ISSN 1977-0626

Úřední věstník

Evropské unie

L 295

European flag  

České vydání

Právní předpisy

Ročník 61
21. listopadu 2018


Obsah

 

I   Legislativní akty

Strana

 

 

NAŘÍZENÍ

 

*

Nařízení Evropského parlamentu a Rady (EU) 2018/1724 ze dne 2. října 2018, kterým se zřizuje jednotná digitální brána pro poskytování přístupu k informacím, postupům a k asistenčním službám a službám pro řešení problémů a kterým se mění nařízení (EU) č. 1024/2012 ( 1 )

1

 

*

Nařízení Evropského parlamentu a Rady (EU) 2018/1725 ze dne 23. října 2018 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány, institucemi a jinými subjekty Unie a o volném pohybu těchto údajů a o zrušení nařízení (ES) č. 45/2001 a rozhodnutí č. 1247/2002/ES ( 1 )

39

 

*

Nařízení Evropského parlamentu a Rady (EU) 2018/1726 ze dne 14. listopadu 2018 o Agentuře Evropské unie pro provozní řízení rozsáhlých informačních systémů v prostoru svobody, bezpečnosti a práva (eu-LISA) a o změně nařízení (ES) č. 1987/2006 a rozhodnutí Rady 2007/533/SVV a zrušení nařízení (EU) č. 1077/2011

99

 

*

Nařízení Evropského parlamentu a Rady (EU) 2018/1727 ze dne 14. listopadu 2018 o Agentuře Evropské unie pro justiční spolupráci v trestních věcech (Eurojust) a o nahrazení a zrušení rozhodnutí Rady 2002/187/SVV

138

 


 

(1)   Text s významem pro EHP.

CS

Akty, jejichž název není vyti_těn tučně, se vztahují ke každodennímu řízení záležitostí v zemědělství a obecně platí po omezenou dobu.

Názvy všech ostatních aktů jsou vytištěny tučně a předchází jim hvězdička.


I Legislativní akty

NAŘÍZENÍ

21.11.2018   

CS

Úřední věstník Evropské unie

L 295/1


NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) 2018/1724

ze dne 2. října 2018,

kterým se zřizuje jednotná digitální brána pro poskytování přístupu k informacím, postupům a k asistenčním službám a službám pro řešení problémů a kterým se mění nařízení (EU) č. 1024/2012

(Text s významem pro EHP)

EVROPSKÝ PARLAMENT A RADA EVROPSKÉ UNIE,

s ohledem na Smlouvu o fungování Evropské unie, a zejména na čl. 21 odst. 2 a čl. 114 odst. 1 této smlouvy,

s ohledem na návrh Evropské komise,

po postoupení návrhu legislativního aktu vnitrostátním parlamentům,

s ohledem na stanovisko Evropského hospodářského a sociálního výboru (1),

v souladu s řádným legislativním postupem (2),

vzhledem k těmto důvodům:

(1)

Vnitřní trh představuje jeden z nejhmatatelnějších úspěchů Unie. Tím, že umožňuje volný pohyb osob, zboží, služeb a kapitálu, nabízí svým občanům a podnikům nové příležitosti. Toto nařízení je klíčovým prvkem strategie pro jednotný trh stanovené sdělením Komise ze dne 28. října 2015 nazvaným „Zlepšování jednotného trhu: více příležitostí pro lidi a podniky“. Cílem této strategie je plně využít potenciál vnitřního trhu tím, že občanům a podnikům usnadní pohyb v rámci Unie a přeshraniční obchodování, usazování a rozvoj podnikání.

(2)

Sdělení Komise ze dne 6. května 2015 nazvané „Strategie pro jednotný digitální trh v Evropě“ uznává úlohu, kterou internet a digitální technologie hrají při proměně našeho životního stylu a způsobu, jakým se občané a podniky dostávají k informacím, získávají znalosti, nakupují zboží a služby, účastní se trhu a pracují tím, že usnadňují příležitosti pro inovaci, růst a zaměstnanost. Toto sdělení spolu s několika usneseními přijatými Evropským parlamentem uznalo, že potřeby občanů a podniků v jejich vlastních zemích a přeshraničně by mohly být lépe naplněny, pokud by došlo k integraci stávajících portálů, internetových stránek, sítí, služeb a systémů na evropské úrovni a jejich propojení s různými vnitrostátními řešeními, čímž by vznikla jednotná digitální brána, která by sloužila jako jednotné evropské vstupní místo (dále jen „brána“). Tato brána je ve sdělení Komise ze dne 19. dubna 2016 nazvaném „Akční plán EU pro ‚eGovernment‘ na období 2016–2020: Urychlování digitální transformace veřejné správy“ uvedena mezi jednou z činností na rok 2017. Zpráva Komise ze dne 24. ledna 2017 nazvaná „Posílení práv občanů v Unii demokratické změny – zpráva o občanství EU pro rok 2017“ považuje bránu za prioritu pro uplatňování práv občanů Unie.

(3)

Evropský parlament a Rada opakovaně požadovaly úplnější a uživatelsky vstřícnější soubor informací a asistenci, které by občanům a podnikům pomohly nastavit vnitřní trh a které by posílily a zjednodušily nástroje vnitřního trhu tak, aby lépe vyhovovaly potřebám občanů a podniků při jejich přeshraničních činnostech.

(4)

Toto nařízení odpovídá na tyto požadavky tím, že občanům a podnikům nabízí snadný přístup k informacím, postupům a asistenčním službám a službám pro řešení problémů, které potřebují k výkonu svých práv na vnitřním trhu. Brána by mohla přispět k větší transparentnosti pravidel a předpisů týkajících se různých situací v podnikání a životě v oblastech, jako je cestování, důchod, vzdělávání, zaměstnání, zdravotní péče, práva spotřebitele a rodinná práva. Dále by mohla pomoci zlepšit důvěru spotřebitelů, řešit problém nedostatečného povědomí o ochraně spotřebitele a o pravidlech vnitřního trhu a snížit náklady podniků na dodržování předpisů. Toto nařízení zřizuje uživatelsky vstřícnou, interaktivní bránu, která by uživatelům v souladu s jejich potřebami měla pomáhat nalézt služby, které jsou pro ně nejvhodnější. Při dosahování těchto cílů by v tomto rámci měly hrát důležitou úlohu Komise a členské státy.

(5)

Tato brána by měla usnadňovat vzájemné kontakty mezi občany a podniky na jedné straně a příslušnými orgány na straně druhé tím, že poskytne přístup k online řešením, zjednoduší občanům a podnikům vyřizování jejich každodenních záležitostí a minimalizuje překážky, s nimiž se potýkají na vnitřním trhu. Existence jednotné digitální brány poskytující online přístup k přesným a aktuálním informacím, postupům a asistenčním službám a službám pro řešení problémů by mohla pomoci zvýšit povědomí uživatelů o různých službách, které jsou dostupné online, a mohla by jim ušetřit čas i náklady.

(6)

Toto nařízení sleduje trojí cíl, totiž snížit veškerou dodatečnou administrativní zátěž občanů a podniků, kteří vykonávají nebo chtějí vykonávat svá práva na vnitřním trhu, včetně volného pohybu občanů, v plném souladu s vnitrostátními pravidly a postupy, odstranit diskriminaci a zajistit fungování vnitřního trhu, pokud jde o poskytování informací, postupů a asistenčních služeb a služeb pro řešení problémů. Jelikož se toto nařízení vztahuje na volný pohyb občanů, který nelze považovat za pouhou shodu okolností, mělo by se zakládat na čl. 21 odst. 2 a čl. 114 odst. 1 Smlouvy o fungování Evropské unie (dále jen „Smlouva o fungování EU“).

(7)

Aby občané a podniky v Unii mohli využívat svého práva na volný pohyb v rámci vnitřního trhu, měla by Unie přijmout zvláštní nediskriminační opatření, jež občanům a podnikům umožní snadný přístup k dostatečně komplexním a spolehlivým informacím o jejich právech podle práva Unie a k informacím o platných vnitrostátních pravidlech a postupech, které musejí dodržet, pokud se přestěhují, budou žít či studovat v jiném než vlastním členském státě, nebo pokud se v něm usadí nebo budou vykonávat podnikatelskou činnost. Informace by se měly považovat za dostatečně komplexní, pokud zahrnují veškeré informace, které jsou nezbytné k tomu, aby uživatelé pochopili, jaká jsou jejich práva a povinnosti a obsahují pravidla, jež se na ně vztahují, týkající se činností, které chtějí vyvíjet jako přeshraniční uživatelé. Tyto informace by měly být podávány jasně, stručně a srozumitelně a měly by být operativní a uzpůsobené cílové skupině uživatelů. Informace o postupech by měly zahrnovat veškeré předpokládané procesní kroky, které jsou pro uživatele relevantní. Pro občany a podniky čelící složitému regulatornímu prostředí, například pokud působí v oblasti elektronického obchodu a sdílené ekonomiky, je důležité, aby mohli snadno zjistit, jaká jsou platná pravidla a jak se vztahují na jejich činnosti. Snadný a uživatelsky vstřícný přístup k informacím znamená, že uživatelům umožňuje informace snadno najít, snadno zjistit, které informace jsou pro jejich konkrétní situaci relevantní, a snadno takovým relevantním informacím porozumět. Informace, které by měly být poskytnuty na vnitrostátní úrovni, by se měly týkat nejen vnitrostátních pravidel, jež provádí právo Unie, ale rovněž veškerých ostatních vnitrostátních pravidel, která platí jak pro uživatele, kteří nejsou přeshraničními uživateli, tak pro přeshraniční uživatele.

(8)

Pravidla pro poskytování informací podle tohoto nařízení by se neměla vztahovat na vnitrostátní soudní systémy, neboť informace v této oblasti, které jsou relevantní pro přeshraniční uživatele, jsou již poskytovány na portálu e-justice. V některých situacích, na něž se vztahuje toto nařízení, by se soudy měly považovat za příslušné orgány, například pokud soudy spravují obchodní rejstříky. Kromě toho by se i na online postupy, které umožňují přístup k soudnímu řízení, měla vztahovat zásada zákazu diskriminace.

(9)

Je zřejmé, že občané a podniky z jiných členských států mohou být znevýhodněni kvůli své neznalosti vnitrostátních pravidel a administrativních systémů, používání odlišných jazyků a větší zeměpisné vzdálenosti příslušných orgánů v jiných než vlastních členských státech. Nejúčinnějším způsobem, jak snížit následné překážky na vnitřním trhu, je umožnit jak uživatelům, kteří nejsou přeshraničními uživateli, tak přeshraničním uživatelům, aby získali přístup k informacím online v jazyce, kterému jsou schopni rozumět a tím jim umožnit, aby splnili postupy nutné k dodržení vnitrostátních pravidel zcela online, a nabídnout jim asistenční služby pokud pravidla a postupy nejsou dostatečně jasné nebo pokud při výkonu svých práv narazí na překážky.

(10)

Řada aktů Unie má za cíl poskytnout řešení vytvořením jednoho správního místa pro jednotlivá odvětví včetně jednotných kontaktních míst, která byla zřízena směrnicí Evropského parlamentu a Rady 2006/123/ES (3), jež poskytují online informace, asistenční služby a přístup k postupům, jež jsou důležité pro poskytování služeb; kontaktních míst pro výrobky, které byly zřízeny nařízením Evropského parlamentu a Rady (ES) č. 764/2008 (4); a kontaktních míst pro stavební výrobky, která byla zřízena nařízením Evropského parlamentu a Rady (EU) č. 305/2011 (5), jež poskytují přístup k technickým pravidlům pro určité výrobky; a národních center pomoci pro odbornou kvalifikaci, která byla zřízena směrnicí Evropského parlamentu a Rady 2005/36/ES (6), jež poskytují pomoc pracovníkům, kteří se přestěhují do zahraničí. Dále byly zřízeny sítě, jako například evropská spotřebitelská centra, jejichž účelem je napomoci porozumění právům spotřebitele v Unii a poskytnout pomoc při řešení stížností v souvislosti s nákupy provedenými v jiných členských státech v rámci této sítě při cestování nebo nakupování online. SOLVIT (systém řešení problémů na vnitřním trhu) se dále, jak je uvedeno v doporučení Komise 2013/461/EU (7), snaží poskytovat jednotlivcům a podnikům rychlá, účinná a neformální řešení, když jim orgány veřejné moci upírají jejich práva na vnitřním trhu. V neposlední řadě bylo zřízeno několik informačních portálů, jako je Vaše Evropa, pokud jde o vnitřní trh, a portál e-justice, který se vztahuje k oblasti spravedlnosti, jež informují uživatele o unijních a vnitrostátních pravidlech.

(11)

Stávající poskytování informačních a asistenčních služeb a služeb pro řešení problémů online spolu s online postupy pro občany a podniky je v důsledku odvětvové povahy těchto aktů Unie velmi roztříštěné. Existují rozdíly v dostupnosti online informací a postupů, kvalita služeb je nedostatečná a chybí povědomí o těchto informacích a asistenčních službách a službách pro řešení problémů. Rovněž přeshraniční uživatelé mají problémy s možností vyhledání a dostupností těchto služeb.

(12)

Toto nařízení by mělo zřídit jednotnou digitální bránu, která by měla být jednotným vstupním místem, jehož prostřednictvím budou občané a podniky moci získávat informace o pravidlech a požadavcích, které musí splnit v souladu s právem Unie nebo s vnitrostátním právem. Tato brána by měla zjednodušit a zefektivnit kontakt občanů a podniků s asistenčními službami a službami pro řešení problémů, jež byly zřízeny na úrovni Unie nebo na vnitrostátní úrovni. Tato brána by rovněž měla usnadnit přístup k online postupům a jejich provádění. Toto nařízení by se nemělo dotýkat stávajících práv a povinností podle práva Unie nebo vnitrostátního práva v rámci daných oblastí politiky. Pokud jde o postupy uvedené v příloze II tohoto nařízení a postupy uvedené ve směrnicích 2005/36/ES a 2006/123/ES a ve směrnicích Evropského parlamentu a Rady 2014/24/EU (8) a 2014/25/EU (9), mělo by toto nařízení za účelem výměny důkazů mezi příslušnými orgány v různých členských státech podpořit uplatnění zásady „pouze jednou“ a mělo by plně dodržovat základní právo na ochranu osobních údajů.

(13)

Tato brána a její obsah by měly pamatovat především na uživatele a být uživatelsky vstřícné. Brána by se neměla překrývat se stávajícími službami a měla by na ně odkazovat. Měla by občanům a podnikům umožnit spolupracovat s veřejnými orgány na úrovni Unie i na vnitrostátní úrovni tím, že jim dá možnost poskytnout zpětnou vazbu týkající se jak služeb nabízených prostřednictvím brány, tak i jejich zkušeností s fungováním vnitřního trhu. Nástroj pro zpětnou vazbu by měl uživatelům dát možnost upozornit na zjištěné problémy, nedostatky a potřeby způsobem, který umožní uživateli zůstat v anonymitě, za účelem neustálého zvyšování kvality daných služeb.

(14)

Úspěch brány bude záviset na spojeném úsilí Komise a členských států. Brána by měla obsahovat společné uživatelské rozhraní, které bude začleněné do stávajícího portálu Vaše Evropa a které bude spravovat Komise. Společné uživatelské rozhraní by mělo obsahovat odkazy na informace, postupy a asistenční služby a služby pro řešení problémů, které jsou dostupné na portálech spravovaných příslušnými orgány v členských státech a Komisí. Aby bylo používání brány co nejsnazší, společné uživatelské rozhraní by mělo být dostupné ve všech úředních jazycích orgánů Unie (dále jen „úřední jazyky Unie“). Stávající portál Vaše Evropa a jeho hlavní přístupový odkaz internetových stránek by v podobě přizpůsobené požadavkům brány mě zachovat tento mnohojazyčný přístup k poskytovaným informacím. Fungování brány by měly podporovat technické nástroje vyvinuté Komisí v úzké spolupráci se členskými státy.

(15)

V Chartě elektronických jednotných kontaktních míst podle směrnice 2006/123/ES, která získala podporu v Radě v roce 2013, se členské státy dobrovolně zavázaly uplatnit při poskytování informací prostřednictvím jednotných kontaktních míst přístup zaměřený na uživatele tak, aby zahrnuly oblasti, které jsou pro podniky obzvláště důležité, včetně požadavků týkajících se DPH, daní z příjmu, sociálního zabezpečení nebo pracovního práva. Na základě Charty a zkušeností s portálem Vaše Evropa by tyto informace měly také uvádět popis asistenčních služeb a služeb pro řešení problémů. Občané a podniky by měli mít možnost se na tyto služby obrátit, pokud mají problémy porozumět určité informaci, použít tuto informaci na svou situaci nebo provést určitý postup.

(16)

V tomto nařízení by měly být vymezeny oblasti informací, jež jsou relevantní pro občany a podniky vykonávající svá práva a plnící své povinnosti na vnitřním trhu. V těchto oblastech by měly být poskytovány dostatečně komplexní informace na vnitrostátní úrovni, včetně úrovně regionální a místní, a na úrovni Unie, a to s vysvětlením platných pravidel a povinností a postupů, které občané a podniky musí splnit, aby daná pravidla a povinnosti dodrželi. Za účelem zajištění kvality nabízených služeb by informace poskytované prostřednictvím brány měly být jasné, přesné a vždy aktuální, měly by obsahovat co nejméně složité terminologie a měly by být používány pouze zkratky, které představují zjednodušené a snadno srozumitelné pojmy, které nevyžadují předchozí znalost dané problematiky či dané oblasti práva. Tyto informace by měly být poskytovány způsobem, jenž uživatelům umožní snadno porozumět základním pravidlům a požadavkům použitelným na jejich situaci v těchto oblastech. Uživatelé by měli být také informováni o tom, že v některých členských státech neexistují vnitrostátní pravidla pro oblasti informací uvedené v příloze I, zvláště vztahují-li se na tyto oblasti vnitrostátní pravidla v jiných členských státech. Takové informace o neexistenci vnitrostátních pravidel by mohly být uvedeny na portálu Vaše Evropa.

(17)

Kdykoliv je to možné, měly by se informace, jež Komise získala od členských států podle stávajícího práva Unie nebo v rámci dobrovolných opatření, například informace získané pro účely portálu EURES zřízeného nařízením Evropského parlamentu a Rady (EU) 2016/589 (10), portálu e-justice zřízeného rozhodnutím Rady 2001/470/ES (11) nebo databáze regulovaných povolání zřízené směrnicí 2005/36/ES, využít k pokrytí části informací, jež mají být zpřístupněny občanům a podnikům na úrovni Unie a na vnitrostátní úrovni v souladu s tímto nařízením. Od členských států by nemělo být požadováno, aby zveřejňovaly na svých vnitrostátních internetových stránkách informace, které jsou již k dispozici v příslušných databázích spravovaných Komisí. Pokud již členské státy mají povinnost poskytovat informace online podle jiných aktů Unie, například podle směrnice Evropského parlamentu a Rady 2014/67/EU (12), mělo by stačit, aby členské státy uvedly odkazy na již existující informace online. Pokud již byly některé oblasti politiky plně harmonizovány prostřednictvím práva Unie, například práva spotřebitele, měly by být informace poskytované na úrovni Unie obecně dostačující k tomu, aby uživatelé porozuměli svým relevantním právům a povinnostem. V těchto případech by se od členských států mělo požadovat, aby poskytly pouze dodatečné informace týkající se jejich vnitrostátních správních postupů a asistenčních služeb nebo jakýchkoli jiných vnitrostátních správních pravidel, pokud jsou pro uživatele relevantní. Informace o právech spotřebitele by se například neměly dotýkat smluvního práva, ale měly by spíše informovat uživatele o jejich právech podle práva Unie a vnitrostátního práva v rámci obchodních transakcí.

(18)

Toto nařízení by mělo zvýšit rozsah online postupů na vnitřním trhu a přispět tak k digitalizaci vnitřního trhu tím, že podpoří obecnou zásadu nediskriminace mimo jiné v souvislosti s přístupem občanů nebo podniků k online postupům, které již byly na vnitrostátní úrovni zavedeny na základě práva Unie nebo vnitrostátního práva, a k postupům, které mají být zpřístupněny zcela online v souladu s tímto nařízením. Pokud má uživatel, jehož situace je omezena výhradně na jediný členský stát, možnost online přístupu k určitému postupu a jeho splnění v daném členském státě v oblasti, na niž se vztahuje toto nařízení, měl by mít přeshraniční uživatel rovněž možnost online přístupu k tomuto postupu a jeho splnění, a to s použitím buď téhož technického řešení, nebo alternativního, technicky samostatného řešení, které povede ke stejnému výsledku, bez jakýchkoli diskriminačních překážek. Tyto překážky by mohly spočívat v řešeních koncipovaných na vnitrostátní úrovni, například využívání polí ve formulářích, která vyžadují vnitrostátní telefonní čísla, vnitrostátní předvolby telefonních čísel nebo vnitrostátní poštovní směrovací čísla, platby poplatků, které lze provést pouze prostřednictvím systémů, jež neumožňují přeshraniční platby, chybějící podrobná vysvětlení v jazyce, kterému přeshraniční uživatelé rozumějí, chybějící možnost předložit elektronický důkaz získaný na úřadech v jiném členském státě a chybějící možnost přijmout elektronický prostředek prokazování totožnosti vydaný v jiných členských státech. Členské státy by měly poskytnout řešení těchto překážek.

(19)

Pokud uživatelé provádějí online postupy přeshraničně, měli by mít možnost obdržet veškerá příslušná vysvětlení v úředním jazyce Unie, kterému obecně rozumí co nejvyšší počet přeshraničních uživatelů. To neznamená, že se od členských států vyžaduje, aby překládaly své administrativní formuláře pro tento postup ani výstup tohoto postupu do uvedeného jazyka. Členské státy jsou však podněcovány k tomu, aby využívaly technická řešení, která by uživatelům umožnila v co nejvyšší míře provádět dané postupy v uvedeném jazyce, a to při dodržení pravidel členských států pro používání jazyků.

(20)

Online vnitrostátní postupy, které jsou pro přeshraniční uživatele relevantní, aby mohli vykonávat svá práva na vnitřním trhu, závisí na tom, zda mají bydliště nebo jsou usazeni v daném členském státě, nebo chtějí získat přístup k postupům daného členského státu, přestože mají bydliště nebo jsou usazeni v jiném členském státě. Toto nařízení by nemělo členským státům bránit, aby od přeshraničních uživatelů, kteří mají bydliště nebo jsou usazeni na jejich území, požadovaly pro získání přístupu k online vnitrostátním postupům získání národního identifikačního čísla, pokud to pro tyto uživatele nepředstavuje neodůvodněnou dodatečnou zátěž nebo náklady. Pro přeshraniční uživatele, kteří nemají bydliště nebo nejsou usazeni v dotčeném členském státě, nemusí být zcela zpřístupňovány online takové online vnitrostátní postupy, které nejsou relevantní pro výkon jejich práv na vnitřním trhu, například registrace k využívání místních služeb jako je svoz odpadu či parkovací povolení.

(21)

Toto nařízení by mělo vycházet z nařízení Evropského parlamentu a Rady (EU) č. 910/2014 (13), které stanovuje podmínky, za nichž členské státy uznávají určité prostředky elektronického prokazování totožnosti fyzických a právnických osob, jež spadají pod oznámený systém elektronického prokazování totožnosti jiného členského státu. Nařízení (EU) č. 910/2014 stanoví podmínky, za nichž mohou uživatelé používat své prostředky elektronického prokazování totožnosti a ověřování pro online přístup k veřejným službám v přeshraničních situacích. Orgány, instituce a jiné subjekty Unie jsou podněcovány k tomu, aby při postupech, za které odpovídají, akceptovaly prostředky elektronického prokazování totožnosti a ověřování.

(22)

Řada odvětvových aktů Unie, jako jsou směrnice 2005/36/ES, 2006/123/ES, 2014/24/EU a 2014/25/EU, vyžaduje, aby se postupy prováděly zcela online. Tímto nařízením by se mělo u řady dalších postupů, jež mají klíčový význam pro většinu občanů a podniků při přeshraničním výkonu jejich práv a dodržování jejich povinností, vyžadovat, aby byly zpřístupněny zcela online.

(23)

Aby občané a podniky mohli přímo využívat výhody vnitřního trhu bez další zbytečné administrativní zátěže, mělo by toto nařízení požadovat plnou digitalizaci uživatelského rozhraní určitých klíčových postupů pro přeshraniční uživatele, které jsou uvedeny v příloze II tohoto nařízení. Toto nařízení by mělo stanovit kritéria pro určení, kdy jsou tyto postupy považovány za zcela online. Povinnost učinit takový postup zcela dostupný online by se měla uplatňovat pouze tehdy, pokud byl tento postup zaveden v daném členském státě. Toto nařízení by nemělo zahrnovat počáteční registraci podnikatelské činnosti, postupy vedoucí k založení společností nebo firem coby právních subjektů ani jakoukoli následnou evidenci takových společností nebo firem, neboť tyto postupy vyžadují komplexní přístup zaměřený na usnadnění digitálních řešení po celou dobu existence společnosti. Pokud jsou podniky založeny v jiném členském státě, požaduje se po nich, aby se registrovaly v systému sociálního zabezpečení a v systému pojištění, aby mohly registrovat své zaměstnance a platit příspěvky do obou systémů. Mohly by mít povinnost své podnikatelské činnosti nahlásit, získat povolení nebo registrovat změny ve své podnikatelské činnosti. Tyto postupy jsou společné pro podniky působící v mnoha odvětvích hospodářství, a je proto vhodné požadovat, aby tyto postupy byly dostupné online.

(24)

Toto nařízení by mělo vyjasnit, co se rozumí postupem nabízeným zcela online. Postup by se měl považovat za zcela online, pokud uživatel může ve spolupráci s příslušným orgánem (tzv. „front office“) učinit všechny kroky od získání přístupu až po dokončení daného postupu elektronicky, na dálku a prostřednictvím online služby. Tato online služba by měla uživatele vést pomocí seznamu všech požadavků, jež musí být splněny, a všech podkladů, které musí být předloženy, měla by uživateli umožnit, aby poskytl informace a prokázal splnění všech těchto požadavků, a měla by uživateli vystavit automatické potvrzení o přijetí, nebyl-li výstup postupu doručen okamžitě. To by nemělo bránit příslušným orgánům spojit se přímo s uživateli, bude-li nezbytné získat další vysvětlení potřebná pro účely daného postupu. Výstup postupu podle tohoto nařízení by měly příslušné orgány uživateli doručit rovněž elektronicky, umožňuje-li to platné právo Unie a vnitrostátní právo.

(25)

Tímto nařízením by neměla být dotčena věcná podstata postupů uvedených v příloze II, které jsou zavedeny na celostátní, regionální nebo místní úrovni, a nestanoví materiální a procesní pravidla v oblastech v působnosti přílohy II, včetně oblasti daní. Účelem tohoto nařízení má být stanovení technických požadavků pro zajištění toho, aby takové postupy, byly-li v daném členském státě zavedeny, byly zcela dostupné online.

(26)

Tímto nařízením by neměla být dotčena pravomoc vnitrostátních orgánů v určitém postupu, včetně ověřování přesnosti a platnosti předložených informací nebo důkazů a ověření pravosti, byly-li důkazy předloženy jinými prostředky než prostřednictvím technického systému založeného na zásadě „pouze jednou“. Tímto nařízením by neměly být dotčeny ani pracovní postupy v rámci příslušných orgánů a mezi nimi (tzv. „back office“), bez ohledu na to, zda jsou tyto pracovní postupy digitalizované, či nikoliv. Je-li to nutné jako součást některého z postupů registrace změn v podnikatelské činnosti, měly by členské státy mít možnost i nadále požadovat zapojení notářů nebo právníků, kteří by mohli chtít využít prostředky ověřování jako je videokonference nebo jiné prostředky online, které umožňují audiovizuální spojení v reálném čase. Jejich zapojení by však nemělo bránit dokončení postupů registrace těchto změn zcela online.

(27)

V některých případech může být od uživatelů požadováno, aby předložili důkazy k prokázání skutečností, které nelze ověřit online prostředky. K takovým důkazům by mohly patřit lékařská osvědčení, důkaz o tom, že je daná osoba naživu, doklad o technické způsobilosti motorových vozidel nebo kontrola jejich čísel podvozku. Pokud je možné důkazy k prokázání těchto skutečností předložit v elektronické podobě, nemělo by se jednat o výjimku ze zásady, že postup by měl být nabízen zcela online. V jiných případech by mohlo být stále nezbytné, aby se uživatelé kvůli určitému postupu dostavili v rámci online postupu k příslušnému orgánu osobně. Všechny takové výjimky, které nevyplývají z práva Unie, by se měly týkat pouze případů, které jsou opodstatněné převažujícím důvodem veřejného zájmu v oblastech veřejné bezpečnosti, veřejného zdraví nebo boje proti podvodům. V zájmu zajištění transparentnosti by měly členské státy sdílet s Komisí a s ostatními členskými státy informace o těchto výjimkách a o důvodech a okolnostech, kdy je možné tyto výjimky uplatnit. Členské státy by neměly mít povinnost hlásit každý jednotlivý případ, kdy bylo výjimečně nutné se dostavit osobně, nýbrž by spíše měly oznámit vnitrostátní ustanovení, která takové případy stanoví. V rámci koordinační skupiny pro bránu by měly být pravidelně projednávány osvědčené postupy na vnitrostátní úrovni a technický vývoj umožňující další digitalizaci v tomto ohledu.

(28)

V přeshraničních situacích by se mohl postup registrace změny adresy sestávat ze dvou samostatných postupů, a to jednoho v členském státě původu, kterým se žádá o odhlášení z původní adresy, a druhého v členském státě určení, kterým se žádá o přihlášení na nové adrese. Toto nařízení by se mělo vztahovat na oba postupy.

(29)

Jelikož na digitalizaci požadavků, postupů a formalit týkajících se uznávání odborných kvalifikací se již vztahuje směrnice 2005/36/ES, toto nařízení by se mělo vztahovat pouze na digitalizaci postupu, kterým se žádá o akademické uznání diplomů, osvědčení či jiných dokladů o dokončených kurzech u osob, které si přejí zahájit studium nebo v něm pokračovat, nebo používat akademický titul, nad rámec formalit týkajících se uznávání odborných kvalifikací.

(30)

Tímto nařízením by neměla být dotčena pravidla koordinace sociálního zabezpečení, jež jsou stanovena v nařízeních Evropského parlamentu a Rady (ES) č. 883/2004 (14) a (ES) č. 987/2009 (15), která vymezují práva a povinnosti pojištěných osob a institucí sociálního zabezpečení a rovněž postupy, které se použijí v oblasti koordinace sociálního zabezpečení.

(31)

Na úrovni Unie a na vnitrostátní úrovni bylo zřízeno několik sítí a služeb, jež pomáhají občanům a podnikům při jejich přeshraniční činnosti. Je důležité, aby tyto služby, včetně stávajících asistenčních služeb či služeb pro řešení problémů zřízených na úrovni Unie, jako jsou evropská spotřebitelská centra, služba Vaše Evropa – Poradenství, síť SOLVIT, asistenční služby pro práva duševního vlastnictví, kontaktní centra Europe Direct a síť Enterprise Europe Network, byly součástí brány, aby bylo zajištěno, že je všichni uživatelé mohou s jistotou nalézt. Služby, které jsou uvedeny v příloze III, byly zřízeny závaznými akty Unie, zatímco ostatní služby fungují na základě dobrovolnosti. Na služby zřízené závaznými akty Unie by se měly vztahovat požadavky na kvalitu stanovené tímto nařízením. Služby fungující na základě dobrovolnosti by měly tyto požadavky na kvalitu splňovat, je-li jejich záměrem zpřístupnit je prostřednictvím brány. Tímto nařízením by se neměl změnit rozsah a povaha uvedených služeb, ujednání o jejich správě, stávající lhůty ani dobrovolný, smluvní nebo jiný základ pro jejich provozování. Pokud je například jimi poskytovaná pomoc neformální povahy, nemělo by toto nařízení mít za následek přeměnu této pomoci na právní poradenství závazné povahy.

(32)

Členské státy a Komise by měly mít možnost se rozhodnout za podmínek stanovených tímto nařízením přidat do brány další vnitrostátní asistenční služby nebo služby pro řešení problémů, které jsou poskytovány příslušnými orgány nebo soukromými nebo polosoukromými subjekty nebo orgány veřejné moci, jako jsou obchodní komory či nevládní asistenční služby pro občany. Obecně by příslušné orgány měly odpovídat za poskytování pomoci občanům a podnikům v případě jakýchkoliv dotazů, které mají v souvislosti s platnými pravidly a postupy a které nelze v úplnosti položit prostřednictvím online služeb. Nicméně ve vysoce specializovaných oblastech, a pokud služba poskytovaná soukromými či polosoukromými orgány splňuje potřeby uživatelů, mohou členské státy Komisi navrhnout, aby takové služby začlenila do brány, splňují-li tyto služby veškeré podmínky stanovené tímto nařízením a nepřekrývají-li se s již zařazenými asistenčními službami nebo službami pro řešení problémů.

(33)

Aby uživatelé zjistili, která služba je pro ně vhodná, mělo by toto nařízení poskytnout vyhledávač asistenčních služeb, který uživatele automaticky dovede ke správné službě.

(34)

V zájmu zajištění spolehlivého poskytování informací a služeb je splnění minimálních požadavků na kvalitu pro úspěch brány zásadní, neboť v opačném případě by byla vážně narušena důvěryhodnost celé brány. Hlavním cílem tohoto splnění požadavků je zajistit, aby byly informace nebo služby předkládány jasným a uživatelsky vstřícným způsobem. Je v pravomoci členských států, aby určily, jakým způsobem jsou během postupu uživatele informace předkládány, aby byl tento cíl splněn. Například, je sice užitečné, jsou-li uživatelé ještě před zahájením postupu informováni o obecně dostupných opravných prostředcích v případě nepříznivého výsledku postupu, mnohem uživatelsky vstřícnější je ovšem poskytnout veškeré specifické informace o možných krocích, které je třeba v takovém případě učinit, na konci postupu.

(35)

Přístupnost informací pro přeshraniční uživatele lze výrazně zlepšit, pokud budou dané informace dostupné i v jiném úředním jazyce Unie, kterému obecně rozumí co nejvyšší počet přeshraničních uživatelů. Tímto jazykem by měl být ve většině případů ten cizí jazyk, který se uživatelé v celé Unii učí v co nejširší míře, ale v některých specifických případech, konkrétně v případě, kdy informace mají na místní úrovni poskytovat orgány místní samosprávy v pohraničí určitého členského státu, může být tím nejvhodnějším jazykem jazyk, který je prvním jazykem přeshraničních uživatelů v sousedním členském státě. Překlad z úředního jazyka nebo jazyků daných členských států do tohoto dalšího úředního jazyka Unie by měl přesně odrážet obsah informací, které jsou poskytnuty v původním jazyce nebo jazycích. Překlad lze omezit pouze na informace, které uživatelé potřebují k porozumění základním pravidlům a požadavkům, jež se vztahují na jejich situaci. Členské státy by sice měly být podněcovány k tomu, aby do úředního jazyka Unie, kterému obecně rozumí co nejvyšší počet přeshraničních uživatelů, přeložily co nejvíce informací, objem informací k překladu podle tohoto nařízení však bude záviset na finančních zdrojích, které budou pro tento účel k dispozici, zejména těch z rozpočtu Unie. Komise by měla učinit vhodná opatření s cílem zajistit členským státům na jejich žádost účinné poskytování překladů. Koordinační skupina pro bránu by měla projednat a vydat pokyny ve věci úředního jazyka nebo jazyků Unie, do kterých by tyto informace měly být přeloženy.

(36)

V souladu se směrnicí Evropského parlamentu a Rady (EU) 2016/2102 (16) mají členské státy povinnost zajistit, aby internetové stránky jejich veřejných institucí byly přístupné v souladu se zásadami vnímatelnosti, ovladatelnosti, srozumitelnosti a stability a aby splňovaly požadavky podle této směrnice. Komise a členské státy by měly zajistit dodržování Úmluvy Organizace spojených národů o právech osob se zdravotním postižením, zejména s články 9 a 21 této úmluvy, a v zájmu podpory přístupu osob s mentálním postižením k informacím by měly být v co nejvyšší míře v souladu se zásadou proporcionality nabízeny alternativy napsané zjednodušeným jazykem. Členské státy se ratifikací této úmluvy a Unie jejím uzavřením (17) společně zavázaly přijmout vhodná opatření k zajištění přístupu osob se zdravotním postižením, stejným způsobem jako ostatních, k novým informačním a komunikačním technologiím a systémům, včetně internetu, a to usnadněním přístupu osob s mentálním postižením tím, že v co nejvyšší míře a přiměřeným způsobem zajistí alternativy zjednodušeným jazykem.

(37)

Směrnice (EU) 2016/2102 se nevztahuje na internetové stránky a mobilní aplikace orgánů, institucí a jiných subjektů Unie, Komise by však měla zajistit, aby společné uživatelské rozhraní a odkazy internetových stránek, za které odpovídá a které mají být zařazeny do brány, byly přístupné pro osoby se zdravotním postižením, což znamená, že musí být snadno vnímatelné, ovladatelné, srozumitelné a dostatečně stabilní. Vnímatelnost znamená, že informace a prvky společného uživatelského rozhraní musí být uživatelům prezentovány tak, aby je byli schopni vnímat; ovladatelnost znamená, že prvky společného uživatelského rozhraní a navigace musí být ovladatelné; srozumitelnost znamená, že informace a ovládání společného uživatelského rozhraní musí být srozumitelné, a stabilita znamená, že obsah musí být dostatečně stabilní na to, aby mohl být spolehlivě vykládán širokou škálou uživatelských aplikací, včetně pomocných technologií. Pokud jde o výrazy vnímatelný, ovladatelný, srozumitelný a stabilní, Komisi se doporučuje, aby postupovala v souladu s příslušnými harmonizovanými normami.

(38)

V zájmu usnadnění úhrady poplatků požadovaných v rámci online postupů nebo při poskytnutí asistenčních služeb nebo služeb pro řešení problémů by přeshraniční uživatelé měli mít možnost využívat úhrady nebo inkasa, jak je uvedeno v nařízení Evropského parlamentu a Rady (EU) č. 260/2012 (18), nebo jiné obecně používané přeshraniční platební prostředky včetně debetních či kreditních karet.

(39)

Je užitečné, aby byli uživatelé informováni o předpokládané době trvání postupu. Měli by proto být informováni o použitelných lhůtách nebo režimu tichého souhlasu či nevyjádření se správního orgánu, nebo, nepoužijí-li se takové lhůty či režimy, alespoň o průměrné, odhadované nebo orientační době, kterou obvykle daný postup vyžaduje. Tyto odhadované nebo orientační doby by měly uživatelům pouze pomoci při plánování jejich činností nebo případných dalších administrativních kroků a neměly by mít žádný právní účinek.

(40)

Toto nařízení by rovněž mělo umožnit ověření důkazů, které uživatelé poskytnou v elektronické podobě, pokud jsou důkazy předloženy bez elektronické pečeti nebo certifikace příslušného vydávajícího orgánu, nebo pokud není k dispozici technický nástroj zřízený tímto nařízením ani žádný jiný systém umožňující přímou výměnu nebo ověření důkazů mezi příslušnými orgány různých členských států. Pro takové případy by toto nařízení mělo poskytovat účinný mechanismus správní spolupráce mezi příslušnými orgány členských států založený na systému pro výměnu informací o vnitřním trhu (dále jen „systém IMI“), který byl zřízen nařízením Evropského parlamentu a Rady (EU) č. 1024/2012 (19). V těchto případech by rozhodnutí příslušného orgánu používat systém IMI mělo být dobrovolné, avšak jakmile tento orgán podal žádost o informace nebo spolupráci prostřednictvím systému IMI, měl by mít příslušný dožádaný orgán povinnost spolupracovat a poskytnout odpověď. Žádost může být zaslána prostřednictvím systému IMI buď příslušnému orgánu vydávajícímu doklad, nebo ústřednímu orgánu, který určí členské státy v souladu s jejich vlastními správními pravidly. Aby nedošlo ke zbytečnému překrývání činností, a vzhledem k tomu, že nařízení Evropského parlamentu a Rady (EU) 2016/1191 (20) se již vztahuje na část důkazů relevantních pro postupy, které spadají do oblasti působnosti tohoto nařízení, mohou se mechanismy spolupráce pro systém IMI stanovené v nařízení (EU) 2016/1191 použít i pro účely dalších důkazů požadovaných v rámci postupů spadajících do oblasti působnosti tohoto nařízení. Aby instituce a jiné subjekty Unie mohly fungovat v rámci systému IMI, nařízení (EU) č. 1024/2012 by mělo být změněno.

(41)

Online služby poskytované příslušnými orgány jsou klíčové pro zvýšení kvality a bezpečnosti služeb poskytovaných občanům a podnikům. Orgány veřejné správy v členských státech se ve zvýšené míře snaží o opakované používání údajů a snaží se nepožadovat od občanů a podniků, aby jim poskytovali stejné informace několikrát. Opakované použití údajů by mělo být usnadněno v případě přeshraničních uživatelů tak, aby se snížila administrativní zátěž.

(42)

Aby byla možná zákonná přeshraniční výměna důkazů a informací díky celounijnímu uplatňování zásady „pouze jednou“, při uplatňování tohoto nařízení a zásady „pouze jednou“ by měla být dodržována všechna pravidla použitelná v oblasti ochrany údajů, včetně zásad minimalizace údajů, přesnosti, omezení uložení, integrity a důvěrnosti, nezbytnosti, proporcionality a účelového omezení. Uplatňování tohoto nařízení by rovněž mělo být plně v souladu se zásadami bezpečnosti a ochrany soukromí již od návrhu a měla by také být dodržována základní práva osob, včetně práv souvisejících s korektností a transparentností.

(43)

Členské státy by měly zajistit, aby uživatelé postupů obdrželi jasné informace o způsobu, jakým jsou zpracovány osobní údaje, které se jich týkají, v souladu s články 13 a 14 nařízení Evropského parlamentu a Rady (EU) 2016/679 (21) a s články 15 a 16 nařízení (EU) 2018/1725 (22).

(44)

Aby se dále usnadnilo použití online postupů, mělo by toto nařízení, v souladu se zásadou „pouze jednou“, poskytovat základ pro vytvoření a používání plně provozuschopného, bezpečného a zabezpečeného technického systému pro automatizovanou výměnu důkazů mezi subjekty zúčastněnými na daném postupu, pokud o to občané a podniky výslovně požádají. Zahrnuje-li výměna důkazů osobní údaje, měla by být tato žádost považována za výslovnou tehdy, pokud obsahuje svobodný, konkrétní, informovaný a jednoznačný projev vůle daného jedince, kterým dává prostřednictvím svého prohlášení či potvrzení najevo, že souhlasí s výměnou relevantních osobních údajů. Pokud uživatel není osobou, které se tyto údaje týkají, neměl by se online postup dotýkat jeho práv podle nařízení (EU) 2016/679. Přeshraniční uplatňování zásady „pouze jednou“ by mělo znamenat, že by občané a podniky neměli mít povinnost poskytovat stejné údaje orgánům veřejné moci více než jednou a že by mělo být rovněž možné používat tyto údaje na žádost uživatele pro účely splnění přeshraničních online postupů týkajících se přeshraničních uživatelů. Pokud jde o příslušný orgán, povinnost používat technický systém pro automatizovanou výměnu důkazů mezi různými členskými státy by se měla uplatňovat pouze tehdy, pokud orgány v souladu se zákonem vydají ve svém vlastním členském státě důkaz v elektronické podobě, který umožňuje takovou automatizovanou výměnu.

(45)

Každá přeshraniční výměna důkazů by měla mít náležitý právní základ, jako například směrnici 2005/36/ES, 2006/123/ES, 2014/24/EU nebo 2014/25/EU, nebo v případě postupů uvedených v příloze II podle jiného použitelného práva Unie či vnitrostátního práva.

(46)

Je vhodné, aby toto nařízení stanovilo jako obecné pravidlo, že přeshraniční automatizovaná výměna důkazů se provádí na výslovnou žádost uživatele. Tento požadavek by se však neměl použít, pokud příslušné právo Unie či vnitrostátní právo dovoluje automatizovanou přeshraniční výměnu údajů bez výslovné žádosti uživatele.

(47)

Používání technického systému zřízeného tímto nařízením by mělo být i nadále dobrovolné a uživatel by měl rovněž mít možnost předkládat důkazy jinými prostředky než prostřednictvím tohoto technického systému. Uživatel by měl mít možnost zobrazit si náhled důkazu a právo rozhodnout se neprovádět výměnu důkazů v případech, kdy uživatel po nahlédnutí do důkazů k výměně zjistí, že dané informace jsou nepřesné, neaktuální či přesahují rozsah toho, co je pro účely daného postupu nezbytné. Údaje obsažené v náhledu by neměly být ukládány po dobu delší než je po technické stránce nezbytné.

(48)

Zabezpečený technický systém, který by měl být vytvořen pro výměnu důkazů podle tohoto nařízení, by žádající příslušné orgány měl rovněž ujistit, že daný důkaz byl poskytnut správným vydávajícím orgánem. Před přijetím informací poskytnutých uživatelem v rámci určitého postupu by příslušný orgán měl mít v případě pochybností možnost si informace ověřit a dospět k závěru, že jsou přesné.

(49)

Existuje již řada stavebních prvků nabízejících základní kapacity, jež mohou být k vytvoření tohoto technického systému využity, například v rámci Nástroje pro propojení Evropy vytvořeného nařízením Evropského parlamentu a Rady (EU) č. 1316/2013 (23) a stavební prvky elektronického doručování a elektronické identifikace, které jsou součástí tohoto nástroje. Tyto stavební prvky sestávají z technických specifikací, vzorového softwaru a podpůrných služeb, přičemž jejich cílem je zajistit interoperabilitu mezi stávajícími systémy informačních a komunikačních technologií (IKT) v různých členských státech tak, aby občané, podniky a správní orgány mohli z kteréhokoliv místa v Unii využívat plynulé digitální veřejné služby.

(50)

Technický systém zřízený tímto nařízením by měl být k dispozici vedle ostatních systémů poskytujících mechanismy spolupráce mezi orgány, jako je systém IMI, a neměl by mít vliv na ostatní systémy, včetně systému stanoveného v nařízení (ES) č. 987/2009, jednotného evropského osvědčení pro veřejné zakázky podle směrnice 2014/24/EU, elektronické výměny informací o sociálním zabezpečení podle nařízení (ES) č. 987/2009, evropského profesního průkazu podle směrnice 2005/36/ES, propojení vnitrostátních rejstříků, propojení ústředních, obchodních a podnikových rejstříků podle směrnice Evropského parlamentu a Rady (EU) 2017/1132 (24) a propojení insolvenčních rejstříků podle nařízení Evropského parlamentu a Rady (EU) 2015/848 (25).

(51)

Za účelem zajištění jednotných podmínek k provedení technického systému umožňujícího automatizovanou výměnu důkazů by měly být Komisi svěřeny prováděcí pravomoci ke stanovení zejména technických a provozních specifikací systému zpracování žádostí uživatelů o výměnu důkazů a přenos daných důkazů, jakož i stanovení nezbytných opatření pro zajištění integrity a důvěrnosti přenosu. Tyto pravomoci by měly být vykonávány v souladu s nařízením Evropského parlamentu a Rady (EU) č. 182/2011 (26).

(52)

S cílem zajistit, aby technický systém poskytoval vysokou úroveň bezpečnosti pro přeshraniční uplatňování zásady „pouze jednou“, by při přijímání prováděcích aktů stanovících specifikace tohoto technického systému měla Komise náležitě zohlednit normy a technické specifikace, které vypracovaly evropské i mezinárodní normalizační organizace a subjekty, zejména Evropský výbor pro normalizaci (CEN), Evropský ústav pro telekomunikační normy (ETSI), Mezinárodní organizace pro normalizaci (ISO) a Mezinárodní telekomunikační unie (ITU), jakož i bezpečnostní normy podle článku 32 nařízení (EU) 2016/679 a článku 22 nařízení (EU) 2018/1725.

(53)

Je-li to nezbytné, měla by Komise za účelem zajištění vývoje, dostupnosti, údržby a správy zabezpečení těch částí technického systému, za které odpovídá, jakož i dohledu nad nimi a jejich sledování, požádat o radu evropského inspektora ochrany údajů.

(54)

Příslušné orgány a Komise by měly zajistit, že informace, postupy a služby, za něž jsou odpovědné, jsou v souladu s kvalitativními kritérii. Národní koordinátoři jmenovaní podle tohoto nařízení by měli pravidelně dohlížet na soulad s kvalitativními a bezpečnostními kritérii na vnitrostátní úrovni a Komise na úrovni Unie a měli by řešit jakékoliv problémy, jež vyvstanou. Národní koordinátoři by navíc měli pomáhat Komisi při sledování fungování technického systému umožňujícího přeshraniční výměnu důkazů. Toto nařízení by mělo dát Komisi k dispozici řadu prostředků, jak řešit zhoršení kvality služeb nabízených prostřednictvím brány, a to v závislosti na vážnosti a trvalosti takového zhoršení a v nezbytných případech za účasti koordinační skupiny pro bránu. Tímto by neměla být dotčena celková odpovědnost Komise, pokud jde o sledování souladu s tímto nařízením.

(55)

Toto nařízení by mělo upřesnit hlavní funkce technických nástrojů podporujících fungování brány, zejména společného uživatelského rozhraní, úložiště odkazů a společného vyhledávače asistenčních služeb. Společné uživatelské rozhraní by mělo zajistit, aby uživatelé mohli snadno nalézt informace, postupy a asistenční služby a služby pro řešení problémů na vnitrostátních i unijních internetových stránkách. Členské státy a Komise by měly usilovat o to, aby poskytovaly odkazy na jednotný zdroj informací požadovaných pro bránu, aby nebyli uživatelé mateni různými nebo zcela či zčásti opakujícími se zdroji téže informace. To by však nemělo vylučovat možnost poskytovat odkazy na tytéž informace, jež uvádějí místní nebo regionální příslušné orgány ohledně různých zeměpisných oblastí. Rovněž by to nemělo bránit určitému opakování informací v případech, kdy je to nevyhnutelné nebo žádoucí, například v případě opakování některých práv, povinností a pravidel Unie nebo jejich popisu na vnitrostátních odkazech internetových stránek v zájmu zlepšení uživatelské vstřícnosti. S cílem minimalizovat lidské zásahy při aktualizaci odkazů, jež budou používány společným uživatelským rozhraním, by mělo být zřízeno přímé spojení mezi příslušnými technickými systémy členských států a úložištěm odkazů, bude-li to z technického hlediska možné. Společné podpůrné nástroje IKT podpory by mohly pro usnadnění interoperability s katalogy a sémantikou vnitrostátních služeb využívat základní slovník veřejných služeb (CPSV). Členské státy by měly být podněcovány k využívání CPSV, mohou se však rozhodnout využívat vnitrostátní řešení. Informace obsažené v úložišti odkazů by měly být zveřejňovány v otevřeném, běžně používaném a strojově čitelném formátu, například pro aplikační programovací rozhraní (API), aby bylo možné jejich opětovné použití.

(56)

Nástroj vyhledávání ve společném uživatelském rozhraní by měl dovést uživatele k informacím, které potřebují, nacházejícím se kdekoliv na unijních či vnitrostátních odkazech internetových stránek. Kromě toho jako alternativní způsob, jak dovést uživatele k užitečným informacím, bude i nadále přínosné vytvářet odkazy na stávající i doplňující internetové stránky nebo odkazy internetových stránek, a to co největším zjednodušením přístupu k nim a jejich seskupováním, a vytvářet odkazy na internetové stránky a odkazy internetových stránek na úrovni Unie a na vnitrostátní úrovni poskytující přístup k online službám a informacím.

(57)

Toto nařízení by mělo rovněž specifikovat požadavky na kvalitu pro společné uživatelské rozhraní. Komise by měla zajistit, aby společné uživatelské rozhraní splňovalo tyto požadavky a toto rozhraní by mělo být zejména dostupné a přístupné online prostřednictvím různých kanálů a být snadné k používání.

(58)

Za účelem zajištění jednotných podmínek k provedení technických řešení podporujících bránu by měly být Komisi svěřeny prováděcí pravomoci ke stanovení v případě potřeby použitelných norem a požadavků na interoperabilitu s cílem usnadnit dohledatelnost informací o pravidlech a povinnostech, postupech a o asistenčních službách a službách pro řešení problémů, za něž odpovídají členské státy a Komise. Tyto pravomoci by měly být vykonávány v souladu s nařízením (EU) č. 182/2011.

(59)

Toto nařízení by rovněž mělo mezi Komisi a členské státy jasně rozdělit odpovědnost za vývoj, dostupnost, údržbu a bezpečnost aplikací IKT, jež podporují bránu. V rámci svých úkolů údržby by měly Komise a členské státy pravidelně sledovat řádné fungování těchto aplikací IKT.

(60)

Aby se rozvinul plný potenciál informací z různých oblastí, postupů a asistenčních služeb a služeb pro řešení problémů, které by měly být zahrnuty do brány, je třeba výrazně zvýšit povědomí cílových skupin o jejich existenci a fungování. Jejich zahrnutí do brány by uživatelům mělo velmi zjednodušit dohledatelnost potřebných informací, postupů a asistenčních služeb a služeb pro řešení problémů, a to i pokud žádné z nich neznají. Kromě toho bude zapotřebí koordinovaná propagační činnost, aby se zajistilo, že občané a podniky v celé Unii získají povědomí o existenci brány a o výhodách, které jim nabízí. Tato propagační činnost by měla zahrnovat optimalizaci vyhledávače a další online činnosti na zvyšování povědomí, jelikož jsou nákladově nejúčinnější a mají potenciál oslovit co nejširší cílovou skupinu. Pro maximální účinnost by se tato propagační činnost měla koordinovat v rámci koordinační skupiny pro bránu a členské státy by měly upravit svou propagační činnost tak, aby ve všech důležitých souvislostech existoval odkaz na společnou značku s možností společného označení jednotné digitální brány a vnitrostátních iniciativ.

