4.5.2016   

CS

Úřední věstník Evropské unie

L 119/89


SMĚRNICE EVROPSKÉHO PARLAMENTU A RADY (EU) 2016/680

ze dne 27. dubna 2016

o ochraně fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, o volném pohybu těchto údajů a o zrušení rámcového rozhodnutí Rady 2008/977/SVV

EVROPSKÝ PARLAMENT A RADA EVROPSKÉ UNIE,

s ohledem na Smlouvu o fungování Evropské unie, a zejména na čl. 16 odst. 2 této smlouvy,

s ohledem na návrh Evropské komise,

po postoupení návrhu legislativního aktu vnitrostátním parlamentům,

s ohledem na stanovisko Výboru regionů (1),

v souladu s řádným legislativním postupem (2),

vzhledem k těmto důvodům:

(1)

Ochrana fyzických osob v souvislosti se zpracováním osobních údajů je základním právem. Ustanovení čl. 8 odst. 1 Listiny základních práv Evropské unie (dále jen „Listina“) a čl. 16 odst. 1 Smlouvy o fungování Evropské unie (dále jen „Smlouva o fungování EU“) přiznávají každému právo na ochranu osobních údajů, které se jej týkají.

(2)

Zásady a pravidla ochrany fyzických osob v souvislosti se zpracováním jejich osobních údajů by bez ohledu na jejich státní příslušnost nebo bydliště měly respektovat jejich základní práva a svobody, zejména právo na ochranu osobních údajů. Cílem této směrnice je přispět k dotvoření prostoru svobody, bezpečnosti a práva.

(3)

Rychlý technologický rozvoj a globalizace s sebou přinesly nové výzvy pro ochranu osobních údajů. Rozsah shromažďování a sdílení osobních údajů významně vzrostl. Technologie umožňují využívat osobní údaje v nebývalém rozsahu pro účely provádění činností, jako jsou prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkon trestů.

(4)

Volný pohyb osobních údajů mezi příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení v rámci Unie, a předávání těchto osobních údajů do třetích zemí a mezinárodním organizacím by měly být usnadněny při zajištění vysoké úrovně ochrany osobních údajů. Tento vývoj vyžaduje vybudování pevného a jednotnějšího rámce pro ochranu osobních údajů v Unii, jenž se bude opírat o důrazné vymáhání práva.

(5)

Směrnice Evropského parlamentu a Rady 95/46/ES (3) se vztahuje na veškeré zpracování osobních údajů v členských státech jak ve veřejném, tak v soukromém sektoru. Nevztahuje se však na zpracování osobních údajů prováděné pro výkon činností, které nespadají do oblasti působnosti práva Společenství, například činností v oblastech justiční spolupráce v trestních věcech a policejní spolupráce.

(6)

Rámcové rozhodnutí Rady 2008/977/SVV (4) se použije v oblastech justiční spolupráce v trestních věcech a policejní spolupráce. Oblast působnosti uvedeného rámcového rozhodnutí je omezena na zpracování osobních údajů předaných nebo zpřístupněných mezi členskými státy.

(7)

Pro zajištění účinné justiční spolupráce v trestních věcech a policejní spolupráce má zásadní význam zajištění jednotné a vysoké úrovně ochrany osobních údajů fyzických osob a usnadnění výměny osobních údajů mezi příslušnými orgány členských států. Proto by měla být úroveň ochrany práv a svobod fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení, ve všech členských státech rovnocenná. Účinná ochrana osobních údajů v celé Unii vyžaduje nejen posílení práv subjektů údajů a povinností těch, kdo osobní údaje zpracovávají, ale také rovnocenné pravomoci pro monitorování a zajišťování souladu s pravidly ochrany osobních údajů v členských státech.

(8)

Ustanovení čl. 16 odst. 2 Smlouvy o fungování EU zmocňuje Evropský parlament a Radu ke stanovení pravidel o ochraně fyzických osob při zpracovávání osobních údajů a pravidel o volném pohybu těchto údajů.

(9)

Na tomto základě stanoví nařízení Evropského parlamentu a Rady (EU) 2016/679 (5) obecná pravidla pro ochranu fyzických osob v souvislosti se zpracováním osobních údajů a zajištění volného pohybu osobních údajů v Unii.

(10)

V prohlášení č. 21 o ochraně osobních údajů v oblasti justiční spolupráce v trestních věcech a policejní spolupráce, připojeném k závěrečnému aktu mezivládní konference, která přijala Lisabonskou smlouvu, konference uznala, že zvláštní pravidla pro ochranu osobních údajů a volný pohyb osobních údajů v oblastech justiční spolupráce v trestních věcech a policejní spolupráce, založená na článku 16 Smlouvy o fungování EU, by se mohla vzhledem ke specifické povaze těchto oblastí ukázat jako nezbytná.

(11)

Je proto vhodné, aby byly tyto oblasti upraveny v samostatné směrnici, která stanoví zvláštní pravidla pro ochranu fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení, při respektování zvláštní povahy těchto činností. Tyto příslušné orgány mohou zahrnovat nejen orgány veřejné moci, jako jsou justiční orgány, policie nebo jiné donucovací orgány, ale také jakýkoli jiný orgán nebo subjekt pověřený právem členského státu plnit veřejnou funkci a vykonávat veřejnou moc pro účely této směrnice. Pokud takový orgán nebo subjekt zpracovává osobní údaje pro jiné účely než pro účely této směrnice, použije se nařízení (EU) 2016/679. Nařízení (EU) 2016/679 se proto použije v případech, kdy orgán nebo subjekt shromažďuje osobní údaje pro jiné účely a tyto osobní údaje dále zpracovává za účelem splnění právní povinnosti, která mu je uložena. Například finanční instituce uchovávají určité osobní údaje, které zpracovaly, pro účely vyšetřování, odhalování nebo stíhání a poskytují tyto osobní údaje pouze příslušným vnitrostátním orgánům ve zvláštních případech a v souladu s právem členského státu. Orgán nebo subjekt, který zpracovává osobní údaje pro tyto orgány v oblasti působnosti této směrnice, by měl být vázán smlouvou nebo jiným právním aktem, jakož i předpisy vztahujícími se na zpracovatele podle této směrnice, přičemž použití nařízení (EU) 2016/679 zůstává nedotčeno, pokud jde o zpracování osobních údajů prováděné zpracovatelem mimo oblast působnosti této směrnice.

(12)

Činnosti policie nebo jiných donucovacích orgánů jsou zaměřeny především na prevenci, vyšetřování, odhalování či stíhání trestných činů, včetně policejní činnosti bez předchozí znalosti, zda určitá událost je nebo není trestným činem. Tyto činnosti mohou rovněž zahrnovat výkon pravomoci prostřednictvím donucovacích opatření, jako je činnost policie během demonstrací, významných sportovních událostí a nepokojů. Zahrnují rovněž udržování veřejného pořádku jako úkolu svěřeného policii nebo jiným donucovacím orgánům tam, kde je to nutné k ochraně před hrozbami pro veřejnou bezpečnost a pro základní zájmy společnosti chráněné právem, které by mohly vést k trestnému činu, a k předcházení těmto hrozbám. Členské státy mohou pověřit příslušné orgány i jinými úkoly, které nemusí být nutně prováděny za účelem prevence, vyšetřování, odhalování či stíhání trestných činů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení, tak aby zpracování osobních údajů pro tyto jiné účely v rozsahu, v němž náleží do oblasti působnosti práva Unie, spadalo do oblasti působnosti nařízení (EU) 2016/679.

(13)

Pojem trestného činu ve smyslu této směrnice by měl být autonomním pojmem unijního práva, jak jej vykládá Soudní dvůr Evropské unie (dále jen „Soudní dvůr“).

(14)

Jelikož by se tato směrnice neměla vztahovat na zpracování osobních údajů prováděné při výkonu činností, které nespadají do oblasti působnosti práva Unie, neměly by být za činnosti spadající do oblasti působnosti této směrnice považovány činnosti týkající se národní bezpečnosti, činnosti agentur nebo jednotek zabývajících se otázkami národní bezpečnosti ani zpracování osobních údajů členskými státy při výkonu činností spadajících do oblasti působnosti hlavy V kapitoly 2 Smlouvy o Evropské unii (dále jen „Smlouva o EU“).

(15)

S cílem zajistit jednotnou úroveň ochrany fyzických osob na základě právně vymahatelných práv v celé Unii a zamezit rozdílům bránícím výměně osobních údajů mezi příslušnými orgány by tato směrnice měla stanovit harmonizovaná pravidla pro ochranu a volný pohyb osobních údajů zpracovávaných za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení. Sblížení práva členských států by nemělo vést k oslabení ochrany osobních údajů, kterou zajišťují, ale mělo by naopak mít za cíl zajištění vysoké úrovně ochrany v rámci Unie. Členské státy by měly mít možnost stanovit záruky, které jsou přísnější než záruky zavedené v této směrnici, pro ochranu práv a svobod subjektu údajů v souvislosti se zpracováním osobních údajů příslušnými orgány.

(16)

Touto směrnicí není dotčena zásada přístupu veřejnosti k úředním dokumentům. Podle nařízení (EU) 2016/679 může osobní údaje v úředních dokumentech, které jsou v držení orgánu veřejné moci či veřejného nebo soukromého subjektu za účelem plnění úkolu ve veřejném zájmu, uvedený orgán či subjekt zpřístupnit v souladu s právem Unie nebo členského státu, kterému podléhá, aby tak zajistil soulad mezi přístupem veřejnosti k úředním dokumentům a právem na ochranu osobních údajů.

(17)

Ochrana poskytovaná touto směrnicí by se měla týkat zpracování osobních údajů fyzických osob bez ohledu na jejich státní příslušnost nebo bydliště.

(18)

S cílem zabránit vzniku vážného rizika obcházení by ochrana fyzických osob měla být technologicky neutrální a nezávislá na použitých technikách. Ochrana fyzických osob by se měla vztahovat jak na automatizované zpracování osobních údajů, tak na manuální zpracování v případě, že jsou tyto údaje uloženy v evidenci nebo do ní mají být vloženy. Záznamy nebo soubory záznamů ani jejich titulní strany, které nejsou uspořádány podle určených hledisek, by do oblasti působnosti této směrnice spadat neměly.

(19)

Nařízení Evropského parlamentu a Rady (ES) č. 45/2001 (6) se vztahuje na zpracování osobních údajů orgány, institucemi a jinými subjekty Unie. Nařízení (ES) č. 45/2001 a další právní akty Unie týkající se takového zpracování osobních údajů by měly být uzpůsobeny zásadám a pravidlům zavedeným nařízením (EU) 2016/679.

(20)

Tato směrnice nebrání členským státům v tom, aby ve vnitrostátních předpisech o trestním řízení stanovily operace a postupy zpracování v souvislosti se zpracováním osobních údajů soudy a dalšími justičními orgány, zejména pokud jde o osobní údaje obsažené v soudních rozhodnutích nebo v záznamech v souvislosti s trestním řízením.

(21)

Zásady ochrany údajů by se měly uplatňovat na všechny informace týkající se identifikované nebo identifikovatelné fyzické osoby. Při určování, zda je fyzická osoba identifikovatelná, by se mělo přihlédnout ke všem prostředkům, o nichž lze rozumně předpokládat, že je správce nebo jiná osoba použijí pro přímou či nepřímou identifikaci dané fyzické osoby. Ke stanovení toho, zda lze rozumně předpokládat použití prostředků k identifikaci fyzické osoby, by měly být vzaty v úvahu všechny objektivní faktory, jako jsou náklady a čas, které si identifikace vyžádá, s přihlédnutím k technologii dostupné v době zpracování i k technologickému rozvoji. Zásady ochrany osobních údajů by se proto neměly vztahovat na anonymní informace, totiž informace, které se netýkají identifikované či identifikovatelné fyzické osoby, ani na osobní údaje anonymizované tak, že subjekt údajů již není identifikovatelný.

(22)

Orgány veřejné moci, kterým jsou osobní údaje sdělovány na základě právní povinnosti pro účely výkonu jejich úředních povinností, jako jsou daňové a celní orgány, finanční vyšetřovací jednotky, nezávislé správní orgány nebo orgány finančního trhu příslušné pro regulaci trhů s cennými papíry a dohled nad nimi, by neměly být považovány za příjemce, pokud obdrží osobní údaje, které jsou nezbytné pro provedení konkrétního šetření v obecném zájmu v souladu s právem Unie či členského státu. Žádost o sdělení osobních údajů zaslaná orgány veřejné moci by měla být vždy písemná a odůvodněná, měla by se týkat jednotlivého případu a neměla by se vztahovat na celou evidenci ani vést k propojení evidencí. Zpracování osobních údajů těmito orgány veřejné moci by mělo být v souladu s platnými pravidly pro ochranu osobních údajů podle účelů zpracování.

(23)

Genetické údaje by měly být definovány jako osobní údaje týkající se zděděných nebo získaných genetických znaků určité fyzické osoby, které poskytují jedinečné informace o její fyziologii či zdravotním stavu a které vyplývají z analýzy biologického vzorku dotčené fyzické osoby, zejména chromozomů nebo kyseliny deoxyribonukleové (DNA) či ribonukleové (RNA), anebo z analýzy jiného prvku, která umožňuje získat rovnocenné informace. Vzhledem ke složitosti a citlivosti genetických informací existuje velké riziko, že je správce zneužije nebo opakovaně použije pro různé účely. Jakákoli diskriminace na základě genetických rysů by měla být v zásadě zakázána.

(24)

Mezi osobní údaje o zdravotním stavu by měly být zahrnuty veškeré údaje související se zdravotním stavem subjektu údajů, které vypovídají o minulém, současném či budoucím tělesném nebo duševním zdraví subjektu údajů. To zahrnuje informace o dané fyzické osobě shromážděné v průběhu registrace pro účely zdravotní péče a jejího poskytování dotčené fyzické osobě podle směrnice Evropského parlamentu a Rady 2011/24/EU (7); číslo, symbol nebo specifický údaj přiřazený fyzické osobě za účelem její jedinečné identifikace pro zdravotnické účely; informace získané během provádění testů nebo vyšetřování části těla nebo tělesných látek, včetně z genetických údajů a biologických vzorků, a jakékoliv informace například o nemoci, postižení, riziku onemocnění, anamnéze, klinické léčbě nebo fyziologickém či biomedicínském stavu subjektu údajů nezávisle na jejich původu, tedy bez ohledu na to, zda pocházejí například od lékaře nebo jiného zdravotníka, z nemocnice, ze zdravotnického prostředku či diagnostických testů in vitro.

(25)

Všechny členské státy jsou členy Mezinárodní organizace kriminální policie (Interpol). Aby Interpol mohl plnit své poslání, přijímá, ukládá a šíří osobní údaje s cílem napomáhat příslušným orgánům při prevenci a potírání mezinárodní trestné činnosti. Je proto vhodné posilovat spolupráci mezi Unií a Interpolem podporou efektivní výměny osobních údajů za současného zajištění respektování základních práv a svobod, pokud jde o automatizované zpracování osobních údajů. Při předávání osobních údajů z Unie Interpolu a do zemí, které mají zástupce u Interpolu, by se měla použít tato směrnice, zejména ustanovení o mezinárodním předávání údajů. Touto směrnicí by neměla být dotčena zvláštní pravidla stanovená společným postojem Rady 2005/69/SVV (8) a rozhodnutím Rady 2007/533/SVV (9).

(26)

Jakékoli zpracování osobních údajů musí být zákonné, korektní a transparentní ve vztahu k dotčeným fyzickým osobám a musí být prováděno pouze pro specifické účely stanovené právním předpisem. To samo o sobě nebrání donucovacím orgánům v provádění činností, jako je skryté vyšetřování nebo dohled pomocí videokamer. Tyto činnosti lze provádět za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení, pokud jsou stanoveny právním předpisem a pokud jsou v demokratické společnosti s náležitým přihlédnutím k oprávněným zájmům dotčené fyzické osoby nutné a přiměřené. Zásada ochrany údajů týkající se korektního zpracování představuje jiný pojem, než je právo na spravedlivý proces, jak jej vymezuje článek 47 Listiny a článek 6 Evropské úmluvy o ochraně lidských práv a základních svobod (EÚLP). Fyzické osoby by měly být upozorněny na to, jaká rizika, pravidla, záruky a práva existují v souvislosti se zpracováním jejich osobních údajů a jak mají v souvislosti s tímto zpracováním uplatňovat svá práva. Zejména je zapotřebí, aby konkrétní účely, pro které jsou osobní údaje zpracovávány, byly jednoznačné a legitimní a aby byly stanoveny v okamžiku shromažďování osobních údajů. Osobní údaje by měly být přiměřené, relevantní a omezené na to, co je nezbytné z hlediska účelů, pro které jsou zpracovávány. Mělo by se zajistit, aby shromažďované osobní údaje byly omezené na nezbytný rozsah a aby nebyly uchovávány déle, než je nezbytné pro účel, pro který jsou zpracovávány. Osobní údaje by měly být zpracovány pouze tehdy, nemůže-li být účelu zpracování přiměřeně dosaženo jinými prostředky. Aby se zajistilo, že údaje nebudou uchovávány déle, než je nezbytné, měl by správce stanovit lhůty pro jejich výmaz nebo pravidelný přezkum. Členské státy by měly stanovit vhodné záruky pro případ osobních údajů uložených po delší dobu za účelem archivace ve veřejném zájmu či pro vědecké, statistické či historické využití.

(27)

Pro prevenci, vyšetřování a stíhání trestných činů je nutné, aby příslušné orgány mohly osobní údaje shromážděné v souvislosti s prevencí, vyšetřováním, odhalováním či stíháním určitých trestných činů zpracovat také v jiném kontextu, aby mohly lépe chápat trestné činnosti a nalézat souvislosti mezi různými odhalenými trestnými činy.

(28)

Aby byla zachována bezpečnost zpracování a zabránilo se zpracování v rozporu s touto směrnicí, měly by být osobní údaje zpracovávány způsobem, který zajistí náležitou úroveň zabezpečení a mlčenlivosti, včetně zabránění neoprávněnému přístupu k osobním údajům a k zařízení používanému ke zpracování nebo jejich neoprávněnému použití, a který bude brát ohled na současný stav techniky a technologií, náklady na provedení v souvislosti s riziky a povahu osobních údajů, které mají být chráněny.

(29)

Osobní údaje by měly být shromažďovány pro stanovené, výslovně vyjádřené a legitimní účely v oblasti působnosti této směrnice a neměly by být zpracovávány pro účely neslučitelné s účely prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení. Pokud osobní údaje zpracovává stejný nebo jiný správce pro účel spadající do oblasti působnosti této směrnice, který je jiný než účel, pro nějž byly tyto údaje shromážděny, mělo by být toto zpracování přípustné, je-li povoleno v souladu s platnými právními přepisy a je pro tento jiný účel nezbytné a přiměřené.

(30)

Zásada přesnosti údajů by měla být uplatňována s ohledem na povahu a účel daného zpracování. Prohlášení obsahující osobní údaje jsou zejména v soudních řízeních založena na subjektivním vnímání fyzických osob a nejsou vždy ověřitelná. Požadavek na přesnost by se tedy neměl týkat přesnosti prohlášení, ale pouze skutečnosti, že prohlášení bylo učiněno.

(31)

Při zpracovávání osobních údajů v oblasti justiční spolupráce v trestních věcech a policejní spolupráce se přirozeně jedná o subjekty údajů různých kategorií. Proto by se mělo v příslušných případech a pokud možno jednoznačně rozlišovat mezi osobními údaji různých kategorií subjektů údajů, jako jsou podezřelé osoby, osoby odsouzené za trestný čin, oběti a jiné osoby, například svědci, osoby, které mohou poskytnout relevantní informace, či kontaktní osoby a společníci podezřelých a odsouzených osob. To by nemělo bránit uplatňování práva presumpce neviny zaručeného Listinou a EÚLP, jak je vykládá judikatura Soudního dvora a Evropského soudu pro lidská práva.

(32)

Příslušné orgány by měly zajistit, aby nebyly předávány nebo zpřístupňovány osobní údaje, které jsou nepřesné, neúplné nebo již nejsou aktuální. Aby se zajistila ochrana fyzických osob i přesnost, úplnost, aktuálnost a spolehlivost předaných nebo zpřístupněných osobních údajů, měly by příslušné orgány při každém předání těchto údajů k nim pokud možno doplnit nezbytné informace.

