(1)

Vnitřní trh představuje jeden z nejhmatatelnějších úspěchů Unie. Tím, že umožňuje volný pohyb osob, zboží, služeb a kapitálu, nabízí svým občanům a podnikům nové příležitosti. Toto nařízení je klíčovým prvkem strategie pro jednotný trh stanovené sdělením Komise ze dne 28. října 2015 nazvaným „Zlepšování jednotného trhu: více příležitostí pro lidi a podniky“. Cílem této strategie je plně využít potenciál vnitřního trhu tím, že občanům a podnikům usnadní pohyb v rámci Unie a přeshraniční obchodování, usazování a rozvoj podnikání.

(2)

Sdělení Komise ze dne 6. května 2015 nazvané „Strategie pro jednotný digitální trh v Evropě“ uznává úlohu, kterou internet a digitální technologie hrají při proměně našeho životního stylu a způsobu, jakým se občané a podniky dostávají k informacím, získávají znalosti, nakupují zboží a služby, účastní se trhu a pracují tím, že usnadňují příležitosti pro inovaci, růst a zaměstnanost. Toto sdělení spolu s několika usneseními přijatými Evropským parlamentem uznalo, že potřeby občanů a podniků v jejich vlastních zemích a přeshraničně by mohly být lépe naplněny, pokud by došlo k integraci stávajících portálů, internetových stránek, sítí, služeb a systémů na evropské úrovni a jejich propojení s různými vnitrostátními řešeními, čímž by vznikla jednotná digitální brána, která by sloužila jako jednotné evropské vstupní místo (dále jen „brána“). Tato brána je ve sdělení Komise ze dne 19. dubna 2016 nazvaném „Akční plán EU pro ‚eGovernment‘ na období 2016–2020: Urychlování digitální transformace veřejné správy“ uvedena mezi jednou z činností na rok 2017. Zpráva Komise ze dne 24. ledna 2017 nazvaná „Posílení práv občanů v Unii demokratické změny – zpráva o občanství EU pro rok 2017“ považuje bránu za prioritu pro uplatňování práv občanů Unie.

(3)

Evropský parlament a Rada opakovaně požadovaly úplnější a uživatelsky vstřícnější soubor informací a asistenci, které by občanům a podnikům pomohly nastavit vnitřní trh a které by posílily a zjednodušily nástroje vnitřního trhu tak, aby lépe vyhovovaly potřebám občanů a podniků při jejich přeshraničních činnostech.

(4)

Toto nařízení odpovídá na tyto požadavky tím, že občanům a podnikům nabízí snadný přístup k informacím, postupům a asistenčním službám a službám pro řešení problémů, které potřebují k výkonu svých práv na vnitřním trhu. Brána by mohla přispět k větší transparentnosti pravidel a předpisů týkajících se různých situací v podnikání a životě v oblastech, jako je cestování, důchod, vzdělávání, zaměstnání, zdravotní péče, práva spotřebitele a rodinná práva. Dále by mohla pomoci zlepšit důvěru spotřebitelů, řešit problém nedostatečného povědomí o ochraně spotřebitele a o pravidlech vnitřního trhu a snížit náklady podniků na dodržování předpisů. Toto nařízení zřizuje uživatelsky vstřícnou, interaktivní bránu, která by uživatelům v souladu s jejich potřebami měla pomáhat nalézt služby, které jsou pro ně nejvhodnější. Při dosahování těchto cílů by v tomto rámci měly hrát důležitou úlohu Komise a členské státy.

(5)

Tato brána by měla usnadňovat vzájemné kontakty mezi občany a podniky na jedné straně a příslušnými orgány na straně druhé tím, že poskytne přístup k online řešením, zjednoduší občanům a podnikům vyřizování jejich každodenních záležitostí a minimalizuje překážky, s nimiž se potýkají na vnitřním trhu. Existence jednotné digitální brány poskytující online přístup k přesným a aktuálním informacím, postupům a asistenčním službám a službám pro řešení problémů by mohla pomoci zvýšit povědomí uživatelů o různých službách, které jsou dostupné online, a mohla by jim ušetřit čas i náklady.

(6)

Toto nařízení sleduje trojí cíl, totiž snížit veškerou dodatečnou administrativní zátěž občanů a podniků, kteří vykonávají nebo chtějí vykonávat svá práva na vnitřním trhu, včetně volného pohybu občanů, v plném souladu s vnitrostátními pravidly a postupy, odstranit diskriminaci a zajistit fungování vnitřního trhu, pokud jde o poskytování informací, postupů a asistenčních služeb a služeb pro řešení problémů. Jelikož se toto nařízení vztahuje na volný pohyb občanů, který nelze považovat za pouhou shodu okolností, mělo by se zakládat na čl. 21 odst. 2 a čl. 114 odst. 1 Smlouvy o fungování Evropské unie (dále jen „Smlouva o fungování EU“).

(7)

Aby občané a podniky v Unii mohli využívat svého práva na volný pohyb v rámci vnitřního trhu, měla by Unie přijmout zvláštní nediskriminační opatření, jež občanům a podnikům umožní snadný přístup k dostatečně komplexním a spolehlivým informacím o jejich právech podle práva Unie a k informacím o platných vnitrostátních pravidlech a postupech, které musejí dodržet, pokud se přestěhují, budou žít či studovat v jiném než vlastním členském státě, nebo pokud se v něm usadí nebo budou vykonávat podnikatelskou činnost. Informace by se měly považovat za dostatečně komplexní, pokud zahrnují veškeré informace, které jsou nezbytné k tomu, aby uživatelé pochopili, jaká jsou jejich práva a povinnosti a obsahují pravidla, jež se na ně vztahují, týkající se činností, které chtějí vyvíjet jako přeshraniční uživatelé. Tyto informace by měly být podávány jasně, stručně a srozumitelně a měly by být operativní a uzpůsobené cílové skupině uživatelů. Informace o postupech by měly zahrnovat veškeré předpokládané procesní kroky, které jsou pro uživatele relevantní. Pro občany a podniky čelící složitému regulatornímu prostředí, například pokud působí v oblasti elektronického obchodu a sdílené ekonomiky, je důležité, aby mohli snadno zjistit, jaká jsou platná pravidla a jak se vztahují na jejich činnosti. Snadný a uživatelsky vstřícný přístup k informacím znamená, že uživatelům umožňuje informace snadno najít, snadno zjistit, které informace jsou pro jejich konkrétní situaci relevantní, a snadno takovým relevantním informacím porozumět. Informace, které by měly být poskytnuty na vnitrostátní úrovni, by se měly týkat nejen vnitrostátních pravidel, jež provádí právo Unie, ale rovněž veškerých ostatních vnitrostátních pravidel, která platí jak pro uživatele, kteří nejsou přeshraničními uživateli, tak pro přeshraniční uživatele.

(8)

Pravidla pro poskytování informací podle tohoto nařízení by se neměla vztahovat na vnitrostátní soudní systémy, neboť informace v této oblasti, které jsou relevantní pro přeshraniční uživatele, jsou již poskytovány na portálu e-justice. V některých situacích, na něž se vztahuje toto nařízení, by se soudy měly považovat za příslušné orgány, například pokud soudy spravují obchodní rejstříky. Kromě toho by se i na online postupy, které umožňují přístup k soudnímu řízení, měla vztahovat zásada zákazu diskriminace.

(9)

Je zřejmé, že občané a podniky z jiných členských států mohou být znevýhodněni kvůli své neznalosti vnitrostátních pravidel a administrativních systémů, používání odlišných jazyků a větší zeměpisné vzdálenosti příslušných orgánů v jiných než vlastních členských státech. Nejúčinnějším způsobem, jak snížit následné překážky na vnitřním trhu, je umožnit jak uživatelům, kteří nejsou přeshraničními uživateli, tak přeshraničním uživatelům, aby získali přístup k informacím online v jazyce, kterému jsou schopni rozumět a tím jim umožnit, aby splnili postupy nutné k dodržení vnitrostátních pravidel zcela online, a nabídnout jim asistenční služby pokud pravidla a postupy nejsou dostatečně jasné nebo pokud při výkonu svých práv narazí na překážky.

(10)

Řada aktů Unie má za cíl poskytnout řešení vytvořením jednoho správního místa pro jednotlivá odvětví včetně jednotných kontaktních míst, která byla zřízena směrnicí Evropského parlamentu a Rady 2006/123/ES (3), jež poskytují online informace, asistenční služby a přístup k postupům, jež jsou důležité pro poskytování služeb; kontaktních míst pro výrobky, které byly zřízeny nařízením Evropského parlamentu a Rady (ES) č. 764/2008 (4); a kontaktních míst pro stavební výrobky, která byla zřízena nařízením Evropského parlamentu a Rady (EU) č. 305/2011 (5), jež poskytují přístup k technickým pravidlům pro určité výrobky; a národních center pomoci pro odbornou kvalifikaci, která byla zřízena směrnicí Evropského parlamentu a Rady 2005/36/ES (6), jež poskytují pomoc pracovníkům, kteří se přestěhují do zahraničí. Dále byly zřízeny sítě, jako například evropská spotřebitelská centra, jejichž účelem je napomoci porozumění právům spotřebitele v Unii a poskytnout pomoc při řešení stížností v souvislosti s nákupy provedenými v jiných členských státech v rámci této sítě při cestování nebo nakupování online. SOLVIT (systém řešení problémů na vnitřním trhu) se dále, jak je uvedeno v doporučení Komise 2013/461/EU (7), snaží poskytovat jednotlivcům a podnikům rychlá, účinná a neformální řešení, když jim orgány veřejné moci upírají jejich práva na vnitřním trhu. V neposlední řadě bylo zřízeno několik informačních portálů, jako je Vaše Evropa, pokud jde o vnitřní trh, a portál e-justice, který se vztahuje k oblasti spravedlnosti, jež informují uživatele o unijních a vnitrostátních pravidlech.

(11)

Stávající poskytování informačních a asistenčních služeb a služeb pro řešení problémů online spolu s online postupy pro občany a podniky je v důsledku odvětvové povahy těchto aktů Unie velmi roztříštěné. Existují rozdíly v dostupnosti online informací a postupů, kvalita služeb je nedostatečná a chybí povědomí o těchto informacích a asistenčních službách a službách pro řešení problémů. Rovněž přeshraniční uživatelé mají problémy s možností vyhledání a dostupností těchto služeb.

(12)

Toto nařízení by mělo zřídit jednotnou digitální bránu, která by měla být jednotným vstupním místem, jehož prostřednictvím budou občané a podniky moci získávat informace o pravidlech a požadavcích, které musí splnit v souladu s právem Unie nebo s vnitrostátním právem. Tato brána by měla zjednodušit a zefektivnit kontakt občanů a podniků s asistenčními službami a službami pro řešení problémů, jež byly zřízeny na úrovni Unie nebo na vnitrostátní úrovni. Tato brána by rovněž měla usnadnit přístup k online postupům a jejich provádění. Toto nařízení by se nemělo dotýkat stávajících práv a povinností podle práva Unie nebo vnitrostátního práva v rámci daných oblastí politiky. Pokud jde o postupy uvedené v příloze II tohoto nařízení a postupy uvedené ve směrnicích 2005/36/ES a 2006/123/ES a ve směrnicích Evropského parlamentu a Rady 2014/24/EU (8) a 2014/25/EU (9), mělo by toto nařízení za účelem výměny důkazů mezi příslušnými orgány v různých členských státech podpořit uplatnění zásady „pouze jednou“ a mělo by plně dodržovat základní právo na ochranu osobních údajů.

(13)

Tato brána a její obsah by měly pamatovat především na uživatele a být uživatelsky vstřícné. Brána by se neměla překrývat se stávajícími službami a měla by na ně odkazovat. Měla by občanům a podnikům umožnit spolupracovat s veřejnými orgány na úrovni Unie i na vnitrostátní úrovni tím, že jim dá možnost poskytnout zpětnou vazbu týkající se jak služeb nabízených prostřednictvím brány, tak i jejich zkušeností s fungováním vnitřního trhu. Nástroj pro zpětnou vazbu by měl uživatelům dát možnost upozornit na zjištěné problémy, nedostatky a potřeby způsobem, který umožní uživateli zůstat v anonymitě, za účelem neustálého zvyšování kvality daných služeb.

(14)

Úspěch brány bude záviset na spojeném úsilí Komise a členských států. Brána by měla obsahovat společné uživatelské rozhraní, které bude začleněné do stávajícího portálu Vaše Evropa a které bude spravovat Komise. Společné uživatelské rozhraní by mělo obsahovat odkazy na informace, postupy a asistenční služby a služby pro řešení problémů, které jsou dostupné na portálech spravovaných příslušnými orgány v členských státech a Komisí. Aby bylo používání brány co nejsnazší, společné uživatelské rozhraní by mělo být dostupné ve všech úředních jazycích orgánů Unie (dále jen „úřední jazyky Unie“). Stávající portál Vaše Evropa a jeho hlavní přístupový odkaz internetových stránek by v podobě přizpůsobené požadavkům brány mě zachovat tento mnohojazyčný přístup k poskytovaným informacím. Fungování brány by měly podporovat technické nástroje vyvinuté Komisí v úzké spolupráci se členskými státy.

(15)

V Chartě elektronických jednotných kontaktních míst podle směrnice 2006/123/ES, která získala podporu v Radě v roce 2013, se členské státy dobrovolně zavázaly uplatnit při poskytování informací prostřednictvím jednotných kontaktních míst přístup zaměřený na uživatele tak, aby zahrnuly oblasti, které jsou pro podniky obzvláště důležité, včetně požadavků týkajících se DPH, daní z příjmu, sociálního zabezpečení nebo pracovního práva. Na základě Charty a zkušeností s portálem Vaše Evropa by tyto informace měly také uvádět popis asistenčních služeb a služeb pro řešení problémů. Občané a podniky by měli mít možnost se na tyto služby obrátit, pokud mají problémy porozumět určité informaci, použít tuto informaci na svou situaci nebo provést určitý postup.

(16)

V tomto nařízení by měly být vymezeny oblasti informací, jež jsou relevantní pro občany a podniky vykonávající svá práva a plnící své povinnosti na vnitřním trhu. V těchto oblastech by měly být poskytovány dostatečně komplexní informace na vnitrostátní úrovni, včetně úrovně regionální a místní, a na úrovni Unie, a to s vysvětlením platných pravidel a povinností a postupů, které občané a podniky musí splnit, aby daná pravidla a povinnosti dodrželi. Za účelem zajištění kvality nabízených služeb by informace poskytované prostřednictvím brány měly být jasné, přesné a vždy aktuální, měly by obsahovat co nejméně složité terminologie a měly by být používány pouze zkratky, které představují zjednodušené a snadno srozumitelné pojmy, které nevyžadují předchozí znalost dané problematiky či dané oblasti práva. Tyto informace by měly být poskytovány způsobem, jenž uživatelům umožní snadno porozumět základním pravidlům a požadavkům použitelným na jejich situaci v těchto oblastech. Uživatelé by měli být také informováni o tom, že v některých členských státech neexistují vnitrostátní pravidla pro oblasti informací uvedené v příloze I, zvláště vztahují-li se na tyto oblasti vnitrostátní pravidla v jiných členských státech. Takové informace o neexistenci vnitrostátních pravidel by mohly být uvedeny na portálu Vaše Evropa.

(17)

Kdykoliv je to možné, měly by se informace, jež Komise získala od členských států podle stávajícího práva Unie nebo v rámci dobrovolných opatření, například informace získané pro účely portálu EURES zřízeného nařízením Evropského parlamentu a Rady (EU) 2016/589 (10), portálu e-justice zřízeného rozhodnutím Rady 2001/470/ES (11) nebo databáze regulovaných povolání zřízené směrnicí 2005/36/ES, využít k pokrytí části informací, jež mají být zpřístupněny občanům a podnikům na úrovni Unie a na vnitrostátní úrovni v souladu s tímto nařízením. Od členských států by nemělo být požadováno, aby zveřejňovaly na svých vnitrostátních internetových stránkách informace, které jsou již k dispozici v příslušných databázích spravovaných Komisí. Pokud již členské státy mají povinnost poskytovat informace online podle jiných aktů Unie, například podle směrnice Evropského parlamentu a Rady 2014/67/EU (12), mělo by stačit, aby členské státy uvedly odkazy na již existující informace online. Pokud již byly některé oblasti politiky plně harmonizovány prostřednictvím práva Unie, například práva spotřebitele, měly by být informace poskytované na úrovni Unie obecně dostačující k tomu, aby uživatelé porozuměli svým relevantním právům a povinnostem. V těchto případech by se od členských států mělo požadovat, aby poskytly pouze dodatečné informace týkající se jejich vnitrostátních správních postupů a asistenčních služeb nebo jakýchkoli jiných vnitrostátních správních pravidel, pokud jsou pro uživatele relevantní. Informace o právech spotřebitele by se například neměly dotýkat smluvního práva, ale měly by spíše informovat uživatele o jejich právech podle práva Unie a vnitrostátního práva v rámci obchodních transakcí.

