This document is an excerpt from the EUR-Lex website
Document 52012PC0011
Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation)
Návrh NARIADENIE EURÓPSKEHO PARLAMENTU A RADY o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov (všeobecné nariadenie o ochrane údajov)
Návrh NARIADENIE EURÓPSKEHO PARLAMENTU A RADY o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov (všeobecné nariadenie o ochrane údajov)
/* COM/2012/011 final - 2012/0011 (COD) */
Návrh NARIADENIE EURÓPSKEHO PARLAMENTU A RADY o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov (všeobecné nariadenie o ochrane údajov) /* COM/2012/011 final - 2012/0011 (COD) */
DÔVODOVÁ SPRÁVA
1.
KONTEXT NÁVRHU
Táto dôvodová správa poskytuje spresnenie
navrhovaného nového právneho rámca ochrany osobných údajov v EÚ, ktorý bol
ustanovený v oznámení COM(2012) 9 v konečnom znení[1]. Navrhovaný nový právny rámec
pozostáva z týchto dvoch legislatívnych návrhov: –
návrh nariadenia Európskeho parlamentu o ochrane
fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov
(všeobecné nariadenie o ochrane údajov) a –
návrh smernice Európskeho parlamentu a Rady o
ochrane fyzických osôb pri spracúvaní osobných údajov príslušnými orgánmi na
účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo
stíhania alebo na účely výkonu trestných sankcií a o voľnom pohybe
takýchto údajov[2].
Táto dôvodová správa sa týka legislatívneho
návrhu všeobecného nariadenia o ochrane údajov. Hlavný právny predpis EÚ týkajúci sa ochrany
osobných údajov, smernica 95/46/ES[3],
bol prijatý v roku 1995 a jeho úlohou bolo dosiahnuť dva ciele – chrániť
základné právo na ochranu údajov a zaručiť voľný tok osobných údajov medzi
členskými štátmi. Smernicu doplnilo rámcové rozhodnutie 2008/977/SVV ako
všeobecný nástroj na úrovni Únie určený na ochranu osobných údajov v oblastiach
policajnej a justičnej spolupráce v trestných veciach[4]. Rýchly technologický rozvoj so sebou priniesol
nové výzvy v oblasti ochrany osobných údajov. Rozsah zdieľania a zhromažďovania
údajov sa značne zväčšil. Technológia umožňuje súkromným podnikom a verejným
orgánom pri výkone ich činností využívať osobné údaje v doteraz
bezprecedentnom rozsahu. Fyzické osoby v čoraz väčšej miere zverejňujú svoje
osobné údaje, a to aj v globálnom meradle. Technológia zmenila ekonomiku aj
sociálny život. Kľúčom hospodárskeho rozvoja je vybudovanie
dôvery v online prostredie. Nedostatok dôvery spotrebiteľov spôsobuje ich
váhanie pri nákupe online a akceptovaní nových služieb. Vyvoláva to riziko
spomalenia rozvoja inovatívneho využívania nových technológií. Ochrana osobných
údajov preto zohráva hlavnú úlohu pri iniciatíve Digitálna agenda pre Európu[5] a vo všeobecnosti pri plnení
stratégie Európa 2020[6]. V článku 16 ods. 1 Zmluvy o fungovaní
Európskej únie (ZFEÚ), ktorý bol zavedený Lisabonskou zmluvou, sa stanovuje
zásada, že každý má právo na ochranu osobných údajov, ktoré sa ho týkajú. Okrem
toho v článku 16 ods. 2 ZFEÚ zaviedla Lisabonská zmluva osobitný právny základ
pre prijatie pravidiel ochrany osobných údajov. V článku 8 Charty základných
práv EÚ je zakotvená ochrana osobných údajov ako základné právo. Európska rada vyzvala Komisiu, aby zhodnotila
fungovanie nástrojov EÚ v oblasti ochrany údajov a v prípade potreby
predstavila ďalšie legislatívne a nelegislatívne iniciatívy[7]. Európsky parlament vo svojej
rezolúcii[8]
o Štokholmskom programe uvítal komplexný systém ochrany údajov v EÚ a okrem
iného vyzval k revízii rámcového rozhodnutia. Komisia vo svojom akčnom pláne na
implementáciu Štokholmského programu[9]
zdôraznila potrebu zabezpečiť, aby sa základné právo na ochranu osobných údajov
uplatňovalo v kontexte politík EÚ konzistentne. Vo svojom oznámení „Komplexný prístup k
ochrane osobných údajov v Európskej únii“[10]
Komisia dospela k záveru, že EÚ potrebuje komplexnejšiu a konzistentnú
politiku, pokiaľ ide o základné právo na ochranu osobných údajov. Príslušné ciele a zásady súčasného rámca zostávajú
naďalej platné, rámec však nezabránil rozdielnostiam v spôsobe, akým sa ochrana
osobných údajov implementuje v rámci Únie, nezabránil právnej neistote a
rozšírenému pocitu verejnosti, že najmä s výkonom online aktivít, sú spojené
značné riziká[11].
Z tohto dôvodu je načase vytvoriť silnejší a komplexnejší rámec ochrany údajov
v EÚ, ktorého uplatňovanie by sa dôrazne presadzovalo a ktorý by umožnil rozvoj
digitálnej ekonomiky v rámci vnútorného trhu, umožnil fyzickým osobám
kontrolovať ich vlastné údaje a posilnil právnu a praktickú istotu pre
hospodárske subjekty a verejné orgány.
2.
VÝSLEDKY KONZULTÁCIÍ SO ZAINTERESOVANÝMI STRANAMI A POSÚDENIE
VPLYVU
Táto iniciatíva je výsledkom rozsiahlych
konzultácií so všetkými hlavnými zainteresovanými stranami o revízii súčasného
právneho rámca ochrany osobných údajov, ktoré trvali viac ako dva roky a
zahŕňali konferenciu na vysokej úrovni, ktorá sa konala v máji 2009[12]. Konzultácie prebiehali v
dvoch fázach: –
Od 9. júla do 31. decembra 2009 prebiehali konzultácie
o právnom rámci pre základné právo na ochranu osobných údajov. Komisii bolo
doručených 168 odpovedí, 127 bolo od fyzických osôb, obchodných organizácií a
združení a 12 od verených orgánov[13].
–
Od 4. novembra 2010 do 15. januára 2011 prebiehali konzultácie
o komplexnom prístupe Komisie k ochrane osobných údajov v Európskej únii.
Komisii bolo doručených 305 odpovedí, z nich bolo 54 od občanov, 31 od
verejných orgánov a 220 bolo od súkromných organizácií, najmä od obchodných
združení a mimovládnych organizácií[14].
Boli vykonané aj cielené konzultácie s
hlavnými zainteresovanými stranami. V júni a júli 2010 boli zorganizované
osobitné podujatia s orgánmi členských štátov a so zainteresovanými stranami zo
súkromného sektora, ako aj s organizáciami z oblasti ochrany súkromia, ochrany
údajov a ochrany spotrebiteľov[15].
V novembri 2010 zorganizovala podpredsedníčka Európskej komisie Redingová
diskusiu pri okrúhlom stole o reforme v oblasti ochrany údajov. Komisia a Rada
Európy 28. januára 2011 (Deň ochrany údajov) zorganizovali spoločnú konferenciu
na vysokej úrovni, na ktorej sa diskutovalo o otázkach týkajúcich sa reformy
právneho rámca EÚ, ako aj o potrebe celosvetovo platných spoločných noriem
ochrany údajov[16].
Maďarské a poľské predsedníctva Rady hostili v dňoch 16. – 17. júna 2011
a 21. septembra 2011 dve konferencie o ochrane údajov. Počas roku 2011 sa konali odborné workshopy a
semináre o osobitných otázkach. Európska agentúra pre bezpečnosť sietí a
informácií (ENISA)[17]
zorganizovala v januári workshop o oznámeniach o porušení ochrany údajov v
Európe[18].
Komisia vo februári zorganizovala workshop s orgánmi členských štátov, venovaný
diskusii o otázkach ochrany v oblasti policajnej a justičnej spolupráce v
trestných veciach vrátane implementácie rámcového rozhodnutia a Agentúra pre
základné práva zorganizovala konzultačné stretnutie pre zainteresované strany o
ochrane údajov a súkromia. Dňa 13. júla 2011 sa konala diskusia s národnými
orgánmi pre ochranu údajov o hlavných otázkach reformy. Konzultácia s občanmi
EÚ sa uskutočnila prostredníctvom prieskumu Eurobarometer v novembri a decembri
2010[19].
Začalo sa aj s prácou na niekoľkých štúdiách[20].
Pracovná skupina zriadená podľa článku 29[21]
poskytla Komisii viaceré stanoviská a užitočné pripomienky[22]. Európsky dozorný úradník pre
ochranu údajov takisto vydal komplexné stanovisko o otázkach, ktoré nastolila
Komisia vo svojom oznámení z novembra 2010[23].
Európsky parlament schválil vo svojom uznesení
zo 6. júla 2011 správu, ktorá podporila prístup Komisie k reforme rámca ochrany
údajov[24].
Rada Európskej únie prijala 24. februára 2011 závery, v ktorých v širokej miere
podporila zámer Komisie reformovať rámec ochrany údajov a súhlasí s mnohými
prvkami prístupu Komisie. Európsky hospodársky a sociálny výbor takisto
podporil zámer Komisie zabezpečiť konzistentnejšie uplatňovanie pravidiel
ochrany údajov EÚ[25]
v rámci všetkých členských štátov a primeranú revíziu smernice 95/46/ES[26]. Počas konzultácií o komplexnom prístupe sa
veľká väčšina zainteresovaných strán zhodla na tom, že všeobecné zásady zostávajú
platné, ale je potrebné súčasný rámec prispôsobiť tak, aby lepšie reagoval na
výzvy, ktoré prináša rýchly rozvoj nových technológií (najmä online) a posilňovanie
globalizácie, a to pri súčasnom zachovaní technologickej neutrality právneho
rámca. K súčasnej rozdielnosti úprav v oblasti ochrany osobných údajov v Únii
bola vyjadrená závažná kritika, a to najmä zo strany hospodárskych
zainteresovaných subjektov, ktoré žiadali posilnenie právnej istoty a
harmonizáciu pravidiel ochrany osobných údajov. Zložitosť pravidiel týkajúcich
sa medzinárodného prenosu osobných údajov pokladajú za prekážku pri ich práci,
pretože potrebujú pravidelne prenášať osobné údaje z EÚ do iných častí sveta. V súlade so svojou politikou „lepšej
regulácie“ Komisia vykonala posúdenie vplyvu alternatív politiky. Posúdenie
vplyvu sa opieralo o tri politické ciele: zlepšenie ochrany údajov vo vzťahu k
vnútornému trhu, zefektívnenie uplatňovania práva na ochranu údajov zo stany
fyzických osôb a vytvorenie komplexného a uceleného rámca pokrývajúceho všetky
oblasti kompetencií Únie vrátane policajnej a justičnej spolupráce v trestných
veciach. Boli posúdené tri politické možnosti s rozličným stupňom intervencie.
Prvá možnosť pozostávala z minimálnych legislatívnych zmien a doplnení, použitia
výkladových oznámení a z politických podporných opatrení, ako je
financovanie programov a technických nástrojov. Druhou možnosťou bol súbor
legislatívnych predpisov týkajúcich sa jednotlivých problémov identifikovaných
v analýze a tretia možnosť spočívala v centralizácii ochrany údajov na úrovni
EÚ prostredníctvom precíznych a podrobných pravidiel pre všetky sektory a v zavedení
agentúry EÚ na monitorovanie a presadzovanie týchto predpisov. Za pomoci medziútvarovej riadiacej skupiny
bola každá politická možnosť posudzovaná podľa metodiky Komisie, a to pokiaľ
ide o jej účinnosť na dosiahnutie politických cieľov, jej hospodársky vplyv na
zainteresované strany (vrátane vplyvu na rozpočet inštitúcií EÚ) a jej sociálny
dosah a účinok na základné práva. Dosah na životné prostredie sa neskúmal.
Analýza celkového vplyvu viedla k vypracovaniu uprednostnenej politickej
možnosti, ktorá sa opiera o druhú možnosť s niektorými prvkami ostatných
dvoch možností a ktorá je obsahom súčasného návrhu. Podľa posúdenia vplyvu
povedie implementácia tohto návrhu okrem iného k značnému zlepšeniu právnej
istoty pre prevádzkovateľov údajov a občanov, k zníženiu administratívnej
záťaže, ku konzistentnému uplatňovaniu ochrany údajov v Únii, k skutočnému
uplatňovaniu práv na ochranu osobných údajov zo strany fyzických osôb v rámci
EÚ a k účinnému dozoru nad ochranou údajov a uplatňovaniu tejto ochrany.
Očakáva sa, že implementácia uprednostnených politických možností takisto
prispeje k splneniu cieľa Komisie – zjednodušeniu a zníženiu administratívneho
zaťaženia – a k cieľom Digitálnej agendy pre Európu, akčného plánu na
implementáciu Štokholmského programu a k cieľom stratégie Európa 2020. Výbor na posudzovanie vplyvu poskytol k návrhu
posúdenia vplyvu 9. septembra 2011 svoje stanovisko. Podľa stanoviska
výboru boli v posúdení vplyvu vykonané tieto zmeny: –
boli ozrejmené ciele súčasného právneho rámca (s
uvedením, do akej miery boli alebo neboli splnené), ako aj ciele plánovanej
reformy, –
do oddielu, v ktorom sú vymedzené problémy, boli
pridané ďalšie dôkazy a vysvetlenia/ozrejmenia, –
bol pridaný oddiel o proporcionalite, –
všetky výpočty a odhady týkajúce sa
administratívneho zaťaženia v základnom scenári a v uprednostnenej
možnosti boli v plnej miere preskúmané a zrevidované a ozrejmila sa súvislosť
medzi nákladmi na oznámenia a nákladmi spôsobenými všeobecnou rozdielnosťou
úprav (vrátane prílohy 10), –
lepšie boli špecifikované vplyvy na mikropodniky a
malé a stredné podniky, najmä pokiaľ ide o úradníkov pre ochranu údajov a
posúdenia vplyvu na ochranu údajov. Správa o posúdení vplyvu a zhrnutie sú
uverejnené spolu s návrhmi.
3.
PRÁVNE PRVKY NÁVRHU
3.1.
Právny základ
Tento návrh sa opiera o článok 16 ZFEÚ, ktorý
je novým právnym základom pre prijatie pravidiel ochrany údajov zavedeným
Lisabonskou zmluvou. Toto ustanovenie umožňuje prijať pravidlá týkajúce sa
ochrany fyzických osôb, pokiaľ ide o spracúvanie osobných údajov zo strany
členských štátov pri výkone činností, ktoré patria do rozsahu pôsobnosti práva
Únie. Umožňuje aj prijatie pravidiel týkajúcich sa voľného pohybu osobných
údajov vrátane osobných údajov spracovávaných členskými štátmi alebo súkromnými
subjektmi. Nariadenie sa považuje za najvhodnejší právny
nástroj na vymedzenie rámca ochrany osobných údajov v Únii. Priame uplatňovanie
nariadenia v súlade s článkom 288 ZFEÚ zníži rozdielnosť právnych úprav a
poskytne väčšiu právnu istotu zavedením harmonizovaného súboru základných
pravidiel, zlepšením ochrany základných práv fyzických osôb a prispením k
fungovaniu vnútorného trhu. Na článok 114 ods. 1 ZFEÚ je potrebné odkázať
len v súvislosti so zmenou a doplnením smernice 2002/58/ES, keďže smernica
stanovuje aj ochranu oprávnených záujmov účastníkov, ktorí sú právnickými
osobami.
3.2.
Subsidiarita a proporcionalita
Podľa zásady subsidiarity (článok 5 ods. 3
ZEÚ) opatrenia na úrovni Únie by sa mali prijať len vtedy, keď predpokladané
ciele nemôžu uspokojivo dosiahnuť samotné členské štáty, a preto je možné
ich z dôvodu rozsahu alebo účinkov navrhnutých opatrení lepšie dosiahnuť na
úrovni Únie. Vzhľadom na uvedené problémy z analýzy otázky subsidiarity vyplýva
potreba prijať opatrenia na úrovni EÚ, a to z týchto dôvodov: –
Právo na ochranu osobných údajov zakotvené v článku
8 Charty základných práv si vyžaduje rovnakú úroveň ochrany údajov v celej
Únii. Neexistencia spoločných pravidiel na úrovni EÚ by znamenala riziko
rozličnej úrovne ochrany v členských štátoch a vytvorila by obmedzenia
cezhraničných tokov osobných údajov medzi členskými štátmi s rozličnými
normami. –
Osobné údaje sú stále častejšie prenášané cez
hranice jednotlivých štátov – vnútorné aj vonkajšie. Okrem toho existujú
praktické výzvy týkajúce sa posilnenia právnych predpisov o ochrane údajov a
potreba spolupráce medzi členskými štátmi a ich orgánmi, ktorú treba
zorganizovať na úrovni EÚ s cieľom zabezpečiť jednotné uplatňovanie práva Únie.
EÚ zároveň najlepšie umožňuje zabezpečiť rovnakú úroveň účinnej a konzistentnej
ochrany pre fyzické osoby, keď sú ich osobné údaje prenášané do tretích krajín.
–
Členské štáty nemôžu samotné znížiť počet problémov
pretrvávajúcich za súčasnej situácie, najmä tých, ktoré sú dôsledkom
rozdielnosti právnych úprav jednotlivých štátov. Existuje preto osobitná
potreba zaviesť harmonizovaný a ucelený rámec umožňujúci bezproblémové
prenášanie osobných údajov cez hranice v rámci EÚ pri súčasnom zabezpečení
účinnej ochrany pre všetky fyzické osoby v rámci EÚ. –
Navrhované právne opatrenia EÚ budú účinnejšie než
by mohli byť podobné opatrenia na úrovni členských štátov, čo je spôsobené
povahou a rozsahom problémov, ktoré sa dotýkajú viac ako jedného alebo
niekoľkých členských štátov. Zásada proporcionality vyžaduje, aby každá
intervencia bola cielená a neprekračovala rámec toho, čo je potrebné na
dosiahnutie cieľov. Táto zásada sprevádzala prípravu tohto návrhu od
identifikácie a posúdenia alternatívnych politických možností až po
vypracovanie návrhu právneho predpisu.
3.3.
Zhrnutie otázok týkajúcich sa základných práv
Právo na ochranu osobných údajov je stanovené
v článku 8 charty, v článku 16 ZFEÚ a v článku 8 Európskeho dohovoru
o základných právach. Ako zdôraznil Súdny dvor EÚ[27], právo na ochranu osobných
údajov sa nejaví ako absolútne právo, ale musí sa zohľadniť so zreteľom na jeho
funkciu v spoločnosti[28].
Ochrana údajov úzko súvisí s rešpektovaním súkromného a rodinného života, ktoré
sú chránené článkom 7 charty. Túto skutočnosť odráža článok 1 ods. 1 smernice
95/46/ES, v ktorej sa stanovuje, že členské štáty chránia základné práva a
slobody fyzických osôb, a najmä ich právo na súkromie v súvislosti so spracúvaním
osobných údajov. Ďalšie potenciálne dotknuté základné práva
zakotvené v charte: sloboda prejavu (článok 11 charty), sloboda podnikania
(článok 16), vlastnícke právo a najmä ochrana duševného vlastníctva (článok 17
ods. 2), zákaz akejkoľvek diskriminácie, okrem iného z dôvodu rasy, etnického
pôvodu, genetických vlastností, náboženstva alebo viery, politického alebo
iného zmýšľania, zdravotného postihnutia alebo sexuálnej orientácie (článok
21), práva dieťaťa (článok 24), právo na vysokú úroveň ochrany zdravotnej
starostlivosti (článok 35), právo na prístup k dokumentom (článok 42), právo na
účinný prostriedok nápravy a na spravodlivý proces (čl. 47).
3.4.
Podrobné vysvetlenie návrhu
3.4.1.
KAPITOLA I – VŠEOBECNÉ USTANOVENIA
V článku 1 je vymedzený predmet nariadenia a
rovnako ako v článku 1 smernice 95/46/ES sú tu stanovené dva ciele nariadenia. V článku 2 je stanovená vecná pôsobnosť
nariadenia. V článku 3 je stanovená územná pôsobnosť
nariadenia. V článku 4 sú vymedzené pojmy používané v
nariadení. Niektoré definície sú prevzaté zo smernice 95/46/ES, iné boli
upravené, doplnené o ďalšie prvky alebo sú nové (pojem „porušenie ochrany
osobných údajov“ vychádza z článku 2 písm. h) smernice 2002/58/ES[29] o súkromí a
elektronických komunikáciách, zmenenej a doplnenej smernicou 2009/136/ES[30], pojmy „genetické údaje“,
„biometrické údaje“, „údaje týkajúce sa zdravia“, „ústredie“, „zástupca“,
„podnik“, „skupina podnikov“, „záväzné firemné pravidlá“ a „dieťa“ vychádzajú z
Dohovoru OSN o právach dieťaťa[31],
a pojem „dozorný orgán“). Do definície súhlasu bolo pridané kritérium
„výslovného“ súhlasu, aby sa predišlo paralelnosti s nepochybným súhlasom a aby
existovala jediná a konzistentná definícia súhlasu, ktorá by zaručovala, že si
dotknutá osoba uvedomí, že poskytla súhlas, a k čomu ho poskytla.
3.4.2.
KAPITOLA II - ZÁSADY
V článku 5 sú stanovené zásady týkajúce sa
spracúvania osobných údajov, ktoré zodpovedajú zásadám uvedeným v článku 6
smernice 95/46/ES. Ďalšími novými prvkami sú najmä zásada transparentnosti,
spresnenie zásady obmedzenia spracovania údajov na nevyhnutné minimum a
zavedenie komplexnej zodpovednosti a povinnosti pre prevádzkovateľa. V článku 6 sa na základe článku 7 smernice
95/46/ES stanovujú podmienky zákonného spracúvania údajov, ktoré sú ďalej
špecifikované, pokiaľ ide o vyváženie kritéria záujmu a súlad s právnymi
záväzkami a verejným záujmom. V článku 7 sú uvedené podmienky vyjadrenia
súhlasu, ktorý sa pokladá za právoplatný dôvod zákonného spracovania údajov. V článku 8 sú stanovené ďalšie podmienky
zákonnosti spracovania osobných údajov detí v súvislosti so službami
informačnej spoločnosti, ktoré sú im priamo ponúkané. V článku 9 je uvedený všeobecný zákaz
spracúvania osobitných kategórií osobných údajov a výnimky z tohto
všeobecného pravidla, pričom sa vychádza z článku 8 smernice 95/46/ES. V článku 10 sa spresňuje, že prevádzkovateľ
nie je povinný získať dodatočné informácie na zistenie totožnosti dotknutej
osoby výlučne na to, aby dosiahol súlad s niektorým ustanovením tohto
nariadenia.
3.4.3.
KAPITOLA III – PRÁVA DOTKNUTEJ OSOBY
3.4.3.1.
Oddiel I – Transparentnosť a metódy
V článku 11 sa zavádza povinnosť pre
prevádzkovateľov poskytnúť transparentné a ľahko dostupné a pochopiteľné
informácie, pričom sa vychádza najmä z Madridskej rezolúcie o medzinárodných
štandardoch o ochrane osobných údajov a súkromia[32]. V článku 12 je stanovená povinnosť pre
prevádzkovateľa zaviesť postupy a mechanizmy na výkon práv dotknutej osoby, a
to aj prostredníctvom elektronickej žiadosti, pričom sa vyžaduje odpoveď na
žiadosť dotknutej osoby v rámci stanovenej lehoty a uvedenie dôvodov
odmietnutia. Vychádzajúc z článku 12 písm. c) smernice
95/46/ES sa v článku 13 stanovilo právo vo vzťahu k príjemcom, pričom sa toto
právo rozšírilo na všetkých príjemcov vrátane spoločných prevádzkovateľov a
sprostredkovateľov.
3.4.3.2.
Oddiel 2 – Informácie a prístup k údajom
Vychádzajúc z článkov 10 a 11 smernice
95/46/ES sa v článku 14 podrobnejšie stanovujú povinnosti prevádzkovateľa
informovať dotknutú osobu, pričom sa stanovuje povinnosť poskytnúť dotknutej
osobe aj ďalšie informácie týkajúce sa medzinárodného prenosu a zdroja, z
ktorého údaje pochádzajú, vrátane informácií o období, počas ktorého sa
informácie budú uchovávať, a o práve podať sťažnosť. Sú tu zachované aj možné
výnimky, ktoré sa nachádzali v smernici 95/46/ES, napr. takáto povinnosť nebude
existovať, ak je zaznamenávanie alebo sprístupnenie informácií výslovne určené
zákonom. Toto ustanovenie by sa mohlo uplatniť napríklad v rámci konaní orgánov
hospodárskej súťaže, daňových alebo colných správ alebo útvarov zodpovedných za
záležitosti sociálneho zabezpečenia. V článku 15 je stanovené právo dotknutej osoby
na prístup k jej osobným údajom, pričom sa vychádzalo z článku 12 písm. a)
smernice 95/46/ES a boli pridané nové prvky, ako je povinnosť informovať dotknuté
osoby o období, počas ktorého sa osobné údaje budú uchovávať, o práve na opravu
alebo výmaz údajov a o práve podať sťažnosť.
3.4.3.3.
Oddiel 3 – Oprava a výmaz
V článku 16 je stanovené právo dotknutej osoby
na opravu, pričom sa vychádza z článku 12 ods. b) smernice 95/46/ES. V článku 17 je stanovené „právo byť zabudnutý“
a právo na výmaz. Ďalej sa v ňom ozrejmuje a špecifikuje právo na výmaz
stanovené v článku 12 ods. b) smernice 95/46/ES a stanovujú sa tu podmienky pre
uplatnenie práva byť zabudnutý vrátane povinnosti prevádzkovateľa, ktorý osobné
údaje zverejnil, informovať tretie strany o požiadavke dotknutej osoby na
odstránenie všetkých odkazov na tieto osobné údaje, ich kópií alebo replikácií.
Je tu začlenené aj právo na dosiahnutie obmedzenia spracovania údajov v
určitých prípadoch, pričom sa vyhlo použitiu mnohovýznamového pojmu
„blokovanie“. V článku 18 sa zavádza právo dotknutej osoby
na prenosnosť údajov, t. j. na prenesenie údajov z jedného systému
elektronického spracovania do iného bez toho, aby jej v tom prevádzkovateľ
bránil. Ako predpoklad uplatnenia tohto práva a s cieľom zlepšiť prístup
fyzických osôb k ich osobným údajom sa tu stanovuje právo získať od
prevádzkovateľa tieto údaje v štruktúrovanej forme a v bežne používanom
elektronickom formáte.
3.4.3.4.
Oddiel 4 – Právo namietať a profilovanie
V článku 19 je stanovené právo dotknutej osoby
namietať. Vychádza z článku 14 smernice 95/46/ES s určitými úpravami vrátane
dôkazného bremena a jeho uplatňovania v rámci priameho marketingu. Článok 20 sa týka
práva dotknutej osoby, aby sa na ňu nevzťahovalo žiadne opatrenie založené na
profilovaní. Článok vychádza z článku 15 ods. 1 smernice 95/46/ES o automatizovaných
individuálnych rozhodnutiach, pričom boli vykonané úpravy a pridané záruky a
zohľadňuje sa odporúčanie Rady Európy o profilovaní[33].
3.4.3.5.
Oddiel 5 – Obmedzenia
V článku 21 sa
stanovuje právo Únie alebo členských štátov zachovať obmedzenia alebo obmedziť
zásady stanovené v článku 5 a práva dotknutej osoby stanovené v článkoch 11 až
20 a v článku 32. Toto ustanovenie vychádza z článku 13 smernice 95/46/ES a z
požiadaviek vyplývajúcich z Charty základných práv a Európskeho dohovoru o
ochrane ľudských práv a základných slobôd, ako ich vyložili Súdny dvor EÚ
a Európsky súd pre ľudské práva.
3.4.4.
KAPITOLA IV – PREVÁDZKOVATEĽ A SPROSTREDKOVATEĽ
3.4.4.1.
Oddiel 1 – Všeobecné povinnosti
V článku 22 sa zohľadňuje diskusia o „zásade
zodpovednosti“ a podrobne sa tu opisuje zodpovednosť a povinnosť
prevádzkovateľa dodržiavať ustanovenia tohto nariadenia a preukázať
dosiahnutie súladu, a to aj prostredníctvom prijatia interných pravidiel a mechanizmov
na zabezpečenie takéhoto súladu. V článku 23 sú stanovené povinnosti
prevádzkovateľa vyplývajúce zo zásady ochrany údajov špecificky navrhnutej a
štandardne určenej. V článku 24 o spoločných prevádzkovateľoch je
vymedzená zodpovednosť spoločných prevádzkovateľov, pokiaľ ide o ich interné
vzťahy a vzťah k dotknutej osobe. V článku 25 je pre situácie, kedy sa
nariadenie uplatňuje na spracovávanie údajov zo strany prevádzkovateľov so sídlom
mimo Únie, stanovená povinnosť určiť za určitých podmienok zástupcu v Únii. V článku 26 je vymedzené postavenie a
povinnosti sprostredkovateľa, pričom sa sčasti vychádza z článku 17 ods. 2
smernice 95/46/ES a boli doň pridané nové prvky vrátane ustanovenia, že
sprostredkovateľ, ktorý spracúva údaje nad rámec inštrukcií prevádzkovateľa, sa
tiež pokladá za prevádzkovateľa (spoloční prevádzkovatelia). Článok 27 o spracúvaní na základe právomoci
prevádzkovateľa a sprostredkovateľa sa opiera o článok 16 smernice 95/46/ES. V článku 28 sa zavádza povinnosť pre
prevádzkovateľov a sprostredkovateľov, aby uchovávali dokumentáciu o operáciách
spracovania v rámci okruhu ich zodpovednosti, pričom táto povinnosť nahrádza
povinnosť všeobecného oznámenia dozornému orgánu, ktorá bola stanovená v článku
18 ods. 1 a v článku 19 smernice 95/46/ES. V článku 29 sú stanovené povinnosti
prevádzkovateľa a sprostredkovateľa týkajúce sa spolupráce s dozorným orgánom.
3.4.4.2.
Oddiel 2 – Bezpečnosť údajov
V článku 30 je uvedená povinnosť pre
prevádzkovateľa a sprostredkovateľa uplatniť primerané opatrenia, aby zaistili
bezpečnosť spracovania údajov, pričom sa vychádza z článku 17 ods. 1 smernice
95/46/ES s tým, že sa povinnosť rozširuje na sprostredkovateľov bez ohľadu na
zmluvu, ktorú uzavreli s prevádzkovateľom. V článkoch 31 a 32 sa zavádza povinnosť
oznamovať porušenie ochrany osobných údajov, pričom sa vychádza z ustanovenia o
oznamovaní porušenia ochrany osobných údajov uvedeného v článku 4 ods. 3
smernice 2002/58/ES o súkromí a elektronických komunikáciách.
3.4.4.3.
Oddiel 3 – Posúdenie vplyvu na ochranu údajov a
povolenie vopred
V článku 33 sa zavádza povinnosť pre
prevádzkovateľov a sprostredkovateľov vykonávať posúdenie vplyvu na ochranu
údajov pred vykonávaním operácií spracovania spojených s rizikami. Článok 34 sa týka prípadov, v ktorých je pred
spracovaním potrebné konzultovať s dozorným orgánom a získať jeho povolenie,
pričom sa vychádza z koncepcie prvotnej kontroly uvedenej v článku 20 smernice
95/46/ES.
3.4.4.4.
Oddiel 4 – Úradník pre ochranu údajov
V článku 35 sa zavádza povinnosť určiť
úradníka pre ochranu údajov pre verejný sektor a v prípade súkromného
sektora pre veľké podniky, alebo ak hlavné činnosti prevádzkovateľa alebo
sprostredkovateľa pozostávajú z operácií spracovania, ktoré si vyžadujú
pravidelné a systematické monitorovanie. Tento článok vychádza z článku 18
ods. 2 smernice 95/46/ES, v ktorom bola stanovená možnosť pre členské štáty
zaviesť takúto požiadavku namiesto všeobecnej oznamovacej povinnosti. V článku 36 je stanovené postavenie úradníka
pre ochranu údajov. V článku 37 sú stanovené úlohy úradníka pre
ochranu údajov.
3.4.4.5.
Oddiel 5 – Kódexy správania a certifikácia
Článok 38 sa týka kódexov správania a vychádza
z koncepcie uvedenej v článku 27 ods. 1 smernice 95/46/ES, pričom sa tu
spresňuje obsah kódexov a postupov a stanovuje sa právomoc pre Komisiu
rozhodovať o všeobecnej platnosti kódexov správania. V článku 39 sa
uvádza možnosť zavádzať mechanizmy certifikácie a plomby a značky pre potreby
ochrany údajov.
3.4.5.
KAPITOLA V – PRENOS OSOBNÝCH ÚDAJOV DO TRETÍCH
KRAJÍN ALEBO MEDZINÁRODNÝM ORGANIZÁCIÁM
V článku 40 je ako všeobecná zásada uvedené,
že dodržiavanie podmienok uvedených v tejto kapitole je povinné v prípade
akýchkoľvek prenosov osobných údajov do tretích krajín alebo medzinárodným
organizáciám vrátane ďalších prenosov. V článku 41 sú stanovené kritériá, podmienky a
postupy pre prijímanie rozhodnutí Komisie o primeranosti, pričom sa
vychádza z článku 25 smernice 95/46/ES. Kritériá, ktoré má Komisia zohľadniť
pri svojom posudzovaní, či úroveň ochrany je alebo nie je primeraná, zahŕňajú
výslovne kritérium existencie právneho štátu, súdnych prostriedkov nápravy a nezávislého
dozoru. Článok výslovne potvrdzuje možnosť pre Komisiu posúdiť úroveň ochrany
poskytovanú na danom území alebo v určitom sektore spracovania v rámci tretej
krajiny. V článku 42 sa v prípadoch prenosov do tretích
krajín, v ktorých Komisia prijala rozhodnutie o primeranosti, požaduje
poskytnutie náležitých záruk, najmä v podobe štandardných ustanovení o ochrane
údajov, záväzných firemných pravidiel a zmluvných doložiek. Možnosť využiť
štandardné ustanovenia o ochrane údajov sa opiera o článok 26 ods. 4 smernice
95/46/ES. Novým prvkom je, že štandardné ustanovenia o ochrane údajov môže
teraz prijímať aj dozorný orgán a Komisia ich môže vyhlásiť za všeobecne
platné. Záväzné firemné pravidlá sa teraz osobitne uvádzajú v texte predpisu.
Možnosť využitia zmluvných doložiek poskytuje prevádzkovateľovi alebo
sprostredkovateľovi určitú flexibilitu, ale je potrebné získať vopred povolenie
od dozorných orgánov. V článku 43 sú podrobne opísané podmienky
prenosu na základe záväzných firemných pravidiel, ktoré vychádzajú zo súčasnej
praxe a požiadaviek dozorných orgánov. V článku 44 sú uvedené a vymedzené výnimky pre
prenos údajov, ktoré sa opierajú o existujúce ustanovenia článku 26
smernice 95/46/ES. Platí to najmä pre prenosy údajov požadované a potrebné na
účely ochrany dôležitých verejných záujmov, napríklad v prípade medzinárodných
prenosov údajov medzi orgánmi hospodárskej súťaže, daňovými alebo colnými
správami alebo medzi orgánmi, ktoré majú na starosti záležitosti sociálneho
zabezpečenia alebo riadenie rybolovu. Okrem toho možno prenos údajov za
určitých okolností odôvodniť oprávneným záujmom prevádzkovateľa alebo sprostredkovateľa,
ale až po posúdení a zdokumentovaní okolností tohto prenosu. V článku 45 sa výslovne stanovujú mechanizmy
medzinárodnej spolupráce na účely ochrany osobných údajov medzi Komisiou a
dozornými orgánmi tretích krajín; konkrétne ide o spoluprácu s tými
orgánmi, ktoré ponúkajú primeranú úroveň ochrany, pričom sa zohľadňuje
odporúčanie Organizácie pre hospodársku spoluprácu a rozvoj (OECD) z 12. júna
2007 o cezhraničnej spolupráci pri presadzovaní právnych predpisov na ochranu
súkromia.
3.4.6.
KAPITOLA VI – NEZÁVISLÉ DOZORNÉ ORGÁNY
3.4.6.1.
Oddiel 1 – Nezávislé postavenie
Vychádzajúc z článku 28 ods. 1 smernice
95/46/ES sa v článku 46 stanovuje povinnosť pre členské štáty zriadiť dozorné
orgány, pričom sa rozširujú úlohy týchto dozorných orgánov na spoluprácu medzi
sebou a s Komisiou. V článku 47 sa stanovujú podmienky
nezávislosti dozorných orgánov, pričom sa uplatňuje judikatúra Súdneho dvora
Európskej únie[34]
a vychádza sa aj z článku 44 nariadenia (ES) č. 45/2001[35]. V článku 48 sa stanovujú všeobecné podmienky
pre členov dozorného orgánu, pričom sa uplatňuje judikatúra Súdneho dvora
Európskej únie[36]
a vychádza sa aj z článku 42 ods. 2 až 6 nariadenia (ES) č. 45/2001. V článku 49 sú stanovenú pravidlá pre
zriadenie dozorného orgánu, ktoré musia členské štáty uzákoniť. Vychádzajúc z článku 28 ods. 7 smernice
95/46/ES sa v článku 50 pre členov a zamestnancov dozorného orgánu stanovuje
povinnosť zachovávať služobné tajomstvo.
3.4.6.2.
Oddiel 2 – Povinnosti a právomoci
V článku 51 sa vymedzuje pôsobnosť dozorných
orgánov. S cieľom zabezpečiť jednotné uplatňovanie (jediné kontaktné miesto) sa
všeobecné pravidlo, ktoré sa opiera o článok 28 ods. 6 smernice 95/46/ES
(kompetencia na území vlastného členského štátu), doplnilo o novú kompetenciu
týkajúcu sa príslušnosti orgánu v prípade, že by prevádzkovateľ alebo
sprostredkovateľ mali sídlo vo viacerých členských štátoch. Súdy, ktoré konajú
v rámci svojej súdnej právomoci, sú vyňaté z monitorovania dozorného orgánu,
nie však z uplatňovania hmotných pravidiel ochrany údajov. V článku 52 sa stanovujú povinnosti dozorného
orgány vrátane prejednávania a vyšetrovania sťažností a zvyšovania
informovanosti verejnosti o rizikách, pravidlách, zárukách a právach. V článku 53 sú stanovené právomoci dozorného
orgánu, pričom sa sčasti vychádza z článku 28 ods. 3 smernice 95/46/ES a článku
47 nariadenia (ES) č. 45/2001 avšak pridalo sa niekoľko nových prvkov vrátane
právomoci uložiť sankcie za správne delikty. Vychádzajúc z článku 28 ods. 5 smernice
95/46/ES je v článku 54 pre dozorné orgány stanovená povinnosť predkladať
výročné správy o činnosti.
3.4.7.
KAPITOLA VII – SPOLUPRÁCA A KONZISTENTNOSŤ
3.4.7.1.
Oddiel 1 – Spolupráca
V článku 55 sa zavádzajú výslovné pravidlá o
povinnej vzájomnej pomoci vrátane dôsledkov nevyhovenia žiadosti iného
dozorného orgánu, pričom sa vychádza za článku 28 ods. 6 druhého pododseku
smernice 95/46/ES. Článok 56 je inšpirovaný článkom 17
rozhodnutia Rady 2008/615/SVV[37]
a zavádzajú sa v ňom pravidlá spoločných operácií vrátane práva dozorných
orgán zapájať sa do takýchto operácií.
3.4.7.2.
Oddiel 2 – Konzistentnosť
V článku 57 sa zavádza mechanizmus
konzistentnosti na zabezpečenie jednotného uplatňovania v súvislosti s
operáciami spracovania údajov, ktoré sa môžu týkať dotknutých osôb v niekoľkých
členských štátoch. V článku 58 sú stanovené postupy a podmienky
pre poskytnutie stanoviska Európskeho výboru pre ochranu údajov. Článok 59 sa týka stanovísk Komisie k
záležitostiam týkajúcim sa mechanizmu konzistentnosti, ktoré môžu podporiť
stanovisko Európskeho výboru pre ochranu údajov alebo sa od neho odchyľovať, a
k opatreniam navrhnutým dozorným orgánom. Ak bola záležitosť predložená
Európskym výborom pre ochranu údajov podľa článku 58 ods. 3, možno očakávať, že
Komisia v súlade so svojou právomocou poskytne v prípade potreby stanovisko. Článok 60 sa týka rozhodnutí Komisie, v
ktorých sa od príslušných orgánov požaduje, aby pozastavili návrh opatrenia, ak
je to potrebné na zabezpečenie správneho uplatňovania tohto nariadenia. V článku 61 sa stanovuje možnosť prijatia
dočasných opatrení v rámci postupu v naliehavých prípadoch. V článku 62 sú stanovené požiadavky na Komisiu
pri vykonávacích aktoch v rámci mechanizmu konzistentnosti. V článku 63 sa
stanovuje povinnosť vymáhať opatrenia dozorného orgánu vo všetkých dotknutých
členských štátoch a takisto sa tu stanovuje, že uplatňovanie mechanizmu
konzistentnosti je podmienkou pre právoplatnosť a vymáhateľnosť príslušného
opatrenia.
3.4.7.3.
Oddiel 3 – Európsky výbor pre ochranu údajov
Článkom 64 sa zriaďuje Európsky výbor pre
ochranu údajov, ktorý pozostáva z vedúcich predstaviteľov dozorných
orgánov z jednotlivých členských štátov členského štátu a európskeho
dozorného úradníka pre ochranu údajov. Európsky výbor pre ochranu údajov
nahrádza pracovnú skupinu pre ochranu jednotlivcov so zreteľom na spracovanie
osobných údajov, ustanovenú článkom 29 smernice 95/46/ES. Určuje sa tu, že
Komisia nie je členom Európskeho výboru pre ochranu údajov, má však právo
zúčastňovať sa na činnostiach a byť zastúpená. V článku 65 sa zdôrazňuje a určuje nezávislosť
Európskeho výboru pre ochranu údajov. Vychádzajúc z článku 30 ods. 1 smernice
95/49/ES sú v článku 66 opísané úlohy Európskeho výboru pre ochranu údajov a
stanovujú sa tu dodatočné prvky, pričom sa tu odráža rozšírený rozsah činností
Európskeho výboru pre ochranu údajov v rámci Únie a mimo nej. Aby bola Komisia
schopná reagovať v naliehavých situáciách, stanovuje sa tu možnosť pre Komisiu
požiadať v určitej časovej lehote o stanovisko. V článku 67 sa od Európskeho výboru pre
ochranu údajov vyžaduje, aby každoročne predkladal správu o činnosti, pričom sa
vychádza z článku 30 ods. 6 smernice 95/46/ES. V článku 68 je stanovený postup prijímania
rozhodnutí Európskeho výboru pre ochranu údajov vrátane povinnosti prijať
rokovací poriadok, ktorý by sa mal vzťahovať aj na pracovné postupy. V článku 69 sú uvedené ustanovenia o
predsedovi a zástupcoch predsedu Európskeho výboru pre ochranu údajov. V článku 70 sú stanovené úlohy predsedu. V článku 71 sa stanovuje, že európsky dozorný
úradník pre ochranu údajov zabezpečí sekretariát pre Európsky výbor pre ochranu
údajov a určujú sa v ňom úlohy sekretariátu. V článku 72 sa stanovujú pravidlá dôvernosti.
3.4.8.