(33)

Odkazy v této směrnici na právo či právní předpis, právní základ či legislativní opatření členského státu neznamenají nutně legislativní akt přijatý parlamentem, aniž jsou dotčeny požadavky vyplývající z ústavního řádu dotčeného členského státu. Toto právo, právní předpisy, právní základ či legislativní opatření členského státu by však měly být jasné a přesné a jejich použití by mělo být předvídatelné pro osoby, na něž se vztahují, jak to vyžaduje judikatura Soudního dvora a Evropského soudu pro lidská práva. Právo členského státu upravující oblast zpracování osobních údajů v rámci oblasti působnosti této směrnice by mělo specifikovat alespoň cíle, osobní údaje, které mají být zpracovány, účely zpracování, postupy k zachování neporušenosti a důvěrné povahy údajů a postupy jejich zničení, tak aby byly zajištěny dostatečné záruky proti riziku zneužití a svévole.

(34)

Zpracování osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení, by mělo zahrnovat jakoukoliv operaci či soubor operací s osobními údaji nebo soubory osobních údajů, které jsou prováděny automatizovaným či jiným zpracováním, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, seřazení či zkombinování, omezení zpracování, výmaz nebo zničení. Pravidla této směrnice by se měla vztahovat zejména na předávání osobních údajů pro účely této směrnice příjemci, na nějž se tato směrnice nevztahuje. Takovým příjemcem by se měla rozumět fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jakýkoli jiný subjekt, jemuž příslušný orgán osobní údaje zákonně sděluje. Pokud osobní údaje původně shromáždil příslušný orgán pro některý z účelů této směrnice, mělo by se na zpracování těchto údajů pro jiné účely, než jsou účely této směrnice, vztahovat nařízení (EU) 2016/679, pokud je toto zpracování povoleno právem Unie nebo vnitrostátním právem. Pravidla nařízení (EU) 2016/679 by se měla vztahovat zejména na předávání osobních údajů pro účely, které nespadají do oblasti působnosti této směrnice. Pro zpracování osobních údajů příjemcem, který není příslušným orgánem ani nejedná jako příslušný orgán ve smyslu této směrnice a jemuž osobní údaje zákonně sdělil příslušný orgán, by se mělo použít nařízení (EU) 2016/679. Při provádění této směrnice by členské státy měly rovněž moci dále vymezit uplatňování pravidel nařízení (EU) 2016/679, s výhradou podmínek v něm stanovených.

(35)

Aby bylo zpracování osobních údajů podle této směrnice zákonné, mělo by být nezbytné pro plnění úkolů vykonávaných ve veřejném zájmu příslušným orgánem na základě práva Unie nebo členského státu za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení. Tyto činnosti by měly zahrnovat ochranu životně důležitých zájmů subjektu údajů. Plnění úkolů prevence, vyšetřování, odhalování nebo stíhání trestných činů, kterými je institucionálně pověřily právní předpisy, pak příslušným orgánům umožňuje vyžadovat od fyzických osob nebo jim nařizovat, aby splnily, co je po nich požadováno. V takovém případě by souhlas subjektů údajů podle definice v nařízení (EU) 2016/679 neměl představovat právní základ pro zpracování osobních údajů příslušnými orgány. Pokud se od subjektu údajů vyžaduje splnění právní povinnosti, nemá tento subjekt skutečnou a svobodnou volbu, a jeho reakci tudíž nelze považovat za svobodný projev jeho vůle. To by členským státům nemělo bránit v tom, aby právním předpisem stanovily, že subjekt údajů může souhlasit se zpracováním svých osobních údajů pro účely této směrnice, jako jsou testy DNA při trestním vyšetřování nebo sledování místa, kde se nachází, elektronickými náramky pro účely výkonu trestu.

(36)

Členské státy by měly stanovit, že v případech, kdy právo Unie nebo členského státu použitelné pro předávající příslušný orgán stanoví zvláštní podmínky použitelné za určitých okolností na zpracování osobních údajů, jako je použití kódů pro další zacházení, by předávající příslušný orgán měl uvědomit příjemce takových osobních údajů o těchto podmínkách a o nutnosti je dodržovat. Tyto podmínky by mohly například zahrnovat zákaz dalšího předávání osobních údajů jiným osobám, zákaz jejich využití pro jiné účely, než pro které byly příjemci předány, nebo povinnost informovat subjekt údajů v případě omezení práva na informace bez předchozího souhlasu předávajícího příslušného orgánu. Tyto povinnosti by se měly vztahovat i na předávání příslušnými orgány příjemcům ve třetích zemích nebo v mezinárodních organizacích. Členské státy by měly zajistit, aby předávající příslušný orgán nepoužíval pro příjemce v jiných členských státech nebo pro agentury, úřady a jiné subjekty zřízené podle hlavy V kapitol 4 a 5 Smlouvy o fungování EU jiné podmínky než ty, které platí pro obdobná předání údajů v rámci členského státu tohoto příslušného orgánu.

(37)

Osobní údaje, které jsou svou povahou obzvláště citlivé z hlediska základních práv a svobod, zasluhují zvláštní ochranu, jelikož by při jejich zpracování mohla vzniknout závažná rizika pro základní práva a svobody. Mezi tyto osobní údaje by měly patřit osobní údaje vypovídající o rasovém či etnickém původu, ovšem s tím, že použití slov „rasový původ“ v této směrnici neznamená, že Unie akceptuje teorie, které se pokoušejí určit existenci různých lidských ras. Tyto osobní údaje by měly být zpracovávány pouze tehdy, podléhá-li zpracování vhodným zárukám pro práva a svobody subjektu údajů stanoveným právním předpisem a je-li povoleno v případech stanovených právním předpisem; v případech, kdy takovým právním přepisem ještě povoleno nebylo, je-li zpracování nutné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné osoby, nebo se týká údajů zjevně zveřejněných subjektem údajů. Vhodné záruky pro práva a svobody subjektu údajů by mohly zahrnovat možnost shromažďovat tyto údaje pouze ve spojení s jinými údaji o dotyčné fyzické osobě, možnost přiměřeně zabezpečit shromážděné údaje, přísnější pravidla pro přístup zaměstnanců příslušného orgánu k takovým údajům nebo zákaz předávání těchto údajů. Zpracování těchto údajů by mělo být právními předpisy povoleno rovněž tehdy, kdy subjekt údajů udělil výslovný souhlas se zpracováním údajů, které je pro něj zvláště invazivní. Souhlas subjektu údajů by však sám o sobě neměl představovat právní základ pro zpracování tak citlivých osobních údajů příslušnými orgány.

(38)

Subjekt údajů by měl mít právo nebýt předmětem žádného rozhodnutí hodnotícího osobní aspekty týkající se jeho osoby, které vychází výlučně z automatizovaného zpracování a které pro něj má nepříznivé právní účinky nebo se jej významně dotýká. V každém případě by takové zpracování mělo být spojeno s vhodnými zárukami, včetně poskytnutí konkrétních informací subjektu údajů a práva na lidský zásah, zejména vyjádřit svůj názor, získat vysvětlení k rozhodnutí učiněnému po takovém posouzení nebo toto rozhodnutí napadnout. Profilování, které vede k diskriminaci fyzických osob na základě osobních údajů, jež jsou ze své povahy obzvláště citlivé z hlediska základních práv a svobod, je zakázáno za podmínek stanovených v článcích 21 a 52 Listiny.

(39)

Aby mohl subjekt údajů uplatňovat svá práva, měly by mu být veškeré informace snadno přístupné, mimo jiné na internetových stránkách správce, srozumitelné a podávané za použití jasných a jednoduchých jazykových prostředků. Tyto informace by měly být přizpůsobeny potřebám zranitelných osob, jako jsou děti.

(40)

Je třeba stanovit postupy, které by subjektům údajů usnadnily výkon jejich práv podle předpisů přijatých na základě této směrnice, včetně mechanismů pro bezplatné podávání žádostí zejména o přístup k osobním údajům a jejich opravy nebo výmazu a omezení zpracování a případné bezplatné obdržení tohoto přístupu či těchto operací. Správci by měla být uložena povinnost odpovědět na žádost subjektu údajů bez zbytečného odkladu, pokud správce neuplatňuje omezení práv subjektu údajů v souladu s pravidly této směrnice. Pokud však jsou žádosti zjevně nedůvodné nebo nepřiměřené, jako v případě, kdy subjekt údajů bezdůvodně a opakovaně požaduje informace nebo kdy subjekt údajů zneužívá své právo na informace například poskytnutím nepravdivých nebo zavádějících informací při podání žádosti, měl by mít správce možnost uložit přiměřený poplatek nebo žádost odmítnout.

(41)

Pokud správce požaduje poskytnutí dodatečných informací nezbytných k potvrzení totožnosti subjektu údajů, měly by být tyto informace zpracovány pouze pro tento konkrétní účel a neměly by být uloženy déle, než je pro tento účel nezbytné.

(42)

Subjektu údajů by měly být poskytnuty alespoň tyto informace: totožnost správce, existence operací zpracování, účely zpracování, právo podat stížnost a existence práva požadovat od správce přístup k osobním údajům, jejich opravu nebo výmaz nebo omezení zpracování. Tyto informace by mohly být zpřístupněny na internetových stránkách příslušného orgánu. Kromě toho by subjekt údajů, ve zvláštních případech a s cílem umožnit výkon jeho práv, měl být informován o právním základě zpracování a o tom, jak dlouho budou údaje uloženy, jsou-li takové další informace nezbytné, s přihlédnutím ke zvláštním okolnostem, za nichž jsou osobní údaje zpracovávány, s cílem zajistit korektní zpracování s ohledem na subjekt údajů.

(43)

Fyzická osoba by měla mít právo na přístup ke shromážděným osobním údajům, které se jí týkají, a měla by moci toto právo snadno a v přiměřených odstupech uplatňovat, aby byla o jejich zpracování informována a mohla si ověřit jeho zákonnost. Každý subjekt údajů by proto měl mít právo vědět zejména o tom, za jakým účelem se osobní údaje zpracovávají, za jaké období a kdo jsou příjemci osobních údajů, včetně ve třetích zemích, a obdržet příslušná sdělení. Pokud tato sdělení obsahují informace o původu těchto osobních údajů, neměly by tyto informace odhalit totožnost fyzických osob, zejména důvěrné zdroje. K dodržení tohoto práva postačí, aby subjekt údajů obdržel úplný přehled těchto údajů ve srozumitelné formě, tj. ve formě, která subjektu údajů umožňuje se s těmito údaji seznámit a ověřit, že jsou přesné a že byly zpracovány v souladu s touto směrnicí, aby tak mohl vykonávat práva, jež mu tato směrnice přiznává. Tento přehled by mohl být poskytován formou kopie osobních údajů, které jsou zpracovávány.

(44)

Členské státy by měly mít možnost přijmout legislativní opatření, aby poskytnutí těchto informací subjektům údajů odložily, omezily či od něho upustily, nebo aby úplně nebo částečně omezily přístup k jejich osobním údajům, v takovém rozsahu a po takovou dobu, jak je to v demokratické společnosti s náležitým přihlédnutím k základním právům a oprávněným zájmům dotčené fyzické osoby nutné a přiměřené, s cílem zabránit maření úředních nebo právních šetření, vyšetřování nebo postupů, zabránit nepříznivému ovlivňování prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, chránit veřejnou nebo národní bezpečnost nebo chránit práva a svobody druhých. Správce by měl posoudit na základě konkrétního a individuálního přezkumu každého případu, zda by mělo být právo na přístup částečně nebo zcela omezeno.

(45)

Jakékoli odmítnutí nebo omezení přístupu by v zásadě mělo být subjektu údajů sděleno písemně a mělo by obsahovat věcné nebo právní důvody, které k danému rozhodnutí vedly.

(46)

Jakékoli omezení práv subjektu údajů musí být v souladu s Listinou a EÚLP, jak je vykládá judikatura Soudního dvora a Evropského soudu pro lidská práva, a především dodržovat podstatu těchto práv a svobod.

(47)

Fyzická osoba by měla mít právo na opravu nepřesných osobních údajů, které se jí týkají, zejména údajů o skutečnostech, a právo na výmaz, pokud je zpracování těchto údajů v rozporu s touto směrnicí. Nicméně právo na opravu by nemělo ovlivnit například obsah svědecké výpovědi. Fyzická osoba by rovněž měla mít právo na omezení zpracování, pokud zpochybňuje přesnost osobních údajů a tuto přesnost nebo nepřesnost nelze ověřit nebo pokud musí být dané osobní údaje uchovány pro účely dokazování. Namísto výmazu osobních údajů by mělo být jejich zpracování omezeno zejména tehdy, pokud v určitém konkrétním případě existují oprávněné důvody se domnívat, že by výmaz mohl poškodit oprávněné zájmy subjektu údajů. Omezené údaje by v takovém případě měly být zpracovávány pouze pro účel, který zabránil jejich výmazu. Způsoby, jak omezit zpracování osobních údajů, by mohly mimo jiné zahrnovat přesun vybraných údajů do jiného systému zpracování, například pro účely archivace, nebo znepřístupnění vybraných údajů. V systémech automatizovaného zpracování by omezení zpracování mělo být v zásadě zajištěno technickými prostředky. Skutečnost, že zpracování osobních údajů je omezeno, by měla být v systému jasně vyznačena. Takováto oprava nebo výmaz osobních údajů nebo omezení zpracování by měly být sděleny příjemcům, jimž byly údaje zpřístupněny, a příslušným orgánům, od nichž nepřesné údaje pocházely. Správci by také neměli tyto údaje dále šířit.

(48)

Pokud správce odepře subjektu údajů jeho právo na informace, přístup k osobním údajům, jejich opravu nebo výmaz anebo omezení zpracování, měl by mít subjekt údajů právo požadovat, aby vnitrostátní dozorový úřad ověřil zákonnost zpracování. Subjekt údajů by měl být o tomto právu informován. Pokud dozorový úřad koná v zájmu subjektu údajů, měl by jej informovat alespoň o tom, že provedl veškerá nezbytná ověření nebo přezkumy. Dozorový úřad by měl subjekt údajů rovněž informovat o právu na soudní ochranu.

(49)

Pokud jsou osobní údaje zpracovávány v průběhu trestního vyšetřování a soudního řízení v trestních věcech, mělo by být možné stanovit, že právo na informace, přístup k osobním údajům, jejich opravu nebo výmaz a omezení zpracování má být vykonáváno v souladu s vnitrostátní úpravou soudního řízení.

(50)

Měla by být stanovena odpovědnost správce za jakékoliv zpracování osobních údajů prováděné správcem nebo pro něj. Správce by měl být zejména povinen zavést vhodná a účinná opatření a být schopen doložit, že činnosti zpracování jsou v souladu s touto směrnicí. Tato opatření by měla zohledňovat povahu, rozsah, kontext a účely zpracování a riziko pro práva a svobody fyzických osob. Opatření přijatá správcem by měla zahrnovat vypracování a provedení konkrétních záruk, pokud jde o zpracování osobních údajů zranitelných osob, jako jsou děti.

(51)

Různě pravděpodobná a různě závažná rizika pro práva a svobody fyzických osob mohou vyplynout ze zpracování, které by mohlo vést k fyzické, hmotné nebo nehmotné újmě, zejména v případech: kdy by zpracování mohlo vést k diskriminaci, krádeži či zneužití totožnosti, finanční ztrátě, poškození pověsti, ztrátě důvěrnosti údajů chráněných služebním tajemstvím, neoprávněnému zrušení pseudonymizace nebo jakémukoliv jinému významnému hospodářskému či společenskému znevýhodnění; kdy by subjekty údajů mohly být zbaveny svých práv a svobod nebo možnosti kontrolovat své osobní údaje; kdy jsou zpracovávány osobní údaje, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filosofickém přesvědčení nebo členství v odborech; kdy jsou zpracovávány genetické či biometrické údaje za účelem jedinečné identifikace fyzické osoby nebo kdy jsou zpracovávány údaje o zdravotním stavu či sexuálním životě a sexuální orientaci nebo o odsouzení v trestních věcech a trestných činech či souvisejících bezpečnostních opatřeních; kdy jsou za účelem vytvoření či využití osobních profilů vyhodnocovány osobní aspekty, zejména prostřednictvím analýzy a odhadu aspektů týkajících se pracovních výsledků, ekonomické situace, zdravotního stavu, osobních preferencí nebo zájmů, spolehlivosti nebo chování, místa, kde se nachází, nebo pohybu; kdy jsou zpracovávány osobní údaje zranitelných osob, především dětí; nebo kdy je zpracováván velký objem osobních údajů a zpracování se dotýká velkého počtu subjektů údajů.

(52)

Pravděpodobnost a závažnost rizika by měly být určeny s ohledem na povahu, rozsah, kontext a účely zpracování. Riziko by mělo být hodnoceno objektivním posouzením zjišťujícím, zda operace zpracování představují vysoké riziko. Vysoké riziko je zvláštní riziko ohrožení práv a svobod subjektů údajů.

(53)

Pro ochranu práv a svobod fyzických osob v souvislosti se zpracováním osobních údajů je třeba přijmout vhodná technická a organizační opatření, aby se zajistilo splnění požadavků této směrnice. Provádění těchto opatření by nemělo záviset výlučně na ekonomických hlediscích. Aby správce mohl doložit soulad s touto směrnicí, měl by přijmout vnitřní koncepce a zavést opatření, která dodržují zejména zásady záměrné a standardní ochrany osobních údajů. Jestliže správce vypracoval posouzení vlivu na ochranu osobních údajů podle této směrnice, měly by být jeho výsledky zohledněny při vytváření uvedených opatření a postupů. Tato opatření by mohla mimo jiné spočívat v tom, že je co nejdříve použita pseudonymizace. Použití pseudonymizace pro účely této směrnice může posloužit jako nástroj, který by mohl usnadnit zejména volný pohyb osobních údajů v prostoru svobody, bezpečnosti a práva.

(54)

Ochrana práv a svobod subjektů údajů i odpovědnost správců a zpracovatelů, mimo jiné pokud jde o jejich monitorování a opatření vůči nim přijímaná dozorovými úřady, vyžadují, aby bylo jasně určeno, kdo má plnit jednotlivé povinnosti stanovené v této směrnici, včetně případů, kdy správce určuje účely a prostředky zpracování společně s jinými správci nebo kdy je operace zpracování prováděna pro správce.

(55)

Provádění zpracování zpracovatelem by se mělo řídit právním aktem, včetně smlouvy, který zavazuje zpracovatele vůči správci a zejména stanoví, že zpracovatel by měl jednat pouze podle pokynů správce. Zpracovatel by měl zohledňovat zásadu záměrné a standardní ochrany osobních údajů.

(56)

Aby správce nebo zpracovatel doložil soulad s touto směrnicí, měl by vést záznamy o všech kategoriích činností zpracování, za které odpovídá. Každý správce a zpracovatel by měl být povinen spolupracovat s dozorovým úřadem a na jeho žádost mu tyto záznamy zpřístupnit, aby na jejich základě mohly být tyto operace zpracování monitorovány. Správce nebo zpracovatel zpracovávající osobní údaje prostřednictvím neautomatizovaných systémů zpracování by měl mít zavedeny účinné způsoby dokládání zákonnosti zpracování, umožnění vlastní kontroly a zajištění neporušenosti a zabezpečení údajů, jako jsou logy nebo jiné formy záznamů.

(57)

Logy by měly být vedeny alespoň pro operace v rámci automatizovaných systémů zpracování, jako jsou shromažďování, pozměňování, nahlížení, sdělování včetně předávání, kombinování nebo výmaz. Měla by být zaznamenána totožnost fyzické osoby, která do osobních údajů nahlédla nebo je zpřístupnila, a z této totožnosti by mělo být možné odvodit důvody pro zpracování. Logy by se měly používat pouze pro ověření zákonnosti zpracování, pro vlastní kontrolu, pro zajištění neporušenosti a zabezpečení údajů a pro trestní řízení. Vlastní kontrola rovněž zahrnuje interní disciplinární řízení příslušných orgánů.

(58)

Správce by měl provést posouzení vlivu na ochranu osobních údajů v případě, že operace zpracování kvůli své povaze, rozsahu nebo účelu s sebou pravděpodobně nesou vysoká rizika pro práva a svobody subjektů údajů, přičemž by toto posouzení mělo zahrnovat zejména plánovaná opatření, záruky a mechanismy, jimiž lze zajistit ochranu osobních údajů a doložit soulad s touto směrnicí. Posouzení vlivu by mělo zahrnovat příslušné systémy a postupy operací zpracování, nikoli individuální případy.