(18)

Toto nařízení by mělo zvýšit rozsah online postupů na vnitřním trhu a přispět tak k digitalizaci vnitřního trhu tím, že podpoří obecnou zásadu nediskriminace mimo jiné v souvislosti s přístupem občanů nebo podniků k online postupům, které již byly na vnitrostátní úrovni zavedeny na základě práva Unie nebo vnitrostátního práva, a k postupům, které mají být zpřístupněny zcela online v souladu s tímto nařízením. Pokud má uživatel, jehož situace je omezena výhradně na jediný členský stát, možnost online přístupu k určitému postupu a jeho splnění v daném členském státě v oblasti, na niž se vztahuje toto nařízení, měl by mít přeshraniční uživatel rovněž možnost online přístupu k tomuto postupu a jeho splnění, a to s použitím buď téhož technického řešení, nebo alternativního, technicky samostatného řešení, které povede ke stejnému výsledku, bez jakýchkoli diskriminačních překážek. Tyto překážky by mohly spočívat v řešeních koncipovaných na vnitrostátní úrovni, například využívání polí ve formulářích, která vyžadují vnitrostátní telefonní čísla, vnitrostátní předvolby telefonních čísel nebo vnitrostátní poštovní směrovací čísla, platby poplatků, které lze provést pouze prostřednictvím systémů, jež neumožňují přeshraniční platby, chybějící podrobná vysvětlení v jazyce, kterému přeshraniční uživatelé rozumějí, chybějící možnost předložit elektronický důkaz získaný na úřadech v jiném členském státě a chybějící možnost přijmout elektronický prostředek prokazování totožnosti vydaný v jiných členských státech. Členské státy by měly poskytnout řešení těchto překážek.

(19)

Pokud uživatelé provádějí online postupy přeshraničně, měli by mít možnost obdržet veškerá příslušná vysvětlení v úředním jazyce Unie, kterému obecně rozumí co nejvyšší počet přeshraničních uživatelů. To neznamená, že se od členských států vyžaduje, aby překládaly své administrativní formuláře pro tento postup ani výstup tohoto postupu do uvedeného jazyka. Členské státy jsou však podněcovány k tomu, aby využívaly technická řešení, která by uživatelům umožnila v co nejvyšší míře provádět dané postupy v uvedeném jazyce, a to při dodržení pravidel členských států pro používání jazyků.

(20)

Online vnitrostátní postupy, které jsou pro přeshraniční uživatele relevantní, aby mohli vykonávat svá práva na vnitřním trhu, závisí na tom, zda mají bydliště nebo jsou usazeni v daném členském státě, nebo chtějí získat přístup k postupům daného členského státu, přestože mají bydliště nebo jsou usazeni v jiném členském státě. Toto nařízení by nemělo členským státům bránit, aby od přeshraničních uživatelů, kteří mají bydliště nebo jsou usazeni na jejich území, požadovaly pro získání přístupu k online vnitrostátním postupům získání národního identifikačního čísla, pokud to pro tyto uživatele nepředstavuje neodůvodněnou dodatečnou zátěž nebo náklady. Pro přeshraniční uživatele, kteří nemají bydliště nebo nejsou usazeni v dotčeném členském státě, nemusí být zcela zpřístupňovány online takové online vnitrostátní postupy, které nejsou relevantní pro výkon jejich práv na vnitřním trhu, například registrace k využívání místních služeb jako je svoz odpadu či parkovací povolení.

(21)

Toto nařízení by mělo vycházet z nařízení Evropského parlamentu a Rady (EU) č. 910/2014 (13), které stanovuje podmínky, za nichž členské státy uznávají určité prostředky elektronického prokazování totožnosti fyzických a právnických osob, jež spadají pod oznámený systém elektronického prokazování totožnosti jiného členského státu. Nařízení (EU) č. 910/2014 stanoví podmínky, za nichž mohou uživatelé používat své prostředky elektronického prokazování totožnosti a ověřování pro online přístup k veřejným službám v přeshraničních situacích. Orgány, instituce a jiné subjekty Unie jsou podněcovány k tomu, aby při postupech, za které odpovídají, akceptovaly prostředky elektronického prokazování totožnosti a ověřování.

(22)

Řada odvětvových aktů Unie, jako jsou směrnice 2005/36/ES, 2006/123/ES, 2014/24/EU a 2014/25/EU, vyžaduje, aby se postupy prováděly zcela online. Tímto nařízením by se mělo u řady dalších postupů, jež mají klíčový význam pro většinu občanů a podniků při přeshraničním výkonu jejich práv a dodržování jejich povinností, vyžadovat, aby byly zpřístupněny zcela online.

(23)

Aby občané a podniky mohli přímo využívat výhody vnitřního trhu bez další zbytečné administrativní zátěže, mělo by toto nařízení požadovat plnou digitalizaci uživatelského rozhraní určitých klíčových postupů pro přeshraniční uživatele, které jsou uvedeny v příloze II tohoto nařízení. Toto nařízení by mělo stanovit kritéria pro určení, kdy jsou tyto postupy považovány za zcela online. Povinnost učinit takový postup zcela dostupný online by se měla uplatňovat pouze tehdy, pokud byl tento postup zaveden v daném členském státě. Toto nařízení by nemělo zahrnovat počáteční registraci podnikatelské činnosti, postupy vedoucí k založení společností nebo firem coby právních subjektů ani jakoukoli následnou evidenci takových společností nebo firem, neboť tyto postupy vyžadují komplexní přístup zaměřený na usnadnění digitálních řešení po celou dobu existence společnosti. Pokud jsou podniky založeny v jiném členském státě, požaduje se po nich, aby se registrovaly v systému sociálního zabezpečení a v systému pojištění, aby mohly registrovat své zaměstnance a platit příspěvky do obou systémů. Mohly by mít povinnost své podnikatelské činnosti nahlásit, získat povolení nebo registrovat změny ve své podnikatelské činnosti. Tyto postupy jsou společné pro podniky působící v mnoha odvětvích hospodářství, a je proto vhodné požadovat, aby tyto postupy byly dostupné online.

(24)

Toto nařízení by mělo vyjasnit, co se rozumí postupem nabízeným zcela online. Postup by se měl považovat za zcela online, pokud uživatel může ve spolupráci s příslušným orgánem (tzv. „front office“) učinit všechny kroky od získání přístupu až po dokončení daného postupu elektronicky, na dálku a prostřednictvím online služby. Tato online služba by měla uživatele vést pomocí seznamu všech požadavků, jež musí být splněny, a všech podkladů, které musí být předloženy, měla by uživateli umožnit, aby poskytl informace a prokázal splnění všech těchto požadavků, a měla by uživateli vystavit automatické potvrzení o přijetí, nebyl-li výstup postupu doručen okamžitě. To by nemělo bránit příslušným orgánům spojit se přímo s uživateli, bude-li nezbytné získat další vysvětlení potřebná pro účely daného postupu. Výstup postupu podle tohoto nařízení by měly příslušné orgány uživateli doručit rovněž elektronicky, umožňuje-li to platné právo Unie a vnitrostátní právo.

(25)

Tímto nařízením by neměla být dotčena věcná podstata postupů uvedených v příloze II, které jsou zavedeny na celostátní, regionální nebo místní úrovni, a nestanoví materiální a procesní pravidla v oblastech v působnosti přílohy II, včetně oblasti daní. Účelem tohoto nařízení má být stanovení technických požadavků pro zajištění toho, aby takové postupy, byly-li v daném členském státě zavedeny, byly zcela dostupné online.

(26)

Tímto nařízením by neměla být dotčena pravomoc vnitrostátních orgánů v určitém postupu, včetně ověřování přesnosti a platnosti předložených informací nebo důkazů a ověření pravosti, byly-li důkazy předloženy jinými prostředky než prostřednictvím technického systému založeného na zásadě „pouze jednou“. Tímto nařízením by neměly být dotčeny ani pracovní postupy v rámci příslušných orgánů a mezi nimi (tzv. „back office“), bez ohledu na to, zda jsou tyto pracovní postupy digitalizované, či nikoliv. Je-li to nutné jako součást některého z postupů registrace změn v podnikatelské činnosti, měly by členské státy mít možnost i nadále požadovat zapojení notářů nebo právníků, kteří by mohli chtít využít prostředky ověřování jako je videokonference nebo jiné prostředky online, které umožňují audiovizuální spojení v reálném čase. Jejich zapojení by však nemělo bránit dokončení postupů registrace těchto změn zcela online.

(27)

V některých případech může být od uživatelů požadováno, aby předložili důkazy k prokázání skutečností, které nelze ověřit online prostředky. K takovým důkazům by mohly patřit lékařská osvědčení, důkaz o tom, že je daná osoba naživu, doklad o technické způsobilosti motorových vozidel nebo kontrola jejich čísel podvozku. Pokud je možné důkazy k prokázání těchto skutečností předložit v elektronické podobě, nemělo by se jednat o výjimku ze zásady, že postup by měl být nabízen zcela online. V jiných případech by mohlo být stále nezbytné, aby se uživatelé kvůli určitému postupu dostavili v rámci online postupu k příslušnému orgánu osobně. Všechny takové výjimky, které nevyplývají z práva Unie, by se měly týkat pouze případů, které jsou opodstatněné převažujícím důvodem veřejného zájmu v oblastech veřejné bezpečnosti, veřejného zdraví nebo boje proti podvodům. V zájmu zajištění transparentnosti by měly členské státy sdílet s Komisí a s ostatními členskými státy informace o těchto výjimkách a o důvodech a okolnostech, kdy je možné tyto výjimky uplatnit. Členské státy by neměly mít povinnost hlásit každý jednotlivý případ, kdy bylo výjimečně nutné se dostavit osobně, nýbrž by spíše měly oznámit vnitrostátní ustanovení, která takové případy stanoví. V rámci koordinační skupiny pro bránu by měly být pravidelně projednávány osvědčené postupy na vnitrostátní úrovni a technický vývoj umožňující další digitalizaci v tomto ohledu.

(28)

V přeshraničních situacích by se mohl postup registrace změny adresy sestávat ze dvou samostatných postupů, a to jednoho v členském státě původu, kterým se žádá o odhlášení z původní adresy, a druhého v členském státě určení, kterým se žádá o přihlášení na nové adrese. Toto nařízení by se mělo vztahovat na oba postupy.

(29)

Jelikož na digitalizaci požadavků, postupů a formalit týkajících se uznávání odborných kvalifikací se již vztahuje směrnice 2005/36/ES, toto nařízení by se mělo vztahovat pouze na digitalizaci postupu, kterým se žádá o akademické uznání diplomů, osvědčení či jiných dokladů o dokončených kurzech u osob, které si přejí zahájit studium nebo v něm pokračovat, nebo používat akademický titul, nad rámec formalit týkajících se uznávání odborných kvalifikací.

(30)

Tímto nařízením by neměla být dotčena pravidla koordinace sociálního zabezpečení, jež jsou stanovena v nařízeních Evropského parlamentu a Rady (ES) č. 883/2004 (14) a (ES) č. 987/2009 (15), která vymezují práva a povinnosti pojištěných osob a institucí sociálního zabezpečení a rovněž postupy, které se použijí v oblasti koordinace sociálního zabezpečení.

(31)

Na úrovni Unie a na vnitrostátní úrovni bylo zřízeno několik sítí a služeb, jež pomáhají občanům a podnikům při jejich přeshraniční činnosti. Je důležité, aby tyto služby, včetně stávajících asistenčních služeb či služeb pro řešení problémů zřízených na úrovni Unie, jako jsou evropská spotřebitelská centra, služba Vaše Evropa – Poradenství, síť SOLVIT, asistenční služby pro práva duševního vlastnictví, kontaktní centra Europe Direct a síť Enterprise Europe Network, byly součástí brány, aby bylo zajištěno, že je všichni uživatelé mohou s jistotou nalézt. Služby, které jsou uvedeny v příloze III, byly zřízeny závaznými akty Unie, zatímco ostatní služby fungují na základě dobrovolnosti. Na služby zřízené závaznými akty Unie by se měly vztahovat požadavky na kvalitu stanovené tímto nařízením. Služby fungující na základě dobrovolnosti by měly tyto požadavky na kvalitu splňovat, je-li jejich záměrem zpřístupnit je prostřednictvím brány. Tímto nařízením by se neměl změnit rozsah a povaha uvedených služeb, ujednání o jejich správě, stávající lhůty ani dobrovolný, smluvní nebo jiný základ pro jejich provozování. Pokud je například jimi poskytovaná pomoc neformální povahy, nemělo by toto nařízení mít za následek přeměnu této pomoci na právní poradenství závazné povahy.

(32)

Členské státy a Komise by měly mít možnost se rozhodnout za podmínek stanovených tímto nařízením přidat do brány další vnitrostátní asistenční služby nebo služby pro řešení problémů, které jsou poskytovány příslušnými orgány nebo soukromými nebo polosoukromými subjekty nebo orgány veřejné moci, jako jsou obchodní komory či nevládní asistenční služby pro občany. Obecně by příslušné orgány měly odpovídat za poskytování pomoci občanům a podnikům v případě jakýchkoliv dotazů, které mají v souvislosti s platnými pravidly a postupy a které nelze v úplnosti položit prostřednictvím online služeb. Nicméně ve vysoce specializovaných oblastech, a pokud služba poskytovaná soukromými či polosoukromými orgány splňuje potřeby uživatelů, mohou členské státy Komisi navrhnout, aby takové služby začlenila do brány, splňují-li tyto služby veškeré podmínky stanovené tímto nařízením a nepřekrývají-li se s již zařazenými asistenčními službami nebo službami pro řešení problémů.

(33)

Aby uživatelé zjistili, která služba je pro ně vhodná, mělo by toto nařízení poskytnout vyhledávač asistenčních služeb, který uživatele automaticky dovede ke správné službě.

(34)

V zájmu zajištění spolehlivého poskytování informací a služeb je splnění minimálních požadavků na kvalitu pro úspěch brány zásadní, neboť v opačném případě by byla vážně narušena důvěryhodnost celé brány. Hlavním cílem tohoto splnění požadavků je zajistit, aby byly informace nebo služby předkládány jasným a uživatelsky vstřícným způsobem. Je v pravomoci členských států, aby určily, jakým způsobem jsou během postupu uživatele informace předkládány, aby byl tento cíl splněn. Například, je sice užitečné, jsou-li uživatelé ještě před zahájením postupu informováni o obecně dostupných opravných prostředcích v případě nepříznivého výsledku postupu, mnohem uživatelsky vstřícnější je ovšem poskytnout veškeré specifické informace o možných krocích, které je třeba v takovém případě učinit, na konci postupu.

(35)

Přístupnost informací pro přeshraniční uživatele lze výrazně zlepšit, pokud budou dané informace dostupné i v jiném úředním jazyce Unie, kterému obecně rozumí co nejvyšší počet přeshraničních uživatelů. Tímto jazykem by měl být ve většině případů ten cizí jazyk, který se uživatelé v celé Unii učí v co nejširší míře, ale v některých specifických případech, konkrétně v případě, kdy informace mají na místní úrovni poskytovat orgány místní samosprávy v pohraničí určitého členského státu, může být tím nejvhodnějším jazykem jazyk, který je prvním jazykem přeshraničních uživatelů v sousedním členském státě. Překlad z úředního jazyka nebo jazyků daných členských států do tohoto dalšího úředního jazyka Unie by měl přesně odrážet obsah informací, které jsou poskytnuty v původním jazyce nebo jazycích. Překlad lze omezit pouze na informace, které uživatelé potřebují k porozumění základním pravidlům a požadavkům, jež se vztahují na jejich situaci. Členské státy by sice měly být podněcovány k tomu, aby do úředního jazyka Unie, kterému obecně rozumí co nejvyšší počet přeshraničních uživatelů, přeložily co nejvíce informací, objem informací k překladu podle tohoto nařízení však bude záviset na finančních zdrojích, které budou pro tento účel k dispozici, zejména těch z rozpočtu Unie. Komise by měla učinit vhodná opatření s cílem zajistit členským státům na jejich žádost účinné poskytování překladů. Koordinační skupina pro bránu by měla projednat a vydat pokyny ve věci úředního jazyka nebo jazyků Unie, do kterých by tyto informace měly být přeloženy.

(36)

V souladu se směrnicí Evropského parlamentu a Rady (EU) 2016/2102 (16) mají členské státy povinnost zajistit, aby internetové stránky jejich veřejných institucí byly přístupné v souladu se zásadami vnímatelnosti, ovladatelnosti, srozumitelnosti a stability a aby splňovaly požadavky podle této směrnice. Komise a členské státy by měly zajistit dodržování Úmluvy Organizace spojených národů o právech osob se zdravotním postižením, zejména s články 9 a 21 této úmluvy, a v zájmu podpory přístupu osob s mentálním postižením k informacím by měly být v co nejvyšší míře v souladu se zásadou proporcionality nabízeny alternativy napsané zjednodušeným jazykem. Členské státy se ratifikací této úmluvy a Unie jejím uzavřením (17) společně zavázaly přijmout vhodná opatření k zajištění přístupu osob se zdravotním postižením, stejným způsobem jako ostatních, k novým informačním a komunikačním technologiím a systémům, včetně internetu, a to usnadněním přístupu osob s mentálním postižením tím, že v co nejvyšší míře a přiměřeným způsobem zajistí alternativy zjednodušeným jazykem.

