DŮVODOVÁ ZPRÁVA

1. SOUVISLOSTI NÁVRHU

Tato důvodová zpráva blíže představuje nový právní rámec pro ochranu osobních údajů v EU, jak stanoví sdělení KOM(2012) 9 v konečném znění. Právní rámec sestává ze dvou legislativních návrhů:

– návrhu nařízení Evropského parlamentu a Rady o ochraně fyzických osob v souvislosti se zpracováváním osobních údajů a o volném pohybu těchto údajů (obecného nařízení o ochraně údajů) a

– návrhu směrnice Evropského parlamentu a Rady o ochraně fyzických osob v souvislosti se zpracováváním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů a o volném pohybu těchto údajů.

Tato důvodová zpráva se týká druhého legislativního návrhu.

Základem stávajících právních předpisů EU o ochraně osobních údajů je směrnice 95/46/ES[1], která byla přijata v roce 1995 a zaměřovala se na dva cíle: chránit základní právo na ochranu údajů a zaručit volný pohyb osobních údajů mezi členskými státy. Byla doplněna několika nástroji, které obsahují specifická pravidla ochrany údajů v oblasti policejní a justiční spolupráce v trestních věcech[2] (bývalý třetí pilíř), včetně rámcového rozhodnutí 2008/977/SVV[3].

Evropská rada vyzvala Komisi, aby zhodnotila fungování nástrojů EU pro ochranu údajů a v případě potřeby předložila další legislativní a nelegislativní iniciativy[4]. Evropský parlament ve svém usnesení o Stockholmském programu[5] uvítal návrh komplexního režimu ochrany údajů v EU a mimo jiné vyzval k revizi rámcového rozhodnutí. Komise ve svém Akčním plánu provádění Stockholmského programu[6] zdůraznila potřebu soustavného uplatňování základního práva na ochranu osobních údajů ve všech politikách EU. V akčním plánu se zdůrazňuje, že „v globální společnosti charakterizované rychlými technologickými proměnami, kde výměna informací nezná hranic, je obzvláště důležitá ochrana soukromí. Unie musí zajistit soustavné uplatňování základního práva na ochranu údajů. Potřebujeme posílit postoj EU k ochraně osobních údajů jednotlivců v kontextu ostatních politik EU, včetně vymáhání práva a prevence trestných činů, jakož i v našich mezinárodních vztazích.“

Ve svém sdělení „Komplexní přístup k ochraně osobních údajů v Evropské unii“[7] Komise dospěla k závěru, že pokud jde o základní právo na ochranu osobních údajů, potřebuje EU komplexnější a jednotnější politiku.

Rámcové rozhodnutí 2008/977/SVV má omezenou působnost, neboť se vztahuje pouze na přeshraniční zpracování údajů a nikoli na zpracovávání údajů policejními a soudními orgány čistě na vnitrostátní úrovni. To může policejním a dalším příslušným orgánům v oblasti justiční spolupráce v trestních věcech a policejní spolupráce způsobovat problémy. Ne vždy mohou snadno rozlišit, zda se jedná o čistě vnitrostátní nebo přeshraniční zpracování, nebo předvídat, zda se určité osobní údaje později nestanou předmětem přeshraniční výměny (viz oddíl 2 níže). Navíc rámcové rozhodnutí ponechává na základě své povahy a svého obsahu právním předpisům členských států při provádění jeho ustanovení značnou svobodu. Kromě toho nepředpokládá vytvoření žádného mechanismu ani poradní skupiny, které by podobně jako pracovní skupina zřízená podle článku 29 podporovaly společný výklad jeho ustanovení, ani nesvěřuje Komisi žádné prováděcí pravomoci, aby se zajistil jednotný přístup při jeho provádění.

V čl. 16 odst. 1 Smlouvy o fungování Evropské unie (SFEU) je zakotvena zásada, že každý má právo na ochranu osobních údajů. Kromě toho Lisabonská smlouva zavádí s čl. 16 odst. 2 SFEU zvláštní právní základ pro přijetí pravidel ochrany osobních údajů, jenž se rovněž uplatňuje v oblasti justiční spolupráce v trestních věcech a policejní spolupráce. V článku 8 Listiny základních práv EU je ochrana osobních údajů zakotvena jako základní právo. Podle článku 16 SFEU musí zákonodárce stanovit pravidla o ochraně fyzických osob při zpracovávání osobních údajů rovněž v oblasti justiční spolupráce v trestních věcech a policejní spolupráce, která se vztahují jak na přeshraniční, tak na vnitrostátní zpracování osobních údajů. Tímto způsobem se umožní ochrana základních práv a svobod fyzických osob a zejména jejich právo na ochranu osobních údajů a zároveň se zajistí výměna osobních údajů za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů. Také se tím usnadní spolupráce při boji proti trestné činnosti v Evropě.

Na základě zvláštní povahy policejní a justiční spolupráce v trestních věcech bylo v prohlášení 21[8] uznáno, že by mohlo být případně nutné zavést specifická pravidla ochrany osobních údajů a volného pohybu těchto údajů v oblasti justiční spolupráce v trestních věcech a policejní spolupráce podle článku 16 SFEU.

2. VÝSLEDKY KONZULTACÍ SE ZÚČASTNĚNÝMI STRANAMI A POSOUZENÍ DOPADŮ

Tato iniciativa je výsledkem rozsáhlých konzultací se všemi hlavními zúčastněnými stranami o přezkumu stávajícího právního rámce pro ochranu osobních údajů. Veřejná konzultace proběhla ve dvou fázích:

– konzultace o právním rámci pro základní právo na ochranu osobních údajů probíhala od 9. července do 31. prosince 2009. Komise obdržela 168 odpovědí, z toho 127 od jednotlivých osob, obchodních organizací a sdružení a 12 od orgánů veřejné moci. Příspěvky, které nejsou důvěrné, jsou k dispozici na webových stránkách Komise[9],

– konzultace o komplexním přístupu Komise k ochraně osobních údajů v Evropské unii probíhala od 4. listopadu 2010 do 15. ledna 2011. Komise obdržela 305 odpovědí, z toho 54 odpovědí od občanů, 31 od orgánů veřejné moci a 220 od soukromých organizací, zejména obchodních sdružení a nevládních organizací. Příspěvky, které nejsou důvěrné, jsou k dispozici na webových stránkách Komise[10].

Vedle těchto konzultací zaměřených především na přezkum směrnice 95/46/ES probíhaly cílené konzultace s představiteli donucovacích orgánů. Tak byl dne 29. června 2010 uspořádán seminář s orgány členských států o uplatňování pravidel ochrany údajů na orgány veřejné moci, mimo jiné také v oblasti justiční spolupráce v trestních věcech a policejní spolupráce. Kromě toho Komise dne 2. února 2011 svolala seminář s orgány členských států s cílem projednat provádění rámcového rozhodnutí 2008/977/SVV a v obecnější rovině otázky ochrany údajů v oblasti justiční spolupráce v trestních věcech a policejní spolupráce.

Konzultace s občany EU proběhla prostřednictvím průzkumu Eurobarometr v listopadu a prosinci 2010[11]. Byla také provedena řada studií[12]. „Pracovní skupina zřízená podle článku 29“[13] poskytla Komisi několik stanovisek a užitečné vstupy[14]. Evropský inspektor ochrany údajů rovněž vydal obsáhlé stanovisko k otázkám, které vyplynuly ze sdělení Komise z listopadu 2010[15].

Evropský parlament schválil svým usnesením ze dne 6. července 2011 zprávu, která podpořila přístup Komise k reformě rámce pro ochranu údajů.[16] Rada Evropské unie přijala dne 24. února 2011 závěry, v nichž v široké míře podporuje úmysl Komise reformovat rámec pro ochranu údajů a souhlasí s mnoha prvky jejího přístupu. Evropský hospodářský a sociální výbor obdobně podpořil obecné zaměření Komise na zajištění jednotnějšího uplatňování pravidel EU pro ochranu údajů ve všech členských státech a odpovídající přezkum směrnice 95/46/ES[17].

V souladu se svou politikou zlepšování právní úpravy provedla Komise posouzení dopadů jednotlivých alternativ politiky[18]. Posouzení dopadů vycházelo ze tří politických cílů – posílení dimenze vnitřního trhu při ochraně údajů, zvýšení účinnosti výkonu práv na ochranu údajů ze strany jednotlivců a vytvoření komplexního a jednotného rámce, který by se vztahoval na všechny oblasti pravomocí Unie, včetně justiční spolupráce v trestních věcech a policejní spolupráce. Zejména v případě posledně uvedeného cíle byly posuzovány dvě možnosti: první možnost, která zásadně rozšiřuje oblast působnosti pravidel ochrany údajů v této oblasti a která se zaměřuje na řešení nedostatků a jiných otázek vyplývajících z rámcového rozhodnutí, a druhá, rozsáhlejší možnost s velmi závaznými a přísnými pravidly, která by znamenala také okamžitou změnu všech dalších nástrojů bývalého třetího pilíře. Třetí „minimalistická“ možnost, která vychází především z využívání výkladových sdělení a podpůrných politických opatření, jako jsou programy financování a technické nástroje, s minimálními legislativními změnami, nebyla považována za vhodnou pro řešení problémů zjištěných v této oblasti v souvislosti s ochranou údajů.

Podle metodologie zavedené Komisí byla každá politická možnost posouzena, mj. za pomoci meziútvarové řídící skupiny, z hlediska své účinnosti při dosahování politických cílů, svého hospodářského dopadu na zúčastněné strany (také na rozpočet orgánů EU), svého sociálního dopadu a účinku na základní práva. Dopady na životní prostředí se neposuzovaly.

Z analýzy celkového dopadu vyplynula preferovaná politická možnost, která je začleněna do tohoto návrhu. Z posouzení dopadů vyplývá, že její provedení povede k dalšímu posílení ochrany osobních údajů v této politické oblasti, zejména začleněním vnitrostátního zpracování údajů, čímž se zároveň zvýší právní jistota pro příslušné orgány v oblasti justiční spolupráce v trestních věcech a policejní spolupráce.

Výbor pro posouzení dopadů vydal stanovisko k této předloze posouzení dopadů dne 9. září 2011. V návaznosti na stanovisko tohoto výboru byly do posouzení dopadů zapracovány zejména tyto změny:

– byly upřesněny cíle stávajícího právního rámce (v jakém rozsahu byly či nebyly splněny), jakož i cíle plánované reformy,

– do oddílu definice problémů bylo přidáno více důkazů a dodatečná vysvětlení/objasnění.

Komise rovněž vypracovala zprávu o provádění rámcového rozhodnutí 2008/977/SVV podle jeho čl. 29 odst. 2, která má být přijata jako součást balíčku opatření pro ochranu údajů[19]. Zjištění uvedená v této zprávě se opírala o příspěvky členských států, které byly zohledněny také při přípravě posouzení dopadů.

3. PRÁVNÍ STRÁNKA NÁVRHU 3.1. Právní základ

Návrh vychází z čl. 16 odst. 2 SFEU, kterým Lisabonská smlouva zavádí nový specifický právní základ pro přijímání pravidel o ochraně fyzických osob při zpracovávání osobních údajů orgány, institucemi a jinými subjekty Unie a členskými státy, pokud vykonávají činnosti spadající do oblasti působnosti práva Unie, a pravidel o volném pohybu těchto údajů.

Cílem návrhu je zajistit jednotnou a vysokou úroveň ochrany údajů v této oblasti, a tím zvýšit vzájemnou důvěru mezi policejními a justičními orgány různých členských států a usnadnit volný pohyb údajů a spolupráci mezi policejními a justičními orgány.

3.2. Subsidiarita a proporcionalita

V souladu se zásadou subsidiarity (čl. 5 odst. 3 Smlouvy o EU) by měla být opatření na úrovni Unie přijata pouze v případě, že plánovaných cílů nelze uspokojivě dosáhnout na úrovni samotných členských států, a proto jich lze z důvodu rozsahu či účinků navrhovaného opatření lépe dosáhnout na úrovni Unie. Vzhledem k problémům uvedeným výše je v analýze subsidiarity uvedena potřeba činnosti na úrovni EU v oblasti policie a trestního soudnictví z těchto důvodů:

– Právo na ochranu osobních údajů, zakotvené v článku 8 Listiny základních práv a v čl. 16 odst. 1 SFEU, vyžaduje stejnou úroveň ochrany údajů v celé Unii. Tato úroveň ochrany musí platit i pro výměnu a zpracování údajů na vnitrostátní úrovni.

– Donucovací orgány v členských státech stále častěji potřebují zpracovávat a vyměňovat údaje ve stále větším objemu za účelem prevence nadnárodní trestné činnosti a terorismu a boje proti nim. V této souvislosti jasná a jednotná pravidla ochrany údajů na úrovni EU přispějí k posílení spolupráce mezi těmito orgány.

– Kromě toho existují praktické obtíže při prosazování právních předpisů o ochraně údajů, proto musí být nezbytná spolupráce mezi členskými státy a jejich orgány organizována na úrovni EU, aby se zajistilo jednotné uplatňování práva Unie. V určitých situacích má EU nejlepší předpoklady pro to, aby jednotlivým osobám účinně a jednotně zajistila stejnou úroveň ochrany, pokud jsou jejich osobní údaje předávány do třetích zemí.

– Členské státy nemohou ve stávající situaci samy omezit problémy, zejména problémy způsobené nejednotností vnitrostátních právních předpisů. Proto je především třeba zavést harmonizovaný a jednotný rámec, který by umožňoval plynulé předávání osobních údajů přes hranice v rámci EU a zároveň zajišťoval účinnou ochranu všem fyzickým osobám v celé EU.

– Navrhované legislativní opatření EU bude účinnější než podobná opatření na úrovni členských států, neboť problémy mají takovou povahu a rozsah, že nejsou jen vnitrostátní záležitostí jednoho nebo několika členských států.

Zásada proporcionality vyžaduje, aby byl každý zásah cílený a nepřekračoval rámec toho, co je nezbytné pro dosažení cílů. Tento princip je vodicím prvkem přípravy tohoto návrhu od identifikace a hodnocení alternativních možností politiky až po vypracování legislativního návrhu.

Nejlepším nástrojem pro zajištění harmonizace na úrovni EU v uvedené oblasti je proto směrnice, která zároveň ponechává členským států nezbytnou flexibilitu při provádění zásad, pravidel a používání výjimek na vnitrostátní úrovni. Vzhledem ke složitosti stávajících vnitrostátních pravidel ochrany osobních údajů zpracovávaných v oblasti justiční spolupráce v trestních věcech a policejní spolupráce a k cíli touto směrnicí uvedená pravidla úplně harmonizovat, bude Komise muset požádat členské státy, aby předložily dokumenty s informacemi o vztahu mezi jednotlivými složkami této směrnice a příslušnými částmi vnitrostátních nástrojů, aby byla schopna plnit svůj úkol, kterým je dohled nad prováděním této směrnice do vnitrostátního práva.

3.3. Shrnutí otázek základních práv

Právo na ochranu osobních údajů je zakotveno v článku 8 Listiny základních práv EU a v článku 16 SFEU, jakož i v článku 8 Úmluvy o ochraně lidských práv a základních svobod. Jak zdůraznil Soudní dvůr EU[20], právo na ochranu osobních údajů není právem absolutním, avšak musí být posuzováno v souvislosti se svou funkcí ve společnosti[21]. Ochrana údajů je úzce spjata s respektováním soukromého a rodinného života, které je zakotveno v článku 7 Listiny. Tato skutečnost se odráží v čl. 1 odst. 1 směrnice 95/46/ES, který stanoví, že členské státy zajišťují ochranu základní práv a svobod fyzických osob, zejména jejich soukromí, v souvislosti se zpracováním osobních údajů.

Dotčena by mohla být také další základní práva zakotvená v Listině, např. zákaz diskriminace mimo jiné založené na rase, etnickém původu, genetických rysech, náboženském vyznání nebo přesvědčení, politických názorech či jakýchkoli jiných názorech, zdravotním postižení nebo sexuální orientace (článek 21), práva dítěte (článek 24) a právo na účinnou právní ochranu a spravedlivý proces (článek 47).

3.4. Podrobné vysvětlení návrhu 3.4.1. KAPITOLA I – OBECNÁ USTANOVENÍ

Článek 1 vymezuje předmět směrnice, tj. pravidla týkající se zpracování osobních údajů pro účely prevence, odhalování, vyšetřování či stíhání trestných činů nebo výkonu trestů, a stanoví dvojí cíl směrnice, tj. chránit základní práva a svobody fyzických osob, zejména jejich právo na ochranu osobních údajů, a zároveň zaručit vysokou úroveň veřejné bezpečnosti a zajistit výměnu osobních údajů mezi příslušnými orgány v rámci Unie.

Článek 2 vymezuje oblast působnosti směrnice. Oblast působnosti směrnice není omezena na přeshraniční zpracování údajů, avšak vztahuje se na veškeré zpracovávání údajů prováděné „příslušnými orgány“ (podle definice v čl. 3 odst. 14) pro účely této směrnice. Směrnice se nevztahuje ani na zpracovávání prováděné při výkonu činností, které nespadají do oblasti působnosti práva Unie, ani na zpracovávání prováděné orgány, institucemi a jinými subjekty Unie, které je upraveno nařízením (ES) č. 45/2001 a jinými specifickými právními předpisy.

Článek 3 obsahuje definice pojmů, které směrnice používá. Zatímco některé definice se přebírají ze směrnice 95/46/ES a z rámcového rozhodnutí 2008/977/SVV, jiné se pozměňují, doplňují o další nebo nové prvky. Nové jsou definice „narušení bezpečnosti osobních údajů“, „genetických údajů“ a „biometrických údajů“, „příslušných orgánů“ (na základě článku 87 SFEU a čl. 2 písm. h) rámcového rozhodnutí 2008/977/SVV) a definice „dítěte“, která vychází z Úmluvy OSN o právech dítěte[22].