(59)

Aby byla zajištěna účinná ochrana práv a svobod subjektů údajů, měl by správce nebo zpracovatel v určitých případech před zpracováním konzultovat s dozorovým úřadem.

(60)

V zájmu zachování bezpečnosti a zabránění zpracování, které by bylo v rozporu s touto směrnicí, by měl správce nebo zpracovatel posoudit rizika spojená se zpracováním a přijmout opatření ke zmírnění těchto rizik, například šifrování. Tato opatření by měla zajistit náležitou úroveň zabezpečení, včetně mlčenlivosti, s ohledem na stav techniky, náklady na provedení v souvislosti s rizikem a povahu osobních údajů, které mají být chráněny. Při posuzování rizik pro zabezpečení údajů by se měla vzít v úvahu rizika, která zpracování představuje, jako jsou náhodné nebo protiprávní zničení, ztráta, pozměnění, neoprávněné sdělení nebo zpřístupnění předaných, uložených nebo jiným způsobem zpracovaných osobních údajů, které by mohlo zejména vést k fyzické, hmotné nebo nehmotné újmě. Správce a zpracovatel by měli zajistit, aby zpracování osobních údajů neprováděly neoprávněné osoby.

(61)

Není-li porušení zabezpečení osobních údajů náležitě a včas řešeno, může to fyzickým osobám způsobit fyzickou, hmotnou či nehmotnou újmu, jako je ztráta kontroly nad jejich osobními údaji nebo omezení jejich práv, diskriminace, krádež nebo zneužití identity, finanční ztráta, neoprávněné zrušení pseudonymizace, poškození pověsti, ztráta důvěrnosti osobních údajů chráněných služebním tajemstvím nebo jakékoliv jiné významné hospodářské či společenské znevýhodnění dotčených fyzických osob. Jakmile se tedy správce o porušení zabezpečení osobních údajů dozví, měl by je bez zbytečného odkladu, a je-li to možné, do 72 hodin poté, co se o něm dozvěděl, ohlásit příslušnému dozorovému úřadu, ledaže může v souladu se zásadou odpovědnosti doložit, že je nepravděpodobné, že by dané porušení zabezpečení osobních údajů mělo za následek riziko pro práva a svobody fyzických osob. Není-li toto ohlášení možné učinit do 72 hodin, měly by být spolu s ním uvedeny důvody zpoždění a informace mohou být poskytnuty postupně bez zbytečného dalšího prodlení.

(62)

Je-li pravděpodobné, že porušení zabezpečení osobních údajů může mít za následek vysoké riziko pro práva a svobody fyzických osob, měly by být fyzické osoby bez zbytečného odkladu informovány, aby mohly přijmout nezbytná opatření. V oznámení by měla být popsána povaha daného případu porušení zabezpečení osobních údajů a obsažena doporučení pro dotčenou fyzickou osobu, jak případné nežádoucí účinky zmírnit. Tato oznámení by měla být subjektům údajů učiněna, jakmile je to proveditelné, v úzké spolupráci s dozorovým úřadem a v souladu s pokyny tohoto úřadu nebo jiných příslušných orgánů. Například v případě potřeby zmírnit bezprostřední riziko způsobení újmy je nutné tuto skutečnost subjektům údajů neprodleně oznámit, zatímco v situaci, kdy je zapotřebí zavést vhodná opatření s cílem zabránit tomu, aby porušení zabezpečení osobních údajů pokračovalo nebo aby docházelo k podobným případům porušení, může být opodstatněna delší lhůta. Není-li možné zabránění maření úředních nebo právních šetření, vyšetřování nebo postupů, zabránění nepříznivému ovlivňování prevence, odhalování, vyšetřování či stíhání trestných činů nebo výkonu trestů, ochrany veřejného pořádku, ochrany národní bezpečnosti nebo ochrany práv a svobod druhých dosáhnout zpožděním či omezením sdělení o porušení zabezpečení osobních údajů dotčené fyzické osobě, mohlo by být od tohoto sdělení ve výjimečných případech upuštěno.

(63)

Správce by měl určit osobu, která mu bude pomáhat monitorovat vnitřní dodržování ustanovení přijatých podle této směrnice, s výjimkou případů, kdy členský stát rozhodne o vynětí soudů a jiných nezávislých justičních orgánů jednajících v rámci svých justičních pravomocí. Tato osoba by mohla být součástí stávajícího personálu správce, který absolvoval zvláštní odbornou přípravu ohledně práva a praxe v oblasti ochrany údajů s cílem získat odborné znalosti v této oblasti. Potřebná úroveň odborných znalostí by se měla určit zejména podle prováděných operací zpracování a podle ochrany, která se vyžaduje pro osobní údaje zpracovávané správcem. Tato osoba by mohla plnit úkoly na částečný nebo plný úvazek. Pověřence pro ochranu osobních údajů může společně jmenovat více správců s ohledem na svou organizační strukturu a velikost, například v případě sdílených zdrojů v centrálních jednotkách. Tato osoba může být rovněž jmenována na různé pozice ve struktuře příslušných správců. Měla by správci a zaměstnancům zpracovávajícím osobní údaje pomáhat prostřednictvím informování a poradenství o dodržování jejich příslušných povinností týkajících se ochrany údajů. Tito pověřenci pro ochranu osobních údajů by měli být schopni plnit své povinnosti a úkoly nezávislým způsobem v souladu s právem členského státu.

(64)

Členské státy by měly zajistit, aby se předání údajů do třetí země nebo mezinárodní organizaci uskutečnilo jen tehdy, je-li to nezbytné za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení, a je-li správce v dané třetí zemi nebo v mezinárodní organizaci příslušným orgánem ve smyslu této směrnice. Předání by měly provádět pouze příslušné orgány jednající jako správci údajů vyjma případy, kdy jsou zpracovatelé výslovně pověřeni, aby předání provedli pro správce. Takové předání může být provedeno v případech, kdy Komise rozhodla, že daná třetí země nebo mezinárodní organizace zajišťuje odpovídající úroveň ochrany, kdy byly poskytnuty vhodné záruky nebo kdy se uplatní výjimky stanovené pro specifické situace. Pokud jsou osobní údaje předávány z Unie správcům, zpracovatelům nebo jiným příjemcům ve třetích zemích nebo v mezinárodních organizacích, neměla by být úroveň ochrany fyzických osob poskytovaná v Unii touto směrnicí znehodnocena, a to ani v případech dalšího předání osobních údajů ze třetí země nebo mezinárodní organizace správcům nebo zpracovatelům ve stejné nebo jiné třetí zemi nebo mezinárodní organizaci.

(65)

Pokud jsou osobní údaje předávány z členského státu do třetích zemí nebo mezinárodním organizacím, mělo by se takové předání v zásadě uskutečnit pouze poté, co členský stát, od něhož byly údaje získány, toto další předání povolil. V zájmu účinné spolupráce při vymáhání práva je třeba, aby v případech, kdy je povaha ohrožení veřejné bezpečnosti členského státu nebo třetí země či podstatných zájmů členského státu tak bezprostřední, že není možné včas získat předchozí povolení, měl příslušný orgán možnost předat příslušné osobní údaje do dotyčné třetí země nebo dotyčné mezinárodní organizaci bez tohoto předchozího povolení. Členské státy by měly stanovit, že třetím zemím a mezinárodním organizacím by měly být oznamovány veškeré zvláštní podmínky týkající se předání. Další předání osobních údajů by měla podléhat předchozímu povolení příslušného orgánu, který provedl původní předání. Při rozhodování o žádosti o povolení dalšího předání by měl příslušný orgán, který provedl původní předání, řádně zohlednit všechny relevantní faktory, včetně závažnosti trestného činu, zvláštních podmínek, za nichž došlo k původnímu předání údajů, účelu, pro který byly údaje původně předány, povahy a podmínek výkonu trestu a úrovně ochrany osobních údajů ve třetí zemi nebo v mezinárodní organizaci, které jsou osobní údaje dále předávány. Příslušný orgán, který provedl původní předání, by měl mít rovněž možnost stanovit zvláštní podmínky pro další předání. Tyto zvláštní podmínky mohou být popsány například v kódech pro další zacházení.

(66)

Komise by měla být schopna s účinkem pro celou Unii rozhodnout, že určitá třetí země, určité území či jedno nebo více konkrétních odvětví v určité třetí zemi nebo určitá mezinárodní organizace poskytují odpovídající úroveň ochrany osobních údajů, a tímto způsobem zajistit právní jistotu a jednotné uplatňování práva v celé Unii ve vztahu k dané třetí zemi nebo mezinárodní organizaci, u níž se má za to, že takovou úroveň ochrany poskytuje. V těchto případech by mělo být možné předat osobní údaje do této země nebo této mezinárodní organizaci bez potřeby získat nějaké zvláštní povolení, s výjimkou případů, kdy musí s předáním souhlasit jiný členský stát, od něhož byly údaje získány.

(67)

V souladu se základními hodnotami, na kterých je Unie založena a mezi něž patří zejména ochrana lidských práv, by Komise měla při svém hodnocení určité třetí země nebo určitého území nebo konkrétního odvětví v určité třetí zemi zohlednit skutečnost, jak tato třetí země dodržuje zásady právního státu a přístupu ke spravedlnosti, jakož i mezinárodní normy a standardy v oblasti lidských práv a příslušné obecné a odvětvové právní předpisy, včetně právních předpisů týkajících se veřejné bezpečnosti, obrany a národní bezpečnosti, jakož i veřejného pořádku a trestního práva. Přijetí rozhodnutí o odpovídající ochraně ve vztahu k určitému území nebo konkrétnímu odvětví v určité třetí zemi by mělo zohlednit jasná a objektivní kritéria, jako jsou určité činnosti zpracování a oblast působnosti použitelných právních standardů a právních předpisů platných v dané třetí zemi. Třetí země by měla nabídnout záruky zajišťující odpovídající úroveň ochrany v zásadě rovnocennou úrovni ochrany zajištěné v Unii, zejména pokud jsou osobní údaje zpracovávány v jednom nebo více konkrétních odvětvích. Daná třetí země by zejména měla zajistit účinný nezávislý dozor nad ochranou údajů a měla by stanovit mechanismy spolupráce s úřady členských států pro ochranu osobních údajů, přičemž subjektům údajů by měla být poskytnuta účinná a vymahatelná práva a účinná správní a soudní ochrana.

(68)

Vedle mezinárodních závazků, které daná třetí země nebo mezinárodní organizace přijala, by Komise měla zohlednit povinnosti vyplývající z účasti dané třetí země nebo mezinárodní organizace na mnohostranných nebo regionálních systémech, zejména ve vztahu k ochraně osobních údajů, jakož i plnění těchto povinností. Zohledněno by mělo být zejména přistoupení dané třetí země k Úmluvě Rady Evropy ze dne 28. ledna 1981 o ochraně osob se zřetelem na automatizované zpracování osobních dat a jejímu dodatkovému protokolu. Komise by měla při posuzování úrovně ochrany ve třetích zemích nebo mezinárodních organizacích konzultovat Evropský sbor pro ochranu osobních údajů, zřízený nařízením (EU) 2016/679 (dále jen „sbor“). Komise by rovněž měla zohlednit veškerá příslušná rozhodnutí Komise o odpovídající ochraně přijatá v souladu s článkem 45 nařízení (EU) 2016/679.

(69)

Komise by měla monitorovat fungování rozhodnutí o úrovni ochrany v určité třetí zemi, na určitém území či v konkrétním odvětví v určité třetí zemi nebo v určité mezinárodní organizaci. Ve svých rozhodnutích o odpovídající ochraně by Komise měla stanovit mechanismus pravidelného přezkumu jejich fungování. Tento pravidelný přezkum by měl probíhat za konzultace s dotčenou třetí zemí nebo mezinárodní organizací a měl by zohlednit veškerý významný vývoj v dané třetí zemi nebo mezinárodní organizaci.

(70)

Komise by měla být schopna konstatovat, že určitá třetí země, určité území či konkrétní odvětví v určité třetí zemi nebo určitá mezinárodní organizace již odpovídající úroveň ochrany údajů nezajišťuje. Předání osobních údajů do této třetí země nebo této mezinárodní organizaci by tudíž mělo být povoleno, jen pokud jsou splněny požadavky této směrnice týkající se předání na základě vhodných záruk a odchylek ve zvláštních situacích. Měly by být stanoveny postupy pro konzultace mezi Komisí a těmito třetími zeměmi nebo mezinárodními organizacemi. Komise by měla včas informovat danou třetí zemi nebo mezinárodní organizaci o důvodech a zahájit s ní konzultace za účelem nápravy situace.

(71)

Předání údajů, které není založeno na takovém rozhodnutí o odpovídající ochraně, by mělo být povoleno pouze v případě, pokud byly v právně závazném nástroji poskytnuty vhodné záruky, jež zajišťují ochranu osobních údajů, nebo pokud správce posoudil všechny okolnosti daného předání údajů a na základě tohoto posouzení se domnívá, že pro ochranu osobních údajů existují vhodné záruky. Takovými právně závaznými nástroji by například mohly být právně závazné dvoustranné dohody, které byly uzavřeny členskými státy a provedeny v jejich právním řádu a jichž by se mohly dovolávat jejich subjekty údajů, zajišťující splnění požadavků na ochranu údajů a práva subjektů údajů, včetně práva na účinné prostředky správním či soudní ochrany. Správce by měl mít možnost vzít v úvahu dohody o spolupráci uzavřené mezi Europolem nebo Eurojustem a třetími zeměmi, které umožňují výměnu osobních údajů při posouzení všech okolností daného předání údajů. Správce by měl mít možnost vzít v úvahu i skutečnost, že se na předání osobních údajů budou vztahovat povinnosti související se zachováním mlčenlivosti a zásada specifičnosti, což zaručí, že tyto údaje nebudou zpracovány pro jiné účely než pro účely předání. Správce by navíc měl vzít v úvahu i skutečnost, že osobní údaje nebudou použity v souvislosti se žádostí o trest smrti, jeho vynesením nebo výkonem nebo s jakoukoli formou krutého a nelidského zacházení. Zatímco tyto podmínky by mohly být považovány za vhodné záruky umožňující předání údajů, správce by měl mít možnost požadovat další záruky.

(72)

Kde neexistuje rozhodnutí o odpovídající ochraně ani vhodné záruky, mohlo by se předání nebo kategorie předání uskutečnit pouze ve zvláštních situacích, je-li to nutné k ochraně životních zájmů subjektu údajů nebo jiné osoby nebo k ochraně oprávněných zájmů subjektu údajů, jestliže tak stanoví právní předpisy členského státu, který osobní údaje předává, k zabránění bezprostřednímu a závažnému ohrožení veřejné bezpečnosti v některém členském státě nebo třetí zemi nebo, v individuálních případech, k prevenci, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení, nebo, v individuálních případech, ke stanovení, výkonu nebo ochraně právních nároků. Tyto výjimky by měly být vykládány restriktivně, neměly by umožňovat časté, hromadné a strukturální předávání osobních údajů ani rozsáhlá předávání údajů a měly by se omezit na přísně nezbytné údaje. Tato předání by měla být zdokumentována a měla by být zpřístupněna na požádání dozorového úřadu za účelem sledování zákonnosti předání.

(73)

Příslušné orgány členských států uplatňují platné dvoustranné nebo mnohostranné mezinárodní dohody uzavřené s třetími zeměmi v oblasti justiční spolupráce v trestních věcech a policejní spolupráce pro výměnu příslušných informací s cílem umožnit jim, aby plnily své právním předpisem stanovené úkoly. Tato výměna probíhá v zásadě prostřednictvím nebo přinejmenším za spolupráce orgánů příslušných v dotčených třetích zemí pro účely této směrnice, někdy dokonce za neexistence dvoustranné nebo mnohostranné mezinárodní dohody. Nicméně v konkrétních individuálních případech mohou být běžné postupy vyžadující kontaktování takového orgánu ve třetí zemi neúčinné nebo nevhodné, zejména proto, že by předání nemohlo být provedeno včas nebo protože uvedený orgán ve třetí zemi nedodržuje zásady právního státu nebo mezinárodní normy a standardy v oblasti lidských práv, a tak by příslušné orgány členských států mohly rozhodnout o předání osobních údajů přímo příjemcům usazeným v těchto třetích zemích. Může tomu tak být i v případě, že je naléhavě potřeba předat osobní údaje k záchraně života osoby, jíž hrozí, že se stane obětí trestného činu, nebo v zájmu předejití bezprostřednímu spáchání trestného činu, včetně terorismu. Přestože k tomuto předání mezi příslušnými orgány a příjemci usazenými ve třetích zemích by mělo docházet pouze ve zvláštních individuálních případech, měla by tato směrnice za účelem jejich úpravy stanovit podmínky. Uvedená ustanovení by neměla být považována za odchylky od jakýchkoli stávajících dvoustranných nebo mnohostranných mezinárodních dohod v oblasti justiční spolupráce v trestních věcech a policejní spolupráce. Zmíněná pravidla by se měla uplatnit spolu s ostatními pravidly obsaženými v této směrnici, zejména s pravidly o zákonnosti zpracování a pravidly kapitoly V.

(74)

Předání osobních údajů přes hranice může fyzické osoby vystavit zvýšenému riziku, že nebudou moci uplatnit svá práva na ochranu osobních údajů a chránit se před protiprávním použitím nebo poskytnutím těchto údajů. Zároveň se může stát, že dozorové úřady nebudou schopny vyřizovat stížnosti nebo provádět šetření týkající se činností prováděných za hranicemi svého státu. Překážkou pro jejich úsilí o přeshraniční spolupráci mohou být také nedostatečné preventivní nebo nápravné pravomoci a rozdíly v právní úpravě. Proto je třeba podporovat užší spolupráci mezi dozorovými úřady zabývajícími se ochranou osobních údajů s cílem napomoci jim při výměně informací s dozorovými úřady jiných zemí.

(75)

Zásadním prvkem ochrany fyzických osob v souvislosti se zpracováním jejich osobních údajů je zřízení dozorových úřadů, jež mohou v členských státech plnit své úkoly zcela nezávisle. Dozorové úřady by měly sledovat uplatňování předpisů přijatých na základě této směrnice a přispívat k jejímu soudržnému uplatňování v celé Unii s cílem chránit fyzické osoby v souvislosti se zpracováním jejich osobních údajů. Za tímto účelem by měly spolupracovat mezi sebou a s Komisí.

(76)

Členské státy mohou dozorový úřad, který již byl zřízen podle nařízení (EU) 2016/679, pověřit úkoly, jež mají plnit vnitrostátní dozorové úřady, které mají být zřízeny podle této směrnice.

(77)

Členské státy by měly mít možnost zřídit více než jeden dozorový úřad, aby zohlednily své ústavní, organizační a správní uspořádání. Každému dozorovému úřadu by měly být poskytnuty finanční a lidské zdroje, prostory a infrastruktura, které potřebuje pro účinné plnění svých úkolů, včetně úkolů souvisejících se vzájemnou pomocí a spoluprací s jinými dozorovými úřady v celé Unii. Každý dozorový úřad by měl mít samostatný roční veřejný rozpočet, který může být součástí celkového zemského nebo státního rozpočtu.

(78)

Dozorové úřady by měly podléhat nezávislým mechanismům kontroly nebo sledování, pokud jde o jejich finanční výdaje, za podmínky, že touto finanční kontrolou není dotčena jejich nezávislost.

(79)

Obecné podmínky pro člena nebo členy dozorového úřadu by měly být v každém členském státě upraveny právem členského státu, a zejména by měly stanovit, že tito členové mají být jmenováni transparentním způsobem parlamentem, vládou nebo hlavou dotčeného členského státu na návrh vlády, člena vlády, parlamentu nebo jeho komory, anebo nezávislým subjektem pověřeným právem členského státu. V zájmu zajištění nezávislosti dozorového úřadu by jeho člen nebo členové měli jednat poctivě a zdržet se jakéhokoliv jednání neslučitelného s výkonem jejich funkce a během svého funkčního období by neměli vykonávat žádnou výdělečnou ani nevýdělečnou pracovní činnost neslučitelnou s touto funkcí. V zájmu zajištění své nezávislosti by si měl dozorový úřad své zaměstnance vybírat sám, případně se zapojením nezávislého subjektu pověřeného právem členského státu.

