecné podmínky pro členy orgánu dozoru by měly být v každém členském státě upraveny právním předpisem a zejména by měly stanovit, že tito členové by měli být jmenováni parlamentem nebo vládou členského státu, přičemž je třeba dbát na minimalizaci rizika politického vměšování, a dále by měly obsahovat pravidla o osobní způsobilosti členů a jejich postavení a o předcházení střetům zájmů . [pozm. návrh 66]

(96)

Orgány dozoru by měly sledovat uplatňování ustanovení tohoto nařízení a přispívat k jejich jednotnému uplatňování v celé Unii s cílem chránit fyzické osoby v souvislosti se zpracováváním jejich osobních údajů a usnadnit volný pohyb osobních údajů v rámci vnitřního trhu. Za tímto účelem by orgány dozoru měly spolupracovat s Komisí a mezi sebou.

(97)

Dochází-li ke zpracování osobních údajů v rámci činnosti některé provozovny správce nebo zpracovatele ve více členských státech Unie, měl by být k dohledu nad činnostmi prováděnými jediným kontaktním místem a vedoucím orgánem odpovědným za dohled nad správcem či zpracovatelem v celé Unii a k přijímání souvisejících rozhodnutí příslušný jen by měl být jediný orgán dozoru, aby se zlepšilo jednotné uplatňování předpisů, poskytla právní jistota a snížila administrativní zátěž těchto správců a zpracovatelů. [pozm. návrh 67]

(98)

Příslušný Vedoucí orgán, který převezme úkoly jediného kontaktního místa, by měl být orgán dozoru toho členského státu, v němž má správce nebo zpracovatel hlavní provozovnu své zastoupení . Na žádost příslušného orgánu může v některých případech určit vedoucí orgán Evropská rada pro ochranu údajů prostřednictvím mechanismu jednotnosti. [pozm. návrh 68]

(98a)

Subjekt údajů, jehož osobní údaje jsou zpracovávány správcem údajů nebo zpracovatelem v jiném členském státě, by měl mít možnost podat stížnost orgánu dozoru podle vlastního výběru. Vedoucí orgán pro ochranu údajů by měl koordinovat svou činnost s činností dalších zapojených orgánů. [pozm. návrh 69]

(99)

Ačkoli se toto nařízení vztahuje také na činnosti vnitrostátních soudů, neměly by být orgány dozoru příslušné k dozoru nad zpracováním osobních údajů, pokud soudy jednají v rámci svých soudních pravomocí, aby byla zachována nezávislost soudců při výkonu jejich soudních úkolů. Tato výjimka by však měla být striktně omezena na čistě soudní činnosti v soudních řízeních a neměla by se vztahovat na jiné činnosti, do kterých mohou být soudci v souladu s vnitrostátním právem zapojeni.

(100)

Aby se zajistilo jednotné sledování a prosazování tohoto nařízení v celé Unii, měly by mít orgány dozoru v každém členském státě tytéž povinnosti a účinné pravomoci, včetně pravomocí provádět šetření, právně závazné zásahy, přijímat rozhodnutí a sankce, zejména v případech stížností jednotlivců, a pravomoci obrátit se na soud. Orgány dozoru by měly své pravomoci provádět šetření, pokud jde o zpřístupňování prostorů, vykonávat v souladu s právem Unie a právem členského státu. To se týká zejména požadavku získat předchozí soudní povolení.

(101)

Každý orgán dozoru by se měl zabývat stížnostmi podanými kterýmkoli subjektem údajů nebo sdružením jednajícím ve veřejném zájmu a záležitost prošetřit. Šetření, které následuje po podání stížnosti, by mělo být s výhradou soudního přezkumu provedeno v rozsahu, jenž je v daném případě přiměřený. Orgán dozoru by měl subjekt údajů nebo sdružení v rozumné lhůtě informovat o vývoji a výsledku stížnosti. Subjekt údajů by měl být průběžně informován v případě, kdy je zapotřebí další šetření nebo koordinace s jiným orgánem dozoru. [pozm. návrh 70]

(102)

Činnosti orgánů dozoru, jejichž cílem je zvyšování povědomí veřejnosti, by měly zahrnovat specifická opatření zaměřená na správce a zpracovatele, včetně mikropodniků, malých a středních podniků, jakož i na subjekty údajů.

(103)

Orgány dozoru by si měly při provádění svých úkolů vzájemně pomáhat, aby bylo zajištěno jednotné uplatňování a prosazování tohoto nařízení na vnitřním trhu.

(104)

Každý orgán dozoru by měl mít právo účastnit se společných operací orgánů dozoru. Dožadovaný orgán dozoru byl měl mít povinnost odpovědět na žádost ve stanovené lhůtě.

(105)

Aby bylo zajištěno jednotné uplatňování tohoto nařízení v celé Unii, měl by být zaveden mechanismus jednotnosti pro spolupráci mezi orgány dozoru a s Komisí. Tento mechanismus by se měl použít především tehdy, má-li orgán dozoru v úmyslu přijmout opatření ohledně jednotlivých činností zpracování, které souvisejí s nabídkou zboží nebo služeb subjektům údajů v několika členských státech, nebo se sledováním těchto subjektů údajů nebo které by mohly významně ovlivnit volný pohyb osobních údajů. Měl by se použít také v případě, kdy orgán dozoru nebo Komise žádají, aby byla záležitost projednávána v rámci mechanismu jednotnosti. Subjekty údajů by navíc měly mít právo dosáhnout jednotnosti, pokud soudí, že opatření orgánu pro ochranu údajů v určitém členském státě toto kritérium nesplňuje. Tímto mechanismem by neměla být dotčena jiná opatření, která by Komise mohla přijmout při výkonu svých pravomocí podle Smluv. [pozm. návrh 71]

(106)

Při použití mechanismu jednotnosti by Evropská rada pro ochranu údajů, pokud tak rozhodne prostá většina jejích členů nebo pokud o to požádá jiný orgán dozoru či Komise, měla ve stanovené lhůtě vydat stanovisko.

(106a)

V zájmu jednotného uplatňování tohoto nařízení může Evropská rada pro ochranu údajů přijmout v jednotlivých případech rozhodnutí, které je pro příslušné orgány dozoru závazné. [pozm. návrh 72]

(107)

Aby byl zajištěn soulad s tímto nařízením, může Komise v této záležitosti zaujmout stanovisko nebo přijmout rozhodnutí, kterým po orgánu dozoru bude vyžadovat, aby přijetí navrhovaného opatření odložil. [pozm. návrh 73]

(108)

Může se vyskytnout naléhavá potřeba jednat, aby byly ochráněny zájmy subjektů údajů, zejména pokud hrozí, že výkon některého z práv subjektu údajů by mohl být značně ztížen. Orgán dozoru by proto měl při použití mechanismu jednotnosti mít možnost přijmout dočasná opatření se stanovenou dobou platnosti.

(109)

Použití tohoto mechanismu by mělo být podmínkou pro právní platnost a prosazování příslušného rozhodnutí orgánem dozoru. V ostatních případech s přeshraničním rozměrem by si mohly příslušné orgány dozoru na dvoustranné nebo mnohostranné úrovni poskytovat vzájemnou pomoc a provádět společná šetření, aniž by použily mechanismus jednotnosti.

(110)

Na úrovni Unie by měla být zřízena Evropská rada pro ochranu údajů. Tato Rada by měla nahradit pracovní skupinu pro ochranu fyzických osob v souvislosti se zpracováním osobních údajů zřízenou směrnicí 95/46/ES. Měla by být složena z vedoucího orgánu dozoru každého členského státu a evropského inspektora ochrany údajů. Komise by se měla jejích činností účastnit. Evropská rada pro ochranu údajů by měla přispívat k jednotnému uplatňování tohoto nařízení v celé Unii, například poskytovat Komisi orgánům Unie poradenství a podporovat spolupráci orgánů dozoru v celé Unii, včetně koordinace společných operací . Evropská rada pro ochranu údajů by měla při plnění svých úkolů jednat nezávisle. Evropská rada pro ochranu údajů by měla prohloubit dialog se zúčastněnými stranami, jako jsou sdružení subjektů údajů, organizace spotřebitelů, správci údajů a další příslušné zúčastněné strany a odborníci. [pozm. návrh 74]

(111)

Každý subjekt Subjekty údajů by měl měly mít právo podat stížnost orgánu dozoru v jakémkoli členském státě a mít právo na účinný soudní opravný prostředek v souladu s článkem 47 Listiny , jestliže se domnívá domnívají , že byla porušena jeho jejich práva podle tohoto nařízení, nebo pokud orgán dozoru na stížnost nereaguje nebo nejedná, přestože je to nutné pro ochranu práva subjektu údajů. [pozm. návrh 75]

(112)

Veškeré subjekty, organizace nebo sdružení, jejichž cílem je chránit práva a zájmy subjektů údajů v souvislosti s ochranou jejich osobních údajů a které jednají ve veřejném zájmu a jež byly řádně zřízeny podle práva některého členského státu, by měly mít právo vznést jménem subjektů údajů s jejich souhlasem stížnost k orgánu dozoru nebo uplatnit právo na soudní opravný prostředek, pokud je tím subjekt údajů pověří, nebo nezávisle na stížnosti subjektu údajů podat vlastní stížnost, jestliže se domnívají, že došlo k narušení bezpečnosti osobních údajů porušení tohoto nařízení . [pozm. návrh 76]

(113)

Každá fyzická nebo právnická osoba by měla mít právo na soudní opravný prostředek proti rozhodnutím orgánu dozoru, která se jí týkají. Řízení proti orgánu dozoru by se měla zahajovat před soudy toho členského státu, v němž je daný orgán dozoru usazen.