3.4.2. KAPITOLA II – ZÁSADY

Článek 4 stanoví zásady související se zpracováváním osobních údajů podle článku 6 směrnice 95/46/ES a článku 3 rámcového rozhodnutí 2008/977/SVV, které jsou přizpůsobeny oblasti působnosti této směrnice.

Článek 5 vyžaduje, aby se pokud možno rozlišovalo mezi osobními údaji různých kategorií subjektů údajů. Jedná se o nové ustanovení, které nebylo začleněno ani do směrnice 95/46/ES, ani do rámcového rozhodnutí 2008/977/SVV, avšak které Komise navrhovala ve svém původním návrhu rámcového rozhodnutí[23]. Opírá se o doporučení Evropské rady č. R (87) 15. Obdobná pravidla platí již pro Europol[24] a Eurojust[25].

Článek 6 o různých stupních přesnosti a spolehlivosti odpovídá zásadě 3.2 z doporučení Evropské rady č. R (87) 15. Obdobná pravidla, která jsou rovněž zahrnuta do návrhu rámcového rozhodnutí vypracovaného Komisí, platí pro Europol[26].

Článek 7 vymezuje důvody zákonného zpracování: pokud je nutné pro splnění úkolu prováděného příslušným orgánem za základě vnitrostátního práva, pro splnění právní povinnosti, které podléhá správce, pro ochranu životních zájmů subjektu údajů nebo jiné osoby nebo pro zabránění bezprostřednímu a vážnému ohrožení veřejné bezpečnosti. Ostatní důvody zákonného zpracování uvedené v článku 7 směrnice 95/46/ES nejsou pro zpracování údajů v oblasti policie a trestního soudnictví vhodné.

Článek 8 stanoví obecný zákaz zpracování zvláštních kategorií osobních údajů a výjimky z tohoto obecného pravidla na základě článku 8 směrnice 95/46/ES, ke kterým podle judikatury Evropského soudu pro lidská práva[27] přidává genetické údaje.

Článek 9 v souladu s článkem 7 rámcového rozhodnutí 2008/977/SVV stanoví, že se zakazují opatření, která byla přijata výlučně na základě automatizovaného zpracování osobních údajů, pokud nebyla povolena právním předpisem poskytujícím vhodné záruky.

3.4.3. KAPITOLA III – PRÁVA SUBJEKTU ÚDAJŮ

Článek 10 ukládá členským státům povinnost zajistit snadno přístupné a srozumitelné informace, přičemž vychází zejména ze zásady 10 Madridského usnesení o mezinárodních normách o ochraně osobních údajů a soukromí[28], a správcům povinnost zavést postupy a mechanismy, které by subjektům údajů usnadnily výkon práv. Obsahuje rovněž požadavek, aby výkon práv byl v zásadě bezplatný.

Článek 11 předepisuje členským státům povinnost zajistit, aby byl subjekt údajů informován. Tato povinnost vychází z článků 10 a 11 směrnice 95/46/ES, aniž by se však v samostatných článcích rozlišovalo, zda jsou informace získávány od subjektu údajů či nikoli, a zároveň se rozšiřuje obsah informací, které mají být poskytnuty. Stanoví výjimky z povinnosti informovat, pokud jsou tyto výjimky v demokratické společnosti přiměřené a nezbytné, aby příslušné orgány mohly plnit své úkoly (na základě článku 13 směrnice 95/46/ES a článku 17 rámcového rozhodnutí 2008/977/SVV).

Článek 12 předepisuje členským státům povinnost zajistit, aby subjekt údajů měl právo na přístup ke svým osobním údajům. Vychází z čl. 12 písm. a) směrnice 95/46/ES, přidává však nové prvky, o kterých musí být subjekt údajů informován (o době, po kterou se budou osobní údaje uchovávat, o jeho právu na opravu, výmaz nebo omezené zpracování a o právu podat stížnost).

Článek 13 stanoví, že členské státy mohou přijmout legislativní opatření, která omezí právo na přístup, pokud je to vyžadováno zvláštní povahou zpracování údajů v oblasti policie a trestního soudnictví, a že subjekt údajů je informován o omezení přístupu, a to na základě čl. 17 odst. 2 a 3 rámcového rozhodnutí 2008/977/SVV.

Článek 14 zavádí pravidlo, že v případech, kdy je přímý přístup omezen, musí být subjekt údajů informován o možnosti nepřímého přístupu prostřednictvím orgánu dozoru, jenž by uplatnil právo jeho jménem a jenž musí subjekt údajů informovat o výsledku svého šetření.

Článek 15 o právu na opravu vychází z čl. 12 písm. b) směrnice 95/46/ES a, pokud jde o povinnosti v případě zamítnutí, z čl. 18 odst. 1 rámcového rozhodnutí 2008/977/SVV.

Článek 16 o právu na výmaz vychází z čl. 12 písm. b) směrnice 95/46/ES a, pokud jde o povinnosti v případě zamítnutí, z čl. 18 odst. 1 rámcového rozhodnutí 2008/977/SVV. Začleňuje rovněž právo na značení zpracování údajů v určitých případech, čímž nahrazuje nejednoznačný pojem „blokování“ používaný v čl. 12 písm. b) směrnice 95/46/ES a čl. 18 odst. 1 rámcového rozhodnutí 2008/977/SVV.

Článek 17 vyjasňuje právo na opravu, výmaz nebo omezené zpracování údajů v soudních řízeních na základě čl. 4 odst. 4 rámcového rozhodnutí 2008/977/SVV.

3.4.4. KAPITOLA IV – SPRÁVCE A ZPRACOVATEL 3.4.4.1. ODDÍL 1 – OBECNÉ POVINNOSTI

Článek 18 popisuje odpovědnost správce za zajištění souladu s touto směrnicí mimo jiné také přijetím politik a mechanismů pro zajištění souladu.

Článek 19 stanoví, že členské státy musí zajistit, aby správce plnil povinnosti vyplývající ze zásad ochrany údajů již od návrhu a standardního nastavení ochrany údajů.

Článek o společných správcích vyjasňuje postavení společných správců, pokud jde o jejich vzájemný vztah.

Článek 21, který částečně vychází z čl. 17 odst. 2 směrnice 95/46/ES, upřesňuje postavení a povinnosti zpracovatele a obsahuje nové prvky, například že by zpracovatel, který zpracovává údaje nad rámec pokynů správce, měl být považován za společného správce.

Článek 22 o zpracování z pověření správce a zpracovatele vychází z článku 16 směrnice 95/46/ES.

Článek 23 zavádí povinnost správce a zpracovatele vést dokumentaci o všech systémech a postupech zpracování, za které nese odpovědnost.

Článek 24 se týká vedení záznamů v souladu s čl. 10 odst. 1 rámcového rozhodnutí 2008/977/SVV a dále jej vysvětluje.

Článek 25 vymezuje povinnosti správce a zpracovatele spolupracovat s orgánem dozoru.

Článek 26 se týká případů, kdy je nutno před zpracováním údajů konzultovat orgán dozoru. Vychází z článku 23 rámcového rozhodnutí 2008/977/SVV.

3.4.4.2. ODDÍL 2 – BEZPEČNOST ÚDAJŮ

Článek 27 o bezpečnosti zpracování vychází ze stávajícího čl. 17 odst. 1 směrnice 95/46/ES o bezpečnosti zpracování a článku 22 rámcového rozhodnutí 2008/977/SVV a rozšiřuje související povinnosti na zpracovatele bez ohledu na smluvní vztah se správcem.

Články 28 a 29 vycházejí z ohlašování případů narušení bezpečnosti osobních údajů podle čl. 4 odst. 3 směrnice o soukromí a elektronických komunikacích 2002/58/ES a zavádějí povinnost ohlašovat případy narušení bezpečnosti osobních údajů, přičemž se upřesňuje a odlišuje povinnost ohlašování případů orgánu dozoru (článek 28) a za určitých okolností povinnost oznamování subjektům údajů (článek 29). Článek 29 s odkazem na čl. 11 odst. 4 rovněž upravuje výjimky.

3.4.4.3. ODDÍL 3 – INSPEKTOR OCHRANY ÚDAJŮ

Článek 30 předepisuje správci povinnost jmenovat inspektora ochrany údajů, který by plnil úkoly uvedené v článku 32. Pokud několik příslušných orgánů působí pod dohledem ústředního orgánu, jenž má funkci správce, měl by inspektora ochrany údajů jmenovat alespoň tento orgán. Ustanovení čl. 18 odst. 2 směrnice 95/46/ES umožňuje členským státům zavést tuto povinnost jako náhradu za obecnou oznamovací povinnost vyplývající z této směrnice.

Článek 31 upravuje postavení inspektora ochrany údajů.

Článek 32 vymezuje úkoly inspektora ochrany údajů.

3.4.5. KAPITOLA V – PŘEDÁVÁNÍ OSOBNÍCH ÚDAJŮ DO TŘETÍCH ZEMÍ NEBO MEZINÁRODNÍM ORGANIZACÍM

Článek 33 stanoví obecné zásady předávání údajů do třetích zemí nebo mezinárodním organizacím v oblasti justiční spolupráce v trestních věcech a policejní spolupráce, včetně dalšího předávání. Vyjasňuje, že předávání údajů do třetích zemí se může uskutečnit jen tehdy, je-li to nezbytné pro účely prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů.

Článek 34 stanoví, že předávání údajů do třetích zemí se může uskutečnit v případě, kdy Komise přijala podle nařízení …/../201X rozhodnutí o přiměřenosti nebo obzvláště v oblasti justiční spolupráce v trestních věcech a policejní spolupráce nebo, pokud takové rozhodnutí neexistuje, v případě, kdy existují vhodné záruky. Dokud nebyla vydána rozhodnutí o přiměřenosti, zajistí se podle směrnice, aby předávání údajů mohlo pokračovat na základě vhodných záruk nebo odchylek. Kromě toho stanoví kritéria, která má Komise zohlednit při posuzování toho, zda je úroveň ochrany přiměřená či nikoli, a výslovně zmiňuje právní stát, soudní nápravu a nezávislý dozor. Článek rovněž dává Komisi možnost posoudit úroveň ochrany, která je poskytována na určitém území či v odvětví zpracovávání v dané třetí zemi. Tento článek také zavádí, že se obecné rozhodnutí o přiměřenosti přijaté podle postupu stanoveného v článku 38 obecného nařízení o ochraně údajů použije v oblasti působnosti této směrnice. Komise může popřípadě přijmout rozhodnutí o přiměřenosti také výlučně pro účely této směrnice.

Článek 35 definuje vhodné záruky, které jsou potřebné před mezinárodním předáváním údajů v případě, že rozhodnutí Komise o přiměřenosti neexistuje. Tyto záruky mohou být stanoveny právně závazným nástrojem, jako je mezinárodní dohoda. Správce údajů také může na základě posouzení okolností daného předání dospět k závěru, že vhodné záruky existují.

Článek 36 uvádí výjimky pro předávání údajů a vychází z článku 26 směrnice 95/46/ES a článku 13 rámcového rozhodnutí 2008/977/SVV.

Článek 37 ukládá členským státům povinnost stanovit, že správce informuje příjemce o jakýchkoli omezeních pro zpracovávání a přijme všechny přiměřené kroky, aby zajistil, že tato omezení budou příjemci osobních údajů ve třetí zemi nebo mezinárodní organizaci dodržena.

Článek 38 v zájmu ochrany osobních údajů výslovně předpokládá vypracování mechanismů pro mezinárodní spolupráci mezi Komisí a orgány dozoru třetích zemí, zejména těch, jejichž úroveň ochrany osobních údajů je považována za přiměřenou, a to s ohledem na doporučení OECD o přeshraniční spolupráci při prosazování zákonů na ochranu soukromí ze dne 12. června 2007.

KAPITOLA VI – VNITROSTÁTNÍ ORGÁNY DOZORU

3.4.5.1. ODDÍL 1 – NEZÁVISLOST POSTAVENÍ

Článek 39 ukládá na základě čl. 28 odst. 1 směrnice 95/46/ES a článku 25 rámcového rozhodnutí 2008/977/SVV členským státům povinnost zřídit orgány dozoru a rozšiřuje úkoly těchto orgánů tak, aby přispívaly k jednotnému uplatňování směrnice v celé Unii, přičemž se může jednat o stejný orgán dozoru jako ten, který byl zřízen podle obecného nařízení o ochraně údajů.

Článek 40 objasňuje podmínky nezávislosti orgánů dozoru při použití judikatury Soudního dvora EU[29] a také na základě článku 44 nařízení (ES) č. 45/2001[30].

Článek 41 upravuje obecné podmínky pro členy orgánu dozoru při použití příslušné ustálené judikatury[31] a na základě čl. 42 odst. 2 až 6 nařízení (ES) 45/2001.

Článek 42 stanoví, která pravidla pro zřízení orgánu dozoru, včetně podmínek pro jejich členy, mají členské státy upravit právním předpisem.

Článek 43 o profesním tajemství členů orgánu dozoru a jeho pracovníků vychází z čl. 28 odst. 7 směrnice 95/46/ES a čl. 25 odst. 4 rámcového rozhodnutí 2008/977/SVV.

3.4.5.2. ODDÍL 2 – POVINNOSTI A PRAVOMOCI

Článek 44 stanoví pravomoci orgánů dozoru a vychází z čl. 28 odst. 6 směrnice 95/46/ES a čl. 25 odst. 1 rámcového rozhodnutí 2008/977/SVV. Na soudy jednající v rámci svých soudních pravomocí se vztahuje výjimka, pokud jde o dohled vykonávaný orgánem dozoru, podléhají však hmotněprávním pravidlům ochrany údajů.

Článek 45 zavazuje členské státy, aby stanovily povinnosti orgánu dozoru, například projednávání a prošetřování stížností a zvyšování povědomí veřejnosti o rizicích, pravidlech, zárukách a právech. Zvláštní povinností orgánů dozoru v souvislosti s touto směrnicí je uplatňovat právo na přístup jménem subjektu údajů v případě, že je přímý přístup odepřen nebo omezen, a kontrolovat zákonnost zpracování údajů.

Článek 46 upravuje pravomoci orgánu dozoru, přičemž vychází z čl. 28 odst. 3 směrnice 95/46/ES a čl. 25 odst. 2 a 3 rámcového rozhodnutí 2008/977/SVV. Článek 47 vychází z čl. 28 odst. 5 směrnice 95/46/ES a ukládá orgánům dozoru povinnost každý rok vypracovat zprávu o činnosti.

3.4.6. KAPITOLA VII – SPOLUPRÁCE

Článek 48 zavádí pravidla vzájemné pomoci, zatímco čl. 28 odst. 6 druhý pododstavec směrnice 95/46/ES prostě stanoví obecnou povinnost spolupracovat, aniž by byla dále upřesněna.

Článek 49 stanoví, že Evropská rada pro ochranu údajů zřízená obecným nařízením o ochraně údajů plní své úkoly rovněž ve vztahu ke zpracovávání údajů, které spadá do působnosti této směrnice. Aby Komise poskytla dodatečnou podporu, vyžádá si prostřednictvím skupiny odborníků poradenství k aspektům souvisejícím s vymáháním práva v oblasti ochrany údajů od zástupců orgánů, které jsou v členských státech příslušné pro prevenci, vyšetřování, odhalování či stíhání trestných činů nebo výkon trestů, a od zástupců Europolu a Eurojustu.

3.4.7. KAPITOLA VIII – OPRAVNÉ PROSTŘEDKY, ODPOVĚDNOST A SANKCE

Článek 50 vychází z čl. 28 odst. 4 směrnice 95/46/ES a stanoví, že každý subjekt údajů má právo podat stížnost k orgánu dozoru v souvislosti s jakýmkoli porušením směrnice ve vztahu ke stěžovateli. Stanoví také subjekty, organizace nebo sdružení, které mohou vznést stížnost jménem subjektu údajů nebo – v případě narušení bezpečnosti osobních údajů – nezávisle na stížnosti subjektu údajů.

Článek 51 se týká práva na soudní opravné prostředky vůči orgánu dozoru. Vychází z obecného ustanovení čl. 28 odst. 3 směrnice 95/46/ES a především stanoví, že subjekt údajů může využít soudních prostředků, aby donutil orgán dozoru jednat v případě stížnosti.

Článek 52 se týká práva na soudní opravný prostředek vůči správci nebo zpracovateli a vychází z článku 22 směrnice 95/46/ES a článku 20 rámcového rozhodnutí 2008/977/SVV.

Článek 53 zavádí společná pravidla pro soudní řízení, včetně práva subjektů, organizací nebo sdružení zastupovat subjekt údajů před soudy a práva orgánů dozoru zapojit se do soudního řízení. Povinnost členských států zajistit, aby soudní řízení probíhala rychle, vychází z čl. 18 odst. 1 směrnice o elektronickém obchodu 2000/31/ES[32].

Článek 54 ukládá členským státům povinnost stanovit právo na odškodnění. Vychází z článku 23 směrnice 95/46/ES a čl. 19 odst. 1 rámcového rozhodnutí 2008/977/SVV, rozšiřuje toto právo na škody způsobené zpracovateli a vymezuje odpovědnost společných správců a společných zpracovatelů.

Článek 55 ukládá členským státům povinnost stanovit pravidla pro sankce ukládané za porušení této směrnice a zajistit jejich provádění.

3.4.8. KAPITOLA IX – AKTY V PŘENESENÉ PRAVOMOCI A PROVÁDĚCÍ AKTY

Článek 56 obsahuje standardní ustanovení pro výkon přenesených pravomocí v souladu s článkem 290 SFEU. Tento článek umožňuje zákonodárci přenést na Komisi pravomoc přijímat nelegislativní akty s obecnou působností, kterými se doplňují nebo mění některé prvky legislativního aktu, které nejsou podstatné (kvazilegislativní akty).