(80)

Ačkoli se tato směrnice vztahuje také na činnosti vnitrostátních soudů a dalších justičních orgánů, neměla by se pravomoc dozorových úřadů vztahovat na zpracování osobních údajů soudy jednajícími v rámci svých justičních pravomocí, aby byla zachována nezávislost soudců při výkonu jejich justičních úkolů. Tato výjimka by měla být omezena na justiční činnosti v soudních řízeních a neměla by se vztahovat na jiné činnosti, do kterých mohou být soudci v souladu s právem členského státu zapojeni. Členské státy by rovněž měly mít možnost stanovit, že se pravomoc dozorového úřadu nevztahuje na zpracování osobních údajů jinými nezávislými justičními orgány jednajícími v rámci svých justičních pravomocí, například státním zastupitelstvím. Dodržování pravidel této směrnice soudy a jinými nezávislými justičními orgány by mělo být v každém případě vždy předmětem nezávislého dohledu podle čl. 8 odst. 3 Listiny.

(81)

Každý dozorový úřad by se měl zabývat stížnostmi podanými kterýmkoli subjektem údajů a danou záležitost buď prošetřit, nebo postoupit příslušnému dozorovému úřadu. Šetření, které následuje po podání stížnosti, by mělo být s výhradou soudního přezkumu provedeno v rozsahu, jenž je v daném případě přiměřený. Dozorový úřad by měl subjekt údajů v přiměřené lhůtě informovat o pokroku v řešení stížnosti a o jeho výsledku. Je-li v dané věci zapotřebí další šetření nebo koordinace s jiným dozorovým úřadem, měl by být subjekt údajů informován průběžně.

(82)

Aby se zajistilo účinné, spolehlivé a soudržné monitorování dodržování a prosazování této směrnice v celé Unii na základě Smlouvy o fungování EU, jak je vykládána Soudním dvorem, měly by mít dozorové úřady v každém členském státě tytéž úkoly a účinné pravomoci, včetně pravomocí provádět šetření, ukládat nápravná opatření a poskytovat poradenství, které jsou nezbytnými prostředky k plnění jejich úkolů. Jejich pravomoci by však neměly být v rozporu se zvláštními pravidly trestního řízení, včetně vyšetřování trestných činů a jejich stíhání, ani s nezávislostí soudů. Aniž jsou dotčeny pravomoci orgánů příslušných podávat obžalobu v trestním řízení podle vnitrostátního práva, měly by mít dozorové úřady rovněž pravomoc upozorňovat justiční orgány na porušení této směrnice nebo se obracet na soud. Pravomoci dozorových úřadů by měly být vykonávány v souladu s vhodnými procesními zárukami stanovenými právem Unie a členského státu nestranně, spravedlivě a v přiměřených lhůtách. Každé opatření by zejména mělo být vhodné, nezbytné a přiměřené, aby byl s přihlédnutím k okolnostem každého jednotlivého případu zajištěn soulad s touto směrnicí, mělo by respektovat právo všech osob být vyslechnuty dříve, než bude přijato jakékoliv individuální opatření, které by na ně mělo nepříznivý dopad, a nemělo by pro dotčené osoby znamenat zbytečné náklady a přílišné obtíže. Pravomoci provádět šetření, pokud jde o přístup do prostor, by měly být vykonávány v souladu s příslušnými požadavky práva členského státu, jako je například požadavek obstarat si předem soudní povolení. Přijetí právně závazného rozhodnutí by mělo podléhat soudnímu přezkumu v členském státě dozorového úřadu, který rozhodnutí přijal.

(83)

Dozorové úřady by si při plnění svých úkolů měly být vzájemně nápomocny, aby bylo zajištěno soudržné uplatňování a prosazování předpisů přijatých na základě této směrnice.

(84)

Sbor by měl přispívat k soudržnému uplatňování této směrnice v celé Unii, včetně poskytování poradenství Komisi a podpory spolupráce dozorových úřadů v celé Unii.

(85)

Každý subjekt údajů by měl mít právo podat stížnost u jediného dozorového úřadu a právo na účinnou soudní ochranu v souladu s článkem 47 Listiny, jestliže se domnívá, že byla porušena jeho práva vyplývající z předpisů přijatých na základě této směrnice, nebo pokud dozorový úřad na stížnost nereaguje, stížnost zcela či částečně zamítne či odmítne, nebo pokud nekoná, přestože je to nutné z důvodu ochrany práv subjektu údajů. Šetření, které následuje po podání stížnosti, by mělo být s výhradou soudního přezkumu provedeno v rozsahu, jenž je v daném případě přiměřený. Příslušný dozorový úřad by měl subjekt údajů v přiměřené lhůtě informovat o pokroku v řešení stížnosti a o jeho výsledku. Je-li v dané věci zapotřebí další šetření nebo koordinace s jiným dozorovým úřadem, měl by být subjekt údajů informován průběžně. S cílem usnadnit podávání stížností by měl každý dozorový úřad přijmout určitá opatření, například poskytnout formulář pro podání stížnosti, který lze vyplnit i elektronicky, aniž by byly vyloučeny další komunikační prostředky.

(86)

Každá fyzická nebo právnická osoba by měla mít právo podat u příslušného vnitrostátního soudu účinný prostředek nápravy proti rozhodnutí dozorového úřadu, které vůči ní zakládá právní účinky. Takové rozhodnutí se týká zejména výkonu šetřicích, nápravných a povolovacích pravomocí dozorovým úřadem nebo odmítnutí či zamítnutí stížností. Toto právo se však nevztahuje na další opatření dozorových úřadů, která nejsou právně závazná, jako jsou stanoviska vydávaná dozorovým úřadem nebo poradenství jím poskytované. Řízení proti dozorovému úřadu by mělo být zahájeno u soudů toho členského státu, v němž je daný dozorový úřad zřízen, a mělo by probíhat podle práva tohoto členského státu. Tyto soudy by měly vykonávat soudní pravomoc v plném rozsahu, která by měla zahrnovat pravomoc řešit všechny skutkové a právní otázky, které jsou pro jimi projednávaný spor relevantní.

(87)

Pokud se subjekt údajů domnívá, že jeho práva podle této směrnice byla porušena, měl by být oprávněn pověřit určitý subjekt, jehož cílem je chránit práva a zájmy subjektů údajů v souvislosti s ochranou jejich osobních údajů a jenž byl řádně zřízen podle práva členského státu, aby podal jeho jménem stížnost u dozorového úřadu a uplatnil právo na soudní ochranu. Právem na zastupování subjektů údajů by nemělo být dotčeno procesní právo členského státu, které může vyžadovat povinné zastupování subjektů údajů advokátem u vnitrostátních soudů, jak je vymezeno ve směrnici Rady77/249/EHS (10).

(88)

Veškerou újmu, která může osobám vzniknout v důsledku zpracování, které porušuje předpisy přijaté na základě této směrnice, by měl nahradit správce nebo jakýkoliv jiný orgán příslušný podle práva členského státu. Výklad pojmu „újma“ by měl být široký a opírat se o judikaturu Soudního dvora při plném zohlednění cílů této směrnice. Tím nejsou dotčeny jakékoliv nároky uplatňované v případě újmy způsobené porušením jiných pravidel práva Unie nebo členského státu. Odkazuje-li se na zpracování, které je protiprávní nebo je porušuje předpisy přijaté na základě této směrnice, rozumí se tím rovněž zpracování, které porušuje prováděcí akty přijaté podle této směrnice. Subjekty údajů by měly obdržet plnou a účinnou náhradu újmy, kterou utrpěly.

(89)

Každé fyzické nebo veřejnoprávní či soukromoprávní právnické osobě, která poruší tuto směrnici, by měly být uloženy sankce. Členské státy by měly zajistit, aby byly tyto sankce účinné, přiměřené a odrazující, a měly by přijmout všechna opatření pro jejich uplatňování.

(90)

V zájmu zajištění jednotných podmínek k provedení této směrnice by měly být Komisi svěřeny prováděcí pravomoci, pokud jde o odpovídající úroveň ochrany poskytované určitou třetí zemí, určitým územím či konkrétním odvětvím v určité třetí zemi nebo určitou mezinárodní organizací, o formát a postupy pro vzájemnou pomoc a o úpravu elektronické výměny informací mezi dozorovými úřady navzájem a mezi dozorovými úřady a sborem. Tyto pravomoci by měly být vykonávány v souladu s nařízením Evropského parlamentu a Rady (EU) č. 182/2011 (11).

(91)

Pro přijímání prováděcích aktů týkajících se odpovídající úrovně ochrany poskytované určitou třetí zemí, určitým územím či konkrétním odvětvím v určité třetí zemi nebo určitou mezinárodní organizací, formátu a postupů pro vzájemnou pomoc a úpravy elektronické výměny informací mezi dozorovými úřady navzájem a mezi dozorovými úřady a sborem by se měl vzhledem k tomu, že se jedná o akty s obecnou působností, použít přezkumný postup.

(92)

Je-li to nezbytné v závažných, naléhavých a řádně odůvodněných případech týkajících se určité třetí země, určitého území či konkrétního odvětví v určité třetí zemi nebo určité mezinárodní organizace, které již nezajišťují odpovídající úroveň ochrany, měla by Komise přijmout okamžitě použitelné prováděcí akty.

(93)

Jelikož cílů této směrnice, totiž ochrany základních práv a svobod fyzických osob, a zejména jejich práva na ochranu osobních údajů, a zajištění volného pohybu osobních údajů mezi příslušnými orgány v rámci Unie, nemůže být uspokojivě dosaženo členskými státy, ale spíše jich z důvodu rozsahu či účinků tohoto opatření může být lépe dosaženo na úrovni Unie, může Unie přijmout opatření v souladu se zásadou subsidiarity stanovenou v článku 5 Smlouvy o EU. V souladu se zásadou proporcionality stanovenou v uvedeném článku nepřekračuje tato směrnice rámec toho, co je nezbytné pro dosažení těchto cílů.

(94)

Konkrétní ustanovení aktů Unie v oblasti justiční spolupráce v trestních věcech a policejní spolupráce přijatých přede dnem přijetí této směrnice, jež upravují zpracování osobních údajů mezi členskými státy nebo přístup určených orgánů členských států do informačních systémů zřízených podle Smluv, by měla zůstat nedotčena, jako například zvláštní ustanovení o ochraně osobních údajů uplatňovaná podle rozhodnutí Rady 2008/615/SVV (12) nebo článek 23 Úmluvy o vzájemné pomoci v trestních věcech mezi členskými státy Evropské unie (13). Vzhledem k tomu, že článek 8 Listiny a článek 16 Smlouvy o fungování EU vyžadují, aby základní právo na ochranu osobních údajů bylo zajištěno soudržným způsobem v celé Unii, by Komise měla s cílem posoudit, zda je třeba tato konkrétní ustanovení uvést v soulad s touto směrnicí, vyhodnotit situaci, pokud jde o vztah mezi touto směrnicí a akty přijatými přede dnem jejího přijetí, jež upravují zpracování osobních údajů mezi členskými státy nebo přístup určených orgánů členských států do informačních systémů zřízených podle Smluv. V případě potřeby by měla Komise předložit návrhy za účelem zajištění vzájemného souladu právních předpisů týkajících se zpracování osobních údajů.

(95)

V zájmu zajištění komplexní a soudržné ochrany osobních údajů v Unii by mezinárodní dohody, které členské státy uzavřely přede dnem vstupu této směrnice v platnost a které jsou v souladu s příslušným právem Unie použitelným před uvedeným dnem, měly zůstat v platnosti, dokud nebudou změněny, nahrazeny či zrušeny.

(96)

Členským státům by k provedení této směrnice měla být poskytnuta lhůta ne delší než dva roky ode dne jejího vstupu v platnost. Zpracování, které již k uvedenému dni probíhá, by mělo být uvedeno v soulad s touto směrnicí do dvou let ode dne vstupu této směrnice v platnost. Pokud je však toto zpracování v souladu s právem Unie platným přede dnem vstupu této směrnice v platnost, neměly by se požadavky této směrnice týkající se předběžné konzultace dozorového úřadu vztahovat na operace zpracování, které již probíhaly před uvedeným dnem, neboť tyto požadavky musejí být ze své podstaty splněny před zpracováním. Pokud členské státy využijí delší období provádění pro splnění povinností ohledně vedení logů pro automatizované systémy zpracování zavedené přede dnem vstupu této směrnice v platnost, které skončí sedm let po uvedeném dni, měl by mít správce nebo zpracovatel zavedeny účinné způsoby dokládání zákonnosti zpracování, umožnění vlastní kontroly a zajištění neporušenosti a zabezpečení údajů, jako jsou logy nebo jiné formy záznamů.

(97)

Touto směrnicí nejsou dotčena pravidla pro boj proti pohlavnímu zneužívání a pohlavnímu vykořisťování dětí a proti dětské pornografii stanovená ve směrnici Evropského parlamentu a Rady 2011/93/EU (14).

(98)

Rámcové rozhodnutí 2008/977/SVV by proto mělo být zrušeno.

(99)

V souladu s článkem 6a Protokolu č. 21 o postavení Spojeného království a Irska s ohledem na prostor svobody, bezpečnosti a práva, připojeného ke Smlouvě o EU a Smlouvě o fungování EU, nejsou Spojené království a Irsko vázány pravidly stanovenými v této směrnici, která se týkají zpracování osobních údajů členskými státy, vykonávají-li činnosti spadající do oblasti působnosti části třetí hlavy V kapitoly 4 nebo 5 Smlouvy o fungování EU, pokud nejsou vázány pravidly Unie upravujícími formy justiční spolupráce v trestních věcech nebo policejní spolupráce, v jejichž rámci musí být dodržována pravidla přijatá na základě článku 16 Smlouvy o fungování EU.

(100)

V souladu s články 2 a 2a Protokolu č. 22 o postavení Dánska, připojeného ke Smlouvě o EU a Smlouvě o fungování EU, nejsou pro Dánsko závazná ani použitelná pravidla stanovená v této směrnici, která se týkají zpracování osobních údajů členskými státy, vykonávají-li činnosti spadající do oblasti působnosti části třetí hlavy V kapitoly 4 nebo 5 Smlouvy o fungování EU. Vzhledem k tomu, že tato směrnice navazuje na schengenské acquis podle části třetí hlavy V Smlouvy o fungování EU, rozhodne se Dánsko v souladu s článkem 4 uvedeného protokolu do šesti měsíců od přijetí této směrnice, zda ji provede ve svém vnitrostátním právu.

(101)

Pokud jde o Island a Norsko, rozvíjí tato směrnice ustanovení schengenského acquis ve smyslu Dohody uzavřené mezi Radou Evropské unie a Islandskou republikou a Norským královstvím o přidružení těchto dvou států k provádění, uplatňování a rozvoji schengenského acquis  (15).

(102)

Pokud jde o Švýcarsko, rozvíjí tato směrnice ustanovení schengenského acquis ve smyslu Dohody mezi Evropskou unií, Evropským společenstvím a Švýcarskou konfederací o přidružení Švýcarské konfederace k provádění, uplatňování a rozvoji schengenského acquis  (16).

(103)

Pokud jde o Lichtenštejnsko, rozvíjí tato směrnice ustanovení schengenského acquis ve smyslu Protokolu mezi Evropskou unií, Evropským společenstvím, Švýcarskou konfederací a Lichtenštejnským knížectvím o přistoupení Lichtenštejnského knížectví k Dohodě mezi Evropskou unií, Evropským společenstvím a Švýcarskou konfederací o přidružení Švýcarské konfederace k provádění, uplatňování a rozvoji schengenského acquis  (17).

(104)

Tato směrnice ctí základní práva a dodržuje zásady uznávané v Listině, jak jsou zakotveny ve Smlouvě o fungování EU, zejména právo na respektování soukromého a rodinného života, právo na ochranu osobních údajů, právo na účinnou právní ochranu a spravedlivý proces. Omezení výkonu těchto práv jsou v souladu s čl. 52 odst. 1 Listiny, neboť jsou nezbytná pro plnění cílů obecného zájmu, které uznává Unie, nebo naplnění potřeby ochrany práv a svobod druhého.

(105)

Členské státy se v souladu se společným politickým prohlášením členských států a Komise ze dne 28. září 2011 o informativních dokumentech zavázaly, že v odůvodněných případech doplní oznámení o opatřeních přijatých za účelem provedení směrnice ve vnitrostátním právu o jeden či více dokumentů s informacemi o vztahu mezi jednotlivými složkami směrnice a příslušnými částmi vnitrostátních opatření přijatých za účelem provedení směrnice ve vnitrostátním právu. V případě této směrnice považuje normotvůrce předložení těchto dokumentů za odůvodněné.

(106)

Evropský inspektor ochrany údajů byl konzultován v souladu s čl. 28 odst. 2 nařízení (ES) č. 45/2001 a vydal stanovisko dne 7. března 2012 (18).

(107)

Tato směrnice by neměla členským státům bránit v tom, aby výkon práv subjektů údajů na informace, přístup k osobním údajům, jejich opravu nebo výmaz a omezení zpracování v průběhu trestního řízení, a případná omezení výkonu těchto práv provedly ve vnitrostátních předpisech upravujících trestní řízení,

PŘIJALY TUTO SMĚRNICI:

KAPITOLA I

Obecná ustanovení

Článek 1

Předmět a cíle

1.   Tato směrnice stanoví pravidla týkající se ochrany fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení.

2.   Členské státy v souladu s touto směrnicí:

a)

chrání základní práva a svobody fyzických osob, zejména jejich právo na ochranu osobních údajů, a

b)

zajišťují, aby výměna osobních údajů příslušnými orgány uvnitř Unie, pokud je vyžadována právem Unie nebo členského státu, nebyla omezována ani zakazována z důvodů ochrany fyzických osob v souvislosti se zpracováním osobních údajů.

3.   Tato směrnice nebrání členským státům v tom, aby poskytovaly přísnější záruky ochrany práv a svobod subjektu údajů v souvislosti se zpracováním osobních údajů příslušnými orgány, než jaké stanoví tato směrnice.

Článek 2

Oblast působnosti

1.   Tato směrnice se vztahuje na zpracování osobních údajů příslušnými orgány pro účely uvedené v čl. 1 odst. 1.

2.   Tato směrnice se vztahuje na zcela nebo částečně automatizované zpracování osobních údajů a na neautomatizované zpracování těch osobních údajů, které jsou obsaženy v evidenci nebo do ní mají být zařazeny.

3.   Tato směrnice se nevztahuje na zpracování osobních údajů prováděné:

a)

při výkonu činností, které nespadají do oblasti působnosti práva Unie;

b)

orgány, institucemi a jinými subjekty Unie.

Článek 3

Definice

Pro účely této směrnice se rozumějí:

1)

„osobními údaji“ veškeré informace o identifikované nebo identifikovatelné fyzické osobě (dále jen „subjekt údajů“); identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména s odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby;

2)

„zpracováním“ jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení;

3)

„omezením zpracování“ označení uložených osobních údajů za účelem omezení jejich zpracování v budoucnu;

4)

„profilováním“ jakákoli forma automatizovaného zpracování osobních údajů spočívající v jejich použití k hodnocení některých osobních aspektů vztahujících se k fyzické osobě, zejména k rozboru nebo odhadu aspektů týkajících se jejího pracovního výkonu, ekonomické situace, zdravotního stavu, osobních preferencí, zájmů, spolehlivosti, chování, místa, kde se nachází, nebo pohybu;

5)

„pseudonymizací“ zpracování osobních údajů tak, že již nemohou být přiřazeny konkrétnímu subjektu údajů bez použití dodatečných informací, pokud jsou tyto dodatečné informace uchovávány odděleně a vztahují se na ně technická a organizační opatření, aby bylo zajištěno, že nebudou přiřazeny identifikované či identifikovatelné fyzické osobě;

6)

„evidencí“ jakýkoliv strukturovaný soubor osobních údajů přístupných podle zvláštních kritérií, ať již je centralizovaný, decentralizovaný, nebo rozdělený podle funkčního či zeměpisného hlediska;

7)

„příslušným orgánem“:

a)

jakýkoliv orgán veřejné moci příslušný k prevenci, vyšetřování, odhalování či stíhání trestných činů či výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení; nebo

b)

jakýkoliv jiný orgán nebo subjekt pověřený právem členského státu plnit veřejnou funkci a vykonávat veřejnou moc pro účely prevence, vyšetřování, odhalování či stíhání trestných činů či výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení;

8)

„správcem“ příslušný orgán, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů; jsou-li účely a prostředky tohoto zpracování určeny právem Unie či členského státu, může toto právo určit dotčeného správce nebo zvláštní kritéria pro jeho určení;

9)

„zpracovatelem“ fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce;

10)

„příjemcem“ fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, kterým jsou osobní údaje poskytnuty, ať už se jedná o třetí stranu, či nikoli. Avšak orgány veřejné moci, které mohou získávat osobní údaje v rámci zvláštního šetření v souladu s právem členského státu, se za příjemce nepovažují; zpracování těchto osobních údajů těmito orgány veřejné moci musí být v souladu s použitelnými pravidly pro ochranu údajů v souladu s účely zpracování;

11)

„porušením zabezpečení osobních údajů“ porušení zabezpečení, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně či neoprávněnému poskytnutí nebo zpřístupnění předávaných, uložených nebo jinak zpracovávaných osobních údajů;

12)

„genetickými údaji“ osobní údaje týkající se zděděných nebo získaných genetických znaků fyzické osoby, které poskytují jedinečné informace o její fyziologii či zdravotním stavu a které vyplývají zejména z analýzy biologického vzorku dotčené fyzické osoby;

13)

„biometrickými údaji“ osobní údaje vyplývající z konkrétního technického zpracování týkající se fyzických či fyziologických znaků nebo znaků chování fyzické osoby, které umožňuje nebo potvrzuje její jedinečnou identifikaci, například zobrazení obličeje nebo daktyloskopické údaje;

14)

„údaji o zdravotním stavu“ osobní údaje týkající se tělesného nebo duševního zdraví fyzické osoby, včetně údajů o poskytnutí zdravotních služeb, které vypovídají o jejím zdravotním stavu;

15)

„dozorovým úřadem“ nezávislý orgán veřejné moci zřízený členským státem podle článku 41;

16)

„mezinárodní organizací“ organizace a jí podřízené subjekty podléhající mezinárodnímu právu veřejnému nebo jiný subjekt zřízený dohodou mezi dvěma nebo více zeměmi nebo na jejím základě.