(114)

Aby byla posílena soudní ochrana subjektu údajů v situacích, kdy je příslušný orgán dozoru usazen v jiném členském státě než je stát, ve kterém má subjekt údajů bydliště, může subjekt údajů požádat pověřit jakýkoli subjekt, organizaci nebo sdružení jednající ve veřejném zájmu , jejichž cílem je chránit práva a zájmy subjektů údajů v souvislosti s ochranou jejich osobních údajů, aby proti tomuto orgánu dozoru v tomto jiném členském státě jeho jménem zahájil u příslušného soudu řízení. [pozm. návrh 77]

(115)

V případech, kdy příslušný orgán dozoru usazený v jiném členském státě v souvislosti se stížností nejedná nebo přijal nedostatečná opatření, může subjekt údajů požádat orgán dozoru v členském státě svého obvyklého pobytu, aby proti tomuto orgánu dozoru v tomto jiném členském státě zahájil u příslušného soudu řízení. Neplatí to pro občany států mimo EU. Dožadovaný orgán dozoru může s výhradou soudního přezkumu rozhodnout, zda je vhodné této žádosti vyhovět či nikoli. [pozm. návrh 78]

(116)

Při řízeních proti správci nebo zpracovateli by žalobce měl mít možnost volby, zda podá žalobu u soudů členského státu, kde je správce nebo zpracovatel usazen nebo, v případě bydliště v EU, kde má subjekt údajů bydliště, s výjimkou případů, kdy je správce orgánem veřejné moci Unie nebo členského státu , který jedná v rámci výkonu veřejné moci. [pozm. návrh 79]

(117)

Existují-li náznaky, že řízení probíhá paralelně u soudů v různých členských státech, měly by soudy mít povinnost vzájemně se kontaktovat. Soudy by měly mít možnost řízení odročit, pokud řízení probíhá paralelně v jiném členském státě. Členské státy by měly zajistit, aby existovaly účinné soudní prostředky, které by umožňovaly rychlé přijetí opatření, jež by vedla k nápravě nebo by zabránila porušování tohoto nařízení.

(118)

Veškeré škody peněžní i nepeněžní , které mohou vzniknout osobám v důsledku protiprávního zpracování by měly být nahrazeny správcem nebo zpracovatelem, který může být zproštěn své odpovědnosti, pouze pokud prokáže, že vznik škody mu nelze přičítat, zejména pokud prokáže chybu subjektu údajů nebo případ vyšší moci. [pozm. návrh 80]

(119)

Každé osobě, ať již podléhá soukromému či veřejnému právu, která nebude dodržovat toto nařízení, by měly být uloženy sankce. Členské státy by měly zajistit, že sankce budou účinné, přiměřené a odrazující, a měly by přijmout veškerá opatření pro uplatnění sankcí. Pravidla týkající se sankcí by měla podléhat příslušným procesním zárukám v souladu s obecnými zásadami práva Unie a Listiny základních práv, včetně těch, která se týkají práva na účinné soudní ochranné prostředky, řádný proces a zásadu ne bis in idem. [pozm. návrh 81]

(119a)

Ukládají-li členské státy sankce, měly by v plné míře respektovat příslušné procesní záruky, včetně práva na účinné soudní ochranné prostředky, řádný proces a zásadu ne bis in idem. [pozm. návrh 82]

(120)

Aby byly posíleny a harmonizovány správní sankce za porušení tohoto nařízení, měl by každý orgán dozoru mít pravomoc trestat správní přestupky. Tyto přestupky by měly být uvedeny v tomto nařízení spolu s maximální hranicí odpovídajících správních pokut, které by měly být stanoveny v každém jednotlivém případě poměrně ke konkrétní situaci a s ohledem zejména na povahu, závažnost a dobu trvání daného porušení. V rámci mechanismu jednotnosti mohou být projednávány také odchylky při používání správních sankcí.

(121)

Zpracování osobních údajů prováděné výlučně pro účely žurnalistiky nebo uměleckého či literárního projevu by mělo opravňovat k výjimce V případě potřeby by měly být stanoveny výjimky nebo odchylky z  požadavků některých ustanovení tohoto nařízení, pokud jde o zpracovávání osobních údajů, za účelem uvedení práva na ochranu osobních údajů do souladu s právem na svobodu projevu, a především s právem získávat nebo sdělovat informace tak, jak to zejména zaručuje článek 11 Listiny. To by mělo platit zejména pro zpracování osobních údajů v audiovizuální oblasti a ve zpravodajských a tiskových archivech. Členské státy by proto měly přijmout legislativní opatření pro stanovování odchylek a výjimek, které jsou nezbytné pro vyvážení těchto základních práv. Členské státy by měly tyto odchylky a výjimky přijímat s ohledem na obecné zásady, práva subjektu údajů, správce a zpracovatele, předávání údajů do třetích zemí nebo mezinárodním organizacím, nezávislé orgány dozoru a na spolupráci a jednotné použití a zvláštní případy zpracování údajů . To by ovšem nemělo vést k tomu, aby členské státy přijímaly výjimky pro jiná ustanovení tohoto nařízení. Aby byl zohledněn význam práva na svobodu projevu v každé demokratické společnosti, je třeba vykládat pojmy související s touto svobodou, například žurnalistika šířeji, aby zahrnovaly všechny . Členské státy by proto měly za účelem stanovení výjimek a odchylek podle tohoto nařízení vymezit „žurnalistické“ činnosti jako činnosti, jejichž cílem je sdělení informací, názorů či myšlenek veřejnosti bez ohledu na to, jaký sdělovací prostředek se použije, a přihlížet rovněž k vývoji technologií . Tyto činnosti lze provozovat za účelem zisku či k neziskovým účelům a neměly by být omezeny na mediální podniky. [pozm. návrh 83]

(122)

Zpracování osobních údajů o zdravotním stavu jako zvláštní kategorie údajů, která si zasluhuje vyšší stupeň ochrany, může být často odůvodněno řadou oprávněných důvodů ve prospěch jednotlivců a společnosti jako celku, zejména pokud jde o zajištění kontinuity přeshraniční zdravotní péče. Toto nařízení by proto mělo s využitím vhodných a zvláštních záruk na ochranu základních práv a osobních údajů jednotlivců harmonizovat podmínky zpracování osobních údajů o zdravotním stavu. To zahrnuje právo jednotlivců na přístup k osobním údajům o svém zdravotním stavu, například k údajům ve své lékařské dokumentaci, která obsahuje například informace o diagnóze, výsledky vyšetření, posudky ošetřujících lékařů a údaje o léčbě a údaje o veškerých provedených ošetřeních nebo zákrocích.

(122a)

Pracovník, který zpracovává osobní údaje týkající se zdravotního stavu, by měl, pokud je to možné, obdržet anonymizované či pseudonymizované údaje, aby identita zůstala známá pouze praktickému lékaři či odbornému lékaři, který si takové zpracování údajů vyžádal. [pozm. návrh 84]

(123)

Z důvodů veřejného zájmu v oblasti veřejného zdraví může být nezbytné zpracovávat osobní údaje o zdravotním stavu bez souhlasu subjektu údajů. V této souvislosti by mělo být „veřejné zdraví“ vykládáno ve smyslu definice v nařízení Evropského parlamentu a Rady (ES) č. 1338/2008 (9) ze dne 16. prosince 2008 o statistice Společenství v oblasti veřejného zdraví a bezpečnosti a ochrany zdraví při práci jako veškeré prvky týkající se zdraví, zejména zdravotní stav včetně nemocnosti a zdravotního postižení, determinanty ovlivňující tento zdravotní stav, potřeby zdravotní péče, prostředky přidělené na zdravotní péči, poskytování zdravotní péče a její všeobecná dostupnost, výdaje na zdravotní péči a její financování a příčiny úmrtnosti. Takové zpracování osobních údajů o zdravotním stavu z důvodu veřejného zájmu by nemělo vést k tomu, aby třetí strany, jako jsou zaměstnavatelé, pojišťovny a finanční společnosti, zpracovávaly osobní údaje pro jiné účely. [pozm. návrh 85]

(123a)

Zpracování osobních údajů o zdravotním stavu, což je zvláštní kategorie údajů, může být nezbytné pro historiografický, statistický nebo vědecký výzkum. Toto nařízení proto předvídá výjimku z požadavku na souhlas, pokud se jedná o výzkum, jenž je z hlediska veřejného zájmu velmi významný. [pozm. návrh 86]

(124)

Obecné zásady ochrany jednotlivců při zpracování osobních údajů by měly platit také v souvislosti se zaměstnáním a sociálním zabezpečením . V mezích tohoto nařízení by měly Členské státy by měly mít možnost přijmout právním předpisem zvláštní pravidla, která upraví upravit zpracovávání osobních údajů zaměstnanců v souvislosti se zaměstnáním a zpracovávání osobních údajů v souvislosti se sociálním zabezpečením v souladu s pravidly a minimálními normami stanovenými v tomto nařízení . Je-li v dotčeném členském státě zajištěn právní základ pro úpravu pracovněprávních záležitostí dohodou mezi zástupci zaměstnanců a vedením podniku či řídícího podniku skupiny podniků (kolektivní dohoda), nebo podle směrnice Evropského parlamentu a Rady 2009/38/ES  (10) , může být zpracovávání osobních údajů v souvislosti se zaměstnáním rovněž upraveno takovou dohodou. [pozm. návrh 87]

(125)

Aby bylo zpracování osobních údajů pro účely historiografického, statistického a vědeckého výzkumu zákonné, mělo by také respektovat další příslušné právní předpisy, upravující například klinické studie.

(125a)

Osobní údaje mohou být zpracovány také následně archivačními službami, jejichž hlavním nebo povinným úkolem je shromažďovat, uchovávat, využívat a šířit archiválie a poskytovat o nich informace ve veřejném zájmu. Právní předpisy členských států by měly uvést právo na ochranu osobních údajů do souladu s pravidly o archivech a o přístupu veřejnosti k administrativním údajům. Členské státy by měly vybízet k tomu, aby byly, zejména Evropskou skupinou pro archivnictví, vypracována pravidla, která by zaručila důvěrný charakter údajů vůči třetím stranám a autentičnost, neporušenost a řádné uchování údajů. [pozm. návrh 88]

(126)

Vědecký výzkum by pro účely tohoto nařízení měl zahrnovat základní výzkum, aplikovaný výzkum a výzkum financovaný ze soukromých zdrojů a kromě toho by měl zohledňovat cíl Unie podle čl. 179 odst. 1 Smlouvy o fungování Evropské unie, tj. vytvořit evropský výzkumný prostor. Zpracování osobních údajů pro účely historiografického, statistického a vědeckého výzkumu by nemělo vést ke zpracování osobních údajů pro jiné účely, neděje-li se tak se souhlasem subjektu údajů nebo na základě právních předpisů Unie nebo členského státu. [pozm. návrh 89]

(127)

Pokud jde o pravomoci orgánů dozoru získat od správce nebo zpracovatele přístup k osobním údajům a přístup do jejich prostorů, mohou členské státy v mezích tohoto nařízení právním předpisem přijmout zvláštní pravidla pro ochranu povinnosti zachovávat profesní tajemství nebo jiné rovnocenné povinnosti mlčenlivosti, pokud je to nezbytné pro uvedení práva na ochranu osobních údajů do souladu s povinností zachovávat profesní tajemství.

