Choose the experimental features you want to try

This document is an excerpt from the EUR-Lex website

Document 32016L0680

    Smernica Európskeho parlamentu a Rady (EÚ) 2016/680 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií a o voľnom pohybe takýchto údajov a o zrušení rámcového rozhodnutia Rady 2008/977/SVV

    Ú. v. EÚ L 119, 4.5.2016, p. 89–131 (BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

    Legal status of the document In force: This act has been changed. Current consolidated version: 04/05/2016

    ELI: http://data.europa.eu/eli/dir/2016/680/oj

    4.5.2016   

    SK

    Úradný vestník Európskej únie

    L 119/89


    SMERNICA EURÓPSKEHO PARLAMENTU A RADY (EÚ) 2016/680

    z 27. apríla 2016

    o ochrane fyzických osôb pri spracúvaní osobných údajov príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií a o voľnom pohybe takýchto údajov a o zrušení rámcového rozhodnutia Rady 2008/977/SVV

    EURÓPSKY PARLAMENT A RADA EURÓPSKEJ ÚNIE,

    so zreteľom na Zmluvu o fungovaní Európskej únie, a najmä na jej článok 16 ods. 2,

    so zreteľom na návrh Európskej komisie,

    po postúpení návrhu legislatívneho aktu národným parlamentom,

    so zreteľom na stanovisko Výboru regiónov (1),

    konajúc v súlade s riadnym legislatívnym postupom (2),

    keďže:

    (1)

    Ochrana fyzických osôb v súvislosti so spracúvaním osobných údajov patrí medzi základné práva. V článku 8 ods. 1 Charty základných práv Európskej únie (ďalej len „charta“) a v článku 16 ods. 1 Zmluvy o fungovaní Európskej únie (ZFEÚ) sa stanovuje, že každý má právo na ochranu osobných údajov, ktoré sa ho týkajú.

    (2)

    Zásady a pravidlá ochrany fyzických osôb pri spracúvaní ich osobných údajov by bez ohľadu na ich štátnu príslušnosť alebo bydlisko mali rešpektovať základné práva a slobody, najmä ich právo na ochranu osobných údajov. Táto smernica má prispieť k dobudovaniu priestoru slobody, bezpečnosti a spravodlivosti.

    (3)

    Rýchly technologický rozvoj a globalizácia so sebou priniesli nové výzvy v oblasti ochrany osobných údajov. Rozsah získavania a zdieľania osobných údajov sa výrazne zväčšil. Technológia umožňuje pri výkone činností, ako napríklad predchádzaní trestným činom, ich vyšetrovaní, odhaľovaní alebo stíhaní alebo pri výkone trestných sankcií, spracúvať osobné údaje v bezprecedentnom rozsahu.

    (4)

    Preto by sa mal uľahčiť voľný tok osobných údajov medzi príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií, vrátane ochrany pred ohrozením verejnej bezpečnosti a predchádzania takémuto ohrozeniu v rámci Únie a prenos takýchto osobných údajov do tretích krajín a medzinárodným organizáciám, a to pri súčasnom zabezpečení vysokej úrovne ochrany osobných údajov. Uvedená situácia si vyžaduje vytvorenie silného a jednotnejšieho rámca ochrany osobných údajov v Únii, ktorý bude podporený jeho dôrazným presadzovaním.

    (5)

    Smernica Európskeho parlamentu a Rady 95/46/ES (3) sa vzťahuje na všetky spracúvania osobných údajov v členských štátoch, a to vo verejnom aj v súkromnom sektore. Nevzťahuje sa však na spracúvanie osobných údajov v rámci činností, ktoré sú mimo pôsobnosti práva Spoločenstva, ako sú napríklad činnosti v oblasti justičnej spolupráce v trestných veciach a v oblasti policajnej spolupráce.

    (6)

    Rámcové rozhodnutie Rady 2008/977/SVV (4) sa vzťahuje na oblasť justičnej spolupráce v trestných veciach a oblasť policajnej spolupráce. Rozsah pôsobnosti uvedeného rámcového rozhodnutia je obmedzený na spracúvanie osobných údajov, ktoré sú prenášané alebo sprístupňované medzi členskými štátmi.