KAPITOLA II

Zásady

Článek 4

Zásady zpracování osobních údajů

1.   Členské státy zajistí, aby byly osobní údaje:

a)

zpracovávány zákonným a korektním způsobem;

b)

shromažďovány pro určité, výslovně vyjádřené a legitimní účely a nebyly zpracovávány způsobem, který je s těmito účely neslučitelný;

c)

přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelům, pro které jsou zpracovávány;

d)

přesné a v případě potřeby aktualizované; musí být přijata veškerá rozumná opatření zajišťující, aby osobní údaje, které jsou nepřesné s přihlédnutím k účelům, pro které jsou zpracovávány, byly bezodkladně vymazány nebo opraveny;

e)

uchovávány ve formě umožňující identifikaci subjektů údajů po dobu ne delší, než je nezbytné pro účely, pro které jsou zpracovávány;

f)

zpracovávány způsobem, který zajistí náležité zabezpečení osobních údajů, včetně jejich ochrany pomocí vhodných technických nebo organizačních opatření před neoprávněným či protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením.

2.   Zpracování stejným nebo jiným správcem pro kterýkoli účel uvedený v čl. 1 odst. 1 jiný než účel, pro nějž byly osobní údaje shromážděny, je přípustné, pokud:

a)

je správce oprávněn zpracovávat takové osobní údaje pro takový účel v souladu s právem Unie či členského státu a

b)

je zpracování pro tento jiný účel nezbytné a přiměřené v souladu s právem Unie či členského státu.

3.   Zpracování stejným nebo jiným správcem může zahrnovat archivaci ve veřejném zájmu či vědecké, statistické či historické použití pro účely uvedené v čl. 1 odst. 1, s výhradou vhodných záruk pro práva a svobody subjektů údajů.

4.   Správce odpovídá za dodržení odstavců 1, 2 a 3 a musí být schopen toto dodržení doložit.

Článek 5

Doba uložení osobních údajů a přezkum

Členské státy stanoví, že budou určeny přiměřené lhůty pro výmaz osobních údajů nebo pro pravidelný přezkum potřeby uložení osobních údajů. Jejich dodržování zajistí procesní opatření.

Článek 6

Rozlišování mezi různými kategoriemi subjektů údajů

Členské státy stanoví, že správce, v příslušných případech a pokud je to možné, musí jasně rozlišovat mezi osobními údaji různých kategorií subjektů údajů, například:

a)

osob, u nichž existují závažné důvody se domnívat, že spáchaly trestný čin nebo se jej chystají spáchat;

b)

osob odsouzených za trestný čin;

c)

osob, které se staly obětí trestného činu nebo u kterých některé skutečnosti vedou k domněnce, že by obětí trestného činu mohly být, a

d)

třetích stran v souvislosti s trestným činem, například osob, které by mohly být předvolány jako svědci při vyšetřování trestného činu nebo při následném trestním řízení nebo které mohou poskytnout informace o trestných činech, nebo kontaktních osob či společníků některé z osob uvedených v písmenech a) a b).

Článek 7

Rozlišování mezi osobními údaji a ověřování jejich kvality

1.   Členské státy stanoví, že se pokud možno rozlišují osobní údaje založené na skutečnostech od osobních údajů založených na osobních hodnoceních.

2.   Členské státy stanoví, že příslušné orgány učiní veškerá rozumná opatření s cílem zajistit, aby nebyly předávány ani zpřístupňovány osobní údaje, které jsou nepřesné, neúplné nebo již nejsou aktuální. Za tímto účelem každý příslušný orgán ověří, pokud je to proveditelné, kvalitu osobních údajů před jejich předáním nebo zpřístupněním. Při každém předání osobních údajů se k nim pokud možno doplní nezbytné informace, jež umožní přijímajícímu příslušnému orgánu zhodnotit míru jejich přesnosti, úplnosti, spolehlivosti a aktuálnosti.

3.   Zjistí-li se, že došlo k předání nesprávných osobních údajů nebo že údaje byly předány protiprávně, musí o tom být příjemce neprodleně vyrozuměn. V takovém případě musí být osobní údaje opraveny nebo vymazány nebo být omezeno zpracování v souladu s článkem 16.

Článek 8

Zákonnost zpracování

1.   Členské státy stanoví, že zpracování je zákonné, pouze pokud je nezbytné ke splnění úkolu prováděného příslušným orgánem pro účely stanovené v čl. 1 odst. 1 a v rozsahu nezbytném pro tyto účely a pokud má základ v právu Unie nebo členského státu.

2.   Právo členského státu upravující zpracování v oblasti působnosti této směrnice stanoví alespoň cíle zpracování, osobní údaje, jež mají být zpracovány, a účely zpracování.

Článek 9

Zvláštní podmínky pro zpracování

1.   Osobní údaje shromážděné příslušnými orgány pro účely uvedené v čl. 1 odst. 1 nesmějí být zpracovávány pro účely neuvedené v čl. 1 odst. 1, ledaže takové zpracování povoluje právo Unie nebo členského státu. Na zpracování osobních údajů pro tyto jiné účely se použije nařízení (EU) 2016/679, ledaže se zpracování provádí v rámci činností, které nespadají do oblasti působnosti práva Unie.

2.   Pokud právo členského státu pověřuje příslušné orgány plněním jiných úkolů, než jsou úkoly pro účely uvedené v čl. 1 odst. 1, použije se na zpracování pro tyto účely, včetně pro účely archivace ve veřejném zájmu nebo pro vědecké, statistické či historické použití, nařízení (EU) 2016/679, ledaže se zpracování provádí v rámci činností, které nespadají do oblasti působnosti práva Unie.

3.   Členské státy stanoví, že v případech, kdy právo Unie nebo členského státu použitelné pro předávající příslušný orgán stanoví zvláštní podmínky pro zpracování, uvědomí tento orgán příjemce takových osobních údajů o těchto podmínkách a o nutnosti je dodržovat.

4.   Členské státy stanoví, že předávající příslušný orgán nepoužije na příjemce v jiných členských státech nebo na agentury, úřady a jiné subjekty zřízené podle hlavy V kapitol 4 a 5 Smlouvy o fungování EU jiné podmínky podle odstavce 3 než ty, které platí pro obdobné předávání údajů uvnitř členského státu předávajícího příslušného orgánu.

Článek 10

Zpracování zvláštních kategorií osobních údajů

Zpracování osobních údajů, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filosofickém přesvědčení nebo členství v odborech, a zpracovaní genetických údajů, biometrických údajů za účelem jedinečné identifikace fyzické osoby, údajů o zdravotním stavu nebo údajů o sexuálním životě či sexuální orientaci fyzické osoby je povoleno pouze tehdy, pokud je zcela nezbytné, pokud existují vhodné záruky práv a svobod subjektu údajů a:

a)

pokud je povoleno právem Unie nebo členského státu;

b)

na ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby; nebo

c)

pokud se týká údajů zjevně zveřejněných subjektem údajů.

Článek 11

Automatizované individuální rozhodování

1.   Členské státy stanoví, že rozhodování založené výhradně na automatizovaném zpracování včetně profilování, které má pro subjekt údajů nepříznivé právní účinky nebo se ho významně dotýká, je zakázáno, není-li povoleno právem Unie nebo členského státu, kterému správce podléhá a jež poskytuje vhodné záruky práv a svobod subjektu údajů, alespoň práva na lidský zásah ze strany správce.

2.   Rozhodnutí uvedená v odstavci 1 tohoto článku se nesmějí opírat o zvláštní kategorie osobních údajů uvedené v článku 10, pokud nejsou k dispozici vhodná opatření zajišťující ochranu práv a svobod a oprávněných zájmů subjektu údajů.

3.   Profilování, které vede k diskriminaci fyzických osob na základě zvláštních kategorií osobních údajů uvedených v článku 10, je v souladu s právem Unie zakázáno.

KAPITOLA III

Práva subjektu údajů

Článek 12

Sdělení a postupy pro výkon práv subjektu údajů

1.   Členské státy stanoví, že správce podnikne všechny přiměřené kroky k tomu, aby subjektu údajů poskytl stručným, srozumitelným a snadno přístupným způsobem za použití jasných a jednoduchých jazykových prostředků veškeré informace uvedené v článku 13 a učinil veškerá sdělení s ohledem na články 11, 14 až 18 a 31 o zpracování. Informace jsou poskytovány jakýmikoliv vhodnými prostředky, a to i v elektronické formě. Obecně platí, že správce poskytne informace ve stejné podobě jako žádost.

2.   Členské státy stanoví, že správce usnadňuje výkon práv subjektu údajů podle článků 11 a 14 až 18.

3.   Členské státy stanoví, že správce písemně bez zbytečného odkladu informuje subjekt údajů o tom, jaké kroky se podnikají v návaznosti na jeho žádost.

4.   Členské státy stanoví, že informace podle článku 13 a veškerá sdělení a veškeré úkony podle článků 11, 14 až 18 a 31 jsou poskytovány a činěny bezplatně. Jsou-li žádosti podané subjektem údajů zjevně nedůvodné nebo nepřiměřené, zejména protože se opakují, může správce buď:

a)

uložit přiměřený poplatek zohledňující administrativní nákladů spojené s poskytnutím požadovaných informací nebo sdělení nebo učinění požadovaných úkonů; nebo

b)

odmítnout žádosti vyhovět.

Zjevnou nedůvodnost nebo nepřiměřenost žádosti v takových případech dokládá správce.

5.   Pokud má správce důvodné pochybnosti o totožnosti fyzické osoby, která podává žádost podle článku 14 nebo 16, může požádat o poskytnutí dodatečných informací nezbytných k potvrzení totožnosti subjektu údajů.

Článek 13

Informace poskytované subjektu údajů

1.   Členské státy stanoví, že správce poskytuje subjektu údajů alespoň:

a)

údaje o totožnosti a kontaktní údaje správce;

b)

kontaktní údaje případného pověřence pro ochranu osobních údajů;

c)

informace o účelech zpracování, pro které jsou osobní údaje určeny;

d)

informace o právu podat stížnost u příslušného dozorovému úřadu a kontaktní údaje tohoto úřadu;

e)

informace o existenci práva požadovat od správce přístup k osobním údajům týkajícím se subjektu údajů, jejich opravu nebo výmaz anebo omezení jejich zpracování.

2.   Členské státy právním předpisem stanoví, že ve zvláštních případech poskytne správce subjektu údajů vedle informací uvedených v odstavci 1 tyto další informace s cílem umožnit výkon jeho práv:

a)

právní základ zpracování;

b)

dobu, po kterou budou osobní údaje uloženy, nebo není-li ji možné určit, kritéria použitá ke stanovení této doby;

c)

případné kategorie příjemců daných osobních údajů, včetně příjemců ve třetích zemích nebo v mezinárodních organizacích;

d)

v případě potřeby doplňující informace, zejména jsou-li osobní údaje sebrány bez vědomí subjektu údajů.

3.   Členské státy mohou přijmout legislativní opatření, aby poskytnutí informací subjektu údajů podle odstavce 2 odložily, omezily či od něho upustily, v takovém rozsahu a na takovou dobu, jak je to v demokratické společnosti s náležitým přihlédnutím k základním právům a oprávněným zájmům dotčené fyzické osoby nutné a přiměřené, s cílem:

a)

zabránit maření úředních nebo právních šetření, vyšetřování nebo postupů;

b)

zabránit nepříznivému ovlivňování prevence, odhalování, vyšetřování či stíhání trestných činů nebo výkonu trestů;

c)

chránit veřejnou bezpečnost;

d)

chránit národní bezpečnost;

e)

chránit práva a svobody druhých.

4.   Členské státy mohou přijmout legislativní opatření s cílem určit kategorie zpracování, na něž se může plně nebo částečně vztahovat některé z písmen uvedených v odstavci 3.

Článek 14

Právo subjektu údajů na přístup k osobním údajům

S výhradou článku 15 členské státy stanoví, že subjekt údajů má právo získat od správce potvrzení, zda osobní údaje, které se ho týkají, jsou či nejsou zpracovávány, a pokud je tomu tak, má právo získat přístup k těmto osobním údajům a k následujícím informacím:

a)

účely a právní základ zpracování;

b)

kategorie dotčených osobních údajů;

c)

příjemci nebo kategorie příjemců, kterým byly osobní údaje zpřístupněny, zejména příjemci ve třetích zemích nebo v mezinárodních organizacích;

d)

pokud možno předpokládaná doba, po kterou budou osobní údaje uloženy, nebo není-li ji možné určit, kritéria použitá ke stanovení této doby;

e)

existence práva požadovat od správce opravu nebo výmaz osobních údajů týkajících se subjektu údajů nebo omezení jejich zpracování;

f)

právo podat stížnost u dozorového úřadu a kontaktní údaje tohoto úřadu;

g)

sdělení osobních údajů, které jsou předmětem zpracování, a veškerých dostupných informací o jejich původu.

Článek 15

Omezení práva na přístup

1.   Členské státy mohou přijmout legislativní opatření, která přístup subjektů údajů k informacím úplně nebo částečně omezují v takovém rozsahu a na takovou dobu, jak je to v demokratické společnosti s náležitým přihlédnutím k základním právům a oprávněným zájmům dotčené fyzické osoby nutné a přiměřené, s cílem:

a)

zabránit maření úředních nebo právních šetření, vyšetřování nebo postupů;

b)

zabránit nepříznivému ovlivňování prevence, odhalování, vyšetřování či stíhání trestných činů nebo výkonu trestů;

c)

chránit veřejnou bezpečnost;

d)

chránit národní bezpečnost;

e)

chránit práva a svobody druhých.

2.   Členské státy mohou přijmout legislativní opatření s cílem určit kategorie zpracování, na něž se mohou plně nebo částečně vztahovat výjimky podle odstavce 1.

3.   V případech uvedených v odstavcích 1 a 2 členské státy zajistí, aby správce bez zbytečného odkladu písemně informoval subjekt údajů o jakémkoli odmítnutí nebo omezení přístupu a o důvodech tohoto odmítnutí nebo omezení. Tyto informace není třeba uvádět, pokud by jejich poskytnutí ohrožovalo některý z účelů podle odstavce 1. Členské státy stanoví, že správce informuje subjekty údajů o možnosti podat stížnost u dozorového úřadu nebo žádat soudní ochranu.

4.   Členské státy stanoví, že správce zdokumentuje věcné či právní důvody, na nichž se rozhodnutí zakládá. Tyto informace se zpřístupní dozorovým úřadům.

Článek 16

Právo na opravu nebo výmaz osobních údajů a omezení zpracování

1.   Členské státy stanoví, že subjekt údajů má právo požadovat na správci opravu nepřesných osobních údajů, které se ho týkají, a to bez zbytečného odkladu. S přihlédnutím k účelům zpracování členské státy stanoví, že subjekt údajů má právo na doplnění neúplných osobních údajů, a to i poskytnutím dodatečného prohlášení.

2.   Členské státy vyžadují po správci, aby vymazal osobní údaje bez zbytečného odkladu, a stanoví právo subjektu údajů požadovat po správci, aby bez zbytečného odkladu vymazal osobní údaje, které se ho týkají, jestliže zpracování porušuje předpisy přijaté na základě článku 4, 8 nebo 10 nebo jestliže osobní údaje musí být vymazány ke splnění právní povinnosti správce.

3.   Namísto výmazu osobních údajů správce omezí zpracování:

a)

zpochybňuje-li subjekt údajů přesnost osobního údaje a nelze-li ji ověřit; nebo

b)

musí-li být dané osobní údaje uchovány pro účely dokazování.

Pokud je zpracování omezeno ve smyslu prvního pododstavce písm. a), informuje správce subjekt údajů před zrušením omezení zpracování.

4.   Členské státy stanoví, že správce informuje subjekt údajů písemně o jakémkoli odmítnutí opravy či výmazu osobních údajů nebo omezení zpracování a o důvodech tohoto odmítnutí. Členské státy mohou přijmout legislativní opatření, která povinnost poskytnout tyto informace úplně nebo částečně omezují v takovém rozsahu, jak je to v demokratické společnosti s náležitým přihlédnutím k základním právům a oprávněným zájmům dotčené fyzické osoby nutné a přiměřené, s cílem:

a)

zabránit maření úředních nebo právních šetření, vyšetřování nebo postupů;

b)

zabránit nepříznivému ovlivňování prevence, odhalování, vyšetřování či stíhání trestných činů nebo výkonu trestů;

c)

chránit veřejnou bezpečnost;

d)

chránit národní bezpečnost;

e)

chránit práva a svobody druhých.

Členské státy stanoví, že správce informuje subjekty údajů o možnosti podat stížnost u dozorového úřadu nebo žádat soudní ochranu.

5.   Členské státy stanoví, že správce uvědomí o opravě nepřesných osobních údajů příslušný orgán, od nějž tyto nepřesné osobní údaje pocházejí.

6.   Členské státy stanoví, že v případech, kdy byly osobní údaje opraveny nebo vymazány nebo zpracování bylo omezeno podle odstavců 1, 2 a 3, správce vyrozumí příjemce a příjemci tyto osobní údaje opraví či vymaží nebo omezí zpracování osobních údajů, za které odpovídají.

Článek 17

Výkon práv subjektem údajů a ověřování prováděná dozorovým úřadem

1.   V případech uvedených v čl. 13 odst. 3, čl. 15 odst. 3 a čl. 16 odst. 4 členské státy přijmou opatření, která zajistí, aby práva subjektu údajů bylo možné vykonávat rovněž prostřednictvím příslušného dozorového úřadu.

2.   Členské státy stanoví, že správce informuje subjekt údajů o možnosti vykonávat svá práva prostřednictvím dozorového úřadu podle odstavce 1.

3.   V případě výkonu práva podle odstavce 1 informuje dozorový úřad subjekt údajů přinejmenším o tom, že provedl veškerá nezbytná ověření nebo přezkum. Dozorový úřad rovněž subjekt údajů informuje o jeho právu žádat soudní ochranu.

Článek 18

Práva subjektu údajů při trestním vyšetřování a řízení

Členské státy mohou stanovit, že se výkon práv uvedených v článcích 13, 14 a 16 provádí v souladu s právem členského státu, pokud jsou osobní údaje obsaženy v soudním rozhodnutí nebo v záznamu nebo ve spisu zpracovávaném v průběhu trestního vyšetřování a řízení.

KAPITOLA IV

Správce a zpracovatel

Oddíl 1

Obecné povinnosti

Článek 19

Povinnosti správce

1.   Členské státy stanoví, že správce s přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob zavede vhodná technická a organizační opatření, aby zajistil a byl schopen doložit, že zpracování je prováděno v souladu s touto směrnicí. Tato opatření musí být podle potřeby revidována a aktualizována.