KAPITOLA VIII – PROSTRIEDKY NÁPRAVY, ZODPOVEDNOSŤ A
SANKCIE
V článku 73 je stanovené právo každej
dotknutej osoby podať sťažnosť dozornému orgánu, pričom sa vychádza z článku 28
ods. 4 smernice 95/46/ES. Sú tu špecifikované aj orgány, organizácie a
združenia, ktoré môžu podať sťažnosť v mene dotknutej osoby alebo, v prípade
porušenia ochrany osobných údajov, nezávisle od sťažnosti dotknutej osoby. Článok 74 sa týka práva na súdny prostriedok
nápravy voči dozornému orgánu. Vychádza z všeobecného ustanovenia článku
28 ods. 3 smernice 95/46/ES. Stanovuje sa tu výslovne súdny prostriedok
nápravy, ktorý dozornému orgánu ukladá povinnosť konať vo veci sťažnosti, a
vymedzuje sa tu právomoc súdov členského štátu, v ktorom má dozorný úrad sídlo.
Takisto sa tu stanovuje, že dozorný orgán členského štátu, v ktorom má dotknutá
osoba bydlisko, môže podať v mene dotknutej osoby návrh na začatie konania na
súde iného členského štátu, v ktorom má príslušný dozorný orgán sídlo. Článok 75 sa týka práva na súdny prostriedok
nápravy voči prevádzkovateľovi či sprostredkovateľovi, pričom sa vychádza z
článku 22 smernice 95/46/ES, a stanovuje sa aj možnosť výberu súdu v členskom
štáte, v ktorom má odporca sídlo, alebo v ktorom má dotknutá osoba bydlisko. Ak
prebiehajú konania týkajúce sa tej istej veci v rámci mechanizmu
konzistentnosti, súd môže pozastaviť konanie, pokiaľ nejde o naliehavý prípad. V článku 76 sa stanovujú spoločné pravidlá pre
súdne konania vrátane práva orgánov, organizácií alebo združení zastupovať
dotknuté osoby na súde, práva dozorných orgánov postupovať súdnou cestou a
práva na informovanie súdu o súbežnom konaní v inom členskom štáte a možnosti
pre súd pozastaviť v takomto prípade konanie[38].
Členské štáty sú povinné zabezpečiť rýchly priebeh súdneho konania[39]. V článku 77 sa stanovuje právo na kompenzáciu
a zodpovednosť. Článok vychádza z článku 23 smernice 95/46/ES a
rozširuje toto právo o právo na odškodnenie za škody spôsobené
sprostredkovateľom a spresňuje sa zodpovednosť spoločných prevádzkovateľov a sprostredkovateľov. V článku 78 sa stanovuje povinnosť členských
štátov, aby stanovili pravidlá o sankciách uplatniteľných v prípade porušenia
ustanovení tohto nariadenia a aby zabezpečili ich vykonávanie. V článku 79 je
uvedená povinnosť pre všetky dozorné orgány uložiť správne sankcie za
priestupky uvedené v tomto ustanovení pri zohľadnení okolností každého
konkrétneho prípadu, a to až do maximálnej výšky pokuty.
3.4.9.
KAPITOLA IX – USTANOVENIA TÝKAJÚCE SA OSOBITNÝCH
SITUÁCIÍ SPRACÚVANIA ÚDAJOV
Podľa článku 80 sú členské štáty povinné
prijať výnimky a odchýlky z osobitných ustanovení nariadenia, ak je to potrebné
na zosúladenie práva na ochranu osobných údajov so slobodou prejavu. Tento
článok je založený na článku 9 smernice 95/46/ES, ako bol vyložený Súdnym
dvorom EÚ[40].
Na základe článku 81 sú členské štáty povinné
nad rámec podmienok pre osobitné kategórie údajov zabezpečiť osobitné záruky v
súvislosti so spracúvaním údajov na zdravotné účely. Na základe článku 82 majú členské štáty
právomoc prijímať osobitné zákony o spracúvaní osobných údajov v súvislosti so
zamestnávaním. V článku 83 sú stanovené osobitné podmienky
spracúvania osobných údajov na historické, štatistické a vedeckovýskumné účely. Podľa článku 84 majú členské štáty právomoc
prijímať osobitné pravidlá pre dozorné orgány, pokiaľ ide o ich prístup k
osobným údajom a do priestorov, ak sa na prevádzkovateľov vzťahuje povinnosť
zachovávať mlčanlivosť. Článok 85 umožňuje v kontexte článku 17 Zmluvy
o fungovaní Európskej únie ďalšie uplatňovanie existujúcich komplexných
pravidiel cirkví týkajúcich sa ochrany údajov, ak budú uvedené do súladu s
týmto nariadením.
3.4.10.
KAPITOLA X – DELEGOVANÉ AKTY A VYKONÁVACIE AKTY
Článok 86 obsahuje štandardné ustanovenia o
výkone delegovaných právomocí v súlade s článkom 290 ZFEÚ. Zákonodarcovi
to umožňuje delegovať na Komisiu právomoc prijímať všeobecne záväzné
nelegislatívne akty, ktorými sa dopĺňajú alebo menia určité nepodstatné prvky
legislatívneho aktu (kvázi legislatívne akty). Článok 87
obsahuje ustanovenie o postupe výboru, ktorý je potrebný na postúpenie
vykonávacích právomocí Komisii v prípadoch, v ktorých v súlade s článkom 291
ZFEÚ sú potrebné jednotné podmienky vykonávania právne záväzných aktov Únie.
Uplatňuje sa pritom postup preskúmania.
3.4.11.
KAPITOLA XI – ZÁVEREČNÉ USTANOVENIA
Článkom 88 sa zrušuje smernica 95/46/ES. V článku 89 sa spresňuje vzťah k smernici
2002/58/ES o súkromí a elektronických komunikáciách a mení a dopĺňa sa uvedená
smernica. V článku 90 sa Komisii ukladá povinnosť
hodnotiť nariadenie a predkladať súvisiace správy. V článku 91 je stanovený dátum nadobudnutia
účinnosti nariadenia a prechodné obdobie týkajúce sa dátumu začatia jeho
uplatňovania. 4. VPLYV NA ROZPOČET Osobitný vplyv návrhu na rozpočet sa týka úloh
pridelených európskemu úradníkovi pre ochranu údajov, ako boli uvedené v
legislatívnom finančnom výkaze pripojenom k tomuto návrhu. Tieto vplyvy si
vyžadujú preprogramovanie okruhu 5 finančného výhľadu. Návrh nemá vplyv na operačné výdavky. Legislatívny finančný výkaz pripojený k tomuto
návrhu nariadenia sa týka vplyvu tohto nariadenia a smernice o policajnej a
justičnej ochrane údajov na rozpočet. 2012/0011 (COD) Návrh NARIADENIE EURÓPSKEHO PARLAMENTU A RADY o ochrane fyzických osôb pri spracúvaní
osobných údajov a o voľnom pohybe takýchto údajov (všeobecné
nariadenie o ochrane údajov) (Text s významom pre EHP) EURÓPSKY PARLAMENT A RADA EURÓPSKEJ
ÚNIE, so zreteľom na Zmluvu o fungovaní Európskej
únie, a najmä na jej článok 16 ods. 2 a článok 114 ods. 1, so zreteľom na návrh Európskej komisie, po postúpení návrhu legislatívneho aktu
národným parlamentom, so zreteľom na stanovisko Európskeho
hospodárskeho a sociálneho výboru[41], po konzultácii s európskym dozorným úradníkom
pre ochranu údajov[42],
konajúc v súlade s riadnym legislatívnym
postupom, keďže: (1)
Ochrana fyzických osôb v súvislosti so spracúvaním
osobných údajom patrí medzi základné práva. V článku 8 ods. 1 Charty základných
práv Európskej únie a v článku 16 ods. 1 zmluvy sa stanovuje zásada, že každý
má právo na ochranu osobných údajov, ktoré sa ho týkajú. (2)
Spracovávanie údajov je určené k tomu, aby slúžilo
človeku; zásady a pravidlá ochrany fyzických osôb pri spracúvaní ich osobných
údajov by bez ohľadu na štátnu príslušnosť alebo bydlisko fyzických osôb mali
rešpektovať základné práva a slobody, najmä ich právo na ochranu osobných
údajov. Mali by prispieť k dokončeniu budovania priestoru slobody, bezpečnosti
a spravodlivosti a hospodárskej únie, k hospodárskemu a sociálnemu
pokroku, k posilneniu konvergencie ekonomík v rámci vnútorného trhu a ku
prospechu fyzických osôb. (3)
Úlohou smernice Európskeho parlamentu a Rady
95/46/EHS z 24. októbra 1995 o ochrane fyzických osôb pri spracovaní
osobných údajov a voľnom pohybe týchto údajov[43] je harmonizovať ochranu
základných práv a slobôd fyzických osôb v súvislosti so spracúvaním údajov a
zabezpečiť voľný tok osobných údajov medzi členskými štátmi. (4)
Hospodárska a sociálna integrácia, ktorá je
dôsledkom fungovania vnútorného trhu, viedla k značnému nárastu cezhraničných
tokov. Výmena údajov medzi hospodárskymi a sociálnymi, verejnými a súkromnými
aktérmi v Únii vzrástla. Vnútroštátne orgány v členských štátoch sú na základe
právnych predpisov Únie povinné spolupracovať a vymieňať si osobné údaje, aby
mohli vykonávať svoje povinnosti a úlohy v mene orgánu iného členského štátu. (5)
Rýchly technologický rozvoj so sebou priniesol nové
výzvy v oblasti ochrany osobných údajov. Rozsah zdieľania a zhromažďovania
údajov sa výrazne zväčšil. Technológia umožňuje súkromným podnikom a verejným
orgánom pri výkone ich činností využívať osobné údaje v doteraz bezprecedentnom
rozsahu. Fyzické osoby vo väčšej miere zverejňujú svoje osobné údaje, a to aj v
globálnom meradle. Technológia transformovala hospodársky aj sociálny život a
žiada si ďalšie zjednodušenie voľného toku údajov v rámci Únie a prenosu do
tretích krajín a medzinárodným organizáciám pri súčasnom zabezpečení vysokej
úrovne ochrany osobných údajov. (6)
Táto situácia si vyžaduje vytvorenie silného a
súdržnejšieho rámca ochrany údajov v Únii, ktorý sa bude intenzívne
presadzovať vzhľadom na význam vybudovania dôvery, ktorá umožní rozvoj
digitálnej ekonomiky v rámci vnútorného trhu. Fyzické osoby by mali mať
kontrolu nad svojimi vlastnými osobnými údajmi a mala by sa posilniť právna a
praktická istota pre fyzické osoby, hospodárskych aktérov a verejné orgány. (7)
Ciele a zásady smernice 95/46/ES zostávajú platné,
nepodarilo sa však zabrániť rozdielnosti implementácie ochrany údajov v Únii,
právnej neistote a rozšírenému vnímaniu verejnosti, že v súvislosti s ochranou
údajov v prípade fyzických osôb existujú značné riziká, najmä v online
prostredí. Rozdiely, ktoré existujú v členských štátoch, pokiaľ ide o úroveň
ochrany práv a slobôd fyzických osôb pri spracúvaní osobných údajov, konkrétne
práva na ochranu osobných údajov, môžu brániť vo voľnom toku osobných údajov v
Únii. Tieto rozdiely preto môžu predstavovať prekážku pri vykonávaní množstva
hospodárskych činností na úrovni Únie, narúšať hospodársku súťaž a brániť
orgánom v plnení úloh, ktoré majú vykonávať na základe práva Únie. Tento
rozdiel v úrovni ochrany je spôsobený existenciou rozdielov vo vykonávaní a
uplatňovaní smernice 95/46/ES. (8)
Aby sa zabezpečila konzistentná a vysoká úroveň
ochrany fyzických osôb a odstránili sa prekážky tokov osobných údajov, musí byť
úroveň ochrany osobných práv a slobôd pri spracovávaní týchto údajov rovnaká vo
všetkých členských štátoch. Konzistentné a jednotné uplatňovanie pravidiel
ochrany základných práv a slobôd fyzických osôb pri spracúvaní osobných údajov
by malo byť zabezpečené v rámci celej Únie. (9)
Účinná ochrana osobných údajov v rámci Únie si
vyžaduje posilnenie a spresnenie práv dotknutých osôb a povinností tých, ktorí
osobné údaje spracúvajú a o ich spracovaní rozhodujú, no vyžaduje si aj
zodpovedajúce právomoci na monitorovanie a zabezpečenie súladu s
pravidlami ochrany osobných údajov a zodpovedajúce sankcie voči tým, ktorí v
členských štátoch tieto pravidlá porušujú. (10)
Podľa článku 16 ods. 2 zmluvy má Európsky parlament
a Rada právomoc stanovovať pravidlá týkajúce sa ochrany fyzických osôb pri
spracúvaní osobných údajov a pravidiel týkajúcich s voľného pohybu
osobných údajov. (11)
Aby sa zabezpečila konzistentná úroveň ochrany
fyzických osôb v Únii a zabránilo sa rozdielom, ktoré sú prekážkou voľného
pohybu údajov v rámci vnútorného trhu, je potrebné prijať nariadenie, ktoré by
poskytlo právnu istotu a bolo by transparentné pre hospodárskych aktérov
vrátane mikropodnikov a malých a stredných podnikov, ktoré by fyzickým osobám
vo všetkých členských štátoch poskytlo rovnakú úroveň práv vymáhateľných
právnymi prostriedkami a prevádzkovateľom a sprostredkovateľom uložilo
povinnosti a zodpovednosti, ktoré by zabezpečilo konzistentné monitorovanie a
spracovávanie osobných údajov a ktoré by stanovovalo zodpovedajúce sankcie vo
všetkých členských štátoch, ako aj účinnú spoluprácu dozorných orgánov
rozličných členských štátov. Aby sa zohľadnila osobitná situácia mikropodnikov
a malých a stredných podnikov, toto nariadenie obsahuje aj niekoľko
výnimiek. Okrem toho sú inštitúcie a orgány Únie, členské štáty a ich dozorné
orgány nabádané k tomu, aby pri uplatňovaní tohto nariadenia zohľadňovali
osobitné potreby mikropodnikov a malých a stredných podnikov. Pojem
mikropodniky a malé a stredné podniky vychádza z odporúčania Komisie
2003/361/ES zo 6. mája 2003 o definícii mikropodnikov a malých a stredných
podnikov. (12)
Ochrana, ktorú toto nariadenie poskytuje, sa týka
fyzických osôb bez ohľadu na ich štátnu príslušnosť alebo bydlisko a vzťahuje
sa na spracúvanie osobných údajov. Pokiaľ ide o spracúvanie údajov týkajúcich
sa právnických osôb a najmä podnikov vystupujúcich ako právnické osoby vrátane
názvu, formy a kontaktných údajov právnickej osoby, takéto právnické osoby sa
nemôžu domáhať ochrany poskytovanej týmto nariadením. Toto pravidlo sa
uplatňuje aj vtedy, ak názov právnickej osoby obsahuje mená jedného alebo
viacerých fyzických osôb. (13)
Ochrana fyzických osôb by mala byť technologicky
neutrálna a nemala by sa odvíjať od použitých techník, inak by vznikalo závažné
riziko obchádzania predpisov. Ochrana fyzických osôb by sa mala vzťahovať na
spracúvanie osobných údajov automatizovaným spôsobom, ako aj na ručné
spracovávanie, ak sú údaje uchované v informačnom systéme alebo doň majú
byť uložené. Súbory alebo komplexy súborov ako aj ich hlavičky, ktoré nie sú
štruktúrované podľa špecifických kritérií, nebudú patriť do pôsobnosti tejto
smernice. (14)
Toto nariadenie sa netýka otázok ochrany základných
práv a slobôd alebo voľného toku údajov týkajúcich sa činností, ktoré nepatria
do pôsobnosti práva Únie, a netýka sa ani spracúvania osobných údajov
inštitúciami, orgánmi, úradmi a agentúrami Únie, na ktoré sa vzťahuje
nariadenie (ES) č. 45/2001[44],
či spracúvania osobných údajov členskými štátmi pri vykonávaní činností v
súvislosti so spoločnou zahraničnou a bezpečnostnou politikou Únie. (15)
Toto nariadenie by sa nemalo uplatňovať na
spracovávanie osobných údajov fyzickou osobou, ktoré je výlučne osobnej či súkromnej
povahy, ako je korešpondencia a uchovávanie adries, a ktoré je bez
akéhokoľvek zárobkového motívu, a teda nesúvisí so žiadnou profesionálnou alebo
komerčnou činnosťou. Výnimka by sa mala uplatňovať aj na prevádzkovateľov a
sprostredkovateľov, ktorí poskytujú prostriedky pre spracovávanie osobných
údajov na takéto osobné či súkromné činnosti. (16)
Ochrana fyzických osôb pri spracúvaní osobných
údajov príslušnými orgánmi na účely predchádzania trestným činom, ich
vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných
sankcií a voľný pohyb takýchto údajov podlieha pôsobnosti osobitného právneho
nástroja na úrovni Únie. Toto nariadenie by sa teda nemalo uplatňovať pri
spracovávaní na takéto účely. Na údaje spracované verejnými orgánmi podľa tohto
nariadenia, ak sa používajú na účely predchádzania trestným činom, ich
vyšetrovania, odhaľovania alebo stíhania alebo na výkon trestov, by sa mal
vzťahovať špecifickejší právny nástroj na úrovni Únie (smernica XX/YYY). (17)
Týmto nariadením by nemalo byť dotknuté
uplatňovanie smernice 2000/31/ES, najmä povinnosť poskytovateľov
sprostredkovateľských služieb uvedená v článkoch 12 až 15 uvedenej
smernice. (18)
Toto nariadenie umožňuje, aby sa princíp verejného
prístupu k oficiálnym dokumentom zohľadnil pri uplatňovaní ustanovení tohto
nariadenia. (19)
Každé spracovanie osobných údajov v súvislosti s
činnosťami zariadenia prevádzkovateľa alebo sprostredkovateľa v Únii by sa malo
vykonávať v súlade s týmto nariadením bez ohľadu na to, či sa samotné
spracovanie realizuje v Únii alebo nie. Zariadenie znamená efektívny a skutočný
výkon činnosti. Právna forma takéhoto zariadenia, či už ide o pobočku alebo
dcérsku spoločnosť s právnou subjektivitou, nie je v tomto ohľade určujúcim
faktorom. (20)
Aby sa zabezpečilo, že fyzické osoby nebudú zbavené
ochrany, na ktorú majú na základe tohto nariadenia právo, toto nariadenie by sa
malo uplatňovať na spracovanie osobných údajov dotknutých osôb s bydliskom v
Únii vykonávané prevádzkovateľom, ktorý nemá sídlo v Únii, ak spracovanie súvisí
s ponukou tovaru alebo služieb týmto dotknutým osobám alebo so sledovaním
správania týchto dotknutých osôb. (21)
Na určenie toho, či spracúvanie údajov možno
pokladať za „sledovanie správania“ dotknutej osoby, je potrebné zistiť, či je
pohyb fyzických osôb na internete sledovaný prostredníctvom techník spracovania
údajov, pomocou ktorých je fyzickej osobe pridelený „profil“ na účely prijatia
rozhodnutia týkajúceho sa tejto osoby alebo na účely analýzy či predvídania
osobných preferencií, správania a zvykov tejto osoby. (22)
Ak sa podľa medzinárodného práva uplatňujú
vnútroštátne právne predpisy niektorého členského štátu, toto nariadenie by sa
malo uplatniť aj na prevádzkovateľa, ktorý nemá sídlo v Únii, napríklad na
diplomatickom zastúpení alebo konzuláte členského štátu. (23)
Zásady ochrany údajov by sa mali uplatňovať na
všetky informácie týkajúce sa určenej alebo určiteľnej osoby. Na určenie toho,
či je osoba určiteľná, by sa mali brať do úvahy všetky prostriedky,
pri ktorých existuje primeraná pravdepodobnosť, že ich využije
prevádzkovateľ alebo ľubovoľná iná osoba na identifikáciu príslušnej osoby.
Zásady ochrany údajov by sa nemali uplatňovať na údaje, ktoré sú považované za
anonymizované takým spôsobom, že dotknutá osoba už nie je určiteľná. (24)
Pri používaní online služieb môžu byť fyzickým
osobám pridelené online identifikátory, ktoré sú generované prístrojmi,
aplikáciami, nástrojmi a protokolmi, ako je IP adresa alebo cookies týchto
služieb. Tieto môžu zanechávať stopy, ktoré môžu byť v kombinácii s jedinečnými
identifikátormi a inými informáciami získanými zo serverov použité na
vytvorenie profilov fyzických osôb a na ich identifikáciu. Vyplýva z toho, že
identifikačné čísla, lokalizačné údaje, online identifikátory alebo iné
osobitné faktory nemusia byť nutne ako také pokladané za všetkých okolností za
osobné údaje. (25)
Súhlas by mal byť daný výslovne pomocou vhodnej
metódy, ktorá umožňuje slobodne poskytnúť špecifické a informované vyjadrenie o
želaní dotknutej osoby, a to buď vo forme stanoviska alebo prostredníctvom výslovného
prejavu vôle dotknutej osoby, a ktorá zabezpečuje, že fyzické osoby sú si
vedomé, že dávajú súhlas na spracovanie osobných údajov – prostredníctvom
zakliknutia rámika pri návšteve internetovej stránky alebo podaním iného
vyjadrenia alebo vykonaním inej činnosti, ktorá v tomto kontexte jasne znamená,
že dotknutá osoba súhlasí s navrhovaným spracovaním jej osobných údajov.
Nereagovanie alebo nečinnosť sa preto nepokladajú za vyslovenie súhlasu. Súhlas
by sa mal vzťahovať na každé spracovanie vykonávané na ten istý účel alebo
účely. Ak má
dotknutá osoba vyjadriť súhlas na základe elektronickej požiadavky, požiadavka
musí byť jasná, stručná a bez zbytočného prerušenia používania služby, na ktorú
sa poskytuje. (26)
Osobné údaje týkajúce sa zdravia by mali zahŕňať
najmä všetky údaje týkajúce sa zdravotného stavu dotknutej osoby, informácie o
registrácii fyzickej osoby na poskytovanie zdravotníckych služieb, informácie o
platbách alebo nároku na zdravotnú starostlivosť týkajúce sa fyzickej osoby,
číslo, symbol alebo osobitný údaj, ktorý bol fyzickej osobe priradený na
individuálnu identifikáciu fyzickej osoby na zdravotné účely, všetky informácie
získané o fyzickej osobe počas poskytovania zdravotníckych služieb,
informácie získané na základe vykonávania testov alebo prehliadok častí
organizmu alebo telesných substancií vrátane biologických vzoriek,
identifikácia osoby ako poskytovateľa zdravotnej starostlivosti fyzickej osobe,
alebo akékoľvek informácie napr. o chorobe, zdravotnom postihnutí, riziku
ochorenia, lekárskej anamnéze, klinickej liečbe, alebo o aktuálnom
fyziologickom alebo biomedickom stave dotknutej osoby bez ohľadu na zdroj
týchto informácií, či už pochádzajú od lekára alebo zdravotníka, z nemocnice,
zo zdravotného prístroja alebo z vykonania diagnostického testu in vitro. (27)
Hlavné zariadenie prevádzkovateľa v Únii by sa malo
určiť podľa objektívnych kritérií a malo by zahŕňať efektívne a skutočné
vykonávanie riadiacich činností stanovujúcich hlavné rozhodnutia týkajúce sa
účelu, podmienok a prostriedkov spracúvania na trvalom základe. Toto kritérium
by nemalo byť závislé od toho, či sa spracúvanie osobných údajov skutočne
vykonáva na tomto mieste, existencia a použitie technických prostriedkov a
technológií spracúvania osobných údajov alebo spracovateľských činností
nepredstavujú sami osebe takéto hlavné ústredie a preto nie sú určujúcimi
kritériami pre hlavné ústredie. Ústredím sprostredkovateľa by malo byť miesto
jeho administratívneho sídla v Únii. (28)
Skupina podnikov by mala pozostávať z kontrolujúceho
podniku a ním kontrolovaných podnikov, pričom kontrolujúci podnik by mal byť
podnikom, ktorý môže vykonávať dominantný vplyv na podniky napr. v dôsledku
toho, že ich vlastní, v dôsledku finančnej účasti alebo pravidiel
upravujúcich činnosť podniku alebo v dôsledku právomoci implementovať
pravidlá ochrany osobných údajov. (29)
Osobitnú ochranu osobných údajov si zasluhujú deti,
keďže si môžu byť v menšej miere vedomé rizík, dôsledkov, záruk a práv
súvisiacich so spracovávaním osobných údajov. Na určenie toho, kedy sa fyzická
osoba pokladá za dieťa, by toto nariadenie malo prevziať definíciu stanovenú v
Dohovore OSN o právach dieťaťa. (30)
Každé spracovanie osobných údajov musí byť zákonné,
spravodlivé a transparentné vo vzťahu k dotknutým fyzickým osobám. Najmä osobitné
dôvody, pre ktoré sa údaje spracúvajú, by mali byť presné a legitímne a
stanovené už v čase zhromažďovania údajov. Údaje by mali byť primerané,
relevantné a obmedzené na minimum nevyhnutné na účely, na ktoré sa údaje
spracúvajú; to si vyžaduje najmä zabezpečenie, aby množstvo zhromaždených
údajov nebolo neúmerné a aby obdobie, počas ktorého sa tieto údaje uchovávajú,
bolo obmedzené na prísne minimum. Osobné údaje by mali byť spracované len
vtedy, ak účel spracovania nebolo možné dosiahnuť inými prostriedkami. Mali by
sa prijať všetky primerané opatrenia, aby sa zabezpečilo vymazanie alebo oprava
nepresných údajov. Prevádzkovateľ by mal stanoviť lehoty na výmaz alebo
pravidelné prehodnotenie, aby sa zabezpečilo, že údaje nebudú uchovávané
dlhšie, než je to nutné. (31)
Aby bolo spracúvanie zákonné, osobné údaje by sa
mali spracúvať na základe súhlasu dotknutej osoby alebo na nejakom inom
legitímnom základe, ktorý je stanovený v právnych predpisoch, a to buď v
tomto nariadení alebo v iných právnych predpisoch Únie alebo príslušného
členského štátu, ako je to uvedené v tomto nariadení. (32)
Ak je spracovanie založené na súhlase dotknutej
osoby, malo by byť povinnosťou prevádzkovateľa preukázať, že dotknutá osoba
vyjadrila súhlas s operáciami spracovania údajov. Najmä v súvislosti s písomným
vyhlásením v inej záležitosti by záruky mali zabezpečovať, že dotknutá osoba si
je vedomá, že dáva súhlas a v akom rozsahu ho udeľuje. (33)
Aby sa zabezpečilo, že vyjadrenie súhlasu bude
dobrovoľné, malo by sa ozrejmiť, že súhlas neposkytuje platný právny základ, ak
fyzická osoba nemohla vykonať riadnu a slobodnú voľbu, a teda následne
nemôže odmietnuť alebo odvolať súhlas bez nepriaznivých následkov. (34)
Súhlas by nemal byť platným právnym dôvodom na
spracovanie osobných údajov, ak medzi postavením dotknutej osoby a
prevádzkovateľa existuje jednoznačný nepomer. Týka sa to najmä situácie, keď je
dotknutá osoba závislá od prevádzkovateľa, okrem iného, keď osobné údaje
zamestnancov sú spracúvané zamestnávateľom v súvislosti s ich
zamestnávaním. Ak je prevádzkovateľom verejný orgán, nepomer by nastal iba pri
určitých operáciách spracovania údajov, pri ktorých verejný orgán môže uložiť
zo svojej úradnej moci povinnosť a súhlas tak nemožno pokladať za dobrovoľne
udelený z hľadiska záujmov dotknutej osoby. (35)
Spracovanie by malo byť zákonné, ak je potrebné v
súvislosti s plnením zmluvy alebo s úmyslom uzatvoriť zmluvu. (36)
Ak sa spracúvanie údajov vykonáva v súlade so
zákonnými povinnosťami, ktoré má prevádzkovateľ, alebo ak spracovanie je
potrebné na splnenie úlohy vykonávanej vo verejnom záujme alebo na výkon
úradnej moci, právny základ pre spracovanie by mal existovať v práve Únie alebo
v práve niektorého členského štátu, a tento právny základ by mal spĺňať
požiadavky Charty základných práv Európskej únie týkajúce sa obmedzenia práv a
slobôd. V právnych predpisoch Únie alebo vo vnútroštátnych právnych predpisoch
by malo byť takisto stanovené, či prevádzkovateľom vykonávajúcim úlohu vo
verejnom záujme alebo z úradnej moci by mala byť verejná správa, alebo iná
fyzická alebo právnická osoba, na ktorú sa vzťahuje verejné alebo súkromné
právo, ako napríklad profesijné združenie. (37)
Spracovanie osobných údajov sa musí považovať za
rovnako zákonné tam, kde je potrebné na účely ochrany záujmu, ktorý je zásadný
pre život dotknutej osoby. (38)
Oprávnené záujmy prevádzkovateľa môžu poskytnúť
právny základ pre spracovanie údajov, ak nad nimi neprevažujú záujmy alebo
základné práva a slobody dotknutej osoby. Tu by bolo potrebné vykonávať
podrobnejšie posúdenie, najmä ak je dotknutou osobou dieťa, keďže deti majú
nárok na osobitnú ochranu. Dotknutá osoba by mala mať právo bezplatne namietať
voči spracovaniu z dôvodov jej konkrétnej situácie. Aby sa zabezpečila
transparentnosť, prevádzkovateľ by mal byť povinný výslovne informovať dotknutú
osobu o oprávnených záujmoch, ktoré spracúvaním sleduje, a o jej
práve namietať, a mal by byť takisto povinný zdokumentovať tieto oprávnené
záujmy. Keďže je úlohou zákonodarcu stanoviť pre verejné orgány v právnych
predpisoch právny základ pre spracovanie údajov, tento právny základ by sa
nemal vzťahovať na spracúvanie verejnými orgánmi pri plnení ich úloh. (39)
Spracúvane údajov v rozsahu nevyhnutne potrebnom na
účely zaistenia siete informačnej bezpečnosti – t. j. schopnosti siete alebo
informačného systému s daným stupňom spoľahlivosti zabezpečiť, že sieť alebo
systém odolá poruchám alebo nezákonnému narušeniu, ktoré ovplyvňujú
disponibilitu, autenticitu, integritu a dôvernosť uložených alebo
prenesených údajov – spolu s bezpečnosťou súvisiacich služieb ponúkaných alebo
dostupných prostredníctvom týchto sietí a systémov verejnými orgánmi,
jednotkami reakcie na núdzové počítačové situácie (CERTs), jednotkami pre
riešenie počítačových incidentov (CSIRTs), poskytovateľmi elektronických
komunikačných sietí a služieb a poskytovateľmi bezpečnostných technológií a
služieb predstavuje oprávnený záujem dotknutého prevádzkovateľa údajov. Takýto
oprávnený záujem by mohol spočívať napríklad v zabránení v neoprávnenom
prístupe k elektronickým komunikačným sieťam, v zabránení šíreniu
poškodzujúcich programových kódov, v zastavení útokov vo forme cieleného
preťaženia serverov („denial of service“), ako aj v
zabránení poškodzovaniu počítačových a elektronických komunikačných
systémov. (40)
Spracúvanie osobných údajov na iné účely by malo
byť povolené len vtedy, ak je toto spracúvanie v súlade s účelmi, na ktoré boli
údaje pôvodne zhromaždené, najmä ak spracúvanie je potrebné na historické,
štatistické alebo vedeckovýskumné účely. V prípadoch, v ktorých tento iný
účel nie je v súlade s pôvodným účelom, na ktorý boli údaje zhromaždené,
prevádzkovateľ by mal získať súhlas dotknutej osoby na tejto iný účel alebo by
mal spracovanie vykonať na základe iného legitímneho dôvodu zákonného
spracúvania, a to najmä ak je takýto dôvod stanovený v práve Únie alebo v práve
členského štátu, ktorému prevádzkovateľ podlieha. V každom prípade by sa malo
zabezpečiť uplatnenie zásad stanovených v tomto nariadení a najmä povinnosti
informovať dotknutú osobu o týchto iných účeloch. (41)
Osobitnú ochranu je potrebné poskytnúť pri osobných
údajoch, ktoré sú svojou povahou zvlášť citlivé a exponované v súvislosti so
základnými právami alebo právom na súkromie. Takéto údaje by sa nemali
spracúvať, pokým k tomu dotknutá osoba nedá výslovne súhlas. Mali by sa však
stanoviť výslovné výnimky z tohto zákazu v súvislosti s osobitnými
potrebami, najmä ak sa spracúvanie vykonáva v rámci legitímnych činností
určitými združeniami alebo nadáciami, ktoré sa zasadzujú o základné
slobody. (42)
Výnimka zo zákazu spracúvania citlivých kategórií
údajov by sa mala povoliť aj v prípade, že existujú pre to zákonné dôvody
– s výhradou primeraných záruk ochrany osobných údajov a iných základných práv
– ak takéto konanie je odôvodnené verejným záujmom a najmä na zdravotné účely
vrátane verejného zdravia, sociálnej ochrany a riadenia poskytovania
zdravotníckych služieb, zvlášť ak sa takto zabezpečí kvalita a nákladová
efektívnosť postupov používaných pri uplatňovaní nárokov v rámci systému
zdravotného poistenia, alebo na účely historické, štatistické a vedeckovýskumné.
(43)
Okrem toho, spracovanie osobných údajov oficiálnymi
orgánmi na dosiahnutie cieľov oficiálne uznaných náboženských združení – cieľov
stanovených v ústave alebo v medzinárodnom verejnom práve – sa vykonáva z
dôvodov verejného záujmu. (44)
Tam, kde si počas volebných aktivít fungovanie
demokratického systému v niektorom členskom štáte vyžaduje, aby politické
strany zhromažďovali údaje o politických názoroch ľudí, môže byť spracovanie
týchto údajov povolené z dôvodov verejného záujmu, a to za predpokladu, že sú
poskytnuté náležité záruky. (45)
Ak údaje spracúvané prevádzkovateľom nedovoľujú
prevádzkovateľovi identifikovať fyzickú osobu, prevádzkovateľ nie je povinný
získať dodatočné informácie na identifikovanie dotknutej osoby výlučne na to,
aby dosiahol súlad s niektorým ustanovením tohto nariadenia. V prípade žiadosti
o prístup k údajom má mať prevádzkovateľ právo žiadať dotknutú osobu o ďalšie
informácie, ktoré mu umožnia lokalizovať osobné údaje, ktoré táto osoba hľadá. (46)
Zásada transparentnosti si vyžaduje, aby všetky
informácie určené verejnosti alebo dotknutej osobe boli ľahko prístupné a ľahko
pochopiteľné a napísané jasne a jednoducho. Týka sa to najmä situácií, ako
je online reklama, v ktorých veľký počet účastníkov a technologická komplexnosť
sťažujú dotknutej osobe zistiť a pochopiť, či osobné údaje, ktoré sa jej
týkajú, boli zhromaždené, kým a na aké účely. Keďže deťom prislúcha osobitná
ochrana, všetky informácie a každá komunikácia, pri ktorej sa spracovanie
zameriava osobitne na dieťa, by mali byť napísané jasne a jednoducho, aby ich
dieťa mohlo jednoducho pochopiť. (47)
Mali by sa stanoviť spôsoby, ktoré by dotknutej
osobe uľahčili uplatnenie jej práv stanovených v tomto nariadení, vrátane
mechanizmov pre vyžiadanie si bezplatného prístupu k údajom, ich opravu, výmaz
a na uplatnenie práva namietať. Prevádzkovateľ by mal byť povinný odpovedať na
žiadosť dotknutej osoby v stanovenej lehote a uviesť dôvody v prípade, že
nemôže vyhovieť žiadosti dotknutej osoby. (48)
Zásady spravodlivého a transparentného spracúvania
vyžadujú, aby dotknutá osoba bola informovaná najmä o existencii operácie
spracovania a je účeloch, o tom, ako dlho budú údaje uchované, o existencii
práva na prístup, opravu a výmaz a o práve namietať. Ak sa údaje zhromažďujú od
dotknutej osoby, dotknutá osoba by mala byť informovaná aj o tom, či je povinná
údaje poskytnúť, a o následkoch v prípade, že tieto údaje neposkytne. (49)
Informácie súvisiace so spracúvaním osobných údajov
týkajúcich sa dotknutej osoby by sa dotknutej osobe mali poskytnúť v čase
zhromaždenia údajov alebo, ak údaje nie sú zhromaždené od dotknutej osoby, v
primeranej lehote v závislosti od okolností prípadu. Ak možno údaje legitímne
poskytnúť inému príjemcovi, dotknutá osoba by mala byť informovaná o tom, kedy
boli údaje prvýkrát poskytnuté tomuto príjemcovi. (50)
Nie je však potrebné túto povinnosť uložiť, ak
dotknutá osoba už tieto informácie má, ak uloženie alebo poskytnutie údajov je
výslovne stanovené v právnych predpisoch, alebo ak poskytnutie informácií dotknutej
osobe nie je možné alebo by si vyžiadalo vynaloženie neprimeraného úsilia.
Posledná situácia by sa mohla týkať najmä spracovania na historické,
štatistické alebo vedeckovýskumné účely; v tejto súvislosti možno zohľadniť
počet dotknutých osôb, vek údajov a všetky prijaté kompenzačné opatrenia. (51)
Každá osoba by mala mať právo na prístup k údajom,
ktoré boli o nej zhromaždené, a toto právo aj jednoducho uplatňovať, aby
si bola vedomá zákonnosti spracovania a mohla si ju overiť. Každá dotknutá
osoba by preto mala mať právo vedieť a byť informovaná najmä o účeloch
spracúvania údajov, akú dlhú dobu budú uchovávané, ktorí príjemcovia údajov ich
dostanú, aká je logika spracúvania údajov a aké môžu byť následky takéhoto
spracovania, aspoň v prípadoch, v ktorých sa spracovania opiera o profilovanie.
Toto právo by sa nemalo nepriaznivo dotknúť práv a slobôd iných, ani obchodných
tajomstiev alebo práv duševného vlastníctva a najmä autorských práv týkajúcich
sa softvéru. Výsledkom týchto obáv by však nemalo byť odmietnutie poskytnutia
akýchkoľvek informácií dotknutej osobe. (52)
Prevádzkovateľ by mal použiť všetky primerané
opatrenia na overenie totožnosti dotknutej osoby žiadajúcej o prístup k údajom,
najmä v súvislosti s online službami a online identifikátormi. Prevádzkovateľ
by nemal uchovávať osobné údaje len preto, aby bol schopný reagovať na prípadné
žiadosti. (53)
Každá osoba by mala mať právo nechať opraviť osobné
údaje, ktoré sa jej týkajú, a právo byť zabudnutá, ak uchovávanie takýchto
údajov nie je v súlade s týmto nariadením. Dotknuté osoby by mali mať najmä
právo, aby ich osobné údaje boli vymazané a už viac neboli spracúvané, ak údaje
už nie sú potrebné v súvislosti s účelmi, na ktoré boli zhromaždené alebo
inak spracúvané, ak dotknuté osoby stiahli svoj súhlas s ich spracovaním, ak
namietajú voči spracovaniu osobných údajov, ktoré sa ich týkajú, alebo ak
spracovanie ich osobných údajov nie je v súlade s týmto nariadením z iných
dôvodov. Toto právo je relevantné hlavné v situácii, v ktorej dotknutá osoba
dala súhlas ako dieťa, teda v tom čase si ešte nebola plne vedomá rizík
spojených so spracúvaním, a neskôr chce takéto osobné údaje odstrániť, najmä z internetu.
Ďalšie uchovávanie údajov by malo byť povolené v prípadoch, ak je potrebné na
historické, štatistické a vedeckovýskumné účely, z dôvodu verejného záujmu v
oblasti verejného zdravia, na uplatnenie slobody prejavu, ak sa to vyžaduje v právnych
predpisoch alebo ak existuje dôvod pre obmedzenie spracúvania údajov namiesto
ich vymazania. (54)
Aby sa posilnilo právo byť zabudnutý v online
prostredí, malo by sa rozšíriť právo na výmaz, a to tak, že by prevádzkovateľ,
ktorý osobné údaje zverejnil, bol povinný informovať tretie strany, ktoré
takéto údaje spracúvajú, o tom, že dotknutá osoba ich žiada, aby vymazali
akékoľvek odkazy na tieto osobné údaje, ich kópie alebo replikácie. Aby sa táto
informácia zabezpečila, prevádzkovateľ by mal prijať všetky primerané kroky
vrátane technických opatrení v súvislosti s údajmi určenými na zverejnenie, za
ktoré je tento prevádzkovateľ zodpovedný. V súvislosti so zverejnením osobných
údajov treťou stranou by sa mal za zodpovedného za toto zverejnenie pokladať
prevádzkovateľ, ak prevádzkovateľ takéto zverejnenie treťou stranou povolil. (55)
Na ďalšie posilnenie kontroly nad údajmi dotknutej
osoby a práva na prístup by dotknutá osoba tam, kde sa osobné údaje spracúvajú
elektronickými prostriedkami a štruktúrovaným spôsobom v bežne používanom
formáte, mala mať právo získať kópiu údajov, ktoré sa jej týkajú, a to v bežne
používanom elektronickom formáte. Dotknutá osoba by takisto mala mať právo
prenášať tieto údaje, ktoré poskytla, z jednej automatizovanej aplikácie,
ako je sociálna sieť, do inej. Tento postup by sa mal uplatniť, ak dotknutá
osoba poskytla údaje do automatizovaného systému spracovania na základe jej
súhlasu alebo v rámci plnenia zmluvy. (56)
V prípade, že by osobné údaje mohli byť zákonne
spracované na ochranu životných záujmov dotknutej osoby alebo z dôvodu
verejného záujmu, pri výkone úradnej moci alebo na základe oprávnených záujmov
prevádzkovateľa, dotknutá osoba by mala mať aj v takom prípade právo namietať
proti spracovaniu akýchkoľvek údajov, ktoré sa jej týkajú. Dôkazné bremeno by
malo spočívať na prevádzkovateľovi a ten by mal preukázať oprávnené záujmy,
ktoré môžu prevažovať nad záujmami alebo základnými právami a slobodami
dotknutej osoby. (57)
Ak sa osobné údaje spracúvajú na účely priameho
marketingu, dotknutá osoba by mala mať právo namietať proti takému spracovaniu,
a to bezplatne a jednoduchým a účinným spôsobom. (58)
Každá fyzická osoba by mala mať právo, aby sa na ňu
nevzťahovalo opatrenie založené na profilovaní prostredníctvom automatizovaného
spracovania. Takéto opatrenie by však malo byť povolené, ak je výslovne
povolené v právnych predpisoch, vykonáva sa v rámci uzatvorenia alebo plnenia
zmluvy alebo ak dotknutá osoba dala svoj súhlas. V každom prípade by takéto
spracúvanie malo podliehať primeraným zárukám vrátane povinnosti výslovného
informovania dotknutej osoby, práva vymôcť zásah ľudského činiteľa a pravidla,
že takéto opatrenie sa nebude týkať detí. (59)
Únia alebo členské štáty môžu zaviesť obmedzenia
osobitných zásad a práva na informovanie, na prístup, opravu a výmaz alebo
práva na prenosnosť údajov, práva namietať, opatrení založených na profilovaní,
ako aj oznámení dotknutej osobe o porušení ochrany osobných údajov a
určitých povinností prevádzkovateľa, pokiaľ je to potrebné a v demokratickej
spoločnosti primerané na zaistenie verejnej bezpečnosti vrátane ochrany zdravia
ľudí – najmä v reakcii na prírodné alebo človekom zapríčinené katastrofy –
pokiaľ je potrebné predchádzať trestným činom alebo porušovaniu etiky v
regulovaných profesiách, vyšetrovať ich a stíhať, alebo ak je to potrebné pre
iné verejné záujmy Únie a niektorého členského štátu, najmä ak ide o dôležitý
hospodársky alebo finančný záujem Únie alebo niektorého členského štátu, alebo
ak je to dôležité pre ochranu dotknutej osoby alebo práv a slobôd iných. Tieto
obmedzenia by mali byť predovšetkým v súlade s Chartou základných práv
Európskej únie a s Európskym dohovorom o ochrane ľudských práv
a základných slobôd. (60)
Mala by sa stanoviť celková zodpovednosť a
povinnosť prevádzkovateľa týkajúca sa akéhokoľvek spracúvania osobných údajov
vykonávaného prevádzkovateľom alebo v jeho mene. Prevádzkovateľ by mal
najmä zabezpečiť a mal by mať povinnosť preukázať súlad každej operácie
spracovania údajov s týmto nariadením. (61)
Ochrana práv a slobôd dotknutých osôb v súvislosti
so spracúvaním osobných údajov si vyžaduje prijatie primeraných technických a
organizačných opatrení v čase prípravy spracúvania a aj v čase samotného
spracúvania, aby sa zabezpečilo splnenie požiadaviek uvedených v tomto
nariadení. Aby sa zabezpečil a preukázal súlad s týmto nariadením,
prevádzkovateľ by mal prijať interné pravidlá a uplatniť primerané opatrenia,
ktoré budú rešpektovať najmä zásady ochrany údajov špecificky navrhnutej a
ochrany údajov štandardne určenej. (62)
Ochrana práv a slobôd dotknutých osôb, ako aj
zodpovednosť a povinnosť prevádzkovateľov a sprostredkovateľa, a to aj v
súvislosti s monitorovaním zo strany dozorných orgánov a ich opatreniami, si
vyžaduje jasné priradenie zodpovednosti podľa tohto nariadenia vrátane
prípadov, v ktorých prevádzkovateľ určuje účely, podmienky a prostriedky
spracovania spoločne s inými prevádzkovateľmi alebo v prípadoch, v ktorých
sa operácia spracovania vykonáva v mene prevádzkovateľa. (63)
Ak prevádzkovateľ, ktorý nemá sídlo v Únii,
spracúva osobné údaje dotknutej osoby s bydliskom v Únii, pričom jeho
spracúvanie súvisí s ponukou tovaru a služieb takýmto dotknutým osobám alebo so
sledovaním ich správania, prevádzkovateľ by mal určiť zástupcu, pokiaľ jeho
sídlo nie je v tretej krajine, ktorá zabezpečuje primeranú úroveň ochrany,
pokiaľ nie je malým alebo stredným podnikom či verejným orgánom alebo subjektom
alebo pokiaľ tento prevádzkovateľ neponúka tovar a služby dotknutým osobám iba
príležitostne. Zástupca by mal konať v mene prevádzkovateľa a môže sa na neho
obracať ktorýkoľvek dozorný orgán. (64)
Aby bolo možné určiť, či prevádzkovateľ ponúka
tovar a služby dotknutým osobám s bydliskom v Únii iba príležitostne, je
potrebné uistiť sa, či je z celkovej činnosti prevádzkovateľa zjavné, že ponuka
tovaru a služieb takýmto dotknutým osobám je vedľajšou činnosťou vykonávanou
popri jeho hlavnej činnosti. (65)
Aby sa preukázal súlad s týmto nariadením, mal by
prevádzkovateľ alebo sprostredkovateľ zdokumentovať každú operáciu spracovania.