Článek 57 obsahuje ustanovení týkající se postupu projednávání ve výboru potřebného pro svěření prováděcích pravomocí Komisi v případech, kdy jsou podle článku 291 SFEU pro provedení právně závazných aktů Unie nezbytné jednotné podmínky. Použije se přezkumný postup.

3.4.9. KAPITOLA X – ZÁVĚREČNÁ USTANOVENÍ

Článkem 58 se zrušuje rámcové rozhodnutí 2008/977/SVV.

Článek 59 stanoví, že specifická ustanovení pro zpracování osobních údajů příslušnými orgány pro účely prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů obsažená v aktech Unie vydaných před přijetím této směrnice, která upravují zpracování osobních údajů nebo přístup k informačním systémům v rámci působnosti této směrnice, zůstanou nedotčena.

Článek 60 vymezuje vztah této směrnice k dříve uzavřeným mezinárodním dohodám členských států v oblasti justiční spolupráce v trestních věcech a policejní spolupráce.

Článek 61 ukládá Komisi povinnost vyhodnotit provádění směrnice a předložit o tomto hodnocení zprávu, aby se posoudila potřeba sladit dříve přijatá specifická ustanovení uvedená v článku 59 s touto směrnicí.

Článek 62 ukládá členským státům povinnost provést směrnici ve svém vnitrostátním právu a sdělit Komisi znění ustanovení přijatých podle této směrnice.

Článek 63 určuje den vstupu této směrnice v platnost.

Článek 64 stanoví, komu se tato směrnice určena.

4.         ROZPOČTOVÉ DŮSLEDKY

Legislativní finanční výkaz k návrhu obecného nařízení o ochraně údajů obsahuje rozpočtové důsledky uvedeného nařízení i této směrnice.

2012/0010 (COD)

Návrh

SMĚRNICE EVROPSKÉHO PARLAMENTU A RADY

o ochraně fyzických osob v souvislosti se zpracováváním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů a o volném pohybu těchto údajů

EVROPSKÝ PARLAMENT A RADA EVROPSKÉ UNIE,

s ohledem na Smlouvu o fungování Evropské unie, a zejména na čl. 16 odst. 2 této smlouvy,

s ohledem na návrh Evropské komise,

po postoupení návrhu legislativního aktu vnitrostátním parlamentům,

po konzultaci s evropským inspektorem ochrany údajů[33],

v souladu s řádným legislativním postupem,

vzhledem k těmto důvodům:

(1) Ochrana fyzických osob v souvislosti se zpracováním osobních údajů je základním právem. Ustanovení čl. 8 odst. 1 Listiny základních práv Evropské unie a čl. 16 odst. 1 Smlouvy o fungování Evropské unie stanoví, že každý má právo na ochranu osobních údajů, které se jej týkají.

(2) Zpracování osobních údajů má sloužit lidem; zásady a pravidla ochrany fyzických osob v souvislosti se zpracováním jejich osobních údajů by proto měly bez ohledu na státní příslušnost nebo bydliště těchto osob dodržovat jejich základní práva a svobody, zejména právo na ochranu osobních údajů. Zpracování osobních údajů by mělo přispět k dotvoření prostoru svobody, bezpečnosti a práva.

(3) Rychlý technologický rozvoj a globalizace s sebou přinesly nové výzvy pro oblast ochrany osobních údajů. Objem sdílených a sbíraných údajů dramaticky vzrostl. Technologie umožňují příslušným orgánům využívat při provádění jejich činností osobní údaje v nebývalém rozsahu.

(4) Proto je třeba usnadnit volný pohyb údajů mezi příslušnými orgány v rámci Unie a jejich předávání do třetích zemí a mezinárodním organizacím a zároveň zajistit vysokou úroveň ochrany osobních údajů. Tento vývoj vyžaduje vytvoření pevného a jednotnějšího rámce pro ochranu údajů v Unii, jenž by se opíral o důrazné vymáhání práva.

(5) Směrnice Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů[34] se používá na veškeré zpracovávání osobních údajů v členských státech jak ve veřejném, tak v soukromém sektoru. Nevztahuje se však na zpracování osobních údajů prováděné „pro výkon činností, které nespadají do oblasti působnosti práva Společenství“, například činností v oblasti justiční spolupráce v trestních věcech a policejní spolupráce.

(6) Rámcové rozhodnutí 2008/977/SVV ze dne 27. listopadu 2008 o ochraně osobních údajů zpracovávaných v rámci policejní a justiční spolupráce v trestních věcech[35] se používá v oblastech justiční spolupráce v trestních věcech a policejní spolupráce. Oblast působnosti tohoto rámcového rozhodnutí je omezena na zpracování osobních údajů předaných nebo zpřístupněných mezi členskými státy.

(7) Pro účely zajištění účinné justiční spolupráce v trestních věcech a policejní spolupráce má zásadní význam zajištění jednotné a vysoké úrovně ochrany osobních údajů fyzických osob a usnadnění výměny osobních údajů mezi příslušnými orgány členských států. V tomto ohledu musí být ve všech členských státech rovnocenná úroveň ochrany práv a svobod fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány pro účely prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů. Účinná ochrana osobních údajů v celé Unii vyžaduje posílení práv subjektů údajů a povinností těch, kteří zpracovávají osobní údaje, ale také stejné pravomoci při sledování a zajišťování souladu s pravidly ochrany osobních údajů v členských státech.

(8) Podle čl. 16 odst. 2 Smlouvy o fungování Evropské unie by Evropský parlament a Rada měly stanovit pravidla týkající se ochrany fyzických osob v souvislosti se zpracováváním osobních údajů a pravidla související s volným pohybem osobních údajů.

(9) Na tomto základě stanoví nařízení Evropského parlamentu a Rady EU …/2012 o ochraně fyzických osob v souvislosti se zpracováváním osobních údajů a o volném pohybu těchto údajů (obecné nařízení o ochraně údajů) obecná pravidla pro ochranu fyzických osob v souvislosti se zpracováváním osobních údajů a zajištění volného pohybu osobních údajů v rámci Unie.

(10)             V prohlášení 21 o ochraně osobních údajů v oblasti justiční spolupráce v trestních věcech a policejní spolupráce připojeném k závěrečnému aktu konference zástupců vlád, která přijala Lisabonskou smlouvu, konference uznala, že by mohlo být vzhledem k zvláštní povaze těchto oblastí případně nutné zavést specifická pravidla ochrany osobních údajů a volného pohybu těchto údajů v oblasti justiční spolupráce v trestních věcech a policejní spolupráce podle článku 16 Smlouvy o fungování Evropské unie.

(11) Proto by měla být přijata směrnice, která by zohlednila zvláštní povahu této oblasti a stanovila pravidla pro ochranu fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů.

(12) Aby byla zajištěna stejná úroveň ochrany fyzických osob na základě právně vymahatelných práv v celé Unii a aby byly odstraněny rozdíly bránící výměně osobních údajů mezi příslušnými orgány, měla by směrnice stanovit harmonizovaná pravidla pro ochranu a volný pohyb osobních údajů v oblasti justiční spolupráce v trestních věcech a policejní spolupráce.

(13) Tato směrnice umožňuje při provádění jejích ustanovení vzít v úvahu zásadu práva na přístup veřejnosti k úředním dokumentům.

(14) Ochrana poskytovaná touto směrnicí by se měla týkat zpracování osobních údajů fyzických osob bez ohledu na jejich státní příslušnost nebo místo bydliště.

(15) Ochrana fyzických osob by měla být technologicky neutrální a nezávislá na používaných postupech, jinak by bylo riziko obcházení předpisů příliš velké. Ochrana fyzických osob by měla platit jak pro automatizované zpracování osobních údajů, tak pro manuální zpracování, pokud údaje jsou nebo mají být uloženy v evidenci. Záznamy nebo soubory záznamů, stejně jako jejich titulní strany, které nejsou uspořádány podle určených hledisek, by neměly spadat do oblasti působnosti této směrnice. Tato směrnice by se neměla vztahovat na zpracovávání osobních údajů prováděné pro výkon činností, které nespadají do oblasti působnosti práva Unie, zejména v oblasti bezpečnosti státu, nebo na údaje zpracovávané orgány, institucemi a jinými subjekty Unie, jako je Europol nebo Eurojust.

(16) Zásady ochrany údajů by se měly uplatňovat na všechny informace týkající se identifikovaných nebo identifikovatelných fyzických osob. Při určování, zda je fyzická osoba identifikovatelná, by se mělo přihlédnout ke všem prostředkům, o nichž lze důvodně předpokládat, že je správce nebo jakákoli jiná osoba použijí pro identifikaci dané osoby. Zásady ochrany údajů by se neměly uplatňovat na údaje, které byly dostatečně anonymizovány tak, aby subjekt údajů již nebyl identifikovatelný.

(17) Mezi osobní údaje týkající se zdraví by měly být zahrnuty zejména všechny údaje související se zdravotním stavem subjektu údajů, informace o evidenci osoby pro poskytování zdravotní péče, informace o platbách nebo způsobilosti ke zdravotní péči dané osoby, číslo, symbol nebo specifický údaj přiřazený osobě za účelem její jednoznačné identifikace pro zdravotnické účely; jakékoliv informace o osobě shromážděné během poskytování zdravotních služeb této osobě, informace získané během provádění testů nebo vyšetřování části těla nebo tělesných látek, včetně biologických vzorků; identifikace osoby poskytující dané osobě zdravotní péči, nebo jakékoli informace, např. o nemoci, postižení, riziku onemocnění, anamnéze, klinické léčbě nebo aktuálním fyziologickém či biomedicínském stavu subjektu údajů nezávisle na jejich původu, tedy bez ohledu na to, zda pocházejí od lékaře nebo jiného zdravotníka, z nemocnice, ze zdravotnického prostředku či diagnostických testů in vitro.

(18) Jakékoli zpracování osobních údajů by mělo být vůči dotčeným jednotlivcům prováděno zákonným a korektním způsobem. Především by měly být výslovně stanoveny účely, pro které jsou údaje zpracovávány.

(19) Pro prevenci, vyšetřování a stíhání trestných činů je nutné, aby příslušné orgány mohly osobní údaje shromážděné za účelem prevence, vyšetřování, odhalování či stíhání určitých trestných činů uchovávat a zpracovávat také v jiném kontextu, aby lépe mohly chápat aspekty a trendy trestné činnosti, získávat poznatky o sítích organizované trestné činnosti a nalézat souvislosti mezi různými odhalenými trestnými činy.

(20) Osobní údaje by neměly být zpracovávány pro účely, které nejsou slučitelné s účelem, pro který byly shromážděny. Osobní údaje by měly být odpovídající z hlediska účelu, pro který jsou zpracovávány, musí pro něj být relevantní a ve vztahu k němu přiměřené. Měla by být přijata veškerá rozumná opatření, aby nepřesné osobní údaje byly opraveny nebo vymazány.

(21) Zásada přesnosti údajů by měla být uplatňována s ohledem na povahu a účel daného zpracování údajů. Prohlášení obsahující osobní údaje jsou zejména v soudních řízeních založena na subjektivním vnímání osob a v některých případech nejsou vždy ověřitelná. Požadavek na přesnost by se tedy neměl týkat přesnosti určitého prohlášení, ale pouze skutečnosti, že konkrétní prohlášení bylo učiněno.

(22) Při výkladu a uplatňování obecných zásad souvisejících se zpracováním údajů příslušnými orgány pro účely prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů by měla být zohledněna specifičnost odvětví, včetně sledovaných specifických cílů.

(23) Při zpracovávání osobních údajů v oblasti justiční spolupráce v trestních věcech a policejní spolupráce se přirozeně jedná o subjekty údajů různých kategorií. Proto by se mělo pokud možno jednoznačně rozlišovat mezi osobními údaji různých kategorií subjektů údajů, jako jsou podezřelé osoby, osoby odsouzené za trestný čin, oběti a třetí osoby, např. svědci, osoby, které mohou poskytnout informace o trestných činech nebo o kontaktu či společníkovi podezřelé osoby a odsouzeného pachatele.

(24) V mezích možností by se měly osobní údaje rozlišovat podle stupně přesnosti a spolehlivosti. Měla by se rozlišovat fakta od osobních hodnocení, aby se zajistila jak ochrana jednotlivců, tak kvalita a spolehlivost informací zpracovávaných příslušnými orgány.

(25) Aby bylo zpracování osobních údajů zákonné, mělo by být nezbytné pro splnění právní povinnosti, které podléhá správce, pro splnění úkolu prováděného příslušným orgánem ve veřejném zájmu na základě právních předpisů nebo pro ochranu životních zájmů subjektu údajů či jiné osoby nebo pro zabránění bezprostřednímu a vážnému ohrožení veřejné bezpečnosti.

(26) Osobní údaje, které jsou ve své podstatě obzvláště citlivé z hlediska základních práv nebo soukromí, například genetické údaje, si zaslouží zvláštní ochranu. Tyto údaje by měly být zpracovávány pouze tehdy, je-li zpracování výslovně povoleno právním předpisem, který obsahuje vhodná opatření k ochraně oprávněných zájmů subjektu údajů nebo je-li zpracování nutné pro ochranu životních zájmů subjektu údajů nebo jiné osoby nebo se zpracování týká údajů očividně zveřejňovaných subjektem údajů.

(27) Každá fyzická osoba by měla mít právo nebýt předmětem opatření, které je založené pouze na automatizovaném zpracování, pokud vůči této osobě vyvolává nepříznivé právní účinky, s výjimkou případů, kdy je povoleno právními předpisy a spojeno s vhodnými opatřeními zajišťujícími ochranu oprávněných zájmů subjektu údajů.

(28) Aby mohl subjekt údajů uplatňovat svá práva, měly by pro něj být informace snadno přístupné a srozumitelné a podávané v jasném a běžně užívaném jazyce.

(29) Měly by být stanoveny postupy, které by subjektům údajů usnadnily výkon jejich práv, jež jim podle této směrnice náležejí, včetně bezplatného používání mechanismů pro podávání žádostí zejména o přístup k údajům, o opravu a výmaz. Správci by měla být uložena povinnost odpovědět na žádost subjektu údajů bez zbytečného odkladu.

(30) Zásada korektního zpracování předpokládá, že by subjekt údajů měl být informován zejména o probíhajícím zpracování údajů a jeho účelech, o tom, jak dlouho budou údaje uchovávány, o svém právu na přístup, opravu nebo výmaz a právu podat stížnost. Pokud jsou údaje získávány od subjektu údajů, měl by subjekt údajů být rovněž informován, zda je povinen údaje poskytnout, a o důsledcích v případě, že tyto údaje neposkytne.

(31) Informování subjektu údajů o tom, že jsou zpracovávány jeho osobní údaje, by mělo proběhnout v okamžiku shromažďování nebo, pokud údaje nejsou získávány od subjektu údajů, v době záznamu nebo v přiměřené lhůtě po jejich získání s přihlédnutím ke konkrétním okolnostem, za nichž se údaje zpracovávají.

(32) Každá osoba by měla mít právo na přístup k údajům, které o ní byly získány, a toto právo snadno uplatňovat, aby se mohla přesvědčit o zákonnosti jejich zpracování. Každý subjekt údajů by proto měl mít právo vědět a dozvědět se zejména, za jakým účelem se údaje zpracovávají, jak dlouho budou uchovávány, kdo jsou příjemci údajů, včetně subjektů údajů ve třetích zemích, a mělo by mu být povoleno získat kopii svých osobních údajů, které jsou zpracovávány.

(33) Členským státům by mělo být povoleno přijmout legislativní opatření, aby poskytnutí těchto informací subjektům údajů přiměřeně opozdily, omezily či od něho upustily, jestliže je v demokratické společnosti částečné nebo úplné omezení s přihlédnutím k oprávněným zájmům dotčené osoby nutným a úměrným opatřením, aby se zabránilo maření úředních nebo právních šetření, vyšetřování nebo postupů, aby se zabránilo ovlivňování prevence, vyšetřování, odhalování a stíhání trestných činů nebo výkonu trestů, aby se zajistila ochrana veřejné nebo národní bezpečnosti nebo ochrana subjektu údajů nebo práv a svobod druhých.

(34) Jakékoli zamítnutí nebo omezení přístupu by mělo být subjektu údajů sděleno písemně s uvedením věcných a právních důvodů, které k danému rozhodnutí vedly.

(35) Pokud členské státy přijaly legislativní opatření, jimiž přístup k informacím úplně nebo částečně omezily, subjekt údajů by měl mít právo požadovat, aby příslušný vnitrostátní orgán dozoru ověřil zákonnost zpracování. Subjekt údajů by měl být o tomto právu informován. Jestliže právo na přístup uplatňuje jménem subjektu údajů orgán dozoru, měl by subjekt údajů informovat přinejmenším o tom, že z jeho strany došlo k veškerým ověřením, a o výsledku, co se týče zákonnosti předmětného zpracování.

(36) Každá osoba by měla mít právo na opravu nepřesných osobních údajů, které se jí týkají, a právo na výmaz, pokud zpracování těchto údajů není v souladu s hlavními zásadami stanovenými v této směrnici. Pokud jsou osobní údaje zpracovávány v průběhu vyšetřování a v trestním řízení, plní se práva na opravu, informace, přístup, výmaz a omezení zpracování v souladu s vnitrostátními pravidly pro soudní řízení.

(37) Měla by být zavedena komplexní odpovědnost správce za jakékoli zpracování osobních údajů prováděné správcem nebo jeho jménem. Správce by měl zejména zajistit, aby každé zpracování bylo v souladu s pravidly přijatými podle této směrnice.

(38) Pro ochranu práv a svobod subjektů údajů v souvislosti se zpracováváním osobních údajů je třeba přijmout odpovídající technická a organizační opatření, aby se zajistilo splnění požadavků vyplývajících z této směrnice. Aby se zajistil soulad s ustanoveními přijatými podle této směrnice, měl by správce přijmout strategie a provést vhodná opatření, které splňují zejména zásady ochrany údajů již od návrhu a standardního nastavení ochrany údajů.