2.   Pokud je to s ohledem na činnosti zpracování přiměřené, zahrnují opatření uvedená v odstavci 1 uplatňování vhodných koncepcí v oblasti ochrany údajů správcem.

Článek 20

Záměrná a standardní ochrana osobních údajů

1.   Členské státy stanoví, že správce s přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob, jež s sebou zpracování nese, zavede jak v době určení prostředků pro zpracování, tak v době zpracování samotného vhodná technická a organizační opatření, jako je pseudonymizace, jejichž účelem je provádět zásady ochrany údajů, jako je minimalizace údajů, účinným způsobem a začlenit do zpracování nezbytné záruky, tak aby splnil požadavky této směrnice a ochránil práva subjektů údajů.

2.   Členské státy stanoví, že správce zavede vhodná technická a organizační opatření k zajištění toho, aby se standardně zpracovávaly pouze osobní údaje, jež jsou pro každý konkrétní účel daného zpracování nezbytné. Tato povinnost se týká množství shromážděných osobních údajů, rozsahu jejich zpracování, doby jejich uložení a jejich dostupnosti. Tato opatření zejména zajistí, aby osobní údaje nebyly standardně bez zásahu člověka zpřístupněny neomezenému počtu fyzických osob.

Článek 21

Společní správci

1.   Členské státy stanoví, že dva nebo více správců, kteří společně stanoví účely a prostředky zpracování, jsou společnými správci. Ti mezi sebou transparentním ujednáním vymezí své podíly na odpovědnosti za dodržování této směrnice, zejména pokud jde o výkon práv subjektu údajů, a své povinnosti poskytovat informace uvedené v článku 13, pokud tuto odpovědnost správců nestanoví právo Unie nebo členského státu, jemuž správci podléhají. V ujednání se určí kontaktní místo pro subjekty údajů. Členské státy mohou určit, který ze společných správců může působit jako jediné kontaktní místo, u kterého mohou subjekty údajů vykonávat svá práva.

2.   Bez ohledu na podmínky ujednání uvedeného v odstavci 1 mohou členské státy stanovit, že subjekt údajů může vykonávat svá práva podle předpisů přijatých na základě této směrnice u každého ze správců i vůči každému z nich.

Článek 22

Zpracovatel

1.   Členské státy stanoví, že v případě, že má být zpracování provedeno pro správce, využije správce pouze ty zpracovatele, kteří poskytují dostatečné záruky zavedení vhodných technických a organizačních opatření tak, aby dané zpracování splňovalo požadavky této směrnice a aby byla zajištěna ochrana práv subjektu údajů.

2.   Členské státy stanoví, že zpracovatel nezapojí do zpracování žádného dalšího zpracovatele bez předchozího konkrétního nebo obecného písemného povolení správce. V případě obecného písemného povolení zpracovatel správce informuje o veškerých zamýšlených změnách týkajících se přijetí dalších zpracovatelů nebo jejich nahrazení, a poskytne tak správci příležitost vyslovit vůči těmto změnám námitky.

3.   Členské státy stanoví, že se zpracování zpracovatelem řídí smlouvou nebo jiným právním aktem podle práva Unie nebo členského státu zavazujícím zpracovatele vůči správci, v němž je stanoven předmět a doba trvání zpracování, povaha a účel zpracování, typ osobních údajů a kategorie subjektů údajů a povinnosti a práva správce. Tato smlouva nebo jiný právní akt zejména stanoví, že zpracovatel:

a)

jedná pouze podle pokynů správce;

b)

zajistí, aby se osoby oprávněné zpracovávat osobní údaje zavázaly k mlčenlivosti nebo aby se na ně vztahovala zákonná povinnost mlčenlivosti;

c)

pomáhá správci jakýmikoli vhodnými prostředky zajistit dodržování předpisů o právech subjektu údajů;

d)

podle rozhodnutí správce po ukončení poskytování služeb zpracování vymaže nebo vrátí všechny osobní údaje správci a vymaže existující kopie, pokud právo Unie nebo členského státu nevyžadují uložení osobních údajů;

e)

poskytne správci veškeré informace potřebné k doložení souladu s tímto článkem;

f)

dodržuje podmínky pro zapojení dalšího zpracovatele uvedené v odstavcích 2 a 3.

4.   Smlouva nebo jiný právní akt uvedené v odstavci 3 musí být vyhotoveny písemně, a to i v elektronické formě.

5.   Pokud zpracovatel poruší tuto směrnicí tím, že určí účely a prostředky zpracování, považuje se ve vztahu k takovému zpracování za správce.

Článek 23

Zpracování z pověření správce nebo zpracovatele

Členské státy stanoví, že zpracovatel a kdokoli, kdo jedná z pověření správce nebo zpracovatele a má přístup k osobním údajům, může tyto osobní údaje zpracovat pouze podle pokynů správce, ledaže mu jejich zpracování ukládá právo Unie nebo členského státu.

Článek 24

Záznamy o činnostech zpracování

1.   Členské státy stanoví, že správci vedou záznamy o všech kategoriích činností zpracování, za něž odpovídají. Tyto záznamy obsahují všechny tyto informace:

a)

jméno a kontaktní údaje správce a případného společného správce a pověřence pro ochranu osobních údajů;

b)

účely zpracování;

c)

kategorie příjemců, kterým byly nebo budou osobní údaje zpřístupněny, včetně příjemců ve třetích zemích nebo mezinárodních organizacích;

d)

popis kategorií subjektů údajů a kategorií osobních údajů;

e)

případné použití profilování;

f)

případné kategorie předávání osobních údajů do třetí země nebo mezinárodní organizaci;

g)

uvedení právního základu operace zpracování, včetně předání, pro něž jsou osobní údaje určeny;

h)

je-li to možné, plánované lhůty pro výmaz jednotlivých kategorií osobních údajů;

i)

je-li to možné, obecný popis technických a organizačních bezpečnostních opatření uvedených v čl. 29 odst. 1.

2.   Členské státy stanoví, že každý zpracovatel vede záznamy o všech kategoriích činností zpracování prováděných pro správce, jež obsahují:

a)

jméno a kontaktní údaje zpracovatele nebo zpracovatelů a každého správce, pro něhož zpracovatel jedná, a případného pověřence pro ochranu osobních údajů;

b)

kategorie zpracování prováděného pro každého ze správců;

c)

informace o případném předání osobních údajů do třetí země nebo mezinárodní organizaci, na výslovný pokyn správce, včetně identifikace této třetí země či mezinárodní organizace;

d)

je-li to možné, obecný popis technických a organizačních bezpečnostních opatření uvedených v čl. 29 odst. 1.

3.   Záznamy uvedené v odstavcích 1 a 2 se vyhotovují písemně, a to i v elektronické formě.

Správce a zpracovatel je na požádání poskytnou dozorovému úřadu.

Článek 25

Vedení logů

1.   Členské státy stanoví, že se v automatizovaných systémech zpracování vedou logy alespoň o těchto operacích zpracování: shromáždění, pozměnění, nahlédnutí a sdělení, včetně předání, zkombinování a výmazu. Logy o nahlédnutí a sdělení musí umožňovat zjištění důvodů těchto operací, datum a čas, kdy byly učiněny, a je-li to možné, totožnosti osoby, která do osobních údajů nahlédla nebo která je zpřístupnila, a totožnosti příjemců těchto osobních údajů.

2.   Logy se používají pouze pro ověření zákonnosti zpracování, vlastní kontrolu, pro zajištění neporušenosti a zabezpečení osobních údajů a pro trestní řízení.

3.   Správce a zpracovatel poskytnou tyto logy na požádání dozorovému úřadu.

Článek 26

Spolupráce s dozorovým úřadem

Členské státy stanoví, že správce a zpracovatel s dozorovým úřadem na požádání spolupracují při plnění jeho úkolů.

Článek 27

Posouzení vlivu na ochranu osobních údajů

1.   Pokud je pravděpodobné, že určitý druh zpracování, zejména při využití nových technologií, bude s přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování mít za následek vysoké riziko pro práva a svobody fyzických osob, členské státy stanoví, že správce před zpracováním provede posouzení vlivu zamýšlených operací zpracování na ochranu osobních údajů.

2.   Posouzení uvedené v odstavci 1 obsahuje alespoň obecný popis zamýšlených operací zpracování, posouzení rizik z hlediska práv a svobod subjektů údajů, plánovaná opatření k řešení těchto rizik, záruky, bezpečnostní opatření a mechanismy k zajištění ochrany osobních údajů a k doložení souladu s touto směrnicí, s přihlédnutím k právům a oprávněným zájmům subjektů údajů a dalších dotčených osob.

Článek 28

Předchozí konzultace dozorového úřadu

1.   Členské státy stanoví, že správce nebo zpracovatel konzultuje s dozorovým úřadem před zpracováním osobních údajů, které budou součástí nové evidence, jež má být vytvořena, pokud:

a)

z posouzení vlivu na ochranu osobních údajů podle článku 27 vyplývá, že by dané zpracování mělo za následek vysoké riziko v případě, že by správce nepřijal opatření ke zmírnění tohoto rizika; nebo

b)

druh zpracování, zejména při využití nových technologií, mechanismů nebo postupů, s sebou nese vysoké riziko pro práva a svobody subjektů údajů.

2.   Členské státy stanoví, že dozorový úřad je konzultován během přípravy návrhu legislativního opatření, který má přijmout vnitrostátní parlament, nebo návrhu regulačního opatření založeného na takovém legislativním opatření, jež souvisí se zpracováním.

3.   Členské státy stanoví, že dozorový úřad může sestavit seznam operací zpracování, které podléhají předchozí konzultaci podle odstavce 1.

4.   Členské státy stanoví, že správce poskytne dozorovému úřadu posouzení vlivu na ochranu osobních údajů podle článku 27 a na požádání mu poskytne jakékoli další informace, jež dozorovému úřadu umožní posoudit soulad zpracování s touto směrnicí, a zejména posoudit rizika z hlediska ochrany osobních údajů subjektu údajů a související záruky.

5.   Členské státy stanoví, že dozorový úřad v případě, že se domnívá, že by zamýšlené zpracování uvedené v odstavci 1 tohoto článku porušilo předpisy přijaté na základě této směrnice, zejména pokud správce nedostatečně určil či zmírnil riziko, na to upozorní správce a případně zpracovatele písemně ve lhůtě nejvýše šesti týdnů od obdržení žádosti o konzultaci a že může uplatnit kteroukoli ze svých pravomocí uvedených v článku 47. Tato lhůta může být s ohledem na složitost zamýšleného zpracování prodloužena o jeden měsíc. Dozorový úřad informuje správce a případně zpracovatele o každém takovém prodloužení a o jeho důvodech do jednoho měsíce od obdržení žádosti o konzultaci.

Oddíl 2

Zabezpečení osobních údajů

Článek 29

Zabezpečení zpracování

1.   Členské státy stanoví, že správce a zpracovatel, s přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob, provedou vhodná technická a organizační opatření, aby zajistili úroveň zabezpečení odpovídající danému riziku, zejména pokud jde o zpracování zvláštních kategorií osobních údajů uvedených v článku 10.

2.   Pokud jde o automatizované zpracování, každý členský stát stanoví, že správce nebo zpracovatel provede po zhodnocení rizik opatření s cílem:

a)

zabránit neoprávněným osobám v přístupu k zařízení využívanému pro zpracování („kontrola přístupu k zařízením“);

b)

zabránit neoprávněnému čtení, kopírování, pozměňování nebo odstraňování nosičů údajů („kontrola nosičů údajů“);

c)

zabránit neoprávněnému vkládání osobních údajů a neoprávněnému prohlížení, pozměňování nebo mazání uložených osobních údajů („kontrola uložení“);

d)

zabránit neoprávněným osobám v užívání automatizovaných systémů pro zpracování pomocí zařízení pro přenos údajů („kontrola uživatelů“);

e)

zajistit, aby osoby oprávněné k využívání určitého automatizovaného systému pro zpracování měly přístup pouze k osobním údajům, na které se vztahuje jejich povolení k přístupu („kontrola přístupu k údajům“);

f)

zajistit, aby bylo možné ověřit a zjistit, kterým subjektům byly nebo mohou být osobní údaje předány nebo zpřístupněny za použití zařízení pro přenos údajů („kontrola přenosu“);

g)

zajistit, aby bylo možné zpětně ověřit a zjistit, které osobní údaje byly vloženy do automatizovaných systémů pro zpracování a kdo a kdy je do těchto systémů vložil („kontrola vkládání“);

h)

zabránit neoprávněnému čtení, kopírování, pozměňování nebo mazání osobních údajů při předávání osobních údajů nebo při přepravě nosičů údajů („kontrola přepravy“);

i)

zajistit, aby instalované systémy mohly být v případě výpadku obnoveny („obnova“);

j)

zajistit, aby systém fungoval, aby byl hlášen výskyt chyb ve funkcích („spolehlivost“) a aby uložené osobní údaje nebylo možné poškodit špatným fungováním systému („neporušenost“).

Článek 30

Ohlašování případů porušení zabezpečení osobních údajů dozorovému úřadu

1.   Členské státy stanoví, že správce jakékoli porušení zabezpečení osobních údajů ohlásí dozorovému úřadu bez zbytečného odkladu a pokud možno do 72 hodin od okamžiku, kdy se o něm dozvěděl, ledaže je nepravděpodobné, že by toto porušení mělo za následek riziko pro práva a svobody fyzických osob. Pokud není ohlášení dozorovému úřadu učiněno do 72 hodin, musí být současně s ním uvedeny důvody tohoto zpoždění.

2.   Jakmile zpracovatel zjistí porušení zabezpečení osobních údajů, ohlásí je bez zbytečného odkladu správci.

3.   Ohlášení podle odstavce 1 musí přinejmenším obsahovat:

a)

popis povahy daného případu porušení zabezpečení osobních údajů včetně, pokud je to možné, kategorií a přibližného počtu dotčených subjektů údajů a kategorií a přibližného množství dotčených záznamů osobních údajů;

b)

jméno a kontaktní údaje pověřence pro ochranu osobních údajů nebo jiného kontaktního místa, které může poskytnout bližší informace;

c)

popis pravděpodobných důsledků porušení zabezpečení osobních údajů;

d)

popis opatření, která správce přijal nebo navrhl k přijetí s cílem vyřešit dané porušení zabezpečení osobních údajů, včetně případných opatření ke zmírnění možných nepříznivých dopadů.

4.   Není-li možné poskytnout informace současně, mohou být poskytnuty postupně bez dalšího zbytečného odkladu.

5.   Členské státy stanoví, že správce dokumentuje veškeré případy porušení zabezpečení osobních údajů uvedené v odstavci 1, přičemž uvede skutečnosti, které se týkají daného porušení, jeho účinky a přijatá nápravná opatření. Tato dokumentace musí dozorovému úřadu umožnit ověření souladu s tímto článkem.

6.   Členské státy stanoví, že v případě, že se porušení zabezpečení údajů týká osobních údajů, které předal správce jiného členského státu nebo které byly takovému správci předány, musí být informace uvedené v odstavci 3 sděleny bez zbytečného odkladu správci tohoto členského státu.

Článek 31

Oznamování případů porušení zabezpečení osobních údajů subjektu údajů

1.   Členské státy stanoví, že správce oznámí případy porušení zabezpečení osobních údajů bez zbytečného odkladu subjektu údajů, pokud je pravděpodobné, že toto porušení bude mít za následek vysoké riziko pro práva a svobody fyzických osob.

2.   V oznámení subjektu údajů podle odstavce 1 tohoto článku se za použití jasných a jednoduchých jazykových prostředků popíše povaha porušení zabezpečení osobních údajů a uvedou se v něm přinejmenším informace a opatření uvedené v čl. 30 odst. 3 písm. b), c) a d).

3.   Oznámení subjektu údajů uvedené v odstavci 1 se nevyžaduje, je-li splněna kterákoli z těchto podmínek:

a)

správce zavedl náležitá technická a organizační ochranná opatření a tato opatření byla použita u osobních údajů dotčených porušením zabezpečení osobních údajů, zejména taková, která činí tyto údaje nesrozumitelnými pro kohokoli, kdo není oprávněn k nim přistupovat, jako je například šifrování;

b)

správce přijal následná opatření, která zajistí, že vysoké riziko pro práva a svobody subjektů údajů uvedené v odstavci 1 se již pravděpodobně neprojeví;

c)

vyžadovalo by to nepřiměřené úsilí. V takovém případě musí být subjekty údajů informovány stejně účinným způsobem pomocí veřejného oznámení nebo podobného opatření.

4.   Jestliže správce dotčenému subjektu údajů porušení zabezpečení osobních údajů ještě neoznámil, může dozorový úřad po posouzení pravděpodobnosti toho, že dané porušením bude mít za následek vysoké riziko, požadovat, aby tak učinil, nebo může rozhodnout, že je splněna některá z podmínek uvedených v odstavci 3.

5.   Oznámení subjektu údajů podle odstavce 1 tohoto článku lze odložit, omezit či lze od něj upustit za podmínek uvedených v čl. 13 odst. 3 a z důvodů v něm stanovených.

Oddíl 3

Pověřenec pro ochranu osobních údajů

Článek 32

Určení pověřence pro ochranu osobních údajů

1.   Členské státy stanoví, že správce určí pověřence pro ochranu osobních údajů. Členské státy mohou této povinnosti zprostit soudy a jiné nezávislé justiční orgány, pokud jednají v rámci svých justičních pravomocí.

2.   Pověřenec pro ochranu osobních údajů musí být určen na základě svých profesních kvalit, zejména na základě svých odborných znalostí práva a praxe v oblasti ochrany údajů a své schopnosti plnit úkoly stanovené v článku 34.

3.   Pro několik příslušných orgánů může být, s ohledem na jejich organizační strukturu a velikost, určen jediný pověřenec pro ochranu osobních údajů.

4.   Členské státy stanoví, že správce zveřejní kontaktní údaje pověřence pro ochranu osobních údajů a sdělí je dozorovému úřadu.

Článek 33

Postavení pověřence pro ochranu osobních údajů

1.   Členské státy stanoví, že správce zajistí, aby byl pověřenec pro ochranu osobních údajů náležitě a včas zapojen do veškerých záležitostí souvisejících s ochranou osobních údajů.

2.   Správce podporuje pověřence pro ochranu osobních údajů při plnění úkolů uvedených v článku 34 tím, že mu poskytuje zdroje nezbytné k plnění těchto úkolů, k přístupu k osobním údajům a operacím zpracování a k udržování jeho odborných znalostí.

Článek 34

Úkoly pověřence pro ochranu osobních údajů

Členské státy stanoví, že správce pověří pověřence pro ochranu osobních údajů alespoň těmito úkoly:

a)

poskytovat informace a poradenství správci a zaměstnancům, kteří provádějí zpracování, o jejich povinnostech podle této směrnice a dalších předpisů Unie nebo členských států v oblasti ochrany údajů;

b)

monitorovat soulad s touto směrnicí, dalšími předpisy Unie nebo členských států v oblasti ochrany údajů a s koncepcemi správce v oblasti ochrany osobních údajů, včetně rozdělení odpovědnosti, zvyšování povědomí a odborné přípravy zaměstnanců zapojených do operací zpracování a souvisejících auditů;

c)

na požádání poskytovat poradenství, pokud jde o posouzení vlivu na ochranu osobních údajů, a monitorovat jeho uplatňování podle článku 27;

d)

spolupracovat s dozorovým úřadem;

e)

působit jako kontaktní místo pro dozorový úřad v záležitostech týkajících se zpracování, včetně předchozí konzultace podle článku 28, a případně vést konzultace v jakékoli jiné věci.