    (7)

    V záujme zabezpečenia účinnej justičnej spolupráce v trestných veciach a policajnej spolupráce je kľúčové zaistiť konzistentnú ochranu osobných údajov fyzických osôb na vysokej úrovni a uľahčiť výmenu osobných údajov medzi príslušnými orgánmi členských štátov. Na uvedený účel by úroveň ochrany práv a slobôd fyzických osôb pri spracúvaní osobných údajov príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií, vrátane ochrany pred ohrozením verejnej bezpečnosti a predchádzania takémuto ohrozeniu mala byť rovnocenná vo všetkých členských štátoch. Účinná ochrana osobných údajov v rámci celej Únie si vyžaduje posilnenie práv dotknutých osôb a povinností tých, ktorí osobné údaje spracúvajú, ako aj zodpovedajúcich právomocí na monitorovanie a zabezpečenie súladu s pravidlami ochrany osobných údajov v členských štátoch.

    (8)

    V článku 16 ods. 2 ZFEÚ sa Európsky parlament a Rada poverujú, aby stanovili pravidlá týkajúce sa ochrany fyzických osôb pri spracúvaní osobných údajov a pravidlá týkajúce sa voľného pohybu osobných údajov.

    (9)

    Na uvedenom základe sa v nariadení Európskeho parlamentu a Rady (EÚ) 2016/679 (5) stanovujú všeobecné pravidlá na ochranu fyzických osôb pri spracúvaní osobných údajov a na zabezpečenie voľného pohybu osobných údajov v rámci Únie.

    (10)

    Vo vyhlásení č. 21 o ochrane osobných údajov v oblastiach justičnej spolupráce v trestných veciach a policajnej spolupráce, pripojenom k záverečnému aktu medzivládnej konferencie, na ktorej bola prijatá Lisabonská zmluva, konferencia uznala, že vzhľadom na osobitný charakter uvedených oblastí sa možno budú musieť prijať osobitné pravidlá o ochrane osobných údajov a o voľnom pohybe osobných údajov v oblastiach justičnej spolupráce v trestných veciach a policajnej spolupráce na základe článku 16 ZFEÚ.

    (11)

    Je preto vhodné, aby uvedené oblasti boli upravené smernicou, v ktorej sa stanovia osobitné pravidlá týkajúce sa ochrany fyzických osôb pri spracúvaní osobných údajov príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií, vrátane ochrany pred ohrozením verejnej bezpečnosti a predchádzania takémuto ohrozeniu pri rešpektovaní osobitnej povahy týchto činností. Medzi takéto príslušné orgány môžu patriť nielen orgány verejnej moci, ako napríklad justičné orgány, polícia alebo iné orgány presadzovania práva, ale aj akýkoľvek iný orgán alebo subjekt, ktorý je právom členského štátu poverený vykonávať verejnú moc a verejné právomoci na účely tejto smernice. Ak takýto orgán alebo subjekt spracúva osobné údaje na iné účely ako na účely tejto smernice, uplatňuje sa nariadenie (EÚ) 2016/679. Nariadenie (EÚ) 2016/679 sa preto uplatňuje v prípadoch, keď orgán alebo subjekt získava osobné údaje na iné účely a ďalej spracúva tieto osobné údaje s cieľom splniť zákonnú povinnosť, ktorá sa naň vzťahuje. Napríklad finančné inštitúcie uchovávajú na účely vyšetrovania, odhaľovania alebo stíhania trestných činov určité osobné údaje, ktoré spracúvajú, a v jednotlivých prípadoch a v súlade s právom členského štátu poskytujú tieto osobné údaje len príslušným vnútroštátnym orgánom. Na orgán alebo subjekt, ktorý spracúva osobné údaje v mene takýchto orgánov podľa tejto smernice, by sa mala vzťahovať zmluva alebo iný právny akt a ustanovenia vzťahujúce sa na sprostredkovateľov podľa tejto smernice, pričom uplatňovanie nariadenia (EÚ) 2016/679 na spracúvanie osobných údajov sprostredkovateľom mimo rozsahu pôsobnosti tejto smernice zostáva nedotknuté.