(61)

Všechny instituce a jiné subjekty by měly být vybízeny k tomu, aby propagovaly bránu tím, že budou uvádět její logo a odkaz na všech svých relevantních odkazech internetových stránek, za něž odpovídají.

(62)

Názvem, pod kterým bude brána známa a propagována u veřejnosti, by mělo být označení „Your Europe“. Společné uživatelské rozhraní by mělo být výrazné a snadno dohledatelné především na relevantních unijních a vnitrostátních odkazech internetových stránek. Logo brány by mělo být viditelné na relevantních unijních a vnitrostátních internetových stránkách.

(63)

Aby byly k dispozici náležité informace pro měření a zlepšení výkonnosti brány, mělo by toto nařízení příslušným orgánům a Komisi ukládat povinnost shromažďovat a analyzovat údaje související s užíváním jednotlivých oblastí informací, postupů a služeb nabízených prostřednictvím brány. Díky shromažďování statistických údajů uživatelů, jako jsou údaje týkající se počtu návštěv konkrétních odkazů internetových stránek, počtu uživatelů v určitém členském státě v porovnání s počtem uživatelů z jiných členských států, použitých vyhledávacích výrazů, nejnavštěvovanějších odkazů internetových stránek, referenčních odkazů internetových stránek nebo počtu, původu a předmětu žádostí o asistenci, by se mělo zlepšit fungování brány, neboť tyto údaje pomohou určit cílové skupiny, vyvíjet propagační činnosti a zlepšit kvalitu nabízených služeb. Shromažďování těchto údajů by mělo zohledňovat každoroční srovnání v oblasti elektronické veřejné správy prováděné Komisí, aby se zabránilo jakémukoli zdvojování.

(64)

Za účelem zajištění jednotných podmínek k provedení tohoto nařízení by měly být Komisi svěřeny prováděcí pravomoci ke stanovení jednotných pravidel pro metodiku shromažďování a výměny statistických údajů o uživatelích. Tyto pravomoci by měly být vykonávány v souladu s nařízením (EU) č. 182/2011.

(65)

Kvalita brány závisí na kvalitě unijních a vnitrostátních služeb poskytovaných prostřednictvím této brány. Kvalita informací, postupů a asistenčních služeb a služeb pro řešení problémů, které budou dostupné prostřednictvím brány, by se proto rovněž měla pravidelně sledovat pomocí nástroje pro zpětnou vazbu od uživatelů, který bude uživatele žádat, aby zhodnotili pokrytí a kvalitu informací, postupů nebo asistenčních služeb a služeb pro řešení problémů, které použili, a v souvislosti s tím podali zpětnou vazbu. Tato zpětná vazba by se měla shromažďovat ve společném nástroji, k němuž by měli mít přístup Komise, příslušné orgány a národní koordinátoři. Komisi by měly být svěřeny prováděcí pravomoci za účelem zajištění jednotných podmínek k provedení tohoto nařízení ve vztahu ke společným funkcím nástrojů pro zpětnou vazbu od uživatelů a podrobných způsobů získávání a sdílení této zpětné vazby od uživatelů. Tyto pravomoci by měly být vykonávány v souladu s nařízením (EU) č. 182/2011. Komise by měla zveřejnit v anonymizované podobě online souhrnné přehledy problémů, které vyplývají z informací, hlavních uživatelských statistik a hlavních zpětných vazeb od uživatelů shromážděných v souladu s tímto nařízením.

(66)

Kromě toho by měl být zahrnut nástroj pro zpětnou vazbu, který umožňuje uživatelům, aby dobrovolně a anonymně ohlásili jakékoliv problémy a potíže, na něž narazili během výkonu svých práv na vnitřním trhu. Tento nástroj by se měl považovat pouze za doplněk k mechanismu řešení stížností, neboť neumožňuje osobní odpověď uživatelům. Získaný vstup by se měl spojit se souhrnnými informacemi od asistenčních služeb a služeb pro řešení problémů o případech, které řešily, tak aby vznikl přehled o vnitřním trhu z pohledu uživatelů a aby byly určeny problematické oblasti pro případná budoucí opatření za účelem zlepšení fungování vnitřního trhu. Tento přehled by měl být propojen se stávajícími nástroji pro podávání zpráv, jako je srovnávací přehled výsledků v oblasti jednotného trhu.

(67)

Právo členských států rozhodnout, kdo by měl plnit úlohu národního koordinátora, by mělo zůstat tímto nařízením nedotčeno. Členské státy by měly mít možnost přizpůsobovat funkce a povinnosti národních koordinátorů související s branou svým vnitřním správním strukturám. Členské státy by měly mít možnost jmenovat další národní koordinátory, aby sami nebo společně s jinými plnili úkoly podle tohoto nařízení, a to pro určitý správní útvar, zeměpisnou oblast nebo podle jiného kritéria. Členské státy by měly uvědomit Komisi o totožnosti jediného národního koordinátora, kterého jmenovaly pro styk s Komisí.

(68)

Aby se usnadnilo provedení tohoto nařízení, zejména prostřednictvím výměny osvědčených postupů a spolupráce na zlepšení jednotnosti předložených informací, jak ji toto nařízení vyžaduje, měla by být stanovena koordinační skupina pro bránu složená z národních koordinátorů, jíž bude předsedat Komise. Tato koordinační skupina pro bránu by při své práci měla zohledňovat cíle stanovené v ročním pracovním programu, který by jí Komise měla předložit k posouzení. Roční pracovní program by měl mít podobu pokynů nebo doporučení, které nejsou pro členské státy závazné. Na žádost Evropského parlamentu může Komise rozhodnout, že Parlament vyzve k vyslání odborníků, aby se zúčastnili schůzí koordinační skupiny pro bránu.

(69)

Toto nařízení by mělo vyjasnit, které části brány mají být financovány z rozpočtu Unie a za které mají odpovídat členské státy. Komise by měla být členským státům nápomocna při určování opětovně použitelných stavebních prvků IKT a financování dostupného prostřednictvím různých fondů a programů na úrovni Unie, které může přispět k pokrytí nákladů na úpravy a vývoj IKT nezbytných na vnitrostátní úrovni pro dosažení souladu s tímto nařízením. Rozpočet potřebný pro provádění tohoto nařízení by měl být v souladu s platným víceletým finančním rámcem.

(70)

Členské státy se vybízejí k větší vzájemné koordinaci, výměně a spolupráci, aby se zvýšila jejich strategická, operativní, výzkumná a rozvojová kapacita v oblasti kybernetické bezpečnosti, zejména prostřednictvím provádění bezpečnosti sítí a informací, jak je uvedeno ve směrnici Evropského parlamentu a Rady (EU) 2016/1148 (27), v zájmu posílení bezpečnosti a odolnosti jejich veřejných správ a služeb. Členské státy se vybízejí, aby zvýšily bezpečnost transakcí a zajistily dostatečnou úroveň důvěry v elektronické prostředky používáním rámce eIDAS, stanoveného nařízením (EU) č. 910/2014, a zejména přiměřené úrovně záruk. Členské státy mohou přijmout opatření v souladu s právem Unie k zajištění kybernetické bezpečnosti a předcházení podvodu zneužití totožnosti či jiným formám podvodů.

(71)

Pokud uplatňování tohoto nařízení zahrnuje zpracování osobních údajů, mělo by se provádět v souladu s právem Unie o ochraně osobních údajů, zejména nařízením (EU) 2016/679 a nařízením (EU) 2018/1725. Směrnice Evropského parlamentu a Rady (EU) 2016/680 (28) by se měla rovněž použít v rámci tohoto nařízení. Jak se stanoví v nařízení (EU) 2016/679, mohou členské státy zachovat nebo zavést další podmínky, včetně omezení, pokud jde o zpracování údajů o zdravotním stavu, a mohou také stanovit konkrétnější pravidla o zpracování osobních údajů zaměstnanců v souvislosti se zaměstnáním.

(72)

Toto nařízení by mělo podporovat a usnadňovat zjednodušení mechanismů řízení služeb, které jsou v bráně zahrnuty. Za tímto účelem by měla Komise v úzké spolupráci s členskými státy přezkoumat stávající mechanismy řízení a v případě potřeby je upravit tak, aby nedocházelo k překrývání činností a neefektivitě.

(73)

Toto nařízení má za cíl zajistit, aby uživatelé, kteří působí v jiných členských státech, měli online přístup k úplným, spolehlivým, přístupným a srozumitelným unijním i vnitrostátním informacím o právech, pravidlech a povinnostech, k online postupům, které jsou plně přeshraniční, a k asistenčním službám a službám pro řešení problémů. Jelikož tohoto cíle nemůže být dosaženo uspokojivě členskými státy, ale spíše ho, z důvodu rozsahu a účinků tohoto nařízení, může být lépe dosaženo na úrovni Unie, může Unie přijmout opatření v souladu se zásadou subsidiarity stanovenou v článku 5 Smlouvy o Evropské unii. V souladu se zásadou proporcionality stanovenou v uvedeném článku, nepřekračuje toto nařízení rámec toho, co je nezbytné k dosažení tohoto cíle.

(74)

Aby členské státy a Komise vyvinuly a zavedly nezbytné nástroje pro uplatnění tohoto nařízení, měla by se některá jeho ustanovení použít dva roky po jeho vstupu v platnost. Orgánům místní samosprávy by měla být stanovena lhůta čtyř let od vstupu tohoto nařízení v platnost pro provedení požadavku na poskytování informací o pravidlech a postupech a asistenčních službách a službách pro řešení problémů v rámci jejich působnosti. Ustanovení tohoto nařízení upravující postupy zcela nabízené online, přeshraniční přístup k online postupům a technický systém pro přeshraniční automatizovanou výměnu důkazů v souladu se zásadou „pouze jednou“ by měla být provedena nejpozději do pěti let od vstupu tohoto nařízení v platnost.

(75)

Toto nařízení dodržuje základní práva a ctí zásady uznané zejména Listinou základních práv Evropské unie a mělo by být provedeno v souladu s těmito právy a zásadami.

(76)

V souladu s čl. 28 odst. 2 nařízení Evropského parlamentu a Rady (ES) č. 45/2001 (29) byl konzultován evropský inspektor ochrany údajů, který vydal své stanovisko dne 1. srpna 2017 (30),

PŘIJALY TOTO NAŘÍZENÍ:

KAPITOLA I

OBECNÁ USTANOVENÍ

Článek 1

Předmět

1.   Toto nařízení stanoví pravidla pro:

a)

zřízení a provoz jednotné digitální brány, která občanům a podnikům poskytuje snadný přístup k vysoce kvalitním informacím, účinným postupům a efektivním asistenčním službám a službám pro řešení problémů, které se týkají unijních a vnitrostátních pravidel, jež platí pro občany a podniky, kteří vykonávají nebo hodlají vykonávat svá práva odvozená z práva Unie v oblasti vnitřního trhu ve smyslu čl. 26 odst. 2 Smlouvy o fungování EU;

b)

používání postupů přeshraničními uživateli a uplatňování zásady „pouze jednou“ ve spojení s postupy uvedenými v příloze II tohoto nařízení a postupy, které stanoví směrnice 2005/36/ES, 2006/123/ES, 2014/24/EU a 2014/25/EU;

c)

hlášení překážek na vnitřním trhu, které se zakládá na získávání zpětné vazby od uživatelů a statistik od služeb, které jsou v bráně zahrnuty.

2.   Je-li toto nařízení v rozporu s ustanovením jiného aktu Unie, které upravuje zvláštní aspekty předmětu tohoto nařízení, má přednost ustanovení uvedeného jiného aktu Unie.

3.   Tímto nařízením není dotčena podstata jakéhokoliv postupu ani práva udělená prostřednictvím takového postupu, je-li takový postup stanoven na úrovni Unie nebo na vnitrostátní úrovni v kterékoliv oblasti, na kterou se vztahuje toto nařízení. Tímto nařízením nejsou dotčena ani opatření přijatá v souladu s právem Unie na zajištění kybernetické bezpečnosti a předcházení podvodům.

Článek 2

Zřízení jednotné digitální brány

1.   Komise a členské státy zřídí v souladu s tímto nařízením jednotnou digitální bránu (dále jen „brána“). Brána sestává ze společného uživatelského rozhraní spravovaného Komisí (dále jen „společné uživatelské rozhraní“), které je zařazeno do portálu „Vaše Evropa“ a poskytuje přístup k relevantním unijním a vnitrostátním odkazům internetových stránek.

2.   Brána poskytuje přístup k:

a)

informacím o právech, povinnostech a pravidlech, které jsou stanoveny právem Unie a vnitrostátním právem a které platí pro uživatele, vykonávající nebo hodlající vykonávat svá práva odvozená z práva vnitřního trhu Unie v oblastech uvedených v příloze I;

b)

informacím o online a offline postupech zavedených na úrovni Unie nebo na vnitrostátní úrovni a odkazům na online postupy, včetně postupů, na něž se vztahuje příloha II, s cílem umožnit uživatelům výkon práv a splnění povinností a pravidel vnitřního trhu v oblastech uvedených v příloze I;

c)

informacím o asistenčních službách a službách pro řešení problémů a odkazům na tyto služby uvedené na seznamu v příloze III nebo v článku 7, na které se občané a podniky mohou obrátit s dotazy či problémy souvisejícími s právy, povinnostmi, pravidly nebo postupy podle písm. a) a b) tohoto odstavce.

3.   Společné uživatelské rozhraní musí být přístupné ve všech úředních jazycích Unie.

Článek 3

Definice

Pro účely tohoto nařízení se rozumí:

(1)

„uživatelem“ buď občan Unie, fyzická osoba s pobytem v členském státě nebo právnická osoba se sídlem v členském státě, která přistupuje prostřednictvím brány k informacím, postupům nebo asistenčním službám nebo službám pro řešení problémů uvedeným v čl. 2 odst. 2;

(2)

„přeshraničním uživatelem“ uživatel v situaci, která se neomezuje ve všech ohledech na jediný členský stát;

(3)

„postupem“ sled kroků, které uživatelé musí učinit, aby splnili požadavky příslušného orgánu nebo od příslušného orgánu získali rozhodnutí, a měli tak možnost vykonávat svá práva uvedená v čl. 2 odst. 2 písm. a);

(4)

„příslušným orgánem“ kterýkoliv orgán nebo subjekt členského státu, který je zřízen na celostátní, regionální nebo místní úrovni a který má specifické povinnosti související s informacemi, postupy, asistenčními službami a službami pro řešení problémů, na něž se vztahuje toto nařízení;

(5)

„důkazem“ jakýkoliv dokument nebo údaj včetně textu nebo zvuku, vizuálního nebo audiovizuálního záznamu bez ohledu na použité médium, který příslušný orgán vyžaduje za účelem prokázání skutečností nebo splnění požadavků na postupy uvedené v čl. 2 odst. 2 písm. b).

KAPITOLA II

SLUŽBY BRÁNY

Článek 4

Přístup k informacím

1.   Členské státy zajistí, aby uživatelé měli na svých vnitrostátních odkazech internetových stránek snadný online přístup k:

a)

informacím o právech, povinnostech a pravidlech uvedených v čl. 2 odst. 2 písm. a), které se odvozují od vnitrostátního práva;

b)

informacím o postupech uvedených v čl. 2 odst. 2 písm. b), které jsou zavedeny na vnitrostátní úrovni;

c)

informacím o asistenčních službách a službách pro řešení problémů uvedených v čl. 2 odst. 2 písm. c), které jsou poskytovány na vnitrostátní úrovni.

2.   Komise zajistí, aby portál „Vaše Evropa“ poskytoval uživatelům snadný online přístup k:

a)

informacím o právech, povinnostech a pravidlech uvedených v čl. 2 odst. 2 písm. a), které se odvozují od práva Unie;

b)

informacím o postupech uvedených v čl. 2 odst. 2 písm. b), které jsou zavedeny na úrovni Unie;

c)

informacím o asistenčních službách a službách pro řešení problémů uvedených v čl. 2 odst. 2 písm. c), které jsou poskytovány na úrovni Unie.

Článek 5

Přístup k informacím, které nejsou uvedeny v příloze I

1.   Členské státy a Komise mohou poskytnout odkazy na informace neuvedené v příloze I, které nabízejí příslušné orgány, Komise nebo instituce a jiné subjekty Unie, jestliže tyto informace spadají do působnosti brány ve smyslu čl. 1 odst. 1 písm. a) a splňují požadavky na kvalitu stanovené v článku 9.

2.   Odkazy na informace uvedené v odstavci 1 tohoto článku musí být poskytnuty v souladu s čl. 19 odst. 2 a 3.

3.   Před aktivováním jakéhokoli odkazu Komise prověří, že jsou splněny podmínky uvedené v odstavci 1 a konzultuje věc s koordinační skupinou pro bránu.

Článek 6

Postupy nabízené zcela online

1.   Každý členský stát zajistí, aby uživatelé měli přístup k postupům uvedeným v příloze II a mohli je provést zcela online, byly-li příslušné postupy v dotčeném členském státě zavedeny.

2.   Postupy uvedené v odstavci 1 se považují za zcela online, jestliže:

a)

prokazování totožnosti uživatelů, poskytnutí informací a podpůrných důkazů, podepsání a konečné podání lze provést elektronicky na dálku prostřednictvím služebního kanálu, který uživateli umožní uživatelsky vstřícným a strukturovaným způsobem splnit všechny požadavky související s daným postupem;

b)

je uživatelům poskytnuto automatické potvrzení o přijetí, pokud nebyl výstup postupu doručen okamžitě;

c)

je výstup postupu doručen elektronicky, nebo pokud je to nezbytné pro splnění použitelného práva Unie nebo vnitrostátního práva, je doručen fyzickými prostředky; a

d)

jsou uživatelé elektronicky vyrozuměni o dokončení postupu.

3.   Pokud ve výjimečných případech opodstatněných převažujícími důvody veřejného zájmu v oblastech veřejné bezpečnosti, veřejného zdraví nebo boje proti podvodům nelze cíle daného postupu zcela dosáhnout online, mohou členské státy po uživateli požadovat, aby se pro účely daného procesního úkonu osobně dostavil k příslušnému orgánu. V těchto výjimečných případech omezí členské státy tuto fyzickou přítomnost na to, co je nezbytně nutné a objektivně oprávněné, a zajistí, aby ostatní kroky daného postupu bylo možné provést zcela online. Členské státy rovněž zajistí, aby požadavky na fyzickou přítomnost nevedly k diskriminaci přeshraničních uživatelů.

4.   Členské státy oznámí a vysvětlí prostřednictvím společného úložiště přístupného Komisi a ostatním členským státům důvody a okolnosti případů, kdy může být požadována fyzická přítomnost pro účely procesních úkonů uvedených v odstavci 3, a důvody a okolnosti případů, kdy je fyzické doručení nezbytné podle odst. 2 písm. c).

5.   Tento článek nebrání členským státům, aby uživatelům nabízely další možnosti přístupu k postupům a splnění postupů uvedených v čl. 2 odst. 2 písm. b) jinými prostředky, než je online kanál, nebo aby kontaktovaly uživatele přímo.

Článek 7

Přístup k asistenčním službám a službám pro řešení problémů

1.   Členské státy a Komise zajistí, aby uživatelé, včetně přeshraničních uživatelů, měli snadný online přístup k asistenčním službám a službám pro řešení problémů uvedeným v čl. 2 odst. 2 písm. c) prostřednictvím různých kanálů.

2.   Národní koordinátoři uvedení v článku 28 a Komise mohou poskytnout odkazy na asistenční služby a služby pro řešení problémů, které nabízejí příslušné orgány, Komise nebo instituce a jiné subjekty Unie, které nejsou uvedeny v příloze III, a to v souladu s čl. 19 odst. 2 a 3, jestliže služby splňují požadavky na kvalitu stanovené v článcích 11 a 16.

3.   Bude-li to nezbytné, aby se vyhovělo potřebám uživatelů, národní koordinátoři mohou Komisi navrhnout, aby do brány byly vloženy odkazy na asistenční služby a služby pro řešení problémů, které jsou poskytovány soukromými nebo polosoukromými subjekty, pokud tyto služby splňují následující podmínky:

a)

nabízejí informace nebo asistenci v oblastech a za účely, na něž se vztahuje toto nařízení a jež doplňují služby, které jsou v bráně již zahrnuty;

b)

jsou nabízeny bezplatně nebo za cenu, která je dostupná pro mikropodniky, neziskové organizace či občany; a

c)

splňují požadavky stanovené v článcích 8, 11 a 16.

4.   Pokud národní koordinátor navrhl vložení odkazu v souladu s odstavcem 3 tohoto článku a tento odkaz poskytne v souladu s čl. 19 odst. 3, Komise posoudí, zda služba, jež má být tímto odkazem zahrnuta, splňuje podmínky v odstavci 3 tohoto článku, a je-li tomu tak, daný odkaz aktivuje.

Jestliže Komise zjistí, že služba, jež má být tímto odkazem zahrnuta, nesplňuje podmínky v odstavci 3, informuje národního koordinátora o důvodech pro neaktivování odkazu.

Článek 8

Požadavky na kvalitu týkající se přístupnosti internetových stránek

Komise zlepší přístupnost svých internetových stránek a odkazů internetových stránek, jejichž prostřednictvím poskytuje přístup k informacím uvedeným v čl. 4 odst. 2 a k asistenčním službám a službám pro řešení problémů uvedeným v článku 7, a to tím, že je učiní vnímatelné, ovladatelné, srozumitelné a stabilní.

KAPITOLA III

POŽADAVKY NA KVALITU

ODDÍL 1

Požadavky na kvalitu vztahující se na informace o právech, povinnostech a pravidlech, NA POSTUPY a na asistenční služby a služby pro řešení problémů

Článek 9

Kvalita informací o právech, povinnostech a pravidlech

1.   Pokud jsou členské státy a Komise v souladu s článkem 4 odpovědné za zajištění přístupu k informacím uvedeným v čl. 2 odst. 2 písm. a), zajistí, aby tyto informace splňovaly následující požadavky:

a)

jsou uživatelsky vstřícné, umožňují uživatelům je snadno vyhledat a porozumět jim a rovněž snadno určit, které části těchto informací jsou pro jejich individuální situaci vhodné;

b)

jsou přesné a dostatečně komplexní na to, aby zahrnovaly informace, které uživatelé potřebují znát, aby mohli vykonávat svá práva v plné shodě s platnými pravidly a povinnostmi;

c)

kde je to vhodné, zahrnují odkazy, včetně internetových odkazů, na právní akty, technické specifikace a pokyny;

d)

zahrnují název příslušného orgánu nebo subjektu, který je odpovědný za obsah daných informací;

e)

zahrnují kontaktní údaje jakékoli příslušné asistenční služby nebo služby pro řešení problémů, jako je telefonní číslo, elektronická adresa, online dotazník nebo kterýkoli jiný běžně používaný nástroj elektronické komunikace, který je nejvhodnější pro daný druh nabízené služby a pro cílovou skupinu této služby;

f)

zahrnují datum poslední aktualizace daných informací, pokud k ní došlo, a datum zveřejnění daných informací, pokud k aktualizaci nedošlo;

g)

jsou dobře uspořádané a předložené tak, aby uživatelé mohli rychle nalézt informaci, kterou potřebují;

h)

jsou stále aktuální; a

i)

jsou psány jasným a srozumitelným jazykem, který je přizpůsobený potřebám cílových uživatelů.

2.   Členské státy zpřístupní informace podle odstavce 1 tohoto článku v úředním jazyce Unie, kterému obecně rozumí co nejvyšší počet přeshraničních uživatelů, v souladu s článkem 12.

Článek 10

Kvalita informací o postupech

1.   Členské státy a Komise za účelem splnění článku 4 zajistí, aby uživatelé měli předtím, než prokážou svou totožnost před zahájením postupu, přístup k dostatečně komplexnímu, jasnému a uživatelsky vstřícnému vysvětlení případných následujících prvků postupů, které jsou uvedeny v čl. 2 odst. 2 písm. b):

a)

příslušné kroky daného postupu, které musí uživatel učinit, včetně jakékoli výjimky z povinnosti členského státu podle čl. 6 odst. 3 nabízet tento postup zcela online.

b)

název příslušného orgánu, který je odpovědný za postup, včetně kontaktních údajů;

c)

prostředky ověření, prokazování totožnosti a podpisu, které jsou v daném postupu přijímány;

d)

typ a formát důkazu, jež má být předložen;

e)

opravné prostředky či opatření k nápravě, které jsou obvykle dostupné v případě sporů s příslušnými orgány;

f)

použitelné poplatky a způsoby jejich uhrazení online;

g)

veškeré lhůty, které musí uživatel či příslušný orgán dodržet a nejsou-li stanoveny žádné lhůty, průměrná, odhadovaná nebo orientační doba, kterou příslušný orgán potřebuje k dokončení postupu;

h)

veškerá pravidla týkající se případu, že příslušný orgán neodpoví, a právní důsledky této situace pro uživatele včetně režimu tichého souhlasu či nevyjádření se správního orgánu;

i)

každý další jazyk, v němž lze daný postup provést.

2.   Nedojde-li k tichému souhlasu, nevyjádření se správního orgánu nebo obdobnému postupu, příslušné orgány případně informují uživatele o veškerém prodlení, prodloužení lhůt a veškerých souvisejících důsledcích.

3.   Pokud je vysvětlení uvedené v odstavci 1 již dostupné pro uživatele, kteří nejsou přeshraničními uživateli, může být v příslušných případech použito nebo opětovně použito pro účely tohoto nařízení v případě, že obsahuje informace vztahující se také na situaci přeshraničních uživatelů.

4.   Členské státy zpřístupní vysvětlení uvedené v odstavci 1 tohoto článku v úředním jazyce Unie, kterému obecně rozumí co nejvyšší počet přeshraničních uživatelů, v souladu s článkem 12.

Článek 11

Kvalita informací o asistenčních službách a službách pro řešení problémů

1.   Členské státy a Komise za účelem splnění požadavků článku 4 zajistí, aby uživatelé měli před podáním žádosti o službu uvedenou v čl. 2 odst. 2 písm. c) přístup k jasnému a uživatelsky vstřícnému vysvětlení následujících prvků:

a)

typ, účel a předpokládané výsledky nabízené služby;

b)

kontaktní údaje subjektů, které odpovídají za danou službu, jako je telefonní číslo, elektronická adresa, online dotazník nebo kterýkoli jiný běžně používaný nástroj elektronické komunikace, který je nejvhodnější pro daný druh nabízené služby a pro cílovou skupinu této služby;

c)

případné použitelné poplatky a způsoby jejich uhrazení online;

d)

veškeré použitelné lhůty, jež je třeba dodržet, a jestliže nejsou stanoveny, průměrná či odhadovaná doba potřebná k poskytnutí služby;

e)

jakékoliv další jazyky, v nichž lze žádost podat a které lze použít při následném kontaktu.

2.   Členské státy zpřístupní vysvětlení uvedené v odstavci 1 tohoto článku v úředním jazyce Unie, kterému obecně rozumí co nejvyšší počet přeshraničních uživatelů, v souladu s článkem 12.

Článek 12

Překlad informací

1.   Pokud členský stát neposkytuje informace, vysvětlení a pokyny stanovené v článcích 9, 10 a 11 a v čl. 13 odst. 2 písm. a) v úředním jazyce Unie, kterému obecně rozumí co nejvyšší počet přeshraničních uživatelů, tento členský stát požádá Komisi, aby mu poskytla překlad do tohoto jazyka, a to v rámci dostupných rozpočtových prostředků Unie, jak je uvedeno v čl. 32 odst. 1 písm. c).

2.   Členské státy zajistí, aby texty předložené k překladu podle odstavce 1 tohoto článku obsahovaly alespoň základní informace o všech oblastech uvedených v příloze I, a aby, pokud jsou dostupné dostatečné rozpočtové prostředky Unie, obsahovaly jakékoliv další informace, vysvětlení a pokyny uvedené v článcích 9, 10 a 11 a v čl. 13 odst. 2, písm. a), a to s přihlédnutím k nejdůležitějším potřebám přeshraničních uživatelů. Členské státy poskytnou úložišti odkazů uvedenému v článku 19 odkazy na tyto přeložené informace.

3.   Jazyk uvedený v odstavci 1 je úředním jazykem Unie, který se uživatelé v celé Unii učí v co nejširší míře jako cizí jazyk. Výjimečně, pokud se předpokládá, že informace, vysvětlení nebo pokyny určené k překladu mají převažující význam pro přeshraniční uživatele z určitého jiného členského státu, smí být jazykem uvedeným v odstavci 1 úřední jazyk Unie používaný těmito přeshraničními uživateli jakožto jejich první jazyk.

4.   Pokud členský stát žádá o překlad do úředního jazyka Unie, jenž není jazykem, který se uživatelé v celé Unii učí v co nejširší míře jako cizí jazyk, svou žádost řádně odůvodní. Jestliže Komise zjistí, že podmínky uvedené v odstavci 3 týkající se volby tohoto jiného jazyka nejsou splněny, může žádost odmítnout a informovat členský stát o důvodech tohoto odmítnutí.

ODDÍL 2

Požadavky vztahující se k online postupům

Článek 13

Přeshraniční přístup k online postupům

1.   Členské státy zajistí, aby v případech, kdy postup uvedený v čl. 2 odst. 2 písm. b) a zavedený na vnitrostátní úrovni je přístupný a proveditelný online pro uživatele, kteří nejsou přeshraničními uživateli, byl tento postup nediskriminačním způsobem přístupný a proveditelný rovněž pro přeshraniční uživatele a aby jej tito uživatelé mohli provést prostřednictvím stejného nebo alternativního technického řešení.

2.   Členské státy zajistí, aby při postupech uvedených v odst. 1 tohoto článku byly splněny alespoň tyto požadavky:

a)

uživatelům je umožněn přístup k pokynům pro splnění postupu v úředním jazyce Unie, kterému obecně rozumí co nejvyšší počet přeshraničních uživatelů, v souladu s článkem 12;

b)

přeshraniční uživatelé mohou předkládat požadované informace, i pokud se struktura těchto informací liší od obdobných informací v dotčeném členském státě;

c)

přeshraniční uživatelé mají možnost prokázat svou totožnost a ověřit ji, podepsat dokumenty elektronicky nebo je opatřit elektronickou pečetí podle nařízení (ES) č. 910/2014, a to ve všech případech, kdy tuto možnost mají i uživatele, kteří nejsou přeshraničními uživateli;

d)

přeshraniční uživatelé mají možnost poskytnout důkaz o splnění platných požadavků a obdržet výsledky postupů v elektronické podobě ve všech případech, kdy tuto možnost mají i uživatele, kteří nejsou přeshraničními uživateli;

e)

pokud splnění určitého postupu vyžaduje platbu, uživatelé mají možnost uhradit veškeré poplatky online prostřednictvím široce dostupných přeshraničních platebních služeb, aniž by došlo k diskriminaci na základě místa usazení poskytovatele služby, místa vydání platebního prostředku či umístění platebního účtu v rámci Unie.

3.   Pokud postup nevyžaduje elektronické prokazování totožnosti nebo ověření podle odst. 2 písm. c) a pokud příslušné orgány mohou podle použitelného vnitrostátního práva nebo správní praxe v případě uživatelů, kteří nejsou přeshraničnímu uživateli, přijímat digitalizované kopie neelektronických důkazů totožnosti, jako jsou průkazy totožnosti nebo cestovní pasy, přijmou tyto orgány rovněž takové digitalizované kopie v případě přeshraničních uživatelů.

Článek 14

Technický systém pro přeshraniční automatizovanou výměnu důkazů a uplatňování zásady „pouze jednou“

1.   Komise ve spolupráci s členskými státy zřídí technický systém pro automatizovanou výměnu důkazů mezi příslušnými orgány v různých členských státech (dále jen „technický systém“) pro účely výměny důkazů pro online postupy uvedené v příloze II tohoto nařízení a postupy stanovené směrnicemi 2005/36/ES, 2006/123/ES, 2014/24/EU a 2014/25/EU.

2.   Pokud příslušné orgány v souladu se zákonem vydají ve svém vlastním členském státě a v elektronické podobě, která umožňuje automatizovanou výměnu, důkaz, který je relevantní pro online postupy uvedené v odstavci 1, zpřístupní tento důkaz také žádajícím příslušným orgánům z jiných členských států v elektronické podobě, jež umožňuje automatizovanou výměnu.

3.   Technický systém zejména:

a)

umožní zpracování žádostí o zpřístupnění důkazu na výslovnou žádost uživatele;

b)

umožní zpracování žádostí o zpřístupnění nebo výměnu důkazů;

c)

umožní přenos důkazů mezi příslušnými orgány;

d)

umožní zpracování důkazů žádajícím příslušným orgánem;

e)

zajistí důvěrnost a integritu důkazů;

f)

umožní uživateli zobrazit si náhled důkazu, který má být použit žádajícím příslušným orgánem, a rozhodnout se, zda přikročí k výměně důkazů;

g)

zajistí dostatečnou úroveň interoperability s dalšími relevantními systémy;

h)

zajistí vysokou úroveň bezpečnosti přenosu a zpracování důkazů;

i)

nezpracovává důkazy jiné než ty, které jsou z technického hlediska nutné k výměně důkazů, a to pouze po dobu k tomuto účelu nezbytnou.

4.   Použití technického systému není pro uživatele povinné a bude dovoleno pouze na základě jejich výslovné žádosti, pokud právo Unie či vnitrostátní právo nestanoví jinak. Uživatelé mohou důkazy předložit přímo žádajícímu příslušnému orgánu prostředky odlišnými od technického systému.

5.   Možnost zobrazit si náhled důkazu podle odst. 3 písm. f) tohoto článku se nevyžaduje pro postupy, u kterých je povolena automatizovaná přeshraniční výměna údajů bez tohoto náhledu podle použitelného práva Unie nebo vnitrostátního práva. Tato možnost náhledu důkazu nemá vliv na povinnost poskytnout informace podle článků 13 a 14 nařízení (EU) 2016/679.

6.   Členské státy integrují plně provozuschopný technický systém coby součást postupů uvedených v odstavci 1.

7.   Příslušné orgány, které jsou odpovědné za online postupy uvedené v odstavci 1, si na základě výslovné, svobodné, konkrétní, informované a jednoznačné žádosti dotčeného uživatele prostřednictvím technického systému vyžádají důkazy přímo od příslušných orgánů, které důkaz vydávají v jiném členském státu. Vydávající příslušné orgány uvedené v odstavci 2 zpřístupní v souladu s odst. 3 písm. e) daný důkaz prostřednictvím téhož systému.

8.   Důkaz zpřístupněný žádajícímu příslušnému orgánu se omezí na to, co bylo vyžádáno, a tento orgán jej použije pouze pro účel postupu, kvůli kterému došlo k výměně daného důkazu. Důkaz, jehož výměna proběhla prostřednictvím technického systému, je pro účely žádajícího příslušného orgánu považován za ověřený.

9.   Do 12. června 2021 přijme Komise prováděcí akty, jimiž stanoví technické a provozní specifikace technického systému, které jsou nezbytné pro provedení tohoto článku. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 37 odst. 2.

10.   Odstavce 1 až 8 se nepoužijí na postupy zavedené na úrovni Unie, které upravují odlišné mechanismy výměny důkazů, pokud technický systém nezbytný pro provádění tohoto článku není začleněn do těchto postupů v souladu s pravidly aktů Unie, které tyto postupy stanovují.

11.   Komise spolu s každým členským státem odpovídá za vývoj, dostupnost, údržbu a správu zabezpečení svých příslušných součástí technického systému, jakož i za dohled nad nimi a za jejich sledování.

Článek 15

Ověřování důkazů členskými státy

Pokud není dostupný technický systém ani jiné systémy umožňující výměnu nebo ověření důkazů mezi členskými státy nebo nelze-li je použít, nebo pokud uživatel nepožádá o použití technického systému, spolupracují příslušné orgány prostřednictvím systému pro výměnu informací o vnitřním trhu (systém IMI), jestliže je to nutné k ověření pravosti důkazu, který jednomu z nich předložil uživatel v elektronické podobě pro účely online postupu.

ODDÍL 3

Požadavky na kvalitu týkající se asistenčních služeb a služeb pro řešení problémů

Článek 16

Požadavky na kvalitu týkající se asistenčních služeb a služeb pro řešení problémů

Příslušné orgány a Komise v rámci svých svěřených pravomocí zajistí, aby asistenční služby a služby pro řešení problémů uvedené v příloze III a služby, které byly zahrnuty do brány podle čl. 7 odst. 2, 3 a 4, splňovaly tyto požadavky na kvalitu:

a)

jsou poskytovány v přiměřeném časovém rámci s přihlédnutím ke složitosti žádosti;

b)

v případě prodloužení lhůt jsou uživatelé předem informováni o důvodech prodloužení a o nově stanovené lhůtě;

c)

pokud poskytnutí určité služby vyžaduje platbu, uživatelé mají možnost uhradit veškeré poplatky online prostřednictvím široce dostupných přeshraničních platebních služeb, aniž by došlo k diskriminaci na základě místa usazení poskytovatele služby, místa vydání platebního prostředku či umístění platebního účtu v rámci Unie.

ODDÍL 4

Sledování kvality

Článek 17

Sledování kvality

1.   Národní koordinátoři uvedení v článku 28 a Komise v rámci svých svěřených pravomocí pravidelně sledují, zda informace, postupy a asistenční služby a služby pro řešení problémů, které jsou dostupné prostřednictvím brány, splňují požadavky na kvalitu stanovené v článcích 8 až 13 a v článku 16. Sledování se provádí na základě údajů shromážděných podle článků 24 a 25.

2.   V případě zhoršení kvality informací, postupů a asistenčních služeb a služeb pro řešení problémů uvedených v odstavci 1, které poskytují příslušné orgány, přijme Komise s ohledem na vážnost a trvalost daného zhoršení jedno nebo více následujících opatření:

a)

informuje příslušného národního koordinátora a požádá o nápravné opatření;

b)

předloží v koordinační skupině pro bránu k projednání doporučené kroky s cílem zlepšit dodržování požadavků na kvalitu;

c)

zašle dotčenému členskému státu dopis s doporučeními;

d)

dočasně od brány odpojí danou informaci, postup nebo asistenční službu nebo službu pro řešení problémů.

3.   Pokud určitá asistenční služba nebo služba pro řešení problémů, k níž jsou poskytnuty odkazy podle čl. 7 odst. 3, trvale nesplňuje požadavky stanovené v článcích 11 a 16 nebo dle údajů shromážděných podle článků 24 a 25 již nesplňuje potřeby uživatelů, může ji Komise po konzultaci s příslušným národním koordinátorem a v případě potřeby s koordinační skupinou pro bránu, od brány odpojit.

KAPITOLA IV

TECHNICKÁ ŘEŠENÍ

Článek 18

Společné uživatelské rozhraní

1.   Komise v úzké spolupráci s členskými státy poskytne společné uživatelské rozhraní začleněné do portálu „Vaše Evropa“, aby zajistila řádné fungování brány.

2.   Společné uživatelské rozhraní umožní přístup k informacím, postupům a asistenčním službám a službám pro řešení problémů prostřednictvím odkazů na příslušné unijní a vnitrostátní internetové stránky nebo odkazy internetových stránek, které jsou vloženy do úložiště odkazů uvedeného v článku 19.

3.   Členské státy a Komise v souladu se svými příslušnými úlohami a povinnostmi stanovenými v článku 4 zajistí, aby informace o pravidlech a povinnostech, o postupech a o asistenčních službách a službách pro řešení problémů byly organizovány a označeny takovým způsobem, který usnadňuje možnost jejich dohledání prostřednictvím společného uživatelského rozhraní.

4.   Komise zajistí, aby společné uživatelské rozhraní splňovalo tyto požadavky na kvalitu:

a)

je snadno použitelné;

b)

je dostupné online prostřednictvím různých elektronických prostředků;

c)

je vyvinuto a optimalizováno pro různé internetové vyhledávače;

d)

splňuje tyto požadavky na přístupnost internetových stránek: vnímatelnost, ovladatelnost, srozumitelnost a stabilitu.

5.   Komise může přijmout prováděcí akty, kterými stanoví požadavky na interoperabilitu v zájmu usnadnění dohledatelnosti informací o pravidlech a povinnostech, o postupech a o asistenčních službách a službách pro řešení problémů prostřednictvím společného uživatelského rozhraní. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 37 odst. 2.

Článek 19

Úložiště odkazů

1.   Komise v úzké spolupráci s členskými státy zřídí a udržuje elektronické úložiště odkazů na informace, postupy a asistenční služby a služby pro řešení problémů, které jsou uvedeny v čl. 2 odst. 2, a umožní propojení daných služeb a společného uživatelského rozhraní.

2.   Komise do úložiště odkazů vloží odkazy na informace, postupy a asistenční služby a služby pro řešení problémů, které jsou dostupné na odkazech internetových stránek spravovaných na úrovni Unie, a dbá na to, aby tyto odkazy byly přesné a aktuální.

3.   Národní koordinátoři do úložiště odkazů vloží odkazy na informace, postupy a asistenční služby a služby pro řešení problémů, které jsou dostupné na odkazech internetových stránek spravovaných příslušnými orgány nebo soukromými či polosoukromými subjekty dle čl. 7 odst. 3, a dbají na to, aby tyto odkazy byly přesné a aktuální.

4.   Je-li to z technického hlediska možné, může být vkládání odkazů podle odstavce 3 mezi příslušnými systémy členských států a úložištěm odkazů prováděno automaticky.

5.   Komise veřejnosti zpřístupní informace vložené do úložiště odkazů v otevřeném a strojově čitelném formátu.

6.   Komise a národní koordinátoři zajistí, aby se odkazy na informace, postupy a asistenční služby a služby pro řešení problémů, které jsou nabízeny prostřednictvím brány, zbytečně zcela ani zčásti neopakovaly a nepřekrývaly, a nemátly tak uživatele.

7.   Pokud jiná ustanovení práva Unie stanovují zveřejnění informací uvedených v článku 4, Komise a národní koordinátoři mohou pro splnění požadavků uvedeného článku poskytnout odkazy na dané informace.

Článek 20

Společný vyhledávač asistenčních služeb

1.   Aby se usnadnil přístup k asistenčním službám a službám pro řešení problémů uvedeným v příloze III nebo v čl. 7 odst. 2 a 3, příslušné orgány a Komise zajistí, aby k nim uživatelé měli přístup prostřednictvím společného vyhledávače asistenčních služeb a služeb pro řešení problémů (dále jen „společný vyhledávač asistenčních služeb“), který bude dostupný prostřednictvím brány.

2.   Komise vyvine a bude spravovat společný vyhledávač asistenčních služeb a určí uspořádání a formát, v nichž musí být dodány popisy a kontaktní údaje k daným asistenčním službám a službám pro řešení problémů, aby se umožnilo řádné fungování společného vyhledávače asistenčních služeb.

3.   Národní koordinátoři poskytnou Komisi popisy a kontaktní údaje, jak jsou uvedeny v odstavci 2.

Článek 21

Odpovědnost za aplikace IKT, jež podporují bránu

1.   Komise je odpovědná za vývoj, dostupnost, sledování, aktualizaci, údržbu, zabezpečení a hostování následujících aplikací IKT a odkazů internetových stránek:

a)

portálu „Vaše Evropa“ uvedeného v čl. 2 odst. 1;

b)

společného uživatelského rozhraní uvedeného v čl. 18 odst. 1, včetně vyhledávacího nástroje nebo jakéhokoliv jiného nástroje IKT, který umožňuje vyhledávání informací a služeb na internetu;

c)

úložiště odkazů uvedeného v čl. 19 odst. 1;

d)

společného vyhledávače asistenčních služeb uvedeného v čl. 20 odst. 1;

e)

nástroje pro zpětnou vazbu od uživatelů uvedeného v čl. 25 odst. 1 a čl. 26 odst. 1 písm. a).

Při vývoji těchto aplikací IKT Komise úzce spolupracuje s členskými státy.

2.   Členské státy jsou odpovědné za vývoj, dostupnost, sledování, aktualizaci, údržbu a zabezpečení aplikací IKT, jež souvisí s jejich vnitrostátními internetovými stránkami a odkazy internetových stránek, které spravují a které jsou propojeny se společným uživatelským rozhraním.

KAPITOLA V

PROPAGACE

Článek 22

Název, logo a značka kvality

1.   Názvem, pod kterým bude brána známa a propagována veřejnosti, bude označení „Your Europe“.

O logu, pod kterým má být brána známa a propagována veřejnosti, rozhodne Komise v úzké spolupráci s koordinační skupinou pro bránu nejpozději do 12. června 2019.

Logo brány a odkaz na bránu musí být viditelné a umístěné na relevantních internetových stránkách na úrovni Unie a na vnitrostátní úrovni, které jsou propojeny s bránou.

2.   Coby důkaz dodržení požadavků na kvalitu uvedených v článcích 9, 10 a 11 slouží název a logo brány jako značka kvality. Logo brány smí být však používáno jako značka kvality pouze na odkazech internetových stránek a internetových stránkách, které jsou vloženy do úložiště odkazů uvedeného v článku 19.

Článek 23

Propagace

1.   Členské státy a Komise mezi občany a podniky podporují povědomí o bráně a používání brány a zajistí, aby brána a její informace, postupy a asistenční služby a služby pro řešení problémů byly pro veřejnost viditelné a snadno dohledatelné prostřednictvím veřejně přístupných vyhledávacích nástrojů.

2.   Členské státy a Komise koordinují své propagační činnosti uvedené v odstavci 1, přičemž při těchto činnostech odkazují na bránu a používají její logo společně s názvy případných dalších značek.

3.   Členské státy a Komise zajistí, aby bránu bylo možné snadno dohledat prostřednictvím souvisejících internetových stránek, za něž jsou odpovědné, a aby na všech relevantních internetových stránkách na úrovni Unie a na vnitrostátní úrovni byly uvedeny jasné odkazy na společné uživatelské rozhraní.

4.   Národní koordinátoři propagují bránu příslušným vnitrostátním orgánům.

KAPITOLA VI

ZÍSKÁVÁNÍ ZPĚTNÉ VAZBY OD UŽIVATELŮ A STATISTIKA

Článek 24

Statistiky uživatelů

1.   Příslušné orgány a Komise zajistí, aby byly způsobem, který zaručuje anonymitu uživatelů, získávány statistiky týkající se návštěv uživatelů brány a odkazů internetových stránek, na něž brána odkazuje, aby bylo možné zlepšit fungování brány.

2.   Příslušné orgány, poskytovatelé asistenčních služeb nebo služeb pro řešení problémů podle čl. 7 odst. 3 a Komise shromažďují a vyměňují si souhrnný počet, původ a předmět žádostí o asistenční služby a služby pro řešení problémů a doby potřebné k odezvě.

3.   Statistické údaje shromážděné v souladu s odstavci 1 a 2 ohledně informací, postupů a asistenčních služeb a služeb pro řešení problémů, na které brána odkazuje, zahrnují tyto kategorie údajů:

a)

údaje o počtu, původu a typu uživatelů brány,

b)

údaje o uživatelských preferencích a uživatelských scénářích,

c)

údaje o použitelnosti, dohledatelnosti a kvalitě informací, postupů, asistenčních služeb a služeb pro řešení problémů.

Tyto údaje se zveřejňují v otevřeném a běžně používaném, strojově čitelném formátu.

4.   Komise přijme prováděcí akty, kterými stanoví způsob shromažďování a výměny uživatelských statistik uvedených v odstavcích 1, 2 a 3 tohoto článku. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 37 odst. 2.

Článek 25

Zpětná vazba od uživatelů o službách brány

1.   Aby se získaly přímé informace od uživatelů o jejich spokojenosti se službami poskytovanými prostřednictvím brány a informacemi jí zpřístupněnými, Komise uživatelům prostřednictvím brány poskytne uživatelsky vstřícný nástroj pro zpětnou vazbu, který uživatelům umožní se ihned po využití služeb uvedených v čl. 2 odst. 2 anonymně vyjádřit ke kvalitě a dostupnosti služeb poskytovaných prostřednictvím brány a informací jí zpřístupněných, a ke kvalitě a dostupnosti společného uživatelského rozhraní.

2.   Příslušné orgány a Komise zajistí, aby uživatelé měli přístup k nástroji uvedenému v odstavci 1 na všech odkazech internetových stránek, které jsou součástí brány.

3.   Komise, příslušné orgány a národní koordinátoři mají přímý přístup ke zpětné vazbě od uživatelů, jež bude prostřednictvím nástroje uvedeného v odstavci 1 získána pro účely řešení jakýchkoli vyvstalých problémů.

4.   Příslušné orgány nejsou povinny na svých odkazech internetových stránek, které jsou součástí brány, uživatelům poskytnout přístup k nástroji zpětné vazby od uživatelů uvedenému v odstavci 1, pokud je na jejich odkazech internetových stránek pro účel sledování kvality služeb již k dispozici nástroj pro zpětnou vazbu od uživatelů podle odstavce 1 s obdobnými funkcemi. Příslušné orgány získají zpětnou vazbu od uživatelů, kterou od nich obdrží prostřednictvím svého vlastního nástroje zpětné vazby, a budou ji sdílet s Komisí a národními koordinátory z ostatních členských států.

5.   Komise přijme prováděcí akty, kterými stanoví pravidla pro získávání a sdílení zpětné vazby od uživatelů. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 37 odst. 2.

Článek 26

Hlášení o fungování vnitřního trhu

1.   Komise:

a)

poskytne uživatelům brány uživatelsky vstřícný nástroj pro anonymní hlášení všech překážek, na něž narazili při vykonávání svých práv na vnitřním trhu, a poskytování zpětné vazby;

b)

získává od asistenčních služeb a služeb pro řešení problémů, které jsou součástí brány, souhrnné informace o předmětech žádostí a o době potřebné k odezvě.

2.   Komise, příslušné orgány a národní koordinátoři mají přímý přístup ke zpětné vazbě získané podle odst. 1 písm. a).

3.   Členské státy a Komise analyzují a zkoumají problémy, které uživatelé ohlásili podle tohoto článku, a kdykoli je to možné, vhodnými prostředky tyto problémy řeší.

Článek 27

Online souhrnné přehledy

Komise zveřejní v anonymizované podobě online souhrnné přehledy problémů, které vyplývají z informací získaných podle čl. 26 odst. 1, z hlavních uživatelských statistik uvedených v článku 24 a z hlavních zpětných vazeb od uživatelů uvedených v článku 25.

KAPITOLA VII

SPRÁVA BRÁNY

Článek 28

Národní koordinátoři

1.   Každý členský stát jmenuje národního koordinátora. Kromě povinností podle článků 7, 17, 19, 20, 23 a 25 národní koordinátoři:

a)

jednají jako kontaktní místo své příslušné státní správy pro všechny záležitosti související s bránou;

b)

v rámci svých příslušných orgánů podporují jednotné provádění článků 9 až 16;

c)

zajišťují, aby se řádně prováděla doporučení uvedená v článku 17 odst. 2 písm. c).

2.   Každý členský stát může v souladu se svou vnitřní správní strukturou jmenovat jednoho nebo více koordinátorů, kteří budou plnit některé z úkolů uvedených v odstavci 1. Za styky s Komisí ohledně veškerých záležitostí souvisejících s bránou je v každém členském státě odpovědný jediný národní koordinátor.

3.   Každý členský stát informuje ostatní členské státy a Komisi o jméně a kontaktních údajích svého národního koordinátora.

Článek 29

Koordinační skupina

Zřizuje se koordinační skupina (dále jen „koordinační skupina pro bránu“). Sestává z jednoho národního koordinátora z každého členského státu a předsedá jí zástupce Komise. Koordinační skupina pro bránu přijme svůj jednací řád. Služby sekretariátu zajistí Komise.

Článek 30

Úkoly koordinační skupiny pro bránu

1.   Koordinační skupina pro bránu podporuje provádění tohoto nařízení. Zejména:

a)

usnadňuje výměnu a pravidelnou aktualizaci osvědčených postupů;

b)

podporuje, aby se kromě postupů uvedených v příloze II tohoto nařízení využívaly také postupy, které lze zcela provést online, a online způsoby ověřování, prokazování totožnosti a podpisu, zejména ty stanovené podle nařízení (EU) č. 910/2014;

c)

projednává zlepšení uživatelsky vstřícného předkládání informací v oblastech, které jsou uvedeny v příloze I, a to především na základě údajů získávaných v souladu s články 24 a 25;

d)

pomáhá Komisi při vývoji společných řešení IKT na podporu brány;

e)

projednává návrh ročního pracovního programu;

f)

pomáhá Komisi se sledováním plnění ročního pracovního programu;

g)

projednává další informace poskytované podle článku 5 s cílem podporovat další členské státy, aby případně uživatelům poskytovaly podobné informace;

h)

pomáhá Komisi v souladu s článkem 17 se sledováním dodržování požadavků, které jsou stanoveny v článcích 8 až 16;

i)

informuje o provádění čl. 6 odst. 1;

j)

projednává a doporučuje opatření příslušným orgánům a Komisi s cílem zabránit zbytečnému překrývání služeb dostupných prostřednictvím brány a odstranit taková překrývání;

k)

poskytuje stanoviska k postupům nebo opatřením pro účinné řešení jakýchkoliv problémů s kvalitou služeb, na které uživatelé upozorní, či návrhy na její zlepšení;

l)

projednává uplatňování zásad bezpečnosti již od návrhu a ochrany soukromí již od návrhu v rámci tohoto nařízení;

m)

projednává otázky týkající se získávání zpětné vazby od uživatelů a statistických údajů uvedených v článcích 24 a 25 s cílem zajistit, aby se služby nabízené na úrovni Unie i na vnitrostátní úrovni trvale zlepšovaly;

n)

projednává otázky související s požadavky na kvalitu služeb nabízených prostřednictvím brány;

o)

sdílí osvědčené postupy a pomáhají Komisi s organizací, uspořádáním a prezentací služeb, které jsou uvedeny v čl. 2 odst. 2, s cílem umožnit řádné fungování společného uživatelského rozhraní;

p)

usnadňuje vývoj a provádění koordinované propagace;

q)

spolupracuje se správními orgány či sítěmi informačních služeb a asistenčních služeb nebo služeb pro řešení problémů;

r)

vydává pokyny ohledně toho, jaký další úřední jazyk či úřední jazyky Unie mají příslušné orgány používat v souladu s čl. 9 odst. 2, čl. 10 odst. 4, čl. 11 odst. 2 a čl. 13 odst. 2 písm. a).

