52017PC0008

•Proporcionalita

Aby bylo v souladu se zásadou proporcionality dosaženo základních cílů zajištění přiměřené úrovně ochrany fyzických osob v souvislosti se zpracováním osobních údajů a volného pohybu osobních údajů v Unii, je nutné a vhodné stanovit pravidla pro zpracování osobních údajů orgány, institucemi a jinými subjekty Unie. Toto nařízení nepřekračuje rámec toho, co je nutné k dosažení sledovaných cílů v souladu s čl. 5 odst. 4 Smlouvy o Evropské unii.

•Volba nástroje

Nařízení je považováno za vhodný právní nástroj pro vymezení rámce pro ochranu fyzických osob v souvislosti se zpracováváním osobních údajů orgány, institucemi a jinými subjekty Unie a volný pohyb těchto údajů. Dává fyzickým osobám právně vymahatelná práva, vymezuje povinnosti správců údajů v orgánech, institucích a jiných subjektech Unie při zpracovávání údajů. Zavádí rovněž nezávislý dozorový orgán, evropského inspektora ochrany údajů, který zodpovídá za dozor nad zpracováním osobních údajů orgány, institucemi a jinými subjekty Unie.

3.VÝSLEDKY HODNOCENÍ EX POST, KONZULTACÍ SE ZÚČASTNĚNÝMI STRANAMI A POSOUZENÍ DOPADŮ

Komise provedla konzultace se zúčastněnými stranami v roce 2010 a 2011 a posouzení dopadu v souvislosti s přípravou balíčku opatření pro reformu ochrany údajů, který informuje o navrhovaných změnách nařízení (ES) č. 45/2001. V této souvislosti provedla Komise rovněž průzkum mezi koordinátory ochrany údajů Komise 5 .

Pokud jde o praktické uplatňování nařízení (ES) č. 45/2001 orgány, institucemi a jinými subjekty Unie, informace byly shromážděny od evropského inspektora ochrany údajů (EIOÚ), jiných orgánů, institucí a subjektů, ostatních GŘ Komise a externího dodavatele. Síti pověřenců pro ochranu údajů byl zaslán dotazník 6 .

Pověřenci pro ochranu údajů z řady orgánů, institucí a jiných subjektů Unie uspořádali workshopy věnované reformě nařízení 45/2001 ve dnech 9. června 2015, 22. října 2015, 19. ledna 2016 a 15. března 2016.

Komise se v roce 2013 rozhodla realizovat hodnotící studii o dosavadním uplatňování nařízení (ES) č. 45/2001, která byla zadána externímu dodavateli. Konečné výsledky hodnotící studie (závěrečná zpráva, pět případových studií a analýza jednotlivých článků) byly Komisi dodány dne 8. června 2015 7 .

Hodnocení prokázalo, že řídící systém strukturovaný okolo pověřenců pro ochranu údajů a evropského inspektora ochrany údajů je účinný. Shledalo, že sdílení pravomocí mezi pověřenci pro ochranu údajů a evropským inspektorem ochrany údajů je jasné a dobře vyvážené a že obě strany mají odpovídající škálu pravomocí. Komplikace mohou však vyvstávat při nedostatku pravomoci z důvodu nedostatečné podpory pověřenců pro ochranu údajů ze strany jejich vedení.

Hodnotící studie ukázala, že nařízení (ES) č. 45/2001 lze lépe vymáhat ukládáním sankcí evropským inspektorem ochrany údajů. Lepší využívání pravomocí dozoru by mohlo vést k lepšímu uplatňování pravidel pro ochranu údajů. Dalším závěrem bylo, že by správci údajů měli přijmout přístup řízení rizika a posuzovat rizika před prováděním operací zpracovávání údajů, aby byly lépe prováděny požadavky týkající se uchovávání a zabezpečení údajů.

Studie rovněž ukázala, že stávající pravidla v kapitole IV nařízení (ES) č. 45/2001 o odvětví telekomunikací jsou zastaralá a je nutné sladit tuto kapitolu se směrnicí o
o soukromí a elektronických komunikacích. Podle hodnotící studie je rovněž nutné více objasnit některé klíčové definice nařízení (ES) č. 45/2001. Zahrnuje to identifikaci správců údajů v orgánech, institucích a jiných subjektech Unie, vymezení příjemců a rozšíření povinnosti dodržovat důvěrnost na externí zpracovatele.

Hodnotící studie poukázala rovněž na to, že je třeba zjednodušit systém oznámení a předběžných kontrol za účelem zvýšení účinnosti a snížení administrativní zátěže.

Hodnotitel provedl online průzkum v 64 orgánech, institucích a jiných subjektech Unie. Na otázky průzkumu odpovědělo 422 odpovědných úředníků správců údajů, 73 pověřenců pro ochranu údajů, 118 koordinátorů ochrany údajů a 109 IT respondentů. Hodnotitel rovněž provedl se zúčastněnými stranami řadu pohovorů. Hodnotitel a Komise zorganizovali dne 26. března 2015 závěrečný workshop, kterého se zúčastnila řada správců údajů, pověřenců pro ochranu údajů, koordinátorů ochrany údajů, IT respondentů a zástupci evropského inspektora ochrany údajů.

•Sběr a využití výsledků odborných konzultací

Viz odkaz na hodnotící studii výše.

•Posouzení dopadů

Dopad předkládaného návrhu dolehne zejména na orgány, instituce a jiné subjekty Unie. To bylo potvrzeno informacemi shromážděnými od evropského inspektora ochrany údajů, dalších orgánů, institucí a jiných subjektů, GŘ Komise a externího dodavatele. Navíc byl dopad nových povinností vyplývajících z nařízení (EU) 2016/679, se kterými má být současné nařízení sladěno, posouzen v souvislosti s přípravnými pracemi na nařízení (EU) 2016/679. Z tohoto důvodu není nutné provádět zvláštní posouzení dopadu.

•Účelnost a zjednodušování právních předpisů

Nevztahuje se na tento návrh.

•Základní práva

Právo na ochranu osobních údajů je stanoveno v článku 8 Listiny základních práv Evropské unie (dále jen „Listina“), článku 16 SFEU a článku 8 Evropské úmluvy o lidských právech. Jak zdůraznil Soudní dvůr Evropské unie, 8 právo na ochranu osobních údajů není právem absolutním, avšak musí být posuzováno v souvislosti se svou funkcí ve společnosti 9 . Ochrana údajů je rovněž úzce spjata s respektováním soukromého a rodinného života, které je zakotveno v článku 7 Listiny.

Předkládaný návrh stanoví pravidla pro ochranu fyzických osob v souvislosti se zpracováním osobních údajů orgány, institucemi a jinými subjekty Unie a volný pohyb těchto údajů.

Dotčena by mohla být také další základní práva zakotvená v Listině: svoboda projevu (článek 11); právo na vlastnictví a zejména ochrana duševního vlastnictví (čl. 17 odst. 2); zákaz diskriminace založené na rase, etnickém původu, genetických rysech, náboženském vyznání nebo přesvědčení, politických názorech či jakýchkoli jiných názorech, zdravotním postižení nebo sexuální orientaci (článek 21); práva dítěte (článek 24); právo na vysoký stupeň péče o lidské zdraví (článek 35); právo na přístup k dokumentům (článek 42) a právo na účinnou právní ochranu a spravedlivý proces (článek 47).

4.ROZPOČTOVÉ DŮSLEDKY

Viz finanční výkaz v příloze.

5.OSTATNÍ PRVKY

•Plány provádění a monitorování, hodnocení a podávání zpráv

Nevztahuje se na tento návrh.

•Informativní dokumenty (u směrnic)

Nevztahuje se na tento návrh.

KAPITOLA I – OBECNÁ USTANOVENÍ

Článek 1 definuje předmět nařízení a stejně jako článek 1 nařízení (ES) č. 45/2001 stanoví dva cíle nařízení: chránit základní právo na ochranu údajů a zaručit volný pohyb osobních údajů v rámci Unie. Určuje rovněž hlavní úkoly evropského inspektora ochrany údajů.

Článek 2 vymezuje oblast působnosti nařízení: vztahuje se na zpracování osobních údajů, automatizovaně i jinak, ve všech orgánech a subjektech Unie, pokud se toto zpracování provádí při výkonu činností, které zcela nebo zčásti spadají do oblasti působnosti práva Unie. Věcná působnost tohoto nařízení je technologicky neutrální. Ochrana osobních údajů se vztahuje jak na automatizované zpracování osobních údajů, tak na manuální zpracování, pokud jsou tyto osobní údaje uloženy v evidenci nebo do ní mají být vloženy.

Článek 3 obsahuje definice pojmů, které nařízení používá. Kromě definicí „orgány a subjekty Unie“, „správce“, „uživatel“ a „seznam“, které jsou specifické pro toto nařízení, pojmy užívané v tomto nařízení jsou vymezeny v nařízení (EU) 2016/679, nařízení (EU) 0000/00 [nové nařízení o ochraně osobních údajů], směrnici 00/0000/EU [směrnice, kterou se stanoví evropský kodex pro elektronické komunikace] a směrnici Komise 2008/63/ES.

KAPITOLA II – ZÁSADY

V článku 4 jsou stanoveny zásady související se zpracováním osobních údajů, jež odpovídají zásadám uvedeným v článku 5 nařízení (EU) 2016/679. Ve srovnání s nařízením (ES) č. 45/2001 se doplňují nové zásady transparentnosti a integrity a důvěrnosti.

Článek 5 vychází z článku 6 nařízení (EU) 2016/679 a stanoví kritéria zákonného zpracování, s jedinou výjimkou kritéria legitimního zájmu správce, které se nepoužije na veřejný sektor, a tudíž by se nemělo vztahovat na orgány a subjekty Unie. Článek 5 zachovává kritéria zavedená článkem 5 nařízení (ES) č. 45/2001.

Článek 6 objasňuje podmínky zpracování pro jiný slučitelný účel v souladu s čl. 6 odst. 4 nařízení (EU) 2016/679. V porovnání s článkem 6 nařízení (ES) č. 45/2001 poskytuje toto nové ustanovení více flexibility a právní jistoty, pokud jde o další zpracování pro slučitelné účely.

Článek 7, v souladu s článkem 7 nařízení (EU) 2016/679, objasňuje podmínky, za jakých je souhlas platný jako právní důvod pro zákonné zpracování údajů.

Článek 8, v souladu s článkem 8 nařízení (EU) 2016/679, stanoví další podmínky zákonného zpracování osobních údajů dětí v souvislosti se službami informační společnosti, které jsou přímo nabízeny dětem. Stanoví 13 let jako minimální věk dítěte pro platný souhlas.

Článek 9 stanoví, v souladu s článkem 8 nařízení (ES) č. 45/2001, pravidla pro specifickou úroveň ochrany při předávání osobních údajů jiným příjemcům, než jsou orgány a subjekty Unie, kteří jsou usazení v Unii a na které se vztahuje nařízení (EU) 2016/679 nebo směrnice (EU) 2016/680. Objasňuje, že pokud dochází k předávání na podnět správce, musí správce prokázat jeho nezbytnost a přiměřenost.

Článek 10 stanoví obecný zákaz zpracování zvláštních kategorií osobních údajů a výjimky z tohoto obecného pravidla na základě článku 9 nařízení (EU) 2016/679 a dalšího rozvedení článku 10 nařízení (ES) č. 45/2001.

Článek 11 stanoví, v souladu s článkem 10 nařízení (EU) 2016/679 a čl. 10 odst. 5 nařízení (ES) č. 45/2001, podmínky pro zpracování osobních údajů týkajících se rozsudků v trestních věcech a trestných činů.

Článek 12, v souladu s článkem 11 nařízení (EU) 679/2016, objasňuje informační povinnosti správce vůči subjektu údajů, které stanoví, že zpracovává-li správce osobní údaje, které mu neumožňují identifikovat fyzickou osobu, neměl by být povinen získat dodatečné informace pro zjištění totožnosti subjektu údajů výlučně za účelem dosažení souladu s některým ustanovením tohoto nařízení. Správce by však neměl odmítnout převzít dodatečné informace poskytnuté subjektem údajů s cílem podpořit výkon jeho práv.

Článek 13 stanoví, na základě čl. 89 odst. 1 nařízení (EU) 2016/679, pravidla pro záruky týkající se zpracování pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely.

KAPITOLA III – PRÁVA SUBJEKTU ÚDAJŮ

Oddíl 1 – Transparentnost a metody

Článek 14 ukládá, na základě článku 12 nařízení (EU) 2016/679, správci povinnost poskytovat transparentní, snadno dostupné a srozumitelné informace a zajistit postupy a mechanismy pro výkon práv subjektu údajů, včetně ve vhodných případech prostředků pro podávání elektronických žádostí, vyžádání odpovědi na žádost subjektu údajů ve stanovené lhůtě a důvody zamítnutí. Protože se u orgánů a subjektů Unie očekává, že za žádných okolností nebudou účtovat poplatky v souvislosti se správními náklady spojenými s poskytnutím informací, není tato možnost z nařízení (EU) 2016/679 převzata.

Oddíl 2 – Informace a přístup k údajům

Článek 15 upřesňuje povinnosti správce informovat subjekt údajů v případě, že osobní údaje jsou získány od subjektu údajů, a to na základě článku 13 nařízení (EU) 2016/679 a dalšího rozvedení článku 11 nařízení (ES) č. 45/2001, tedy poskytovat subjektu údajů informace, včetně o době uchovávání údajů, právu podat stížnost a v souvislosti s mezinárodním předáváním údajů.

Článek 16 dále upřesňuje, v návaznosti na článek 14 nařízení (EU) 2016/679 a další rozvedení článku 12 nařízení (ES) č. 45/2001, povinnosti správce informovat subjekt údajů v případě, že osobní údaje nebyly získány od subjektu údajů, o zdroji, ze kterého údaje pocházejí. Zachovává rovněž možné odchylky v nařízení (EU) 2016/679, např. tato povinnost nebude platit, pokud subjekt údajů již tyto informace má, poskytnutí takových informací není možné nebo by vyžadovalo nepřiměřené úsilí správce, pokud osobní údaje musí zůstat důvěrné s ohledem na povinnost zachovávat služební tajemství upravenou právem Unie nebo pokud je zaznamenání nebo zpřístupnění výslovně stanoveno právem. To může být například v řízeních orgány příslušnými v oblasti sociálního zabezpečení nebo veřejného zdraví.

Článek 17 upravuje, v souladu s článkem 15 nařízení 2016/679 a dalším rozvedením článku 13 nařízení (EC) č. 45/2001, právo subjektu údajů na přístup k osobním údajům a doplňuje nové prvky, jako je povinnost informovat subjekty údajů o době uchovávání a o právu na opravu a výmaz a o právu podat stížnost.

Oddíl 3 – Oprava a výmaz

Článek 18 stanoví podle článku 16 nařízení (EU) 679/2016 a na základě dalšího rozvedení článku 14 nařízení (ES) č. 45/2001 právo subjektu údajů na opravu.

Článek 19 stanoví, v souladu s článkem 17 nařízení (EU) 2016/679 a na základě dalšího rozvedení článku 16 nařízení (ES) č. 45/2001, právo subjektu údajů na to být zapomenut a právo na výmaz. Stanoví podmínky pro uplatňování práva být zapomenut, včetně povinnosti správce, jenž osobní údaje zveřejnil, informovat třetí strany o žádosti subjektu údajů o výmaz veškerých odkazů na tyto osobní údaje nebo veškerých kopií či replikací těchto osobních údajů.

Článek 20 zavádí právo na omezení zpracování v určitých případech, přičemž se vystříhává nejednoznačného pojmu „blokování“ použitého v nařízení (ES) č. 45/2001 a zajišťuje jednotnost s novou terminologií podle článku 18 nařízení (EU) 2016/679.

Článek 21 stanoví, v souladu s článkem 19 nařízení (EU) 2016/679 a dalším rozvedením článku 17 nařízení (ES) č. 45/2001, povinnost správce oznamovat příjemcům, jimž byly osobní údaje zpřístupněny, veškeré opravy nebo výmazy osobních údajů nebo omezení zpracování, s výjimkou případů, kdy se to ukáže jako nemožné nebo to vyžaduje nepřiměřené úsilí. Správce rovněž informuje subjekt údajů o těchto příjemcích, pokud to subjekt údajů požaduje.

Článek 22 zavádí, v souladu s článkem 20 nařízení (EU) 2016/679, právo subjektu údajů na přenositelnost údajů, tj. právo získat osobní údaje, které se ho týkají, jež poskytl správci, nebo právo na předání těchto údajů přímo jinému správci, je-li to technicky možné. Jako předpoklad a s cílem dále zlepšovat přístup fyzických osob k jejich osobním údajům poskytuje právo obdržet od správce tyto údaje ve strukturovaném a běžně používaném strojově čitelném formátu. Toto právo se uplatní, pouze pokud je zpracování založeno na souhlasu subjektu údajů, nebo smlouvě jím uzavřené.

Oddíl 4 – Právo vznést námitku a automatizované individuální rozhodování

Článek 23 stanoví práva subjektu údajů vznést námitku, založená na článku 21 nařízení (EU) 2016/679 a dalším rozvedení článku 18 nařízení (ES) č. 45/2001.

Článek 24 se týká práva subjektu údajů nebýt předmětem žádného opatření založeného výhradně na automatizovaném zpracování, včetně profilování, v souladu s článkem 22 nařízení (EU) 2016/679 a dalším rozvedením článku 19 nařízení (ES) č. 45/2001.

Oddíl 5 – Omezení

Článek 25 umožňuje omezit práva subjektu údajů stanovená v článcích 14 až 22 a v článcích 34 a 38 a zásady stanovené v článku 4 (v rozsahu, v jakém jeho ustanovení odpovídají právům a povinnostem stanoveným v článcích 14 až 22). Taková omezení by měla být stanovena v právních aktech přijatých na základě Smluv nebo vnitřních předpisech orgánů a subjektů Unie. V případě, že možnost takového omezení není stanovena v právních aktech přijatých na základě Smluv nebo ve vnitřních předpisech orgánů a subjektů Unie, mohou orgány a subjekty Unie uložit omezení ad hoc, pokud omezení respektuje podstatu základních práv a svobod v souvislosti s konkrétní operací zpracování a představuje nezbytné a přiměřené opatření v demokratické společnosti s cílem zajistit dosažení jednoho či více cílů umožňujících omezení práv subjektů údajů. Tento přístup je v souladu s článkem 23 nařízení (EU) 2016/679. Avšak na rozdíl od článku 23 nařízení (EU) 2016/679 a v souladu s článkem 20 nařízení (ES) č. 45/2001 není stanovena možnost omezit právo na námitku a právo nebýt předmětem žádného rozhodnutí založeného výhradně na automatizovaném zpracování. Požadavky na omezení jsou v souladu s Listinou základních práv a Evropskou úmluvou o lidských právech, jak je vykládá Soudní dvůr Evropské unie a Evropský soud pro lidská práva.

KAPITOLA IV – SPRÁVCE A ZPRACOVATEL

Oddíl 1 – Obecné povinnosti

Článek 26 vychází z článku 24 nařízení (EU) 2016/679 a zavádí „zásadu odpovědnosti“, přičemž popisuje povinnost správce nést odpovědnost za dodržování souladu s tímto nařízením a tento soulad prokázat, mimo jiné přijetím odpovídajících technických a organizačních opatření a případně vnitřních politik a mechanismů pro zajištění tohoto souladu. V tomto ustanovení nebyl zachován čl. 24 odst. 3 nařízení (EU) 2016/679, protože orgány a subjekty Unie nemají přijímat kodexy chování nebo mechanismy pro vydávání osvědčení.

Článek 27 stanoví, v souladu s článkem 25 nařízení (EU) 2016/679, povinnosti správce vyplývající ze zásady záměrné a standardní ochrany údajů.

Článek 28 o společných správcích vychází z článku 26 nařízení (EU) 2016/679 s cílem objasnit odpovědnost společných správců – buď orgánů a subjektů Unie, či nikoliv – pokud jde o jejich vzájemný vztah a vztah vůči subjektu údajů. Toto ustanovení rozhoduje situace, kde se na všechny společné správce vztahuje stejný právní režim (toto nařízení), a situace, kde na některé se toto nařízení vztahuje a na některé se vztahuje jiný právní nástroj (nařízení (EU) 2016/679, směrnice (EU) 2016/680, směrnice (EU) 2016/681 a další zvláštní režimy ochrany údajů týkající se orgánů a subjektů Unie).

Článek 29 vychází z článku 28 nařízení (EU) 2016/679 a dále rozvíjí článek 23 nařízení (ES) č. 45/2001 s cílem objasnit postavení a povinnosti zpracovatelů, včetně určení, že zpracovatel, který poruší toto nařízení tím, že určí účely a prostředky zpracování, se považuje ve vztahu k takovému zpracování za správce.

Článek 30 o zpracovávání z pověření správce a zpracovatele založený na článku 29 nařízení (EU) 2016/679 stanoví, že zpracovatel a jakákoliv osoba, která jedná z pověření správce nebo zpracovatele a má přístup k osobním údajům, může tyto osobní údaje zpracovávat pouze na pokyn správce, ledaže jí jejich zpracování ukládá právo Unie nebo členského státu.

Článek 31 vychází z článku 30 nařízení (EU) 2016/679 a zavádí povinnost správce a zpracovatele vést dokumentaci o všech zpracováních, za která nesou odpovědnost, namísto předchozí oznamovací povinnosti vůči evropskému inspektorovi ochrany údajů vyžadované článkem 25 nařízení (ES) č. 45/2001 a rejstříku pověřence pro ochranu osobních údajů. Oproti nařízení (EU) 2016/679 toto ustanovení neodkazuje na zástupce, neboť orgány a subjekty Unie nebudou mít zástupce, ale vždy pověřence pro ochranu údajů. Odkazy na předávání založené na odchylkách pro zvláštní případy jako v nařízení (EU) 2016/679 nebyly převzaty, neboť tyto druhy předávání nejsou plánovány v předkládaném nařízení. Povinnost vést záznamy o činnostech zpracování může být centralizována na úrovni orgánu nebo subjektu Unie. V takovém případě orgány a subjekty Unie mají možnost vést záznamy o činnostech zpracování ve formě veřejně přístupného rejstříku.

Článek 32 objasňuje na základě článku 31 nařízení (EU) 2016/679 povinnosti orgánů a subjektů Unie v oblasti spolupráce s evropským inspektorem ochrany údajů.

Oddíl 2 – Zabezpečení osobních údajů a důvěrnost elektronické komunikace

Článek 33 zavazuje, v souladu s článkem 32 nařízení (EU) 2016/679 a dalším rozvedením článku 22 nařízení (ES) č. 45/2001, správce, aby provedl vhodná opatření k zabezpečení zpracování, přičemž tuto povinnost rozšiřuje na zpracovatele bez ohledu na jeho smluvní vztah se správcem.

Článek 34 navazuje na článek 36 nařízení (ES) č. 45/2001 a zajišťuje důvěrnost elektronické komunikace v orgánech a subjektech Unie.

Článek 35 staví na stávající praxi orgánů a subjektů Unie a chrání informace týkající se koncových zařízení koncových uživatelů, kteří se připojují na veřejně přístupné internetové stránky a mobilní aplikace nabízené orgány a subjekty Unie, v souladu s nařízením (EU) XXXX/XX [nové nařízení o ochraně osobních údajů], zejména článkem 8 daného nařízení.

Článek 36 je založen na článku 38 nařízení (ES) č. 45/2001 a chrání osobní údaje uvedené ve veřejných nebo soukromých seznamech orgánů a subjektů Unie.

Články 37 a 38 zavádějí v souladu s články 33 a 34 nařízení (EU) 2016/679 povinnost ohlašovat případy porušení ochrany osobních údajů.

Oddíl 3 – Posuzování dopadu na ochranu údajů a předchozí konzultace

Článek 39 staví na článku 35 nařízení (EU) 2016/679 a zavádí pro správce a zpracovatele povinnost provádět posouzení dopadu na ochranu údajů před operacemi zpracování, které se sebou pravděpodobně nesou vysoké riziko pro práva a svobody fyzických osob. Tato povinnost se použije zejména v případě systematického a rozsáhlého vyhodnocování osobních aspektů týkajících se fyzických osob, které je založeno na automatizovaném zpracování, včetně profilování, při kterém jsou rozsáhle zpracovávány zvláštní kategorie údajů nebo systematicky rozsáhle monitorovány veřejně přístupné prostory.

Článek 40 je založen na článku 36 nařízení (EU) 2016/679 a týká se případů, kdy je před zpracováním vyžadováno povolení od evropského inspektora ochrany údajů a jeho konzultace. První odstavec článku 40 však reprodukuje 94. bod odůvodnění nařízení 2016/679 a jeho cílem je objasnit působnost povinnosti konzultace.

Oddíl 4 – Informace a legislativní konzultace

Článek 41 stanoví povinnost pro orgány a subjekty Unie, aby informovaly evropského inspektora ochrany údajů o vypracování správních opatření a vnitřních předpisů souvisejících se zpracováním osobních údajů.

Článek 42 stanoví povinnost pro Komisi, aby konzultovala evropského inspektora ochrany údajů po přijetí návrhů legislativních aktů a doporučení nebo návrhů pro Radu podle článku 218 SFEU a při přípravě aktů v přenesené pravomoci nebo prováděcích aktů, které mají vliv na ochranu práv a svobod fyzických osob v souvislosti se zpracováváním osobních údajů. Jestliže tyto akty mají zvláštní význam pro ochranu práv a svobod fyzických osob v souvislosti se zpracováním osobních údajů, může Komise rovněž konzultovat Evropský sbor pro ochranu osobních údajů. V takových případech by oba subjekty měly koordinovat svou práci s cílem vydat společné stanovisko. Zavádí se lhůta 8 týdnů pro poskytnutí poradenství ve výše uvedených případech, s možnými odchylkami pro naléhavé a jinak vhodné případy, například když Komise připravuje akty v přenesené pravomoci nebo prováděcí akty.

Oddíl 5 – Povinnost odpovědět na vyjádření

Článek 43 stanoví povinnost pro správce a zpracovatele reagovat na připomínky evropského inspektora ochrany údajů poté, co se rozhodl, že jim záležitost postoupí.

Oddíl 6 – Pověřenec pro ochranu údajů

Článek 44 vychází z čl. 37 odst. 1 písm. a) nařízení (EU) 2016/679 a článku 24 nařízení (ES) č. 45/2001 s cílem stanovit povinné zavedení pověřence pro ochranu údajů v orgánech a subjektech Unie.

Článek 45 vychází z článku 38 nařízení (EU) 2016/679 a článku 24 nařízení (ES) č. 45/2001 s cílem stanovit postavení pověřence pro ochranu údajů.

Článek 46 vychází z článku 39 nařízení (EU) 2016/679 a článku 24 nařízení (ES) č. 45/2001 a druhého a třetího odstavce přílohy nařízení (ES) č. 45/2001 s cílem stanovit hlavní úkoly pověřence pro ochranu údajů.

KAPITOLA V – PŘEDÁVÁNÍ OSOBNÍCH ÚDAJŮ DO TŘETÍCH ZEMÍ NEBO MEZINÁRODNÍM ORGANIZACÍM

Článek 47 dále navazuje na článek 9 (ES) nařízení č. 45/2001 a uvádí základní zásadu, v souladu s článkem 44 nařízení (EU) 2016/679, že předání osobních údajů do třetí země nebo mezinárodní organizaci, včetně dalšího předávání osobních údajů z dané třetí země nebo mezinárodní organizace do jiné třetí země nebo jiné mezinárodní organizaci je možné pouze při splnění ostatních ustanovení tohoto nařízení a podmínek stanovených v kapitole V.

Článek 48 stanoví, že k předání osobních údajů do třetí země nebo mezinárodní organizaci může dojít, jestliže Komise rozhodla podle čl. 45 odst. 3 nařízení (EU) 2016/679 o tom, že určitá třetí země, určité území či jedno nebo více konkrétních odvětví v určité třetí zemi nebo určitá mezinárodní organizace zajišťují odpovídající úroveň ochrany a osobní údaje jsou předány pouze za tím účelem, aby umožnily plnění úkolů, na které se vztahuje pravomoc správce. Odstavce 2 a 3 tohoto článku byly přejaty z článku 9 nařízení (ES) č. 45/2001, neboť představují užitečný prvek pro monitorování úrovně ochrany v třetích zemích a mezinárodních organizacích.

Článek 49 navazuje na článek 46 nařízení (EU) 2016/679 a vyžaduje, aby byly při předávání údajů do třetích zemí, u nichž Komise nepřijala rozhodnutí o odpovídající úrovni ochrany, uvedeny vhodné záruky, zejména standardní doložky o ochraně údajů a smluvní doložky. Zpracovatelé, kteří nejsou orgány a subjekty Unie, mohou v souladu s nařízením (EU) 679/2016 použít závazná podniková pravidla, kodexy chování a mechanismy pro vydávání osvědčení. Čtvrtý odstavec tohoto článku o povinnosti orgánů a subjektů Unie informovat evropského inspektora ochrany údajů o kategoriích případů, kdy použily tento článek, odpovídá čl. 9 odst. 8 nařízení (ES) č. 45/2001 a je převzat z důvodu jeho specifičnosti. Pátý odstavec zachovává právní účinky stávajících povolení stanovených v čl. 46 odst. 5 nařízení (EU) 2016/679.

Článek 50 objasňuje v souladu s článkem 48 nařízení (EU) 2016/679, že rozhodnutí soudního orgánu nebo rozhodnutí správního orgánu třetí země, jež požadují předání nebo zpřístupnění osobních údajů, lze jakýmkoli způsobem uznat nebo vymáhat, pouze pokud vycházejí z mezinárodní dohody, například úmluvy o vzájemné právní pomoci, která je v platnosti mezi žádající třetí zemí a Unií, aniž jsou dotčeny jiné důvody pro předání podle této kapitoly.