KAPITOLA V

Předávání osobních údajů do třetích zemí nebo mezinárodním organizacím

Článek 35

Obecné zásady pro předávání osobních údajů

1.   Členské státy stanoví, že osobní údaje, které jsou předmětem zpracování nebo které jsou určeny ke zpracování po předání do třetí země nebo mezinárodní organizaci, včetně dalšího předávání do další třetí země nebo mezinárodní organizaci, předají příslušné orgány s výhradou dodržení předpisů přijatých na základě jiných ustanovení této směrnice a pouze tehdy, jsou-li splněny podmínky stanovené v této kapitole, totiž:

a)

dané předání je nutné pro účely uvedené v čl. 1 odst. 1;

b)

osobní údaje jsou předány správci ve třetí zemi nebo v mezinárodní organizaci, který je orgánem příslušným pro účely stanovené v čl. 1 odst. 1;

c)

v případě, že jsou předávány nebo zpřístupňovány osobní údaje z jiného členského státu, tento členský stát udělil předchozí povolení k předání v souladu se svým vnitrostátním právem;

d)

Komise přijala rozhodnutí o odpovídající ochraně podle článku 36 nebo v případě, že takové rozhodnutí neexistuje, byly poskytnuty nebo existují vhodné záruky podle článku 37, nebo v případě, že neexistuje rozhodnutí o odpovídající ochraně podle článku 36 ani vhodné záruky podle článku 37, uplatní se výjimky pro specifické situace podle článku 38; a

e)

v případě dalšího předání do jiné třetí země nebo mezinárodní organizace příslušný orgán, který provedl původní předání, nebo jiný příslušný orgán téhož členského státu povolí takové další předání po zohlednění všech relevantních faktorů, včetně závažnosti trestného činu, účelu, pro který byly osobní údaje původně předány, a úrovně ochrany osobních údajů ve třetí zemi nebo mezinárodní organizaci, které jsou osobní údaje dále předávány.

2.   Členské státy stanoví, že předání osobních údajů bez předchozího povolení jiného členského státu podle odst. 1 písm. c) je přípustné pouze tehdy, pokud je nezbytné, aby se zabránilo bezprostřednímu a závažnému ohrožení veřejné bezpečnosti v určitém členském státě nebo třetí zemi nebo podstatných zájmů členského státu, a předchozí povolení nelze včas získat. Orgán příslušný pro vydání předchozího povolení musí být neprodleně informován.

3.   Veškerá ustanovení této kapitoly se použijí s cílem zajistit, aby úroveň ochrany fyzických osob zajištěná touto směrnicí nebyla znehodnocena.

Článek 36

Předání založené na rozhodnutí o odpovídající ochraně

1.   Členské státy stanoví, že se předání osobních údajů do určité třetí země nebo určité mezinárodní organizaci může uskutečnit, jestliže Komise rozhodla, že tato třetí země, určité území nebo jedno či více konkrétních odvětví v této třetí zemi nebo tato mezinárodní organizace zajišťují odpovídající úroveň ochrany. Takovéto předání nevyžaduje žádné zvláštní povolení.

2.   Při posuzování odpovídající úrovně ochrany vezme Komise v úvahu zejména:

a)

právní stát, dodržování lidských práv a základních svobod, příslušné právní předpisy, obecné i odvětvové, včetně pravidel týkajících se veřejné bezpečnosti, obrany, národní bezpečnosti a trestního práva a přístupu orgánů veřejné moci k osobním údajům, jakož i provádění těchto právních předpisů, pravidla pro ochranu údajů, profesní pravidla a bezpečnostní opatření, včetně pravidel pro další předávání osobních údajů do další třetí země nebo mezinárodní organizaci, která jsou v dané třetí zemi nebo mezinárodní organizaci dodržována, judikaturu, jakož i existenci účinných a vymahatelných práv subjektu údajů a účinné správní či soudní ochrany pro subjekty údajů, jejichž osobní údaje se předávají;

b)

existenci a účinné fungování jednoho nebo více nezávislých dozorových úřadů, které působí v dané třetí zemi nebo kterým podléhá daná mezinárodní organizace, příslušných zajišťovat a vymáhat soulad s pravidly pro ochranu údajů, včetně přiměřených vymáhacích pravomocí, poskytovat pomoc a poradenství subjektům údajů při výkonu jejich práv a spolupracovat s dozorovými úřady členských států, a

c)

mezinárodní závazky, které daná třetí země nebo mezinárodní organizace přijala, nebo jiné závazky vyplývající z právně závazných úmluv nebo nástrojů, jakož i z její účasti v mnohostranných či regionálních systémech, zejména pokud jde o ochranu osobních údajů.

3.   Komise může po posouzení odpovídající úrovně ochrany prostřednictvím prováděcího aktu rozhodnout, že určitá třetí země, určité území či jedno nebo více konkrétních odvětví v určité třetí zemi nebo určitá mezinárodní organizace zajišťuje odpovídající úroveň ochrany ve smyslu odstavce 2 tohoto článku. Uvedený prováděcí akt stanoví mechanismus pro pravidelný přezkum prováděný alespoň každé čtyři roky, který zohlední veškerý relevantní vývoj v dotčené třetí zemi nebo mezinárodní organizaci. Stanoví také svou územní a odvětvovou působnost a případně určí dozorový úřad nebo úřady uvedené v odst. 2 písm. b) tohoto článku. Tento prováděcí akt se přijímá přezkumným postupem podle čl. 58 odst. 2.

4.   Komise průběžně sleduje vývoj ve třetích zemích a mezinárodních organizacích, jenž by mohl ovlivnit fungování rozhodnutí přijatých podle odstavce 3.

5.   Komise v případě, že z dostupných informací, zejména na základě přezkumu uvedeného v odstavci 3 tohoto článku, vyplyne, že určitá třetí země, určité území nebo jedno nebo více konkrétních odvětví v určité třetí zemi nebo určitá mezinárodní organizace již nezajišťuje odpovídající úroveň ochrany ve smyslu odstavce 2 tohoto článku, v nezbytné míře rozhodnutí uvedené v odstavci 3 tohoto článku prováděcími akty bez zpětné působnosti zruší nebo změní anebo pozastaví jeho použitelnost. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 58 odst. 2.

V závažných, naléhavých a řádně odůvodněných případech přijme Komise postupem podle čl. 58 odst. 3 okamžitě použitelné prováděcí akty.

6.   Komise zahájí s danou třetí zemí nebo mezinárodní organizací konzultace s cílem napravit stav, který vedl k rozhodnutí podle odstavce 5.

7.   Členské státy stanoví, že rozhodnutím podle odstavce 5 není dotčeno předávání osobních údajů do dané třetí země, na dané území či jednomu nebo více konkrétním odvětvím v této třetí zemi nebo dané mezinárodní organizaci podle článků 37 a 38.

8.   Komise zveřejní v Úředním věstníku Evropské unie a na svých internetových stránkách seznam těch třetích zemí, území a konkrétních odvětví ve třetích zemích a mezinárodních organizací, v nichž podle jejího rozhodnutí odpovídající úroveň ochrany je, nebo naopak již není zajištěna.

Článek 37

Předání založené na vhodných zárukách

1.   Jestliže neexistuje rozhodnutí podle čl. 36 odst. 3, stanoví členské státy, že se předání osobních údajů do třetí země nebo mezinárodní organizaci může uskutečnit:

a)

pokud byly právně závazným nástrojem poskytnuty vhodné záruky ve vztahu k ochraně osobních údajů; nebo

b)

pokud správce posoudil všechny okolnosti daného předání osobních údajů a dospěl k závěru, že ve vztahu k ochraně osobních údajů existují vhodné záruky.

2.   Správce informuje dozorový úřad o kategoriích předání podle odst. 1 písm. b).

3.   Je-li předání osobních údajů založeno na odst. 1 písm. b), musí být zdokumentováno a příslušná dokumentace na požádání zpřístupněna dozorovému úřadu, přičemž musí obsahovat mimo jiné den a čas předání, informace o přijímajícím příslušném orgánu, důvody předání a předané osobní údaje.

Článek 38

Výjimky pro specifické situace

1.   Členské státy stanoví, že neexistuje-li rozhodnutí o odpovídající ochraně podle článku 36 ani vhodné záruky podle článku 37, může se předání nebo kategorie předání osobních údajů do třetí země nebo mezinárodní organizaci uskutečnit pouze za podmínky, že jsou nezbytné:

a)

k ochraně životně důležitých zájmů subjektu údajů nebo jiné osoby;

b)

k ochraně oprávněných zájmů subjektu údajů, jestliže tak stanoví právo členského státu, který osobní údaje předává;

c)

k tomu, aby se zabránilo bezprostřednímu a závažnému ohrožení veřejné bezpečnosti v určitém členském státě nebo třetí zemi;

d)

v individuálních případech pro účely uvedené v čl. 1 odst. 1; nebo

e)

v individuálním případě pro určení, výkon nebo obhajobu právních nároků v souvislosti s účely uvedenými v čl. 1 odst. 1.

2.   Osobní údaje se nepředají, pokud předávající příslušný orgán rozhodne, že základní práva a svobody dotčeného subjektu údajů převažují nad veřejným zájmem na předání uvedeným v odst. 1 písm. d) a e).

3.   Je-li předání osobních údajů založeno na odstavci 1, musí být zdokumentováno a příslušná dokumentace na požádání zpřístupněna dozorovému úřadu, přičemž musí obsahovat mimo jiné den a čas předání, informace o přijímajícím příslušném orgánu, důvody předání a předané osobní údaje.

Článek 39

Předání osobních údajů příjemcům usazeným ve třetích zemích

1.   Odchylně od čl. 35 odst. 1 písm. b) a aniž jsou dotčeny jakékoliv mezinárodní dohody uvedené v odstavci 2 tohoto článku, může právo Unie nebo členského státu stanovit, že příslušné orgány uvedené v čl. 3 bodě 7 písm. a) mohou v individuálních a zvláštních případech předat osobní údaje přímo příjemcům usazeným ve třetích zemích pouze tehdy, pokud je to v souladu s ostatními ustanoveními této směrnice a jsou splněny všechny tyto podmínky:

a)

předání je nezbytně nutné ke splnění úkolu příslušného předávajícího orgánu podle práva Unie nebo členského státu pro účely stanovené v čl. 1 odst. 1;

b)

předávající příslušný orgán rozhodne, že nad veřejným zájmem vyžadujícím předání v daném případě nepřevažují žádná základní práva a svobody dotčeného subjektu údajů;

c)

předávající příslušný orgán se domnívá, že předání orgánu příslušnému pro účely uvedené v čl. 1 odst. 1 ve třetí zemi je neefektivní nebo nevhodné, zejména proto, že je nelze učinit včas;

d)

orgán příslušný pro účely uvedené v čl. 1 odst. 1 ve třetí zemi je bez zbytečného odkladu informován, ledaže to je neefektivní nebo nevhodné;

e)

předávající příslušný orgán informuje příjemce o konkrétním účelu nebo účelech, pro něž může osobní údaje zpracovat, pokud je takové zpracování nutné.

2.   Mezinárodními dohodami uvedenými v odstavci 1 se rozumí jakékoliv platné dvoustranné nebo mnohostranné mezinárodní dohody mezi členskými státy a třetími zeměmi v oblasti justiční spolupráce v trestních věcech a policejní spolupráce.

3.   Předávající příslušný orgán informuje dozorový úřad o každém předání osobních údajů podle tohoto článku.

4.   Je-li předání osobních údajů založeno na odstavci 1, musí být zdokumentováno.

Článek 40

Mezinárodní spolupráce v zájmu ochrany osobních údajů

Ve vztahu ke třetím zemím a mezinárodním organizacím podniknou Komise a členské státy vhodné kroky za účelem:

a)

rozvoje mechanismů pro mezinárodní spolupráci, aby se usnadnilo účinné vymáhání právních předpisů na ochranu osobních údajů;

b)

poskytování vzájemné pomoci na mezinárodní úrovni při vymáhání právních předpisů na ochranu osobních údajů, a to i formou oznamování, postupování stížností, pomoci při vyšetřování a výměny informací, pod podmínkou vhodných záruk ochrany osobních údajů a jiných základních práv a svobod;

c)

zapojení příslušných zúčastněných stran do diskuse a činností zaměřených na prohlubování mezinárodní spolupráce při vymáhání právních předpisů na ochranu osobních údajů;

d)

podpoření výměny a dokumentace v souvislosti s právními předpisy a praxí v oblasti ochrany osobních údajů, mimo jiné o kompetenčních sporech se třetími zeměmi.

KAPITOLA VI

Nezávislé dozorové úřady

Oddíl 1

Nezávislost postavení

Článek 41

Dozorový úřad

1.   Každý členský stát stanoví, že jeden nebo více nezávislých orgánů veřejné moci jsou pověřeny monitorováním uplatňování této směrnice s cílem chránit základní práva a svobody fyzických osob v souvislosti se zpracováním a usnadnit volný pohyb osobních údajů uvnitř Unie (dále jen „dozorový úřad“).

2.   Každý dozorový úřad přispívá k soudržnému uplatňování této směrnice v celé Unii. Dozorové úřady za tímto účelem spolupracují mezi sebou a s Komisí v souladu s kapitolou VII.

3.   Členské státy mohou stanovit, že dozorový úřad zřízený podle nařízení (EU) 2016/679 je dozorovým úřadem uvedeným v této směrnici a že plní úkoly dozorového úřadu, který má být zřízen podle odstavce 1 tohoto článku.

4.   Pokud je v některém členském státě zřízen více než jeden dozorový úřad, určí tento členský stát dozorový úřad, jenž má tyto úřady zastupovat ve sboru.

Článek 42

Nezávislost

1.   Každý členský stát stanoví, že každý dozorový úřad jedná při plnění svých úkolů a při výkonu svých pravomocí podle této směrnice zcela nezávisle.

2.   Členské státy stanoví, že člen či členové jejich dozorového úřadu při plnění svých úkolů a výkonu svých pravomocí podle této směrnice musí být i nadále nezávislí na vnějším vlivu, přímém či nepřímém, a od nikoho nesmějí vyžadovat ani přijímat pokyny.

3.   Členové dozorových úřadů členských států se zdrží jakéhokoliv jednání neslučitelného s jejich funkcí a během svého funkčního období nesmějí vykonávat žádnou výdělečnou ani nevýdělečnou pracovní činnost neslučitelnou s touto funkcí.

4.   Každý členský stát zajistí, aby byl každý dozorový úřad vybaven lidskými, technickými a finančními zdroji, prostorami a infrastrukturou, které bude potřebovat pro účinné plnění svých úkolů a výkon svých pravomocí, včetně úkolů a pravomocí, jež je třeba plnit a vykonávat v rámci vzájemné pomoci, spolupráce a účasti ve sboru.

5.   Každý členský stát zajistí, aby si každý dozorový úřad vybíral a měl své vlastní zaměstnance, kteří podléhají výlučně řízení členem či členy tohoto dozorového úřadu.

6.   Každý členský stát zajistí, aby každý dozorový úřad podléhal finanční kontrole, která nijak neovlivní jeho nezávislost, a aby měl samostatný veřejný roční rozpočet, který může být součástí celkového zemského nebo státního rozpočtu.

Článek 43

Obecné podmínky pro členy dozorového úřadu

1.   Členské státy stanoví, že každý člen jejich dozorových úřadů je jmenován transparentním postupem:

parlamentem,

vládou,

hlavou státu nebo

nezávislým subjektem, kterému toto jmenování svěří právo členského státu.

2.   Každý člen musí mít kvalifikaci, zkušenosti a dovednosti, zejména v oblasti ochrany osobních údajů, potřebné k plnění svých povinností a výkonu svých pravomocí.

3.   Povinnosti člena končí uplynutím jeho funkčního období, odstoupením nebo povinným odchodem do důchodu v souladu s právem daného členského státu.

4.   Člen může být odvolán pouze v případě závažného pochybení nebo pokud přestane splňovat podmínky pro plnění svých povinností.

Článek 44

Pravidla pro zřízení dozorového úřadu

1.   Každý členský stát upraví právním předpisem všechny tyto záležitosti:

a)

zřízení každého dozorového úřadu;

b)

kvalifikaci a podmínky způsobilosti požadované pro jmenování členem každého dozorového úřadu;

c)

pravidla a postupy pro jmenování člena nebo členů každého dozorového úřadu;

d)

délku funkčního období člena či členů každého dozorového úřadu, která činí nejméně čtyři roky, s výjimkou prvního jmenování po 6. květnu 2016, kdy někteří členové mohou být jmenováni na dobu kratší, je-li k ochraně nezávislosti dozorového úřadu nutný proces postupného jmenování;

e)

zda a případně na kolik funkčních období mohou být člen či členové každého dozorového úřadu jmenováni opětovně;

f)

podmínky, jimiž se řídí povinnosti člena nebo členů a zaměstnanců každého dozorového úřadu, zákaz jednání a pracovní činnosti a využívání výhod neslučitelných s těmito podmínkami během funkčního období a po jeho skončení a pravidla, jimiž se řídí ukončení zaměstnání.

2.   Člen či členové a zaměstnanci každého dozorového úřadu jsou, v souladu s právem Unie nebo členského státu, vázáni během funkčního období i po jeho skončení služebním tajemstvím, pokud jde o veškeré důvěrné informace, o nichž se dozvědí během plnění svých úkolů či výkonu svých pravomocí. Během jejich funkčního období se tato povinnost zachovávat služební tajemství vztahuje zejména na ohlášení porušení této směrnice učiněná fyzickými osobami.

Oddíl 2

Příslušnost, úkoly a pravomoci

Článek 45

Příslušnost

1.   Každý členský stát stanoví, že každý dozorový úřad je na území svého členského státu příslušný k plnění úkolů a výkonu pravomocí, které mu byly svěřeny v souladu s touto směrnicí.

2.   Každý členský stát stanoví, že žádný dozorový úřad není příslušný k dozoru nad operacemi zpracování, které provádějí soudy v rámci svých soudních pravomocí. Členské státy mohou stanovit, že jejich dozorové úřady nejsou příslušné k dozoru nad operacemi zpracování, které provádějí jiné nezávislé justiční orgány v rámci svých justičních pravomocí.

Článek 46

Úkoly

1.   Každý členský stát stanoví, že každý dozorový úřad na jeho území:

a)

monitoruje a vymáhá uplatňování této směrnice a prováděcích opatření k ní;

b)

zvyšuje povědomí veřejnosti o rizicích, pravidlech, zárukách a právech v souvislosti se zpracováním a podporuje porozumění těmto otázkám;

c)

v souladu s právem členského státu poskytuje poradenství parlamentu, vládě a dalším orgánům a institucím svého členského státu ohledně legislativních a správních opatření týkajících se ochrany práv a svobod fyzických osob v souvislosti se zpracováním;

d)

podporuje povědomí správců a zpracovatelů o jejich povinnostech podle této směrnice;

e)

na požádání poskytuje všem subjektům údajů informace o výkonu jejich práv podle této směrnice a, je-li to vhodné, spolupracuje za tímto účelem s dozorovými úřady v jiných členských státech;

f)

vyřizuje stížnosti, které mu podá subjekt údajů nebo subjekt, organizace či sdružení v souladu s článkem 55, a ve vhodné míře prošetřuje předmět stížnosti a v přiměřené lhůtě informuje stěžovatele o pokroku a o výsledku šetření, zejména v případech, kdy je zapotřebí dalšího šetření nebo koordinace s jiným dozorovým úřadem;

g)

ověřuje zákonnost zpracování podle článku 17 a v přiměřené lhůtě informuje subjekt údajů o výsledku daného ověření podle odstavce 3 uvedeného článku nebo o důvodech, proč ověření nebylo provedeno;

h)

s cílem zajistit soudržné uplatňování a vymáhání této směrnice spolupracuje s dalšími dozorovými úřady, mimo jiné formou sdílení informací, a s těmito úřady si vzájemně poskytuje pomoc;

i)

provádí šetření o uplatňování této směrnice, mimo jiné na základě informací obdržených od jiného dozorového úřadu či jiného orgánu veřejné moci;

j)

monitoruje vývoj v relevantních oblastech, pokud má vliv na ochranu osobních údajů, zejména vývoj informačních a komunikačních technologií;

k)

poskytuje poradenství o operacích zpracování uvedených v článku 28 a

l)

přispívá k činnostem sboru.

2.   Každý dozorový úřad usnadňuje podávání stížností uvedených v odst. 1 písm. f) takovými opatřeními, jako je poskytnutí formuláře pro podávání stížností, který lze vyplnit i v elektronické formě, aniž jsou vyloučeny jiné komunikační prostředky.

3.   Plnění úkolů každého dozorového úřadu je pro subjekty údajů a pro pověřence pro ochranu osobních údajů bezplatné.

4.   Pokud je žádost zjevně nedůvodná nebo nepřiměřená, zejména proto, že je opakovaná, může dozorový úřad uložit přiměřený poplatek na základě svých administrativních nákladů nebo odmítnout žádosti vyhovět. Zjevnou nedůvodnost nebo nepřiměřenost žádosti dokládá dozorový úřad.