(39) Pro ochranu práv a svobod subjektů údajů, jakož i odpovědnost správců a zpracovatelů je třeba jasně vymezit odpovědnosti podle této směrnice, včetně případů, kdy správce určuje účely, podmínky a prostředky zpracování společně s jinými správci nebo kdy je zpracování prováděno jménem správce.

(40) Správce nebo zpracovatel by za účelem kontroly dodržování této směrnice měl zpracovávání dokumentovat. Každý správce a zpracovatel by měl být povinen spolupracovat s orgánem dozoru a na jeho žádost mu zpřístupnit tyto záznamy, aby na jejich základě mohla být provedena kontrola zpracování.

(41) Aby byla zajištěna účinná ochrana práv a svobod subjektů údajů prostřednictvím preventivních opatření, měl by správce nebo zpracovatel v určitých případech před zpracováním konzultovat orgán dozoru.

(42) Není-li odpovídajícím způsobem a včas řešeno narušení bezpečnosti osobních údajů, může to příslušnému jednotlivci způsobit škodu, například v podobě poškození pověsti. Proto by měl správce, jakmile se dozví, že došlo k takovému narušení bezpečnosti, toto narušení ohlásit příslušnému vnitrostátnímu orgánu. Jednotlivci, jejichž osobní údaje nebo soukromí by mohly být narušením bezpečnosti nepříznivě ovlivněny, by měli být bez prodlení vyrozuměni, aby mohli učinit nezbytná opatření. Narušení bezpečnosti by mělo být považováno za škodlivé pro ochranu osobních údajů nebo soukromí jednotlivce, pokud by v souvislosti se zpracováním osobních údajů mohlo vést například ke krádeži totožnosti nebo podvodu, fyzické újmě, významnému ponížení nebo poškození pověsti.

(43) Při vytváření podrobných pravidel týkajících se formy a postupů ohlašování případů narušení bezpečnosti osobních údajů by měly být náležitě zohledněny okolnosti případu, včetně otázky, zda byly osobní údaje chráněny vhodnými technickými ochrannými opatřeními, jež pravděpodobnost zneužití účinně omezují. Tato pravidla a postupy by navíc měly vzít v úvahu oprávněné zájmy příslušných orgánů v případech, kdy by předčasné zveřejnění mohlo zbytečně ztížit vyšetřování okolností narušení.

(44) Správce nebo zpracovatel by měl jmenovat osobu, která by mu pomáhala sledovat dodržování ustanovení přijatých podle této směrnice. Různé složky příslušného orgánu mohou společně jmenovat inspektora ochrany údajů. Tito inspektoři ochrany údajů by měli moci plnit své povinnosti a úkoly nezávisle a účinně.

(45) Členské státy by měly zajistit, aby se předávání údajů do třetích zemí uskutečnilo jen tehdy, je-li to nezbytné pro účely prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů a je-li správce ve třetí zemi nebo mezinárodní organizaci příslušným orgánem ve smyslu této směrnice. K předávání může dojít v případech, kdy Komise rozhodla, že daná třetí země nebo mezinárodní organizace zajišťuje přiměřenou úroveň ochrany, nebo pokud byly stanoveny vhodné záruky.

(46) Komise může s účinkem pro celou Unii rozhodnout, že určité třetí země nebo území či odvětví zpracovávání v dané třetí zemi nebo určitá mezinárodní organizace zajišťují vhodnou úroveň ochrany, a tímto způsobem ve vztahu k třetím zemím nebo mezinárodním organizacím, které jsou považovány za schopné poskytovat takovou úroveň ochrany, zajišťují právní jistotu a jednotné uplatňování práva v celé Unii. V těchto případech mohou být osobní údaje do těchto zemí předávány, aniž by bylo třeba získat další povolení.

(47) V souladu se základními hodnotami, na kterých je Unie založena a mezi něž patří zejména ochrana lidských práv, by Komise měla zohlednit, jak daná třetí země respektuje právní stát, přístup k spravedlnosti a mezinárodní normy a standardy v oblasti lidských práv.

(48) Komise by měla být rovněž schopna uznat, že třetí země nebo území či odvětví zpracovávání v dané třetí zemi nebo určitá mezinárodní organizace nezajišťuje přiměřenou úroveň ochrany údajů. Předávání osobních údajů do této třetí země by tudíž mělo být zakázáno, vyjma případů, kdy je založeno na mezinárodní dohodě, vhodných zárukách nebo na výjimce. Měly by být naplánovány postupy pro konzultace mezi Komisí a těmito třetími zeměmi nebo mezinárodními organizacemi. Avšak takovým rozhodnutím Komise by neměla být dotčena možnost předávat údaje na základě vhodných záruk nebo na základě výjimky stanovené této směrnici.

(49) Předávání údajů, které není založené na rozhodnutí o přiměřenosti, by mělo být přípustné pouze v případě, pokud byly v právně závazném nástroji stanoveny vhodné záruky, jež zajišťují ochranu osobních údajů, nebo pokud správce nebo zpracovatel posoudil všechny okolnosti daného předání údajů nebo dané řady předání údajů a na základě tohoto posouzení se domnívá, že pro ochranu osobních údajů existují vhodné záruky. V případech, kdy neexistují důvody, které by připouštěly předávání údajů, by měly být povoleny výjimky, pokud je to nutné k ochraně životních zájmů subjektu údajů nebo jiné osoby nebo k ochraně oprávněných zájmů subjektu údajů, jestliže tak stanoví právo členského státu, který osobní údaje předává, pokud je to nezbytné pro odvrácení bezprostřední a závažné hrozby pro veřejnou bezpečnost v některém členském státě nebo třetí zemi, pokud je to v jednotlivých případech nutné pro účely prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů nebo pokud je to v jednotlivých případech nutné pro uplatnění, výkon nebo obhajobu právních nároků.

(50) Při předávání osobních údajů přes hranice se jednotlivci mohou vystavovat vyššímu riziku, že nebudou schopni vykonávat svá práva na ochranu údajů a chránit se před nezákonným použitím nebo zveřejňováním těchto údajů. Zároveň se může stát, že orgány dozoru nebudou schopny vyřizovat stížnosti nebo provádět šetření týkající se činností prováděných za hranicemi svého státu. Překážkou pro jejich úsilí o přeshraniční spolupráci mohou být také nedostatečné preventivní a nápravné pravomoci a nejednotné právní řády. Proto je třeba podporovat užší spolupráci mezi orgány dozoru pro ochranu údajů s cílem umožnit jim výměnu informací s orgány dozoru jiných zemí.

(51) Zřízení orgánů dozoru v členských státech vykonávajících zcela nezávisle své úkoly je zásadním prvkem ochrany jednotlivců v souvislosti se zpracováním osobních údajů. Orgány dozoru by měly sledovat uplatňování ustanovení této směrnice a přispívat k jejich jednotnému uplatňování v celé Unii s cílem chránit fyzické osoby v souvislosti se zpracováním jejich osobních údajů. Za tímto účelem by orgány dozoru měly spolupracovat s Komisí a mezi sebou.

(52) Členské státy mohou na orgán dozoru, který již byl v členských státech zřízen podle nařízení (EU) .../2012, přenést odpovědnost za úkoly, jež mají plnit vnitrostátní orgány dozoru, které mají být zřízeny podle této směrnice.

(53) Členské státy by měly mít možnost zřídit více než jeden orgán dozoru, pokud to odpovídá jejich ústavní, organizační a administrativní struktuře. Každému orgánu dozoru by měly být poskytnuty odpovídající finanční a lidské zdroje, prostory a infrastruktura, které bude potřebovat pro účinné vykonávání svých úkolů, včetně úkolů, jež bude plnit v rámci vzájemné pomoci a spolupráce s ostatními orgány dozoru v celé Unii.

(54) Obecné podmínky pro členy orgánu dozoru by měly být v každém členském státě upraveny právním předpisem a měly by zejména stanovit, že tito členové by měli být jmenováni parlamentem nebo vládou členského státu, a dále by měly obsahovat pravidla o osobní způsobilosti členů a jejich postavení.

(55) Ačkoli se tato směrnice vztahuje také na činnosti vnitrostátních soudů, neměly by být orgány dozoru příslušné k dozoru nad zpracováním osobních údajů, pokud soudy jednají v rámci svých soudních pravomocí, aby byla zachována nezávislost soudců při výkonu jejich soudních úkolů. Tato výjimka by však měla být omezena na čistě soudní činnosti v soudních řízeních a neměla by se vztahovat na jiné činnosti, do kterých mohou být soudci v souladu s vnitrostátním právem zapojeni.

(56) Aby se zajistilo jednotné sledování a prosazování této směrnice v celé Unii, měly by mít orgány dozoru v každém členském státě tytéž povinnosti a účinné pravomoci, včetně pravomocí provádět šetření, právně závazné zásahy, rozhodnutí a sankce, zejména v případech stížností jednotlivců, a pravomoci obrátit se na soud.

(57) Každý orgán dozoru by se měl zabývat stížnostmi podanými kterýmkoli subjektem údajů a záležitost prošetřit. Šetření, které následuje po podání stížnosti, by mělo být s výhradou soudního přezkumu provedeno v rozsahu, jenž je v daném případě přiměřený. Orgán dozoru by měl subjekt údajů v rozumné lhůtě informovat o vývoji a výsledku stížnosti. Subjekt údajů by měl být průběžně informován v případě, kdy je zapotřebí další šetření nebo koordinace s jiným orgánem dozoru.

(58) Orgány dozoru by si měly při provádění svých úkolů vzájemně pomáhat, aby bylo zajištěno jednotné uplatňování a prosazování ustanovení přijatých podle této směrnice.

(59) Evropská rada pro ochranu údajů zřízená nařízením (EU) …/2012 by měla přispívat k jednotnému uplatňování této směrnice v celé Unii, například poskytovat Komisi poradenství a podporovat spolupráci orgánů dozoru v celé Unii.

(60) Každý subjekt údajů by měl mít právo podat stížnost orgánu dozoru v jakémkoli členském státě a měl by mít právo na soudní opravný prostředek, jestliže se domnívá, že byla porušena jeho práva podle této směrnice, nebo pokud orgán dozoru na stížnost nereaguje nebo nejedná, přestože je to nutné pro ochranu práva subjektu údajů.

(61) Veškeré subjekty, organizace nebo sdružení, jejichž cílem je chránit práva a zájmy subjektů údajů v souvislosti s ochranou jejich osobních údajů a jež byly řádně zřízeny v souladu s právem některého členského státu, by měly mít právo vznést jménem subjektů údajů stížnost nebo uplatnit právo na soudní opravný prostředek, pokud od nich mají patřičné pověření, nebo nezávisle na stížnosti subjektu údajů podat vlastní stížnost, jestliže se domnívají, že došlo k narušení bezpečnosti osobních údajů.

(62) Každá fyzická nebo právnická osoba by měla mít právo na soudní opravný prostředek proti rozhodnutím orgánu dozoru, která se jí týkají. Řízení proti orgánu dozoru by se měla zahajovat před soudy toho členského státu, v němž je daný orgán dozoru usazen.

(63) Členské státy by měly zajistit, aby existovaly účinné soudní prostředky, které by umožňovaly rychlé přijetí opatření, jež by vedla k nápravě nebo by zabránila porušování této směrnice.

(64) Veškeré škody, které mohou vzniknout osobám v důsledku nezákonného zpracování, by měly být nahrazeny správcem nebo zpracovatelem, který může být zproštěn své odpovědnosti, pokud prokáže, že vznik škody mu nelze přičítat, zejména pokud prokáže chybu subjektu údajů nebo v případě vyšší moci.

(65) Každé fyzické nebo právnické osobě, ať již podléhá soukromému či veřejnému právu, která nebude dodržovat tuto směrnici, by měly být uloženy sankce. Členské státy by měly zajistit, že sankce budou účinné, přiměřené a odrazující, a musí přijmout všechna opatření pro uplatnění sankcí.

(66) Aby byly splněny cíle této směrnice, zejména chránit základní práva a svobody fyzických osob a především jejich právo na ochranu osobních údajů a zajistit volný pohyb osobních údajů mezi příslušnými orgány v rámci Unie, měla by být na Komisi převedena pravomoc přijímat akty v souladu s článkem 290 Smlouvy o fungování Evropské unie. Akty v přenesené pravomoci by měly být přijímány především v souvislosti s ohlašováním případů narušení bezpečnosti osobních údajů orgánu dozoru. Je zvláště důležité, aby Komise v rámci přípravné činnosti vedla odpovídající konzultace, a to i na odborné úrovni. Při přípravě a vypracovávání aktů v přenesené pravomoci by Komise měla zajistit souběžné, včasné a náležité předávání příslušných dokumentů Evropskému parlamentu a Radě.

(67) Komisi by měly být svěřeny prováděcí pravomoci za účelem zajištění jednotných podmínek pro provádění této směrnice, pokud jde o dokumentaci vedenou správci a zpracovateli, bezpečnost zpracování, zejména v souvislosti s normami kódování, ohlašování případů narušení bezpečnosti osobních údajů orgánu dozoru a odpovídající úroveň ochrany poskytované třetí zemí nebo územím či odvětvím zpracovávání v třetí zemi nebo mezinárodní organizací. Tyto pravomoci by měly být vykonávány v souladu s nařízením Evropského parlamentu a Rady (EU) č. 182/2011 ze dne 16. února 2011, kterým se stanoví pravidla a obecné zásady způsobu, jakým členské státy kontrolují Komisi při výkonu prováděcích pravomocí[36].

(68) Pro přijímání opatření, pokud jde o dokumentaci vedenou správci a zpracovateli, bezpečnost zpracování, ohlašování případů narušení bezpečnosti osobních údajů orgánu dozoru a odpovídající úroveň ochrany poskytované třetí zemí nebo územím či odvětvím zpracovávání v třetí zemi nebo mezinárodní organizací, by se měl použít přezkumný postup, neboť se jedná o akty s obecnou působností.

(69) Komise by měla v řádně odůvodněných a krajně naléhavých případech týkajících se třetí země nebo území nebo odvětví zpracování v této třetí zemi nebo mezinárodní organizace, která nezajišťuje přiměřenou úroveň ochrany, přijmout okamžitě uplatnitelné prováděcí akty.

(70) Vzhledem k tomu, že cílů této směrnice, totiž ochrany základních práv a svobod fyzických osob a zejména jejich práva na ochranu osobních údajů a zajištění volného pohybu osobních údajů mezi příslušnými orgány v rámci Unie, nelze uspokojivě dosáhnout na úrovni členských států, a proto jich lze z důvodu rozsahu a účinků tohoto opatření lépe dosáhnout na úrovni Unie, může Unie přijmout opatření v souladu se zásadou subsidiarity stanovenou v článku 5 Smlouvy o Evropské unii. V souladu se zásadou proporcionality stanovenou v uvedeném článku nepřekračuje tato směrnice rámec toho, co je nezbytné k dosažení těchto cílů.

(71) Rámcové rozhodnutí 2008/977/SVV by tudíž mělo být touto směrnicí zrušeno.

(72) Konkrétní ustanovení pro zpracovávání osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů v aktech Unie, jež byla přijata před datem přijetí této směrnice a jež upravují zpracovávání osobních údajů mezi členskými státy nebo přístup určených orgánů členských států do informačních systémů zřízených podle Smluv, by neměla být nijak dotčena. Komise by měla posoudit vztah mezi touto směrnicí a akty, jež byly přijaty před datem přijetí této směrnice a jež upravují zpracovávání osobních údajů mezi členskými státy nebo přístup určených orgánů členských států do informačních systémů zřízených podle Smluv, aby bylo zjištěno, nakolik je třeba sladit tato konkrétní ustanovení s touto směrnicí.

(73) Aby bylo zajištěna komplexní a jednotná ochrana osobních údajů v Unii, měly by být mezinárodní dohody uzavřené členskými státy před vstupem této směrnice v platnost změněny v souladu s touto směrnicí.

(74) Touto směrnicí nejsou dotčena pravidla pro boj proti pohlavnímu zneužívání a pohlavnímu vykořisťování dětí a proti dětské pornografii stanovená ve směrnici Evropského parlamentu a Rady 2011/92/EU ze dne 13. prosince 2011[37].

(75) V souladu s článkem 6a Protokolu o postavení Spojeného království a Irska s ohledem na prostor svobody, bezpečnosti a práva, připojeného ke Smlouvě o Evropské unii a Smlouvě o fungování Evropské unie, Spojené království a Irsko nebudou vázány pravidly stanovenými v této směrnici, pokud nejsou vázány pravidly Unie pro formy justiční spolupráce v trestních věcech nebo policejní spolupráce, v jejichž rámci musí být ustanovení na základě článku 16 Smlouvy o fungování Evropské unie dodržována.

(76) V souladu s články 2 a 2a Protokolu o postavení Dánska, připojeného ke Smlouvě o Evropské unii a Smlouvě o fungování Evropské unie, není Dánsko vázáno touto směrnicí a používání této směrnice se na ně nevztahuje. Vzhledem k tomu, že tato směrnice navazuje na schengenské acquis podle hlavy V části třetí Smlouvy o fungování Evropské unie, rozhodne se Dánsko v souladu s článkem 4 uvedeného protokolu do šesti měsíců od přijetí této směrnice, zda ji provede ve svém vnitrostátním právu.

(77) Pokud jde o Island a Norsko, rozvíjí tato směrnice ustanovení schengenského acquis ve smyslu Dohody uzavřené mezi Radou Evropské unie a Islandskou republikou a Norským královstvím o přidružení těchto dvou států k provádění, uplatňování a rozvoji schengenského acquis[38].

(78) Pokud jde o Švýcarsko, rozvíjí tato směrnice ustanovení schengenského acquis ve smyslu Dohody mezi Evropskou unií, Evropským společenstvím a Švýcarskou konfederací o přidružení Švýcarské konfederace k provádění, uplatňování a rozvoji schengenského acquis[39].