2.   Komise může s koordinační skupinou pro bránu konzultovat jakékoliv záležitosti týkající se uplatňování tohoto nařízení.

Článek 31

Roční pracovní program

1.   Komise přijme roční pracovní program, ve kterém upřesní zejména:

a)

opatření pro zlepšení prezentace konkrétních informací v oblastech, které jsou uvedeny v příloze I, a opatření pro usnadnění včasného uplatňování příslušnými orgány na všech úrovních, včetně úrovně místní samosprávy, požadavků na poskytování informací;

b)

opatření pro usnadnění dodržování článků 6 a 13;

c)

opatření nezbytná pro zajištění stálého dodržování požadavků, které jsou stanoveny v článcích 9 až 12;

d)

činnosti související s propagací brány v souladu s článkem 23.

2.   Komise při přípravě návrhu ročního pracovního programu zohlední uživatelské statistiky a zpětnou vazbu od uživatelů, jež byly získány v souladu s články 24 a 25, jakož i na jakékoliv připomínky ze strany členských států. Před jeho přijetím předloží Komise návrh ročního pracovního programu k projednání koordinační skupině pro bránu.

KAPITOLA VIII

ZÁVĚREČNÁ USTANOVENÍ

Článek 32

Náklady

1.   Ze souhrnného rozpočtu Evropské unie se pokryjí zejména náklady na:

a)

vývoj a údržbu nástrojů IKT podporujících provedení tohoto nařízení na úrovni Unie;

b)

propagaci brány na úrovni Unie;

c)

překlad informací, vysvětlení a pokynů v souladu s článkem 12 v rámci maximálního ročního objemu na členský stát, aniž je tím dotčeno případné přerozdělení finančních prostředků, je-li to nezbytné pro plné využití dostupných rozpočtových prostředků.

2.   Náklady související s vnitrostátními internetovými portály, informačními platformami, asistenčními službami a postupy zavedenými na úrovni členského státu se hradí z příslušných rozpočtů členských států, pokud právo Unie nestanoví jinak.

Článek 33

Ochrana osobních údajů

Při zpracování osobních údajů v rámci tohoto nařízení dodržují členské státy nařízení (EU) 2016/679. Komise při zpracování osobních údajů v rámci tohoto nařízení dodržuje nařízení (EU) 2018/1725.

Článek 34

Spolupráce s ostatními informačními a asistenčními sítěmi

1.   Po konzultaci s členskými státy Komise rozhodne, které ze stávajících neformálních mechanismů správy asistenčních služeb a služeb pro řešení problémů, které jsou uvedeny v příloze III, nebo mechanismů správy kterékoliv oblasti informací uvedené v příloze I mají spadat do pravomoci koordinační skupiny pro bránu.

2.   Pokud byly informační a asistenční služby či sítě vytvořeny právně závaznými akty Unie pro kteroukoliv oblast informací, která je uvedena v příloze I, Komise koordinuje práci koordinační skupiny pro bránu a správních orgánů těchto služeb či sítí tak, aby bylo dosaženo jejich součinnosti a předešlo se jejich překrývání.

Článek 35

Systém pro výměnu informací o vnitřním trhu

1.   Pro účely čl. 6 odst. 4 a článku 15 a v souladu s uvedenými články se použije systém pro výměnu informací o vnitřním trhu (dále jen „systém IMI“) zřízený nařízením (EU) č. 1024/2012.

2.   Komise může rozhodnout o použití systému IMI coby elektronického úložiště odkazů podle čl. 19 odst. 1.

Článek 36

Podávání zpráv a přezkum

Do 12. prosince 2022 a poté každé dva roky přezkoumá Komise uplatňování tohoto nařízení a předloží Evropskému parlamentu a Radě hodnoticí zprávu o fungování brány a o fungování vnitřního trhu, kterou vypracuje na základě statistik a zpětné vazby, jež získá v souladu s články 24, 25 a 26. Přezkum zahrnuje zejména hodnocení působnosti článku 14, a to s ohledem na technologický, tržní a právní vývoj týkající se výměny důkazů mezi příslušnými orgány.

Článek 37

Postup projednávání ve výboru

1.   Komisi je nápomocen výbor. Tento výbor je výborem ve smyslu nařízení (EU) č. 182/2011.

2.   Odkazuje-li se na tento odstavec, použije se článek 5 nařízení (EU) č. 182/2011.

Článek 38

Změna nařízení (EU) č. 1024/2012

Nařízení (EU) č. 1024/2012 se mění takto:

1.

Článek 1 se nahrazuje tímto:

„Článek 1

Předmět

Toto nařízení stanoví pravidla pro používání systému pro výměnu informací o vnitřním trhu (dále jen ‚systém IMI‘) při správní spolupráci mezi subjekty systému IMI, včetně zpracování osobních údajů.“

2.

V článku 3 se odstavec 1 nahrazuje tímto:

„1.   Systém IMI se používá k výměně informací, včetně výměny osobních údajů, mezi subjekty systému IMI a ke zpracování těchto informací pro účely kteréhokoliv z následujících úkonů:

a)

správní spolupráci, která se vyžaduje v souladu s akty uvedenými v příloze;

b)

správní spolupráci, která podléhá pilotnímu projektu, jenž se provádí v souladu s článkem 4.“

3.

V článku 5 se druhý pododstavec mění takto:

a)

písmeno a) se nahrazuje tímto:

„a)

‚systémem IMI‘ elektronický nástroj, který Komise poskytuje na podporu správní spolupráce mezi subjekty systému IMI;“;

b)

písmeno b) se nahrazuje tímto:

„b)

‚správní spoluprací‘ spolupráce mezi subjekty systému IMI prostřednictvím výměny a zpracování informací za účelem lepšího uplatňování práva Unie.“;

c)

písmeno g) se nahrazuje tímto:

„g)

‚subjekty systému IMI‘ příslušné orgány, koordinátoři systému IMI, Komise a instituce a jiné subjekty Unie;“

4.

V čl. 8 odst. 1 se doplňuje nové písmeno, které zní:

„f)

zajišťování spolupráce s institucemi a jinými subjekty Unie a umožňování jejich přístupu do systému IMI.“

5.

V článku 9 se odstavec 4 nahrazuje tímto:

„4.   Členské státy, Komise a instituce a jiné subjekty Unie zavedou vhodné prostředky, kterými zajistí, aby uživatelům systému IMI byl umožněn přístup pouze k osobním údajům zpracovaným v systému IMI, které potřebují, a pouze v těch oblastech vnitřního trhu, pro které jim byla udělena přístupová práva v souladu s odstavcem 3.“

6.

Článek 21 se mění takto:

a)

odstavec 2 se nahrazuje tímto:

„2.   Evropský inspektor ochrany údajů je odpovědný za sledování a zajištění toho, aby se uplatňovalo toto nařízení kdykoli Komise nebo instituce a jiné subjekty Unie ve své úloze subjektů systému IMI zpracovávají osobní údaje. Odpovídajícím způsobem se použijí povinnosti a pravomoci uvedené v článcích 57 a 58 nařízení (EU) 2018/1725 (*1).

(*1)  Nařízení Evropského parlamentu a Rady (EU) 2018/1725 ze dne 23. října 2018 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány, institucemi a jinými subjekty Unie a o volném pohybu těchto údajů a o zrušení nařízení (ES) č. 45/2001 a rozhodnutí č. 1247/2002/ES (Úř. věst. L 295, 21.11.2018, s. 39).“;"

b)

odstavec 3 se nahrazuje tímto:

„3.   Vnitrostátní orgány dozoru a evropský inspektor ochrany údajů, z nichž každý jedná v rozsahu svých svěřených pravomocí, spolupracují, aby zajistili koordinovaný dohled nad systémem IMI a jeho používáním subjekty systému IMI v souladu s článkem 62 nařízení (EU) 2018/1725.“;

c)

odstavec 4 se zrušuje.

7.

V článku 29 se zrušuje odstavec 1.

8.

V příloze se doplňují nové body, které zní:

„11.

Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (*2): článek 56, články 60 až 66 a čl. 70 odst. 1

12.

Nařízení Evropského parlamentu a Rady (EU) 2018/1725 ze dne 2. října 2018, kterým se zřizuje jednotná digitální brána pro poskytování přístupu k informacím, postupům a k asistenčním službám a službám pro řešení problémů a kterým se mění nařízení (EU) č. 1024/2012 (*3): čl. 6 odst. 4, články 15 a 19.

(*2)  Úř. věst. L 119, 4.5.2016, s. 1."

(*3)  Úř. věst L 295, 21.11.2018, s. 39.“"

Článek 39

Vstup v platnost

Toto nařízení vstupuje v platnost dvacátým dnem po vyhlášení v Úředním věstníku Evropské unie.

Články 2 a 4, články 7 až 12, články 16 a 17, čl. 18 odst. 1 až 4, články 19 a 20, čl. 24 odst. 1, 2 a 3, čl. 25 odst. 1 až 4, články 26 a 27 se použijí ode dne 12. prosince 2020.

Články 6 a 13, čl. 14 odst. 1 až 8 a odst. 10 a článek 15 se použijí ode dne 12. prosince 2023.

Bez ohledu na datum použitelnosti článků 2, 9, 10 a 11 zpřístupní orgány místní samosprávy informace, vysvětlení a pokyny uvedené v uvedených článcích nejpozději do 12. prosince 2022.

Toto nařízení je závazné v celém rozsahu a přímo použitelné ve všech členských státech.

Ve Štrasburku dne 2. října 2018.

Za Evropský parlament

předseda

A. TAJANI

Za Radu

předsedkyně

J. BOGNER-STRAUSS


(1)  Úř. věst. C 81, 2.3.2018, s. 88.

(2)  Postoj Evropského parlamentu ze dne 13. září 2018 (dosud nezveřejněný v Úředním věstníku) a rozhodnutí Rady ze dne 27. září 2018.

(3)  Směrnice Evropského parlamentu a Rady 2006/123/ES ze dne 12. prosince 2006 o službách na vnitřním trhu (Úř. věst. L 376, 27.12.2006, s. 36).

(4)  Nařízení Evropského parlamentu a Rady (ES) č. 764/2008 ze dne 9. července 2008, kterým se stanoví postupy týkající se uplatňování některých vnitrostátních technických pravidel u výrobků uvedených v souladu s právními předpisy na trh v jiném členském státě a kterým se zrušuje rozhodnutí č. 3052/95/ES (Úř. věst. L 218, 13.8.2008, s. 21).

(5)  Nařízení Evropského parlamentu a Rady (EU) č. 305/2011 ze dne 9. března 2011, kterým se stanoví harmonizované podmínky pro uvádění stavebních výrobků na trh a kterým se zrušuje směrnice Rady 89/106/EHS (Úř. věst. L 88, 4.4.2011, s. 5).

(6)  Směrnice Evropského parlamentu a Rady 2005/36/ES ze dne 7. září 2005 o uznávání odborných kvalifikací (Úř. věst. L 255, 30.9.2005, s. 22).

(7)  Doporučení Komise 2013/461/EU ze dne 17. září 2013 o zásadách, jimiž se řídí síť SOLVIT (Úř. věst. L 249, 19.9.2013, s. 10).

(8)  Směrnice Evropského parlamentu a Rady 2014/24/EU ze dne 26. února 2014 o zadávání veřejných zakázek a o zrušení směrnice 2004/18/ES (Úř. věst. L 94, 28.3.2014, s. 65).

(9)  Směrnice Evropského parlamentu a Rady 2014/25/EU ze dne 26. února 2014 o zadávání zakázek subjekty působícími v odvětví vodního hospodářství, energetiky, dopravy a poštovních služeb a o zrušení směrnice 2004/17/ES (Úř. věst. L 94, 28.3.2014, s. 243).

(10)  Nařízení Evropského parlamentu a Rady (EU) 2016/589 ze dne 13. dubna 2016 o Evropské síti služeb zaměstnanosti (EURES), přístupu pracovníků ke službám mobility a další integraci trhů práce a o změně nařízení (EU) č. 492/2011 a (EU) č. 1296/2013 (Úř. věst. L 107, 22.4.2016, s. 1).

(11)  Rozhodnutí Rady 2001/470/ES ze dne 28. května 2001 o vytvoření Evropské soudní sítě pro občanské a obchodní věci (Úř. věst. L 174, 27.6.2001, s. 25).

(12)  Směrnice Evropského parlamentu a Rady 2014/67/EU ze dne 15. května 2014 o prosazování směrnice 96/71/ES o vysílání pracovníků v rámci poskytování služeb a o změně nařízení (EU) č. 1024/2012 o správní spolupráci prostřednictvím systému pro výměnu informací o vnitřním trhu („nařízení o systému IMI“) (Úř. věst. L 159, 28.5.2014, s. 11).

(13)  Nařízení Evropského parlamentu a Rady (EU) č. 910/2014 ze dne 23. července 2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES (Úř. věst. L 257, 28.8.2014, s. 73).

(14)  Nařízení Evropského parlamentu a Rady (ES) č. 883/2004 ze dne 29. dubna 2004 o koordinaci systémů sociálního zabezpečení (Úř. věst. L 166, 30.4.2004, s. 1).

(15)  Nařízení Evropského parlamentu a Rady (ES) č. 987/2009 ze dne 16. září 2009, kterým se stanoví prováděcí pravidla k nařízení (ES) č. 883/2004 o koordinaci systémů sociálního zabezpečení (Úř. věst. L 284, 30.10.2009, s. 1).

(16)  Směrnice Evropského parlamentu a Rady (EU) 2016/2102 ze dne 26. října 2016 o přístupnosti internetových stránek a mobilních aplikací subjektů veřejného sektoru (Úř. věst. L 327, 2.12.2016, s. 1).

(17)  Rozhodnutí Rady 2010/48/ES ze dne 26. listopadu 2009 o uzavření Úmluvy Organizace spojených národů o právech osob se zdravotním postižením Evropským společenstvím (Úř. věst. L 23, 27.1.2010, s. 35).

(18)  Nařízení Evropského parlamentu a Rady (EU) č. 260/2012 ze dne 14. března 2012, kterým se stanoví technické a obchodní požadavky pro úhrady a inkasa v eurech a kterým se mění nařízení (ES) č. 924/2009 (Úř. věst. L 94, 30.3.2012, s. 22).

(19)  Nařízení Evropského parlamentu a Rady (EU) č. 1024/2012 ze dne 25. října 2012 o správní spolupráci prostřednictvím systému pro výměnu informací o vnitřním trhu a o zrušení rozhodnutí Komise 2008/49/ES („nařízení o systému IMI“) (Úř. věst. L 316, 14.11.2012, s. 1).

(20)  Nařízení Evropského parlamentu a Rady (EU) 2016/1191 ze dne 6. července 2016 o podpoře volného pohybu občanů zjednodušením požadavků na předkládání některých veřejných listin v Evropské unii a o změně nařízení (EU) č. 1024/2012 (Úř. věst. L 200, 26.7.2016, s. 1).

(21)  Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (Úř. věst. L 119, 4.5.2016, s. 1).

(22)  Nařízení Evropského parlamentu a Rady (EU) 2018/1725 ze dne 23. října 2018 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány, institucemi a jinými subjekty Unie a o volném pohybu těchto údajů a o zrušení nařízení (ES) č. 45/2001 a rozhodnutí č. 1247/2002/ES (viz strana 39 v tomto čísle Úředního věstníku).

(23)  Nařízení Evropského parlamentu a Rady (EU) č. 1316/2013 ze dne 11. prosince 2013, kterým se vytváří Nástroj pro propojení Evropy, mění zařízení (EU) č. 913/2010 a zrušují nařízení (ES) č. 680/2007 a (ES) č. 67/2010 (Úř. věst. L 348, 20.12.2013, s. 129).

(24)  Směrnice Evropského parlamentu a Rady (EU) 2017/1132 ze dne 14. června 2017 o některých aspektech práva obchodních společností (Úř. věst. L 169, 30.6.2017, s. 46).

(25)  Nařízení Evropského parlamentu a Rady (EU) 2015/848 ze dne 20. května 2015 o insolvenčním řízení (Úř. věst. L 141, 5.6.2015, s. 19).

(26)  Nařízení Evropského parlamentu a Rady (EU) č. 182/2011 ze dne 16. února 2011, kterým se stanoví pravidla a obecné zásady způsobu, jakým členské státy kontrolují Komisi při výkonu prováděcích pravomocí (Úř. věst. L 55, 28.2.2011, s. 13).

(27)  Směrnice Evropského parlamentu a Rady (EU) 2016/1148 ze dne 6. července 2016 o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v Unii (Úř. věst. L 194, 19.7.2016, s. 1).

(28)  Směrnice Evropského parlamentu a Rady (EU) 2016/680 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, o volném pohybu těchto údajů a o zrušení rámcového rozhodnutí Rady 2008/977/SVV (Úř. věst. L 119, 4.5.2016, s. 89).

(29)  Nařízení Evropského parlamentu a Rady (ES) č. 45/2001 ze dne 18. prosince 2000 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány a institucemi Společenství a o volném pohybu těchto údajů (Úř. věst. L 8, 12.1.2001, s. 1).

(30)  Úř. věst. C 340, 11.10.2017, s. 6.


PŘÍLOHA I

Seznam informačních oblastí, jež mají význam pro občany a podniky vykonávající na vnitřním trhu svá práva, podle čl. 2 odst. 2 písm. a)

Oblasti informačních oblastí týkajících se občanů:

Oblast

INFORMACE TÝKAJÍCÍ SE PRÁV, POVINNOSTÍ A PRAVIDEL VYPLÝVAJÍCÍCH Z PRÁVA UNIE A VNITROSTÁTNÍHO PRÁVA

A.

Cestování v rámci Unie

1.

dokumenty požadované od občanů Unie, jejich rodinných příslušníků, kteří nejsou občany Unie, nezletilých cestujících bez doprovodu a osob, které nejsou občany Unie, cestují-li přes hranice v rámci Unie (průkaz totožnosti, vízum, cestovní pas)

2.

práva a povinnosti osob cestujících v Unii a z Unie letadlem, vlakem, lodí, autobusem, a osob, které si zakoupily soubory cestovních služeb nebo další služby spojené s cestováním

3.

asistence v případě snížené pohyblivosti při cestování v Unii a z Unie

4.

přeprava zvířat, rostlin, alkoholu, tabáku, cigaret a dalšího zboží při cestování v Unii

5.

hlasová volání a odesílání a přijímání elektronických zpráv a elektronických údajů v rámci Unie

B.

Práce a důchod v rámci Unie

1.

hledání zaměstnání v jiném členském státě

2.

nástup do zaměstnání v jiném členském státě

3.

uznávání kvalifikací za účelem získání zaměstnání v jiném členském státě

4.

zdanění v jiném členském státě

5.

pravidla pro pojištění odpovědnosti a povinné pojištění v souvislosti s bydlištěm nebo zaměstnáním v jiném členském státě

6.

podmínky zaměstnávání, včetně vyslaných pracovníků, jak jsou stanovené zákonem nebo podzákonným právním předpisem (včetně informací o pracovní době, placené dovolené, nárocích na dovolenou, právech a povinnostech týkajících se práce přesčas, zdravotních prohlídkách, ukončení smluv, výpovědích a propouštění pro nadbytečnost)

7.

rovné zacházení (pravidla zakazující diskriminaci na pracovišti, pravidla pro stejnou odměnu za tutéž práci pro muže a ženy a pro stejnou odměnu za práci pro zaměstnance pracující na základě smlouvy na dobu určitou či smlouvy na dobu neurčitou)

8.

ochrana zdraví a bezpečnosti v souvislosti s různými druhy činností

9.

práva a povinnosti týkající se sociálního zabezpečení v Unii, včetně práv a povinností souvisejících se získáním důchodu

C.

Vozidla v Unii

1.

dočasné či trvalé přemístění vozidla do jiného členského státu

2.

získání řidičského průkazu a prodloužení jeho platnosti

3.

uzavření povinného pojištění motorového vozidla

4.

nákup a prodej motorového vozidla v jiném členském státě

5.

vnitrostátní pravidla silničního provozu a požadavky na řidiče, včetně obecných pravidel pro používání vnitrostátní silniční infrastruktury: časové poplatky (kupóny), poplatky na základě ujeté vzdálenosti (mýtné), emisní známky

D.

Pobyt v jiném členském státě

1.

dočasné či trvalé přestěhování do jiného členského státu

2.

koupě a prodej nemovitého majetku, včetně podmínek a povinností, pokud jde o zdanění, vlastnictví nebo užívání tohoto majetku, včetně jeho užívání jakožto přechodného bydliště

3.

účast v obecních volbách a volbách do Evropského parlamentu

4.

požadavky týkající se povolení k pobytu pro občany Unie a jejich rodinné příslušníky, včetně rodinných příslušníků, kteří nejsou občany Unie

5.

podmínky platné pro naturalizaci pro státní příslušníky jiného členského státu

6.

pravidla použitelná v případě úmrtí, včetně pravidel pro repatriaci tělesných ostatků do jiného členského státu

E.

Vzdělávání nebo stáž v jiném členském státě

1.

vzdělávací systém v jiném členském státě, včetně předškolního vzdělávání a péče, základní vzdělávání, středoškolské vzdělávání, vysokoškolské vzdělávání a vzdělávání dospělých

2.

dobrovolnická činnost v jiném členském státě

3.

stáž v jiném členském státě

4.

provádění výzkumu v jiném členském státě jakožto součást vzdělávacího programu

F.

Zdravotní péče

1.

poskytování zdravotní péče v jiném členském státě

2.

nákup předepsaných léčivých přípravků v jiném členském státě, než kde byl vydán lékařský předpis, online nebo osobně

3.

pravidla zdravotního pojištění platná pro krátkodobý nebo dlouhodobý pobyt v jiném členském státě, včetně postupu, jak podat žádost o evropský průkaz zdravotního pojištění

4.

všeobecné informace o právech na přístup k dostupným veřejným preventivním opatřením v oblasti zdravotní péče nebo o povinnostech vyplývajících z účasti na těchto opatřeních

5.

služby poskytované na vnitrostátních číslech tísňového volání, včetně čísel „112“ a „116“

6.

práva a podmínky pro umístění do zařízení ústavní péče

G.

Občanská a rodinná práva

1.

narození, opatrovnictví nezletilých dětí, rodičovská odpovědnost, pravidla pro náhradní mateřství a osvojení, včetně osvojení druhým rodičem, vyživovací povinnost vůči dítěti v přeshraniční rodinné situaci

2.

život v páru osob s různou státní příslušností včetně párů stejného pohlaví (manželství, občanské nebo registrované partnerství, rozluka, rozvod, manželská majetková práva, práva osob žijících ve společné domácnosti)

3.

pravidla uznávání pohlaví

4.

práva a povinnosti týkající se dědictví v jiném členském státě, včetně daňových předpisů

5.

práva a pravidla použitelná v případě přeshraničního únosu dítěte rodičem

H.

Práva spotřebitele

1.

nákup zboží, digitálního obsahu nebo služeb (včetně finančních služeb) z jiného členského státu, online nebo osobně

2.

vlastnictví bankovního účtu v jiném členském státě

3.

připojení k veřejným službám, jako například plyn, elektřina, voda, nakládání s odpadem, telekomunikační služby a internet

4.

platby, včetně úhrad a prodlení při přeshraničních platbách

5.

práva spotřebitelů a záruky týkající se nákupu zboží a služeb, včetně postupů pro řešení spotřebitelských sporů a odškodnění

6.

bezpečnost spotřebního zboží

7.

pronájem motorového vozidla

I.

Ochrana osobních údajů

1.

výkon práv subjektů údajů v souvislosti s ochranou osobních údajů

Oblasti informací týkající se podniků:

Oblast

INFORMACE TÝKAJÍCÍ SE PRÁV, POVINNOSTÍ A PRAVIDEL

J.

Založení podniku, jeho provozování a ukončení jeho činnosti

1.

registrace, změna právní formy nebo ukončení činnosti podniku (registrační postupy a právní formy pro vykonávání obchodní činnosti)

2.

přemístění podniku do jiného členského státu

3.

práva duševního vlastnictví (žádost o patent, registrace ochranné známky, náčrt nebo návrh, získání licence pro reprodukování)

4.

korektnost a transparentnost v obchodních praktikách, včetně práv spotřebitele a záruk týkajících se prodeje zboží a služeb

5.

nabízení online platforem pro přeshraniční platby při prodeji zboží a služeb online

6.

práva a povinnosti vyplývající ze smluvního práva, včetně úroků z opožděných plateb

7.

insolvenční řízení a likvidace společností

8.

pojištění úvěrů

9.

fúze společností nebo prodej podniku

10.

občanskoprávní odpovědnost ředitelů společnosti

11.

pravidla a povinnosti, pokud jde o zpracování osobních údajů

K.

Zaměstnanci

1.

podmínky zaměstnávání stanovené zákonem nebo podzákonným právním předpisem (včetně pracovní doby, placené dovolené, nároků na dovolenou, práv a povinností týkajících se práce přesčas, zdravotních prohlídek, ukončení smluv, výpovědí a propouštění pro nadbytečnost)

2.

práva a povinnosti týkající se sociálního zabezpečení v Unii (registrace jako zaměstnavatel, registrace zaměstnanců, oznámení ukončení smlouvy zaměstnance, úhrada příspěvků na sociální zabezpečení, práva a povinnosti týkající se důchodů)

3.

zaměstnávání pracovníků v jiném členském státě (vysílání pracovníků, pravidla týkající se volného pohybu služeb, požadavky týkající se pobytu pracovníků)

4.

rovné zacházení (pravidla zakazující diskriminaci na pracovišti, pravidla pro stejnou odměnu za tutéž práci pro muže a ženy a stejnou odměnu za práci pro zaměstnance pracující na základě smlouvy na dobu určitou nebo smlouvy na dobu neurčitou)

5.

pravidla týkající se zastoupení zaměstnanců

L.

Daně

1.

DPH: informace týkající se obecných pravidel, sazby a osvobození od daně, registrace k DPH a platba DPH, vrácení DPH

2.

spotřební daně: informace týkající se obecných pravidel, sazby a osvobození od daně, registrace ke spotřební dani a platba spotřební daně, vrácení spotřební daně

3.

cla a jiné odvody z dovozu

4.

celní postupy pro dovoz a vývoz v rámci celního kodexu Unie

5.

ostatní daně: platba, sazby, daňová přiznání

M.

Zboží

1.

získání označení CE

2.

pravidla a požadavky týkající se výrobků

3.

určení použitelných norem, technické specifikace a získání certifikace výrobků

4.

vzájemné uznávání výrobků, na které se nevztahují unijní specifikace

5.

požadavky týkající se klasifikace, označování a balení nebezpečných chemických látek

6.

prodej na dálku/mimo obchodní prostory: informace, které musí být zákazníkům sděleny předem, písemné potvrzení smlouvy, odstoupení od smlouvy, dodání zboží, další zvláštní povinnosti

7.

vadné výrobky: práva spotřebitelů a záruky, povinnosti po uzavření obchodu, prostředky nápravy pro poškozenou stranu

8.

certifikace a štítky (EMAS, energetické štítky, ekodesign, ekoznačka EU)

9.

recyklace a nakládání s odpady

N.

Služby

1.

získání licencí, oprávnění a povolení za účelem zahájení a provozování podnikání

2.

oznámení přeshraniční činnosti orgánům

3.

uznávání odborných kvalifikací, včetně odborného vzdělání a odborné přípravy

O

Financování podniku

1.

získání přístupu k financím na úrovni Unie, včetně programů Unie týkajících se financování a podnikatelských grantů

2.

získání přístupu k financím na vnitrostátní úrovni

3.

iniciativy určené podnikatelům (výměny pořádané pro nové podnikatele, poradenské programy atd.)

P.

Veřejné zakázky

1.

účast ve veřejných nabídkových řízeních: pravidla a postupy

2.

online předložení nabídky v reakci na veřejné výběrové řízení

3.

oznamování nesrovnalostí v souvislosti s výběrovým řízením

Q.

Zdraví a bezpečnost při práci

1.

ochrana zdraví a bezpečnosti v souvislosti s různými druhy činností, včetně prevence rizik, informací a školení


PŘÍLOHA II

Postupy podle čl. 6 odst. 1

Životní události

Postupy

Očekávaný výstup, případně s výhradou posouzení žádosti příslušným orgánem v souladu s platným vnitrostátním právem

Narození

Žádost o potvrzení registrace narození

Potvrzení o registraci narození nebo rodný list

Místo pobytu

Žádost o potvrzení místa pobytu

Potvrzení registrace stávající adresy

Studium

Žádost o financování vysokoškolského studia, například formou stipendia a půjčky od veřejného orgánu nebo instituce

Rozhodnutí ve věci žádosti o financování nebo potvrzení o přijetí žádosti

Podání počáteční žádosti o přijetí na veřejnou vysokoškolskou instituci

Potvrzení o přijetí žádosti

Žádost o akademické uznání diplomů, osvědčení či jiných dokladů o studiu nebo kurzech

Rozhodnutí týkající se žádosti o uznání

Práce

Žádost o určení použitelných právních předpisů v souladu s hlavou II nařízení (ES) č. 883/2004 (1)

Rozhodnutí ve věci použitelných právních předpisů

Oznámení změn osobní nebo profesní situace osoby pobírající dávky sociálního zabezpečení, které jsou pro tyto dávky relevantní

Potvrzení o přijetí oznámení o změně

Žádost o evropský průkaz zdravotního pojištění (EHIC)

Evropský průkaz zdravotního pojištění (EHIC)

Podání přiznání k dani z příjmu

Potvrzení o přijetí přiznání

Přestěhování

Registrace změny adresy

Potvrzení o zrušení registrace předchozí adresy a o registraci nové adresy

Registrace motorového vozidla pocházejícího z členského státu nebo v členském státě již registrovaného, standardními postupy (2)

Doklad o registraci motorového vozidla

Získání známek pro používání vnitrostátní silniční infrastruktury: časové poplatky (kupóny), poplatky na základě ujeté vzdálenosti (mýtné) vydané veřejným orgánem či institucí

Převzetí dálniční známky nebo kupónu nebo jiného dokladu o zaplacení

Získání emisních známek vydávaných veřejným orgánem nebo institucí

Převzetí emisních známek nebo jiného dokladu o zaplacení

Důchod

Žádost o důchod a předdůchodové dávky z povinných systémů

Potvrzení o přijetí žádosti nebo rozhodnutí týkající se žádosti o důchod nebo předdůchodových dávek

Žádost o informace o údajích souvisejících s důchodem z povinných systémů

Přehled osobních údajů souvisejících s důchodem

Zahájení, provozování a ukončení podnikatelské činnosti

Ohlašování podnikatelské činnosti, povolení k podnikatelské činnosti, změny v podnikatelské činnosti a ukončení podnikatelské činnosti bez insolvenčního nebo likvidačního řízení vyjma počáteční registrace podnikatelské činnosti v obchodním rejstříku a vyjma postupů týkajících se založení nebo jakékoli následné evidence společností ve smyslu čl. 54 druhého pododstavce Smlouvy o fungování EU

Potvrzení o přijetí ohlášení nebo změny, nebo žádosti o povolení podnikatelské činnosti

Registrace zaměstnavatele (fyzické osoby) do povinného důchodového systému a systému pojištění

Potvrzení o registraci nebo registrační číslo sociálního zabezpečení

Registrace zaměstnanců do povinného důchodového systému a systému pojištění

Potvrzení o registraci nebo registrační číslo sociálního zabezpečení

Podání přiznání k dani z příjmu

Potvrzení o podání přiznání

Oznámení určené systému sociálního zabezpečení o ukončení smlouvy se zaměstnancem, s výjimkou postupů pro hromadné propouštění zaměstnanců

Potvrzení o přijetí oznámení

Úhrada příspěvků na sociální zabezpečení za zaměstnance

Příjmový doklad nebo jiná forma potvrzení úhrady příspěvků na sociální zabezpečení za zaměstnance


(1)  Nařízení Evropského parlamentu a Rady (ES) č. 883/2004 ze dne 29. dubna 2004 o koordinaci systémů sociálního zabezpečení (Úř. věst. L 166, 30.4.2004, s. 1).

(2)  Zahrnuta jsou následující vozidla: a) jakékoli motorové vozidlo nebo přípojné vozidlo uvedené v článku 3 směrnice Evropského parlamentu a Rady 2007/46/ES (Úř. věst. L 263, 9.10.2007, s. 1) a b) jakékoli dvoukolové nebo tříkolové motorové vozidlo, ať se zdvojenými koly, nebo jiné, určené k používání na pozemních komunikacích, uvedené v článku 1 nařízení Evropského parlamentu a Rady (EU) č. 168/2013 (Úř. věst. L 60, 2.3.2013, s. 52).


PŘÍLOHA III

Seznam asistenčních služeb a služeb pro řešení problémů podle čl. 2 odst. 2 písm. c)

(1)

Jednotná kontaktní místa (1)

(2)

Kontaktní místa pro výrobky (2)

(3)

Kontaktní místa pro stavební výrobky (3)

(4)

Národní centra pomoci pro odbornou kvalifikaci (4)

(5)

Vnitrostátní kontaktní místa pro přeshraniční zdravotní péči (5)

(6)

Evropská síť služeb zaměstnanosti (EURES) (6)

(7)

Řešení spotřebitelských sporů on-line (7)


(1)  Směrnice Evropského parlamentu a Rady 2006/123/ES ze dne 12. prosince 2006 o službách na vnitřním trhu (Úř. věst. L 376, 27.12.2006, s. 36).

(2)  Nařízení Evropského parlamentu a Rady (ES) č. 764/2008 ze dne 9. července 2008, kterým se stanoví postupy týkající se uplatňování některých vnitrostátních technických pravidel u výrobků uvedených v souladu s právními předpisy na trh v jiném členském státě a kterým se zrušuje rozhodnutí č. 3052/95/ES (Úř. věst. L 218, 13.8.2008, s. 21).

(3)  Nařízení Evropského parlamentu a Rady (EU) č. 305/2011 ze dne 9. března 2011, kterým se stanoví harmonizované podmínky pro uvádění stavebních výrobků na trh a kterým se zrušuje směrnice Rady 89/106/EHS (Úř. věst. L 88, 4.4.2011, s. 5).

(4)  Směrnice Evropského parlamentu a Rady 2005/36/ES ze dne 7. září 2005 o uznávání odborných kvalifikací (Úř. věst. L 255, 30.9.2005, s. 22).

(5)  Směrnice Evropského parlamentu a Rady 2011/24/EU ze dne 9. března 2011 o uplatňování práv pacientů v přeshraniční zdravotní péči (Úř. věst. L 88, 4.4.2011, s. 45).

(6)  Nařízení Evropského parlamentu a Rady (EU) 2016/589 ze dne 13. dubna 2016 o Evropské síti služeb zaměstnanosti (EURES), přístupu pracovníků ke službám mobility a další integraci trhů práce a o změně nařízení (EU) č. 492/2011 a (EU) č. 1296/2013 (Úř. věst. L 107, 22.4.2016, s. 1).

(7)  Nařízení Evropského parlamentu a Rady (EU) č. 524/2013 ze dne 21. května 2013 o řešení spotřebitelských sporů on-line a o změně nařízení (ES) č. 2006/2004 a směrnice 2009/22/ES (nařízení o řešení spotřebitelských sporů on-line) (Úř. věst. L 165, 18.6.2013, s. 1).


21.11.2018   

CS

Úřední věstník Evropské unie

L 295/39


NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) 2018/1725

ze dne 23. října 2018

o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány, institucemi a jinými subjekty Unie a o volném pohybu těchto údajů a o zrušení nařízení (ES) č. 45/2001 a rozhodnutí č. 1247/2002/ES

(Text s významem pro EHP)

EVROPSKÝ PARLAMENT A RADA EVROPSKÉ UNIE,

s ohledem na Smlouvu o fungování Evropské unie, a zejména na čl. 16 odst. 2 této smlouvy,

s ohledem na návrh Evropské komise,

po postoupení návrhu legislativního aktu vnitrostátním parlamentům,

s ohledem na stanovisko Evropského hospodářského a sociálního výboru (1),

v souladu s řádným legislativním postupem (2),

vzhledem k těmto důvodům:

(1)

Ochrana fyzických osob v souvislosti se zpracováním osobních údajů je základním právem. Ustanovení čl. 8 odst. 1 Listiny základních práv Evropské unie (dále jen „Listina“) a čl. 16 odst. 1 Smlouvy o fungování Evropské unie (dále jen „Smlouva o fungování EU“) přiznávají každému právo na ochranu osobních údajů, které se jej týkají. Toto právo je rovněž zaručeno článkem 8 Evropské úmluvy o ochraně lidských práv a základních svobod.

(2)

Nařízení Evropského parlamentu a Rady (ES) č. 45/2001 (3) přiznává fyzickým osobám právně vymahatelná práva, vymezuje povinnosti správců při zpracovávání údajů v orgánech a subjektech Společenství a zřizuje nezávislý orgán dozoru, evropského inspektora ochrany údajů, který odpovídá za monitorování zpracování osobních údajů orgány a subjekty Unie. Nevztahuje se však na zpracování osobních údajů při činnostech orgánů a subjektů Unie, které nespadají do působnosti práva Unie.

(3)

Nařízení Evropského parlamentu a Rady (EU) 2016/679 (4) a směrnice Evropského parlamentu a Rady (EU) 2016/680 (5) byly přijaty dne 27. dubna 2016. Zatímco nařízení stanoví obecná pravidla pro ochranu fyzických osob v souvislosti se zpracováním osobních údajů a zajištění volného pohybu osobních údajů v Unii, směrnice stanoví zvláštní pravidla pro ochranu fyzických osob v souvislosti se zpracováním osobních údajů a zajištění volného pohybu osobních údajů v Unii v oblastech justiční spolupráce v trestních věcech a policejní spolupráce.

(4)

Nařízení (EU) 2016/679 konstatuje potřebu úpravy nařízení (ES) č. 45/2001 s cílem zajistit pevný a soudržný rámec pro ochranu osobních údajů na úrovni Unie a umožnit jeho uplatňování zároveň s nařízením (EU) 2016/679.

(5)

V zájmu soudržného přístupu k ochraně osobních údajů v celé Unii je, aby byla pravidla pro ochranu údajů pro orgány, instituce a jiné subjekty Unie v nejvyšší možné míře sladěna s pravidly přijatými pro veřejný sektor v členských státech. Kdekoliv ustanovení tohoto nařízení vycházejí ze stejných zásad jako ustanovení nařízení (EU) 2016/679, měla by být obě ustanovení podle judikatury Soudního dvora Evropské unie (dále jen „Soudní dvůr“) vykládána jednotně, především proto, že režim tohoto nařízení by měl být chápán jako odpovídající režimu nařízení (EU) 2016/679.

(6)

Osoby, jejichž osobní údaje v jakémkoliv kontextu zpracovávají orgány a subjekty Unie, například protože je tyto orgány a subjekty zaměstnávají, by měly být chráněny. Toto nařízení by se nemělo vztahovat na osobní údaje zesnulých osob. Toto nařízení se nevztahuje na zpracování osobních údajů právnických osob, a zejména podniků vytvořených jako právnické osoby, včetně názvu, právní formy a kontaktních údajů právnické osoby.

(7)

S cílem zabránit vzniku vážného rizika obcházení by ochrana fyzických osob měla být technologicky neutrální a nezávislá na použitých technologiích.

(8)

Toto nařízení by se mělo vztahovat na zpracování osobních údajů všemi orgány, institucemi a jinými subjekty Unie. Mělo by se vztahovat na zcela nebo částečně automatizované zpracování osobních údajů a na neautomatizované zpracování těch osobních údajů, které jsou obsaženy v evidenci nebo do ní mají být zařazeny. Záznamy nebo soubory záznamů ani jejich titulní strany, které nejsou uspořádány podle určených hledisek, by do oblasti působnosti tohoto nařízení spadat neměly.

(9)

V prohlášení č. 21 o ochraně osobních údajů v oblasti justiční spolupráce v trestních věcech a policejní spolupráce, připojeném k závěrečnému aktu mezivládní konference, která přijala Lisabonskou smlouvu, konference uznala, že zvláštní pravidla pro ochranu osobních údajů a volný pohyb osobních údajů v oblastech justiční spolupráce v trestních věcech a policejní spolupráce, založená na článku 16 Smlouvy o fungování EU, by se mohla vzhledem ke specifické povaze těchto oblastí ukázat jako nezbytná. Samostatná kapitola tohoto nařízení obsahující obecná pravidla by se proto měla vztahovat na zpracování operativních osobních údajů, kterými jsou například osobní údaje zpracovávané pro účely trestního vyšetřování institucemi a jinými subjekty Unie při výkonu činností v oblastech justiční spolupráce v trestních věcech a policejní spolupráce.

(10)

Směrnice (EU) 2016/680 stanoví harmonizovaná pravidla pro ochranu a volný pohyb osobních údajů zpracovávaných za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení. Aby byla zajištěna stejná úroveň ochrany fyzických osob prostřednictvím právně vymahatelných práv v celé Unii a zamezilo se rozdílům bránícím výměně osobních údajů mezi institucemi a jinými subjekty Unie při výkonu činností, které spadají do oblasti působnosti části třetí hlavy V kapitoly 4 nebo 5 Smlouvy o fungování EU, a příslušnými orgány, měla by pravidla pro ochranu a volný pohyb operativních osobních údajů zpracovávaných takovými institucemi a jinými subjekty Unie být v souladu se směrnicí (EU) 2016/680.

(11)

Obecná pravidla kapitoly tohoto nařízení týkající se zpracovávání operativních osobních údajů by měla být použitelná bez dotčení zvláštních pravidel vztahujících se na zpracování operativních osobních údajů institucemi a jinými subjekty Unie při výkonu činností, které spadají do oblasti působnosti části třetí hlavy V kapitoly 4 nebo 5 Smlouvy o fungování EU. Tato zvláštní pravidla by měla být považována za lex specialis vůči ustanovením v kapitole tohoto nařízení týkající se zpracovávání operativních osobních údajů (lex specialis derogat legi generali). Ve snaze snížit právní roztříštěnost by měla být zvláštní pravidla pro ochranu osobních údajů vztahující se na zpracování operativních osobních údajů institucemi a jinými subjekty Unie při výkonu činností, které spadají do oblasti působnosti části třetí hlavy V kapitoly 4 nebo 5 Smlouvy o fungování EU, v souladu se zásadami, z nichž vychází kapitola tohoto nařízení týkající se zpracovávání operativních osobních údajů, a také s ustanoveními tohoto nařízení týkajícími se nezávislého dozoru, právní ochrany, odpovědnosti a sankcí.

(12)

Kapitola tohoto nařízení týkající se zpracovávání operativních osobních údajů by se měla vztahovat na instituce a jiné subjekty Unie při výkonu činností, které spadají do oblasti působnosti části třetí hlavy V kapitoly 4 nebo 5 Smlouvy o fungování EU, ať již provádějí tyto činnosti jako své hlavní nebo vedlejší úkoly, pro účely prevence, odhalování, vyšetřování nebo stíhání trestných činů. Neměla by se však vztahovat na Europol ani na Úřad evropského veřejného žalobce, dokud nebudou právní akty, kterými se zřizuje Europol a Úřad evropského veřejného žalobce, pozměněny tak, aby se na tyto subjekty vztahovala kapitola tohoto nařízení týkající se zpracovávání operativních osobních údajů v pozměněném znění.

(13)

Komise by měla provádět přezkum tohoto nařízení, zejména kapitoly tohoto nařízení týkající se zpracovávání operativních osobních údajů. Komise by také měla provést přezkum jiných právních aktů přijatých na základě Smluv, které upravují zpracovávání operativních osobních údajů institucemi a jinými subjekty Unie při výkonu činností, které spadají do oblasti působnosti části třetí hlavy V kapitoly 4 nebo 5 Smlouvy o fungování EU. Po tomto přezkumu by Komise měla mít možnost – ve snaze zajistit jednotnou a důslednou ochranu fyzických osob s ohledem na zpracování osobních údajů – předložit vhodné legislativní návrhy, včetně nezbytných úprav kapitoly tohoto nařízení týkající se zpracování operativních osobních údajů, s cílem dosáhnout toho, aby se vztahovala i na Europol a na Úřad evropského veřejného žalobce. Tyto úpravy by měly zohlednit ustanovení týkající se nezávislého dohledu, opravných prostředků, odpovědnosti a sankcí.

(14)

Na zpracovávání administrativních osobních údajů, jakými jsou například údaje týkající se zaměstnanců, institucemi a jinými subjekty Unie při výkonu činností, které spadají do oblasti působnosti části třetí hlavy V kapitoly 4 nebo 5 Smlouvy o fungování EU, by se mělo toto nařízení vztahovat.

(15)

Toto nařízení by se mělo vztahovat na zpracovávání osobních údajů orgány, institucemi a jinými subjekty Unie při výkonu činností, které spadají do oblasti působnosti hlavy V kapitoly 2 Smlouvy o Evropské unii (dále jen „Smlouva o EU“). Toto nařízení by se nemělo vztahovat na zpracovávání osobních údajů při misích uvedených v čl. 42 odst. 1 a v článcích 43 a 44 Smlouvy o EU provádějících společnou bezpečnostní a obrannou politiku. Ve vhodných případech by měly být předloženy relevantní návrhy za účelem další regulace zpracování osobních údajů v oblasti společné bezpečnostní a obranné politiky.

(16)

Zásady ochrany údajů by se měly uplatňovat na všechny informace týkající se identifikované nebo identifikovatelné fyzické osoby. Osobní údaje, na něž byla uplatněna pseudonymizace a jež by mohly být přiřazeny fyzické osobě na základě dodatečných informací, by měly být považovány za informace o identifikovatelné fyzické osobě. Při určování, zda je fyzická osoba identifikovatelná, by se mělo přihlédnout ke všem prostředkům, jako je například výběr vyčleněním, o nichž lze rozumně předpokládat, že je správce nebo jiná osoba použijí pro přímou či nepřímou identifikaci dané fyzické osoby. Ke stanovení toho, zda lze rozumně předpokládat použití prostředků k identifikaci fyzické osoby, by měly být vzaty v úvahu všechny objektivní faktory, jako jsou náklady a čas, které si identifikace vyžádá, s přihlédnutím k technologii dostupné v době zpracování i k technologickému rozvoji. Zásady ochrany osobních údajů by se proto neměly vztahovat na anonymní informace, totiž informace, které se netýkají identifikované či identifikovatelné fyzické osoby, ani na osobní údaje anonymizované tak, že subjekt údajů není nebo již přestal být identifikovatelným. Toto nařízení se tedy netýká zpracování těchto anonymních informací, včetně zpracování pro statistické nebo výzkumné účely.

(17)

Použití pseudonymizace osobních údajů může omezit rizika pro dotčené subjekty údajů a napomoci správcům a zpracovatelům splnit jejich povinnosti týkající se ochrany údajů. Výslovné zavedení „pseudonymizace“ v tomto nařízení nemá za cíl předem vyloučit jakákoliv další opatření týkající se ochrany údajů.

(18)

Fyzickým osobám mohou být přiřazeny síťové identifikátory, které využívají jejich zařízení, aplikace, nástroje a protokoly, jako například adresy internetového protokolu či identifikátory cookies, nebo jiné identifikátory, jako jsou štítky pro identifikaci na základě rádiové frekvence. Tímto způsobem mohou být zanechány stopy, které mohou být zejména v kombinaci s jedinečnými identifikátory a dalšími informacemi, které servery získávají, použity k profilování fyzických osob a k jejich identifikaci.

(19)

Souhlas by měl být udělen jednoznačným potvrzením, které je vyjádřením svobodného, konkrétního, informovaného a jednoznačného svolení subjektu údajů ke zpracování osobních údajů, které se jej týkají, a to v podobě písemného prohlášení, i učiněného elektronicky, nebo ústního prohlášení. Mohlo by se například jednat o zaškrtnutí políčka při návštěvě internetové stránky, volbu technického nastavení pro služby informační společnosti nebo jiné prohlášení či jednání, které v této souvislosti jasně signalizuje souhlas subjektu údajů s navrhovaným zpracováním jeho osobních údajů. Mlčení, předem zaškrtnutá políčka nebo nečinnost by tudíž neměly být považovány za souhlas. Souhlas by se měl vztahovat na veškeré činnosti zpracování prováděné pro stejný účel nebo stejné účely. Jestliže má zpracování několik účelů, měl by být souhlas udělen pro všechny. Má-li subjekt údajů udělit souhlas na základě žádosti podané elektronickými prostředky, musí být žádost jasná a stručná a nesmí zbytečně narušit využívání služby, pro kterou je souhlas udělen. Zároveň by měl mít subjekt údajů právo kdykoli souhlas odvolat, aniž je tím dotčena zákonnost zpracování provedená na základě souhlasu před jeho odvoláním. S cílem zajistit, aby byl souhlas svobodný, by vyjádření souhlasu nemělo představovat platný právní důvod pro zpracování osobních údajů ve zvláštním případě, kdy mezi subjektem údajů a správcem existuje jasná nerovnováha, a je tedy nepravděpodobné, že za všech okolností této konkrétní situace byl souhlas udělen svobodně. Často není možné v době shromažďování osobních údajů v plném rozsahu stanovit účel zpracování osobních údajů pro účely vědeckého výzkumu. Subjektům údajů by proto mělo být umožněno, aby udělily svůj souhlas ohledně určitých oblastí vědeckého výzkumu v souladu s uznávanými etickými normami pro vědecký výzkum. Subjekty údajů by měly mít možnost udělit svůj souhlas pouze pro některé oblasti výzkumu nebo části výzkumných projektů v rozsahu přípustném pro zamýšlený účel.

(20)

Jakékoliv zpracování osobních údajů by mělo být prováděno zákonným způsobem a korektně. Pro fyzické osoby by mělo být transparentní, že osobní údaje, které se jich týkají, jsou shromažďovány, používány, konzultovány nebo jinak zpracovávány, jakož i v jakém rozsahu tyto osobní údaje jsou či budou zpracovány. Zásada transparentnosti vyžaduje, aby všechny informace a všechna sdělení týkající se zpracování těchto osobních údajů byly snadno přístupné a srozumitelné a podávané za použití jasných a jednoduchých jazykových prostředků. Tato zásada se dotýká zejména informování subjektů údajů o totožnosti správce a účelech zpracování a o dalších záležitostech v zájmu zajištění korektního a transparentního zpracování ve vztahu k dotčeným fyzickým osobám a jejich práva získat potvrzení a sdělení zpracovávaných osobních údajů, které se jich týkají. Fyzické osoby by měly být upozorněny na to, jaká rizika, pravidla, záruky a práva existují v souvislosti se zpracováním osobních údajů a jak mají v souvislosti s tímto zpracováním uplatňovat svá práva. Zejména je zapotřebí, aby konkrétní účely, pro které jsou osobní údaje zpracovávány, byly jednoznačné a legitimní a aby byly stanoveny v okamžiku shromažďování osobních údajů. Osobní údaje by měly být přiměřené, relevantní a omezené na to, co je nezbytné z hlediska účelů, pro které jsou zpracovávány. Je nezbytné zejména zajistit, aby byla doba, po kterou jsou osobní údaje uchovávány, omezena na nezbytné minimum. Osobní údaje by měly být zpracovány pouze tehdy, nemůže-li být účelu zpracování přiměřeně dosaženo jinými prostředky. Aby se zajistilo, že osobní údaje nebudou uchovávány déle, než je nezbytné, měl by správce stanovit lhůty pro výmaz nebo pravidelný přezkum. Měla by být přijata veškerá vhodná opatření, aby nepřesné osobní údaje byly opraveny nebo vymazány. Osobní údaje by měly být zpracovávány způsobem, který zaručí náležité zabezpečení a důvěrnost těchto údajů, mimo jiné za účelem zabránění neoprávněnému přístupu k osobním údajům a k zařízení používanému k jejich zpracování a za účelem zabránění jejich neoprávněnému zpřístupnění v případě jejich předání.

(21)

V souladu se zásadou odpovědnosti, jestliže orgány a subjekty Unie předávají osobní údaje v rámci téhož orgánu nebo subjektu Unie a příjemce není organizační složkou správce, anebo jiným orgánům nebo subjektům Unie, měly by ověřit, zda jsou tyto osobní údaje vyžadovány pro legitimní výkon úkolů spadajících do pravomoci příjemce. Po žádosti příjemce o předání osobních údajů by správce měl zejména ověřit, že existuje relevantní důvod pro zákonné zpracování osobních údajů příjemcem a pravomoc příjemce. Správce by měl provést předběžné hodnocení nezbytnosti předání údajů. Vzniknou-li pochybnosti, zda je předání nezbytné, měl by správce požádat příjemce o doplňující informace. Příjemce by měl zajistit, aby mohla být nezbytnost předání údajů následně ověřena.