Článek 47

Pravomoci

1.   Každý členský stát právním předpisem stanoví, že každý dozorový úřad má účinné vyšetřovací pravomoci. Tyto pravomoci zahrnují přinejmenším pravomoc získat od správce a zpracovatele přístup ke všem zpracovávaným osobním údajům a k veškerým informacím, které potřebuje k plnění svých úkolů.

2.   Každý členský stát právním předpisem stanoví, že každý dozorový úřad má účinné nápravné pravomoci, jako je například pravomoc:

a)

upozornit správce či zpracovatele, že zamýšlené operace zpracování pravděpodobně porušují předpisy přijaté na základě této směrnice;

b)

nařídit správci či zpracovateli, aby uvedl operace zpracování do souladu s předpisy přijatými na základě této směrnice, a to případně předepsaným způsobem a ve stanovené lhůtě, zejména tím, že nařídí opravu nebo výmaz osobních údajů či omezení zpracování podle článku 16;

c)

uložit dočasné nebo trvalé omezení zpracování, včetně jeho zákazu.

3.   Každý členský stát právním předpisem stanoví, že každý dozorový úřad má účinné poradní pravomoci poskytovat poradenství správci v souladu s postupem předchozí konzultace podle článku 28 a z vlastního podnětu nebo na požádání vydávat stanoviska určená svému parlamentu a své vládě nebo, v souladu se svým vnitrostátním právem, dalším institucím a subjektům, jakož i veřejnosti, ohledně veškerých otázek souvisejících s ochranou osobních údajů.

4.   Výkon pravomocí svěřených podle tohoto článku dozorovému úřadu podléhá vhodným zárukám, včetně účinné soudní ochrany a spravedlivého procesu, stanoveným v právu Unie a členského státu v souladu s Listinou.

5.   Každý členský stát právním předpisem stanoví, že každý dozorový úřad má pravomoc upozornit na porušení předpisů přijatých na základě této směrnice justiční orgány, a pokud je to vhodné, zahájit soudní řízení či se do něj jinak zapojit s cílem vymoci dodržení předpisů přijatých na základě této směrnice.

Článek 48

Ohlašování porušení

Členské státy stanoví, že příslušné orgány zavedou účinné mechanismy s cílem podpořit důvěrné ohlašování porušení této směrnice.

Článek 49

Zprávy o činnosti

Každý dozorový úřad vypracovává výroční zprávy o své činnosti, které mohou obsahovat seznam druhů ohlášených porušení a druhů uložených sankcí. Tyto zprávy předkládá parlamentu a vládě svého členského státu a dalším orgánům určeným právem členského státu. Dále je zpřístupní veřejnosti, Komisi a sboru.

KAPITOLA VII

Spolupráce

Článek 50

Vzájemná pomoc

1.   Každý členský stát stanoví, že si jeho dozorové úřady vzájemně poskytují relevantní informace a pomoc v zájmu soudržného provádění a uplatňování této směrnice, a zavedou opatření pro účinnou vzájemnou spolupráci. Vzájemná pomoc zahrnuje zejména žádosti o informace a opatření v oblasti dozoru, například žádosti o provedení konzultací, inspekcí a šetření.

2.   Každý členský stát stanoví, že každý dozorový úřad přijme veškerá vhodná opatření nutná k vyřízení žádosti jiného dozorového úřadu, a to bez zbytečného odkladu a nejpozději za jeden měsíc od obdržení žádosti. K těmto opatřením může patřit zejména předávání relevantních informací o průběhu šetření.

3.   Žádosti o pomoc musí obsahovat všechny potřebné informace včetně svého účelu a důvodů. Vyměňované informace se použijí pouze pro účely, pro které byly vyžádány.

4.   Dožádaný dozorový úřad nesmí odmítnout žádosti vyhovět, ledaže:

a)

není pro předmět žádosti nebo pro opatření, o jejichž výkon je žádán, příslušný; nebo

b)

vyhověním žádosti by došlo k porušení této směrnice nebo práva Unie či členského státu, kterému tento úřad podléhá.

5.   Dožádaný dozorový úřad informuje žádající dozorový úřad o výsledcích nebo případně o pokroku či opatřeních, jež byla přijata k vyřízení žádosti. Jestliže dožádaný dozorový úřad žádosti nevyhoví na základě odstavce 4, uvede důvody svého rozhodnutí.

6.   Dožádané dozorové úřady poskytují informace, které po nich žádají jiné dozorové úřady, zpravidla v elektronické formě za použití standardizovaného formátu.

7.   Dožádané dozorové úřady za žádné úkony, které provedou na základě žádosti o vzájemnou pomoc, neúčtují poplatky. Dozorové úřady se mohou dohodnout na pravidlech pro vzájemné odškodnění za zvláštní výdaje vyplývající z poskytnutí vzájemné pomoci ve výjimečných případech.

8.   Komise může prostřednictvím prováděcích aktů určit formát a postupy pro vzájemnou pomoc podle tohoto článku a může určit, jak má probíhat elektronická výměna informací mezi dozorovými úřady navzájem a mezi dozorovými úřady a sborem. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 58 odst. 2.

Článek 51

Úkoly sboru

1.   Sbor, zřízený nařízením (EU) 2016/679, plní v souvislosti se zpracováním v oblasti působnosti této směrnice všechny tyto úkoly:

a)

poskytuje poradenství Komisi ve veškerých záležitostech souvisejících s ochranou osobních údajů v Unii včetně jakýchkoli navrhovaných změn této směrnice;

b)

prošetřuje z vlastního podnětu nebo na žádost některého ze svých členů nebo Komise veškeré otázky týkající se uplatňování této směrnice a vydává pokyny, doporučení a osvědčené postupy, aby podporoval soudržné uplatňování této směrnice;

c)

vypracovává pokyny pro dozorové úřady ohledně uplatňování opatření uvedených v čl. 47 odst. 1 a 3;

d)

vydává pokyny, doporučení a osvědčené postupy podle písmene b) tohoto pododstavce k tomu, jak zjistit případy porušení zabezpečení osobních údajů a jak určit zbytečný odklad podle čl. 30 odst. 1 a 2 a konkrétní okolnosti, za nichž jsou správce nebo zpracovatel povinni porušení ohlásit;

e)

vydává pokyny, doporučení a osvědčené postupy podle písmene b) tohoto pododstavce, pokud jde o okolnosti, za nichž je pravděpodobné, že porušení zabezpečení osobních údajů bude mít za následek vysoké riziko pro práva a svobody fyzických osob, jak je uvedeno v čl. 31 odst. 1;

f)

přezkoumává praktické uplatňování pokynů, doporučení a osvědčených postupů uvedených v písmenech b) a c);

g)

poskytuje Komisi stanovisko pro posouzení odpovídající úrovně ochrany ve třetí zemi nebo mezinárodní organizaci a pro posouzení, zda určitá třetí země, určité území či jedno nebo více konkrétních odvětví v určité třetí zemi nebo určitá mezinárodní organizace již nezajišťuje odpovídající úroveň ochrany;

h)

podporuje spolupráci a účinnou dvoustrannou a vícestrannou výměnu informací a osvědčených postupů mezi dozorovými úřady;

i)

podporuje společné školicí programy a usnadňuje výměny pracovníků mezi dozorovými úřady, kterých se ve vhodných případech účastní i dozorové úřady třetích zemí nebo mezinárodních organizací;

j)

podporuje výměnu znalostí a dokumentů o právu a praxi v oblasti ochrany údajů s dozorovými úřady pro ochranu údajů po celém světě.

Pokud jde o první pododstavec písm. g), poskytne Komise sboru veškerou potřebnou dokumentaci, včetně korespondence s vládou dané třetí země, daným územím či konkrétním odvětvím v této třetí zemi nebo s danou mezinárodní organizací.

2.   Jestliže Komise žádá sbor o poradenství, může uvést určitou lhůtu s přihlédnutím k naléhavosti dané záležitosti.

3.   Sbor zasílá svá stanoviska, pokyny, doporučení a osvědčené postupy Komisi a výboru uvedenému v čl. 58 odst. 1 a zveřejňuje je.

4.   Komise informuje sbor o krocích, jež podnikla v návaznosti na stanoviska, pokyny, doporučení a osvědčené postupy jím vydané.

KAPITOLA VIII

Právní ochrana, odpovědnost a sankce

Článek 52

Právo podat stížnost u dozorových úřadů

1.   Aniž jsou dotčeny jakékoliv jiné prostředky správní nebo soudní ochrany, stanoví členské státy, že každý subjekt údajů má právo podat stížnost u jediného dozorového úřadu, pokud se domnívá, že zpracováním jeho osobních údajů jsou porušeny předpisy přijaté na základě této směrnice.

2.   Členské státy stanoví, že dozorový úřad, kterému byla podána stížnost, pro kterou není příslušný podle čl. 45 odst. 1, tuto stížnost postoupí bez zbytečného odkladu příslušnému dozorovému úřadu. Subjekt údajů je o postoupení informován.

3.   Členské státy stanoví, že dozorový úřad, kterému byla stížnost podána, poskytne subjektu údajů na jeho žádost další pomoc.

4.   Příslušný dozorový úřad informuje subjekt údajů o pokroku v řešení stížnosti a o jeho výsledku, jakož i o možnosti využít soudní ochranu podle článku 53.

Článek 53

Právo na účinnou soudní ochranu vůči dozorovému úřadu

1.   Aniž je dotčena jakákoliv jiná správní nebo mimosoudní ochrana, stanoví členské státy právo fyzické nebo právnické osoby na účinnou soudní ochranu proti právně závaznému rozhodnutí dozorového úřadu, které se jí týká.

2.   Aniž je dotčena jakákoliv jiná správní nebo mimosoudní ochrana, má každý subjekt údajů právo na účinnou soudní ochranu, pokud se dozorový úřad, který je příslušný podle čl. 45 odst. 1, stížností nezabývá nebo pokud neinformuje subjekt údajů do tří měsíců o pokroku v řešení stížnosti podané podle článku 52 či o jeho výsledku.

3.   Členské státy stanoví, že se řízení proti dozorovému úřadu zahajuje u soudů toho členského státu, v němž je daný dozorový úřad zřízen.

Článek 54

Právo na účinnou soudní ochranu vůči správci nebo zpracovateli

Aniž je dotčena jakákoli dostupná správní nebo mimosoudní ochrana, včetně práva podat stížnost u dozorového úřadu podle článku 52, stanoví členské státy právo subjektu údajů na účinnou soudní ochranu, pokud má za to, že práva mu přiznaná předpisy přijatými na základě této směrnice byla porušena v důsledku zpracování jeho osobních údajů v rozporu s uvedenými předpisy.

Článek 55

Zastupování subjektů údajů

Členské státy v souladu s procesním právem členského státu stanoví, že subjekt údajů má právo pověřit neziskový subjekt, organizaci nebo sdružení, jež byly řádně založeny v souladu s právem některého členského státu, jejichž statutární cíle jsou ve veřejném zájmu a jež jsou činné v oblasti práv a svobod subjektů údajů ohledně ochrany jejich osobních údajů, aby jeho jménem podal stížnost a uplatnil práva uvedená v článcích 52, 53 a 54.

Článek 56

Právo na náhradu újmy

Členské státy stanoví, že kdokoli, kdo v důsledku protiprávní operace zpracování nebo jiného úkonu porušujícího předpisy přijaté na základě této směrnice utrpěl hmotnou či nehmotnou újmu, má právo obdržet od správce nebo jiného orgánu příslušného podle práva členského státu náhradu utrpěné újmy.

Článek 57

Sankce

Členské státy stanoví pravidla pro sankce za porušení předpisů přijatých na základě této směrnice a přijmou veškerá opatření nezbytná k zajištění jejich uplatňování. Tyto sankce musí být účinné, přiměřené a odrazující.

KAPITOLA IX

Prováděcí akty

Článek 58

Postup projednávání ve výboru

1.   Komisi je nápomocen výbor zřízený článkem 93 nařízení (EU) 2016/679. Tento výbor je výborem ve smyslu nařízení (EU) č. 182/2011.

2.   Odkazuje-li se na tento odstavec, použije se článek 5 nařízení (EU) č. 182/2011.

3.   Odkazuje-li se na tento odstavec, použije se článek 8 nařízení (EU) č. 182/2011 ve spojení s článkem 5 uvedeného nařízení.

KAPITOLA X

Závěrečná ustanovení

Článek 59

Zrušení rámcového rozhodnutí 2008/977/SVV

1.   Rámcové rozhodnutí 2008/977/SVV se zrušuje s účinkem ode dne 6. května 2018.

2.   Odkazy na zrušené rámcové rozhodnutí uvedené v odstavci 1 se považují za odkazy na tuto směrnici.

Článek 60

Již platné právní akty Unie

Konkrétní ustanovení o ochraně osobních údajů obsažená v právních aktech Unie vstoupivších v platnost nejpozději 6. května 2016 v oblasti justiční spolupráce v trestních věcech a policejní spolupráce, jež upravují zpracování mezi členskými státy a přístup určených orgánů členských států do informačních systémů zřízených podle Smluv v mezích působnosti této směrnice, zůstávají nedotčena.

Článek 61

Vztah k dříve uzavřeným mezinárodním dohodám v oblasti justiční spolupráce v trestních věcech a policejní spolupráce

Mezinárodní dohody zahrnující předávání osobních údajů do třetích zemí či mezinárodním organizacím, které byly uzavřeny členskými státy před 6. květnem 2016 a jsou v souladu s právem Unie použitelným před uvedeným dnem, zůstávají v platnosti, dokud nebudou změněny, nahrazeny či zrušeny.

Článek 62

Zprávy Komise

1.   Do 6. května 2022 a poté každé čtyři roky předloží Komise Evropskému parlamentu a Radě zprávu o hodnocení a přezkumu této směrnice. Tyto zprávy se zveřejní.

2.   V souvislosti s hodnoceními a přezkumy uvedenými v odstavci 1 Komise přezkoumá zejména uplatňování a fungování kapitoly V o předávání osobních údajů do třetích zemí nebo mezinárodním organizacím, se zvláštním zřetelem na rozhodnutí přijatá podle čl. 36 odst. 3 a článku 39.

3.   Pro účely odstavců 1 a 2 může Komise požádat členské státy a dozorové úřady o informace.

4.   Při provádění hodnocení a přezkumů uvedených v odstavcích 1 a 2 Komise zohlední stanoviska a zjištění Evropského parlamentu, Rady a dalších příslušných subjektů nebo zdrojů.

5.   Komise v případě potřeby předloží vhodné návrhy na změnu této směrnice, zejména s přihlédnutím k vývoji informačních technologií a k pokroku v oblasti informační společnosti.

6.   Komise do 6. května 2019 přezkoumá jiné právní akty přijaté Unií, které upravují zpracování příslušnými orgány pro účely stanovené v čl. 1 odst. 1, včetně aktů uvedených v článku 60, s cílem posoudit, zda je třeba je uvést do souladu s touto směrnicí, a pokud ano, předloží nezbytné návrhy na změnu těchto aktů tak, aby byl zaručen soudržný přístup k ochraně osobních údajů v oblasti působnosti této směrnice.

Článek 63

Provedení ve vnitrostátním právu

1.   Členské státy do 6. května 2018 přijmou a zveřejní právní a správní předpisy nezbytné pro dosažení souladu s touto směrnicí. Znění těchto předpisů neprodleně sdělí Komisi. Použijí tyto předpisy ode dne 6. května 2018.

Tyto předpisy přijaté členskými státy musí obsahovat odkaz na tuto směrnici nebo musí být takový odkaz učiněn při jejich úředním vyhlášení. Způsob odkazu si stanoví členské státy.

2.   Odchylně od odstavce 1 může členský stát stanovit, že automatizované systémy zpracování zavedené přede dnem 6. května 2016 se ve výjimečných případech, kdy to vyžaduje nepřiměřené úsilí, uvedou do souladu s čl. 25 odst. 1 do 6. května 2023.

3.   Odchylně od odstavců 1 a 2 tohoto článku může členský stát ve výjimečných případech uvést konkrétní automatizovaný systém zpracování uvedený v odstavci 2 tohoto článku do souladu s čl. 25 odst. 1 ve stanovené lhůtě po uplynutí lhůty uvedené v odstavci 2 tohoto článku, pokud by to jinak způsobilo vážné obtíže pro provoz tohoto konkrétního automatizovaného systému zpracování. Dotyčný členský stát oznámí Komisi důvody těchto vážných obtíží i důvody pro stanovenou lhůtu, během níž uvede konkrétní automatizovaný systém zpracování do souladu s čl. 25 odst. 1. Stanovená lhůta v každém případě skončí nejpozději 6. května 2026.

4.   Členské státy sdělí Komisi znění hlavních ustanovení vnitrostátních právních předpisů, které přijmou v oblasti působnosti této směrnice.

Článek 64

Vstup v platnost

Tato směrnice vstupuje v platnost prvním dnem po vyhlášení v Úředním věstníku Evropské unie.

Článek 65

Určení

Tato směrnice je určena členským státům.

V Bruselu dne 27. dubna 2016.

Za Evropský parlament

předseda

M. SCHULZ

Za Radu

předsedkyně

J.A. HENNIS-PLASSCHAERT


(1)  Úř. věst. C 391, 18.12.2012, s. 127.

(2)  Postoj Evropského parlamentu ze dne 12. března 2014 (dosud nezveřejněný v Úředním věstníku) a postoj Rady v prvním čtení ze dne 8. dubna 2016 (dosud nezveřejněný v Úředním věstníku). Postoj Evropského parlamentu ze dne 14. dubna 2016.

(3)  Směrnice Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (Úř. věst. L 281, 23.11.1995, s. 31).

(4)  Rámcové rozhodnutí Rady 2008/977/SVV ze dne 27. listopadu 2008 o ochraně osobních údajů zpracovávaných v rámci policejní a justiční spolupráce v trestních věcech (Úř. věst. L 350, 30.12.2008, s. 60).

(5)  Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (viz strana 1 v tomto čísle Úředního věstníku).

(6)  Nařízení Evropského parlamentu a Rady (ES) č. 45/2001 ze dne 18. prosince 2000 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány a institucemi Společenství a o volném pohybu těchto údajů (Úř. věst. L 8, 12.1.2001, s. 1).

(7)  Směrnice Evropského parlamentu a Rady 2011/24/EU ze dne 9. března 2011 o uplatňování práv pacientů v přeshraniční zdravotní péči (Úř. věst. L 88, 4.4.2011, s. 45).

(8)  Společný postoj Rady 2005/69/SVV ze dne 24. ledna 2005 o výměně některých údajů s Interpolem (Úř. věst. L 27, 29.1.2005, s. 61).

(9)  Rozhodnutí Rady 2007/533/SVV ze dne 12. června 2007 o zřízení, provozování a využívání Schengenského informačního systému druhé generace (SIS II) (Úř. věst. L 205, 7.8.2007, s. 63).

(10)  Směrnice Rady 77/249/EHS ze dne 22. března 1977 o usnadnění účinného výkonu volného pohybu služeb advokátů (Úř. věst. L 78, 26.3.1977, s. 17).

(11)  Nařízení Evropského parlamentu a Rady (EU) č. 182/2011 ze dne 16. února 2011, kterým se stanoví pravidla a obecné zásady způsobu, jakým členské státy kontrolují Komisi při výkonu prováděcích pravomocí (Úř. věst. L 55, 28.2.2011, s. 13).

(12)  Rozhodnutí Rady 2008/615/SVV ze dne 23. června 2008 o posílení přeshraniční spolupráce, zejména v boji proti terorismu a přeshraniční trestné činnosti (Úř. věst. L 210, 6.8.2008, s. 1).

(13)  Akt Rady ze dne 29. května 2000, kterým se v souladu s článkem 34 Smlouvy o Evropské unii vypracovává Úmluva o vzájemné pomoci v trestních věcech mezi členskými státy Evropské unie (Úř. věst. C 197, 12.7.2000, s. 1).

(14)  Směrnice Evropského parlamentu a Rady 2011/93/EU ze dne 13. prosince 2011 o boji proti pohlavnímu zneužívání a pohlavnímu vykořisťování dětí a proti dětské pornografii, kterou se nahrazuje rámcové rozhodnutí Rady 2004/68/SVV (Úř. věst. L 335, 17.12.2011, s. 1).

(15)  Úř. věst. L 176, 10.7.1999, s. 36.

(16)  Úř. věst. L 53, 27.2.2008, s. 52.

(17)  Úř. věst. L 160, 18.6.2011, s. 21.

(18)  Úř. věst. C 192, 30.6.2012, s. 7.