(79) Pokud jde o Lichtenštejnsko, rozvíjí tyto směrnice ustanovení schengenského acquis ve smyslu Protokolu mezi Evropskou unií, Evropským společenstvím, Švýcarskou konfederací a Lichtenštejnským knížectvím o přistoupení Lichtenštejnského knížectví k dohodě mezi Evropskou unií, Evropským společenstvím a Švýcarskou konfederací o přidružení Švýcarské konfederace k provádění, uplatňování a rozvoji schengenského acquis[40].

(80) Tato směrnice respektuje základní práva a sleduje zásady uznané v Listině základních práv Evropské unie, jak jsou zakotveny ve Smlouvě, zejména právo na respektování soukromého a rodinného života, právo na ochranu osobních údajů, právo na účinnou právní ochranu a spravedlivý proces. Omezení těchto práv jsou v souladu s čl. 52 odst. 1 Listiny, neboť jsou nezbytná pro plnění cílů obecného zájmu, které uznává Unie, nebo plnění potřeby ochrany práv a svobod druhého.

(81) Členské státy se v souladu se Společným politickým prohlášením členských států a Komise o informativních dokumentech ze dne 28. září 2011 zavázaly, že v odůvodněných případech doplní oznámení o opatřeních přijatých za účelem provedení směrnice do vnitrostátního práva o jeden či více dokumentů s informacemi o vztahu mezi jednotlivými složkami směrnice a příslušnými částmi vnitrostátních nástrojů přijatých za účelem provedení směrnice do vnitrostátního práva. Ve vztahu k této směrnici považuje zákonodárce předložení těchto dokumentů za odůvodněné.

(82) Tato směrnice by členským státům neměla bránit v provedení ustanovení o výkonu práv subjektů údajů na informace, přístup, opravu, výmaz a omezení zpracování jejich osobních údajů v průběhu trestních řízení a případných omezení těchto práv do vnitrostátních pravidel v oblasti trestního řízení,

PŘIJALY TUTO SMĚRNICI:

KAPITOLA I

OBECNÁ USTANOVENÍ

Článek 1 Předmět a cíle

1.           Touto směrnicí se stanoví pravidla pro ochranu fyzických osob v souvislosti se zpracováváním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů.

2.           Členské státy v souladu s touto směrnicí:

a)      chrání základní práva a svobody fyzických osob, zejména jejich právo na ochranu osobních údajů, a

b)      zajišťují, aby z důvodu ochrany fyzických osob v souvislosti se zpracováváním osobních údajů nebyla omezena ani zakázána výměna osobních údajů příslušnými orgány v rámci Unie.

Článek 2 Oblast působnosti

1.           Tato směrnice se vztahuje na zpracovávání osobních údajů příslušnými orgány za účely uvedenými v čl. 1 odst. 1.

2.           Tato směrnice se vztahuje na zcela nebo částečně automatizované zpracovávání osobních údajů, jakož i na neautomatizované zpracovávání osobních údajů, které jsou obsaženy v evidencích nebo do nich mají být zařazeny.

3.           Tato směrnice se nevztahuje na zpracovávání osobních údajů:

a)      prováděné při výkonu činností, které nespadají do oblasti působnosti práva Unie, zejména v oblasti bezpečnosti státu;

b)      prováděné orgány, institucemi a jinými subjekty Unie.

Článek 3 Definice

Pro účely této směrnice se rozumí:

(1) „subjektem údajů“ identifikovaná fyzická osoba nebo fyzická osoba, kterou lze přímo či nepřímo identifikovat prostředky, o nichž lze důvodně předpokládat, že je správce nebo jakákoli jiná fyzická nebo právnická osoba použijí pro identifikaci dané osoby, zejména s odkazem na identifikační číslo, lokalizační údaje, elektronické identifikátory nebo s odkazem na jeden či více zvláštních prvků její fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo sociální identity;

(2) „osobními údaji“ veškeré informace o subjektu údajů;

(3) „zpracováním“ každý úkon nebo soubor úkonů s osobními údaji nebo soubory osobních údajů, které jsou prováděny pomocí či bez pomoci automatizovaných postupů, jako je shromažďování, zaznamenávání, uspořádávání, strukturování, uchovávání, přizpůsobování nebo pozměňování, vyhledávání, nahlížení, užívání, zveřejňování přenosem, zveřejňování šířením nebo jejich zpřístupňování jiným způsobem, třídění nebo kombinování, omezování, vymazávání nebo ničení;

(4) „omezením zpracování“ značení uložených osobních údajů za účelem omezení jejich zpracování v budoucnu;

(5) „evidencí“ jakýkoli uspořádaný soubor osobních údajů přístupných podle určených kritérií, ať již je tento soubor centralizován, decentralizován nebo rozdělen podle funkčního či zeměpisného hlediska;

(6) „správcem“ příslušný orgán veřejné moci, který sám nebo společně s jinými určuje účel, podmínky a prostředky zpracování osobních údajů; jsou-li účel, podmínky a prostředky zpracování určeny právem Unie či členského státu, je možné určit správce nebo zvláštní kritéria pro jeho jmenování na základě práva Unie nebo členského státu;

(7) „zpracovatelem“ fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jakýkoli jiný subjekt, který zpracovává osobní údaje jménem správce;

(8) „příjemcem“ fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jakýkoli jiný subjekt, kterým jsou údaje sdělovány;

(9) „narušením bezpečnosti osobních údajů“ narušení bezpečnosti, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně či neoprávněnému vyzrazení nebo zpřístupnění osobních údajů přenášených, uchovávaných nebo jinak zpracovávaných;

(10) „genetickými údaji“ všechny údaje jakéhokoli typu týkající se dědičných znaků jedince nebo znaků získaných v období raného prenatálního vývoje;

(11) „biometrickými údaji“ všechny údaje týkající se fyzických či fyziologických znaků nebo znaků chování jedince, které umožňují jeho jednoznačnou identifikaci, například snímky obličeje nebo daktyloskopické údaje;

(12) „údaji o zdravotním stavu“ veškeré informace týkající se fyzického nebo duševního zdraví osoby nebo poskytování zdravotních služeb této osobě;

(13) „dítětem“ každá osoba mladší 18 let;

(14) „příslušnými orgány“ veškeré orgány veřejné moci příslušné k prevenci, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů;

(15) „orgánem dozoru“ orgán veřejné moci, který je zřízen členským státem v souladu s článkem 39.

KAPITOLA II

ZÁSADY

Článek 4 Zásady související se zpracováváním osobních údajů

Členské státy stanoví, že osobní údaje musí být:

a)      zpracovávány korektně a zákonným způsobem;

b)      shromažďovány pro stanovené účely, výslovně vyjádřené a legitimní, a nesmí být dále zpracovávány způsobem, který je s těmito účely neslučitelný;

c)      odpovídající z hlediska účelu, pro který jsou zpracovávány, musí pro něj být relevantní a ve vztahu k němu přiměřené;

d)      přesné, a je-li to nezbytné, i aktualizované; musí být přijata veškerá rozumná opatření, aby osobní údaje, které jsou nepřesné z hlediska účelů, pro které se zpracovávají, byly bezodkladně vymazány nebo opraveny;

e)      uchovávány ve formě umožňující identifikaci subjektů údajů po dobu ne delší, než je nezbytné pro účely, pro které jsou zpracovávány;

f)       zpracovávány v odpovědnosti správce, který zajistí dodržování ustanovení přijatých podle této směrnice.

.

Článek 5 Rozlišování mezi různými kategoriemi subjektů údajů

1.           Členské státy stanoví, že správce v míře, do jaké je to možné, jednoznačně rozlišuje mezi osobními údaji různých kategorií subjektů údajů, například:

a)      osob, u nichž existují závažné důvody k domněnce, že spáchaly trestný čin nebo se jej chystají spáchat;

b)      osob odsouzených za trestný čin;

c)      osob, které se staly obětí trestného činu nebo u kterých některé skutečnosti vedou k domněnce, že by obětí trestného činu mohly být,

d)      třetích osob v souvislosti s trestným činem, například osob, které by mohly být předvolány jako svědci při vyšetřování nebo při následném trestním řízení nebo které mohou poskytnout informace o trestných činech nebo o kontaktu či společníkovi některé z osob uvedených v písmenech a) a b), a

e)      osob, které nespadají do žádné z výše uvedených kategorií.

Článek 6 Různé stupně přesnosti a spolehlivosti osobních údajů

1.           Členské státy zajistí, aby se v míře, do jaké je to možné, rozlišovaly různé kategorie zpracovávaných osobních údajů podle stupně jejich přesnosti a spolehlivosti.

2.           Členské státy zajistí, aby se v míře, do jaké je to možné, rozlišovaly osobní údaje založené na skutečnostech od osobních údajů založených na osobním hodnocení.

Článek 7 Zákonnost zpracování

Členské státy stanoví, že zpracování osobních údajů je zákonné, pouze pokud je nutné:

(a) pro splnění úkolu prováděného příslušným orgánem na základě právních předpisů pro účely stanovené v čl. 1 odst. 1 nebo

(b) pro splnění právní povinnosti, které podléhá správce, nebo

(c) pro ochranu životních zájmů subjektu údajů nebo jiné osoby nebo

(d) pro zabránění bezprostřednímu a vážnému ohrožení veřejné bezpečnosti.

Článek 8 Zpracovávání zvláštních kategorií osobních údajů

1.           Členské státy zakáží zpracovávání osobních údajů, které odhalují rasový či etnický původ, politické názory, náboženské vyznání nebo přesvědčení, členství v odborových organizacích, jakož i zpracovávání genetických údajů nebo údajů o zdraví či sexuálním životě.

2.           Odstavec 1 se nepoužije:

a)      pokud je zpracování povoleno právním předpisem, který stanoví vhodné záruky, nebo

b)      pokud je zpracování nutné pro ochranu životních zájmů subjektu údajů nebo jiné osoby nebo

c)      pokud se zpracování týká údajů očividně zveřejňovaných subjektem údajů.

Článek 9 Opatření založená na profilování a automatizované zpracovávání

1.           Členské státy stanoví, že opatření, která vůči subjektu údajů zakládají nepříznivé právní účinky nebo která se jej významně dotýkají a která byla přijata výlučně na základě automatizovaného zpracování osobních údajů určeného k vyhodnocení určitých rysů jeho osobnosti, se zakazují s výjimkou případů, kdy jsou povolena právním předpisem, který rovněž upřesňuje opatření zajišťující ochranu oprávněných zájmů subjektu údajů.

2.           Automatizované zpracovávání osobních údajů za účelem vyhodnocení určitých osobnostních rysů subjektu údajů se nesmí opírat pouze o zvláštní kategorie osobních údajů uvedené v článku 8.

KAPITOLA III

PRÁVA SUBJEKTŮ ÚDAJŮ

Článek 10 Podmínky pro výkon práv subjektů údajů

1.           Členské státy stanoví, že správce podnikne všechny přiměřené kroky k tomu, aby měl transparentní a snadno dostupná pravidla, kterými se řídí zpracovávání osobních údajů a výkon práv subjektů údajů.

2.           Členské státy stanoví, že správce poskytuje subjektům údajů veškeré informace a veškerá oznámení související se zpracováváním osobních údajů srozumitelnou formou za použití jasného, běžně užívaného jazyka.

3.           Členské státy stanoví, že správce podnikne všechny přiměřené kroky k tomu, aby zavedl postupy pro poskytování informací uvedených v článku 11 a pro výkon práv subjektů údajů uvedených v článcích 12 až 17.

4.           Členské státy stanoví, že správce bez zbytečného odkladu informuje subjekt údajů o tom, jaké kroky se podnikají v návaznosti na jeho žádost.

5.           Členské státy stanoví, že správce poskytuje veškeré informace a podniká veškeré kroky v návaznosti na žádosti uvedené v odstavcích 3 a 4 bezplatně. Jestliže jsou žádosti nepřiměřené a zatěžující, zvláště kvůli svému objemu či rozsahu nebo z toho důvodu, že se jejich obsah opakuje, může správce poskytnutí informací či provedení požadovaných opatření zpoplatnit, nebo nemusí požadované opatření provést. V takovém případě nese správce důkazní břemeno, pokud jde o prokázání toho, že je daná žádost svou povahou nepřiměřená a zatěžující.

Článek 11 Informování subjektů údajů

1.           Pokud se shromažďují osobní údaje týkající se určitého subjektu údajů, členské státy zajistí, že správce přijme všechna odpovídající opatření, aby danému subjektu údajů poskytl alespoň tyto informace:

a)      totožnost a kontaktní údaje správce a inspektora ochrany údajů;

b)      účely zpracování, pro které jsou osobní údaje určeny;

c)      dobu, po kterou se budou osobní údaje uchovávat;

d)      informace o tom, zda má subjekt údajů právo požadovat od správce přístup ke svým osobním údajům a zda má právo na jejich opravu, výmaz nebo omezené zpracování;

e)      informace o právu vznést stížnost k orgánu dozoru uvedenému v článku 39 a jeho kontaktní údaje;

f)       informace o příjemcích nebo kategoriích příjemců daných osobních údajů včetně příjemců v třetích zemích nebo mezinárodních organizacích;

g)      jakékoli další informace, pokud jsou potřebné k tomu, aby se zaručilo korektní zpracování vzhledem k subjektu údajů, a to s ohledem na zvláštní okolnosti, za kterých se dané osobní údaje zpracovávají.

2.           Pokud se osobní údaje získávají od subjektu údajů, správce kromě informací uvedených v odstavci 1 poskytne subjektu údajů rovněž informace o tom, zda je poskytnutí osobních údajů povinné nebo dobrovolné, jakož i o možných důsledcích neposkytnutí těchto údajů.

3.           Správce poskytne informace uvedené v odstavci 1:

a)      v době, kdy se osobní údaje získávají od subjektu údajů, nebo

b)      jestliže se osobní údaje nezískávají od subjektu údajů, v době záznamu nebo v rozumné lhůtě po jejich získání s přihlédnutím ke konkrétním okolnostem, za nichž se údaje zpracovávají.

4.           Členské státy mohou přijmout legislativní opatření, aby poskytnutí těchto informací subjektům údajů přiměřeně opozdily, omezily či od něho upustily, jestliže je v demokratické společnosti částečné nebo úplné omezení s přihlédnutím k oprávněným zájmům dotčené osoby nutným a úměrným opatřením:

(a) aby se zabránilo maření úředních nebo právních šetření, vyšetřování nebo postupů;

(b) aby se zabránilo ovlivňování prevence, odhalování, vyšetřování a stíhání trestných činů nebo výkonu trestů;

(c) pro ochranu veřejné bezpečnosti;

(d) pro ochranu národní bezpečnosti;

(e) pro ochranu práv a svobod ostatních.

5.           Členské státy mohou určit kategorie zpracování, na něž se mohou plně nebo částečně vztahovat výjimky podle odstavce 4.

Článek 12 Právo subjektu údajů na přístup

1.           Členské státy stanoví, že subjekt údajů má právo na potvrzení od správce, že se zpracovávají nebo nezpracovávají jeho osobní údaje. Pokud se tyto osobní údaje zpracovávají, správce mu poskytne tyto informace:

a)      účely zpracování;

b)      kategorie příslušných osobních údajů;

c)      informace o příjemcích nebo kategoriích příjemců, kterým byly osobní údaje zpřístupněny, zejména o příjemcích v třetích zemích;

d)      dobu, po kterou se budou osobní údaje uchovávat;

e)      informace o tom, zda má subjekt údajů právo požadovat od správce opravu, výmaz nebo omezené zpracování svých osobních údajů;

f)       informace o právu podat stížnost orgánu dozoru a kontaktní údaje orgánu dozoru;

g)      informace o osobních údajích, které jsou předmětem zpracování, a veškeré dostupné informace o jejich původu.

2.           Členské státy stanoví, že subjekt údajů má právo získat od správce kopii zpracovávaných osobních údajů.

Článek 13 Omezení práva na přístup

1. Členské státy mohou přijmout legislativní opatření, aby přístup subjektů údajů k informacím úplně nebo částečně omezily, jestliže je v demokratické společnosti takové částečné nebo úplné omezení s přihlédnutím k oprávněným zájmům dotčené osoby nutným a úměrným opatřením:

a)      aby se zabránilo maření úředních nebo právních šetření, vyšetřování nebo postupů;

b)      aby se zabránilo ovlivňování prevence, odhalování, vyšetřování a stíhání trestných činů nebo výkonu trestů;

c)      pro ochranu veřejné bezpečnosti;

d)      pro ochranu národní bezpečnosti;

e)      pro ochranu práv a svobod ostatních.

2. Členské státy mohou pomocí právního předpisu určit kategorie zpracování, na něž se mohou plně nebo částečně vztahovat výjimky podle odstavce 1.

3. V případech uvedených v odstavcích 1 a 2 členské státy stanoví, že správce písemně informuje subjekt údajů o jakémkoli zamítnutí nebo omezení přístupu, o důvodech daného zamítnutí, o možnostech podání stížnosti orgánu dozoru a o uplatnění soudního opravného prostředku. Od sdělení věcných a právních důvodů, které k danému rozhodnutí vedly, lze upustit, pokud by poskytnutí takových informací ohrožovalo některý z účelů podle odstavce 1.

4. Členské státy zajistí, aby správce zdokumentoval, proč se od sdělení věcných či právních důvodů daného rozhodnutí upustilo.

Článek 14 Podmínky pro uplatnění práva na přístup

1.           Členské státy stanoví, že subjekt údajů má právo požadovat, aby orgán dozoru ověřil zákonnost zpracování, zejména v případech uvedených v článku 13.

2.           Členské státy stanoví, že správce informuje subjekty údajů o právu požadovat zásah orgánu dozoru podle odstavce 1.

3.           V případě výkonu práva podle odstavce 1 orgán dozoru informuje subjekty údajů přinejmenším o tom, že došlo k veškerým ověřením z jeho strany, a o výsledku, co se týče zákonnosti předmětného zpracování.