(128)

V souladu s článkem 17 Smlouvy o fungování Evropské unie toto nařízení respektuje a nepředjímá postavení církví a náboženských sdružení či spolků v členských státech podle vnitrostátního právního řádu. Jestliže církev v některém členském státě v době vstupu tohoto nařízení v platnost uplatňuje komplexní odpovídající pravidla týkající se ochrany jednotlivců v souvislosti se zpracováváním osobních údajů, tato existující pravidla by měla nadále platit za předpokladu, že se uvedou do souladu s tímto nařízením a uznají se za slučitelná . Tyto církve a náboženská sdružení by měly mít povinnost zajistit zřízení zcela nezávislého orgánu dozoru. [pozm. návrh 90]

(129)

Aby byly splněny cíle tohoto nařízení, zejména chránit základní práva a svobody fyzických osob a především jejich právo na ochranu osobních údajů a zajistit volný pohyb osobních údajů v rámci Unie, měla by být na Komisi převedena pravomoc přijímat akty v souladu s článkem 290 Smlouvy o fungování Evropské unie. Akty v přenesené pravomoci by měly být přijímány především s ohledem na zákonnost zpracování, vymezování kritérií a podmínek v souvislosti se souhlasem dítěte, zpracování zvláštních kategorií údajů, vymezování kritérií a podmínek určování zjevné nepřiměřenosti žádostí a poplatků pro výkon práv subjektu údajů, kritérií a požadavků pro informování subjektu údajů a v souvislosti s právem na přístup, právem být zapomenut a právem poskytování informací pomocí ikon, právo na výmaz, opatření založená na profilování, kritéria a požadavky v souvislosti s odpovědností správce a ochranou údajů již od návrhu a standardním nastavením ochrany údajů, na zpracovatele, na kritéria a požadavky na dokumentaci a bezpečnost zpracování, kritéria a požadavky, pokud jde o zjišťování případů narušení bezpečnosti osobních údajů a jejich oznamování orgánu dozoru a okolnosti, za jakých se narušení bezpečnosti osobních údajů pravděpodobně nepříznivě dotkne subjektu údajů, kritéria a podmínky zpracovávání, pro které je třeba vypracovat posouzení dopadu na ochranu údajů, kritéria a požadavky pro určování vysokého stupně specifických rizik vyžadujících předchozí konzultaci, určení inspektora ochrany údajů a jeho úkolů, prohlášení, že kodexy chování jsou v souladu s nařízením , kritéria a požadavky týkající se mechanismů pro vydávání osvědčení, kritéria a požadavky předávání založeného na závazných podnikových pravidlech; na odchylky v předávání údajů, správní sankce, zpracovávání údajů pro zdravotní účely, a zpracovávání údajů v souvislosti se zaměstnáním a zpracovávání údajů pro účely historiografického, statistického a vědeckého výzkumu. Je zvláště důležité, aby Komise v rámci přípravné činnosti vedla odpovídající konzultace, a to i na odborné úrovni, zejména s Evropskou radou pro ochranu údajů . Při přípravě a vypracovávání aktů v přenesené pravomoci by Komise měla zajistit, aby byly příslušné dokumenty předány současně, včas a vhodným způsobem Evropskému parlamentu a Radě. [pozm. návrh 91]

(130)

V zájmu zajištění jednotných podmínek pro provádění tohoto nařízení je třeba svěřit Komisi prováděcí pravomoci za účelem stanovení standardních formulářů pro zvláštní metody získávání ověřitelného souhlasu ve vztahu ke zpracovávání osobních údajů dítěte; standardních postupů a formulářů pro výkon práv subjektu komunikaci se subjekty údajů o výkonu jejich práv , standardních formulářů pro informování subjektu údajů, standardních formulářů a postupů v souvislosti s právem na přístup, a právem na přenositelnost údajů, včetně pro sdělování osobních údajů subjektu údajů, standardních formulářů v souvislosti s odpovědností s dokumentací, kterou má uchovávat správce za ochranu údajů již od návrhu a za standardní nastavení ochrany údajů a za dokumentaci, specifických požadavků na bezpečnost zpracování a zpracovatel , standardních formulářů a postupů ohlašování případů narušení bezpečnosti osobních údajů orgánu dozoru a oznamování dokumentace případů narušení bezpečnosti osobních údajů subjektu údajů, standardů a postupů pro posouzení dopadů na ochranu údajů, formulářů a postupů pro předchozí povolení nebo předchozí konzultaci, technických norem a mechanismů pro vydávání osvědčení, stanovení odpovídající úrovně ochrany poskytované třetí zemí nebo územím či odvětvím zpracovávání v třetí zemi nebo mezinárodní organizací, sdělování údajů nedovoleném právem Unie, vzájemné pomoci, společných operací a rozhodnutích v rámci mechanismu jednotnosti a informaci orgánu dozoru . Tyto pravomoci by měly být vykonávány v souladu s nařízením Evropského parlamentu a Rady (EU) č. 182/2011 ze dne 16. února 2011, kterým se stanoví pravidla a obecné zásady způsobu, jakým členské státy kontrolují Komisi při výkonu prováděcích pravomocí  (11). Komise by v této souvislosti měla zvážit zvláštní opatření pro mikropodniky, malé a střední podniky. [pozm. návrh 92]

(131)

Přezkumný postup by se měl použít při přijímání standardních formulářů: v souvislosti se souhlasem pro zvláštní metody získávání ověřitelného souhlasu ve vztahu ke zpracovávání osobních údajů dítěte; standardních postupů a formulářů pro výkon práv subjektu komunikaci se subjekty údajů o výkonu jejich práv , standardních formulářů pro informování subjektu údajů, standardních formulářů a postupů v souvislosti s právem na přístup, právem na přenositelnost údajů, standardních formulářů včetně pro sdělování osobních údajů subjektu údajů, v souvislosti s odpovědností dokumentací, kterou má uchovávat správce za ochranu údajů již od návrhu a za standardní nastavení ochrany údajů a za dokumentaci, při přijímání specifických požadavků na bezpečnost zpracování, standardních formulářů a postupů a zpracovatel pro ohlašování případů narušení bezpečnosti osobních údajů orgánu dozoru a oznamování dokumentace případů narušení bezpečnosti osobních údajů,subjektu údajů, standardů a postupů pro posouzení dopadů na ochranu údajů, formulářů a postupů pro předchozí povolení nebo předchozí konzultaci technických norem a mechanismů pro vydávání osvědčení, odpovídající úrovně ochrany poskytované třetí zemí nebo územím či odvětvím zpracovávání v třetí zemi nebo mezinárodní organizací, při sdělování údajů nedovoleném právem Unie, vzájemné pomoci, společných operací a rozhodnutích v rámci mechanismu jednotnosti a informaci orgánu dozoru za předpokladu, že se jedná o akty s obecnou působností. [pozm. návrh 93]

(132)

Komise by měla v řádně odůvodněných a krajně naléhavých případech týkajících se třetí země nebo území nebo odvětví zpracování v této třetí zemi nebo mezinárodní organizace, která nezajišťuje přiměřenou úroveň ochrany, a související se záležitostmi, které byly sděleny orgánům dozoru v rámci mechanismu jednotnosti, přijmout okamžitě uplatnitelné prováděcí akty. [pozm. návrh 94]

(133)

Vzhledem k tomu, že cílů tohoto nařízení, totiž zajištění přiměřené ochrany jednotlivců a volného pohybu údajů v Unii, nemůže být dosaženo uspokojivě členskými státy, ale spíše jich z důvodu jejich rozsahu a účinků může být lépe dosaženo na úrovni Unie, může Unie přijmout opatření v souladu se zásadou subsidiarity stanovenou v článku 5 Smlouvy o EU. V souladu se zásadou proporcionality stanovenou v uvedeném článku nepřekračuje toto nařízení rámec toho, co je nezbytné pro dosažení těchto cílů.

(134)

Směrnice 95/46/ES by tudíž měla být tímto nařízením zrušena. Avšak přijatá rozhodnutí Komise a schválení orgánů dozoru vycházející ze směrnice 95/46/ES by měla zůstat v platnosti. Rozhodnutí Komise a povolení orgánů dozoru týkající se předávání osobních údajů do třetích zemí podle čl. 41 odst. 8 by měla zůstat v platnosti po přechodné období pěti let po vstupu tohoto nařízení v platnost, pokud je Komisí před koncem tohoto období nezmění, nenahradí nebo nezruší. [pozm. návrh 95]

(135)

Toto nařízení by se mělo použít na všechny záležitosti týkající se ochrany základních práv a svobod při zpracovávání osobních údajů, na které se nevztahují specifické povinnosti stanovené ve směrnici Evropského parlamentu a Rady 2002/58/ES (12) a sledující stejný cíl, včetně povinností správce a práv jednotlivců. Za účelem vyjasnění vztahu mezi tímto nařízením a směrnicí 2002/58/ES by měla být tato směrnice odpovídajícím způsobem změněna.

(136)

Pokud jde o Island a Norsko, rozvíjí toto nařízení v míře, v jaké se uplatňuje na zpracování osobních údajů ze strany orgánů zapojených do provádění tohoto acquis, ustanovení schengenského acquis ve smyslu Dohody uzavřené mezi Radou Evropské unie a Islandskou republikou a Norským královstvím o přidružení těchto dvou států k provádění, uplatňování a rozvoji schengenského acquis  (13).

(137)

Pokud jde o Švýcarsko, rozvíjí toto nařízení v míře, v jaké se uplatňuje na zpracování osobních údajů ze strany orgánů zapojených do provádění tohoto acquis, ustanovení schengenského acquis ve smyslu Dohody mezi Evropskou unií, Evropským společenstvím a Švýcarskou konfederací o přidružení Švýcarské konfederace k provádění, uplatňování a rozvoji schengenského acquis  (14).

(138)

Pokud jde o Lichtenštejnsko, rozvíjí toto nařízení v míře, v jaké se uplatňuje na zpracování osobních údajů ze strany orgánů zapojených do provádění tohoto acquis, ustanovení schengenského acquis ve smyslu Protokolu mezi Evropskou unií, Evropským společenstvím, Švýcarskou konfederací a Lichtenštejnským knížectvím o přistoupení Lichtenštejnského knížectví k dohodě mezi Evropskou unií, Evropským společenstvím a Švýcarskou konfederací o přidružení Švýcarské konfederace k provádění, uplatňování a rozvoji schengenského acquis  (15).