Každý prevádzkovateľ a sprostredkovateľ by mal byť povinný spolupracovať s
dozorným orgánom a na požiadanie mu sprístupniť svoju dokumentáciu tak, aby
tento orgán mohol vykonávať monitorovanie týchto operácií spracovania údajov. (66)
Aby sa zachovala bezpečnosť a aby sa predišlo
spracúvaniu údajov v rozpore s týmto nariadením, prevádzkovateľ alebo
sprostredkovateľ by mali posúdiť riziká súvisiace so spracovaním a uplatniť
opatrenia na zmiernenie týchto rizík. Tieto opatrenia by mali zabezpečiť
primeranú úroveň bezpečnosti pri zohľadnení najnovšieho stavu techniky a nákladov
na jej zavedenie v súvislosti s rizikami a povahou osobných údajov, ktoré sa
majú chrániť. Pri stanovovaní technických noriem a organizačných opatrení na
zaistenie bezpečnosti spracúvania by Komisia mala podporovať technologickú
neutralitu, interoperabilitu, inovácie, prípadne spoluprácu s tretími
krajinami. (67)
Ak nie je porušenie ochrany osobných údajov vhodne
a včas riešené, môže spôsobiť značné hospodárske straty a sociálne škody
vrátane krádeže totožnosti dotknutej fyzickej osoby. Preto hneď ako
prevádzkovateľ zistí, že došlo k porušeniu ochrany údajov, bez zbytočného
odkladu oznámi toto porušenie dozornému orgánu, pokiaľ možno do 24 hodín. Ak
túto skutočnosť nie je možné oznámiť do 24 hodín, k oznámeniu je potrebné
priložiť vysvetlenie dôvodov omeškania. Fyzické osoby, ktorých osobné údaje by
mohli byť nepriaznivo ovplyvnené takýmto porušením, by o tejto skutočnosti
mali byť bez zbytočného odkladu informované, aby sa im umožnilo podniknúť
potrebné kroky. Porušenie by sa malo pokladať za udalosť nepriaznivo
ovplyvňujúcu ochranu osobných údajov alebo súkromia, ak by mohlo mať za
následok napríklad krádež totožnosti alebo podvod, fyzickú ujmu, veľké
poníženie alebo poškodenie dobrého mena. V informácii by mal byť opísaný
charakter porušenia ochrany osobných údajov a mali by tu byť uvedené
odporúčania pre dotknutú osobu, ako zmierniť možné nepriaznivé dôsledky.
Informovanie dotknutých osôb by malo realizovať čo možno najskôr, v úzkej
spolupráci s dozorným orgánom a pri dodržaní usmernenia, ktoré tento orgán
alebo iný relevantný orgán (napr. orgány presadzovania práva) poskytol.
Napríklad možnosť pre dotknutú osobu zmierniť okamžité riziko ujmy si vyžaduje
promptné informovanie dotknutých osôb, avšak v prípade, že je potrebné zaviesť
primerané opatrenia na zabránenie pokračovaniu alebo výskytu podobných poručení
ochrany údajov, môže byť opodstatnená aj dlhšia lehota. (68)
Na určenie toho, či porušenie osobných údajov bolo
oznámené dozornému orgánu a dotknutej osobe bez zbytočného odkladu, je
potrebné uistiť sa, že prevádzkovateľ uplatnil a použil primeranú technologickú
ochranu a organizačné opatrenia na bezodkladné zistenie, či došlo k porušeniu
ochrany osobných údajov, a na promptné informovanie dozorného orgánu a
dotknutej osoby skôr, než príde k poškodeniu osobných a ekonomických záujmov, a
zohľadniť pritom najmä povahu a závažnosť porušenia ochrany osobných údajov,
dôsledky tohto porušenia a nepriaznivé vplyvy pre dotknutú osobu. (69)
Pri stanovovaní podrobných pravidiel týkajúcich sa
formátu a postupov uplatniteľných na oznámenia o porušení ochrany osobných
údajov je potrebné venovať veľkú pozornosť okolnostiam porušenia, ako aj tomu,
či osobné údaje boli alebo neboli chránené primeranými technickými ochrannými
opatreniami, ktoré účinne obmedzujú pravdepodobnosť podvodu alebo inej formy
zneužitia. Takéto pravidlá a postupy by okrem toho mali zohľadňovať aj
oprávnené záujmy orgánov presadzovania práva v prípadoch, v ktorých by
predčasné zverejnenie informácií mohlo ľahko poškodiť vyšetrovanie okolností
porušenia ochrany údajov. (70)
V smernici 95/46/ES bola stanovená všeobecná
povinnosť oznamovať spracúvanie osobných údajov dozorným orgánom. Keďže táto
povinnosť spôsobovala administratívnu a finančnú záťaž, neprispela vždy k
zlepšeniu ochrany osobných údajov. Takáto nerozlišujúca všeobecná oznamovacia
povinnosť by preto mala byť zrušená a nahradená efektívnymi postupmi a
mechanizmami zameranými namiesto toho na tie operácie spracovania, ktoré môžu
predstavovať osobitné riziko pre práva a slobody dotknutých osôb z dôvodu
ich povahy, rozsahu alebo účelu, na ktorý sa vykonávajú. V takých prípadoch by
prevádzkovateľ alebo sprostredkovateľ mali pred spracovaním informácií vykonať
posúdenie vplyvu na ochranu údajov, ktoré by malo zahŕňať najmä uvedenie
plánovaných opatrení, záruky a mechanizmy zabezpečenia ochrany osobných údajov
a mal by sa takisto preukázať súlad s týmto nariadením. (71)
Tento postup by sa mal uplatniť najmä pri
novozaložených rozsiahlych informačných systémoch, ktorých cieľom je
spracovávať značný objem osobných údajov na regionálnej, vnútroštátnej alebo
nadnárodnej úrovni a ktoré by mohli ovplyvniť veľký počet dotknutých osôb. (72)
Existujú okolnosti, za ktorých môže byť vhodné a
ekonomické, aby sa predmet posúdenia vplyvu na ochranu údajov nevzťahoval len
na jeden projekt, ale bol širší, napríklad ak verejné orgány alebo subjekty
zamýšľajú vytvoriť spoločnú aplikáciu či spracovateľskú platformu alebo ak
niekoľko prevádzkovateľov zamýšľa zaviesť spoločnú aplikáciu či spracovateľské
prostredie v rámci odvetvia alebo segmentu alebo na široko rozvetvenú
horizontálnu činnosť. (73)
Posúdenie vplyvu na ochranu údajov by mal vykonávať
verejný orgán alebo verejný subjekt, ak takéto posúdenie nebolo vykonané už v
súvislosti s prijímaním vnútroštátneho zákona, na ktorom je založené
vykonávanie úloh verejného orgánu alebo verejného subjektu a ktorý reguluje
osobitnú operáciu spracovania alebo súbor takýchto operácií. (74)
Ak z posúdenia vplyvu na ochranu údajov vyplýva, že
operácie spracovania údajov sú sprevádzané vysokým stupňom osobitných rizík pre
práva a slobody dotknutých osôb, ako je napríklad riziko, že v dôsledku použitia
osobitných nových technológií nebude pre fyzické osoby možné uplatniť ich
právo, mal by byť ešte pred začiatkom spracúvania kontaktovaný dozorný orgán a
informovaný o riskantnom spracúvaní, ktoré nemusí byť v súlade s týmto
nariadením, a mali by byť navrhnuté možnosti nápravy tejto situácie. Takéto
konzultácie by sa mali rovnako vykonávať aj počas prípravy buď opatrenia
vnútroštátnym parlamentom alebo opatrenia založeného na takomto legislatívnom
opatrení, ktoré definuje povahu spracúvania a stanovuje náležité záruky. (75)
Ak sa spracúvanie vykonáva vo verejnoprávnom
sektore, ak v súkromnom sektore vykonáva spracúvanie veľký podnik, alebo ak
hlavné činnosti podniku bez ohľadu na jeho veľkosť zahŕňajú operácie
spracovania údajov, ktoré si vyžaduje pravidelné a systematické
monitorovanie, prevádzkovateľovi alebo sprostredkovateľovi by mala nejaká osoba
pomáhať monitorovať vnútorné dodržiavanie tohto nariadenia. Takýto úradníci pre
ochranu údajov, či už sú alebo nie sú zamestnancami prevádzkovateľa, by mali
byť schopní vykonávať svoje povinnosti a úlohy nezávisle. (76)
Združenia alebo iné orgány zastupujúce kategórie
prevádzkovateľov by mali podnecovať k tomu, aby vypracovali kódy správania v
rámci ustanovení tohto nariadenia, aby sa uľahčilo účinné uplatňovanie tohto nariadenia,
pričom by sa zohľadnili osobitné črty spracúvania v určitých odvetviach. (77)
Aby sa zlepšila transparentnosť a posilnil súlad s
týmto nariadením, malo by sa podporiť zavádzanie mechanizmov certifikácie,
plomb a značiek pre potreby ochrany údajov, aby sa dotknutým osobám
umožnilo rýchlo posúdiť úroveň ochrany údajov v prípade relevantných
produktov a služieb. (78)
Cezhraničné toky osobných údajov sú potrebné pre
rozmach medzinárodného obchodu a medzinárodnej spolupráce. Zvyšovanie týchto
tokov so sebou prinieslo nové výzvy a obavy týkajúce sa ochrany osobných
údajov. Avšak ani v prípade, keď sú osobné údaje prenášané z Únie do tretích
krajín alebo medzinárodným organizáciám, úroveň ochrany údajov fyzických osôb
zaručovaná Úniou na základe tohto nariadenia by nemala byť oslabená. V každom
prípade by prenos do tretích krajín mal byť vykonávaný v úplnom súlade s týmto
nariadením. (79)
Toto nariadenie sa nedotýka medzinárodných dohôd
uzatvorených medzi Úniou a tretími krajinami, ktoré upravujú prenos
osobných údajov a poskytujú náležité záruky pre dotknuté osoby. (80)
Komisia môže rozhodnúť s účinkom pre celú Úniu, že
určité tretie krajiny, územie, sektor spracovania v niektorej tretej krajine
alebo medzinárodná organizácia zaručujú primeranú úroveň ochrany údajov, čím poskytne
právnu istotu a jednotnosť pre celú Úniu, pokiaľ ide o tretie krajiny alebo
medzinárodné organizácie pokladané za krajiny a organizácie poskytujúce takúto
úroveň ochrany. V takýchto prípadoch sa prenosy osobných údajov do týchto
krajín môžu uskutočňovať bez potreby získania ďalšieho povolenia. (81)
V súlade so základnými hodnotami, na ktorých je
založená Únia, najmä pokiaľ ide o ochranu ľudských práv, by Komisia pri
posudzovaní tretej krajiny mala zohľadniť skutočnosť, ako daná tretia krajina
dodržiava zásady právneho štátu, prístupu k spravodlivosti, ako aj
medzinárodné normy a štandardy v oblasti ľudských práv. (82)
Komisia môže rovnako usúdiť, že tretia krajina,
územie, sektor spracovania v tretej krajine alebo medzinárodná organizácia
nezabezpečujú primeranú úroveň ochrany údajov. V dôsledku toho by sa mal prenos
osobných údajov do tejto tretej krajiny zakázať. V takomto prípade treba prijať
ustanovenie o konzultácii medzi Komisiou a takýmito tretími krajinami
alebo medzinárodnými organizáciami. (83)
Pri absencii rozhodnutia o primeranosti by
prevádzkovateľ a sprostredkovateľ mali prijať opatrenia na kompenzáciu za
nedostatočnú ochranu údajov v tretej krajine prostredníctvom náležitých záruk
pre dotknutú osobu. Takéto náležité záruky môžu spočívať v uplatnení záväzných
firemných pravidiel, štandardných ustanovení o ochrane údajov prijatých
Komisiou, štandardných ustanovení o ochrane údajov prijatých dozorným orgánom,
alebo iných vhodných a primeraných opatrení opodstatnených všetkými okolnosťami
operácie prenosu údajov alebo súboru operácií prenosu údajov a povolených
dozorným orgánom. (84)
Možnosť pre prevádzkovateľa alebo sprostredkovateľa
uplatniť štandardné ustanovenia o ochrane údajov prijaté Komisiou alebo
dozorným orgánom by prevádzkovateľom ani sprostredkovateľom nemali brániť v
tom, aby zahrnuli štandardné doložky o ochrane údajov do širšej zmluvy alebo k
nim pridali ďalšie ustanovenia, pokiaľ nie sú priamo alebo nepriamo
kontradiktórne vo vzťahu k štandardným zmluvným doložkám prijatým Komisiou
alebo dozorným orgánom alebo pokiaľ sa nedotýkajú základných práv a slobôd
dotknutých osôb. (85)
Každá skupina podnikov by mala byť schopná
uplatňovať záväzné firemné pravidlá pri svojich medzinárodných prenosoch z Únie
organizáciám v rámci tej istej skupiny podnikov, pokiaľ takéto firemné pravidlá
zahŕňajú hlavné zásady a vymáhateľné práva na zabezpečenie náležitých záruk pre
prenosy alebo kategórie prenosov osobných údajov. (86)
Mali by byť prijaté ustanovenia o možnosti prenosov
za určitých okolností, ak dotknutá osoba dala súhlas, ak je prenos potrebný v
súvislosti so zmluvným alebo právnym nárokom, ak si to vyžadujú dôležité dôvody
verejného záujmu stanoveného Úniou alebo členským štátom alebo ak je prenos
realizovaný z registra vytvoreného na základe zákona alebo určeného na nahliadanie
zo strany verejnosti alebo osôb s oprávneným záujmom. V poslednom uvedenom
prípade by tento prenos nemal zahŕňať úplné údaje alebo celé kategórie údajov
obsiahnutých v registri a ak je register učený na nahliadanie zo strany osôb s
oprávneným záujmom, prenos by sa mal vykonať len na požiadanie takýchto osôb
alebo vtedy, ak sú takéto osoby príjemcami údajov. (87)
Tieto výnimky by sa mali uplatňovať najmä pri
prenosoch údajov požadovaných a potrebných na ochranu dôležitých dôvodov
verejného záujmu, napríklad v prípadoch medzinárodných prenosov medzi orgánmi
hospodárskej súťaže, daňovými alebo colnými správami, orgánmi finančného
dohľadu, medzi útvarmi zodpovednými za otázky sociálneho zabezpečenia alebo
medzi príslušnými orgánmi na účely predchádzania trestným činom, ich
vyšetrovania, odhaľovania a stíhania. (88)
Možno vykonávať aj prenosy, ktoré nemožno označiť
za časté alebo hromadné, a to na účely oprávnených záujmov prevádzkovateľa
alebo sprostredkovateľa, ak posúdili všetky okolnosti prenosu údajov. Na účely
spracúvania na historické, štatistické a vedeckovýskumné účely by sa mali
zohľadniť legitímne očakávania spoločnosti týkajúce sa prehĺbenia znalostí. (89)
V každom prípade, v ktorom Komisia neprijala
rozhodnutie o primeranej úrovni ochrany údajov v niektorej tretej krajine,
prevádzkovateľ alebo sprostredkovateľ by mali využiť riešenia, ktoré dotknutým
osobám poskytujú záruky, že budú aj naďalej môcť uplatňovať základné práva a
záruky, pokiaľ ide o spracúvanie ich údajov v Únii, keď budú tieto údaje
prenesené. (90)
Niektoré tretie krajiny prijímajú zákony,
nariadenia alebo iné legislatívne nástroje, ktoré priamo regulujú spracúvanie
údajov fyzických a právnických osôb v rámci jurisdikcie členských štátov.
Extrateritoriálne uplatňovanie týchto zákonov, nariadení a iných legislatívnych
nástrojov môže byť v rozpore s medzinárodným právom a môže ohroziť ochranu
fyzických osôb garantovanú Úniou v tomto nariadení. Prenosy by mali byť
povolené len za podmienok uvedených v tomto nariadení pre prenosy do tretích
krajín. Môže ísť okrem iného o prípad, keď zverejnenie je potrebné z dôležitého
dôvodu verejného záujmu uznaného v právnych predpisoch Únie alebo v právnych
predpisoch členských štátov, ktorým prevádzkovateľ podlieha. Podmienky, za
ktorých existuje dôležitý dôvod verejného záujmu, by mala Komisia ďalej
špecifikovať v delegovanom akte. (91)
Pri pohybe osobných údajov za hranice sa môže
zvýšiť riziko z hľadiska možnosti fyzických osôb uplatniť práva ochrany údajov,
a to najmä pokiaľ ide o ich schopnosť chrániť sa pred nezákonným využitím alebo
zverejnením týchto informácií. Zároveň dozorné orgány môžu zistiť, že nie sú
schopné riešiť sťažnosti alebo vykonávať vyšetrovanie týkajúce sa činností
vykonávaných za ich hranicami. Prekážkou v ich úsilí spolupracovať v
cezhraničnom kontexte môžu byť aj nedostatočné preventívne alebo nápravné
právomoci, nekonzistentné právne režimy a praktické prekážky, napríklad
nedostatočné zdroje. Preto je tu potreba podporovať užšiu spoluprácu medzi
dozornými orgánmi pre ochranu údajov s cieľom pomôcť im pri výmene informácií a pri
vyšetrovaniach vykonávaných v spolupráci s ich medzinárodnými partnermi. (92)
Zriadenie dozorných orgánov v členských štátoch a
vykonávanie ich funkcií v úplnej nezávislosti je zásadným prvkom ochrany
fyzických osôb v súvislosti so spracúvaním ich osobných údajov. Členské štáty
môžu zriadiť viac ako jeden dozorný orgán, aby zohľadnili svoju ústavnú,
organizačnú a správnu štruktúru. (93)
Ak niektorý členský štát zriadi viacero dozorných
orgánov, mal by v zákone stanoviť mechanizmy na zabezpečenie efektívnej účasti
týchto dozorných orgánov na mechanizme konzistentnosti. Takéto členské štáty by
mali najmä určiť dozorný orgán, ktorý bude fungovať ako jediné kontaktné miesto
pre efektívnu účasť týchto orgánov na uvedenom mechanizme s cieľom zabezpečiť
rýchlu a bezproblémovú spoluprácu s ostatnými dozornými orgánmi, Európskym
výborom pre ochranu údajov a Komisiou. (94)
Každý dozorný orgán by mal mať k dispozícii
dostatok personálnych a finančných zdrojov, priestory a infraštruktúru, ktoré
sú potrebné na účinné plnenie úloh vrátane tých, ktoré sa týkajú vzájomnej
pomoci a spolupráce s ostatnými dozornými orgánmi v rámci Únie. (95)
Všeobecné podmienky pre členov dozorného orgánu by
mal každý členský štát stanoviť zákonným predpisom, kde by malo byť najmä
stanovené, že členovia by mali byť menovaní parlamentom alebo vládou členského
štátu, a mali by tu byť uvedené pravidlá o osobnej kvalifikácii členov a
pozícii týchto členov. (96)
Dozorné orgány by mali monitorovať uplatňovanie
ustanovení podľa tohto nariadenia a prispievať k jeho konzistentnému
uplatňovaniu v rámci Únie, aby sa chránili fyzické osoby v súvislosti so
spracúvaním ich osobných údajov a uľahčil sa voľný tok osobných údajov v rámci
vnútorného trhu. Na tento účel by dozorné orgány mali spolupracovať navzájom,
ako aj s Komisiou. (97)
Ak sa spracovanie osobných údajov v rámci činnosti
zariadenia prevádzkovateľa alebo sprostredkovateľa v Únii vykonáva vo viac ako
jednom členskom štáte, pre monitorovanie činností prevádzkovateľa alebo
sprostredkovateľa v Únii a prijímanie súvisiacich rozhodnutí by mal byť
príslušný iba jeden dozorný orgán, aby sa posilnilo konzistentné uplatňovanie
pravidiel, poskytla sa právna istota a znížilo sa administratívne zaťaženie pre
takýchto prevádzkovateľov a sprostredkovateľov. (98)
Príslušným orgánom, ktorý je takýmto jediným
kontaktným miestom, by mal byť dozorný orgán členského štátu, v ktorom má
prevádzkovateľ alebo sprostredkovateľ svoje ústredie. (99)
Hoci sa toto nariadenie uplatňuje aj na činnosti
vnútroštátnych súdov, príslušnosť dozorných orgánov by sa nemala vzťahovať na
spracúvanie osobných údajov v prípadoch, v ktorých konajú súdy na základe
ich súdnej právomoci, aby sa takto zaručila nezávislosť sudcov pri výkone ich
sudcovských úloh. Táto výnimka by mala byť prísne obmedzená výlučne na
sudcovské činnosti v rámci súdnych konaní a nemala by sa uplatňovať na iné
činnosti, do ktorých môžu byť sudcovia zapojení v súlade s vnútroštátnym
právom. (100)
Aby sa zabezpečilo konzistentné monitorovanie a
uplatňovanie tohto nariadenia v rámci Únie, dozorné orgány by mali mať vo
všetkých členských štátoch rovnaké povinnosti a účinné právomoci vrátane
právomoci vykonávať vyšetrovania, právomoci robiť právne záväzné úkony,
prijímať rozhodnutia a ukladať sankcie, a to najmä v prípadoch sťažností
od fyzických osôb, a právomoci zapájať sa do súdnych konaní. Vyšetrovacie
právomoci dozorných orgánov, pokiaľ ide o prístup do priestorov, by sa mali
uplatňovať v súlade s právnymi predpismi Únie a s vnútroštátnymi právnymi
predpismi. Týka sa to najmä požiadavky získať povolenie súdu vopred. (101)
Každý dozorný orgán by mal prejednať sťažnosti
podané ktoroukoľvek dotknutou osobou a vyšetriť predmetnú záležitosť.
Vyšetrovanie na základe sťažnosti by sa malo vykonávať, s výhradou
preskúmania veci súdom, v rozsahu primeranom pre konkrétny prípad. Dozorný
orgán by mal informovať dotknutú osobu o pokroku pri vybavovaní sťažnosti
a o výsledku sťažnosti v rámci primeranej lehoty. Ak si
predmetná záležitosť vyžaduje ďalšie vyšetrovanie alebo koordináciu s iným
dozorným orgánom, dotknutej osobe by sa mala poskytnúť priebežná informácia. (102)
Aktivity dozorných orgánov zamerané na zvyšovanie
informovanosti a adresované verejnosti by mali zahŕňať špecifické
opatrenia určené prevádzkovateľom a sprostredkovateľom vrátane malých
a stredných podnikov, ako aj dotknutým osobám. (103)
Dozorné orgány by si mali navzájom pomáhať pri
výkone svojich povinností a poskytovať vzájomnú pomoc s cieľom zabezpečiť
konzistentné uplatňovanie a presadzovanie tohto nariadenia na vnútornom
trhu. (104)
Každý dozorný orgán by mal mať právo zúčastňovať sa
na spoločných operáciách medzi dozornými orgánmi. Požiadaný dozorný orgán by
mal mať povinnosť odpovedať na žiadosť v rámci vymedzenej časovej lehoty. (105)
S cieľom zabezpečiť konzistentné uplatňovanie
tohto nariadenia v celej Únii by sa mal zriadiť mechanizmus
konzistentnosti pre spoluprácu medzi dozornými orgánmi navzájom a medzi
nimi a Komisiou. Tento mechanizmus by sa mal uplatňovať najmä vtedy, keď
dozorný orgán mieni prijať opatrenie týkajúce sa operácií spracovania, ktoré
súvisia s ponukou tovaru alebo služieb dotknutým osobám v niekoľkých
členských štátoch, alebo so sledovaním správania takýchto dotknutých osôb,
alebo ktoré by mohli podstatne ovplyvniť voľný pohyb osobných údajov. Mal by sa
takisto uplatniť vtedy, keď niektorý dozorný orgán alebo Komisia žiadajú, aby
sa predmetná záležitosť riešila v rámci mechanizmu konzistentnosti. Týmto
mechanizmom by nemali byť dotknuté žiadne opatrenia, ktoré by Komisia mohla
prijať pri výkone svojich právomocí v zmysle zmlúv. (106)
Pri uplatňovaní mechanizmu konzistentnosti by
Európsky výbor pre ochranu údajov mal v rámci vymedzenej časovej lehoty
vydať stanovisko, ak o tom rozhodne jednoduchá väčšina jeho členov, alebo
ak o to požiada niektorý dozorný orgán alebo Komisia. (107)
S cieľom zabezpečiť súlad s týmto
nariadením môže Komisia prijať stanovisko k tejto veci alebo rozhodnutie,
ktorým požiada dozorný orgán o pozastavenie jeho návrhu opatrenia. (108)
Môže sa vyskytnúť naliehavá potreba konať kvôli
ochrane záujmov dotknutých osôb, najmä ak existuje nebezpečenstvo, že by
uplatňovanie práva dotknutej osoby mohlo byť podstatne sťažené. Dozorný orgán
by preto mal mať možnosť pri uplatňovaní mechanizmu konzistentnosti prijímať
dočasné opatrenia s vymedzenou dobou platnosti. (109)
Uplatňovanie tohto mechanizmu by malo byť
podmienkou právoplatnosti a vymáhania príslušného rozhodnutia dozorným
orgánom. V iných prípadoch s cezhraničnou pôsobnosťou by sa vzájomná
pomoc a spoločné vyšetrovanie mohli vykonávať medzi dotknutými dozornými
orgánmi na dvojstrannom alebo viacstrannom základe bez uvedenia mechanizmu
konzistentnosti do činnosti. (110)
Na úrovni Únie by sa mal zriadiť Európsky výbor pre
ochranu údajov. Mal by nahradiť pracovnú skupinu pre ochranu jednotlivcov so
zreteľom na spracovanie osobných údajov, zriadenú smernicou 95/46/ES. Mal by
pozostávať z vedúcich predstaviteľov dozorných orgánov, a to po
jednom z každého členského štátu, a európskeho dozorného úradníka pre
ochranu údajov. Na jeho činnosti by sa mala podieľať aj Komisia. Európsky výbor
pre ochranu údajov by mal prispievať ku konzistentnému uplatňovaniu tohto
nariadenia v rámci celej Únie, a to aj poskytovaním poradenstva Komisii
a podporou spolupráce medzi dozornými orgánmi v rámci celej Únie.
Európsky výbor pre ochranu údajov by mal pri výkone svojich úloh konať
nezávisle. (111)
Každá dotknutá osoba by mala mať právo podať
sťažnosť u dozorného orgánu v ktoromkoľvek členskom štáte a mať právo na
súdne prostriedky nápravy, ak usúdi, že jej práva ustanovené týmto nariadením
sa porušujú, alebo ak dozorný orgán nereaguje na sťažnosť alebo nekoná
v prípade, že takéto konanie je nevyhnutné na ochranu práv dotknutej
osoby. (112)
Všetky orgány, organizácie či združenia, ktorých
cieľom je ochrana práv a záujmov dotknutých osôb súvisiaca s ochranou
ich údajov a ktoré sú zriadené podľa právnych predpisov niektorého
členského štátu, by mali mať možnosť podať sťažnosť u dozorného orgánu
alebo využiť právo na súdny opravný prostriedok v mene dotknutých osôb,
alebo nezávisle od sťažnosti niektorej dotknutej osoby podať vlastnú sťažnosť
v prípade, že usúdia, že došlo k porušeniu ochrany osobných údajov. (113)
Každá fyzická či právnická osoba by mala mať právo
na súdne prostriedky nápravy voči rozhodnutiam dozorného orgánu, ktoré sa jej
týka. Návrh na začatie konania voči dozornému orgánu by sa mal podať na súde
členského štátu, v ktorom má dozorný orgán sídlo. (114)
S cieľom posilniť súdnu ochranu dotknutých
osôb v situáciách, keď príslušný dozorný orgán má sídlo v inom
členskom štáte, než je štát, v ktorom má dotknutá osoba bydlisko, dotknutá
osoba môže požiadať ktorýkoľvek z orgánov, organizácií či združení,
ktorých cieľom je ochrana práv a záujmov dotknutých osôb súvisiaca s ochranou
ich osobných údajov, podať v mene dotknutej osoby návrh na začatie konania
voči dozornému orgánu na príslušnom súde v tomto druhom členskom štáte. (115)
V situáciách, keď príslušný dozorný orgán so
sídlom v inom členskom štáte nekoná alebo neprijal dostatočné opatrenia vo
veci sťažnosti, dotknutá osoba môže požiadať dozorný orgán v členskom
štáte jej obvyklého pobytu, aby tento podal návrh na začatie konania voči
predmetnému dozornému orgánu na príslušnom súde v tomto druhom členskom
štáte. Požiadaný dozorný orgán môže rozhodnúť, s výhradou preskúmania
súdom, či je vhodné danej žiadosti vyhovieť alebo nie. (116)
Pri konaniach voči prevádzkovateľovi alebo
sprostredkovateľovi by žalobca mal mať možnosť podať návrh na začatie konania
na súde členského štátu, v ktorom má prevádzkovateľ alebo sprostredkovateľ
príslušné zariadenie v činnosti, alebo kde má dotknutá osoba bydlisko,
s výnimkou prípadov, keď prevádzkovateľom je verejný orgán konajúci
v rámci výkonu svojich verejných právomocí. (117)
Ak existujú náznaky, že sa na súdoch iných
členských štátov vedú súbežné konania, príslušné súdy by mali mať povinnosť
navzájom sa kontaktovať. Súdy by mali mať možnosť pozastaviť konanie vo veci
v prípade, že sa v inom členskom štáte vedie súbežné konanie. Členské
štáty by mali zabezpečiť, aby súdne opatrenia umožňovali v záujme ich
účinnosti urýchlené prijatie opatrení na nápravu alebo na predchádzanie
porušeniu tohto nariadenia. (118)
Prevádzkovateľ alebo sprostredkovateľ by mali
nahradiť akúkoľvek škodu, ktorú určitá osoba utrpela v dôsledku
nezákonného spracovania, môžu však byť úplne alebo čiastočne zbavení tejto
zodpovednosti, ak poskytnú dôkaz o tom, že nenesú zodpovednosť za škodu,
a to najmä vtedy, keď zistia pochybenie dotknutej osoby, alebo
v prípade vyššej moci. (119)
Každej osobe, ktorá nedodrží toto nariadenie, by sa
mali uložiť sankcie bez ohľadu na to, či podlieha súkromnému alebo verejnému právu.
Členské štáty by mali zabezpečiť, aby sankcie boli účinné, primerané
a odrádzajúce a prijať všetky opatrenia na vymáhanie týchto sankcií. (120)
S cieľom posilniť a harmonizovať správne
sankcie za porušovanie tohto nariadenia by každý dozorný orgán mal mať právomoc
sankcionovať správne priestupky. V tomto nariadení by sa mali uviesť tieto
priestupky a horná hranica príslušných správnych pokút, ktoré by sa mali
stanoviť v každom jednotlivom prípade úmerne ku konkrétnej situácii
s náležitým zreteľom najmä na povahu, závažnosť a trvanie porušenia.
Mechanizmus konzistentnosti by sa mal využiť aj na riešenie rozdielností pri
uplatňovaní správnych sankcií. (121)
Spracúvanie osobných údajov vykonávané výlučne na
žurnalistické účely alebo na účely umeleckej alebo literárnej tvorby by malo
byť predmetom výnimky z požiadaviek určitých ustanovení tohto nariadenia s
cieľom zosúladiť právo na ochranu osobných údajov s právom slobody prejavu,
konkrétne s právom dostávať nestranné informácie, ako sú zaručené najmä
článkom 11 Charty základných práv Európskej únie. Malo by sa to vzťahovať najmä
na spracúvanie osobných údajov v audiovizuálnej oblasti a v archívoch
spravodajstva a tlače. Členské štáty by preto mali prijať legislatívne
opatrenia, ktorými sa určia výnimky a odchýlky nevyhnutné na vyvážené
zabezpečenie týchto základných práv. Takéto výnimky a odchýlky by členské
štáty mali prijať, pokiaľ ide o všeobecné zásady, práva dotknutej osoby,
prevádzkovateľa a sprostredkovateľa, prenos údajov do tretích krajín alebo
medzinárodným organizáciám, nezávislé dozorné orgány, spoluprácu
a konzistentnosť. Nemalo by to však viesť k tomu, aby členské štáty
stanovovali výnimky z iných ustanovení tohto nariadenia. S cieľom
zohľadniť dôležitosť práva slobody prejavu v každej demokratickej spoločnosti
je nevyhnutné pojmy súvisiace s touto slobodou, napríklad žurnalistiku,
vykladať v širšom zmysle. Členské štáty by preto mali určiť kategórie
„žurnalistických“ činností na účely výnimiek a odchýlok, ktoré sa majú
určiť na základe tohto nariadenia, ak cieľom týchto činností je zverejňovanie
informácií, názorov alebo námetov bez ohľadu na médium používané na ich prenos.
Tieto činnosti by nemali byť obmedzené výlučne na mediálne podniky a malo
by byť možné využívať ich na ziskové aj neziskové účely. (122)
Spracúvanie osobných údajov týkajúcich sa zdravia
ako osobitnej kategórie údajov, ktoré si zasluhujú vyšší stupeň ochrany, môže
byť často opodstatnené celým radom legitímnych dôvodov v záujme fyzických
osôb a spoločnosti ako celku, najmä v súvislosti so zabezpečením
kontinuity cezhraničnej zdravotnej starostlivosti. Týmto nariadením by sa preto
mali vytvoriť harmonizované podmienky pre spracúvanie osobných údajov
týkajúcich sa zdravia s výhradou špecifických a vhodných záruk
s cieľom chrániť základné práva a osobné údaje fyzických osôb.
K tomu patrí aj právo fyzických osôb na prístup k ich osobným údajov
týkajúcim sa ich zdravia, napríklad k údajom v ich lekárskych
záznamoch obsahujúcich informácie ako diagnóza, výsledky vyšetrení, posudky ošetrujúcich
lekárov a akákoľvek poskytnutá terapia alebo uskutočnené zákroky. (123)
Spracúvanie osobných údajov týkajúcich sa zdravia
bez súhlasu dotknutej osoby môže byť potrebné z dôvodov verejného záujmu
v oblasti verejného zdravia. V tejto súvislosti by sa malo „verejné
zdravie“ vykladať v zmysle nariadenia Európskeho parlamentu a Rady (ES) č.