Článek 51 vychází z článku 49 nařízení (EU) 2016/679 a vyjmenovává a objasňuje výjimky pro předávání údajů. Uplatní se zejména v případech, kdy je předávání údajů požadované a nutné k ochraně důležitých důvodů veřejného zájmu, například v případech mezinárodního předávání údajů mezi příslušnými orgány pro hospodářskou soutěž, daňovými či celními správami nebo útvary příslušnými v oblasti sociálního zabezpečení nebo řízení rybolovu. Pátý odstavec o povinnosti uvědomit evropského inspektora ochrany údajů o kategoriích případů, u nichž byly uplatněny výjimky pro předávání údajů, odpovídá stávajícímu čl. 9 odst. 8 nařízení (ES) č. 45/2001.

Článek 52 je založen na článku 50 nařízení (EU) 2016/679 a výslovně předpokládá vypracování mechanismů pro mezinárodní spolupráci v zájmu ochrany osobních údajů mezi evropským inspektorem ochrany údajů, ve spolupráci s Komisí a Evropským sborem pro ochranu údajů, a dozorovými úřady třetích zemí.

KAPTIOLA VI – EVROPSKÝ INSPEKTOR OCHRANY ÚDAJŮ

Článek 53 vychází z článku 41 nařízení (ES) č. 45/2001 a týká se zřízení evropského inspektora ochrany údajů.

Článek 54 vychází z článku 42 nařízení (ES) č. 45/2001 a z článku 3 rozhodnutí 1247/2002/ES a stanoví pravidla pro jmenování evropského inspektora ochrany údajů Evropským parlamentem a Radou. Specifikuje rovněž jeho funkční období: pět let.

Článek 55 vychází z článku 43 nařízení (ES) č. 45/2001 a z článku 1 rozhodnutí 1247/2002/ES a stanoví úpravu a obecné podmínky výkonu funkce evropského inspektora ochrany údajů a jeho zaměstnanců a finanční zdroje.

Článek 56 vychází z článku 52 nařízení (EU) 2016/679 a článku 44 nařízení (ES) č. 45/2001 a objasňuje podmínky nezávislosti evropského inspektora ochrany údajů a zohledňuje judikaturu Soudního dvora Evropské unie.

Článek 57, založený na článku 45 nařízení (ES) č. 45/2001, stanoví povinnost mlčenlivosti pro evropského inspektora ochrany údajů během funkčního období a po jeho skončení, pokud jde o důvěrné informace, o nichž se dozvěděl během výkonu služebních povinností.

Článek 58 staví na článku 57 nařízení (EU) 2016/679 a článku 46 nařízení (ES) č. 45/2001 a vymezuje úkoly evropského inspektora ochrany údajů, včetně projednávání a prošetřování stížností a podpory zvyšování povědomí veřejnosti o rizicích, pravidlech, zárukách a právech.

Článek 59 je založen na článku 58 nařízení (EU) 2016/679 a článku 47 nařízení (ES) č. 45/2001 a stanoví pravomoci evropského inspektora ochrany údajů.

Článek 60 vychází z článku 59 nařízení (EU) 2016/679 a článku 48 nařízení (ES) č. 45/2001 a stanoví povinnost evropského inspektora ochrany údajů vypracovávat výroční zprávy o činnosti.

KAPITOLA VII – SPOLUPRÁCE A JEDNOTNOST

Článek 61 vychází z článku 61 nařízení (EU) 2016/679 a článku 46 písm. f) nařízení (ES) č. 45/2001 a zavádí výslovná pravidla pro spolupráci evropského inspektora ochrany údajů s vnitrostátními dozorovými úřady.

Článek 62 stanoví povinnosti evropského inspektora ochrany údajů, když jiné akty Unie odkazují na tento článek v rámci koordinovaného dozoru s vnitrostátními dozorovými úřady. Usiluje o to zavést jediný model koordinovaného dozoru. Tento model lze využít pro koordinovaný dozor nad velkými systémy IT, jako je Eurodac, Schengenský informační systém II, Vízový informační systém, celní informační systém nebo systém pro výměnu informací o vnitřním trhu, avšak rovněž pro dozor některých agentur Unie, které mají zavedený specifický model spolupráce mezi evropským inspektorem ochrany údajů a vnitrostátními orgány, jako např. Europol. Evropský sbor pro ochranu osobních údajů by měl být jediným fórem pro zajištění účinného koordinovaného dozoru napříč sborem.

KAPITOLA VIII – PRÁVNÍ OCHRANA, ODPOVĚDNOST A SANKCE

Článek 63 je založen na článku 77 nařízení (EU) 2016/679 a článku 32 nařízení (ES) č. 45/2001 a stanoví právo každého subjektu údajů podat stížnost k evropskému inspektorovi ochrany údajů. Stanoví rovněž povinnost evropského inspektora ochrany údajů stížnost projednat a informovat stěžovatele o pokroku v řešení stížnosti a jeho výsledku ve lhůtě tří měsíců, po jejímž uplynutí se stížnost považuje za zamítnutou.

Článek 64 zachovává ustanovení čl. 32 odst. 1 nařízení (ES) č. 45/2001 stanovující pravomoc Soudního dvora Evropské unie pro řešení všech sporů, které se týkají tohoto nařízení, včetně žalob na náhradu škody.

Článek 65 stanoví právo na náhradu, hmotné či nehmotné újmy, za podmínek, včetně odpovědnosti, stanovených ve Smlouvách.

Článek 66 vychází z článku 83 nařízení (EU) 2016/679 a přiznává evropskému inspektorovi ochrany údajů pravomoc ukládat správní pokuty orgánům a subjektům Unie jako krajní sankci, a to pouze jestliže orgán nebo subjekt Unie nesplnil příkaz evropského inspektora ochrany údajů uvedený v čl. 59 odst. 2 písm. a) až h) a j). Článek rovněž specifikuje kritéria pro rozhodování o výši správní pokuty v jednotlivých případech, přičemž maximální roční výše jsou inspirovány částkami pokut, které se uplatňují v některých členských státech.

Článek 67 umožňuje, v souladu s čl. 80 odst. 1 nařízení (EU) 2016/679, aby některé subjekty, organizace nebo sdružení podávaly stížnost jménem subjektu údajů.

Článek 68 stanoví, v souladu s článkem 33 nařízení (ES) č. 45/2001, zvláštní pravidla, jejichž cílem je chránit zaměstnance Unie, kteří podají stížnost k evropskému inspektorovi ochrany údajů na údajné porušení ustanovení tohoto nařízení, aniž by postupovali úředními cestami.

Článek 69 vychází z článku 49 nařízení (ES) č. 45/2001 a stanoví sankce za porušení povinností vyplývajících z tohoto nařízení ze strany úředníků a jiných zaměstnanců Unie.

KAPITOLA IX – PROVÁDĚCÍ AKTY

Článek 70 obsahuje ustanovení týkající se postupu projednávání ve výboru potřebného pro svěření prováděcích pravomocí Komisi v případech, kdy jsou podle článku 291 SFEU pro provedení právně závazných aktů Unie nezbytné jednotné podmínky. Použije se přezkumný postup.

KAPITOLA X – ZÁVĚREČNÁ USTANOVENÍ

Článek 71 zrušuje nařízení (ES) č. 45/2001 a rozhodnutí č. 1247/2002/ES a stanoví, že odkazy na tyto dva zrušené nástroje se považují za odkazy na předkládané nařízení.

Článek 72 objasňuje, že stávající funkční období evropského inspektora ochrany údajů a zástupce inspektora není tímto nařízením dotčeno a že čl. 54 odst. 4, 5 a 7 a články 56 a 57 nařízení se vztahují na stávajícího zástupce inspektora do vypršení jeho funkčního období, tj. do 5. prosince 2019.

Článek 73 stanoví den 25. května 2018 za datum nabytí účinnosti tohoto nařízení v zájmu zajištění soudržnosti s datem použitelnosti nařízení (EU) 2016/679.

2017/0002 (COD)

Návrh

NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY

o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány, institucemi a jinými subjekty Unie a o volném pohybu těchto údajů a o zrušení nařízení (ES) č. 45/2001 a rozhodnutí č. 1247/2002/ES

EVROPSKÝ PARLAMENT A RADA EVROPSKÉ UNIE,

s ohledem na Smlouvu o fungování Evropské unie, a zejména na čl. 16 odst. 2 této smlouvy,

s ohledem na návrh Evropské komise,

po postoupení návrhu legislativního aktu vnitrostátním parlamentům,

s ohledem na stanovisko Evropského hospodářského a sociálního výboru 10 ,

v souladu s řádným legislativním postupem,

vzhledem k těmto důvodům:

(1)Ochrana fyzických osob v souvislosti se zpracováním osobních údajů je základním právem. Ustanovení čl. 8 odst. 1 Listiny základních práv Evropské unie (dále jen „Listina“) a čl. 16 odst. 1 Smlouvy o fungování Evropské unie (dále jen „SFEU“) přiznávají každému právo na ochranu osobních údajů, které se jej týkají.

(2)Nařízení Evropského parlamentu a Rady (ES) č. 45/2001 11 přiznává fyzickým osobám právně vymahatelná práva, vymezuje povinnosti správců údajů při zpracovávání údajů v orgánech a subjektech Společenství a vytváří nezávislý dozorový orgán, evropského inspektora ochrany údajů, který zodpovídá za dozor nad zpracováním osobních údajů orgány a subjekty Unie. Nevztahuje se však na zpracování osobních údajů při činnostech orgánů a subjektů Unie, které nespadají do působnosti práva Unie.

(3)Nařízení Evropské parlamentu a Rady (EU) 2016/679 12 a směrnice Evropského parlamentu a Rady (EU) 2016/680 13 byly přijaty dne 27. dubna 2016. Zatímco nařízení stanoví obecná pravidla na ochranu fyzických osob v souvislosti se zpracováním osobních údajů a na zajištění volného pohybu osobních údajů v Unii, směrnice stanoví specifická pravidla na ochranu fyzických osob v souvislosti se zpracováním osobních údajů a na zajištění volného pohybu osobních údajů v Unii v oblastech justiční spolupráce v trestních věcech a policejní spolupráce.

(4)Nařízení (EU) 2016/679 zdůrazňuje nutnost nezbytných úprav nařízení (ES) č. 45/2001 s cílem zajistit pevný a soudržný rámec pro ochranu osobních údajů na úrovni Unie a umožnit jeho uplatňování současně s nařízením (EU) 2016/679.

(5)V zájmu soudržného přístupu k ochraně osobních údajů v rámci celé Unie je, aby byla v nejvyšší možné míře sladěna pravidla pro ochranu údajů pro orgány a jiné subjekty Unie s pravidly přijatými pro veřejný sektor v členských státech. Kdekoliv ustanovení tohoto nařízení vycházejí ze stejného konceptu jako ustanovení nařízení (EU) 2016/679, měla by být obě ustanovení vykládána jednotně, neboť režim tohoto nařízení by měl být chápán zejména jako rovnocenný režimu nařízení (EU) 2016/679.

(6)Osoby, jejichž osobní údaje jsou v jakémkoliv kontextu zpracovávány orgány a subjekty Unie, například protože jsou zaměstnány těmito orgány a subjekty, by měly být chráněny. Toto nařízení by se nemělo vztahovat na osobní údaje zesnulých osob. Toto nařízení se nevztahuje na zpracování osobních údajů právnických osob, a zejména podniků vytvořených jako právnické osoby, včetně názvu, právní formy a kontaktních údajů právnické osoby.

(7)S cílem zabránit vzniku vážného rizika obcházení by ochrana fyzických osob měla být technologicky neutrální a nezávislá na použitých technologiích. Ochrana fyzických osob by se měla vztahovat jak na automatizované zpracování osobních údajů, tak na manuální zpracování, pokud jsou tyto údaje uloženy v evidenci nebo do ní mají být vloženy. Záznamy nebo soubory záznamů ani jejich titulní strany, které nejsou uspořádány podle určených hledisek, by do oblasti působnosti tohoto nařízení spadat neměly.

(8)V prohlášení č. 21 o ochraně osobních údajů v oblasti justiční spolupráce v trestních věcech a policejní spolupráce, připojeném k závěrečnému aktu mezivládní konference, která přijala Lisabonskou smlouvu, konference uznala, že zvláštní pravidla pro ochranu osobních údajů a volný pohyb osobních údajů v oblastech justiční spolupráce v trestních věcech a policejní spolupráce, založená na článku 16 Smlouvy o fungování EU, by se mohla vzhledem ke specifické povaze těchto oblastí ukázat jako nezbytná. Toto nařízení by se proto mělo vztahovat na subjekty Unie vykonávající činnosti v oblasti justiční spolupráce v trestních věcech a policejní spolupráce, pouze pokud právo Unie použitelné na tyto subjekty neobsahuje zvláštní pravidla pro zpracování osobních údajů.

(9)Směrnice (EU) 2016/680 stanoví harmonizovaná pravidla pro ochranu a pohyb osobních údajů zpracovávaných za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení. Aby byla podpořena stejná úroveň ochrany fyzických osob prostřednictvím právně vymahatelných práv v celé Unii a zamezilo se rozdílům bránícím výměně osobních údajů mezi subjekty Unie vykonávajícími činnosti v oblasti justiční spolupráce v trestních věcech a policejní spolupráce a příslušnými orgány členských států, měla by pravidla ochrany a volného pohybu operativních osobních údajů zpracovávaných takovými subjekty Unie vycházet ze zásad, na kterých je založeno toto nařízení, a být v souladu se směrnicí (EU) 2016/680.

(10)Jestliže zřizovací akt subjektu Unie vykonávajícího činnosti, které spadají do působnosti kapitol 4 a 5 hlavy V Smlouvy, stanoví samostatný režim ochrany údajů pro zpracování operativních osobních údajů, neměl by být takový režim tímto nařízením dotčen. Komise by však měla v souladu s článkem 62 směrnice (EU) 2016/680 přezkoumat akty Unie, které upravují zpracování údajů příslušnými orgány pro účely prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení, a v případě potřeby učinit nezbytné návrhy na změnu těchto aktů, aby byl zaručen soudržný přístup k ochraně osobních údajů v oblasti justiční spolupráce v trestních věcech a policejní spolupráce.

(11)Zásady ochrany údajů by se měly uplatňovat na všechny informace týkající se identifikované nebo identifikovatelné fyzické osoby. Osobní údaje, na něž byla uplatněna pseudonymizace a jež by mohly být přiřazeny fyzické osobě na základě dodatečných informací, by měly být považovány za informace o identifikovatelné fyzické osobě. Při určování, zda je fyzická osoba identifikovatelná, by se mělo přihlédnout ke všem prostředkům, jako je například výběr vyčleněním, o nichž lze rozumně předpokládat, že je správce nebo jiná osoba použijí pro přímou či nepřímou identifikaci dané fyzické osoby. Ke stanovení toho, zda lze rozumně předpokládat použití prostředků k identifikaci fyzické osoby, by měly být vzaty v úvahu všechny objektivní faktory, jako jsou náklady a čas, které si identifikace vyžádá, s přihlédnutím k technologii dostupné v době zpracování i k technologickému rozvoji. Zásady ochrany osobních údajů by se proto neměly vztahovat na anonymní informace, totiž informace, které se netýkají identifikované či identifikovatelné fyzické osoby, ani na osobní údaje anonymizované tak, že subjekt údajů není nebo již přestal být identifikovatelným. Toto nařízení se tedy netýká zpracování těchto anonymních informací, včetně zpracování pro statistické nebo výzkumné účely.

(12)Použití pseudonymizace osobních údajů může omezit rizika pro dotčené subjekty údajů a napomoci správcům a zpracovatelům splnit jejich povinnosti týkající se ochrany údajů. Výslovné zavedení „pseudonymizace“ v tomto nařízení nemá za cíl předem vyloučit jakákoliv další opatření týkající se ochrany údajů.

(13)Fyzickým osobám mohou být přiřazeny síťové identifikátory, které využívají jejich zařízení, aplikace, nástroje a protokoly, jako například adresy internetového protokolu či identifikátory cookies, nebo jiné identifikátory, jako jsou štítky pro identifikaci na základě rádiové frekvence. Tímto způsobem mohou být zanechány stopy, které mohou být zejména v kombinaci s jedinečnými identifikátory a dalšími informacemi, které servery získávají, použity k profilování fyzických osob a k jejich identifikaci.

(14)Souhlas by měl být dán jednoznačným potvrzením, které je vyjádřením svobodného, konkrétního, informovaného a jednoznačného svolení subjektu údajů ke zpracování osobních údajů, které se jej týkají, a to v podobě písemného prohlášení, i učiněného elektronicky, nebo ústního prohlášení. Mohlo by se například jednat o zaškrtnutí políčka při návštěvě internetové stránky, volbu technického nastavení pro služby informační společnosti nebo jiné prohlášení či jednání, které v této souvislosti jasně signalizuje souhlas subjektu údajů s navrhovaným zpracováním jeho osobních údajů. Mlčení, předem zaškrtnutá políčka nebo nečinnost by tudíž neměly být považovány za souhlas. Souhlas by se měl vztahovat na veškeré činnosti zpracování prováděné pro stejný účel nebo stejné účely. Jestliže má zpracování několik účelů, měl by být souhlas udělen pro všechny. Má-li subjekt údajů vyjádřit souhlas na základě žádosti podané elektronickými prostředky, musí být žádost jasná a stručná a nesmí zbytečně narušit využívání služby, pro kterou je souhlas dáván.

(15)Jakékoliv zpracování osobních údajů by mělo být prováděno zákonným a spravedlivým způsobem. Pro fyzické osoby by mělo být transparentní, že osobní údaje, které se jich týkají, jsou shromažďovány, používány, konzultovány nebo jinak zpracovávány, jakož i v jakém rozsahu tyto osobní údaje jsou či budou zpracovány. Zásada transparentnosti vyžaduje, aby všechny informace a všechna sdělení týkající se zpracování těchto osobních údajů byly snadno přístupné a srozumitelné a podávané za použití jasných a jednoduchých jazykových prostředků. Tato zásada se dotýká zejména informování subjektů údajů o totožnosti správce a účelech zpracování a o dalších informacích v zájmu zajištění spravedlivého a transparentního zpracování, pokud jde o dotčené fyzické osoby a jejich právo získat potvrzení a sdělení zpracovávaných osobních údajů, které se jich týkají. Fyzické osoby by měly být upozorněny na to, jaká rizika, pravidla, záruky a práva existují v souvislosti se zpracováním osobních údajů a jak mají v souvislosti s tímto zpracováním uplatňovat svá práva. Zejména je zapotřebí, aby konkrétní účely, pro které jsou osobní údaje zpracovávány, byly jednoznačné a legitimní a aby byly stanoveny v okamžiku shromažďování osobních údajů. Osobní údaje by měly být přiměřené, relevantní a omezené na to, co je nezbytné z hlediska účelů, pro které jsou zpracovávány. Je nezbytné zejména zajistit, aby byla doba, po kterou jsou osobní údaje uchovávány, omezena na nezbytné minimum. Osobní údaje by měly být zpracovány pouze tehdy, nemůže-li být účelu zpracování přiměřeně dosaženo jinými prostředky. Aby se zajistilo, že osobní údaje nebudou uchovávány déle, než je nezbytné, měl by správce stanovit lhůty pro výmaz nebo pravidelný přezkum. Měla by být přijata veškerá vhodná opatření, aby nepřesné osobní údaje byly opraveny nebo vymazány. Osobní údaje by měly být zpracovávány způsobem, který zaručí náležitou bezpečnost a důvěrnost těchto údajů, mimo jiné za účelem zabránění neoprávněnému přístupu k osobním údajům a k zařízení používanému k jejich zpracování nebo jejich neoprávněnému použití.

(16)V souladu se zásadou odpovědnosti, jestliže orgány a subjekty Unie předávají osobní údaje v rámci orgánu nebo subjektu Unie nebo mezi orgány a subjekty Unie, měly by ověřit, zda jsou tyto osobní údaje vyžadovány pro legitimní výkon úkolů spadajících do pravomoci příjemce, není-li příjemce součást správce. Po žádosti příjemce o předání osobních údajů by správce měl zejména ověřit, že existuje relevantní důvod zákonného zpracování osobních údajů příjemcem, pravomoc příjemce a provést předběžné hodnocení nezbytnosti předání údajů. Vzniknou-li pochybnosti, zda je předání nezbytné, měl by správce požádat příjemce o doplňující informace. Příjemce by měl zajistit, aby mohla být nezbytnost předání údajů následně ověřena.

(17)Aby bylo zpracování zákonné, měly by být osobní údaje zpracovávány na základě nezbytnosti splnění úkolu prováděného orgány a subjekty Unie ve veřejném zájmu nebo při výkonu veřejné moci, nezbytnosti dodržení zákonné povinnosti, která se na správce vztahuje, nebo s ohledem na nějaký jiný legitimní základ stanovený v tomto nařízení, včetně souhlasu dotčeného subjektu údajů, nebo nezbytnosti plnění smlouvy, jejíž stranou je subjekt údajů, nebo za účelem přijetí opatření na žádost subjektu údajů před uzavřením smlouvy. Zpracování osobních údajů orgány a subjekty Unie za účelem plnění úkolů veřejného zájmu zahrnuje zpracování osobních údajů nezbytných pro řízení a fungování těchto orgánů a institucí. Zpracování osobních údajů by mělo být rovněž považováno za zákonné, pokud je nezbytné pro ochranu životně důležitého zájmu subjektu údajů nebo jiné fyzické osoby. Zpracování osobních údajů na základě životně důležitého zájmu jiné fyzické osoby by mělo v zásadě proběhnout pouze tehdy, pokud zjevně nemůže být založeno na jiném právním základě. Některé druhy zpracování mohou sloužit jak důležitým důvodům veřejného zájmu, tak životně důležitým zájmům subjektu údajů, například je-li zpracování nezbytné pro humanitární účely, včetně monitorování epidemií a jejich šíření nebo v naléhavých humanitárních situacích, zejména v případech přírodních a člověkem způsobených katastrof.

(18)Právo Unie i vnitřní předpisy uvedené v tomto nařízení by měly být jasné a přesné a jejich použití by mělo být předvídatelné pro osoby, na něž se vztahují, jak to vyžaduje judikatura Soudního dvora Evropské unie a Evropského soudu pro lidská práva.

(19)Zpracování osobních údajů pro jiné účely, než jsou ty, pro které byly osobní údaje původně shromážděny, by mělo být povoleno pouze v případě, kdy je slučitelné s účely, pro které byly osobní údaje původně shromážděny. V takovém případě není třeba právní základ odlišný od toho, který umožnil shromáždění osobních údajů. Pokud je zpracování nezbytné ke splnění úkolu prováděného ve veřejném zájmu či při výkonu veřejné moci, kterým je pověřen správce, mohou být v právu Unie určeny a vymezeny úkoly a účely, pro které se další zpracování považuje za slučitelné a zákonné. Další zpracování pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely by mělo být považováno za slučitelnou zákonnou operaci zpracování. Právní základ pro zpracování osobních údajů podle práva Unie může rovněž posloužit jako právní základ pro další zpracování. S cílem zjistit, zda je účel dalšího zpracování slučitelný s účelem, pro který byly osobní údaje původně shromážděny, by měl správce, po splnění všech požadavků na zákonnost původního zpracování, vzít mimo jiné v úvahu jakoukoliv vazbu mezi těmito účely a účely zamýšleného dalšího zpracování, kontext, v němž byly osobní údaje shromážděny, zejména přiměřená očekávání ohledně dalšího použití osobních údajů, která mají subjekty údajů na základě svého vztahu se správcem, povahu osobních údajů, důsledky zamýšleného dalšího zpracování pro subjekty údajů a existenci vhodných záruk jak během původních, tak během zamýšlených dalších operací zpracování.

(20)Pokud je zpracování založeno na souhlasu subjektu údajů, měl by být správce schopen prokázat, že subjekt údajů vyjádřil s danou operací zpracování souhlas. Zejména v případě písemného prohlášení souvisejícího s jinou skutečností by mělo být pomocí záruk zajištěno, že si je subjekt údajů vědom toho, že dává souhlas a v jakém rozsahu. V souladu se směrnicí Rady 93/13/EHS 14 by prohlášení o souhlasu navržené správcem mělo být poskytnuto ve srozumitelném a snadno přístupném znění za použití jasného a jednoduchého jazyka a nemělo by obsahovat nepřiměřené podmínky. Aby se zajistilo, že souhlas bude informovaný, měl by subjekt údajů znát alespoň totožnost správce a účely zpracování, k nimž jsou jeho osobní údaje určeny. Souhlas by neměl být považován za svobodný, pokud subjekt údajů nemá skutečnou nebo svobodnou volbu nebo nemůže souhlas odmítnout nebo odvolat, aniž by byl poškozen.

(21)Děti zasluhují zvláštní ochranu osobních údajů, protože si mohou být méně vědomy dotčených rizik, důsledků a záruk a svých práv v souvislosti se zpracováním osobních údajů. Tato zvláštní ochrana by se měla zejména vztahovat na vytváření osobnostních profilů a shromažďování osobních údajů týkajících se dětí při využívání služeb nabízených přímo dětem na internetových stránkách orgánů a subjektů Unie, jako jsou mezilidské komunikační služby nebo prodej vstupenek na internetu nebo při zpracování osobních údajů na základě souhlasu.

(22)Jestliže příjemci, kteří jsou usazeni v Unii a na které se vztahuje nařízení (EU) 2016/679 nebo směrnice (EU) 2016/680, by chtěli, aby jim orgány a subjekty Unie předaly osobní údaje, musí prokázat, že předání je nezbytné pro dosažení jejich cílů, je přiměřené a nepřekračuje rámec toho, co je nezbytné pro dosažení těchto cílů. Orgány a subjekty Unie by měly tuto nezbytnost prokázat, pokud samy dávají podnět k předání, v souladu se zásadou transparentnosti.

(23)Osobní údaje, které jsou svou povahou obzvláště citlivé z hlediska základních práv a svobod, zasluhují zvláštní ochranu, jelikož by při jejich zpracování mohla vzniknout závažná rizika pro základní práva a svobody. Mezi tyto osobní údaje by měly patřit osobní údaje vypovídající o rasovém či etnickém původu, ovšem s tím, že použití slov „rasový původ“ v tomto nařízení neznamená, že Unie akceptuje teorie, které se pokoušejí určit existenci různých lidských ras. Zpracování fotografií by nemělo být systematicky považováno za zpracování zvláštních kategorií osobních údajů, neboť na fotografie se definice biometrických údajů vztahuje pouze v případech, kdy jsou zpracovávány zvláštními technickými prostředky umožňujícími jedinečnou identifikaci nebo autentizaci fyzické osoby. Společně se zvláštními požadavky na zpracování citlivých údajů by se měly uplatňovat obecné zásady a další pravidla tohoto nařízení, zejména pokud jde o podmínky pro zákonné zpracování. Odchylky od obecného zákazu zpracování těchto zvláštních kategorií osobních údajů by měly být výslovně stanoveny mimo jiné v případě, kdy subjekt údajů poskytuje svůj výslovný souhlas nebo jde-li o zvláštní potřeby, zejména pokud je toto zpracování prováděno v průběhu oprávněných činností některých sdružení či nadací, jejichž cílem je umožnit výkon základních svobod.

(24)Z důvodů veřejného zájmu v oblasti veřejného zdraví může být nezbytné zpracovávat zvláštní kategorie osobních údajů bez souhlasu subjektu údajů. Toto zpracování by mělo podléhat vhodným a zvláštním opatřením s cílem chránit práva a svobody fyzických osob. V této souvislosti by mělo být „veřejné zdraví“ vykládáno ve smyslu definice v nařízení Evropského parlamentu a Rady (ES) č. 1338/2008 15 , totiž jako veškeré prvky týkající se zdraví, zejména zdravotní stav včetně nemocnosti a zdravotního postižení, determinanty ovlivňující tento zdravotní stav, potřeby zdravotní péče, prostředky přidělené na zdravotní péči, poskytování zdravotní péče a její všeobecná dostupnost, výdaje na zdravotní péči a její financování a příčiny úmrtnosti. Takové zpracování údajů o zdravotním stavu z důvodu veřejného zájmu by nemělo vést k tomu, aby třetí strany zpracovávaly osobní údaje pro jiné účely.

(25)Pokud správce zpracovává osobní údaje, které mu neumožňují identifikovat fyzickou osobu, neměl by být povinen získat dodatečné informace pro zjištění totožnosti subjektu údajů výlučně za účelem dosažení souladu s některým ustanovením tohoto nařízení. Správce by však neměl odmítnout převzít dodatečné informace poskytnuté subjektem údajů s cílem podpořit výkon jeho práv. Součástí identifikace by měla být digitální identifikace subjektu údajů, například prostřednictvím mechanismu autentizace na základě stejných pověřovacích údajů, které subjekt údajů používá pro přihlášení k on-line službám poskytovaným správcem údajů.

(26)Zpracování osobních údajů pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely by mělo podléhat vhodným zárukám týkajícím se práv a svobod subjektu údajů podle tohoto nařízení. Tyto záruky by měly zajistit, aby byla zavedena technická a organizační opatření, zejména s cílem zajistit dodržování zásady minimalizace údajů. Další zpracování osobních údajů pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely má být provedeno, pokud správce usoudil, že je možné splnit tyto účely na základě zpracování osobních údajů, které neumožňují nebo již neumožňují identifikaci subjektů údajů, za podmínky existence vhodných záruk (jako je například pseudonymizace údajů). Orgány a jiné subjekty Unie by měly stanovit vhodné záruky v právu Unie, a to i případně ve vnitřních předpisech, týkající se zpracování osobních údajů pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely.

(27)Je třeba stanovit postupy, které by usnadnily výkon práv subjektů údajů podle tohoto nařízení, včetně mechanismů pro podávání žádostí a případně bezplatného obdržení přístupu k osobním údajům a opravy nebo výmazu osobních údajů a pro uplatnění práva vznést námitku. Správce by měl rovněž zajistit podmínky pro to, aby žádosti mohly být podávány elektronicky, zejména v případě zpracování osobních údajů elektronickými prostředky. Správci by měla být uložena povinnost reagovat na žádosti subjektu údajů bez zbytečného odkladu a nejpozději do jednoho měsíce a uvést důvody v případě, že nemá v úmyslu těmto žádostem vyhovět.