Článek 15 Právo na opravu

1.           Členské státy stanoví, že subjekt údajů má právo požadovat, aby správce opravil nepřesné osobní údaje, které se ho týkají. Subjekt údajů má právo požadovat, aby byly doplněny jeho neúplné osobní údaje, konkrétně formou opravného prohlášení.

2.           Členské státy stanoví, že správce písemně informuje subjekt údajů o jakémkoli zamítnutí žádosti o opravu, o důvodech daného zamítnutí, o možnostech podání stížnosti orgánu dozoru a o uplatnění soudního opravného prostředku.

Článek 16 Právo na výmaz

1. Členské státy stanoví, že subjekty údajů mají právo na výmaz svých osobních údajů ze strany správce, jestliže zpracování těchto údajů není v souladu s ustanoveními přijatými podle čl. 4 písm. a) až e) a podle článků 7 a 8 této směrnice.

2. Správce provede výmaz neprodleně.

3. Správce osobní údaje namísto jejich vymazání označí:

a)      pokud subjekt údajů popírá jejich přesnost, a to na dobu potřebnou k tomu, aby správce mohl přesnost údajů ověřit;

b)      pokud musí být dané osobní údaje uchovány pro účely dokazování;

c)      pokud subjekt údajů odmítá jejich výmaz a žádá místo toho o omezení jejich použití.

4. Členské státy stanoví, že správce písemně informuje subjekt údajů o jakémkoli zamítnutí výmazu nebo označení, o důvodech daného zamítnutí a o možnostech podat stížnost orgánu dozoru a uplatnit soudní opravný prostředek.

Článek 17 Práva subjektů údajů při vyšetřování a v trestním řízení

Členské státy mohou stanovit, že pokud jsou osobní údaje obsaženy v soudním rozhodnutí nebo v záznamu vypracovaném v průběhu vyšetřování a v trestním řízení, práva na informace, přístup, opravu, výmaz a omezení zpracování uvedená v článcích 11 až 16 se plní v souladu s vnitrostátními pravidly pro soudní řízení.

KAPITOLA IV SPRÁVCE A ZPRACOVATEL

ODDÍL 1 OBECNÉ POVINNOSTI

Článek 18 Odpovědnost správce

1.           Členské státy stanoví, že správce přijímá politiky a provádí vhodná opatření, aby zajistil, že zpracovávání osobních údajů bude probíhat v souladu s ustanoveními přijatými podle této směrnice.

2.           Součástí opatření uvedených v odstavci 1 je zejména:

a)      vedení dokumentace uvedené v článku 23;

b)      dodržování požadavků na předchozí konzultace podle článku 26;

c)      provedení požadavků týkajících se bezpečnosti údajů stanovených v článku 27;

d)      jmenování inspektora ochrany údajů podle článku 30.

3.           Správce zavede mechanismy pro ověření účinnosti opatření uvedených v odstavci 1 tohoto článku. Je-li to přiměřené, provede toto ověření nezávislý interní nebo externí auditor.

Článek 19 Ochrana údajů již od návrhu a standardní nastavení ochrany údajů

1.           Členské státy stanoví, že správce přijme s ohledem na stav techniky a náklady provedení odpovídající technická a organizační opatření a postupy tak, aby zpracovávání splňovalo požadavky ustanovení přijatých podle této směrnice, a zaručí ochranu práv subjektu údajů.

2.           Správce zavede mechanismy, kterými zajistí, že standardně se budou zpracovávat pouze ty osobní údaje, jež jsou pro účely daného zpracování nutné.

Článek 20 Společní správci

Členské státy stanoví, že pokud správce určuje účel, podmínky a prostředky zpracování osobních údajů společně s ostatními, určí společní správci ve vzájemném ujednání, jakou odpovědnost každý z nich nese za dodržování ustanovení přijatých podle této směrnice, zejména pokud jde o postupy a mechanismy pro výkon práv subjektů údajů.

Článek 21 Zpracovatel

1. Členské státy stanoví, že pokud se provádí zpracování jménem správce, správce musí vybrat zpracovatele, který nabízí dostatečné záruky k přijetí vhodných technických a organizačních opatření a postupů tak, aby dané zpracování splnilo požadavky vyplývající z ustanovení přijatých podle této směrnice a aby byla zaručena ochrana práv subjektu údajů.

2. Členské státy stanoví, že zpracovatel se musí při zpracovávání řídit právním aktem, který jej zavazuje vůči správci a který konkrétně stanoví, že zpracovatel jedná pouze na pokyn správce, a to zejména tehdy, kdy je zakázáno používané osobní údaje předávat.

3. Jestliže zpracovatel zpracovává jiné osobní údaje, než k jakým mu dal pokyn správce, považuje se ve vztahu k takovému zpracování za správce a vztahují se na něho pravidla o společných správcích uvedená v článku 20.

Článek 22 Zpracovávání z pověření správce a zpracovatele

Členské státy stanoví, že zpracovatel a kdokoli, kdo jedná z pověření správce nebo zpracovatele a má přístup k osobním údajům, může tyto osobní údaje zpracovávat pouze na pokyn správce nebo pouze tehdy, kdy je zpracování požadováno právem Unie nebo právem členského státu.

Článek 23 Dokumentace

1.           Členské státy stanoví, že každý správce a zpracovatel vede dokumentaci o všech systémech a postupech zpracování, za které nese odpovědnost.

2.           V dokumentaci jsou obsaženy přinejmenším tyto údaje:

a)      jméno a kontaktní údaje správce nebo případného společného správce či zpracovatele;

b)      účely zpracování;

c)      příjemci nebo kategorie příjemců osobních údajů;

d)      informace o předávání údajů do třetích zemí nebo mezinárodním organizacím, včetně informací, jež danou třetí zemi či mezinárodní organizaci identifikují.

3.           Správce a zpracovatel poskytnou tuto dokumentaci na požádání orgánu dozoru.

Článek 24 Vedení záznamů

1.           Členské státy zajistí, aby se vedly záznamy přinejmenším o těchto zpracováních: o sběru, pozměňování, nahlížení, sdělování, kombinování nebo výmazu. V záznamech o nahlížení a sdělování se uvádějí zejména účel, datum a čas, kdy k takovým úkonům došlo, a je-li to možné, uvede se v nich rovněž totožnost osoby, která do osobních údajů nahlížela nebo která je sdělovala.

2.           Záznamy se používají výhradně za účelem ověření zákonnosti zpracování, vlastní kontroly a zajištění toho, aby údaje zůstaly neporušené a v bezpečí.

Článek 25 Spolupráce s orgánem dozoru

1.           Členské státy stanoví, že správce a zpracovatel spolupracují na požádání s orgánem dozoru při výkonu jeho povinností, a to zejména tím, že mu poskytují veškeré informace, které k plnění svých povinností potřebuje.

2.           Správce a zpracovatel reagují na výkon pravomocí ze strany orgánu dozoru podle čl. 46 písm. a) a b) tak, že orgánu dozoru odpovídají v rozumné lhůtě. V návaznosti na připomínky orgánu dozoru popíší v odpovědi přijatá opatření a dosažené výsledky.

Článek 26 Předchozí konzultace orgánu dozoru

1. Členské státy zajistí, aby správce nebo zpracovatel konzultoval orgán dozoru před zpracováním osobních údajů, které budou součástí nové evidence, jež má být vytvořena, pokud:

a)      se mají zpracovávat zvláštní kategorie údajů uvedené v článku 8 nebo

b)      z typu zpracování, zejména při využití nových technologií, mechanismů nebo postupů, jinak vyplývají zvláštní rizika pro základní práva a svobody subjektu údajů, zejména pro právo na ochranu osobních údajů.

2. Členské státy mohou stanovit, že orgán dozoru sestaví seznam zpracování, na která se vztahuje předchozí konzultace podle odstavce 1.

ODDÍL 2 BEZPEČNOST ÚDAJŮ

Článek 27 Bezpečnost zpracovávání

1.           Členské státy stanoví, že správce a zpracovatel přijmou s ohledem na stav techniky a na náklady provedení vhodná technická a organizační opatření, aby zajistili úroveň bezpečnosti, která bude odpovídat rizikům vyplývajícím ze zpracování a z povahy údajů, jež mají být chráněny.

2.           Pokud jde o automatizované zpracovávání, všechny členské státy stanoví, že správce nebo zpracovatel provede po zhodnocení rizik opatření, jimiž:

a)      zabrání neoprávněným osobám v přístupu k zařízení využívanému pro zpracovávání osobních údajů (kontrola přístupu k zařízením);

b)      zabrání neoprávněnému čtení, kopírování, pozměňování nebo odstraňování nosičů údajů (kontrola nosičů údajů);

c)      zabrání neoprávněnému vkládání údajů a neoprávněnému prohlížení, pozměňování nebo vymazávání uložených osobních údajů (kontrola uchovávání);

d)      zabrání neoprávněným osobám v užívání automatizovaných systémů pro zpracovávání údajů pomocí zařízení pro přenos údajů (kontrola uživatelů);

e)      zajistí, aby osoby oprávněné k využívání určitého automatizovaného systému pro zpracovávání údajů měly přístup pouze k údajům, na které se vztahuje jejich oprávnění k přístupu (kontrola přístupu k údajům);

f)       zajistí, aby bylo možné ověřit a zjistit, kterým subjektům byly nebo mohou být osobní údaje předány nebo zpřístupněny za použití zařízení pro přenos údajů (kontrola přenosu);

g)      zajistí, aby bylo možné zpětně ověřit a zjistit, které osobní údaje byly vloženy do automatizovaných systémů pro zpracovávání údajů a kdo a kdy je do těchto systémů vložil (kontrola vkládání);

h)      zabrání neoprávněnému čtení, kopírování, pozměňování nebo vymazávání osobních údajů při předávání osobních údajů nebo při přepravě nosičů údajů (kontrola přepravy);

i)       zajistí, aby instalované systémy mohly být v případě výpadku obnoveny (obnova);

j)       zajistí, aby systém fungoval, aby byl hlášen výskyt chyb ve funkcích (spolehlivost) a aby uložené údaje nebylo možné poškodit špatným fungováním systému (neporušenost).

3.           Komise může v případě potřeby přijmout prováděcí akty, aby vymezila požadavky stanovené v odstavcích 1 a 2 pro různé situace, zejména pokud jde o normy kódování. Tyto prováděcí akty se přijmou v souladu s přezkumným postupem uvedeným v čl. 57 odst. 2.

Článek 28 Ohlašování případů narušení bezpečnosti osobních údajů orgánu dozoru

1.           Členské státy stanoví, že dojde-li k narušení bezpečnosti osobních údajů, správce jej ohlásí orgánu dozoru, a to bez zbytečného odkladu, a je-li to možné, nejpozději do 24 hodin od chvíle, kdy toto narušení zjistil. Pokud není případ ohlášen orgánu dozoru do 24 hodin, správce poskytne orgánu dozoru odůvodnění, bude-li o ně požádán.

2.           Zpracovatel informuje správce o narušení bezpečnosti osobních údajů okamžitě poté, co je zjistí, a na tuto skutečnost jej upozorní.

3.           V oznámení uvedeném v odstavci 1 musí být přinejmenším:

a)      popsána povaha daného případu narušení bezpečnosti osobních údajů, včetně kategorií a počtu dotčených subjektů údajů a kategorií a množství dotčených záznamů;

b)      sdělena totožnost a kontaktní údaje inspektora ochrany údajů uvedeného v článku 30 nebo jiného kontaktního subjektu, který může poskytnout bližší informace;

c)      doporučena opatření ke zmírnění nežádoucích účinků, které by dané narušení bezpečnosti osobních údajů mohlo mít;

d)      popsány možné důsledky narušení bezpečnosti osobních údajů;

e)      popsána opatření, která správce navrhl nebo přijal k řešení daného narušení.

4.           Členské státy stanoví, že veškeré případy narušení bezpečnosti osobních údajů správce zdokumentuje, přičemž zaznamená příslušné okolnosti, účinky daného narušení a kroky podniknuté pro jeho nápravu. Dokumentace musí orgánu dozoru umožňovat ověření souladu s tímto článkem. Dokumentace obsahuje pouze ty informace, které jsou k tomuto účelu nutné.

5.           Komise je zmocněna přijímat akty v přenesené pravomoci v souladu s článkem 56 za účelem dalšího vymezení kritérií a požadavků, pokud jde o zjišťování případů narušení bezpečnosti osobních údajů uvedené v odstavcích 1 a 2 a o konkrétní okolnosti, za nichž jsou správce a zpracovatel povinni narušení ohlašovat.

6.           Komise může stanovit standardní formát pro hlášení orgánu dozoru, může stanovit postupy pro ohlašovací povinnost a formu a způsoby dokumentace uvedené v odstavci 4 včetně lhůt pro výmaz informací v ní obsažených. Tyto prováděcí akty se přijmou v souladu s přezkumným postupem uvedeným v čl. 57 odst. 2.

Článek 29 Oznamování případů narušení bezpečnosti osobních údajů subjektům údajů

1.           Členské státy stanoví, že jestliže je pravděpodobné, že narušení bezpečnosti osobních údajů se nepříznivě dotkne ochrany osobních údajů nebo soukromí subjektu údajů, správce po ohlášení uvedeném v článku 28 oznámí případ narušení bez zbytečného odkladu dotčenému subjektu údajů.

2.           V oznámení subjektu údajů podle odstavce 1 se popíše povaha narušení bezpečnosti osobních údajů a uvedou se v něm přinejmenším informace a doporučení podle čl. 28 odst. 3 písm. b) a c).

3.           Oznámení o narušení bezpečnosti osobních údajů dotčenému subjektu údajů není nutné, pokud správce ke spokojenosti orgánu dozoru prokáže, že zavedl náležitá technická ochranná opatření a že tato opatření byla použita u osobních údajů, jejichž bezpečnost byla narušena. Tato technická ochranná opatření zajistí, že dotčené údaje nebudou srozumitelné pro nikoho, kdo není oprávněn k nim přistupovat.

4.           Oznámení subjektu údajů lze odložit, omezit či nerealizovat z důvodů uvedených v čl. 11 odst. 4.

ODDÍL 3 INSPEKTOR OCHRANY ÚDAJŮ

Článek 30 Jmenování inspektora ochrany údajů

1. Členské státy stanoví, že správce nebo zpracovatel jmenuje inspektora ochrany údajů.

2. Inspektor ochrany údajů je jmenován na základě profesních kvalit, zejména na základě jeho odborných znalostí práva a praxe v oblasti ochrany údajů a na základě jeho schopnosti plnit úkoly stanovené v článku 32.

3. Inspektor ochrany údajů může být s přihlédnutím k organizační struktuře příslušného orgánu jmenován pro více organizačních jednotek.

Článek 31 Postavení inspektora ochrany údajů

1. Členské státy stanoví, že správce nebo zpracovatel zajistí, aby byl inspektor ochrany údajů náležitě a včas zapojen do veškerých záležitostí souvisejících s ochranou osobních údajů.

2. Správce nebo zpracovatel zajistí, aby byl inspektor ochrany údajů vybaven prostředky k účinnému a nezávislému plnění svých povinností a úkolů uvedených v článku 32 a aby nepřijímal žádné pokyny k výkonu své funkce.

Článek 32 Úkoly inspektora ochrany údajů

Členské státy stanoví, že správce nebo zpracovatel svěří inspektorovi ochrany údajů alespoň tyto úkoly:

(e) informovat správce nebo zpracovatele a udílet jim rady, pokud jde o jejich povinnosti plynoucí z ustanovení přijatých podle této směrnice, a vést dokumentaci o této činnosti a obdržených odpovědích;

(f) sledovat provádění a uplatňování politik souvisejících s ochranou osobních údajů včetně svěřování odpovědnosti, školení pracovníků zapojených do zpracovávání a souvisejících auditů;

(g) sledovat provádění a uplatňování ustanovení přijatých podle této směrnice, zejména požadavků týkajících se ochrany údajů již od návrhu, standardního nastavení ochrany údajů a bezpečnosti údajů a požadavků týkajících se informovanosti subjektů údajů a jejich žádostí o výkon jejich práv podle ustanovení přijatých podle této směrnice;

(h) zajišťovat, aby se vedla dokumentace uvedená v článku 23;

(i) sledovat dokumentaci a ohlašování a oznamování případů narušení bezpečnosti osobních údajů podle článků 28 a 29;

(j) sledovat, zda je orgán dozoru žádán o předchozí konzultaci, je-li tato konzultace podle článku 26 zapotřebí;

(k) sledovat reakce na žádosti orgánu dozoru a v mezích svých pravomocí inspektora ochrany údajů spolupracovat s orgánem dozoru, pokud o to požádá, nebo pokud k tomu dá podnět inspektor ochrany údajů;

h)      působit jako kontaktní osoba pro orgán dozoru v záležitostech souvisejících se zpracováváním a v příslušných případech vést s orgánem dozoru konzultace z vlastní iniciativy.

KAPITOLA V PŘEDÁVÁNÍ OSOBNÍCH ÚDAJŮ DO TŘETÍCH ZEMÍ NEBO MEZINÁRODNÍM ORGANIZACÍM

Článek 33 Obecné zásady předávání osobních údajů

Členské státy stanoví, že k předání zpracovávaných nebo ke zpracování zamýšlených osobních údajů do třetí země nebo mezinárodní organizaci ze strany příslušných orgánů, včetně dalšího předávání osobních údajů do jiné třetí země nebo mezinárodní organizaci, může dojít pouze:

a)      pokud je dané předání nutné pro účely prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů a

b)      pokud správce a zpracovatel splňují podmínky stanovené v této kapitole.