1338/2008 zo 16. decembra 2008 o štatistikách Spoločenstva v oblasti verejného
zdravia a bezpečnosti a ochrany zdravia pri práci, teda malo by zahŕňať všetky
prvky súvisiace so zdravím, konkrétne zdravotný stav vrátane chorobnosti a
zdravotného postihnutia, faktory ovplyvňujúce tento zdravotný stav, potreby
zdravotnej starostlivosti, zdroje pridelené na zdravotnú starostlivosť,
poskytovanie zdravotnej starostlivosti a jej všeobecnú dostupnosť, ako aj
výdavky na zdravotnú starostlivosť a jej financovanie a príčiny smrti. Takéto
spracúvanie osobných údajov týkajúcich sa zdravia z dôvodov verejného
záujmu by nemalo viesť k spracúvaniu osobných údajov na iné účely tretími
stranami, napríklad zamestnávateľmi či poisťovacími a bankovými
spoločnosťami. (124)
Všeobecné zásady ochrany fyzických osôb pri
spracúvaní osobných údajov by sa mali uplatňovať aj v súvislosti so
zamestnaním. Preto s cieľom upraviť spracúvanie osobných údajov
zamestnancov v súvislosti so zamestnaním by členské štáty mali mať možnosť
v medziach tohto nariadenia prijať špecifické zákonné pravidlá spracúvania
osobných údajov v oblasti zamestnanosti. (125)
Spracúvanie osobných údajov na historické,
štatistické alebo vedeckovýskumné účely by malo v záujme zákonnosti
takisto rešpektovať ďalšie relevantné právne predpisy, napríklad predpisy o
klinických skúškach. (126)
Vedecký výskum na účely tohto nariadenia by mal
zahŕňať základný výskum, aplikovaný výskum a výskum financovaný zo súkromných
zdrojov a okrem toho by mal zohľadňovať cieľ Únie stanovený v článku 179 ods. 1
Zmluvy o fungovaní Európskej únie, ktorým je vytvorenie európskeho výskumného
priestoru. (127)
Pokiaľ ide o právomoci dozorných orgánov
získať od prevádzkovateľa alebo sprostredkovateľa prístup k osobným údajom
a prístup do ich prevádzkových priestorov, členské štáty môžu prijať
formou zákona a v medziach tohto nariadenia osobitné pravidlá
s cieľom zaručiť plnenie povinností týkajúcich sa služobného tajomstva
alebo inej rovnocennej povinnosti zachovávať mlčanlivosť, ak je to potrebné na
zosúladenie práva na ochranu osobných údajov s povinnosťou zachovávať služobné
tajomstvo. (128)
V zmysle článku 17 Zmluvy o fungovaní
Európskej únie sa týmto nariadením rešpektuje a zároveň ním nie je
dotknuté postavenie, ktoré majú cirkvi a náboženské združenia alebo
spoločenstvá v členských štátoch podľa vnútroštátneho práva. Z toho
vyplýva, že ak určitá cirkev v niektorom členskom štáte v čase
nadobudnutia účinnosti tohto nariadenia uplatňuje komplexné pravidlá ochrany
fyzických osôb pri spracúvaní osobných údajov, tieto pravidlá by sa mali aj
naďalej uplatňovať za podmienky, že sa zosúladia s týmto nariadením. Od
takýchto cirkví a náboženských združení by sa malo vyžadovať, aby
zabezpečili zriadenie úplne nezávislého dozorného orgánu. (129)
Aby sa splnili ciele tohto nariadenia, konkrétne
ochrana základných práv a slobôd fyzických osôb, najmä ich právo na
ochranu osobných údajov, ako aj zabezpečenie voľného pohybu osobných údajov
v rámci Únie, Komisii by sa mala delegovať právomoc prijímať akty
v súlade s článkom 290 Zmluvy o fungovaní Európskej únie. Delegované
akty by sa mali predovšetkým prijímať, pokiaľ ide o: zákonnosť spracovania;
určenie kritérií a podmienok súhlasu dieťaťa; spracúvanie osobitných kategórií
osobných údajov; určenie kritérií a podmienok pre konštatovanie zjavne
neprimeraných žiadostí a poplatkov za výkon práv dotknutej osoby; kritériá
a požiadavky súvisiace s informáciami pre dotknutú osobu
a s jej prístupovým právom; právo byť zabudnutý a právo na výmaz;
opatrenia založené na profilovaní; kritériá a požiadavky týkajúce sa
zodpovednosti prevádzkovateľa a ochrany údajov špecificky navrhnutej
a štandardne určenej; sprostredkovateľa; kritériá a požiadavky na
dokumentáciu a bezpečnosť spracovania; kritériá a požiadavky pre
konštatovanie porušenia ochrany osobných údajov, jeho oznamovanie dozornému
orgánu a okolnosti, kedy porušenie ochrany osobných údajov môže
nepriaznivo ovplyvniť dotknutú osobu; kritériá a požiadavky na operácie
spracovania; pri ktorých sa vyžaduje posúdenie vplyvu na ochranu údajov;
kritériá a požiadavky pre konštatovanie vysokého stupňa osobitných rizík, pri
ktorých sa vyžaduje konzultácia vopred; určenie a úlohy úradníka pre
ochranu údajov; kódexy správania; kritériá a požiadavky na certifikačné
mechanizmy; kritériá a požiadavky na prenosy prostredníctvom záväzných
firemných pravidiel; odchýlky od pravidiel pri prenose; správne sankcie;
spracúvanie údajov na zdravotnícke účely; spracúvanie v súvislosti so
zamestnaním a spracúvanie na historické, štatistické a vedeckovýskumné
účely. Je mimoriadne dôležité, aby Komisia viedla náležité konzultácie v
priebehu prípravných prác vrátane konzultácií na expertnej úrovni. Pri príprave
a vypracúvaní delegovaných aktov by Komisia mala zabezpečiť súbežné, včasné a
vhodne riešené predkladanie príslušných dokumentov Európskemu parlamentu a
Rade. (130)
S cieľom zabezpečiť jednotné podmienky
uplatňovania tohto nariadenia by sa na Komisiu mali preniesť vykonávacie
právomoci, pokiaľ ide o: určenie štandardných formulárov pre potreby
spracúvania osobných údajov dieťaťa; štandardné postupy a formuláre pre
výkon práv dotknutých osôb, štandardné formuláre informácie pre dotknutú osobu;
štandardné formuláre a postupy týkajúce sa prístupového práva, právo na prenosnosť
údajov; štandardné formuláre týkajúce sa zodpovednosti prevádzkovateľa za
ochranu osobných údajov špecificky navrhnutú a štandardne určenú
a formuláre týkajúce sa dokumentácie; osobitné požiadavky na bezpečnosť
spracovania; štandardný formát a postupy pre oznámenie porušenia ochrany
osobných údajov dozornému orgánu a pre informovanie dotknutej osoby
o porušení ochrany osobných údajov; normy a postupy pre posúdenie
vplyvu na ochranu osobných údajov; formuláre a postupy týkajúce sa povolenia
vopred a konzultácie vopred; technické normy a certifikačné mechanizmy;
primeranú úroveň ochrany poskytovanú treťou krajinou alebo územím, alebo
sektorom spracovania v tretej krajine alebo medzinárodnou organizáciou;
sprístupňovanie údajov, ktoré právne predpisy Únie nepovoľujú; vzájomnú pomoc;
spoločné operácie a rozhodnutia v rámci mechanizmu konzistentnosti. Tieto
právomoci by sa mali vykonávať v súlade s nariadením Európskeho
parlamentu a Rady (EÚ) č. 182/2011 zo 16. februára 2011, ktorým sa
ustanovujú pravidlá a všeobecné zásady mechanizmu, na základe ktorého členské
štáty kontrolujú vykonávanie vykonávacích právomocí Komisie[45]. Komisia by pritom mala zvážiť
osobitné opatrenia pre mikropodniky a malé a stredné podniky. (131)
Postup preskúmania by sa mal použiť v prípadoch,
keď ide o: určenie štandardných formulárov pre vyjadrenie súhlasu dieťaťa;
štandardné postupy a formuláre pre výkon práv dotknutých osôb; štandardné
formuláre informácií pre dotknutú osobu; štandardné formuláre a postupy
týkajúce sa prístupového práva; právo na prenosnosť údajov; štandardné
formuláre týkajúce sa zodpovednosti prevádzkovateľa za ochranu osobných údajov
špecificky navrhnutú a štandardne určenú a formuláre týkajúce sa
dokumentácie; osobitné požiadavky na bezpečnosť spracovania; štandardný formát
a postupy pre oznámenie porušenia ochrany osobných údajov dozornému orgánu
a pre informovanie dotknutej osoby o porušení ochrany osobných
údajov; normy a postupy pre posúdenie vplyvu na ochranu osobných údajov;
formuláre a postupy týkajúce sa povolenia vopred a konzultácie vopred;
technické normy a certifikačné mechanizmy; primeranú úroveň ochrany poskytovanú
treťou krajinou alebo územím, alebo sektorom spracovania v tretej krajine alebo
medzinárodnou organizáciou; sprístupňovanie údajov, ktoré právne predpisy Únie
nepovoľujú; vzájomnú pomoc; spoločné operácie a rozhodnutia v rámci
mechanizmu konzistentnosti, keďže tieto akty majú všeobecnú pôsobnosť. (132)
Pokiaľ si to vyžadujú vážne a naliehavé dôvody,
Komisia by mala prijať okamžite uplatniteľné akty, ak ide o riadne
odôvodnené prípady týkajúce sa tretej krajiny alebo územia, alebo sektora
spracúvania či medzinárodnej organizácie, ktoré nezabezpečujú náležitú úroveň
ochrany a dozorné orgány riešia tieto prípady v rámci mechanizmu
konzistentnosti. (133)
Keďže cieľ tohto nariadenia, ktorým je zabezpečiť
rovnocennú úroveň ochrany fyzických osôb a voľný tok údajov v rámci
celej Únie, nie je možné uspokojivo dosiahnuť na úrovni jednotlivých členských
štátov, ale z dôvodov jeho rozsahu a dôsledkov ho možno lepšie dosiahnuť
na úrovni Únie, môže Únia prijať opatrenia v súlade so zásadou
subsidiarity podľa článku 5 Zmluvy o Európskej únii. V súlade so zásadou
proporcionality podľa uvedeného článku toto nariadenie neprekračuje rámec
nevyhnutný na dosiahnutie tohto cieľa. (134)
Smernica 95/46/ES by sa mala týmto nariadením
zrušiť. Rozhodnutia, ktoré Komisia prijala, a povolenia, ktoré dozorné orgány
vydali na základe smernice 95/46/ES, však zostávajú v platnosti. (135)
Toto nariadenie sa uplatňuje na všetky záležitosti
týkajúce sa ochrany základných práv a slobôd pri spracúvaní osobných údajov,
ktoré nepodliehajú osobitným povinnostiam uvedeným v smernici 2002/58/ES s
rovnakým cieľom, vrátane povinností prevádzkovateľa a práv fyzických osôb. S
cieľom spresniť vzťah medzi týmto nariadením a smernicou 2002/58/ES by sa
uvedená smernica mala zodpovedajúcim spôsobom zmeniť a doplniť. (136)
Pokiaľ ide o Island a Nórsko, toto nariadenie
predstavuje vývoj ustanovení schengenského acquis do tej miery, že sa
uplatňuje na spracúvanie osobných údajov orgánmi, ktoré sú zapojené do
uplatňovania tohto acquis v zmysle Dohody uzatvorenej medzi Radou
Európskej únie a Islandskou republikou a Nórskym kráľovstvom o pridružení
týchto dvoch štátov pri vykonávaní, uplatňovaní a rozvoji schengenského acquis[46]. (137)
Pokiaľ ide o Švajčiarsko, toto nariadenie
predstavuje vývoj ustanovení schengenského acquis do tej miery, že sa
uplatňuje na spracúvanie osobných údajov orgánmi, ktoré sú zapojené do
uplatňovania tohto acquis v zmysle Dohody medzi Európskou úniou,
Európskym spoločenstvom a Švajčiarskou konfederáciou o pridružení Švajčiarskej
konfederácie k vykonávaniu, uplatňovaniu a vývoju schengenského acquis[47]. (138)
Pokiaľ ide o Lichtenštajnsko, toto nariadenie
predstavuje vývoj ustanovení schengenského acquis do tej miery, že sa
uplatňuje na spracúvanie osobných údajov orgánmi, ktoré sú zapojené do
uplatňovania tohto acquis v zmysle Protokolu medzi Európskou úniou,
Európskym spoločenstvom, Švajčiarskou konfederáciou a Lichtenštajnským
kniežatstvom o pristúpení Lichtenštajnského kniežatstva k Dohode medzi
Európskou úniou, Európskym spoločenstvom a Švajčiarskou konfederáciou
o pridružení Švajčiarskej konfederácie k vykonávaniu, uplatňovaniu a
rozvoju schengenského acquis[48]. (139)
Vzhľadom na skutočnosť, ktorú zdôraznil aj Súdny
dvor Európskej únie, že právo na ochranu osobných údajov nie je absolútnym
právom, ale sa musí posudzovať v vzťahu k jeho funkcii
v spoločnosti a musí byť vo vyváženom pomere s inými základnými
právami, toto nariadenie v súlade so zásadou proporcionality rešpektuje
všetky základné práva a dodržiava princípy uznané v Charte základných
práv Európskej únie, ako sú zakotvené v zmluvách, najmä právo na
rešpektovanie súkromného a rodinného života, domova a komunikácie,
právo na ochranu osobných údajov, slobodu myslenia, presvedčenia a viery,
slobodu prejavu a informácií, slobodné podnikanie, právo na účinné
prostriedky nápravy a spravodlivý proces, ako aj kultúrnu, náboženskú
a jazykovú rozmanitosť, PRIJALI TOTO NARIADENIE: KAPITOLA I VŠEOBECNÉ USTANOVENIA Článok 1
Predmet úpravy a ciele 1. Týmto nariadením sa stanovujú
pravidlá ochrany fyzických osôb pri spracúvaní osobných údajov a pravidlá
týkajúce sa voľného pohybu osobných údajov. 2. Toto nariadenie chráni
základné práva a slobody fyzických osôb, najmä ich právo na ochranu osobných
údajov. 3. Voľný pohyb osobných údajov
v rámci Únie nemá byť obmedzený ani zakázaný z dôvodov súvisiacich s
ochranou fyzických osôb pri spracúvaní osobných údajov. Článok 2
Vecná pôsobnosť 1. Toto nariadenie sa vzťahuje
na spracovanie osobných údajov vykonávané úplne alebo čiastočne
automatizovanými prostriedkami a na spracovanie inými než automatickými
prostriedkami v prípade osobných údajov, ktoré tvoria časť informačného systému
alebo sú určené na tvorbu časti informačného systému. 2. Toto nariadenie sa nevzťahuje
na spracovanie osobných údajov: a) v rámci činnosti, ktorá nepatrí do
pôsobnosti práva Únie, najmä ak sa týka národnej bezpečnosti; b) inštitúciami, orgánmi, úradmi a
agentúrami Únie; c) členskými štátmi pri vykonávaní činností
patriacich do rozsahu pôsobnosti kapitoly 2 Zmluvy o Európskej únii; d) fyzickou osobou bez akéhokoľvek
zárobkového motívu v rámci svojej výlučne osobnej alebo súkromnej činnosti; e) príslušnými orgánmi na účely
predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania,
alebo na výkon trestných sankcií. 3. Týmto nariadením nie je
dotknuté uplatňovanie smernice 2000/31/ES, najmä povinnosti poskytovateľov
sprostredkovateľských služieb uvedené v článkoch 12 až 15 uvedenej
smernice. Článok 3
Územná pôsobnosť 1. Toto nariadenie sa vzťahuje
na spracovanie osobných údajov v rámci činnosti zariadenia prevádzkovateľa
alebo sprostredkovateľa v Únii. 2. Toto nariadenie sa vzťahuje
na spracovanie osobných údajov dotknutých osôb s bydliskom v Únii
prevádzkovateľom, ktorý nemá sídlo v Únii, pričom spracovateľská činnosť
súvisí: a) s ponukou tovaru alebo služieb týmto
dotknutým osobám v Únii, alebo b) so sledovaním ich správania. 3. Toto nariadenie sa vzťahuje
na spracovanie osobných údajov prevádzkovateľom, ktorý nemá sídlo v Únii, ale v
mieste, kde sa uplatňuje vnútroštátne právo niektorého členského štátu na
základe medzinárodného práva verejného. Článok 4
Vymedzenie pojmov Na účely tohto nariadenia: (1)
„dotknutá osoba“ je určená fyzická osoba alebo
fyzická osoba, ktorú možno určiť priamo alebo nepriamo, najmä odkazom na
identifikačné číslo, lokalizačné údaje, online identifikátor, alebo odkazom na
jeden či viaceré prvky, ktoré tvoria fyzickú, fyziologickú, psychickú,
genetickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu tejto osoby
a to spôsobmi, o ktorých možno odôvodnene predpokladať, že ich
prevádzkovateľ alebo akákoľvek iná fyzická alebo právnická osoba používajú; (2)
„osobné údaje“ sú akékoľvek informácie, ktoré sa
týkajú dotknutej osoby; (3)
„spracúvanie osobných údajov“ znamená operáciu
alebo súbor operácií, ktorými sa osobné údaje spracúvajú automatizovanými alebo
neautomatizovanými prostriedkami, napríklad zhromažďovaním, zaznamenávaním,
usporadúvaním, štruktúrovaním, uchovávaním, prepracúvaním alebo zmenou,
vyhľadávaním, nahliadaním, využívaním, sprístupňovaním prenosom, šírením alebo
ich sprístupnením iným spôsobom, preskupovaním alebo kombinovaním, vymazaním
alebo likvidáciou; (4)
„informačný systém“ je akýkoľvek usporiadaný súbor
osobných údajov, ktoré sú prístupné podľa konkrétnych kritérií, bez ohľadu na
to, či ide o systém centralizovaný, decentralizovaný alebo distribuovaný na
funkčnom alebo geografickom základe; (5)
„prevádzkovateľ“ je fyzická alebo právnická osoba,
verejný orgán, agentúra alebo akýkoľvek iný subjekt, ktorý sám alebo spoločne s
inými určuje účel, podmienky a prostriedky spracúvania osobných údajov;
v prípade, že účely, podmienky a prostriedky spracovania stanovujú
právne predpisy Únie alebo právne predpisy členského štátu, možno prevádzkovateľa
alebo konkrétne kritériá pre jeho určenie navrhnúť na základe právnych
predpisov Únie alebo právnych predpisov členského štátu; (6)
„sprostredkovateľ“ je fyzická alebo právnická
osoba, verejný orgán, agentúra alebo akýkoľvek iný subjekt, ktorý spracúva
osobné údaje v mene prevádzkovateľa; (7)
„príjemca“ je fyzická alebo právnická osoba,
verejný orgán, agentúra alebo akýkoľvek iný subjekt, ktorému sa sprístupňujú
osobné údaje; (8)
„súhlas dotknutej osoby“ znamená akýkoľvek
konkrétny, informovaný a výslovný prejav vôle danej osoby, ktorým dotknutá
osoba buď formou vyhlásenia alebo iného jednoznačného potvrdzujúceho úkonu
prejaví svoj súhlas so spracovaním svojich osobných údajov; (9)
„porušenie ochrany osobných údajov“ znamená
porušenie bezpečnosti, ktoré má za následok náhodnú alebo nelegálnu likvidáciu,
stratu, zmenu, neoprávnené zverejnenie alebo sprístupnenie osobných údajov,
ktoré sa prenášajú, uchovávajú alebo inak spracúvajú; (10)
„genetické údaje“ sú všetky údaje akéhokoľvek
druhu, týkajúce sa dedičných znakov fyzickej osoby alebo jej znakov získaných
v období raného prenatálneho vývoja; (11)
„biometrické údaje“ sú akékoľvek údaje týkajúce sa
fyzických, fyziologických alebo behaviorálnych charakteristík fyzickej osoby,
ktoré umožňujú jej jednoznačnú identifikáciu, napríklad vyobrazenia tváre alebo
daktyloskopické údaje; (12)
„údaje týkajúce sa zdravia“ sú všetky informácie
týkajúce sa fyzického alebo duševného zdravia fyzickej osoby alebo poskytovania
zdravotníckych služieb fyzickej osobe; (13)
„ústredie“ je v prípade prevádzkovateľa miesto
jeho sídla v Únii, kde sa prijímajú najdôležitejšie rozhodnutia, pokiaľ
ide o účely, podmienky a prostriedky spracúvania osobných údajov; ak
sa v Únii neprijímajú žiadne rozhodnutia, pokiaľ ide o účely, podmienky a
prostriedky spracúvania osobných údajov, ústredím je miesto, kde sa vykonáva
hlavná činnosť zodpovedajúca činnosti zariadenia prevádzkovateľa v rámci
Únie. V prípade sprostredkovateľa znamená „ústredie“ miesto jeho
administratívneho sídla v Únii; (14)
„zástupca“ je fyzická alebo právnická osoba so
sídlom v Únii, ktorú prevádzkovateľ výslovne ustanovil, ktorá koná
namiesto prevádzkovateľa a na ktorú sa môže obracať ktorýkoľvek dozorný
orgán alebo iné orgány v Únii v otázkach týkajúcich sa povinností
prevádzkovateľa v zmysle tohto nariadenia; (15)
„podnik“ je akýkoľvek subjekt vykonávajúci
hospodársku činnosť bez ohľadu na jeho právnu formu; ide teda konkrétne aj o
fyzické a právnické osoby, partnerstvá alebo združenia, ktoré pravidelne
vykonávajú hospodársku činnosť; (16)
„skupina podnikov“ znamená kontrolujúci podnik
a ním kontrolované podniky; (17)
„záväzné firemné pravidlá“ predstavujú politiku
ochrany údajov, ktorú si osvojil prevádzkovateľ alebo sprostredkovateľ so
sídlom na území členského štátu Únie na účely prenosov alebo súborov prenosov
osobných údajov prevádzkovateľovi alebo sprostredkovateľovi v jednej alebo
viacerých tretích krajinách v rámci skupiny podnikov; (18)
„dieťa“ je každá osoba mladšia ako 18 rokov; (19)
„dozorný orgán“ je verejný orgán zriadený členským
štátom v súlade s článkom 46. KAPITOLA II
ZÁSADY Článok 5
Zásady spracúvania osobných údajov Osobné údaje musia byť: a) spracúvané zákonným spôsobom, spravodlivo
a transparentne vo vzťahu k dotknutej osobe; b) zhromažďované na konkrétne určené,
explicitné a legitímne účely a nesmú sa ďalej spracúvať spôsobmi, ktoré nie sú
zlučiteľné s týmito účelmi; c) primerané, relevantné a obmedzené na
nevyhnutné minimum z hľadiska účelov, na ktoré sa spracúvajú; majú sa
spracúvať iba vtedy a len dovtedy, kým dané účely nemožno dosiahnuť
spracovaním informácií, ktoré nezahŕňajú osobné údaje; d) presné a aktualizované; musia sa vykonať
všetky potrebné kroky, aby sa zabezpečilo, že sa osobné údaje, ktoré sú
nepresné z hľadiska účelov, na ktoré sa spracúvajú, bezodkladne vymažú
alebo opravia; e) udržiavané vo forme, ktorá umožňuje
identifikáciu dotknutých osôb najviac po dobu, ktorá je potrebná na účely, na
ktoré boli osobné údaje zhromaždené; osobné údaje možno uchovávať na dlhšiu
dobu, pokiaľ sa údaje spracúvajú výlučne na historické, štatistické alebo
vedeckovýskumné účely v súlade s pravidlami a podmienkami článku
83 a ak sa vykonáva pravidelné prehodnotenie s cieľom posúdiť potrebu
ďalšieho uchovávania; f) spracúvané v rámci okruhu zodpovednosti
a povinností prevádzkovateľa, ktorý zabezpečí a pre každú operáciu spracovania
preukáže súlad s ustanoveniami tohto nariadenia. Článok 6
Zákonnosť spracúvania 1. Spracúvanie osobných údajov je
zákonné iba vtedy, keď je splnená aspoň jedna z nasledujúcich podmienok: a) dotknutá osoba vyjadrila súhlas so
spracovaním svojich osobných údajov na určitý konkrétny účel či účely; b) spracovanie je nevyhnutné na plnenie
zmluvy, ktorej je dotknutá osoba zmluvnou stranou, alebo aby sa na základe
žiadosti dotknutej osoby vykonali opatrenia pred uzatvorením zmluvy; c) spracovanie je nevyhnutné na splnenie
zákonnej povinnosti prevádzkovateľa; d) spracovanie je nevyhnutné, aby sa
ochránili životné záujmy dotknutej osoby; e) spracovanie je nevyhnutné na splnenie
úlohy vykonávanej vo verejnom záujme alebo v rámci uplatňovania oficiálneho
poverenia prevádzkovateľa; f) spracovanie je nevyhnutné na účely
oprávnených záujmov, ktoré sleduje prevádzkovateľ, s výnimkou prípadov, keď nad
takýmito záujmami prevažujú záujmy alebo základné práva a slobody dotknutej
osoby, ktoré potrebujú ochranu, najmä ak dotknutou osobu je dieťa. Toto sa
nevzťahuje na spracovanie vykonávané verejnými orgánmi pri výkone ich úloh. 2. Spracovanie osobných údajov,
ktoré je nevyhnutné na historické, štatistické alebo vedeckovýskumné účely, je
zákonné, pokiaľ sú splnené podmienky a záruky uvedené v článku 83. 3. Základ spracovania uvedený v
odseku 1 písm. c) a e) musí byť upravený: a) právnymi predpismi Únie alebo b) právnymi predpismi členského štátu,
ktorému podlieha prevádzkovateľ. Právne predpisy členského štátu musia spĺňať cieľ
verejného záujmu alebo musia byť nevyhnutné na ochranu práv a slobôd ostatných,
rešpektovať podstatu práva na ochranu osobných údajov a musia byť náležité z
hľadiska sledovaného legitímneho cieľa. 4. V prípade, že ďalšie
spracovanie nie je zlučiteľné s cieľom, na ktorý sa osobné údaje zhromaždili,
spracovanie musí mať právny základ spočívajúci prinajmenšom v jednom z dôvodov
uvedených v odseku 1 písm. a) až e). Týka sa to najmä akýchkoľvek zmien
osobitných a všeobecných podmienok zmluvy. 5. Komisia je splnomocnená
prijať delegované akty v súlade s článkom 86 s cieľom bližšie určiť
podmienky uvedené v odseku 1 písm. f) pre jednotlivé sektory
a situácie, ktoré sa vyskytujú pri spracúvaní údajov, vrátane podmienok
spracovania osobných údajov týkajúcich sa dieťaťa. Článok 7
Podmienky vyjadrenia súhlasu 1. Dôkazné bremeno, že dotknutá
osoba vyjadrila súhlas so spracovaním svojich osobných údajov na určené účely,
znáša prevádzkovateľ. 2. Ak súhlas dotknutej osoby má
byť vyjadrený v rámci písomného vyhlásenia, ktoré sa týka aj inej veci,
požiadavka na vyjadrenie súhlasu musí byť svojou podobou odlíšiteľná od tejto
druhej veci. 3. Dotknutá osoba má právo
kedykoľvek odvolať svoj súhlas. Odvolanie súhlasu nemá vplyv na zákonnosť
spracovania vychádzajúceho zo súhlasu pred jeho odvolaním. 4. Vyjadrenie súhlasu nedáva
právny základ pre spracovanie, ak je značný nepomer medzi postavením dotknutej
osoby a prevádzkovateľa. Článok 8
Spracúvanie osobných údajov dieťaťa 1. Na účely tohto nariadenia, v
súvislosti s ponukou služieb informačnej spoločnosti adresovanej priamo
dieťaťu, je spracúvanie osobných údajov dieťaťa mladšieho než 13 rokov zákonné
iba vtedy a do takej miery, ako bol súhlas vyjadrený alebo schválený rodičom
dieťaťa alebo jeho opatrovníkom. Prevádzkovateľ vyvinie primerané úsilie na
získanie overiteľného súhlasu so zreteľom na dostupné technológie. 2. Odsekom 1 nie je dotknuté
všeobecné zmluvné právo členských štátov, napríklad pravidlá platnosti,
uzatvárania alebo účinkov zmluvy vo vzťahu k dieťaťu. 3. Komisia je splnomocnená
prijať delegované akty v súlade s článkom 86 s cieľom bližšie určiť kritériá a
požiadavky týkajúce sa metód na získanie overiteľného súhlasu uvedeného v
odseku 1. Komisia pritom zváži osobitné opatrenia pre mikropodniky a malé
a stredné podniky. 4. Komisia môže určiť štandardné
formuláre pre osobitné metódy získavania overiteľného súhlasu uvedeného v
odseku 1. Tieto vykonávacie akty sa prijmú v súlade s postupom preskúmania
uvedeným v článku 87 ods. 2. Článok 9
Spracúvanie osobitných kategórií osobných údajov 1. Zakazuje sa spracúvanie
osobných údajov odhaľujúcich rasový alebo etnický pôvod, politické názory,
náboženstvo alebo vieru a členstvo v odboroch, ako aj spracúvanie genetických
údajov alebo údajov týkajúcich sa zdravia či sexuálneho života, alebo trestných
rozsudkov či súvisiacich bezpečnostných opatrení. 2. Odsek 1 sa neuplatňuje, ak: a) dotknutá
osoba vyjadrila súhlas so spracovaním týchto osobných údajov za podmienok
uvedených v článkoch 7 a 8, s výnimkou prípadov, keď právne predpisy Únie alebo
členského štátu určujú, že zákaz uvedený v odseku 1 nemôže dotknutá osoba
zrušiť, alebo b) spracovanie je nevyhnutné na účely
plnenia záväzkov a výkonu špecifických práv prevádzkovateľa v oblasti
pracovného práva, pokiaľ je to povolené právnymi predpismi Únie alebo právnymi
predpismi členského štátu poskytujúcimi náležité záruky, alebo c) spracovanie je nevyhnutné na ochranu
životných záujmov dotknutej osoby alebo inej osoby v prípade, že dotknutá osoba
nie je fyzicky alebo právne spôsobilá vyjadriť svoj súhlas, alebo d) spracovanie vykonáva v rámci svojej
zákonnej činnosti s náležitými zárukami nadácia, združenie alebo akýkoľvek
iný neziskový orgán s politickým, filozofickým, náboženským alebo odborárskym
zameraním a za podmienky, že spracovanie sa týka výlučne členov alebo bývalých
členov orgánu alebo osôb, ktoré majú pravidelný kontakt s ním v súvislosti s
jeho cieľmi, a že údaje sa nesprístupnia mimo tohto orgánu bez súhlasu
dotknutej osoby, alebo e) spracovanie sa týka osobných údajov,
ktoré dotknutá osoba preukázateľne zverejnila, alebo f) spracovanie je nevyhnutné na stanovenie,
uplatňovanie alebo obranu právnych nárokov, alebo g) spracovanie je nevyhnutné na vykonávanie
úlohy vo verejnom záujme na základe právnych predpisov Únie alebo členského
štátu, ktoré určujú vhodné opatrenia na zabezpečenie oprávnených záujmov
dotknutej osoby, alebo h) spracovanie údajov týkajúcich sa zdravia
je nevyhnutné na zdravotné účely a za podmienok a záruk uvedených v
článku 81, alebo i) spracovanie je nevyhnutné na historické,
štatistické alebo vedeckovýskumné účely za podmienok a záruk uvedených v článku
83, alebo j) spracovanie údajov týkajúcich sa
trestných rozsudkov alebo súvisiacich bezpečnostných opatrení sa vykonáva pod
kontrolou oficiálneho orgánu, alebo ak je spracovanie nevyhnutné na splnenie
právneho záväzku alebo zákonnej povinnosti, ktorým prevádzkovateľ podlieha,
alebo na plnenie úlohy vykonávanej z dôvodu dôležitého verejného záujmu, a
pokiaľ je spracovanie povolené právnymi predpismi Únie alebo právnymi predpismi
členského štátu poskytujúcimi náležité záruky. Úplný register trestov možno
viesť iba pod kontrolou úradnej moci. 3. Komisia je splnomocnená
prijať delegované akty v súlade s článkom 86 s cieľom bližšie určiť
kritériá, podmienky a náležité záruky týkajúce sa spracúvania osobitných
kategórií osobných údajov uvedených v odseku 1 a výnimky uvedené
v odseku 2. Článok 10
Spracovanie bez možnosti identifikácie Ak údaje spracúvané prevádzkovateľom
nedovoľujú prevádzkovateľovi identifikovať fyzickú osobu, prevádzkovateľ nie je
povinný získať dodatočné informácie na zistenie totožnosti dotknutej osoby
výlučne na to, aby dosiahol súlad s niektorým ustanovením tohto nariadenia. KAPITOLA III
PRÁVA DOTKNUTEJ OSOBY ODDIEL 1
TRANSPARENTNOSŤ A METÓDY Článok 11
Transparentnosť informácií a komunikácie 1. Prevádzkovateľ musí mať
transparentné a ľahko dostupné pravidlá týkajúce sa spracúvania osobných údajov
a uplatňovania práv dotknutých osôb. 2. Prevádzkovateľ poskytuje
všetky informácie a uskutočňuje komunikáciu v súvislosti so spracúvaním
osobných údajov vo vzťahu k dotknutej osobe v zrozumiteľnej forme, pričom
používa jasný a jednoduchý jazyk prispôsobený dotknutej osobe, najmä v prípade
akýchkoľvek informácií adresovaných výslovne dieťaťu. Článok 12
Postupy a mechanizmy na výkon práv dotknutej osoby 1. Prevádzkovateľ zavedie
postupy na poskytovanie informácií uvedených v článku 14 a na výkon práv
dotknutých osôb uvedených v článku 13 a v článkoch 15 až 19. Prevádzkovateľ
zabezpečí najmä mechanizmy na zjednodušenie podania žiadosti o úkony uvedené v
článku 13 a v článkoch 15 až 19. Ak sa osobné údaje spracúvajú automatizovanými
prostriedkami, prevádzkovateľ takisto zabezpečí prostriedky na podávanie
žiadostí v elektronickej podobe. 2. Prevádzkovateľ informuje
dotknutú osobu bezodkladne a najneskôr do jedného mesiaca od prijatia žiadosti,
či sa prijali nejaké opatrenia podľa článku 13 a článkov 15 až 19,
a poskytne požadovanú informáciu. Túto lehotu možno predĺžiť o ďalší
mesiac, ak svoje práva vykonáva niekoľko dotknutých osôb a ich spolupráca je
nevyhnutná v primeranej miere tak, aby prevádzkovateľ nemusel vyvinúť zbytočné
a neprimerané úsilie. Táto informácia sa vydáva písomne. Ak dotknutá osoba
podala žiadosť v elektronickej podobe, uvedená informácia sa poskytne v
elektronickej forme, pokiaľ dotknutá osoba nepožiadala o iný spôsob. 3. Ak prevádzkovateľ odmietne
prijať opatrenia na základe žiadosti dotknutej osoby, prevádzkovateľ informuje
dotknutú osobu o dôvodoch zamietnutia a o možnostiach podania sťažnosti
dozornému orgánu a uplatnenia súdnych prostriedkov nápravy. 4. Informácie a opatrenia
prijaté na základe žiadostí uvedených v odseku 1 sú bezplatné. Ak sú žiadosti
zjavne neprimerané, najmä v dôsledku ich opakujúcej sa povahy, prevádzkovateľ
môže vyberať poplatok za poskytnutie informácií alebo za vykonanie požadovaných
opatrení, prípadne nemusí vykonať požadované opatrenie. V takom prípade znáša
prevádzkovateľ dôkazné bremeno, pokiaľ ide o zjavne neprimeraný charakter žiadosti. 5. Komisia je splnomocnená
prijať delegované akty v súlade s článkom 86 s cieľom bližšie určiť
kritériá a podmienky týkajúce sa zjavne neprimeraných žiadostí a poplatkov
uvedených v odseku 4. 6. Komisia môže určiť štandardné
formuláre a stanoviť štandardné postupy oznámenia uvedeného v odseku 2 vrátane
elektronického formátu. Komisia pritom prijme osobitné opatrenia pre
mikropodniky a malé a stredné podniky. Tieto vykonávacie akty sa prijmú
v súlade s postupom preskúmania uvedeným v článku 87 ods. 2. Článok 13
Práva vo vzťahu k príjemcom Prevádzkovateľ oznámi každému príjemcovi,
ktorému boli údaje sprístupnené, všetky prípady opravy alebo výmazu uskutočnené
v súlade s článkami 16 a 17, pokiaľ sa to neukáže ako nemožné alebo pokiaľ
si to nevyžaduje neprimerané úsilie. ODDIEL 2
INFORMÁCIE A PRÍSTUP K ÚDAJOM Článok 14
Informovanie dotknutej osoby 1. V prípadoch, keď sa
zhromažďujú osobné údaje týkajúce sa dotknutej osoby, prevádzkovateľ poskytne
dotknutej osobe informácie obsahujúce aspoň: a) totožnosť a kontaktné údaje
prevádzkovateľa, prípadne jeho zástupcu, ak je ustanovený, a úradníka pre
ochranu údajov; b) účely spracovania, na ktoré sú osobné
údaje určené, vrátane zmluvných a všeobecných podmienok v prípade, že sa
spracovanie údajov vykonáva na základe článku 6 ods. 1 písm. b), a oprávnených
záujmov, ktoré sleduje prevádzkovateľ, ak sa spracovanie údajov vykonáva na
základe článku 6 ods. 1 písm. f); c) obdobie, počas ktorého sa osobné údaje
budú uchovávať; d) právo požadovať od prevádzkovateľa
prístup k osobným údajom týkajúcim sa dotknutej osoby a právo na ich
opravu alebo výmaz, alebo na vznesenie námietky proti spracovaniu týchto
osobných údajov; e) právo podať sťažnosť dozornému orgánu a
kontaktné údaje dozorného orgánu; f) príjemcov alebo kategórie príjemcov
osobných údajov; g) v relevantnom prípade informáciu, že
prevádzkovateľ zamýšľa prenos do tretej krajiny alebo medzinárodnej organizácii
a informáciu o úrovni ochrany poskytovanej touto treťou krajinou alebo
medzinárodnou organizáciou s odkazom na rozhodnutie Komisie
o primeranosti; h) akékoľvek ďalšie informácie potrebné na
to, aby sa zaručilo spravodlivé spracovanie vo vzťahu k dotknutej osobe,
a to so zreteľom na špecifické okolnosti, za ktorých sa osobné údaje
zhromažďujú. 2. Ak sa osobné údaje získavajú
od dotknutej osoby, prevádzkovateľ okrem informácií uvedených v odseku 1
informuje dotknutú osobu aj o tom, či poskytovanie osobných údajov je povinné
alebo dobrovoľné, ako aj o možných dôsledkoch neposkytnutia týchto údajov.
3. Ak osobné údaje neboli
získané od dotknutej osoby, prevádzkovateľ okrem informácií uvedených v odseku
1 informuje dotknutú osobu aj o tom, z akých zdrojov tieto osobné údaje
pochádzajú. 4. Prevádzkovateľ poskytne
informácie uvedené v odsekoch 1, 2 a 3: a) v čase, keď sa tieto osobné údaje
získavajú od dotknutej osoby, alebo b) ak osobné údaje neboli získané od
dotknutej osoby, potom v čase ich zaznamenania alebo v rámci primeraného
obdobia po ich zhromaždení so zreteľom na osobitné okolnosti, za ktorých sa
údaje zhromažďujú alebo inak spracúvajú, alebo ak sa uvažuje o ich
sprístupnení ďalšiemu príjemcovi, a najneskôr vtedy, keď sa údaje
sprístupňujú po prvý raz. 5. Odseky 1 až 4 sa neuplatňujú
v prípadoch, keď: a) dotknutá osoba už má informácie uvedené v
odsekoch 1, 2 a 3 alebo b) údaje neboli získané od dotknutej osoby a
poskytnutie týchto informácií sa ukáže ako nemožné alebo by si vyžadovalo
neprimerané úsilie, alebo c) údaje neboli získané od dotknutej osoby
a ich zaznamenávanie alebo sprístupnenie je výslovne určené zákonom, alebo d) údaje neboli získané od dotknutej osoby a
poskytnutie takýchto informácií by poškodzovalo práva a slobody iných osôb, ako
sú ustanovené právnymi predpismi Únie alebo členského štátu v súlade s článkom
21. 6. V prípade uvedenom v odseku 5
písm. b) prevádzkovateľ zabezpečí primerané opatrenia na ochranu oprávnených
záujmov dotknutej osoby. 7. Komisia je splnomocnená
prijať delegované akty v súlade s článkom 86 s cieľom bližšie určiť kritériá
pre kategórie príjemcov uvedených v odseku 1 písm. f), požiadavky týkajúce sa
oznámenia o potenciálnom prístupe uvedenom v odseku 1 písm. g),
kritériá pre ďalšie potrebné informácie uvedené v odseku 1 písm. h) pre
špecifické sektory, situácie a podmienky, ako aj náležité záruky pre výnimky
uvedené v odseku 5 písm. b). Komisia pritom prijme osobitné opatrenia pre
mikropodniky a malé a stredné podniky. 8. Komisia môže určiť štandardné
formuláre na poskytovanie informácií uvedených v odsekoch 1 až 3, pričom
v prípade potreby prihliadne na osobitné charakteristiky a potreby
jednotlivých sektorov a situácie, ktoré sa vyskytujú pri spracúvaní údajov.
Tieto vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným
v článku 87 ods. 2. Článok 15
Prístupové práva dotknutej osoby 1. Dotknutá osoba má právo
dostať od prevádzkovateľa na požiadanie kedykoľvek potvrdenie o tom, či sa
spracúvajú jej osobné údaje. Ak sa takéto osobné údaje spracúvajú,
prevádzkovateľ poskytne informácie obsahujúce: a) účely spracovania; b) kategórie dotknutých osobných údajov; c) príjemcov alebo kategórie príjemcov,
ktorým osobné údaje majú byť alebo boli sprístupnené, najmä príjemcovia v
tretích krajinách; d) obdobie, počas ktorého sa osobné údaje
budú uchovávať; e) právo žiadať od prevádzkovateľa opravu
alebo vymazanie osobných údajov týkajúcich sa dotknutej osoby alebo vzniesť
námietku proti spracovaniu týchto osobných údajov; f) právo podať sťažnosť dozornému orgánu a
kontaktné údaje dozorného orgánu; g) informáciu o osobných údajoch, ktoré sa
spracúvajú, a o akýchkoľvek dostupných informáciách, pokiaľ ide o ich zdroj; h) význam a
predpokladané dôsledky tohto spracovania, a to prinajmenšom v prípade
opatrení uvedených v článku 20. 2. Dotknutá osoba má právo
získať od prevádzkovateľa informáciu o osobných údajoch, ktoré sa spracúvajú.
Ak dotknutá osoba podala žiadosť v elektronickej podobe, uvedená informácia sa
poskytne v elektronickej forme, pokiaľ dotknutá osoba nepožiadala o iný
spôsob. 3. Komisia je splnomocnená
prijať delegované akty v súlade s článkom 86 s cieľom bližšie určiť kritériá a
požiadavky týkajúce sa informácie adresovanej dotknutej osobe o obsahu osobných
údajov uvedených v odseku 1 písm. g). 4. Komisia môže určiť štandardné
formuláre a stanoviť postupy na podávanie žiadostí o prístup k
informáciám uvedeným v odseku 1 a o jeho udelení, a to aj na
účely overenia totožnosti dotknutej osoby a informácie o osobných údajoch
dotknutej osobe s prihliadnutím na osobitné charakteristiky a potreby
jednotlivých sektorov a situácie, ktoré sa vyskytujú pri spracúvaní údajov.
Tieto vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným
v článku 87 ods. 2. ODDIEL 3 OPRAVA A VÝMAZ Článok 16
Právo na opravu Dotknutá osoba má právo vymôcť prostredníctvom
prevádzkovateľa opravu svojich osobných údajov, ktoré sú nesprávne. Dotknutá
osoba má právo vymôcť doplnenie svojich osobných údajov, a to aj predložením
opravného vyhlásenia. Článok 17
Právo byť zabudnutý a právo na výmaz 1.
Dotknutá osoba má právo vymôcť prostredníctvom
prevádzkovateľa výmaz svojich osobných údajov, ako aj to, aby sa prevádzkovateľ
zdržal ďalšieho šírenia týchto údajov, najmä pokiaľ ide o osobné údaje, ktoré
dotknutá osoba sprístupnila v čase, keď bola v dieťaťom, ak sa na
tieto údaje vzťahuje niektorý z týchto dôvodov: a) údaje už nie sú potrebné na účely, na
ktoré sa zhromažďovali alebo inak spracúvali; b) dotknutá osoba odvolá súhlas, na základe
ktorého sa spracovanie vykonáva, ako je ustanovené v článku 6 ods. 1 písm. a),
alebo ak uplynulo obdobie uchovávania, na ktoré bol daný súhlas, a ak nejestvuje
iný právny základ pre spracovanie údajov; c) dotknutá osoba v súlade s článkom 19
namieta proti spracovaniu osobných údajov; d) spracovanie údajov nie je v súlade s
týmto nariadením z iných dôvodov. 2. V prípade, že
prevádzkovateľ uvedený v odseku 1 zverejnil osobné údaje, musí podniknúť všetky
primerané kroky súvisiace s údajmi na zverejnenie, za ktoré prevádzkovateľ
nesie zodpovednosť, vrátane technických opatrení, s cieľom informovať
tretie strany, ktoré spracúvajú tieto údaje, že dotknutá osoba ich žiada, aby
odstránili všetky odkazy na tieto osobné údaje či ich kópiu alebo replikáciu.
Ak prevádzkovateľ povolil tretej strane zverejnenie osobných údajov, tento
prevádzkovateľ sa považuje za zodpovedného za zverejnenie. 3. Prevádzkovateľ vykoná vymazanie
bezodkladne s výnimkou prípadu, keď uchovanie osobných údajov je potrebné: (a)
na uplatnenie práva na slobodu prejavu v súlade s
článkom 80; (b)
z dôvodov verejného záujmu v oblasti
verejného zdravia v súlade s článkom 81; (c)
na historické, štatistické a vedeckovýskumné
účely v súlade s článkom 83; (d)
na splnenie zákonnej povinnosti uchovávať osobné
údaje v zmysle právnych predpisov Únie alebo právnych predpisov členského
štátu, ktorým prevádzkovateľ podlieha; právne predpisy členských štátov musia
spĺňať cieľ verejného záujmu, rešpektovať podstatu práva na ochranu osobných
údajov a musia byť primerané sledovanému legitímnemu cieľu; (e)
v prípadoch uvedených v odseku 4. 4. Namiesto výmazu
prevádzkovateľ obmedzí spracovanie osobných údajov v prípade, že: a) dotknutá osoba napadne ich presnosť, a to
na dobu umožňujúcu prevádzkovateľovi overiť presnosť údajov; b) prevádzkovateľ už nepotrebuje údaje na
plnenie svojich úloh, tie však musia zostať uchované na dôkazné účely; c) spracovanie je protizákonné a dotknutá
osoba namieta proti ich vymazaniu a žiada namiesto toho obmedzenie ich
použitia; d) dotknutá osoba žiada o prenos osobných
údajov do iného automatizovaného systému spracovania v súlade s článkom 18 ods.
2. 5. Osobné údaje uvedené v odseku
4 možno s výnimkou uchovania spracúvať iba na dôkazné účely alebo so súhlasom
dotknutej osoby na ochranu práv inej fyzickej alebo právnickej osoby, alebo na
cieľ verejného záujmu. 6. Ak je spracovanie osobných
údajov obmedzené v zmysle odseku 4, prevádzkovateľ pred zrušením obmedzenia na
spracovanie informuje o tom dotknutú osobu. 7. Prevádzkovateľ zavedie
mechanizmy na zabezpečenie dodržiavania lehôt stanovených na vymazanie osobných
údajov a/alebo na pravidelné prehodnotenie potreby uchovávania týchto údajov. 8. Ak sa vykonáva výmaz,
prevádzkovateľ nesmie spracovať dotknuté osobné údaje iným spôsobom. 9. Komisia je oprávnená prijímať
delegované akty v súlade s článkom 86 s cieľom bližšie určiť: a) kritériá a požiadavky na uplatňovanie
odseku 1 v prípade osobitných sektorov, ako aj v osobitných situáciách
spracúvania údajov; b) podmienky na vymazanie súvisiacich
odkazov, kópií alebo replikácií osobných údajov z verejne dostupných
komunikačných služieb, ako sa uvádza v odseku 2; c) kritériá a podmienky pre obmedzenie
spracovania osobných údajov podľa odseku 4. Článok 18
Právo na prenosnosť údajov 1. Ak sa osobné údaje spracúvajú
v elektronickej podobe a v štruktúrovanom a bežne používanom formáte,
dotknutá osoba má právo dostať od prevádzkovateľa kópiu údajov spracovaných v
elektronickej a štruktúrovanej forme, ktorá je bežne používaná a ktorá
umožňuje ďalšie využívanie dotknutou osobou. 2. Ak dotknutá osoba poskytla
osobné údaje a spracovanie sa vykonáva na základe súhlasu alebo na základe
zmluvy, dotknutá osoba má právo preniesť tieto osobné údaje a akékoľvek iné
informácie ňou poskytnuté a uchovávané v automatizovanom systéme spracovania do
iného systému v elektronickom formáte, ktorý sa bežne používa, a to bez
prekážok zo strany prevádzkovateľa, od ktorého sa osobné údaje presunuli. 3. Komisia môže určiť
elektronický formát uvedený v odseku 1 a technické normy, metódy a postupy na
prenos osobných údajov podľa odseku 2. Tieto vykonávacie akty sa prijmú
v súlade s postupom preskúmania uvedeným v článku 87 ods. 2. ODDIEL 4 PRÁVO NAMIETAŤ A PROFILOVANIE Článok 19
Právo namietať 1. Dotknutá osoba má právo
namietať z dôvodov týkajúcich sa jej konkrétnej situácie kedykoľvek
v priebehu spracúvania osobných údajov vykonávaného na základe článku 6
ods. 1 písm. d), e) a f), pokiaľ prevádzkovateľ nepreukáže závažné legitímne
dôvody na spracovanie, ktoré prevažujú nad záujmami alebo základnými právami a slobodami
dotknutej osoby. 2. Ak sa osobné údaje spracúvajú
na účely priameho marketingu, dotknutá osoba má právo bezplatne namietať proti
spracovaniu svojich osobných údajov pre takýto marketing. Toto právo sa má
dotknutej osobe dať na vedomie výslovným a zrozumiteľným spôsobom a musí
byť jasne odlíšiteľné od iných informácií. 3. Ak je vznesená námietka v
zmysle odsekov 1 a 2, prevádzkovateľ nemôže ďalej používať alebo inak spracúvať
dotknuté osobné údaje. Článok 20
Opatrenia založené na profilovaní 1. Každá fyzická osoba má právo,
aby nebola podrobená žiadnemu opatreniu, ktoré má právne účinky týkajúce sa
tejto fyzickej osoby, alebo ktoré má významné dôsledky pre túto fyzickú osobu a
ktoré je založené výlučne na automatizovanom spracovaní na účely hodnotenia
určitých osobných aspektov týkajúcich sa tejto fyzickej osoby, alebo na analýzu
či prognózovanie týkajúce sa najmä pracovnej výkonnosti, ekonomickej situácie,
bydliska, zdravia, osobných preferencií, spoľahlivosti alebo správania tejto
fyzickej osoby. 2.