(28)Zásady spravedlivého a transparentního zpracování vyžadují, aby byl subjekt údajů informován o probíhající operaci zpracování a jejím účelu. Správce by měl subjektu údajů poskytnout veškeré další informace nezbytné pro zajištění spravedlivého a transparentního zpracování, s přihlédnutím ke konkrétním okolnostem a kontextu, v němž jsou osobní údaje zpracovávány. Subjekt údajů by měl být dále informován o profilování a o jeho důsledcích. Pokud jsou osobní údaje získávány od subjektu údajů, měl by subjekt údajů být rovněž informován, zda je povinen tyto údaje poskytnout, a o důsledcích jejich případného neposkytnutí. Tyto informace mohou být doplněny standardizovanými ikonami s cílem poskytnout snadno viditelným, srozumitelným a jasně čitelným způsobem smysluplný přehled o zamýšleném zpracování. Pokud jsou ikony prezentovány v elektronické podobě, měly by být strojově čitelné.

(29)Informování subjektu údajů o tom, že jsou zpracovávány jeho osobní údaje, by mělo proběhnout v okamžiku jejich shromáždění od subjektu údajů, nebo pokud jsou získávány z jiného zdroje, v přiměřené lhůtě v závislosti na okolnostech případu. Jestliže mohou být osobní údaje oprávněně sděleny jinému příjemci, měl by být subjekt údajů informován o jejich prvním sdělení tomuto příjemci. Pokud správce hodlá osobní údaje zpracovat pro jiný účel, než je účel, pro který byly shromážděny, měl by poskytnout subjektu údajů informace o tomto jiném účelu a další nezbytné informace ještě před uvedeným dalším zpracováním. Pokud z důvodu využití různých zdrojů nemůže být subjektu údajů sdělen původ osobních údajů, měly by být poskytnuty obecné informace.

(30)Subjekt údajů by měl mít právo na přístup ke shromážděným osobním údajům, které se ho týkají, a měl by moci toto právo snadno a v přiměřených odstupech uplatňovat, aby byl o jejich zpracování informován a mohl si ověřit jeho zákonnost. To zahrnuje právo subjektů údajů na přístup k údajům o svém zdravotním stavu, například k údajům ve své lékařské dokumentaci, která obsahuje například informace o diagnóze, výsledky vyšetření, posudky ošetřujících lékařů a údaje o veškeré léčbě a provedených ošetřeních nebo zákrocích. Každý subjekt údajů by proto měl mít právo vědět a být informován zejména o tom, za jakým účelem se osobní údaje zpracovávají, případně období, po které budou uchovávány, kdo jsou příjemci osobních údajů, v čem spočívá logika automatizovaného zpracování osobních údajů a jaké mohou být důsledky takového zpracování přinejmenším v případech, kdy je zpracování založeno na profilování. Tímto právem by neměla být nepříznivě dotčena práva ani svobody ostatních, například obchodní tajemství nebo duševní vlastnictví a zejména autorské právo chránící programové vybavení. Zohlednění těchto skutečností by ovšem nemělo vést k tomu, že by subjektu údajů bylo odepřeno poskytnutí všech informací. Pokud správce zpracovává velké množství informací týkajících se subjektu údajů, měl by mít možnost před poskytnutím informací požádat subjekt údajů, aby konkrétně uvedl, kterých informací nebo činností zpracování se jeho žádost týká.

(31)Subjekt údajů by měl mít právo na opravu osobních údajů, které se ho týkají, a „právo být zapomenut“, pokud uchovávání těchto údajů porušuje toto nařízení nebo právo Unie, které se na správce vztahuje. Subjekt údajů by měl mít právo na to, aby jeho osobní údaje byly vymazány a nebyly dále zpracovávány, pokud již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány, pokud subjekt údajů odvolal svůj souhlas se zpracováním nebo pokud vznesl námitku proti zpracování osobních údajů, které se jej týkají, anebo pokud je zpracování jeho osobních údajů v rozporu s tímto nařízením z jiných důvodů. Toto právo je obzvláště důležité v případech, kdy subjekt údajů dal svůj souhlas v dětském věku a nebyl si plně vědom rizik spojených se zpracováním a později chce tyto osobní údaje zejména na internetu odstranit. Subjekt údajů by měl mít možnost toto právo uplatnit bez ohledu na skutečnost, že již není dítě. Další uchovávání osobních údajů by však mělo být zákonné, pokud je to nezbytné k uplatnění práva svobody projevu a informací, z důvodu splnění právní povinnosti, provádění určitého úkolu ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce, z důvodů veřejného zájmu v oblasti veřejného zdraví, pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely nebo pro určení, výkon nebo obhajobu právních nároků.

(32)Aby bylo v internetovém prostředí posíleno právo být zapomenut, mělo by být rozšířeno právo na výmaz tím, že by správce, který zveřejnil osobní údaje, měl povinnost informovat správce, kteří osobní údaje zpracovávají, aby vymazali veškeré odkazy na dané osobní údaje či veškeré jejich kopie nebo replikace. Přitom by měl správce učinit vhodné kroky, s přihlédnutím k dostupné technologii a prostředkům, které má k dispozici, včetně uplatňování technických opatření, s cílem informovat správce, kteří tyto osobní údaje zpracovávají, o žádosti subjektu údajů.

(33)Způsoby, jak omezit zpracování osobních údajů, by mohly mimo jiné zahrnovat dočasný přesun vybraných údajů do jiného systému zpracování, znepřístupnění vybraných osobních údajů uživatelům nebo dočasné odstranění zveřejněných údajů z internetových stránek. V systémech automatizovaného zpracování by omezení zpracování mělo být v zásadě zajištěno technickými prostředky tak, aby se na osobní údaje již nevztahovaly žádné další operace zpracování a aby nemohly být změněny. Skutečnost, že zpracování osobních údajů je omezeno, by měla být v systému jasně vyznačena.

(34)Aby měl subjekt údajů větší kontrolu nad svými údaji, měl by v případě, kdy se osobní údaje zpracovávají automatizovaně, mít též právo získat osobní údaje, které se ho týkají, a jež poskytl správci, ve strukturovaném, běžně používaném, strojově čitelném a interoperabilním formátu a předat je jinému správci. Správce údajů je třeba podporovat v rozvíjení interoperabilních formátů umožňujících přenositelnost údajů. Toto právo by se mělo uplatnit v případě, kdy subjekt údajů poskytl osobní údaje na základě svého souhlasu, nebo pokud je zpracování potřebné za účelem plnění smlouvy. Proto by se nemělo uplatňovat v případě, kdy je zpracování osobních údajů nezbytné pro splnění právní povinnosti, která se na správce vztahuje, nebo pro vykonání úkolu ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce. Právo subjektu údajů předat nebo obdržet osobní údaje, které se ho týkají, by nemělo zakládat povinnost správců zavést nebo zachovávat technicky kompatibilní systémy zpracování. Pokud se určitý soubor osobních údajů týká více než jednoho subjektu údajů, neměla by právem obdržet osobní údaje být dotčena práva a svobody jiných subjektů údajů podle tohoto nařízení. Tímto právem by dále nemělo být dotčeno právo subjektu údajů dosáhnout výmazu osobních údajů a omezení uvedeného práva, jak je stanoveno v tomto nařízení, a zejména by toto právo nemělo znamenat výmaz osobních údajů týkajících se daného subjektu údajů, které tento subjekt údajů poskytl v rámci plnění smlouvy, v rozsahu, v němž jsou tyto osobní údaje nezbytné pro plnění dané smlouvy, a po dobu nezbytně nutnou pro toto plnění. Pokud je to technicky možné, měl by mít subjekt údajů právo na to, aby osobní údaje byly předány přímo jedním správcem správci druhému.

(35)Pokud mohou být osobní údaje zákonně zpracovávány, protože je toto zpracování nezbytné pro výkon úkolů vykonávaných ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce, měl by každý dotčený subjekt údajů přesto mít právo vznést námitku proti zpracování osobních údajů, které se týkají jeho konkrétní situace. Mělo by být povinností správce, aby prokázal, že jeho závažný oprávněný zájem převažuje nad zájmy nebo základními právy a svobodami subjektu údajů.

(36)Subjekt údajů by měl mít právo nebýt předmětem žádného rozhodnutí, a to včetně opatření, které hodnotí osobní aspekty týkající se jeho osoby, vychází výlučně z automatizovaného zpracování a které má pro něj právní účinky nebo se jej podobně významně dotýká, jako jsou postupy elektronického náboru bez jakéhokoliv lidského zásahu. Takové zpracování zahrnuje „profilování“, jehož podstatou je jakákoliv forma automatizovaného zpracování osobních údajů hodnotící osobní aspekty vztahující se k fyzické osobě, zejména za účelem analýzy či předvídání aspektů souvisejících s pracovním výkonem subjektu údajů, jeho ekonomickou situací, zdravotním stavem, osobními preferencemi nebo zájmy, spolehlivostí nebo chováním, místem pobytu či pohybu, pokud má pro něj právní účinky nebo se jí podobným způsobem významně dotýká. Rozhodování založené na takovém zpracování, včetně profilování, by však mělo být umožněno, pokud jej výslovně povoluje právo Unie. V každém případě by se na takové zpracování měly vztahovat vhodné záruky, které by měly zahrnovat konkrétní informování subjektu údajů a právo na lidský zásah, na vyjádření svého názoru, na získání vysvětlení o rozhodnutí učiněném po takovém posouzení a na napadnutí tohoto rozhodnutí. Toto opatření by se nemělo týkat dítěte. V zájmu zajištění spravedlivého a transparentního zpracování ve vztahu k subjektu údajů a s přihlédnutím ke konkrétním okolnostem a souvislostem, za kterých se dané osobní údaje zpracovávají, by měl správce použít vhodné matematické nebo statistické postupy profilování, zavést technická a organizační opatření, která zejména zajistí opravu faktorů vedoucích k nepřesnosti osobních údajů a minimalizaci rizika chyb, a zabezpečit osobní údaje takovým způsobem, který zohledňuje potenciální rizika pro zájmy a práva subjektu údajů a který mimo jiné předchází diskriminačním účinkům vůči fyzickým osobám na základě rasy nebo etnického původu, politických názorů, náboženského vyznání nebo přesvědčení, členství v odborech, genetických údajů nebo zdravotního stavu či sexuální orientace nebo předchází přijímání opatření, jež mají takové účinky. Automatizované rozhodování a profilování založené na zvláštních kategoriích osobních údajů by mělo být povoleno pouze za určitých podmínek.

(37)Právní akty přijaté na základě Smluv nebo vnitřní předpisy orgánů a subjektů Unie mohou uložit omezení určitých zásad a práva na informace, na přístup a na opravu nebo na výmaz osobních údajů, práva na přenositelnost osobních údajů, důvěrnost elektronických komunikací, jakož i omezení týkající se oznamování případů porušení zabezpečení osobních údajů subjektu údajů nebo určitých souvisejících povinností správců, pokud je to v demokratické společnosti nutné a přiměřené pro zachování veřejné bezpečnosti, prevenci, vyšetřování a stíhání trestných činů nebo výkon trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení, mimo jiné pro ochranu lidských životů, zejména v reakci na přírodní nebo člověkem způsobené katastrofy, pro vnitřní bezpečnost orgánů a subjektů Unie, jiné významné cíle obecného veřejného zájmu Unie nebo členského státu, zejména jedná-li se o důležitý hospodářský či finanční zájem Unie nebo členského státu, vedení veřejných rejstříků z důvodů obecného veřejného zájmu, nebo s ohledem na ochranu subjektu údajů či práv a svobod ostatních, včetně sociální ochrany, veřejného zdraví a humanitárních účelů.

Jestliže omezení není stanoveno v právních aktech přijatých na základě Smluv nebo ve vnitřních předpisech orgánů a subjektů Unie, mohou ve specifických případech orgány a subjekty Unie uložit omezení ad hoc týkající se specifických zásad a práv subjektu údajů, pokud omezení respektuje podstatu základních práv a svobod v souvislosti s konkrétní operací zpracování a představuje nezbytné a přiměřené opatření v demokratické společnosti s cílem zajistit splnění jednoho či více cílů uvedených v odstavci 1. Omezení by měla být oznámena příslušnému pověřenci pro ochranu údajů. Všechna omezení by měla být v souladu s požadavky stanovenými v Listině a v Evropské úmluvě o ochraně lidských práv a základních svobod.

(38)Měla by být stanovena odpovědnost správce za jakékoliv zpracování osobních údajů prováděné správcem nebo jeho jménem. Správce by měl být zejména povinen zavést vhodná a účinná opatření a být schopen doložit, že činnosti zpracování jsou v souladu s tímto nařízením, včetně účinnosti opatření. Tato opatření by měla zohledňovat povahu, rozsah, kontext a účely zpracování a riziko pro práva a svobody fyzických osob. Různě pravděpodobná a závažná rizika pro práva a svobody fyzických osob mohou vyplynout ze zpracování osobních údajů, které by mohlo vést k fyzické, hmotné nebo nehmotné újmě, zejména v případech, kdy by zpracování mohlo vést k diskriminaci, krádeži či zneužití identity, finanční ztrátě, poškození pověsti, ztrátě důvěrnosti osobních údajů chráněných služebním tajemstvím, neoprávněnému zrušení pseudonymizace nebo jakémukoliv jinému významnému hospodářskému či společenskému znevýhodnění, kdy by subjekty údajů mohly být zbaveny svých práv a svobod nebo možnosti kontrolovat své osobní údaje, kdy jsou zpracovávány osobní údaje, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filosofickém přesvědčení nebo členství v odborech, kdy jsou zpracovávány genetické údaje či údaje o zdravotním stavu či sexuálním životě nebo o odsouzení v trestních věcech a trestných činech či souvisejících bezpečnostních opatřeních, kdy jsou za účelem vytvoření či využití osobních profilů vyhodnocovány osobní aspekty, zejména prostřednictvím analýzy nebo odhadu aspektů týkajících se pracovních výsledků, ekonomické situace, zdravotního stavu, osobních preferencí nebo zájmů, spolehlivosti nebo chování, místa pobytu a pohybu, kdy jsou zpracovávány osobní údaje zranitelných osob, především dětí, nebo kdy je zpracováván velký objem osobních údajů a zpracování se dotýká velkého počtu subjektů údajů. Pravděpodobnost a závažnost rizika pro práva a svobody subjektu údajů by měly být určeny na základě povahy, rozsahu, kontextu a účelů zpracování. Riziko by mělo být hodnoceno na základě objektivního posouzení, které stanoví, zda operace zpracování představují riziko či vysoké riziko.

(39)Pro ochranu práv a svobod fyzických osob v souvislosti se zpracováním osobních údajů je třeba přijmout vhodná technická a organizační opatření, aby se zajistilo splnění požadavků vyplývajících z tohoto nařízení. Aby správce mohl doložit soulad s tímto nařízením, měl by přijmout vnitřní předpisy a zavést opatření, která dodržují zejména zásady záměrné a standardní ochrany osobních údajů. Tato opatření by mohla mimo jiné spočívat v minimalizaci zpracování osobních údajů, co nejrychlejší pseudonymizaci osobních údajů, transparentnosti s ohledem na funkce a zpracování osobních údajů, umožnění subjektům údajů monitorovat zpracování osobních údajů a umožnění správcům vytvářet a zlepšovat bezpečnostní prvky. Zásady záměrné a standardní ochrany osobních údajů by rovněž měly být zohledněny v souvislosti s veřejnými zakázkami.

(40)Ochrana práv a svobod subjektů údajů i odpovědnost správců a zpracovatelů vyžadují, aby bylo jasně určeno, kdo má plnit jednotlivé povinnosti stanovené v tomto nařízení, včetně případů, kdy správce určuje účely a prostředky zpracování společně s jinými správci nebo kdy je operace zpracování prováděna jménem správce.

(41)Aby byl zajištěn soulad s požadavky tohoto nařízení v případě zpracování prováděného zpracovatelem jménem správce, měl by správce zpracováním pověřit pouze zpracovatele, kteří poskytují dostatečné záruky, zejména pokud jde o odborné znalosti, spolehlivost a zdroje, že zavedou technická a organizační opatření, která splňují požadavky tohoto nařízení, včetně požadavků na zabezpečení zpracování. Jednou z možností, jak prokázat, že zpracovatel, který není orgánem nebo subjektem Unie, plní povinnosti správce, může být dodržování schváleného kodexu chování nebo schváleného mechanismu pro vydávání osvědčení. Provádění zpracování zpracovatelem by se mělo řídit smlouvou nebo jiným právním aktem podle práva Unie nebo členského státu, které by zavazovaly zpracovatele vůči správci a v nichž by byl stanoven předmět a doba trvání zpracování, povaha a účely zpracování, typ osobních údajů a kategorie subjektů údajů, s přihlédnutím ke konkrétním úkolům a povinnostem zpracovatele v souvislosti se zpracováním, jež má být provedeno, a riziko pro práva a svobody subjektů údajů. Správce a zpracovatel by měli mít možnost se rozhodnout, že použijí individuální smlouvu nebo standardní smluvní ustanovení, které přijme buď přímo Komise, nebo evropský inspektor ochrany údajů a poté Komise. Po dokončení zpracování jménem správce by zpracovatel měl na základě rozhodnutí správce osobní údaje vrátit nebo vymazat, jestliže se nepožaduje uložení osobních údajů podle práva Unie nebo členského státu, které se na zpracovatele vztahuje.

(42)Aby doložili soulad s tímto nařízením, měli by správci vést záznamy o činnostech zpracování, za které odpovídají, a zpracovatelé by měli vést záznamy o kategoriích činností zpracovávání, za které odpovídají. Orgány a subjekty Unie by měly být povinny spolupracovat s evropským inspektorem ochrany údajů a na jeho žádost mu tyto záznamy zpřístupnit, aby na jejich základě mohly být tyto operace zpracování monitorovány. Orgány a subjekty Unie by měly mít možnost vytvořit centrální rejstřík záznamů svých činností zpracování. Z důvodů transparentnosti by rovněž měly mít možnost tento rejstřík zpřístupnit veřejnosti.

(43)V zájmu zachování bezpečnosti a zabránění zpracování, které by bylo v rozporu s tímto nařízením, by měl správce nebo zpracovatel posoudit rizika spojená se zpracováním a přijmout opatření ke zmírnění těchto rizik, například šifrování. Tato opatření by měla zajistit náležitou úroveň bezpečnosti, včetně důvěrnosti, s ohledem na stav techniky, náklady na provedení v souvislosti s rizikem a povahu osobních údajů, které mají být chráněny. Při posuzování rizik pro zabezpečení údajů by se měla vzít v úvahu rizika, která zpracování představuje, jako jsou náhodné nebo protiprávní zničení, ztráta, pozměnění, neoprávněné zpřístupnění nebo zpřístupnění předaných, uložených nebo jiným způsobem zpracovaných osobních údajů, které by mohly zejména vést k fyzické, hmotné nebo nehmotné újmě.

(44)Orgány a subjekty Unie by měly zajistit důvěrnost elektronické komunikace, jak ukládá článek 7 Listiny. Orgány a subjekty Unie by měly zajistit bezpečnost svých sítí elektronických komunikací, chránit informace týkající se koncových zařízení koncových uživatelů, kteří se připojují na veřejně přístupné internetové stránky a mobilní aplikace v souladu s nařízením (EU) XXXX/XX [nové nařízení o ochraně osobních údajů] a chránit osobní údaje v seznamech uživatelů.

(45) Není-li porušení zabezpečení osobních údajů řešeno náležitě a včas, může to fyzickým osobám způsobit fyzickou, hmotnou či nehmotnou újmu. Jakmile se tedy správce o porušení zabezpečení osobních údajů dozví, měl by je bez zbytečného odkladu, a je-li to možné, do 72 hodin poté, co se o něm dozvěděl, ohlásit evropskému inspektorovi ochrany údajů, ledaže může v souladu se zásadou odpovědnosti doložit, že je nepravděpodobné, že by dané porušení zabezpečení osobních údajů mělo za následek riziko pro práva a svobody fyzických osob. Není-li toto ohlášení možné učinit do 72 hodin, měly by být spolu s ním uvedeny důvody zpoždění a informace mohou být poskytnuty postupně bez zbytečného dalšího prodlení. Je-li zpoždění důvodné, měly by být méně citlivé nebo méně konkrétní informace o porušení sděleny co nejdříve, místo aby se čekalo s oznámením až na úplné vyšetření příslušného incidentu.

(46)Správce by měl porušení zabezpečení osobních údajů oznámit subjektu údajů bez zbytečného prodlení, pokud je pravděpodobné, že toto porušení bude mít za následek vysoké riziko pro práva a svobody fyzické osoby, aby mohl učinit nezbytná opatření. V oznámení by měla být popsána povaha daného případu porušení zabezpečení osobních údajů a obsažena doporučení pro dotčenou fyzickou osobu, jak případné nežádoucí účinky zmírnit. Tato oznámení by měla být subjektům údajů učiněna, jakmile je to proveditelné, v úzké spolupráci s evropským inspektorem ochrany údajů a v souladu s pokyny tohoto úřadu nebo jiných příslušných orgánů (například donucovacích orgánů).

(47)Nařízení (ES) č. 45/2001 ukládá správci obecnou povinnost ohlašovat zpracování osobních údajů pověřenci pro ochranu osobních údajů, který následně vede rejstřík oznámených operací zpracování údajů. Tato povinnost přináší administrativní a finanční zátěž, avšak nepřispěla ve všech případech ke zlepšení ochrany osobních údajů. Proto by měla být tato nerozlišená obecná ohlašovací povinnost zrušena a nahrazena účinnými postupy a mechanismy, které by se místo toho zaměřily na takové typy operací zpracování, jež mohou s ohledem na svou povahu, rozsah, kontext a účely představovat vysoké riziko pro práva a svobody fyzických osob. Mezi tyto typy operací zpracování mohou patřit ty, při nichž jsou zejména používány nové technologie, nebo které jsou zcela nového druhu a u nichž správce dosud neprovedl posouzení vlivu na ochranu údajů, nebo které se staly nezbytnými z důvodu času, který uplynul od prvotního zpracování. V těchto případech by měl správce před zpracováním provést posouzení vlivu na ochranu osobních údajů s cílem posoudit konkrétní pravděpodobnost a závažnost vysokého rizika a zohlednit přitom povahu, rozsah, kontext a účely zpracování a zdroje rizika. Pro zajištění ochrany osobních údajů a prokázání souladu s tímto nařízením by toto posouzení vlivu mělo zejména obsahovat zamýšlená opatření, záruky a mechanismy pro snížení tohoto rizika.

(48)Pokud z posouzení vlivu na ochranu osobních údajů vyplývá, že by zpracování v případě, že neexistují záruky, bezpečnostní opatření ani mechanismy ke zmenšení rizika, představovalo vysoké riziko pro práva a svobody fyzických osob, a pokud je správce toho názoru, že riziko nelze zmenšit prostředky přiměřenými z hlediska dostupných technologií a nákladů na provedení, je třeba před zahájením zpracování konzultovat evropského inspektora ochrany údajů. Je pravděpodobné, že toto vysoké riziko vznikne v souvislosti s určitým typem zpracování a rozsahem a četností zpracování, což rovněž může vést ke vzniku škody nebo zásahu do práv a svobod dotčené fyzické osoby. Evropský inspektor ochrany údajů by měl na žádost o konzultaci reagovat ve stanovené lhůtě. Skutečností, že evropský inspektor ochrany údajů v této lhůtě nezareaguje, by však neměl být dotčen žádný zásah evropského inspektora ochrany údajů prováděný v souladu s jeho úkoly a pravomocemi stanovenými v tomto nařízení, včetně pravomoci zakázat operace zpracování. V rámci tohoto procesu konzultací by mělo být možné předložit výsledek posouzení vlivu na ochranu osobních údajů, které bylo provedeno v souvislosti s daným zpracováním, evropskému inspektorovi ochrany údajů, zejména zamýšlená opatření ke zmírnění rizika pro práva a svobody fyzických osob.

(49)Evropský inspektor ochrany údajů by měl být informován o správních opatřeních a vnitřních předpisech orgánů a subjektů Unie, které upravují zpracování osobních údajů, stanoví podmínky pro omezení práv subjektu údajů nebo zavádí odpovídající záruky pro práva subjektu údajů, aby byl zajištěn soulad zamýšleného zpracování s tímto nařízením, a zejména zmírněno související riziko pro subjekt údajů.

(50)Nařízení (EU) 2016/679 zřizuje Evropský sbor pro ochranu údajů jako subjekt Unie s právní subjektivitou. Sbor by měl přispívat k jednotnému uplatňování nařízení (EU) 2016/679 a směrnice 2016/680 v celé Unii, například poskytovat Komisi poradenství. Evropský inspektor ochrany údajů by měl současně i nadále vykonávat dozorovou a poradní funkci ve vztahu ke všem orgánům a subjektům Unie, včetně ze své vlastní iniciativy nebo na žádost. Aby byla zajištěna jednotnost pravidel pro ochranu údajů v Unii, měly by být povinné konzultace Komise po přijetí legislativních aktů nebo během přípravy aktů v přenesené pravomoci a prováděcích aktů vymezených v článcích 289, 290 a 291 SFEU a po přijetí doporučení a návrhů týkajících se dohod s třetími zeměmi a mezinárodními organizacemi stanovených v článku 218 SFEU, které mají dopad na právo na ochranu osobních údajů. V takových případech by Komise měla povinně konzultovat evropského inspektora ochrany údajů s výjimkou případů, kdy nařízení (EU) 2016/679 stanoví povinnou konzultaci Evropského sboru pro ochranu údajů, například o rozhodnutích o odpovídající úrovni ochrany nebo aktech v přenesené pravomoci o standardizovaných ikonách a požadavcích na mechanismy pro vydávání osvědčení. Jestliže předmětný akt má zvláštní význam pro ochranu práva a svobod fyzických osob v souvislosti se zpracováním osobních údajů, měla by Komise mít navíc možnost rovněž konzultovat Evropský sbor pro ochranu osobních údajů. V takových případech by evropský inspektor ochrany údajů měl jakožto člen Evropského sboru pro ochranu údajů koordinovat svou práci s tímto subjektem s cílem vydat společné stanovisko. Evropský inspektor ochrany údajů a případně Evropský sbor pro ochranu údajů by měli poskytnout písemnou radu ve lhůtě osmi týdnů. Tato lhůta by měla být v naléhavých nebo jinak vhodných případech zkrácena, například pokud Komise připravuje akt v přenesené pravomoci nebo prováděcí akt.

(51)V každém orgánu nebo subjektu by měl pověřenec pro ochranu údajů zajistit, aby se toto nařízení uplatňovalo, a měl by poskytovat poradenství správcům a zpracovatelům při plnění jejich povinností. Pověřencem by měla být osoba s potřebnou úrovní odborných znalostí o právu a praxi v oblasti ochrany údajů, což by se mělo určit zejména podle prováděných operací zpracování a podle ochrany, která se vyžaduje pro osobní údaje zpracovávané správcem nebo zpracovatelem. Tito pověřenci ochrany údajů by měli moci plnit své povinnosti a úkoly nezávisle.

(52)Pokud jsou osobní údaje předávány z orgánů a subjektů Unie správcům, zpracovatelům nebo jiným příjemcům ve třetích zemích nebo v mezinárodních organizacích, neměla by být úroveň ochrany fyzických osob zajištěná v Unii tímto nařízením oslabována, a to ani v případech dalšího předání osobních údajů ze třetí země nebo mezinárodní organizace správcům nebo zpracovatelům ve stejné nebo jiné třetí zemi nebo mezinárodní organizaci. V každém případě lze předání do třetích zemí a mezinárodním organizacím provést pouze za plného dodržování tohoto nařízení. K předání by mělo docházet pouze tehdy, pokud s výhradou ostatních ustanovení tohoto nařízení správce nebo zpracovatel splňují podmínky stanovené v tomto nařízení vztahující se na předávání osobních údajů do třetích zemí nebo mezinárodním organizacím.

(53)Komise může rozhodnout podle článku 45 nařízení (EU) 2016/679, že určitá třetí země, určité území či konkrétní odvětví v určité třetí zemi nebo určitá mezinárodní organizace zajišťuje odpovídající úroveň ochrany údajů. V těchto případech orgán nebo subjekt Unie může předat osobní údaje do této země nebo této mezinárodní organizaci bez potřeby získat další povolení.

(54)Nebude-li přijato rozhodnutí o odpovídající ochraně, měl by správce nebo zpracovatel v zájmu odstranění nedostatků v oblasti ochrany údajů ve třetí zemi přijmout opatření, která subjektu údajů poskytnou vhodné záruky. Tyto vhodné záruky mohou spočívat ve využívání standardních doložek o ochraně údajů přijatých Komisí, standardních doložek o ochraně údajů přijatých evropským inspektorem ochrany údajů nebo smluvních doložek jím schválených. V případě, že zpracovatel není orgánem nebo subjektem Unie, mohou tyto vhodné záruky sestávat rovněž ze závazných podnikových pravidel, kodexů chování a mechanismů pro vydávání osvědčení používaných pro mezinárodní předávání podle nařízení (EU) 2016/679. Tyto záruky by měly zajistit splnění požadavků na ochranu údajů a dodržení práv subjektů údajů v rozsahu odpovídajícím zpracování v Unii, včetně dostupnosti vymahatelných práv subjektu údajů a účinné právní ochrany, včetně práva na účinnou správní nebo soudní ochranu a na požadování náhrady škody v Unii nebo ve třetí zemi. Měly by se týkat zejména souladu s obecnými zásadami pro zpracování osobních údajů a zásad záměrné a standardní ochrany osobních údajů. Předání mohou být rovněž provedena ze strany orgánů a subjektů Unie orgánům veřejné moci nebo veřejným subjektům ve třetích zemích nebo mezinárodním organizacím s odpovídajícími povinnostmi nebo funkcemi, a to i na základě ustanovení, která mají být vložena do správních ujednání, jako je memorandum o porozumění, a která stanoví vymahatelná a účinná práva subjektů údajů. Povolení evropského inspektora ochrany údajů by mělo být obdrženo, jestliže jsou záruky stanoveny ve správních ujednáních.