(22)

Aby bylo zpracování zákonné, měly by být osobní údaje zpracovávány na základě nezbytnosti splnění úkolu prováděného orgány a subjekty Unie ve veřejném zájmu nebo při výkonu veřejné moci, nezbytnosti dodržení zákonné povinnosti, která se na správce vztahuje, nebo s ohledem na nějaký jiný legitimní základ podle tohoto nařízení, včetně souhlasu dotčeného subjektu údajů, nebo nezbytnosti plnění smlouvy, jejíž stranou je subjekt údajů, nebo pro přijetí opatření na žádost subjektu údajů před uzavřením smlouvy. Zpracování osobních údajů orgány a subjekty Unie za účelem plnění úkolů veřejného zájmu zahrnuje zpracování osobních údajů nezbytných pro řízení a fungování těchto orgánů a institucí. Zpracování osobních údajů by mělo být rovněž považováno za zákonné, pokud je nezbytné pro ochranu životně důležitého zájmu subjektu údajů nebo jiné fyzické osoby. Zpracování osobních údajů na základě životně důležitého zájmu jiné fyzické osoby by mělo v zásadě proběhnout pouze tehdy, pokud zjevně nemůže být založeno na jiném právním základě. Některé druhy zpracování mohou sloužit jak důležitým důvodům veřejného zájmu, tak životně důležitým zájmům subjektu údajů, například je-li zpracování nezbytné pro humanitární účely, včetně monitorování epidemií a jejich šíření nebo v naléhavých humanitárních situacích, zejména v případech přírodních a člověkem způsobených katastrof.

(23)

Právo Unie uvedené v tomto nařízení by mělo být jasné a přesné a jeho použití by mělo být předvídatelné pro osoby, na něž se vztahuje, v souladu s požadavky stanovenými v Listině a v Evropské úmluvě o ochraně lidských práv a základních svobod.

(24)

Vnitřní předpisy uvedené v tomto nařízení by měly být jasné a přesné akty s obecnou působností, které mají právní účinky vůči subjektům údajů. Měly by být přijaty na nejvyšší úrovni řízení orgánů a subjektů Unie v rámci jejich pravomocí a v otázkách spojených s jejich fungováním. Měly by být zveřejněny v Úředním věstníku Evropské unie. Použití těchto předpisů by mělo být předvídatelné pro osoby, na něž se vztahují, v souladu s požadavky stanovenými v Listině a v Evropské úmluvě o ochraně lidských práv a základních svobod. Vnitřní předpisy mohou mít podobu rozhodnutí, zejména jsou-li přijaty orgány Unie.

(25)

Zpracování osobních údajů pro jiné účely, než jsou ty, pro které byly osobní údaje původně shromážděny, by mělo být povoleno pouze v případě, kdy je slučitelné s účely, pro které byly osobní údaje původně shromážděny. V takovém případě není třeba právní základ odlišný od toho, který umožnil shromáždění osobních údajů. Pokud je zpracování nezbytné ke splnění úkolu prováděného ve veřejném zájmu či při výkonu veřejné moci, kterým je pověřen správce, mohou být v právu Unie určeny a vymezeny úkoly a účely, pro které se další zpracování považuje za slučitelné a zákonné. Další zpracování pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely by mělo být považováno za slučitelnou zákonnou operaci zpracování. Právní základ pro zpracování osobních údajů podle práva Unie může rovněž posloužit jako právní základ pro další zpracování. S cílem zjistit, zda je účel dalšího zpracování slučitelný s účelem, pro který byly osobní údaje původně shromážděny, by měl správce, po splnění všech požadavků na zákonnost původního zpracování, vzít mimo jiné v úvahu jakoukoliv vazbu mezi těmito účely a účely zamýšleného dalšího zpracování, kontext, v němž byly osobní údaje shromážděny, zejména přiměřená očekávání ohledně dalšího použití osobních údajů, která mají subjekty údajů na základě svého vztahu se správcem, povahu osobních údajů, důsledky zamýšleného dalšího zpracování pro subjekty údajů a existenci vhodných záruk jak během původních, tak během zamýšlených dalších operací zpracování.

(26)

Pokud je zpracování založeno na souhlasu subjektu údajů, měl by být správce schopen prokázat, že subjekt údajů udělil k dané operaci zpracování souhlas. Zejména v případě písemného prohlášení souvisejícího s jinou skutečností by mělo být pomocí záruk zajištěno, že si je subjekt údajů vědom toho, že uděluje souhlas a v jakém rozsahu. V souladu se směrnicí Rady 93/13/EHS (6) by prohlášení o souhlasu navržené správcem mělo být poskytnuto ve srozumitelném a snadno přístupném znění za použití jasného a jednoduchého jazyka a nemělo by obsahovat nepřiměřené podmínky. Aby se zajistilo, že souhlas bude informovaný, měl by subjekt údajů znát alespoň totožnost správce a účely zpracování, k nimž jsou jeho osobní údaje určeny. Souhlas by neměl být považován za svobodný, pokud subjekt údajů nemá skutečnou nebo svobodnou volbu nebo nemůže souhlas odmítnout nebo odvolat, aniž by byl poškozen.

(27)

Děti zasluhují zvláštní ochranu osobních údajů, protože si mohou být méně vědomy dotčených rizik, důsledků a záruk a svých práv v souvislosti se zpracováním osobních údajů. Tato zvláštní ochrana by se měla zejména vztahovat na vytváření osobnostních profilů a shromažďování osobních údajů týkajících se dětí při využívání služeb nabízených přímo dětem na internetových stránkách orgánů a subjektů Unie, jako jsou mezilidské komunikační služby nebo prodej vstupenek na internetu, kdy je zpracování osobních údajů založeno na souhlasu.

(28)

Jestliže by v Unii usazení příjemci jiní než orgány a subjekty Unie chtěli, aby jim orgány a subjekty Unie předaly osobní údaje, měli by prokázat, že předání těchto údajů je nezbytné buď pro plnění jejich úkolů, které vykonávají ve veřejném zájmu, nebo při výkonu veřejné moci, kterým jsou pověřeni. Popřípadě by tito příjemci měli prokázat, že předání těchto údajů je nezbytné pro konkrétní účel ve veřejném zájmu a správce by měl zjistit, zda je důvod se domnívat, že mohou být poškozeny oprávněné zájmy subjektu údajů. V takových případech by měl správce prokazatelně zvážit různé protichůdné zájmy, aby posoudil přiměřenost požadovaného předání osobních údajů. Tyto konkrétní účely ve veřejném zájmu by se mohly týkat transparentnosti orgánů a subjektů Unie. Orgány a subjekty Unie by dále měly tuto nezbytnost prokázat, pokud samy dávají podnět k předání údajů, v souladu se zásadou transparentnosti a řádné správy. Požadavky stanovené v tomto nařízení pro předávání údajů jiným příjemcům usazeným v Unii, než jsou orgány a subjekty Unie, by měly být chápány jako doplňkové k podmínkám pro zákonné zpracování.

(29)

Osobní údaje, které jsou svou povahou obzvláště citlivé z hlediska základních práv a svobod, zasluhují zvláštní ochranu, jelikož by při jejich zpracování mohla vzniknout závažná rizika pro základní práva a svobody. Tyto osobní údaje by se neměly zpracovávat, pokud nejsou splněny zvláštní podmínky stanovené v tomto nařízení. Mezi tyto osobní údaje by měly patřit osobní údaje vypovídající o rasovém či etnickém původu, ovšem s tím, že použití slov „rasový původ“ v tomto nařízení neznamená, že Unie akceptuje teorie, které se pokoušejí určit existenci různých lidských ras. Zpracování fotografií by nemělo být systematicky považováno za zpracování zvláštních kategorií osobních údajů, neboť na fotografie se definice biometrických údajů vztahuje pouze v případech, kdy jsou zpracovávány zvláštními technickými prostředky umožňujícími jedinečnou identifikaci nebo autentizaci fyzické osoby. Společně se zvláštními požadavky na zpracování citlivých údajů by se měly uplatňovat obecné zásady a další pravidla tohoto nařízení, zejména pokud jde o podmínky pro zákonné zpracování. Odchylky od obecného zákazu zpracování těchto zvláštních kategorií osobních údajů by měly být výslovně stanoveny mimo jiné v případě, kdy subjekt údajů uděluje svůj výslovný souhlas nebo jde-li o zvláštní potřeby, zejména pokud je toto zpracování prováděno v průběhu oprávněných činností některých sdružení či nadací, jejichž cílem je umožnit výkon základních svobod.

(30)

Zvláštní kategorie osobních údajů, které zasluhují vyšší stupeň ochrany, by měly být zpracovávány pouze pro zdravotní účely, je-li třeba těchto účelů dosáhnout ve prospěch fyzických osob a společnosti jako celku, zejména v souvislosti s řízením zdravotnických služeb či služeb sociální péče a systémů. Proto by toto nařízení mělo stanovit harmonizované podmínky pro zpracování zvláštních kategorií osobních údajů o zdravotním stavu, pokud jde o zvláštní potřeby, zejména je-li zpracování takových údajů prováděno pro určité účely související se zdravím osobou vázanou profesním tajemstvím podle právních předpisů. Právo Unie by mělo stanovit specifická a vhodná opatření s cílem chránit základní práva a osobní údaje fyzických osob.

(31)

Z důvodů veřejného zájmu v oblasti veřejného zdraví může být nezbytné zpracovávat zvláštní kategorie osobních údajů bez souhlasu subjektu údajů. Toto zpracování by mělo podléhat vhodným a zvláštním opatřením s cílem chránit práva a svobody fyzických osob. V této souvislosti by mělo být „veřejné zdraví“ vykládáno ve smyslu definice v nařízení Evropského parlamentu a Rady (ES) č. 1338/2008 (7), totiž jako veškeré prvky týkající se zdraví, zejména zdravotní stav včetně nemocnosti a zdravotního postižení, determinanty ovlivňující tento zdravotní stav, potřeby zdravotní péče, prostředky přidělené na zdravotní péči, poskytování zdravotní péče a její všeobecná dostupnost, výdaje na zdravotní péči a její financování a příčiny úmrtnosti. Takové zpracování údajů o zdravotním stavu z důvodu veřejného zájmu by nemělo vést k tomu, aby se osobní údaje zpracovávaly pro jiné účely.

(32)

Pokud správce zpracovává osobní údaje, které mu neumožňují identifikovat fyzickou osobu, neměl by být povinen získat dodatečné informace pro zjištění totožnosti subjektu údajů výlučně za účelem dosažení souladu s některým ustanovením tohoto nařízení. Správce by však neměl odmítnout převzít dodatečné informace poskytnuté subjektem údajů s cílem podpořit výkon jeho práv. Součástí identifikace by měla být digitální identifikace subjektu údajů, například prostřednictvím mechanismu autentizace na základě stejných pověřovacích údajů, které subjekt údajů používá pro přihlášení k on-line službám poskytovaným správcem údajů.

(33)

Zpracování osobních údajů pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely by mělo podléhat vhodným zárukám práv a svobod subjektu údajů podle tohoto nařízení. Tyto záruky by měly zajistit, aby byla zavedena technická a organizační opatření, zejména s cílem zajistit dodržování zásady minimalizace údajů. Další zpracování osobních údajů pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely má být provedeno, pokud správce usoudil, že je možné splnit tyto účely na základě zpracování osobních údajů, které neumožňují nebo již neumožňují identifikaci subjektů údajů, za podmínky existence vhodných záruk (jako je například pseudonymizace údajů). Orgány a subjekty Unie by měly stanovit vhodné záruky v právu Unie, a to i v podobě vnitřních předpisů přijatých orgány a subjekty Unie v záležitostech spojených s jejich fungováním, týkající se zpracování osobních údajů pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely.

(34)

Je třeba stanovit postupy, které by usnadnily výkon práv subjektů údajů podle tohoto nařízení, včetně mechanismů pro podávání žádostí a případně bezplatného obdržení přístupu k osobním údajům a opravy nebo výmazu osobních údajů a pro uplatnění práva vznést námitku. Správce by měl rovněž zajistit podmínky pro to, aby žádosti mohly být podávány elektronicky, zejména v případě zpracování osobních údajů elektronickými prostředky. Správci by měla být uložena povinnost reagovat na žádosti subjektu údajů bez zbytečného odkladu a nejpozději do jednoho měsíce a uvést důvody v případě, že nemá v úmyslu těmto žádostem vyhovět.

(35)

Zásady korektního a transparentního zpracování vyžadují, aby byl subjekt údajů informován o probíhající operaci zpracování a jejích účelech. Správce by měl subjektu údajů poskytnout veškeré další informace nezbytné pro zajištění korektního a transparentního zpracování, s přihlédnutím ke konkrétním okolnostem a kontextu, v němž jsou osobní údaje zpracovávány. Subjekt údajů by měl být dále informován o profilování a o jeho důsledcích. Pokud jsou osobní údaje získávány od subjektu údajů, měl by subjekt údajů být rovněž informován, zda je povinen tyto údaje poskytnout, a o důsledcích jejich případného neposkytnutí. Tyto informace mohou být doplněny standardizovanými ikonami s cílem poskytnout snadno viditelným, srozumitelným a jasně čitelným způsobem smysluplný přehled o zamýšleném zpracování. Pokud jsou ikony prezentovány v elektronické podobě, měly by být strojově čitelné.

(36)

Informování subjektu údajů o tom, že jsou zpracovávány jeho osobní údaje, by mělo proběhnout v okamžiku jejich získání od subjektu údajů, nebo pokud jsou získávány z jiného zdroje, v přiměřené lhůtě v závislosti na okolnostech případu. Jestliže mohou být osobní údaje oprávněně získány jinému příjemci, měl by být subjekt údajů informován o jejich prvním zpřístupnění tomuto příjemci. Pokud správce hodlá osobní údaje zpracovat pro jiný účel, než je účel, pro který byly shromážděny, měl by poskytnout subjektu údajů informace o tomto jiném účelu a další nezbytné informace ještě před uvedeným dalším zpracováním. Pokud z důvodu využití různých zdrojů nemůže být subjektu údajů sdělen původ osobních údajů, měly by být poskytnuty obecné informace.

(37)

Subjekt údajů by měl mít právo na přístup ke shromážděným osobním údajům, které se ho týkají, a měl by moci toto právo snadno a v přiměřených odstupech uplatňovat, aby byl o jejich zpracování informován a mohl si ověřit jeho zákonnost. To zahrnuje právo subjektů údajů na přístup k údajům o svém zdravotním stavu, například k údajům ve své lékařské dokumentaci, která obsahuje například informace o diagnóze, výsledky vyšetření, posudky ošetřujících lékařů a údaje o veškeré léčbě a provedených ošetřeních nebo zákrocích. Každý subjekt údajů by proto měl mít právo vědět a být informován zejména o tom, za jakým účelem se osobní údaje zpracovávají, případně o období, po které budou uchovávány, kdo jsou příjemci osobních údajů, v čem spočívá logika automatizovaného zpracování osobních údajů a jaké mohou být důsledky takového zpracování přinejmenším v případech, kdy je zpracování založeno na profilování. Tímto právem by neměla být nepříznivě dotčena práva ani svobody ostatních, například obchodní tajemství nebo duševní vlastnictví, a zejména autorské právo chránící programové vybavení. Zohlednění těchto skutečností by ovšem nemělo vést k tomu, že by subjektu údajů bylo odepřeno poskytnutí všech informací. Pokud správce zpracovává velké množství informací týkajících se subjektu údajů, měl by mít možnost před poskytnutím informací požádat subjekt údajů, aby konkrétně uvedl, kterých informací nebo činností zpracování se jeho žádost týká.

(38)

Subjekt údajů by měl mít právo na opravu osobních údajů, které se ho týkají, a „právo být zapomenut“, pokud uchovávání těchto údajů porušuje toto nařízení nebo právo Unie, které se na správce vztahuje. Subjekt údajů by měl mít právo na to, aby jeho osobní údaje byly vymazány a nebyly dále zpracovávány, pokud již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány, pokud subjekt údajů odvolal svůj souhlas se zpracováním nebo pokud vznesl námitku proti zpracování osobních údajů, které se jej týkají, nebo pokud je zpracování jeho osobních údajů v rozporu s tímto nařízením z jiných důvodů. Toto právo je obzvláště důležité v případech, kdy subjekt údajů udělil souhlas v dětském věku a nebyl si plně vědom rizik spojených se zpracováním a později chce tyto osobní údaje zejména na internetu odstranit. Subjekt údajů by měl mít možnost toto právo uplatnit bez ohledu na skutečnost, že již není dítě. Další uchovávání osobních údajů by však mělo být zákonné, pokud je to nezbytné k uplatnění práva svobody projevu a informací, z důvodu splnění právní povinnosti, provádění určitého úkolu ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce, z důvodů veřejného zájmu v oblasti veřejného zdraví, pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely nebo pro určení, výkon nebo obhajobu právních nároků.

(39)

Aby bylo v internetovém prostředí posíleno právo být zapomenut, mělo by být rozšířeno právo na výmaz tím, že by správce, který zveřejnil osobní údaje, měl povinnost informovat správce, kteří osobní údaje zpracovávají, aby vymazali veškeré odkazy na dané osobní údaje či veškeré jejich kopie nebo replikace. Přitom by měl správce učinit vhodné kroky, s přihlédnutím k dostupné technologii a prostředkům, které má k dispozici, včetně uplatňování technických opatření, s cílem informovat správce, kteří tyto osobní údaje zpracovávají, o žádosti subjektu údajů.

(40)

Způsoby, jak omezit zpracování osobních údajů, by mohly mimo jiné zahrnovat dočasný přesun vybraných údajů do jiného systému zpracování, znepřístupnění vybraných osobních údajů uživatelům nebo dočasné odstranění zveřejněných údajů z internetových stránek. V automatizovaných evidencích by omezení zpracování mělo být v zásadě zajištěno technickými prostředky tak, aby se na osobní údaje již nevztahovaly žádné další operace zpracování a aby nemohly být změněny. Skutečnost, že zpracování osobních údajů je omezeno, by měla být v systému jasně vyznačena.

(41)

Aby měl subjekt údajů větší kontrolu nad svými údaji, měl by v případě, kdy se osobní údaje zpracovávají automatizovaně, mít též právo získat osobní údaje, které se ho týkají, a jež poskytl správci, ve strukturovaném, běžně používaném, strojově čitelném a interoperabilním formátu a předat je jinému správci. Správce údajů je třeba podporovat v rozvíjení interoperabilních formátů umožňujících přenositelnost údajů. Toto právo by se mělo uplatnit v případě, kdy subjekt údajů poskytl osobní údaje na základě svého souhlasu, nebo pokud je zpracování potřebné za účelem plnění smlouvy. Proto by se nemělo uplatňovat v případě, kdy je zpracování osobních údajů nezbytné pro splnění právní povinnosti, která se na správce vztahuje, nebo pro vykonání úkolu ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce. Právo subjektu údajů předat nebo obdržet osobní údaje, které se ho týkají, by nemělo zakládat povinnost správců zavést nebo zachovávat technicky kompatibilní systémy zpracování. Pokud se určitý soubor osobních údajů týká více než jednoho subjektu údajů, neměla by právem obdržet osobní údaje být dotčena práva a svobody jiných subjektů údajů podle tohoto nařízení. Tímto právem by dále nemělo být dotčeno právo subjektu údajů dosáhnout výmazu osobních údajů a omezení uvedeného práva, jak je stanoveno v tomto nařízení, a zejména by toto právo nemělo znamenat výmaz osobních údajů týkajících se daného subjektu údajů, které tento subjekt údajů poskytl v rámci plnění smlouvy, v rozsahu, v němž jsou tyto osobní údaje nezbytné pro plnění dané smlouvy, a po dobu nezbytně nutnou pro toto plnění. Pokud je to technicky možné, měl by mít subjekt údajů právo na to, aby osobní údaje byly předány přímo jedním správcem správci druhému.

(42)

Pokud mohou být osobní údaje zákonně zpracovávány, protože je toto zpracování nezbytné pro výkon úkolů vykonávaných ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce, měl by každý dotčený subjekt údajů přesto mít právo vznést námitku proti zpracování osobních údajů, které se týkají jeho konkrétní situace. Mělo by být povinností správce, aby prokázal, že jeho závažné oprávněné zájmy převažují nad zájmy nebo základními právy a svobodami subjektu údajů.

(43)

Subjekt údajů by měl mít právo nebýt předmětem žádného rozhodnutí, a to včetně opatření, které hodnotí osobní aspekty týkající se jeho osoby, vychází výlučně z automatizovaného zpracování a které má pro něj právní účinky nebo se jej podobně významně dotýká, jako jsou postupy elektronického náboru bez jakéhokoliv lidského zásahu. Takové zpracování zahrnuje „profilování“, jehož podstatou je jakákoliv forma automatizovaného zpracování osobních údajů hodnotící osobní aspekty vztahující se k fyzické osobě, zejména za účelem analýzy či předvídání aspektů souvisejících s pracovním výkonem subjektu údajů, jeho ekonomickou situací, zdravotním stavem, osobními preferencemi nebo zájmy, spolehlivostí nebo chováním, místem pobytu či pohybu, pokud má pro něj právní účinky nebo se jí podobným způsobem významně dotýká.

Rozhodování založené na takovém zpracování, včetně profilování, by však mělo být umožněno, pokud jej výslovně povoluje právo Unie. V každém případě by se na takové zpracování měly vztahovat vhodné záruky, které by měly zahrnovat konkrétní informování subjektu údajů a právo na lidský zásah, na vyjádření svého názoru, na získání vysvětlení o rozhodnutí učiněném po takovém posouzení a na napadnutí tohoto rozhodnutí. Toto opatření by se nemělo týkat dítěte. V zájmu zajištění korektního a transparentního zpracování ve vztahu k subjektu údajů a s přihlédnutím ke konkrétním okolnostem a souvislostem, za kterých se dané osobní údaje zpracovávají, by měl správce použít vhodné matematické nebo statistické postupy profilování, zavést technická a organizační opatření, která zejména zajistí opravu faktorů vedoucích k nepřesnosti osobních údajů a minimalizaci rizika chyb, a zabezpečit osobní údaje takovým způsobem, který zohledňuje potenciální rizika pro zájmy a práva subjektu údajů, a mimo jiné předcházet diskriminačním účinkům vůči fyzickým osobám na základě rasového nebo etnického původu, politických názorů, náboženského vyznání nebo přesvědčení, členství v odborech, genetických údajů nebo zdravotního stavu či sexuální orientace nebo zamezit zpracování, které by vedlo k opatřením, jež mají takové účinky. Automatizované rozhodování a profilování založené na zvláštních kategoriích osobních údajů by mělo být povoleno pouze za určitých podmínek.

(44)

Právní akty přijaté na základě Smluv nebo vnitřní předpisy přijaté orgány a subjekty Unie v záležitostech spojených s jejich fungováním mohou uložit omezení určitých zásad a práva na informace, na přístup a na opravu nebo na výmaz osobních údajů, práva na přenositelnost osobních údajů, důvěrnost elektronických komunikací, jakož i omezení týkající se oznamování případů porušení zabezpečení osobních údajů subjektu údajů nebo určitých souvisejících povinností správců, pokud je to v demokratické společnosti nutné a přiměřené pro zachování veřejné bezpečnosti a pro předcházení trestným činům nebo jejich vyšetřování či stíhání nebo výkon trestů. To zahrnuje i ochranu před hrozbami pro veřejnou bezpečnost a jejich předcházení, mimo jiné pro ochranu lidských životů, zejména v reakci na přírodní nebo člověkem způsobené katastrofy, pro vnitřní bezpečnost orgánů a subjektů Unie, pro jiné významné cíle obecného veřejného zájmu Unie nebo členského státu, zejména jedná-li se o důležitý hospodářský či finanční zájem Unie nebo členského státu, a vedení veřejných rejstříků z důvodů obecného veřejného zájmu, nebo s ohledem na ochranu subjektu údajů či práv a svobod ostatních, včetně sociální ochrany, veřejného zdraví a humanitárních účelů.

(45)

Měla by být stanovena odpovědnost správce za jakékoliv zpracování osobních údajů prováděné správcem nebo pro něj. Správce by měl být zejména povinen zavést vhodná a účinná opatření a být schopen doložit, že činnosti zpracování jsou v souladu s tímto nařízením, včetně účinnosti opatření. Tato opatření by měla zohledňovat povahu, rozsah, kontext a účely zpracování a riziko pro práva a svobody fyzických osob.

(46)

Různě pravděpodobná a závažná rizika pro práva a svobody fyzických osob mohou vyplynout ze zpracování osobních údajů, které by mohlo vést k fyzické, hmotné nebo nehmotné újmě, zejména v případech, kdy by zpracování mohlo vést k diskriminaci, krádeži či zneužití identity, finanční ztrátě, poškození pověsti, ztrátě důvěrnosti osobních údajů chráněných služebním tajemstvím, neoprávněnému zrušení pseudonymizace nebo jakémukoliv jinému významnému hospodářskému či společenskému znevýhodnění, kdy by subjekty údajů mohly být zbaveny svých práv a svobod nebo možnosti kontrolovat své osobní údaje, kdy jsou zpracovávány osobní údaje, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filosofickém přesvědčení nebo členství v odborech, kdy jsou zpracovávány genetické údaje či údaje o zdravotním stavu či sexuálním životě nebo o odsouzení v trestních věcech a trestných činech či souvisejících bezpečnostních opatřeních, kdy jsou za účelem vytvoření či využití osobních profilů vyhodnocovány osobní aspekty, zejména prostřednictvím analýzy nebo odhadu aspektů týkajících se pracovních výsledků, ekonomické situace, zdravotního stavu, osobních preferencí nebo zájmů, spolehlivosti nebo chování, místa pobytu a pohybu, kdy jsou zpracovávány osobní údaje zranitelných osob, především dětí, nebo kdy je zpracováván velký objem osobních údajů a zpracování se dotýká velkého počtu subjektů údajů.

(47)

Pravděpodobnost a závažnost rizika pro práva a svobody subjektu údajů by měly být určeny na základě povahy, rozsahu, kontextu a účelů zpracování. Riziko by mělo být hodnoceno na základě objektivního posouzení, které stanoví, zda operace zpracování představují riziko či vysoké riziko.

(48)

Pro ochranu práv a svobod fyzických osob v souvislosti se zpracováním osobních údajů je třeba přijmout vhodná technická a organizační opatření, aby se zajistilo splnění požadavků vyplývajících z tohoto nařízení. Aby správce mohl doložit soulad s tímto nařízením, měl by přijmout vnitřní předpisy a zavést opatření, která dodržují zejména zásady záměrné a standardní ochrany osobních údajů. Tato opatření by mohla mimo jiné spočívat v minimalizaci zpracování osobních údajů, co nejrychlejší pseudonymizaci osobních údajů, transparentnosti s ohledem na funkce a zpracování osobních údajů, umožnění subjektům údajů monitorovat zpracování osobních údajů a umožnění správcům vytvářet a zlepšovat bezpečnostní prvky. Zásady záměrné a standardní ochrany osobních údajů by rovněž měly být zohledněny v souvislosti s veřejnými zakázkami.

(49)

Nařízení (EU) 2016/679 stanoví, že správci musí dodržování stanovených požadavků doložit tím, že používají schválené mechanismy pro vydávání osvědčení. Obdobně by měly být orgány a subjekty Unie schopny doložit dodržování tohoto nařízení tím, že získají osvědčení v souladu s článkem 42 nařízení (EU) 2016/679.

(50)

Ochrana práv a svobod subjektů údajů i odpovědnost správců a zpracovatelů vyžadují, aby bylo jasně určeno, kdo má plnit jednotlivé povinnosti stanovené v tomto nařízení, včetně případů, kdy správce určuje účely a prostředky zpracování společně s jinými správci nebo kdy je operace zpracování prováděna za správce.

(51)

Aby byl zajištěn soulad s požadavky tohoto nařízení v případě zpracování prováděného zpracovatelem za správce, měl by správce zpracováním pověřit pouze zpracovatele, kteří poskytují dostatečné záruky, zejména pokud jde o odborné znalosti, spolehlivost a zdroje, že zavedou technická a organizační opatření, která budou splňovat požadavky tohoto nařízení, včetně požadavků na zabezpečení zpracování. Jedním z prvků, jimiž lze doložit, že zpracovatel, který není orgánem ani subjektem Unie, plní povinnosti správce, může být dodržování schváleného kodexu chování nebo schváleného mechanismu pro vydávání osvědčení. Provádění zpracování zpracovatelem jiným než orgán nebo subjekt Unie by se mělo řídit smlouvou nebo v případě, že zpracovateli jsou orgány a subjekty Unie, smlouvou nebo jiným právním aktem podle práva Unie, které by zavazovaly zpracovatele vůči správci a v nichž by byl stanoven předmět a doba trvání zpracování, povaha a účely zpracování, typ osobních údajů a kategorie subjektů údajů, s přihlédnutím ke konkrétním úkolům a povinnostem zpracovatele v souvislosti se zpracováním, jež má být provedeno, a riziko pro práva a svobody subjektů údajů. Správce a zpracovatel by měli mít možnost se rozhodnout, že použijí individuální smlouvu nebo standardní smluvní ustanovení, která přijme buď přímo Komise, nebo evropský inspektor ochrany údajů a poté Komise. Po dokončení zpracování za správce by zpracovatel měl na základě rozhodnutí správce osobní údaje vrátit nebo vymazat, jestliže se nepožaduje uložení osobních údajů podle práva Unie nebo členského státu, které se na zpracovatele vztahuje.

(52)

Aby doložili soulad s tímto nařízením, měli by správci vést záznamy o činnostech zpracování, za které odpovídají, a zpracovatelé by měli vést záznamy o kategoriích činností zpracování, za které odpovídají. Orgány a subjekty Unie by měly být povinny spolupracovat s evropským inspektorem ochrany údajů a na jeho žádost mu tyto záznamy zpřístupnit, aby na jejich základě mohly být tyto operace zpracování monitorovány. Pokud je to vhodné s ohledem na velikost orgánu nebo subjektu Unie, měly by orgány a subjekty Unie mít možnost vytvořit centrální rejstřík záznamů svých činností zpracování. Z důvodů transparentnosti by rovněž měly mít možnost tento rejstřík zpřístupnit veřejnosti.

(53)

V zájmu zachování bezpečnosti a zabránění zpracování, které by bylo v rozporu s tímto nařízením, by měl správce nebo zpracovatel posoudit rizika spojená se zpracováním a přijmout opatření ke zmírnění těchto rizik, například šifrování. Tato opatření by měla zajistit náležitou úroveň bezpečnosti, včetně důvěrnosti, s ohledem na stav techniky, náklady na provedení v souvislosti s rizikem a povahu osobních údajů, které mají být chráněny. Při posuzování rizik pro zabezpečení údajů by se měla vzít v úvahu rizika, která zpracování představuje, jako jsou náhodné nebo protiprávní zničení, ztráta, pozměnění, neoprávněné zpřístupnění předaných, uložených nebo jiným způsobem zpracovaných osobních údajů nebo neoprávněný přístup k nim, které by mohly zejména vést k fyzické, hmotné nebo nehmotné újmě.

(54)

Orgány a subjekty Unie by měly zajistit důvěrnost elektronické komunikace, jak ukládá článek 7 Listiny. Orgány a subjekty Unie by měly zejména zajistit zabezpečení svých sítí elektronických komunikací. Měly by chránit informace týkající se koncových zařízení koncových uživatelů, kteří se připojují na veřejně přístupné internetové stránky a mobilní aplikace, v souladu se směrnicí Evropského parlamentu a Rady 2002/58/ES (8). Měly by rovněž chránit osobní údaje uložené v seznamech uživatelů.

(55)

Není-li porušení zabezpečení osobních údajů řešeno náležitě a včas, může to fyzickým osobám způsobit fyzickou, hmotnou či nehmotnou újmu. Jakmile se tedy správce o porušení zabezpečení osobních údajů dozví, měl by je bez zbytečného odkladu a, je-li to možné, do 72 hodin poté, co se o něm dozvěděl, ohlásit evropskému inspektorovi ochrany údajů, ledaže může v souladu se zásadou odpovědnosti doložit, že je nepravděpodobné, že by dané porušení zabezpečení osobních údajů mělo za následek riziko pro práva a svobody fyzických osob. Není-li toto ohlášení možné učinit do 72 hodin, měly by být spolu s ním uvedeny důvody zpoždění a informace mohou být poskytnuty postupně bez zbytečného dalšího prodlení. Je-li zpoždění důvodné, měly by být méně citlivé nebo méně konkrétní informace o porušení sděleny co nejdříve, místo aby se čekalo s ohlášením až na úplné vyšetření příslušného incidentu.

(56)

Správce by měl porušení zabezpečení osobních údajů oznámit subjektu údajů bez zbytečného prodlení, pokud je pravděpodobné, že toto porušení bude mít za následek vysoké riziko pro práva a svobody fyzické osoby, aby mohl učinit nezbytná opatření. V oznámení by měla být popsána povaha daného případu porušení zabezpečení osobních údajů a obsažena doporučení pro dotčenou fyzickou osobu, jak případné nežádoucí účinky zmírnit. Tato oznámení by měla být subjektům údajů učiněna, jakmile je to proveditelné, v úzké spolupráci s evropským inspektorem ochrany údajů a v souladu s pokyny tohoto úřadu nebo jiných příslušných orgánů (například donucovacích orgánů).

(57)

Nařízení (ES) č. 45/2001 stanoví pro správce obecnou povinnost ohlašovat zpracování osobních údajů pověřenci pro ochranu osobních údajů. Pokud je to vhodné s ohledem na velikost daného orgánu nebo subjektu Unie, má pověřenec pro ochranu osobních údajů vést rejstřík ohlášených operací zpracování údajů. Kromě této obecné povinnosti by měly být zavedeny účinné postupy a mechanismy k monitorování operací zpracování, jež mohou s ohledem na svou povahu, rozsah, kontext a účely představovat vysoké riziko pro práva a svobody fyzických osob. Tyto postupy by také měly být zavedeny především u těch typů operací zpracování, při nichž jsou používány nové technologie, nebo které jsou zcela nového druhu a u nichž správce dosud neprovedl posouzení vlivu na ochranu údajů, nebo které se staly nezbytnými z důvodu času, který uplynul od prvotního zpracování. V těchto případech by měl správce před zpracováním provést posouzení vlivu na ochranu osobních údajů s cílem posoudit konkrétní pravděpodobnost a závažnost vysokého rizika a zohlednit přitom povahu, rozsah, kontext a účely zpracování a zdroje rizika. Toto posouzení vlivu by mělo zejména obsahovat zamýšlená opatření, záruky a mechanismy pro snížení tohoto rizika, pro zajištění ochrany osobních údajů a prokázání souladu s tímto nařízením.

(58)

Pokud z posouzení vlivu na ochranu osobních údajů vyplývá, že by zpracování v případě neexistence záruk, bezpečnostních opatření ani mechanismů ke zmenšení rizika představovalo vysoké riziko pro práva a svobody fyzických osob, a pokud je správce toho názoru, že riziko nelze zmenšit prostředky přiměřenými z hlediska dostupných technologií a nákladů na provedení, je třeba před zahájením zpracování konzultovat evropského inspektora ochrany údajů. Je pravděpodobné, že toto vysoké riziko vznikne v souvislosti s určitým typem zpracování a rozsahem a četností zpracování, což rovněž může vést ke vzniku škody nebo zásahu do práv a svobod dotčené fyzické osoby. Evropský inspektor ochrany údajů by měl na žádost o konzultaci reagovat ve stanovené lhůtě. Skutečností, že evropský inspektor ochrany údajů v této lhůtě nezareaguje, by však neměl být dotčen žádný zásah evropského inspektora ochrany údajů prováděný v souladu s jeho úkoly a pravomocemi stanovenými v tomto nařízení, včetně pravomoci zakázat operace zpracování. V rámci tohoto procesu konzultací by mělo být možné předložit výsledek posouzení vlivu na ochranu osobních údajů, které bylo provedeno v souvislosti s daným zpracováním, evropskému inspektorovi ochrany údajů, zejména zamýšlená opatření ke zmírnění rizika pro práva a svobody fyzických osob.

(59)

Evropský inspektor ochrany údajů by měl být informován o správních opatřeních a měly by s ním být konzultovány vnitřní předpisy přijaté orgány a subjekty Unie v záležitostech týkajících se jejich fungování, pokud upravují zpracování osobních údajů, stanoví podmínky pro omezení práv subjektů údajů nebo zavádí odpovídající záruky práv subjektu údajů, aby bylo zajištěno, že zamýšlené zpracování je v souladu s tímto nařízením, zejména pokud jde o zmírnění souvisejících rizik pro subjekt údajů.

(60)

Nařízení (EU) 2016/679 zřizuje Evropský sbor pro ochranu údajů jako subjekt Unie s právní subjektivitou. Sbor by měl přispívat k jednotnému uplatňování nařízení (EU) 2016/679 a směrnice (EU) 2016/680 v celé Unii, například poskytovat Komisi poradenství. Evropský inspektor ochrany údajů by měl současně i nadále vykonávat dozorovou a poradní funkci ve vztahu ke všem orgánům a subjektům Unie, z vlastního podnětu nebo na žádost. Aby byla zajištěna jednotnost pravidel pro ochranu údajů v Unii, měla by se Komise při přípravě návrhů nebo doporučení snažit konzultovat s evropským inspektorem ochrany údajů. Konzultace Komise by měla být povinná po přijetí legislativních aktů nebo během přípravy aktů v přenesené pravomoci a prováděcích aktů vymezených v článcích 289, 290 a 291 Smlouvy o fungování EU a po přijetí doporučení a návrhů týkajících se dohod s třetími zeměmi a mezinárodními organizacemi stanovených v článku 218 Smlouvy o fungování EU, které mají dopad na právo na ochranu osobních údajů. V takových případech by Komise měla povinně konzultovat s evropským inspektorem ochrany údajů s výjimkou případů, kdy nařízení (EU) 2016/679 stanoví povinnou konzultaci Evropského sboru pro ochranu údajů, například o rozhodnutích o odpovídající ochraně nebo aktech v přenesené pravomoci o standardizovaných ikonách a požadavcích na mechanismy pro vydávání osvědčení. Jestliže předmětný akt má zvláštní význam pro ochranu práva a svobod fyzických osob v souvislosti se zpracováním osobních údajů, měla by Komise mít navíc možnost rovněž konzultovat Evropský sbor pro ochranu osobních údajů. V takových případech by evropský inspektor ochrany údajů měl jakožto člen Evropského sboru pro ochranu údajů koordinovat svou práci s tímto subjektem s cílem vydat společné stanovisko. Evropský inspektor ochrany údajů a případně Evropský sbor pro ochranu údajů by měli poskytnout písemnou radu ve lhůtě osmi týdnů. Tato lhůta by měla být v naléhavých případech, nebo je-li to jinak vhodné, zkrácena, například pokud Komise připravuje akt v přenesené pravomoci nebo prováděcí akt.

(61)

V souladu s článkem 75 nařízení (EU) 2016/679 by měl evropský inspektor ochrany údajů zajišťovat služby sekretariátu pro Evropský sbor pro ochranu údajů.

(62)

Ve všech orgánech a subjektech Unie by měl pověřenec pro ochranu osobních údajů zajistit, aby se toto nařízení uplatňovalo, a měl by poskytovat poradenství správcům a zpracovatelům při plnění jejich povinností. Pověřencem by měla být osoba s potřebnou úrovní odborných znalostí o právu a praxi v oblasti ochrany údajů, což by se mělo určit zejména podle operací zpracování prováděných správcem nebo zpracovatelem a podle ochrany, která se vyžaduje pro dotčené osobní údaje. Tito pověřenci pro ochranu osobních údajů by měli moci plnit své povinnosti a úkoly nezávisle.

(63)

Pokud jsou osobní údaje předávány z orgánů a subjektů Unie správcům, zpracovatelům nebo jiným příjemcům ve třetích zemích nebo v mezinárodních organizacích, měla by být zaručena úroveň ochrany fyzických osob zajištěná v Unii tímto nařízením. Tytéž záruky by se měly uplatnit v případech dalšího předání osobních údajů ze třetí země nebo mezinárodní organizace správcům nebo zpracovatelům ve stejné nebo jiné třetí zemi nebo mezinárodní organizaci. V každém případě lze předání do třetích zemí a mezinárodním organizacím provést pouze za plného dodržování tohoto nařízení a dodržování práv a základních svobod zakotvených v Listině. K předání by mělo docházet pouze tehdy, pokud s výhradou ostatních ustanovení tohoto nařízení správce nebo zpracovatel splňují podmínky stanovené v tomto nařízení vztahující se na předávání osobních údajů do třetích zemí nebo mezinárodním organizacím.

(64)

Komise může rozhodnout podle článku 45 nařízení (EU) 2016/679 nebo podle článku 36 směrnice (EU) 2016/680, že určitá třetí země, určité území či konkrétní odvětví v určité třetí zemi nebo určitá mezinárodní organizace poskytují odpovídající úroveň ochrany údajů. V těchto případech orgán nebo subjekt Unie může předat osobní údaje do této země nebo této mezinárodní organizaci bez potřeby získat další povolení.

(65)

Jestliže neexistuje rozhodnutí o odpovídající ochraně, měl by správce nebo zpracovatel v zájmu odstranění nedostatků v oblasti ochrany údajů ve třetí zemi přijmout opatření, která subjektu údajů poskytnou vhodné záruky. Tyto vhodné záruky mohou spočívat ve využívání standardních doložek o ochraně údajů přijatých Komisí, standardních doložek o ochraně údajů přijatých evropským inspektorem ochrany údajů nebo smluvních doložek jím schválených. Pokud zpracovatel není orgánem nebo subjektem Unie, mohou tyto vhodné záruky sestávat rovněž ze závazných podnikových pravidel, kodexů chování a mechanismů pro vydávání osvědčení používaných pro mezinárodní předávání podle nařízení (EU) 2016/679. Tyto záruky by měly zajistit splnění požadavků na ochranu údajů a dodržení práv subjektů údajů v rozsahu odpovídajícím zpracování v Unii, včetně dostupnosti vymahatelných práv subjektu údajů a účinné právní ochrany, včetně práva na účinnou správní nebo soudní ochranu a na požadování náhrady škody v Unii nebo ve třetí zemi. Měly by se týkat zejména souladu s obecnými zásadami pro zpracování osobních údajů a zásad záměrné a standardní ochrany osobních údajů. Předání mohou být rovněž provedena ze strany orgánů a subjektů Unie orgánům veřejné moci nebo veřejným subjektům ve třetích zemích nebo mezinárodním organizacím s odpovídajícími povinnostmi nebo funkcemi, a to i na základě ustanovení, která mají být vložena do správních ujednání, jako je memorandum o porozumění, a která stanoví vymahatelná a účinná práva subjektů údajů. Povolení evropského inspektora ochrany údajů by mělo být obdrženo, jestliže jsou záruky stanoveny ve správních ujednáních.

(66)

Skutečnost, že správci a zpracovatelé mohou používat standardní doložky o ochraně údajů přijaté Komisí nebo evropským inspektorem ochrany údajů, by neměla správcům ani zpracovatelům bránit v tom, aby zahrnuli standardní doložky o ochraně údajů i do rozsáhlejších smluv, jako je smlouva mezi zpracovatelem a dalším zpracovatelem, nebo doplnili jiné doložky či další záruky, pokud tyto nejsou v přímém nebo nepřímém rozporu se standardními smluvními doložkami přijatými Komisí nebo evropským inspektorem ochrany údajů nebo pokud se nedotýkají základních práv či svobod subjektů údajů. Správci a zpracovatelé by měli být vybízeni k poskytování dalších záruk prostřednictvím smluvních závazků, které doplní standardní doložky o ochraně údajů.

(67)

Některé třetí země přijímají právní předpisy a jiné právní akty, které mají přímo upravovat činnosti zpracování orgány a subjekty Unie. Může se mimo jiné jednat o rozsudky soudů či rozhodnutí správních orgánů ve třetích zemích, v nichž se od správce nebo zpracovatele vyžaduje předání či zpřístupnění osobních údajů a které nejsou založeny na mezinárodních dohodách platných mezi danou třetí zemí a Unií. Extrateritoriální používání těchto právních předpisů a jiných právních aktů může být v rozporu s mezinárodním právem a znesnadnit zaručení ochrany fyzických osob zajištěné v Unii tímto nařízením. Předání údajů by mělo být přípustné jen tehdy, jsou-li splněny podmínky předání údajů do třetí země stanovené v tomto nařízení. Tak tomu může být mimo jiné v případě, kdy je zpřístupnění údajů nezbytné z důležitého důvodu veřejného zájmu, jenž je uznán v právu Unie.

(68)

Pro konkrétní situace by měla být stanovena možnost předat údaje za určitých okolností, pokud subjekt údajů udělil výslovný souhlas nebo pokud je předání příležitostné a nezbytné v souvislosti se smluvními či právními nároky, bez ohledu na to, zda probíhá v soudním řízení nebo ve správním či jakémkoli mimosoudním řízení, včetně řízení před regulačními orgány. Rovněž by měla být stanovena možnost předat údaje, pokud je to nutné z důležitých důvodů veřejného zájmu stanovených právem Unie nebo pokud je předání prováděno z rejstříku zřízeného na základě právních předpisů a určeného k nahlížení pro veřejnost nebo osoby s oprávněným zájmem. V tomto případě by se takové předání nemělo týkat všech osobních údajů ani celých kategorií osobních údajů obsažených v tomto rejstříku, není-li povoleno právem Unie, a pokud má být rejstřík přístupný osobám s oprávněným zájmem, mělo by být předání uskutečněno pouze na žádost těchto osob nebo pokud jsou tyto osoby jejich příjemci, přičemž je třeba plně zohlednit zájmy a základní práva subjektu údajů.

(69)

Tyto výjimky by se měly uplatnit zejména v případech, kdy je předání údajů vyžadováno a je nutné z důležitých důvodů veřejného zájmu, například v případech mezinárodní výměny údajů mezi orgány a subjekty Unie a orgány pro hospodářskou soutěž, daňovými či celními správami, orgány finančního dohledu, útvary příslušnými v oblasti sociálního zabezpečení nebo veřejného zdraví, například v případě vysledování kontaktů v souvislosti s nakažlivými chorobami nebo za účelem omezení nebo odstranění dopingu ve sportu. Předání osobních údajů by mělo být považováno za zákonné rovněž tehdy, pokud je nezbytné pro ochranu životně důležitého zájmu subjektu údajů nebo jiné osoby, včetně fyzické integrity nebo života, není-li subjekt údajů schopen udělit souhlas. V případě neexistence rozhodnutí o odpovídající ochraně může právo Unie z důležitých důvodů veřejného zájmu výslovně stanovit omezení předání konkrétních kategorií údajů do třetí země nebo mezinárodní organizaci. Jakékoliv předání osobních údajů subjektu údajů, který není fyzicky nebo právně způsobilý udělit souhlas s předáním, mezinárodní humanitární organizaci za účelem vykonání úkolu svěřeného na základě ženevských úmluv nebo uplatňování mezinárodního humanitárního práva použitelného v ozbrojených konfliktech by mohlo být považováno za nezbytné z důležitého důvodu veřejného zájmu nebo z důvodu životně důležitého zájmu subjektu údajů.

(70)

Pokud Komise nepřijala rozhodnutí o odpovídající úrovni ochrany údajů ve třetí zemi, správce nebo zpracovatel by měl v každém případě využít řešení, která subjektům údajů poskytnou vymahatelná a účinná práva, pokud jde o zpracování jejich osobních údajů v Unii po jejich předání, tak aby i nadále požívali základních práv a záruk.

(71)

Předání osobních údajů přes hranice mimo území Unie může fyzické osoby vystavit zvýšenému riziku, že nebudou moci uplatnit svá práva na ochranu osobních údajů, a zejména se chránit před protiprávním použitím nebo zpřístupněním těchto údajů. Zároveň se může stát, že vnitrostátní dozorové úřady ani evropský inspektor ochrany údajů nebudou schopni vyřizovat stížnosti nebo provádět šetření týkající se činností prováděných mimo jejich jurisdikci. Překážkou pro jejich úsilí o přeshraniční spolupráci mohou být také nedostatečné preventivní nebo nápravné pravomoci, rozdíly v právní úpravě a praktické překážky, například omezené zdroje. Proto je třeba podporovat užší spolupráci mezi evropským inspektorem ochrany údajů a vnitrostátními dozorovými úřady s cílem napomoci jim při výměně informací s příslušnými mezinárodními partnery.

(72)

Zásadním prvkem ochrany fyzických osob v souvislosti se zpracováním jejich osobních údajů je zřízení evropského inspektora ochrany údajů v nařízení (ES) č. 45/2001, který je zmocněn plnit své úkoly a vykonávat své pravomoci zcela nezávisle. Toto nařízení by mělo dále posílit a objasnit jeho roli a nezávislost. Evropský inspektor ochrany údajů by měl být osobou, o jejíž nezávislosti není pochybnost a jež prokázala zkušenosti a dovednosti potřebné k výkonu povinností evropského inspektora ochrany údajů, například protože působila v dozorových úřadech zřízených podle článku 51 nařízení (EU) 2016/679.

(73)

Aby se zajistilo jednotné monitorování a prosazování pravidel pro ochranu údajů v celé Unii, měl by mít evropský inspektor ochrany údajů tytéž úkoly a účinné pravomoci jako vnitrostátní dozorové úřady, včetně pravomocí provádět šetření, ukládat nápravná opatření a sankce, vydávat povolení a poskytovat poradenství, zejména v případech stížností fyzických osob, pravomocí upozorňovat Soudní dvůr na porušení tohoto nařízení a pravomocí účastnit se právních řízení v souladu s primárním právem. Mezi tyto pravomoci by měla rovněž patřit pravomoc vydávat dočasné nebo trvalé omezení zpracování, včetně jeho zákazu. Aby se zamezilo zbytečným nákladům a přílišným obtížím pro dotčené osoby, mělo by každé opatření evropského inspektora ochrany údajů být vhodné, nezbytné a přiměřené, aby byl zajištěn soulad s tímto nařízením, mělo by přihlížet k okolnostem každého jednotlivého případu a dodržovat právo všech osob být vyslechnuty dříve, než bude přijato jakékoliv individuální opatření. Každé právně závazné opatření evropského inspektora ochrany údajů by mělo mít písemnou formu, být jasné a jednoznačné, uvádět datum svého vydání, mělo by být opatřeno podpisem evropského inspektora ochrany údajů a obsahovat odůvodnění opatření a odkaz na právo na účinnou právní ochranu.

(74)

Pravomoc evropského inspektora ochrany údajů v oblasti dozoru by neměla zahrnovat zpracování osobních údajů Soudním dvorem, pokud jedná v rámci svých soudních pravomocí, aby byla zaručena nezávislost Soudního dvora při plnění soudních funkcí, včetně rozhodování. Pro tyto operace zpracování by Soudní dvůr měl určit nezávislý dozor v souladu s čl. 8 odst. 3 Listiny, například prostřednictvím vnitřního mechanismu.

(75)

Rozhodnutí evropského inspektora ochrany údajů o výjimkách, zárukách, povoleních a podmínkách týkajících se operací zpracování údajů, jak je vymezeno v tomto nařízení, se zveřejňují ve zprávě o činnosti. Nezávisle na zveřejnění výroční zprávy o činnosti může evropský inspektor ochrany údajů zveřejňovat zprávy o jednotlivých tématech.

(76)

Evropský inspektor ochrany údajů by měl dodržovat povinnosti vyplývající z nařízení (ES) č. 1049/2001 (9).

(77)

Vnitrostátní dozorové úřady sledují uplatňování nařízení (EU) 2016/679 a přispívají k jeho jednotnému uplatňování v celé Unii s cílem chránit fyzické osoby v souvislosti se zpracováním jejich osobních údajů a usnadnit volný pohyb osobních údajů v rámci vnitřního trhu. Aby se zajistila jednotnost při uplatňování pravidel ochrany údajů platných v členských státech a platných pro orgány a subjekty Unie, měl by evropský inspektor ochrany údajů účinně spolupracovat s vnitrostátními dozorovými úřady.

(78)

V některých případech právo Unie stanoví model koordinovaného dozoru sdíleného mezi evropským inspektorem ochrany údajů a vnitrostátními dozorovými úřady. Evropský inspektor ochrany údajů je rovněž dozorovým úřadem pro Europol a pro tyto účely byl vytvořen specifický model spolupráce s vnitrostátními dozorovými úřady prostřednictvím Rady spolupráce s poradní funkcí. Aby se zlepšil účinný dozor nad hmotnými pravidly ochrany údajů a jejich vymáhání, měl by být v Unii zaveden jeden soudržný model koordinovaného dozoru. Komise by proto měla případně předložit legislativní návrhy na změnu právních aktů Unie upravujících model koordinovaného dozoru, aby je sladila s modelem koordinovaného dozoru podle tohoto nařízení. Evropský sbor pro ochranu osobních údajů by měl být jediným fórem pro zajištění účinného koordinovaného dozoru ve všech oblastech.

(79)

Každý subjekt údajů by měl mít právo podat stížnost u evropského inspektora ochrany údajů, a právo na účinnou soudní ochranu u Soudního dvora v souladu se Smlouvami, jestliže se domnívá, že byla porušena jeho práva podle tohoto nařízení, nebo pokud evropský inspektor ochrany údajů na stížnost nereaguje, stížnost zcela či částečně odmítne či zamítne, nebo pokud nekoná, přestože je to nutné z důvodu ochrany práv subjektu údajů. Šetření, které následuje po podání stížnosti, by mělo být s výhradou soudního přezkumu provedeno v rozsahu, jenž je v daném případě přiměřený. Evropský inspektor ochrany údajů by měl subjekt údajů v přiměřené lhůtě informovat o pokroku v řešení stížnosti a o jeho výsledku. Je-li v dané věci zapotřebí další koordinace s vnitrostátním dozorovým úřadem, měl by být subjekt údajů informován průběžně. S cílem usnadnit podávání stížností by měl evropský inspektor ochrany údajů přijmout určitá opatření, například poskytnout formulář pro podání stížnosti, který lze vyplnit i elektronicky, aniž by byly vyloučeny další komunikační prostředky.