(139)

Vzhledem ke skutečnosti, že – jak zdůraznil Soudní dvůr Evropské unie – právo na ochranu osobních údajů není právem absolutním, avšak musí být posuzováno v souvislosti se svou funkcí ve společnosti a v souladu se zásadou proporcionality být v rovnováze s dalšími základními právy, respektuje toto nařízení všechna základní práva a sleduje zásady uznané v Listině, jak jsou zakotveny ve Smlouvě, zejména právo na respektování soukromého a rodinného života, obydlí a komunikace, právo na ochranu osobních údajů, na svobodu myšlení, svědomí a náboženství, svobodu projevu a informací, svobodu podnikání, právo na účinnou právní ochranu a spravedlivý proces, jakož i kulturní, náboženskou a jazykovou rozmanitost,

a)

prováděné při výkonu činností, které nespadají do oblasti působnosti práva Unie, zejména v oblasti bezpečnosti státu;

b)

prováděné orgány, institucemi a jinými subjekty Unie;

c)

prováděné členskými státy při výkonu činností, které spadají do oblasti působnosti kapitoly 2 hlavy V Smlouvy o Evropské unii;

d)

prováděné fyzickou osobou, které má výlučně osobní či domácí povahu. a které se neprovádí za účelem zisku; Tato výjimka platí také pro zveřejňování osobních údajů v případech, kdy lze rozumně očekávat, že k nim bude mít přístup pouze omezený počet osob;

e)

prováděné příslušnými veřejnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů. [pozm. návrh 96]

a)

s nabídkou zboží nebo služeb těmto subjektům údajů v Unii, bez ohledu na to, zda se od subjektů údajů požaduje platba; nebo

b)

se sledováním jejich chování těchto subjektů údajů .

1)

„subjektem údajů“ identifikovaná fyzická osoba nebo fyzická osoba, kterou lze přímo či nepřímo identifikovat prostředky, o nichž lze důvodně předpokládat, že je správce nebo jakákoli jiná fyzická nebo právnická osoba použijí pro identifikaci dané osoby, zejména s odkazem na identifikační číslo, lokalizační údaje, elektronický identifikátor nebo s odkazem na jeden či více zvláštních prvků její fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo sociální identity;

2)

„osobními údaji“ veškeré informace o subjektu identifikované nebo identifikovatelné fyzické osobě (dále jen „subjekt údajů“); identifikovatelnou osobou osoba, kterou lze přímo či nepřímo identifikovat, zejména podle určitého identifikátoru, například podle jména, identifikačního čísla, lokalizačních údajů, jedinečného identifikátoru nebo jednoho či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo sociální či pohlavní identity této osoby;

2a)

„pseudonymními údaji“ osobní údaje, které nemohou být přiřazeny konkrétnímu subjektu údajů, aniž by byly použity dodatečné informace, pokud jsou tyto dodatečné informace uchovávány odděleně a vztahují se na ně technická a organizační opatření, aby bylo zajištěno, že nebudou přiřazeny;

2b)

„zašifrovanými údaji“ osobní údaje, které jsou pomocí použití technických ochranných opatření nesrozumitelné pro všechny osoby, jež nejsou oprávněny k nim přistupovat;

3)

„zpracováním“ každý úkon nebo soubor úkonů s osobními údaji nebo soubory osobních údajů, které jsou prováděny pomocí či bez pomoci automatizovaných postupů, jako je shromažďování, zaznamenávání, uspořádávání, strukturování, uchovávání, přizpůsobování nebo pozměňování, vyhledávání, nahlížení, užívání, zveřejňování přenosem, zveřejňování šířením nebo jejich zpřístupňování jiným způsobem, třídění nebo kombinování, vymazání nebo zničení;

3a)„

profilováním“ jakákoli forma automatického zpracování osobních údajů, jehož účelem je hodnocení určitých osobních aspektů vztahujících se k fyzické osobě nebo analýza či odhad zejména pracovního výkonu fyzické osoby, její ekonomické situace, lokalizace, zdraví, osobních preferencí, spolehlivosti nebo chování;

4)

„evidencí“ jakýkoli uspořádaný soubor osobních údajů přístupných podle určených kritérií, ať již je tento soubor centralizován, decentralizován nebo rozdělen podle funkčního či zeměpisného hlediska;

5)

„správcem“ fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jakýkoli jiný subjekt, který sám nebo společně s jinými určuje účel, podmínky a prostředky zpracování osobních údajů; jsou-li účel, podmínky a prostředky zpracování určeny právem Unie či členského státu, je možné určit správce nebo zvláštní kritéria pro jeho jmenování na základě práva Unie nebo členského státu;

6)

„zpracovatelem“ fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jakýkoli jiný subjekt, který zpracovává osobní údaje jménem správce;

7)

„příjemcem“ fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jakýkoli jiný subjekt, kterým jsou údaje sdělovány;

7a)

„třetí stranou“ jakákoli fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jakýkoli jiný subjekt, který není subjektem údajů, správcem, zpracovatelem ani osobami přímo podléhajícími správci nebo zpracovateli, jež jsou oprávněny ke zpracování údajů;

8)

„souhlasem subjektu údajů“ jakýkoli svobodný, konkrétní, vědomý a výslovný projev vůle, kterým subjekt údajů dává buď v podobě prohlášení nebo jiného jednoznačného potvrzení své svolení ke zpracování svých osobních údajů;

9)

„narušením bezpečnosti osobních údajů“narušení bezpečnosti, které vede k náhodné nebo protiprávní zničení, ztráta, změna či neoprávněné vyzrazení nebo zpřístupnění osobních údajů přenášených, uchovávaných nebo jinak zpracovávaných;

10)

„genetickými údaji“ všechny osobní údaje jakéhokoli typu týkající se dědičných genetických znaků jednotlivce, které byly zděděny nebo znaků získaných v období raného prenatálního vývoje získány a které vyplývají z analýzy biologického vzorku daného jednotlivce, zejména z analýzy chromozomů nebo kyseliny deoxyribonukleové (DNA) či ribonukleové (RNA) nebo z analýzy jakéhokoli jiného prvku, která umožňuje získání rovnocenných informací ;

11)

„biometrickými údaji“ všechny osobní údaje týkající se fyzických či fyziologických znaků nebo znaků chování jedince, které umožňují jeho jednoznačnou identifikaci, například snímky obličeje nebo daktyloskopické údaje;

12)

„údaji o zdravotním stavu“ veškeré informace osobní údaje týkající se fyzického nebo duševního zdraví osoby nebo poskytování zdravotních služeb této osobě;

13)

„hlavní provozovnou“v případě správce místo jeho usazení podniku či skupiny podniků v Unii, ať jde o správce nebo zpracovatele , kde jsou přijímána hlavní rozhodnutí ohledně účelu podmínek a prostředků zpracování osobních údajů. nejsou-li ohledně účelu, podmínek a prostředků zpracování osobních údajů přijímána rozhodnutí v Unii, je hlavní provozovnou místo, kde jsou prováděny hlavní činnosti spojené se zpracováním údajů, jež odpovídají činnostem sídla správce v Unii. V případě zpracovatele je „hlavní provozovnou“ místo, kde se nachází jeho ústřední správa v Unii; Je možno zvážit mimo jiné následující kritéria: místo, kde se nachází ústředí správce nebo zpracovatele, v případě skupiny podniků umístění subjektu, které je nejvhodnější z hlediska řídících funkcí a správní odpovědnosti za prosazování a vynucování pravidel stanovených v tomto nařízení, místo účinného a skutečného výkonu řídících činností, které určují zpracování údajů prostřednictvím stálých zařízení;

14)

„zástupcem“ jakákoli fyzická nebo právnická osoba usazená v Unii, která je výslovně jmenována správcem k tomu, aby jednala a mohla být oslovována orgánem dozoru a dalšími orgány v Unii místo zastupovala správce, pokud jde o povinnosti správce ve smyslu tohoto nařízení;

15)

„podnikem“ každý subjekt vykonávající hospodářskou činnost bez ohledu na jeho právní formu. K těmto subjektům patří zejména fyzické a právnické osoby, obchodní společnosti nebo sdružení, která běžně vykonávají hospodářskou činnost;

16)

„skupinou podniků“ skupina zahrnující řídící podnik a jím řízené podniky;

17)

„závaznými podnikovými pravidly“ opatření na ochranu osobních údajů, která dodržuje správce nebo zpracovatel usazený na území členského státu Unie při předávání osobních údajů jednotlivě nebo v souborech správci nebo zpracovateli v rámci skupiny podniků v jedné nebo více třetích zemích;

18)

„dítětem“ každá osoba mladší 18 let;

19)

„orgánem dozoru“ orgán veřejné moci, který je zřízen členským státem podle článku 46. [pozm. návrh 98]

a)

ve vztahu k subjektu údajů zpracovávány korektně, zákonným a transparentním způsobem (zákonnost, korektnost a transparentnost) ;

b)

shromažďovány pro stanovené účely, výslovně vyjádřené a legitimní, a nesmí být dále zpracovávány způsobem, který je s těmito účely neslučitelný (omezení účelu) ;

c)

odpovídající z hlediska účelu, pro který jsou zpracovávány, musí pro něj být relevantní a omezené na nezbytné minimum; zpracovávány jsou pouze tehdy a dokud nemůže být daného účelu dosaženo zpracováním informací, které nezahrnují osobní údaje (minimalizace údajů) ;

d)

přesné a v případě potřeby a aktualizované; musí být přijata veškerá rozumná opatření, aby osobní údaje, které jsou nepřesné z hlediska účelů, pro které se zpracovávají, byly bezodkladně vymazány nebo opraveny (přesnost) ;

e)

uchovávány ve formě umožňující přímou či nepřímou identifikaci subjektů údajů po dobu ne delší, než je nezbytné pro účely, pro které jsou zpracovávány; osobní údaje lze uchovávat delší dobu, pokud se údaje zpracovávají výlučně za účelem historiografického, statistického a vědeckého výzkumu nebo pro účely archivace v souladu s pravidly a podmínkami uvedenými v článku 83 a 83a a pokud je prováděn pravidelný přezkum pro posouzení potřeby dalšího uchovávání a pokud se zavedou vhodná technická a organizační opatření s cílem omezit přístup k údajům výlučně pro tyto účely (minimalizace uchovávání) ;

ea)

zpracovávány způsobem, jenž subjektu údajů účinně umožňuje výkon jeho práv (účinnost);

eb)

zpracovávány způsobem, jenž chrání před neoprávněným či nezákonným zpracováním a před náhodnou ztrátou, zničením nebo poškozením pomocí vhodných technických nebo organizačních opatření (integrita);

f)

zpracovávány v odpovědnosti správce, který při každém zpracování zajistí a prokáže je schopen prokázat soulad s ustanoveními tohoto nařízení (odpovědnost) . [pozm. návrh 99]

a)

subjekt údajů udělil souhlas se zpracováním svých osobních údajů pro jeden či více konkrétních účelů;

b)

zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu;

c)

zpracování je nezbytné pro splnění právní povinnosti, které podléhá správce;

d)

zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů;

e)

zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce;

f)

zpracování je nezbytné pro uskutečnění oprávněných zájmů správce nebo, v případě zpřístupnění, třetí strany, které jsou údaje zpřístupněny, a odpovídá legitimním očekáváním subjektu údajů založeným na jeho vztahu ke správc i za podmínky, že tyto zájmy nepřevažují nad zájmem nebo základními právy a svobodami subjektu údajů vyžadujícími ochranu osobních údajů, zejména pokud je subjektem údajů dítě. To se netýká zpracování prováděného orgány veřejné moci při plnění jejich úkolů.