(37)

Směrnice (EU) 2016/2102 se nevztahuje na internetové stránky a mobilní aplikace orgánů, institucí a jiných subjektů Unie, Komise by však měla zajistit, aby společné uživatelské rozhraní a odkazy internetových stránek, za které odpovídá a které mají být zařazeny do brány, byly přístupné pro osoby se zdravotním postižením, což znamená, že musí být snadno vnímatelné, ovladatelné, srozumitelné a dostatečně stabilní. Vnímatelnost znamená, že informace a prvky společného uživatelského rozhraní musí být uživatelům prezentovány tak, aby je byli schopni vnímat; ovladatelnost znamená, že prvky společného uživatelského rozhraní a navigace musí být ovladatelné; srozumitelnost znamená, že informace a ovládání společného uživatelského rozhraní musí být srozumitelné, a stabilita znamená, že obsah musí být dostatečně stabilní na to, aby mohl být spolehlivě vykládán širokou škálou uživatelských aplikací, včetně pomocných technologií. Pokud jde o výrazy vnímatelný, ovladatelný, srozumitelný a stabilní, Komisi se doporučuje, aby postupovala v souladu s příslušnými harmonizovanými normami.

(38)

V zájmu usnadnění úhrady poplatků požadovaných v rámci online postupů nebo při poskytnutí asistenčních služeb nebo služeb pro řešení problémů by přeshraniční uživatelé měli mít možnost využívat úhrady nebo inkasa, jak je uvedeno v nařízení Evropského parlamentu a Rady (EU) č. 260/2012 (18), nebo jiné obecně používané přeshraniční platební prostředky včetně debetních či kreditních karet.

(39)

Je užitečné, aby byli uživatelé informováni o předpokládané době trvání postupu. Měli by proto být informováni o použitelných lhůtách nebo režimu tichého souhlasu či nevyjádření se správního orgánu, nebo, nepoužijí-li se takové lhůty či režimy, alespoň o průměrné, odhadované nebo orientační době, kterou obvykle daný postup vyžaduje. Tyto odhadované nebo orientační doby by měly uživatelům pouze pomoci při plánování jejich činností nebo případných dalších administrativních kroků a neměly by mít žádný právní účinek.

(40)

Toto nařízení by rovněž mělo umožnit ověření důkazů, které uživatelé poskytnou v elektronické podobě, pokud jsou důkazy předloženy bez elektronické pečeti nebo certifikace příslušného vydávajícího orgánu, nebo pokud není k dispozici technický nástroj zřízený tímto nařízením ani žádný jiný systém umožňující přímou výměnu nebo ověření důkazů mezi příslušnými orgány různých členských států. Pro takové případy by toto nařízení mělo poskytovat účinný mechanismus správní spolupráce mezi příslušnými orgány členských států založený na systému pro výměnu informací o vnitřním trhu (dále jen „systém IMI“), který byl zřízen nařízením Evropského parlamentu a Rady (EU) č. 1024/2012 (19). V těchto případech by rozhodnutí příslušného orgánu používat systém IMI mělo být dobrovolné, avšak jakmile tento orgán podal žádost o informace nebo spolupráci prostřednictvím systému IMI, měl by mít příslušný dožádaný orgán povinnost spolupracovat a poskytnout odpověď. Žádost může být zaslána prostřednictvím systému IMI buď příslušnému orgánu vydávajícímu doklad, nebo ústřednímu orgánu, který určí členské státy v souladu s jejich vlastními správními pravidly. Aby nedošlo ke zbytečnému překrývání činností, a vzhledem k tomu, že nařízení Evropského parlamentu a Rady (EU) 2016/1191 (20) se již vztahuje na část důkazů relevantních pro postupy, které spadají do oblasti působnosti tohoto nařízení, mohou se mechanismy spolupráce pro systém IMI stanovené v nařízení (EU) 2016/1191 použít i pro účely dalších důkazů požadovaných v rámci postupů spadajících do oblasti působnosti tohoto nařízení. Aby instituce a jiné subjekty Unie mohly fungovat v rámci systému IMI, nařízení (EU) č. 1024/2012 by mělo být změněno.

(41)

Online služby poskytované příslušnými orgány jsou klíčové pro zvýšení kvality a bezpečnosti služeb poskytovaných občanům a podnikům. Orgány veřejné správy v členských státech se ve zvýšené míře snaží o opakované používání údajů a snaží se nepožadovat od občanů a podniků, aby jim poskytovali stejné informace několikrát. Opakované použití údajů by mělo být usnadněno v případě přeshraničních uživatelů tak, aby se snížila administrativní zátěž.

(42)

Aby byla možná zákonná přeshraniční výměna důkazů a informací díky celounijnímu uplatňování zásady „pouze jednou“, při uplatňování tohoto nařízení a zásady „pouze jednou“ by měla být dodržována všechna pravidla použitelná v oblasti ochrany údajů, včetně zásad minimalizace údajů, přesnosti, omezení uložení, integrity a důvěrnosti, nezbytnosti, proporcionality a účelového omezení. Uplatňování tohoto nařízení by rovněž mělo být plně v souladu se zásadami bezpečnosti a ochrany soukromí již od návrhu a měla by také být dodržována základní práva osob, včetně práv souvisejících s korektností a transparentností.

(43)

Členské státy by měly zajistit, aby uživatelé postupů obdrželi jasné informace o způsobu, jakým jsou zpracovány osobní údaje, které se jich týkají, v souladu s články 13 a 14 nařízení Evropského parlamentu a Rady (EU) 2016/679 (21) a s články 15 a 16 nařízení (EU) 2018/1725 (22).

(44)

Aby se dále usnadnilo použití online postupů, mělo by toto nařízení, v souladu se zásadou „pouze jednou“, poskytovat základ pro vytvoření a používání plně provozuschopného, bezpečného a zabezpečeného technického systému pro automatizovanou výměnu důkazů mezi subjekty zúčastněnými na daném postupu, pokud o to občané a podniky výslovně požádají. Zahrnuje-li výměna důkazů osobní údaje, měla by být tato žádost považována za výslovnou tehdy, pokud obsahuje svobodný, konkrétní, informovaný a jednoznačný projev vůle daného jedince, kterým dává prostřednictvím svého prohlášení či potvrzení najevo, že souhlasí s výměnou relevantních osobních údajů. Pokud uživatel není osobou, které se tyto údaje týkají, neměl by se online postup dotýkat jeho práv podle nařízení (EU) 2016/679. Přeshraniční uplatňování zásady „pouze jednou“ by mělo znamenat, že by občané a podniky neměli mít povinnost poskytovat stejné údaje orgánům veřejné moci více než jednou a že by mělo být rovněž možné používat tyto údaje na žádost uživatele pro účely splnění přeshraničních online postupů týkajících se přeshraničních uživatelů. Pokud jde o příslušný orgán, povinnost používat technický systém pro automatizovanou výměnu důkazů mezi různými členskými státy by se měla uplatňovat pouze tehdy, pokud orgány v souladu se zákonem vydají ve svém vlastním členském státě důkaz v elektronické podobě, který umožňuje takovou automatizovanou výměnu.

(45)

Každá přeshraniční výměna důkazů by měla mít náležitý právní základ, jako například směrnici 2005/36/ES, 2006/123/ES, 2014/24/EU nebo 2014/25/EU, nebo v případě postupů uvedených v příloze II podle jiného použitelného práva Unie či vnitrostátního práva.

(46)

Je vhodné, aby toto nařízení stanovilo jako obecné pravidlo, že přeshraniční automatizovaná výměna důkazů se provádí na výslovnou žádost uživatele. Tento požadavek by se však neměl použít, pokud příslušné právo Unie či vnitrostátní právo dovoluje automatizovanou přeshraniční výměnu údajů bez výslovné žádosti uživatele.

(47)

Používání technického systému zřízeného tímto nařízením by mělo být i nadále dobrovolné a uživatel by měl rovněž mít možnost předkládat důkazy jinými prostředky než prostřednictvím tohoto technického systému. Uživatel by měl mít možnost zobrazit si náhled důkazu a právo rozhodnout se neprovádět výměnu důkazů v případech, kdy uživatel po nahlédnutí do důkazů k výměně zjistí, že dané informace jsou nepřesné, neaktuální či přesahují rozsah toho, co je pro účely daného postupu nezbytné. Údaje obsažené v náhledu by neměly být ukládány po dobu delší než je po technické stránce nezbytné.

(48)

Zabezpečený technický systém, který by měl být vytvořen pro výměnu důkazů podle tohoto nařízení, by žádající příslušné orgány měl rovněž ujistit, že daný důkaz byl poskytnut správným vydávajícím orgánem. Před přijetím informací poskytnutých uživatelem v rámci určitého postupu by příslušný orgán měl mít v případě pochybností možnost si informace ověřit a dospět k závěru, že jsou přesné.

(49)

Existuje již řada stavebních prvků nabízejících základní kapacity, jež mohou být k vytvoření tohoto technického systému využity, například v rámci Nástroje pro propojení Evropy vytvořeného nařízením Evropského parlamentu a Rady (EU) č. 1316/2013 (23) a stavební prvky elektronického doručování a elektronické identifikace, které jsou součástí tohoto nástroje. Tyto stavební prvky sestávají z technických specifikací, vzorového softwaru a podpůrných služeb, přičemž jejich cílem je zajistit interoperabilitu mezi stávajícími systémy informačních a komunikačních technologií (IKT) v různých členských státech tak, aby občané, podniky a správní orgány mohli z kteréhokoliv místa v Unii využívat plynulé digitální veřejné služby.

(50)

Technický systém zřízený tímto nařízením by měl být k dispozici vedle ostatních systémů poskytujících mechanismy spolupráce mezi orgány, jako je systém IMI, a neměl by mít vliv na ostatní systémy, včetně systému stanoveného v nařízení (ES) č. 987/2009, jednotného evropského osvědčení pro veřejné zakázky podle směrnice 2014/24/EU, elektronické výměny informací o sociálním zabezpečení podle nařízení (ES) č. 987/2009, evropského profesního průkazu podle směrnice 2005/36/ES, propojení vnitrostátních rejstříků, propojení ústředních, obchodních a podnikových rejstříků podle směrnice Evropského parlamentu a Rady (EU) 2017/1132 (24) a propojení insolvenčních rejstříků podle nařízení Evropského parlamentu a Rady (EU) 2015/848 (25).

(51)

Za účelem zajištění jednotných podmínek k provedení technického systému umožňujícího automatizovanou výměnu důkazů by měly být Komisi svěřeny prováděcí pravomoci ke stanovení zejména technických a provozních specifikací systému zpracování žádostí uživatelů o výměnu důkazů a přenos daných důkazů, jakož i stanovení nezbytných opatření pro zajištění integrity a důvěrnosti přenosu. Tyto pravomoci by měly být vykonávány v souladu s nařízením Evropského parlamentu a Rady (EU) č. 182/2011 (26).

(52)

S cílem zajistit, aby technický systém poskytoval vysokou úroveň bezpečnosti pro přeshraniční uplatňování zásady „pouze jednou“, by při přijímání prováděcích aktů stanovících specifikace tohoto technického systému měla Komise náležitě zohlednit normy a technické specifikace, které vypracovaly evropské i mezinárodní normalizační organizace a subjekty, zejména Evropský výbor pro normalizaci (CEN), Evropský ústav pro telekomunikační normy (ETSI), Mezinárodní organizace pro normalizaci (ISO) a Mezinárodní telekomunikační unie (ITU), jakož i bezpečnostní normy podle článku 32 nařízení (EU) 2016/679 a článku 22 nařízení (EU) 2018/1725.

(53)

Je-li to nezbytné, měla by Komise za účelem zajištění vývoje, dostupnosti, údržby a správy zabezpečení těch částí technického systému, za které odpovídá, jakož i dohledu nad nimi a jejich sledování, požádat o radu evropského inspektora ochrany údajů.

(54)

Příslušné orgány a Komise by měly zajistit, že informace, postupy a služby, za něž jsou odpovědné, jsou v souladu s kvalitativními kritérii. Národní koordinátoři jmenovaní podle tohoto nařízení by měli pravidelně dohlížet na soulad s kvalitativními a bezpečnostními kritérii na vnitrostátní úrovni a Komise na úrovni Unie a měli by řešit jakékoliv problémy, jež vyvstanou. Národní koordinátoři by navíc měli pomáhat Komisi při sledování fungování technického systému umožňujícího přeshraniční výměnu důkazů. Toto nařízení by mělo dát Komisi k dispozici řadu prostředků, jak řešit zhoršení kvality služeb nabízených prostřednictvím brány, a to v závislosti na vážnosti a trvalosti takového zhoršení a v nezbytných případech za účasti koordinační skupiny pro bránu. Tímto by neměla být dotčena celková odpovědnost Komise, pokud jde o sledování souladu s tímto nařízením.

(55)

Toto nařízení by mělo upřesnit hlavní funkce technických nástrojů podporujících fungování brány, zejména společného uživatelského rozhraní, úložiště odkazů a společného vyhledávače asistenčních služeb. Společné uživatelské rozhraní by mělo zajistit, aby uživatelé mohli snadno nalézt informace, postupy a asistenční služby a služby pro řešení problémů na vnitrostátních i unijních internetových stránkách. Členské státy a Komise by měly usilovat o to, aby poskytovaly odkazy na jednotný zdroj informací požadovaných pro bránu, aby nebyli uživatelé mateni různými nebo zcela či zčásti opakujícími se zdroji téže informace. To by však nemělo vylučovat možnost poskytovat odkazy na tytéž informace, jež uvádějí místní nebo regionální příslušné orgány ohledně různých zeměpisných oblastí. Rovněž by to nemělo bránit určitému opakování informací v případech, kdy je to nevyhnutelné nebo žádoucí, například v případě opakování některých práv, povinností a pravidel Unie nebo jejich popisu na vnitrostátních odkazech internetových stránek v zájmu zlepšení uživatelské vstřícnosti. S cílem minimalizovat lidské zásahy při aktualizaci odkazů, jež budou používány společným uživatelským rozhraním, by mělo být zřízeno přímé spojení mezi příslušnými technickými systémy členských států a úložištěm odkazů, bude-li to z technického hlediska možné. Společné podpůrné nástroje IKT podpory by mohly pro usnadnění interoperability s katalogy a sémantikou vnitrostátních služeb využívat základní slovník veřejných služeb (CPSV). Členské státy by měly být podněcovány k využívání CPSV, mohou se však rozhodnout využívat vnitrostátní řešení. Informace obsažené v úložišti odkazů by měly být zveřejňovány v otevřeném, běžně používaném a strojově čitelném formátu, například pro aplikační programovací rozhraní (API), aby bylo možné jejich opětovné použití.

(56)

Nástroj vyhledávání ve společném uživatelském rozhraní by měl dovést uživatele k informacím, které potřebují, nacházejícím se kdekoliv na unijních či vnitrostátních odkazech internetových stránek. Kromě toho jako alternativní způsob, jak dovést uživatele k užitečným informacím, bude i nadále přínosné vytvářet odkazy na stávající i doplňující internetové stránky nebo odkazy internetových stránek, a to co největším zjednodušením přístupu k nim a jejich seskupováním, a vytvářet odkazy na internetové stránky a odkazy internetových stránek na úrovni Unie a na vnitrostátní úrovni poskytující přístup k online službám a informacím.

(57)

Toto nařízení by mělo rovněž specifikovat požadavky na kvalitu pro společné uživatelské rozhraní. Komise by měla zajistit, aby společné uživatelské rozhraní splňovalo tyto požadavky a toto rozhraní by mělo být zejména dostupné a přístupné online prostřednictvím různých kanálů a být snadné k používání.

(58)

Za účelem zajištění jednotných podmínek k provedení technických řešení podporujících bránu by měly být Komisi svěřeny prováděcí pravomoci ke stanovení v případě potřeby použitelných norem a požadavků na interoperabilitu s cílem usnadnit dohledatelnost informací o pravidlech a povinnostech, postupech a o asistenčních službách a službách pro řešení problémů, za něž odpovídají členské státy a Komise. Tyto pravomoci by měly být vykonávány v souladu s nařízením (EU) č. 182/2011.

(59)

Toto nařízení by rovněž mělo mezi Komisi a členské státy jasně rozdělit odpovědnost za vývoj, dostupnost, údržbu a bezpečnost aplikací IKT, jež podporují bránu. V rámci svých úkolů údržby by měly Komise a členské státy pravidelně sledovat řádné fungování těchto aplikací IKT.

(60)

Aby se rozvinul plný potenciál informací z různých oblastí, postupů a asistenčních služeb a služeb pro řešení problémů, které by měly být zahrnuty do brány, je třeba výrazně zvýšit povědomí cílových skupin o jejich existenci a fungování. Jejich zahrnutí do brány by uživatelům mělo velmi zjednodušit dohledatelnost potřebných informací, postupů a asistenčních služeb a služeb pro řešení problémů, a to i pokud žádné z nich neznají. Kromě toho bude zapotřebí koordinovaná propagační činnost, aby se zajistilo, že občané a podniky v celé Unii získají povědomí o existenci brány a o výhodách, které jim nabízí. Tato propagační činnost by měla zahrnovat optimalizaci vyhledávače a další online činnosti na zvyšování povědomí, jelikož jsou nákladově nejúčinnější a mají potenciál oslovit co nejširší cílovou skupinu. Pro maximální účinnost by se tato propagační činnost měla koordinovat v rámci koordinační skupiny pro bránu a členské státy by měly upravit svou propagační činnost tak, aby ve všech důležitých souvislostech existoval odkaz na společnou značku s možností společného označení jednotné digitální brány a vnitrostátních iniciativ.

(61)

Všechny instituce a jiné subjekty by měly být vybízeny k tomu, aby propagovaly bránu tím, že budou uvádět její logo a odkaz na všech svých relevantních odkazech internetových stránek, za něž odpovídají.