(55)Skutečnost, že správci a zpracovatelé mohou používat standardní doložky o ochraně údajů přijaté Komisí nebo evropským inspektorem ochrany údajů, by neměla správcům ani zpracovatelům bránit v tom, aby zahrnuli standardní doložky o ochraně údajů i do rozsáhlejších smluv, jako je smlouva mezi zpracovatelem a dalším zpracovatelem, nebo doplnili jiné doložky či další záruky, pokud tyto nejsou v přímém nebo nepřímém rozporu se standardními smluvními doložkami přijatými Komisí nebo evropským inspektorem ochrany údajů nebo pokud se nedotýkají základních práv či svobod subjektů údajů. Správci a zpracovatelé by měli být vybízeni k poskytování dalších záruk prostřednictvím smluvních závazků, které doplní standardní doložky o ochraně údajů.

(56)Některé třetí země přijímají právní předpisy a jiné právní akty, které mají přímo upravovat činnosti zpracování orgány a subjekt Unie. Může se mimo jiné jednat o rozsudky soudů či rozhodnutí správních orgánů ve třetích zemích, v nichž se od správce nebo zpracovatele vyžaduje předání či zpřístupnění osobních údajů a které nejsou založeny na mezinárodních dohodách platných mezi danou třetí zemí a Unií. Extrateritoriální používání těchto právních předpisů a jiných právních aktů může být v rozporu s mezinárodním právem a znesnadnit zaručení ochrany fyzických osob zajištěné v Unii tímto nařízením. Předávání údajů by mělo být přípustné jen tehdy, jsou-li splněny podmínky předávání údajů do třetích zemí stanovené v tomto nařízení. Tak tomu může být mimo jiné v případě, kdy je sdělení údajů nezbytné z důležitého důvodu veřejného zájmu, jenž je uznán v právu Unie.

(57)Pro konkrétní situace by měla být stanovena možnost předat údaje za určitých okolností, pokud subjekt údajů dal svůj výslovný souhlas nebo pokud je předání příležitostné a nezbytné v souvislosti se smluvními či právními nároky, bez ohledu na to, zda probíhá v soudním řízení nebo ve správním či jakémkoli mimosoudním řízení, včetně řízení před regulačními orgány. Rovněž by měla být stanovena možnost předat údaje, pokud je to nutné z důležitých důvodů veřejného zájmu stanovených právem Unie nebo pokud je předání prováděno z rejstříku zřízeného na základě právních předpisů a určeného k nahlížení pro veřejnost nebo osoby s oprávněným zájmem. V tomto případě by se takové předání nemělo týkat všech osobních údajů ani celých kategorií osobních údajů obsažených v tomto rejstříku, není-li povoleno právem Unie, a pokud má být rejstřík přístupný osobám s oprávněným zájmem, mělo by být předání uskutečněno pouze na žádost těchto osob nebo pokud jsou tyto osoby jejich příjemci, přičemž je třeba plně zohlednit zájmy a základní práva subjektu údajů.

(58)Tyto výjimky by se měly uplatnit zejména v případech, kdy je předání údajů vyžadováno a je nutné z důležitých důvodů veřejného zájmu, například v případech mezinárodní výměny údajů mezi orgány a subjekty Unie a orgány pro hospodářskou soutěž, daňovými či celními správami, orgány finančního dohledu, útvary příslušnými v oblasti sociálního zabezpečení nebo veřejného zdraví, například v případě vysledování kontaktů v souvislosti s nakažlivými chorobami nebo za účelem omezení nebo odstranění dopingu ve sportu. Předání osobních údajů by mělo být považováno za zákonné rovněž tehdy, pokud je nezbytné pro ochranu životně důležitého zájmu subjektu údajů nebo jiné osoby, včetně fyzické integrity nebo života, není-li subjekt údajů schopen udělit souhlas. V případě absence rozhodnutí o odpovídající ochraně může právo Unie z důležitých důvodů veřejného zájmu výslovně stanovit omezení předání konkrétních kategorií údajů do třetí země nebo mezinárodní organizaci. Jakékoliv předání osobních údajů subjektu údajů, který není fyzicky nebo právně způsobilý udělit souhlas s předáním, mezinárodní humanitární organizaci za účelem vykonání úkolu svěřeného na základě ženevských úmluv nebo uplatňování mezinárodního humanitárního práva použitelného v ozbrojených konfliktech by mohlo být považováno za nezbytné z důležitého důvodu veřejného zájmu nebo z důvodu životně důležitého zájmu subjektu údajů.

(59)Pokud Komise nepřijala rozhodnutí o odpovídající úrovni ochrany údajů ve třetí zemi, správce nebo zpracovatel by měl v každém případě využít řešení, která subjektům údajů poskytnou vymahatelná a účinná práva, pokud jde o zpracování jejich osobních údajů v Unii po jejich předání, tak aby i nadále požívali základních práv a záruk.

(60)Předání osobních údajů přes hranice mimo území Unie může fyzické osoby vystavit zvýšenému riziku, že nebudou moci uplatnit svá práva na ochranu osobních údajů, a zejména se chránit před protiprávním použitím nebo poskytnutím těchto údajů. Zároveň se může stát, že dozorové úřady v Unii, včetně evropského inspektora ochrany údajů nebudou schopny vyřizovat stížnosti nebo provádět šetření týkající se činností prováděných mimo jejich jurisdikci. Překážkou pro jejich úsilí o přeshraniční spolupráci mohou být také nedostatečné preventivní nebo nápravné pravomoci, rozdíly v právní úpravě a praktické překážky, například omezené zdroje. Proto je třeba podporovat užší spolupráci mezi evropským inspektorem ochrany údajů a dalšími dozorovými úřady zabývajícími se ochranou osobních údajů s cílem napomoci jim při výměně informací s příslušnými mezinárodními partnery.

(61)Zásadním prvkem ochrany fyzických osob v souvislosti se zpracováním jejich osobních údajů je zřízení evropského inspektora ochrany údajů v nařízení (ES) č. 45/2001, zmocněného plnit své úkoly a vykonávat své pravomoci zcela nezávisle. Toto nařízení by mělo dále posílit a objasnit jeho roli a nezávislost.

(62)Aby se zajistilo jednotné monitorování a prosazování pravidel pro ochranu údajů v celé Unii, měl by mít evropský inspektor ochrany údajů tytéž úkoly a účinné pravomoci jako dozorové úřady v členských státech, včetně pravomocí provádět šetření, ukládat nápravná opatření a sankce, vydávat povolení a poskytovat poradenství, zejména v případech stížností fyzických osob, pravomoci upozorňovat Soudní dvůr Evropské unie na porušení tohoto nařízení a účastnit se právních řízení v souladu s primárním právem. Mezi tyto pravomoci by měla rovněž patřit pravomoc uložit dočasné nebo trvalé omezení zpracování, včetně jeho zákazu. Aby se zamezilo zbytečným nákladům a přílišným obtížím pro dotčené osoby, mělo by každé opatření evropského inspektora ochrany údajů být vhodné, nezbytné a přiměřené, aby byl zajištěn soulad s tímto nařízením, mělo by přihlížet k okolnostem každého jednotlivého případu a respektovat právo všech osob na to být vyslechnuty dříve, než bude přijato jakékoliv individuální opatření. Každé právně závazné opatření evropského inspektora ochrany údajů by mělo mít písemnou formu, být jasné a jednoznačné, uvádět datum svého vydání, mělo by být opatřeno podpisem evropského inspektora ochrany údajů a obsahovat odůvodnění opatření a odkaz na právo na účinnou právní ochranu.

(63)Rozhodnutí evropského inspektora ochrany údajů o výjimkách, zárukách, povoleních a podmínkách týkajících se operací zpracování údajů, jak je vymezeno v tomto nařízení, se zveřejňují ve zprávě o činnosti. Nezávisle na zveřejnění výroční zprávy o činnosti může evropský inspektor ochrany údajů zveřejňovat zprávy o jednotlivých tématech.

(64)Vnitrostátní dozorové úřady sledují uplatňování nařízení (EU) 2016/679 a přispívají k jeho jednotnému uplatňování v celé Unii s cílem chránit fyzické osoby v souvislosti se zpracováním jejich osobních údajů a usnadnit volný pohyb osobních údajů v rámci vnitřního trhu. Aby se zajistila jednotnost při uplatňování pravidel ochrany údajů platných v členských státech a platných pro orgány a subjekty Unie, měl by evropský inspektor ochrany údajů účinně spolupracovat s vnitrostátními dozorovými úřady.

(65)V některých případech právo Unie stanoví model koordinovaného dozoru sdíleného mezi evropským inspektorem ochrany údajů a vnitrostátními dozorovými úřady. Evropský inspektor ochrany údajů je navíc dozorovým úřadem pro Europol a byl vytvořen specifický model spolupráce s vnitrostátními dozorovými úřady prostřednictvím Rady pro spolupráci s poradní funkcí. Aby se zlepšil účinný dozor nad hmotnými pravidly ochrany údajů a jejich vymáhání, měl by být v Unii zaveden jeden soudržný model koordinovaného dozoru. Komise by proto měla v případě potřeby předložit legislativní návrhy na změnu právních aktů Unie upravujících model koordinovaného dozoru, aby je sladila s modelem koordinovaného dozoru podle tohoto nařízení. Evropský sbor pro ochranu osobních údajů by měl být jediným fórem pro zajištění účinného koordinovaného dozoru na úrovni sboru.

(66)Každý subjekt údajů by měl mít právo podat stížnost u evropského inspektora ochrany údajů, a právo na účinnou soudní ochranu před Soudním dvorem Evropské unie v souladu se Smlouvami, jestliže se domnívá, že byla porušena jeho práva podle tohoto nařízení, nebo pokud evropský inspektor ochrany údajů na stížnost nereaguje, stížnost zcela či částečně odmítne či zamítne, nebo pokud nekoná, přestože je to nutné z důvodu ochrany práv subjektu údajů. Šetření na základě podané stížnosti by se mělo s výhradou soudního přezkumu provést v rozsahu, jenž je v daném případě přiměřený. Evropský inspektor ochrany údajů by měl subjekt údajů v přiměřené lhůtě informovat o vývoji a výsledku stížnosti. Je-li v dané věci zapotřebí další koordinace s vnitrostátním dozorovým úřadem, měl by být subjekt údajů informován průběžně. S cílem usnadnit podávání stížností by měl evropský inspektor ochrany údajů přijmout určitá opatření, například poskytnout formulář pro podání stížnosti, který lze vyplnit i elektronicky, aniž by byly vyloučeny další komunikační prostředky.

(67)Kdokoli, kdo v důsledku porušení tohoto nařízení utrpěl hmotnou či nehmotnou újmu, by měl mít právo obdržet od správce nebo zpracovatele náhradu utrpěné újmy za podmínek stanovených ve Smlouvě.

(68)Aby se posílila dozorová role evropského inspektora ochrany údajů a účinné prosazování tohoto nařízení, měl by evropský inspektor ochrany údajů mít pravomoc udělovat jako krajní sankci správní pokuty. Cílem pokut by mělo být sankcionovat orgán nebo subjekt – spíše nežli jednotlivce – za nedodržení tohoto nařízení, odrazovat od porušování tohoto nařízení a podporovat kulturu ochrany osobních údajů v orgánech a subjektech Unie. V tomto nařízení by měly být uvedeny porušení a maximální hranice a kritéria pro stanovení souvisejících správních pokut. V každém jednotlivém případě by měl výši pokuty určit evropský inspektor ochrany údajů při zohlednění všech příslušných okolností konkrétní situace s náležitým přihlédnutím k povaze, závažnosti a době trvání tohoto porušení a k jeho důsledkům a opatřením přijatým v zájmu zajištění souladu s povinnostmi vyplývajícími z tohoto nařízení a v zájmu prevence či zmírnění důsledků tohoto porušení. Při ukládání správní pokuty subjektu Unie by měl evropský inspektor ochrany údajů zvážit přiměřenost výše pokuty. Správní řízení o uložení pokut orgánům a subjektům Unie by mělo dodržovat obecné zásady práva Unie, jak jsou vykládány Soudním dvorem Evropské unie.

(69)Pokud se subjekt údajů domnívá, že jeho práva podle tohoto nařízení byla porušena, měl by být oprávněn pověřit určitý neziskový subjekt, organizaci nebo sdružení, které jsou zřízeny v souladu s právem Unie nebo právem členského státu, jejichž statutární cíle jsou ve veřejném zájmu a které působí v oblasti ochrany osobních údajů, aby podaly jeho jménem stížnost u evropského inspektora ochrany údajů. Takový subjekt, organizace nebo sdružení by rovněž měly být schopny uplatnit právo na soudní ochranu jménem subjektu údajů nebo uplatnit jménem subjektu údajů právo na odškodnění.

(70)Úředník nebo jiný zaměstnanec Unie, který poruší povinnosti stanovené tímto nařízením, by měl být vystaven disciplinárním nebo jiným úkonům v souladu s pravidly stanovenými ve služebním řádu úředníků Evropské unie nebo v pracovním řádu ostatních zaměstnanců Evropské unie.

(71)V zájmu zajištění jednotných podmínek pro provádění tohoto nařízení je třeba svěřit Komisi prováděcí pravomoci v případech stanovených tímto nařízením. Tyto pravomoci by měly být vykonávány v souladu s nařízením Evropského parlamentu a Rady (EU) č. 182/2011 16 . Přezkumný postup by se měl použít pro přijetí standardních smluvních doložek mezi správci a zpracovateli a mezi zpracovateli navzájem, pro přijetí seznamu operací zpracování údajů, když je vyžadována předchozí konzultace evropského inspektora ochrany údajů správci zpracovávajícími údaje pro vykonání úkolu ve veřejném zájmu, a pro přijetí standardních smluvních doložek stanovujících vhodné záruky pro mezinárodní předávání.

(72)Důvěrné informace, které statistické orgány Unie a členských států shromažďují za účelem vypracovávání úředních evropských a vnitrostátních statistik, by měly být chráněny. Evropské statistiky by měly být sestavovány, vypracovávány a šířeny v souladu se statistickými zásadami stanovenými v čl. 338 odst. 2 Smlouvy o fungování EU. Další upřesnění o statistické důvěrnosti evropské statistiky poskytuje nařízení Evropského parlamentu a Rady (ES) č. 223/2009 17 .

(73)Nařízení (ES) č. 45/2001 a rozhodnutí č. 1247/2002/ES by měla být zrušena. Odkazy na zrušené nařízení a rozhodnutí by se měla považovat za odkazy na toto nařízení.

(74)Aby byla zaručena úplná nezávislost členů nezávislého dozorového úřadu, nemělo by být tímto nařízením dotčeno funkční období stávajícího evropského inspektora ochrany údajů a stávajícího zástupce inspektora. Stávající zástupce inspektora by měl zůstat ve funkci do konce svého funkčního období, nenaplní-li se jedna z podmínek pro předčasné skončení funkčního období evropského inspektora ochrany údajů stanovená v tomto nařízení. Příslušná ustanovení tohoto nařízení by se měla vztahovat na zástupce inspektora do konce jeho funkčního období.

(75)V souladu se zásadou proporcionality, aby byl dosažen základní cíl zajištění přiměřené úrovně ochrany fyzických osob a volného pohybu osobních údajů v Unii, je nutné a vhodné stanovit pravidla pro zpracování osobních údajů orgány a subjekty Unie. V souladu s čl. 5 odst. 4 Smlouvy o Evropské unii toto nařízení nepřekračuje rámec toho, co je nezbytné pro dosažení sledovaných cílů.

(76)V souladu s čl. 28 odst. 2 nařízení (ES) č. 45/2001 byl konzultován evropský inspektor ochrany údajů, který své stanovisko předložil dne XX/XX/XXXX.

PŘIJALY TOTO NAŘÍZENÍ:

KAPITOLA I

OBECNÁ USTANOVENÍ

Článek 1

Předmět a cíle

1.Toto nařízení stanoví pravidla týkající se ochrany fyzických osob v souvislosti se zpracováním osobních údajů orgány, institucemi a jinými subjekty Unie a pravidla týkající se volného pohybu osobních údajů mezi nimi nebo mezi nimi a příjemci, kteří jsou usazeni v Unii a na které se vztahuje nařízení (EU) 2016/679 18 nebo ustanovení vnitrostátních předpisů přijatých podle směrnice (EU) 2016/680 19 .

2.Toto nařízení chrání základní práva a svobody fyzických osob, a zejména jejich právo na ochranu osobních údajů.

3.Evropský inspektor ochrany údajů monitoruje uplatňování ustanovení tohoto nařízení na všechny operace zpracování prováděné orgánem nebo subjektem Unie.

Článek 2

Oblast působnosti

1.Toto nařízení se vztahuje na zpracování osobních údajů všemi orgány a subjekty Unie, pokud se toto zpracování provádí při výkonu činností, které zcela nebo zčásti spadají do oblasti působnosti práva Unie.

2.Toto nařízení se vztahuje na zcela nebo částečně automatizované zpracování osobních údajů, jakož i na neautomatizované zpracování osobních údajů, které jsou obsaženy v evidenci nebo do ní mají být zařazeny.

Článek 3

Definice

1.Pro účely tohoto nařízení se použijí tyto definice:

(a)definice v nařízení (EU) 2016/679 s výjimkou definice „správce“ v čl. 4 bod 7 uvedeného nařízení;

(b) definice „elektronické komunikace“ v čl. 4 odst. 2 písm. a) nařízení (EU) XX/XXXX [nařízení o ochraně osobních údajů];

(c) definice s„sítě elektronické komunikace“ a „koncového uživatele“ v čl. 2 body 1 a 14 směrnice 00/0000/EU [směrnice, kterou se stanoví evropský kodex pro elektronické komunikace];

(d) definice „koncového zařízení“ v čl. 1 bod 1 směrnice Komise 2008/63/ES 20 .

2.Pro účely tohoto nařízení se dále:

(a)„orgány a subjekty Unie“ rozumí orgány, instituce a jiné subjekty Unie zřízené Smlouvou o Evropské unii, Smlouvou o fungování Evropské unie nebo Smlouvou o Euratomu nebo na základě těchto smluv;

(b)„správcem“ rozumí orgán, instituce nebo jiný subjekt Unie nebo generální ředitelství či jakýkoli jiný organizační celek, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů; v případě, kdy účely a způsob zpracování určuje specifický akt Unie, správce nebo specifická kritéria pro jeho nominaci lze stanovit právem Unie;

(c)„uživatelem“ rozumí jakákoliv fyzická osoba používající síť nebo koncové zařízení provozované pod kontrolou orgánu nebo subjektu Unie;

(d)„seznamem“ rozumí veřejně dostupný seznam uživatelů nebo interní seznam uživatelů dostupný v rámci orgánu nebo subjektu Unie nebo sdílený mezi orgány a subjekty Unie v tištěné či elektronické formě.

KAPITOLA II

ZÁSADY

Článek 4

Zásady zpracování osobních údajů

1.Osobní údaje musí být:

a)ve vztahu k subjektu údajů zpracovávány korektně a zákonným a transparentním způsobem („zákonnost, korektnost a transparentnost“);

b)shromažďovány pro určité, výslovně vyjádřené a legitimní účely a nesmí být dále zpracovávány způsobem, který je s těmito účely neslučitelný; další zpracování pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely se podle článku 13 nepovažuje za neslučitelné s původními účely („účelové omezení“);

c)přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu, pro který jsou zpracovávány („minimalizace údajů“);

d)přesné a v případě potřeby aktualizované; musí být přijata veškerá rozumná opatření, aby nepřesné nebo neúplné údaje, které jsou nepřesné s přihlédnutím k účelům, pro které byly shromažďovány nebo dále zpracovávány, byly bezodkladně vymazány nebo opraveny („přesnost“);

e)uloženy ve formě umožňující identifikaci subjektů údajů po dobu ne delší, než je nezbytné pro účely, pro které jsou zpracovávány; osobní údaje lze uložit po delší dobu, pokud se zpracovávají výhradně pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely podle článku 13, a to za předpokladu provedení příslušných technických a organizačních opatření požadovaných tímto nařízením s cílem zaručit práva a svobody subjektu údajů („omezení uložení“);

f)zpracovávány způsobem, který zajistí náležité zabezpečení osobních údajů, včetně jejich ochrany pomocí vhodných technických nebo organizačních opatření před neoprávněným či protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením („integrita a důvěrnost“).

2.Správce odpovídá za dodržení odstavce 1 a musí být schopen toto dodržení souladu doložit („odpovědnost“).

Článek 5

Zákonnost zpracování

1.Zpracování je zákonné, pouze pokud je splněna nejméně jedna z těchto podmínek a pouze v odpovídajícím rozsahu:

a)zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu na základě nebo při výkonu veřejné moci, kterým je pověřen orgán nebo subjekt Unie;

b)zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje;

c)zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů;

d)subjekt údajů udělil souhlas se zpracováním svých osobních údajů pro jeden či více konkrétních účelů;

e)zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby.

2.Úkoly uvedené v odst. 1 písm. a) stanoví právo Unie.

Článek 6

Zpracování pro jiný slučitelný účel

Pokud zpracování pro jiný účel, než pro který byly osobní údaje shromážděny, není založeno na souhlasu subjektu údajů nebo na právu Unie, který v demokratické společnosti představuje nutné a přiměřené opatření k zajištění cílů uvedených v čl. 25 odst. 1, zohlední správce v zájmu zjištění toho, zda je zpracování pro jiný účel slučitelné s účely, pro něž byly osobní údaje původně shromážděny, mimo jiné:

a)jakoukoli vazbu mezi účely, kvůli nimž byly osobní údaje shromážděny, a účely zamýšleného dalšího zpracování;

b)okolnosti, za nichž byly osobní údaje shromážděny, zejména pokud jde o vztah mezi subjekty údajů a správcem;

c)povahu osobních údajů, zejména zda jsou zpracovávány zvláštní kategorie osobních údajů podle článku 10 nebo osobní údaje týkající se rozsudků v trestních věcech a trestných činů podle článku 11;

d)možné důsledky zamýšleného dalšího zpracování pro subjekty údajů;

e)existenci vhodných záruk, mezi něž může patřit šifrování nebo pseudonymizace.

Článek 7

Podmínky vyjádření souhlasu

1.Pokud je zpracování založeno na souhlasu, musí být správce schopen doložit, že subjekt údajů udělil souhlas se zpracováním svých osobních údajů.

2.Pokud je souhlas subjektu údajů vyjádřen písemným prohlášením, které se týká rovněž jiných skutečností, musí být žádost o vyjádření souhlasu předložena způsobem, který je od těchto jiných skutečností jasně odlišitelný, a je srozumitelný a snadno přístupný za použití jasných a jednoduchých jazykových prostředků. Jakákoli část tohoto prohlášení, která představuje porušení tohoto nařízení, není závazná.

3.Subjekt údajů má právo svůj souhlas kdykoli odvolat. Odvoláním souhlasu není dotčena zákonnost zpracování vycházejícího ze souhlasu, který byl dán před jeho odvoláním. Před udělením souhlasu o tom bude subjekt údajů informován. Odvolat souhlas musí být stejně snadné jako jej poskytnout.

4.Při posuzování toho, zda je souhlas svobodný, musí být důsledně zohledněna skutečnost, zda je mimo jiné plnění smlouvy, včetně poskytnutí služby, podmíněno souhlasem se zpracováním osobních údajů, které není pro plnění dané smlouvy nutné.

Článek 8

Podmínky použitelné na souhlas dítěte v souvislosti se službami informační společnosti

1.Pokud se použije čl. 5 odst. 1 písm. d) v souvislosti s nabídkou služeb informační společnosti přímo dítěti, je zpracování osobních údajů dítěte zákonné, je-li dítě ve věku nejméně 13 let. Je-li dítě mladší 13 let, je takové zpracování zákonné pouze tehdy a do té míry, pokud byl tento souhlas vyjádřen nebo schválen osobou, která vykonává rodičovskou zodpovědnost k dítěti.

2.Správce vyvine přiměřené úsilí s ohledem na dostupnou technologii, aby v takovýchto případech ověřil, že byl souhlas vyjádřen nebo schválen osobou, která vykonává rodičovskou zodpovědnost k dítěti.

3.Odstavcem 1 není dotčeno obecné smluvní právo členských států, například pravidla týkající se platnosti, uzavírání nebo účinků smlouvy vzhledem k dítěti.

Článek 9

Předávání osobních údajů jiným příjemcům, než jsou orgány a subjekty Unie, kteří jsou usazení v Unii a na které se vztahuje nařízení (EU) 2016/679 nebo směrnice (EU) 2016/680

1.Aniž jsou dotčeny články 4, 5, 6 a 10 lze předávat osobních údaje příjemcům, kteří jsou usazeni v Unii a na které se vztahuje nařízení (EU) 2016/679 nebo vnitrostátní právní předpisy přijaté podle směrnice (EU) 2016/680, pouze pokud příjemce prokáže, že:

a)údaje jsou nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, nebo

b)předání údajů je nezbytné, je přiměřené účelům předání a není důvod domnívat se, že mohou být poškozeny práva a svobody a oprávněné zájmy subjektu údajů.

2.Pokud k předání údajů podle tohoto článku dochází z podnětu správce, musí správce za použití kritérií stanovených v odst. 1 písm. a) nebo b) prokázat, že předání osobních údajů je nezbytné a přiměřené účelům předání.

Článek 10

Zpracování zvláštních kategorií osobních údajů

1.Zakazuje se zpracování osobních údajů, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, a zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace fyzické osoby a údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby.

2.Odstavec 1 se nepoužije, pokud jde o některý z těchto případů:

a)subjekt údajů udělil výslovný souhlas se zpracováním těchto údajů pro jeden nebo více stanovených účelů, s výjimkou případů, kdy právo Unie stanoví, že zákaz uvedený v odstavci 1 nemůže být subjektem údajů zrušen;

b)zpracování je nezbytné pro účely plnění povinností a výkon zvláštních práv správce nebo subjektu údajů v oblasti pracovního práva a práva v oblasti sociálního zabezpečení a sociální ochrany, pokud je povoleno právem Unie, v němž se stanoví vhodné záruky týkající se základních práv a zájmů subjektu údajů, nebo

c)zpracování je nutné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné osoby v případě, že subjekt údajů není fyzicky nebo právně způsobilý udělit souhlas;

d)zpracování provádí v rámci svých oprávněných činností a s vhodnými zárukami nadace, sdružení nebo jiný neziskový subjekt integrovaný do orgánu nebo subjektu Unie, který sleduje politické, filozofické, náboženské nebo odborové cíle, a za podmínky, že se zpracování vztahuje pouze na současné nebo bývalé členy tohoto subjektu nebo na osoby, které s ním udržují pravidelné styky související s jeho cíli, a že tyto údaje nejsou bez souhlasu subjektu údajů zpřístupňovány mimo tento subjekt;

e)zpracování se týká údajů zjevně zveřejněných subjektem údajů;

f)zpracování je nezbytné pro určení, výkon nebo obhajobu právních nároků nebo pokud Soudní dvůr Evropské unie jedná v rámci svých soudních pravomocí, nebo

g)zpracování je nezbytné z důvodu významného veřejného zájmu na základě práva Unie, které je přiměřené sledovanému cíli, dodržuje podstatu práva na ochranu údajů a poskytuje vhodné a konkrétní záruky pro ochranu základních práv a zájmů subjektu údajů;

h)zpracování je nezbytné pro účely preventivního nebo pracovního lékařství, pro posouzení pracovní schopnosti zaměstnance, lékařské diagnostiky, poskytování zdravotní nebo sociální péče či léčby nebo řízení systémů a služeb zdravotní nebo sociální péče na základě práva Unie nebo podle smlouvy se zdravotnickým pracovníkem a při splnění podmínek a záruk uvedených v odstavci 3;

i)zpracování je nezbytné z důvodů veřejného zájmu v oblasti veřejného zdraví, jako je ochrana před vážnými přeshraničními zdravotními hrozbami nebo zajištění přísných norem kvality a bezpečnosti zdravotní péče a léčivých přípravků nebo zdravotnických prostředků, na základě práva Unie, které stanoví odpovídající a zvláštní opatření pro zajištění práv a svobod subjektu údajů, zejména služebního tajemství;

j)zpracování je nezbytné pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely na základě práva Unie, které je přiměřené sledovanému cíli, dodržuje podstatu práva na ochranu údajů a poskytuje vhodné a konkrétní záruky pro ochranu základních práv a zájmů subjektu údajů.

3.Osobní údaje uvedené v odstavci 1 mohou být zpracovávány pro účely uvedené v odst. 2 písm. h), jsou-li tyto údaje zpracovány pracovníkem vázaným služebním tajemstvím nebo na jeho odpovědnost podle práva Unie.

Článek 11

Zpracování osobních údajů týkajících se rozsudků v trestních věcech a trestných činů

Zpracování osobních údajů týkajících se rozsudků v trestních věcech a trestných činů či souvisejících bezpečnostních opatření na základě čl. 5 odst. 1 se může provádět, pouze pokud je oprávněné podle práva Unie, což může zahrnovat vnitřní předpisy, poskytujícího vhodné záruky, pokud jde o práva a svobody subjektů údajů.

Článek 12

Zpracování, které nevyžaduje identifikaci

1.Pokud účely, pro něž správce zpracovává osobní údaje, od správce nevyžadují nebo již nevyžadují identifikaci subjektu údajů, nemá správce povinnost uchovávat, získávat nebo zpracovávat dodatečné informace za účelem identifikace subjektu údajů výlučně kvůli dosažení souladu s tímto nařízením.