a)

právem Unie nebo

b)

právem členského státu, kterému správce podléhá.

a)

subjekt údajů udělil souhlas se zpracováním těchto osobních údajů pro jeden konkrétní účel nebo více konkrétních účelů za podmínek stanovených v článcích 7 a 8, s výjimkou případů, kdy právo Unie nebo členského státu stanoví, že zákaz uvedený v odstavci 1 nemůže být subjektem údajů zrušen nebo

aa)

zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu;

b)

zpracování je nezbytné pro dodržení povinností a výkon zvláštních práv správce v oblasti pracovního práva, pokud je k tomu oprávněn právem Unie nebo členského státu nebo kolektivními smlouvami , které poskytuje poskytují náležité záruky pro základní práva a zájmy subjektu údajů, jako je právo na nediskriminaci, s výhradou podmínek a záruk uvedených v článku 82 nebo

c)

zpracování je nutné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné osoby v případě, že subjekt údajů není fyzicky nebo právně způsobilý udělit souhlas nebo

d)

zpracování provádí v rámci svých legitimních činností a s vhodnými zárukami nadace, sdružení nebo jiný neziskový subjekt, který sleduje politické, filozofické, náboženské nebo odborové cíle, za podmínky, že se zpracování vztahuje pouze na současné nebo bývalé členy tohoto subjektu nebo na osoby, které s ním udržují pravidelné styky související s jeho cíli, a že tyto údaje nejsou sdělovány mimo tento subjekt bez souhlasu subjektu údajů nebo

e)

zpracování se týká osobních údajů zjevně zveřejňovaných subjektem údajů nebo

f)

zpracování je nezbytné pro vznik, výkon nebo obhajobu právních nároků nebo

g)

zpracování je nezbytné pro splnění úkolu prováděného z důvodu velkého veřejného zájmu na základě práva Unie nebo členského státu, které je přiměřené sledovanému cíli, dodržuje podstatu práva na ochranu údajů a poskytuje vhodné záruky pro ochranu oprávněných základních práv a zájmů subjektu údajů nebo

h)

zpracování údajů o zdravotním stavu je při splnění podmínek a záruk uvedených v článku 81 nezbytné pro zdravotní účely nebo

i)

zpracování je při splnění podmínek a záruk uvedených v článku 83 nezbytné pro účely historiografického, statistického a vědeckého výzkumu nebo

ia)

zpracování je při splnění podmínek a záruk uvedených v článku 83 nezbytné pro účely archivačních služeb nebo

j)

zpracování údajů týkajících se správních sankcí, rozsudků, trestných činů, odsouzení v trestních věcech či souvisejících bezpečnostních opatření se provádí pod dohledem orgánu veřejné moci, nebo pokud je zpracování nezbytné pro splnění právní či regulační povinnosti, které správce podléhá, nebo pro splnění úkolu z důvodu důležitého veřejného zájmu, a pokud je k tomu oprávněn právem Unie nebo právem členského státu poskytujícím vhodné záruky pro ochranu základních práv a zájmů subjektu údajů . Úplný Jakýkoli rejstřík trestů je veden pouze pod dohledem orgánu veřejné moci.

a)

zda jsou osobní údaje shromažďovány nad rámec minima nezbytného k danému konkrétnímu účelu zpracování,

b)

zda jsou osobní údaje uchovávány nad rámec minima nezbytného k danému konkrétnímu účelu zpracování,

c)

zda jsou osobní údaje zpracovávány k jiným účelům, než jsou účely, k nimž byly shromážděny,

d)

zda jsou osobní údaje šířeny komerčním třetím stranám;

e)

zda jsou osobní údaje prodávány nebo pronajímány;

f)

zda jsou osobní údaje uchovávány v šifrované podobě.

a)

první sloupec uvádí grafické formy symbolizující tyto podrobnosti;

b)

druhý sloupec obsahuje základní informace popisující tyto podrobnosti;

c)

třetí sloupec uvádí grafické formy ukazující, zda je konkrétní podrobnost splněna.

a)

totožnost a kontaktní údaje správce, případně jeho zástupce a inspektora ochrany údajů;

b)

účely zpracování, pro které jsou údaje určeny, jakož i informace týkající se bezpečnosti zpracování osobních údajů, včetně smluvních a všeobecných podmínek, pokud jsou údaje zpracovávány na základě čl. 6 odst. 1 písm. b), a oprávněných zájmů správce, pokud jsou údaje zpracovávány na základě případně informace o provádění a plnění požadavků čl. 6 odst. 1 písm. f);

c)

dobu, po kterou se budou osobní údaje uchovávat, nebo, není-li to možné, kritéria použitá pro stanovení této doby ;

d)

existenci práva požadovat od správce přístup k osobním údajům týkajícím se subjektu údajů, jejich opravu nebo výmaz nebo vznést námitku proti zpracování těchto osobních údajů, nebo údaje získat ;

e)

právo podat stížnost příslušnému orgánu dozoru a kontaktní údaje orgánu dozoru;

f)

příjemce nebo kategorie příjemců osobních údajů;

g)

v případě potřeby uvést, že správce hodlá předat údaje do třetí země nebo mezinárodní organizaci a informaci o úrovni ochrany poskytované touto třetí zemí nebo mezinárodní organizací s odkazem na existenci či absenci rozhodnutí Komise o přiměřenosti nebo v případech předávání údajů uvedených v článcích 42 a 43 nebo čl. 44 odst. 1 písm. h) s odkazem na vhodné záruky a prostředky k získání kopie těchto údajů ;

ga)

v případě potřeby informace o existenci profilování, o opatřeních založených na profilování a o předpokládaných účincích profilování na subjekt údajů;

gb)

užitečné informace o postupu automatického zpracování údajů;

h)

jakékoli další informace, kterému jsou potřebné k tomu, aby bylo subjektu údajů zaručeno korektní zpracování, a to s ohledem na zvláštní okolnosti, za kterých se osobní údaje shromažďují nebo zpracovávají, zejména na existenci určitých činností a operací zpracování, u nichž posouzení dopadu týkající se osobních údajů ukázalo, že mohou představovat vysoké riziko ;

ha)

případně informace o tom, zda byly osobní údaje poskytnuty veřejným orgánům v uplynulých 12 měsících;

a)

v době, kdy se osobní údaje získávají od subjektu údajů nebo bez zbytečného prodlení, pokud poskytnutí informací v době, kdy se osobní údaje získávají, není proveditelné nebo

aa)

na žádost subjektu, organizace nebo sdružení uvedených v čl. 73;

b)

pokud se osobní údaje nezískávají od subjektu údajů, v době jejich zaznamenání nebo v rozumné lhůtě po jejich shromáždění s ohledem na zvláštní okolnosti, za kterých se údaje shromažďují nebo jinak zpracovávají, nebo pokud se uvažuje o jejich zpřístupnění předání dalšímu příjemci pak nejpozději tehdy, kdy se údaje zpřístupňují předávají poprvé, nebo pokud se údaje mají použít pro komunikaci s dotčeným subjektem údajů, pak nejpozději při první komunikaci s tímto subjektem údajů nebo

ba)

pouze na žádost, pokud jsou údaje zpracovávány malým podnikem nebo mikropodnikem, který zpracovává osobní údaje pouze jako vedlejší činnost.

a)

subjekt údajů již má informace uvedené v odstavcích 1, 2 a 3 nebo

b)

se údaje zpracovávají pro účely historiografického, statistického nebo vědeckého výzkumu s výhradou podmínek a záruk uvedených v článku 81 a 83, nebyly získány od subjektu údajů a poskytnutí těchto informací není možné nebo by vyžadovalo neúměrné úsilí a správce zveřejnil informace tak, aby je mohl vyhledat každý nebo

c)

údaje nebyly získány od subjektu údajů a zaznamenání nebo sdělování údajů je výslovně stanoveno právním předpisem, kterému správce podléhá a jež stanovuje příslušná opatření na ochranu oprávněných zájmů subjektu údajů s ohledem na rizika, která představuje zpracování a povaha osobních údajů nebo

d)

údaje nebyly získány od subjektu údajů a poskytování takových informací naruší práva a svobody ostatních jiných fyzických osob , jak je stanoveno v právu Unie nebo právu členského státu podle článku 21.

da)

údaje zpracovává v rámci výkonu své profese osoba podléhající povinnosti zachovat profesní tajemství stanovené právním předpisem Unie nebo členského státu nebo zákonem stanovené povinnosti mlčenlivosti, nebo jsou údaje takové osobě svěřeny či jsou ji známy, nebyly-li údaje získány přímo od subjektu údajů.

a)

účely zpracování pro každou kategorii osobních údajů ;

b)

kategorie příslušných osobních údajů;

c)

informace o příjemcích nebo kategoriích příjemců, kterým mají být nebo byly osobní údaje zpřístupněny, zejména o příjemcích včetně příjemců v třetích zemích;

d)

dobu, po kterou se budou osobní údaje uchovávat, nebo, není-li to možné, kritéria, která se použijí pro stanovení této doby ;

e)

existenci práva požadovat od správce opravu nebo výmaz osobních údajů týkajících se subjektu údajů nebo vznést námitku proti zpracování těchto osobních údajů;

f)

právo podat stížnost příslušnému orgánu dozoru a kontaktní údaje orgánu dozoru;

g)

informace o osobních údajích, které jsou zpracovávány, a veškeré dostupné informace o jejich původu;

h)

význam a předpokládané důsledky tohoto zpracování, alespoň v případě opatření uvedených v článku 20.

ha)

užitečné informace o postupu automatického zpracování údajů;

hb)

aniž je dotčen článek 21 v případě, že jsou osobní údaje na základě žádosti orgánu veřejné moci sděleny jinému orgánu veřejné moci, potvrzení o podání žádosti .

a)

údaje již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány;

b)

subjekt údajů odvolá svůj souhlas, na jehož základě byly údaje podle čl. 6 odst. 1 písm. a) zpracovávány, nebo pokud vypršela lhůta pro uchovávání údajů, pro níž byl dán souhlas, a pokud neexistuje žádný další právní důvod pro zpracování údajů;

c)

subjekt údajů vznáší námitku proti zpracování osobních údajů podle článku 19;

ca)

soud nebo regulační orgán se sídlem v Unii vydal konečné rozhodnutí, že dotčené údaje musí být vymazány;

d)

zpracování údajů není slučitelné s tímto nařízením z jiných důvodů. údaje byly zpracovány nezákonně .