(80)

Kdokoli, kdo v důsledku porušení tohoto nařízení utrpěl hmotnou či nehmotnou újmu, by měl mít právo obdržet od správce nebo zpracovatele náhradu utrpěné újmy za podmínek stanovených ve Smlouvách.

(81)

Aby se posílila dozorová role evropského inspektora ochrany údajů a účinné prosazování tohoto nařízení, měl by evropský inspektor ochrany údajů mít pravomoc ukládat v krajních případech jako sankci správní pokuty. Cílem pokut by mělo být potrestat orgán nebo subjekt Unie – spíše nežli jednotlivce – za nedodržení tohoto nařízení, odrazovat od porušování tohoto nařízení a podporovat kulturu ochrany osobních údajů v orgánech a subjektech Unie. Toto nařízení by mělo stanovit porušení postižitelná správní pokutou, jakož i horní hranice a kritéria pro stanovení souvisejících pokut. V každém jednotlivém případě by měl výši pokuty určit evropský inspektor ochrany údajů při zohlednění všech příslušných okolností konkrétní situace s náležitým přihlédnutím k povaze, závažnosti a době trvání tohoto porušení, k jeho důsledkům a opatřením přijatým v zájmu zajištění souladu s povinnostmi vyplývajícími z tohoto nařízení a v zájmu prevence či zmírnění důsledků tohoto porušení. Při ukládání správní pokuty orgánu nebo subjektu Unie by měl evropský inspektor ochrany údajů zvážit přiměřenost výše pokuty. Správní řízení o uložení pokut orgánům a subjektům Unie by mělo dodržovat obecné zásady práva Unie, jak jsou vykládány Soudním dvorem.

(82)

Pokud se subjekt údajů domnívá, že jeho práva podle tohoto nařízení byla porušena, měl by být oprávněn pověřit neziskový subjekt, organizaci nebo sdružení, jež jsou založeny v souladu s právem Unie nebo právem členského státu, jejichž statutární cíle jsou ve veřejném zájmu a jež působí v oblasti ochrany osobních údajů, aby jeho jménem podaly stížnost u evropského inspektora ochrany údajů. Takový subjekt, organizace nebo sdružení by rovněž měly mít možnost jménem subjektu údajů uplatnit právo na soudní ochranu nebo právo na náhradu újmy.

(83)

Úředník nebo jiný zaměstnanec Unie, který poruší povinnosti stanovené tímto nařízením, by měl podléhat disciplinárním nebo jiným úkonům v souladu s pravidly a postupy stanovenými ve služebním řádu úředníků Evropské unie a v pracovním řádu ostatních zaměstnanců Unie, stanovených v nařízení Rady (EHS, Euratom, ESUO) č. 259/68 (10) (dále jen „služební řád“).

(84)

Za účelem zajištění jednotných podmínek k provedení tohoto nařízení by měly být Komisi svěřeny prováděcí pravomoci. Tyto pravomoci by měly být vykonávány v souladu s nařízením Evropského parlamentu a Rady (EU) č. 182/2011 (11). Přezkumný postup by se měl použít pro přijetí standardních smluvních doložek mezi správci a zpracovateli a mezi zpracovateli navzájem, pro přijetí seznamu operací zpracování údajů vyžadujících, aby správci zpracovávající osobní údaje pro vykonání úkolu ve veřejném zájmu předem konzultovali evropského inspektora ochrany údajů, a pro přijetí standardních smluvních doložek stanovujících vhodné záruky pro mezinárodní předávání.

(85)

Důvěrné informace, které statistické orgány Unie a členských států shromažďují za účelem vypracovávání úředních evropských a vnitrostátních statistik, by měly být chráněny. Evropské statistiky by měly být sestavovány, vypracovávány a šířeny v souladu se statistickými zásadami stanovenými v čl. 338 odst. 2 Smlouvy o fungování EU. Další upřesnění o statistické důvěrnosti evropské statistiky poskytuje nařízení Evropského parlamentu a Rady (ES) č. 223/2009 (12).

(86)

Nařízení (ES) č. 45/2001 a rozhodnutí Evropského parlamentu, Rady a Komise č. 1247/2002/ES (13) by měla být zrušena. Odkazy na zrušené nařízení a rozhodnutí by se měly považovat za odkazy na toto nařízení.

(87)

Aby byla zaručena úplná nezávislost členů nezávislého dozorového úřadu, nemělo by být tímto nařízením dotčeno funkční období stávajícího evropského inspektora ochrany údajů a stávajícího zástupce inspektora. Stávající zástupce inspektora by měl zůstat ve funkci do konce svého funkčního období, nenaplní-li se jedna z podmínek pro předčasné skončení funkčního období evropského inspektora ochrany údajů stanovená v tomto nařízení. Příslušná ustanovení tohoto nařízení by se měla vztahovat na zástupce inspektora do konce jeho funkčního období.

(88)

V souladu se zásadou proporcionality je pro dosažení základního cíle zajištění přiměřené úrovně ochrany fyzických osob ve vztahu ke zpracování osobních údajů a volného pohybu osobních údajů v Unii nezbytné a vhodné stanovit pravidla pro zpracování osobních údajů orgány a subjekty Unie. Toto nařízení nepřekračuje rámec toho, co je pro dosažení sledovaných cílů nezbytné, v souladu s čl. 5 odst. 4 Smlouvy o EU.

(89)

V souladu s čl. 28 odst. 2 nařízení (ES) č. 45/2001 byl konzultován evropský inspektor ochrany údajů, který vydal své stanovisko dne 15. března 2017 (14),

PŘIJALY TOTO NAŘÍZENÍ:

KAPITOLA I

OBECNÁ USTANOVENÍ

Článek 1

Předmět a cíle

1.   Toto nařízení stanoví pravidla týkající se ochrany fyzických osob v souvislosti se zpracováním osobních údajů orgány a subjekty Unie a pravidla týkající se volného pohybu osobních údajů mezi nimi navzájem nebo mezi nimi a jinými příjemci, kteří jsou usazeni v Unii.

2.   Toto nařízení chrání základní práva a svobody fyzických osob, a zejména jejich právo na ochranu osobních údajů.

3.   Evropský inspektor ochrany údajů monitoruje uplatňování tohoto nařízení na všechny operace zpracování prováděné orgánem nebo subjektem Unie.

Článek 2

Oblast působnosti

1.   Toto nařízení se vztahuje na zpracování osobních údajů všemi orgány a subjekty Unie.

2.   Na zpracovávání operativních osobních údajů institucemi a jinými subjekty Unie při výkonu činností, které spadají do oblasti působnosti části třetí hlavy V kapitoly 4 nebo 5 Smlouvy o fungování EU, se vztahují pouze článek 3 a kapitola IX tohoto nařízení.

3.   Toto nařízení se nevztahuje na zpracovávání operativních osobních údajů Europolem a Úřadem evropského veřejného žalobce, dokud nebudou nařízení Evropského parlamentu a Rady (EU) 2016/794 (15) a nařízení Rady (EU) 2017/1939 (16) upravena v souladu s článkem 98 tohoto nařízení.

4.   Toto nařízení se nevztahuje na zpracování osobních údajů misemi uvedenými v čl. 42 odst. 1 a v článcích 43 a 44 Smlouvy o EU.

5.   Toto nařízení se vztahuje na zcela nebo částečně automatizované zpracování osobních údajů a na neautomatizované zpracování těch osobních údajů, které jsou obsaženy v evidenci nebo do ní mají být zařazeny.

Článek 3

Definice

Pro účely tohoto nařízení se rozumí:

1)

„osobními údaji“ veškeré informace o identifikované nebo identifikovatelné fyzické osobě (dále jen „subjekt údajů“); identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby;

2)

„operativními osobními údaji“ veškeré osobní údaje zpracovávané institucemi a jinými subjekty Unie při výkonu činností, které spadají do oblasti působnosti části třetí hlavy V kapitoly 4 nebo 5 Smlouvy o fungování EU, za účelem splnění cílů a úkolů stanovených v právních aktech, kterými se tyto instituce nebo jiné subjekty zřizují;

3)

„zpracováním“ jakákoliv operace nebo soubor operací, které jsou prováděny s osobními údaji nebo soubory osobních údajů pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení;

4)

„omezením zpracování“ označení uložených osobních údajů za účelem omezení jejich zpracování v budoucnu;

5)

„profilováním“ jakákoli forma automatizovaného zpracování osobních údajů spočívající v jejich použití k hodnocení některých osobních aspektů vztahujících se k fyzické osobě, zejména k rozboru nebo odhadu aspektů týkajících se jejího pracovního výkonu, ekonomické situace, zdravotního stavu, osobních preferencí, zájmů, spolehlivosti, chování, místa, kde se nachází, nebo pohybu;

6)

„pseudonymizací“ zpracování osobních údajů tak, že již nemohou být přiřazeny konkrétnímu subjektu údajů bez použití dodatečných informací, pokud jsou tyto dodatečné informace uchovávány odděleně a vztahují se na ně technická a organizační opatření, aby bylo zajištěno, že nebudou přiřazeny identifikované či identifikovatelné fyzické osobě;

7)

„evidencí“ jakýkoli strukturovaný soubor osobních údajů přístupných podle zvláštních kritérií, ať již je centralizovaný, decentralizovaný, nebo rozdělený podle funkčního či zeměpisného hlediska;

8)

„správcem“ orgán nebo subjekt Unie nebo generální ředitelství či jakýkoli jiný organizační celek, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů; jsou-li účely a prostředky tohoto zpracování určeny zvláštním aktem Unie, může správce nebo zvláštní kritéria pro jeho určení stanovit právo Unie;

9)

„správci jinými než orgány a subjekty Unie“ správci ve smyslu čl. 4 bodu 7 nařízení (EU) 2016/679 a správci ve smyslu čl. 3 bodu 8 směrnice (EU) 2016/680;

10)

„orgány a subjekty Unie“ orgány, instituce a jiné subjekty Unie zřízené Smlouvou o EU, Smlouvou o fungování EU nebo Smlouvou o Euratomu nebo na základě těchto smluv;

11)

„příslušným orgánem“ jakýkoli orgán veřejné moci členského státu příslušný k prevenci, vyšetřování, odhalování či stíhání trestných činů či výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení;

12)

„zpracovatelem“ fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje za správce;

13)

„příjemcem“ fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, kterým jsou osobní údaje zpřístupněny, ať už se jedná o třetí stranu, či nikoli. Avšak orgány veřejné moci, které mohou získávat osobní údaje v rámci zvláštního šetření v souladu s právem Unie nebo členského státu, se za příjemce nepovažují; zpracování těchto osobních údajů těmito orgány veřejné moci musí být v souladu s použitelnými pravidly ochrany údajů pro dané účely zpracování;

14)

„třetí stranou“ fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který není subjektem údajů, správcem, zpracovatelem ani osobou přímo podléhající správci nebo zpracovateli a oprávněnou ke zpracování osobních údajů;

15)

„souhlasem“ subjektu údajů jakýkoli svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů;

16)

„porušením zabezpečení osobních údajů“ porušení zabezpečení, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění přenášených, uložených nebo jinak zpracovávaných osobních údajů;

17)

„genetickými údaji“ osobní údaje týkající se zděděných nebo získaných genetických znaků fyzické osoby, které poskytují jedinečné informace o její fyziologii či zdraví a které vyplývají zejména z analýzy biologického vzorku dotčené fyzické osoby;

18)

„biometrickými údaji“ osobní údaje vyplývající z konkrétního technického zpracování týkající se fyzických či fyziologických znaků nebo znaků chování fyzické osoby, které umožňuje nebo potvrzuje jedinečnou identifikaci, například zobrazení obličeje nebo daktyloskopické údaje;

19)

„údaji o zdravotním stavu“ osobní údaje týkající se tělesného nebo duševního zdraví fyzické osoby, včetně údajů o poskytnutí zdravotních služeb, které vypovídají o jejím zdravotním stavu;

20)

„službou informační společnosti“ služba ve smyslu čl. 1 odst. 1 písm. b) směrnice Evropského parlamentu a Rady (EU) 2015/1535 (17);

21)

„mezinárodní organizací“ organizace a jí podřízené subjekty podléhající mezinárodnímu právu veřejnému nebo jiný subjekt zřízený dohodou mezi dvěma nebo více zeměmi nebo na jejím základě;

22)

„vnitrostátním dozorovým úřadem“ nezávislý orgán veřejné moci zřízený členským státem podle článku 51 nařízení (EU) 2016/679 nebo podle článku 41 směrnice (EU) 2016/680;

23)

„uživatelem“ jakákoliv fyzická osoba používající síť nebo koncové zařízení provozované pod kontrolou orgánu nebo subjektu Unie;

24)

„seznamem“ veřejně dostupný seznam uživatelů nebo interní seznam uživatelů dostupný uvnitř orgánu nebo subjektu Unie nebo sdílený mezi orgány a subjekty Unie v tištěné či elektronické formě;

25)

„sítí elektronických komunikací“ přenosový systém bez ohledu na to, zda využívá trvalou infrastrukturu nebo centralizovanou kapacitu veřejné správy, a případně spojovací nebo směrovací zařízení a jiné prostředky, včetně neaktivních síťových prvků, které umožňují přenos signálů po vedení, rádiovými, optickými nebo jinými elektromagnetickými prostředky, včetně družicových sítí, pevných (okruhově a paketově komutovaných, včetně internetu) a mobilních pozemních sítí, sítí pro rozvod elektrické energie, pokud jsou používány pro přenos signálů, sítí pro rozhlasové a televizní vysílání a sítí kabelové televize, přičemž nezáleží na typu přenášených informací;

26)

„koncovým zařízením“ koncové zařízení ve smyslu čl. 1 bodu 1 směrnice Komise 2008/63/ES (18).

KAPITOLA II

OBECNÉ ZÁSADY

Článek 4

Zásady zpracování osobních údajů

1.   Osobní údaje musí být:

a)

ve vztahu k subjektu údajů zpracovávány korektně a zákonným a transparentním způsobem („zákonnost, korektnost a transparentnost“);

b)

shromažďovány pro určité, výslovně vyjádřené a legitimní účely a nesmějí být dále zpracovávány způsobem, který je s těmito účely neslučitelný; další zpracování pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely se podle článku 13 nepovažuje za neslučitelné s původními účely („účelové omezení“);

c)

přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu, pro který jsou zpracovávány („minimalizace údajů“);

d)

přesné a v případě potřeby průběžně aktualizované; musí být přijata veškerá rozumná opatření, aby osobní údaje, které jsou nepřesné s přihlédnutím k účelům, pro které se zpracovávají, byly bezodkladně vymazány nebo opraveny („přesnost“);

e)

uchovávány ve formě umožňující identifikaci subjektů údajů po dobu ne delší, než je nezbytné pro účely, pro které jsou zpracovávány; osobní údaje lze uložit po delší dobu, pokud se zpracovávají výhradně pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely podle článku 13, a to za předpokladu provedení příslušných technických a organizačních opatření požadovaných tímto nařízením s cílem zaručit práva a svobody subjektu údajů („omezení uložení“);

f)

zpracovávány způsobem, který zajistí náležité zabezpečení osobních údajů, včetně jejich ochrany pomocí vhodných technických nebo organizačních opatření před neoprávněným či protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením („integrita a důvěrnost“).

2.   Správce odpovídá za dodržení odstavce 1 a musí být schopen toto dodržení souladu doložit („odpovědnost“).

Článek 5

Zákonnost zpracování

1.   Zpracování je zákonné, pouze pokud je splněna nejméně jedna z těchto podmínek a pouze v odpovídajícím rozsahu:

a)

zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je orgán nebo subjekt Unie pověřen;

b)

zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje;

c)

zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro přijetí opatření na žádost tohoto subjektu údajů před uzavřením smlouvy;

d)

subjekt údajů udělil souhlas se zpracováním svých osobních údajů pro jeden či více konkrétních účelů;

e)

zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby.

2.   Základ pro zpracování podle odst. 1 písm. a) a b) musí být stanoven právem Unie.

Článek 6

Zpracování pro jiný slučitelný účel

Pokud zpracování pro jiný účel, než pro který byly osobní údaje shromážděny, není založeno na souhlasu subjektu údajů nebo na právu Unie, který v demokratické společnosti představuje nutné a přiměřené opatření k zajištění cílů uvedených v čl. 25 odst. 1, zohlední správce v zájmu zjištění toho, zda je zpracování pro jiný účel slučitelné s účely, pro něž byly osobní údaje původně shromážděny, mimo jiné:

a)

jakoukoli vazbu mezi účely, pro které byly osobní údaje shromážděny, a účely zamýšleného dalšího zpracování;

b)

okolnosti, za nichž byly osobní údaje shromážděny, zejména pokud jde o vztah mezi subjekty údajů a správcem;

c)

povahu osobních údajů, zejména zda jsou zpracovávány zvláštní kategorie osobních údajů podle článku 10 nebo zda jsou zpracovávány osobní údaje týkající se odsouzení v trestních věcech a trestných činů podle článku 11;

d)

možné důsledky zamýšleného dalšího zpracování pro subjekty údajů;

e)

existenci vhodných záruk, mezi něž může patřit šifrování nebo pseudonymizace.

Článek 7

Podmínky udělení souhlasu

1.   Pokud je zpracování založeno na souhlasu, musí být správce schopen doložit, že subjekt údajů udělil souhlas se zpracováním svých osobních údajů.

2.   Pokud je souhlas subjektu údajů udělen písemným prohlášením, které se týká rovněž jiných skutečností, musí být žádost o vyjádření souhlasu předložena způsobem, který je od těchto jiných skutečností jasně odlišitelný a je srozumitelný a snadno přístupný za použití jasných a jednoduchých jazykových prostředků. Jakákoli část tohoto prohlášení, která představuje porušení tohoto nařízení, není závazná.

3.   Subjekt údajů má právo svůj souhlas kdykoli odvolat. Odvoláním souhlasu není dotčena zákonnost zpracování provedeného na základě souhlasu před jeho odvoláním. Před udělením souhlasu o tom musí být subjekt údajů informován. Odvolat souhlas musí být stejně snadné jako jej udělit.

4.   Při posuzování toho, zda je souhlas svobodný, musí být důsledně zohledněna skutečnost, zda je mimo jiné plnění smlouvy, včetně poskytnutí služby, podmíněno souhlasem se zpracováním osobních údajů, které není pro plnění dané smlouvy nutné.

Článek 8

Podmínky použitelné na souhlas dítěte v souvislosti se službami informační společnosti

1.   Pokud se použije čl. 5 odst. 1 písm. d) v souvislosti s nabídkou služeb informační společnosti přímo dítěti, je zpracování osobních údajů dítěte zákonné, je-li dítě ve věku nejméně 13 let. Je-li dítě mladší 13 let, je takové zpracování zákonné pouze tehdy a do té míry, pokud byl tento souhlas udělen nebo schválen osobou, která vykonává rodičovskou zodpovědnost k dítěti.

2.   Správce vyvine přiměřené úsilí s ohledem na dostupnou technologii, aby v takovýchto případech ověřil, že byl souhlas udělen nebo schválen osobou, která vykonává rodičovskou zodpovědnost k dítěti.

3.   Odstavcem 1 není dotčeno obecné smluvní právo členských států, například pravidla týkající se platnosti, uzavírání nebo účinků smlouvy vzhledem k dítěti.

Článek 9

Předávání osobních údajů jiným příjemcům usazeným v Unii, než jsou orgány a subjekty Unie

1.   Aniž jsou dotčeny články 4, 5, 6 a 10, lze osobní údaje předávat jiným příjemcům usazeným v Unii, než jsou orgány a subjekty Unie, pouze pokud:

a)

příjemce shledá, že údaje jsou nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je příjemce pověřen, nebo

b)

příjemce shledá, že předání údajů je nezbytné pro konkrétní účel ve veřejném zájmu, a správce v případě, že je důvod se domnívat, že mohou být poškozeny oprávněné zájmy subjektu údajů, shledá poté, co prokazatelně zváží různé protichůdné zájmy, že je přiměřené tyto osobní údaje pro tento konkrétní účel předat.

2.   Pokud podnět k předání údajů podle tohoto článku učiní správce, musí za použití kritérií stanovených v odst. 1 písm. a) nebo b) prokázat, že předání osobních údajů je nezbytné a přiměřené účelům předání.

3.   Orgány a subjekty Unie uvedou právo na ochranu osobních údajů do souladu s právem na přístup k dokumentům v souladu s právem Unie.

Článek 10

Zpracování zvláštních kategorií osobních údajů

1.   Zakazuje se zpracování osobních údajů, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, a zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace fyzické osoby a údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby.

2.   Odstavec 1 se nepoužije, pokud jde o některý z těchto případů:

a)

subjekt údajů udělil výslovný souhlas se zpracováním těchto osobních údajů pro jeden nebo více stanovených účelů, s výjimkou případů, kdy právo Unie stanoví, že zákaz uvedený v odstavci 1 nemůže být subjektem údajů zrušen;

b)

zpracování je nezbytné pro účely plnění povinností a výkon zvláštních práv správce nebo subjektu údajů v oblasti pracovního práva a práva v oblasti sociálního zabezpečení a sociální ochrany, pokud je povoleno právem Unie poskytujícím vhodné záruky základních práv a zájmů subjektu údajů;

c)

zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné osoby v případě, že subjekt údajů není fyzicky nebo právně způsobilý udělit souhlas;

d)

zpracování provádí v rámci svých oprávněných činností a s vhodnými zárukami neziskový subjekt integrovaný do orgánu nebo subjektu Unie, který sleduje politické, filozofické, náboženské nebo odborové cíle, a za podmínky, že se zpracování vztahuje pouze na současné nebo bývalé členy tohoto subjektu nebo na osoby, které s ním udržují pravidelné styky související s jeho cíli, a že tyto údaje nejsou bez souhlasu subjektu údajů zpřístupňovány mimo tento subjekt;

e)

zpracování se týká osobních údajů zjevně zveřejněných subjektem údajů;

f)

zpracování je nezbytné pro určení, výkon nebo obhajobu právních nároků, nebo pokud Soudní dvůr jedná v rámci svých soudních pravomocí;

g)

zpracování je nezbytné z důvodu významného veřejného zájmu na základě práva Unie, které je přiměřené sledovanému cíli, dodržuje podstatu práva na ochranu údajů a poskytuje vhodné a konkrétní záruky základních práv a zájmů subjektu údajů;

h)

zpracování je nezbytné pro účely preventivního nebo pracovního lékařství, pro posouzení pracovní schopnosti zaměstnance, lékařské diagnostiky, poskytování zdravotní nebo sociální péče či léčby nebo řízení systémů a služeb zdravotní nebo sociální péče na základě práva Unie nebo podle smlouvy se zdravotnickým pracovníkem a při splnění podmínek a záruk uvedených v odstavci 3;

i)

zpracování je nezbytné z důvodů veřejného zájmu v oblasti veřejného zdraví, jako je ochrana před vážnými přeshraničními zdravotními hrozbami nebo zajištění přísných norem kvality a bezpečnosti zdravotní péče a léčivých přípravků nebo zdravotnických prostředků, na základě práva Unie, které poskytuje vhodné a konkrétní práv a svobod subjektu údajů, zejména služebního tajemství;

j)

zpracování je nezbytné pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely na základě práva Unie, které je přiměřené sledovanému cíli, dodržuje podstatu práva na ochranu údajů a poskytuje vhodné a konkrétní záruky základních práv a zájmů subjektu údajů.

3.   Osobní údaje uvedené v odstavci 1 mohou být zpracovávány pro účely uvedené v odst. 2 písm. h), jsou-li tyto údaje zpracovány pracovníkem vázaným služebním tajemstvím podle práva Unie nebo členského státu či pravidel stanovených příslušnými vnitrostátními orgány nebo na jeho odpovědnost, nebo jinou osobou, na niž se rovněž vztahuje povinnost mlčenlivosti podle práva Unie nebo členského státu či pravidel stanovených příslušnými vnitrostátními orgány.

Článek 11

Zpracování osobních údajů týkajících se odsouzení v trestních věcech a trestných činů

Zpracování osobních údajů týkajících se odsouzení v trestních věcech a trestných činů či souvisejících bezpečnostních opatření na základě čl. 5 odst. 1 se provádí pouze pod dozorem orgánu veřejné moci, nebo pokud je povoleno právem Unie poskytujícím vhodné záruky práv a svobod subjektů údajů.

Článek 12

Zpracování, které nevyžaduje identifikaci

1.   Pokud účely, pro něž správce zpracovává osobní údaje, od správce nevyžadují nebo již nevyžadují identifikaci subjektu údajů, nemá správce povinnost uchovávat, získávat nebo zpracovávat dodatečné informace za účelem identifikace subjektu údajů výlučně kvůli dosažení souladu s tímto nařízením.

2.   Je-li v případech uvedených v odstavci 1 tohoto článku správce s to doložit, že není schopen identifikovat subjekt údajů, informuje o této skutečnosti subjekt údajů, pokud je to možné. V takovýchto případech se neuplatní články 17 až 22, s výjimkou případů, kdy subjekt údajů za účelem výkonu svých práv podle uvedených článků poskytne dodatečné informace umožňující jeho identifikaci.

Článek 13

Záruky týkající se zpracování pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely

Zpracování pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely podléhá v souladu s tímto nařízením vhodným zárukám práv a svobod subjektu údajů. Tyto záruky zajistí, aby byla zavedena technická a organizační opatření, zejména s cílem zajistit dodržování zásady minimalizace údajů. Tato opatření mohou zahrnovat pseudonymizaci za podmínky, že lze tímto způsobem splnit sledované účely. Pokud mohou být sledované účely splněny dalším zpracováním, které neumožňuje nebo které přestane umožňovat identifikaci subjektů údajů, musí být tyto účely splněny tímto způsobem.

KAPITOLA III

PRÁVA SUBJEKTŮ ÚDAJŮ

ODDÍL 1

Transparentnost a postupy

Článek 14

Transparentní informace, sdělení a postupy pro výkon práv subjektu údajů

1.   Správce přijme vhodná opatření, aby poskytl subjektu údajů stručným, transparentním, srozumitelným a snadno přístupným způsobem za použití jasných a jednoduchých jazykových prostředků veškeré informace uvedené v článcích 15 a 16 a učinil veškerá sdělení podle článků 17 až 24 a 35 o zpracování, zejména pokud se jedná o informace určené konkrétně dítěti. Informace poskytne písemně nebo jinými prostředky, včetně ve vhodných případech v elektronické formě. Pokud si to subjekt údajů vyžádá, mohou být informace poskytnuty ústně, a to za předpokladu, že totožnost subjektu údajů je prokázána jinými způsoby.

2.   Správce usnadňuje výkon práv subjektu údajů podle článků 17 až 24. V případech uvedených v čl. 12 odst. 2 správce neodmítne vyhovět žádosti subjektu údajů za účelem výkonu jeho práv podle článků 17 až 24, ledaže doloží, že nemůže zjistit totožnost subjektu údajů.

3.   Správce poskytne subjektu údajů informace o opatřeních přijatých na žádost podle článků 17 až 24, a to bez zbytečného odkladu a v každém případě do jednoho měsíce od obdržení žádosti. Tuto lhůtu je možné v případě potřeby a s ohledem na složitost a počet žádostí prodloužit o další dva měsíce. Správce informuje subjekt údajů o jakémkoliv takovém prodloužení do jednoho měsíce od obdržení žádosti spolu s důvody pro tento odklad. Jestliže subjekt údajů podává žádost v elektronické formě, poskytnou se informace v elektronické formě, je-li to možné, pokud subjekt údajů nepožádá o jiný způsob.

4.   Pokud správce nepřijme opatření, o něž subjekt údajů požádal, informuje bezodkladně a nejpozději do jednoho měsíce od přijetí žádosti subjekt údajů o důvodech nepřijetí opatření a o možnosti podat stížnost u evropského inspektora ochrany údajů a žádat o soudní ochranu.

5.   Informace podle článků 15 a 16 a veškerá sdělení a veškerá opatření podle článků 17 až 24 a 35 se poskytují a činí bezplatně. Jsou-li žádosti podané subjektem údajů zjevně nedůvodné nebo nepřiměřené, zejména protože se opakují, může správce odmítnout žádosti vyhovět. Zjevnou nedůvodnost nebo nepřiměřenost žádosti dokládá správce.

6.   Aniž je dotčen článek 12, pokud má správce důvodné pochybnosti o totožnosti fyzické osoby, která podává žádost podle článků 17 až 23, může požádat o poskytnutí dodatečných informací nezbytných k potvrzení totožnosti subjektu údajů.

7.   Informace, které mají být subjektům údajů poskytnuty podle článků 15 a 16, mohou být doplněny standardizovanými ikonami s cílem poskytnout snadno viditelným, srozumitelným a jasným způsobem přehled o zamýšleném zpracování. Pokud jsou ikony prezentovány v elektronické formě, musí být strojově čitelné.

8.   Pokud Komise přijme akty v přenesené pravomoci v souladu s čl. 12 odst. 8 nařízení (EU) 2016/679 určující informace, které mají být sděleny pomocí ikon, a postupů pro poskytování standardizovaných ikon, poskytnou orgány a subjekty Unie tam, kde je to vhodné, informace podle článků 15 a 16 tohoto nařízení doplněné takovými standardizovanými ikonami.

ODDÍL 2

Informace a přístup k osobním údajům

Článek 15

Informace poskytované v případě, že osobní údaje jsou získány od subjektu údajů

1.   Pokud se osobní údaje týkající se subjektu údajů získávají od subjektu údajů, poskytne správce v okamžiku získání osobních údajů subjektu údajů tyto informace:

a)

totožnost a kontaktní údaje správce;

b)

kontaktní údaje pověřence pro ochranu osobních údajů;

c)

účely zpracování, pro které jsou osobní údaje určeny, a právní základ pro zpracování;

d)

případné příjemce nebo kategorie příjemců osobních údajů;

e)

případný úmysl správce předat osobní údaje do třetí země nebo mezinárodní organizaci a existence či neexistence rozhodnutí Komise o odpovídající ochraně nebo, v případech předávání uvedeného v článku 48, odkaz na vhodné záruky a prostředky k získání kopie těchto údajů nebo informace o tom, kde byly tyto údaje zpřístupněny.

2.   Vedle informací uvedených v odstavci 1 poskytne správce subjektu údajů v okamžiku získání osobních údajů tyto další informace nezbytné pro zajištění korektního a transparentního zpracování:

a)

doba, po kterou budou osobní údaje uloženy, nebo není-li ji možné určit, kritéria použitá pro stanovení této doby;

b)

existence práva požadovat od správce přístup k osobním údajům týkajícím se subjektu údajů, jejich opravu či výmaz nebo omezení zpracování, nebo případného práva vznést námitku proti zpracování, jakož i práva na přenositelnost údajů;

c)

pokud je zpracování založeno na čl. 5 odst. 1 písm. d) nebo čl. 10 odst. 2 písm. a), existence práva odvolat kdykoli souhlas, aniž je tím dotčena zákonnost zpracování provedeného na základě souhlasu před jeho odvoláním;

d)

existence práva podat stížnost u evropského inspektora ochrany údajů;

e)

skutečnost, zda poskytování osobních údajů je zákonným či smluvním požadavkem, nebo požadavkem, který je nutný pro uzavření smlouvy, a zda má subjekt údajů povinnost osobní údaje poskytnout, jakož i možné důsledky neposkytnutí těchto údajů;

f)

skutečnost, že dochází k automatizovanému rozhodování, včetně profilování, uvedenému v čl. 24 odst. 1 a 4, a přinejmenším v těchto případech smysluplné informace týkající se použitého postupu, jakož i významu a předpokládaných důsledků takového zpracování pro subjekt údajů.

3.   Pokud správce hodlá osobní údaje dále zpracovávat pro jiný účel, než je účel, pro který byly shromážděny, poskytne subjektu údajů ještě před uvedeným dalším zpracováním informace o tomto jiném účelu a příslušné další informace uvedené v odstavci 2.

4.   Odstavce 1, 2 a 3 se nepoužijí, pokud subjekt údajů již uvedené informace má, a do té míry, v níž je má.

Článek 16

Informace poskytované v případě, že osobní údaje nebyly získány od subjektu údajů

1.   Jestliže osobní údaje nebyly získány od subjektu údajů, poskytne správce subjektu údajů tyto informace:

a)

totožnost a kontaktní údaje správce;

b)

kontaktní údaje pověřence pro ochranu osobních údajů;

c)

účely zpracování, pro které jsou osobní údaje určeny, a právní základ pro zpracování;

d)

kategorie dotčených osobních údajů;

e)

případné příjemce nebo kategorie příjemců osobních údajů;

f)

případný záměr správce předat osobní údaje příjemci ve třetí zemi nebo mezinárodní organizaci a existence či neexistence rozhodnutí Komise o odpovídající ochraně nebo, v případech předávání uvedeného v článku 48, odkaz na vhodné záruky a prostředky k získání kopie těchto údajů nebo informace o tom, kde byly tyto údaje zpřístupněny.

2.   Vedle informací uvedených v odstavci 1 poskytne správce subjektu údajů tyto další informace nezbytné pro zajištění korektního a transparentního zpracování ve vztahu k subjektu údajů:

a)

doba, po kterou budou osobní údaje uloženy, nebo není-li ji možné určit, kritéria použitá pro stanovení této doby;

b)

existence práva požadovat od správce přístup k osobním údajům týkajícím se subjektu údajů, jejich opravu či výmaz nebo omezení zpracování, nebo případného práva vznést námitku proti zpracování, jakož i práva na přenositelnost údajů;

c)

pokud je zpracování založeno na čl. 5 odst. 1 písm. d) nebo čl. 10 odst. 2 písm. a), existence práva odvolat kdykoli souhlas, aniž je tím dotčena zákonnost zpracování provedeného na základě souhlasu před jeho odvoláním;

d)

existence práva podat stížnost u evropského inspektora ochrany údajů;

e)

zdroj, ze kterého osobní údaje pocházejí, a případně informace o tom, zda údaje pocházejí z veřejně dostupných zdrojů;

f)

skutečnost, že dochází k automatizovanému rozhodování, včetně profilování, uvedenému v čl. 24 odst. 1 a 4, a přinejmenším v těchto případech smysluplné informace týkající se použitého postupu, jakož i významu a předpokládaných důsledků takového zpracování pro subjekt údajů.

3.   Správce poskytne informace uvedené v odstavcích 1 a 2:

a)

v přiměřené lhůtě po získání osobních údajů, ale nejpozději do jednoho měsíce, s ohledem na konkrétní okolnosti, za nichž jsou osobní údaje zpracovávány;

b)

nejpozději v okamžiku prvního sdělení danému subjektu údajů, mají-li být osobní údaje použity pro účely komunikace s ním, nebo

c)

nejpozději při prvním zpřístupnění osobních údajů, pokud je má v úmyslu zpřístupnit jinému příjemci.

4.   Pokud správce hodlá osobní údaje dále zpracovat pro jiný účel, než pro který byly získány, poskytne subjektu údajů ještě před uvedeným dalším zpracováním informace o tomto jiném účelu a příslušné další informace uvedené v odstavci 2.

5.   Odstavce 1 až 4 se nepoužijí, pokud a do té míry, v níž:

a)

subjekt údajů již uvedené informace má;

b)

se ukáže, že poskytnutí takových informací není možné nebo by vyžadovalo nepřiměřené úsilí; to platí zejména v případě zpracování pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely, nebo pokud je pravděpodobné, že uplatnění povinnosti uvedené v odstavci 1 tohoto článku by znemožnilo nebo vážně ohrozilo splnění cílů uvedeného zpracování;

c)

je získávání nebo zpřístupnění výslovně stanoveno právem Unie, v němž jsou stanovena vhodná opatření na ochranu oprávněných zájmů subjektu údajů, nebo

d)

osobní údaje musí zůstat důvěrné s ohledem na povinnost zachovávat služební tajemství upravenou právem Unie, včetně zákonné povinnosti mlčenlivosti.

6.   V případech uvedených v odst. 5 písm. b) přijme správce vhodná opatření na ochranu práv a svobod a oprávněných zájmů subjektu údajů, včetně zveřejnění informací.

Článek 17

Právo subjektu údajů na přístup k osobním údajům

1.   Subjekt údajů má právo získat od správce potvrzení, zda osobní údaje, které se ho týkají, jsou, či nejsou zpracovávány, a pokud je tomu tak, má právo získat přístup k těmto osobním údajům a k následujícím informacím:

a)

účely zpracování;

b)

kategorie dotčených osobních údajů;

c)

příjemci nebo kategorie příjemců, kterým osobní údaje byly nebo budou zpřístupněny, zejména příjemci ve třetích zemích nebo v mezinárodních organizacích;

d)

plánovaná doba, po kterou budou osobní údaje uloženy, nebo není-li ji možné určit, kritéria použitá pro stanovení této doby;

e)

existence práva požadovat od správce opravu nebo výmaz osobních údajů nebo omezení zpracování osobních údajů týkajících se subjektu údajů nebo vznést námitku proti tomuto zpracování;

f)

existence práva podat stížnost u evropského inspektora ochrany údajů;

g)

veškeré dostupné informace o zdroji osobních údajů, pokud nejsou získány od subjektu údajů;

h)

skutečnost, že dochází k automatizovanému rozhodování, včetně profilování, uvedenému v čl. 24 odst. 1 a 4, a přinejmenším v těchto případech smysluplné informace týkající se použitého postupu, jakož i významu a předpokládaných důsledků takového zpracování pro subjekt údajů.

2.   Pokud se osobní údaje předávají do třetí země nebo mezinárodní organizaci, má subjekt údajů právo být informován o vhodných zárukách podle článku 48, které se vztahují na předání.

3.   Správce poskytne kopii zpracovávaných osobních údajů. Jestliže subjekt údajů podává žádost v elektronické formě, poskytnou se informace v elektronické formě, která se běžně používá, pokud subjekt údajů nepožádá o jiný způsob.

4.   Právem získat kopii uvedenou v odstavci 3 nesmějí být nepříznivě dotčena práva a svobody jiných osob.

ODDÍL 3

Oprava a výmaz

Článek 18

Právo na opravu

Subjekt údajů má právo na to, aby správce bez zbytečného odkladu opravil nepřesné osobní údaje, které se ho týkají. S přihlédnutím k účelům zpracování má subjekt údajů právo na doplnění neúplných osobních údajů, a to i poskytnutím dodatečného prohlášení.

Článek 19

Právo na výmaz („právo být zapomenut“)

1.   Subjekt údajů má právo na to, aby správce bez zbytečného odkladu vymazal osobní údaje, které se daného subjektu údajů týkají, a správce má povinnost osobní údaje bez zbytečného odkladu vymazat, pokud je dán jeden z těchto důvodů:

a)

osobní údaje již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány;

b)

subjekt údajů odvolá souhlas, na jehož základě byly údaje podle čl. 5 odst. 1 písm. d) nebo čl. 10 odst. 2 písm. a) zpracovány, a neexistuje žádný další právní důvod pro zpracování;

c)

subjekt údajů vznese námitky proti zpracování podle čl. 23 odst. 1 a neexistují žádné převažující oprávněné důvody pro zpracování;

d)

osobní údaje byly zpracovány protiprávně;

e)

osobní údaje musí být vymazány ke splnění právní povinnosti, která se na správce vztahuje;

f)

osobní údaje byly shromážděny v souvislosti s nabídkou služeb informační společnosti podle čl. 8 odst. 1.

2.   Jestliže správce osobní údaje zveřejnil a je povinen je podle odstavce 1 vymazat, přijme s ohledem na dostupnou technologii a náklady na provedení přiměřené kroky, včetně technických opatření, aby informoval správce, nebo správce jiné než orgány a subjekty Unie, kteří tyto osobní údaje zpracovávají, že je subjekt údajů žádá, aby vymazali veškeré odkazy na tyto osobní údaje, jejich kopie či replikace.

3.   Odstavce 1 a 2 se neuplatní, pokud je zpracování nezbytné:

a)

pro výkon práva na svobodu projevu a informace;

b)

pro splnění právní povinnosti, která se na správce vztahuje, nebo pro splnění úkolu provedeného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je správce pověřen;

c)

z důvodů veřejného zájmu v oblasti veřejného zdraví v souladu s čl. 10 odst. 2 písm. h) a i) a odst. 3;

d)

pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu či pro statistické účely, pokud je pravděpodobné, že by právo uvedené v odstavci 1 znemožnilo nebo vážně ohrozilo splnění cílů uvedeného zpracování, nebo

e)

pro určení, výkon nebo obhajobu právních nároků.

Článek 20

Právo na omezení zpracování

1.   Subjekt údajů má právo vymoci si u správce omezení zpracování v kterémkoli z těchto případů:

a)

subjekt údajů popírá přesnost osobních údajů, a to na dobu potřebnou k tomu, aby správce mohl přesnost osobních údajů, včetně jejich úplnosti, ověřit;

b)

zpracování je protiprávní a subjekt údajů odmítá výmaz osobních údajů a žádá místo toho o omezení jejich použití;

c)

správce již osobní údaje nepotřebuje pro účely zpracování, ale subjekt údajů je požaduje pro určení, výkon nebo obhajobu právních nároků;

d)

subjekt údajů vznesl námitku proti zpracování podle čl. 23 odst. 1, dokud nebude ověřeno, zda oprávněné důvody správce převažují nad oprávněnými důvody subjektu údajů.

2.   Pokud bylo zpracování omezeno podle odstavce 1, mohou být tyto osobní údaje, s výjimkou jejich uložení, zpracovány pouze se souhlasem subjektu údajů nebo z důvodu určení, výkonu nebo obhajoby právních nároků, z důvodu ochrany práv jiné fyzické nebo právnické osoby nebo z důvodů důležitého veřejného zájmu Unie nebo některého členského státu.

3.   Subjekt údajů, který dosáhl omezení zpracování podle odstavce 1, je správcem informován před zrušením omezení zpracování.

4.   V automatizovaných evidencích je omezení zpracování v zásadě zajišťováno technickými prostředky. V systému je uvedeno, že zpracování daných osobních údajů je omezeno, aby bylo jasné, že tyto osobní údaje nelze používat.

Článek 21

Oznamovací povinnost ohledně opravy nebo výmazu osobních údajů nebo omezení zpracování

Správce oznamuje jednotlivým příjemcům, jimž byly osobní údaje zpřístupněny, veškeré opravy nebo výmazy osobních údajů nebo omezení zpracování provedené v souladu s článkem 18, čl. 19 odst. 1 a článkem 20, s výjimkou případů, kdy se to ukáže jako nemožné nebo to vyžaduje nepřiměřené úsilí. Správce informuje subjekt údajů o těchto příjemcích, pokud to subjekt údajů požaduje.

Článek 22

Právo na přenositelnost údajů

1.   Subjekt údajů má právo získat osobní údaje, které se ho týkají a jež poskytl správci, ve strukturovaném, běžně používaném a strojově čitelném formátu a právo předat tyto údaje jinému správci, aniž by tomu správce, kterému byly osobní údaje poskytnuty, bránil, a to v případě, že:

a)

zpracování je založeno na souhlasu podle čl. 5 odst. 1 písm. d) nebo čl. 10 odst. 2 písm. a) nebo na smlouvě podle čl. 5 odst. 1 písm. c) a

b)

zpracování se provádí automatizovaně.

2.   Při výkonu svého práva na přenositelnost údajů podle odstavce 1 má subjekt údajů právo na to, aby osobní údaje byly předány přímo jedním správcem správci druhému nebo správcům jiným než orgány a subjekty Unie, je-li to technicky proveditelné.

3.   Výkonem práva uvedeného v odstavci 1 tohoto článku není dotčen článek 19. Toto právo se neuplatní na zpracování nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je správce pověřen.

4.   Právem uvedeným v odstavci 1 nesmějí být nepříznivě dotčena práva a svobody jiných osob.

ODDÍL 4

Právo vznést námitku a automatizované individuální rozhodoVÁNÍ

Článek 23

Právo vznést námitku

1.   Subjekt údajů má z důvodů týkajících se jeho konkrétní situace právo kdykoli vznést námitku proti zpracování osobních údajů, které se jej týkají, na základě čl. 5 odst. 1 písm. a), včetně profilování založeného na tomto ustanovení. Správce osobní údaje dále nezpracovává, pokud neprokáže závažné oprávněné důvody pro zpracování, které převažují nad zájmy nebo právy a svobodami subjektu údajů, nebo pro určení, výkon nebo obhajobu právních nároků.

2.   Subjekt údajů je na právo uvedené v odstavci 1 výslovně upozorněn a toto právo je uvedeno zřetelně a odděleně od jakýchkoli jiných informací, a to nejpozději v okamžiku první komunikace se subjektem údajů.

3.   Aniž jsou dotčeny články 36 a 37, může subjekt údajů v souvislosti s využíváním služeb informační společnosti uplatnit své právo vznést námitku automatizovanými prostředky pomocí technických specifikací.

4.   Jsou-li osobní údaje zpracovávány pro účely vědeckého či historického výzkumu nebo pro statistické účely, má subjekt údajů, z důvodů týkajících se jeho konkrétní situace, právo vznést námitku proti zpracování osobních údajů, které se ho týkají, ledaže je zpracování nezbytné pro splnění úkolu prováděného z důvodů veřejného zájmu.

Článek 24

Automatizované individuální rozhodování, včetně profilování

1.   Subjekt údajů má právo nebýt předmětem žádného rozhodnutí založeného výhradně na automatizovaném zpracování, včetně profilování, které má pro něho právní účinky nebo se ho obdobným způsobem významně dotýká.

2.   Odstavec 1 se nepoužije, pokud je rozhodnutí:

a)

nezbytné k uzavření nebo plnění smlouvy mezi subjektem údajů a správcem;

b)

povoleno právem Unie, které rovněž stanoví vhodné záruky práv a svobod a oprávněných zájmů subjektu údajů, nebo

c)

založeno na výslovném souhlasu subjektu údajů.

3.   V případech uvedených v odst. 2 písm. a) a c) provede správce vhodná opatření s cílem zaručit práva a svobody a oprávněné zájmy subjektu údajů, alespoň práva na lidský zásah ze strany správce, práva vyjádřit svůj názor a práva napadnout rozhodnutí.

4.   Rozhodnutí uvedená v odstavci 2 tohoto článku se nesmějí opírat o zvláštní kategorie osobních údajů uvedené v čl. 10 odst. 1, pokud se neuplatní čl. 10 odst. 2 písm. a) nebo g) a nejsou zavedena vhodná opatření s cílem zaručit práva a svobody a oprávněné zájmy subjektu údajů.

ODDÍL 5

Omezení

Článek 25

Omezení

1.   Právní akty přijaté na základě Smluv nebo, v záležitostech souvisejících s fungováním orgánů a subjektů Unie, vnitřní předpisy přijaté orgány a subjekty Unie mohou omezit použití článků 14 až 22, 35 a 36, jakož i článku 4 v rozsahu, v jakém jeho ustanovení odpovídají právům a povinnostem stanoveným v článcích 14 až 22, jestliže takové omezení respektuje podstatu základních práv a svobod a představuje nezbytné a přiměřené opatření v demokratické společnosti s cílem zaručit:

a)

národní bezpečnost, veřejnou bezpečnost nebo obranu členských států;

b)

prevenci, vyšetřování, odhalování a stíhání trestných činů nebo výkon trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení;

c)

jiné důležité cíle obecného veřejného zájmu Unie nebo některého členského státu, zejména cíle společné zahraniční a bezpečnostní politiky Unie nebo důležitý hospodářský nebo finanční zájem Unie nebo některého členského státu, včetně měnových, rozpočtových a daňových záležitostí, veřejného zdraví a sociálního zabezpečení;

d)

vnitřní bezpečnost orgánů a subjektů Unie, včetně jejich sítí elektronických komunikací;

e)

ochranu nezávislosti soudnictví a soudních řízení;

f)

prevenci, vyšetřování, odhalování a stíhání porušování etických pravidel regulovaných povolání;

g)

monitorovací, inspekční nebo regulační funkci spojenou, i pouze příležitostně, s výkonem veřejné moci v případech uvedených v písmenech a) až c);

h)

ochranu subjektu údajů nebo práv a svobod druhých;

i)

vymáhání občanskoprávních nároků.

2.   Každý právní akt nebo vnitřní předpis uvedený v odstavci 1 zejména obsahuje konkrétní ustanovení alespoň, je-li to relevantní, pokud jde o:

a)

účely zpracování nebo kategorie zpracování;

b)

kategorie osobních údajů;

c)

rozsah zavedených omezení;

d)

záruky proti zneužití údajů nebo protiprávnímu přístupu k nim či jejich protiprávnímu předání;

e)

specifikaci správce nebo kategorie správců;

f)

doby uložení a platné záruky s ohledem na povahu, rozsah a účely zpracování nebo kategorie zpracování a

g)

rizika pro práva a svobody subjektů údajů.

3.   Jsou-li osobní údaje zpracovávány pro účely vědeckého či historického výzkumu nebo pro statistické účely, může právo Unie, včetně vnitřních předpisů přijatých orgány a subjekty Unie v záležitostech souvisejících s jejich fungováním, stanovit odchylky od práv uvedených v článcích 17, 18, 20 a 23, s výhradou podmínek a záruk uvedených v článku 13, pokud je pravděpodobné, že by daná práva znemožnila nebo vážně ohrozila splnění zvláštních účelů, a tyto odchylky jsou pro splnění těchto účelů nezbytné.

4.   Jsou-li osobní údaje zpracovávány pro účely archivace ve veřejném zájmu, může právo Unie, včetně vnitřních předpisů přijatých orgány a subjekty Unie v záležitostech souvisejících s jejich fungováním, stanovit odchylky od práv uvedených v článcích 17, 18, 20, 21, 22 a 23, s výhradou podmínek a záruk uvedených v článku 13, pokud je pravděpodobné, že by daná práva znemožnila nebo vážně ohrozila splnění zvláštních účelů, a tyto odchylky jsou pro splnění těchto účelů nezbytné.

5.   Vnitřní předpisy uvedené v odstavcích 1, 3 a 4 musí být jasné a přesné akty s obecnou působností, které mají právní účinky vůči subjektům údajů, jsou přijaty na nejvyšší úrovni řízení orgánů a subjektů Unie a podléhají zveřejnění v Úředním věstníku Evropské unie.

6.   Uplatňuje-li se omezení podle odstavce 1, je subjekt údajů v souladu s právem Unie informován o hlavních důvodech pro použití omezení a o svém právu podat stížnost u evropského inspektora ochrany údajů.

7.   Je-li omezení podle odstavce 1 uloženo za účelem odepření přístupu subjektu údajů, sdělí evropský inspektor ochrany údajů při posuzování stížnosti subjektu údajů, zda byly údaje zpracovány řádně, a pokud nebyly, zda byla učiněna příslušná náprava.

8.   Poskytnutí informací uvedených odstavcích 6 a 7 tohoto článku a v čl. 45 odst. 2 lze odložit, neprovést nebo odepřít, pokud by mařilo účinek omezení uloženého podle odstavce 1 tohoto článku.

KAPITOLA IV

SPRÁVCE A ZPRACOVATEL

ODDÍL 1

Obecné povinnosti

Článek 26

Odpovědnost správce

1.   S přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob zavede správce vhodná technická a organizační opatření, aby zajistil a byl schopen doložit, že zpracování je prováděno v souladu s tímto nařízením. Tato opatření musí být podle potřeby revidována a aktualizována.

2.   Pokud je to s ohledem na činnosti zpracování přiměřené, zahrnují opatření uvedená v odstavci 1 uplatňování vhodných koncepcí v oblasti ochrany údajů správcem.

3.   Jedním z prvků, jimiž lze doložit, že správce plní své povinnosti, je dodržování schválených mechanismů pro vydávání osvědčení uvedených v článku 42 nařízení (EU) 2016/679.

Článek 27

Záměrná a standardní ochrana údajů

1.   S přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob, jež s sebou zpracování nese, zavede správce jak v době určení prostředků pro zpracování, tak v době zpracování samotného vhodná technická a organizační opatření, jako je pseudonymizace, jejichž účelem je účinným způsobem provádět zásady ochrany údajů, jako je minimalizace údajů, a začlenit do zpracování nezbytné záruky tak, aby splnil požadavky tohoto nařízení a ochránil práva subjektů údajů.

2.   Správce zavede vhodná technická a organizační opatření k zajištění toho, aby se standardně zpracovávaly pouze osobní údaje, jež jsou pro každý konkrétní účel daného zpracování nezbytné. Tato povinnost se týká množství shromážděných osobních údajů, rozsahu jejich zpracování, doby jejich uložení a jejich dostupnosti. Tato opatření zejména zajistí, aby osobní údaje nebyly standardně bez zásahu člověka zpřístupněny neomezenému počtu fyzických osob.

3.   Jedním z prvků, jimiž lze doložit plnění požadavků stanovených v odstavcích 1 a 2 tohoto článku, je schválený mechanismus pro vydávání osvědčení podle článku 42 nařízení (EU) 2016/679.

Článek 28

Společní správci

1.   Pokud účely a prostředky zpracování stanoví společně dva nebo více správců, anebo dva nebo více správců společně s jedním nebo více správci jinými než orgány a subjekty Unie, jsou společnými správci. Společní správci mezi sebou transparentním ujednáním vymezí své podíly na odpovědnosti za plnění svých povinností týkajících se ochrany údajů, zejména pokud jde o výkon práv subjektu údajů, a své povinnosti poskytovat informace uvedené v článcích 15 a 16, pokud tuto odpovědnost společných správců nestanoví právo Unie nebo členského státu, které se na společné správce vztahuje. V ujednání může být určeno kontaktní místo pro subjekty údajů.

2.   Ujednání uvedené v odstavci 1 náležitě zohlední úlohy společných správců a jejich vztahy vůči subjektům údajů. Subjekt údajů musí být o podstatných prvcích ujednání informován.