    (12)

    Činnosti, ktoré vykonáva polícia alebo iné orgány presadzovania práva, sa sústreďujú predovšetkým na predchádzanie trestným činom, ich vyšetrovanie, odhaľovanie alebo stíhanie, vrátane policajných činností, pri ktorých nie je vopred známe, či je skutok trestným činom. Medzi takéto činnosti môže patriť aj výkon právomoci prostredníctvom prijatia donucovacích opatrení, ako napríklad činnosť polície pri demonštráciách, významných športových podujatiach a nepokojoch. Zahŕňajú tiež udržiavanie verejného poriadku ako úlohy uloženej polícii alebo iným orgánom presadzovania práva, ak je to potrebné na ochranu pred ohrozením verejnej bezpečnosti a základných záujmov spoločnosti chránených zákonom, ktoré môže viesť k spáchaniu trestného činu, a na predchádzanie takémuto ohrozeniu. Členské štáty môžu poveriť príslušné orgány ďalšími úlohami, ktoré nie sú nevyhnutne vykonávané na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania, vrátane ochrany pred ohrozením verejnej bezpečnosti alebo predchádzania takémuto ohrozeniu, v dôsledku čoho spracúvanie osobných údajov na tieto iné účely, pokiaľ je v pôsobnosti práva Únie, patrí do rozsahu pôsobnosti nariadenia (EÚ) 2016/679.

    (13)

    Trestný čin v zmysle tejto smernice by mal byť autonómnym pojmom práva Únie, ako ho vykladá Súdny dvor Európskej únie (ďalej len „Súdny dvor“).

    (14)

    Keďže táto smernica by sa nemala vzťahovať na spracúvanie osobných údajov v rámci činnosti, ktorá nepatrí do pôsobnosti práva Únie, činnosti týkajúce sa národnej bezpečnosti, činnosti orgánov alebo útvarov zaoberajúcich sa otázkami národnej bezpečnosti a spracúvanie osobných údajov členskými štátmi pri vykonávaní činností, ktoré patria do rozsahu pôsobnosti hlavy V kapitoly 2 Zmluvy o Európskej únii (ZEÚ), by sa nemali považovať za činnosti, ktoré patria do rozsahu pôsobnosti tejto smernice.

    (15)

    S cieľom zabezpečiť rovnakú úroveň ochrany fyzických osôb právami, ktoré sú právnymi prostriedkami vymáhateľné v celej Únii, a zabrániť rozdielom, ktoré sú prekážkou výmeny osobných údajov medzi príslušnými orgánmi, by sa touto smernicou mali stanoviť harmonizované pravidlá ochrany a voľného pohybu osobných údajov, ktoré sa spracúvajú na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií, vrátane ochrany pred ohrozením verejnej bezpečnosti a predchádzania takémuto ohrozeniu. Aproximácia právnych predpisov členských štátov by nemala mať za následok zníženie ochrany osobných údajov, ktorú poskytujú, ale naopak by sa mala snažiť zabezpečiť vysokú úroveň ochrany v rámci Únie. Členským štátom by sa nemalo brániť stanoviť prísnejšie záruky ochrany práv a slobôd dotknutých osôb pri spracúvaní osobných údajov príslušnými orgánmi, ako sú záruky stanovené v tejto smernici.

    (16)

    Touto smernicou nie je dotknutá zásada prístupu verejnosti k úradným dokumentom. Podľa nariadenia (EÚ) 2016/679 môže osobné údaje v úradných dokumentoch, s ktorými nakladá orgán verejnej moci alebo verejnoprávny či súkromnoprávny subjekt na splnenie úlohy realizovanej vo verejnom záujme, tento orgán alebo subjekt poskytnúť v súlade s právom Únie alebo právom členského štátu, ktoré sa na tento orgán verejnej moci alebo verejnoprávny subjekt vzťahuje, s cieľom zosúladiť prístup verejnosti k úradným dokumentom s právom na ochranu osobných údajov.

    (17)

    Ochrana, ktorá sa poskytuje touto smernicou, by sa mala vzťahovať na fyzické osoby bez ohľadu na ich štátnu príslušnosť alebo miesto bydliska vo vzťahu ku spracúvaniu ich osobných údajov.