2.Je-li v případech uvedených v odstavci 1 tohoto článku správce s to doložit, že není schopen identifikovat subjekt údajů, informuje o této skutečnosti subjekt údajů, pokud je to možné. V takovýchto případech se neuplatní články 17 až 22, s výjimkou případů, kdy subjekt údajů za účelem výkonu svých práv podle uvedených článků poskytne dodatečné informace umožňující jeho identifikaci.

Článek 13

Záruky týkající se zpracování pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely

Zpracování pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely podléhá v souladu s tímto nařízením vhodným zárukám práv a svobod subjektu údajů. Tyto záruky zajistí, aby byla zavedena technická a organizační opatření, zejména s cílem zajistit dodržování zásady minimalizace údajů. Tato opatření mohou zahrnovat pseudonymizaci za podmínky, že lze tímto způsobem splnit sledované účely. Pokud mohou být sledované účely splněny dalším zpracováním, které neumožňuje nebo které přestane umožňovat identifikaci subjektů údajů, musí být tyto účely splněny tímto způsobem.

KAPITOLA III

PRÁVA SUBJEKTŮ ÚDAJŮ

ODDÍL 1

TRANSPARENTNOST A POSTUPY

Článek 14

Transparentní informace, sdělení a postupy pro výkon práv subjektu údajů

1.Správce přijme vhodná opatření, aby poskytl subjektu údajů stručným, transparentním, srozumitelným a snadno přístupným způsobem za použití jasných a jednoduchých jazykových prostředků veškeré informace uvedené v článcích 15 a 16 a učinil veškerá sdělení podle článků 17 až 24 a 38 o zpracování, zejména pokud se jedná o informace určené konkrétně dítěti. Informace poskytne písemně nebo jinými prostředky, včetně ve vhodných případech v elektronické formě. Pokud si to subjekt údajů vyžádá, mohou být informace poskytnuty ústně, a to za předpokladu, že identita subjektu údajů je prokázána jinými způsoby.

2.Správce usnadňuje výkon práv subjektu údajů podle článků 17 až 24. V případech uvedených v čl. 12 odst. 2 správce neodmítne vyhovět žádosti subjektu údajů za účelem výkonu jeho práv podle článků 17 až 24, ledaže doloží, že nemůže zjistit totožnost subjektu údajů.

3.Správce poskytne subjektu údajů na žádost podle článků 17 až 24 informace o přijatých opatřeních, a to bez zbytečného odkladu a v každém případě do jednoho měsíce od obdržení žádosti. Tuto lhůtu je možné v případě potřeby a s ohledem na složitost a počet žádostí prodloužit o další dva měsíce. Správce informuje subjekt údajů o jakémkoliv takovém prodloužení do jednoho měsíce od obdržení žádosti spolu s důvody pro tento odklad. Jestliže subjekt údajů podává žádost v elektronické formě, poskytnou se informace v elektronické formě, je-li to možné, pokud subjekt údajů nepožádá o jiný způsob.

4.Pokud správce nepřijme opatření, o něž subjekt údajů požádal, informuje bezodkladně a nejpozději do jednoho měsíce od přijetí žádosti subjekt údajů o důvodech nepřijetí opatření a o možnosti podat stížnost u evropského inspektora ochrany údajů a žádat o soudní ochranu.

5.Informace podle článků 15 a 16 a veškerá sdělení a veškeré úkony podle článků 17 až 24 a 38 se poskytují a činí bezplatně. Jsou-li žádosti podané subjektem údajů zjevně nedůvodné nebo nepřiměřené, zejména protože se opakují, může správce odmítnout zabývat se žádostí.

Zjevnou nedůvodnost nebo nepřiměřenost žádosti dokládá správce.

6.Aniž je dotčen článek 12, pokud má správce důvodné pochybnosti o totožnosti fyzické osoby, která podává žádost podle článků 17 až 23, může požádat o poskytnutí dodatečných informací nezbytných k potvrzení totožnosti subjektu údajů.

7.Informace, které mají být subjektům údajů poskytnuty podle článků 15 a 16, mohou být doplněny standardizovanými ikonami s cílem poskytnout snadno viditelným, srozumitelným a jasným způsobem přehled o zamýšleném zpracování. Pokud jsou ikony prezentovány v elektronické formě, musí být strojově čitelné.

8.Pokud Komise přijme akty v přenesené pravomoci podle čl. 12 odst. 8 nařízení (EU) 2016/679 určující informace, které mají být sděleny pomocí ikon, a postupy pro poskytování standardizovaných ikon, orgány a subjekty Unie případně poskytnou informace podle článků 15 a 16 v kombinaci s takovými standardizovanými ikonami.

ODDÍL 2

INFORMACE A PŘÍSTUP K OSOBNÍM ÚDAJŮM

Článek 15

Informace poskytované v případě, že osobní údaje jsou získány od subjektu údajů

1.Pokud se osobní údaje týkající se subjektu údajů získávají od subjektu údajů, poskytne správce v okamžiku získání osobních údajů subjektu údajů tyto informace:

a)totožnost a kontaktní údaje správce;

b)kontaktní údaje pověřence pro ochranu údajů;

c)účely zpracování, pro které jsou osobní údaje určeny, a právní základ pro zpracování;

d)případné příjemce nebo kategorie příjemců osobních údajů;

e)případný záměr správce předat osobní údaje do třetí země nebo mezinárodní organizaci a informace o existenci či neexistenci rozhodnutí Komise o odpovídající ochraně nebo, v případech předání uvedených v článku 49, odkaz na vhodné záruky a prostředky k získání kopie těchto údajů nebo informace o tom, kde byly tyto údaje zpřístupněny.

2.Vedle informací uvedených v odstavci 1 poskytne správce subjektu údajů v okamžiku získání osobních údajů tyto další informace, jsou-li nezbytné pro zajištění spravedlivého a transparentního zpracování:

a)doba, po kterou budou osobní údaje uloženy, nebo není-li ji možné určit, kritéria použitá pro stanovení této doby;

b)existence práva požadovat od správce přístup k osobním údajům týkajícím se subjektu údajů, jejich opravu nebo výmaz nebo omezení zpracování, nebo popřípadě práva vznést námitku proti zpracování, jakož i práva na přenositelnost údajů;

c)pokud je zpracování založeno na čl. 5 odst. 1 písm. d) nebo čl. 10 odst. 2 písm. a), existence práva odvolat kdykoli souhlas, aniž je tím dotčena zákonnost zpracování založená na souhlasu uděleném před jeho odvoláním;

d)existence práva podat stížnost u evropského inspektora ochrany údajů;

e)skutečnost, zda poskytování osobních údajů je zákonným či smluvním požadavkem, nebo požadavkem, který je nutné uvést do smlouvy, a zda má subjekt údajů povinnost osobní údaje poskytnout, a ohledně možných důsledků neposkytnutí těchto údajů;

f)skutečnost, že dochází k automatizovanému rozhodování, včetně profilování, uvedenému v čl. 24 odst. 1 a 4, a přinejmenším v těchto případech smysluplné informace týkající se použitého postupu, jakož i významu a předpokládaných důsledků takového zpracování pro subjekt údajů.

3.Pokud správce hodlá osobní údaje dále zpracovávat pro jiný účel, než je účel, pro který byly shromážděny, poskytne subjektu údajů ještě před uvedeným dalším zpracováním informace o tomto jiném účelu a příslušné další informace uvedené v odstavci 2.

4.Odstavce 1, 2 a 3 se nepoužijí, pokud subjekt údajů již uvedené informace má, a do té míry, v níž je má.

Článek 16

Informace poskytované v případě, že osobní údaje nebyly získány od subjektu údajů

1.Jestliže osobní údaje nebyly získány od subjektu údajů, poskytne správce subjektu údajů tyto informace:

a)totožnost a kontaktní údaje správce;

b)kontaktní údaje pověřence pro ochranu údajů;

c)účely zpracování, pro které jsou osobní údaje určeny, a právní základ pro zpracování;

d)kategorie dotčených osobních údajů;

e)případné příjemce nebo kategorie příjemců osobních údajů;

f)případný záměr správce předat osobní údaje do třetí země nebo mezinárodní organizaci a informace o existenci či neexistenci rozhodnutí Komise o odpovídající ochraně nebo, v případech předání uvedených v článku 49, odkaz na vhodné záruky a prostředky k získání kopie těchto údajů nebo informace o tom, kde byly tyto údaje zpřístupněny.

2.Kromě informací uvedených v odstavci 1 poskytne správce subjektu údajů tyto další informace, jsou-li nezbytné pro zajištění spravedlivého a transparentního zpracování ve vztahu k subjektu údajů:

a)doba, po kterou budou osobní údaje uloženy, nebo není-li ji možné určit, kritéria použitá pro stanovení této doby;

d)existence práva podat stížnost u evropského inspektora ochrany údajů;

e)zdroj, ze kterého osobní údaje pocházejí, a případně informace o tom, zda údaje pocházejí z veřejně dostupných zdrojů;

3.Správce poskytne informace uvedené v odstavcích 1 a 2:

a)v přiměřené lhůtě po získání osobních údajů, ale nejpozději do jednoho měsíce, s ohledem na konkrétní okolnosti, za nichž jsou osobní údaje zpracovávány;

b)nejpozději v okamžiku, kdy poprvé dojde ke komunikaci se subjektem údajů, mají-li být osobní údaje použity pro účely této komunikace, nebo

c)nejpozději při prvním zpřístupnění osobních údajů, pokud je má v úmyslu zpřístupnit jinému příjemci.

4.Pokud správce hodlá osobní údaje dále zpracovat pro jiný účel, než pro který byly získány, poskytne subjektu údajů ještě před uvedeným dalším zpracováním informace o tomto jiném účelu a příslušné další informace uvedené v odstavci 2.

5.Odstavce 1 a 4 se nepoužijí, pokud a do té míry, v níž:

a)subjekt údajů již uvedené informace má;

b)se ukáže, že poskytnutí takových informací není možné nebo by vyžadovalo nepřiměřené úsilí; to platí zejména v případě zpracování pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely, nebo pokud je pravděpodobné, že uplatnění povinnosti uvedené v odstavci 1 tohoto článku by znemožnilo nebo výrazně ztížilo dosažení cílů uvedeného zpracování;

c)je získávání nebo zpřístupnění výslovně stanoveno právem Unie; nebo

d)osobní údaje musí zůstat důvěrné s ohledem na povinnost zachovávat služební tajemství upravenou právem Unie.

Článek 17

Právo subjektu údajů na přístup k osobním údajům

1.Subjekt údajů má právo získat od správce potvrzení, zda osobní údaje, které se ho týkají, jsou či nejsou zpracovávány, a pokud je tomu tak, má právo získat přístup k těmto osobním údajům a k následujícím informacím:

a)účely zpracování;

b)kategorie dotčených osobních údajů;

c)příjemci nebo kategorie příjemců, kterým osobní údaje byly nebo budou zpřístupněny, zejména příjemci ve třetích zemích nebo v mezinárodních organizacích;

d)plánovaná doba, po kterou budou osobní údaje uloženy, nebo není-li ji možné určit, kritéria použitá ke stanovení této doby;

e)existence práva požadovat od správce opravu nebo výmaz osobních údajů týkajících se subjektu údajů nebo omezení jejich zpracování a nebo vznést námitku proti tomuto zpracování;

f)právo podat stížnost u evropského inspektora ochrany údajů;

g)veškeré dostupné informace o zdroji osobních údajů, pokud nejsou získány od subjektu údajů;

h)skutečnost, že dochází k automatizovanému rozhodování, včetně profilování, uvedenému v čl. 24 odst. 1 a 4, a přinejmenším v těchto případech smysluplné informace týkající se použitého postupu, jakož i významu a předpokládaných důsledků takového zpracování pro subjekt údajů.

2.Pokud se osobní údaje předávají do třetí země nebo mezinárodní organizaci, má subjekt údajů právo být informován o vhodných zárukách podle článku 49, které se vztahují na předání.

3.Správce poskytne kopii zpracovávaných osobních údajů. Jestliže subjekt údajů podává žádost v elektronické formě, poskytnou se informace v elektronické formě, která se běžně používá, pokud subjekt údajů nepožádá o jiný způsob.

4.Právem získat kopii uvedenou v odstavci 3 nesmějí být nepříznivě dotčena práva a svobody jiných osob.

ODDÍL 3

OPRAVA A VÝMAZ

Článek 18

Právo na opravu

Subjekt údajů má právo na to, aby správce bez zbytečného odkladu opravil nepřesné osobní údaje, které se ho týkají. S přihlédnutím k účelům zpracování má subjekt údajů právo na doplnění neúplných osobních údajů, a to i poskytnutím dodatečného prohlášení.

Článek 19

Právo na výmaz („právo být zapomenut“)

1.Subjekt údajů má právo na to, aby správce bez zbytečného odkladu vymazal osobní údaje, které se daného subjektu údajů týkají, a správce má povinnost osobní údaje bez zbytečného odkladu vymazat, pokud je dán jeden z těchto důvodů:

a)osobní údaje již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány;

b)subjekt údajů odvolá souhlas, na jehož základě byly údaje podle čl. 5 odst. 1 písm. d) nebo čl. 10 odst. 2 písm. a) zpracovány, a neexistuje žádný další právní důvod pro zpracování;

c)subjekt údajů vznese námitky proti zpracování podle čl. 23 odst. 1 a neexistují žádné převažující oprávněné důvody pro zpracování;

d)osobní údaje byly zpracovány protiprávně;

e)osobní údaje musí být vymazány ke splnění právní povinnosti, která se na správce vztahuje;

f)osobní údaje byly shromážděny v souvislosti s nabídkou služeb informační společnosti podle čl. 8 odst. 1.

2.Jestliže správce osobní údaje zveřejnil a je povinen je podle odstavce 1 vymazat, přijme s ohledem na dostupnou technologii a náklady na provedení přiměřené kroky, včetně technických opatření, aby informoval správce, kteří tyto osobní údaje zpracovávají, že je subjekt údajů žádá, aby vymazali veškeré odkazy na tyto osobní údaje, jejich kopie či replikace.

3.Odstavce 1 a 2 se neuplatní, pokud je zpracování nezbytné:

a)pro výkon práva na svobodu projevu a informace;

b)pro splnění právní povinnosti, která se na správce vztahuje, nebo pro splnění úkolu provedeného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je správce pověřen;

c)z důvodů veřejného zájmu v oblasti veřejného zdraví v souladu s čl. 10 odst. 2 písm. h) a i) a čl. 10 odst. 3;

d)pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu či pro statistické účely, pokud je pravděpodobné, že by právo uvedené v odstavci 1 znemožnilo nebo vážně ohrozilo splnění cílů uvedeného zpracování; nebo

e)pro určení, výkon nebo obhajobu právních nároků.

Článek 20

Právo na omezení zpracování

1.Subjekt údajů má právo na to, aby správce omezil zpracování, v kterémkoli z těchto případů:

a)subjekt údajů popírá přesnost osobních údajů, a to na dobu potřebnou k tomu, aby správce mohl přesnost, včetně úplnosti, osobních údajů ověřit;

b)zpracování je nezákonné a subjekt údajů odmítá jejich výmaz a žádá místo toho o omezení jejich použití;

c)správce již osobní údaje nepotřebuje pro účely zpracování, ale subjekt údajů je požaduje pro určení, výkon nebo obhajobu právních nároků;

d)subjekt údajů vznesl námitku proti zpracování podle čl. 23 odst. 1, dokud nebude ověřeno, zda oprávněné důvody správce převažují nad oprávněnými důvody subjektu údajů.

2.Pokud bylo zpracování omezeno podle odstavce 1, mohou být tyto osobní údaje, s výjimkou jejich uložení, zpracovány pouze se souhlasem subjektu údajů, nebo z důvodu určení, výkonu nebo obhajoby právních nároků, z důvodu ochrany práv jiné fyzické nebo právnické osoby nebo z důvodů důležitého veřejného zájmu Unie nebo některého členského státu.

3.Subjekt údajů, který dosáhl omezení zpracování podle odstavce 1, je správcem předem upozorněn na to, že bude omezení zpracování zrušeno.

4.V systémech automatizovaného zpracování je omezení zpracování v zásadě zajišťováno technickými prostředky. V systému je uvedeno, že zpracování daných osobních údaje je omezeno, aby bylo jasné, že tyto osobní údaje nelze používat.

Článek 21

Oznamovací povinnost ohledně opravy nebo výmazu osobních údajů nebo omezení zpracování

Správce oznamuje jednotlivým příjemcům, jimž byly osobní údaje zpřístupněny, veškeré opravy nebo výmazy osobních údajů nebo omezení zpracování provedené v souladu s článkem 18, čl. 19 odst. 1 a článkem 20, s výjimkou případů, kdy se to ukáže jako nemožné nebo to vyžaduje nepřiměřené úsilí. Správce informuje subjekt údajů o těchto příjemcích, pokud to subjekt údajů požaduje.

Článek 22

Právo na přenositelnost údajů

1.Subjekt údajů má právo získat osobní údaje, které se ho týkají, jež poskytl správci, ve strukturovaném, běžně používaném a strojově čitelném formátu, a právo předat tyto údaje jinému správci, aniž by tomu správce, kterému byly osobní údaje poskytnuty, bránil, a to v případě, že:

a)zpracování je založeno na souhlasu podle čl. 5 odst. 1 písm. d) nebo čl. 10 odst. 2 písm. a) nebo na smlouvě podle čl. 5 odst. 1 písm. c); a

b)zpracování se provádí automatizovaně.

2.Při výkonu svého práva na přenositelnost údajů podle odstavce 1 má subjekt údajů právo na to, aby osobní údaje byly předány přímo jedním správcem správci druhému, je-li to technicky proveditelné.

3.Výkonem práva uvedeného v odstavci 1 tohoto článku není dotčen článek 19. Toto právo se neuplatní na zpracování nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je správce pověřen.

4.Právem uvedeným v odstavci 1 nesmí být nepříznivě dotčena práva a svobody jiných osob.

ODDÍL 4

PRÁVO VZNÉST NÁMITKU A AUTOMATIZOVANÉ INDIVIDUÁLNÍ ROZHODOVÁNÍ

Článek 23

Právo vznést námitku

1.Subjekt údajů má z důvodů týkajících se jeho konkrétní situace právo kdykoli vznést námitku proti zpracování osobních údajů, které se jej týkají, na základě čl. 5 odst. 1 písm. a), včetně profilování založeného na tomto ustanovení. Správce osobní údaje dále nezpracovává, pokud neprokáže závažné oprávněné důvody pro zpracování, které převažují nad zájmy nebo právy a svobodami subjektu údajů, nebo pro určení, výkon nebo obhajobu právních nároků.

2.Subjekt údajů je na právo uvedené v odstavci 1 výslovně upozorněn a toto právo je uvedeno zřetelně a odděleně od jakýchkoli jiných informací, a to nejpozději v okamžiku první komunikace se subjektem údajů.

3.Aniž by tím byly dotčeny články 34 a 35, může subjekt údajů v souvislosti s využíváním služeb informační společnosti uplatnit své právo vznést námitku automatizovanými prostředky pomocí technických specifikací.

4.Jsou-li osobní údaje zpracovávány pro účely vědeckého či historického výzkumu nebo pro statistické účely, má subjekt údajů, z důvodů týkajících se jeho konkrétní situace, právo vznést námitku proti zpracování osobních údajů, které se ho týkají, ledaže je zpracování nezbytné pro splnění úkolu prováděného z důvodů veřejného zájmu.

Článek 24

Automatizované individuální rozhodování, včetně profilování

1.Subjekt údajů má právo nebýt předmětem žádného rozhodnutí založeného výhradně na automatizovaném zpracování, včetně profilování, které má pro něho právní účinky nebo se ho obdobným způsobem významně dotýká.

2.Odstavec 1 se nepoužije, pokud je rozhodnutí:

a)nezbytné k uzavření nebo plnění smlouvy mezi subjektem údajů a správcem;

b)povoleno právem Unie, které rovněž stanoví vhodná opatření zajišťující ochranu práv a svobod a oprávněných zájmů subjektu údajů; nebo

c)založeno na výslovném souhlasu subjektu údajů.

3.V případech uvedených v odst. 2 písm. a) a c) provede správce údajů vhodná opatření na ochranu práv a svobod a oprávněných zájmů subjektu údajů, alespoň práva na lidský zásah ze strany správce, práva vyjádřit svůj názor a práva napadnout rozhodnutí.

4.Rozhodnutí uvedená v odstavci 2 se neopírají o zvláštní kategorie osobních údajů uvedené v čl. 10 odst. 1, pokud se neuplatní čl. 10 odst. 2 písm. a) nebo g) a nejsou zavedena vhodná opatření pro zajištění práv a svobod a oprávněných zájmů subjektu údajů.

ODDÍL 5

OMEZENÍ

Článek 25

Omezení

1.Právní akty přijaté na základě Smluv nebo, v záležitostech týkajících se fungování orgánů a subjektů Unie, vnitřní předpisy přijaté orgány a subjekty Unie, mohou omezit použití článků 14 až 22, 34 a 38, jakož i článku 4, v rozsahu, v jakém jejich ustanovení odpovídají právům a povinnostem stanoveným v článcích 14 až 22, jestliže takové omezení respektuje podstatu základních práv a svobod a představuje nezbytné a přiměřené opatření v demokratické společnosti s cílem zajistit:

a)národní bezpečnost, veřejnou bezpečnost nebo obranu členských států;

b)prevenci, vyšetřování, odhalování a stíhání trestných činů nebo výkon trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení;

c)jiné důležité cíle obecného veřejného zájmu Unie nebo členského státu, zejména důležitý hospodářský nebo finanční zájem Unie nebo členského státu, včetně peněžních, rozpočtových a daňových záležitostí, veřejného zdraví a sociálního zabezpečení;

d)vnitřní bezpečnost orgánů a subjektů Unie, včetně jejich sítě elektronických komunikací;

e)ochranu nezávislosti soudnictví a soudních řízení;

f)prevenci, vyšetřování, odhalování a stíhání porušování etických pravidel regulovaných povolání;

g)monitorovací, inspekční nebo regulační funkci spojenou, i pouze příležitostně, s výkonem veřejné moci v případech uvedených v písmenech a) až c);

h)ochranu subjektu údajů nebo práv a svobod druhých;

i)vymáhání občanskoprávních nároků.

2.Není-li omezení stanoveno právním aktem přijatým na základě Smluv nebo vnitřním předpisem v souladu odstavcem 1, mohou orgány a subjekty Unie omezit použití článků 14 až 22, 34 a 38, jakož i článku 4, v rozsahu, v jakém jejich ustanovení odpovídají právům a povinnostem stanoveným v článcích 14 až 22, jestliže takové omezení respektuje podstatu základních práv a svobod v souvislosti s konkrétní operací zpracování a představuje nezbytné a přiměřené opatření v demokratické společnosti s cílem zajistit jeden či více cílů uvedených v odstavci 1. Omezení se oznámí příslušnému pověřenci pro ochranu údajů.

3.Jsou-li osobní údaje zpracovávány pro účely vědeckého či historického výzkumu nebo pro statistické účely, může právo Unie, včetně vnitřních předpisů, stanovit odchylky od práv uvedených v článcích 17, 18, 20 a 23, s výhradou podmínek a záruk uvedených v článku 13, pokud je pravděpodobné, že by daná práva znemožnila nebo vážně ohrozila splnění zvláštních účelů, a tyto odchylky jsou pro splnění těchto účelů nezbytné.

4.Jsou-li osobní údaje zpracovávány pro účely archivace ve veřejném zájmu, může právo Unie, včetně vnitřních předpisů stanovit odchylky od práv uvedených v článcích 17, 18, 20, 21, 22 a 23, s výhradou podmínek a záruk uvedených v článku 13, pokud je pravděpodobné, že by daná práva znemožnila nebo vážně ohrozila splnění zvláštních účelů, a tyto odchylky jsou pro splnění těchto účelů nezbytné.

5.Vnitřní předpisy uvedené v odstavcích 1, 3 a 4 musí být dostatečně jasné a přesné a řádně zveřejněné.

6.Uplatňuje-li se omezení podle odstavce 1 nebo 2, je subjekt údajů v souladu s právem Unie informován o hlavních důvodech pro použití omezení a o svém právu podat stížnost u evropského inspektora ochrany údajů.

7.Je-li omezení podle odstavce 1 nebo 2 uloženo za účelem odepření přístupu subjektu údajů, sdělí evropský inspektor ochrany údajů při posuzování stížnosti subjektu údajů, zda byly údaje zpracovány řádně a pokud nebyly, zda byla učiněna příslušná náprava.

8.Poskytování informací uvedených odst. 6 a 7 a v čl. 46 odst. 2 lze odložit, vynechat nebo odepřít, pokud by to zrušilo účinek omezení uloženého podle odstavců 1 nebo 2.

KAPITOLA IV

SPRÁVCE A ZPRACOVATEL

ODDÍL 1

OBECNÉ POVINNOSTI

Článek 26

Odpovědnost správce

1.S přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob zavede správce vhodná technická a organizační opatření, aby zajistil a byl schopen doložit, že zpracování je prováděno v souladu s tímto nařízením. Tato opatření musí být podle potřeby revidována a aktualizována.

2.Pokud je to s ohledem na činnosti zpracování přiměřené, zahrnují opatření uvedená v odstavci 1 uplatňování vhodných koncepcí v oblasti ochrany údajů správcem.

Článek 27

Záměrná a standardní ochrana údajů

1.S přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob, jež s sebou zpracování nese, zavede správce jak v době určení prostředků pro zpracování, tak v době zpracování samotného vhodná technická a organizační opatření, jako je pseudonymizace, jejichž účelem je provádět zásady ochrany údajů, jako je minimalizace údajů, účinným způsobem a začlenit do zpracování nezbytné záruky, tak aby splnil požadavky tohoto nařízení a ochránil práva subjektů údajů.

2.Správce zavede vhodná technická a organizační opatření k zajištění toho, aby se standardně zpracovávaly pouze osobní údaje, jež jsou pro každý konkrétní účel daného zpracování nezbytné. Tato povinnost se týká množství shromážděných osobních údajů, rozsahu jejich zpracování, doby jejich uložení a jejich dostupnosti. Tato opatření zejména zajistí, aby osobní údaje nebyly standardně bez zásahu člověka zpřístupněny neomezenému počtu fyzických osob.

Článek 28

Společní správci

1.Pokud účely a prostředky zpracování stanoví orgán nebo subjekt Unie společně s jedním nebo více správci, kteří mohou být orgánem nebo subjektem Unie, či nikoliv, jsou společnými správci. Společní správci mezi sebou transparentním ujednáním vymezí své podíly na odpovědnosti za plnění svých povinností týkajících se ochrany údajů, zejména pokud jde o výkon práv subjektu údajů, a své povinnosti poskytovat informace uvedené v článcích 15 a 16, pokud tuto odpovědnost správců nestanoví právo Unie nebo členského státu, které se na správce vztahuje. V ujednání může být určeno kontaktní místo pro subjekty údajů.

2.Ujednání uvedené v odstavci 1 náležitě zohlední úlohy společných správců a jejich vztahy vůči subjektům údajů. Subjekt údajů musí být o podstatných prvcích ujednání informován.

3.Subjekt údajů může vykonávat svá práva podle tohoto nařízení u jednoho či více správců při zohlednění jejich rolí vůči každému z nich, jak jsou určeny v ujednání uvedeném v odstavci 1.

Článek 29

Zpracovatel

1.Pokud má být zpracování provedeno jménem správce, využije správce pouze ty zpracovatele, kteří poskytují dostatečné záruky zavedení vhodných technických a organizačních opatření tak, aby dané zpracování splňovalo požadavky tohoto nařízení a aby byla zajištěna ochrana práv subjektu údajů.

2.Zpracovatel nezapojí do zpracování žádného dalšího zpracovatele bez předchozího konkrétního nebo obecného písemného povolení správce. V případě obecného písemného povolení zpracovatel správce informuje o veškerých zamýšlených změnách týkajících se přijetí dalších zpracovatelů nebo jejich nahrazení, a poskytne tak správci příležitost vyslovit vůči těmto změnám námitky.

3.Zpracování zpracovatelem se řídí smlouvou nebo jiným právním aktem podle práva Unie nebo členského státu, které zavazují zpracovatele vůči správci a v nichž je stanoven předmět a doba trvání zpracování, povaha a účel zpracování, typ osobních údajů a kategorie subjektů údajů, povinnosti a práva správce. Tato smlouva nebo jiný právní akt zejména stanoví, že zpracovatel:

a)zpracovává osobní údaje pouze na základě doložených pokynů správce, včetně v otázkách předání osobních údajů do třetí země nebo mezinárodní organizaci, pokud mu toto zpracování již neukládají právo Unie nebo členského státu, které se na správce vztahuje; v takovém případě zpracovatel správce informuje o tomto právním požadavku před zpracováním, ledaže by tyto právní předpisy toto informování zakazovaly z důležitých důvodů veřejného zájmu;

b)zajišťuje, aby se osoby oprávněné zpracovávat osobní údaje zavázaly k mlčenlivosti nebo aby se na ně vztahovala zákonná povinnost mlčenlivosti;

c)přijme všechna opatření požadovaná podle článku 33;

d)dodržuje podmínky pro zapojení dalšího zpracovatele uvedené v odstavcích 2 a 4;

e)zohledňuje povahu zpracování, je správci nápomocen prostřednictvím vhodných technických a organizačních opatření, pokud je to možné, pro splnění správcovy povinnosti reagovat na žádosti o výkon práv subjektu údajů stanovených v kapitole III;

f)je správci nápomocen při zajišťování souladu s povinnostmi podle článků 33 až 40, a to při zohlednění povahy zpracování a informací, jež má zpracovatel k dispozici;

g)v souladu s rozhodnutím správce všechny osobní údaje buď vymaže, nebo je vrátí správci po ukončení poskytování služeb spojených se zpracováním, a vymaže existující kopie, pokud právo Unie nebo členského státu nepožaduje uložení daných osobních údajů;

h)poskytne správci veškeré informace potřebné k doložení toho, že byly splněny povinnosti stanovené v tomto článku, a umožní audity, včetně inspekcí, prováděné správcem nebo jiným auditorem, kterého správce pověřil, a k těmto auditům přispěje.