(62)

Názvem, pod kterým bude brána známa a propagována u veřejnosti, by mělo být označení „Your Europe“. Společné uživatelské rozhraní by mělo být výrazné a snadno dohledatelné především na relevantních unijních a vnitrostátních odkazech internetových stránek. Logo brány by mělo být viditelné na relevantních unijních a vnitrostátních internetových stránkách.

(63)

Aby byly k dispozici náležité informace pro měření a zlepšení výkonnosti brány, mělo by toto nařízení příslušným orgánům a Komisi ukládat povinnost shromažďovat a analyzovat údaje související s užíváním jednotlivých oblastí informací, postupů a služeb nabízených prostřednictvím brány. Díky shromažďování statistických údajů uživatelů, jako jsou údaje týkající se počtu návštěv konkrétních odkazů internetových stránek, počtu uživatelů v určitém členském státě v porovnání s počtem uživatelů z jiných členských států, použitých vyhledávacích výrazů, nejnavštěvovanějších odkazů internetových stránek, referenčních odkazů internetových stránek nebo počtu, původu a předmětu žádostí o asistenci, by se mělo zlepšit fungování brány, neboť tyto údaje pomohou určit cílové skupiny, vyvíjet propagační činnosti a zlepšit kvalitu nabízených služeb. Shromažďování těchto údajů by mělo zohledňovat každoroční srovnání v oblasti elektronické veřejné správy prováděné Komisí, aby se zabránilo jakémukoli zdvojování.

(64)

Za účelem zajištění jednotných podmínek k provedení tohoto nařízení by měly být Komisi svěřeny prováděcí pravomoci ke stanovení jednotných pravidel pro metodiku shromažďování a výměny statistických údajů o uživatelích. Tyto pravomoci by měly být vykonávány v souladu s nařízením (EU) č. 182/2011.

(65)

Kvalita brány závisí na kvalitě unijních a vnitrostátních služeb poskytovaných prostřednictvím této brány. Kvalita informací, postupů a asistenčních služeb a služeb pro řešení problémů, které budou dostupné prostřednictvím brány, by se proto rovněž měla pravidelně sledovat pomocí nástroje pro zpětnou vazbu od uživatelů, který bude uživatele žádat, aby zhodnotili pokrytí a kvalitu informací, postupů nebo asistenčních služeb a služeb pro řešení problémů, které použili, a v souvislosti s tím podali zpětnou vazbu. Tato zpětná vazba by se měla shromažďovat ve společném nástroji, k němuž by měli mít přístup Komise, příslušné orgány a národní koordinátoři. Komisi by měly být svěřeny prováděcí pravomoci za účelem zajištění jednotných podmínek k provedení tohoto nařízení ve vztahu ke společným funkcím nástrojů pro zpětnou vazbu od uživatelů a podrobných způsobů získávání a sdílení této zpětné vazby od uživatelů. Tyto pravomoci by měly být vykonávány v souladu s nařízením (EU) č. 182/2011. Komise by měla zveřejnit v anonymizované podobě online souhrnné přehledy problémů, které vyplývají z informací, hlavních uživatelských statistik a hlavních zpětných vazeb od uživatelů shromážděných v souladu s tímto nařízením.

(66)

Kromě toho by měl být zahrnut nástroj pro zpětnou vazbu, který umožňuje uživatelům, aby dobrovolně a anonymně ohlásili jakékoliv problémy a potíže, na něž narazili během výkonu svých práv na vnitřním trhu. Tento nástroj by se měl považovat pouze za doplněk k mechanismu řešení stížností, neboť neumožňuje osobní odpověď uživatelům. Získaný vstup by se měl spojit se souhrnnými informacemi od asistenčních služeb a služeb pro řešení problémů o případech, které řešily, tak aby vznikl přehled o vnitřním trhu z pohledu uživatelů a aby byly určeny problematické oblasti pro případná budoucí opatření za účelem zlepšení fungování vnitřního trhu. Tento přehled by měl být propojen se stávajícími nástroji pro podávání zpráv, jako je srovnávací přehled výsledků v oblasti jednotného trhu.

(67)

Právo členských států rozhodnout, kdo by měl plnit úlohu národního koordinátora, by mělo zůstat tímto nařízením nedotčeno. Členské státy by měly mít možnost přizpůsobovat funkce a povinnosti národních koordinátorů související s branou svým vnitřním správním strukturám. Členské státy by měly mít možnost jmenovat další národní koordinátory, aby sami nebo společně s jinými plnili úkoly podle tohoto nařízení, a to pro určitý správní útvar, zeměpisnou oblast nebo podle jiného kritéria. Členské státy by měly uvědomit Komisi o totožnosti jediného národního koordinátora, kterého jmenovaly pro styk s Komisí.

(68)

Aby se usnadnilo provedení tohoto nařízení, zejména prostřednictvím výměny osvědčených postupů a spolupráce na zlepšení jednotnosti předložených informací, jak ji toto nařízení vyžaduje, měla by být stanovena koordinační skupina pro bránu složená z národních koordinátorů, jíž bude předsedat Komise. Tato koordinační skupina pro bránu by při své práci měla zohledňovat cíle stanovené v ročním pracovním programu, který by jí Komise měla předložit k posouzení. Roční pracovní program by měl mít podobu pokynů nebo doporučení, které nejsou pro členské státy závazné. Na žádost Evropského parlamentu může Komise rozhodnout, že Parlament vyzve k vyslání odborníků, aby se zúčastnili schůzí koordinační skupiny pro bránu.

(69)

Toto nařízení by mělo vyjasnit, které části brány mají být financovány z rozpočtu Unie a za které mají odpovídat členské státy. Komise by měla být členským státům nápomocna při určování opětovně použitelných stavebních prvků IKT a financování dostupného prostřednictvím různých fondů a programů na úrovni Unie, které může přispět k pokrytí nákladů na úpravy a vývoj IKT nezbytných na vnitrostátní úrovni pro dosažení souladu s tímto nařízením. Rozpočet potřebný pro provádění tohoto nařízení by měl být v souladu s platným víceletým finančním rámcem.

(70)

Členské státy se vybízejí k větší vzájemné koordinaci, výměně a spolupráci, aby se zvýšila jejich strategická, operativní, výzkumná a rozvojová kapacita v oblasti kybernetické bezpečnosti, zejména prostřednictvím provádění bezpečnosti sítí a informací, jak je uvedeno ve směrnici Evropského parlamentu a Rady (EU) 2016/1148 (27), v zájmu posílení bezpečnosti a odolnosti jejich veřejných správ a služeb. Členské státy se vybízejí, aby zvýšily bezpečnost transakcí a zajistily dostatečnou úroveň důvěry v elektronické prostředky používáním rámce eIDAS, stanoveného nařízením (EU) č. 910/2014, a zejména přiměřené úrovně záruk. Členské státy mohou přijmout opatření v souladu s právem Unie k zajištění kybernetické bezpečnosti a předcházení podvodu zneužití totožnosti či jiným formám podvodů.

(71)

Pokud uplatňování tohoto nařízení zahrnuje zpracování osobních údajů, mělo by se provádět v souladu s právem Unie o ochraně osobních údajů, zejména nařízením (EU) 2016/679 a nařízením (EU) 2018/1725. Směrnice Evropského parlamentu a Rady (EU) 2016/680 (28) by se měla rovněž použít v rámci tohoto nařízení. Jak se stanoví v nařízení (EU) 2016/679, mohou členské státy zachovat nebo zavést další podmínky, včetně omezení, pokud jde o zpracování údajů o zdravotním stavu, a mohou také stanovit konkrétnější pravidla o zpracování osobních údajů zaměstnanců v souvislosti se zaměstnáním.

(72)

Toto nařízení by mělo podporovat a usnadňovat zjednodušení mechanismů řízení služeb, které jsou v bráně zahrnuty. Za tímto účelem by měla Komise v úzké spolupráci s členskými státy přezkoumat stávající mechanismy řízení a v případě potřeby je upravit tak, aby nedocházelo k překrývání činností a neefektivitě.

(73)

Toto nařízení má za cíl zajistit, aby uživatelé, kteří působí v jiných členských státech, měli online přístup k úplným, spolehlivým, přístupným a srozumitelným unijním i vnitrostátním informacím o právech, pravidlech a povinnostech, k online postupům, které jsou plně přeshraniční, a k asistenčním službám a službám pro řešení problémů. Jelikož tohoto cíle nemůže být dosaženo uspokojivě členskými státy, ale spíše ho, z důvodu rozsahu a účinků tohoto nařízení, může být lépe dosaženo na úrovni Unie, může Unie přijmout opatření v souladu se zásadou subsidiarity stanovenou v článku 5 Smlouvy o Evropské unii. V souladu se zásadou proporcionality stanovenou v uvedeném článku, nepřekračuje toto nařízení rámec toho, co je nezbytné k dosažení tohoto cíle.

(74)

Aby členské státy a Komise vyvinuly a zavedly nezbytné nástroje pro uplatnění tohoto nařízení, měla by se některá jeho ustanovení použít dva roky po jeho vstupu v platnost. Orgánům místní samosprávy by měla být stanovena lhůta čtyř let od vstupu tohoto nařízení v platnost pro provedení požadavku na poskytování informací o pravidlech a postupech a asistenčních službách a službách pro řešení problémů v rámci jejich působnosti. Ustanovení tohoto nařízení upravující postupy zcela nabízené online, přeshraniční přístup k online postupům a technický systém pro přeshraniční automatizovanou výměnu důkazů v souladu se zásadou „pouze jednou“ by měla být provedena nejpozději do pěti let od vstupu tohoto nařízení v platnost.

(75)

Toto nařízení dodržuje základní práva a ctí zásady uznané zejména Listinou základních práv Evropské unie a mělo by být provedeno v souladu s těmito právy a zásadami.

(76)

V souladu s čl. 28 odst. 2 nařízení Evropského parlamentu a Rady (ES) č. 45/2001 (29) byl konzultován evropský inspektor ochrany údajů, který vydal své stanovisko dne 1. srpna 2017 (30),

(1)

Ochrana fyzických osob v souvislosti se zpracováním osobních údajů je základním právem. Ustanovení čl. 8 odst. 1 Listiny základních práv Evropské unie (dále jen „Listina“) a čl. 16 odst. 1 Smlouvy o fungování Evropské unie (dále jen „Smlouva o fungování EU“) přiznávají každému právo na ochranu osobních údajů, které se jej týkají. Toto právo je rovněž zaručeno článkem 8 Evropské úmluvy o ochraně lidských práv a základních svobod.

(2)

Nařízení Evropského parlamentu a Rady (ES) č. 45/2001 (3) přiznává fyzickým osobám právně vymahatelná práva, vymezuje povinnosti správců při zpracovávání údajů v orgánech a subjektech Společenství a zřizuje nezávislý orgán dozoru, evropského inspektora ochrany údajů, který odpovídá za monitorování zpracování osobních údajů orgány a subjekty Unie. Nevztahuje se však na zpracování osobních údajů při činnostech orgánů a subjektů Unie, které nespadají do působnosti práva Unie.

(3)

Nařízení Evropského parlamentu a Rady (EU) 2016/679 (4) a směrnice Evropského parlamentu a Rady (EU) 2016/680 (5) byly přijaty dne 27. dubna 2016. Zatímco nařízení stanoví obecná pravidla pro ochranu fyzických osob v souvislosti se zpracováním osobních údajů a zajištění volného pohybu osobních údajů v Unii, směrnice stanoví zvláštní pravidla pro ochranu fyzických osob v souvislosti se zpracováním osobních údajů a zajištění volného pohybu osobních údajů v Unii v oblastech justiční spolupráce v trestních věcech a policejní spolupráce.

(4)

Nařízení (EU) 2016/679 konstatuje potřebu úpravy nařízení (ES) č. 45/2001 s cílem zajistit pevný a soudržný rámec pro ochranu osobních údajů na úrovni Unie a umožnit jeho uplatňování zároveň s nařízením (EU) 2016/679.

(5)

V zájmu soudržného přístupu k ochraně osobních údajů v celé Unii je, aby byla pravidla pro ochranu údajů pro orgány, instituce a jiné subjekty Unie v nejvyšší možné míře sladěna s pravidly přijatými pro veřejný sektor v členských státech. Kdekoliv ustanovení tohoto nařízení vycházejí ze stejných zásad jako ustanovení nařízení (EU) 2016/679, měla by být obě ustanovení podle judikatury Soudního dvora Evropské unie (dále jen „Soudní dvůr“) vykládána jednotně, především proto, že režim tohoto nařízení by měl být chápán jako odpovídající režimu nařízení (EU) 2016/679.

(6)

Osoby, jejichž osobní údaje v jakémkoliv kontextu zpracovávají orgány a subjekty Unie, například protože je tyto orgány a subjekty zaměstnávají, by měly být chráněny. Toto nařízení by se nemělo vztahovat na osobní údaje zesnulých osob. Toto nařízení se nevztahuje na zpracování osobních údajů právnických osob, a zejména podniků vytvořených jako právnické osoby, včetně názvu, právní formy a kontaktních údajů právnické osoby.

(7)

S cílem zabránit vzniku vážného rizika obcházení by ochrana fyzických osob měla být technologicky neutrální a nezávislá na použitých technologiích.

(8)

Toto nařízení by se mělo vztahovat na zpracování osobních údajů všemi orgány, institucemi a jinými subjekty Unie. Mělo by se vztahovat na zcela nebo částečně automatizované zpracování osobních údajů a na neautomatizované zpracování těch osobních údajů, které jsou obsaženy v evidenci nebo do ní mají být zařazeny. Záznamy nebo soubory záznamů ani jejich titulní strany, které nejsou uspořádány podle určených hledisek, by do oblasti působnosti tohoto nařízení spadat neměly.

(9)

V prohlášení č. 21 o ochraně osobních údajů v oblasti justiční spolupráce v trestních věcech a policejní spolupráce, připojeném k závěrečnému aktu mezivládní konference, která přijala Lisabonskou smlouvu, konference uznala, že zvláštní pravidla pro ochranu osobních údajů a volný pohyb osobních údajů v oblastech justiční spolupráce v trestních věcech a policejní spolupráce, založená na článku 16 Smlouvy o fungování EU, by se mohla vzhledem ke specifické povaze těchto oblastí ukázat jako nezbytná. Samostatná kapitola tohoto nařízení obsahující obecná pravidla by se proto měla vztahovat na zpracování operativních osobních údajů, kterými jsou například osobní údaje zpracovávané pro účely trestního vyšetřování institucemi a jinými subjekty Unie při výkonu činností v oblastech justiční spolupráce v trestních věcech a policejní spolupráce.

(10)

Směrnice (EU) 2016/680 stanoví harmonizovaná pravidla pro ochranu a volný pohyb osobních údajů zpracovávaných za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení. Aby byla zajištěna stejná úroveň ochrany fyzických osob prostřednictvím právně vymahatelných práv v celé Unii a zamezilo se rozdílům bránícím výměně osobních údajů mezi institucemi a jinými subjekty Unie při výkonu činností, které spadají do oblasti působnosti části třetí hlavy V kapitoly 4 nebo 5 Smlouvy o fungování EU, a příslušnými orgány, měla by pravidla pro ochranu a volný pohyb operativních osobních údajů zpracovávaných takovými institucemi a jinými subjekty Unie být v souladu se směrnicí (EU) 2016/680.

(11)

Obecná pravidla kapitoly tohoto nařízení týkající se zpracovávání operativních osobních údajů by měla být použitelná bez dotčení zvláštních pravidel vztahujících se na zpracování operativních osobních údajů institucemi a jinými subjekty Unie při výkonu činností, které spadají do oblasti působnosti části třetí hlavy V kapitoly 4 nebo 5 Smlouvy o fungování EU. Tato zvláštní pravidla by měla být považována za lex specialis vůči ustanovením v kapitole tohoto nařízení týkající se zpracovávání operativních osobních údajů (lex specialis derogat legi generali). Ve snaze snížit právní roztříštěnost by měla být zvláštní pravidla pro ochranu osobních údajů vztahující se na zpracování operativních osobních údajů institucemi a jinými subjekty Unie při výkonu činností, které spadají do oblasti působnosti části třetí hlavy V kapitoly 4 nebo 5 Smlouvy o fungování EU, v souladu se zásadami, z nichž vychází kapitola tohoto nařízení týkající se zpracovávání operativních osobních údajů, a také s ustanoveními tohoto nařízení týkajícími se nezávislého dozoru, právní ochrany, odpovědnosti a sankcí.

(12)

Kapitola tohoto nařízení týkající se zpracovávání operativních osobních údajů by se měla vztahovat na instituce a jiné subjekty Unie při výkonu činností, které spadají do oblasti působnosti části třetí hlavy V kapitoly 4 nebo 5 Smlouvy o fungování EU, ať již provádějí tyto činnosti jako své hlavní nebo vedlejší úkoly, pro účely prevence, odhalování, vyšetřování nebo stíhání trestných činů. Neměla by se však vztahovat na Europol ani na Úřad evropského veřejného žalobce, dokud nebudou právní akty, kterými se zřizuje Europol a Úřad evropského veřejného žalobce, pozměněny tak, aby se na tyto subjekty vztahovala kapitola tohoto nařízení týkající se zpracovávání operativních osobních údajů v pozměněném znění.