a)

pro výkon práva na svobodu projevu podle článku 80;

b)

z důvodů veřejného zájmu v oblasti veřejného zdraví v souladu s článkem 81;

c)

pro účely historiografického, statistického a vědeckého výzkumu podle článku 83;

d)

pro splnění právní povinnosti uchovávat osobní údaje, které správce podléhá na základě práva Unie nebo práva členského státu; právní předpisy členského státu musí sledovat cíl veřejného zájmu, respektovat podstatu práva na ochranu osobních údajů a být přiměřené z hlediska sledovaného legitimního cíle;

e)

v případech uvedených v odstavci 4.

a)

subjekt údajů popírá jejich přesnost, a to na dobu potřebnou k tomu, aby správce mohl ověřit přesnost údajů;

b)

správce už osobní údaje ke splnění svých úkolů nepotřebuje, ale je třeba je uchovat jako důkaz;

c)

zpracování je nezákonné a subjekt údajů odmítá jejich výmaz a žádá místo toho o omezení jejich použití;

ca)

soud nebo regulační orgán se sídlem v Unii vydal konečné rozhodnutí, že dotčené údaje musí být omezeny;

d)

subjekt údajů požaduje v souladu s čl. 18 odst. 2 s čl. 15 odst. 2a přenos osobních údajů do jiného automatizovaného systému zpracování.

da)

konkrétní druh technologie pro uchování údajů neumožňuje vymazání a byl instalován před vstupem tohoto nařízení v platnost.

a)

kritérií a požadavků na uplatňování odstavce 1 v případě konkrétních odvětví a konkrétních situací, kdy se údaje zpracovávají,

b)

podmínek pro výmaz odkazů, kopií nebo replikací osobních údajů z veřejně dostupných komunikačních služeb, jak je uvedeno v odstavci 2;

c)

kritérií a podmínek pro omezení zpracování osobních údajů podle odstavce 4. [pozm. návrh 112]

a)

prováděno v rámci nezbytné k uzavírání nebo plnění smlouvy, pokud žádosti o uzavření nebo o plnění smlouvy podané subjektem údajů bylo vyhověno, nebo pokud za předpokladu, že byla přijata vhodná opatření, která zajišťují ochranu jeho oprávněných zájmů; jako je právo na přímý osobní kontakt nebo

b)

výslovně povoleno právem Unie nebo členského státu, které rovněž stanoví vhodná opatření zajišťující ochranu oprávněných zájmů subjektu údajů nebo

c)

založeno na souhlasu subjektu údajů, s výhradou podmínek stanovených v článku 7 a vhodných záruk.

a)

veřejnou bezpečnost;

b)

prevenci, vyšetřování, odhalování a stíhání trestných činů;

c)

jiné veřejné zájmy Unie nebo členského státu, zejména důležitý hospodářský nebo finanční zájem Unie nebo členského státu, včetně peněžních, rozpočtových a daňových záležitostí a ochrany stability a integrity trhu; daňové záležitosti ;

d)

prevenci, vyšetřování, odhalování a stíhání nedodržování deontologických pravidel pro regulovaná povolání;

e)

kontrolní, inspekční nebo regulační funkce vyplývající, i pouze příležitostně, z v rámci výkonu veřejné moci příslušného veřejného orgánu v případech uvedených v písmenech a), b) c) a d);

f)

ochranu subjektu údajů nebo práv a svobod druhých.

a)

cíle, které má zpracování sledovat;

b)

určení správce;

c)

konkrétní účely a prostředky zpracování;

d)

záruky, jež zamezí zneužití nebo nelegálnímu přístupu či přenosu údajů;

e)

právo subjektu údajů na informace o omezení.

a)

vedení dokumentace podle článku 28;

b)

provedení požadavků týkajících se bezpečnosti údajů uvedených v článku 30;

c)

vypracování posouzení dopadu na ochranu údajů podle článku 33;

d)

splnění požadavků ohledně předchozího povolení nebo předchozí konzultace orgánu dozoru podle čl. 34 odst. 1 a 2;

e)

jmenování inspektora ochrany údajů podle čl. 35 odst. 1.

a)

správci usazení ve třetích zemích, které podle rozhodnutí Komise zaručují přiměřenou úroveň ochrany v souladu s článkem 41, nebo

b)

podniky zaměstnávající méně než 250 osob nebo správce zpracovávající osobní údaje týkající se méně než 5 000 subjektů údajů za jakékoli období 12 po sobě jdoucích měsíců, který nezpracovává zvláštní kategorie osobních údajů uvedené v čl. 9 odst. 1, lokalizační údaje nebo údaje o dětech či zaměstnancích v objemných evidencích ; nebo

c)

orgány veřejné moci či veřejnoprávní subjekty nebo

d)

správci, kteří subjektům údajů s bydlištěm v Unii nabízejí zboží či služby pouze příležitostně, pokud se zpracování osobních údajů netýká zvláštních kategorií osobních údajů uvedených v čl. 9 odst. 1, lokalizačních údajů nebo údajů o dětech či zaměstnancích z objemných evidencí .

a)

jedná zpracovává osobní údaje pouze podle pokynů správce, zejména je-li zakázáno dané osobní údaje předávat pokud právní předpisy Unie nebo členského státu neobsahují jiné požadavky;

b)

zaměstnává pouze pracovníky, kteří se zavázali k mlčenlivosti nebo na které se povinnost mlčenlivosti vztahuje ze zákona;

c)

podnikne všechna požadovaná opatření podle článku 30;

d)

zapojí do zpracování údajů není-li stanoveno jinak, stanoví podmínky pro zapojení dalšího zpracovatele do zpracování údajů pouze s předchozím souhlasem správce;

e)

v míře, do jaké je to s ohledem na povahu daného zpracování možné, vypracuje po dohodě se správcem nezbytné vhodné a odpovídající technické a organizační požadavky pro splnění správcovy povinnosti reagovat na žádosti o výkon práv subjektu údajů stanovených v kapitole III;

f)

napomáhá správci zajišťovat plnění povinností podle článků 30 až 34, přičemž zohlední povahu zpracování a informace, jež má zpracovatel k dispozici ;

g)

předává vrací po zpracování veškeré výsledky správci a osobní údaje jinak nezpracovává a vymaže existující kopie, pokud Unie nebo členský stát nepožadují uchování údajů ;

h)

poskytne správci a orgánu dozoru veškeré informace potřebné pro kontrolu prokázání toho, zda byly splněny povinnosti stanovené v tomto článku, a umožní inspekce na místě ;

a)

jméno a kontaktní údaje správce nebo případného společného správce či zpracovatele a v patřičném případě zástupce;

b)

v patřičném případě jméno a kontaktní údaje inspektora ochrany údajů;

c)

účely zpracování, včetně oprávněných zájmů správce tam, kde se zpracování údajů zakládá na čl. 6 odst. 1 písm. f);

d)

popis kategorií subjektů údajů a kategorií osobních údajů, které se na ně vztahují;

e)

informace o příjemcích nebo kategoriích příjemců daných osobních údajů, včetně v patřičném případě jméno a kontaktní údaje správců, kterým se osobní údaje sdělují s ohledem na jejich oprávněné zájmy;

f)

v příslušných případech informace o předávání údajů do třetích zemí nebo mezinárodním organizacím, včetně informací, jež danou třetí zemi či mezinárodní organizaci identifikují, a v případě předávání podle čl. 44 odst. 1 písm. h) doložení vhodných záruk;

g)

obecné informace o lhůtách pro výmaz jednotlivých kategorií údajů;

h)

popis mechanismů podle čl. 22 odst. 3.

a)

fyzické osoby, které zpracovávají osobní údaje bez obchodního zájmu, nebo

b)

podniky či organizace, které zaměstnávají méně než 250 osob a pro které je zpracovávání osobních údajů pouze doplňkem k jejich hlavním činnostem.

a)

schopnost zajistit, aby byla uplatněna integrita osobních údajů;

b)

schopnost zajistit neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb souvisejících se zpracováním osobních údajů;

c)

schopnost včas obnovit dostupnost údajů a přístup k nim v případě fyzických či technických incidentů, které mají dopad na dostupnost, integritu a důvěrnost informačních systémů a služeb;

d)

v případě zpracování citlivých osobních údajů podle článků 8 a 9 dodatečná bezpečnostní opatření, která zajistí informovanost o rizicích v daném případě a možnost přijmout preventivní a opravná opatření a opatření ke zmírnění dopadů v téměř reálném čase, pokud jde o odhalené citlivé situace nebo incidenty, které by mohly představovat riziko pro dané údaje;

e)

proces pravidelného testování, posuzování a hodnocení účinnosti zavedených bezpečnostních politik, postupů a plánů určených k zajištění nepřetržité účinnosti.

a)

zajistí, aby k osobním údajům měli přístup pouze oprávnění pracovníci, a to výhradně k zákonným účelům;

b)

ochrání uložené nebo přenášené osobní údaje před náhodným nebo nepovoleným zničením, náhodnou ztrátou nebo změnou a neoprávněným nebo nezákonným uložením, zpracováním, přístupem či zveřejněním; a dále

c)

zajistí provádění bezpečnostní politiky týkající se zpracování osobních údajů.

a)

předešla nedovolenému přístupu k osobním údajům;

b)

předešla nedovolenému sdělování, čtení, kopírování, upravování, výmazu či odstranění osobních údajů;

c)

zajistila ověření zákonnosti zpracování.

a)

popsána povaha daného případu narušení bezpečnosti osobních údajů, včetně kategorií a počtu dotčených subjektů údajů a kategorií a množství dotčených záznamů;

b)

sdělena totožnost a kontaktní údaje inspektora ochrany údajů nebo jiného kontaktního subjektu, který může poskytnout bližší informace;

c)

doporučena opatření ke zmírnění nežádoucích účinků, které by dané narušení bezpečnosti osobních údajů mohlo mít;

d)

popsány důsledky narušení bezpečnosti osobních údajů;

e)

popsána opatření, která správce navrhl nebo přijal k řešení daného narušení, a ke zmírnění jeho dopadů .