Pokud jde o první pododstavec písm. h), informuje zpracovatel neprodleně správce v případě, že podle jeho názoru určitý pokyn porušuje toto nařízení nebo jiné předpisy Unie nebo členského státu týkající se ochrany údajů.

4.Pokud zpracovatel zapojí dalšího zpracovatele, aby jménem správce provedl určité činnosti zpracování, musí být tomuto dalšímu zpracovateli uloženy na základě smlouvy nebo jiného právního aktu podle práva Unie nebo členského státu stejné povinnosti v oblasti ochrany údajů, jaké jsou uvedeny ve smlouvě nebo jiném právním aktu mezi správcem a zpracovatelem podle odstavce 3, a to zejména poskytnutí dostatečných záruk, pokud jde o zavedení vhodných technických a organizačních opatření tak, aby zpracování splňovalo požadavky tohoto nařízení. Neplní-li uvedený další zpracovatel své povinnosti v oblasti ochrany údajů, odpovídá správci za plnění povinností dotčeného dalšího zpracovatele i nadále plně prvotní zpracovatel.

5.Není-li zpracoval orgán nebo subjekt Unie, jedním z prvků, jimiž lze doložit dostatečné záruky podle odstavců 1 a 4 tohoto článku, je skutečnost, že zpracovatel dodržuje schválený kodex chování uvedených v čl. 40 odst. 5 nařízení (EU) 2016/679 nebo schválený mechanismus pro vydávání osvědčení uvedený v článku 42 nařízení (EU) 2016/679.

6.Aniž jsou dotčeny individuální smlouvy mezi správcem a zpracovatelem, mohou být smlouvy nebo jiné právní akty podle odstavců 3 a 4 tohoto článku založeny zcela nebo částečně na standardních smluvních doložkách podle odstavců 7 a 8 tohoto článku, mimo jiné i v případě, že jsou součástí osvědčení uděleného zpracovateli jinému než orgánu nebo subjektu Unie podle článku 42 nařízení (EU) 2016/679.

7.Pro záležitosti uvedené v odstavcích 3 a 4 tohoto článku může standardní smluvní doložky stanovit Komise přezkumným postupem podle čl. 70 odst. 2.

8.Pro záležitosti uvedené v odstavcích 3 a 4 může standardní smluvní doložky přijmout evropský inspektor ochrany údajů.

9.Smlouva nebo jiný právní akt podle odstavců 3 a 4 musí být vyhotoveny písemně, v to počítaje i elektronickou formu.

10.Aniž jsou dotčeny články 65 a 66, pokud zpracovatel poruší toto nařízení tím, že určí účely a prostředky zpracování, považuje se ve vztahu k takovému zpracování za správce.

Článek 30

Zpracovávání z pověření správce a zpracovatele

Zpracovatel a jakákoliv osoba, která jedná z pověření správce nebo zpracovatele a má přístup k osobním údajům, může tyto osobní údaje zpracovávat pouze na pokyn správce, ledaže jí jejich zpracování ukládá právo Unie nebo členského státu.

Článek 31

Záznamy o činnostech zpracování

1.Každý správce vede záznamy o činnostech zpracování, za něž odpovídá. Tyto záznamy obsahují všechny tyto informace:

a)jméno a kontaktní údaje správce, pověřence pro ochranu údajů a případného zpracovatele a společného správce;

b)účely zpracování;

c)popis kategorií subjektů údajů a kategorií osobních údajů;

d)kategorie příjemců, kterým byly nebo budou osobní údaje zpřístupněny, včetně příjemců v členských státech, ve třetích zemích nebo mezinárodních organizacích;

e)informace o případném předání osobních údajů do třetí země nebo mezinárodní organizaci, včetně identifikace této třetí země či mezinárodní organizace, a doložení vhodných záruk;

f)je-li to možné, plánované lhůty pro výmaz jednotlivých kategorií údajů;

g)je-li to možné, obecný popis technických a organizačních bezpečnostních opatření uvedených v článku 33.

2.Každý zpracovatel vede záznamy o všech kategoriích činností zpracování prováděných pro správce, jež obsahují:

a)jméno a kontaktní údaje zpracovatele nebo zpracovatelů a každého správce, jehož jménem zpracovatel jedná, a pověřence pro ochranu osobních údajů;

b)kategorie zpracování prováděného jménem každého ze správců;

c)informace o případném předání osobních údajů do třetí země nebo mezinárodní organizaci, včetně identifikace této třetí země či mezinárodní organizace, a doložení vhodných záruk;

d)je-li to možné, obecný popis technických a organizačních bezpečnostních opatření uvedených v článku 33.

3.Záznamy podle odstavců 1 a 2 se vyhotovují písemně, v to počítaje i elektronickou formu.

4.Orgány a subjekty Unie na vyžádání zpřístupní záznamy evropskému inspektorovi ochrany údajů.

5.Orgány a subjekty Unie mohou rozhodnout uchovávat své záznamy o zpracování v centrálním rejstříku. V takovém případě mohou rovněž rozhodnout, že rejstřík bude veřejně přístupný.

Článek 32

Spolupráce s evropským inspektorem ochrany údajů

Orgány a subjekty Unie na žádost spolupracují s evropským inspektorem ochrany údajů při plnění jeho úkolů.

ODDÍL 2

ZABEZPEČENÍ OSOBNÍCH ÚDAJŮ A DŮVĚRNOST ELEKTRONICKÉ KOMUNIKACE

Článek 33

Zabezpečení zpracování

1.S přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob, provedou správce a zpracovatel vhodná technická a organizační opatření, aby zajistili úroveň zabezpečení odpovídající danému riziku, případně včetně:

a)pseudonymizace a šifrování osobních údajů;

b)schopnosti zajistit neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování;

c)schopnosti obnovit včas dostupnost osobních údajů a přístup k nim v případě fyzických či technických incidentů;

d)procesu pravidelného testování, posuzování a hodnocení účinnosti zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracování.

2.Při posuzování vhodné úrovně bezpečnosti se zohlední zejména rizika, která představuje zpracování, zejména náhodné nebo protiprávní zničení, ztráta, pozměňování, neoprávněné zpřístupnění předávaných, uložených nebo jinak zpracovávaných osobních údajů, nebo neoprávněný přístup k nim.

3.Správce a zpracovatel přijmou opatření pro zajištění toho, aby jakákoliv fyzická osoba, která jedná z pověření správce nebo zpracovatele a má přístup k osobním údajům, zpracovávala tyto osobní údaje pouze na pokyn správce, pokud jí jejich zpracování již neukládá právo Unie.

Článek 34

Důvěrnost elektronických komunikací

Orgány a subjekty Unie zajistí důvěrnost elektronických komunikací, zejména zabezpečením sítí elektronických komunikací.

Článek 35

Ochrana informací týkajících se koncových zařízení koncových uživatelů

Orgány a subjekty Unie chrání informace týkající se koncových zařízení koncových uživatelů, kteří se připojují na veřejně přístupné internetové stránky a mobilní aplikace, v souladu s nařízením (EU) XX/XXXX [nové nařízení o ochraně osobních údajů], zejména článkem 8 uvedeného nařízení.

Článek 36

Seznamy uživatelů

1.Osobní údaje uvedené v seznamech uživatelů a přístup k těmto seznamům jsou omezeny na to, co je výhradně nutné pro zvláštní účely seznamu.

2.Orgány a subjekty Unie přijmou všechna nezbytná opatření, aby zabránily použití osobních údajů obsažených v seznamech bez ohledu na to, zda jsou či nejsou dostupné veřejnosti, pro účely přímého marketingu.

Článek 37

Ohlašování případů porušení zabezpečení osobních údajů evropskému inspektorovi ochrany údajů

1.Jakékoli porušení zabezpečení osobních údajů správce bez zbytečného odkladu a pokud možno do 72 hodin od okamžiku, kdy se o něm dozvěděl, ohlásí evropskému inspektorovi ochrany údajů, ledaže je nepravděpodobné, že by toto porušení mělo za následek riziko pro práva a svobody fyzických osob. Pokud není ohlášení evropskému inspektorovi ochrany údajů učiněno do 72 hodin, musí být současně s ním uvedeny důvody tohoto zpoždění.

2.Jakmile zpracovatel zjistí porušení zabezpečení osobních údajů, ohlásí je bez zbytečného odkladu správci.

3.V ohlášení uvedeném v odstavci 1 musí být přinejmenším:

a)popis povahy daného případu porušení zabezpečení osobních údajů včetně, pokud je to možné, kategorií a přibližného počtu dotčených subjektů údajů a kategorií a přibližného množství dotčených záznamů osobních údajů;

b)uvedeno jméno a kontaktní údaje pověřence pro ochranu údajů;

c)popis pravděpodobných důsledků porušení porušení zabezpečení osobních údajů;

d)popis opatření, která správce přijal nebo navrhl k přijetí s cílem vyřešit dané porušení zabezpečení osobních údajů, včetně případných opatření ke zmírnění možných nepříznivých dopadů.

4.Není-li možné poskytnout informace současně, mohou být poskytnuty postupně bez dalšího zbytečného odkladu.

5.Správce informuje o porušení zabezpečení osobních údajů pověřence pro ochranu údajů.

6.Správce dokumentuje veškeré případy porušení zabezpečení osobních údajů, přičemž uvede skutečnosti, které se týkají daného porušení, jeho účinky a přijatá nápravná opatření. Tato dokumentace musí evropskému inspektorovi ochrany údajů umožnit ověření souladu s tímto článkem.

Článek 38

Oznamování případů porušení zabezpečení osobních údajů subjektu údajů

1.Pokud je pravděpodobné, že určitý případ porušení zabezpečení osobních údajů bude mít za následek vysoké riziko pro práva a svobody fyzických osob, oznámí správce toto porušení bez zbytečného odkladu subjektu údajů.

2.V oznámení určeném subjektu údajů podle odstavce 1 tohoto článku se za použití jasných a jednoduchých jazykových prostředků popíše povaha porušení zabezpečení osobních údajů a uvedou se v něm přinejmenším informace a opatření uvedené v čl. 37 odst. 3 písm. b), c) a d).

3.Oznámení subjektu údajů uvedené v odstavci 1 se nevyžaduje, je-li splněna kterákoli z těchto podmínek:

a)správce zavedl náležitá technická a organizační ochranná opatření a tato opatření byla použita u osobních údajů dotčených porušením zabezpečení osobních údajů, zejména taková, která činí tyto údaje nesrozumitelnými pro kohokoli, kdo není oprávněn k nim mít přístup, jako je například šifrování;

b)správce přijal následná opatření, která zajistí, že vysoké riziko pro práva a svobody subjektů údajů podle odstavce 1 se již pravděpodobně neprojeví;

c)vyžadovalo by to nepřiměřené úsilí. V takovém případě musí být subjekty údajů informovány stejně účinným způsobem pomocí veřejného oznámení nebo podobného opatření.

4.Jestliže správce dotčenému subjektu údajů porušení zabezpečení osobních údajů ještě neoznámil, může evropský inspektor ochrany údajů po posouzení pravděpodobnosti toho, že dané porušení bude mít za následek vysoké riziko, požadovat, aby tak učinil, nebo může rozhodnout, že je splněna některá z podmínek uvedených v odstavci 3.

ODDÍL 3

POSOUZENÍ VLIVU NA OCHRANU OSOBNÍCH ÚDAJŮ A PŘEDCHOZÍ KONZULTACE

Článek 39

Posouzení vlivu na ochranu osobních údajů

1.Pokud je pravděpodobné, že určitý druh zpracování, zejména při využití nových technologií, bude s přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování mít za následek vysoké riziko pro práva a svobody fyzických osob, provede správce před zpracováním posouzení vlivu zamýšlených operací zpracování na ochranu osobních údajů. Pro soubor podobných operací zpracování, které představují podobné vysoké riziko, může stačit jedno posouzení.

2.Při provádění posouzení vlivu na ochranu osobních údajů si správce vyžádá posudek pověřence pro ochranu osobních údajů.

3.Posouzení vlivu na ochranu osobních údajů podle odstavce 1 je nutné zejména v těchto případech:

a)systematické a rozsáhlé vyhodnocování osobních aspektů týkajících se fyzických osob, které je založeno na automatizovaném zpracování, včetně profilování, a na němž se zakládají rozhodnutí, která vyvolávají ve vztahu k fyzickým osobám právní účinky nebo mají na fyzické osoby podobně závažný dopad;

b)rozsáhlé zpracovávání zvláštních kategorií údajů uvedených v článku 10 nebo osobních údajů týkajících se rozsudků v trestních věcech a trestných činů uvedených v článku 11; nebo

c) rozsáhlé systematické monitorování veřejně přístupných prostorů.

4.Evropský inspektor ochrany údajů sestaví a zveřejní seznam druhů operací zpracování, které podléhají požadavku na posouzení vlivu na ochranu osobních údajů podle odstavce 1.

5.Evropský inspektor ochrany údajů může rovněž sestavit a zveřejnit seznam druhů operací zpracování, u nichž není posouzení vlivu na ochranu osobních údajů nutné.

6.Posouzení obsahuje alespoň:

a)systematický popis zamýšlených operací zpracování a účely zpracování;

b)posouzení nezbytnosti a přiměřenosti operací zpracování z hlediska účelů;

c)posouzení rizik pro práva a svobody subjektů údajů uvedených v odstavci 1; a

d)plánovaná opatření k řešení těchto rizik, včetně záruk, bezpečnostních opatření a mechanismů k zajištění ochrany osobních údajů a k doložení souladu s tímto nařízením, s přihlédnutím k právům a oprávněným zájmům subjektů údajů a dalších dotčených osob.

7.Dodržování schválených kodexů chování podle článku 40 nařízení (EU) 2016/679 příslušnými zpracovateli jinými než orgány nebo subjekty Unie se řádně zohlední při posuzování dopadu operací zpracování prováděných těmito zpracovateli, zejména pro účely posouzení vlivu na ochranu osobních údajů.

8.Správce ve vhodných případech získá k zamýšlenému zpracování stanovisko subjektů údajů nebo jejich zástupců, aniž by byla dotčena ochrana veřejných zájmů nebo zabezpečení operací zpracování.

9.Pokud má zpracování podle čl. 5 odst. 1 písm. a) nebo b) právní základ v právním aktu přijatém na základě Smluv, který upravuje konkrétní operaci nebo soubor operací zpracování, a pokud bylo posouzení vlivu na ochranu osobních údajů již provedeno jakožto součást obecného posouzení dopadů v souvislosti s přijetím uvedeného právního aktu, odstavce 1 až 6 se nepoužijí, ledaže by právo Unie stanovilo jinak.

10.Správce případně provede přezkum s cílem posoudit, zda je zpracování prováděno v souladu s posouzením vlivu na ochranu osobních údajů alespoň v případech, kdy dojde ke změně rizika, jež představují operace zpracování.

Článek 40

Předchozí konzultace

1.Pokud z posouzení vlivu na ochranu osobních údajů podle článku 39 vyplývá, že by zpracování v případě, že neexistují záruky, bezpečnostní opatření ani mechanismy ke zmírnění rizika, představovalo vysoké riziko pro práva a svobody fyzických osob, a pokud je správce toho názoru, že riziko nelze zmírnit prostředky přiměřenými z hlediska dostupných technologií a nákladů na provedení, musí správce před zahájením zpracování konzultovat evropského inspektora ochrany údajů. Správce se poradí s pověřencem pro ochranu osobních údajů, zda je potřeba předchozí konzultace.

2.Pokud se evropský inspektor ochrany údajů domnívá, že by zamýšlené zpracování uvedené v odstavci 1 porušilo toto nařízení, zejména pokud správce nedostatečně určil či zmírnil riziko, upozorní na to správce a případně zpracovatele údajů písemně ve lhůtě nejvýše osmi týdnů od obdržení žádosti o konzultaci a může uplatnit kteroukoli ze svých pravomocí uvedených v článku 59. Tato lhůta může být s ohledem na složitost zamýšleného zpracování prodloužena o šest týdnů. Evropský inspektor ochrany údajů informuje správce a případně zpracovatele o každém takovém prodloužení a o jeho důvodech do jednoho měsíce od obdržení žádosti o konzultaci. Tyto lhůty mohou být pozastaveny, dokud evropský inspektor ochrany údajů neobdrží veškeré informace, o které požádal pro účely konzultace.

3.Při konzultaci evropského inspektora ochrany údajů podle odstavce 1 mu správce poskytne informace popisující:

a)ve vhodných případech rozdělení odpovědnosti správce, společných správců a zpracovatelů zapojených do zpracování;

b)účely a způsoby zamýšleného zpracování;

c)opatření a záruky poskytnuté za účelem ochrany práv a svobod subjektů údajů podle tohoto nařízení;

d)kontaktní údaje pověřence pro ochranu údajů;

e)posouzení vlivu na ochranu osobních údajů podle článku 39 a

f)veškeré další informace vyžádané evropským inspektorem ochrany údajů.

4.Komise může prováděcím aktem určit seznam případů, ve kterých správci musí konzultovat evropského inspektora ochrany údajů a získat od něj předchozí povolení, pokud jde o zpracování správcem za účelem vykonání úkolu ve veřejném zájmu, včetně zpracování v souvislosti se sociální ochranou a veřejným zdravím.

ODDÍL 4

INFORMACE A LEGISLATIVNÍ KONZULTACE

Článek 41

Informace

Orgány a subjekty Unie uvědomí evropského inspektora ochrany údajů o vypracování správních opatření a vnitřních předpisů souvisejících se zpracováním osobních údajů, na kterém se podílí orgán nebo subjekt Unie samostatně nebo ve spolupráci s jinými.

Článek 42

Legislativní konzultace

1.Po přijetí návrhů legislativních aktů a doporučení nebo návrhů pro Radu podle článku 218 SFEU a při přípravě aktů v přenesené pravomoci nebo prováděcích aktů, které mají vliv na ochranu práv a svobod fyzických osob v souvislosti se zpracováváním osobních údajů, konzultuje Komise evropského inspektora ochrany údajů.

2.Jestliže akt uvedený v odstavci 1 má zvláštní význam pro ochranu práv a svobod fyzických osob v souvislosti se zpracováním osobních údajů, může Komise rovněž konzultovat Evropský sbor pro ochranu osobních údajů. V takových případech evropský inspektor ochrany údajů a Evropský sbor pro ochranu údajů koordinují svou práci s cílem vydat společné stanovisko.

3.Poradenství uvedené v odstavcích 1 a 2 se poskytuje písemně ve lhůtě osmi týdnů od obdržení žádosti o konzultaci uvedenou v odstavcích 1 a 2. V naléhavých nebo jinak vhodných případech může Komise tuto lhůtu zkrátit.

4.Tento článek se nepoužije, musí-li Komise podle nařízení (EU) 2016/679 konzultovat Evropský sbor pro ochranu údajů.

ODDÍL 5

POVINNOST ODPOVĚDĚT NA VYJÁDŘENÍ

Článek 43

Povinnost odpovědět na vyjádření

Jestliže evropský inspektor ochrany údajů vykonává pravomoci stanovené v čl. 59 odst. 2 písm. a), b) a c), dotčený správce nebo zpracovatel informují evropského inspektora ochrany údajů o svých stanoviscích v přiměřené lhůtě, kterou po zohlednění okolností jednotlivé věci určí evropský inspektor ochrany údajů. Stanovisko obsahuje rovněž popis případných přijatých opatření, která reagují na připomínky evropského inspektora ochrany údajů.

ODDÍL 6

POVĚŘENEC PRO OCHRANU ÚDAJŮ

Článek 44

Jmenování pověřence pro ochranu údajů

1.Každý orgán nebo subjekt Unie jmenuje pověřence pro ochranu údajů.

2.Orgány a subjekty Unie mohou jmenovat jednoho pověřence pro ochranu údajů pro několik z nich, přičemž zohlední svou organizační strukturu a velikost.

3.Pověřenec pro ochranu osobních údajů musí být jmenován na základě svých profesních kvalit, zejména na základě svých odborných znalostí práva a praxe v oblasti ochrany údajů, a své schopnosti plnit úkoly stanovené v článku 46.

4.Pověřenec pro ochranu osobních údajů může být pracovníkem orgánu nebo subjektu Unie, nebo může úkoly plnit na základě smlouvy o poskytování služeb.

5.Orgány a subjekty Unie zveřejní kontaktní údaje pověřence pro ochranu osobních údajů a sdělí je evropskému inspektorovi ochrany údajů.

Článek 45

Postavení pověřence pro ochranu údajů

1.Orgány a subjekty Unie zajistí, aby byl pověřenec pro ochranu údajů náležitě a včas zapojen do veškerých záležitostí souvisejících s ochranou osobních údajů.

2.Orgány a subjekty Unie podporují pověřence pro ochranu údajů při plnění úkolů uvedených v článku 46 tím, že mu poskytují zdroje nezbytné k plnění těchto úkolů, k přístupu k osobním údajům a operacím zpracování a k udržování jeho odborných znalostí.

3.Orgány a subjekty Unie zajistí, aby pověřenec pro ochranu údajů nedostával žádné pokyny týkající se výkonu těchto úkolů. V souvislosti s plněním svých úkolů nesmí být správcem nebo zpracovatelem propuštěn ani sankcionován. Pověřenec pro ochranu osobních údajů je přímo podřízen nejvyššímu vedení správce nebo zpracovatele.

4.Subjekty údajů se mohou obracet na pověřence pro ochranu údajů ve všech záležitostech souvisejících se zpracováním jejich osobních údajů a výkonem jejich práv podle tohoto nařízení.

5.Pověřenec pro ochranu údajů a jeho zaměstnanci jsou v souvislosti s výkonem svých úkolů vázáni tajemstvím nebo důvěrností, v souladu s právem Unie.

6.Pověřenec pro ochranu údajů může plnit i jiné úkoly a povinnosti. Správce nebo zpracovatel zajistí, aby žádné z těchto úkolů a povinností nevedly ke střetu zájmů.

7.Správce a zpracovatel, příslušný výbor zaměstnanců nebo jakákoli fyzická osoba mohou pověřence pro ochranu údajů konzultovat přímo, aniž by využívali úřední cesty, k jakékoli otázce týkající se výkladu nebo používání tohoto nařízení. Nikdo nesmí být poškozen za to, že upozornil příslušného pověřence pro ochranu údajů na skutečnost, při níž podle něj došlo k porušení ustanovení tohoto nařízení.

8.Pověřenec pro ochranu údajů je jmenován na funkční období tří až pěti let a může být jmenován opětovně. Z funkce pověřence pro ochranu údajů ho může orgán nebo subjekt Unie, které ho jmenovaly, odvolat pouze se souhlasem evropského inspektora ochrany údajů, přestane-li splňovat podmínky požadované pro výkon jeho funkce.

9.Po jmenování pověřence pro ochranu údajů sdělí orgán nebo subjekt Unie, který jej jmenoval, jeho jméno evropskému inspektorovi ochrany údajů.

Článek 46

Úkoly pověřence pro ochranu údajů

1.Pověřenec pro ochranu údajů vykonává tyto úkoly:

a)poskytování informací a poradenství správcům nebo zpracovatelům a zaměstnancům, kteří provádějí zpracování, o jejich povinnostech podle tohoto nařízení a dalších předpisů Unie v oblasti ochrany údajů;

b)zajišťování nezávislým způsobem vnitřního uplatňování tohoto nařízení a monitorování souladu s tímto nařízením, dalšími předpisy Unie nebo členských států v oblasti ochrany údajů a s koncepcemi správce nebo zpracovatele v oblasti ochrany osobních údajů, včetně rozdělení odpovědnosti, zvyšování povědomí a odborné přípravy pracovníků zapojených do operací zpracování a souvisejících auditů;

c)zajišťování informovanosti subjektů údajů o svých právech a povinnostech vyplývajících z tohoto nařízení;

d)poskytování poradenství na požádání, pokud jde o nezbytnost ohlašování případů porušení zabezpečení osobních údajů podle článků 37 a 38;

e)poskytování poradenství na požádání, pokud jde o posouzení vlivu na ochranu osobních údajů a monitorování jeho provádění podle článku 39 a konzultování evropského inspektora ochrany údajů v případě pochybností o potřebě provést posouzení dopadu na ochranu údajů;

f)poskytování poradenství na požádání, pokud jde o potřebu předchozí konzultace s evropským inspektorem ochrany údajů podle článku 40, a konzultování evropského inspektora ochrany údajů v případě pochybností o potřebě předchozí konzultace;

g)odpovídání na žádosti evropského inspektora ochrany údajů a v oblasti své působnosti o spolupráci a konzultaci s evropským inspektorem ochrany údajů na jeho žádost nebo z vlastního podnětu.

2.Pověřenec pro ochranu údajů může vydávat doporučení pro správce a zpracovatele ohledně praktických zlepšení a poskytovat jim poradenství ohledně záležitostí týkajících se uplatňování ustanovení na ochranu údajů. Dále může z vlastního podnětu nebo na žádost správce nebo zpracovatele, příslušného výboru zaměstnanců nebo jakékoli fyzické osoby vyšetřovat otázky a skutečnosti, které přímo souvisejí s jeho úkoly a které mu byly oznámeny, a podat zprávu osobě, která o prošetření požádala, nebo správci nebo zpracovateli.

3.Další prováděcí pravidla týkající se pověřence pro ochranu údajů si přijímá každý orgán nebo subjekt Unie. Tato prováděcí pravidla se týkají zejména úkolů, povinností a pravomocí pověřence pro ochranu údajů.

KAPITOLA V

Předávání osobních údajů do třetích zemí nebo mezinárodním organizacím

Článek 47

Obecná zásada pro předávání

K jakémukoli předání osobních údajů, které jsou předmětem zpracování nebo které jsou určeny ke zpracování po předání do třetí země nebo mezinárodní organizaci, může dojít pouze tehdy, splní-li správce a zpracovatel v závislosti na ostatních ustanoveních tohoto nařízení podmínky stanovené v této kapitole, včetně podmínek pro další předávání osobních údajů z dané třetí země nebo mezinárodní organizace do jiné třetí země nebo jiné mezinárodní organizaci. Veškerá ustanovení této kapitoly se použijí s cílem zajistit, aby úroveň ochrany fyzických osob zaručená tímto nařízením nebyla znehodnocena.

Článek 48

Předání založené na rozhodnutí o odpovídající ochraně

1.Předávání osobních údajů do určité třetí země nebo určité mezinárodní organizaci se může uskutečnit, jestliže Komise rozhodla podle čl. 45 odst. 3 nařízení (EU) 2016/679, že tato třetí země, určité území nebo jedno či více konkrétních odvětví v této třetí zemi, nebo tato mezinárodní organizace zajišťují odpovídající úroveň ochrany a osobní údaje jsou předány pouze s cílem umožnit plnění úkolů, na které se vztahuje pravomoc správce.

2.Orgány a subjekty Unie informují Komisi a evropského inspektora ochrany údajů o případech, kdy se domnívají, že dotčená třetí země nebo mezinárodní organizace nezajišťují odpovídající úroveň ochrany ve smyslu odstavce 1.

3.Orgány a subjekty Unie přijmou nezbytná opatření, aby vyhověly rozhodnutím přijatým Komisí, která v souladu s čl. 45 odst. 3 a 5 nařízení (EU) 2016/679 stanoví, zda třetí země nebo mezinárodní organizace zajišťuje nebo již nezajišťuje odpovídající úroveň ochrany.

Článek 49

Předání založené na vhodných zárukách

1.Jestliže neexistuje rozhodnutí podle čl. 45 odst. 3 nařízení (EU) 2016/679, správce nebo zpracovatel mohou předat osobní údaje do třetí země nebo mezinárodní organizaci, pouze pokud správce nebo zpracovatel poskytl vhodné záruky a za podmínky, že jsou k dispozici vymahatelná práva subjektu údajů a účinná právní ochrana subjektů údajů.

2.Vhodné záruky uvedené v odstavci 1 mohou být stanoveny, aniž je zapotřebí jakékoli zvláštní povolení evropského inspektora ochrany údajů, pomocí:

a)právně závazného a vymahatelného nástroje mezi orgány veřejné moci nebo veřejnými subjekty;

b)standardních doložek o ochraně osobních údajů přijatých Komisí přezkumným postupem podle čl. 70 odst. 2;

c)standardních doložek o ochraně údajů přijatých evropským inspektorem ochrany údajů a schválených Komisí přezkumným postupem podle čl. 70 odst. 2;

d)závazných podnikových pravidel, kodexů chování a mechanismu pro vydávání osvědčení podle čl. 46 odst. 2 písm. b), e) a f) nařízení (EU) 2016/679, když zpracovatel není orgánem nebo subjektem Unie.

3.S výhradou povolení od evropského inspektora ochrany údajů mohou být vhodné záruky uvedené v odstavci 1 rovněž stanoveny zejména pomocí:

a)smluvních doložek mezi správcem nebo zpracovatelem a správcem, zpracovatelem nebo příjemcem osobních údajů ve třetí zemi nebo v mezinárodní organizaci; nebo

b)ustanovení určených k vložení do správních ujednání mezi orgány veřejné moci nebo veřejnými subjekty, která zahrnují vymahatelná a účinná práva subjektu údajů.

4.Orgány a subjekty Unie informují evropského inspektora ochrany údajů o kategoriích případů, ve kterých byl tento článek použit.

5.Povolení evropského inspektora ochrany údajů na základě čl. 9 odst. 7 nařízení (ES) č. 45/2001 zůstávají platná až do chvíle, kdy je evropský inspektor ochrany údajů v případě potřeby změní, nahradí nebo zruší.