(13)

Komise by měla provádět přezkum tohoto nařízení, zejména kapitoly tohoto nařízení týkající se zpracovávání operativních osobních údajů. Komise by také měla provést přezkum jiných právních aktů přijatých na základě Smluv, které upravují zpracovávání operativních osobních údajů institucemi a jinými subjekty Unie při výkonu činností, které spadají do oblasti působnosti části třetí hlavy V kapitoly 4 nebo 5 Smlouvy o fungování EU. Po tomto přezkumu by Komise měla mít možnost – ve snaze zajistit jednotnou a důslednou ochranu fyzických osob s ohledem na zpracování osobních údajů – předložit vhodné legislativní návrhy, včetně nezbytných úprav kapitoly tohoto nařízení týkající se zpracování operativních osobních údajů, s cílem dosáhnout toho, aby se vztahovala i na Europol a na Úřad evropského veřejného žalobce. Tyto úpravy by měly zohlednit ustanovení týkající se nezávislého dohledu, opravných prostředků, odpovědnosti a sankcí.

(14)

Na zpracovávání administrativních osobních údajů, jakými jsou například údaje týkající se zaměstnanců, institucemi a jinými subjekty Unie při výkonu činností, které spadají do oblasti působnosti části třetí hlavy V kapitoly 4 nebo 5 Smlouvy o fungování EU, by se mělo toto nařízení vztahovat.

(15)

Toto nařízení by se mělo vztahovat na zpracovávání osobních údajů orgány, institucemi a jinými subjekty Unie při výkonu činností, které spadají do oblasti působnosti hlavy V kapitoly 2 Smlouvy o Evropské unii (dále jen „Smlouva o EU“). Toto nařízení by se nemělo vztahovat na zpracovávání osobních údajů při misích uvedených v čl. 42 odst. 1 a v článcích 43 a 44 Smlouvy o EU provádějících společnou bezpečnostní a obrannou politiku. Ve vhodných případech by měly být předloženy relevantní návrhy za účelem další regulace zpracování osobních údajů v oblasti společné bezpečnostní a obranné politiky.

(16)

Zásady ochrany údajů by se měly uplatňovat na všechny informace týkající se identifikované nebo identifikovatelné fyzické osoby. Osobní údaje, na něž byla uplatněna pseudonymizace a jež by mohly být přiřazeny fyzické osobě na základě dodatečných informací, by měly být považovány za informace o identifikovatelné fyzické osobě. Při určování, zda je fyzická osoba identifikovatelná, by se mělo přihlédnout ke všem prostředkům, jako je například výběr vyčleněním, o nichž lze rozumně předpokládat, že je správce nebo jiná osoba použijí pro přímou či nepřímou identifikaci dané fyzické osoby. Ke stanovení toho, zda lze rozumně předpokládat použití prostředků k identifikaci fyzické osoby, by měly být vzaty v úvahu všechny objektivní faktory, jako jsou náklady a čas, které si identifikace vyžádá, s přihlédnutím k technologii dostupné v době zpracování i k technologickému rozvoji. Zásady ochrany osobních údajů by se proto neměly vztahovat na anonymní informace, totiž informace, které se netýkají identifikované či identifikovatelné fyzické osoby, ani na osobní údaje anonymizované tak, že subjekt údajů není nebo již přestal být identifikovatelným. Toto nařízení se tedy netýká zpracování těchto anonymních informací, včetně zpracování pro statistické nebo výzkumné účely.

(17)

Použití pseudonymizace osobních údajů může omezit rizika pro dotčené subjekty údajů a napomoci správcům a zpracovatelům splnit jejich povinnosti týkající se ochrany údajů. Výslovné zavedení „pseudonymizace“ v tomto nařízení nemá za cíl předem vyloučit jakákoliv další opatření týkající se ochrany údajů.

(18)

Fyzickým osobám mohou být přiřazeny síťové identifikátory, které využívají jejich zařízení, aplikace, nástroje a protokoly, jako například adresy internetového protokolu či identifikátory cookies, nebo jiné identifikátory, jako jsou štítky pro identifikaci na základě rádiové frekvence. Tímto způsobem mohou být zanechány stopy, které mohou být zejména v kombinaci s jedinečnými identifikátory a dalšími informacemi, které servery získávají, použity k profilování fyzických osob a k jejich identifikaci.

(19)

Souhlas by měl být udělen jednoznačným potvrzením, které je vyjádřením svobodného, konkrétního, informovaného a jednoznačného svolení subjektu údajů ke zpracování osobních údajů, které se jej týkají, a to v podobě písemného prohlášení, i učiněného elektronicky, nebo ústního prohlášení. Mohlo by se například jednat o zaškrtnutí políčka při návštěvě internetové stránky, volbu technického nastavení pro služby informační společnosti nebo jiné prohlášení či jednání, které v této souvislosti jasně signalizuje souhlas subjektu údajů s navrhovaným zpracováním jeho osobních údajů. Mlčení, předem zaškrtnutá políčka nebo nečinnost by tudíž neměly být považovány za souhlas. Souhlas by se měl vztahovat na veškeré činnosti zpracování prováděné pro stejný účel nebo stejné účely. Jestliže má zpracování několik účelů, měl by být souhlas udělen pro všechny. Má-li subjekt údajů udělit souhlas na základě žádosti podané elektronickými prostředky, musí být žádost jasná a stručná a nesmí zbytečně narušit využívání služby, pro kterou je souhlas udělen. Zároveň by měl mít subjekt údajů právo kdykoli souhlas odvolat, aniž je tím dotčena zákonnost zpracování provedená na základě souhlasu před jeho odvoláním. S cílem zajistit, aby byl souhlas svobodný, by vyjádření souhlasu nemělo představovat platný právní důvod pro zpracování osobních údajů ve zvláštním případě, kdy mezi subjektem údajů a správcem existuje jasná nerovnováha, a je tedy nepravděpodobné, že za všech okolností této konkrétní situace byl souhlas udělen svobodně. Často není možné v době shromažďování osobních údajů v plném rozsahu stanovit účel zpracování osobních údajů pro účely vědeckého výzkumu. Subjektům údajů by proto mělo být umožněno, aby udělily svůj souhlas ohledně určitých oblastí vědeckého výzkumu v souladu s uznávanými etickými normami pro vědecký výzkum. Subjekty údajů by měly mít možnost udělit svůj souhlas pouze pro některé oblasti výzkumu nebo části výzkumných projektů v rozsahu přípustném pro zamýšlený účel.

(20)

Jakékoliv zpracování osobních údajů by mělo být prováděno zákonným způsobem a korektně. Pro fyzické osoby by mělo být transparentní, že osobní údaje, které se jich týkají, jsou shromažďovány, používány, konzultovány nebo jinak zpracovávány, jakož i v jakém rozsahu tyto osobní údaje jsou či budou zpracovány. Zásada transparentnosti vyžaduje, aby všechny informace a všechna sdělení týkající se zpracování těchto osobních údajů byly snadno přístupné a srozumitelné a podávané za použití jasných a jednoduchých jazykových prostředků. Tato zásada se dotýká zejména informování subjektů údajů o totožnosti správce a účelech zpracování a o dalších záležitostech v zájmu zajištění korektního a transparentního zpracování ve vztahu k dotčeným fyzickým osobám a jejich práva získat potvrzení a sdělení zpracovávaných osobních údajů, které se jich týkají. Fyzické osoby by měly být upozorněny na to, jaká rizika, pravidla, záruky a práva existují v souvislosti se zpracováním osobních údajů a jak mají v souvislosti s tímto zpracováním uplatňovat svá práva. Zejména je zapotřebí, aby konkrétní účely, pro které jsou osobní údaje zpracovávány, byly jednoznačné a legitimní a aby byly stanoveny v okamžiku shromažďování osobních údajů. Osobní údaje by měly být přiměřené, relevantní a omezené na to, co je nezbytné z hlediska účelů, pro které jsou zpracovávány. Je nezbytné zejména zajistit, aby byla doba, po kterou jsou osobní údaje uchovávány, omezena na nezbytné minimum. Osobní údaje by měly být zpracovány pouze tehdy, nemůže-li být účelu zpracování přiměřeně dosaženo jinými prostředky. Aby se zajistilo, že osobní údaje nebudou uchovávány déle, než je nezbytné, měl by správce stanovit lhůty pro výmaz nebo pravidelný přezkum. Měla by být přijata veškerá vhodná opatření, aby nepřesné osobní údaje byly opraveny nebo vymazány. Osobní údaje by měly být zpracovávány způsobem, který zaručí náležité zabezpečení a důvěrnost těchto údajů, mimo jiné za účelem zabránění neoprávněnému přístupu k osobním údajům a k zařízení používanému k jejich zpracování a za účelem zabránění jejich neoprávněnému zpřístupnění v případě jejich předání.

(21)

V souladu se zásadou odpovědnosti, jestliže orgány a subjekty Unie předávají osobní údaje v rámci téhož orgánu nebo subjektu Unie a příjemce není organizační složkou správce, anebo jiným orgánům nebo subjektům Unie, měly by ověřit, zda jsou tyto osobní údaje vyžadovány pro legitimní výkon úkolů spadajících do pravomoci příjemce. Po žádosti příjemce o předání osobních údajů by správce měl zejména ověřit, že existuje relevantní důvod pro zákonné zpracování osobních údajů příjemcem a pravomoc příjemce. Správce by měl provést předběžné hodnocení nezbytnosti předání údajů. Vzniknou-li pochybnosti, zda je předání nezbytné, měl by správce požádat příjemce o doplňující informace. Příjemce by měl zajistit, aby mohla být nezbytnost předání údajů následně ověřena.

(22)

Aby bylo zpracování zákonné, měly by být osobní údaje zpracovávány na základě nezbytnosti splnění úkolu prováděného orgány a subjekty Unie ve veřejném zájmu nebo při výkonu veřejné moci, nezbytnosti dodržení zákonné povinnosti, která se na správce vztahuje, nebo s ohledem na nějaký jiný legitimní základ podle tohoto nařízení, včetně souhlasu dotčeného subjektu údajů, nebo nezbytnosti plnění smlouvy, jejíž stranou je subjekt údajů, nebo pro přijetí opatření na žádost subjektu údajů před uzavřením smlouvy. Zpracování osobních údajů orgány a subjekty Unie za účelem plnění úkolů veřejného zájmu zahrnuje zpracování osobních údajů nezbytných pro řízení a fungování těchto orgánů a institucí. Zpracování osobních údajů by mělo být rovněž považováno za zákonné, pokud je nezbytné pro ochranu životně důležitého zájmu subjektu údajů nebo jiné fyzické osoby. Zpracování osobních údajů na základě životně důležitého zájmu jiné fyzické osoby by mělo v zásadě proběhnout pouze tehdy, pokud zjevně nemůže být založeno na jiném právním základě. Některé druhy zpracování mohou sloužit jak důležitým důvodům veřejného zájmu, tak životně důležitým zájmům subjektu údajů, například je-li zpracování nezbytné pro humanitární účely, včetně monitorování epidemií a jejich šíření nebo v naléhavých humanitárních situacích, zejména v případech přírodních a člověkem způsobených katastrof.

(23)

Právo Unie uvedené v tomto nařízení by mělo být jasné a přesné a jeho použití by mělo být předvídatelné pro osoby, na něž se vztahuje, v souladu s požadavky stanovenými v Listině a v Evropské úmluvě o ochraně lidských práv a základních svobod.

(24)

Vnitřní předpisy uvedené v tomto nařízení by měly být jasné a přesné akty s obecnou působností, které mají právní účinky vůči subjektům údajů. Měly by být přijaty na nejvyšší úrovni řízení orgánů a subjektů Unie v rámci jejich pravomocí a v otázkách spojených s jejich fungováním. Měly by být zveřejněny v Úředním věstníku Evropské unie. Použití těchto předpisů by mělo být předvídatelné pro osoby, na něž se vztahují, v souladu s požadavky stanovenými v Listině a v Evropské úmluvě o ochraně lidských práv a základních svobod. Vnitřní předpisy mohou mít podobu rozhodnutí, zejména jsou-li přijaty orgány Unie.

(25)

Zpracování osobních údajů pro jiné účely, než jsou ty, pro které byly osobní údaje původně shromážděny, by mělo být povoleno pouze v případě, kdy je slučitelné s účely, pro které byly osobní údaje původně shromážděny. V takovém případě není třeba právní základ odlišný od toho, který umožnil shromáždění osobních údajů. Pokud je zpracování nezbytné ke splnění úkolu prováděného ve veřejném zájmu či při výkonu veřejné moci, kterým je pověřen správce, mohou být v právu Unie určeny a vymezeny úkoly a účely, pro které se další zpracování považuje za slučitelné a zákonné. Další zpracování pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely by mělo být považováno za slučitelnou zákonnou operaci zpracování. Právní základ pro zpracování osobních údajů podle práva Unie může rovněž posloužit jako právní základ pro další zpracování. S cílem zjistit, zda je účel dalšího zpracování slučitelný s účelem, pro který byly osobní údaje původně shromážděny, by měl správce, po splnění všech požadavků na zákonnost původního zpracování, vzít mimo jiné v úvahu jakoukoliv vazbu mezi těmito účely a účely zamýšleného dalšího zpracování, kontext, v němž byly osobní údaje shromážděny, zejména přiměřená očekávání ohledně dalšího použití osobních údajů, která mají subjekty údajů na základě svého vztahu se správcem, povahu osobních údajů, důsledky zamýšleného dalšího zpracování pro subjekty údajů a existenci vhodných záruk jak během původních, tak během zamýšlených dalších operací zpracování.

(26)

Pokud je zpracování založeno na souhlasu subjektu údajů, měl by být správce schopen prokázat, že subjekt údajů udělil k dané operaci zpracování souhlas. Zejména v případě písemného prohlášení souvisejícího s jinou skutečností by mělo být pomocí záruk zajištěno, že si je subjekt údajů vědom toho, že uděluje souhlas a v jakém rozsahu. V souladu se směrnicí Rady 93/13/EHS (6) by prohlášení o souhlasu navržené správcem mělo být poskytnuto ve srozumitelném a snadno přístupném znění za použití jasného a jednoduchého jazyka a nemělo by obsahovat nepřiměřené podmínky. Aby se zajistilo, že souhlas bude informovaný, měl by subjekt údajů znát alespoň totožnost správce a účely zpracování, k nimž jsou jeho osobní údaje určeny. Souhlas by neměl být považován za svobodný, pokud subjekt údajů nemá skutečnou nebo svobodnou volbu nebo nemůže souhlas odmítnout nebo odvolat, aniž by byl poškozen.

(27)

Děti zasluhují zvláštní ochranu osobních údajů, protože si mohou být méně vědomy dotčených rizik, důsledků a záruk a svých práv v souvislosti se zpracováním osobních údajů. Tato zvláštní ochrana by se měla zejména vztahovat na vytváření osobnostních profilů a shromažďování osobních údajů týkajících se dětí při využívání služeb nabízených přímo dětem na internetových stránkách orgánů a subjektů Unie, jako jsou mezilidské komunikační služby nebo prodej vstupenek na internetu, kdy je zpracování osobních údajů založeno na souhlasu.

(28)

Jestliže by v Unii usazení příjemci jiní než orgány a subjekty Unie chtěli, aby jim orgány a subjekty Unie předaly osobní údaje, měli by prokázat, že předání těchto údajů je nezbytné buď pro plnění jejich úkolů, které vykonávají ve veřejném zájmu, nebo při výkonu veřejné moci, kterým jsou pověřeni. Popřípadě by tito příjemci měli prokázat, že předání těchto údajů je nezbytné pro konkrétní účel ve veřejném zájmu a správce by měl zjistit, zda je důvod se domnívat, že mohou být poškozeny oprávněné zájmy subjektu údajů. V takových případech by měl správce prokazatelně zvážit různé protichůdné zájmy, aby posoudil přiměřenost požadovaného předání osobních údajů. Tyto konkrétní účely ve veřejném zájmu by se mohly týkat transparentnosti orgánů a subjektů Unie. Orgány a subjekty Unie by dále měly tuto nezbytnost prokázat, pokud samy dávají podnět k předání údajů, v souladu se zásadou transparentnosti a řádné správy. Požadavky stanovené v tomto nařízení pro předávání údajů jiným příjemcům usazeným v Unii, než jsou orgány a subjekty Unie, by měly být chápány jako doplňkové k podmínkám pro zákonné zpracování.

(29)

Osobní údaje, které jsou svou povahou obzvláště citlivé z hlediska základních práv a svobod, zasluhují zvláštní ochranu, jelikož by při jejich zpracování mohla vzniknout závažná rizika pro základní práva a svobody. Tyto osobní údaje by se neměly zpracovávat, pokud nejsou splněny zvláštní podmínky stanovené v tomto nařízení. Mezi tyto osobní údaje by měly patřit osobní údaje vypovídající o rasovém či etnickém původu, ovšem s tím, že použití slov „rasový původ“ v tomto nařízení neznamená, že Unie akceptuje teorie, které se pokoušejí určit existenci různých lidských ras. Zpracování fotografií by nemělo být systematicky považováno za zpracování zvláštních kategorií osobních údajů, neboť na fotografie se definice biometrických údajů vztahuje pouze v případech, kdy jsou zpracovávány zvláštními technickými prostředky umožňujícími jedinečnou identifikaci nebo autentizaci fyzické osoby. Společně se zvláštními požadavky na zpracování citlivých údajů by se měly uplatňovat obecné zásady a další pravidla tohoto nařízení, zejména pokud jde o podmínky pro zákonné zpracování. Odchylky od obecného zákazu zpracování těchto zvláštních kategorií osobních údajů by měly být výslovně stanoveny mimo jiné v případě, kdy subjekt údajů uděluje svůj výslovný souhlas nebo jde-li o zvláštní potřeby, zejména pokud je toto zpracování prováděno v průběhu oprávněných činností některých sdružení či nadací, jejichž cílem je umožnit výkon základních svobod.