    (18)

    S cieľom zabrániť vzniku závažného rizika obchádzania predpisov by mala byť ochrana fyzických osôb technologicky neutrálna a nemala by závisieť od použitých technologických riešení. Ochrana fyzických osôb by sa mala vzťahovať na spracúvanie osobných údajov automatizovanými prostriedkami, ako aj na manuálne spracúvanie, ak sú osobné údaje uložené v informačnom systéme alebo do neho majú byť uložené. Súbory alebo zbierky súborov, ako aj ich titulné strany, ktoré nie sú štruktúrované podľa špecifických kritérií, by nemali patriť do rozsahu pôsobnosti tejto smernice.

    (19)

    Na spracúvanie osobných údajov inštitúciami, orgánmi, úradmi a agentúrami Únie sa vzťahuje nariadenie Európskeho parlamentu a Rady (ES) č. 45/2001 (6). Nariadenie (ES) č. 45/2001 a ostatné právne akty Únie, ktoré sa vzťahujú na takéto spracúvanie osobných údajov, by sa mali upraviť podľa zásad a pravidiel stanovených v nariadení (EÚ) 2016/679.

    (20)

    Táto smernica nebráni členským štátom, aby vo vnútroštátnych právnych predpisoch o trestnom konaní v súvislosti so spracúvaním osobných údajov súdmi a inými justičnými orgánmi upravili spracovateľské operácie a postupy, najmä pokiaľ ide o osobné údaje uvedené v justičných rozhodnutiach alebo záznamoch v súvislosti s trestným konaním.

    (21)

    Zásady ochrany údajov by sa mali vzťahovať na všetky informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby. Na určenie toho, či je fyzická osoba identifikovateľná, by sa mali brať do úvahy všetky prostriedky, pri ktorých existuje primeraná pravdepodobnosť, že ich prevádzkovateľ alebo iná osoba využije, napríklad osobitným výberom, na priamu alebo nepriamu identifikáciu fyzickej osoby. Na zistenie toho, či je primerane pravdepodobné, že sa prostriedky použijú na identifikáciu fyzickej osoby, by sa mali zohľadniť všetky objektívne faktory, ako sú náklady a čas potrebný na identifikáciu so zreteľom na technológiu dostupnú v čase spracúvania, ako aj na technologický vývoj. Zásady ochrany údajov by sa preto nemali uplatňovať na anonymné informácie, konkrétne na informácie, ktoré sa nevzťahujú na identifikovanú alebo identifikovateľnú fyzickú osobu, ani na osobné údaje, ktoré sa stali anonymnými takým spôsobom, že dotknutá osoba už nie je identifikovateľná.

    (22)

    Orgány verejnej moci, ktorým sa poskytujú osobné údaje v súlade so zákonnou povinnosťou na výkon ich oficiálnej úlohy, napríklad daňové a colné orgány, finančné spravodajské jednotky, nezávislé správne orgány alebo orgány finančného trhu zodpovedné za reguláciu trhov s cennými papiermi a dohľad nad nimi, by sa nemali považovať za príjemcov, ak v súlade s právom Únie alebo právom členského štátu prijímajú osobné údaje, ktoré sú nevyhnutné na vykonávanie určitého zisťovania vo všeobecnom záujme. Žiadosti o poskytnutie by mali orgány verejnej moci zasielať vždy písomne, spolu so zdôvodnením, príležitostne a nemali by sa týkať celého informačného systému ani viesť ku prepojeniu informačných systémov. Uvedené orgány verejnej moci by mali osobné údaje spracúvať v súlade s uplatniteľnými pravidlami ochrany údajov podľa účelov spracúvania.

    (23)

    Genetické údaje by sa mali vymedziť ako osobné údaje týkajúce sa zdedených alebo nadobudnutých genetických charakteristických znakov fyzickej osoby, ktoré poskytujú jedinečné informácie o fyziológii alebo zdraví tejto fyzickej osoby a ktoré sú výsledkom analýzy biologických vzoriek danej fyzickej osoby, najmä analýzy chromozómov, deoxyribonukleovej kyseliny (DNA) alebo ribonukleovej kyseliny (RNA) alebo analýzy akejkoľvek inej látky, ktorá umožňuje získanie rovnocenných informácií. Vzhľadom na ucelenosť a citlivosť genetických informácií existuje vysoké riziko, že prevádzkovateľ údaje zneužije a opakovane použije na rôzne účely. Akákoľvek diskriminácia na základe genetických vlastností by sa mala v zásade zakázať.