S výhradou ostatných ustanovení tohto nariadenia
možno určitú osobu podrobiť opatreniu typu uvedeného v odseku 1 iba vtedy, ak
je spracovanie: a) vykonávané v priebehu uzatvárania alebo
plnenia zmluvy, ak sa žiadosti dotknutej osoby o uzatvorenie alebo plnenie
zmluvy vyhovelo, alebo ak boli prijaté vhodné opatrenia na zabezpečenie
oprávnených záujmov dotknutej osoby, napríklad právo vymôcť zásah ľudského
činiteľa, alebo b) výslovne povolené právnym predpisom EÚ
alebo členského štátu, ktorý zároveň stanovuje aj vhodné opatrenia zaručujúce
ochranu oprávnených záujmov dotknutej osoby, alebo c) založené na súhlase dotknutej osoby
s výhradou podmienok stanovených v článku 7 a vhodných záruk. 3.
Automatizované spracovanie osobných údajov na účely
hodnotenia určitých osobných aspektov týkajúcich sa fyzickej osoby nesmie byť
založené výlučne na osobitných kategóriách osobných údajov uvedených v článku
9. 4. V prípadoch uvedených v
odseku 2 informácie, ktoré má poskytnúť prevádzkovateľ podľa článku 14,
obsahujú aj informáciu o tom, či sa vykonáva spracovanie na účely
opatrenia, na ktoré sa vzťahuje odsek 1, a predpokladané dôsledky takéhoto
spracovania pre dotknutú osobu. 5. Komisia je splnomocnená
prijať delegované akty v súlade s článkom 86 s cieľom bližšie určiť kritériá
a podmienky pre vhodné opatrenia na ochranu oprávnených záujmov dotknutej osoby
uvedených v odseku 2. ODDIEL 5
OBMEDZENIA Článok 21
Obmedzenia 1. Právne predpisy Únie alebo
členského štátu môžu prostredníctvom legislatívneho opatrenia obmedziť rozsah
povinností a práv uvedených v článku 5 písm. a) až e), v článkoch 11
až 20 a v článku 32, ak takéto obmedzenie predstavuje nevyhnutné a
primerané opatrenie v demokratickej spoločnosti s cieľom zaručiť: a) verejnú bezpečnosť; b) predchádzanie trestným činom, ich
vyšetrovanie, odhaľovanie a stíhanie; c) iné verejné záujmy Únie alebo členského
štátu, najmä predmet dôležitého hospodárskeho alebo finančného záujmu Únie
alebo členského štátu vrátane peňažných, rozpočtových a daňových záležitostí
a ochranu stability a integrity trhu; d) predchádzanie porušeniam etiky pre
regulované profesie, ich vyšetrovanie, odhaľovanie a stíhanie; e) monitorovaciu, kontrolnú alebo regulačnú
funkciu spojenú, hoci aj príležitostne, s výkonom úloh oficiálneho orgánu v
prípadoch uvedených v písmenách a), b), c) a d); f) ochranu dotknutej osoby alebo práv a
slobôd iných. 2. Každé legislatívne opatrenie
uvedené v odseku 1 musí predovšetkým obsahovať špecifické ustanovenia,
prinajmenšom pokiaľ ide o ciele spracovania údajov a určenie prevádzkovateľa. KAPITOLA IV PREVÁDZKOVATEĽ A
SPROSTREDKOVATEĽ ODDIEL 1
VŠEOBECNÉ POVINNOSTI Článok 22
Zodpovednosť prevádzkovateľa 1. Prevádzkovateľ prijme
pravidlá a uplatňuje vhodné opatrenia s cieľom zabezpečiť a byť schopný
preukázať, že spracúvanie osobných údajov sa vykonáva v súlade s týmto
nariadením. 2. K opatreniam uvedeným v
odseku 1 patria najmä: (a)
vedenie dokumentácie podľa článku 28; (b)
plnenie požiadaviek bezpečnosti údajov stanovených
v článku 30; (c)
posúdenie vplyvu na ochranu údajov podľa článku 33; (d)
plnenie požiadaviek týkajúcich sa povolenia vopred
alebo konzultácie vopred s dozorným orgánom podľa článku 34 ods. 1 a 2; (e)
určenie úradníka pre ochranu údajov v súlade s
článkom 35 ods. 1. 3. Prevádzkovateľ zavedie
mechanizmy na overovanie účinnosti opatrení uvedených v odsekoch 1 a 2. V odôvodnených prípadoch vykonávajú toto
overovanie nezávislí interní alebo externí audítori. 4. Komisia je splnomocnená
prijať delegované akty v súlade s článkom 86 s cieľom určiť akékoľvek
ďalšie kritériá a požiadavky na primerané opatrenia uvedené v odseku 1,
iné než tie, ktoré sú už uvedené v odseku 2, podmienky mechanizmov overovania a
auditu uvedených v odseku 3, ako aj kritériá primeranosti podľa odseku 3,
a zvážiť osobitné opatrenia pre mikropodniky a malé a stredné podniky. Článok 23
Ochrana údajov špecificky navrhnutá a štandardne určená 1. So zreteľom na najnovší stav
techniky a náklady na jej zavedenie prevádzkovateľ v čase určenia
prostriedkov na spracovanie, ako aj v čase samotného spracúvania uplatní zodpovedajúce
technické a organizačné opatrenia a postupy tak, aby spracovanie spĺňalo
požiadavky tohto nariadenia a zabezpečovalo ochranu práv dotknutej osoby. 2. Prevádzkovateľ zavedie
mechanizmy, ktorými sa zabezpečí, aby sa štandardne spracúvali iba tie osobné
údaje, ktoré sú potrebné pre jednotlivé konkrétne účely spracovania,
a najmä aby sa nezhromažďovali a neuchovávali nad minimum nevyhnutné na
tieto účely, a to či už ide o množstvo údajov alebo obdobie ich
uchovávania. Týmito mechanizmami sa má predovšetkým štandardne zabezpečiť, aby
osobné údaje neboli prístupné pre ľubovoľný počet fyzických osôb. 3. Komisia
je splnomocnená prijať delegované akty v súlade s článkom 86 s cieľom
určiť akékoľvek ďalšie kritériá a požiadavky na vhodné opatrenia a mechanizmy
uvedené v odsekoch 1 a 2, a to najmä požiadavky na špecificky navrhnutú ochranu
údajov, platné pre všetky sektory, výrobky a služby. 4. Komisia
môže stanoviť technické normy pre požiadavky stanovené v odsekoch 1 a 2. Tieto
vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným
v článku 87 ods. 2. Článok 24
Spoloční prevádzkovatelia Ak prevádzkovateľ stanovuje účely, podmienky a
spôsob spracovania osobných údajov spoločne s inými, spoloční prevádzkovatelia
formou dohody medzi sebou stanovia svoje príslušné okruhy zodpovednosti za
plnenie povinností podľa tohto nariadenia, najmä pokiaľ ide o postupy a
mechanizmy na uplatnenie práv dotknutej osoby. Článok 25
Zástupcovia prevádzkovateľov so sídlom mimo Únie 1. V situácii uvedenej v článku
3 ods. 2 prevádzkovateľ ustanoví svojho zástupcu v Únii. 2. Táto povinnosť sa nevzťahuje
na: a) prevádzkovateľa so sídlom v tretej
krajine v prípade, že Komisia rozhodla, že táto tretia krajina zabezpečuje
primeranú úroveň ochrany v súlade s článkom 41, ani na b) podnik, ktorý zamestnáva menej než 250
osôb, ani na c) verejný orgán či subjekt, ani na d) prevádzkovateľa ponúkajúceho tovar alebo
služby dotknutým osobám s bydliskom v Únii len príležitostne. 3. Zástupca musí mať sídlo v
jednom z tých členských štátov, v ktorých majú bydlisko dotknuté osoby, ktorých
osobné údaje sa spracúvajú v súvislosti s ponukou tovaru alebo služieb pre
nich, alebo ktorých správanie sa sleduje. 4. Určením svojho zástupcu
prevádzkovateľom nie sú dotknuté právne kroky, ktoré by mohli byť iniciované
proti samotnému prevádzkovateľovi. Článok 26
Sprostredkovateľ 1. Ak sa operácia spracovania má
vykonať v mene prevádzkovateľa, prevádzkovateľ si zvolí sprostredkovateľa
poskytujúceho dostatočné záruky, že uplatní vhodné technické a organizačné
opatrenia a postupy tak, aby spracovanie spĺňalo požiadavky tohto nariadenia
a aby sa zabezpečila ochrana práv dotknutej osoby, najmä pokiaľ ide o
technické bezpečnostné opatrenia a organizačné opatrenia, ktorými sa bude
riadiť plánované spracovanie, a že zabezpečí dodržanie týchto opatrení. 2. Vykonanie spracovania
sprostredkovateľom sa musí riadiť zmluvou alebo iným právnym aktom, ktorý
zaväzuje sprostredkovateľa voči prevádzkovateľovi a najmä stanovuje, že
sprostredkovateľ: a) koná len na základe pokynov
prevádzkovateľa, najmä v prípade, keď prenos použitých osobných údajov je
zakázaný; b) zamestnáva iba zamestnancov, ktorí sa
zaviazali k zachovaniu dôvernosti alebo majú zákonnú povinnosť zachovávať
dôvernosť, c) vykoná všetky požadované opatrenia v súlade
s článkom 30; d) zapojí ďalšieho sprostredkovateľa iba na
základe predchádzajúceho povolenia prevádzkovateľa; e) pokiaľ to umožňuje charakter spracovania,
vytvorí po dohode s prevádzkovateľom potrebné technické a organizačné
požiadavky na plnenie povinnosti prevádzkovateľa reagovať na žiadosti o výkon
práv dotknutej osoby ustanovených v kapitole III; f) pomáha
prevádzkovateľovi zabezpečiť plnenie povinností podľa článkov 30 až 34; g) po ukončení spracovania odovzdá všetky
výsledky prevádzkovateľovi a nespracúva osobné údaje iným spôsobom; h) dá k dispozícii prevádzkovateľovi
a dozornému orgánu všetky informácie potrebné na kontrolu dodržiavania
povinností stanovených v tomto článku. 3. Prevádzkovateľ a
sprostredkovateľ dokumentujú pokyny prevádzkovateľa a povinnosti
sprostredkovateľa uvedené v odseku 2 písomne. 4. Ak sprostredkovateľ spracúva
osobné údaje iné než sú údaje podľa pokynov prevádzkovateľa, sprostredkovateľ
sa v rozsahu tohto spracovania považuje za prevádzkovateľa a podlieha
pravidlám o spoločných prevádzkovateľoch stanoveným v článku 24. 5. Komisia je splnomocnená
prijať delegované akty v súlade s článkom 86 s cieľom bližšie
určiť kritériá a požiadavky týkajúce sa zodpovednosti, povinností a úloh vo
vzťahu k sprostredkovateľovi v súlade s odsekom 1, a podmienky, ktoré
umožnia zjednodušenie postupu pri spracúvaní osobných údajov v rámci skupiny
podnikov, najmä na účely kontroly a podávania správ. Článok 27
Spracovanie na základe právomoci prevádzkovateľa a sprostredkovateľa Sprostredkovateľ ani žiadna iná osoba konajúca
na základe právomoci prevádzkovateľa alebo sprostredkovateľa, ktorá má prístup
k osobným údajom, nespracuje tieto údaje inak než podľa pokynov
prevádzkovateľa, pokiaľ to od nej nevyžadujú právne predpisy Únie alebo
členského štátu. Článok 28
Dokumentácia 1. Každý prevádzkovateľ,
sprostredkovateľ a prípadný zástupca prevádzkovateľa musí viesť dokumentáciu
všetkých operácií spracovania patriacich do rámca jeho zodpovednosti. 2. Dokumentácia obsahuje
minimálne tieto informácie: a) meno a kontaktné údaje prevádzkovateľa
alebo prípadného spoločného prevádzkovateľa alebo sprostredkovateľa a zástupcu,
ak je ustanovený; b) meno a kontaktné údaje úradníka pre
ochranu údajov, ak je určený; c) účely spracovania vrátane oprávnených
záujmov, ktoré sleduje prevádzkovateľ, ak sa spracovanie vykonáva na základe
článku 6 ods. 1 písm. f); d) opis kategórií dotknutých osôb a
kategórií osobných údajov, ktoré sa ich týkajú; e) príjemcov alebo kategórie príjemcov
osobných údajov vrátane prevádzkovateľov, ktorým sa osobné údaje sprístupňujú
na účely oprávnených záujmov, ktoré sledujú; f) v relevantných prípadoch prenosy údajov
do tretej krajiny alebo medzinárodnej organizácii vrátane označenia predmetnej
tretej krajiny alebo medzinárodnej organizácie a v prípade prenosov
uvedených v článku 44 ods. 1 písm. h) dokumentáciu náležitých záruk; g) všeobecné určenie lehôt na výmaz rôznych
kategórií údajov; h) opis mechanizmov uvedených v článku 22
ods. 3. 3. Prevádzkovateľ,
sprostredkovateľ a prípadný zástupca prevádzkovateľa na požiadanie sprístupnia
dokumentáciu dozornému orgánu. 4. Povinnosti uvedené
v odsekoch 1 a 2 sa nevzťahujú na týchto prevádzkovateľov
a sprostredkovateľov: a) fyzické osoby spracúvajúce osobné údaje
bez komerčného záujmu alebo b) podniky alebo organizácie zamestnávajúce
menej než 250 osôb, ktoré spracúvajú osobné údaje iba ako vedľajšiu činnosť
popri svojej hlavnej činnosti. 5. Komisia je splnomocnená
prijať delegované akty v súlade s článkom 86 s cieľom bližšie určiť kritériá a
požiadavky na dokumentáciu uvedenú v odseku 1, aby sa zohľadnili najmä
povinnosti prevádzkovateľa a sprostredkovateľa a zástupcu prevádzkovateľa, ak
je ustanovený. 6. Komisia môže určiť štandardné
formuláre pre dokumentáciu uvedenú v odseku 1. Tieto vykonávacie akty sa prijmú
v súlade s postupom preskúmania uvedeným v článku 87 ods. 2. Článok 29
Spolupráca s dozorným orgánom 1. Prevádzkovateľ,
sprostredkovateľ a prípadný zástupca prevádzkovateľa na požiadanie spolupracujú
s dozorným orgánom pri výkone jeho povinností, najmä poskytovaním
informácií uvedených v článku 53 ods. 2 písm. a) a udeľovaním prístupu podľa
písm. b) uvedeného odseku. 2. V
reakcii na uplatnenie právomocí dozorného orgánu podľa článku 53 ods. 2
prevádzkovateľ a sprostredkovateľ odpovedajú dozornému orgánu v primeranej
lehote, ktorú určí dozorný orgán. Odpoveď má obsahovať aj opis prijatých
opatrení a dosiahnuté výsledky v reakcii na pripomienky dozorného orgánu. ODDIEL 2
BEZPEČNOSŤ ÚDAJOV Článok 30
Bezpečnosť spracovania 1. Prevádzkovateľ a sprostredkovateľ
uplatnia primerané technické a organizačné opatrenia, aby zaistili úroveň
bezpečnosti primeranú rizikám, ktoré predstavuje spracovanie a povaha osobných
údajov, ktoré sa majú chrániť, so zreteľom na najnovší stav techniky a náklady
na zavedenie týchto opatrení. 2. Na základe vyhodnotenia
príslušných rizík prevádzkovateľ a sprostredkovateľ prijmú opatrenia uvedené v
odseku 1 na ochranu osobných údajov pred ich náhodnou alebo protizákonnou
likvidáciou alebo náhodnou stratou a s cieľom predísť akýmkoľvek
nezákonným formám spracovania, najmä akémukoľvek neoprávnenému zverejneniu,
sprístupneniu alebo pozmeňovaniu osobných údajov. 3. Komisia je splnomocnená
prijať delegované akty v súlade s článkom 86 s cieľom bližšie určiť kritériá a
podmienky pre technické a organizačné opatrenia uvedené v odsekoch 1 a 2
vrátane stanovenia toho, čo predstavuje najnovší stav techniky pre konkrétne
sektory a v osobitných situáciách spracúvania údajov, najmä
s prihliadnutím na vývoj v oblasti technológií a na riešenia pre
ochranu súkromia špecificky navrhnuté a ochranu údajov štandardne určenú,
pokiaľ sa neuplatňuje odsek 4. 4. Komisia môže v prípade
potreby prijať vykonávacie akty na konkrétnejšie určenie požiadaviek
stanovených v odsekoch 1 a 2 pre rôzne situácie, najmä s cieľom: a) zabrániť akémukoľvek neoprávnenému
prístupu k osobným údajom; b) zabrániť akémukoľvek neoprávnenému
sprístupneniu, čítaniu, kopírovaniu, pozmeňovaniu, vymazaniu alebo odstráneniu
osobných údajov; c) zabezpečiť overenie zákonnosti operácií
spracovania. Tieto vykonávacie akty sa prijmú v súlade s
postupom preskúmania uvedeným v článku 87 ods. 2. Článok 31
Oznámenie o porušení ochrany osobných údajov dozornému orgánu 1. V prípade, že dôjde
k porušeniu ochrany osobných údajov, prevádzkovateľ bez zbytočného odkladu
a podľa možnosti najneskôr do 24 hodín po tom, čo sa o tejto
skutočnosti dozvedel, oznámi porušenie ochrany osobných údajov dozornému
orgánu. K oznámeniu dozornému orgánu sa pripája náležité zdôvodnenie, ak
oznámenie nebolo predložené do 24 hodín. 2. V súlade s článkom 26 ods. 2
písm. f) sprostredkovateľ upozorní a informuje prevádzkovateľa ihneď po zistení
porušenia ochrany osobných údajov. 3. Oznámenie uvedené v odseku 1
musí obsahovať prinajmenšom: a) opis charakteru porušenia ochrany
osobných údajov vrátane kategórií a počtu dotknutých osôb a kategórií a
počtu dotknutých údajových záznamov; b) údaje totožnosti a kontaktné údaje
úradníka pre ochranu údajov alebo iné kontaktné miesto, kde možno získať viac
informácií; c) odporúčané opatrenia na zmiernenie
potenciálnych nepriaznivých účinkov porušenia ochrany osobných údajov; d) opis dôsledkov porušenia ochrany osobných
údajov; e) opis opatrení navrhovaných alebo
prijatých prevádzkovateľom s cieľom vyriešiť porušenie ochrany osobných údajov. 4. Prevádzkovateľ zdokumentuje
každý prípad porušenia ochrany osobných údajov, pričom uvedie všetky
skutočnosti spojené s predmetným porušením, jeho následky a prijaté
opatrenia na nápravu. Táto dokumentácia musí umožniť dozorným orgánom overiť súlad
s týmto článkom. Dokumentácia obsahuje len informácie, ktoré sú na tento účel
potrebné. 5. Komisia je splnomocnená
prijať delegované akty v súlade s článkom 86 s cieľom bližšie určiť kritériá a
požiadavky na konštatovanie skutočnosti porušenia ochrany osobných údajov
v zmysle odsekov 1 a 2, ako aj osobitné okolnosti, za ktorých sa od
prevádzkovateľa a sprostredkovateľa vyžaduje, aby oznámili porušenie ochrany
osobných údajov. 6. Komisia môže stanoviť
štandardný formát takéhoto oznámenia dozornému orgánu, postupy týkajúce sa
oznamovacej povinnosti a formu a spôsoby dokumentácie uvedenej v odseku 4
vrátane lehôt na výmaz informácií, ktoré sú v nej obsiahnuté. Tieto vykonávacie
akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 87
ods. 2. Článok 32
Informovanie dotknutej osoby o porušení ochrany osobných údajov 1. Ak je pravdepodobné, že
porušenie ochrany osobných údajov bude mať nepriaznivý vplyv na ochranu
osobných údajov a súkromie dotknutej osoby, prevádzkovateľ musí okrem oznámenia
uvedeného v článku 31 informovať o porušení ochrany osobných údajov aj dotknutú
osobu bez zbytočného odkladu. 2. Informácia pre dotknutú osobu
uvedená v odseku 1 má obsahovať opis charakteru porušenia ochrany osobných
údajov a prinajmenšom informácie a odporúčania uvedené v článku 31 ods. 3 písm.
b) a c). 3. Informovanie dotknutej osoby
o porušení ochrany osobných údajov sa nevyžaduje, ak prevádzkovateľ
preukáže k spokojnosti dozorného orgánu, že vykonal primerané technické
ochranné opatrenia a že tieto opatrenia uplatnil na údaje, ktorých sa narušenie
osobných údajov týka. Použitím takýchto opatrení technickej ochrany sa údaje
stanú nečitateľnými pre všetky osoby, ktoré nemajú k nim povolený prístup. 4. Bez toho, aby bola dotknutá
povinnosť prevádzkovateľa informovať dotknutú osobu o porušení ochrany osobných
údajov, ak prevádzkovateľ ešte neinformoval dotknutú osobu, ktorej sa porušenie
ochrany osobných údajov týka, dozorný orgán po zvážení možných nepriaznivých
účinkov porušenia môže požadovať, aby tak urobil. 5. Komisia je splnomocnená
prijať delegované akty v súlade s článkom 86 s cieľom bližšie určiť kritériá a
požiadavky týkajúce sa okolností, za ktorých môže mať porušenie ochrany
osobných údajov nepriaznivý vplyv na osobné údaje uvedené v odseku 1. 6. Komisia môže stanoviť formát
informácie uvedenej v odseku 1, určenej pre dotknutú osobu, ako aj postupy,
ktoré sa vzťahujú na túto informáciu. Tieto vykonávacie akty sa prijmú
v súlade s postupom preskúmania uvedeným v článku 87 ods. 2. ODDIEL 3
POSÚDENIE VPLYVU NA OCHRANU ÚDAJOV A POVOLENIE VOPRED Článok 33
Posúdenie vplyvu na ochranu údajov 1. Ak operácie spracovania
predstavujú špecifické riziká pre práva a slobody dotknutých osôb svojou
povahou, rozsahom alebo účelmi, prevádzkovateľ alebo sprostredkovateľ konajúci
v mene prevádzkovateľa vykoná posúdenie vplyvu plánovanej operácie
spracovania na ochranu osobných údajov. 2. Osobitné riziká v zmysle
odseku 1 predstavujú najmä tieto operácie spracovania: a) systematické a rozsiahle hodnotenie
osobných aspektov týkajúcich sa určitej fyzickej osoby alebo slúžiacich na
analýzu či prognózovanie týkajúce sa najmä ekonomickej situácie, bydliska,
zdravia, osobných preferencií, spoľahlivosti alebo správania, ktoré je založené
na automatizovanom spracovaní a ktoré je základom opatrení s právnymi
účinkami týkajúcimi sa tejto fyzickej osoby; b) informácie o sexuálnom živote, zdraví,
rase a etnickom pôvode alebo informácie na účely poskytovania zdravotnej
starostlivosti, epidemiologických výskumov alebo prieskumov duševných alebo
infekčných ochorení, v prípade ktorých sa údaje spracúvajú na účely prijímania
opatrení alebo rozhodnutí týkajúcich sa určitých fyzických osôb vo veľkom
rozsahu; c) monitorovanie verejne prístupných miest,
najmä ak sa používajú optoelektronické zariadenia (kamerový dohľad) vo veľkom
rozsahu; d) osobné údaje v rozsiahlych informačných
systémoch týkajúcich sa detí, genetické údaje alebo biometrické údaje; e) ďalšie činnosti spracovania, pri ktorých
sa v zmysle článku 34 ods. 2 písm. b) vyžaduje konzultácia s dozorným
orgánom. 3. Posúdenie obsahuje
prinajmenšom všeobecný opis plánovaných operácií spracovania, posúdenie rizík
vo vzťahu k právam a slobodám dotknutých osôb, opatrenia na riešenie rizík,
záruky, bezpečnostné opatrenia a mechanizmy na zabezpečenie ochrany osobných
údajov a na preukázanie súladu s týmto nariadením pri zohľadnení práv a
oprávnených záujmov dotknutých osôb a prípadných ďalších osôb. 4. Prevádzkovateľ sa usiluje
získať názory dotknutých osôb alebo ich zástupcov na zamýšľané spracovanie bez
toho, aby bola dotknutá ochrana komerčných alebo verejných záujmov, alebo
bezpečnosť operácií spracovania. 5. Ak je prevádzkovateľom
verejný orgán alebo subjekt a ak spracovanie vyplýva zo zákonnej povinnosti v
zmysle článku 6 ods. 1 písm. c), ktorým sa ustanovujú pravidlá a postupy
týkajúce sa operácií spracovania upravených právnymi predpismi Únie, odseky 1 a
4 sa neuplatňujú, pokiaľ členské štáty nepovažujú za potrebné vykonať takéto
posúdenie pred začatím operácií spracovania. 6. Komisia je splnomocnená
prijať delegované akty v súlade s článkom 86 s cieľom bližšie určiť kritériá a
podmienky pre operácie spracovania, ktoré môžu predstavovať osobitné riziká v
zmysle odsekov 1 a 2, a požiadavky na posúdenie uvedené
v odseku 3 vrátane podmienok pre rozšíriteľnosť, overovanie
a kontrolovateľnosť. Komisia pritom zváži osobitné opatrenia pre
mikropodniky a malé a stredné podniky. 7. Komisia môže určiť normy a
postupy na vykonávanie, overovanie a audit posúdenia uvedeného v odseku 3.
Tieto vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným
v článku 87 ods. 2. Článok 34
Povolenie vopred a konzultácia vopred 1. Prevádzkovateľ, prípadne
sprostredkovateľ musia získať povolenie od dozorného orgánu pred spracovaním
osobných údajov s cieľom zabezpečiť súlad zamýšľaného spracovania s týmto
nariadením a najmä zmierniť riziká pre dotknuté osoby, ak prevádzkovateľ alebo
sprostredkovateľ prijmú zmluvné doložky, ako sa ustanovuje v článku 42
ods. 2 písm. d) alebo nezabezpečia náležité záruky prostredníctvom právne
záväzného nástroja v zmysle článku 42 ods. 5 pre prenos osobných údajov do
tretej krajiny alebo medzinárodnej organizácii. 2. Prevádzkovateľ alebo
sprostredkovateľ konajúci v mene prevádzkovateľa musí konzultovať s
dozorným orgánom pred spracovaním osobných údajov s cieľom zabezpečiť súlad
zamýšľaného spracovania s týmto nariadením a najmä zmierniť riziká pre dotknuté
osoby, ak: a) v posúdení vplyvu na ochranu údajov podľa
článku 33 sa uvádza, že operácie spracovania by z dôvodu svojej povahy, rozsahu
alebo účelov mohli predstavovať vysoký stupeň špecifických rizík, alebo b) dozorný orgán považuje za potrebné
vykonať konzultácie vopred k operáciám spracovania, ktoré by mohli predstavovať
osobitné riziká z hľadiska práv a slobôd dotknutých osôb z dôvodu svojej
povahy, rozsahu a/alebo účelov a ktoré sú vymedzené v odseku 4. 3. Ak je dozorný orgán toho
názoru, že plánované spracovanie nie je v súlade s týmto nariadením, najmä, keď
riziká nie sú dostatočne zistené alebo zmiernené, zakáže zamýšľané spracovanie
a predloží vhodné návrhy na nápravu tohto nesúladu. 4. Dozorný orgán vypracuje a
zverejní zoznam operácií spracovania, ktoré podliehajú povinnosti konzultácie
vopred podľa odseku 2 písm. b). Dozorný orgán oznámi tieto zoznamy Európskemu
výboru pre ochranu údajov. 5. Ak zoznam uvedený v odseku 4
zahŕňa operácie spracovania, ktoré súvisia s ponukou tovaru alebo služieb
dotknutým subjektom vo viacerých členských štátoch, alebo so sledovaním ich
správania, alebo môžu podstatne ovplyvniť voľný pohyb osobných údajov v rámci
Únie, dozorný orgán pred prijatím zoznamu uplatní mechanizmus konzistentnosti
uvedený v článku 57. 6. Prevádzkovateľ alebo
sprostredkovateľ poskytnú dozornému orgánu na ochranu údajov posúdenie vplyvu
uvedené v článku 33 a na požiadanie poskytnú akékoľvek iné informácie, ktoré
dozornému orgánu umožnia posúdiť súlad spracovania s týmto nariadením a
najmä riziká z hľadiska ochrany osobných údajov dotknutej osoby a súvisiace
záruky. 7. Členské štáty konzultujú s
dozorným orgánom pri príprave legislatívneho opatrenia, ktoré má prijať národný
parlament, alebo pri príprave opatrenia založeného na takomto legislatívnom
opatrení, ktoré určuje povahu spracovania, s cieľom zabezpečiť súlad
zamýšľaného spracovania s týmto nariadením a najmä zmierniť riziká pre dotknuté
osoby. 8. Komisia je splnomocnená
prijať delegované akty v súlade s článkom 86 s cieľom bližšie určiť kritériá a
požiadavky na konštatovanie vysokého stupňa osobitného rizika uvedeného v
odseku 2 písm. a). 9. Komisia môže určiť štandardné
formuláre a postupy pre povolenia a konzultácie vopred, uvedené v odsekoch 1
a 2, a štandardné formuláre a postupy na informovanie orgánov dohľadu v
zmysle odseku 6. Tieto vykonávacie akty sa prijmú v súlade s postupom
preskúmania uvedeným v článku 87 ods. 2. ODDIEL 4
ÚRADNÍK PRE OCHRANU ÚDAJOV Článok 35
Určenie úradníka pre ochranu údajov 1. Prevádzkovateľ a
sprostredkovateľ určia úradníka pre ochranu údajov v každom prípade, keď: a) spracovanie vykonáva verejný orgán alebo
subjekt; b) spracovanie vykonáva podnik, ktorý
zamestnáva 250 osôb alebo viac, alebo c) základné činnosti prevádzkovateľa alebo
sprostredkovateľa pozostávajú z operácií spracovania, ktoré si z dôvodov
svojej povahy, rozsahu a/alebo účelov, vyžadujú pravidelné a systematické
monitorovanie dotknutých osôb. 2. V prípade uvedenom
v odseku 1 písm. b) môže skupina podnikov určiť spoločného úradníka pre
ochranu údajov. 3. Ak je prevádzkovateľom alebo
sprostredkovateľom verejný orgán alebo subjekt, úradník pre ochranu údajov môže
byť určený pre viaceré ich podriadené zložky podľa danej štruktúry verejného
orgánu alebo subjektu. 4. V prípadoch iných, než sú
uvedené v odseku 1, môže úradníka pre ochranu údajov určiť prevádzkovateľ alebo
sprostredkovateľ, alebo združenia a iné orgány zastupujúce kategórie
prevádzkovateľov alebo sprostredkovateľov. 5. Prevádzkovateľ alebo
sprostredkovateľ určia úradníka pre ochranu údajov na základe odborných kvalít,
a to najmä na základe odborných znalostí práva a praxe v oblasti ochrany
údajov a na základe schopností plniť úlohy uvedené v článku 37. Potrebná úroveň
odborných znalostí sa určí najmä s ohľadom na spracovanie osobných údajov,
ktoré sa vykonáva, a na ochranu vyžadovanú pre osobné údaje, ktoré
spracúva prevádzkovateľ alebo sprostredkovateľ. 6. Prevádzkovateľ alebo
sprostredkovateľ zabezpečia, aby akékoľvek ďalšie odborné úlohy úradníka pre
ochranu údajov boli v súlade s úlohami a povinnosťami tejto osoby ako úradníka
pre ochranu údajov a neviedli ku konfliktu záujmov. 7. Prevádzkovateľ alebo
sprostredkovateľ určia úradníka pre ochranu údajov na obdobie najmenej dvoch
rokov. Úradníka pre ochranu údajov možno opätovne poveriť touto funkciou na
ďalšie obdobia. Počas funkčného obdobia možno úradníka pre ochranu údajov
odvolať iba vtedy, ak prestal spĺňať podmienky požadované na výkon svojich
služobných povinností. 8. Úradník pre ochranu údajov
môže byť zamestnancom prevádzkovateľa alebo sprostredkovateľa, alebo môže plniť
svoje úlohy na základe zmluvy o poskytovaní služieb. 9. Prevádzkovateľ alebo
sprostredkovateľ oznámia meno a kontaktné údaje úradníka pre ochranu údajov
dozornému orgánu a verejnosti. 10. Dotknuté osoby majú právo
obracať sa na úradníka pre ochranu údajov vo všetkých otázkach týkajúcich sa
spracovania ich údajov a jeho prostredníctvom môžu požiadať o výkon práv podľa
tohto nariadenia. 11. Komisia je splnomocnená prijať
delegované akty v súlade s článkom 86 s cieľom bližšie určiť kritériá a
požiadavky pre základné činnosti prevádzkovateľa alebo sprostredkovateľa
uvedené v odseku 1 písm. c) a kritériá hodnotenia odborných kvalít úradníka pre
ochranu údajov uvedené v odseku 5. Článok 36
Postavenie úradníka pre ochranu údajov 1. Prevádzkovateľ alebo
sprostredkovateľ zabezpečia, aby bol úradník pre ochranu údajov riadnym
spôsobom a včas zapojený do všetkých otázok, ktoré súvisia s ochranou
osobných údajov. 2. Prevádzkovateľ alebo
sprostredkovateľ zabezpečia, aby úradník pre ochranu údajov plnil svoje
povinnosti nezávisle, a aby v súvislosti s výkonom tejto funkcie nedostával
žiadne pokyny. Úradník pre ochranu údajov priamo podáva správy vedeniu
prevádzkovateľa alebo sprostredkovateľa. 3. Prevádzkovateľ alebo
sprostredkovateľ podporujú úradníka pre ochranu údajov pri plnení úloh a
poskytnú personál, miestnosti, vybavenie a akékoľvek iné zdroje potrebné
na vykonávanie povinností a úloh uvedených v článku 37. Článok 37
Úlohy úradníka pre ochranu údajov 1. Prevádzkovateľ alebo
sprostredkovateľ poverujú úradníka pre ochranu údajov prinajmenšom týmito
úlohami: a) poskytovanie informácií a poradenstva
prevádzkovateľovi alebo sprostredkovateľovi, pokiaľ ide o ich povinnosti podľa
tohto nariadenia, ako aj dokumentácia tejto činnosti a došlých odpovedí; b) monitorovanie zavádzania a uplatňovania
pravidiel prevádzkovateľa a sprostredkovateľa v súvislosti s ochranou osobných
údajov vrátane rozdelenia povinností, odbornej prípravy zamestnancov zapojených
do operácií spracúvania a súvisiacich auditov; c) monitorovanie vykonávania a uplatňovania
tohto nariadenia, najmä pokiaľ ide o požiadavky súvisiace s ochranou údajov
špecificky navrhnutou, ochranou údajov štandardne určenou, s bezpečnosťou
údajov, informovaním dotknutých osôb a s ich žiadosťami, ktorými vykonávajú
svoje práva vyplývajúce z ustanovení prijatých podľa tohto nariadenia; d) zabezpečenie uchovávania dokumentácie
podľa článku 28; e) monitorovanie vedenia dokumentácie,
oznámení o porušení ochrany osobných údajov a informácií zasielaných v
zmysle článkov 31 a 32; f) monitorovanie posudzovania vplyvu na
ochranu údajov vykonávaného prevádzkovateľom alebo sprostredkovateľom a
uplatňovanie požiadavky na povolenie vopred alebo konzultácie vopred, pokiaľ sa
vyžadujú podľa článkov 33 a 34; g) monitorovanie odpovedí na žiadosti
dozorného orgánu a v rámci rozsahu právomocí úradníka pre ochranu údajov aj
spolupráca s dozorným orgánom na jeho žiadosť či na základe jeho podnetu; h) plnenie úlohy kontaktného miesta pre
dozorný orgán v súvislosti s otázkami týkajúcimi sa spracovania a
uskutočňovanie konzultácií s dozorným orgánom, podľa potreby aj na základe
vlastného podnetu úradníka pre ochranu údajov. 2. Komisia je splnomocnená
prijať delegované akty v súlade s článkom 86 s cieľom bližšie určiť kritériá a
požiadavky, pokiaľ ide o úlohy, certifikáciu, postavenie, právomoci a zdroje
úradníka pre ochranu údajov podľa odseku 1. ODDIEL 5
KÓDEXY SPRÁVANIA A CERTIFIKÁCIA Článok 38
Kódexy správania 1. Členské štáty, dozorné orgány
a Komisia podporia vypracovanie kódexov správania určených na to, aby prispeli
k správnemu uplatňovaniu tohto nariadenia, pričom vezmú do úvahy špecifické
črty jednotlivých sektorov spracúvania údajov, najmä pokiaľ ide o: a) spravodlivé a
transparentné spracovanie údajov; b) zhromažďovanie
údajov; c) informovanie
verejnosti a dotknutých osôb; d) žiadosti
dotknutých osôb pri výkone ich práv; e) informovanie a
ochranu detí; f) prenos údajov
do tretích krajín alebo medzinárodným organizáciám; g) mechanizmy na
monitorovanie a zabezpečenie dodržiavania kódexu prevádzkovateľmi, ktorí mu
podliehajú; h) mimosúdne
konania a iné postupy riešenia sporov zamerané na riešenie sporov medzi
prevádzkovateľmi a dotknutými osobami v súvislosti so spracovaním osobných
údajov, bez toho, aby boli dotknuté práva dotknutých osôb podľa článkov 73
a 75. 2. Združenia a iné orgány
predstavujúce kategórie prevádzkovateľov alebo sprostredkovateľov v jednom
členskom štáte, ktoré majú v úmysle vypracovať kódexy správania alebo meniť
alebo rozširovať súčasné kódexy správania, ich môžu predložiť k vyžiadaniu
stanoviska dozorného orgánu v tomto členskom štáte. Dozorný orgán môže vydať
stanovisko, či návrh kódexu správania alebo jeho zmena a doplnenie sú v súlade
s týmto nariadením. Dozorný orgán sa usiluje získať názory dotknutých osôb
alebo ich zástupcov na tieto návrhy. 3. Združenia a iné orgány
predstavujúce kategórie prevádzkovateľov v niekoľkých členských štátoch môžu
Komisii predkladať návrhy kódexov správania a zmeny a doplnenia alebo
rozšírenia existujúcich kódexov správania. 4. Komisia môže prijať
vykonávacie akty na účely rozhodnutia, že kódexy správania a zmeny a
doplnenia alebo rozšírenia existujúcich kódexov správania, ktoré jej boli
predložené podľa odseku 3, majú všeobecnú platnosť v rámci Únie. Tieto vykonávacie akty sa prijmú v súlade s
postupom preskúmania uvedeným v článku 87 ods. 2. 5. Komisia môže zaistiť náležité
zverejnenie kódexov, o ktorých bolo v súlade s odsekom 4 rozhodnuté,
že majú všeobecnú platnosť v rámci Únie. Článok 39
Certifikácia 1. Členské štáty a Komisia
podporia, predovšetkým na európskej úrovni, zavedenie mechanizmov certifikácie
ochrany údajov a plomb a značiek pre potreby ochrany údajov, umožňujúce
dotknutým osobám rýchlo posúdiť úroveň ochrany údajov, ktorú zabezpečujú
prevádzkovatelia a sprostredkovatelia. Mechanizmy certifikácie ochrany údajov
musia prispieť k riadnemu uplatňovaniu tohto nariadenia, a to so zreteľom na
osobitné črty jednotlivých sektorov a rôznych operácií spracovania. 2. Komisia je splnomocnená
prijať delegované akty v súlade s článkom 86 s cieľom bližšie určiť kritériá a
požiadavky na mechanizmy certifikácie ochrany údajov uvedené v odseku 1 vrátane
podmienok pre ich udelenie a odvolanie, ako aj kritériá pre ich uznanie v rámci
Únie a v tretích krajinách. 3. Komisia môže stanoviť
technické normy pre mechanizmy certifikácie a plomby a značky pre potrebu
ochrany údajov, ako aj mechanizmy na podporu a uznávanie mechanizmov
certifikácie a plomb a značiek pre potreby ochrany údajov. Tieto vykonávacie akty sa prijmú v súlade s
postupom preskúmania uvedeným v článku 87 ods. 2. KAPITOLA V
PRENOS OSOBNÝCH ÚDAJOV DO TRETÍCH KRAJÍN ALEBO MEDZINÁRODNÝM ORGANIZÁCIÁM Článok 40
Všeobecné zásady prenosu Akýkoľvek prenos osobných údajov, ktoré sú
predmetom spracovania, alebo sú určené na spracovanie po prenose do tretej
krajiny alebo medzinárodnej organizácii, sa môže uskutočniť iba ak
prevádzkovateľ a sprostredkovateľ dodržiavajú podmienky ustanovené v tejto
kapitole, ako aj ostatné ustanovenia tohto nariadenia vrátane podmienok ďalších
prenosov osobných údajov z predmetnej tretej krajiny alebo od predmetnej
medzinárodnej organizácie do inej tretej krajiny, alebo inej medzinárodnej
organizácii. Článok 41
Prenos na základe rozhodnutia o primeranosti 1. Prenos sa môže uskutočniť v
prípade, že Komisia rozhodla, že tretia krajina alebo územie, alebo sektor
spracovania v tejto tretej krajine, alebo predmetná medzinárodná organizácia
zabezpečujú primeranú úroveň ochrany. Na takýto prenos nie je nutné žiadne
ďalšie povolenie. 2. Pri posudzovaní primeranosti
úrovne ochrany Komisia berie do úvahy tieto prvky: a) právny štát, príslušné platné právne
predpisy, všeobecné aj odvetvové, vrátane predpisov týkajúcich sa verejnej
bezpečnosti, obrany, národnej bezpečnosti a trestného práva, profesijné
pravidlá a bezpečnostné opatrenia, ktoré táto krajina alebo medzinárodná
organizácia dodržiava, ako aj účinné a vymáhateľné práva vrátane účinných
správnych a súdnych prostriedkov nápravy pre dotknuté osoby, najmä pre dotknuté
osoby s bydliskom v Únii, ktorých osobné údaje sú predmetom prenosu; b) existenciu a účinné pôsobenie jedného či
viacerých nezávislých dozorných orgánov v predmetnej tretej krajine či
medzinárodnej organizácii, ktoré sú zodpovedné za zabezpečenie dodržiavania
pravidiel ochrany údajov, za poskytovanie pomoci a poradenstva dotknutým
osobám pri výkone ich práv a za spoluprácu s dozornými orgánmi Únie a
členských štátov, a c) medzinárodné záväzky, ktorými je
predmetná tretia krajina či medzinárodná organizácia viazaná. 3. Komisia môže rozhodnúť, že
tretia krajina alebo územie, alebo sektor spracovania v predmetnej tretej
krajine, alebo medzinárodná organizácia zabezpečujú primeranú úroveň ochrany v
zmysle odseku 2. Tieto vykonávacie akty sa prijmú v súlade s postupom
preskúmania uvedeným v článku 87 ods. 2. 4. Vo vykonávacom akte sa uvedie
jeho územný a sektorový rozsah pôsobnosti a v príslušných prípadoch
aj dozorný orgán podľa odseku 2 písm. b). 5. Komisia môže rozhodnúť, že
tretia krajina, resp. územie alebo sektor spracovania v tejto tretej
krajine, alebo medzinárodná organizácia nezaručujú primeranú úroveň ochrany
zmysle odseku 2 tohto článku, a to najmä v prípadoch, keď príslušné právne
predpisy platné v tejto krajine alebo pre túto medzinárodnú organizáciu, a to
všeobecné aj odvetvové, nezaručujú účinné a vynútiteľné práva vrátane práv
dotknutých osôb na účinnú administratívnu a súdnu nápravu, a to najmä pre
dotknuté osoby s bydliskom v Únii, ktorých osobné údaje sú predmetom
prenosu. Tieto vykonávacie akty sa prijmú v súlade s postupom preskúmania
uvedeným v článku 87 ods. 2, resp. keď je to pre fyzické osoby mimoriadne
naliehavé v súvislosti s ich právom na ochranu osobných údajov, v súlade s
postupom uvedeným v článku 87 ods. 3. 6. Ak Komisia prijme rozhodnutie
podľa odseku 5, potom je zakázaný akýkoľvek prenos osobných údajov do tretej
krajiny alebo na územie, alebo do sektora spracovania v predmetnej tretej
krajine, alebo medzinárodnej organizácii, a to bez toho, aby boli dotknuté
ustanovenia článkov 42 až 44. Vo vhodnom čase Komisia začne konzultácie
s treťou krajinou alebo medzinárodnou organizáciou s cieľom napraviť stav
vzniknutý v dôsledku rozhodnutia prijatého podľa odseku 5 tohto článku. 7. Komisia uverejnení v Úradnom
vestníku Európskej únie zoznam tých tretích krajín, území a sektorov
spracovania v tretích krajinách, resp. medzinárodných organizácií, v prípade
ktorých rozhodla, že je alebo nie je zaručená primeraná úroveň ochrany. 8. Rozhodnutia prijaté Komisiou
na základe článku 25 ods. 6 alebo článku 26 ods. 4 smernice 95/46/ES zostávajú
v platnosti, pokým ich Komisia nezmení či nedoplní, nenahradí alebo nezruší. Článok 42
Prenos na základe náležitých záruk 1. Ak Komisia neprijala žiadne
rozhodnutie podľa článku 41, prevádzkovateľ alebo sprostredkovateľ môžu
preniesť osobné údaje do tretej krajiny alebo medzinárodnej organizácii len
vtedy, ak prevádzkovateľ alebo sprostredkovateľ uviedli v podobe právne
záväzného nástroja náležité záruky, pokiaľ ide o ochranu osobných údajov. 2. Náležité záruky uvedené v
odseku 1 sa stanovujú najmä prostredníctvom: a) záväzných firemných pravidiel v súlade s
článkom 43 alebo b) štandardných ustanovení o ochrane
údajov, ktoré prijala Komisia. Tieto vykonávacie akty sa prijmú v súlade s
postupom preskúmania uvedeným v článku 87 ods. 2, alebo c) štandardných ustanovení o ochrane
údajov prijatých dozorným orgánom v súlade s mechanizmom konzistentnosti
uvedeným v článku 57, ak ich Komisia vyhlásila za všeobecne platné v súlade
s článkom 62 ods. 1 písm. b), alebo d) zmluvných doložiek medzi prevádzkovateľom
alebo sprostredkovateľom a príjemcom údajov schválených dozorným orgánom v
súlade s odsekom 4. 3. K prenosu na základe
štandardných ustanovení o ochrane údajov alebo záväzných firemných pravidiel
uvedených v odseku 2 písm. a), b) alebo c) sa nevyžaduje žiadne ďalšie
povolenie. 4. Ak sa prenos uskutočňuje na
základe zmluvných doložiek podľa odseku 2 písm. d) tohto článku, prevádzkovateľ
alebo sprostredkovateľ musia k týmto zmluvným doložkám získať vopred
povolenie od dozorného orgánu podľa článku 34 ods.1. Ak presun súvisí
s činnosťou spracovania, ktorá sa týka dotknutých osôb v inom členskom
štáte či štátoch, alebo podstatne ovplyvňuje voľný pohyb osobných údajov v
rámci Únie, dozorný orgán uplatní mechanizmus konzistentnosti ustanovený
v článku 57. 5. V prípade, že náležité záruky
na ochranu osobných údajov nie sú zabezpečené právne záväzným nástrojom,
prevádzkovateľ alebo sprostredkovateľ musia vopred získať povolenie k prenosu
či súboru prenosov, alebo k ustanoveniam, ktoré sa majú vložiť do
administratívnych opatrení tvoriacich základ takéhoto prenosu. Takéto povolenie
dozorného orgánu musí byť v súlade s článkom 34 ods. 1. Ak presun súvisí
s činnosťou spracovania, ktorá sa týka dotknutých osôb v inom členskom
štáte či štátoch, alebo podstatne ovplyvňuje voľný pohyb osobných údajov v
rámci Únie, dozorný orgán uplatní mechanizmus konzistentnosti ustanovený
v článku 57. Povolenia dozorného orgánu na základe článku 26 ods. 2
smernice 95/46/ES zostávajú v platnosti, pokým ich tento dozorný orgán nezmení
či nedoplní, nenahradí alebo nezruší. Článok 43
Prenosy na základe záväzných firemných pravidiel 1. Dozorný orgán v súlade s
mechanizmom konzistentnosti ustanoveným v článku 58 schváli záväzné firemné
pravidlá, ak spĺňajú tieto predpoklady: a) sú právne záväzné a vzťahujú sa na všetky
podniky a zamestnancov v rámci skupiny podnikov prevádzkovateľa alebo
sprostredkovateľa, ktoré ich povinne uplatňujú; b) výslovne udeľujú vymáhateľné práva
dotknutým osobám; c) spĺňajú požiadavky ustanovené v odseku 2. 2. Záväzné firemné pravidlá
obsahujú prinajmenšom: a) štruktúru a kontaktné údaje skupiny
podnikov a jej členov; b) prenosy údajov alebo súbory prenosov
vrátane kategórií osobných údajov, druhu spracovania a jeho účelov, typov
dotknutých osôb, ktorých sa spracovanie týka a označenie predmetnej tretej
krajiny či krajín; c) odkaz na ich záväznosť na vnútornej i
vonkajšej úrovni; d) všeobecné zásady ochrany údajov, najmä
obmedzenie účelu, kvalitu údajov, právny základ spracovania, spracúvanie
citlivých osobných údajov, opatrenia na zaistenie bezpečnosti údajov, ako aj
požiadavky na ďalší prenos pre potreby organizácií, ktoré nie sú viazané touto
politikou; e) práva dotknutých osôb a prostriedky na
výkon týchto práv vrátane práva nepodliehať opatreniu založenom na profilovaní
v súlade s článkom 20, právo podať sťažnosť na príslušný dozorný orgán a
na príslušné súdy členského štátu v súlade s článkom 75 a právo vymôcť
nápravu a prípadnú kompenzáciu za porušenie záväzných firemných pravidiel; f) vyhlásenie, že prevádzkovateľ alebo
sprostredkovateľ so sídlom na území členského štátu prijímajú zodpovednosť za všetky
porušenia záväzných firemných pravidiel ktorýmkoľvek členom skupiny podnikov,
ktorý nemá sídlo v Únii; prevádzkovateľ alebo sprostredkovateľ môžu byť úplne
alebo čiastočne vyňatí spod tohto záväzku, ak preukážu, že predmetný člen nie
je zodpovedný za udalosť, z ktorej škoda vznikla; g) spôsob, akým sa v súlade s článkom 11
poskytujú dotknutým osobám informácie o záväzných firemných pravidlách, najmä
pokiaľ ide o ustanovenia, ktoré sa uvádzajú v písm. d), e) a f) tohto
odseku; h) úlohy úradníka pre ochranu údajov
určeného v súlade s článkom 35 vrátane monitorovania dodržiavania záväzných
firemných pravidiel, ako aj odbornej prípravy a vybavovania sťažností
v rámci príslušnej skupiny podnikov; i) mechanizmy v rámci skupiny podnikov
zamerané na zabezpečenie overovania dodržiavania záväzných firemných pravidiel;
j) mechanizmy pre nahlasovanie a evidenciu
zmien pravidiel a nahlasovanie týchto zmien dozornému orgánu; k) mechanizmus spolupráce s dozorným orgánom
na zabezpečenie dodržiavania podmienok zo strany členov tejto skupiny podnikov,
najmä sprístupnením výsledkov overovania opatrení uvedených v písm. i) tohto
odseku dozornému orgánu. 3. Komisia je splnomocnená
prijať delegované akty v súlade s článkom 86 s cieľom bližšie určiť
kritériá a požiadavky týkajúce sa záväzných firemných pravidiel v zmysle
tohto článku, najmä kritériá na ich schválenie, ďalej uplatňovanie odseku 2
písm. b), d), e) a f) na záväzné firemné pravidlá, ktoré si osvojili
sprostredkovatelia, ako aj ďalšie nevyhnutné požiadavky na zabezpečenie ochrany
osobných údajov príslušných dotknutých osôb. 4. Komisia môže stanoviť formát
a postupy pre výmenu informácií elektronickými prostriedkami medzi
prevádzkovateľmi, sprostredkovateľmi a dozornými orgánmi členských štátov o
záväzných firemných pravidlách v zmysle tohto článku. Tieto vykonávacie akty sa
prijmú v súlade s postupom preskúmania uvedeným v článku 87 ods. 2. Článok 44
Odchýlky 1. Ak nebolo prijaté rozhodnutie
o primeranosti podľa článku 41 alebo ak nie sú zabezpečené náležité záruky
podľa článku 42, prenos alebo súbor prenosov osobných údajov do tretej krajiny
alebo medzinárodnej organizácii sa môže uskutočniť, len ak: a) dotknutá osoba vyjadrila súhlas s
navrhovaným prenosom po tom, ako bola informovaná o rizikách takéhoto prenosu z
dôvodu absencie rozhodnutia o primeranosti a náležitých záruk alebo b) prenos je nevyhnutný na plnenie zmluvy
medzi dotknutou osobou a prevádzkovateľom alebo na vykonanie predzmluvných
opatrení prijatých na žiadosť dotknutej osoby, alebo c) prenos je nevyhnutný kvôli uzatvoreniu
alebo plneniu zmluvy uzatváranej v záujme dotknutej osoby medzi
prevádzkovateľom a inou fyzickou alebo právnickou osobou, alebo d) prenos je nevyhnutný z dôležitých dôvodov
verejného záujmu, alebo e) prenos je nevyhnutný na stanovenie,
uplatňovanie alebo obranu právnych nárokov, alebo f) prenos je nevyhnutný na ochranu životne
dôležitých záujmov dotknutej osoby alebo inej osoby, ak je dotknutá osoba
fyzicky alebo právne nespôsobilá vyjadriť súhlas, alebo g) prenos sa uskutočňuje z registra, ktorý
je podľa práva Únie alebo členského štátu určený na poskytovanie informácií
verejnosti a ktorý je otvorený na nahliadanie verejnosti alebo akejkoľvek
osobe, ktorá môže preukázať oprávnený záujem, pokiaľ podmienky stanovené
právnymi predpismi Únie alebo právnymi predpismi členského štátu na nahliadanie
sú v tomto konkrétnom prípade splnené, alebo h) prenos je nevyhnutný na účely oprávnených
záujmov, ktoré sleduje prevádzkovateľ alebo sprostredkovateľ a ktoré nemožno
kvalifikovať ako časté alebo hromadné, a prevádzkovateľ alebo sprostredkovateľ
posúdili všetky okolnosti sprevádzajúce operáciu prenosu údajov alebo súbor
operácií prenosu údajov a na základe tohto posúdenia uviedli v prípade
potreby náležité záruky, pokiaľ ide o ochranu osobných údajov. 2. Prenos podľa odseku 1 písm.