(30)

Zvláštní kategorie osobních údajů, které zasluhují vyšší stupeň ochrany, by měly být zpracovávány pouze pro zdravotní účely, je-li třeba těchto účelů dosáhnout ve prospěch fyzických osob a společnosti jako celku, zejména v souvislosti s řízením zdravotnických služeb či služeb sociální péče a systémů. Proto by toto nařízení mělo stanovit harmonizované podmínky pro zpracování zvláštních kategorií osobních údajů o zdravotním stavu, pokud jde o zvláštní potřeby, zejména je-li zpracování takových údajů prováděno pro určité účely související se zdravím osobou vázanou profesním tajemstvím podle právních předpisů. Právo Unie by mělo stanovit specifická a vhodná opatření s cílem chránit základní práva a osobní údaje fyzických osob.

(31)

Z důvodů veřejného zájmu v oblasti veřejného zdraví může být nezbytné zpracovávat zvláštní kategorie osobních údajů bez souhlasu subjektu údajů. Toto zpracování by mělo podléhat vhodným a zvláštním opatřením s cílem chránit práva a svobody fyzických osob. V této souvislosti by mělo být „veřejné zdraví“ vykládáno ve smyslu definice v nařízení Evropského parlamentu a Rady (ES) č. 1338/2008 (7), totiž jako veškeré prvky týkající se zdraví, zejména zdravotní stav včetně nemocnosti a zdravotního postižení, determinanty ovlivňující tento zdravotní stav, potřeby zdravotní péče, prostředky přidělené na zdravotní péči, poskytování zdravotní péče a její všeobecná dostupnost, výdaje na zdravotní péči a její financování a příčiny úmrtnosti. Takové zpracování údajů o zdravotním stavu z důvodu veřejného zájmu by nemělo vést k tomu, aby se osobní údaje zpracovávaly pro jiné účely.

(32)

Pokud správce zpracovává osobní údaje, které mu neumožňují identifikovat fyzickou osobu, neměl by být povinen získat dodatečné informace pro zjištění totožnosti subjektu údajů výlučně za účelem dosažení souladu s některým ustanovením tohoto nařízení. Správce by však neměl odmítnout převzít dodatečné informace poskytnuté subjektem údajů s cílem podpořit výkon jeho práv. Součástí identifikace by měla být digitální identifikace subjektu údajů, například prostřednictvím mechanismu autentizace na základě stejných pověřovacích údajů, které subjekt údajů používá pro přihlášení k on-line službám poskytovaným správcem údajů.

(33)

Zpracování osobních údajů pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely by mělo podléhat vhodným zárukám práv a svobod subjektu údajů podle tohoto nařízení. Tyto záruky by měly zajistit, aby byla zavedena technická a organizační opatření, zejména s cílem zajistit dodržování zásady minimalizace údajů. Další zpracování osobních údajů pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely má být provedeno, pokud správce usoudil, že je možné splnit tyto účely na základě zpracování osobních údajů, které neumožňují nebo již neumožňují identifikaci subjektů údajů, za podmínky existence vhodných záruk (jako je například pseudonymizace údajů). Orgány a subjekty Unie by měly stanovit vhodné záruky v právu Unie, a to i v podobě vnitřních předpisů přijatých orgány a subjekty Unie v záležitostech spojených s jejich fungováním, týkající se zpracování osobních údajů pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely.

(34)

Je třeba stanovit postupy, které by usnadnily výkon práv subjektů údajů podle tohoto nařízení, včetně mechanismů pro podávání žádostí a případně bezplatného obdržení přístupu k osobním údajům a opravy nebo výmazu osobních údajů a pro uplatnění práva vznést námitku. Správce by měl rovněž zajistit podmínky pro to, aby žádosti mohly být podávány elektronicky, zejména v případě zpracování osobních údajů elektronickými prostředky. Správci by měla být uložena povinnost reagovat na žádosti subjektu údajů bez zbytečného odkladu a nejpozději do jednoho měsíce a uvést důvody v případě, že nemá v úmyslu těmto žádostem vyhovět.

(35)

Zásady korektního a transparentního zpracování vyžadují, aby byl subjekt údajů informován o probíhající operaci zpracování a jejích účelech. Správce by měl subjektu údajů poskytnout veškeré další informace nezbytné pro zajištění korektního a transparentního zpracování, s přihlédnutím ke konkrétním okolnostem a kontextu, v němž jsou osobní údaje zpracovávány. Subjekt údajů by měl být dále informován o profilování a o jeho důsledcích. Pokud jsou osobní údaje získávány od subjektu údajů, měl by subjekt údajů být rovněž informován, zda je povinen tyto údaje poskytnout, a o důsledcích jejich případného neposkytnutí. Tyto informace mohou být doplněny standardizovanými ikonami s cílem poskytnout snadno viditelným, srozumitelným a jasně čitelným způsobem smysluplný přehled o zamýšleném zpracování. Pokud jsou ikony prezentovány v elektronické podobě, měly by být strojově čitelné.

(36)

Informování subjektu údajů o tom, že jsou zpracovávány jeho osobní údaje, by mělo proběhnout v okamžiku jejich získání od subjektu údajů, nebo pokud jsou získávány z jiného zdroje, v přiměřené lhůtě v závislosti na okolnostech případu. Jestliže mohou být osobní údaje oprávněně získány jinému příjemci, měl by být subjekt údajů informován o jejich prvním zpřístupnění tomuto příjemci. Pokud správce hodlá osobní údaje zpracovat pro jiný účel, než je účel, pro který byly shromážděny, měl by poskytnout subjektu údajů informace o tomto jiném účelu a další nezbytné informace ještě před uvedeným dalším zpracováním. Pokud z důvodu využití různých zdrojů nemůže být subjektu údajů sdělen původ osobních údajů, měly by být poskytnuty obecné informace.

(37)

Subjekt údajů by měl mít právo na přístup ke shromážděným osobním údajům, které se ho týkají, a měl by moci toto právo snadno a v přiměřených odstupech uplatňovat, aby byl o jejich zpracování informován a mohl si ověřit jeho zákonnost. To zahrnuje právo subjektů údajů na přístup k údajům o svém zdravotním stavu, například k údajům ve své lékařské dokumentaci, která obsahuje například informace o diagnóze, výsledky vyšetření, posudky ošetřujících lékařů a údaje o veškeré léčbě a provedených ošetřeních nebo zákrocích. Každý subjekt údajů by proto měl mít právo vědět a být informován zejména o tom, za jakým účelem se osobní údaje zpracovávají, případně o období, po které budou uchovávány, kdo jsou příjemci osobních údajů, v čem spočívá logika automatizovaného zpracování osobních údajů a jaké mohou být důsledky takového zpracování přinejmenším v případech, kdy je zpracování založeno na profilování. Tímto právem by neměla být nepříznivě dotčena práva ani svobody ostatních, například obchodní tajemství nebo duševní vlastnictví, a zejména autorské právo chránící programové vybavení. Zohlednění těchto skutečností by ovšem nemělo vést k tomu, že by subjektu údajů bylo odepřeno poskytnutí všech informací. Pokud správce zpracovává velké množství informací týkajících se subjektu údajů, měl by mít možnost před poskytnutím informací požádat subjekt údajů, aby konkrétně uvedl, kterých informací nebo činností zpracování se jeho žádost týká.

(38)

Subjekt údajů by měl mít právo na opravu osobních údajů, které se ho týkají, a „právo být zapomenut“, pokud uchovávání těchto údajů porušuje toto nařízení nebo právo Unie, které se na správce vztahuje. Subjekt údajů by měl mít právo na to, aby jeho osobní údaje byly vymazány a nebyly dále zpracovávány, pokud již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány, pokud subjekt údajů odvolal svůj souhlas se zpracováním nebo pokud vznesl námitku proti zpracování osobních údajů, které se jej týkají, nebo pokud je zpracování jeho osobních údajů v rozporu s tímto nařízením z jiných důvodů. Toto právo je obzvláště důležité v případech, kdy subjekt údajů udělil souhlas v dětském věku a nebyl si plně vědom rizik spojených se zpracováním a později chce tyto osobní údaje zejména na internetu odstranit. Subjekt údajů by měl mít možnost toto právo uplatnit bez ohledu na skutečnost, že již není dítě. Další uchovávání osobních údajů by však mělo být zákonné, pokud je to nezbytné k uplatnění práva svobody projevu a informací, z důvodu splnění právní povinnosti, provádění určitého úkolu ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce, z důvodů veřejného zájmu v oblasti veřejného zdraví, pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely nebo pro určení, výkon nebo obhajobu právních nároků.

(39)

Aby bylo v internetovém prostředí posíleno právo být zapomenut, mělo by být rozšířeno právo na výmaz tím, že by správce, který zveřejnil osobní údaje, měl povinnost informovat správce, kteří osobní údaje zpracovávají, aby vymazali veškeré odkazy na dané osobní údaje či veškeré jejich kopie nebo replikace. Přitom by měl správce učinit vhodné kroky, s přihlédnutím k dostupné technologii a prostředkům, které má k dispozici, včetně uplatňování technických opatření, s cílem informovat správce, kteří tyto osobní údaje zpracovávají, o žádosti subjektu údajů.

(40)

Způsoby, jak omezit zpracování osobních údajů, by mohly mimo jiné zahrnovat dočasný přesun vybraných údajů do jiného systému zpracování, znepřístupnění vybraných osobních údajů uživatelům nebo dočasné odstranění zveřejněných údajů z internetových stránek. V automatizovaných evidencích by omezení zpracování mělo být v zásadě zajištěno technickými prostředky tak, aby se na osobní údaje již nevztahovaly žádné další operace zpracování a aby nemohly být změněny. Skutečnost, že zpracování osobních údajů je omezeno, by měla být v systému jasně vyznačena.

(41)

Aby měl subjekt údajů větší kontrolu nad svými údaji, měl by v případě, kdy se osobní údaje zpracovávají automatizovaně, mít též právo získat osobní údaje, které se ho týkají, a jež poskytl správci, ve strukturovaném, běžně používaném, strojově čitelném a interoperabilním formátu a předat je jinému správci. Správce údajů je třeba podporovat v rozvíjení interoperabilních formátů umožňujících přenositelnost údajů. Toto právo by se mělo uplatnit v případě, kdy subjekt údajů poskytl osobní údaje na základě svého souhlasu, nebo pokud je zpracování potřebné za účelem plnění smlouvy. Proto by se nemělo uplatňovat v případě, kdy je zpracování osobních údajů nezbytné pro splnění právní povinnosti, která se na správce vztahuje, nebo pro vykonání úkolu ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce. Právo subjektu údajů předat nebo obdržet osobní údaje, které se ho týkají, by nemělo zakládat povinnost správců zavést nebo zachovávat technicky kompatibilní systémy zpracování. Pokud se určitý soubor osobních údajů týká více než jednoho subjektu údajů, neměla by právem obdržet osobní údaje být dotčena práva a svobody jiných subjektů údajů podle tohoto nařízení. Tímto právem by dále nemělo být dotčeno právo subjektu údajů dosáhnout výmazu osobních údajů a omezení uvedeného práva, jak je stanoveno v tomto nařízení, a zejména by toto právo nemělo znamenat výmaz osobních údajů týkajících se daného subjektu údajů, které tento subjekt údajů poskytl v rámci plnění smlouvy, v rozsahu, v němž jsou tyto osobní údaje nezbytné pro plnění dané smlouvy, a po dobu nezbytně nutnou pro toto plnění. Pokud je to technicky možné, měl by mít subjekt údajů právo na to, aby osobní údaje byly předány přímo jedním správcem správci druhému.

(42)

Pokud mohou být osobní údaje zákonně zpracovávány, protože je toto zpracování nezbytné pro výkon úkolů vykonávaných ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce, měl by každý dotčený subjekt údajů přesto mít právo vznést námitku proti zpracování osobních údajů, které se týkají jeho konkrétní situace. Mělo by být povinností správce, aby prokázal, že jeho závažné oprávněné zájmy převažují nad zájmy nebo základními právy a svobodami subjektu údajů.

(43)

Subjekt údajů by měl mít právo nebýt předmětem žádného rozhodnutí, a to včetně opatření, které hodnotí osobní aspekty týkající se jeho osoby, vychází výlučně z automatizovaného zpracování a které má pro něj právní účinky nebo se jej podobně významně dotýká, jako jsou postupy elektronického náboru bez jakéhokoliv lidského zásahu. Takové zpracování zahrnuje „profilování“, jehož podstatou je jakákoliv forma automatizovaného zpracování osobních údajů hodnotící osobní aspekty vztahující se k fyzické osobě, zejména za účelem analýzy či předvídání aspektů souvisejících s pracovním výkonem subjektu údajů, jeho ekonomickou situací, zdravotním stavem, osobními preferencemi nebo zájmy, spolehlivostí nebo chováním, místem pobytu či pohybu, pokud má pro něj právní účinky nebo se jí podobným způsobem významně dotýká.

Rozhodování založené na takovém zpracování, včetně profilování, by však mělo být umožněno, pokud jej výslovně povoluje právo Unie. V každém případě by se na takové zpracování měly vztahovat vhodné záruky, které by měly zahrnovat konkrétní informování subjektu údajů a právo na lidský zásah, na vyjádření svého názoru, na získání vysvětlení o rozhodnutí učiněném po takovém posouzení a na napadnutí tohoto rozhodnutí. Toto opatření by se nemělo týkat dítěte. V zájmu zajištění korektního a transparentního zpracování ve vztahu k subjektu údajů a s přihlédnutím ke konkrétním okolnostem a souvislostem, za kterých se dané osobní údaje zpracovávají, by měl správce použít vhodné matematické nebo statistické postupy profilování, zavést technická a organizační opatření, která zejména zajistí opravu faktorů vedoucích k nepřesnosti osobních údajů a minimalizaci rizika chyb, a zabezpečit osobní údaje takovým způsobem, který zohledňuje potenciální rizika pro zájmy a práva subjektu údajů, a mimo jiné předcházet diskriminačním účinkům vůči fyzickým osobám na základě rasového nebo etnického původu, politických názorů, náboženského vyznání nebo přesvědčení, členství v odborech, genetických údajů nebo zdravotního stavu či sexuální orientace nebo zamezit zpracování, které by vedlo k opatřením, jež mají takové účinky. Automatizované rozhodování a profilování založené na zvláštních kategoriích osobních údajů by mělo být povoleno pouze za určitých podmínek.

(44)

Právní akty přijaté na základě Smluv nebo vnitřní předpisy přijaté orgány a subjekty Unie v záležitostech spojených s jejich fungováním mohou uložit omezení určitých zásad a práva na informace, na přístup a na opravu nebo na výmaz osobních údajů, práva na přenositelnost osobních údajů, důvěrnost elektronických komunikací, jakož i omezení týkající se oznamování případů porušení zabezpečení osobních údajů subjektu údajů nebo určitých souvisejících povinností správců, pokud je to v demokratické společnosti nutné a přiměřené pro zachování veřejné bezpečnosti a pro předcházení trestným činům nebo jejich vyšetřování či stíhání nebo výkon trestů. To zahrnuje i ochranu před hrozbami pro veřejnou bezpečnost a jejich předcházení, mimo jiné pro ochranu lidských životů, zejména v reakci na přírodní nebo člověkem způsobené katastrofy, pro vnitřní bezpečnost orgánů a subjektů Unie, pro jiné významné cíle obecného veřejného zájmu Unie nebo členského státu, zejména jedná-li se o důležitý hospodářský či finanční zájem Unie nebo členského státu, a vedení veřejných rejstříků z důvodů obecného veřejného zájmu, nebo s ohledem na ochranu subjektu údajů či práv a svobod ostatních, včetně sociální ochrany, veřejného zdraví a humanitárních účelů.

(45)

Měla by být stanovena odpovědnost správce za jakékoliv zpracování osobních údajů prováděné správcem nebo pro něj. Správce by měl být zejména povinen zavést vhodná a účinná opatření a být schopen doložit, že činnosti zpracování jsou v souladu s tímto nařízením, včetně účinnosti opatření. Tato opatření by měla zohledňovat povahu, rozsah, kontext a účely zpracování a riziko pro práva a svobody fyzických osob.

(46)

Různě pravděpodobná a závažná rizika pro práva a svobody fyzických osob mohou vyplynout ze zpracování osobních údajů, které by mohlo vést k fyzické, hmotné nebo nehmotné újmě, zejména v případech, kdy by zpracování mohlo vést k diskriminaci, krádeži či zneužití identity, finanční ztrátě, poškození pověsti, ztrátě důvěrnosti osobních údajů chráněných služebním tajemstvím, neoprávněnému zrušení pseudonymizace nebo jakémukoliv jinému významnému hospodářskému či společenskému znevýhodnění, kdy by subjekty údajů mohly být zbaveny svých práv a svobod nebo možnosti kontrolovat své osobní údaje, kdy jsou zpracovávány osobní údaje, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filosofickém přesvědčení nebo členství v odborech, kdy jsou zpracovávány genetické údaje či údaje o zdravotním stavu či sexuálním životě nebo o odsouzení v trestních věcech a trestných činech či souvisejících bezpečnostních opatřeních, kdy jsou za účelem vytvoření či využití osobních profilů vyhodnocovány osobní aspekty, zejména prostřednictvím analýzy nebo odhadu aspektů týkajících se pracovních výsledků, ekonomické situace, zdravotního stavu, osobních preferencí nebo zájmů, spolehlivosti nebo chování, místa pobytu a pohybu, kdy jsou zpracovávány osobní údaje zranitelných osob, především dětí, nebo kdy je zpracováván velký objem osobních údajů a zpracování se dotýká velkého počtu subjektů údajů.