3.   Bez ohledu na podmínky ujednání uvedeného v odstavci 1 může subjekt údajů vykonávat svá práva podle tohoto nařízení ohledně každého ze správců i vůči každému z nich.

Článek 29

Zpracovatel

1.   Pokud má být zpracování provedeno za správce, využije správce pouze ty zpracovatele, kteří poskytují dostatečné záruky zavedení vhodných technických a organizačních opatření tak, aby dané zpracování splňovalo požadavky tohoto nařízení a aby byla zajištěna ochrana práv subjektu údajů.

2.   Zpracovatel nezapojí do zpracování žádného dalšího zpracovatele bez předchozího konkrétního nebo obecného písemného povolení správce. V případě obecného písemného povolení zpracovatel správce informuje o veškerých zamýšlených změnách týkajících se přijetí dalších zpracovatelů nebo jejich nahrazení, a poskytne tak správci příležitost vyslovit vůči těmto změnám námitky.

3.   Zpracování zpracovatelem se řídí smlouvou nebo jiným právním aktem podle práva Unie nebo členského státu, které zavazují zpracovatele vůči správci a v nichž je stanoven předmět a doba trvání zpracování, povaha a účel zpracování, typ osobních údajů a kategorie subjektů údajů a povinnosti a práva správce. Tato smlouva nebo jiný právní akt zejména stanoví, že zpracovatel:

a)

zpracovává osobní údaje pouze na základě doložených pokynů správce, a to i pokud jde o předávání osobních údajů do třetí země nebo mezinárodní organizaci, pokud mu toto zpracování již neukládá právo Unie nebo členského státu, které se na zpracovatele vztahuje; v takovém případě zpracovatel informuje správce o tomto právním požadavku před zpracováním, ledaže by tyto právní předpisy toto informování zakazovaly z důležitých důvodů veřejného zájmu;

b)

zajišťuje, aby se osoby oprávněné zpracovávat osobní údaje zavázaly k mlčenlivosti nebo aby se na ně vztahovala zákonná povinnost mlčenlivosti;

c)

přijme všechna opatření požadovaná podle článku 33;

d)

dodržuje podmínky pro zapojení dalšího zpracovatele uvedené v odstavcích 2 a 4;

e)

při zohlednění povahy zpracování je správci nápomocen prostřednictvím vhodných technických a organizačních opatření, pokud je to možné, pro splnění jeho povinnosti reagovat na žádosti o výkon práv subjektu údajů stanovených v kapitole III;

f)

je správci nápomocen při zajišťování souladu s povinnostmi podle článků 33 až 41, a to při zohlednění povahy zpracování a informací, jež má zpracovatel k dispozici;

g)

v souladu s rozhodnutím správce všechny osobní údaje buď vymaže, nebo je vrátí správci po ukončení poskytování služeb spojených se zpracováním, a vymaže existující kopie, pokud právo Unie nebo členského státu nepožaduje uložení daných osobních údajů;

h)

poskytne správci veškeré informace potřebné k doložení toho, že byly splněny povinnosti stanovené v tomto článku, a umožní audity, včetně inspekcí, prováděné správcem nebo jiným auditorem, kterého správce pověřil, a k těmto auditům přispěje.

Pokud jde o první pododstavec písm. h), informuje zpracovatel neprodleně správce v případě, že podle jeho názoru určitý pokyn porušuje toto nařízení nebo jiné předpisy Unie nebo členského státu týkající se ochrany údajů.

4.   Pokud zpracovatel zapojí dalšího zpracovatele, aby za správce provedl určité činnosti zpracování, musí být tomuto dalšímu zpracovateli uloženy na základě smlouvy nebo jiného právního aktu podle práva Unie nebo členského státu stejné povinnosti v oblasti ochrany údajů, jaké jsou uvedeny ve smlouvě nebo jiném právním aktu mezi správcem a zpracovatelem podle odstavce 3, a to zejména poskytnutí dostatečných záruk, pokud jde o zavedení vhodných technických a organizačních opatření tak, aby zpracování splňovalo požadavky tohoto nařízení. Neplní-li uvedený další zpracovatel své povinnosti v oblasti ochrany údajů, odpovídá správci za plnění povinností uvedeného dalšího zpracovatele i nadále plně prvotní zpracovatel.

5.   Není-li zpracovatel orgánem nebo subjektem Unie, je jedním z prvků, jimiž lze doložit dostatečné záruky podle odstavců 1 a 4 tohoto článku, skutečnost, že zpracovatel dodržuje schválený kodex chování uvedený v čl. 40 odst. 5 nařízení (EU) 2016/679 nebo schválený mechanismus pro vydávání osvědčení uvedený v článku 42 nařízení (EU) 2016/679.

6.   Aniž jsou dotčeny individuální smlouvy mezi správcem a zpracovatelem, mohou být smlouvy nebo jiné právní akty podle odstavců 3 a 4 tohoto článku založeny zcela nebo částečně na standardních smluvních doložkách podle odstavců 7 a 8 tohoto článku, mimo jiné i v případě, že jsou součástí osvědčení uděleného zpracovateli jinému než orgán nebo subjekt Unie podle článku 42 nařízení (EU) 2016/679.

7.   Pro záležitosti uvedené v odstavcích 3 a 4 tohoto článku může standardní smluvní doložky stanovit Komise přezkumným postupem podle čl. 96 odst. 2.

8.   Pro záležitosti uvedené v odstavcích 3 a 4 může standardní smluvní doložky přijmout evropský inspektor ochrany údajů.

9.   Smlouva nebo jiný právní akt podle odstavců 3 a 4 musí být vyhotoveny písemně, v to počítaje i elektronickou formu.

10.   Aniž jsou dotčeny články 65 a 66, pokud zpracovatel poruší toto nařízení tím, že určí účely a prostředky zpracování, považuje se ve vztahu k takovému zpracování za správce.

Článek 30

Zpracovávání z pověření správce nebo zpracovatele

Zpracovatel a jakákoliv osoba, která jedná z pověření správce nebo zpracovatele a má přístup k osobním údajům, může tyto osobní údaje zpracovávat pouze na pokyn správce, ledaže jí jejich zpracování ukládá právo Unie nebo členského státu.

Článek 31

Záznamy o činnostech zpracování

1.   Každý správce vede záznamy o činnostech zpracování, za něž odpovídá. Tyto záznamy obsahují všechny tyto informace:

a)

jméno a kontaktní údaje správce, pověřence pro ochranu osobních údajů a případného zpracovatele a společného správce;

b)

účely zpracování;

c)

popis kategorií subjektů údajů a kategorií osobních údajů;

d)

kategorie příjemců, kterým byly nebo budou osobní údaje zpřístupněny, včetně příjemců v členských státech, třetích zemích nebo mezinárodních organizacích;

e)

informace o případném předání osobních údajů do třetí země nebo mezinárodní organizaci, včetně identifikace této třetí země či mezinárodní organizace, a doložení vhodných záruk;

f)

je-li to možné, plánované lhůty pro výmaz jednotlivých kategorií údajů;

g)

je-li to možné, obecný popis technických a organizačních bezpečnostních opatření uvedených v článku 33.

2.   Každý zpracovatel vede záznamy o všech kategoriích činností zpracování prováděných za správce, jež obsahují:

a)

jméno a kontaktní údaje zpracovatele nebo zpracovatelů a každého správce, za něhož zpracovatel jedná, a pověřence pro ochranu osobních údajů;

b)

kategorie zpracování prováděného za každého ze správců;

c)

informace o případném předání osobních údajů do třetí země nebo mezinárodní organizaci, včetně identifikace této třetí země či mezinárodní organizace, a doložení vhodných záruk;

d)

je-li to možné, obecný popis technických a organizačních bezpečnostních opatření uvedených v článku 33.

3.   Záznamy podle odstavců 1 a 2 se vyhotovují písemně, v to počítaje i elektronickou formu.

4.   Orgány a subjekty Unie poskytnou záznamy na požádání evropskému inspektorovi ochrany údajů.

5.   Orgány a subjekty Unie uchovávají své záznamy o zpracování v centrálním rejstříku, ledaže to není přiměřené vzhledem k velikosti daného orgánu či subjektu Unie. Tento rejstřík zpřístupní veřejnosti.

Článek 32

Spolupráce s evropským inspektorem ochrany údajů

Orgány a subjekty Unie spolupracují na požádání s evropským inspektorem ochrany údajů při plnění jeho úkolů.

ODDÍL 2

Zabezpečení osobních údajů

Článek 33

Zabezpečení zpracování

1.   S přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob zavedou správce a zpracovatel vhodná technická a organizační opatření, aby zajistili úroveň zabezpečení odpovídající danému riziku, případně včetně:

a)

pseudonymizace a šifrování osobních údajů;

b)

schopnosti zajistit neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování;

c)

schopnosti obnovit včas dostupnost osobních údajů a přístup k nim v případě fyzických či technických incidentů;

d)

procesu pravidelného testování, posuzování a hodnocení účinnosti zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracování.

2.   Při posuzování náležité úrovně zabezpečení se zohlední zejména rizika, která představuje zpracování, zejména náhodné nebo protiprávní zničení, ztráta, pozměňování, neoprávněné zpřístupnění předávaných, uložených nebo jinak zpracovávaných osobních údajů, nebo neoprávněný přístup k nim.

3.   Správce a zpracovatel přijmou opatření pro zajištění toho, aby jakákoliv fyzická osoba, která jedná z pověření správce nebo zpracovatele a má přístup k osobním údajům, zpracovávala tyto osobní údaje pouze na pokyn správce, pokud jí jejich zpracování již neukládá právo Unie.

4.   Jedním z prvků, jimiž lze doložit soulad s požadavky stanovenými v odstavci 1 tohoto článku, je dodržování schváleného mechanismu pro vydávání osvědčení uvedeného v článku 42 nařízení (EU) 2016/679.

Článek 34

Ohlašování případů porušení zabezpečení osobních údajů evropskému inspektorovi ochrany údajů

1.   Jakékoli porušení zabezpečení osobních údajů správce bez zbytečného odkladu a pokud možno do 72 hodin od okamžiku, kdy se o něm dozvěděl, ohlásí evropskému inspektorovi ochrany údajů, ledaže je nepravděpodobné, že by toto porušení mělo za následek riziko pro práva a svobody fyzických osob. Pokud není ohlášení evropskému inspektorovi ochrany údajů učiněno do 72 hodin, musí být současně s ním uvedeny důvody tohoto zpoždění.

2.   Jakmile zpracovatel zjistí porušení zabezpečení osobních údajů, ohlásí je bez zbytečného odkladu správci.

3.   Ohlášení uvedené v odstavci 1 musí přinejmenším obsahovat:

a)

popis povahy daného případu porušení zabezpečení osobních údajů včetně, pokud je to možné, kategorií a přibližného počtu dotčených subjektů údajů a kategorií a přibližného množství dotčených záznamů osobních údajů;

b)

jméno a kontaktní údaje pověřence pro ochranu osobních údajů;

c)

popis pravděpodobných důsledků porušení zabezpečení osobních údajů;

d)

popis opatření, která správce přijal nebo navrhl k přijetí s cílem vyřešit dané porušení zabezpečení osobních údajů, včetně případných opatření ke zmírnění možných nepříznivých dopadů.

4.   Není-li možné poskytnout informace současně, mohou být poskytnuty postupně bez dalšího zbytečného odkladu.

5.   Správce informuje o porušení zabezpečení osobních údajů pověřence pro ochranu osobních údajů.

6.   Správce dokumentuje veškeré případy porušení zabezpečení osobních údajů, přičemž uvede skutečnosti, které se týkají daného porušení, jeho účinky a přijatá nápravná opatření. Tato dokumentace musí evropskému inspektorovi ochrany údajů umožnit ověření souladu s tímto článkem.

Článek 35

Oznamování případů porušení zabezpečení osobních údajů subjektu údajů

1.   Pokud je pravděpodobné, že určitý případ porušení zabezpečení osobních údajů bude mít za následek vysoké riziko pro práva a svobody fyzických osob, oznámí správce toto porušení bez zbytečného odkladu subjektu údajů.

2.   V oznámení určeném subjektu údajů podle odstavce 1 tohoto článku se za použití jasných a jednoduchých jazykových prostředků popíše povaha porušení zabezpečení osobních údajů a uvedou se v něm přinejmenším informace a opatření uvedené v čl. 34 odst. 3 písm. b), c) a d).

3.   Oznámení subjektu údajů uvedené v odstavci 1 se nevyžaduje, je-li splněna kterákoli z těchto podmínek:

a)

správce zavedl náležitá technická a organizační ochranná opatření a tato opatření byla použita u osobních údajů dotčených porušením zabezpečení osobních údajů, zejména taková, která činí tyto údaje nesrozumitelnými pro kohokoli, kdo není oprávněn k nim mít přístup, jako je například šifrování;

b)

správce přijal následná opatření, která zajistí, že vysoké riziko pro práva a svobody subjektů údajů podle odstavce 1 se již pravděpodobně neprojeví;

c)

oznámení by vyžadovalo nepřiměřené úsilí. V takovém případě musí být subjekty údajů informovány stejně účinným způsobem pomocí veřejného oznámení nebo podobného opatření.

4.   Jestliže správce dotčenému subjektu údajů ještě neoznámil porušení zabezpečení osobních údajů, může evropský inspektor ochrany údajů po posouzení pravděpodobnosti toho, že dané porušení bude mít za následek vysoké riziko, požadovat, aby tak učinil, nebo může rozhodnout, že je splněna některá z podmínek uvedených v odstavci 3.

ODDÍL 3

Důvěrnost elektronických komunikací

Článek 36

Důvěrnost elektronických komunikací

Orgány a subjekty Unie zajistí důvěrnost elektronických komunikací, zejména zabezpečením svých sítí elektronických komunikací.

Článek 37

Ochrana informací přenášených do koncových zařízení uživatelů, uchovávaných v těchto zařízeních, souvisejících s těmito zařízeními, zpracovávaných v těchto zařízeních a z těchto zařízení shromažďovaných

Orgány a subjekty Unie chrání informace přenášené do koncových zařízení uživatelů, uchovávané v těchto zařízeních, související s těmito zařízeními, zpracovávané v těchto zařízeních a shromažďované z těchto zařízení při přístupu uživatelů na jejich veřejně dostupné internetové stránky a mobilní aplikace v souladu s čl. 5 odst. 3 směrnice Evropského parlamentu a Rady 2002/58/ES.

Článek 38

Seznamy uživatelů

1.   Osobní údaje uvedené v seznamech uživatelů a přístup k těmto seznamům jsou omezeny na to, co je nezbytně nutné pro zvláštní účely seznamu.

2.   Orgány a subjekty Unie přijmou všechna nezbytná opatření, aby zabránily použití osobních údajů obsažených v těchto seznamech bez ohledu na to, zda jsou, či nejsou dostupné veřejnosti, pro účely přímého marketingu.

ODDÍL 4

Posouzení vlivu na ochranu osobních údajů a předchozí konzultace

Článek 39

Posouzení vlivu na ochranu osobních údajů

1.   Pokud je pravděpodobné, že určitý druh zpracování, zejména při využití nových technologií, bude s přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování mít za následek vysoké riziko pro práva a svobody fyzických osob, provede správce před zpracováním posouzení vlivu zamýšlených operací zpracování na ochranu osobních údajů. Pro soubor podobných operací zpracování, které představují podobné vysoké riziko, může stačit jedno posouzení.

2.   Při provádění posouzení vlivu na ochranu osobních údajů si správce vyžádá posudek pověřence pro ochranu osobních údajů.

3.   Posouzení vlivu na ochranu osobních údajů podle odstavce 1 je nutné zejména v těchto případech:

a)

systematické a rozsáhlé vyhodnocování osobních aspektů týkajících se fyzických osob, které je založeno na automatizovaném zpracování, včetně profilování, a na němž se zakládají rozhodnutí, která vyvolávají ve vztahu k fyzickým osobám právní účinky nebo mají na fyzické osoby podobně závažný dopad;

b)

rozsáhlé zpracovávání zvláštních kategorií údajů uvedených v článku 10 nebo osobních údajů týkajících se odsouzení v trestních věcech a trestných činů uvedených v článku 11, nebo

c)

rozsáhlé systematické monitorování veřejně přístupných prostorů.

4.   Evropský inspektor ochrany údajů sestaví a zveřejní seznam druhů operací zpracování, na něž se vztahuje požadavek na posouzení vlivu na ochranu osobních údajů podle odstavce 1.

5.   Evropský inspektor ochrany údajů může rovněž sestavit a zveřejnit seznam druhů operací zpracování, u nichž není posouzení vlivu na ochranu osobních údajů nutné.

6.   Před přijetím seznamů podle odstavců 4 a 5 tohoto článku evropský inspektor ochrany údajů požádá Evropský sbor pro ochranu údajů, zřízený článkem 68 nařízení (EU) 2016/679, aby tyto seznamy přezkoumal v souladu s čl. 70 odst. 1 písm. e) uvedeného nařízení, pokud se týkají operací zpracování prováděných společně dvěma nebo více správci jinými než orgány a subjekty Unie.

7.   Posouzení obsahuje alespoň:

a)

systematický popis zamýšlených operací zpracování a účely zpracování;

b)

posouzení nezbytnosti a přiměřenosti operací zpracování z hlediska účelů;

c)

posouzení rizik pro práva a svobody subjektů údajů uvedených v odstavci 1 a

d)

plánovaná opatření k řešení těchto rizik, včetně záruk, bezpečnostních opatření a mechanismů k zajištění ochrany osobních údajů a k doložení souladu s tímto nařízením, s přihlédnutím k právům a oprávněným zájmům subjektů údajů a dalších dotčených osob.

8.   Dodržování schválených kodexů chování podle článku 40 nařízení (EU) 2016/679 příslušnými zpracovateli jinými než orgány a subjekty Unie se řádně zohlední při posuzování dopadu operací zpracování prováděných těmito zpracovateli, zejména pro účely posouzení vlivu na ochranu osobních údajů.

9.   Správce ve vhodných případech získá k zamýšlenému zpracování stanovisko subjektů údajů nebo jejich zástupců, aniž by byla dotčena ochrana veřejných zájmů nebo zabezpečení operací zpracování.

10.   Pokud má zpracování podle čl. 5 odst. 1 písm. a) nebo b) právní základ v právním aktu přijatém na základě Smluv, který upravuje konkrétní operaci nebo soubor operací zpracování, a pokud bylo posouzení vlivu na ochranu osobních údajů již provedeno jakožto součást obecného posouzení dopadů v souvislosti s přijetím uvedeného právního aktu, odstavce 1 až 6 tohoto článku se nepoužijí, ledaže by dotyčný právní akt stanovil jinak.

11.   Správce případně provede přezkum s cílem posoudit, zda je zpracování prováděno v souladu s posouzením vlivu na ochranu osobních údajů alespoň v případech, kdy dojde ke změně rizika, jež představují operace zpracování.

Článek 40

Předchozí konzultace

1.   Pokud z posouzení vlivu na ochranu osobních údajů podle článku 39 vyplývá, že by zpracování v případě neexistence záruk, bezpečnostních opatření ani mechanismů ke zmírnění rizika představovalo vysoké riziko pro práva a svobody fyzických osob, a pokud je správce toho názoru, že riziko nelze zmírnit prostředky přiměřenými z hlediska dostupných technologií a nákladů na provedení, musí před zahájením zpracování konzultovat evropského inspektora ochrany údajů. Správce se poradí s pověřencem pro ochranu osobních údajů, zda je potřeba předchozí konzultace.

2.   Pokud se evropský inspektor ochrany údajů domnívá, že by zamýšlené zpracování uvedené v odstavci 1 porušilo toto nařízení, zejména pokud správce nedostatečně určil či zmírnil riziko, upozorní na to správce a případně zpracovatele údajů písemně ve lhůtě nejvýše osmi týdnů od obdržení žádosti o konzultaci a může uplatnit kteroukoli ze svých pravomocí uvedených v článku 58. Tato lhůta může být s ohledem na složitost zamýšleného zpracování prodloužena o šest týdnů. Evropský inspektor ochrany údajů informuje správce a případně zpracovatele o každém takovém prodloužení a o jeho důvodech do jednoho měsíce od obdržení žádosti o konzultaci. Tyto lhůty mohou být pozastaveny, dokud evropský inspektor ochrany údajů neobdrží veškeré informace, o které požádal pro účely konzultace.

3.   Při konzultaci evropského inspektora ochrany údajů podle odstavce 1 mu správce poskytne informace o těchto aspektech:

a)

ve vhodných případech rozdělení odpovědnosti správce, společných správců a zpracovatelů zapojených do zpracování;

b)

účely a způsoby zamýšleného zpracování;

c)

opatření a záruky poskytnuté za účelem ochrany práv a svobod subjektů údajů podle tohoto nařízení;

d)

kontaktní údaje pověřence pro ochranu osobních údajů;

e)

posouzení vlivu na ochranu osobních údajů podle článku 39 a

f)

veškeré další informace, o které evropský inspektor ochrany údajů požádá.

4.   Komise může prostřednictvím prováděcího aktu stanovit seznam případů, ve kterých správci musí konzultovat evropského inspektora ochrany údajů a získat od něj předchozí povolení, pokud jde o zpracování osobních údajů správcem za účelem vykonání úkolu ve veřejném zájmu, včetně zpracování v souvislosti se sociální ochranou a veřejným zdravím.

ODDÍL 5

Informace a legislativní konzultace

Článek 41

Informace a konzultace

1.   Orgány a subjekty Unie uvědomí evropského inspektora ochrany údajů o vypracování správních opatření a vnitřních předpisů souvisejících se zpracováním osobních údajů orgánem nebo subjektem Unie, ať již samostatně, nebo společně s jinými orgány či subjekty.

2.   Orgány a subjekty Unie konzultují s evropským inspektorem ochrany údajů při vypracovávání vnitřních předpisů uvedených v článku 25.

Článek 42

Legislativní konzultace

1.   Po přijetí návrhů legislativních aktů, doporučení nebo návrhů pro Radu podle článku 218 Smlouvy o fungování EU a při přípravě aktů v přenesené pravomoci nebo prováděcích aktů konzultuje Komise evropského inspektora ochrany údajů, mají-li vliv na ochranu práv a svobod fyzických osob v souvislosti se zpracováváním osobních údajů.

2.   Má-li akt uvedený v odstavci 1 zvláštní význam pro ochranu práv a svobod fyzických osob v souvislosti se zpracováním osobních údajů, může Komise rovněž konzultovat Evropský sbor pro ochranu osobních údajů. V takových případech evropský inspektor ochrany údajů a Evropský sbor pro ochranu údajů koordinují svou práci s cílem vydat společné stanovisko.

3.   Poradenství uvedené v odstavcích 1 a 2 se poskytuje písemně ve lhůtě osmi týdnů od obdržení žádosti o konzultaci uvedenou v odstavcích 1 a 2. V naléhavých nebo jinak vhodných případech může Komise tuto lhůtu zkrátit.

4.   Tento článek se nepoužije, musí-li Komise podle nařízení (EU) 2016/679 konzultovat Evropský sbor pro ochranu údajů.

ODDÍL 6

Pověřenec pro ochranu osobních údajů

Článek 43

Jmenování pověřence pro ochranu osobních údajů

1.   Každý orgán nebo subjekt Unie jmenuje pověřence pro ochranu osobních údajů.

2.   Orgány a subjekty Unie mohou jmenovat jediného pověřence pro ochranu osobních údajů pro několik z nich, s přihlédnutím ke své organizační struktuře a velikosti.

3.   Pověřenec pro ochranu osobních údajů musí být jmenován na základě svých profesních kvalit, zejména na základě svých odborných znalostí práva a praxe v oblasti ochrany údajů a své schopnosti plnit úkoly stanovené v článku 45.

4.   Pověřenec pro ochranu osobních údajů musí být zaměstnancem orgánu nebo subjektu Unie. Orgány a subjekty Unie mohou s přihlédnutím ke své velikosti a za podmínky, že možnost stanovená v odstavci 2 není využita, jmenovat inspektora ochrany údajů, který plní své úkoly na základě smlouvy o poskytování služeb.

5.   Orgány a subjekty Unie zveřejní kontaktní údaje pověřence pro ochranu osobních údajů a sdělí je evropskému inspektorovi ochrany údajů.

Článek 44

Postavení pověřence pro ochranu osobních údajů

1.   Orgány a subjekty Unie zajistí, aby byl pověřenec pro ochranu osobních údajů náležitě a včas zapojen do veškerých záležitostí souvisejících s ochranou osobních údajů.

2.   Orgány a subjekty Unie podporují pověřence pro ochranu osobních údajů při plnění úkolů uvedených v článku 45 tím, že mu poskytují zdroje nezbytné k plnění těchto úkolů, přístup k osobním údajům a operacím zpracování a zdroje nezbytné k udržování jeho odborných znalostí.

3.   Orgány a subjekty Unie zajistí, aby pověřenec pro ochranu osobních údajů nedostával žádné pokyny týkající se výkonu těchto úkolů. V souvislosti s plněním svých úkolů nesmí být správcem nebo zpracovatelem propuštěn ani sankcionován. Pověřenec pro ochranu osobních údajů je přímo podřízen vrcholovým řídícím pracovníkům správce nebo zpracovatele.

4.   Subjekty údajů se mohou obracet na pověřence pro ochranu osobních údajů ve všech záležitostech souvisejících se zpracováním jejich osobních údajů a výkonem jejich práv podle tohoto nařízení.

5.   Pověřenec pro ochranu osobních údajů a jeho zaměstnanci jsou v souvislosti s výkonem svých úkolů vázáni tajemstvím nebo důvěrností, v souladu s právem Unie.

6.   Pověřenec pro ochranu osobních údajů může plnit i jiné úkoly a povinnosti. Správce nebo zpracovatel zajistí, aby žádné z těchto úkolů a povinností nevedly ke střetu zájmů.

7.   Správce a zpracovatel, příslušný výbor zaměstnanců nebo jakákoli fyzická osoba mohou pověřence pro ochranu osobních údajů konzultovat přímo v jakékoli záležitosti týkající se výkladu nebo používání tohoto nařízení, aniž by využívali úřední cesty. Nikomu nesmí být na újmu, že upozornil příslušného pověřence pro ochranu osobních údajů na skutečnost, při níž podle něj došlo k porušení tohoto nařízení.

8.   Pověřenec pro ochranu osobních údajů je jmenován na funkční období tří až pěti let a může být jmenován opětovně. Přestane-li splňovat podmínky požadované pro výkon své funkce, může jej z funkce pověřence pro ochranu osobních údajů odvolat orgán nebo subjekt Unie, který ho jmenoval, a to pouze se souhlasem evropského inspektora ochrany údajů.

9.   Po jmenování pověřence pro ochranu osobních údajů sdělí orgán nebo subjekt Unie, který jej jmenoval, jeho jméno evropskému inspektorovi ochrany údajů.

Článek 45

Úkoly pověřence pro ochranu osobních údajů

1.   Pověřenec pro ochranu osobních údajů vykonává tyto úkoly:

a)

poskytovat informace a poradenství správcům nebo zpracovatelům a zaměstnancům, kteří provádějí zpracování, o jejich povinnostech podle tohoto nařízení a dalších předpisů Unie v oblasti ochrany údajů;

b)

nezávisle zajišťovat vnitřní uplatňování tohoto nařízení a monitorovat soulad s tímto nařízením, dalšími předpisy Unie nebo členských států v oblasti ochrany údajů a s koncepcemi správce nebo zpracovatele v oblasti ochrany osobních údajů, včetně rozdělení odpovědnosti, zvyšování povědomí a odborné přípravy zaměstnanců zapojených do operací zpracování a souvisejících auditů;

c)

zajišťovat informovanost subjektů údajů o jejich právech a povinnostech vyplývajících z tohoto nařízení;

d)

poskytovat poradenství na požádání, pokud jde o nezbytnost ohlašování případů porušení zabezpečení osobních údajů podle článků 34 a 35;

e)

poskytovat poradenství na požádání, pokud jde o posouzení vlivu na ochranu osobních údajů a monitorování jeho provádění podle článku 39 a konzultovat evropského inspektora ochrany údajů v případě pochybností o potřebě provést posouzení dopadu na ochranu údajů;

f)

poskytovat poradenství na požádání, pokud jde o potřebu předchozí konzultace s evropským inspektorem ochrany údajů podle článku 40 a konzultovat evropského inspektora ochrany údajů v případě pochybností o potřebě předchozí konzultace;

g)

odpovídat na žádosti evropského inspektora ochrany údajů a v oblasti své působnosti spolupracovat s evropským inspektorem ochrany údajů a konzultovat ho na jeho žádost nebo z vlastního podnětu.

h)

zajišťovat, aby při zpracování nedocházelo k poškozování práv a svobod subjektů údajů.

2.   Pověřenec pro ochranu osobních údajů může správci a zpracovateli vydávat doporučení o praktických zlepšeních a poskytovat jim poradenství o záležitostech týkajících se uplatňování ustanovení na ochranu údajů. Dále může z vlastního podnětu nebo na žádost správce nebo zpracovatele, příslušného výboru zaměstnanců nebo jakékoli fyzické osoby vyšetřovat otázky a skutečnosti, které přímo souvisejí s jeho úkoly a které mu byly oznámeny, a podat zprávu osobě, která o prošetření požádala, nebo správci nebo zpracovateli.

3.   Další prováděcí pravidla týkající se pověřence pro ochranu osobních údajů si přijímá každý orgán nebo subjekt Unie. Tato prováděcí pravidla se týkají zejména úkolů, povinností a pravomocí pověřence pro ochranu osobních údajů.

KAPITOLA V

PŘEDÁVÁNÍ OSOBNÍCH ÚDAJŮ DO TŘETÍCH ZEMÍ NEBO MEZINÁRODNÍM ORGANIZACÍM

Článek 46

Obecná zásada pro předávání

K jakémukoli předání osobních údajů, které jsou předmětem zpracování nebo které jsou určeny ke zpracování po předání do třetí země nebo mezinárodní organizaci, může dojít pouze tehdy, splní-li správce a zpracovatel v závislosti na dalších ustanoveních tohoto nařízení podmínky stanovené v této kapitole, včetně podmínek pro další předávání osobních údajů z dané třetí země nebo mezinárodní organizace do jiné třetí země nebo jiné mezinárodní organizaci. Veškerá ustanovení této kapitoly se použijí s cílem zajistit, aby úroveň ochrany fyzických osob zaručená tímto nařízením nebyla znehodnocena.

Článek 47

Předávání založené na rozhodnutí o odpovídající ochraně

1.   Předávání osobních údajů do určité třetí země nebo určité mezinárodní organizaci se může uskutečnit, jestliže Komise rozhodla podle čl. 45 odst. 3 nařízení (EU) 2016/679 nebo čl. 36 odst. 3 směrnice (EU) 2016/680, že tato třetí země, určité území nebo jedno či více konkrétních odvětví v této třetí zemi, nebo tato mezinárodní organizace zajišťují odpovídající úroveň ochrany, a jestliže jsou osobní údaje předány pouze s cílem umožnit plnění úkolů v mezích pravomoci správce.

2.   Orgány a subjekty Unie informují Komisi a evropského inspektora ochrany údajů o případech, kdy se domnívají, že dotčená třetí země, dotčené území či konkrétní odvětví v určité třetí zemi nebo mezinárodní organizace nezajišťují odpovídající úroveň ochrany ve smyslu odstavce 1.

3.   Orgány a subjekty Unie přijmou nezbytná opatření, aby vyhověly rozhodnutím přijatým Komisí, která v souladu s čl. 45 odst. 3 nebo 5 nařízení (EU) 2016/679 nebo s čl. 36 odst. 3 nebo 5 směrnice (EU) 2016/680 stanoví, že určitá třetí země, určité území či konkrétní odvětví v určité třetí zemi nebo určitá mezinárodní organizace zajišťuje, nebo již nezajišťuje, odpovídající úroveň ochrany.

Článek 48

Předávání založené na vhodných zárukách

1.   Jestliže neexistuje rozhodnutí podle čl. 45 odst. 3 nařízení (EU) 2016/679 nebo podle čl. 36 odst. 3 směrnice (EU) 2016/680, může správce nebo zpracovatel předat osobní údaje do třetí země nebo mezinárodní organizaci, pouze pokud poskytl vhodné záruky a za podmínky, že jsou k dispozici vymahatelná práva subjektu údajů a účinná právní ochrana subjektů údajů.

2.   Vhodné záruky uvedené v odstavci 1 mohou být stanoveny, aniž je zapotřebí jakékoli zvláštní povolení evropského inspektora ochrany údajů, pomocí:

a)

právně závazného a vymahatelného nástroje mezi orgány veřejné moci nebo veřejnými subjekty;

b)

standardních doložek o ochraně osobních údajů přijatých Komisí přezkumným postupem podle čl. 96 odst. 2;

c)

standardních doložek o ochraně údajů přijatých evropským inspektorem ochrany údajů a schválených Komisí přezkumným postupem podle čl. 96 odst. 2;

d)

pokud zpracovatel není orgánem či subjektem Unie, závazných podnikových pravidel, kodexů chování nebo mechanismů pro vydávání osvědčení podle čl. 46 odst. 2 písm. b), e) a f) nařízení (EU) 2016/679.

3.   S výhradou povolení od evropského inspektora ochrany údajů mohou být vhodné záruky uvedené v odstavci 1 rovněž stanoveny zejména pomocí:

a)

smluvních doložek mezi správcem nebo zpracovatelem a správcem, zpracovatelem nebo příjemcem osobních údajů ve třetí zemi nebo v mezinárodní organizaci, nebo

b)

ustanovení určených k vložení do správních ujednání mezi orgány veřejné moci nebo veřejnými subjekty, která zahrnují vymahatelná a účinná práva subjektu údajů.

4.   Povolení evropského inspektora ochrany údajů na základě čl. 9 odst. 7 nařízení (ES) č. 45/2001 zůstávají platná až do chvíle, kdy je evropský inspektor ochrany údajů v případě potřeby změní, nahradí nebo zruší.

5.   Orgány a subjekty Unie uvědomí evropského inspektora ochrany údajů o kategoriích případů, v nichž se tento článek uplatnil.

Článek 49

Předávání či zpřístupňování údajů nepovolené právem Unie

Rozhodnutí soudního orgánu a rozhodnutí správního orgánu třetí země, jež po správci nebo zpracovateli požadují předání nebo zpřístupnění osobních údajů, lze jakýmkoli způsobem uznat nebo vymáhat, pouze pokud vycházejí z mezinárodní dohody, například úmluvy o vzájemné právní pomoci, která je v platnosti mezi žádající třetí zemí a Unií, aniž jsou dotčeny jiné důvody pro předání podle této kapitoly.

Článek 50

Výjimky pro specifické situace

1.   Jestliže neexistují rozhodnutí o odpovídající ochraně podle čl. 45 odst. 3 nařízení (EU) 2016/679 nebo podle čl. 36 odst. 3 směrnice (EU) 2016/680 ani vhodné záruky podle článku 48 tohoto nařízení, může se předání nebo soubor předání osobních údajů do třetí země nebo mezinárodní organizaci uskutečnit pouze při splnění jedné z následujících podmínek:

a)

daný subjekt údajů byl informován o možných rizicích, která pro něj z neexistence rozhodnutí o odpovídající ochraně a vhodných záruk vyplývají, a následně k navrhovanému předání udělil výslovný souhlas;

b)

předání je nezbytné pro splnění smlouvy mezi subjektem údajů a správcem nebo pro přijetí opatření na žádost subjektu údajů před uzavřením smlouvy;

c)

předání je nezbytné pro uzavření nebo splnění smlouvy, která byla uzavřena v zájmu subjektu údajů mezi správcem a jinou fyzickou nebo právnickou osobou;

d)

předání je nezbytné z důležitých důvodů veřejného zájmu;

e)

předání je nezbytné pro určení, výkon nebo obhajobu právních nároků;

f)

předání je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné osoby v případě, že subjekt údajů není fyzicky nebo právně způsobilý udělit souhlas, nebo

g)

k předání dochází z rejstříku, který je na základě práva Unie určen pro informování veřejnosti a je přístupný k nahlížení veřejnosti obecně nebo jakékoli osobě, která může prokázat oprávněný zájem, avšak pouze pokud jsou v daném případě splněny podmínky pro nahlížení stanovené právem Unie.

2.   Ustanovení odst. 1 písm. a), b) a c) se nevztahují na činnosti prováděné orgány a subjekty Unie při výkonu jejich úředních pravomocí.

3.   Veřejný zájem uvedený v odst. 1 písm. d) musí být uznán právem Unie.

4.   Předmětem předání podle odst. 1 písm. g) nejsou veškeré osobní údaje nebo veškeré kategorie osobních údajů, které jsou v rejstříku obsaženy, není-li to povoleno právem Unie. Má-li rejstřík sloužit k nahlížení osobám majícím oprávněný zájem, předání se uskuteční, pouze pokud o to tyto osoby požádají nebo pokud tyto osoby mají být příjemcem.

5.   V případě neexistence rozhodnutí o odpovídající ochraně může právo Unie z důležitých důvodů veřejného zájmu výslovně stanovit omezení předání konkrétních kategorií osobních údajů do třetí země nebo mezinárodní organizaci.

6.   Orgány a subjekty Unie uvědomí evropského inspektora ochrany údajů o kategoriích případů, v nichž se tento článek uplatnil.

Článek 51

Mezinárodní spolupráce v zájmu ochrany osobních údajů

Ve vztahu k třetím zemím a mezinárodním organizacím podnikne evropský inspektor ochrany údajů ve spolupráci s Komisí a Evropským sborem pro ochranu údajů vhodné kroky v zájmu:

a)

rozvoje mechanismů pro mezinárodní spolupráci, aby se usnadnilo účinné prosazování právních předpisů na ochranu osobních údajů;

b)

poskytování vzájemné pomoci na mezinárodní úrovni při prosazování právních předpisů na ochranu osobních údajů, a to mimo jiné formou oznamování, postupování stížností, pomoci při vyšetřování a výměny informací, pod podmínkou vhodných záruk ochrany osobních údajů a jiných základních práv a svobod;

c)

zapojení příslušných zúčastněných stran do diskuse a činností zacílených na prohlubování mezinárodní spolupráce při prosazování právních předpisů na ochranu osobních údajů;

d)

podpoření výměny a dokumentace v souvislosti s právními předpisy a praxí v oblasti ochrany osobních údajů, mimo jiné o kompetenčních sporech se třetími zeměmi.

KAPITOLA VI

EVROPSKÝ INSPEKTOR OCHRANY ÚDAJŮ

Článek 52

Evropský inspektor ochrany údajů

1.   Zřizuje se evropský inspektor ochrany údajů.

2.   V oblasti zpracování osobních údajů evropský inspektor ochrany údajů zajišťuje, aby orgány a subjekty Unie dodržovaly základní práva a svobody fyzických osob, zejména jejich právo na ochranu údajů.

3.   Evropský inspektor ochrany údajů monitoruje uplatňování ustanovení tohoto nařízení a všech ostatních aktů Unie souvisejících s ochranou základních práv a svobod fyzických osob v souvislosti se zpracováním osobních údajů orgánem či subjektem Unie, zajišťuje uplatňování těchto ustanovení a poskytuje orgánům a subjektům Unie a subjektům údajů poradenství ve všech otázkách, které se týkají zpracování osobních údajů. Za tímto účelem plní povinnosti stanovené v článku 57 a vykonává pravomoci stanovené v článku 58.

4.   Na dokumenty, které má evropský inspektor ochrany údajů k dispozici, se vztahuje nařízení (ES) č. 1049/2001. Evropský inspektor ochrany údajů přijímá s ohledem na tyto dokumenty podrobná prováděcí pravidla k nařízení (ES) č. 1049/2001.

Článek 53

Jmenování evropského inspektora ochrany údajů

1.   Evropský parlament a Rada vzájemnou dohodou jmenují evropského inspektora ochrany údajů na dobu pěti let ze seznamu sestaveného Komisí po veřejné výzvě k přihlášení uchazečů. Tato výzva musí umožnit všem zájemcům v Unii, aby podali svou přihlášku. Seznam uchazečů sestavený Komisí je veřejný a skládá se nejméně ze tří uchazečů. Na základě seznamu vypracovaného Komisí může příslušný výbor Evropského parlamentu uspořádat slyšení, aby mohl vyjádřit některému uchazeči svou přednostní podporu.

2.   Na seznam uchazečů uvedených v odstavci 1 se zapisují osoby, o jejichž nezávislosti není pochybnost a jež prokázaly odborné znalosti v oblasti ochrany údajů i zkušenosti a dovednosti potřebné k výkonu povinností evropského inspektora ochrany údajů.

3.   Evropského inspektora ochrany údajů lze jmenovat na jedno další funkční období.

4.   Evropský inspektor ochrany údajů pozbývá funkce za těchto okolností:

a)

je-li nahrazen;

b)

odstoupí-li;

c)

je-li odvolán z funkce nebo povinně odejde do důchodu.

5.   Evropského inspektora ochrany údajů může z funkce odvolat nebo zbavit nároku na důchod nebo jej nahrazující požitky Soudní dvůr na žádost Evropského parlamentu, Rady nebo Komise, nesplňuje-li nadále podmínky nezbytné k výkonu svých povinností nebo porušil-li závažným způsobem své povinnosti.

6.   V případě pravidelné obměny nebo dobrovolného odstoupení zůstává evropský inspektor ochrany údajů ve funkci, dokud není nahrazen.

7.   Na evropského inspektora ochrany údajů se vztahují články 11 až 14 a 17 Protokolu o výsadách a imunitách Evropské unie.

Článek 54

Úprava a obecné podmínky výkonu funkce evropského inspektora ochrany údajů, lidské a finanční zdroje

1.   Pokud jde o určování odměny, náhrad, starobního důchodu a všech dalších náhrad poskytovaných místo odměny, považuje se evropský inspektor ochrany údajů za rovnocenného soudci Soudního dvora.

2.   Rozpočtový orgán zajistí, aby měl evropský inspektor ochrany údajů k dispozici lidské a finanční zdroje nutné pro výkon svých úkolů.

3.   Rozpočet evropského inspektora ochrany údajů je veden v samostatném rozpočtovém okruhu v oddíle souhrnného rozpočtu Unie týkajícím se správních výdajů.

4.   Evropskému inspektorovi ochrany údajů je nápomocen sekretariát. Úředníky a ostatní zaměstnance sekretariátu jmenuje a řídí evropský inspektor ochrany údajů. Tyto osoby podléhají výlučně jeho pokynům. O jejich počtu se rozhoduje každý rok v rozpočtovém procesu. Na zaměstnance evropského inspektora ochrany údajů, kteří vykonávají úkoly svěřené právem Unie Evropskému sboru pro ochranu osobních údajů, se vztahuje čl. 75 odst. 2 nařízení (EU) 2016/679.

5.   Na úředníky a ostatní zaměstnance sekretariátu evropského inspektora ochrany údajů se vztahují pravidla a nařízení platná pro úředníky a ostatní zaměstnance Unie.

6.   Sídlem evropského inspektora ochrany údajů je Brusel.

Článek 55

Nezávislost

1.   Evropský inspektor ochrany údajů jedná při plnění svých úkolů a při výkonu svých pravomocí podle tohoto nařízení zcela nezávisle.

2.   Evropský inspektor ochrany údajů musí při plnění svých úkolů a výkonu svých pravomocí podle tohoto nařízení zůstávat nezávislý na vnějším vlivu, přímém či nepřímém, a od nikoho nesmí vyžadovat ani přijímat pokyny.

3.   Evropský inspektor ochrany údajů se zdrží jakéhokoliv jednání neslučitelného se svou funkcí a během svého funkčního období nesmí vykonávat žádnou výdělečnou ani nevýdělečnou pracovní činnost.

4.   Po skončení svého funkčního období je evropský inspektor ochrany údajů povinen při přijímání určitých funkcí a výhod jednat čestně a uvážlivě.

Článek 56

Služební tajemství

Evropský inspektor ochrany údajů a jeho zaměstnanci jsou během svého funkčního období a po jeho skončení vázáni služebním tajemstvím v souvislosti se všemi důvěrnými informacemi, o nichž se dozvěděli během výkonu svých služebních povinností.

Článek 57

Úkoly

1.   Aniž jsou dotčeny další úkoly stanovené tímto nařízením, evropský inspektor ochrany údajů:

a)

monitoruje a vymáhá uplatňování tohoto nařízení orgány a subjekty Unie, s výjimkou zpracování osobních údajů Soudním dvorem, pokud jedná v rámci svých soudních pravomocí;

b)

zvyšuje povědomí veřejnosti o rizicích, pravidlech, zárukách a právech v souvislosti se zpracováním a podporuje porozumění těmto otázkám. Zvláštní pozornost se přitom věnuje akcím, které jsou určeny speciálně pro děti;

c)

podporuje povědomí správců a zpracovatelů o jejich povinnostech podle tohoto nařízení;

d)

na požádání poskytuje všem subjektům údajů informace ohledně výkonu jejich práv podle tohoto nařízení a, je-li to vhodné, spolupracuje za tímto účelem s vnitrostátními dozorovými úřady;

e)

zabývá se stížnostmi, které mu podá subjekt údajů nebo subjekt, organizace či sdružení v souladu s článkem 67, a ve vhodné míře prošetřuje předmět stížnosti a v přiměřené lhůtě informuje stěžovatele o vývoji a výsledku šetření, zejména v případech, kdy je zapotřebí další šetření nebo koordinace s jiným dozorovým úřadem;

f)

provádí šetření o uplatňování tohoto nařízení, mimo jiné na základě informací obdržených od jiného dozorového úřadu či jiného orgánu veřejné moci;

g)

z vlastního podnětu nebo na požádání poskytuje poradenství všem orgánům a subjektům Unie o legislativních a správních opatřeních týkajících se ochrany práv a svobod fyzických osob v souvislosti se zpracováváním osobních údajů;

h)

monitoruje vývoj v relevantních oblastech, pokud má vliv na ochranu osobních údajů, zejména vývoj informačních a komunikačních technologií;

i)

přijímá standardní smluvní doložky uvedené v čl. 29 odst. 8 a čl. 48 odst. 2 písm. c);

j)

připravuje a udržuje seznam v souvislosti s požadavkem provádět posouzení vlivu na ochranu osobních údajů podle čl. 39 odst. 4;

k)

účastní se činností Evropského sboru pro ochranu údajů;

l)

poskytuje služby sekretariátu pro Evropský sbor pro ochranu údajů v souladu s článkem 75 nařízení (EU) 2016/679;

m)

poskytuje poradenství o zpracování uvedeném v čl. 40 odst. 2;

n)

povoluje smluvní doložky a ustanovení uvedené v čl. 48 odst. 3;

o)

vede interní záznamy o porušeních tohoto nařízení a o opatřeních přijatých podle čl. 58 odst. 2;

p)

plní veškeré další úkoly související s ochranou osobních údajů a

q)

vypracuje svůj jednací řád.

2.   Evropský inspektor ochrany údajů usnadňuje podávání stížností uvedených v odst. 1 písm. e) poskytnutím formuláře pro podávání stížností, který lze vyplnit i v elektronické formě, aniž jsou vyloučeny jiné komunikační prostředky.

3.   Plnění úkolů Evropského inspektora ochrany údajů je pro subjekt údajů bezplatné.

4.   Jsou-li žádosti zjevně nedůvodné nebo nepřiměřené, zejména protože se opakují, může evropský inspektor ochrany údajů odmítnout žádosti vyhovět. Zjevnou nedůvodnost nebo nepřiměřenost žádosti dokládá evropský inspektor ochrany údajů.

Článek 58

Pravomoci

1.   Evropský inspektor ochrany údajů má tyto vyšetřovací pravomoci:

a)

nařídit správci a zpracovateli, aby mu poskytli veškeré informace, které potřebuje pro plnění svých úkolů;

b)

provádět vyšetřování formou auditů ochrany údajů;

c)

ohlásit správci nebo zpracovateli údajné porušení tohoto nařízení;

d)

získat od správce a zpracovatele přístup ke všem osobním údajům a ke všem informacím, které potřebuje pro plnění svých úkolů;

e)

získat přístup do všech prostor, v nichž správce a zpracovatel působí, včetně přístupu k veškerému zařízení a prostředkům určeným ke zpracování údajů, v souladu s právem Unie.

2.   Evropský inspektor ochrany údajů má tyto nápravné pravomoci:

a)

upozornit správce či zpracovatele, že zamýšlené operace zpracování pravděpodobně porušují toto nařízení;

b)

udělit napomenutí správci či zpracovateli, jehož operace zpracování porušily toto nařízení;

c)

předložit věci dotčenému správci nebo zpracovateli a v případě potřeby Evropskému parlamentu, Radě a Komisi;

d)

nařídit správci nebo zpracovateli, aby vyhověli žádostem subjektu údajů o výkon jeho práv podle tohoto nařízení;

e)

nařídit správci či zpracovateli, aby uvedl operace zpracování do souladu s tímto nařízením, a to případně předepsaným způsobem a ve stanovené lhůtě;

f)

nařídit správci, aby subjektu údajů oznámil případy porušení zabezpečení osobních údajů;

g)

uložit dočasné nebo trvalé omezení zpracování, včetně jeho zákazu;

h)

nařídit opravu či výmaz osobních údajů nebo omezení zpracování podle článků 18, 19 a 20 a oznamování takových opatření příjemcům, jimž byly osobní údaje zpřístupněny podle čl. 19 odst. 2 a článku 21;

i)

uložit správní pokutu podle článku 66 v případě, že orgán nebo subjekt Unie nesplní jedno z opatření uvedených v písm. d) až h) a v písmenu j) tohoto odstavce v závislosti na okolnostech každého jednotlivého případu;

j)

nařídit přerušení toků údajů příjemci v členském státě, v třetí zemi nebo toků údajů mezinárodní organizaci.

3.   Evropský inspektor ochrany údajů má tyto povolovací a poradní pravomoci:

a)

poskytovat poradenství subjektům údajů při výkonu jejich práv;

b)

poskytovat poradenství správci v souladu s postupem předchozí konzultace podle článku 40 a v souladu s čl. 41 odst. 2;

c)

z vlastního podnětu nebo na požádání vydávat stanoviska určená orgánům a subjektům Unie, jakož i veřejnosti, ohledně veškerých otázek souvisejících s ochranou osobních údajů;

d)

přijímat standardní doložky o ochraně údajů podle čl. 29 odst. 8 a čl. 48 odst. 2 písm. c);

e)

povolovat smluvní doložky podle čl. 48 odst. 3 písm. a);

f)

povolovat správní ujednání podle čl. 48 odst. 3 písm. b).

g)

povolovat operace zpracování na základě prováděcích aktů přijatých podle čl. 40 odst. 4.

4.   Evropský inspektor ochrany údajů má pravomoc předložit věc Soudnímu dvoru za podmínek stanovených ve Smlouvách a vstupovat jako vedlejší účastník do řízení před Soudním dvorem.

5.   Výkon pravomocí svěřených tímto článkem evropskému inspektorovi ochrany údajů podléhá vhodným zárukám, včetně účinné soudní ochrany a spravedlivého procesu, stanoveným v právu Unie.

Článek 59

Povinnost správců a zpracovatelů odpovědět na vyjádření

Jestliže evropský inspektor ochrany údajů vykonává pravomoci stanovené v čl. 58 odst. 2 písm. a), b) a c), informuje dotčený správce nebo zpracovatel evropského inspektora ochrany údajů o svém stanovisku v přiměřené lhůtě, kterou po zohlednění okolností jednotlivé věci určí evropský inspektor ochrany údajů. Stanovisko obsahuje rovněž popis případných opatření přijatých v reakci na připomínky evropského inspektora ochrany údajů.

Článek 60

Zprávy o činnosti

1.   Evropský inspektor ochrany údajů předkládá výroční zprávu o své činnosti Evropskému parlamentu, Radě a Komisi a zároveň ji zveřejňuje.

2.   Evropský inspektor ochrany údajů předá zprávu uvedenou v odstavci 1 ostatním orgánům a subjektům Unie, které mohou předložit připomínky k případnému přezkumu zprávy Evropským parlamentem.

KAPITOLA VII

SPOLUPRÁCE A JEDNOTNOST

Článek 61

Spolupráce mezi evropským inspektorem ochrany údajů a vnitrostátními dozorovými úřady

Evropský inspektor ochrany údajů spolupracuje s vnitrostátními dozorovými úřady a se společným kontrolním orgánem zřízeným podle článku 25 rozhodnutí Rady 2009/917/SVV (19) v rozsahu nezbytném pro plnění jejich příslušných úkolů, zejména tak, že si navzájem poskytují relevantní informace, žádají se navzájem o výkon svých pravomocí a reagují na vzájemné žádosti.

Článek 62

Koordinovaný dozor evropského inspektora ochrany údajů a vnitrostátních dozorových úřadů

1.   Pokud akt Unie odkazuje na tento článek, spolupracují evropský inspektor ochrany údajů a vnitrostátní dozorové úřady v mezích svých pravomocí aktivně v rámci plnění svých úkolů na zajištění účinného dozoru nad velkými informačními systémy a nad institucemi a jinými subjekty Unie.

2.   Evropský inspektor ochrany údajů a vnitrostátní dozorové úřady si v rámci svých příslušných pravomocí a svých úkolů podle potřeby navzájem vyměňují relevantní informace, pomáhají si vzájemně při provádění auditů a inspekcí, přezkoumávají potíže s výkladem nebo uplatňováním tohoto nařízení a jiných použitelných aktů Unie, zkoumají potíže s výkonem nezávislého dozoru nebo s výkonem práv subjektů údajů, vypracovávají harmonizované návrhy řešení problémů a zvyšují informovanost o právech na ochranu údajů.

3.   Pro účely uvedené v odstavci 2 se evropský inspektor ochrany údajů schází s vnitrostátními dozorovými úřady nejméně dvakrát ročně v Evropském sboru pro ochranu údajů. Za tímto účelem může Evropský sbor pro ochranu údajů podle potřeby vypracovat další pracovní metody.