g) nezahŕňa všetky osobné údaje alebo celé kategórie osobných údajov
obsiahnutých v registri. Ak je register určený na nahliadanie pre osoby s
oprávneným záujmom, prenos sa uskutoční iba na žiadosť týchto osôb alebo vtedy,
keď majú byť príjemcami. 3. Ak sa spracúvanie vykonáva na
základe odseku 1 písm. h), prevádzkovateľ alebo sprostredkovateľ musia osobitne
prihliadať na povahu údajov, účel a trvanie navrhovanej operácie či operácií
spracovania, ako aj na situáciu v krajine pôvodu, v tretej krajine a
krajine konečného určenia a uviesť v prípade potreby náležité záruky,
pokiaľ ide o ochranu osobných údajov. 4. Odsek 1 písm. b), c) a h) sa
neuplatňujú na činnosti, ktoré vykonávajú verejné orgány pri uplatňovaní svojich
verejných právomocí. 5. Verejný záujem uvedený v
odseku 1 písm. d) musí byť uznaný právnymi predpismi Únie alebo právnymi
predpismi členského štátu, ktorému podlieha prevádzkovateľ. 6. Prevádzkovateľ alebo
sprostredkovateľ dokumentujú posúdenie, ako aj náležité záruky uvedené v odseku
1 písm. h) tohto článku v dokumentácii uvedenej v článku 28 a informujú dozorný
orgán o prenose. 7. Komisia je splnomocnená
prijať delegované akty v súlade s článkom 87 s cieľom bližšie určiť „dôležité
dôvody verejného záujmu“ v zmysle odseku 1 písm. d), ako aj kritériá a
požiadavky, pokiaľ ide o náležité záruky uvedené v odseku 1 písm. h). Článok 45
Medzinárodná spolupráca na účely ochrany osobných údajov 1. Vo vzťahu k tretím krajinám a
medzinárodným organizáciám Komisia a členské štáty podniknú náležité kroky s
cieľom: a) vytvoriť účinné mechanizmy medzinárodnej
spolupráce na uľahčenie presadzovania právnych predpisov o ochrane osobných
údajov; b) poskytovať vzájomnú medzinárodnú pomoc
pri presadzovaní právnych predpisov na ochranu osobných údajov, a to aj
prostredníctvom notifikácií, postúpenia sťažností, pomoci pri vyšetrovaní a
výmeny informácií, pričom sa uplatní požiadavka na náležité záruky na ochranu
osobných údajov a na ďalšie základné práva a slobody; c) zapájať príslušné zainteresované strany
do diskusie a činnosti so zameraním na prehĺbenie medzinárodnej spolupráce
v oblasti presadzovania právnych predpisov na ochranu osobných údajov; d) podporovať výmenu a dokumentáciu v
oblasti právnych predpisov na ochranu osobných údajov a praxe v tejto sfére. 2. Komisia podnikne na účely
odseku 1 náležité kroky s cieľom rozvíjať vzťahy s tretími krajinami alebo
medzinárodnými organizáciami, a to najmä s ich dozornými orgánmi, ak dospela k
rozhodnutiu, že zaručujú primeranú úroveň ochrany v zmysle článku 41 ods. 3. KAPITOLA VI
NEZÁVISLÉ DOZORNÉ ORGÁNY ODDIEL 1
NEZÁVISLÉ POSTAVENIE Článok 46
Dozorný orgán 1. Každý členský štát stanoví,
že jeden alebo viaceré verejné orgány sú zodpovedné za monitorovanie
uplatňovania tohto nariadenia a za prispievanie k jeho konzistentnému
uplatňovaniu v rámci Únie s cieľom chrániť základné práva a slobody fyzických
osôb v súvislosti so spracúvaním ich osobných údajov a uľahčiť voľný tok
osobných údajov v rámci Únie. Na tento účel dozorné orgány spolupracujú
vzájomne, ako aj s Komisiou. 2. Ak je v členskom štáte určený
viac než jeden dozorný orgán, tento členský štát určí na zabezpečenie
efektívnej účasti týchto orgánov v Európskom výbore pre ochranu údajov
príslušný orgán, ktorý pôsobí ako spoločné kontaktné miesto, a stanoví
mechanizmus na zabezpečenie súladu zo strany ostatných orgánov
s mechanizmom konzistentnosti uvedeným v článku 57. 3. Do dátumu uvedeného v článku
91 ods. 2 každý členský štát oznámi Komisii ustanovenia svojich právnych predpisov,
ktoré prijme podľa tejto kapitoly, a bezodkladne oznámi aj všetky následné
zmeny a doplnenia, ktoré ich ovplyvňujú. Článok 47
Nezávislosť 1. Dozorný orgán koná pri plnení
svojich povinností a výkone zverených právomocí úplne nezávisle. 2. Členovia dozorného orgánu pri
plnení svojich povinností od nikoho nežiadajú ani neprijímajú pokyny. 3. Členovia dozorného orgánu sa
zdržia akéhokoľvek konania nezlučiteľného s ich povinnosťami a počas svojho
funkčného obdobia nevykonávajú žiadnu inú platenú ani neplatenú pracovnú
činnosť nezlučiteľnú s touto funkciou. 4. Členovia dozorného orgánu sa
po uplynutí svojho funkčného obdobia správajú pri prijímaní funkcií alebo výhod
čestne a rozvážne. 5. Každý členský štát zabezpečí,
aby sa dozornému orgánu poskytli primerané ľudské, technické a finančné zdroje,
priestory a infraštruktúra, ktoré sú potrebné na účinné plnenie povinností a
vykonávanie právomocí vrátane tých, ktoré sa majú plniť a vykonávať v
súvislosti so vzájomnou pomocou, spoluprácou a účasťou v rámci Európskeho
výboru pre ochranu údajov. 6. Každý členský štát zabezpečí,
aby dozorný orgán mal svojich vlastných zamestnancov, ktorí budú ustanovení do
svojich pozícií vedúcim dozorného orgánu a budú podliehať jeho pokynom. 7. Členské štáty zabezpečia, aby
dozorný orgán podliehal finančnej kontrole, ktorá neovplyvní jeho nezávislosť.
Členské štáty zabezpečia, aby mali dozorné orgány samostatné ročné rozpočty.
Tieto rozpočty sa zverejnia. Článok 48
Všeobecné podmienky členstva v dozorných orgánoch 1. Členské štáty stanovia, že
členov dozorného orgánu ustanovuje buď parlament alebo vláda príslušného
členského štátu. 2. Členovia sa musia vybrať
spomedzi osôb, v prípade ktorých niet pochybností o ich nezávislosti a ktoré
majú preukázané skúsenosti a zručnosti potrebné na plnenie svojich povinností
predovšetkým v oblasti ochrany osobných údajov. 3. Povinnosti člena zanikajú
uplynutím funkčného obdobia, vzdaním sa funkcie alebo jeho odvolaním v súlade s
odsekom 5. 4. Člena možno odvolať alebo
pozbaviť jeho práva na dôchodok či iných dávok namiesto dôchodku rozhodnutím
príslušného vnútroštátneho súdu, ak tento člen prestal spĺňať podmienky
požadované na výkon svojich služobných povinností, resp. ak sa dopustil
závažného pochybenia. 5. V prípade uplynutia funkčného
obdobia alebo vzdania sa funkcie si člen naďalej plní svoje povinnosti, až kým
nie je ustanovený nový člen. Článok 49
Pravidlá zriaďovania dozorného orgánu Každý členský štát stanoví v medziach
tohto nariadenia prostredníctvom zákona: a) zriadenie dozorného orgánu a jeho
postavenie; b) kvalifikáciu, skúsenosti a zručnosti,
ktoré sa požadujú na plnenie povinností člena dozorného orgánu; c) pravidlá a postupy ustanovovania členov
dozorného orgánu, ako aj pravidlá, ktoré upravujú, aké konania či pracovné
činnosti sú nezlučiteľné so služobnými povinnosťami spojenými s touto
funkciou; d) funkčné obdobie členov dozorného orgánu,
ktoré nesmie byť menej než štyri roky, s výnimkou prvého ustanovenia do
funkcie po nadobudnutí účinnosti tejto smernice, ktoré môže mať kratšie
trvanie, ak je z dôvodu ochrany nezávislosti dozorného orgánu nevyhnutné
použiť časovo rozložený postup ustanovovania do funkcií; e) či členov dozorného orgánu možno
ustanoviť do tejto funkcie opätovne; f) predpisy a spoločné podmienky upravujúce
povinnosti členov a zamestnancov dozorného orgánu; g) pravidlá a postupy pri ukončení plnenia
povinností člena dozorného orgánu, a to aj pre prípady, keď členovia
prestali spĺňať podmienky požadované na výkon svojich povinností, resp. sa
dopustili závažného pochybenia. Článok 50
Služobné tajomstvo Členovia a zamestnanci dozorného orgánu
podliehajú počas funkčného obdobia či zamestnania, ako aj po ich uplynutí,
povinnosti zachovávať služobné tajomstvo, pokiaľ ide o dôverné informácie,
o ktorých sa dozvedeli pri plnení svojich služobných povinností. ODDIEL 2
POVINNOSTI A PRÁVOMOCI Článok 51
Pôsobnosť 1. Každý dozorný orgán vykonáva
na území svojho členského štátu právomoci, ktoré mu boli zverené v súlade
s týmto nariadením. 2. Ak sa spracovanie osobných
údajov uskutočňuje v rámci činnosti zariadenia prevádzkovateľa alebo
sprostredkovateľa v Únii a prevádzkovateľ alebo sprostredkovateľ pôsobí vo viac
než jednom členskom štáte, za dohľad nad činnosťou prevádzkovateľa alebo
sprostredkovateľa pri spracúvaní údajov vo všetkých členských štátoch zodpovedá
dozorný orgán členského štátu, v ktorom sa nachádza ústredie prevádzkovateľa
alebo sprostredkovateľa, a to bez toho, aby boli dotknuté ustanovenia
kapitoly VII tohto nariadenia. 3. Dozorný orgán nie je
príslušný pre dohľad nad operáciami spracovania na súdoch, ak ide o výkon
ich súdnej právomoci. Článok 52
Povinnosti 1. Dozorný orgán: a) monitoruje a zabezpečuje uplatňovanie
tohto nariadenia; b) prejednáva sťažnosti podané akoukoľvek
dotknutou osobou, resp. združením zastupujúcim dotknutú osobu v súlade s
článkom 73, vyšetruje predmetnú záležitosť v náležitom rozsahu, informuje
dotknutú osobu či združenie o pokroku a výsledkoch sťažnosti v primeranej
lehote, najmä ak je nutné ďalšie vyšetrovanie alebo koordinácia s iným
dozorným orgánom; c) vymieňa si informácie a poskytuje
vzájomnú pomoc vo vzťahu k iným dozorným orgánom a zabezpečuje
konzistentné uplatňovanie a presadzovanie tohto nariadenia; d) na vlastný podnet, na základe sťažnosti
alebo na žiadosť iného dozorného orgánu uskutočňuje vyšetrovania a ak dotknutá
osoba podala sťažnosť tomuto dozornému orgánu, informuje túto dotknutú osobu o
výsledku vyšetrovania v primeranej lehote; e) monitoruje príslušný vývoj, pokiaľ má
dosah na ochranu osobných údajov, a to najmä vývoj informačných a komunikačných
technológií a komerčných praktík; f) oslovujú inštitúcie a subjekty členského
štátu s cieľom konzultovať právne a administratívne opatrenia súvisiace s
ochranou práv a slobôd fyzických osôb pri spracúvaní osobných údajov, g) schvaľuje operácie spracovania uvedené v
článku 34 a poskytuje v tejto veci konzultačnú pomoc; h) vydáva stanovisko k návrhom kódexov
správania v súlade s článkom 38 ods. 2; i) schvaľuje záväzné firemné pravidlá podľa
článku 43, j) zúčastňuje sa na činnosti Európskeho
výboru pre ochranu údajov. 2. Každý dozorný orgán podporuje
zvyšovanie informovanosti verejnosti o rizikách, pravidlách, zárukách a právach
v súvislosti so spracovaním osobných údajov. Osobitná pozornosť sa má venovať
najmä činnostiam špecificky zameraným na deti. 3. Dozorný orgán poskytne na
požiadanie poradenstvo ktorejkoľvek dotknutej osobe v súvislosti s výkonom
jej práv podľa tohto nariadenia, pričom v prípade potreby spolupracuje
na tento účel s dozornými orgánmi v iných členských štátoch. 4. Na účely podávania sťažností
uvedených v odseku 1 písm. b) dozorný orgán poskytne formulár sťažnosti, ktorý
je možné vyplniť elektronicky, pričom sa nevylučujú iné prostriedky
komunikácie. 5. Plnenie úloh dozorného orgánu
je pre dotknutú osobu bezplatné. 6. V prípade, že žiadosti sú
zjavne neprimerané, a to najmä pre ich opakujúci sa charakter, dozorný orgán
môže požadovať poplatok, resp. môže odmietnuť prijať opatrenia požadované
dotknutou osobou. Dôkazné bremeno, pokiaľ ide o zjavne neprimeraný charakter
žiadosti, znáša dozorný orgán. Článok 53
Právomoci 1. Každý dozorný orgán má
právomoc: a) oznamovať prevádzkovateľovi či
sprostredkovateľovi domnelé porušenie ustanovení o spracovaní osobných údajov a
v prípade potreby prevádzkovateľovi či sprostredkovateľovi nariadiť, aby
konkrétnym spôsobom napravili toto porušenie s cieľom zlepšiť ochranu dotknutej
osoby; b) nariadiť prevádzkovateľovi či
sprostredkovateľovi vyhovieť žiadostiam dotknutej osoby o výkon práv
ustanovených týmto nariadením; c) nariadiť prevádzkovateľovi či
sprostredkovateľovi a ich prípadnému zástupcovi, aby poskytli všetky
informácie, ktoré sú dôležité pre výkon jeho povinností; d) zabezpečiť súlad s požiadavkou na
povolenia vopred a konzultácie vopred podľa článku 34; e) varovať alebo napomenúť prevádzkovateľa
či sprostredkovateľa; f) nariadiť opravu, výmaz alebo likvidáciu
všetkých údajov, ak boli spracované v rozpore s ustanoveniami tohto
nariadenia, a oznámenie týchto opatrení tretím stranám, ktorým boli údaje
sprístupnené; g) nariadiť dočasný alebo trvalý zákaz
spracovania; h) pozastaviť tok údajov smerom k príjemcovi
v tretej krajine alebo medzinárodnej organizácii, i) vydávať stanoviská týkajúce sa
akýchkoľvek otázok, ktoré súvisia s ochranou osobných údajov; j) informovať národný parlament, vládu
alebo iné politické inštitúcie, ako aj verejnosť o všetkých otázkach
súvisiacich s ochranou osobných údajov. 2. Každý dozorný orgán má
vyšetrovaciu právomoc, ktorá umožňuje, aby mu prevádzkovateľ či
sprostredkovateľ poskytol: a) prístup ku všetkým osobným údajom a
všetkým informáciám potrebným na plnenie jeho povinností; b) prístup do všetkých priestorov, ako aj k
akémukoľvek zariadeniu a prostriedkom na spracúvanie údajov, ak existujú
dostatočné dôvody predpokladať, že sa tam uskutočňuje činnosť, ktorá je v
rozpore s týmto nariadením. Právomoci uvedené v písmene b) sa vykonávajú v
súlade s právnymi predpismi EÚ a právnymi predpismi členského štátu. 3. Každý dozorný orgán má
právomoc upovedomiť o porušení tohto nariadenia justičné orgány
a postupovať súdnou cestou, predovšetkým podľa článku 74 ods. 4 a článku
75 ods. 2. 4. Každý dozorný orgán je
oprávnený sankcionovať správne delikty, najmä tie, ktoré sú uvedené v článku 79
ods. 4, 5 a 6. Článok 54
Správa o činnosti Každý kontrolný orgán musí vypracovať výročnú
správu o svojej činnosti. Správa sa predkladá národnému parlamentu a sprístupní
sa verejnosti, Komisii a Európskemu výboru pre ochranu údajov. KAPITOLA VII SPOLUPRÁCA A KONZISTENTNOSŤ Oddiel 1
Spolupráca Článok 55
Vzájomná pomoc 1. Dozorné orgány si poskytujú
navzájom relevantné informácie a pomoc v záujme konzistentného vykonávania a
uplatňovania ustanovení tohto nariadenia a zavedú opatrenia na účinnú vzájomnú
spoluprácu. Vzájomná pomoc sa týka najmä žiadostí o informácie a opatrení
v oblasti dozoru, ako sú napríklad žiadosti o povolenie a konzultácie
vopred, kontroly a promptné informácie o otvorení prípadov a ďalšom vývoji v
prípade, keď je pravdepodobné, že operácie spracovania budú mať vplyv na
dotknuté osoby v niekoľkých členských štátoch. 2. Každý dozorný orgán je
povinný prijať všetky príslušné opatrenia, aby na žiadosť iného dozorného
orgánu odpovedal bezodkladne a najneskôr do jedného mesiaca po prijatí
žiadosti. K takýmto opatreniam môže patriť napríklad zaslanie relevantnej
informácie o priebehu vyšetrovania alebo opatrenia na vymáhanie práva, ktorých
cieľom je zastavenie alebo zákaz operácií spracovania, ktoré sú v rozpore s
týmto nariadením. 3. Žiadosť o pomoc má obsahovať
všetky nevyhnutné informácie vrátane účelu a dôvodov žiadosti. Vymieňané
informácie sa použijú iba v súvislosti s vecou, ku ktorej boli vyžiadané. 4. Ak je dozornému orgánu
adresovaná žiadosť o pomoc, nemôže jej odmietnuť vyhovieť, s výnimkou
toho, keď: a) nie je príslušný vo veci žiadosti alebo b) vyhovieť tejto žiadosti by bolo v rozpore
s týmto nariadením. 5. Požiadaný dozorný orgán
poskytne žiadajúcemu dozornému orgánu informácie o výsledkoch opatrení
prijatých s cieľom vyhovieť požiadavke žiadajúceho dozornému orgánu, alebo
podľa situácie o pokroku dosiahnutom v tejto súvislosti, resp. o opatreniach
prijatých na tento účel. 6. Dozorné orgány poskytnú
informácie požadované inými dozornými orgánmi elektronickými prostriedkami a v
čo najkratšom možnom čase, pričom používajú štandardizovaný formát. 7. Za opatrenie vykonané na
základe žiadosti o vzájomnú pomoc sa neúčtuje žiadny poplatok. 8. Ak dozorný orgán nerozhodne o
žiadosti iného dozorného orgánu do jedného mesiaca, žiadajúci dozorný orgán je
oprávnený vydať dočasné opatrenie na území svojho členského štátu v súlade s
článkom 51 ods. 1 a predložiť záležitosť Európskemu výboru pre ochranu údajov v
súlade s postupom uvedeným v článku 57. 9. Dozorný orgán určí obdobie
platnosti týchto dočasných opatrení. Táto lehota nepresiahne tri mesiace.
Dozorný orgán bezodkladne oznámi tieto opatrenia s úplným odôvodnením
Európskemu výboru pre ochranu údajov a Komisii. 10. Komisia môže stanoviť formát a
postupy vzájomnej pomoci uvedené v tomto článku a opatrenia na výmenu
informácií elektronickými prostriedkami medzi dozornými orgánmi navzájom, ako
aj medzi dozornými orgánmi a Európskym výborom pre ochranu údajov, najmä
štandardizovaný formát uvedený v odseku 6. Tieto vykonávacie akty sa prijmú
v súlade s postupom preskúmania uvedeným v článku 87 ods. 2. Článok 56
Spoločné operácie dozorných orgánov 1. V záujme posilnenia
spolupráce a vzájomnej pomoci dozorné orgány realizujú spoločné úlohy
v oblasti vyšetrovania, opatrenia v oblasti presadzovania práva a iné
spoločné operácie, do ktorých sa zapájajú určení členovia alebo zamestnanci
dozorných orgánov iných členských štátov. 2. V prípadoch, keď je
pravdepodobné, že operácie spracovania budú mať vplyv na dotknuté osoby
v niekoľkých členských štátoch, dozorný orgán každého z týchto členských
štátov má právo podieľať sa podľa konkrétnej situácie na spoločných
vyšetrovacích úlohách alebo spoločných operáciách. Príslušný dozorný orgán
vyzve dozorné orgány týchto jednotlivých členských štátov, aby sa zúčastnili na
príslušných vyšetrovacích úlohách alebo spoločných operáciách a aby
reagovali na žiadosť ktoréhokoľvek dozorného orgánu o zapojenie sa do
operácií bez zbytočného odkladu. 3. Každý dozorný orgán, ktorý je
hostiteľským dozorným orgánom, môže v súlade so svojimi vnútroštátnymi právnymi
predpismi a povolením vysielajúceho dozorného orgánu udeliť zamestnancom
vysielajúceho dozorného orgánu zúčastňujúcim sa na spoločných operáciách
výkonné právomoci vrátane vyšetrovacích úloh, resp. v rozsahu, v akom to
umožňujú právne predpisy, ktorým podlieha hostiteľský dozorný orgán, umožniť
zamestnancom vysielajúceho dozorného orgánu uplatňovať ich výkonné právomoci v
súlade s právnymi predpismi, ktorým podlieha vysielajúci dozorný orgán. Tieto
výkonné právomoci sa môžu uplatňovať len pod usmernením členov alebo zamestnancov
hostiteľského dozorného orgánu a spravidla v ich prítomnosti. Členovia a
zamestnanci vysielajúceho dozorného orgánu podliehajú vnútroštátnym právnym
predpisom krajiny hostiteľského dozorného orgánu. Zodpovednosť za ich činnosť
nesie hostiteľský dozorný orgán. 4. Dozorné orgány upravia
praktické aspekty konkrétnych činností uskutočňovaných v rámci spolupráce. 5. Ak dozorný orgán nesplní
svoju povinnosť stanovenú v odseku 2 do jedného mesiaca, ostatné dozorné orgány
sú oprávnené vydať dočasné opatrenie na území svojho členského štátu v súlade s
článkom 51 ods. 1. 6. Dozorný orgán určí obdobie
platnosti dočasného opatrenia uvedeného v odseku 5. Toto obdobie
nepresiahne tri mesiace. Dozorný orgán bezodkladne oznámi tieto opatrenia s
úplným odôvodnením Európskemu výboru pre ochranu údajov a Komisii a
predloží záležitosť prostredníctvom mechanizmu ustanoveného v článku 57. ODDIEL 2
KONZISTENTNOSŤ Článok 57
Mechanizmus konzistentnosti Na účely uvedené v článku 46 ods. 1 dozorné
orgány spolupracujú medzi sebou navzájom, ako aj s Komisiou prostredníctvom
mechanizmu konzistentnosti, ako sa ustanovuje v tomto oddiele. Článok 58
Stanovisko Európskeho výboru pre ochranu údajov 1. Predtým než dozorný orgán
prijme opatrenia uvedené v odseku 2, tento dozorný orgán oznámi navrhované
opatrenie Európskemu výboru pre ochranu údajov a Komisii. 2. Povinnosť stanovená v odseku
1 sa uplatňuje na opatrenie, ktoré má mať právne účinky a ktoré: a) súvisí s činnosťami spracovania
týkajúcimi sa ponuky tovaru alebo služieb dotknutým osobám v niekoľkých
členských štátoch, alebo sledovania ich správania, alebo b) môže podstatne ovplyvniť voľný pohyb
osobných údajov v rámci Únie, alebo c) ktorého cieľom je prijatie zoznamu
operácií spracovania, na ktoré sa vzťahuje povinnosť konzultácie vopred podľa
článku 34 ods. 5, alebo d) ktorého cieľom je určiť štandardné
ustanovenia o ochrane údajov uvedené v článku 42 ods. 2 písm. c), alebo e) ktorého cieľom je schváliť zmluvné
doložky uvedené v článku 42 ods. 2 písm. d), alebo f) ktorého cieľom je schváliť záväzné
firemné pravidlá v zmysle článku 43. 3. Ktorýkoľvek dozorný orgán
alebo Európsky výbor pre ochranu údajov môžu požadovať, aby sa prostredníctvom
mechanizmu konzistentnosti riešila akákoľvek záležitosť, najmä ak dozorný orgán
nepredloží návrh opatrenia uvedeného v odseku 2 alebo neplní povinnosti
týkajúce sa vzájomnej pomoci v súlade s článkom 55 alebo spoločných
operácií v súlade s článkom 56. 4. Aby sa zabezpečilo správne a
konzistentné uplatňovanie tohto nariadenia, Komisia môže požadovať, aby sa
všetky otázky riešili prostredníctvom mechanizmu konzistentnosti. 5. Dozorné orgány a Komisia
elektronicky oznamujú všetky príslušné informácie, podľa potreby aj zhrnutie
skutočností, navrhované opatrenie a dôvody, kvôli ktorým je vydanie takéhoto
opatrenia nevyhnutné, pričom používajú štandardizovaný formát. 6. Predseda Európskeho výboru
pre ochranu údajov ihneď elektronicky informuje členov Európskeho výboru pre
ochranu údajov a Komisiu o všetkých relevantných informáciách, ktoré mu
boli oznámené, pričom používa štandardizovaný formát. Predseda Európskeho
výboru pre ochranu údajov poskytne v prípade potreby preklady relevantných
informácií. 7. Európsky výbor pre ochranu
údajov vydá k veci stanovisko, ak tak Európsky výbor pre ochranu údajov rozhodne
jednoduchou väčšinou svojich členov alebo ak niektorý dozorný orgán alebo
Komisia o to požiadali, a to do jedného týždňa po tom, ako boli príslušné
informácie poskytnuté podľa odseku 5. Stanovisko musí byť prijaté do jedného
mesiaca jednoduchou väčšinou členov Európskeho výboru pre ochranu údajov.
Predseda Európskeho výboru pre ochranu údajov informuje o tomto stanovisku
bez zbytočného odkladu a podľa konkrétneho prípadu dozorný orgán uvedený
v odsekoch 1 a 3, Komisiu a dozorný orgán príslušný podľa článku 51,
a stanovisko zverejní. 8. Dozorný orgán uvedený v
odseku 1 a dozorný orgán príslušný podľa článku 51 zohľadnia stanovisko
Európskeho výboru pre ochranu údajov a do dvoch týždňov po prijatí informácie o
stanovisku predsedu Európskeho výboru pre ochranu údajov oznámia elektronicky
predsedovi Európskeho výboru pre ochranu údajov a Komisii, či zotrvávajú
na svojom návrhu opatrenia, alebo ho zmenia a doplnia, a v tomto
druhom prípade zašlú aj zmenený a doplnený návrh opatrenia, pričom použijú
štandardizovaný formát. Článok 59
Stanovisko Komisie 1. Do desiatich týždňov po
oznámení veci uvedenom v článku 58, alebo najneskôr do šiestich týždňov v
prípade uvedenom v článku 61 môže Komisia prijať stanovisko k veciam
oznámeným podľa článku 58 alebo 61 s cieľom zabezpečiť správne
a konzistentné uplatňovanie tohto nariadenia. 2. Ak Komisia prijala stanovisko
v súlade s odsekom 1, dotknutý dozorný orgán v čo najväčšej miere zohľadní
stanovisko Komisie a informuje Komisiu a Európsky výbor pre ochranu údajov, či
má v úmysle zachovať alebo zmeniť a doplniť svoj návrh opatrenia. 3. Počas obdobia uvedeného v
odseku 1 dozorný orgán navrhované opatrenie neprijme. 4. Ak dotknutý dozorný orgán
nemá v úmysle postupovať podľa stanoviska Komisie, informuje o tom Komisiu
a Európsky výbor pre ochranu údajov v rámci lehoty uvedenej v odseku 1 a
predloží zdôvodnenie. V takom prípade sa navrhované opatrenie neprijme počas
ďalšieho jednomesačného obdobia. Článok 60
Pozastavenie návrhu opatrenia 1. Do jedného mesiaca po
oznámení uvedenom v článku 59 ods. 4 a v prípade, že Komisia má vážne
pochybnosti, či by navrhované opatrenie zabezpečilo riadne uplatňovanie tohto
nariadenia, alebo obavy, že by mohlo inak viesť k nekonzistentnému
uplatňovaniu, Komisia môže prijať odôvodnené rozhodnutie, ktorým požiada
dozorný orgán, aby pozastavil prijatie návrhu opatrenia, pričom vezme do úvahy
stanovisko vydané Európskym výborom pre ochranu údajov v súlade s článkom 58
ods. 7 alebo článkom 61 ods. 2, ak sa ukazuje potreba: a) zosúladiť rozdielne stanoviská dozorného
orgánu a Európskeho výboru pre ochranu údajov, pokiaľ je to ešte možné, alebo b) prijať opatrenie podľa článku 61 ods. 2
písm. a). 2. Komisia určí trvanie
pozastavenia, ktoré nepresahuje 12 mesiacov. 3. Počas obdobia uvedeného v odseku
2 dozorný orgán nemôže prijať navrhované opatrenie. Článok 61
Postup pre naliehavé prípady 1. Za výnimočných okolností, keď
sa dozorný orgán domnieva, že existuje naliehavá potreba konať s cieľom chrániť
záujmy dotknutej osoby, najmä keď existuje nebezpečenstvo, že presadzovaniu
práva dotknutej osoby by mohla podstatným spôsobom brániť zmena existujúceho
stavu, alebo je nutné predísť závažným nevýhodám, alebo z iných dôvodov,
môže dozorný orgán odchylne od postupu uvedeného v článku 58 okamžite prijať dočasné
opatrenia s určenou lehotou platnosti. Dozorný orgán bezodkladne oznámi
tieto opatrenia s úplným odôvodnením Európskemu výboru pre ochranu údajov a
Komisii. 2. Ak dozorný orgán neprijme
opatrenie podľa odseku 1 a usúdi, že je naliehavo potrebné prijať konečné
opatrenia, môže požiadať Európsky výbor pre ochranu údajov o urgentné
stanovisko, pričom uvedie dôvody, prečo požaduje takéto stanovisko vrátane
dôvodov naliehavosti konečných opatrení. 3. Ktorýkoľvek dozorný orgán
môže požiadať o urgentné stanovisko, ak príslušný dozorný orgán neprijal
primerané opatrenie v situácii, v ktorej existuje naliehavá potreba konať s
cieľom chrániť záujmy dotknutých osôb, pričom uvedie dôvody, prečo požaduje
takéto stanovisko, vrátane dôvodov naliehavej potreby konať. 4. Odchylne od článku 58 ods. 7
sa urgentné stanovisko uvedené v odsekoch 2 a 3 tohto článku prijme do dvoch
týždňov jednoduchou väčšinou členov Európskeho výboru pre ochranu údajov. Článok 62
Vykonávacie akty 1. Komisia môže prijať
vykonávacie akty s cieľom: a) rozhodnúť o správnom uplatňovaní tohto
nariadenia v súlade s jeho cieľmi a požiadavkami v súvislosti so
záležitosťami, ktoré oznámili dozorné orgány podľa článku 58 alebo 61,
a to vo veci, v ktorej bolo prijaté odôvodnené rozhodnutie v súlade s článkom
60 ods. 1, alebo vo veci, ku ktorej dozorný orgán nepredkladá návrh opatrenia a
tento dozorný orgán naznačil, že nemieni postupovať podľa stanoviska Komisie
prijatého podľa článku 59; b) rozhodnúť v lehote uvedenej v článku 59
ods. 1, či vyhlási, že štandardné ustanovenia o ochrane údajov uvedené v
článku 58 ods. 2 písm. d) majú všeobecnú platnosť; c) stanoviť formát a postupy na uplatňovanie
mechanizmu konzistentnosti uvedené v tomto oddiele; d) stanoviť úpravu výmeny informácií
elektronickými prostriedkami medzi dozornými orgánmi navzájom a medzi dozornými
orgánmi a Európskym výborom pre ochranu údajov, najmä štandardizovaný
formát uvedený v článku 58 ods. 5, 6 a 8. Tieto vykonávacie akty sa prijmú v súlade s
postupom preskúmania uvedeným v článku 87 ods. 2. 2. Na základe riadne
opodstatnených naliehavých dôvodov týkajúcich sa záujmov dotknutých osôb v
prípadoch uvedených v odseku 1 písm. a) Komisia bezodkladne prijme vykonávacie
akty v súlade s postupom uvedeným v článku 87 ods. 3. Tieto akty zostávajú v
platnosti počas obdobia nepresahujúceho 12 mesiacov. 3. Absenciou alebo prijatím
opatrenia podľa tohto oddielu nie je dotknuté žiadne iné opatrenie Komisie
prijaté na základe zmlúv. Článok 63
Vymáhanie 1. Na účely tohto nariadenia sa
vykonateľné opatrenie dozorného orgánu v jednom členskom štáte vykoná vo
všetkých dotknutých členských štátoch. 2. Ak dozorný orgán
v rozpore s článkom 58 ods. 1 až 5 nepredloží návrh opatrenia v rámci
mechanizmu konzistentnosti, opatrenie tohto dozorného orgánu nie je právoplatné
ani vymožiteľné. ODDIEL 3
EURÓPSKY VÝBOR PRE OCHRANU ÚDAJOV Článok 64
Európsky výbor pre ochranu údajov 1. Týmto sa zriaďuje Európsky
výbor pre ochranu údajov. 2. Európsky výbor pre ochranu
údajov pozostáva z vedúcich predstaviteľov dozorných orgánov, vždy jedného
z každého členského štátu, a európskeho dozorného úradníka pre ochranu údajov. 3. Ak v členskom štáte zodpovedá
za monitorovanie uplatňovania ustanovení podľa tohto nariadenia viac než jeden
orgán, tieto orgány určia vedúceho predstaviteľa jedného z týchto dozorných
orgánov ako spoločného zástupcu. 4. Komisia má právo zúčastňovať
sa na činnosti a zasadnutiach Európskeho výboru pre ochranu údajov a určí na
tento účel svojho zástupcu. Predseda Európskeho výboru pre ochranu údajov bezodkladne
informuje Komisiu o všetkých aktivitách Európskeho výboru pre ochranu údajov. Článok 48
Nezávislosť 1. Európsky výbor pre ochranu
údajov koná nezávisle pri vykonávaní svojich úloh podľa článkov 66 a 67. 2. Bez toho, aby boli dotknuté
žiadosti Komisie uvedené v odseku 1 písm. b) a v článku 66 ods. 2,
Európsky výbor pre ochranu údajov pri výkone svojich úloh nebude žiadať ani
prijímať pokyny od žiadneho subjektu. Článok 66
Úlohy Európskeho výboru pre ochranu údajov 1. Európsky výbor pre ochranu údajov
zabezpečuje konzistentné uplatňovanie tohto nariadenia. Na tento účel Európsky
výbor pre ochranu údajov na základe vlastnej iniciatívy alebo na požiadanie
Komisie konkrétne: a) poskytuje Komisii poradenstvo v
akejkoľvek otázke týkajúcej sa ochrany osobných údajov v Únii vrátane
akýchkoľvek navrhovaných zmien a doplnení tohto nariadenia; b) preskúmava z vlastnej iniciatívy alebo na
žiadosť svojich členov, alebo na žiadosť Komisie akúkoľvek otázku týkajúcu sa
uplatňovania tohto nariadenia a vydáva usmernenia, odporúčania a najlepšie
postupy určené dozorným orgánom s cieľom podporiť konzistentné uplatňovanie
tohto nariadenia; c) preskúmava praktické uplatňovanie
usmernení, odporúčaní a najlepších postupov uvedených v písm. b) a v
pravidelných intervaloch o nich podáva Komisii správu; d) vydáva stanoviská k návrhom rozhodnutí
dozorných orgánov v rámci mechanizmu konzistentnosti uvedeného v článku 57; e) podporuje spoluprácu a účinnú dvojstrannú
a mnohostrannú výmenu informácií a postupov medzi dozornými orgánmi; f) podporuje spoločné programy odborného
vzdelávania a uľahčuje výmeny zamestnancov medzi dozornými orgánmi, a to podľa
potreby aj vrátane dozorných orgánov tretích krajín či medzinárodných
organizácií; g) podporuje výmenu poznatkov a dokumentácie
s dozornými orgánmi pre ochranu údajov z celého sveta, pokiaľ ide o právne
predpisy na ochranu údajov a prax v tejto sfére. 2. V prípade, že Komisia požiada
Európsky výbor pre ochranu údajov o poskytnutie poradenstva, môže stanoviť
časovú lehotu, v rámci ktorej je tento výbor povinný toto poradenstvo
poskytnúť, pričom sa zohľadní naliehavosť predmetnej záležitosti. 3. Európsky výbor pre ochranu
údajov predkladá svoje stanoviská, usmernenia, odporúčania a najlepšie postupy
Komisii a výboru podľa článku 87 a tieto dokumenty zverejňuje. 4. Komisia informuje Európsky
výbor pre ochranu údajov o krokoch, ktoré podnikla na základe stanovísk,
usmernení, odporúčaní a osvedčených postupov vydaných Európskym výborom pre
ochranu údajov. Článok 67
Podávanie správ 1. Európsky výbor pre ochranu
údajov pravidelne a včas informuje Komisiu o výsledkoch svojej činnosti.