(47)

Pravděpodobnost a závažnost rizika pro práva a svobody subjektu údajů by měly být určeny na základě povahy, rozsahu, kontextu a účelů zpracování. Riziko by mělo být hodnoceno na základě objektivního posouzení, které stanoví, zda operace zpracování představují riziko či vysoké riziko.

(48)

Pro ochranu práv a svobod fyzických osob v souvislosti se zpracováním osobních údajů je třeba přijmout vhodná technická a organizační opatření, aby se zajistilo splnění požadavků vyplývajících z tohoto nařízení. Aby správce mohl doložit soulad s tímto nařízením, měl by přijmout vnitřní předpisy a zavést opatření, která dodržují zejména zásady záměrné a standardní ochrany osobních údajů. Tato opatření by mohla mimo jiné spočívat v minimalizaci zpracování osobních údajů, co nejrychlejší pseudonymizaci osobních údajů, transparentnosti s ohledem na funkce a zpracování osobních údajů, umožnění subjektům údajů monitorovat zpracování osobních údajů a umožnění správcům vytvářet a zlepšovat bezpečnostní prvky. Zásady záměrné a standardní ochrany osobních údajů by rovněž měly být zohledněny v souvislosti s veřejnými zakázkami.

(49)

Nařízení (EU) 2016/679 stanoví, že správci musí dodržování stanovených požadavků doložit tím, že používají schválené mechanismy pro vydávání osvědčení. Obdobně by měly být orgány a subjekty Unie schopny doložit dodržování tohoto nařízení tím, že získají osvědčení v souladu s článkem 42 nařízení (EU) 2016/679.

(50)

Ochrana práv a svobod subjektů údajů i odpovědnost správců a zpracovatelů vyžadují, aby bylo jasně určeno, kdo má plnit jednotlivé povinnosti stanovené v tomto nařízení, včetně případů, kdy správce určuje účely a prostředky zpracování společně s jinými správci nebo kdy je operace zpracování prováděna za správce.

(51)

Aby byl zajištěn soulad s požadavky tohoto nařízení v případě zpracování prováděného zpracovatelem za správce, měl by správce zpracováním pověřit pouze zpracovatele, kteří poskytují dostatečné záruky, zejména pokud jde o odborné znalosti, spolehlivost a zdroje, že zavedou technická a organizační opatření, která budou splňovat požadavky tohoto nařízení, včetně požadavků na zabezpečení zpracování. Jedním z prvků, jimiž lze doložit, že zpracovatel, který není orgánem ani subjektem Unie, plní povinnosti správce, může být dodržování schváleného kodexu chování nebo schváleného mechanismu pro vydávání osvědčení. Provádění zpracování zpracovatelem jiným než orgán nebo subjekt Unie by se mělo řídit smlouvou nebo v případě, že zpracovateli jsou orgány a subjekty Unie, smlouvou nebo jiným právním aktem podle práva Unie, které by zavazovaly zpracovatele vůči správci a v nichž by byl stanoven předmět a doba trvání zpracování, povaha a účely zpracování, typ osobních údajů a kategorie subjektů údajů, s přihlédnutím ke konkrétním úkolům a povinnostem zpracovatele v souvislosti se zpracováním, jež má být provedeno, a riziko pro práva a svobody subjektů údajů. Správce a zpracovatel by měli mít možnost se rozhodnout, že použijí individuální smlouvu nebo standardní smluvní ustanovení, která přijme buď přímo Komise, nebo evropský inspektor ochrany údajů a poté Komise. Po dokončení zpracování za správce by zpracovatel měl na základě rozhodnutí správce osobní údaje vrátit nebo vymazat, jestliže se nepožaduje uložení osobních údajů podle práva Unie nebo členského státu, které se na zpracovatele vztahuje.

(52)

Aby doložili soulad s tímto nařízením, měli by správci vést záznamy o činnostech zpracování, za které odpovídají, a zpracovatelé by měli vést záznamy o kategoriích činností zpracování, za které odpovídají. Orgány a subjekty Unie by měly být povinny spolupracovat s evropským inspektorem ochrany údajů a na jeho žádost mu tyto záznamy zpřístupnit, aby na jejich základě mohly být tyto operace zpracování monitorovány. Pokud je to vhodné s ohledem na velikost orgánu nebo subjektu Unie, měly by orgány a subjekty Unie mít možnost vytvořit centrální rejstřík záznamů svých činností zpracování. Z důvodů transparentnosti by rovněž měly mít možnost tento rejstřík zpřístupnit veřejnosti.

(53)

V zájmu zachování bezpečnosti a zabránění zpracování, které by bylo v rozporu s tímto nařízením, by měl správce nebo zpracovatel posoudit rizika spojená se zpracováním a přijmout opatření ke zmírnění těchto rizik, například šifrování. Tato opatření by měla zajistit náležitou úroveň bezpečnosti, včetně důvěrnosti, s ohledem na stav techniky, náklady na provedení v souvislosti s rizikem a povahu osobních údajů, které mají být chráněny. Při posuzování rizik pro zabezpečení údajů by se měla vzít v úvahu rizika, která zpracování představuje, jako jsou náhodné nebo protiprávní zničení, ztráta, pozměnění, neoprávněné zpřístupnění předaných, uložených nebo jiným způsobem zpracovaných osobních údajů nebo neoprávněný přístup k nim, které by mohly zejména vést k fyzické, hmotné nebo nehmotné újmě.

(54)

Orgány a subjekty Unie by měly zajistit důvěrnost elektronické komunikace, jak ukládá článek 7 Listiny. Orgány a subjekty Unie by měly zejména zajistit zabezpečení svých sítí elektronických komunikací. Měly by chránit informace týkající se koncových zařízení koncových uživatelů, kteří se připojují na veřejně přístupné internetové stránky a mobilní aplikace, v souladu se směrnicí Evropského parlamentu a Rady 2002/58/ES (8). Měly by rovněž chránit osobní údaje uložené v seznamech uživatelů.

(55)

Není-li porušení zabezpečení osobních údajů řešeno náležitě a včas, může to fyzickým osobám způsobit fyzickou, hmotnou či nehmotnou újmu. Jakmile se tedy správce o porušení zabezpečení osobních údajů dozví, měl by je bez zbytečného odkladu a, je-li to možné, do 72 hodin poté, co se o něm dozvěděl, ohlásit evropskému inspektorovi ochrany údajů, ledaže může v souladu se zásadou odpovědnosti doložit, že je nepravděpodobné, že by dané porušení zabezpečení osobních údajů mělo za následek riziko pro práva a svobody fyzických osob. Není-li toto ohlášení možné učinit do 72 hodin, měly by být spolu s ním uvedeny důvody zpoždění a informace mohou být poskytnuty postupně bez zbytečného dalšího prodlení. Je-li zpoždění důvodné, měly by být méně citlivé nebo méně konkrétní informace o porušení sděleny co nejdříve, místo aby se čekalo s ohlášením až na úplné vyšetření příslušného incidentu.

(56)

Správce by měl porušení zabezpečení osobních údajů oznámit subjektu údajů bez zbytečného prodlení, pokud je pravděpodobné, že toto porušení bude mít za následek vysoké riziko pro práva a svobody fyzické osoby, aby mohl učinit nezbytná opatření. V oznámení by měla být popsána povaha daného případu porušení zabezpečení osobních údajů a obsažena doporučení pro dotčenou fyzickou osobu, jak případné nežádoucí účinky zmírnit. Tato oznámení by měla být subjektům údajů učiněna, jakmile je to proveditelné, v úzké spolupráci s evropským inspektorem ochrany údajů a v souladu s pokyny tohoto úřadu nebo jiných příslušných orgánů (například donucovacích orgánů).

(57)

Nařízení (ES) č. 45/2001 stanoví pro správce obecnou povinnost ohlašovat zpracování osobních údajů pověřenci pro ochranu osobních údajů. Pokud je to vhodné s ohledem na velikost daného orgánu nebo subjektu Unie, má pověřenec pro ochranu osobních údajů vést rejstřík ohlášených operací zpracování údajů. Kromě této obecné povinnosti by měly být zavedeny účinné postupy a mechanismy k monitorování operací zpracování, jež mohou s ohledem na svou povahu, rozsah, kontext a účely představovat vysoké riziko pro práva a svobody fyzických osob. Tyto postupy by také měly být zavedeny především u těch typů operací zpracování, při nichž jsou používány nové technologie, nebo které jsou zcela nového druhu a u nichž správce dosud neprovedl posouzení vlivu na ochranu údajů, nebo které se staly nezbytnými z důvodu času, který uplynul od prvotního zpracování. V těchto případech by měl správce před zpracováním provést posouzení vlivu na ochranu osobních údajů s cílem posoudit konkrétní pravděpodobnost a závažnost vysokého rizika a zohlednit přitom povahu, rozsah, kontext a účely zpracování a zdroje rizika. Toto posouzení vlivu by mělo zejména obsahovat zamýšlená opatření, záruky a mechanismy pro snížení tohoto rizika, pro zajištění ochrany osobních údajů a prokázání souladu s tímto nařízením.

(58)

Pokud z posouzení vlivu na ochranu osobních údajů vyplývá, že by zpracování v případě neexistence záruk, bezpečnostních opatření ani mechanismů ke zmenšení rizika představovalo vysoké riziko pro práva a svobody fyzických osob, a pokud je správce toho názoru, že riziko nelze zmenšit prostředky přiměřenými z hlediska dostupných technologií a nákladů na provedení, je třeba před zahájením zpracování konzultovat evropského inspektora ochrany údajů. Je pravděpodobné, že toto vysoké riziko vznikne v souvislosti s určitým typem zpracování a rozsahem a četností zpracování, což rovněž může vést ke vzniku škody nebo zásahu do práv a svobod dotčené fyzické osoby. Evropský inspektor ochrany údajů by měl na žádost o konzultaci reagovat ve stanovené lhůtě. Skutečností, že evropský inspektor ochrany údajů v této lhůtě nezareaguje, by však neměl být dotčen žádný zásah evropského inspektora ochrany údajů prováděný v souladu s jeho úkoly a pravomocemi stanovenými v tomto nařízení, včetně pravomoci zakázat operace zpracování. V rámci tohoto procesu konzultací by mělo být možné předložit výsledek posouzení vlivu na ochranu osobních údajů, které bylo provedeno v souvislosti s daným zpracováním, evropskému inspektorovi ochrany údajů, zejména zamýšlená opatření ke zmírnění rizika pro práva a svobody fyzických osob.

(59)

Evropský inspektor ochrany údajů by měl být informován o správních opatřeních a měly by s ním být konzultovány vnitřní předpisy přijaté orgány a subjekty Unie v záležitostech týkajících se jejich fungování, pokud upravují zpracování osobních údajů, stanoví podmínky pro omezení práv subjektů údajů nebo zavádí odpovídající záruky práv subjektu údajů, aby bylo zajištěno, že zamýšlené zpracování je v souladu s tímto nařízením, zejména pokud jde o zmírnění souvisejících rizik pro subjekt údajů.

(60)

Nařízení (EU) 2016/679 zřizuje Evropský sbor pro ochranu údajů jako subjekt Unie s právní subjektivitou. Sbor by měl přispívat k jednotnému uplatňování nařízení (EU) 2016/679 a směrnice (EU) 2016/680 v celé Unii, například poskytovat Komisi poradenství. Evropský inspektor ochrany údajů by měl současně i nadále vykonávat dozorovou a poradní funkci ve vztahu ke všem orgánům a subjektům Unie, z vlastního podnětu nebo na žádost. Aby byla zajištěna jednotnost pravidel pro ochranu údajů v Unii, měla by se Komise při přípravě návrhů nebo doporučení snažit konzultovat s evropským inspektorem ochrany údajů. Konzultace Komise by měla být povinná po přijetí legislativních aktů nebo během přípravy aktů v přenesené pravomoci a prováděcích aktů vymezených v článcích 289, 290 a 291 Smlouvy o fungování EU a po přijetí doporučení a návrhů týkajících se dohod s třetími zeměmi a mezinárodními organizacemi stanovených v článku 218 Smlouvy o fungování EU, které mají dopad na právo na ochranu osobních údajů. V takových případech by Komise měla povinně konzultovat s evropským inspektorem ochrany údajů s výjimkou případů, kdy nařízení (EU) 2016/679 stanoví povinnou konzultaci Evropského sboru pro ochranu údajů, například o rozhodnutích o odpovídající ochraně nebo aktech v přenesené pravomoci o standardizovaných ikonách a požadavcích na mechanismy pro vydávání osvědčení. Jestliže předmětný akt má zvláštní význam pro ochranu práva a svobod fyzických osob v souvislosti se zpracováním osobních údajů, měla by Komise mít navíc možnost rovněž konzultovat Evropský sbor pro ochranu osobních údajů. V takových případech by evropský inspektor ochrany údajů měl jakožto člen Evropského sboru pro ochranu údajů koordinovat svou práci s tímto subjektem s cílem vydat společné stanovisko. Evropský inspektor ochrany údajů a případně Evropský sbor pro ochranu údajů by měli poskytnout písemnou radu ve lhůtě osmi týdnů. Tato lhůta by měla být v naléhavých případech, nebo je-li to jinak vhodné, zkrácena, například pokud Komise připravuje akt v přenesené pravomoci nebo prováděcí akt.

(61)

V souladu s článkem 75 nařízení (EU) 2016/679 by měl evropský inspektor ochrany údajů zajišťovat služby sekretariátu pro Evropský sbor pro ochranu údajů.

(62)

Ve všech orgánech a subjektech Unie by měl pověřenec pro ochranu osobních údajů zajistit, aby se toto nařízení uplatňovalo, a měl by poskytovat poradenství správcům a zpracovatelům při plnění jejich povinností. Pověřencem by měla být osoba s potřebnou úrovní odborných znalostí o právu a praxi v oblasti ochrany údajů, což by se mělo určit zejména podle operací zpracování prováděných správcem nebo zpracovatelem a podle ochrany, která se vyžaduje pro dotčené osobní údaje. Tito pověřenci pro ochranu osobních údajů by měli moci plnit své povinnosti a úkoly nezávisle.

(63)

Pokud jsou osobní údaje předávány z orgánů a subjektů Unie správcům, zpracovatelům nebo jiným příjemcům ve třetích zemích nebo v mezinárodních organizacích, měla by být zaručena úroveň ochrany fyzických osob zajištěná v Unii tímto nařízením. Tytéž záruky by se měly uplatnit v případech dalšího předání osobních údajů ze třetí země nebo mezinárodní organizace správcům nebo zpracovatelům ve stejné nebo jiné třetí zemi nebo mezinárodní organizaci. V každém případě lze předání do třetích zemí a mezinárodním organizacím provést pouze za plného dodržování tohoto nařízení a dodržování práv a základních svobod zakotvených v Listině. K předání by mělo docházet pouze tehdy, pokud s výhradou ostatních ustanovení tohoto nařízení správce nebo zpracovatel splňují podmínky stanovené v tomto nařízení vztahující se na předávání osobních údajů do třetích zemí nebo mezinárodním organizacím.

(64)

Komise může rozhodnout podle článku 45 nařízení (EU) 2016/679 nebo podle článku 36 směrnice (EU) 2016/680, že určitá třetí země, určité území či konkrétní odvětví v určité třetí zemi nebo určitá mezinárodní organizace poskytují odpovídající úroveň ochrany údajů. V těchto případech orgán nebo subjekt Unie může předat osobní údaje do této země nebo této mezinárodní organizaci bez potřeby získat další povolení.

(65)

Jestliže neexistuje rozhodnutí o odpovídající ochraně, měl by správce nebo zpracovatel v zájmu odstranění nedostatků v oblasti ochrany údajů ve třetí zemi přijmout opatření, která subjektu údajů poskytnou vhodné záruky. Tyto vhodné záruky mohou spočívat ve využívání standardních doložek o ochraně údajů přijatých Komisí, standardních doložek o ochraně údajů přijatých evropským inspektorem ochrany údajů nebo smluvních doložek jím schválených. Pokud zpracovatel není orgánem nebo subjektem Unie, mohou tyto vhodné záruky sestávat rovněž ze závazných podnikových pravidel, kodexů chování a mechanismů pro vydávání osvědčení používaných pro mezinárodní předávání podle nařízení (EU) 2016/679. Tyto záruky by měly zajistit splnění požadavků na ochranu údajů a dodržení práv subjektů údajů v rozsahu odpovídajícím zpracování v Unii, včetně dostupnosti vymahatelných práv subjektu údajů a účinné právní ochrany, včetně práva na účinnou správní nebo soudní ochranu a na požadování náhrady škody v Unii nebo ve třetí zemi. Měly by se týkat zejména souladu s obecnými zásadami pro zpracování osobních údajů a zásad záměrné a standardní ochrany osobních údajů. Předání mohou být rovněž provedena ze strany orgánů a subjektů Unie orgánům veřejné moci nebo veřejným subjektům ve třetích zemích nebo mezinárodním organizacím s odpovídajícími povinnostmi nebo funkcemi, a to i na základě ustanovení, která mají být vložena do správních ujednání, jako je memorandum o porozumění, a která stanoví vymahatelná a účinná práva subjektů údajů. Povolení evropského inspektora ochrany údajů by mělo být obdrženo, jestliže jsou záruky stanoveny ve správních ujednáních.