Článek 34 Předávání založené na rozhodnutí o přiměřenosti

1.           Členské státy stanoví, že k předání osobních údajů do některé třetí země nebo některé mezinárodní organizaci může dojít, pokud Komise rozhodla v souladu s článkem 41 nařízení (EU) …/2012 nebo v souladu s odstavcem 3 tohoto článku, že daná třetí země nebo území či odvětví zpracovávání v dané třetí zemi nebo daná mezinárodní organizace zaručuje přiměřenou úroveň ochrany. Takovéto předání nevyžaduje žádné další povolení.

2.           Jestliže není vydáno žádné rozhodnutí v souladu s článkem 41 nařízení (EU) .../2012, Komise posoudí, zda je úroveň ochrany přiměřená, a přihlédne přitom k následujícím aspektům:

a)      právnímu státu, související platné legislativě, a to obecné i odvětvové, včetně právních předpisů o veřejné bezpečnosti, obraně a vnitrostátní bezpečnosti, trestnímu právu a bezpečnostním opatřením, která jsou v dané zemi nebo dané mezinárodní organizaci dodržována, jakož i k účinným a vynutitelným právům včetně účinné správní a soudní nápravy pro subjekty údajů, zejména pro ty z nich, jež mají bydliště v Unii a jejichž osobní údaje jsou předávány;

b)      existenci a účinnému fungování jednoho nebo více nezávislých orgánů dozoru v dané třetí zemi nebo mezinárodní organizaci odpovědných za zajišťování souladu s pravidly pro ochranu údajů, za pomoc a poradenství subjektům údajů při výkonu jejich práv a za spolupráci s orgány dozoru Unie a členských států a

c)      mezinárodním závazkům, které daná třetí země nebo mezinárodní organizace přijala.

3.           Komise může v mezích této směrnice rozhodnout, že určitá třetí země nebo území či odvětví zpracovávání v dané třetí zemi nebo určitá mezinárodní organizace zajišťuje přiměřenou úroveň ochrany ve smyslu odstavce 2. Tyto prováděcí akty se přijmou v souladu s přezkumným postupem uvedeným v čl. 57 odst. 2.

4.           V prováděcím aktu se stanoví jeho zeměpisné a odvětvové použití a v příslušném případě se v něm také určí orgán dozoru uvedený v odst. 2 písm. b).

5.           Komise může v mezích této směrnice rozhodnout, že určitá třetí země nebo území či odvětví zpracovávání v dané třetí zemi nebo určitá mezinárodní organizace nezajišťuje přiměřenou úroveň ochrany ve smyslu odstavce 2, konkrétně v případech, kdy příslušné platné právní předpisy, a to obecné i odvětvové, v dané třetí zemi nebo mezinárodní organizaci nezaručují účinná a vynutitelná práva včetně účinné správní a soudní nápravy pro subjekty údajů, a zejména pro ty z nich, jejichž osobní údaje se předávají. Tyto prováděcí akty se přijímají v souladu s přezkumným postupem podle čl. 57 odst. 2, nebo ve zvlášť naléhavých případech souvisejících s právem fyzických osob na ochranu osobních údajů v souladu s postupem podle čl. 57 odst. 3.

6.           Členské státy zajistí, že pokud Komise rozhodne podle odstavce 5, že se zakazuje jakékoli předání osobních údajů do dané země nebo na některé území či do některého odvětví zpracovávání v této zemi nebo jakékoli předání osobních údajů dané mezinárodní organizaci, tímto rozhodnutím nebudou dotčena předání podle čl. 35 odst. 1 nebo v souladu s článkem 36. Ve vhodný okamžik zahájí Komise s danou třetí zemí nebo mezinárodní organizací konzultace s cílem napravit stav, který z rozhodnutí podle odstavce 5 tohoto článku vyplývá.

7.           Komise zveřejní v Úředním věstníku Evropské unie seznam třetích zemí, území a odvětví zpracovávání v třetích zemích a mezinárodních organizací, v nichž podle jejího rozhodnutí přiměřená úroveň ochrany je nebo není zaručena.

8.           Komise sleduje uplatňování prováděcích aktů uvedených v odstavcích 3 a 5.

Článek 35 Předávání založené na vhodných zárukách

1.           Jestliže Komise nepřijme žádné rozhodnutí podle článku 34, členské státy stanoví, že k předání osobních údajů příjemci v některé třetí zemi nebo mezinárodní organizaci může dojít:

a)      pokud byly v právně závazném nástroji stanoveny vhodné záruky pro ochranu osobních údajů nebo

b)      pokud správce či zpracovatel vyhodnotil veškeré okolnosti daného předání a dospěl k závěru, že pro ochranu osobních údajů existují vhodné záruky.

2.           O předání podle odst. 1 písm. b) musí rozhodnout řádně oprávněný pracovník. Předání se musí zdokumentovat a dokumentace se musí na požádání poskytnout orgánu dozoru.

Článek 36 Výjimky

Členské státy stanoví, že odchylně od článků 34 a 35 může k předání osobních údajů do třetí země nebo mezinárodní organizaci dojít pouze za podmínky, že:

a)       předání je nutné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné osoby nebo

b)       předání je nutné k ochraně oprávněných zájmů subjektu údajů, jestliže tak stanoví právo členského státu, který osobní údaje předává, nebo

c)       předání údajů je nezbytné, aby se zabránilo bezprostřednímu a závažnému ohrožení veřejné bezpečnosti v některém členském státě nebo třetí zemi, nebo

d)       předání je v jednotlivých případech nutné pro účely prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů nebo

e)       předání je v jednotlivých případech nutné pro uplatnění, výkon nebo obhajobu právních nároků v souvislosti s prevencí, vyšetřováním, odhalováním či stíháním určitých trestných činů nebo výkonu určitých trestů.

Článek 37 Zvláštní podmínky pro předávání osobních údajů

Členské státy stanoví, že správce informuje příjemce osobních údajů o veškerých omezeních pro zpracovávání a přijme všechny přiměřené kroky, aby zajistil, že tato omezení budou dodržena.

Článek 38 Mezinárodní spolupráce v zájmu ochrany osobních údajů

1.           Ve vztahu k třetím zemím a mezinárodním organizacím podniknou Komise a členské státy odpovídající kroky v zájmu:

a)      rozvoje účinných mechanismů pro mezinárodní spolupráci, aby se usnadnilo prosazování právních předpisů na ochranu osobních údajů;

b)      poskytování vzájemné pomoci na mezinárodní úrovni při prosazování právních předpisů na ochranu osobních údajů, a to mimo jiné formou oznamování, postupování stížností, pomoci při vyšetřování a výměny informací, pod podmínkou vhodných záruk pro ochranu osobních údajů a jiných základních práv a svobod;

c)      zapojení příslušných zúčastněných stran do diskuse a činností zacílených na prohlubování mezinárodní spolupráce při prosazování právních předpisů na ochranu osobních údajů;

d)      podpoření výměny a rešerše v souvislosti s právními předpisy a praxí v oblasti ochrany osobních údajů.

2.           Pro účely odstavce 1 podnikne Komise odpovídající kroky, aby rozvinula vztah s třetími zeměmi nebo mezinárodními organizacemi, zejména s jejich orgány dozoru, pokud rozhodla, že zajišťují přiměřenou úroveň ochrany ve smyslu čl. 34 odst. 3.

KAPITOLA VI NEZÁVISLÉ ORGÁNY DOZORU

ODDÍL 1 NEZÁVISLOST POSTAVENÍ

Článek 39 Orgán dozoru

1. Všechny členské státy stanoví, že jeden nebo více orgánů veřejné moci ponese odpovědnost za sledování uplatňování ustanovení přijatých podle této směrnice a za přispívání k jejímu jednotnému uplatňování v celé Unii, aby byla chráněna základní práva a svobody fyzických osob v souvislosti se zpracováváním jejich osobních údajů a usnadnil se volný pohyb osobních údajů v rámci Unie. Orgány dozoru budou za tímto účelem spolupracovat s Komisí a mezi sebou.

2. Členské státy mohou stanovit, že orgán dozoru zřízený v členských státech podle nařízení (EU) …/2012 přijímá odpovědnost za úkoly orgánu dozoru, který má být zřízen podle odstavce 1 tohoto článku.

3. Pokud je v některém členském státě zřízen více než jeden orgán dozoru, daný členský stát jmenuje orgán dozoru, jenž bude fungovat jako jediné kontaktní místo pro účinnou účast těchto orgánů v Evropské radě pro ochranu údajů.

Článek 40 Nezávislost

1.           Členské státy zajistí, aby orgán dozoru jednal při výkonu povinností a pravomocí jemu svěřených zcela nezávisle.

2.           Všechny členské státy stanoví, že členové orgánu dozoru při plnění svých povinností u nikoho nevyhledávají ani od nikoho nepřijímají žádné pokyny.

3.           Členové orgánu dozoru se zdrží veškeré činnosti, která je neslučitelná s povinnostmi jejich funkce, a v průběhu svého funkčního období nesmí vykonávat žádné jiné neslučitelné zaměstnání, ať už placené či neplacené.

4.           Po skončení svého funkčního období jsou členové orgánu dozoru povinni jednat čestně a uvážlivě, pokud jde o přijímání funkcí a výhod.

5.           Všechny členské státy zajistí, aby byl orgán dozoru vybaven odpovídajícími lidskými, technickými a finančními zdroji, prostory a infrastrukturou, které bude potřebovat pro účinné vykonávání svých povinností a pravomocí, včetně povinností a pravomocí, jež bude plnit v rámci vzájemné pomoci, spolupráce a aktivní účasti v Evropské radě pro ochranu údajů.

6            Všechny členské státy zajistí, že orgán dozoru bude muset mít své vlastní pracovníky, kteří budou jmenováni vedoucím orgánu dozoru a budou podléhat jeho řízení.

7.           Členské státy zajistí, aby orgán dozoru podléhal finanční kontrole, přičemž nebude nijak ovlivněna jeho nezávislost. Členské státy zajistí, aby měl orgán dozoru samostatný roční rozpočet. Tyto rozpočty se zveřejňují.

Článek 41 Obecné podmínky pro členy orgánu dozoru

1.           Členské státy stanoví, že členové orgánu dozoru musí být jmenováni parlamentem, nebo vládou daného členského státu.

2.           Členové jsou vybíráni z osob, jejichž nezávislost je nade vší pochybnost a jež prokázaly zkušenosti a dovednosti potřebné k výkonu svých povinností.

3.           Povinnosti člena orgánu dozoru končí v okamžiku uplynutí jeho funkčního období, odstoupení nebo povinného odchodu do důchodu v souladu s odstavcem 5.

4.           Pokud člen orgánu dozoru přestane splňovat podmínky požadované pro výkon svých povinností nebo se dopustil závažného pochybení, může být příslušným vnitrostátním soudem odvolán nebo zbaven práva na penzi či jiné výhody poskytované namísto ní.

5.           Jestliže uplyne členovo funkční období nebo člen odstoupí, člen pokračuje v plnění svých povinností, dokud nebude jmenován nový člen.

Článek 42 Pravidla pro zřízení orgánu dozoru

Všechny členské státy upraví právním předpisem:

a)           zřízení orgánu dozoru a jeho postavení v souladu s články 39 a 40;

b)           požadavky na kvalifikaci, zkušenosti a dovednosti pro výkon povinností členů orgánu dozoru;

c)           pravidla a postupy pro jmenování členů orgánu dozoru, jakož i pravidla týkající se činností nebo zaměstnání neslučitelných s povinnostmi úřadu;

d)           délku funkčního období členů orgánu dozoru, která dosáhne minimálně čtyř let s výjimkou prvních jmenování po vstupu této směrnice v platnost, kdy může být na dobu kratší;

e)           způsobilost členů orgánu dozoru k opětovnému jmenování;

f)            právní předpisy a obvyklé podmínky, jimiž se řídí povinnosti členů a pracovníků orgánu dozoru;

g)           pravidla a postupy pro ukončení povinností členů orgánu dozoru, včetně případu, kdy přestanou splňovat podmínky požadované pro výkon svých povinností nebo kdy se dopustili závažného pochybení.

Článek 43 Profesní tajemství

Členské státy stanoví, že členové orgánu dozoru a jeho pracovníci jsou během svého funkčního období i po jeho skončení vázáni profesním tajemstvím, pokud jde o veškeré důvěrné informace, o nichž se dozví při výkonu svých služebních povinností.

ODDÍL 2 POVINNOSTI A PRAVOMOCI

Článek 44 Příslušnost

1.           Členské státy stanoví, že každý orgán dozoru vykonává pravomoci, které mu byly svěřeny v souladu s touto směrnicí, na území svého vlastního členského státu.

2.           Členské státy stanoví, že orgán dozoru není příslušný k dohledu nad zpracováními, která provádějí soudy jednající v rámci svých soudních pravomocí.

Článek 45 Povinnosti

1.           Členské státy stanoví, že orgán dozoru:

a)      sleduje a zajišťuje uplatňování ustanovení přijatých podle této směrnice a jejích prováděcích opatření;

b)      zabývá se stížnostmi, které mu předloží kterýkoli subjekt údajů nebo sdružení, jež tento subjekt zastupuje a má jeho patřičné pověření, v souladu s článkem 50, v odpovídající míře dané záležitosti prošetřuje a v rozumné lhůtě informuje daný subjekt údajů či dané sdružení o vývoji a výsledku jejich stížností, a to zejména v případech, kdy je zapotřebí další šetření nebo koordinace s jiným orgánem dozoru;

c)      ověřuje zákonnost zpracování údajů podle článku 14 a subjekt údajů informuje v rozumné lhůtě o výsledku daného ověření nebo o důvodech, proč ověření nebylo provedeno;

d)      pomáhá na principu vzájemnosti dalším orgánům dozoru a zajišťuje jednotné uplatňování a prosazování ustanovení přijatých podle této směrnice;

e)      provádí šetření, a to z vlastní iniciativy nebo na základě stížnosti nebo na základě žádosti jiného orgánu dozoru, a o výsledku šetření v rozumné lhůtě informuje subjekt údajů, pokud některý subjekt údajů podal stížnost;

f)       sleduje nové směry vývoje, pokud mají dopad na ochranu osobních údajů, zejména vývoj informačních a komunikačních technologií;

g)      je konzultován orgány či subjekty členských států o právních a správních opatřeních, jež se týkají ochrany práv a svobod fyzických osob v souvislosti se zpracováváním osobních údajů;

h)      je konzultován o zpracováních podle článku 26;

i)       účastní se činností Evropské rady pro ochranu údajů.

2.           Každý orgán dozoru zvyšuje povědomí veřejnosti o rizicích, pravidlech, zárukách a právech v souvislosti se zpracováváním osobních údajů. Zvláštní pozornost se přitom věnuje akcím, které jsou určeny speciálně pro děti.

3.           Je-li o to požádán, orgán dozoru poskytuje kterémukoli subjektu údajů poradenství při výkonu práv vyplývajících z ustanovení přijatých podle této směrnice, a je-li záhodno, spolupracuje za tímto účelem s orgány dozoru v jiných členských státech.

4.           V případě stížností uvedených v odst. 1 písm. b) nabízí orgán dozoru formulář pro jejich předkládání, který lze vyplnit elektronicky, aniž by byly vyloučeny ostatní komunikační prostředky.

5.           Členské státy stanoví, že orgán dozoru neúčtuje subjektům údajů za plnění svých povinností žádné poplatky.

6.           Jestliže jsou žádosti nepřiměřené a zatěžující, zvláště z toho důvodu, že se jejich obsah opakuje, orgán dozoru může jejich vyřízení zpoplatnit nebo nemusí opatření požadované subjektem údajů přijmout. Orgán dozoru nese důkazní břemeno, pokud jde o prokázání toho, že je daná žádost svou povahou nepřiměřená a zatěžující.

Článek 46 Pravomoci

Členské státy stanoví, že všechny orgány dozoru musí mít zejména:

a)      pravomoci provádět šetření, zahrnující například právo na přístup k údajům, které jsou předmětem zpracování, a oprávnění shromažďovat veškeré informace potřebné pro plnění svých dozorčích povinností;

b)      pravomoci účinně zasahovat, například vydávat stanoviska před provedením zpracování a zajišťovat náležité zveřejnění těchto stanovisek, nařizovat omezení, výmaz nebo zničení údajů nebo dočasně či trvale zakazovat zpracování, zasílat správcům upozornění či napomenutí nebo obracet se s věcmi na vnitrostátní parlamenty či jiné politické orgány;

c)      pravomoc upozorňovat soudní orgány na porušení ustanovení přijatých podle této směrnice a účastnit se soudního řízení.

Článek 47 Zprávy o činnosti

Členské státy stanoví, že každý orgán dozoru vypracuje každý rok zprávu o své činnosti. Zpráva se dává k dispozici Komisi a Evropské radě pro ochranu údajů.

KAPITOLA VII SPOLUPRÁCE

Článek 48 Vzájemná pomoc

1.           Členské státy stanoví, že orgány dozoru si vzájemně poskytují pomoc v zájmu jednotného provádění a uplatňování ustanovení přijatých podle této směrnice a zavedou opatření pro účinnou spolupráci mezi sebou. Vzájemná spolupráce zahrnuje zejména žádosti o informace a dozorčí opatření, např. žádosti o předchozí konzultace, inspekce a vyšetřování.

2.           Členské státy stanoví, že orgán dozoru přijme všechna příslušná opatření, která jsou požadována jakožto odpověď na žádost jiného orgánu dozoru.

3.           Orgán dozoru, kterému je žádost předložena, informuje předkládající orgán dozoru podle situace o výsledcích, nebo o vývoji či opatřeních, jež byla přijata v zájmu jejího vyřízení.