4.   Jednou za dva roky zašle Evropský sbor pro ochranu údajů Evropskému parlamentu, Radě a Komisi společnou zprávu o koordinovaných činnostech dozoru.

KAPITOLA VIII

PRÁVNÍ OCHRANA, ODPOVĚDNOST A SANKCE

Článek 63

Právo podat stížnost u evropského inspektora ochrany údajů

1.   Aniž jsou dotčeny jakékoli prostředky soudní, správní nebo mimosoudní ochrany, má každý subjekt údajů právo podat stížnost u evropského inspektora ochrany údajů, pokud se domnívá, že zpracováním jeho osobních údajů je porušeno toto nařízení.

2.   Evropský inspektor ochrany údajů informuje stěžovatele o pokroku v řešení stížnosti a o jeho výsledku, jakož i o možnosti soudní ochrany podle článku 64.

3.   Pokud se evropský inspektor ochrany údajů stížností nezabývá nebo neinformuje subjekt údajů do tří měsíců o pokroku v řešení stížnosti, má se za to, že evropský inspektor ochrany údajů stížnost zamítl.

Článek 64

Právo na účinnou soudní ochranu

1.   Soudní dvůr má soudní pravomoc pro řešení všech sporů, které se týkají tohoto nařízení, včetně žalob o náhradu škody.

2.   Proti rozhodnutím evropského inspektora ochrany údajů, včetně rozhodnutí podle čl. 63 odst. 3, lze podat žalobu k Soudnímu dvoru.

3.   Soudní dvůr má neomezenou pravomoc přezkoumávat správní pokuty uvedené v článku 66. Tyto pokuty může v mezích stanovených v článku 66 zrušit, snížit nebo zvýšit.

Článek 65

Právo na náhradu újmy

Kdokoli, kdo v důsledku porušení tohoto nařízení utrpěl hmotnou či nehmotnou újmu, má právo obdržet od orgánu nebo subjektu Unie náhradu utrpěné újmy za podmínek stanovených ve Smlouvách.

Článek 66

Správní pokuty

1.   Jestliže orgán nebo subjekt Unie nesplní příkaz evropského inspektora ochrany údajů podle čl. 58 odst. 2 písm. d) až h) a j), může mu evropský inspektor ochrany údajů uložit správní pokutu podle okolností každého jednotlivého případu. Při rozhodování o tom, zda uložit správní pokutu, a rozhodování o výši správní pokuty v jednotlivých případech řádně zohlední tyto okolnosti:

a)

povahu, závažnost a délku trvání porušení s přihlédnutím k povaze, rozsahu či účelu dotčeného zpracování, jakož i k počtu dotčených subjektů údajů a míře škody, jež jim byla způsobena;

b)

kroky podniknuté orgánem nebo subjektem Unie ke zmírnění škod způsobených subjektům údajů;

c)

míru odpovědnosti orgánu nebo subjektu Unie s přihlédnutím k technickým a organizačním opatřením jimi zavedeným podle článků 27 a 33;

d)

veškerá podobná předchozí porušení orgánem nebo subjektem Unie;

e)

míru spolupráce s evropským inspektorem ochrany údajů za účelem nápravy daného porušení a zmírnění jeho možných nežádoucích účinků;

f)

kategorie osobních údajů dotčené daným porušením;

g)

způsob, jakým se evropský inspektor ochrany údajů dozvěděl o porušení, zejména zda orgán nebo subjekt Unie porušení oznámil, a pokud ano, v jaké míře;

h)

splnění případných opatření uvedených v článku 58, jež byla vůči danému orgánu nebo subjektu Unie v souvislosti s týmž předmětem dříve nařízena. Řízení o uložení těchto pokut proběhnou v přiměřeném časovém rámci v závislosti na okolnostech věci a s přihlédnutím k příslušným úkonům a řízením uvedeným v článku 69.

2.   Za porušení povinností orgánu nebo subjektu Unie podle článků 8, 12, 27 až 35, 39, 40, 43, 44 a 45 se uloží v souladu s odstavcem 1 tohoto článku správní pokuty až do výše 25 000 EUR za jednotlivé porušení a 250 000 EUR celkem za rok.

3.   Za porušení následujících ustanovení orgánem nebo subjektem Unie se uloží v souladu s odstavcem 1 správní pokuty až do výše 50 000 EUR za jednotlivé porušení a 500 000 EUR celkem za rok:

a)

základní zásady pro zpracování, včetně podmínek týkajících se souhlasu podle článků 4, 5, 7 a 10;

b)

práva subjektů údajů podle článků 14 až 24;

c)

předávání osobních údajů příjemci ve třetí zemi nebo mezinárodní organizaci podle článků 46 až 50.

4.   Pokud orgán nebo subjekt Unie u stejných nebo souvisejících nebo trvajících operací zpracování poruší více ustanovení tohoto nařízení nebo několikrát stejné ustanovení tohoto nařízení, nesmí celková výše správní pokuty překročit výši stanovenou pro nejzávažnější porušení.

5.   Před přijetím rozhodnutí podle tohoto článku poskytne evropský inspektor ochrany údajů orgánu nebo subjektu Unie, se kterým vede řízení, příležitost vyjádřit své stanovisko k záležitostem, ke kterým vznesl námitky. Evropský inspektor ochrany údajů zakládá své rozhodnutí pouze na námitkách, ke kterým se dotčené osoby mohly vyjádřit. Stěžovatelé jsou do řízení úzce zapojeni.

6.   Při řízení musí být plně dodržováno právo dotyčných stran na obhajobu. Musí mít přístup do spisu evropského inspektora ochrany údajů, s výhradou oprávněného zájmu jednotlivců nebo podniků na ochraně jejich osobních údajů nebo obchodního tajemství.

7.   Prostředky vybrané ukládáním pokut podle tohoto článku jsou příjmem souhrnného rozpočtu Unie.

Článek 67

Zastupování subjektů údajů

Subjekt údajů má právo pověřit neziskový subjekt, organizaci nebo sdružení, jež byly řádně založeny v souladu s právem Unie nebo právem některého členského státu, jejichž statutární cíle jsou ve veřejném zájmu a jež působí v oblasti ochrany práv a svobod subjektů údajů, aby v souvislosti s ochranou jeho osobních údajů jeho jménem podaly stížnost u evropského inspektora ochrany údajů, uplatnily práva uvedená v článcích 63 a 64 a uplatnily právo na náhradu újmy podle článku 65.

Článek 68

Stížnosti zaměstnanců Unie

Jakákoliv osoba zaměstnaná v orgánu nebo subjektu Unie může podat stížnost u evropského inspektora ochrany údajů týkající se údajného porušení ustanovení tohoto nařízení, a to i neúřední cestou. Nikomu nesmí být na újmu, že podal evropskému inspektorovi ochrany údajů stížnost na údajné porušení ochrany údajů.

Článek 69

Sankce

Pokud úředník nebo jiný zaměstnanec Unie poruší povinnosti stanovené tímto nařízením, ať úmyslně, nebo z nedbalosti, podléhá disciplinárním nebo jiným úkonům v souladu s pravidly a postupy stanovenými ve služebním řádu.

KAPITOLA IX

ZPRACOVÁNÍ OPERATIVNÍCH OSOBNÍCH ÚDAJŮ INSTITUCEMI A JINÝMI SUBJEKTY UNIE PŘI VÝKONU ČINNOSTÍ, KTERÉ SPADAJÍ DO OBLASTI PŮSOBNOSTI ČÁSTI TŘETÍ HLAVY V KAPITOLY 4 NEBO 5 SMLOUVY O FUNGOVÁNÍ EU

Článek 70

Oblast působnosti kapitoly

Tato kapitola se vztahuje pouze na zpracování operativních osobních údajů institucemi a jinými subjekty Unie při výkonu činností, které spadají do oblasti působnosti části třetí hlavy V kapitoly 4 nebo 5 Smlouvy o fungování EU, aniž jsou dotčeny zvláštní předpisy pro ochranu údajů vztahující se na takovou instituci či jiný subjekt Unie.

Článek 71

Zásady zpracování operativních osobních údajů

1.   Operativní osobní údaje musí být:

a)

zpracovávány zákonným způsobem a korektně („zákonnost a korektnost“),

b)

shromažďovány pro určité, výslovně vyjádřené a legitimní účely a nesmějí být zpracovávány způsobem, který je s těmito účely neslučitelný („účelové omezení“);

c)

přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu, pro který jsou zpracovávány („minimalizace údajů“);

d)

přesné a v případě potřeby průběžně aktualizované; musí být přijata veškerá rozumná opatření, aby operativní osobní údaje, které jsou nepřesné s přihlédnutím k účelům, pro které se zpracovávají, byly bezodkladně vymazány nebo opraveny („přesnost“);

e)

uchovávány ve formě umožňující identifikaci subjektů údajů po dobu ne delší, než je nezbytné pro účely, pro které jsou operativní osobní údaje zpracovávány („omezení uložení“);

f)

zpracovávány způsobem, který zajistí náležité zabezpečení operativních osobních údajů, včetně jejich ochrany pomocí vhodných technických nebo organizačních opatření před neoprávněným či protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením („integrita a důvěrnost“).

2.   Zpracování stejným nebo jiným správcem pro kterýkoli účel uvedený v právním aktu, jímž se zřizuje instituce nebo jiný subjekt Unie, odlišný od účelu, pro nějž byly operativní osobní údaje shromážděny, je přípustné:

a)

pokud je správce v souladu s právem Unie oprávněn zpracovávat takové operativní osobní údaje pro takový účel a

b)

pokud je v souladu s právem Unie zpracování pro tento jiný účel nezbytné a přiměřené.

3.   Zpracování stejným nebo jiným správcem může zahrnovat archivaci ve veřejném zájmu či vědecké, statistické či historické použití pro účely uvedené v právním aktu, jímž se zřizuje instituce nebo jiný subjekt Unie, pod podmínkou vhodných záruk práv a svobod subjektů údajů.

4.   Správce odpovídá za dodržení odstavců 1, 2 a 3 a musí být schopen toto dodržení doložit.

Článek 72

Zákonnost zpracování operativních osobních údajů

1.   Zpracování operativních osobních údajů je zákonné pouze tehdy a do té míry, pokud je nezbytné ke splnění úkolů prováděných institucemi a jinými subjekty Unie při výkonu činností, které spadají do oblasti působnosti části třetí hlavy V kapitoly 4 nebo 5 Smlouvy o fungování EU, a pokud má základ v právu Unie.

2.   Zvláštní právní akty Unie upravující zpracování v oblasti působnosti této kapitoly určí přinejmenším cíle zpracování, operativní osobní údaje, jež mají být zpracovány, účel zpracování a lhůty pro jejich uložení nebo pro pravidelný přezkum nutnosti prodloužení doby jejich uložení.

Článek 73

Rozlišování mezi odlišnými kategoriemi subjektů údajů

Správce v příslušných případech, a pokud je to možné, jasně rozlišuje mezi operativními osobními údaji různých kategorií subjektů údajů, jako jsou kategorie uvedené v právních aktech, jimiž se zřizují instituce a jiné subjekty Unie.

Článek 74

Rozlišování mezi operativními osobními údaji a ověřování jejich kvality

1.   Správce pokud možno rozlišuje operativní osobní údaje založené na skutečnostech a operativní osobní údaje založené na osobních hodnoceních.

2.   Správce učiní veškerá rozumná opatření s cílem zajistit, aby nebyly předávány ani zpřístupňovány operativní osobní údaje, které jsou nepřesné či neúplné nebo již nejsou aktuální. Za tímto účelem správce v příslušném případě ověří, je-li to proveditelné, kvalitu operativních osobních údajů před jejich předáním nebo zpřístupněním, například prostřednictvím konzultace s příslušným orgánem, od něhož údaje pocházejí. Při každém předání operativních osobních údajů k nim správce pokud možno doplní nezbytné informace, jež umožní příjemci zhodnotit míru jejich přesnosti, úplnosti, spolehlivosti a aktuálnosti.

3.   Zjistí-li se, že došlo k předání nesprávných operativních osobních údajů nebo že operativní osobní údaje byly předány protiprávně, musí o tom být příjemce neprodleně vyrozuměn. V takovém případě musí být dotčené operativní osobní údaje opraveny nebo vymazány nebo být omezeno jejich zpracování v souladu s článkem 82.

Článek 75

Zvláštní podmínky pro zpracování

1.   Jestliže právo Unie použitelné na předávajícího správce stanoví zvláštní podmínky pro zpracování údajů, informuje správce příjemce takových osobních údajů o těchto podmínkách a o nutnosti je dodržovat.

2.   Správce dodržuje zvláštní podmínky pro zpracování údajů stanovené předávajícím příslušným orgánem v souladu s čl. 9 odst. 3 a 4 směrnice (EU) 2016/680.

Článek 76

Zpracování zvláštních kategorií operativních osobních údajů

1.   Zpracování operativních osobních údajů, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filosofickém přesvědčení nebo členství v odborech, a zpracovaní genetických údajů, biometrických údajů za účelem jedinečné identifikace fyzické osoby, operativních osobních údajů o zdravotním stavu nebo údajů o sexuálním životě či sexuální orientaci fyzické osoby je povoleno pouze tehdy, pokud je to zcela nezbytné pro operativní účely, spadá to do pravomoci dotčené instituce nebo jiného subjektu Unie a existují vhodné záruky práv a svobod subjektu údajů. Diskriminace fyzických osob na základě těchto osobních údajů je zakázána.

2.   O použití tohoto článku musí být neprodleně informován pověřenec pro ochranu osobních údajů.

Článek 77

Automatizované individuální rozhodování, včetně profilování

1.   Rozhodování založené výhradně na automatizovaném zpracování včetně profilování, které má pro subjekt údajů nepříznivé právní účinky nebo se ho významně dotýká, je zakázáno, není-li povoleno právem Unie, které se na správce vztahuje a které poskytuje vhodné záruky práv a svobod subjektu údajů, alespoň práva na lidský zásah ze strany správce.

2.   Rozhodnutí uvedená v odstavci 1 tohoto článku se nesmějí opírat o zvláštní kategorie osobních údajů uvedené v článku 76, pokud nejsou zavedena vhodná opatření s cílem zaručit práva, svobody a oprávněné zájmy subjektu údajů.

3.   Profilování, které vede k diskriminaci fyzických osob na základě zvláštních kategorií osobních údajů uvedených v článku 76, je v souladu s právem Unie zakázáno.

Článek 78

Sdělení a postupy pro výkon práv subjektu údajů

1.   Správce podnikne všechny přiměřené kroky k tomu, aby subjektu údajů poskytl stručným, srozumitelným a snadno přístupným způsobem za použití jasných a jednoduchých jazykových prostředků veškeré informace uvedené v článku 79 a učinil veškerá sdělení s ohledem na články 80 až 84 a 92 o zpracování. Informace jsou poskytovány jakýmikoliv vhodnými prostředky, a to i v elektronické formě. Obecně platí, že správce poskytne informace ve stejné podobě jako žádost.

2.   Správce usnadňuje výkon práv subjektu údajů podle článků 79 až 84.

3.   Správce písemně bez zbytečného odkladu, a v každém případě do tří měsíců od obdržení žádosti subjektu údajů, informuje subjekt údajů o tom, jaké kroky se podnikají v návaznosti na jeho žádost.

4.   Správce poskytuje informace podle článku 79 a činí veškerá sdělení a veškeré úkony podle článků 80 až 84 a 92 bezplatně. Jsou-li žádosti podané subjektem údajů zjevně nedůvodné nebo nepřiměřené, zejména protože se opakují, může správce odmítnout žádosti vyhovět. Zjevnou nedůvodnost nebo nepřiměřenost žádosti dokládá správce.

5.   Pokud má správce důvodné pochybnosti o totožnosti fyzické osoby, která podává žádost podle článku 80 nebo 82, může požádat o poskytnutí dodatečných informací nezbytných k potvrzení totožnosti subjektu údajů.

Článek 79

Informace poskytované subjektu údajů

1.   Správce poskytne subjektu údajů alespoň tyto informace:

a)

údaje o totožnosti a kontaktní údaje instituce nebo jiného subjektu Unie;

b)

kontaktní údaje pověřence pro ochranu osobních údajů;

c)

informace o účelech zpracování, pro které jsou operativní osobní údaje určeny;

d)

informace o existenci práva podat stížnost u evropského inspektora ochrany údajů a jeho kontaktní údaje;

e)

informace o existenci práva požadovat od správce přístup k operativním osobním údajům, jejich opravu či výmaz nebo omezení zpracování operativních údajů týkajících se subjektu údajů.

2.   Vedle informací uvedených v odstavci 1 poskytne správce subjektu údajů ve zvláštních případech vymezených právem Unie tyto další informace s cílem umožnit výkon jeho práv:

a)

právní základ zpracování;

b)

dobu, po kterou budou operativní osobní údaje uloženy, nebo není-li ji možné určit, kritéria použitá ke stanovení této doby;

c)

případné kategorie příjemců daných operativních osobních údajů, včetně příjemců ve třetích zemích nebo v mezinárodních organizacích;

d)

v případě potřeby doplňující informace, zejména jsou-li operativní osobní údaje sebrány bez vědomí subjektu údajů.

3.   Správce může poskytnutí informací subjektu údajů podle odstavce 2 odložit, omezit či od něho upustit v takovém rozsahu a na takovou dobu, jak je to v demokratické společnosti s náležitým přihlédnutím k základním právům a oprávněným zájmům dotčené fyzické osoby nutné a přiměřené, s cílem:

a)

zabránit maření úředních nebo právních šetření, vyšetřování nebo postupů;

b)

zabránit nepříznivému ovlivňování prevence, odhalování, vyšetřování či stíhání trestných činů nebo výkonu trestů;

c)

chránit veřejnou bezpečnost členských států;

d)

chránit národní bezpečnost členských států;

e)

chránit práva a svobody druhých, například obětí a svědků.

Článek 80

Právo subjektu údajů na přístup k informacím

Subjekt údajů má právo získat od správce potvrzení, zda operativní osobní údaje, které se ho týkají, jsou, či nejsou zpracovávány, a pokud je tomu tak, má právo získat přístup k operativním osobním údajům a k následujícím informacím:

a)

účely a právní základ zpracování;

b)

kategorie dotčených operativních osobních údajů;

c)

příjemci nebo kategorie příjemců, kterým byly operativní osobní údaje zpřístupněny, zejména příjemci ve třetích zemích nebo v mezinárodních organizacích;

d)

pokud možno předpokládaná doba, po kterou budou operativní osobní údaje uloženy, nebo není-li ji možné určit, kritéria použitá ke stanovení této doby;

e)

existence práva požadovat od správce opravu nebo výmaz operativních osobních údajů nebo omezení zpracování operativních osobních údajů týkajících se subjektu údajů;

f)

existence práva podat stížnost u evropského inspektora ochrany údajů a jeho kontaktní údaje;

g)

sdělení operativních osobních údajů, které jsou předmětem zpracování, a veškerých dostupných informacích o jejich původu.

Článek 81

Omezení práva na přístup

1.   Správce může právo subjektu údajů na přístup k informacím úplně nebo částečně omezit v takovém rozsahu a na takovou dobu, jak je to v demokratické společnosti s náležitým přihlédnutím k základním právům a oprávněným zájmům dotčené fyzické osoby nutné a přiměřené, s cílem:

a)

zabránit maření úředních nebo právních šetření, vyšetřování nebo postupů;

b)

zabránit nepříznivému ovlivňování prevence, odhalování, vyšetřování či stíhání trestných činů nebo výkonu trestů;

c)

chránit veřejnou bezpečnost členských států;

d)

chránit národní bezpečnost členských států;

e)

chránit práva a svobody druhých, například obětí a svědků.

2.   V případech uvedených v odstavci 1 správce bez zbytečného odkladu písemně informuje subjekt údajů o jakémkoli odmítnutí nebo omezení přístupu a o důvodech tohoto odmítnutí nebo omezení. Tyto informace není třeba uvádět, pokud by jejich poskytnutí ohrožovalo některý z účelů podle odstavce 1. Správce informuje subjekt údajů o možnosti podat stížnost u evropského inspektora ochrany údajů nebo žádat o soudní ochranu u Soudního dvora. Správce zdokumentuje věcné či právní důvody, na nichž se rozhodnutí zakládá. Tyto informace se na požádání zpřístupní evropskému inspektorovi ochrany údajů.

Článek 82

Právo na opravu nebo výmaz operativních osobních údajů a omezení jejich zpracování

1.   Každý subjekt údajů má právo požadovat po správci opravu nepřesných operativních osobních údajů, které se ho týkají, a to bez zbytečného odkladu. S přihlédnutím k účelům zpracování má subjekt údajů právo na doplnění neúplných operativních osobních údajů, a to i poskytnutím dodatečného prohlášení.

2.   Správce vymaže operativní osobní údaje bez zbytečného odkladu a subjekt údajů má právo požadovat po správci, aby bez zbytečného odkladu vymazal operativní osobní údaje, které se ho týkají, jestliže zpracování porušuje článek 71, čl. 72 odst. 1 nebo článek 76 nebo jestliže operativní osobní údaje musí být vymazány ke splnění právní povinnosti správce.

3.   Namísto výmazu osobních údajů správce omezí zpracování:

a)

zpochybňuje-li subjekt údajů přesnost osobních údajů a nelze-li ji ověřit, nebo

b)

musí-li být dané osobní údaje uchovány pro účely dokazování.

Pokud je zpracování omezeno ve smyslu prvního pododstavce písm. a), informuje správce subjekt údajů před zrušením omezení zpracování.

Údaje podléhající omezení lze zpracovat pouze za účelem, který zabránil jejich výmazu.

4.   Správce informuje subjekt údajů písemně o jakémkoli odmítnutí opravy či výmazu operativních osobních údajů nebo omezení zpracování a o důvodech tohoto odmítnutí. Správce může poskytnutí těchto informací úplně nebo částečně omezit v takovém rozsahu, jak je to v demokratické společnosti s náležitým přihlédnutím k základním právům a oprávněným zájmům dotčené fyzické osoby nutné a přiměřené, s cílem:

a)

zabránit maření úředních nebo právních šetření, vyšetřování nebo postupů;

b)

zabránit nepříznivému ovlivňování prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů;

c)

chránit veřejnou bezpečnost členských států;

d)

chránit národní bezpečnost členských států;

e)

chránit práva a svobody druhých, například obětí a svědků.

Správce informuje subjekty údajů o možnosti podat stížnost u evropského inspektora ochrany údajů nebo žádat o soudní ochranu u Soudního dvora.

5.   Správce uvědomí o opravě nepřesných operativních osobních údajů příslušný orgán, od něhož tyto nepřesné operativní osobní údaje pocházejí.

6.   V případech, kdy byly operativní osobní údaje opraveny nebo vymazány nebo zpracování bylo omezeno podle odstavců 1, 2 nebo 3, správce vyrozumí příjemce a informuje je, že musí opravit či vymazat operativní osobní údaje, za které odpovídají, nebo omezit jejich zpracování.

Článek 83

Právo na přístup při trestním vyšetřování a řízení

Jestliže operativní osobní údaje pocházejí od příslušného orgánu, ověří instituce a jiné subjekty Unie před přijetím rozhodnutí o právu subjektu údajů na přístup k osobním údajům u dotyčného příslušného orgánu, zda jsou tyto osobní údaje obsaženy v soudním rozhodnutí nebo v záznamu nebo ve spisu zpracovaném v průběhu trestního vyšetřování a řízení v členském státě tohoto příslušného orgánu. Je-li tomu tak, musí být rozhodnutí o právu na přístup k osobním údajům přijato za konzultace a v úzké spolupráci s dotyčným příslušným orgánem.

Článek 84

Výkon práv subjektem údajů a ověřování prováděné evropským inspektorem ochrany údajů

1.   V případech uvedených v čl. 79 odst. 3, článku 81 a čl. 82 odst. 4 může práva subjektu údajů vykonávat rovněž evropský inspektor ochrany údajů.

2.   Správce informuje subjekt údajů o možnosti vykonávat svá práva prostřednictvím evropského inspektora ochrany údajů podle odstavce 1.

3.   V případě výkonu práva podle odstavce 1 informuje evropský inspektor ochrany údajů subjekt údajů přinejmenším o tom, že provedl veškerá nezbytná ověření nebo přezkum. Evropský inspektor ochrany údajů rovněž subjekt údajů informuje o jeho právu žádat o soudní ochranu u Soudního dvora.

Článek 85

Záměrná a standardní ochrana údajů

1.   S přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob, jež s sebou zpracování nese, zavede správce jak v době určení prostředků pro zpracování, tak v době zpracování samotného vhodná technická a organizační opatření, jako je pseudonymizace, jejichž účelem je účinným způsobem provádět zásady ochrany údajů, jako je minimalizace údajů, a začlenit do zpracování nezbytné záruky tak, aby splnil požadavky tohoto nařízení a právního aktu, kterým se správce zřizuje, a rovněž ochránil práva subjektů údajů.

2.   Správce zavede vhodná technická a organizační opatření k zajištění toho, aby se standardně zpracovávaly pouze operativní osobní údaje, jež jsou přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu, pro který jsou zpracovávány. Tato povinnost se týká množství shromážděných operativních osobních údajů, rozsahu jejich zpracování, doby jejich uložení a jejich dostupnosti. Tato opatření zejména zajistí, aby operativní osobní údaje nebyly standardně bez zásahu člověka zpřístupněny neomezenému počtu fyzických osob.

Článek 86

Společní správci

1.   Pokud účely a prostředky zpracování stanoví společně dva nebo více správců, anebo dva nebo více správců společně s jedním nebo více správci jinými než orgány a subjekty Unie, jsou společnými správci. Společní správci mezi sebou transparentním ujednáním vymezí své podíly na odpovědnosti za plnění svých povinností týkajících se ochrany údajů, zejména pokud jde o výkon práv subjektu údajů, a své povinnosti poskytovat informace uvedené v článku 79, pokud tuto odpovědnost společných správců nestanoví právo Unie nebo členského státu, které se na společné správce vztahuje. V ujednání může být určeno kontaktní místo pro subjekty údajů.

2.   Ujednání uvedené v odstavci 1 náležitě zohlední úlohy společných správců a jejich vztahy vůči subjektu údajů. Subjekt údajů musí být o podstatných prvcích ujednání informován.

3.   Bez ohledu na podmínky ujednání uvedeného v odstavci 1 může subjekt údajů vykonávat svá práva podle tohoto nařízení ohledně každého ze správců i vůči každému z nich.

Článek 87

Zpracovatel

1.   Pokud má být zpracování provedeno za správce, využije správce pouze ty zpracovatele, kteří poskytují dostatečné záruky zavedení vhodných technických a organizačních opatření tak, aby dané zpracování splňovalo požadavky tohoto nařízení a právního aktu, kterým se správce zřizuje, a aby byla zajištěna ochrana práv subjektu údajů.

2.   Zpracovatel nezapojí do zpracování žádného dalšího zpracovatele bez předchozího konkrétního nebo obecného písemného povolení správce. V případě obecného písemného povolení zpracovatel správce informuje o veškerých zamýšlených změnách týkajících se přijetí dalších zpracovatelů nebo jejich nahrazení, a poskytne tak správci příležitost vyslovit vůči těmto změnám námitky.

3.   Zpracování zpracovatelem se řídí smlouvou nebo jiným právním aktem podle práva Unie nebo práva členského státu, jenž zavazuje zpracovatele vůči správci a v němž je stanoven předmět a doba trvání zpracování, povaha a účel zpracování, typ operativních osobních údajů a kategorie subjektů údajů a povinnosti a práva správce. Tato smlouva nebo jiný právní akt zejména stanoví, že zpracovatel:

a)

jedná pouze podle pokynů správce;

b)

zajistí, aby se osoby oprávněné zpracovávat operativní osobní údaje zavázaly k mlčenlivosti nebo aby se na ně vztahovala zákonná povinnost mlčenlivosti;

c)

pomáhá správci jakýmikoli vhodnými prostředky zajistit dodržování předpisů o právech subjektu údajů;

d)

podle rozhodnutí správce po ukončení poskytování služeb zpracování vymaže nebo vrátí všechny operativní osobní údaje správci a vymaže existující kopie, pokud právo Unie nebo právo členského státu nevyžadují uložení daných operativních osobních údajů;

e)

poskytne správci veškeré informace potřebné k doložení toho, že byly splněny povinnosti stanovené v tomto článku;

f)

dodržuje podmínky pro zapojení dalšího zpracovatele uvedené v odstavci 2 a v tomto odstavci.

4.   Smlouva nebo jiný právní akt uvedený v odstavci 3 musí být vyhotoveny písemně, a to i v elektronické formě.

5.   Pokud zpracovatel poruší toto nařízení nebo právní akt, kterým se správce zřizuje, tím, že určí účely a prostředky zpracování, považuje se ve vztahu k takovému zpracování za správce.

Článek 88

Vedení logů

1.   Správce vede logy o veškerých těchto operacích zpracování v automatizovaných systémech zpracování: shromáždění, pozměnění, zpřístupnění, sdělení, včetně předání, zkombinování a výmaz operativních osobních údajů a nahlédnutí do nich. Logy o nahlédnutí a zpřístupnění musí umožňovat zjištění důvodů těchto operací, datum a čas, kdy byly učiněny, a totožnosti osoby, která do operativních osobních údajů nahlédla nebo která je zpřístupnila, a pokud možno totožnosti příjemců těchto operativních osobních údajů.

2.   Logy se používají pouze pro ověření zákonnosti zpracování, vlastní kontrolu, pro zajištění neporušenosti a zabezpečení operativních osobních údajů a pro trestní řízení. Pokud nejsou tyto logy vyžadovány pro probíhající kontrolu, vymaží se po uplynutí tří let.

3.   Správce na požádání poskytne tyto logy k nahlédnutí svému pověřenci pro ochranu osobních údajů a evropskému inspektorovi ochrany údajů.

Článek 89

Posouzení vlivu na ochranu údajů

1.   Pokud je pravděpodobné, že určitý druh zpracování, zejména při využití nových technologií, bude s přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování mít za následek vysoké riziko pro práva a svobody fyzických osob, provede správce před zpracováním posouzení vlivu zamýšlených operací zpracování na ochranu operativních osobních údajů.

2.   Posouzení uvedené v odstavci 1 obsahuje alespoň obecný popis zamýšlených operací zpracování, posouzení rizik z hlediska práv a svobod subjektů údajů, plánovaná opatření k řešení těchto rizik, záruky, bezpečnostní opatření a mechanismy k zajištění ochrany operativních osobních údajů a k doložení souladu s pravidly pro ochranu údajů, s přihlédnutím k právům a oprávněným zájmům subjektů údajů a dalších dotčených osob.

Článek 90

Předchozí konzultace evropského inspektora ochrany údajů

1.   Správce konzultuje s evropským inspektorem ochrany údajů před zpracováním osobních údajů, které budou součástí nové evidence, jež má být vytvořena, pokud:

a)

z posouzení vlivu na ochranu osobních údajů podle článku 89 vyplývá, že by dané zpracování mělo za následek vysoké riziko v případě, že by správce nepřijal opatření ke zmírnění tohoto rizika, nebo

b)

druh zpracování, zejména při využití nových technologií, mechanismů nebo postupů, s sebou nese vysoké riziko pro práva a svobody subjektů údajů.

2.   Evropský inspektor ochrany údajů může sestavit seznam operací zpracování, které podléhají předchozí konzultaci podle odstavce 1.

3.   Správce poskytne evropskému inspektorovi ochrany údajů posouzení vlivu na ochranu osobních údajů podle článku 89 a na požádání mu poskytne jakékoli další informace, jež evropskému inspektorovi ochrany údajů umožní posoudit soulad zpracování s tímto nařízením, a zejména posoudit rizika z hlediska ochrany operativních osobních údajů subjektu údajů a související záruky.

4.   V případě, že se evropský inspektor ochrany údajů domnívá, že by zamýšlené zpracování uvedené v odstavci 1 porušilo toto nařízení nebo právní akt, kterým se daná instituce nebo jiný subjekt Unie zřizuje, zejména pokud správce nedostatečně určil či zmírnil riziko, upozorní ho na to písemně ve lhůtě nejvýše šesti týdnů od obdržení žádosti o konzultaci. Tato lhůta může být s ohledem na složitost zamýšleného zpracování prodloužena o jeden měsíc. Evropský inspektor ochrany údajů informuje správce o každém takovém prodloužení a o jeho důvodech do jednoho měsíce od obdržení žádosti o konzultaci.

Článek 91

Zabezpečení zpracování operativních osobních údajů

1.   S přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob zavedou správce a zpracovatel vhodná technická a organizační opatření, aby zajistili úroveň zabezpečení odpovídající danému riziku, zejména pokud jde o zpracování zvláštních kategorií operativních osobních údajů.

2.   Pokud jde o automatizované zpracování údajů, zavedou správce a zpracovatel po zhodnocení rizik opatření s cílem:

a)

zabránit neoprávněným osobám v přístupu k zařízení využívanému pro zpracování („kontrola přístupu k zařízením“);

b)

zabránit neoprávněnému čtení, kopírování, pozměňování nebo odstraňování nosičů údajů („kontrola nosičů údajů“);

c)

zabránit neoprávněnému vkládání operativních osobních údajů a neoprávněnému prohlížení, pozměňování nebo mazání uložených operativních osobních údajů („kontrola uložení“);

d)

zabránit neoprávněným osobám v užívání automatizovaných systémů pro zpracování pomocí zařízení pro přenos údajů („kontrola uživatelů“);

e)

zajistit, aby osoby oprávněné k využívání určitého automatizovaného systému zpracování měly přístup pouze k operativním osobním údajům, na které se vztahuje jejich povolení k přístupu („kontrola přístupu k údajům“);

f)

zajistit, aby bylo možné ověřit a zjistit, kterým subjektům byly nebo mohou být operativní osobní údaje předány nebo zpřístupněny při přenosu údajů („kontrola přenosu“);

g)

zajistit, aby bylo možné zpětně ověřit a zjistit, které operativní osobní údaje byly vloženy do automatizovaných systémů zpracování údajů a kdo a kdy tyto operativní osobní údaje vložil („kontrola vkládání“);

h)

zabránit neoprávněnému čtení, kopírování, pozměňování nebo mazání operativních osobních údajů při předávání operativních osobních údajů nebo při přepravě nosičů dat („kontrola přepravy“),

i)

zajistit, aby instalované systémy mohly být v případě výpadku obnoveny („obnova“);

j)

zajistit, aby systém fungoval, aby byl hlášen výskyt chyb ve funkcích („spolehlivost“) a aby uložené operativní osobní údaje nebylo možné poškodit špatným fungováním systému („neporušenost“).

Článek 92

Ohlašování případů porušení zabezpečení osobních údajů evropskému inspektorovi ochrany údajů

1.   Jakékoli porušení zabezpečení osobních údajů správce ohlásí evropskému inspektorovi ochrany údajů bez zbytečného odkladu a pokud možno do 72 hodin od okamžiku, kdy se o něm dozvěděl, ledaže je nepravděpodobné, že by toto porušení mělo za následek riziko pro práva a svobody fyzických osob. Pokud není ohlášení evropskému inspektorovi ochrany údajů učiněno do 72 hodin, musí být současně s ním uvedeny důvody tohoto zpoždění.

2.   Ohlášení uvedené v odstavci 1 musí přinejmenším obsahovat:

a)

popis povahy daného případu porušení zabezpečení osobních údajů včetně, pokud je to možné, kategorií a přibližného počtu dotčených subjektů údajů a kategorií a přibližného množství dotčených záznamů operativních osobních údajů;

b)

jméno a kontaktní údaje pověřence pro ochranu osobních údajů;

c)

popis pravděpodobných důsledků porušení zabezpečení osobních údajů;

d)

popis opatření, která správce přijal nebo navrhl k přijetí s cílem vyřešit dané porušení zabezpečení osobních údajů, včetně případných opatření ke zmírnění možných nepříznivých dopadů.

3.   Není-li možné poskytnout informace uvedené v odstavci 2 současně, mohou být poskytnuty postupně bez dalšího zbytečného odkladu.

4.   Správce dokumentuje veškeré případy porušení zabezpečení osobních údajů uvedené v odstavci 1, přičemž uvede skutečnosti, které se týkají daného porušení, jeho účinky a přijatá nápravná opatření. Tato dokumentace musí evropskému inspektorovi ochrany údajů umožnit ověření souladu s tímto článkem.

5.   V případě, že se porušení zabezpečení osobních údajů týká operativních osobních údajů, které byly předány příslušnými orgány nebo příslušným orgánům, sdělí správce informace uvedené v odstavci 2 bez zbytečného odkladu dotčeným příslušným orgánům.

Článek 93

Oznamování případů porušení zabezpečení osobních údajů subjektu údajů

1.   Pokud je pravděpodobné, že určitý případ porušení zabezpečení osobních údajů bude mít za následek vysoké riziko pro práva a svobody fyzických osob, oznámí správce toto porušení bez zbytečného odkladu subjektu údajů.

2.   V oznámení určeném subjektu údajů podle odstavce 1 tohoto článku se za použití jasných a jednoduchých jazykových prostředků popíše povaha porušení zabezpečení osobních údajů a uvedou se v něm přinejmenším informace a doporučení uvedené v čl. 92 odst. 2 písm. b), c) a d).

3.   Oznámení subjektu údajů uvedené v odstavci 1 se nevyžaduje, je-li splněna kterákoli z těchto podmínek:

a)

správce zavedl náležitá technická a organizační ochranná opatření a tato opatření byla použita u operativních osobních údajů dotčených porušením zabezpečení operativních osobních údajů, zejména taková, která činí tyto údaje nesrozumitelnými pro kohokoli, kdo není oprávněn k nim přistupovat, jako je například šifrování;

b)

správce přijal následná opatření, která zajistí, že vysoké riziko pro práva a svobody subjektů údajů uvedené v odstavci 1 se již pravděpodobně neprojeví;

c)

oznámení by vyžadovalo nepřiměřené úsilí. V takovém případě musí být subjekty údajů informovány stejně účinným způsobem pomocí veřejného oznámení nebo podobného opatření.

4.   Jestliže správce dotčenému subjektu údajů ještě neoznámil porušení zabezpečení osobních údajů, může evropský inspektor ochrany údajů po posouzení pravděpodobnosti toho, že dané porušení bude mít za následek vysoké riziko, požadovat, aby tak učinil, nebo může rozhodnout, že je splněna některá z podmínek uvedených v odstavci 3.

5.   Oznámení subjektu údajů podle odstavce 1 tohoto článku lze odložit, omezit či lze od něho upustit za podmínek uvedených v čl. 79 odst. 3 a z důvodů v něm stanovených.

Článek 94

Předávání operativních osobních údajů do třetích zemí a mezinárodním organizacím

1.   S výhradou omezení a podmínek stanovených v právních aktech, jimiž se zřizuje instituce nebo jiný subjekt Unie, může správce předat operativní osobní údaje orgánu třetí země nebo mezinárodní organizaci, je-li toto předání nezbytné pro výkon úkolů a pouze jsou-li splněny podmínky stanovené v tomto článku, totiž:

a)

Komise přijala rozhodnutí o odpovídající ochraně v souladu s čl. 36 odst. 3 směrnice (EU) 2016/680, kterým se shledává, že tato třetí země či určité území nebo zpracovávající útvar v této třetí zemi či dotyčná mezinárodní organizace zajišťuje odpovídající úroveň ochrany;

b)

jestliže neexistuje rozhodnutí Komise o odpovídající ochraně podle písmena a), byla uzavřena mezinárodní dohoda mezi Unií a danou třetí zemí či mezinárodní organizací podle článku 218 Smlouvy o fungování EU, která poskytuje dostatečné záruky ve vztahu k ochraně soukromí, základních práv a svobod fyzických osob;

c)

jestliže neexistuje rozhodnutí Komise o odpovídající ochraně podle písmena a) ani mezinárodní dohoda podle písmene b), byla ještě přede dnem použitelnosti příslušného právního aktu, jímž se zřizuje instituce nebo jiný subjekt Unie, uzavřena mezi touto institucí nebo jiným subjektem Unie a danou třetí zemí dohoda o spolupráci umožňující výměnu operativních osobních údajů.

2.   Právní akty, jimiž se zřizují instituce a jiné subjekty Unie, mohou zachovat nebo zavést konkrétnější ustanovení o podmínkách pro mezinárodní předávání operativních osobních údajů, zejména pro předávání s dostatečnými zárukami a odchylkami pro specifické situace.

3.   Správce na svých internetových stránkách zveřejní a průběžně aktualizuje seznam rozhodnutí o odpovídající ochraně uvedených v odst. 1 písm. a) a dohod, správních ujednání a dalších nástrojů souvisejících s předáváním operativních osobních údajů v souladu s odstavcem 1.

4.   Správce uchovává podrobné záznamy o všech předáních uskutečněných podle tohoto článku.

Článek 95

Důvěrnost soudních šetření a trestních řízení

Právní akty, jimiž se zřizují instituce nebo jiné subjekty Unie, jež vykonávají činnosti, které spadají do oblasti působnosti části třetí hlavy V kapitoly 4 nebo 5 Smlouvy o fungování EU, mohou ukládat evropskému inspektorovi ochrany údajů povinnost, aby při výkonu svých pravomocí dozoru bral maximální ohled na důvěrnost soudních šetření a trestních řízení v souladu s právem Unie nebo daného členského státu.

KAPITOLA X

PROVÁDĚCÍ AKTY

Článek 96

Postup projednávání ve výboru

1.   Komisi je nápomocen výbor zřízený článkem 93 nařízení (EU) 2016/679. Tento výbor je výborem ve smyslu nařízení (EU) č. 182/2011.

2.   Odkazuje-li se na tento odstavec, použije se článek 5 nařízení (EU) č. 182/2011.

KAPITOLA XI

PŘEZKUM

Článek 97

Ustanovení o přezkumu

Komise předloží Evropskému parlamentu a Radě do 30. dubna 2022 a poté každých pět let zprávu o uplatňování tohoto nařízení, k níž případně připojí vhodné legislativní návrhy.

Článek 98

Přezkum právních aktů Unie

1.   Do 30. dubna 2022 Komise přezkoumá právní akty přijaté na základě Smluv a upravující zpracování operativních osobních údajů institucemi a jinými subjekty Unie při výkonu činností, které spadají do oblasti působnosti části třetí hlavy V kapitol 4 nebo 5 Smlouvy o fungování EU, za účelem:

a)

posouzení jejich souladu se směrnicí (EU) 2016/680 a s kapitolou IX tohoto nařízení;

b)

zjištění rozdílů, které mohou bránit výměně operativních osobních údajů mezi institucemi a jinými subjekty Unie při výkonu činností v těchto oblastech a příslušnými orgány, a

c)

zjištění rozdílů, které mohou vést k roztříštěnosti právní úpravy ochrany údajů v Unii.

2.   Aby byla zajištěna jednotná a důsledná ochrana fyzických osob v souvislosti se zpracováváním údajů, může Komise na základě přezkumu předložit vhodné legislativní návrhy, zejména s cílem dosáhnout toho, aby se kapitola IX tohoto nařízení vztahovala na Europol a Úřad evropského veřejného žalobce, v případě potřeby včetně úprav kapitoly IX tohoto nařízení.

KAPITOLA XII

ZÁVĚREČNÁ USTANOVENÍ

Článek 99

Zrušení nařízení (ES) č. 45/2001 a rozhodnutí č. 1247/2002/ES

Nařízení (ES) č. 45/2001 a rozhodnutí č. 1247/2002/ES se zrušují s účinkem ode dne 11. prosince 2018. Odkazy na zrušené nařízení a zrušené rozhodnutí se považují za odkazy na toto nařízení.

Článek 100

Přechodná opatření

1.   Tímto nařízením není dotčeno rozhodnutí Evropského parlamentu a Rady 2014/886/EU (20) a stávající funkční období evropského inspektora ochrany údajů a zástupce inspektora.

2.   Pokud jde o určování odměny, náhrad, starobního důchodu a všech dalších náhrad poskytovaných místo odměny, považuje se zástupce inspektora za rovnocenného tajemníkovi Soudního dvora.

3.   Ustanovení čl. 53 odst. 4, 5 a 7 a článků 55 a 56 tohoto nařízení se vztahují na stávajícího zástupce inspektora do konce jeho funkčního období.

4.   Zástupce inspektora napomáhá evropskému inspektorovi ochrany údajů s plněním všech jeho povinností a zastupuje ho, když je evropský inspektor ochrany údajů nepřítomen nebo nemůže plnit tyto povinnosti, až do konce stávajícího funkčního období zástupce inspektora.

Článek 101

Vstup v platnost a použitelnost

1.   Toto nařízení vstupuje v platnost dvacátým dnem po vyhlášení v Úředním věstníku Evropské unie.

2.   Toto nařízení se však použije na zpracování osobních údajů Eurojustem ode dne 12. prosince 2019.

Toto nařízení je závazné v celém rozsahu a přímo použitelné ve všech členských státech.

Ve Štrasburku dne 23. října 2018.

Za Evropský parlament

předseda

A. TAJANI

Za Radu

předseda

K. EDTSTADLER


(1)  Úř. věst. C 288, 31.8.2017, s. 107.

(2)  Postoj Evropského parlamentu ze dne 13. září 2018 (dosud nezveřejněný v Úředním věstníku) a rozhodnutí Rady ze dne 11. října 2018.

(3)  Nařízení Evropského parlamentu a Rady (ES) č. 45/2001 ze dne 18. prosince 2000 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány a institucemi Společenství a o volném pohybu těchto údajů (Úř. věst. L 8, 12.1.2001, s. 1).

(4)  Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (Úř. věst. L 119, 4.5.2016, s. 1).

(5)  Směrnice Evropského parlamentu a Rady (EU) 2016/680 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, o volném pohybu těchto údajů a o zrušení rámcového rozhodnutí Rady 2008/977/SVV (Úř. věst. L 119, 4.5.2016, s. 89).

(6)  Směrnice Rady 93/13/EHS ze dne 5. dubna 1993 o nepřiměřených podmínkách ve spotřebitelských smlouvách (Úř. věst. L 95, 21.4.1993, s. 29).

(7)  Nařízení Evropského parlamentu a Rady (ES) č. 1338/2008 ze dne 16. prosince 2008 o statistice Společenství v oblasti veřejného zdraví a bezpečnosti a ochrany zdraví při práci (Úř. věst. L 354, 31.12.2008, s. 70).

(8)  Směrnice Evropského parlamentu a Rady 2002/58/ES ze dne 12. července 2002 o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací (Směrnice o soukromí a elektronických komunikacích) (Úř. věst. L 201, 31.7.2002, s. 37).

(9)  Nařízení Evropského parlamentu a Rady (ES) č. 1049/2001 ze dne 30. května 2001 o přístupu veřejnosti k dokumentům Evropského parlamentu, Rady a Komise (Úř. věst. L 145, 31.5.2001, s. 43).

(10)  Úř. věst. L 56, 4.3.1968, s. 1.

(11)  Nařízení Evropského parlamentu a Rady (EU) č. 182/2011 ze dne 16. února 2011, kterým se stanoví pravidla a obecné zásady způsobu, jakým členské státy kontrolují Komisi při výkonu prováděcích pravomocí (Úř. věst. L 55, 28.2.2011, s. 13).

(12)  Nařízení Evropského parlamentu a Rady (ES) č. 223/2009 ze dne 11. března 2009 o evropské statistice a zrušení nařízení (ES, Euratom) č. 1101/2008 o předávání údajů, na které se vztahuje statistická důvěrnost, Statistickému úřadu Evropských společenství, nařízení Rady (ES) č. 322/97 o statistice Společenství a rozhodnutí Rady 89/382/EHS, Euratom, kterým se zřizuje Výbor pro statistické programy Evropských společenství (Úř. věst. L 87, 31.3.2009, s. 164).

(13)  Rozhodnutí Evropského parlamentu, Rady a Komise č. 1247/2002/ES ze dne 1. července 2002 o úpravě a obecných podmínkách výkonu funkce Evropského inspektora ochrany údajů (Úř. věst. L 183, 12.7.2002, s. 1).

(14)  Úř. věst. C 164, 24.5.2017, s. 2.

(15)  Nařízení Evropského parlamentu a Rady (EU) 2016/794 ze dne 11. května 2016 o Agentuře Evropské unie pro spolupráci v oblasti prosazování práva (Europol) a o zrušení a nahrazení rozhodnutí 2009/371/SVV, 2009/934/SVV, 2009/935/SVV, 2009/936/SVV a 2009/968/SVV (Úř. věst. L 135, 24.5.2016, s. 53).

(16)  Nařízení Rady (EU) 2017/1939 ze dne 12. října 2017, kterým se provádí posílená spolupráce za účelem zřízení Úřadu evropského veřejného žalobce (Úř. věst. L 283, 31.10.2017, s. 1).

(17)  Směrnice Evropského parlamentu a Rady (EU) 2015/1535 ze dne 9. září 2015 o postupu při poskytování informací v oblasti norem a technických předpisů a předpisů pro služby informační společnosti (Úř. věst. L 241, 17.9.2015, s. 1).

(18)  Směrnice Komise 2008/63/ES ze dne 20. června 2008 o hospodářské soutěži na trhu s telekomunikačními koncovými zařízeními (Úř. věst. L 162, 21.6.2008, s. 20).

(19)  Rozhodnutí Rady 2009/917/SVV ze dne 30. listopadu 2009 o používání informačních technologií pro celní účely, (Úř. věst. L 323, 10.12.2009, s. 20).

(20)  Rozhodnutí Evropského parlamentu a Rady 2014/886/EU ze dne 4. prosince 2014 o jmenování evropského inspektora ochrany údajů a jeho zástupce (Úř. věst. L 351, 9.12.2014, s. 9).


21.11.2018   

CS

Úřední věstník Evropské unie

L 295/99


NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) 2018/1726

ze dne 14. listopadu 2018

o Agentuře Evropské unie pro provozní řízení rozsáhlých informačních systémů v prostoru svobody, bezpečnosti a práva (eu-LISA) a o změně nařízení (ES) č. 1987/2006 a rozhodnutí Rady 2007/533/SVV a zrušení nařízení (EU) č. 1077/2011

EVROPSKÝ PARLAMENT A RADA EVROPSKÉ UNIE,

s ohledem na Smlouvu o fungování Evropské unie, a zejména na článek 74, čl. 77 odst. 2 písm. a) a b), čl. 78 odst. 2 písm. e), čl. 79 odst. 2 písm. c), čl. 82 odst. 1 písm. d), čl. 85 odst. 1, čl. 87 odst. 2 písm. a) a čl. 88 odst. 2 této smlouvy,

s ohledem na návrh Evropské komise,

po postoupení návrhu legislativního aktu vnitrostátním parlamentům,

v souladu s řádným legislativním postupem (1),

vzhledem k těmto důvodům:

(1)

Schengenský informační systém (SIS II) byl zřízen nařízením Evropského parlamentu a Rady (ES) č. 1987/2006 (2) a rozhodnutím Rady 2007/533/SVV (3). Nařízení (ES) č. 1987/2006 a rozhodnutí 2007/533/SVV stanoví, že během přechodného období je za provozní řízení centrálního SIS II (dále jen „centrální SIS II“) odpovědná Komise. Po přechodném období je za provozní řízení centrálního SIS II a některých aspektů komunikační infrastruktury odpovědný řídící orgán.

(2)

Vízový informační systém (VIS) byl zřízen rozhodnutím Rady 2004/512/ES (4). Nařízení Evropského parlamentu a Rady (ES) č. 767/2008 (5) stanoví, že během přechodného období je za provozní řízení VIS odpovědná Komise. Po uplynutí přechodného období je za provozní řízení ústředního VIS a národních rozhraní a za některé aspekty komunikační infrastruktury odpovědný řídící orgán.

(3)

Eurodac byl zřízen nařízením Rady (ES) č. 2725/2000 (6). Nařízení Rady (ES) č. 407/2002 (7) stanovilo nezbytná prováděcí pravidla. Tyto právní akty byly s účinností ode dne 20. července 2015 zrušeny a nahrazeny nařízením Evropského parlamentu a Rady (EU) č. 603/2013 (8).

(4)

Evropská agentura pro provozní řízení rozsáhlých informačních systémů v prostoru svobody, bezpečnosti a práva, obvykle označovaná jako „eu-LISA“, byla zřízena nařízením Evropského parlamentu a Rady (EU) č. 1077/2011 (9) s cílem zajistit provozní řízení SIS, VIS, Eurodacu a některých aspektů komunikační infrastruktury a případně dalších rozsáhlých informačních systémů v rámci prostoru svobody, bezpečnosti a práva, a to v závislosti na přijetí samostatných právních aktů Unie. Nařízení (EU) č. 1077/2011 bylo změněno nařízením (EU) č. 603/2013 s ohledem na změny zavedené v Eurodacu.