(66)

Skutečnost, že správci a zpracovatelé mohou používat standardní doložky o ochraně údajů přijaté Komisí nebo evropským inspektorem ochrany údajů, by neměla správcům ani zpracovatelům bránit v tom, aby zahrnuli standardní doložky o ochraně údajů i do rozsáhlejších smluv, jako je smlouva mezi zpracovatelem a dalším zpracovatelem, nebo doplnili jiné doložky či další záruky, pokud tyto nejsou v přímém nebo nepřímém rozporu se standardními smluvními doložkami přijatými Komisí nebo evropským inspektorem ochrany údajů nebo pokud se nedotýkají základních práv či svobod subjektů údajů. Správci a zpracovatelé by měli být vybízeni k poskytování dalších záruk prostřednictvím smluvních závazků, které doplní standardní doložky o ochraně údajů.

(67)

Některé třetí země přijímají právní předpisy a jiné právní akty, které mají přímo upravovat činnosti zpracování orgány a subjekty Unie. Může se mimo jiné jednat o rozsudky soudů či rozhodnutí správních orgánů ve třetích zemích, v nichž se od správce nebo zpracovatele vyžaduje předání či zpřístupnění osobních údajů a které nejsou založeny na mezinárodních dohodách platných mezi danou třetí zemí a Unií. Extrateritoriální používání těchto právních předpisů a jiných právních aktů může být v rozporu s mezinárodním právem a znesnadnit zaručení ochrany fyzických osob zajištěné v Unii tímto nařízením. Předání údajů by mělo být přípustné jen tehdy, jsou-li splněny podmínky předání údajů do třetí země stanovené v tomto nařízení. Tak tomu může být mimo jiné v případě, kdy je zpřístupnění údajů nezbytné z důležitého důvodu veřejného zájmu, jenž je uznán v právu Unie.

(68)

Pro konkrétní situace by měla být stanovena možnost předat údaje za určitých okolností, pokud subjekt údajů udělil výslovný souhlas nebo pokud je předání příležitostné a nezbytné v souvislosti se smluvními či právními nároky, bez ohledu na to, zda probíhá v soudním řízení nebo ve správním či jakémkoli mimosoudním řízení, včetně řízení před regulačními orgány. Rovněž by měla být stanovena možnost předat údaje, pokud je to nutné z důležitých důvodů veřejného zájmu stanovených právem Unie nebo pokud je předání prováděno z rejstříku zřízeného na základě právních předpisů a určeného k nahlížení pro veřejnost nebo osoby s oprávněným zájmem. V tomto případě by se takové předání nemělo týkat všech osobních údajů ani celých kategorií osobních údajů obsažených v tomto rejstříku, není-li povoleno právem Unie, a pokud má být rejstřík přístupný osobám s oprávněným zájmem, mělo by být předání uskutečněno pouze na žádost těchto osob nebo pokud jsou tyto osoby jejich příjemci, přičemž je třeba plně zohlednit zájmy a základní práva subjektu údajů.

(69)

Tyto výjimky by se měly uplatnit zejména v případech, kdy je předání údajů vyžadováno a je nutné z důležitých důvodů veřejného zájmu, například v případech mezinárodní výměny údajů mezi orgány a subjekty Unie a orgány pro hospodářskou soutěž, daňovými či celními správami, orgány finančního dohledu, útvary příslušnými v oblasti sociálního zabezpečení nebo veřejného zdraví, například v případě vysledování kontaktů v souvislosti s nakažlivými chorobami nebo za účelem omezení nebo odstranění dopingu ve sportu. Předání osobních údajů by mělo být považováno za zákonné rovněž tehdy, pokud je nezbytné pro ochranu životně důležitého zájmu subjektu údajů nebo jiné osoby, včetně fyzické integrity nebo života, není-li subjekt údajů schopen udělit souhlas. V případě neexistence rozhodnutí o odpovídající ochraně může právo Unie z důležitých důvodů veřejného zájmu výslovně stanovit omezení předání konkrétních kategorií údajů do třetí země nebo mezinárodní organizaci. Jakékoliv předání osobních údajů subjektu údajů, který není fyzicky nebo právně způsobilý udělit souhlas s předáním, mezinárodní humanitární organizaci za účelem vykonání úkolu svěřeného na základě ženevských úmluv nebo uplatňování mezinárodního humanitárního práva použitelného v ozbrojených konfliktech by mohlo být považováno za nezbytné z důležitého důvodu veřejného zájmu nebo z důvodu životně důležitého zájmu subjektu údajů.

(70)

Pokud Komise nepřijala rozhodnutí o odpovídající úrovni ochrany údajů ve třetí zemi, správce nebo zpracovatel by měl v každém případě využít řešení, která subjektům údajů poskytnou vymahatelná a účinná práva, pokud jde o zpracování jejich osobních údajů v Unii po jejich předání, tak aby i nadále požívali základních práv a záruk.

(71)

Předání osobních údajů přes hranice mimo území Unie může fyzické osoby vystavit zvýšenému riziku, že nebudou moci uplatnit svá práva na ochranu osobních údajů, a zejména se chránit před protiprávním použitím nebo zpřístupněním těchto údajů. Zároveň se může stát, že vnitrostátní dozorové úřady ani evropský inspektor ochrany údajů nebudou schopni vyřizovat stížnosti nebo provádět šetření týkající se činností prováděných mimo jejich jurisdikci. Překážkou pro jejich úsilí o přeshraniční spolupráci mohou být také nedostatečné preventivní nebo nápravné pravomoci, rozdíly v právní úpravě a praktické překážky, například omezené zdroje. Proto je třeba podporovat užší spolupráci mezi evropským inspektorem ochrany údajů a vnitrostátními dozorovými úřady s cílem napomoci jim při výměně informací s příslušnými mezinárodními partnery.

(72)

Zásadním prvkem ochrany fyzických osob v souvislosti se zpracováním jejich osobních údajů je zřízení evropského inspektora ochrany údajů v nařízení (ES) č. 45/2001, který je zmocněn plnit své úkoly a vykonávat své pravomoci zcela nezávisle. Toto nařízení by mělo dále posílit a objasnit jeho roli a nezávislost. Evropský inspektor ochrany údajů by měl být osobou, o jejíž nezávislosti není pochybnost a jež prokázala zkušenosti a dovednosti potřebné k výkonu povinností evropského inspektora ochrany údajů, například protože působila v dozorových úřadech zřízených podle článku 51 nařízení (EU) 2016/679.

(73)

Aby se zajistilo jednotné monitorování a prosazování pravidel pro ochranu údajů v celé Unii, měl by mít evropský inspektor ochrany údajů tytéž úkoly a účinné pravomoci jako vnitrostátní dozorové úřady, včetně pravomocí provádět šetření, ukládat nápravná opatření a sankce, vydávat povolení a poskytovat poradenství, zejména v případech stížností fyzických osob, pravomocí upozorňovat Soudní dvůr na porušení tohoto nařízení a pravomocí účastnit se právních řízení v souladu s primárním právem. Mezi tyto pravomoci by měla rovněž patřit pravomoc vydávat dočasné nebo trvalé omezení zpracování, včetně jeho zákazu. Aby se zamezilo zbytečným nákladům a přílišným obtížím pro dotčené osoby, mělo by každé opatření evropského inspektora ochrany údajů být vhodné, nezbytné a přiměřené, aby byl zajištěn soulad s tímto nařízením, mělo by přihlížet k okolnostem každého jednotlivého případu a dodržovat právo všech osob být vyslechnuty dříve, než bude přijato jakékoliv individuální opatření. Každé právně závazné opatření evropského inspektora ochrany údajů by mělo mít písemnou formu, být jasné a jednoznačné, uvádět datum svého vydání, mělo by být opatřeno podpisem evropského inspektora ochrany údajů a obsahovat odůvodnění opatření a odkaz na právo na účinnou právní ochranu.

(74)

Pravomoc evropského inspektora ochrany údajů v oblasti dozoru by neměla zahrnovat zpracování osobních údajů Soudním dvorem, pokud jedná v rámci svých soudních pravomocí, aby byla zaručena nezávislost Soudního dvora při plnění soudních funkcí, včetně rozhodování. Pro tyto operace zpracování by Soudní dvůr měl určit nezávislý dozor v souladu s čl. 8 odst. 3 Listiny, například prostřednictvím vnitřního mechanismu.

(75)

Rozhodnutí evropského inspektora ochrany údajů o výjimkách, zárukách, povoleních a podmínkách týkajících se operací zpracování údajů, jak je vymezeno v tomto nařízení, se zveřejňují ve zprávě o činnosti. Nezávisle na zveřejnění výroční zprávy o činnosti může evropský inspektor ochrany údajů zveřejňovat zprávy o jednotlivých tématech.

(76)

Evropský inspektor ochrany údajů by měl dodržovat povinnosti vyplývající z nařízení (ES) č. 1049/2001 (9).

(77)

Vnitrostátní dozorové úřady sledují uplatňování nařízení (EU) 2016/679 a přispívají k jeho jednotnému uplatňování v celé Unii s cílem chránit fyzické osoby v souvislosti se zpracováním jejich osobních údajů a usnadnit volný pohyb osobních údajů v rámci vnitřního trhu. Aby se zajistila jednotnost při uplatňování pravidel ochrany údajů platných v členských státech a platných pro orgány a subjekty Unie, měl by evropský inspektor ochrany údajů účinně spolupracovat s vnitrostátními dozorovými úřady.

(78)

V některých případech právo Unie stanoví model koordinovaného dozoru sdíleného mezi evropským inspektorem ochrany údajů a vnitrostátními dozorovými úřady. Evropský inspektor ochrany údajů je rovněž dozorovým úřadem pro Europol a pro tyto účely byl vytvořen specifický model spolupráce s vnitrostátními dozorovými úřady prostřednictvím Rady spolupráce s poradní funkcí. Aby se zlepšil účinný dozor nad hmotnými pravidly ochrany údajů a jejich vymáhání, měl by být v Unii zaveden jeden soudržný model koordinovaného dozoru. Komise by proto měla případně předložit legislativní návrhy na změnu právních aktů Unie upravujících model koordinovaného dozoru, aby je sladila s modelem koordinovaného dozoru podle tohoto nařízení. Evropský sbor pro ochranu osobních údajů by měl být jediným fórem pro zajištění účinného koordinovaného dozoru ve všech oblastech.

(79)

Každý subjekt údajů by měl mít právo podat stížnost u evropského inspektora ochrany údajů, a právo na účinnou soudní ochranu u Soudního dvora v souladu se Smlouvami, jestliže se domnívá, že byla porušena jeho práva podle tohoto nařízení, nebo pokud evropský inspektor ochrany údajů na stížnost nereaguje, stížnost zcela či částečně odmítne či zamítne, nebo pokud nekoná, přestože je to nutné z důvodu ochrany práv subjektu údajů. Šetření, které následuje po podání stížnosti, by mělo být s výhradou soudního přezkumu provedeno v rozsahu, jenž je v daném případě přiměřený. Evropský inspektor ochrany údajů by měl subjekt údajů v přiměřené lhůtě informovat o pokroku v řešení stížnosti a o jeho výsledku. Je-li v dané věci zapotřebí další koordinace s vnitrostátním dozorovým úřadem, měl by být subjekt údajů informován průběžně. S cílem usnadnit podávání stížností by měl evropský inspektor ochrany údajů přijmout určitá opatření, například poskytnout formulář pro podání stížnosti, který lze vyplnit i elektronicky, aniž by byly vyloučeny další komunikační prostředky.

(80)

Kdokoli, kdo v důsledku porušení tohoto nařízení utrpěl hmotnou či nehmotnou újmu, by měl mít právo obdržet od správce nebo zpracovatele náhradu utrpěné újmy za podmínek stanovených ve Smlouvách.

(81)

Aby se posílila dozorová role evropského inspektora ochrany údajů a účinné prosazování tohoto nařízení, měl by evropský inspektor ochrany údajů mít pravomoc ukládat v krajních případech jako sankci správní pokuty. Cílem pokut by mělo být potrestat orgán nebo subjekt Unie – spíše nežli jednotlivce – za nedodržení tohoto nařízení, odrazovat od porušování tohoto nařízení a podporovat kulturu ochrany osobních údajů v orgánech a subjektech Unie. Toto nařízení by mělo stanovit porušení postižitelná správní pokutou, jakož i horní hranice a kritéria pro stanovení souvisejících pokut. V každém jednotlivém případě by měl výši pokuty určit evropský inspektor ochrany údajů při zohlednění všech příslušných okolností konkrétní situace s náležitým přihlédnutím k povaze, závažnosti a době trvání tohoto porušení, k jeho důsledkům a opatřením přijatým v zájmu zajištění souladu s povinnostmi vyplývajícími z tohoto nařízení a v zájmu prevence či zmírnění důsledků tohoto porušení. Při ukládání správní pokuty orgánu nebo subjektu Unie by měl evropský inspektor ochrany údajů zvážit přiměřenost výše pokuty. Správní řízení o uložení pokut orgánům a subjektům Unie by mělo dodržovat obecné zásady práva Unie, jak jsou vykládány Soudním dvorem.

(82)

Pokud se subjekt údajů domnívá, že jeho práva podle tohoto nařízení byla porušena, měl by být oprávněn pověřit neziskový subjekt, organizaci nebo sdružení, jež jsou založeny v souladu s právem Unie nebo právem členského státu, jejichž statutární cíle jsou ve veřejném zájmu a jež působí v oblasti ochrany osobních údajů, aby jeho jménem podaly stížnost u evropského inspektora ochrany údajů. Takový subjekt, organizace nebo sdružení by rovněž měly mít možnost jménem subjektu údajů uplatnit právo na soudní ochranu nebo právo na náhradu újmy.

(83)

Úředník nebo jiný zaměstnanec Unie, který poruší povinnosti stanovené tímto nařízením, by měl podléhat disciplinárním nebo jiným úkonům v souladu s pravidly a postupy stanovenými ve služebním řádu úředníků Evropské unie a v pracovním řádu ostatních zaměstnanců Unie, stanovených v nařízení Rady (EHS, Euratom, ESUO) č. 259/68 (10) (dále jen „služební řád“).

(84)

Za účelem zajištění jednotných podmínek k provedení tohoto nařízení by měly být Komisi svěřeny prováděcí pravomoci. Tyto pravomoci by měly být vykonávány v souladu s nařízením Evropského parlamentu a Rady (EU) č. 182/2011 (11). Přezkumný postup by se měl použít pro přijetí standardních smluvních doložek mezi správci a zpracovateli a mezi zpracovateli navzájem, pro přijetí seznamu operací zpracování údajů vyžadujících, aby správci zpracovávající osobní údaje pro vykonání úkolu ve veřejném zájmu předem konzultovali evropského inspektora ochrany údajů, a pro přijetí standardních smluvních doložek stanovujících vhodné záruky pro mezinárodní předávání.

(85)

Důvěrné informace, které statistické orgány Unie a členských států shromažďují za účelem vypracovávání úředních evropských a vnitrostátních statistik, by měly být chráněny. Evropské statistiky by měly být sestavovány, vypracovávány a šířeny v souladu se statistickými zásadami stanovenými v čl. 338 odst. 2 Smlouvy o fungování EU. Další upřesnění o statistické důvěrnosti evropské statistiky poskytuje nařízení Evropského parlamentu a Rady (ES) č. 223/2009 (12).

(86)

Nařízení (ES) č. 45/2001 a rozhodnutí Evropského parlamentu, Rady a Komise č. 1247/2002/ES (13) by měla být zrušena. Odkazy na zrušené nařízení a rozhodnutí by se měly považovat za odkazy na toto nařízení.

(87)

Aby byla zaručena úplná nezávislost členů nezávislého dozorového úřadu, nemělo by být tímto nařízením dotčeno funkční období stávajícího evropského inspektora ochrany údajů a stávajícího zástupce inspektora. Stávající zástupce inspektora by měl zůstat ve funkci do konce svého funkčního období, nenaplní-li se jedna z podmínek pro předčasné skončení funkčního období evropského inspektora ochrany údajů stanovená v tomto nařízení. Příslušná ustanovení tohoto nařízení by se měla vztahovat na zástupce inspektora do konce jeho funkčního období.

(88)

V souladu se zásadou proporcionality je pro dosažení základního cíle zajištění přiměřené úrovně ochrany fyzických osob ve vztahu ke zpracování osobních údajů a volného pohybu osobních údajů v Unii nezbytné a vhodné stanovit pravidla pro zpracování osobních údajů orgány a subjekty Unie. Toto nařízení nepřekračuje rámec toho, co je pro dosažení sledovaných cílů nezbytné, v souladu s čl. 5 odst. 4 Smlouvy o EU.

(89)

V souladu s čl. 28 odst. 2 nařízení (ES) č. 45/2001 byl konzultován evropský inspektor ochrany údajů, který vydal své stanovisko dne 15. března 2017 (14),