a)

zpracování osobních údajů týkajících se více než 5 000 subjektů údajů během každého období dvanácti po sobě jdoucích měsíců;

b)

zpracování zvláštních kategorií osobních údajů uvedených v čl. 9 odst. 1, lokalizačních údajů nebo údajů o dětech či zaměstnancích z objemných evidencí;

c)

profilování, na němž se zakládají opatření, která vyvolají ve vztahu k danému jednotlivci právní účinky nebo která se tohoto jednotlivce podobně významným způsobem dotknou;

d)

zpracovávání osobních údajů pro zajištění zdravotní péče, údajů souvisejících s epidemiologickým výzkumem či s průzkumy o duševních nebo infekčních nemocech, kde se tyto údaje zpracovávají ve velkém měřítku za účelem přijetí opatření či rozhodnutí týkajících se konkrétních jednotlivců;

e)

rozsáhlé automatizované sledování veřejně přístupných prostorů;

f)

jiná zpracování, u nichž se podle čl. 34 odst. 2 písm. b) vyžaduje konzultace s inspektorem ochrany údajů nebo orgánem dozoru;

g)

pokud by se narušení bezpečnosti osobních údajů pravděpodobně nepříznivě dotklo ochrany osobních údajů, soukromí, práv nebo oprávněných zájmů subjektu údajů;

h)

hlavní činnosti správce nebo zpracovatele spočívají ve zpracovávání údajů, které kvůli své povaze, rozsahu a/nebo účelu vyžaduje pravidelné a systematické sledování subjektů údajů;

i)

v případech, kdy jsou osobní údaje zpřístupněny takovému počtu osob, že nelze rozumně očekávat omezení tohoto počtu.

a)

pokud existuje zpracování podle odst. 2 písm. a) nebo b), určí správci neusazení v Unii zástupce v Unii v souladu s požadavky a výjimkami stanovenými v článku 25;

b)

pokud existuje zpracování podle odst. 2 písm. a), b) nebo h), určí správce inspektora ochrany údajů v souladu s požadavky a výjimkami stanovenými v článku 35;

c)

pokud existují některá zpracování podle odst. 2 písm. a), b), c), d), e), f), g) nebo h), vypracuje správce údajů nebo jejich zpracovatel jednající jménem správce posouzení dopadu na ochranu údajů podle článku 33;

d)

pokud existuje zpracování podle odst. 2 písm. f), konzultuje správce s inspektorem ochrany údajů nebo, pokud nebyl inspektor ochrany údajů jmenován, s orgánem dozoru podle článku 34.

a)

se systematickým a rozsáhlým vyhodnocováním osobních aspektů fyzických osob nebo s rozborem či předpovídáním zejména ekonomické situace, lokalizace, zdraví, osobních preferencí, spolehlivosti či chování těchto fyzických osob, jestliže je zpracování údajů automatizované a zakládají se na něm opatření, která vyvolají ve vztahu k daným jednotlivcům právní účinky nebo která se těchto jednotlivců významným způsobem dotknou;

b)

se zpracováváním údajů o sexuálním životě, zdravotním stavu, rase a etnickém původu nebo údajů pro poskytování zdravotní péče, údajů souvisejících s epidemiologickým výzkumem či s průzkumy o duševních nebo infekčních nemocech, jestliže se tyto údaje zpracovávají ve velkém měřítku za účelem přijetí opatření či rozhodnutí týkajících se konkrétních jednotlivců;

c)

se sledováním veřejně přístupných prostorů, především pokud se k němu ve velké míře používá optických elektronických přístrojů (videokamer);

d)

se zpracováváním osobních údajů o dětech a genetických a biometrických údajů z objemných evidencí;

e)

s jinými zpracováními, u nichž se podle čl. 34 odst. 2 písm. b) vyžaduje konzultace orgánu dozoru.

a)

systematický popis plánovaného zpracování, účely zpracování a případně oprávněné zájmy správce údajů;

b)

posouzení nezbytnosti a přiměřenosti zpracování z hlediska účelů;

c)

posouzení rizik z hlediska práv a svobod subjektů údajů, včetně rizika vzniku nebo prohloubení diskriminace v důsledku zpracování údajů;

d)

popis plánovaných opatření k řešení těchto rizik a minimalizaci objemu zpracovávaných osobních údajů;

e)

seznam záruk, bezpečnostních opatření a mechanismů k zajištění ochrany osobních údajů, jako je např. tzv. pseudonymizace, a k prokázání souladu s tímto nařízením, a to s přihlédnutím k právům a oprávněným zájmům subjektů údajů a dalších dotčených osob;

f)

obecné informace o lhůtách pro výmaz jednotlivých kategorií údajů;

g)

vysvětlení, jaké metody ochrany údajů podle článku 23 byly na základě návrhu a standardního nastavení zavedeny;

h)

seznam příjemců nebo kategorií příjemců osobních údajů;

i)

případně seznam plánovaných předávání údajů do třetích zemí nebo mezinárodním organizacím, včetně informací, jež danou třetí zemi či mezinárodní organizaci identifikují;

j)

posouzení souvislosti zpracování údajů.

a)

posouzení dopadu na ochranu údajů, jak je stanoveno v článku 33, nasvědčuje tomu, že zpracování bude kvůli své povaze, rozsahu nebo účelu spojeno s vysokou mírou pravděpodobných specifických rizik, nebo

b)

inspektor ochrany údajů nebo orgán dozoru považuje za nutné předchozí konzultace o zpracováních, která jsou kvůli své povaze, rozsahu a/nebo účelu pravděpodobně spojena se specifickými riziky z hlediska práv a svobod subjektů údajů a která jsou vymezena podle odstavce 4.

a)

zpracování provádí orgán veřejné moci či veřejnoprávní subjekt nebo

b)

zpracování provádí podnik zaměstnávající 250 či více osob právnická osoba a týká se více než 5 000 subjektů údajů během každého období dvanácti po sobě jdoucích měsíců; nebo

c)

hlavní činnost správce nebo zpracovatele spočívá ve zpracovávání údajů, které kvůli své povaze, rozsahu a/nebo účelu vyžaduje pravidelné a systematické sledování subjektů údajů nebo

d)

hlavní činnost správce nebo zpracovatele spočívá ve zpracovávání zvláštních kategorií údajů podle čl. 9 odst. 1, lokalizačních údajů nebo údajů o dětech či zaměstnancích z objemných evidencí.

a)

zlepšovat informovanost, informovat správce nebo zpracovatele a udílet jim rady, pokud jde o jejich povinnosti plynoucí z tohoto nařízení, zejména v souvislosti s technickými a organizačními opatřeními a postupy a vést dokumentaci o této činnosti a obdržených odpovědích;

b)

sledovat provádění a uplatňování politik správce nebo zpracovatele souvisejících s ochranou osobních údajů včetně svěřování odpovědnosti, školení pracovníků zapojených do zpracovávání a souvisejících auditů;

c)

sledovat provádění a uplatňování tohoto nařízení, zejména požadavků týkajících se ochrany údajů již od návrhu, standardního nastavení ochrany údajů a bezpečnosti údajů a požadavků týkajících se informovanosti subjektů údajů a jejich žádostí o výkon jejich práv podle tohoto nařízení;

d)

zajišťovat, aby se vedla dokumentace uvedená v článku 28;

e)

sledovat dokumentaci a ohlašování a oznamování případů narušení bezpečnosti osobních údajů podle článků 31 a 32;

f)

sledovat, zda správce nebo zpracovatel vypracovávají posouzení dopadu na ochranu údajů a žádají o předchozí povolení nebo předchozí konzultaci, jsou-li těmito úkony povinováni podle článků 32a, 33 a 34;

g)

sledovat reakce na žádosti orgánu dozoru a v mezích svých pravomocí inspektora ochrany údajů spolupracovat s orgánem dozoru, pokud o to požádá, nebo pokud k tomu dá podnět inspektor ochrany údajů;

h)

působit jako kontaktní osoba pro orgán dozoru v záležitostech souvisejících se zpracováváním, a je-li záhodno, vést s orgánem dozoru konzultace z vlastní iniciativy;

i)

ověřit soulad s tímto nařízením, na který se vztahuje mechanismus předchozí konzultace stanovený v článku 34;

j)

informovat zástupce zaměstnanců o zpracování údajů zaměstnanců;

a)

korektnost a průhlednost při zpracovávání údajů;

aa)

dodržování práv spotřebitelů;

b)

sběr údajů;

c)

informovanost veřejnosti a subjektů údajů;

d)

žádosti subjektů údajů v souvislosti s výkonem jejich práv;

e)

informovanost a ochranu dětí;

f)

předávání údajů do třetích zemí nebo mezinárodním organizacím;

g)

mechanismy sledující a zajišťující dodržování kodexu ze strany správců, kteří se k němu hlásí;

h)

mimosoudní vyrovnání a jiné postupy pro řešení sporů mezi správci a subjekty údajů v souvislosti se zpracováváním osobních údajů, aniž by byla dotčena práva subjektů údajů podle článků 73 a 75.

a)

právnímu státu, související platné legislativě, a to obecné i odvětvové, včetně právních předpisů o veřejné bezpečnosti, obraně a vnitrostátní bezpečnosti, trestnímu právu a uplatňování těchto právních předpisů ; profesním pravidlům a bezpečnostním opatřením, která jsou v dané zemi nebo dané mezinárodní organizaci dodržována, precedenční judikatuře , jakož i k účinným a vynutitelným právům včetně účinné správní a soudní nápravy pro subjekty údajů, zejména pro ty z nich, jež mají bydliště v Unii a jejichž osobní údaje jsou předávány;

b)

existenci a účinnému fungování jednoho nebo více nezávislých orgánů dozoru v dané třetí zemi nebo mezinárodní organizaci odpovědných za zajišťování souladu s pravidly pro ochranu údajů, včetně dostatečných pravomocí ukládat sankce, za pomoc a poradenství subjektům údajů při výkonu jejich práv a za spolupráci s orgány dozoru Unie a členských států a dále

c)

k mezinárodním závazkům, které daná třetí země nebo mezinárodní organizace přijala, především veškerým právně závazným úmluvám nebo nástrojům s ohledem na ochranu osobních údajů .

a)

závaznými podnikovými pravidly v souladu s článkem 43 nebo

aa)

platnou „evropskou pečetí ochrany údajů“ pro správce a příjemce v souladu s odst. 1e čl. 39; nebo

b)

standardními doložkami o ochraně údajů přijatými Komisí. Tyto prováděcí akty se přijímají v souladu s přezkumným postupem podle čl. 87 odst. 2; nebo

c)

standardními doložkami o ochraně údajů přijatými orgánem dozoru v souladu s mechanismem jednotnosti uvedeným v článku 57, prohlásila-li Komise podle čl. 62 odst. 1 písm. b) tyto doložky za obecně platné, nebo

d)

smluvními doložkami mezi správcem nebo zpracovatelem na straně jedné a příjemcem údajů na straně druhé, které schválí orgán dozoru v souladu s odstavcem 4.