Vypracúva výročnú správu o situácii v oblasti ochrany fyzických osôb pri
spracúvaní osobných údajov v Únii a tretích krajinách. Správa obsahuje zhodnotenie praktického
uplatňovania usmernení, odporúčaní a najlepších postupov uvedených v
článku 66 ods. 1 písm. c). 2. Správa sa zverejní a zašle sa
Európskemu parlamentu, Rade a Komisii. Článok 68
Postup 1. Európsky výbor pre ochranu
údajov prijíma rozhodnutia jednoduchou väčšinou svojich členov. 2. Európsky výbor pre ochranu
údajov prijme svoj rokovací poriadok a stanoví svoje pracovné postupy.
Zabezpečí predovšetkým kontinuitu vykonávania funkčných povinností
v prípade, že uplynie funkčné obdobie člena alebo sa tento vzdá funkcie,
ďalej ustanovenie podriadených skupín pre špecifické otázky alebo sektory
a vlastné postupy týkajúce sa mechanizmu konzistentnosti uvedeného
v článku 57. Článok 69
Predseda 1. Európsky výbor pre ochranu
údajov zvolí svojho predsedu a dvoch zástupcov predsedu spomedzi svojich
členov. Jedným zo zástupcov predsedu je európsky dozorný úradník pre ochranu
údajov, pokiaľ nebol zvolený za predsedu. 2. Funkčné obdobie predsedu a
zástupcu predsedu je päť rokov a je obnoviteľné. Článok 70
Úlohy predsedu 1. Predseda má tieto úlohy: a) zvoláva zasadnutia Európskeho výboru pre
ochranu údajov a pripravuje ich program; b) zabezpečuje včasné plnenie úloh
Európskeho výboru pre ochranu údajov, najmä v súvislosti s mechanizmom
konzistentnosti uvedeným v článku 57. 2. Európsky výbor pre ochranu
údajov stanoví vo svojom rokovacom poriadku rozdelenie úloh pre predsedu a
zástupcov predsedu. Článok 71
Sekretariát 1. Európsky výbor pre ochranu
údajov má k dispozícii sekretariát. Tento sekretariát zabezpečí európsky
dozorný úradník pre ochranu údajov. 2. Sekretariát poskytuje
analytickú, administratívnu a logistickú podporu Európskemu výboru pre ochranu
údajov pod vedením predsedu. 3. Sekretariát je zodpovedný
najmä za: a) plnenie každodenných úloh Európskeho
výboru pre ochranu údajov; b) komunikáciu medzi členmi Európskeho
výboru pre ochranu údajov, medzi jeho predsedom Komisiou, ako aj za komunikáciu
s ostatnými inštitúciami a verejnosťou; c) používanie elektronických prostriedkov na
internú a externú komunikáciu; d) preklady relevantných informácií; e) prípravu a opatrenia nadväzujúce na
stretnutie Európskeho výboru pre ochranu údajov; f) prípravu, formulovanie a uverejňovanie
stanovísk a iných dokumentov prijatých Európskym výborom pre ochranu údajov. Článok 72
Dôvernosť 1. Zasadnutia Európskeho výboru
pre ochranu údajov sú dôverné. 2. Dokumenty predložené členom
Európskeho výboru pre ochranu údajov, expertom a zástupcom tretích strán
sú dôverné, pokiaľ nie je udelený prístup k týmto dokumentom v súlade s
nariadením (ES) č. 1049/2001, alebo pokiaľ ich Európsky výbor pre ochranu
údajov nezverejní inak. 3. Od členov výboru, ako aj
odborníkov a zástupcov tretích strán sa vyžaduje, aby rešpektovali povinnosti
týkajúce sa dôvernosti stanovené v tomto článku. Predseda zabezpečí, aby
experti a zástupcovia tretích strán boli oboznámení s požiadavkami dôvernosti,
ktoré sú na nich kladené. KAPITOLA VIII PROSTRIEDKY NÁPRAVY, ZODPOVEDNOSŤ A SANKCIE
Článok 73
Právo podať sťažnosť dozornému orgánu 1. Bez toho, aby boli dotknuté
akékoľvek iné správne alebo súdne prostriedky nápravy, má každá dotknutá osoba
právo podať sťažnosť dozornému orgánu v ktoromkoľvek členskom štáte, ak sa
domnieva, že spracovanie osobných údajov, ktoré sa jej týkajú, nie je v súlade
s týmto nariadením. 2. Všetky orgány, organizácie či
združenia, ktorých cieľom je ochrana práv a záujmov dotknutých osôb v
súvislosti s ochranou ich osobných údajov a ktoré boli právoplatne zriadené
podľa právnych predpisov členského štátu, majú právo podať sťažnosť v mene
jednej či viacerých dotknutých osôb dozornému orgánu v ktoromkoľvek
členskom štáte, ak sa domnievajú, že v dôsledku spracovania osobných údajov
došlo k porušeniu práv dotknutých osôb podľa tohto nariadenia. 3. Nezávisle od sťažnosti
podanej dotknutou osobou majú všetky organizácie či združenia podľa odseku 2
právo podať sťažnosť dozornému orgánu v ktoromkoľvek členskom štáte, ak sa
domnievajú, že došlo k porušeniu ochrany osobných údajov. Článok 74
Právo na súdny prostriedok nápravy voči dozornému orgánu 1. Každá fyzická alebo právnická
osoba má právo na súdne prostriedky nápravy voči rozhodnutiam dozorného orgánu,
ktoré sa ich týkajú. 2. Každá dotknutá osoba má právo
na súdny prostriedok nápravy ukladajúci dozornému orgánu povinnosť konať vo
veci sťažnosti, ak nebolo prijaté rozhodnutie potrebné na ochranu práv
dotknutej osoby, alebo ak dozorný orgán neinformoval dotknutú osobu do troch
mesiacov o pokroku vo veci sťažnosti či o jej výsledku podľa článku 52 ods. 1
písm. b). 3. Návrh na začatie konania proti
dozornému orgánu sa podáva na súdoch členského štátu, v ktorom má dozorný úrad
sídlo. 4. Dotknutá osoba, ktorej sa
týka rozhodnutie dozorného orgánu so sídlom v inom členskom štáte než je štát
jej obvyklého pobytu, môže požiadať dozorný orgán členského štátu, v ktorom má
svoj obvyklý pobyt, aby začal konanie voči príslušnému dozornému orgánu v
uvedenom druhom členskom štáte. 5. Členské štáty zabezpečia
výkon právoplatných rozhodnutí súdov uvedených v tomto článku. Článok 75
Právo na súdny prostriedok nápravy voči prevádzkovateľovi či
sprostredkovateľovi 1. Bez toho, aby bol dotknutý
akýkoľvek dostupný správny prostriedok nápravy vrátane práva na podanie
sťažnosti dozornému orgánu podľa článku 73, má každá fyzická osoba právo na
súdny prostriedok nápravy, ak sa domnieva, že v dôsledku spracovania jej
osobných údajov v rozpore s týmto nariadením došlo k porušeniu jej práv
ustanovených týmto nariadením. 2. Návrh na začatie konania
proti prevádzkovateľovi alebo sprostredkovateľovi sa podáva na súdoch členského
štátu, v ktorom má prevádzkovateľ alebo sprostredkovateľ takéto zariadenie
v činnosti. Návrh na začatie takéhoto konania možno podať aj na súdoch
členského štátu, v ktorom má dotknutá osoba svoj obvyklý pobyt, pokiaľ
prevádzkovateľom nie je verejný orgán konajúci v rámci výkonu svojich verejných
právomocí. 3. Ak prebiehajú konania
v rámci mechanizmu konzistentnosti podľa článku 58, ktoré sa týkajú
rovnakej záležitosti, rozhodnutia alebo postupu, súd môže pozastaviť konanie,
vo veci ktorého mu bol podaný návrh, s výnimkou prípadu, že naliehavosť
záležitosti z hľadiska ochrany práv dotknutej osoby neumožňuje čakať na
výsledok konania v rámci mechanizmu konzistentnosti. 4. Členské štáty zabezpečia
výkon právoplatných rozhodnutí súdov uvedených v tomto článku. Článok 76
Spoločné pravidlá pre súdne konania 1. Každý orgán, organizácia či
združenie uvedené v článku 73 ods. 2 má právo uplatňovať práva uvedené v
článkoch 74 a 75 v mene jednej či viacerých dotknutých osôb. 2. Každý dozorný orgán má právo
zúčastniť sa na súdnych konaniach a podať návrh na začatie súdneho konania na
účely presadzovania ustanovení tohto nariadenia alebo na zabezpečenie
konzistentnosti ochrany osobných údajov v rámci Únie. 3. Ak príslušný súd členského
štátu má opodstatnené dôvody domnievať sa, že sa v inom členskom štáte
vedie súbežné konanie, kontaktuje príslušný súd v tomto inom členskom
štáte, aby ten potvrdil existenciu takéhoto súbežného konania. 4. Ak sa takéto súbežné konanie
v inom členskom štáte týka rovnakého opatrenia, rozhodnutia alebo postupu, súd
môže konanie pozastaviť. 5. Členské štáty zabezpečia, aby
súdne prostriedky nápravy, dostupné podľa vnútroštátnych právnych predpisov,
umožňovali rýchle prijímanie opatrení vrátane predbežných opatrení určených na
ukončenie akéhokoľvek domnelého porušovania predpisov a na predchádzanie
ďalšiemu poškodzovaniu príslušných záujmov. Článok 77
Právo na kompenzáciu a zodpovednosť 1. Každá osoba, ktorá utrpela
škodu v dôsledku nezákonnej operácie spracovania alebo konania nezlučiteľného s
týmto nariadením, má nárok na kompenzáciu od prevádzkovateľa alebo
sprostredkovateľa za škodu, ktorú utrpela. 2. Ak je do spracovania zapojený
viac než jeden prevádzkovateľ či sprostredkovateľ, je za celú sumu náhrady
škody zodpovedný spoločne a nerozdielne každý prevádzkovateľ či
sprostredkovateľ. 3. Prevádzkovateľ či
sprostredkovateľ môže byť úplne alebo čiastočne zbavený tejto zodpovednosti, ak
poskytne dôkaz o tom, že nenesie zodpovednosť za udalosť, ktorá bola príčinou
vzniknutej škody. Článok 78
Sankcie 1. Členské štáty stanovia
pravidlá pre sankcie uplatniteľné v prípade porušenia ustanovení tohto
nariadenia a prijmú všetky potrebné opatrenia na zabezpečenie ich vykonávania,
vrátane prípadu, keď prevádzkovateľ nesplnil povinnosť ustanoviť svojho
zástupcu. Stanovené sankcie musia byť účinné, primerané a odrádzajúce. 2. Ak prevádzkovateľ ustanovil
svojho zástupcu, všetky prípadné sankcie sa uplatňujú voči zástupcovi bez toho,
aby boli dotknuté sankcie, ktoré by mohli byť iniciované proti prevádzkovateľovi. 3. Do dátumu uvedeného v článku
91 ods. 2 každý členský štát oznámi Komisii ustanovenia svojich právnych
predpisov, ktoré prijme podľa odseku 1, a bezodkladne oznámia aj všetky
následné zmeny a doplnenia, ktoré ich ovplyvňujú. Článok 79
Správne sankcie 1. Každý dozorný orgán má
právomoc ukladať správne sankcie v súlade s týmto článkom. 2. Správna sankcia musí byť
účinná, primeraná a odrádzajúca. Výška správnej sankcie sa stanoví s
náležitým zohľadnením povahy, závažnosti a dĺžky trvania porušenia,
úmyselného alebo nedbanlivostného charakteru porušenia, stupňa zodpovednosti
fyzickej alebo právnickej osoby a predchádzajúcich porušení zo strany tejto
osoby, technických a organizačných opatrení a postupov zavedených v súlade s
článkom 23, ako aj úrovne spolupráce s dozorným orgánom pri náprave porušenia. 3. V prípade prvého,
neúmyselného nedodržania ustanovení tohto nariadenia sa vydá písomné
upozornenie a sankcia sa neuloží, ak: (f)
fyzická osoba spracúva osobné údaje bez komerčného
záujmu alebo (g)
podnik alebo organizácia zamestnávajúce menej než
250 osôb spracúvajú osobné údaje iba ako vedľajšiu činnosť popri svojej hlavnej
činnosti. 4. Dozorný orgán uloží pokutu až
do výšky 250 000 EUR, alebo v prípade podniku až do výšky 0,5 % jeho
ročného celosvetového obratu komukoľvek, kto úmyselne alebo
z nedbanlivosti: (h)
nezavedie mechanizmy týkajúce sa žiadostí
dotknutých osôb alebo neodpovie dotknutým osobám bez zbytočného odkladu, alebo
v požadovanom formáte v súlade s článkom 12 ods. 1 a 2; (i)
účtuje poplatok za informácie alebo za poskytnutie
odpovedí na žiadosti dotknutých osôb v rozpore s článkom 12 ods. 4. 5. Dozorný orgán uloží pokutu až
do výšky 500 000 EUR, alebo v prípade podniku až do výšky 1 % jeho ročného
celosvetového obratu komukoľvek, kto úmyselne alebo z nedbanlivosti: (j)
neposkytne dotknutej osobe informácie, alebo jej
poskytne neúplné informácie alebo jej neposkytne informácie dostatočne
transparentným spôsobom podľa článku 11, článku 12 ods. 3 a článku 14; (k)
neposkytne prístup dotknutej osobe alebo neopraví
osobné údaje podľa článkov 15 a 16 alebo neoznámi príslušné informácie
príjemcovi podľa článku 13; (l)
nerešpektuje právo byť zabudnutý alebo právo na
vymazanie, alebo nezaviedol mechanizmy na dodržanie časových limitov, alebo
nevykonal všetky potrebné kroky na informovanie tretích strán, že dotknutá
osoba žiada vymazať akékoľvek odkazy, kópie, alebo replikácie osobných údajov
podľa článku 17; (m)
v rozpore s článkom 18 neposkytne kópiu osobných
údajov v elektronickom formáte alebo bráni dotknutej osobe preniesť si
osobné údaje do inej aplikácie; (n)
neurčil, alebo nedostatočne určil príslušné
povinnosti s spoločných prevádzkovateľov podľa článku 24; (o)
neuchováva alebo nedostatočne uchováva dokumentáciu
podľa článku 28, článku 31 ods. 4 a článku 44 ods. 3; (p)
v prípadoch, keď nejde o osobitné kategórie údajov,
nepostupuje podľa článkov 80, 82 a 83 a pravidiel týkajúcich sa slobody
prejavu, pravidiel spracúvania v súvislosti s pracovným pomerom, či podľa
podmienok pre spracovanie na historické, štatistické a vedeckovýskumné účely. 6. Dozorný orgán uloží pokutu až
do výšky 1 000 000 EUR, alebo v prípade podniku až do výšky 2 %
jeho ročného celosvetového obratu komukoľvek, kto úmyselne alebo
z nedbanlivosti: (q)
spracúva osobné údaje bez akéhokoľvek alebo
dostatočného právneho základu pre spracovanie, alebo nedodržiava podmienky na
udelenie súhlasu podľa článkov 6, 7 a 8; (r)
spracúva osobitné kategórie údajov v rozpore s
článkami 9 a 81; (s)
nevyhovie námietke alebo požiadavke podľa článku
19; (t)
nedodržiava podmienky, pokiaľ ide o opatrenia založené
na profilovaní podľa článku 20; (u)
neprijme interné pravidlá alebo nezavedie primerané
opatrenia na zabezpečenie a preukázanie zhody podľa článkov 22, 23 a 30; (v)
neustanoví svojho zástupcu podľa článku 25; (w)
spracúva alebo nariaďuje spracovanie osobných
údajov v rozpore s povinnosťami týkajúcimi sa spracovania v mene
prevádzkovateľa podľa článkov 26 a 27; (x)
neupozorní na porušenie ochrany osobných údajov
alebo neoznámi porušenie ochrany údajov včas alebo vôbec dozornému orgánu alebo
dotknutej osobe podľa článkov 31 a 32; (y)
nevykoná posúdenie vplyvu na ochranu údajov alebo
spracúva osobné údaje bez predchádzajúceho povolenia alebo konzultácie vopred
zo strany dozorného orgánu podľa článkov 33 a 34; (z)
neurčí úradníka pre ochranu údajov alebo
nezabezpečuje podmienky na plnenie úloh podľa článkov 35, 36 a 37; (aa)
zneužíva plombu alebo značku pre potreby ochrany
údajov uvedené v článku 39; (bb)
vykonáva alebo nariaďuje prenos údajov do tretej
krajiny alebo medzinárodnej organizácii, ktorý nie je povolený na základe
rozhodnutia o primeranosti, alebo náležitými zárukami, alebo prostredníctvom
odchýlky podľa článkov 40 až 44; (cc)
nesplní príkaz alebo dočasný alebo definitívny
zákaz zo strany dozorného orgánu na spracovanie alebo pozastavenie tokov údajov
podľa článku 53 ods. 1; (dd)
neplní povinnosť pomáhať alebo odpovedať, či
poskytnúť príslušné informácie alebo prístup dozornému orgánu do svojich
priestorov v súlade s článkom 28 ods. 3, článkom 29, článkom 34 ods. 6 a
článkom 53 ods. 2; (ee)
nedodržiava pravidlá zachovávania služobného tajomstva
v zmysle článku 84. 7. Komisia je splnomocnená
prijať delegované akty v súlade s článkom 86 s cieľom aktualizovať sumy
správnych sankcií uvedených v odsekoch 4, 5 a 6 so zreteľom na kritériá
uvedené v odseku 2. KAPITOLA IX
USTANOVENIA TÝKAJÚCE SA OSOBITNÝCH SITUÁCIÍ SPRACÚVANIA ÚDAJOV Článok 80
Spracúvanie osobných údajov a sloboda prejavu 1. Členské
štáty stanovia výnimky a odchýlky od ustanovení týkajúcich sa všeobecných zásad
v kapitole II, práv dotknutých osôb v kapitole III, prevádzkovateľa
a sprostredkovateľa v kapitole IV, prenosu osobných údajov do tretích
krajín a medzinárodným organizáciám v kapitole V, nezávislých dozorných
orgánov v kapitole VI a spolupráce a konzistentnosti v kapitole VII,
platné pre spracúvanie osobných údajov vykonávané výlučne na žurnalistické
účely alebo na účely umeleckej alebo literárnej tvorby s cieľom zosúladiť právo
na ochranu osobných údajov s pravidlami, ktorými sa riadi sloboda prejavu. 2. Do dátumu uvedeného v článku
91 ods. 2 každý členský štát oznámi Komisii ustanovenia svojich právnych
predpisov, ktoré prijal podľa odseku 1, a bezodkladne oznámi aj všetky následné
právne predpisy či zmeny a doplnenia, ktoré ich ovplyvňujú. Článok 81
Spracúvanie osobných údajov týkajúcich sa zdravia 1. V medziach tohto nariadenia a
v súlade s článkom 9 ods. 2 písm. h) sa spracúvanie osobných údajov
týkajúcich sa zdravia musí vykonávať na základe právnych predpisov Únie alebo
právnych predpisov členského štátu, zabezpečujúcich vhodné a konkrétne
opatrenia na ochranu oprávnených záujmov dotknutej osoby, a musí byť
potrebné: a) na účely preventívneho alebo pracovného
lekárstva, lekárskej diagnostiky, poskytovania starostlivosti alebo terapií,
alebo riadenia služieb zdravotnej starostlivosti, a v prípade, že tieto údaje
spracúva zdravotnícky odborník, ktorý podlieha povinnosti zachovávať lekárske
tajomstvo, alebo iná osoba, ktorá takisto podlieha rovnocennej povinnosti
dôvernosti podľa právnych predpisov členského štátu alebo pravidiel
ustanovených príslušnými vnútroštátnymi orgánmi, alebo b) z dôvodov verejného záujmu v oblasti
verejného zdravia, ako je ochrana proti závažným cezhraničným hrozbám pre
zdravie alebo zabezpečenie vysokých noriem kvality a bezpečnosti, okrem
iného pre lieky a zdravotnícke pomôcky, alebo c) z iných dôvodov verejného záujmu v
oblastiach, ako je sociálna ochrana, najmä s cieľom zabezpečiť kvalitu
a nákladovú efektívnosť postupov používaných na uspokojovanie nárokov na
plnenie a služby v systéme zdravotného poistenia. 2. Spracúvanie osobných údajov
týkajúcich sa zdravia, ktoré je potrebné na historické, štatistické alebo
vedeckovýskumné účely a medzi ktoré patria registre pacientov vytvorené na
zlepšenie diagnostiky a rozlišovanie medzi podobnými typmi chorôb a na
prípravu štúdií na liečbu, podlieha podmienkam a zárukám uvedeným
v článku 83. 3. Komisia je splnomocnená
prijať delegované akty v súlade s článkom 86 s cieľom bližšie určiť iné dôvody
verejného záujmu v oblasti verejného zdravia v zmysle odseku 1
písm. b), ako aj kritériá a požiadavky, pokiaľ ide o záruky pri
spracúvaní osobných údajov na účely uvedené v odseku 1. Článok 82
Spracúvanie v súvislosti so zamestnaním 1. Členské štáty môžu v medziach
tohto nariadenia prijať v zákonnej podobe konkrétne pravidlá upravujúce
spracúvanie osobných údajov zamestnancov v súvislosti s pracovným
pomerom, najmä na účely prijatia do zamestnania, výkonu pracovnej zmluvy
vrátane plnenia zákonných povinností a povinností vyplývajúcich
z kolektívnych zmlúv, ďalej na účely riadenia, plánovania a organizácie
práce, ochrany zdravia a bezpečnosti pri práci, ako aj na účely
uplatňovania a využívania práv a výhod súvisiacich so zamestnaním na
individuálnom alebo kolektívnom základe, a na účely ukončenia pracovného
pomeru. 2. Do
dátumu uvedeného v článku 91 ods. 2 každý členský štát oznámi Komisii
ustanovenia svojich právnych predpisov, ktoré prijme podľa odseku 1, a
bezodkladne oznámi aj všetky následné zmeny a doplnenia, ktoré ich ovplyvňujú. 3. Komisia je splnomocnená
prijať delegované akty v súlade s článkom 86 s cieľom bližšie určiť kritériá a
požiadavky, pokiaľ ide o záruky vyžadované pri spracúvaní osobných údajov na
účely uvedené v odseku 1. Článok 83
Spracúvanie na historické, štatistické a vedeckovýskumné účely 1. V medziach tohto nariadenia
sa osobné údaje môžu spracúvať na historické, štatistické alebo vedeckovýskumné
účely, len ak: a) tieto ciele nemožno inak splniť takým
spôsobom spracovania údajov, ktorý neumožňuje alebo už ďalej neumožňuje
identifikovať dotknutú osobu; b) údaje umožňujúce priradenie informácie
určenej alebo určiteľnej dotknutej osobe sú uchovávané oddelene od ostatných
informácií, pokiaľ predmetné účely možno splniť týmto spôsobom. 2. Orgány vykonávajúce
historický, štatistický alebo vedecký výskum môžu zverejniť alebo inak verejne
sprístupniť osobné údaje, len ak: a) dotknutá osoba vyjadrila súhlas s
výhradou podmienok ustanovených v článku 7; b) zverejnenie osobných údajov je potrebné
na prezentáciu výsledkov výskumu alebo na uľahčenie výskumu, pokiaľ záujmy
alebo základné práva a slobody dotknutej osoby neprevažujú nad týmito záujmami,
alebo c) dotknutá osoba už tieto údaje zverejnila. 3. Komisia je splnomocnená
prijať delegované akty v súlade s článkom 86 s cieľom bližšie určiť kritériá a
požiadavky na spracovanie osobných údajov na účely uvedené v odsekoch 1
a 2, ako aj akékoľvek nevyhnutné obmedzenia práva na informácie
a prístupu dotknutej osoby, a podrobne uviesť podmienky a záruky týkajúce
sa práv dotknutej osoby za týchto okolností. Článok 84
Povinnosť zachovávať mlčanlivosť 1. Členské štáty môžu v medziach
tohto nariadenia prijať špecifické pravidlá stanovujúce vyšetrovacie právomoci
dozorných orgánov uvedené v článku 53 ods. 2, pokiaľ ide
o prevádzkovateľov alebo sprostredkovateľov, ktorí na základe
vnútroštátneho práva alebo pravidiel stanovených príslušnými vnútroštátnymi
orgánmi podliehajú povinnosti služobného tajomstva alebo inej rovnocennej
povinnosti zachovávať mlčanlivosť, ak je to potrebné a primerané na zosúladenie
práva na ochranu osobných údajov s povinnosťou zachovávať mlčanlivosť. Tieto
pravidlá sa uplatňujú iba na osobné údaje, ktoré prevádzkovateľ alebo
sprostredkovateľ dostali alebo získali pri činnosti, na ktorú sa vzťahuje táto
povinnosť zachovávať mlčanlivosť. 2. Do dátumu uvedeného v článku
91 ods. 2 každý členský štát oznámi Komisii pravidlá prijaté podľa odseku 1 a
bezodkladne oznámi aj všetky následné zmeny a doplnenia, ktoré ich
ovplyvňujú. Článok 85
Existujúce pravidlá ochrany údajov cirkví a náboženských združení 1. Ak v čase nadobudnutia
platnosti tohto nariadenia cirkvi a náboženské združenia v niektorom
členskom štáte uplatňujú komplexné pravidlá ochrany fyzických osôb pri
spracúvaní osobných údajov, tieto pravidlá možno aj naďalej uplatňovať za
podmienky, že sa zosúladia s ustanoveniami tohto nariadenia. 2. Cirkvi a náboženské
združenia, ktoré uplatňujú komplexné pravidlá v súlade s článkom 1,
zabezpečia zriadenie nezávislého dozorného orgánu v súlade s kapitolou VI
tohto nariadenia. KAPITOLA X
DELEGOVANÉ AKTY A VYKONÁVACIE AKTY Článok 86
Výkon delegovaných právomocí 1. Právomoc prijímať delegované
akty sa Komisii udeľuje za podmienok stanovených v tomto článku. 2. Delegovanie právomoci uvedené
v článku 6 ods. 5, článku 8 ods. 3, článku 9 ods. 3, článku 12 ods. 5, článku
14 ods. 7, článku 15 ods. 3, článku 17 ods. 9, článku 20 ods. 6, článku 22 ods.
4, článku 23 ods. 3, článku 26 ods. 5, článku 28 ods. 5, článku 30 ods. 3,
článku 31 ods. 5, článku 32 ods. 5, článku 33 ods. 6, článku 34 ods. 8, článku
35 ods. 11, článku 37 ods. 2, článku 39 ods. 2, článku 43 ods. 3, článku 44
ods. 7, článku 79 ods. 6, článku 81 ods. 3, článku 82 ods. 3 a článku 83 ods. 3
sa Komisii udeľuje na dobu neurčitú odo dňa nadobudnutia účinnosti tohto
nariadenia. 3. Delegovanie právomoci uvedené
v článku 6 ods. 5, článku 8 ods. 3, článku 9 ods. 3, článku 12 ods. 5, článku
14 ods. 7, článku 15 ods. 3, článku 17 ods. 9, článku 20 ods. 6, článku 22 ods.
4, článku 23 ods. 3, článku 26 ods. 5, článku 28 ods. 5, článku 30 ods. 3,
článku 31 ods. 5, článku 32 ods. 5, článku 33 ods. 6, článku 34 ods. 8, článku
35 ods. 11, článku 37 ods. 2, článku 39 ods. 2, článku 43 ods. 3, článku 44
ods. 7, článku 79 ods. 6, článku 81 ods. 3, článku 82 ods. 3 a článku 83 ods. 3
môže Európsky parlament alebo Rada kedykoľvek odvolať. Rozhodnutím o odvolaní
sa ukončuje delegovanie právomoci v ňom uvedenej. Rozhodnutie nadobúda
účinnosť dňom nasledujúcim po jeho uverejnení v Úradnom vestníku Európskej
únie alebo k neskoršiemu dátumu, ktorý je v ňom určený. Nie je ním
dotknutá platnosť delegovaných aktov, ktoré už nadobudli účinnosť. 4. Komisia oznamuje delegovaný
akt Európskemu parlamentu a Rade súčasne, a to hneď po jeho prijatí. 5. Delegovaný akt prijatý podľa
článku 6 ods. 5, článku 8 ods. 3, článku 9 ods. 3, článku 12 ods. 5, článku 14
ods. 7, článku 15 ods. 3, článku 17 ods. 9, článku 20 ods. 6, článku 22 ods. 4,
článku 23 ods. 3, článku 26 ods. 5, článku 28 ods. 5, článku 30 ods. 3, článku
31 ods. 5, článku 32 ods. 5, článku 33 ods. 6, článku 34 ods. 8, článku 35 ods.
11, článku 37 ods. 2, článku 39 ods. 2, článku 43 ods. 3, článku 44 ods. 7,
článku 79 ods. 6, článku 81 ods. 3, článku 82 ods. 3 a článku 83 ods. 3
nadobudne účinnosť, len ak Európsky parlament alebo Rada voči nemu nevzniesli
námietku v lehote dvoch mesiacov odo dňa oznámenia uvedeného aktu Európskemu
parlamentu a Rade alebo ak Európsky parlament a Rada pred uplynutím
uvedenej lehoty informovali Komisiu o svojom rozhodnutí nevzniesť námietku. Na
podnet Európskeho parlamentu alebo Rady sa táto lehota predĺži o dva mesiace. Článok 87
Postup výboru 1. Komisii pomáha výbor. Tento
výbor je výborom v zmysle nariadenia (EÚ) č. 182/2011. 2. Ak sa odkazuje na tento
odsek, uplatňuje sa článok 5 nariadenia (EÚ) č. 182/2011. 3. Ak sa odkazuje na tento
odsek, uplatňuje sa článok 8 nariadenia (EÚ) č. 182/2011 v spojení
s jeho článkom 5. KAPITOLA XI ZÁVEREČNÉ USTANOVENIA Článok 88
Zrušenie smernice 95/46/ES 1. Smernica 95/46/ES sa zrušuje.
2. Odkazy na zrušenú smernicu sa
považujú za odkazy na toto nariadenie. Odkazy na pracovnú skupinu pre ochranu
jednotlivcov so zreteľom na spracovanie osobných údajov, ustanovenú článkom 29
smernice 95/46/ES, sa považujú za odkazy na Európsky výbor pre ochranu údajov
ustanovený týmto nariadením. Článok 89
Vzťah k smernici 2002/58/ES a zmeny a doplnenia uvedenej smernice 1. Toto nariadenie neukladá
dodatočné povinnosti fyzickým či právnickým osobám pri spracúvaní osobných
údajov v súvislosti s poskytovaním verejne dostupných elektronických
komunikačných služieb v Únii, pokiaľ ide o záležitosti, v ktorých podliehajú
konkrétnym povinnostiam s rovnakým cieľom, stanoveným v smernici 2002/58/ES. 2 Článok 1 ods. 2 smernice
2002/58/ES sa vypúšťa. Článok 90
Hodnotenie Komisia predkladá správy o zhodnotení a
preskúmaní tohto nariadenia Európskemu parlamentu a Rade v pravidelných
intervaloch. Prvá správa sa predloží najneskôr do štyroch rokov po nadobudnutí
účinnosti tohto nariadenia. Následné správy sa potom predkladajú každé štyri
roky. Komisia v prípade potreby predloží vhodné návrhy s cieľom zmeniť
a doplniť toto nariadenie, a zosúladiť iné právne nástroje, pričom
zohľadní najmä vývoj v oblasti informačných technológií a vychádza
z aktuálneho stavu pokroku v informačnej spoločnosti. Tieto správy sa
zverejnia. Článok 91
Nadobudnutie účinnosti a uplatňovanie 1. Toto nariadenie nadobúda
účinnosť dvadsiatym dňom po jeho uverejnení v Úradnom vestníku Európskej
únie. 2. Uplatňuje sa od [dva roky
od dátumu uvedeného v odseku 1]. Toto nariadenie je záväzné v celom
rozsahu a priamo uplatniteľné vo všetkých členských štátoch. V Bruseli 25. 1. 2012 Za Európsky parlament Za
Radu predseda predseda LEGISLATÍVNY FINANČNÝ VÝKAZ 1. RÁMEC NÁVRHU/INICIATÍVY 1.1. Názov návrhu/iniciatívy 1.2. Príslušné
oblasti politiky v rámci ABM/ABB 1.3. Druh
návrhu/iniciatívy 1.4. Ciele
1.5. Dôvody
návrhu/iniciatívy 1.6. Trvanie
akcie a jej finančného vplyvu 1.7. Plánovaný
spôsob hospodárenia 2. OPATRENIA V OBLASTI RIADENIA 2.1. Opatrenia
týkajúce sa kontroly a predkladania správ 2.2. Systémy
riadenia a kontroly 2.3. Opatrenia
na predchádzanie podvodom a nezrovnalostiam 3. ODHADOVANÝ FINANČNÝ VPLYV
NÁVRHU/INICIATÍVY 3.1. Príslušné
okruhy viacročného finančného rámca a rozpočtové riadky výdavkov 3.2. Odhadovaný
vplyv na výdavky 3.2.1. Zhrnutie
odhadovaného vplyvu na výdavky 3.2.2. Odhadovaný vplyv na
operačné rozpočtové prostriedky 3.2.3. Odhadovaný vplyv na
administratívne rozpočtové prostriedky 3.2.4. Súlad s platným
viacročným finančným rámcom 3.2.5. Účasť tretích strán
na financovaní 3.3. Odhadovaný vplyv na príjmy LEGISLATÍVNY
FINANČNÝ VÝKAZ
1.
RÁMEC NÁVRHU/INICIATÍVY
V tomto finančnom výkaze sú podrobnejšie rozvedené
požiadavky na administratívne výdavky s cieľom uskutočniť reformu ochrany
údajov, ako je to uvedené v príslušnom posúdení vplyvu. Reforma zahŕňa dva
legislatívne návrhy, všeobecné nariadenie o ochrane údajov a smernicu o ochrane
fyzických osôb pri spracúvaní osobných údajov príslušnými orgánmi na účely
predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania
alebo na účely výkonu trestných sankcií. Tento finančný výkaz sa vzťahuje na
vplyv obidvoch nástrojov na rozpočet. Podľa rozdelenia úloh potrebuje Komisia a európsky
dozorný úradník pre ochranu údajov (EDPS) zdroje na ich realizáciu. Pokiaľ ide o Komisiu, potrebné zdroje už boli
zahrnuté do navrhnutého finančného výhľadu na roky 2014 – 2020. Ochrana údajov
je jedným z cieľov programu Práva a občianstvo, ktorý takisto podporí opatrenia
na zavedenie právneho rámca do praxe. Do administratívneho rozpočtu GR JUST
boli zahrnuté aj administratívne rozpočtové prostriedky vrátane výdavkov na
zamestnancov. Pokiaľ ide o EDPS, potrebné zdroje bude treba
zohľadniť v príslušných ročných rozpočtoch EDPS. Podrobnosti k zdrojom sú
uvedené v prílohe k tomuto finančnému výkazu. Bude potrebné preprogramovať
okruh 5 finančného výhľadu na roky 2014 – 2020 s cieľom vyčleniť zdroje
potrebné na plnenie nových úloh Európskeho výboru pre ochranu údajov, pre ktorý
bude EDPS plniť úlohu sekretariátu.
1.1.
Názov návrhu/iniciatívy
Návrh
nariadenia Európskeho parlamentu a Rady o ochrane fyzických osôb pri spracovaní
osobných údajov a voľnom pohybe týchto údajov (všeobecné nariadenie o ochrane
údajov). Návrh
smernice Európskeho parlamentu a Rady o ochrane fyzických osôb pri spracúvaní
osobných údajov príslušnými orgánmi na účely predchádzania trestným činom, ich
vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných
sankcií a o voľnom pohybe takýchto údajov.
1.2.
Príslušné oblasti politiky v rámci ABM/ABB[49]
Spravodlivosť
– Ochrana osobných údajov Vplyv
na rozpočet sa dotýka Komisie a EDPS. Vplyv na rozpočet Komisie je podrobne
opísaný v tabuľkách tohto finančného výkazu. Operačné výdavky sú súčasťou
programu Práva a občianstvo a boli zohľadnené už vo finančnom výkaze tohto
programu, keďže administratívne výdavky patria do balíka pre GR Justice. Prvky
týkajúce sa EDPS sú vysvetlené v prílohe.
1.3.
Druh návrhu/iniciatívy
¨ Návrh/iniciatíva
sa týka novej akcie ¨ Návrh/iniciatíva sa
týka novej akcie, ktorá nadväzuje na pilotný projekt/prípravnú akciu[50] þ Návrh/iniciatíva sa týka predĺženia
trvania existujúcej akcie ¨ Návrh/iniciatíva sa
týka akcie presmerovanej na novú akciu
1.4.
Ciele
1.4.1.
Viacročné strategické ciele Komisie, ktoré sú
predmetom návrhu/iniciatívy
Cieľom reformy je
zavŕšiť splnenie pôvodných cieľov pri zohľadnení novej situácie a výziev, t. j.: – zvýšenie účinnosti
základného práva na ochranu údajov a umožnenie fyzickým osobám, aby mali
kontrolu nad vlastnými údajmi, najmä vzhľadom na technologický vývoj a zvýšenú
globalizáciu, – posilnenie dimenzie
vnútorného trhu v oblasti ochrany údajov znížením úrovne rozdielnosti právnych
úprav, posilnením konzistencie a zjednodušením regulačného prostredia, čim sa
znížia zbytočné náklady a administratívna záťaž. Okrem toho ponúka
nadobudnutie platnosti Lisabonskej zmluvy – najmä zavedenie nového právneho základu
(článku 16 ZFEÚ) – možnosť dosiahnuť nový cieľ, t. j. – zaviesť komplexný
rámec ochrany údajov, ktorý by sa vzťahoval na všetky oblasti.
1.4.2.
Konkrétne ciele a príslušné činnosti v rámci
ABM/ABB
Konkrétny cieľ č. 1 Zabezpečiť konzistentné
uplatňovanie pravidiel ochrany údajov Konkrétny cieľ č. 2 Racionalizovať súčasný
systém riadenia s cieľom pomôcť zabezpečiť konzistentné uplatňovanie Príslušné činnosti v rámci
ABM/ABB […]
1.4.3.
Očakávané výsledky a vplyv
Uveďte, aký vplyv by
mal mať návrh/iniciatíva na príjemcov/cieľové skupiny. Pokiaľ
ide o prevádzkovateľov, verejné aj súkromné subjekty budú mať vďaka
harmonizovaným a jasným pravidlám ochrany údajov v EÚ väčšiu právnu istotu,
vytvoria sa rovnaké podmienky a zabezpečí konzistentnosť uplatňovania pravidiel
ochrany údajov, pričom sa zároveň zníži administratívne zaťaženie. Fyzické
osoby budú mať lepšiu kontrolu nad svojimi osobnými údajmi, väčšiu dôveru v digitálne
prostredie a budú chránené aj vtedy, ak ich osobné údaje budú spracúvané v zahraničí.
Pozitívom pre nich bude aj posilnenie zodpovednosti tých, ktorí osobné údaje
spracúvajú. Komplexný
systém ochrany údajov sa bude vzťahovať aj na oblasti politiky a spravodlivosti
vrátane a nad rámec bývalého 3. piliera.
1.4.4.