Článek 50

Předání či zveřejnění údajů nepovolená právem Unie

Rozhodnutí soudního orgánu a rozhodnutí správního orgánu třetí země, jež po správci nebo zpracovateli požadují předání nebo zpřístupnění osobních údajů, lze jakýmkoli způsobem uznat nebo vymáhat, pouze pokud vycházejí z mezinárodní dohody, například úmluvy o vzájemné právní pomoci, která je v platnosti mezi žádající třetí zemí a Unií, aniž jsou dotčeny jiné důvody pro převod podle této kapitoly.

Článek 51

Výjimky pro specifické situace

1.Jestliže neexistuje rozhodnutí o odpovídající ochraně údajů podle čl. 45 odst. 3 nařízení (EU) 2016/679 nebo vhodné záruky podle článku 49, může se předání nebo soubor předání osobních údajů do třetí země nebo mezinárodní organizaci uskutečnit pouze při splnění jedné z následujících podmínek:

a)daný subjekt údajů byl informován o možných rizicích, která pro něj v důsledku absence rozhodnutí o odpovídající ochraně a vhodných záruk vyplývají, a následně k navrhovanému předání vydal svůj výslovný souhlas;

b)předání je nezbytné pro splnění smlouvy mezi subjektem údajů a správcem nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost subjektu údajů;

c)předání je nezbytné pro uzavření nebo splnění smlouvy, která byla uzavřena v zájmu subjektu údajů mezi správcem a jinou fyzickou nebo právnickou osobou;

d)předání je nezbytné z důležitých důvodů veřejného zájmu;

e)předání je nezbytné pro určení, výkon nebo obhajobu právních nároků; nebo

f)předání je nezbytné k ochraně životně důležitých zájmů subjektu údajů nebo jiných osob v případě, že subjekt údajů není fyzicky nebo právně způsobilý udělit svůj souhlas; nebo

g)k předání dochází z rejstříku, který je na základě práva Unie určen pro informování veřejnosti a je přístupný k nahlížení veřejnosti obecně nebo jakékoli osobě, která může prokázat oprávněný zájem, avšak pouze pokud jsou v daném případě splněny podmínky pro nahlížení stanovené právem Unie.

2.Předmětem předání podle odst. 1 písm. g) nejsou veškeré osobní údaje nebo veškeré kategorie osobních údajů, které jsou v rejstříku obsaženy, není-li to povoleno právem Unie. Má-li rejstřík sloužit k nahlížení osobám majícím oprávněný zájem, předání se uskuteční, pouze pokud o to tyto osoby požádají nebo pokud tyto osoby mají být příjemcem.

3.Veřejný zájem uvedený v odst. 1 písm. d) musí být uznán právem Unie.

4.V případě absence rozhodnutí o odpovídající ochraně může právo Unie z důležitých důvodů veřejného zájmu výslovně stanovit omezení předání konkrétních kategorií osobních údajů do třetí země nebo mezinárodní organizaci.

5.Orgány a subjekty Unie uvědomí evropského inspektora ochrany údajů o kategoriích případů, u nichž se tento článek uplatnil.

Článek 52

Mezinárodní spolupráce v zájmu ochrany osobních údajů

Ve vztahu k třetím zemím a mezinárodním organizacím podnikne evropský inspektor ochrany údajů ve spolupráci s Komisí vhodné kroky v zájmu:

a)rozvoje mechanismů pro mezinárodní spolupráci, aby se usnadnilo účinné prosazování právních předpisů na ochranu osobních údajů;

b)poskytování vzájemné pomoci na mezinárodní úrovni při prosazování právních předpisů na ochranu osobních údajů, a to mimo jiné formou oznamování, postupování stížností, pomoci při vyšetřování a výměny informací, pod podmínkou vhodných záruk pro ochranu osobních údajů a jiných základních práv a svobod;

c)zapojení příslušných zúčastněných stran do diskuse a činností zacílených na prohlubování mezinárodní spolupráce při prosazování právních předpisů na ochranu osobních údajů;

d)podpoření výměny a dokumentace v souvislosti s právními předpisy a praxí v oblasti ochrany osobních údajů, mimo jiné o kompetenčních sporech se třetími zeměmi.

KAPITOLA VI

EVROPSKÝ INSPEKTOR OCHRANY ÚDAJŮ

Článek 53

Evropský inspektor ochrany údajů

1.Zřizuje se evropský inspektor ochrany údajů.

2.V oblasti zpracování osobních údajů je evropský inspektor ochrany údajů povinen zajistit, aby orgány a subjekty Unie dodržovaly základní práva a svobody fyzických osob, zejména jejich právo na ochranu údajů.

3.Evropský inspektor ochrany údajů je pověřen sledováním a zajišťováním toho, aby byla uplatňována ustanovení tohoto nařízení a všechny ostatní akty Unie související s ochranou základních práv a svobod fyzických osob v souvislosti se zpracováním osobních údajů orgánem či subjektem Unie, a dále je pověřen poradenstvím pro orgány a subjekty Unie a subjekty údajů pro všechny otázky, které se týkají zpracování osobních údajů. Za tímto účelem plní evropský inspektor ochrany údajů povinnosti stanovené v článku 58 a vykonává pravomoci stanovené v článku 59.

Článek 54

Jmenování evropského inspektora ochrany údajů

1.Evropský parlament a Rada společnou dohodou jmenují evropského inspektora ochrany údajů na období pěti let na základě seznamu sestaveného Komisí po veřejné výzvě k přihlášení uchazečů. Tato výzva musí umožnit všem zájemcům v Unii, aby podali svou přihlášku. Seznam uchrazečů sestavený Komisí je veřejný. Na základě seznamu vypracovaného Komisí může příslušný výbor Evropského parlamentu uspořádat slyšení, aby mohl stanovit pořadí uchazečů.

2.Seznam vypracovaný Komisí, ze kterého se vybere evropský inspektor ochrany údajů, tvoří osoby, jejichž nezávislost je nade vší pochybnost a jež prokázaly zkušenosti a dovednosti potřebné k výkonu povinností evropského inspektora ochrany údajů, například protože působí nebo působily v dozorových úřadech zřízených podle článku 41 nařízení (EU) 2016/679.

3.Funkční období evropského inspektora ochrany údajů lze je jednou prodloužit.

4.Povinnosti evropského inspektora ochrany údajů zanikají za následujících okolností:

(a)pokud je evropský inspektor ochrany údajů nahrazen;

(b) pokud evropský inspektor ochrany údajů odstoupí z funkce;

(c)pokud je evropský inspektor ochrany údajů odvolán z funkce nebo nuceně odchází do důchodu.

5.Evropského inspektora ochrany údajů může z funkce odvolat nebo zbavit práva na důchod nebo jiných výhod vyplývajících z tohoto postavení Soudní dvůr Evropské unie na žádost Evropského parlamentu, Rady nebo Komise, nesplňuje-li nadále podmínky nezbytné pro výkon svých povinností nebo porušil-li závažným způsobem své povinnosti.

6.V případě pravidelné obměny nebo dobrovolného odstoupení zůstává evropský inspektor ochrany údajů ve funkci, dokud není nahrazen.

7.Na evropského inspektora ochrany údajů se vztahují články 11 až 14 a 17 Protokolu o výsadách a imunitách Evropské unie.

Článek 55

Úprava a obecné podmínky výkonu funkce evropského inspektora ochrany údajů, lidské a finanční zdroje

1.Pokud jde o určování odměny, náhrad, starobního důchodu a všech dalších náhrad poskytovaných místo odměny, považuje se evropský inspektor ochrany údajů za rovnocenného soudci Soudního dvora Evropské unie.

2.Rozpočtový orgán zajistí, aby evropský inspektor ochrany údajů měl k dispozici lidské a finanční zdroje nutné pro výkon jeho úkolů.

3.Rozpočet evropského inspektora ochrany údajů je veden v samostatném okruhu v oddíle IX souhrnného rozpočtu Evropské unie.

4.Evropskému inspektorovi ochrany údajů je nápomocen sekretariát. Úředníky a ostatní zaměstnance sekretariátu jmenuje evropský inspektor ochrany údajů, který je jejich nadřízeným. Tyto osoby mu výlučně podléhají. O jejich počtu se rozhoduje každý rok v rozpočtovém procesu.

5.Úředníci a ostatní zaměstnanci sekretariátu evropského inspektora ochrany údajů podléhají pravidlům a nařízením platným pro úředníky a ostatní zaměstnance Evropské unie.

6.Evropský inspektor ochrany údajů má sídlo v Bruselu.

Článek 56

Nezávislost

1.Evropský inspektor ochrany údajů jedná při plnění svých úkolů a při výkonu svých pravomocí podle tohoto nařízení zcela nezávisle.

2.Evropský inspektor ochrany údajů musí být při plnění svých úkolů a výkonu svých pravomocí podle tohoto nařízení i nadále nezávislý na vnějším vlivu, přímém či nepřímém, a od nikoho nesmí vyžadovat ani přijímat pokyny.

3.Evropský inspektor ochrany údajů se zdrží jakéhokoliv jednání neslučitelného s jeho funkcí a během svého funkčního období nesmí vykonávat žádnou výdělečnou ani nevýdělečnou pracovní činnost.

4.Po skončení svého funkčního období je evropský inspektor ochrany údajů povinen při přijímání určitých funkcí a výhod jednat čestně a uvážlivě.

Článek 57

Povinnost mlčenlivosti

Evropský inspektor ochrany údajů a jeho zaměstnanci jsou povinni během svého funkčního období a po jeho skončení dodržovat povinnost mlčenlivosti týkající se všech důvěrných informací, o nichž se dozvěděli během výkonu svých služebních povinností.

Článek 58

Úkoly

1.Aniž jsou dotčeny další úkoly stanovené tímto nařízením, evropský inspektor ochrany údajů:

a)kontroluje a vymáhá uplatňování tohoto nařízení a všech dalších aktů Unie, které se týkají ochrany fyzických osob v souvislosti se zpracováním osobních údajů orgány a subjekty Unie, s výjimkou zpracování osobních údajů Soudním dvorem Evropské unie při výkonu jeho funkce soudního orgánu;

b)zvyšuje povědomí veřejnosti o rizicích, pravidlech, zárukách a právech v souvislosti se zpracováním a podporuje porozumění těmto otázkám. Zvláštní pozornost se přitom věnuje akcím, které jsou určeny speciálně pro děti;

c)podporuje povědomí správců a zpracovatelů o jejich povinnostech podle tohoto nařízení;

d)na požádání poskytuje všem subjektům údajů informace ohledně výkonu jejich práv podle tohoto nařízení a, je-li to vhodné, spolupracuje za tímto účelem s dozorovými úřady v členských státech;

e)sdružení v souladu s článkem 67, a ve vhodné míře prošetřuje předmět stížnosti a v přiměřené lhůtě informuje stěžovatele o vývoji a výsledku šetření, zejména v případech, kdy je zapotřebí další šetření nebo koordinace s jiným dozorovým úřadem;

f)provádí šetření o uplatňování tohoto nařízení, mimo jiné na základě informací obdržených od jiného dozorového úřadu či jiného orgánu veřejné moci;

g)všem orgánům a subjektům Unie poskytuje poradenství o právních a správních opatřeních, jež se týkají ochrany práv a svobod fyzických osob v souvislosti se zpracováváním osobních údajů;

h)monitoruje vývoj v relevantních oblastech, pokud mají vliv na ochranu osobních údajů, zejména vývoj informačních a komunikačních technologií;

i)přijímá standardní smluvní doložky uvedené v čl. 29 odst. 8 a čl. 49 odst. 2 písm. c);

j)připravuje a udržuje seznam v souvislosti s požadavkem provádět posouzení vlivu na ochranu osobních údajů podle čl. 39 odst. 4;

k)účastní se činností Evropského sboru pro ochranu údajů zřízeného článkem 68 nařízení (EU) 2016/679;

l)poskytuje služby sekretariátu pro Evropský sbor pro ochranu údajů v souladu s článkem 75 nařízení (EU) 2016/679;

m)poskytuje poradenství o zpracování uvedeném v čl. 40 odst. 2;

n)schvaluje smluvní doložky a ustanovení uvedené v čl. 49 odst. 3;

o)vede interní záznamy o porušeních tohoto nařízení a o opatřeních přijatých podle čl. 59 odst. 2;

p)plní veškeré další úkoly související s ochranou osobních údajů; a

q)vypracuje svůj jednací řád.

2.Evropský inspektor ochrany údajů usnadňuje podávání stížností uvedených v odst. 1 písm. e) poskytnutím formuláře pro podávání stížností, který lze vyplnit i v elektronické formě, aniž jsou vyloučeny jiné komunikační prostředky.

3.Evropský inspektor ochrany údajů neúčtuje subjektům údajů za plnění svých úkolů žádné poplatky.

4.Jsou-li žádosti zjevně nedůvodné nebo nepřiměřené, zejména protože se opakují, může evropský inspektor ochrany údajů odmítnout zabývat se žádostí. Zjevnou nedůvodnost nebo nepřiměřenost žádosti dokládá evropský inspektor ochrany údajů.

Článek 59

Pravomoci

1.Evropský inspektor ochrany údajů má tyto vyšetřovací pravomoci:

a)nařídit správci a zpracovateli, aby mu poskytli veškeré informace, které potřebuje pro plnění svých úkolů;

b)provádět vyšetřování formou auditů ochrany údajů;

c)ohlásit správci nebo zpracovateli údajné porušení tohoto nařízení;

d)získat od správce a zpracovatele přístup ke všem osobním údajům a ke všem informacím, které potřebuje pro plnění svých úkolů;

e)získat přístup do všech prostor, v nichž správce a zpracovatel působí, včetně přístupu k veškerému zařízení a prostředkům určeným ke zpracování údajů, v souladu s procesním právem Unie nebo členského státu.

2.Evropský inspektor ochrany údajů má tyto nápravné pravomoci:

a)upozornit správce či zpracovatele, že zamýšlenými operacemi zpracování se pravděpodobně porušuje toto nařízení;

b)udělit napomenutí správci či zpracovateli, jehož operace zpracování porušily toto nařízení;

c)předložit věc dotčenému správci nebo zpracovateli a v případě potřeby Evropskému parlamentu, Radě a Komisi;

d)nařídit správci nebo zpracovateli, aby vyhověli žádostem subjektu údajů o výkon jeho práv podle tohoto nařízení;

e)nařídit správci či zpracovateli, aby uvedl operace zpracování do souladu s tímto nařízením, a to případně předepsaným způsobem a ve stanovené lhůtě;

f)nařídit správci, aby subjektu údajů oznámil případy porušení zabezpečení osobních údajů;

g)uložit dočasné nebo trvalé omezení zpracování, včetně jeho zákazu;

h)nařídit opravu či výmaz osobních údajů nebo omezení zpracování podle článků 18, 19 a 20 a ohlašování takových opatření příjemcům, jimž byly osobní údaje zpřístupněny podle čl. 19 odst. 2 a článku 21;

i)uložit správní pokutu podle článku 66 v případě, že orgán nebo subjekt Unie nesplní jedno z opatření uvedených v tomto odstavci a v závislosti na okolnostech každého jednotlivého případu;

j)nařídit přerušení toků údajů příjemci v členském státě, v třetí zemi nebo toků údajů mezinárodní organizaci.

3.Evropský inspektor ochrany údajů má tyto povolovací a poradní pravomoci:

a)poskytovat poradenství subjektům údajů při výkonu jejich práv;

b)poskytovat poradenství správci v souladu s postupem předchozí konzultace podle článku 40;

c)z vlastního podnětu nebo na požádání vydávat stanoviska určená orgánům a subjektům Unie, jakož i veřejnosti, ohledně veškerých otázek souvisejících s ochranou osobních údajů;

d)přijímat standardní doložky o ochraně údajů podle čl. 29 odst. 8 a čl. 49 odst. 2 písm. c);

e)povolovat smluvní doložky podle čl. 49 odst. 3 písm. a);

f)povolovat správní ujednání podle čl. 49 odst. 3 písm. b).

4.Výkon pravomocí svěřených tímto článkem evropskému inspektorovi ochrany údajů podléhá vhodným zárukám, včetně účinné soudní ochrany a spravedlivého procesu, stanoveným v právu Unie.

5.Evropský inspektor ochrany údajů má pravomoc postoupit věc Soudnímu dvoru Evropské unie za podmínek stanovených ve Smlouvě a intervenovat v žalobách podaných k Soudnímu dvoru Evropské unie.

Článek 60

Zprávy o činnosti

1.Evropský inspektor ochrany údajů předkládá výroční zprávu o své činnosti Evropskému parlamentu, Radě a Komisi a zároveň ji zveřejňuje.

2.Evropský inspektor ochrany údajů předá tuto zprávu o činnosti ostatním orgánům a subjektům Unie, které mohou předložit připomínky k případnému přezkumu zprávy v Evropském parlamentu.

KAPITOLA VII

SPOLUPRÁCE A JEDNOTNOST

Článek 61

Spolupráce s vnitrostátními dozorovými úřady

Evropský inspektor ochrany údajů spolupracuje s dozorovými úřady zřízenými podle článku 41 nařízení (EU) 2016/679 a článku 51 směrnice (EU) 2016/680 (dále jen „vnitrostátní dozorové úřady“) a se společným kontrolním orgánem zřízeným podle článku 25 rozhodnutí Rady 2009/917/SVV 21 v rozsahu nutném pro plnění jejich příslušných úkolů, zejména tak, že si navzájem poskytují příslušné informace, že žádá vnitrostátní dozorové úřady o výkon jejich pravomocí nebo reaguje na žádosti od těchto úřadů.

Článek 62

Koordinovaný dozor evropského inspektora ochrany údajů a vnitrostátních dozorových úřadů

1.Pokud akt Unie odkazuje na tento článek, spolupracuje evropský inspektor ochrany údajů aktivně s vnitrostátními dozorovými úřady na zajištění účinného dozoru nad velkými systémy IT nebo subjekty Unie.

2.Evropský inspektor ochrany údajů při jednání v rámci svých příslušných pravomocí a odpovědností vyměňuje důležité informace, napomáhá při provádění auditů a inspekcí, přezkoumává problémy s výkladem nebo uplatňováním tohoto nařízení a ostatních použitelných aktů Unie, prostudovává problémy vztahující se k výkonu nezávislého dozoru nebo k výkonu práv subjektů údajů, vytváří harmonizované návrhy řešení problémů a zvyšuje informovanost o právech na ochranu údajů, v případě potřeby společně s vnitrostátních dozorovými úřady.

3.Pro účely uvedené v odstavci 2 se evropský inspektor ochrany údajů schází s vnitrostátními dozorovými úřady nejméně dvakrát ročně v rámci Evropského sboru pro ochranu údajů. Náklady na tato setkání nese a jejich organizaci zajišťuje Evropský sbor pro ochranu údajů. Na prvním setkání se přijme jednací řád. Podle potřeby se společně vypracují další pracovní metody.

4.Jednou za dva roky zašle Evropský sbor pro ochranu údajů Evropskému parlamentu, Radě a Komisi společnou zprávu o činnosti ohledně koordinovaného dozoru.

KAPITOLA VIII

PRÁVNÍ OCHRANA, ODPOVĚDNOST A SANKCE

Článek 63

Právo podat stížnost u evropského inspektora ochrany údajů

1.Aniž jsou dotčeny jakékoli prostředky soudní, správní nebo mimosoudní ochrany, má každý subjekt údajů právo podat stížnost u evropského inspektora ochrany údajů, pokud se domnívá, že zpracováním jeho osobních údajů je porušeno toto nařízení.

2.Evropský inspektor ochrany údajů subjekt údajů informuje o pokroku v řešení stížnosti a o jeho výsledku, jakož i o možnosti soudní ochrany podle článku 64.

3.Pokud se evropský inspektor ochrany údajů nezabývá stížností nebo neinformuje subjekt údajů do tří měsíců o pokroku v řešení stížnosti, považuje se stížnost za zamítnutou.

Článek 64

Právo na účinnou soudní ochranu

Soudní dvůr Evropské unie má soudní pravomoc pro řešení všech sporů, které se týkají tohoto nařízení, včetně žalob o náhradu škody.

Článek 65

Právo na náhradu újmy

Kdokoli, kdo v důsledku porušení tohoto nařízení utrpěl hmotnou či nehmotnou újmu, má právo obdržet od správce nebo zpracovatele náhradu utrpěné újmy za podmínek stanovených ve Smlouvách.

Článek 66

Správní sankce

1.Evropský inspektor ochrany údajů může uložit správní pokuty orgánům a subjektům Unie, v závislosti na okolnostech každého individuálního případu, když orgán nebo subjekt Unie nesplní příkaz evropského inspektora ochrany údajů podle čl. 59 odst. 2 písm. d) až h) a j). Při rozhodování o tom, zda uložit správní pokutu, a v jaké výši se v každém jednotlivém případě řádně zohlední tyto okolnosti:

a)povaha, závažnost a délka trvání porušení s přihlédnutím k povaze, rozsahu či účelu dotčeného zpracování, jakož i k počtu dotčených subjektů údajů a míře škody, jež jim byla způsobena;

b)kroky podniknuté orgánem nebo subjektem Unie ke zmírnění škod způsobených subjektům údajů;

c)míra odpovědnosti orgánu nebo subjektu Unie s přihlédnutím k technickým a organizačním opatřením jimi zavedeným podle článků 27 a 33;

d)všechna podobná předchozí porušení ze strany orgánu nebo subjektu Unie;

e)míra spolupráce s evropským inspektorem ochrany údajů za účelem nápravy daného porušení a zmírnění jeho možných nežádoucích účinků;

f)kategorie osobních údajů dotčené daným porušením;

g)způsob, jakým se evropský inspektor ochrany údajů dozvěděl o porušení, zejména zda orgány nebo subjekt Unie porušení oznámil, a pokud ano, v jaké míře;

h)v případě, že vůči danému orgánu nebo subjektu Unie byla v souvislosti s týmž předmětem dříve nařízena opatření uvedená v článku 59, splnění těchto opatření.

Řízení o uložení těchto pokut by měla proběhnout v přiměřeném časovém rámci v závislosti na okolnostech věci a zohledňovat příslušné úkony a řízení uvedené v článku 69.

2.Porušení povinností orgánu nebo subjektu Unie podle článků 8, 12, 27, 28, 29, 30, 31, 32, 33, 37, 38, 39, 40, 44, 45 a 46 podléhá v souladu s článkem 1 správním pokutám až do výše 25 000 EUR za jednotlivé porušení a 250 000 EUR celkem za rok.

3.Porušení následujících ustanovení ze strany orgánu nebo subjektu Unie podléhá v souladu s článkem 1 správním pokutám až do výše 50 000 EUR za jednotlivé porušení a 500 000 EUR celkem za rok:

a)základní zásady pro zpracování, včetně podmínek týkajících se souhlasu podle článků 4, 5, 7 a 10;

b)práva subjektů údajů podle článků 14 až 24;

c)předání osobních údajů příjemci ve třetí zemi nebo mezinárodní organizaci podle článků 47 až 51.

4.Pokud orgán nebo subjekt Unie u stejných nebo souvisejících nebo nepřetržitých operací zpracování poruší více ustanovení tohoto nařízení nebo několikrát stejné ustanovení tohoto nařízení, nesmí celková výše správní pokuty překročit výši stanovenou pro nejzávažnější porušení.

5.Před přijetím rozhodnutí podle tohoto článku poskytne evropský inspektor ochrany údajů orgánu nebo subjektu Unie, se kterým evropský inspektor ochrany údajů vede řízení, příležitost vyjádřit své stanovisko k záležitostem, ke kterým inspektor vznese námitky. Evropský inspektor ochrany údajů zakládá své rozhodnutí pouze na námitkách, ke kterým se mohly vyjádřit dotčené osoby. Stěžovatelé jsou s řízením úzce spojeni.

6.Při řízení musí být plně dodržováno právo dotyčných stran na obhajobu. Musí mít přístup do spisu evropského inspektora ochrany údajů, s výhradou oprávněného zájmu jednotlivců nebo podniků na ochraně jejich osobních údajů nebo obchodního tajemství.

7.Prostředky vybrané ukládáním pokut podle tohoto článku jsou příjmem souhrnného rozpočtu Evropské unie.

Článek 67

Zastupování subjektů údajů

Subjekt údajů má právo pověřit neziskový subjekt, organizaci nebo sdružení, jež byly řádně založeny v souladu s právem Unie nebo s právem některého členského státu, jejichž statutární cíle jsou ve veřejném zájmu a jež vyvíjejí činnost v oblasti ochrany práv a svobod subjektů údajů, aby v souvislosti s ochranou jeho osobních údajů podal jeho jménem stížnost u evropského inspektora ochrany údajů, uplatnil práva uvedená v článku 63 a uplatnil právo na odškodnění podle článku 65.

Článek 68

Stížnosti zaměstnanců Unie

Jakákoliv osoba zaměstnaná v orgánu nebo subjektu Unie může podat stížnost u evropského inspektora ochrany údajů týkající se údajného porušení ustanovení tohoto nařízení, aniž by postupovala úředními cestami. Nikomu nesmí být na újmu, že podal evropskému inspektorovi ochrany údajů stížnost na údajné porušení ochrany údajů.

Článek 69

Sankce

Jakékoli porušení povinností stanovených tímto nařízením, ať úmyslné nebo z nedbalosti, vystavuje úředníky nebo ostatní zaměstnance Evropské unie disciplinárním nebo jiným úkonům v souladu s pravidly stanovenými ve služebním řádu úředníků Evropské unie nebo v pracovním řádu ostatních zaměstnanců Evropské unie.

KAPITOLA IX

PROVÁDĚCÍ AKTY

Článek 70

Postup projednávání ve výboru

1.Komisi je nápomocen výbor zřízený článkem 93 nařízení (EU) 2016/679. Tento výbor je výborem ve smyslu nařízení (EU) č. 182/2011.

2.Odkazuje-li se na tento odstavec, použije se článek 5 nařízení (EU) č. 182/2011.

KAPITOLA X

ZÁVĚREČNÁ USTANOVENÍ

Článek 71

Zrušení nařízení (ES) č. 45/2001 a rozhodnutí č. 1247/2002/ES

Nařízení (ES) č. 45/2001 22 a rozhodnutí č. 1247/2002/ES 23 se zrušují s účinkem ode dne 25. května 2018. Odkazy na zrušené nařízení a zrušené rozhodnutí se považují za odkazy na toto nařízení.

Článek 72

Přechodná opatření

1.Tímto nařízením není dotčeno rozhodnutí Evropského parlamentu a Rady 2014/886/EU 24 a stávající funkční období evropského inspektora ochrany údajů a zástupce inspektora.

2.Pokud jde o určování odměny, náhrad, starobního důchodu a všech dalších náhrad poskytovaných místo odměny, se zástupce inspektora považuje za rovnocenného tajemníkovi Soudního dvora Evropské unie, .

3.Ustanovení čl. 54 odst. 4, 5 a 7 a článků 56 a 57 tohoto nařízení se vztahují na stávajícího zástupce inspektora do konce jeho funkčního období dne 5. prosince 2019.

4.Zástupce inspektora napomáhá evropskému inspektorovi ochrany údajů s plněním všech jeho povinností a jedná jako náhradník, když je evropský inspektor ochrany údajů nepřítomen nebo nemůže plnit tyto povinnosti, až do konce funkčního období zástupce inspektora dne 5. prosince 2019.

Článek 73

Vstup v platnost a použitelnost

1.Toto nařízení vstupuje v platnost dvacátým dnem po vyhlášení v Úředním věstníku Evropské unie.

2.Použije se ode dne 25. května 2018.

Toto nařízení je závazné v celém rozsahu a přímo použitelné ve všech členských státech.

V Bruselu dne

Za Evropský parlament Za Radu

předseda předseda/předsedkyně

LEGISLATIVNÍ FINANČNÍ VÝKAZ

1.RÁMEC NÁVRHU/PODNĚTU

1.1.Název návrhu/podnětu

1.2.Příslušné oblasti politik podle členění ABM/ABB

1.3.Povaha návrhu/podnětu

1.4.Cíle

1.5.Odůvodnění návrhu/podnětu

1.6.Doba trvání akce a finanční dopad

1.7.Předpokládaný způsob řízení

2.SPRÁVNÍ OPATŘENÍ

2.1.Pravidla pro sledování a podávání zpráv

2.2.Systém řízení a kontroly

2.3.Opatření k zamezení podvodů a nesrovnalostí

3.ODHADOVANÝ FINANČNÍ DOPAD NÁVRHU/PODNĚTU

3.1.Okruhy víceletého finančního rámce a dotčené výdajové rozpočtové položky

3.2.Odhadovaný dopad na výdaje

3.2.1.Odhadovaný souhrnný dopad na výdaje

3.2.2.Odhadovaný dopad na operační prostředky

3.2.3.Odhadovaný dopad na prostředky správní povahy

3.2.4.Soulad se stávajícím víceletým finančním rámcem

3.2.5.Příspěvky třetích stran

3.3.Odhadovaný dopad na příjmy

LEGISLATIVNÍ FINANČNÍ VÝKAZ

1.RÁMEC NÁVRHU/PODNĚTU

1.1.Název návrhu/podnětu

Návrh nařízení Evropského parlamentu a Rady o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány, institucemi a jinými subjekty Unie a o volném pohybu těchto údajů a o zrušení nařízení (ES) č. 45/2001 a rozhodnutí č. 1247/2002/ES.

1.2.Příslušné oblasti politik podle členění ABM/ABB 25

Spravedlnost – ochrana osobních údajů

1.3.Povaha návrhu/podnětu

◻ Návrh/podnět se týká nové akce

◻ Návrh/podnět se týká nové akce následující po pilotním projektu / přípravné akci 26

–Návrh/podnět se týká prodloužení stávající akce

◻ Návrh/podnět se týká akce přesměrované na jinou akci

1.4.Cíle

1.4.1.Víceleté strategické cíle Komise sledované návrhem/podnětem

Vstup Lisabonské smlouvy v platnost, zejména zavedení nového právního základu (článku 16 SFEU) nabízí příležitost zavést komplexní rámec ochrany údajů vztahující se na všechny oblasti.

Dne 27. dubna 2016 přijala Unie nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (Text s významem pro EHP), Úř. věst. L 119, 4.5.2016, s. 1–88.