Článek 49 Úkoly Evropské rady pro ochranu údajů

1.           Evropská rada pro ochranu údajů zřízená nařízením (EU) …/2012 plní ve vztahu ke zpracovávání údajů v mezích této směrnice následující úkoly:

a)      poskytuje poradenství Komisi ve veškerých záležitostech souvisejících s ochranou osobních údajů v Unii včetně jakýchkoli navrhovaných změn této směrnice;

b)      posuzuje na žádost Komise nebo ze své vlastní iniciativy nebo na základě podnětu jednoho ze svých členů veškeré otázky týkající se uplatňování ustanovení přijatých podle této směrnice a pro orgány dozoru vydává pokyny, doporučení a osvědčené postupy, aby podporovala jednotné uplatňování daných ustanovení;

c)      přezkoumává praktické uplatňování pokynů, doporučení a osvědčených postupů uvedených v písmenu b) a podává o nich Komisi pravidelné zprávy;

d)      vydává Komisi stanovisko k úrovni ochrany v třetích zemích nebo mezinárodních organizacích;

e)      podporuje spolupráci a účinnou dvou- a vícestrannou výměnu informací a postupů mezi orgány dozoru;

f)       podporuje společné školicí programy a usnadňuje výměny pracovníků mezi orgány dozoru, kterých se ve vhodných případech účastní i orgány dozoru třetích zemí nebo mezinárodních organizací;

g)      podporuje výměnu znalostí a dokumentů s orgány dozoru pro ochranu údajů po celém světě, jejímž předmětem jsou i legislativa a praxe v oblasti ochrany údajů.

2.           Jestliže Komise žádá Evropskou radu pro ochranu údajů o poradenství, může stanovit lhůtu, během které jej má Evropská rada pro ochranu údajů poskytnout, s přihlédnutím k naléhavosti dané záležitosti.

3.           Evropská rada pro ochranu údajů postupuje svá stanoviska, pokyny, doporučení a osvědčené postupy Komisi a výboru uvedenému v čl. 57 odst. 1 a zveřejňuje je.

4.           Komise informuje Evropskou radu pro ochranu údajů o krocích, jež podnikla v návaznosti na stanoviska, pokyny, doporučení a osvědčené postupy vydané touto radou.

KAPITOLA VIII OPRAVNÉ PROSTŘEDKY, ODPOVĚDNOST A SANKCE

Článek 50 Právo vznést stížnost k orgánu dozoru

1.           Aniž by tím byly dotčeny jakékoli jiné správní nebo soudní opravné prostředky, členské státy stanoví, že každý subjekt údajů má právo vznést stížnost k orgánu dozoru v kterémkoli členském státě, pokud se domnívá, že zpracování jeho osobních údajů není v souladu s ustanoveními přijatými podle této směrnice.

2.           Členské státy stanoví, že veškeré subjekty, organizace nebo sdružení, jejichž cílem je chránit práva a zájmy subjektů údajů v souvislosti s ochranou jejich osobních údajů a jež byly řádně zřízeny v souladu s právem některého členského státu, mají právo vznést jménem jednoho či více subjektů údajů stížnost k orgánu dozoru v kterémkoli z členských států, jestliže se domnívají, že zpracováním osobních údajů byla narušena práva subjektu údajů podle této směrnice. Daná organizace nebo sdružení musí mít patřičné pověření subjektu či subjektů údajů.

3.           Členské státy stanoví, že pokud se kterýkoli subjekt, organizace nebo sdružení uvedené v odstavci 2 domnívá, že došlo k narušení bezpečnosti osobních údajů, má právo vznést stížnost k orgánu dozoru v kterémkoli členském státě nezávisle na stížnosti subjektu údajů.

Článek 51 Právo na soudní opravné prostředky vůči orgánu dozoru

1. Členské státy stanoví právo na soudní opravné prostředky proti rozhodnutím orgánu dozoru.

2. Každý subjekt údajů má právo na soudní opravný prostředek, který orgán dozoru přiměje jednat ve věci stížnosti, pokud nebylo vydáno žádné rozhodnutí potřebné k ochraně jeho práv nebo pokud daný orgán dozoru neinformuje subjekt údajů do tří měsíců o vývoji či výsledcích stížnosti podle čl. 45 odst. 1 písm. b).

3. Členské státy stanoví, že řízení proti orgánu dozoru se zahajují u soudů toho členského státu, v němž je daný orgán dozoru usazen.

Článek 52 Právo na soudní opravné prostředky vůči správci nebo zpracovateli

Aniž by tím byl dotčen jakýkoli dostupný správní opravný prostředek včetně práva na podání stížnosti orgánu dozoru, členské státy stanoví, že každá fyzická osoba má právo na soudní opravný prostředek, jestliže se domnívá, že zpracováním jejích osobních údajů při nedodržení ustanovení přijatých podle této směrnice byla porušena její práva, která jsou v těchto ustanoveních vymezena.

Článek 53 Společná pravidla pro soudní řízení

1.           Členské státy stanoví, že veškeré subjekty, organizace nebo sdružení uvedené v čl. 50 odst. 2 mají právo na výkon práv uvedených v článcích 51 a 52 jménem jednoho či více subjektů údajů.

2.           Každý orgán dozoru má právo zapojit se do soudního řízení a podat žalobu k soudu v zájmu prosazování ustanovení přijatých podle této směrnice nebo v zájmu zajištění jednotnosti ochrany osobních údajů v rámci Unie.

3.           Členské státy zajistí, aby soudní prostředky dostupné ve vnitrostátním právu umožňovaly rychlé přijetí opatření, včetně předběžných opatření, kterými by se ukončilo jakékoli domnělé porušování práva a předešlo dalšímu poškozování dotčených zájmů.

Článek 54 Odpovědnost a právo na odškodnění

1.           Členské státy stanoví, že kdokoli, kdo byl poškozen následkem protiprávního zpracování nebo jednání neslučitelného s ustanoveními přijatými podle této směrnice, má právo být správcem nebo zpracovatelem odškodněn za způsobenou škodu.

2.           Je-li do daného zpracování zapojen více než jeden správce nebo zpracovatel, za celkovou výši škod nese společnou a nerozdílnou odpovědnost každý z nich.

3.           Správce nebo zpracovatel se může této odpovědnosti částečně nebo zcela zprostit, pokud prokáže, že za okolnost, jež vedla ke vzniku škody, neodpovídá.

Článek 55 Sankce

Členské státy stanoví pravidla pro sankce za porušení ustanovení přijatých podle této směrnice a přijmou veškerá nezbytná opatření, aby zajistily jejich provádění. Stanovené sankce musí být účinné, přiměřené a odrazující.

KAPITOLA IX AKTY V PŘENESENÉ PRAVOMOCI A PROVÁDĚCÍ AKTY

Článek 56 Výkon přenesené pravomoci

1.           Pravomoc přijímat akty v přenesené pravomoci svěřená Komisi podléhá podmínkám stanoveným v tomto článku.

2.           Přenesení pravomoci uvedené v čl. 28 odst. 5 na Komisi platí na dobu neurčitou počínaje datem vstupu této směrnice v platnost.

3.           Evropský parlament nebo Rada mohou přenesení pravomoci uvedené v čl. 28 odst. 5 kdykoli zrušit. Rozhodnutím o zrušení se ukončuje přenesení pravomocí v něm blíže určených. Rozhodnutí nabývá účinku prvním dnem po vyhlášení v Úředním věstníku Evropské unie, nebo k pozdějšímu dni, který je v něm upřesněn. Nedotýká se platnosti již platných aktů v přenesené pravomoci.

4.           Přijetí aktu v přenesené pravomoci Komise neprodleně oznámí současně Evropskému parlamentu a Radě.

5.           Akt v přenesené pravomoci přijatý podle čl. 28 odst. 5 vstoupí v platnost, pouze pokud proti němu Evropský parlament nebo Rada nevysloví námitky ve lhůtě dvou měsíců ode dne, kdy jim byl tento akt oznámen, nebo pokud Evropský parlament i Rada před uplynutím této lhůty Komisi informují o tom, že námitky nevysloví. Z podnětu Evropského parlamentu nebo Rady se tato lhůta prodlouží o 2 měsíce.

Článek 57 Postup projednávání ve výboru

1. Komisi je nápomocen výbor. Tento výbor je výborem ve smyslu nařízení (EU) č. 182/2011.

2. Odkazuje-li se na tento odstavec, použije se článek 5 nařízení (EU) č. 182/2011.

3. Odkazuje-li se na tento odstavec, použije se článek 8 nařízení (EU) č. 182/2011 ve spojení s článkem 5 uvedeného nařízení.

KAPITOLA X ZÁVĚREČNÁ USTANOVENÍ

Článek 58 Zrušující ustanovení

1.           Zrušuje se rámcové rozhodnutí Rady 2008/977/SVV.

2.           Odkazy na zrušené rámcové rozhodnutí uvedené v odstavci 1 se považují za odkazy na tuto směrnici.

Článek 59 Vztah k dříve přijatým aktům Unie v oblasti justiční spolupráce v trestních věcech a policejní spolupráce

Konkrétní ustanovení o ochraně osobních údajů v souvislosti se zpracováváním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů v aktech Unie, jež byly přijaty před datem přijetí této směrnice a jež upravují zpracovávání osobních údajů mezi členskými státy a přístup určených orgánů členských států do informačních systémů zřízených podle Smluv v mezích působnosti této směrnice, nejsou nijak dotčena.

Článek 60 Vztah k dříve uzavřeným mezinárodním dohodám v oblasti justiční spolupráce v trestních věcech a policejní spolupráce

Mezinárodní dohody, které členské státy uzavřely před vstupem této směrnice v platnost, se v případě potřeby do pěti let od vstupu této směrnice v platnost změní.

Článek 61 Hodnocení

1.           Komise vyhodnocuje uplatňování této směrnice.

2.           Komise do tří let od vstupu této směrnice v platnost přezkoumá ostatní akty přijaté Evropskou unií v rámci regulace zpracovávání osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, zejména pak akty Unie uvedené v článku 59, aby zhodnotila potřebu jejich uvedení do souladu s touto směrnicí a aby v příslušných případech vypracovala potřebné návrhy na změnu těchto aktů tak, aby byl zaručen jednotný přístup k ochraně osobních údajů v rámci oblasti působnosti této směrnice.

3.           O hodnocení a přezkumu této směrnice podle odstavce 1 předkládá Komise v pravidelných intervalech zprávy Evropskému parlamentu a Radě. První zprávu předloží nejpozději do čtyř let od vstupu této směrnice v platnost. Následné zprávy pak bude předkládat každé čtyři roky. Komise v případě potřeby předkládá příslušné návrhy, aby změnila tuto směrnici a uvedla v soulad jiné právní nástroje. Zpráva se zveřejňuje.

Článek 62 Provádění

1.           Členské státy přijmou a zveřejní právní a správní předpisy nezbytné pro dosažení souladu s touto směrnicí nejpozději do [datum / dvou let od data vstupu v platnost]. Znění těchto předpisů neprodleně sdělí Komisi.

Členské státy budou tyto předpisy používat od xx.xx.201x [datum / dvou let od data vstupu v platnost].

Tyto předpisy přijaté členskými státy musí obsahovat odkaz na tuto směrnici nebo musí být takový odkaz učiněn při jejich úředním vyhlášení. Způsob odkazu si stanoví členské státy.

2.           Členské státy sdělí Komisi znění hlavních ustanovení vnitrostátních právních předpisů, které přijmou v oblasti, na kterou se vztahuje tato směrnice.

Článek 63 Vstup v platnost a použitelnost

Tato směrnice vstupuje v platnost prvním dnem po vyhlášení v Úředním věstníku Evropské unie.

Článek 64 Určení

Tato směrnice je určena členským státům.

V Bruselu dne 25.1.2012.

Za Evropský parlament                                 Za Radu

předseda / předsedkyně                                 předseda / předsedkyně

[1]               Směrnice Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů, Úř. věst. L 281, 23.11.1995, s. 31.

[2]               Viz úplný seznam v příloze 3 k posouzení dopadů (SEK(2012) 72).

[3]               Rámcové rozhodnutí Rady 2008/977/SVV ze dne 27. listopadu 2008 o ochraně osobních údajů zpracovávaných v rámci policejní a justiční spolupráce v trestních věcech, Úř. věst. L 350, 30.12.2008, s. 60.

[4]               Ve Stockholmském programu, Úř. věst. C 115, 4.5.2010, s.1.

[5]               Viz Usnesení Evropského parlamentu o Stockholmském programu přijaté 25. listopadu 2009.

[6]               KOM(2010) 171 v konečném znění.

[7]               Sdělení Evropské komise „Komplexní přístup k ochraně osobních údajů v Evropské unii“, KOM(2010) 609 v konečném znění, 4. listopadu 2010.

[8]               Prohlášení 21 o ochraně osobních údajů v oblasti justiční spolupráce v trestních věcech a policejní spolupráce (připojené k závěrečnému aktu konference zástupců vlád, která přijala Lisabonskou smlouvu, 13.12.2007).

[9]               http://ec.europa.eu/justice/newsroom/data-protection/opinion/090709_en.htm.

[10]             http://ec.europa.eu/justice/newsroom/data-protection/opinion/101104_en.htm.

[11]             Zvláštní průzkum Eurobarometr 359, Ochrana údajů a elektronické totožnosti v EU (2011): http://ec.europa.eu/public_opinion/archives/ebs/ebs_359_en.pdf .

[12]             Viz studie s názvy Study on the economic benefits of privacy enhancing technologies a Comparative study on different approaches to new privacy challenges, in particular in the light of technological developments, leden 2010.            (http://ec.europa.eu/justice/policies/privacy/docs/studies/new_privacy_challenges/final_report_en.pdf).

[13]             Pracovní skupina byla zřízena v roce 1996 (na základě článku 29 směrnice), má poradní status a je složena ze zástupců vnitrostátních dozorčích orgánů pro ochranu údajů, evropského inspektora ochrany údajů a zástupců Komise. Více informací o její činnosti viz http://ec.europa.eu/justice/policies/privacy/workinggroup/index_en.htm.

[14]             Viz zejména následující stanoviska: k budoucnosti soukromí (2009, WP 168); k pojmům „správce“ a „zpracovatel“ (1/2010, WP 169); k internetové reklamě zaměřené na chování (2/2010, WP 171); k zásadě odpovědnosti (3/2010, WP 173); k použitelnému právu (8/2010, WP 179); k souhlasu (15/2011, WP 187). Pracovní skupina přijala na žádost Komise rovněž tyto tři poradní dokumenty: o oznámeních, o citlivých údajích a o praktickém provádění čl. 28 odst. 6 směrnice o ochraně údajů. K dispozici jsou na internetové stránce: http://ec.europa.eu/justice/data-protection/article-29/documentation/index_en.htm.

[15]             K dispozici na internetových stránkách evropského inspektora ochrany údajů na adrese: http://www.edps.europa.eu/EDPSWEB/.

[16]             Usnesení EP ze dne 6. července 2011 o komplexním přístupu k ochraně osobních údajů v Evropské unii, (2011/2025(INI), http://www.europarl.europa.eu/sides/getDoc.do?type=TA&reference=P7-TA-2011-0323&language=EN&ring=A7-2011-0244 (zpravodaj: poslanec EP Axel Voss (EPP/DE).

[17]             CESE 999/2011.

[18]             SEK(2012) 72.

[19]             KOM(2012) 12.

[20]             Rozsudek Soudního dvora ze dne 9. listopadu 2010, spojené věci C-92/09 a C-93/09, Volker und Markus Schecke a Eifert, Sb. rozh. 2010, s. I 0000.

[21]             V souladu s čl. 52 odst. 1 Listiny mohou být omezení výkonu práva na ochranu údajů zavedena tehdy, pokud jsou tato omezení stanovena zákonem a respektují podstatu těchto práv a svobod. Při dodržení zásady proporcionality mohou být omezení zavedena pouze tehdy, pokud jsou nezbytná a pokud skutečně odpovídají cílům obecného zájmu, které uznává Unie, nebo potřebě ochrany práv a svobod druhého.

[22]             Uvedené rovněž v čl. 2 písm. a) směrnice Evropského parlamentu a Rady 2011/92/EU ze dne 13. prosince 2011 o boji proti pohlavnímu zneužívání a pohlavnímu vykořisťování dětí a proti dětské pornografii, kterou se nahrazuje rámcové rozhodnutí Rady 2004/68/SVV, Úř. věst. L 335, 17.12.2011, s. 1.

[23]             KOM(2005) 475 v konečném znění.

[24]             Článek 14 rozhodnutí o Europolu 2009/371/SVV.

[25]             Článek 15 rozhodnutí o Eurojustu 2009/426/SVV.

[26]             Článek 14 rozhodnutí o Europolu 2009/371/SVV.

[27]             Rozsudek Evropského soudu pro lidská práva ze dne 4.12.2008, Marper v. Spojené království, (žádosti č. 30562/04 a 30566/04). 

[28]             Přijaté na mezinárodní konferenci komisařů pro ochranu údajů dne 5. listopadu 2009.

[29]             Rozsudek Soudního dvora EU ze dne 9. března 2010, Komise v. Německo (C-518/07, Sb. rozh. 2010, s. I 1885).

[30]             Nařízení Evropského parlamentu a Rady (ES) č. 45/2001 ze dne 18. prosince 2000 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány a institucemi Společenství a o volném pohybu těchto údajů; Úř. věst. L 008, 12.1.2001, s. 1.

[31]             Viz poznámka pod čarou 27.

[32]             Směrnice Evropského parlamentu a Rady 2000/31/ES ze dne 8. června 2000 o některých právních aspektech služeb informační společnosti, zejména elektronického obchodu, na vnitřním trhu (směrnice o elektronickém obchodu), Úř. věst. L 178, 17.7.2000, s. 1.

[33]             Úř. věst. C…, s. .

[34]             Úř. věst. L 281, 23.11.1995, s. 31.

[35]             Úř. věst. L 350, 30.12.2008, s. 60.

[36]             Úř. věst. L 55, 28.2.2011, s. 13.

[37]             Úř. věst. L 329, 17.12.2011, s. 1.

[38]             Úř. věst. L 176, 10.7.1999, s. 36.

[39]             Úř. věst. L 53, 27.2.2008, s. 52.           

[40]             Úř. věst. L 160, 18.6.2011, s. 19.