Ukazovatele výsledkov a vplyvu
Uveďte ukazovatele,
pomocou ktorých je možné sledovať uskutočňovanie návrhu/iniciatívy. (pozri posúdenie vplyvu,
oddiel 8) Ukazovatele by sa mali
posudzovať pravidelne a mali by zahŕňať tieto prvky: • čas a náklady
vynaložené zo strany prevádzkovateľa údajov pri dodržiavaní právnych predpisov
„v iných členských štátoch“, • zdroje
pridelené orgánom pre ochranu údajov, • úradníkov pre
ochranu údajov vo verejných a súkromných organizáciách, • využitie
posúdení vplyvu na ochranu údajov, • počet sťažností
podaných zo strany dotknutých osôb a kompenzácie, ktoré dostali, • počet prípadov,
ktoré viedli k trestnému stíhaniu prevádzkovateľov údajov, • pokuty uložené
prevádzkovateľom údajov zodpovedným za porušenie ochrany údajov.
1.5.
Dôvody návrhu/iniciatívy
1.5.1.
Potreby, ktoré sa majú uspokojiť v krátkodobom
alebo dlhodobom horizonte
Súčasné rozdiely vo vykonávaní, výklade a uplatňovaní
smernice členskými štátmi obmedzuje fungovanie vnútorného trhu a
spoluprácu medzi verejnými orgánmi vo vzťahu k politikám EÚ. To
je v rozpore so základným cieľom smernice o zjednodušení voľného toku osobných
údajov na vnútornom trhu. Rýchly rozvoj nových technológií a globalizácia ďalej
prehlbujú tento problém. Fyzické osoby majú rozdielne práva v oblasti ochrany
údajov, čo je dôsledkom rozdielnosti právnych úprav a ich nekonzistentným
vykonávaním a uplatňovaním zo strany rôznych členských štátov. Okrem toho fyzické
osoby často ani nie sú informované o tom, a čo sa deje s ich osobnými údajmi a
ani nad nimi nemajú kontrolu, preto nemôžu účinne uplatniť svoje práva.
1.5.2.
Prínos zapojenia Európskej únie
Členské
štáty nemôžu súčasné problémy vyriešiť samotné. Platí to najmä v prípade tých
problémov, ktoré sú dôsledkom rozdielnosti vnútroštátnych právnych predpisov,
ktorými sa implementuje regulačný rámec EÚ v oblasti ochrany údajov. Je tu
preto dostatočný dôvod pre zavedenie právneho rámca pre ochranu údajov na
úrovni EÚ. Existuje osobitná potreba zaviesť harmonizovaný a ucelený rámec
umožňujúci bezproblémové prenášanie osobných údajov cez hranice v rámci EÚ pri
súčasnom zabezpečení účinnej ochrany pre všetky fyzické osoby v rámci EÚ.
1.5.3.
Poznatky získané z podobných skúseností v minulosti
Tento
návrh vychádza zo skúseností so smernicou 95/46/ES a z problémov spôsobených v dôsledku
rozdielnosti v transponovaní a vykonávaní tejto smernice, čo bolo dôvodom, pre
ktorý nebolo možné dosiahnuť obidva jej ciele – t. j. dosiahnuť vysokú úroveň
ochrany údajov a vytvoriť jednotný trh pre ochranu údajov.
1.5.4.
Zlučiteľnosť a možná synergia s inými finančnými
nástrojmi
Cieľom súčasného balíka
reformy ochrany údajov je vybudovať silný, konzistentný a moderný rámec
ochrany údajov, ktorý bude technologicky neutrálny a bude platný pre
nasledujúce desaťročia. Bude mať pozitívny dosah na fyzické osoby – posilní ich
práva v oblasti ochrany údajov, najmä v digitálnom prostredí a zjednoduší
právne prostredie pre podniky a verejnoprávny sektor, čím bude stimulovať
rozvoj digitálnej ekonomiky na vnútornom trhu EÚ a mimo neho v súlade s cieľmi
stratégie Európa 2020. Hlavný obsah balíka
reformy ochrany údajov: – nariadenie,
ktoré nahrádza smernicu 95/46/ES, – smernica o
ochrane fyzických osôb pri spracúvaní osobných údajov príslušnými orgánmi na
účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo
stíhania alebo na účely výkonu trestných sankcií a o voľnom pohybe takýchto
údajov. Tieto legislatívne
návrhy sprevádza správa o vykonávaní rámcového rozhodnutia 2008/911/SVV zo
strany členských štátov, ktoré je v súčasnosti hlavným nástrojom ochrany údajov
v EÚ v oblasti policajnej a justičnej spolupráce v trestných veciach.
1.6.
Trvanie akcie a jej finančného vplyvu
¨ Návrh/iniciatíva s obmedzeným trvaním 1.
¨ Návrh/iniciatíva sú v platnosti od [DD/MM]RRRR do [DD/MM]RRRR. 2.
¨ Finančný vplyv trvá od RRRR do RRRR. þ Návrh/iniciatíva s neobmedzeným
trvaním 1.
Počiatočná fáza vykonávania bude trvať od roku 2014
do roku 2016, 2.
a potom bude vykonávanie postupovať v plnom
rozsahu.
1.7.
Plánovaný spôsob hospodárenia[51]
þ Priame centralizované hospodárenie na úrovni Komisie ¨ Nepriame centralizované hospodárenie s delegovaním úloh súvisiacich s plnením rozpočtu na: 3.
¨ výkonné agentúry 4.
¨ subjekty zriadené spoločenstvami[52]
5. ¨ národné
verejnoprávne subjekty/subjekty poverené vykonávaním verejnej služby 3.
¨ osoby poverené realizáciou osobitných akcií podľa hlavy V Zmluvy
o Európskej únii a určené v príslušnom základnom akte v zmysle článku
49 nariadenia o rozpočtových pravidlách ¨ Zdieľané hospodárenie s členskými štátmi ¨ Decentralizované hospodárenie s tretími krajinami ¨ Spoločné hospodárenie s medzinárodnými organizáciami (uveďte) V
prípade viacerých spôsobov hospodárenia uveďte v oddiele „Poznámky“ presnejšie
vysvetlenie. Poznámky: //
2.
OPATRENIA V OBLASTI RIADENIA
2.1.
Opatrenia týkajúce sa kontroly a predkladania správ
Uveďte časový interval
a podmienky, ktoré sa vzťahujú na tieto opatrenia. Prvé
hodnotenie sa vykoná 4 roky po nadobudnutí účinnosti právnych nástrojov. V
právnych nástrojoch je uvedené osobitné ustanovenie o preskúmaní, na základe
ktorého Komisia vyhodnotí vykonávanie. Komisia potom predloží správu o hodnotení
Európskemu parlamentu a Rade. Ďalšie hodnotenia sa budú vykonávať každé štyri
roky. Použije sa metodika Komisie pre vykonávanie hodnotení. Tieto hodnotenia
sa budú realizovať za pomoci cielených štúdií o vykonávaní právnych
nástrojov, dotazníkov pre národné orgány pre ochranu údajov, odborných
diskusií, workshopov, prieskumov Eurobarometer atď.
2.2.
Systémy riadenia a kontroly
2.2.1.
Zistené riziká
Pri reforme rámca
ochrany údajov v EÚ bolo vykonané posúdenie vplyvu, ktoré je pripojené k návrhom
nariadení a smernice. Nový právny nástroj
zavedie mechanizmus konzistentnosti, ktorým sa zabezpečí, aby nezávislé dozorné
orgány v členských štátoch uplatňovali rámec konzistentne a súdržne.
Mechanizmus bude fungovať prostredníctvom Európskeho výboru pre ochranu údajov,
ktorý budú tvoriť vedúci predstavitelia národných dozorných orgánov a európsky
dozorný úradník pre ochranu údajov (EDPS), pričom výbor nahradí súčasnú
pracovnú skupinu zriadenú podľa článku 29. Európsky dozorný úradník pre ochranu
údajov bude pre tento subjekt vykonávať funkciu sekretariátu. V prípade možných
rozdielnych rozhodnutí zo strany orgánov členských štátov sa bude konzultovať s
Európskym výborom pre ochranu údajov, aby vydal stanovisko k veci. Ak tento
postup neposkytne riešenie alebo ak sa dozorný orgán odmietne podrobiť
stanovisku, Komisia by mohla na účely zabezpečenia správneho a konzistentného
uplatňovania tohto nariadenia vydať stanovisko, prípadne prijať rozhodnutie, ak
má závažné pochybnosti o tom, či navrhované opatrenie zabezpečí správne
uplatňovanie tohto nariadenia, alebo ak sa domnieva, že môže mať za následok
jeho nekonzistentné uplatňovanie. Mechanizmus
konzistentnosti si vyžaduje ďalšie zdroje pre EDPS (12 jednotiek ekvivalentu
plného pracovného času a primerané administratívne a operačné rozpočtové
prostriedky, napr. na IT systémy a operácie), aby mohol fungovať ako
sekretariát, a pre Komisiu (5 jednotiek ekvivalentu plného pracovného času a
operačné rozpočtové prostriedky), aby sa mohla venovať prípadom týkajúcim sa
konzistentnosti.
2.2.2.
Plánované metódy kontroly
Pri
dodatočných rozpočtových prostriedkoch sa budú uplatňovať existujúce kontrolné
metódy EDPS a Komisie.
2.3.
Opatrenia na predchádzanie podvodom a
nezrovnalostiam
Uveďte existujúce a plánované opatrenia na predchádzanie podvodom a
nezrovnalostiam a existujúce a plánované opatrenia ochrany pred podvodmi a
nezrovnalosťami. Pri dodatočných
rozpočtových prostriedkoch sa budú uplatňovať existujúce opatrenia na
predchádzanie podvodom uplatňované EDPS a Komisiou.
3.
ODHADOVANÝ FINANČNÝ VPLYV NÁVRHU/INICIATÍVY
3.1.
Príslušné okruhy viacročného finančného rámca a
rozpočtové riadky výdavkov
1.
Existujúce rozpočtové riadky V poradí, v akom za
sebou nasledujú okruhy viacročného finančného rámca a rozpočtové riadky. Okruh viacročného finančného rámca || Rozpočtový riadok || Druh výdavkov || Príspevky Číslo [Názov………………………...……….] || DRP/NRP ([53]) || krajín EZVO[54] || kandidátskych krajín[55] || tretích krajín || v zmysle článku 18 ods. 1 písm. aa) nariadenia o rozpočtových pravidlách || || || || || ||
3.2.
Odhadovaný vplyv na výdavky
3.2.1.
Zhrnutie odhadovaného vplyvu na výdavky
v mil. EUR (zaokrúhlené na 3 desatinné miesta) Okruh viacročného finančného rámca: || Číslo || || || || Rok N[56]= 2014 || Rok N+1 || Rok N+2 || Rok N+3 || … uveďte všetky roky, počas ktorých vplyv trvá (pozri bod 1.6) || SPOLU Operačné rozpočtové prostriedky || || || || || || || || Číslo rozpočtového riadka || Záväzky || (1) || || || || || || || || Platby || (2) || || || || || || || || Číslo rozpočtového riadka || Záväzky || (1a) || || || || || || || || Platby || (2a) || || || || || || || || Administratívne rozpočtové prostriedky financované z balíka prostriedkov určených na realizáciu špecifických programov[57] || || || || || || || || Číslo rozpočtového riadka || || (3) || || || || || || || || Rozpočtové prostriedky pre GR SPOLU || Záväzky || =1+1a +3 || || || || || || || || Platby || =2+2a+3 || || || || || || || || Operačné rozpočtové prostriedky SPOLU || Záväzky || (4) || || || || || || || || Platby || (5) || || || || || || || || Administratívne rozpočtové prostriedky financované z balíka prostriedkov určených na realizáciu špecifických programov SPOLU || (6) || || || || || || || || Rozpočtové prostriedky OKRUHU 3 viacročného finančného rámca SPOLU || Záväzky || =4+ 6 || || || || || || || || Platby || =5+ 6 || || || || || || || || Ak má návrh/iniciatíva vplyv na viaceré okruhy: Operačné rozpočtové prostriedky SPOLU || Záväzky || (4) || || || || || || || || Platby || (5) || || || || || || || || Administratívne rozpočtové prostriedky financované z balíka prostriedkov určených na realizáciu špecifických programov SPOLU || (6) || || || || || || || || Rozpočtové prostriedky OKRUHU 1 až 4 viacročného finančného rámca SPOLU (referenčná suma) || Záväzky || =4+ 6 || || || || || || || || Platby || =5+ 6 || || || || || || || || Okruh viacročného finančného rámca: || 5 || „Administratívne výdavky“ v mil. EUR (zaokrúhlené na 3 desatinné miesta) || || || Rok N= 2014 || Rok 2015 || Rok 2016 || Rok 2017 || Rok 2018 || Rok 2019 || Rok 2020 || SPOLU GR: JUST || Ľudské zdroje || || 2.922 || 2.922 || 2.922 || 2.922 || 2.922 || 2.922 || 2.922 || 20.454 Ostatné administratívne výdavky || || 0.555 || 0.555 || 0.555 || 0.555 || 0.555 || 0.555 || 0.555 || 3.885 GR JUST SPOLU || || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 24.339 Rozpočtové prostriedky OKRUHU 5 viacročného finančného rámca SPOLU || (Záväzky spolu = Platby spolu) || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 24.339 v mil. EUR (zaokrúhlené na 3 desatinné miesta) || || || Rok N [58] || Rok N+1 || Rok N+2 || Rok N+3 || … uveďte všetky roky, počas ktorých vplyv trvá (pozri bod 1.6) || SPOLU Rozpočtové prostriedky OKRUHU 1 až 5 viacročného finančného rámca SPOLU || Záväzky || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 24.339 Platby || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 24.339
3.2.2.
Odhadovaný vplyv na operačné rozpočtové prostriedky
6.
þ Návrh/iniciatíva si nevyžaduje použitie operačných rozpočtových
prostriedkov. Vysoká úroveň ochrany osobných údajov je
takisto jedným z cieľov programu Práva a občianstvo. 7.
¨ Návrh/iniciatíva si vyžaduje použitie operačných rozpočtových
prostriedkov, ako je uvedené v nasledujúcej tabuľke: viazané rozpočtové prostriedky v mil. EUR
(zaokrúhlené na 3 desatinné miesta) Uveďte ciele a výstupy ò || || || Rok N=2014 || Rok N+1 || Rok N+2 || Rok N+3 || … uveďte všetky roky, počas ktorých vplyv trvá (pozri bod 1.6) || SPOLU VÝSTUPY Druh[59] || Priemerné náklady || Počet výstupov || Náklady || Počet výstupov || Náklady || Počet výstupov || Náklady || Počet výstupov || Náklady || Počet výstupov || Náklady || Počet výstupov || Náklady || Počet výstupov || Náklady || Počet výstupov spolu || Náklady spolu KONKRÉTNY CIEĽ č. 1 || - Výstup || Súbory[60] || || || || || || || || || || || || || || || || || Konkrétny cieľ č. 1 medzisúčet || || || || || || || || || || || || || || || || KONKRÉTNY CIEĽ č. 2 || - Výstup || Prípady[61] || || || || || || || || || || || || || || || || || Konkrétny cieľ č. 2 medzisúčet || || || || || || || || || || || || || || || || NÁKLADY SPOLU || || || || || || || || || || || || || || || ||
3.2.3.
Odhadovaný vplyv na administratívne rozpočtové
prostriedky
3.2.3.1.
Zhrnutie
8.
¨ Návrh/iniciatíva si nevyžaduje použitie administratívnych
rozpočtových prostriedkov. 9.
þ Návrh/iniciatíva si vyžaduje použitie administratívnych rozpočtových
prostriedkov, ako je uvedené v nasledujúcej tabuľke: v mil. EUR
(zaokrúhlené na 3 desatinné miesta) || Rok N [62] 2014 || Rok 2015 || Rok 2016 || Rok 2017 || Rok 2018 || Rok 2019 || Rok 2020 || SPOLU OKRUH 5 viacročného finančného rámca || || || || || || || || Ľudské zdroje || 2.922 || 2.922 || 2.922 || 2.922 || 2.922 || 2.922 || 2.922 || 20.454 Ostatné administratívne výdavky || 0.555 || 0.555 || 0.555 || 0.555 || 0.555 || 0.555 || 0.555 || 3.885 OKRUH 5 viacročného finančného rámca medzisúčet || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 24.339 Mimo OKRUHU 5[63] viacročného finančného rámca || || || || || || || || Ľudské zdroje || || || || || || || || Ostatné administratívne výdavky || || || || || || || || Mimo OKRUH 5 viacročného finančného rámca medzisúčet || || || || || || || || SPOLU || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 24.339
3.2.3.2.
Odhadované potreby ľudských zdrojov
10.
¨ Návrh/iniciatíva si nevyžaduje použitie ľudských zdrojov. 11.
þ Návrh/iniciatíva si vyžaduje použitie ľudských zdrojov, ako je
uvedené v nasledujúcej tabuľke: odhady vyjadrené v ekvivalente plného
pracovného času sa zaokrúhľujú na celé čísla (alebo najviac na jedno desatinné
miesto) || Rok 2014 || Rok 2015 || Rok 2016 || Rok 2017 || Rok 2018 || Rok 2019 || Rok 2020 Plán pracovných miest (úradníci a dočasní zamestnanci) XX 01 01 01 (sídlo a zastúpenia Komisie) || 22 || 22 || 22 || 22 || 22 || 22 || 22 XX 01 01 02 (delegácie) || || || || || || || Externí zamestnanci (ekvivalent plného pracovného času)[64] XX 01 02 01 (ZZ, PADZ, VNE, z celkového finančného krytia) || 2 || 2 || 2 || 2 || 2 || 2 || 2 XX 01 02 02 (ZZ, PADZ, PED, MZ a VNE v delegáciách) || || || || || || || XX 01 04 yy[65] || - ústredie[66] || || || || || || || - delegácie || || || || || || || XX 01 05 02 (ZZ, PADZ, VNE – nepriamy výskum) || || || || || || || 10 01 05 02 (ZZ, PADZ, VNE – priamy výskum) || || || || || || || Iné rozpočtové riadky (uveďte) || || || || || || || SPOLU || 24 || 24 || 24 || 24 || 24 || 24 || 24 XX predstavuje
príslušnú oblasť politiky alebo rozpočtovú hlavu. Po reforme bude musieť
Komisia vykonávať okrem úloh, ktoré už vykonáva, aj nové úlohy v oblasti
ochrany fyzických osôb, pokiaľ ide o spracovávanie osobných údajov. Ďalšie
úlohy sa týkajú najmä implementácie nového mechanizmu konzistentnosti, ktorý zabezpečí
koherentné uplatňovanie harmonizovaných právnych predpisov z oblasti ochrany
údajov, posúdenia primeranosti ochrany v tretích krajinách, za ktoré bude
zodpovedať výlučne Komisia, a prípravy vykonávacích opatrení a delegovaných
aktov. Ostatné úlohy, ktoré v súčasnosti vykonáva Komisia (napr. vývoj
politiky, monitorovanie transpozície, zvyšovanie informovanosti, sťažnosti
atď.), bude vykonávať aj naďalej. Potreby ľudských zdrojov
budú pokryté úradníkmi GR, ktorí už boli pridelení na riadenie akcie a/alebo
boli interne prerozdelení v rámci GR, a v prípade potreby budú doplnené
zdrojmi, ktoré sa môžu prideliť riadiacemu GR v rámci ročného postupu
prideľovania zdrojov v závislosti od rozpočtových obmedzení. Opis úloh, ktoré sa
majú vykonať: Úradníci a dočasní zamestnanci || Osoby zodpovedné za vybavovanie prípadov, ktoré budú mať na starosti mechanizmus konzistentnosti ochrany údajov na zabezpečenie jednotného uplatňovania pravidiel ochrany údajov v EÚ. Medzi úlohy patrí vyšetrovanie a skúmanie prípadov predložených na rozhodnutie orgánmi členských štátov, rokovanie s členskými štátmi a príprava rozhodnutí Komisie. Na základe nedávno nadobudnutých skúseností 5 až 10 prípadov ročne si môže vyžiadať použitie mechanizmu konzistentnosti. Vybavovanie žiadostí týkajúcich sa primeranosti si vyžaduje priamu spoluprácu s žiadajúcou krajinou, prípadne aj vypracovávanie odborných štúdií o podmienkach v krajine, posúdenie podmienok, prípravu príslušných rozhodnutí a postupov Komisie a výboru pomáhajúceho Komisii a v prípade potreby aj skupín odborníkov. Podľa súčasných skúseností možno ročne očakávať asi 4 žiadosti týkajúce sa primeranosti. Proces prijímania vykonávacích opatrení zahŕňa prípravné opatrenia, ako sú správy, výskumy a verejné konzultácie, ďalej proces prípravy návrhu samotného nástroja a vedenie rokovaní v príslušných výboroch a ostatných skupinách, ako aj kontakty so zainteresovanými stranami vo všeobecnosti. V oblastiach, ktoré si vyžadujú presnejšie usmernenie, môžu byť ročne prijaté až tri vykonávacie opatrenia, pričom tento proces môže trvať až 24 mesiacov v závislosti od intenzity konzultácií. Externí zamestnanci || Administratívna podpora a služby sekretariátu
3.2.4.
Súlad s platným viacročným finančným rámcom
12.
¨ Návrh/iniciatíva je v súlade s ďalším viacročným
finančným rámcom. 13.
þ Návrh/iniciatíva si vyžaduje zmenu v plánovaní príslušného
okruhu vo viacročnom finančnom rámci. V nasledujúcej
tabuľke sú uvedené sumy finančných zdrojov, ktoré nad rámec prostriedkov už
uvedených pláne EDPS ročne potrebuje na plnenie svojich nových úloh týkajúcich
sa poskytovania služieb sekretariátu Európskemu výboru pre ochranu údajov a
súvisiacich postupov a nástrojov počas obdobia nasledujúceho finančného
výhľadu. Rok || 2014 || 2015 || 2016 || 2017 || 2018 || 2019 || 2020 || Spolu Zamestnanci atď. || 1.555 || 1.555 || 1.543 || 1.543 || 1.543 || 1.543 || 1.543 || 10.823 Operácie || 0.850 || 1.500 || 1.900 || 1.900 || 1.500 || 1.200 || 1.400 || 10.250 Spolu || 2.405 || 3.055 || 3.443 || 3.443 || 3.043 || 2.743 || 2.943 || 21.073 14.
¨ Návrh/iniciatíva si vyžaduje, aby sa použil nástroj
flexibility alebo aby sa uskutočnila revízia viacročného finančného rámca[67].
3.2.5.
Účasť tretích strán na financovaní
15.
þNávrh/iniciatíva nebude zahŕňať spolufinancovanie tretími stranami. 16.
¨Návrh/iniciatíva bude zahŕňať spolufinancovanie tretími stranami, ako
je uvedené v nasledujúcej tabuľke: rozpočtové prostriedky v mil. EUR zaokrúhlené na 3 desatinné
miesta) || Rok N || Rok N+1 || Rok N+2 || Rok N+3 || … uveďte všetky roky, počas ktorých vplyv trvá (pozri bod 1.6) || Spolu Uveďte spolufinancujúci subjekt || || || || || || || || Spolufinancované prostriedky SPOLU || || || || || || || ||
3.3.
Odhadovaný vplyv na príjmy
17.
þ Návrh/iniciatíva nemá finančný vplyv na príjmy. 18.
¨ Návrh/iniciatíva má finančný vplyv na príjmy, ako je uvedené v nasledujúcej
tabuľke: ·
¨ vplyv na vlastné zdroje ·
¨ vplyv na rôzne príjmy v mil. EUR (zaokrúhlené na 3 desatinné miesta) Rozpočtový riadok príjmov: || Rozpočtové prostriedky k dispozícii v prebiehajúcom rozpočtovom roku || Vplyv návrhu/iniciatívy[68] Rok N || Rok N+1 || Rok N+2 || Rok N+3 || … uveďte všetky roky, počas ktorých vplyv trvá (pozri bod 1.6) || || || || || || || || V
prípade rôznych pripísaných príjmov, na ktoré bude mať návrh/iniciatíva vplyv,
uveďte príslušné rozpočtové riadky výdavkov. Uveďte
spôsob výpočtu vplyvu na príjmy. Príloha k
legislatívnemu finančnému výkazu pre návrh nariadenia Európskeho parlamentu a Rady
o ochrane fyzických osôb pri spracúvaní osobných údajov. Použitá metodika
a hlavné východiskové predpoklady Náklady súvisiace s
novými úlohami vykonávanými európskym dozorným úradníkom pre ochranu údajov
(EDPS) vyplývajúce z dvoch návrhov a súvisiace výdavky na zamestnancov boli
odhadnuté na základe nákladov, ktoré Komisia vynakladá v súčasnosti na plnenie
podobných úloh. EDPS bude zabezpečovať
služby sekretariátu pre Európsky výbor pre ochranu údajov, ktorý nahradí
pracovnú skupinu zriadenú podľa článku 29. Podľa súčasného pracovného vyťaženia
Komisie v súvislosti s touto úlohou tak vzniká potreba ďalších 3 ekvivalentov
plného pracovného času (FTE), ako aj potreba príslušných administratívnych a
operačných prostriedkov. Tieto úlohy sa začnú plniť od chvíle nadobudnutia
účinnosti nariadenia. EDPS okrem toho bude
zohrávať úlohu aj v rámci mechanizmu konzistentnosti. V tejto súvislosti sa
očakáva, že bude potrebných 5 FTE. Ďalej bude zohrávať úlohu pri vývoji a prevádzke
IT nástroja pre národné orgány pre ochranu údajov, čo si vyžiada ďalších dvoch
zamestnancov. Metóda výpočtu zvýšenia
požadovaného rozpočtu na zamestnancov na nasledujúcich sedem rokov sa
podrobnejšie uvádza v tabuľke. V ďalšej tabuľke je uvedený požadovaný operačný
rozpočet. V rozpočte EÚ bude uvedený v oddiele IX EDPS. Typ nákladov || Výpočet || Suma (v tis.) 2014 || 2015 || 2016 || 2017 || 2018 || 2019 || 2020 || Spolu Platy a dávky || || || || || || || || || – predsedu Európskeho výboru pre ochranu údajov || || 0.300 || 0.300 || 0.300 || 0.300 || 0.300 || 0.300 || 0.300 || 2.100 – z toho na úradníkov a dočasných zamestnancov || =7*0.127 || 0.889 || 0.889 || 0.889 || 0.889 || 0.889 || 0.889 || 0.889 || 6.223 – z toho na vyslaných národných expertov || =1*0.073 || 0.073 || 0.073 || 0.073 || 0.073 || 0.073 || 0.073 || 0.073 || 0.511 – z toho na zmluvných zamestnancov || =2*0.064 || 0.128 || 0.128 || 0.128 || 0.128 || 0.128 || 0.128 || 0.128 || 0.896 Výdavky spojené s prijímaním zamestnancov || =10*0.005 || 0.025 || 0.025 || 0.013 || 0.013 || 0.013 || 0.013 || 0.013 || 0.113 Výdavky na služobné cesty || || 0.090 || 0.090 || 0.090 || 0.090 || 0.090 || 0.090 || 0.090 || 0.630 Iné výdavky, vzdelávanie || =10*0.005 || 0.050 || 0.050 || 0.050 || 0.050 || 0.050 || 0.050 || 0.050 || 0.350 Administratívne výdavky spolu || || 1.555 || 1.555 || 1.543 || 1.543 || 1.543 || 1.543 || 1.543 || 10.823 Opis úloh, ktoré sa majú plniť: Úradníci a dočasní zamestnanci || Referenti zodpovední za chod sekretariátu Výboru pre ochranu údajov. Okrem logistickej podpory vrátane rozpočtových a zmluvných otázok sem patrí aj príprava agendy pre zasadnutia a prizvanie odborníkov, skúmanie v oblastiach súvisiacich s agendou skupiny, správa dokumentov týkajúcich sa práce skupiny vrátane požiadaviek týkajúcich sa ochrany údajov, dôvernosti a prístupu verejnosti. Pri zahrnutí všetkých podskupín a skupín odborníkov môže byť každoročne zorganizovaných až 50 zasadnutí a konaní na účely prijatia rozhodnutia. Osoby zodpovedné za vybavovanie prípadov, ktoré budú mať na starosti mechanizmus konzistentnosti ochrany údajov na zabezpečenie jednotného uplatňovania pravidiel ochrany údajov v EÚ. Medzi úlohy patrí vyšetrovanie a skúmanie prípadov predložených na rozhodnutie orgánmi členských štátov, rokovanie s členskými štátmi a príprava rozhodnutí Komisie. Na základe nedávno nadobudnutých skúseností 5 až 10 prípadov ročne si môže vyžiadať použitie mechanizmu konzistentnosti. IT nástroj zjednoduší operačnú interakciu medzi národnými orgánmi pre ochranu údajov a prevádzkovateľmi údajov, ktorí majú povinnosť zdieľať informácie s verejnými orgánmi. Zodpovední zamestnanci zabezpečia kontrolu kvality, riadenie projektu a rozpočtovú kontrolu v prípade procesov IT v súvislosti so zriadením, implementáciou a prevádzkou systémov. Externí zamestnanci || Administratívna podpora a služby sekretariátu Výdavky EDPS týkajúce sa osobitných úloh Uveďte ciele a výstupy ò || || || Rok N=2014 || Rok N+1 || Rok N+2 || Rok N+3 || … uveďte všetky roky, počas ktorých vplyv trvá (pozri bod 1.6) || SPOLU VÝSTUPY Druh[69] || Priemerné náklady || Počet výstupov || Náklady || Počet výstupov || Náklady || Počet výstupov || Náklady || Počet výstupov || Náklady || Počet výstupov || Náklady || Počet výstupov || Náklady || Počet výstupov || Náklady || Počet výstupov spolu || Náklady spolu KONKRÉTNY CIEĽ č. 1[70] || Sekretariát Výboru pre ochranu údajov - Výstup || Prípady[71] || 0.010 || 30 || 0.300 || 40 || 0.400 || 50 || 0.500 || 50 || 0.500 || 50 || 0.500 || 50 || 0.500 || 50 || 0.500 || 320 || 3.200 Konkrétny cieľ č. 1 medzisúčet || 30 || 0.300 || 40 || 0.400 || 50 || 0.500 || 50 || 0.500 || 50 || 0.500 || 50 || 0.500 || 50 || 0.500 || 320 || 3.200 KONKRÉTNY CIEĽ č. 2 || Mechanizmus konzistentnosti - Výstup || Súbory[72] || 0.050 || 5 || 0.250 || 10 || 0.500 || 10 || 0.500 || 10 || 0.500 || 8 || 0.400 || 8 || 0.400 || 8 || 0.400 || 59 || 2.950 Konkrétny cieľ č. 2 medzisúčet || 5 || 0.250 || 10 || 0.500 || 10 || 0.500 || 10 || 0.500 || 8 || 0.400 || 8 || 0.400 || 8 || 0.400 || 59 || 2.950 KONKRÉTNY CIEĽ č. 3 || Spoločné IT nástroje pre orgány pre ochranu údajov (EDPS) - Výstup || Prípady[73] || 0.100 || 3 || 0.300 || 6 || 0.600 || 9 || 0.900 || 9 || 0.900 || 6 || 0.600 || 3 || 0.300 || 5 || 0.500 || 41 || 4.100 Konkrétny cieľ č. 1 medzisúčet || 3 || 0.300 || 6 || 0.600 || 9 || 0.900 || 9 || 0.900 || 6 || 0.600 || 3 || 0.300 || 5 || 0.500 || 41 || 4.100 NÁKLADY SPOLU || 38 || 0.850 || 56 || 1.500 || 69 || 1.900 || 69 || 1.900 || 64 || 1.500 || 61 || 1.200 || 63 || 1.400 || 420 || 10.250 [1] „Ochrana súkromia v prepojenom svete – Európsky rámec
ochrany údajov pre 21. storočie“, COM(2012) 9 final. [2] COM(2012) 10 final. [3] Smernica Európskeho parlamentu a Rady 95/46/ES z 24.
októbra 1995 o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom
pohybe týchto údajov, Ú. v. ES, L 281, 23.11.1995, s. 31. [4] Rámcové rozhodnutie Rady 2008/977/SVV z 27. novembra
2008 o ochrane osobných údajov spracúvaných v rámci policajnej a justičnej
spolupráce v trestných veciach, Ú. v. EÚ L 350, 30.12.2008, s. 60 (rámcové
rozhodnutie). [5] KOM(2010) 245 v konečnom znení. [6] KOM(2010) 2020 v konečnom znení. [7] „Štokholmský program — otvorená a bezpečná Európa,
ktorá slúži občanom a chráni ich“, Ú. v. EÚ C 115, 4.5.2010, s. 1. [8] Uznesenie Európskeho parlamentu o oznámení Komisie
Európskemu parlamentu a Rade – Priestor slobody, bezpečnosti
a spravodlivosti pre občanov – Štokholmský program, ktoré bolo
prijaté 25. novembra 2009 (P7_TA(2009)0090). [9] KOM(2010) 171 v konečnom znení. [10] KOM(2010) 609 v konečnom znení. [11] Special Eurobarometer (EB) 359, Data Protection and
Electronic Identity in the EU (2011): http://ec.europa.eu/public_opinion/archives/ebs/ebs_359_en.pdf
. [12] http://ec.europa.eu/justice/newsroom/data-protection/events/090519_en.htm. [13] Všetky príspevky, ktoré nemajú dôverný charakter, sú
k nahliadnutiu na webovej stránke Komisie. http://ec.europa.eu/justice/newsroom/data-protection/events/090519_en.htm. [14] Všetky príspevky, ktoré nemajú dôverný charakter, sú
k nahliadnutiu na webovej stránke Komisie. http://ec.europa.eu/justice/newsroom/data-protection/opinion/101104_en.htm. [15] http://ec.europa.eu/justice/newsroom/data-protection/events/100701_en.htm. [16] http://www.coe.int/t/dghl/standardsetting/dataprotection/Data_protection_day2011_en.asp. [17] Európska agentúra pre bezpečnosť sietí a informácií má na
starosti otázky bezepčnosti týkajúce sa komunikačných sietí a informačných
systémov. [18] Pozri http://www.enisa.europa.eu/act/it/data-breach-notification/. [19] Special Eurobarometer (EB) 359, Data Protection and
Electronic Identity in the EU (2011): http://ec.europa.eu/public_opinion/archives/ebs/ebs_359_en.pdf
. [20] Pozri štúdiu s názvom Study on the economic benefits of
privacy enhancing technologies a tiež Comparative study on different approaches
to new privacy challenges, in particular in the light of technological
developments, január 2010.
(http://ec.europa.eu/justice/policies/privacy/docs/studies/new_privacy_challenges/final_report_en.pdf).
[21] Pracovná skupina bola založená v roku 1996 (podľa článku
29 smernice 95/46/ES) ako poradný orgán, ktorý tvoria zástupcovia národných
dozorných orgánov pre ochranu údajov, európsky dozorný úradník pre ochranu
údajov (EDPS) a Komisia. Ďalšie informácie o ich činnosti nájdete tu: http://ec.europa.eu/justice/policies/privacy/workinggroup/index_en.htm. [22] Pozri najmä tieto stanoviská: o budúcnosti ochrany
súkromia (2009, WP 168), k pojmom „prevádzkovateľ“ a „spracovateľ“ (1/2010, WP
169), k behaviorálnej reklame online (2/2010, WP 171), k zásade zodpovednosti
(3/2010, WP 173), o uplatniteľných právnych predpisoch (8/2010, WP 179), a k
definícii súhlasu (15/2011, WP 187). Na požiadanie Komisie prijala aj tieto tri
poradné dokumenty: o oznámeniach, o citlivých údajoch a o praktickej
implementácii článku 28 ods. 6 smernice o ochrane údajov. Nájdete ich tu: http://ec.europa.eu/justice/data-protection/article-29/documentation/index_en.htm. [23] Dostupné na internetovej adrese EDPS: http://www.edps.europa.eu/EDPSWEB. [24] Uznesenie EP z 6. júla 2011 o komplexnom prístupe k
ochrane osobných údajov v Európskej únii (2011/2025(INI), http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+TA+P7-TA-2011-0323+0+DOC+XML+V0//SK
(spravodajca: MEP Axel Voss (EPP/DE). [25] SEC(2012)72. [26] CESE 999/2011. [27] Súdny dvor EÚ, rozsudok z 9.11.2010, spojené veci C-92/09
a C-93/09 Volker und Markus Schecke a Eifert, Zb. 2010, s. I-0000. [28] V súlade s článkom 52 ods. 1 charty je možné obmedziť
výkon práva na ochranu údajov, ak je takéto obmedzenie ustanovené zákonom,
rešpektuje podstatu práv a slobôd a za predpokladu dodržiavania zásady
proporcionality je takéto obmedzenie nevyhnutné a skutočne zodpovedá cieľom
všeobecného záujmu, ktoré sú uznané Úniou, alebo ak je to potrebné na ochranu
práv a slobôd iných. [29] Smernica Európskeho parlamentu a Rady 2002/58/ES týkajúca
sa spracovávania osobných údajov a ochrany súkromia v sektore elektronických
komunikácií (smernica o súkromí a elektronických komunikáciách), Ú. v. ES L
201, 31.7.2002, s. 37. [30] Smernica Európskeho parlamentu a Rady 2009/136/ES z 25.
novembra 2009, ktorou sa mení a dopĺňa smernica 2002/22/ES o univerzálnej
službe a právach užívateľov týkajúcich sa elektronických komunikačných sietí a
služieb, smernica 2002/58/ES týkajúca sa spracovávania osobných údajov a
ochrany súkromia v sektore elektronických komunikácií a nariadenie (ES) č.
2006/2004 o spolupráci medzi národnými orgánmi zodpovednými za vynucovanie
právnych predpisov na ochranu spotrebiteľa (Text s významom pre EHP), Ú. v. EÚ,
18.12.2009, s. 11. [31] Dohovor bol prijatý a predložený na podpis, ratifikáciu a
pristúpenie rezolúciou Valného zhromaždenia OSN č. 44/25 z 20.11.1989. [32] Rezolúcia bola prijatá na medzinárodnej konferencii komisárov
pre ochranu údajov a súkromia, ktorá sa konala 5. novembra 2009. Pozri aj
článok 13 ods. 3 návrhu nariadenia o spoločnom európskom kúpnom práve
[KOM(2011) 635 v konečnom znení]. [33] CM/Rec (2010)13. [34] Súdny dvor EÚ, rozsudok z 9.3.2010, Komisia/Nemecko, vec C
518/07, Zb. 2010, s. I-1885. [35] Nariadenie Európskeho parlamentu a Rady (ES) č. 45/2001 z
18. decembra 2000 o ochrane jednotlivcov so zreteľom na spracovanie osobných
údajov inštitúciami a orgánmi Spoločenstva a o voľnom pohybe takýchto údajov,
Ú. v. ES L 008, 12.1.2001, s. 1. [36] Pozri poznámku pod čiarou č. 34. [37] Rozhodnutie Rady 2008/615/SVV z 23. júna 2008
o zintenzívnení cezhraničnej spolupráce, najmä v boji proti terorizmu
a cezhraničnej trestnej činnosti, Ú. v. EÚ L 210, 6.8.2008, s. 1. [38] Vychádza sa z článku 5 ods. 1 rámcového rozhodnutia Rady
2009/948/SVV z 30. novembra 2009 o predchádzaní kolíziám pri výkone právomoci v
trestných veciach a ich urovnávaní, Ú. v. EÚ L 328, 15.12.2009, s. 42; a z
článku 13 ods. 1 nariadenia Rady (ES) č. 1/2003 zo 16. decembra 2002
o vykonávaní pravidiel hospodárskej súťaže stanovených v článkoch 81
a 82 Zmluvy, Ú. v. ES L 1, 4.1.2003, s. 1. [39] Vychádza sa z článku 18 ods. 1 smernice Európskeho
parlamentu a Rady 2000/31/ES z 8. júna 2000 o určitých
právnych aspektoch služieb informačnej spoločnosti na vnútornom trhu,
najmä o elektronickom obchode (smernica o elektronickom obchode), Ú.
v. ES L 178, 17.7.2000, s. 1. [40] Pozri výklad, napr. Súdny dvor EÚ, rozsudok zo 16.
decembra 2008, Satakunnan Markkinapörssi a Satamedia (C-73/07, Zb. 2008, s.
I-9831). [41] Ú. v. EÚ C, , s. . [42] Ú. v. EÚ C, , s. . [43] Ú. v. EÚ, 23.11.1995, s. 31. [44] Ú. v. ES L 8, 12.1.2001, s. 1. [45] Nariadenie Európskeho parlamentu a Rady (EÚ) č. 182/2011
zo 16. februára 2011, ktorým sa ustanovujú pravidlá a všeobecné zásady
mechanizmu, na základe ktorého členské štáty kontrolujú vykonávanie
vykonávacích právomocí Komisie, Ú. v. EÚ L 55, 28.2.2011, s. 13. [46] Ú. v. ES, 10.7.1999, s. 36. [47] Ú. v. EÚ, 27.2.2008, s. 52. [48] Ú. v. EÚ L 160, 18.6.2011, s. 19. [49] ABM: riadenie podľa činností – ABB: zostavovanie rozpočtu
podľa činností. [50] Podľa článku 49 ods. 6 písm. a) alebo b) nariadenia o
rozpočtových pravidlách. [51] Vysvetlenie spôsobov hospodárenia a odkazy na nariadenie o
rozpočtových pravidlách sú k dispozícii na webovej stránke BudgWeb: http://www.cc.cec/budg/man/budgmanag/budgmanag_en.html [52] Podľa článku 185 nariadenia o rozpočtových pravidlách. [53] DRP = diferencované rozpočtové prostriedky / NRP = nediferencované
rozpočtové prostriedky [54] EZVO: Európske združenie voľného obchodu. [55] Kandidátske krajiny a prípadne potenciálne kandidátske
krajiny západného Balkánu. [56] Rok N je rokom, v ktorom sa návrh/iniciatíva začína
uskutočňovať. [57] Technická a/alebo administratívna pomoc a výdavky určené
na financovanie realizácie programov a/alebo akcií EÚ (pôvodné rozpočtové
riadky „BA“), nepriamy výskum, priamy výskum. [58] Rok N je rokom, v ktorom sa návrh/iniciatíva začína
uskutočňovať. [59] Výstupy znamenajú dodané produkty a služby (napr.: počet
financovaných výmen študentov, vybudované cesty v km atď.). [60] Stanoviská, rozhodnutia, stretnutia výboru. [61] Prípady riešené v rámci mechanizmu konzistentnosti. [62] Rok N je rokom, v ktorom sa návrh/iniciatíva začína
uskutočňovať. [63] Technická a/alebo administratívna pomoc a výdavky určené
na financovanie realizácie programov a/alebo akcií EÚ (pôvodné rozpočtové
riadky „BA“), nepriamy výskum, priamy výskum. [64] ZZ = zmluvný zamestnanec; PADZ = pracovníci agentúr
dočasného zamestnávania; PED = pomocný expert v delegácii; MZ = miestny
zamestnanec; VNE = vyslaný národný expert; [65] Pod stropom pre externých zamestnancov z operačných
rozpočtových prostriedkov (pôvodné rozpočtové riadky „BA“). [66] Najmä pre štrukturálne fondy, Európsky poľnohospodársky
fond pre rozvoj vidieka (EPFRV) a Európsky fond pre rybné hospodárstvo
(EFRH). [67] Pozri body 19 a 24 medziinštitucionálnej dohody. [68] Pokiaľ ide o tradičné vlastné zdroje (clá, odvody z
produkcie cukru), uvedené sumy musia predstavovať čisté sumy, t. j. hrubé sumy
po odčítaní 25 % nákladov na výber. [69] Výstupy znamenajú dodané produkty a služby (napr.: počet
financovaných výmen študentov, vybudované cesty v km atď.). [70] Ako je uvedené v oddiele 1.4.2. „Konkrétne ciele...“. [71] Prípady riešené v rámci mechanizmu konzistentnosti. [72] Stanoviská, rozhodnutia, stretnutia výboru. [73] Údaje spolu pre každý rok predstavujú vždy odhad týkajúci
sa vývoja a prevádzky IT nástrojov.