(5)

Jelikož se ukázalo, že je nutné, aby řídící orgán byl právně, administrativně a finančně samostatný, byl zřízen ve formě regulační agentury (dále jen „agentura“), která má právní subjektivitu. Jak bylo dohodnuto, sídlo agentury bylo zřízeno v estonském Tallinu. Vzhledem k tomu, že úkoly spojené s technickým vývojem SIS II a VIS a přípravou na jejich provozní řízení byly však již prováděny ve Štrasburku ve Francii a zálohové místo pro tyto systémy bylo, také v souladu s umístěním systémů SIS II a VIS zřízených na základě příslušných právních aktů Unie, umístěno v Sankt Johann im Pongau v Rakousku, mělo by tomu tak být i nadále. Ve Štrasburku by měly být i nadále prováděny úkoly spojené s provozním řízením Eurodacu a v Sankt Johann im Pongau by mělo být i nadále zřízeno zálohové místo pro Eurodac. Ve Štrasburku by měl také probíhat technický vývoj a provozní řízení jiných rozsáhlých informačních systémů v prostoru svobody, bezpečnosti a práva a v Sankt Johann im Pongau by se mělo nacházet zálohové místo schopné zajistit fungování rozsáhlého informačního systému v případě jeho selhání. Aby se zvýšila možnost případného využití zálohového místa, mohlo by být toto místo rovněž souběžně využíváno pro provozování systémů pod podmínkou, že bude i nadále schopné zajistit jejich provoz v případě selhání jednoho nebo více systémů. Vzhledem k vysoké bezpečnosti, snadné dostupnosti a zásadnímu významu těchto systémů by v případě již nedostačující hostitelské kapacity stávajících technických míst měla mít správní rada agentury (dále jen „správní rada“) možnost navrhnout zřízení druhého samostatného technického místa ve Štrasburku či v Sankt Johann im Pongau nebo v případě potřeby na obou místech, a zajistit tak hostování těchto systémů, a to pouze je-li to odůvodněné na základě nezávislého posouzení dopadů a analýzy nákladů a přínosů. Správní rada by měla před tím, než oznámí Evropskému parlamentu a Radě (dále jen „rozpočtový orgán“) svůj záměr provést jakýkoli projekt související s nemovitostmi, konzultovat tento záměr s Komisí a zohlednit její názory.

(6)

Ode dne 1. prosince 2012, kdy agentura začala plnit své úkoly, převzala i úkoly svěřené řídícímu orgánu v souvislosti s VIS nařízením (ES) č. 767/2008 a rozhodnutím Rady 2008/633/SVV (10). V dubnu 2013 agentura rovněž převzala úkoly svěřené řídícímu orgánu v souvislosti se SIS II nařízením (ES) č. 1987/2006 a rozhodnutím 2007/533/SVV po uvedení SIS II do provozu a v červnu 2013 převzala úkoly svěřené Komisi v souvislosti s Eurodacem podle nařízení (ES) č. 2725/2000 a (ES) č. 407/2002.

(7)

První hodnocení práce agentury vycházející z nezávislého externího hodnocení a provedené v období 2015–2016 dospělo k závěru, že agentura účinně zajišťuje provozní řízení rozsáhlých informačních systémů a jiné úkoly, které jí byly svěřeny, ale že jsou také nutné některé změny v nařízení (EU) č. 1077/2011, například přenesení úkolů týkajících se komunikační infrastruktury, které si ponechala Komise, na agenturu. V návaznosti na externí hodnocení Komise vzala v úvahu vývoj politik a právní a faktický vývoj a navrhla, zejména ve své zprávě ze dne 29. června 2017 o fungování Evropské agentury pro provozní řízení rozsáhlých informačních systémů v prostoru svobody, bezpečnosti a práva (eu-LISA) (dále jen „hodnotící zpráva“), že pravomoci agentury by měly být rozšířeny, aby mohla plnit úkoly vyplývající z přijetí legislativních návrhů, jimiž Evropský parlament a Rada svěří agentuře nové systémy, jakož i úkoly uvedené ve sdělení Komise ze dne 6. dubna 2016 nazvaném „Silnější a inteligentnější informační systémy pro ochranu hranic a bezpečnost“, v závěrečné zprávě expertní skupiny na vysoké úrovni pro informační systémy a interoperabilitu ze dne 11. května 2017 a ve sdělení Komise ze dne 16. května 2017 nazvaném „Sedmá zpráva o pokroku na cestě k účinné a skutečné bezpečnostní Unii“, což může vyžadovat přijetí příslušných právních aktů Unie. Agentura by zejména měla být pověřena úkolem vypracovat řešení v oblasti interoperability, stanoveným ve sdělení ze dne 6. dubna 2016, jako je schopnost informačních systémů vyměňovat si údaje a umožnit sdílení informací.

Jakákoli opatření prováděná v oblasti interoperability by se v příslušných případech měla řídit sdělením Komise ze dne 23. března 2017 nazvaným „Evropský rámec interoperability – Strategie provádění“. Příloha 2 tohoto sdělení stanoví obecné pokyny, doporučení a osvědčené postupy pro dosažení interoperability nebo alespoň vytvoření prostředí k dosažení lepší interoperability při navrhování, provádění a řízení evropských veřejných služeb.

(8)

Hodnotící zpráva dospěla rovněž k závěru, že by měly být rozšířeny pravomoci agentury, aby mohla poskytovat členským státům poradenství, pokud jde o propojení vnitrostátních systémů s centrálními systémy rozsáhlých informačních systémů, které spravuje (dále jen „systémy“) a pomoc a podporu ad hoc na vyžádání, jakož i poskytovat pomoc a podporu útvarům Komise v technických otázkách týkajících se nových systémů.

(9)

Agentuře by proto měla být svěřena příprava, vývoj a provozní řízení systému vstupu/výstupu (EES), zřízeného nařízením Evropského parlamentu a Rady (EU) 2017/2226 (11).

(10)

Agentuře by mělo být rovněž svěřeno provozní řízení sítě DubliNet, samostatného zabezpečeného kanálu pro elektronický přenos údajů, který byl zřízen podle článku 18 nařízení Komise (ES) č. 1560/2003 (12) a který by orgány členských států příslušné pro azylové řízení měly používat pro výměnu informací týkajících se žadatelů o mezinárodní ochranu.

(11)

Agentuře by měla být svěřena příprava, vývoj a provozní řízení Evropského systému pro cestovní informace a povolení (ETIAS), zřízeného nařízením Evropského parlamentu a Rady (EU) 2018/1240 (13).

(12)

Ústřední funkcí agentury by i nadále mělo být plnění úkolů provozního řízení systémů SIS II, VIS, Eurodacu a EES, sítě DubliNet, systému ETIAS, a bude-li tak rozhodnuto, i dalších rozsáhlých informačních systémů v prostoru svobody, bezpečnosti a práva. Agentura by rovněž měla odpovídat za technická opatření, která jsou nezbytná v důsledku plnění nenormativních úkolů, jež jsou agentuře svěřeny. Tímto úkolem by neměly být dotčeny normativní úkoly vyhrazené Komisi jednající samostatně nebo s pomocí výborů stanovených v příslušných právních aktech Unie upravujících systémy.

(13)

Agentura by měla být oprávněna uplatňovat technická řešení s cílem splnit požadavky na dostupnost stanovené v právních aktech Unie upravujících systémy, při plném dodržování zvláštních ustanovení těchto aktů ohledně technické architektury příslušných systémů. Pokud tato technická řešení vyžadují zdvojení systému nebo zdvojení prvků systému, je třeba provést nezávislé posouzení dopadů a analýzu nákladů a přínosů a správní rada by měla po konzultaci s Komisí přijmout rozhodnutí. Toto posouzení dopadů by mělo rovněž zahrnovat přezkoumání potřeb hostitelské kapacity stávajících technických míst spojených s vypracováním takových technických řešení, a možných rizik souvisejících se stávajícím provozním nastavením.

(14)

Není již odůvodněné, aby si Komise ponechala některé úkoly týkající se komunikační infrastruktury systémů, a proto by tyto úkoly měly být přeneseny na agenturu, aby se zlepšila soudržnost její správy komunikační infrastruktury. U těch systémů, které používají síť EuroDomain, zabezpečenou komunikační infrastrukturu poskytovanou sítí TESTA-ng (Transevropské služby nové generace pro telematiku mezi správními orgány), jež byla zavedena v rámci programu ISA na základě rozhodnutí Evropského parlamentu a Rady č. 922/2009/ES (14), a jež pokračuje ve své činnosti v rámci programu ISA2 na základě rozhodnutí Evropského parlamentu a Rady (EU) 2015/2240 (15), by si však úkoly týkající se plnění rozpočtu, pořizování a obnovy a smluvních záležitostí měla ponechat Komise.

(15)

Agentura by měla mít možnost svěřit úkoly související s poskytováním, zřizováním, údržbou a sledováním komunikační infrastruktury vnějším soukromoprávním subjektům v souladu s nařízením Evropského parlamentu a Rady (EU, Euratom) 2018/1046 (16). Agentura by měla mít k dispozici dostatečné rozpočtové a personální zdroje, aby se co nejvíce omezila potřeba zadávat smluvně její úkoly a povinnosti vnějším soukromoprávním subjektům

(16)

Agentura by měla i nadále vykonávat úkoly související s odbornou přípravou zaměřenou na technickou stránku používání systémů SIS II, VIS a Eurodacu a dalších systémů, které jí budou v budoucnu svěřeny.

(17)

Jako příspěvek k podloženému utváření politik Unie v oblasti migrace a bezpečnosti a ke kontrole řádného fungování systémů by agentura měla shromažďovat a zveřejňovat statistické údaje a vydávat statistické zprávy a poskytovat je relevantním subjektům v souladu s právními akty Unie upravujícími systémy, například v zájmu sledování provádění nařízení Rady (EU) č. 1053/2013 (17), a rovněž pro účely provedení analýzy rizik a posouzení zranitelnosti podle nařízení Evropského parlamentu a Rady (EU) 2016/1624 (18).

(18)

Agentuře by mělo být možné svěřit přípravu, vývoj a provozní řízení dodatečných rozsáhlých informačních systémů podle článků 67 až 89 Smlouvy o fungování Evropské unie (dále jen „Smlouva o fungování EU“). Mohlo by se jednat například o takové systémy jako je centralizovaný systém pro zjišťování členských států, jež mají informace o odsouzeních státních příslušníků třetích zemí a osob bez státní příslušnosti za účelem doplnění a podpory evropského informačního systému rejstříků trestů (ECRIS-TCN), nebo počítačový systém pro přeshraniční komunikaci v občanských a trestních řízeních (e-CODEX). Avšak tyto systémy by agentuře měly být svěřeny pouze pozdějšími a samostatnými právními akty Unie, jimž bude předcházet posouzení dopadů.

(19)

Měly by být rozšířeny pravomoci agentury, pokud jde o výzkum, aby se zvýšila její schopnost aktivněji navrhovat relevantní a potřebné technické změny systémů. Agentura by měla mít nejen možnost sledovat výzkumné činnosti související s provozním řízením systémů, jež spravuje, ale i přispívat k provádění příslušných částí rámcového programu Evropské unie pro výzkum a inovace, pokud na agenturu Komise přenese příslušné pravomoci. Agentura by měla předávat informace o takovém sledování Evropskému parlamentu a Radě a v případě zpracovávání osobních údajů i evropskému inspektorovi ochrany údajů alespoň jednou ročně.

(20)

Komise by měla mít možnost pověřit agenturu, aby odpovídala za provádění pilotních projektů experimentální povahy určených k testování proveditelnosti a užitečnosti určitého opatření, které mohou být v souladu s nařízením (EU, Euratom) 2018/1046 prováděny bez základního aktu. Komise by kromě toho měla mít možnost v souladu s nařízením (EU, Euratom) 2018/1046 svěřit agentuře úkoly plnění rozpočtu pro ověření koncepce, které jsou financovány v rámci nástroje pro finanční podporu v oblasti vnějších hranic a víz zřízeného nařízením Evropského parlamentu a Rady (EU) č. 515/2014 (19), a to poté, co byl uvědomen Evropský parlament. Agentura by měla mít možnost rovněž plánovat a provádět testovací činnosti týkající se záležitostí, na které se výlučně vztahuje toto nařízení a právní akty Unie upravující vývoj, zřízení, provoz a používání systémů, například testování virtualizačních koncepcí. Bude-li agentura pověřena prováděním pilotního projektu, měla by věnovat zvláštní pozornost strategii Evropské unie pro správu informací.

(21)

Agentura by měla členským státům na jejich žádost poskytovat poradenství v souvislosti s propojením vnitrostátních systémů s centrálními systémy stanovenými právními akty Unie upravujícími systémy.

(22)

Agentura by rovněž měla členským státům na jejich žádost a podle postupu stanoveného v tomto nařízení poskytovat podporu ad hoc, pokud to vyžadují mimořádné výzvy či potřeby v oblasti bezpečnosti nebo migrace. Zejména by členský stát měl mít možnost požádat o provozní a technickou posilu a spoléhat na ni v případě, kdy tento členský stát čelí na konkrétních úsecích svých vnějších hranic zvláštním a nepřiměřeným migračním výzvám, jež spočívají ve velkých, dovnitř směřujících migračních tocích. Tuto posilu by měly poskytovat v oblastech hotspotů podpůrné týmy pro řízení migrace tvořené odborníky z příslušných agentur Unie. Pokud by v této souvislosti byla nutná podpora agentury v otázkách týkajících se systémů, měl by dotčený členský stát předat žádost o podporu Komisi, která by po posouzení toho, zda je tato podpora skutečně opodstatněná, měla tuto žádost neprodleně postoupit agentuře. Agentura informuje správní radu o těchto žádostech. Komise by měla také sledovat, zda agentura reagovala včas na žádost o podporu ad hoc. Podrobné informace o činnosti agentury vykonané v souvislosti s poskytováním podpory ad hoc členským státům a o souvisejících nákladech by měly být uvedeny ve výroční zprávě o činnosti agentury.

(23)

Agentura by také měla, je-li o to požádána, podporovat útvary Komise v technických otázkách souvisejících se stávajícími nebo novými systémy, zejména při přípravě nových návrhů týkajících se rozsáhlých informačních systémů, jež mají být agentuře svěřeny.

(24)

Skupina členských států by měla mít možnost agentuře svěřit vývoj, řízení nebo hostování společné složky IT, aby jim tak pomohla se splněním technických aspektů povinností vyplývajících z právních aktů Unie týkajících se decentralizovaných informačních systémů v prostoru svobody, bezpečnosti a práva. Tím by neměly být dotčeny povinnosti členských států podle příslušných právních aktů Unie, zejména pokud jde o architekturu těchto systémů. To by mělo vyžadovat předchozí schválení Komise a vydání kladného rozhodnutí správní rady a mělo by být zohledněno v pověřovací dohodě mezi dotčenými členskými státy a agenturou a plně financováno dotčenými členskými státy. Agentura by měla informovat Evropský parlament a Radu o schválené pověřovací dohodě a o všech jejích případných změnách. Ostatní členské státy by měly mít možnost se podílet na těchto společných IT řešeních, je-li taková možnost stanovena v pověřovací dohodě a jsou-li v ní provedeny nezbytné změny. Tento úkol by neměl mít nepříznivý dopad na provozní řízení systémů agentury.

(25)

Pověřením agentury provozním řízením rozsáhlých informačních systémů v prostoru svobody, bezpečnosti a práva by neměly být dotčeny zvláštní předpisy vztahující se na systémy. Zejména se na každý takový systém plně vztahují zvláštní pravidla upravující účel, přístupová práva, bezpečnostní opatření a další požadavky na ochranu údajů.

(26)

Za účelem účinné kontroly fungování agentury by v její správní radě měly být zastoupeny členské státy a Komise. Správní radě by měly být svěřeny nezbytné funkce, zejména k přijetí ročního pracovního programu, plnění jejích funkcí spojených s rozpočtem agentury, přijímání finančních předpisů použitelných na agenturu a stanovení postupů, jimiž výkonný ředitel přijímá rozhodnutí týkající se provozních úkolů agentury. Správní rada by tyto úkoly měla plnit účinným a transparentním způsobem. Správní rada by měla také po uspořádání řádného výběrového řízení Komisí a po slyšení navrhovaných kandidátů v příslušném výboru nebo výborech Evropského parlamentu jmenovat výkonného ředitele.

(27)

Vzhledem k tomu, že počet rozsáhlých informačních systémů svěřených agentuře do roku 2020 značně vzroste a množství jejích úkolů průběžně výrazně narůstá, vzroste do roku 2020 odpovídajícím způsobem i počet jejích zaměstnanců. Je proto třeba zřídit funkci zástupce výkonného ředitele agentury s ohledem na skutečnost, že úkoly související s vývojem a provozním řízením systémů si vyžádají zvýšený a soustředěný dohled a že ústředí a technická místa agentury se nacházejí ve třech různých členských státech. Zástupce výkonného ředitele by měla jmenovat správní rada.

(28)

Agentura by měla být řízena a provozována při zohlednění zásad společného přístupu k decentralizovaným agenturám Unie, který dne 19. července 2012 přijaly Evropský parlament, Rada a Komise.

(29)

Pokud jde o SIS II, měly by mít Agentura Evropské unie pro spolupráci v oblasti prosazování práva (Europol) a Evropská jednotka pro soudní spolupráci (Eurojust), jež mají podle rozhodnutí 2007/533/SVV právo přístupu k údajům zadaným v SIS II a právo jejich přímého vyhledávání, status pozorovatelů na zasedáních správní rady v případech, kdy je na pořadu jednání otázka související s uplatňováním uvedeného rozhodnutí. Evropská agentura pro pohraniční a pobřežní stráž, která má podle nařízení Evropského parlamentu a Rady (EU) 2016/1624 právo přístupu k SIS II a právo vyhledávání v něm, by měla mít status pozorovatele na zasedáních správní rady v případech, kdy je na pořadu jednání otázka související s uplatňováním uvedeného nařízení. Europol, Eurojust a Evropská agentura pro pohraniční a pobřežní stráž by měly mít možnost jmenovat každý svého zástupce do poradní skupiny pro SIS II zřízené tímto nařízením.

(30)

Pokud jde o VIS, Europol by měl mít status pozorovatele na zasedáních správní rady, která mají na pořadu jednání otázky související s uplatňováním rozhodnutí 2008/633/SVV. Europol by měl mít možnost jmenovat svého zástupce do poradní skupiny pro VIS zřízené tímto nařízením.

(31)

Pokud jde o Eurodac, Europol by měl mít status pozorovatele na zasedáních správní rady, která mají na pořadu jednání otázky týkající se uplatňování nařízení (EU) č. 603/2013. Europol by měl mít možnost jmenovat svého zástupce do poradní skupiny pro Eurodac zřízené tímto nařízením.

(32)

Pokud jde o EES, Europol by měl mít status pozorovatele na zasedáních správní rady, která mají na pořadu jednání otázky související s nařízením (EU) 2017/2226.

(33)

Pokud jde o ETIAS, Europol by měl mít status pozorovatele na zasedáních správní rady, která mají na pořadu jednání otázky související s nařízením (EU) 2018/1240. Také Evropská agentura pro pohraniční a pobřežní stráž by měla mít status pozorovatele na zasedáních správní rady, která mají na pořadu jednání otázky týkající se ETIAS v souvislosti s uplatňováním uvedeného nařízení. Europol a Evropská agentura pro pohraniční a pobřežní stráž by měly mít možnost jmenovat svého zástupce do poradní skupiny pro EES-ETIAS zřízené tímto nařízením.

(34)

Členské státy by měly mít ve správní radě hlasovací práva v souvislosti s určitým rozsáhlým informačním systémem, pokud jsou podle práva Unie vázány kterýmkoli právním aktem Unie upravujícím vývoj, zřízení, provoz a používání daného systému. Hlasovací práva v souvislosti s určitým rozsáhlým informačním systémem by mělo mít i Dánsko, pokud se v souladu s článkem 4 Protokolu č. 22 o postavení Dánska, připojeného ke Smlouvě o Evropské unii (dále jen „Smlouva o EU“) a ke Smlouvě o fungování EU rozhodne ve svém vnitrostátním právu provést právní akt Unie upravující vývoj, zřízení, provoz a používání daného systému.

(35)

Členské státy by měly jmenovat po jednom členu do poradní skupiny pro určitý rozsáhlý informační systém, pokud jsou podle práva Unie vázány kterýmkoli právním aktem Unie upravujícím vývoj, zřízení, provoz a používání daného systému. Dále by člena do poradní skupiny pro určitý rozsáhlý informační systém mělo jmenovat Dánsko, pokud se v souladu s článkem 4 Protokolu č. 22 rozhodne ve svém vnitrostátním právu provést právní akt Unie upravující vývoj, zřízení, provoz a používání daného systému. Poradní skupiny by v případě potřeby měly navzájem spolupracovat.

(36)

Aby byla zaručena úplná samostatnost a nezávislost agentury a aby mohla agentura řádně provádět cíle a plnit úkoly, které jsou jí tímto nařízením svěřeny, měla by mít přiměřený samostatný rozpočet s příjmy ze souhrnného rozpočtu Unie. Financování agentury by mělo podléhat dohodě mezi Evropským parlamentem a Radou ve smyslu bodu 31 interinstitucionální dohody ze dne 2. prosince 2013 mezi Evropským parlamentem, Radou a Komisí o rozpočtové kázni, spolupráci v rozpočtových záležitostech a řádném finančním řízení (20). Je třeba uplatňovat rozpočtový postup Unie a postup Unie pro udělení absolutoria. Audit účetnictví a legality a správnosti uskutečněných operací by měl provádět Účetní dvůr.

(37)

V rámci plnění svého poslání a v míře nezbytné pro plnění úkolů by agentuře mělo být umožněno spolupracovat s orgány, institucemi a dalšími subjekty Unie, zejména těmi, jež působí v prostoru svobody, bezpečnosti a práva, v oblastech, na které se vztahuje toto nařízení a právní akty Unie upravující vývoj, zřízení, provoz a používání systémů, a to v rámci pracovních ujednání uzavřených v souladu s právem a politikou Unie a v rámci jejich příslušných pravomocí. Je-li tak stanoveno právním aktem Unie, měla by agentura mít rovněž možnost spolupracovat s mezinárodními organizacemi a dalšími relevantními subjekty a měla by mít pro tento účel možnost uzavírat pracovní ujednání. Tato pracovní ujednání by měla být předem schválena Komisí a povolena správní radou. Pokud jde o bezpečnost sítí a informací, měla by agentura případně konzultovat také Agenturu Evropské unie pro bezpečnost sítí a informací (ENISA), zřízenou nařízením Evropského parlamentu a Rady (EU) č. 526/2013 (21), a zohledňovat její doporučení.

(38)

Při zajišťování vývoje a provozního řízení systémů by se agentura měla řídit evropskými a mezinárodními normami s přihlédnutím k nejvyšším odborným požadavkům, zejména ke strategii Evropské unie pro správu informací.

(39)

Nařízení Evropského parlamentu a Rady (EU) 2018/1725 (22) by se mělo použít na zpracování osobních údajů agenturou, aniž jsou tím dotčena ustanovení o ochraně údajů stanovená v právních aktech Unie upravujících vývoj, zřízení, provoz a používání systémů, které by měly být v souladu s nařízením (EU) 2018/1725. Za účelem zajištění bezpečnosti a zabránění zpracování údajů, jež by bylo v rozporu s nařízením (EU) 2018/1725 a právními akty Unie upravujícími tyto systémy, by agentura měla vyhodnocovat rizika spojená se zpracováváním údajů a přijímat opatření ke zmírnění těchto rizik, jako je například šifrování. Tato opatření by měla zajistit náležitou úroveň bezpečnosti, včetně zachování důvěrnosti, s ohledem na stav techniky, náklady na provedení v souvislosti s riziky a povahu osobních údajů, které mají být chráněny. Při posuzování rizik pro zabezpečení osobních údajů by se měla vzít v úvahu rizika, která zpracování představuje, jako jsou náhodné nebo protiprávní zničení, ztráta, pozměnění, neoprávněné zpřístupnění nebo zpřístupnění předaných, uložených nebo jiným způsobem zpracovaných osobních údajů, které by mohly zejména vést k fyzické, hmotné nebo nehmotné újmě. Evropský inspektor ochrany údajů by měl být oprávněn získat od agentury přístup k veškerým informacím nezbytným pro svá šetření. V souladu s nařízením Evropského parlamentu a Rady (ES) č. 45/2001 (23) Komise konzultovala evropského inspektora pro ochranu údajů, jenž vydal své stanovisko dne 10. října 2017.

(40)

Za účelem zajištění transparentního fungování agentury by se na agenturu mělo vztahovat nařízení Evropského parlamentu a Rady (ES) č. 1049/2001 (24). Agentura by měla být ohledně svých činností co nejtransparentnější, aniž by však ohrozila dosažení cíle svých operací. Měla by zveřejňovat informace o veškeré své činnosti. Měla by rovněž zajistit, aby byly o její činnosti bez prodlení informovány veřejnost a všechny zúčastněné subjekty.

(41)

V souladu s článkem 228 Smlouvy o fungování EU by činnosti agentury měly podléhat přezkumu evropského veřejného ochránce práv.

(42)

Nařízení Evropského parlamentu a Rady (EU, Euratom) č. 883/2013 (25) by se mělo vztahovat na agenturu, která by měla přistoupit k interinstitucionální dohodě ze dne 25. května 1999 mezi Evropským parlamentem, Radou Evropské unie a Komisí Evropských společenství o vnitřním vyšetřování prováděném Evropským úřadem pro boj proti podvodům (OLAF) (26).

(43)

Na agenturu by se mělo vztahovat nařízení Rady (EU) 2017/1939 (27) týkající se zřízení Úřadu evropského veřejného žalobce.

(44)

S cílem zajistit otevřené a transparentní podmínky zaměstnávání a rovné zacházení se zaměstnanci by se na zaměstnance (včetně výkonného ředitele a zástupce výkonného ředitele agentury) měl vztahovat služební řád úředníků Evropské unie (dále jen „služební řád úředníků“) a pracovní řád ostatních zaměstnanců Evropské unie (dále jen „pracovní řád ostatních zaměstnanců“), stanovené v nařízení Rady (EHS, Euratom, ESUO) č. 259/68 (28) (společně dále jen „služební řád“), včetně pravidel týkajících se služebního tajemství a jiných srovnatelných povinností zachovávat důvěrnost.

(45)

Vzhledem k tomu, že je agentura subjektem zřízeným Unií ve smyslu nařízení (EU, Euratom) 2018/1046, měla by proto přijmout odpovídajícím způsobem své finanční předpisy.

(46)

Na agenturu by se mělo vztahovat nařízení Komise v přenesené pravomoci (EU) č. 1271/2013 (29).

(47)

Agentura zřízená tímto nařízením nahrazuje Evropskou agenturu pro provozní řízení rozsáhlých informačních systémů v prostoru svobody, bezpečnosti a práva, která byla zřízena nařízením (EU) č. 1077/2011, a je její nástupkyní. Měla by proto být právní nástupkyní pro všechny smlouvy, které uzavřela, všechny závazky, které přijala, a všechen majetek, který nabyla Evropská agentura pro provozní řízení rozsáhlých informačních systémů v prostoru svobody, bezpečnosti a práva zřízená nařízením Evropského parlamentu a Rady (EU) č. 1077/2011. Tímto nařízením by neměl být dotčen právní účinek dohod, pracovních ujednání a memorand o porozumění, které agentura zřízená nařízením (EU) č. 1077/2011 uzavřela, aniž jsou dotčeny jakékoli jejich změny vyžadované podle tohoto nařízení.

(48)

Aby agentura mohla nadále plnit úkoly Evropské agentury pro provozní řízení rozsáhlých informačních systémů v prostoru svobody, bezpečnosti a práva zřízené nařízením Evropského parlamentu a Rady (EU) č. 1077/2011 podle svých nejlepších možností, měla by být stanovena přechodná opatření, zejména pokud jde o správní radu, poradní skupiny, výkonného ředitele a vnitřní předpisy přijaté správní radou.

(49)

Cílem tohoto nařízení je pozměnit a rozšířit působnost nařízení (EU) č. 1077/2011. Vzhledem k tomu, že změn, které je třeba provést tímto nařízením, je značný počet a jsou podstatné, mělo by být nařízení (EU) č. 1077/2011 v zájmu přehlednosti nahrazeno v plném rozsahu ve vztahu k členským státům, které jsou vázány tímto nařízením. Agentura zřízená tímto nařízením by měla nahradit agenturu zřízenou nařízením (EU) č. 1077/2011 a převzít její funkce, přičemž uvedené nařízení by mělo být zrušeno.

(50)

Jelikož cílů tohoto nařízení, totiž zřízení agentury na úrovni Unie odpovědné za provozní řízení a případně vývoj rozsáhlých informačních systémů v prostoru svobody, bezpečnosti a práva, nemůže být dosaženo uspokojivě členskými státy, ale spíše jich, z důvodu rozsahu a účinků tohoto nařízení, může být lépe dosaženo na úrovni Unie, může Unie přijmout opatření v souladu se zásadou subsidiarity stanovenou v článku 5 Smlouvy o EU. V souladu se zásadou proporcionality stanovenou v uvedeném článku nepřekračuje toto nařízení rámec toho, co je nezbytné k dosažení těchto cílů.

(51)

V souladu s článkem 1 a 2 Protokolu č. 22 se Dánsko neúčastní přijímání tohoto nařízení a toto nařízení pro ně není závazné ani použitelné. Vzhledem k tomu, že toto nařízení v rozsahu, v jakém se týká SIS II, VIS, EES a ETIAS, navazuje na schengenské acquis, rozhodne se Dánsko v souladu s článkem 4 uvedeného protokolu do šesti měsíců ode dne přijetí tohoto nařízení Radou, zda je provede ve svém vnitrostátním právu. V souladu s článkem 3 Dohody mezi Evropským společenstvím a Dánským královstvím o kritériích a mechanismech pro určení státu příslušného pro posuzování žádosti o azyl podané v Dánsku nebo v jiném členském státě Evropské unie a o systému Eurodac pro porovnávání otisků prstů za účelem účinného uplatňování Dublinské úmluvy (30) má Dánsko Komisi oznámit, zda provede obsah tohoto nařízení v rozsahu, v jakém se týká Eurodacu a sítě DubliNet.

(52)

V rozsahu, v jakém se ustanovení tohoto nařízení týkají SIS II ve smyslu úpravy obsažené v rozhodnutí 2007/533/SVV, se Spojené království účastní tohoto nařízení v souladu s čl. 5 odst. 1 Protokolu č. 19 o schengenském acquis začleněném do rámce Evropské unie, připojeného ke Smlouvě o EU a Smlouvě o fungování EU, a v souladu s čl. 8 odst. 2 rozhodnutí Rady 2000/365/ES (31). V rozsahu, v jakém se ustanovení tohoto nařízení týkají SIS II ve smyslu úpravy obsažené v nařízení (ES) č. 1987/2006 a VIS, EES a ETIAS, rozvíjí toto nařízení ustanovení schengenského acquis, kterých se Spojené království v souladu s rozhodnutím 2000/365/ES neúčastní; Spojené království v souladu s článkem 4 Protokolu č. 19 požádalo v dopise ze dne 19. července 2018 určenému předsedovi Rady o povolení účastnit se tohoto nařízení. Článkem 1 rozhodnutí Rady (EU) 2018/1600 (32) bylo Spojenému království povoleno účastnit se tohoto nařízení. Dále pak v rozsahu, v jakém se ustanovení tohoto nařízení týkají Eurodacu a sítě DubliNet, oznámilo Spojené království, v souladu s článkem 3 Protokolu č. 21 o postavení Spojeného království a Irska s ohledem na prostor svobody, bezpečnosti a práva, připojeného ke Smlouvě o EU a Smlouvě o fungování EU, své přání účastnit se přijímání a používání tohoto nařízení v dopise ze dne 23. října 2017 určenému předsedovi Rady. Spojené království se tak účastní přijímání tohoto nařízení a toto nařízení je pro něj závazné a použitelné.

(53)

V rozsahu, v jakém se ustanovení tohoto nařízení týkají SIS II ve smyslu úpravy obsažené v rozhodnutí 2007/533/SVV, se Irsko v zásadě může účastnit tohoto nařízení v souladu s čl. 5 odst. 1 Protokolu č. 19 a v souladu s čl. 6 odst. 2 rozhodnutí Rady 2002/192/ES (33). V rozsahu, v jakém se ustanovení tohoto nařízení týkají SIS II podle nařízení (ES) č. 1987/2006 a VIS, EES a ETIAS, rozvíjí toto nařízení ustanovení schengenského acquis, kterých se Irsko v souladu s rozhodnutím 2002/192/ES neúčastní; Irsko nepožádalo o účast na přijímání tohoto nařízení v souladu s článkem 4 Protokolu č. 19. Irsko se proto neúčastní přijímání tohoto nařízení a toto nařízení pro něj není závazné ani použitelné, pokud rozvíjí ta ustanovení schengenského acquis, která se týkají SIS II podle nařízení (ES) č. 1987/2006, VIS, EES a ETIAS. Dále pak v rozsahu, v jakém se ustanovení tohoto nařízení týkají Eurodacu a sítě DubliNet, se Irsko v souladu s články 1 a 2 a čl. 4a odst. 1 Protokolu č. 21 neúčastní přijímání tohoto nařízení a toto nařízení není pro ně závazné ani použitelné. Jelikož není za těchto okolností možné zajistit, aby bylo toto nařízení v celém rozsahu použitelné na Irsko, jak to vyžaduje článek 288 Smlouvy o fungování EU, neúčastní se Irsko přijímání tohoto nařízení a toto nařízení není pro něj závazné ani použitelné, aniž jsou dotčena práva Irska podle Protokolů č. 19 a č. 21.

(54)

Pokud jde o Island a Norsko, rozvíjí toto nařízení v rozsahu, v jakém se týká SIS II a VIS, EES a ETIAS, ustanovení schengenského acquis ve smyslu Dohody uzavřené Radou Evropské unie a Islandskou republikou a Norským královstvím o přidružení těchto dvou států k provádění, uplatňování a rozvoji schengenského acquis(34) která spadají do oblasti uvedené v čl. 1 bodech A, B a G rozhodnutí Rady 1999/437/ES (35). Pokud jde o Eurodac a síť DubliNet, představuje toto nařízení nové opatření ve smyslu Dohody mezi Evropským společenstvím a Islandskou republikou a Norským královstvím o kritériích a mechanismech určení státu příslušného pro posuzování žádosti o azyl podané v některém z členských států nebo na Islandu nebo v Norsku (36). Proto by delegace Islandské republiky a Norského království měly být zastoupeny ve správní radě agentury, rozhodnou-li se provést toto nařízení ve svém vnitrostátním právním řádu. K určení dalších podrobných pravidel umožňujících účast Islandské republiky a Norského království na činnostech agentury je nutno uzavřít mezi Unií a těmito státy další ujednání.

(55)

Pokud jde o Švýcarsko, rozvíjí toto nařízení v rozsahu, v jakém se týká SIS II a VIS, EES a ETIAS, ustanovení schengenského acquis ve smyslu Dohody mezi Evropskou unií, Evropským společenstvím a Švýcarskou konfederací o přidružení Švýcarské konfederace k provádění, uplatňování a rozvoji schengenského acquis (37), která spadají do oblasti uvedené v čl. 1 bodech A, B a G rozhodnutí 1999/437/ES ve spojení s článkem 3 rozhodnutí Rady 2008/146/ES (38). Pokud jde o Eurodac a síť DubliNet, představuje toto nařízení nové opatření související s Eurodacem ve smyslu Dohody mezi Evropským společenstvím a Švýcarskou konfederací o kritériích a mechanismech určení státu příslušného pro posuzování žádosti o azyl podané v některém z členských států nebo ve Švýcarsku (39). Proto by delegace Švýcarské konfederace měla být zastoupena ve správní radě agentury, rozhodne-li se provést toto nařízení ve svém vnitrostátním právním řádu. K určení dalších podrobných pravidel umožňujících účast Švýcarské konfederace na činnostech agentury je nutno uzavřít mezi Unií a Švýcarskou konfederací další ujednání.

(56)

Pokud jde o Lichtenštejnsko, rozvíjí toto nařízení v rozsahu, v jakém se týkají SIS II a VIS, EES a ETIAS, ustanovení schengenského acquis ve smyslu Protokolu mezi Evropskou unií, Evropským společenstvím, Švýcarskou konfederací a Lichtenštejnským knížectvím o přistoupení Lichtenštejnského knížectví k Dohodě mezi Evropskou unií, Evropským společenstvím a Švýcarskou konfederací o přidružení Švýcarské konfederace k provádění, uplatňování a rozvoji schengenského acquis (40), která spadají do oblasti uvedené v čl. 1 bodech A, B a G rozhodnutí 1999/437/ES ve spojení s článkem 3 rozhodnutí Rady 2011/350/EU (41).

Pokud jde o Eurodac a síť DubliNet, toto nařízení představuje nové opatření ve smyslu Protokolu mezi Evropským společenstvím, Švýcarskou konfederací a Lichtenštejnským knížectvím o přistoupení Lichtenštejnského knížectví k dohodě mezi Evropským společenstvím a Švýcarskou konfederací o kritériích a mechanismech určení státu příslušného pro posuzování žádosti o azyl podané v některém z členských států nebo ve Švýcarsku (42). Proto by delegace Lichtenštejnského knížectví měla být zastoupena ve správní radě agentury, rozhodne-li se provést toto nařízení ve svém vnitrostátním právním řádu. K určení dalších podrobných pravidel umožňujících účast Lichtenštejnského knížectví na činnostech agentury je nutno uzavřít mezi Unií a Lichtenštejnským knížectvím další ujednání,

PŘIJALY TOTO NAŘÍZENÍ:

KAPITOLA I

PŘEDMĚT A CÍLE

Článek 1

Předmět

1.   Zřizuje se Agentura Evropské unie pro provozní řízení rozsáhlých informačních systémů v prostoru svobody, bezpečnosti a práva (dále jen „agentura“).

2.   Agentura zřízená tímto nařízením nahrazuje Evropskou agenturu pro provozní řízení rozsáhlých informačních systémů v prostoru svobody, bezpečnosti a práva, která byla zřízena nařízením (EU) č. 1077/2011, a je její nástupkyní.

3.   Agentura odpovídá za provozní řízení Schengenského informačního systému (SIS II), Vízového informačního systému (VIS) a Eurodacu.

4.   Agentura odpovídá za přípravu, vývoj nebo provozní řízení systému vstupu/výstupu (EES), sítě DubliNet a evropského systému pro cestovní informace a povolení (ETIAS).

5.   Agenturu lze pověřit přípravou, vývojem nebo provozním řízením jiných rozsáhlých informačních systémů v prostoru svobody, bezpečnosti a práva, než které jsou uvedeny v odstavcích 3 a 4 tohoto článku, včetně stávajících systémů, pouze pokud tak stanoví příslušné právní akty Unie, jimiž se tyto systémy řídí, založené na článcích 67 až 89 Smlouvy o fungování EU, případně s přihlédnutím k vývoji v oblasti výzkumu uvedenému v článku 14 tohoto nařízení a k výsledkům pilotních projektů a ověření koncepce uvedeným v článku 15 tohoto nařízení.

6.   Provozní řízení zahrnuje veškeré úkoly nezbytné pro zachování funkčnosti rozsáhlých informačních systémů v souladu se zvláštními předpisy, jež se na každý z nich vztahují, a to včetně zodpovědnosti za komunikační infrastrukturu, kterou užívají. Tyto rozsáhlé informační systémy si nevyměňují údaje ani neumožňují sdílení informací nebo poznatků, pokud tak není stanoveno zvláštním právním aktem Unie.

7.   Agentura rovněž plní tyto úkoly:

a)

zajištění kvality údajů v souladu s článkem 12;

b)

vypracování nezbytných opatření umožňujících interoperabilitu v souladu s článkem 13;

c)

provádění výzkumných činností v souladu s článkem 14;

d)

provádění pilotních projektů, ověření koncepce a testovacích činností v souladu s článkem 15; a

e)

poskytování podpory členským státům a Komisi v souladu s článkem 16.

Článek 2

Cíle

Aniž je dotčena odpovědnost Komise a členských států na základě právních aktů Unie, jimiž se řídí rozsáhlé informační systémy, agentura zajišťuje:

a)

vývoj rozsáhlých informačních systémů s použitím struktury projektového řízení vhodné k účinnému vývoji těchto systémů;

b)

účinný, bezpečný a nepřetržitý provoz rozsáhlých informačních systémů;

c)

účinné a finančně odpovědné řízení rozsáhlých informačních systémů;

d)

patřičnou úroveň služeb uživatelům rozsáhlých informačních systémů;

e)

plynulost a nepřetržitost provozu rozsáhlých informačních systémů;

f)

vysokou úroveň ochrany údajů v souladu s právem Unie v oblasti ochrany údajů, včetně zvláštních předpisů pro každý z rozsáhlých informačních systémů;

g)

vhodnou úroveň zabezpečení údajů a fyzické bezpečnosti v souladu s platnými pravidly, včetně zvláštních předpisů pro každý z rozsáhlých informačních systémů.

KAPITOLA II

ÚKOLY AGENTURY

Článek 3

Úkoly související se SIS II

V souvislosti se SIS II plní agentura:

a)

úkoly svěřené řídícímu orgánu nařízením (ES) č. 1987/2006 a rozhodnutím 2007/533/SVV; a

b)

úkoly související s odbornou přípravou zaměřenou na používání SIS II, zejména pro zaměstnance SIRENE (SIRENE – Supplementary Information Request at National Entries), a s odbornou přípravou pro odborníky zaměřenou na technické aspekty SIS II v rámci schengenského hodnocení.

Článek 4

Úkoly související s VIS

V souvislosti s VIS plní agentura:

a)

úkoly svěřené řídícímu orgánu nařízením (ES) č. 767/2008 a rozhodnutím 2008/633/SVV; a

b)

úkoly související s odbornou přípravou zaměřenou na technické aspekty používání VIS a s odbornou přípravou odborníků zaměřenou na technické aspekty VIS v rámci schengenského hodnocení.

Článek 5

Úkoly související s Eurodacem

V souvislosti s Eurodacem plní agentura:

a)

úkoly, kterými ji pověřuje nařízení (EU) č. 603/2013; a

b)

úkoly související s odbornou přípravou zaměřenou na technické aspekty používání Eurodacu.

Článek 6

Úkoly související s EES

V souvislosti s EES plní agentura:

a)

úkoly, kterými ji pověřuje nařízení (EU) 2017/2226; a

b)

úkoly související s odbornou přípravou zaměřenou na technické aspekty používání EES a s odbornou přípravou odborníků zaměřenou na technické aspekty EES v rámci schengenského hodnocení.

Článek 7

Úkoly související s ETIAS

V souvislosti s ETIAS plní agentura:

a)

úkoly, kterými ji pověřuje nařízení (EU) 2018/1240; a

b)

úkoly související s odbornou přípravou zaměřenou na technické aspekty používání ETIAS a s odbornou přípravou odborníků zaměřenou na technické aspekty ETIAS v rámci schengenského hodnocení.

Článek 8

Úkoly související se sítí DubliNet

V souvislosti se sítí DubliNet plní agentura tyto úkoly:

a)

provozní řízení sítě DubliNet, samostatného zabezpečeného kanálu pro elektronický přenos údajů mezi orgány členských států, zřízeného podle článku 18 nařízení (ES) č. 1560/2003, pro účely uvedené v článcích 31, 32 a 34 nařízení Evropského parlamentu a Rady (EU) č. 604/2013 (43); a

b)

úkoly související s odbornou přípravou zaměřenou na technické aspekty používání sítě DubliNet.

Článek 9

Úkoly související s přípravou, vývojem a provoznímřízením jiných rozsáhlých informačních systémů

Je-li agentuře svěřena příprava, vývoj nebo provozní řízení jiných rozsáhlých informačních systémů podle čl. 1 odst. 5, plní agentura podle potřeby úkoly svěřené jí podle právního aktu Unie upravujícího příslušný systém a případně také úkoly související s odbornou přípravou zaměřenou na technické aspekty používání těchto systémů.

Článek 10

Technická řešení vyžadující zvláštní podmínky před prováděním

Vyžadují-li právní akty Unie upravující systémy, aby agentura tyto systémy udržovala v provozu 24 hodin denně a sedm dní v týdnu, uplatní agentura taková technická řešení, která povedou ke splnění těchto požadavků, a to aniž by byly dotčeny tyto právní akty Unie. Vyžadují-li tato technická řešení zdvojení systému nebo zdvojení prvků systému, uplatní se až poté, co bylo provedeno nezávislé posouzení dopadů a analýza nákladů a přínosů zadané agenturou, a to po konzultaci s Komisí, a poté, co bylo vydáno kladné rozhodnutí správní rady. Součástí posouzení dopadů bude rovněž přezkoumání stávajících a budoucích potřeb, pokud jde o hostitelskou kapacitu stávajících technických míst spojených s rozvojem takových technických řešení, a možných rizik stávajícího provozního nastavení.

Článek 11

Úkoly související s komunikační infrastrukturou

1.   Agentura vykonává všechny úkoly související s komunikační infrastrukturou systémů, které jí byly svěřeny právními akty Unie upravujícími tyto systémy, s výjimkou těch systémů, které pro svou komunikační infrastrukturu používají síť EuroDomain. V případě těchto systémů používajících síť EuroDomain odpovídá Komise za úkoly plnění rozpočtu, pořizování a obnovy a za smluvní záležitosti. Podle právních aktů Unie upravujících systémy používající síť EuroDomain mají být úkoly související s komunikační infrastrukturou, včetně provozního řízení a bezpečnosti, rozděleny mezi agenturu a Komisi. V zájmu zajištění soudržnosti při výkonu svých příslušných úkolů uzavřou agentura a Komise provozní pracovní ujednání obsažené v memorandu o porozumění.

2.   Komunikační infrastruktura musí být řádně řízena a kontrolována tak, aby byla chráněna před hrozbami a byla zajištěna její bezpečnost a bezpečnost systémů, včetně údajů vyměňovaných prostřednictvím komunikační infrastruktury.

3.   Agentura přijme vhodná opatření, včetně bezpečnostních plánů, zejména aby bylo možné zabránit neoprávněnému čtení, kopírování, úpravám nebo vymazávání osobních údajů během jejich přenosu nebo přepravy nosičů údajů, zejména prostřednictvím vhodných technik šifrování. Veškeré operativní informace týkající se systému, které se rozesílají prostřednictvím komunikační infrastruktury, musí být šifrovány.

4.   Úkoly související s poskytováním, zřizováním, údržbou a sledováním komunikační infrastruktury lze svěřit vnějším soukromoprávním subjektům podle nařízení (EU, Euratom) 2018/1046. Za provádění těchto úkolů odpovídá agentura, která zároveň na jejich plnění důkladně dohlíží.

Při provádění úkolů uvedených v prvním pododstavci jsou všechny vnější soukromoprávní subjekty včetně provozovatelů sítě povinny dodržovat bezpečnostní opatření podle odstavce 3 a nesmějí mít prostřednictvím jakýchkoli prostředků žádný přístup k jakýmkoli operativním údajům uloženým v systémech nebo převáděným prostřednictvím komunikačních infrastruktur ani k výměně údajů související se SIS II prostřednictvím SIRENE.

5.   Správa šifrovacích klíčů zůstává v pravomoci agentury a nelze ji zadat žádnému vnějšímu soukromoprávnímu subjektu. Tímto ustanovením nejsou dotčeny stávající smlouvy týkající se komunikačních infrastruktur SIS II, VIS a Eurodacu.

Článek 12

Kvalita údajů

Aniž jsou dotčeny povinnosti členských států v souvislosti s údaji zadávanými do systémů, pracuje agentura, za úzké účasti svých poradních skupin, společně s Komisí na vytvoření automatizovaných mechanismů pro kontrolu kvality údajů a společných ukazatelů kvality údajů pro všechny systémy a na vývoji centrálního úložiště obsahujícího výlučně anonymizované údaje pro účely podávání zpráv a statistiky, s výhradou zvláštních ustanovení právních aktů Unie upravujících vývoj, zřízení, provoz a používání systémů.

Článek 13

Interoperabilita

Pokud je v příslušném právním aktu Unie stanovena interoperabilita rozsáhlých informačních systémů, vypracuje agentura nezbytná opatření umožňující tuto interoperabilitu.

Článek 14

Sledování výzkumu

1.   Agentura sleduje vývoj v oblasti výzkumu, který je důležitý pro provozní řízení SIS II, VIS, Eurodacu, EES, ETIAS, sítě DubliNet a jiných rozsáhlých informačních systémů uvedených v čl. 1 odst. 5.

2.   Agentura může přispívat k provádění částí rámcového programu Evropské unie pro výzkum a inovace, které souvisejí s rozsáhlými informačními systémy v prostoru svobody, bezpečnosti a práva. Za tímto účelem, a pokud na ni Komise přenese příslušné relevantní pravomoci, plní agentura tyto úkoly:

a)

řídí některé fáze provádění programu a některé fáze cyklu konkrétních projektů na základě příslušných pracovních programů přijatých Komisí;

b)

přijímá nástroje pro plnění rozpočtových příjmů a výdajů a vykonává všechny činnosti potřebné pro správu programu; a

c)

poskytuje podporu při provádění programu.

3.   Aniž jsou dotčeny požadavky na podávání zpráv o provádění částí rámcového programu Evropské unie pro výzkum a inovace uvedených v odstavci 2, agentura o vývoji uvedeném v tomto článku pravidelně, a to alespoň jednou ročně, informuje Evropský parlament, Radu, Komisi a v případech, kdy se jedná o zpracování osobních údajů, také evropského inspektora ochrany údajů.

Článek 15

Pilotní projekty, ověření koncepce a testovací činnosti

1.   Na výslovnou a konkrétní žádost Komise, jež nejméně tři měsíce před učiněním této žádosti uvědomila Evropský parlament a Radu, a po vydání kladného rozhodnutí správní rady může být agentuře v souladu s čl. 19 odst. 1 písm. u) tohoto nařízení na základě pověřovací dohody svěřena pravomoc provádět pilotní projekty uvedené v čl. 58 odst. 2 písm. a) nařízení (EU, Euratom) 2018/1046 v zájmu vývoje či provozního řízení rozsáhlých informačních systémů podle článků 67 až 89 Smlouvy o fungování EU, v souladu s čl. 62 odst. 1 písm. c) nařízení (EU, Euratom) 2018/1046.

Agentura pravidelně informuje Evropský parlament, Radu a v případech, kdy se jedná o zpracování osobních údajů, také evropského inspektora ochrany údajů o vývoji pilotních projektů prováděných agenturou podle prvního pododstavce.

2.   Finanční prostředky na pilotní projekty uvedené v čl. 58 odst. 2 písm. a) nařízení (EU, Euratom) 2018/1046, o které požádala Komise podle odstavce 1, se zaznamenávají do rozpočtu pro nejvýše dva po sobě následující rozpočtové roky.

3.   Na žádost Komise nebo Rady, poté co byl uvědomen Evropský parlament, a po vydání kladného rozhodnutí správní rady mohou být v souladu s čl. 62 odst. 1 písm. c) nařízení (EU, Euratom) 2018/1046 na základě pověřovací dohody svěřeny agentuře úkoly plnění rozpočtu pro ověření koncepce, které jsou financovány v rámci nástroje pro finanční podporu v oblasti vnějších hranic a víz zřízeného nařízením (EU) č. 515/2014.

4.   Po vydání kladného rozhodnutí správní rady může agentura plánovat a provádět testování týkající se záležitostí, na které se vztahuje toto nařízení a jakékoli právní akty Unie upravující vývoj, zřízení, provoz a používání systémů.

Článek 16

Podpora členským státům a Komisi

1.   Kterýkoliv členský stát může agenturu požádat, aby mu poskytla poradenství ohledně propojení jeho vnitrostátního systému s centrálními systémy rozsáhlých informačních systémů spravovaných agenturou.

2.   Kterýkoliv členský stát může podat žádost Komisi o podporu ad hoc. Pokud Komise tuto žádost posoudí kladně s tím, že shledá, že je tato podpora nezbytná pro výjimečné bezpečnostní nebo migrační potřeby, bezodkladně ji předloží agentuře. Agentura o této žádosti informuje správní radu. Členský stát je informován, pokud Komise posoudí žádost záporně.

Komise sleduje, zda agentura na žádost členského státu reaguje včas. Výroční zpráva o činnosti agentury podrobně uvede opatření, která agentura učinila za účelem poskytování podpory ad-hoc členským státům, a náklady, které v této souvislosti vznikly.

3.   Agenturu lze rovněž požádat, aby poskytla Komisi poradenství nebo podporu týkající se technických otázek souvisejících se stávajícími nebo novými systémy, a to i prostřednictvím studií a testování. Agentura o těchto žádostech informuje správní radu.

4.   Skupina alespoň pěti členských států může agenturu pověřit úkolem vyvinout, řídit nebo hostovat společnou složku IT, která by jim pomáhala při provádění technických aspektů povinností vyplývajících z práva Unie týkajících se decentralizovaných informačních systémů v prostoru svobody, bezpečnosti a práva. Těmito společnými IT řešeními nejsou dotčeny povinnosti dožadujících členských států podle použitelného práva Unie, zejména pokud jde o architekturu těchto systémů.

Dožadující členské státy mohou agenturu pověřit zejména úkolem vytvořit společnou složku nebo router pro předběžné informace o cestujících a jmennou evidenci cestujících jakožto nástroj technické podpory, který usnadní propojení s leteckými dopravci za účelem podpory členských států při provádění směrnice Rady 2004/82/ES (44) a směrnice Evropského parlamentu a Rady (EU) 2016/681 (45). V takovém případě agentura centrálně shromažďuje údaje od leteckých dopravců a předává je členským státům prostřednictvím společné složky nebo routeru. Dožadující členské státy musí přijmout nezbytná opatření k zajištění toho, aby letečtí dopravci předávali údaje prostřednictvím agentury.

Úkol vyvíjet, řídit nebo hostovat společnou složku IT je agentuře svěřen pouze po předchozím schválení Komisí a po vydání kladného rozhodnutí správní rady.

Dožadující členské státy svěřují agentuře úkoly uvedené v prvním a druhém pododstavci prostřednictvím pověřovací dohody, která stanoví podmínky pro přenesení úkolů a pro výpočet všech příslušných nákladů a způsob fakturace. Všechny příslušné náklady hradí zúčastněné členské státy. Pověřovací dohoda je v souladu s příslušnými právními akty Unie upravujícími dané systémy. Agentura informuje Evropský parlament a Radu o schválené pověřovací dohodě a o všech jejích případných změnách.

Další členské státy mohou požádat o účast na společném IT řešení, je-li taková možnost stanovena v pov