Stejného dne přijala Unie směrnici Evropského parlamentu a Rady (EU) 2016/680 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, o volném pohybu těchto údajů a o zrušení rámcového rozhodnutí Rady 2008/977/SVV, Úř. věst. L 119, 4.5.2016, s. 89–131.

Cílem tohoto návrhu je dokončit zavedení komplexního rámce ochrany údajů v Unii tím, že budou sladěna pravidla ochrany údajů platná pro orgány a subjekty Unie s pravidly ochrany údajů stanovenými nařízením (EU) 2016/679. Pro účely jednotnosti a soudržnosti by orgány a subjekty Unie měly uplatňovat podobný soubor pravidel ochrany údajů jako veřejný sektor v členských státech.

1.4.2.Specifické cíle a příslušné aktivity ABM/ABB

Specifický cíl č. 1:

Zajistit jednotné uplatňování pravidel pro ochranu údajů v rámci Unie.

Specifický cíl č. 2:

Racionalizovat současný model řízení ochrany údajů v orgánech a subjektech Unie.

Specifický cíl č. 3:

Zajistit lepší dodržování a prosazování pravidel ochrany údajů v orgánech a subjektech Unie.

1.4.3.Očekávané výsledky a dopady

Upřesněte účinky, které by návrh/podnět měl mít na příjemce / cílové skupiny.

Pokud jde o orgány a subjekty Unie jako správce, měly by těžit z odklonu od stávajících správních procesů (přístup ex ante) ochrany údajů k účinnému dodržování a přísnějšímu prosazování hmotných pravidel ochrany údajů a novým zásadám a konceptům ochrany údajů zavedeným nařízením (EU) 2016/679 (přístup ex post), který bude používán v celé Unii.

Fyzické osoby, jejichž údaje zpracovávají orgány a subjekty Unie, budou mít lepší kontrolu nad svými osobními údaji a více věřit digitálnímu prostředí. Zajištěna bude rovněž větší odpovědnost orgánů a subjektů Unie.

Evropský inspektor ochrany údajů se bude moci více zaměřovat na svou dozorovou roli. Bude objasněno rozdělení úkolů u poradenství poskytovaného Komisi mezi evropským inspektorem ochrany údajů zřízeným nařízením (EU) 2016/679 a Evropským sborem pro ochranu údajů a bude zamezeno duplikacím.

1.4.4.Ukazatele výsledků a dopadů

Upřesněte ukazatele, podle kterých je možno uskutečňování návrhu/podnětu sledovat.

Ukazatele budou zahrnovat tyto prvky:

počet stanovisek vydaných Evropským sborem pro ochranu údajů a evropským inspektorem ochrany údajů,

přehled činností pověřenců pro ochranu údajů,

využití posouzení dopadu na ochranu údajů,

počet stížností podaných subjekty údajů,

pokuty uložené správcům údajů odpovědným za případy porušení ochrany údajů.

1.5.Odůvodnění návrhu/podnětu

1.5.1.Potřeby, které mají být uspokojeny v krátkodobém nebo dlouhodobém horizontu

V nařízení (EU) 2016/679 (čl. 2 odst. 3, článek 98 a 17. bod odůvodnění) spolutvůrci právních předpisů Unie vyzývají, aby se nařízení (ES) č. 45/2001 uzpůsobilo zásadám a pravidlům zavedeným nařízením (EU) 2016/679 s cílem zajistit pevný a soudržný rámec pro ochranu údajů v Unii a umožnit, aby oba nástroje byly uplatňovány současně, tj. dne 25. května 2018.

1.5.2.Přidaná hodnota ze zapojení EU

Pravidla ochrany údajů platná pro orgány a subjekty Unie lze zavést pouze aktem EU.

1.5.3.Závěry vyvozené z podobných zkušeností v minulosti

Stávající návrh vychází ze zkušeností s nařízením (ES) č. 45/2001 a z posouzení jeho uplatňování, které bylo provedeno v hodnotící studii (realizované externím smluvním dodavatelem v období mezi zářím 2014 a červnem 2015) 27 .

1.5.4.Soulad a možná synergie s dalšími vhodnými nástroji

Stávající návrh vychází z nařízení (EU) 2016/679 a dokončuje budování pevného, soudržného a moderního rámce pro ochranu údajů v Unii – technologicky neutrálního, který obstojí v budoucnu.

1.6.Doba trvání akce a finanční dopad

◻ Časově omezený návrh/podnět

–◻ Návrh/podnět s platností od [DD/MM]RRRR do [DD/MM]RRRR

–◻ Finanční dopad od RRRR do RRRR

Časově neomezený návrh/podnět

Provádění s obdobím rozběhu od roku [2017] do 25. května 2018, poté plné fungování.

1.7.Předpokládaný způsob řízení 28

Přímé řízení Komisí

–◻ prostřednictvím jejích útvarů, včetně jejích zaměstnanců v delegacích Unie;

–◻ prostřednictvím výkonných agentur;

◻ Sdílené řízení s členskými státy

◻ Nepřímé řízení, při kterém jsou úkoly souvisejícími s plněním rozpočtu pověřeny:

–◻ třetí země nebo subjekty určené těmito zeměmi;

–◻ mezinárodní organizace a jejich agentury (upřesněte);

–◻ EIB a Evropský investiční fond;

–◻ subjekty uvedené v článcích 208 a 209 finančního nařízení;

–◻ veřejnoprávní subjekty;

–◻ soukromoprávní subjekty pověřené výkonem veřejné služby v rozsahu, v jakém poskytují dostatečné finanční záruky;

–◻ soukromoprávní subjekty členského státu pověřené uskutečňováním partnerství soukromého a veřejného sektoru a poskytující dostatečné finanční záruky;

–◻ osoby pověřené prováděním zvláštních činností v rámci společné zahraniční a bezpečnostní politiky podle hlavy V Smlouvy o EU a určené v příslušném základním právním aktu.

–Pokud vyberete více způsobů řízení, upřesněte je v části „Poznámky“.

Poznámky

Tento návrh se omezuje na všechny orgány a subjekty Unie, kterých se dotýká.

2.SPRÁVNÍ OPATŘENÍ

2.1.Pravidla pro sledování a podávání zpráv

Upřesněte četnost a podmínky.

Tento návrh se omezuje na uplatňování pravidel ochrany údajů orgány a subjekty Unie. Dozor nad těmito pravidly a jejich prosazování je úkol, který je svěřen evropskému inspektorovi ochrany údajů. Monitorování a podávání zpráv proto zajišťuje evropský inspektor ochrany údajů. Podle článku 60 tohoto návrhu má Evropský inspektor ochrany údajů konkrétně povinnost předkládat Evropskému parlamentu, Radě a Komisi výroční zprávu o své činnosti a zároveň ji zveřejňovat.

2.2.Systém řízení a kontroly

2.2.1.Zjištěná rizika

Hodnotící studii o uplatňování nařízení (ES) č. 45/2001 provedl externí smluvní dodavatel mezi zářím 2014 a červnem 2015. Zabývá se rovněž dopadem zavedení klíčových konceptů a zásad nařízení (EU) 2016/679 v orgánech a subjektech Unie.

Nový model ochrany údajů se zaměří na účinné dodržování pravidel ochrany údajů a účinný dozor nad těmito pravidly a jejich účinné prosazování. V kultuře ochrany údajů v orgánech a subjektech Unie bude vyžadovat odklon od správního přístupu ex ante k účinnému přístupu ex post.

2.2.2.Informace o zavedeném systému vnitřní kontroly.

Stávající způsoby kontroly používané v orgánech a subjektech Unie.

2.2.3.Odhad nákladů a přínosů kontrol a posouzení očekávané míry rizika výskytu chyb.

Stávající způsoby kontroly používané v orgánech a subjektech Unie.

2.3.Opatření k zamezení podvodů a nesrovnalostí

Upřesněte stávající či předpokládaná preventivní a ochranná opatření.

Stávající způsoby zamezování podvodům používané v orgánech a subjektech Unie.

3.ODHADOVANÝ FINANČNÍ DOPAD NÁVRHU/PODNĚTU

3.1.Okruhy víceletého finančního rámce a dotčené výdajové rozpočtové položky

Stávající rozpočtové položky

V pořadí okruhů víceletého finančního rámce a rozpočtových položek.

Okruh víceletého finančního rámce

Rozpočtová položka

Druh

výdaje

Příspěvek

Číslo

[okruh………………………...……………]

RP/NRP 29

zemí ESVO 30

kandidátských zemí 31

třetích zemí

ve smyslu čl. 21 odst. 2 písm. b) finančního nařízení

[XX.YY.YY.YY]

RP/NRP

ANO/NE

Nové rozpočtové položky, jejichž vytvoření se požaduje

V pořadí okruhů víceletého finančního rámce a rozpočtových položek.

Okruh víceletého finančního rámce

Rozpočtová položka

Druh

výdaje

Příspěvek

Číslo

[okruh………………………...……………]

RP/NRP

zemí ESVO

kandidátských zemí

třetích zemí

ve smyslu čl. 21 odst. 2 písm. b) finančního nařízení

[XX.YY.YY.YY]

ANO/NE

3.2.Odhadovaný dopad na výdaje

Dopad na výdaje tohoto návrhu se omezuje na výdaje orgánů a subjektů Unie. Hodnocení nákladů spojených s tímto návrhem však ukazuje, že návrh nevytváří žádné podstatné další výdaje pro orgány a subjekty Unie.

Pokud jde o správce údajů v orgánech a subjektech Unie, hodnotící studie týkající se nařízení (ES) č. 45/2001 ukazuje, že jejich činnosti v oblasti ochrany údajů odpovídají zhruba 70 plným pracovním úvazkům (FTE), tj. okolo 9,3 milionu EUR ročně. Zhruba 20 % jejich činností v oblasti ochrany údajů se v současnosti týká oznamování zpracování údajů. Tuto činnost stávající nařízení ruší, což odpovídá roční úspoře 1,922 milionu EUR pro správce údajů v orgánech a subjektech Unie. Očekává se, že tyto úspory budou vyváženy zvýšením investic správců údajů při provádění nových zásad a konceptů zavedených předkládaným nařízením.

Konkrétněji průzkum provedený v rámci hodnotící studie ukázal, že zavedení:

a) zásady minimalizace údajů by mělo minimální nebo žádný dopad na orgány a subjekty Unie;

b) zásady transparentnosti by nemělo významný dopad na orgány a subjekty Unie;

c) větších informačních povinností by zvýšilo pracovní zátěž správců údajů a pověřenců pro ochranu údajů;

d) práva být zapomenut by nemělo významný dopad na orgány a subjekty Unie;

e) práva na přenositelnost údajů by mělo minimální nebo žádný dopad na orgány a subjekty Unie;

f) posouzení dopadu na ochranu údajů by mělo střední míru významnosti na pracovní zátěž správců údajů a pověřenců pro ochranu údajů, protože některé orgány a subjekty Unie již provádějí posouzení dopadu na ochranu údajů a případy, kdy bude nutné jej provádět, budou omezené;

g) ohlašování případu porušení zabezpečení osobních údajů by zvýšilo pracovní zátěž správců údajů, ale tato porušení nejsou častá;

h) záměrnou a standardní ochranu údajů již některé orgány a subjekty Unie používají.

Posouzení dopadu provedené před přijetím návrhu balíčku pro reformu ochrany údajů navíc shledalo, že „veřejným orgánům ani správcům údajů nevznikne zavedením zásady záměrné ochrany údajů žádná administrativní zátěž“ 32 .

Pokud jde o pověřence pro ochranu údajů, hodnotící studie odhadla náklady stávající sítě pověřenců pro ochranu údajů a koordinátorů ochrany údajů v orgánech a subjektech Unie na 82,9 FTE nebo 10,9 milionu EUR ročně. Vynakládají 26 % svého času v oblasti ochrany údajů na činnosti zrušené předkládaným nařízením, tj. na vytváření oznámení (místo správců údajů), posuzování obdržených oznámení a evidování záznamů v seznamu a provádění předběžných kontrol. To orgánům a subjektům Unie přinese další úspory ve výši 2,834 milionu EUR ročně. Předkládáné nařízení mimo to umožňuje realizovat případné další úspory tím, že orgánům a subjektům Unie umožní zajišťovat činnosti pověřence pro ochranu údajů externím subjektem místo vlastními zaměstnanci.

Úspory ohledně činností pověřence pro ochranu údajů budou vyváženy jejich zapojením do zvýšených informačních povinností, posuzování dopadu na ochranu údajů (v omezených případech, bude-li to vyžadováno) a předchozích konzultací s evropským inspektorem ochrany údajů (což bude mít mnohem omezenější rozsah oproti stávající povinnosti předběžné kontroly).

Pokud jde o evropského inspektora ochrany údajů, jeho rozpočet je od roku 2011 zhruba stabilní a činí okolo 8 milionů EUR. Jeho oddělení pro dozor a prosazování a oddělení pro politiku a konzultace mají v současnosti podobný počet zaměstnanců, stabilní od roku 2008. Větší důraz navrhovaného nařízení na dozorovou roli evropského inspektora ochrany údajů bude vyvážen cílenějšími úkoly v oblasti poradenství a odstraněním zdvojení úkolů s Evropským sborem pro ochranu údajů. Přerozdělení zaměstnanců evropského inspektora ochrany údajů lze proto provést interně.

Tento návrh počítá s možností, že evropský inspektor ochrany údajů bude orgánům a subjektům Unie ukládat správní pokuty. Každý orgán nebo subjekt Unie může být pokutován až do výše 250 000 EUR ročně (25 000 EUR za porušení), nebo v případě nejzávažnější porušení tohoto nařízení 500 000 EUR ročně (50 000 EUR za porušení). Očekává se, že tyto pokuty budou ukládány pouze za nejzávažnější věci, a to v návaznosti na nedodržení ze strany orgánu nebo subjektu Unie opatření nařízeného při výkonu jiné nápravné pravomoci evropského inspektora ochrany údajů. Očekává se tedy, že finanční dopad takových pokut bude omezený.

3.2.1.Odhadovaný souhrnný dopad na výdaje

v milionech EUR (zaokrouhleno na tři desetinná místa)

Okruh víceletého finančního
rámce

Číslo

[okruh………………………...……………]

GŘ: <…….>			Rok N 33	Rok N+1	Rok N+2	Rok N+3	Vložit počet let podle trvání finančního dopadu (viz bod 1.6)	CELKEM
•Operační prostředky
Číslo rozpočtové položky	Závazky	(1)
	Platby	(2)
Číslo rozpočtové položky	Závazky	(1a)
	Platby	(2a)
Prostředky správní povahy financované z rámce na zvláštní programy 34
Číslo rozpočtové položky		(3)
CELKEM prostředky pro GŘ <…….>	Závazky	=1+1a +3
	Platby	=2+2a +3

•Operační prostředky CELKEM	Závazky	(4)
	Platby	(5)
•Prostředky správní povahy financované z rámce na zvláštní programy CELKEM		(6)
CELKEM prostředky za OKRUH <….> víceletého finančního rámce	Závazky	=4+ 6
	Platby	=5+ 6

Má-li návrh/podnět dopad na více okruhů:

•Operační prostředky CELKEM	Závazky	(4)
	Platby	(5)
•Prostředky správní povahy financované z rámce na zvláštní programy CELKEM		(6)
CELKEM prostředky z OKRUHU 1 až 4 víceletého finančního rámce (referenční částka)	Závazky	=4+ 6
	Platby	=5+ 6

Okruh víceletého finančního
rámce

„Správní výdaje“

v milionech EUR (zaokrouhleno na tři desetinná místa)

		Rok N	Rok N+1	Rok N+2	Rok N+3	Vložit počet let podle trvání finančního dopadu (viz bod 1.6)	CELKEM
GŘ: <…….>
•Lidské zdroje
•Ostatní správní výdaje
GŘ <….> CELKEM	Prostředky

CELKEM prostředky
z OKRUHU 5
víceletého finančního rámce

(Závazky celkem = platby celkem)

v milionech EUR (zaokrouhleno na tři desetinná místa)

		Rok N 35	Rok N+1	Rok N+2	Rok N+3	Vložit počet let podle trvání finančního dopadu (viz bod 1.6)	CELKEM
CELKEM prostředky z OKRUHU 1 až 5 víceletého finančního rámce	Závazky
	Platby

3.2.2.Odhadovaný dopad na operační prostředky

Návrh/podnět nevyžaduje využití operačních prostředků.

◻ Návrh/podnět vyžaduje využití operačních prostředků, jak je vysvětleno dále:

Prostředky na závazky v milionech EUR (zaokrouhleno na tři desetinná místa)

Uveďte cíle a výstupy

⇩

Rok
N

Rok
N+1

Rok
N+2

Rok
N+3

Vložit počet let podle trvání finančního dopadu (viz bod 1.6)

CELKEM

VÝSTUPY

Druh 36

Průměrné náklady

Počet

Náklady

Počet

Náklady

Počet

Náklady

Počet

Náklady

Počet

Náklady

Počet

Náklady

Počet

Náklady

Celkový počet

Náklady celkem

SPECIFICKÝ CÍL Č. 1 … 37

– Výstup

Mezisoučet za specifický cíl č. 1

SPECIFICKÝ CÍL Č. 2 …

– Výstup

Mezisoučet za specifický cíl č. 2

NÁKLADY CELKEM

3.2.3.Odhadovaný dopad na prostředky správní povahy

3.2.3.1.Shrnutí

Návrh/podnět nevyžaduje využití prostředků správní povahy.

◻ Návrh/podnět vyžaduje využití prostředků správní povahy, jak je vysvětleno dále:

v milionech EUR (zaokrouhleno na tři desetinná místa)

Rok
N 38

Rok
N+1

Rok
N+2

Rok
N+3

Vložit počet let podle trvání finančního dopadu (viz bod 1.6)

CELKEM

OKRUH 5 víceletého finančního rámce
Lidské zdroje
Ostatní správní výdaje
Mezisoučet za OKRUH 5 víceletého finančního rámce

Mimo OKRUH 5 39 víceletého finančního rámce
Lidské zdroje
Ostatní výdaje správní povahy
Mezisoučet Mimo OKRUH 5 víceletého finančního rámce

CELKEM

Potřebné prostředky na oblast lidských zdrojů a na ostatní výdaje správní povahy budou pokryty z prostředků GŘ, které jsou již vyčleněny na řízení akce a/nebo byly vnitřně přerozděleny v rámci GŘ, a případně doplněny z dodatečného přídělu, který lze řídícímu GŘ poskytnout v rámci ročního přidělování a s ohledem na rozpočtová omezení.

3.2.3.2.Odhadované potřeby v oblasti lidských zdrojů

Návrh/podnět nevyžaduje využití lidských zdrojů.

◻ Návrh/podnět vyžaduje využití lidských zdrojů, jak je vysvětleno dále:

Odhad vyjádřete v přepočtu na plné pracovní úvazky

		Rok N	Rok N+1	Rok N+2	Rok N+3	Vložit počet let podle trvání finančního dopadu (viz bod 1.6)
• Pracovní místa podle plánu pracovních míst (místa úředníků a dočasných zaměstnanců)
XX 01 01 01 (v ústředí a v zastoupeních Komise)
XX 01 01 02 (při delegacích)
XX 01 05 01 (v nepřímém výzkumu)
10 01 05 01 (v přímém výzkumu)
• Externí zaměstnanci (v přepočtu na plné pracovní úvazky: FTE) 40
XX 01 02 01 (SZ, VNO, ZAP z celkového rámce)
XX 01 02 02 (SZ, MZ, VNO, ZAP a MOD při delegacích)
XX 01 04 yy 41	– v ústředí
	– při delegacích
XX 01 05 02 (SZ, VNO, ZAP v nepřímém výzkumu)
10 01 05 02 (SZ, VNO, ZAP v přímém výzkumu)
Jiné rozpočtové položky (upřesněte)
CELKEM

XX je oblast politiky nebo dotčená hlava rozpočtu.

Potřeby v oblasti lidských zdrojů budou pokryty ze zdrojů GŘ, které jsou již vyčleněny na řízení akce a/nebo byly vnitřně přeobsazeny v rámci GŘ, a případně doplněny z dodatečného přídělu, který lze řídícímu GŘ poskytnout v rámci ročního přidělování a s ohledem na rozpočtová omezení.

Popis úkolů:

Úředníci a dočasní zaměstnanci
Externí zaměstnanci

3.2.4.Soulad se stávajícím víceletým finančním rámcem

Návrh/podnět je v souladu se stávajícím víceletým finančním rámcem.

◻ Návrh/podnět si vyžádá úpravu příslušného okruhu víceletého finančního rámce.

Upřesněte požadovanou úpravu, příslušné rozpočtové položky a odpovídající částky.

◻ Návrh/podnět vyžaduje použití nástroje pružnosti nebo změnu víceletého finančního rámce.

Upřesněte potřebu, příslušné okruhy a rozpočtové položky a odpovídající částky.

3.2.5.Příspěvky třetích stran

Návrh/podnět nepočítá se spolufinancováním od třetích stran.

Návrh/podnět počítá se spolufinancováním podle následujícího odhadu:

Prostředky v milionech EUR (zaokrouhleno na tři desetinná místa)

	Rok N	Rok N+1	Rok N+2	Rok N+3	Vložit počet let podle trvání finančního dopadu (viz bod 1.6)	Celkem
Upřesněte spolufinancující subjekt
Spolufinancované prostředky CELKEM

3.3.Odhadovaný dopad na příjmy

Návrh/podnět nemá žádný finanční dopad na příjmy.

◻ Návrh/podnět má tento finanční dopad:

–◻ dopad na vlastní zdroje

–◻ dopad na různé příjmy

v milionech EUR (zaokrouhleno na tři desetinná místa)

Příjmová rozpočtová položka:	Prostředky dostupné v běžném rozpočtovém roce	Dopad návrhu/podnětu 42
		Rok N	Rok N+1	Rok N+2	Rok N+3	Vložit počet let podle trvání finančního dopadu (viz bod 1.6)
Článek………….

U účelově vázaných různých příjmů upřesněte dotčené výdajové rozpočtové položky.

Upřesněte způsob výpočtu dopadu na příjmy.

(1) Nařízení Evropského parlamentu a Rady (ES) č. 45/2001 ze dne 18. prosince 2000 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány a institucemi Společenství a o volném pohybu těchto údajů, Úř. věst. L 8, 12.1.2001.

(2) Rozhodnutí č. 1247/2002/ES ze dne 1. července 2002 o úpravě a obecných podmínkách výkonu funkce Evropského inspektora ochrany údajů, Úř. věst. L 183, 12.7.2002, s. 1.

(3) Viz nařízení (EU) 2016/679, článek 98 a 17. bod odůvodnění.

(4) Viz rozsudek SDEU ze dne 9. března, Komise v Německo, věc C-518/07, ECLI:EU:C:2010:125, body 26 a 28.

(5) Viz http://ec.europa.eu/justice/data-protection/reform/index_en.htm

(6) Viz souhrnná zpráva evropského inspektora ochrany údajů „Measuring compliance with Regulation (EC) 45/2001 in EU institutions“ („Průzkum 2013“) a stanovisko 3/2015, „Velká příležitost pro Evropu: Doporučení EIOÚ o variantách reformy EU v oblasti ochrany údajů“

(7) JUST/2013/FRAC/FW/0157/A4 v souvislosti s vícestrannou rámcovou smlouvou JUST/2011/EVAL/01 (RS 2013/05) – Evaluation Study on Regulation (EC) 45/2001, Ernst and Young, k dispozici na http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=51087

(8) SDEU, 9. listopad 2010, Volker und Markus Schecke and Eifert, spojené věci C-92/09 a C-93/09 ECLI:EU:C:2009:284, bod 48.

(9) V souladu s čl. 52 odst. 1 Listiny mohou být omezení výkonu práva na ochranu údajů zavedena tehdy, pokud jsou tato omezení stanovena zákonem a respektují podstatu těchto práv a svobod. Při dodržení zásady proporcionality mohou být omezení zavedena pouze tehdy, pokud jsou nezbytná a pokud skutečně odpovídají cílům obecného zájmu, které uznává Evropská unie, nebo potřebě ochrany práv a svobod druhých.

(10) Úř. věst. C, , s. .

(11) Nařízení Evropského parlamentu a Rady (ES) č. 45/2001 ze dne 18. prosince 2000 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány a institucemi Společenství a o volném pohybu těchto údajů (Úř. věst. L 8, 12.1.2001, s. 1).

(12) Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (Text s významem pro EHP), Úř. věst. L 119, 4.5.2016, s. 1–88.

(13) Směrnice Evropského parlamentu a Rady (EU) 2016/680 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, o volném pohybu těchto údajů a o zrušení rámcového rozhodnutí Rady 2008/977/SVV, Úř. věst. L 119, 4.5.2016, s. 89–131.

(14) Směrnice Rady 93/13/EHS ze dne 5. dubna 1993 o nepřiměřených podmínkách ve spotřebitelských smlouvách (Úř. věst. J 95, 21.4.1993, s. 29).

(15) Nařízení Evropského parlamentu a Rady (ES) č. 1338/2008 ze dne 16. prosince 2008 o statistice Společenství v oblasti veřejného zdraví a bezpečnosti a ochrany zdraví při práci ( Úř. věst. L 354, 31.12.2008, s. 70 ).

(16) Nařízení Evropského parlamentu a Rady (EU) č. 182/2011 ze dne 16. února 2011, kterým se stanoví pravidla a obecné zásady způsobu, jakým členské státy kontrolují Komisi při výkonu prováděcích pravomocí (Úř. věst. L 55, 28.2.2011, s. 13).

(17) Nařízení Evropského parlamentu a Rady (ES) č. 223/2009 ze dne 11. března 2009 o evropské statistice a zrušení nařízení (ES, Euratom) č. 1101/2008 o předávání údajů, na které se vztahuje statistická důvěrnost, Statistickému úřadu Evropských společenství, nařízení Rady (ES) č. 322/97 o statistice Společenství a rozhodnutí Rady 89/382/EHS, Euratom, kterým se zřizuje Výbor pro statistické programy Evropských společenství ( Úř. věst. L 87, 31.3.2009, s. 164 ).

(18) Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (Text s významem pro EHP), Úř. věst. L 119, 4.5.2016, s. 1–88.

(19) Směrnice Evropského parlamentu a Rady (EU) 2016/680 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, o volném pohybu těchto údajů a o zrušení rámcového rozhodnutí Rady 2008/977/SVV, Úř. věst. L 119, 4.5.2016, s. 89–131.

(20) Směrnice Komise 2008/63/ES ze dne 20. června 2008 o hospodářské soutěži na trhu s telekomunikačními koncovými zařízeními (Úř. věst. L 162, 21.6.2008, s. 20).

(21) Rozhodnutí Rady 2009/917/SVV ze dne 30. listopadu 2009 o používání informačních technologií pro celní účely, Úř. věst. L 323, 10.12.2009, s. 20–30.

(22) Nařízení Evropského parlamentu a Rady (ES) č. 45/2001 ze dne 18. prosince 2000 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány a institucemi Společenství a o volném pohybu těchto údajů, Úř. věst. L 8, 12.1.2001.

(23) Rozhodnutí č. 1247/2002/ES ze dne 1. července 2002 o úpravě a obecných podmínkách výkonu funkce Evropského inspektora ochrany údajů, Úř. věst. L 183, 12.7.2002, s. 1.

(24) Rozhodnutí 2014/886/EU Evropského parlamentu a Rady ze dne 4. prosince 2014 o jmenování evropského inspektora ochrany údajů a jeho zástupce, Úř. věst. L 351, 9.12.2014, s .9.

(25) ABM: řízení podle činností (Activity-Based Management); ABB: sestavování rozpočtu podle činností (activity-based budgeting).

(26) Uvedené v čl. 54 odst. 2 písm. a) nebo b) finančního nařízení.

(27) JUST/2013/FRAC/FW/0157/A4 v souvislosti s vícestrannou rámcovou smlouvou JUST/2011/EVAL/01 (RS 2013/05) – Evaluation Study on Regulation (EC) 45/2001, Ernst and Young.

(28) Vysvětlení způsobů řízení spolu s odkazem na finanční nařízení jsou k dispozici na stránkách BudgWeb: http://www.cc.cec/budg/man/budgmanag/budgmanag_en.html.

(29) RP = rozlišené prostředky / NRP = nerozlišené prostředky.

(30) ESVO: Evropské sdružení volného obchodu.

(31) Kandidátské země a případně potenciální kandidátské země západního Balkánu.

(32) Pracovní dokument útvarů Komise, posouzení dopadu, SEC (2012) 72 final, strana 110.

(33) Rokem N se rozumí rok, kdy se návrh/podnět začíná provádět.

(34) Technická a/nebo administrativní pomoc a výdaje na podporu provádění programů a/nebo akcí EU (bývalé položky „BA“), nepřímý výzkum, přímý výzkum.

(35) Rokem N se rozumí rok, kdy se návrh/podnět začíná provádět.

(36) Výstupy se rozumí produkty a služby, které mají být dodány (např. počet financovaných studentských výměn, počet vybudovaných kilometrů silnic atd.).

(37) Popsaný v bodě 1.4.2. „Specifické cíle…“.

(38) Rokem N se rozumí rok, kdy se návrh/podnět začíná provádět.

(39) Technická a/nebo administrativní pomoc a výdaje na podporu provádění programů a/nebo akcí EU (bývalé položky „BA“), nepřímý výzkum, přímý výzkum.

(40) SZ = smluvní zaměstnanec; MZ = místní zaměstnanec; VNO = vyslaný národní odborník; ZAP = zaměstnanec agentury práce; MOD = mladý odborník při delegaci.

(41) Dílčí strop na externí zaměstnance financované z operačních prostředků (bývalé položky „BA“).

(42) Pokud jde o tradiční vlastní zdroje (cla, dávky z cukru), je třeba uvést čisté částky, tj. hrubé částky po odečtení 25 % nákladů na výběr.

Choose the experimental features you want to try