a)

jsou právně závazná, používá a prosazuje je každý člen v rámci správcovy nebo zpracovatelovy skupiny podniků a ti externí subdodavatelé, kteří spadají do oblasti působnosti závazných podnikových pravidel , a vztahují se i na zaměstnance;

b)

výslovně přiznávají vynutitelná práva subjektům údajů;

c)

splňují požadavky stanovené v odstavci 2.

a)

strukturu a kontaktní údaje skupiny podniků a jejích členů a těch externích subdodavatelů, kteří spadají do oblasti působnosti závazných podnikových pravidel ;

b)

předání údajů nebo řadu předání, včetně kategorií osobních údajů, typu zpracování a jeho účelu, typu dotčených subjektů údajů a určení dané třetí země nebo daných třetích zemí;

c)

svoji právně závaznou povahu, a to interně i externě;

d)

obecné zásady pro ochranu údajů, zejména účelové omezení, minimalizaci údajů, omezené lhůty pro uchovávání údajů, kvalitu údajů, ochranu údajů již od návrhu a standardní nastavení ochrany údajů, právní základ pro zpracovávání a pro zpracovávání citlivých osobních údajů; opatření k zajištění bezpečnosti údajů a požadavky na další předávání organizacím, které touto politikou nejsou vázány;

e)

práva subjektů údajů a prostředky jejich výkonu, včetně práva nebýt předmětem opatření založeného na profilování v souladu s článkem 20, práva předložit stížnost příslušnému orgánu dozoru a příslušným soudům členských států v souladu s článkem 75, práva na nápravu a případně i práva na odškodnění v případě porušení závazných podnikových pravidel;

f)

přijetí odpovědnosti ze strany správce nebo zpracovatele usazeného na území některého členského státu za porušení závazných podnikových pravidel kterýmkoli členem skupiny podniků neusazeným v Unii; správce nebo zpracovatel se může této odpovědnosti částečně nebo zcela zprostit, pouze pokud prokáže, že za okolnost, jež vedla ke vzniku škody, není daný člen odpovědný;

g)

způsob poskytování informací o závazných podnikových pravidlech, zejména o jejich ustanoveních uvedených v písmenech d), e) a f) tohoto odstavce, subjektům údajů v souladu s článkem 11;

h)

úkoly inspektora ochrany údajů jmenovaného v souladu s článkem 35 včetně sledování souladu se závaznými podnikovými pravidly v rámci skupiny podniků a sledování školení a vyřizování stížností;

i)

mechanismy, které mají v rámci skupiny podniků zajistit ověřování souladu se závaznými podnikovými pravidly;

j)

mechanismy pro podávání zpráv a pro zaznamenávání změn v politice a hlášení těchto změn orgánu dozoru;

k)

mechanismus spolupráce s orgánem dozoru, který zajistí dodržování pravidel každým členem skupiny podniků, zejména poskytování výsledků ověřování opatření uvedených v písmenu i) tohoto odstavce orgánu dozoru.

a)

daný subjekt údajů byl informován o rizicích takového předání v důsledku absence rozhodnutí o přiměřenosti a vhodných záruk a následně k navrhovanému předání vydal svůj souhlas nebo

b)

předání je nezbytné pro splnění smlouvy mezi subjektem údajů a správcem nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost subjektu údajů nebo

c)

předání je nezbytné pro uzavření nebo splnění smlouvy, která má být uzavřena nebo která byla uzavřena v zájmu subjektu údajů mezi správcem a jinou fyzickou nebo právnickou osobou, nebo

d)

předání je nezbytné z důvodu důležitého veřejného zájmu nebo

e)

předání je nezbytné pro uplatnění, výkon nebo obhajobu právních nároků nebo

f)

předání je nezbytné k ochraně životně důležitých zájmů subjektu údajů nebo jiné osoby v případě, že subjekt údajů není fyzicky nebo právně způsobilý udělit svůj souhlas, nebo

g)

k předání dochází z rejstříku, který je na základě práva Unie nebo členských států určen pro informování veřejnosti a je přístupný k nahlížení veřejnosti obecně nebo jakékoli osobě, která prokáže oprávněný zájem, pokud jsou v daném případě splněny právní předpisy Unie nebo členských států pro nahlížení, nebo

h)

předání je nezbytné pro účely oprávněných zájmů správce nebo zpracovatele, nelze je označit za časté nebo značného rozsahu a správce nebo zpracovatel posoudil všechny okolnosti daného předání údajů nebo dané řady předání údajů a na základě tohoto posouzení přijal v případě potřeby vhodné záruky pro ochranu osobních údajů.

a)

rozvoje účinných mechanismů pro mezinárodní spolupráci, aby se usnadnilo zajistilo prosazování právních předpisů na ochranu osobních údajů; [pozm. návrh 142]

b)

poskytování vzájemné pomoci na mezinárodní úrovni při prosazování právních předpisů na ochranu osobních údajů, a to mimo jiné formou oznamování, postupování stížností, pomoci při vyšetřování a výměny informací, pod podmínkou vhodných záruk pro ochranu osobních údajů a jiných základních práv a svobod;

c)

zapojení příslušných zúčastněných stran do diskuse a činností zacílených na prohlubování mezinárodní spolupráce při prosazování právních předpisů na ochranu osobních údajů;

d)

podpoření výměny a dokumentace v souvislosti s právními předpisy a praxí v oblasti ochrany osobních údajů;

da)

objasnění a konzultace o právních konfliktech se třetími zeměmi. [pozm. návrh 143]

a)

zřízení orgánu dozoru a jeho postavení;

b)

kvalifikaci, zkušenosti a dovednosti požadované pro výkon povinností členů orgánu dozoru;

c)

pravidla a postupy pro jmenování členů orgánu dozoru, jakož i pravidla týkající se činností nebo zaměstnání neslučitelných s povinnostmi úřadu;

d)

délku funkčního období členů orgánu dozoru, která dosáhne minimálně čtyř let s výjimkou prvních jmenování po vstupu tohoto nařízení v platnost, jež mohou být na dobu kratší, je-li k ochraně nezávislosti orgánu dozoru nutný proces postupného jmenování;

e)

způsobilost členů orgánu dozoru k opětovnému jmenování;

f)

právní předpisy a obvyklé podmínky, jimiž se řídí povinnosti členů a pracovníků orgánu dozoru;

g)

pravidla a postupy pro ukončení povinností členů orgánu dozoru, včetně případu, kdy přestanou splňovat podmínky požadované pro výkon svých povinností nebo kdy se dopustili závažného pochybení.

a)

sleduje a zajišťuje uplatňování tohoto nařízení;

b)

zabývá se stížnostmi, které mu předloží subjekt údajů nebo sdružení, jež tento subjekt zastupuje, v souladu s článkem 73, v odpovídající míře dané záležitosti prošetřuje a v rozumné lhůtě informuje daný subjekt údajů či dané sdružení o vývoji a výsledku jejich stížností, a to zejména v případech, kdy je zapotřebí další šetření nebo koordinace s jiným orgánem dozoru; [pozm. návrh 150]

c)

pomáhá na principu vzájemnosti dalším orgánům dozoru, dělí se s nimi o informace a zajišťuje jednotné uplatňování a prosazování tohoto nařízení;

d)

provádí šetření, a to z vlastní iniciativy nebo na základě stížnosti, získaných konkrétních a zaznamenaných informací poukazujících na případ nezákonného zpracování nebo na základě žádosti jiného orgánu dozoru, a o výsledku šetření v rozumné lhůtě informuje dotčené subjekty údajů, pokud tomuto orgánu dozoru adresují stížnost; [pozm. návrh 151]

e)

sleduje vývoj v relevantních oblastech, pokud mají dopad na ochranu osobních údajů, zejména vývoj informačních a komunikačních technologií a obchodních praktik;

f)

je konzultován orgány či subjekty členských států o právních a správních opatřeních, jež se týkají ochrany práv a svobod fyzických osob v souvislosti se zpracováváním osobních údajů;

g)

má konzultovat zpracování uvedená v článku 34;

h)

vydává stanovisko k návrhům kodexů chování podle čl. 38 odst. 2;

i)

schvaluje závazná podniková pravidla podle článku 43;

j)

účastní se na činnostech Evropské rady pro ochranu údajů;

ja)

vydává správcům nebo zpracovatelům osvědčení dle článku 39. [pozm. návrh 152]

a)

oznamovat správci nebo zpracovateli případy údajného porušení ustanovení o zpracovávání osobních údajů a v příslušných případech jim nařizovat, aby taková porušení konkrétním způsobem napravili v zájmu zlepšení ochrany subjektů údajů, nebo požadovat po správci, aby oznamoval případy porušení bezpečnosti osobních údajů subjektu údajů ;

b)

nařizovat správci nebo zpracovateli, aby vyhověli žádostem subjektů údajů o výkon práv stanovených tímto nařízením;

c)

nařizovat správci a zpracovateli, a v příslušném případě zástupci, poskytnutí jakýchkoli informací relevantních pro plnění jeho povinností;

d)

zajišťovat dodržování předchozích povolení a předchozích konzultací uvedených v článku 34;

e)

upozorňovat nebo napomínat správce nebo zpracovatele;

f)

nařizovat opravu, výmaz nebo zničení všech údajů, při jejichž zpracování byla porušena ustanovení tohoto nařízení, a nařídit oznámení těchto opatření třetím osobám, kterým byly údaje sděleny;

g)

vydávat dočasné nebo trvalé zákazy zpracovávání;

h)

přerušit předávání údajů příjemci ve třetí zemi nebo předávání údajů mezinárodní organizaci;

i)

vydávat stanoviska k veškerým otázkám souvisejícím s ochranou osobních údajů;

ia)

vydávat správcům nebo zpracovatelům osvědčení dle článku 39;

j)

informovat vnitrostátní parlament, vládu nebo jiné politické instituce a také veřejnost o jakýchkoli záležitostech souvisejících s ochranou osobních údajů;

ja)

uplatňovat účinné mechanismy na podporu důvěrného podávání zpráv o porušení tohoto nařízení, při zohlednění pokynů vydaných Evropskou radou pro ochranu údajů na základě čl. 66 odst. 4 písm. b).

a)

přístup ke všem osobním údajům a ke všem dokumentům a informacím, které potřebuje k výkonu svých povinností;

b)

přístup do jejich veškerých prostorů, včetně veškerého zařízení a prostředků pro zpracovávání údajů, existují-li dostatečné důvody k předpokladu, že v těchto prostorech dochází k činnosti, jež je v rozporu s tímto nařízením.