    (24)

    Osobné údaje týkajúce sa zdravia by mali zahŕňať všetky údaje týkajúce sa zdravotného stavu dotknutej osoby, ktoré poskytujú informácie o minulom, súčasnom alebo budúcom fyzickom alebo duševnom zdravotnom stave dotknutej osoby. Zahŕňajú aj informácie o fyzickej osobe získané pri registrácii na účely poskytovania služieb zdravotnej starostlivosti danej fyzickej osobe alebo pri ich poskytovaní podľa smernice Európskeho parlamentu a Rady 2011/24/EÚ (7); číslo, symbol alebo osobitný údaj, ktorý bol fyzickej osobe pridelený na individuálnu identifikáciu tejto fyzickej osoby na zdravotné účely; informácie získané na základe vykonania testov alebo prehliadok častí organizmu alebo telesných látok vrátane genetických údajov a biologických vzoriek; a akékoľvek informácie, napríklad o chorobe, zdravotnom postihnutí, riziku ochorenia, anamnéze, klinickej liečbe, alebo o fyziologickom alebo biomedicínskom stave dotknutej osoby bez ohľadu na zdroj týchto informácií, či už pochádzajú napríklad od lekára alebo iného zdravotníckeho pracovníka, z nemocnice, zo zdravotníckej pomôcky alebo z vykonania diagnostického testu in vitro.

    (25)

    Všetky členské štáty sú súčasťou Medzinárodnej organizácie kriminálnej polície (Interpol). Na plnenie svojho poslania Interpol prijíma, uchováva a rozosiela osobné údaje s cieľom pomáhať príslušným orgánom predchádzať medzinárodnej trestnej činnosti a bojovať proti nej. Preto je vhodné posilniť spoluprácu medzi Úniou a Interpolom podporovaním efektívnej výmeny osobných údajov a pritom zabezpečiť dodržiavanie základných práv a slobôd týkajúcich sa automatizovaného spracúvania osobných údajov. Pri prenose osobných údajov z Únie Interpolu a krajinám, ktoré delegovali členov do Interpolu, by sa mala uplatňovať táto smernica, najmä ustanovenia o medzinárodných prenosoch. Táto smernica by sa mala uplatňovať bez toho, aby boli dotknuté osobitné pravidlá stanovené v spoločnej pozícii Rady 2005/69/SVV (8) a rozhodnutí Rady 2007/533/SVV (9).

    (26)

    Každé spracúvanie osobných údajov musí byť vo vzťahu k dotknutým fyzickým osobám zákonné, spravodlivé a transparentné a osobné údaje možno spracúvať len na osobitné účely stanovené právnymi predpismi. To samo osebe nebráni orgánom presadzovania práva vo vykonávaní činností, ako je utajené vyšetrovanie alebo monitorovanie kamerovým systémom. Takéto činnosti možno vykonávať na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií, vrátane ochrany pred ohrozením verejnej bezpečnosti a predchádzania takémuto ohrozeniu, pokiaľ sú stanovené právnymi predpismi a predstavujú nevyhnutné a primerané opatrenie v demokratickej spoločnosti s náležitým zreteľom na oprávnené záujmy dotknutej fyzickej osoby. Zásada spravodlivého spracúvania má v súvislosti s ochranou údajov význam odlišný od práva na spravodlivý proces vymedzeného v článku 47 charty a v článku 6 Európskeho dohovoru o ochrane ľudských práv a základných slobôd (ďalej len „EDĽP“). Fyzické osoby by mali byť upozornené na riziká, pravidlá, záruky a práva pri spracúvaní ich osobných údajov, ako aj na to, ako uplatňovať svoje práva v súvislosti so spracúvaním. Najmä osobitné účely, na ktoré sa osobné údaje spracúvajú, by mali byť výslovne uvedené, legitímne a stanovené v čase získavania osobných údajov. Osobné údaje by mali byť primerané a relevantné vzhľadom na účely, na ktoré sa spracúvajú. Malo by sa najmä zabezpečiť, aby získavané osobné údaje neboli neprimerane rozsiahle a aby sa neuchovávali dlhšie, než je nevyhnutné na účel, na ktorý sa spracúvajú. Osobné údaje by sa mali spracúvať len vtedy, ak účel spracúvania nebolo možné za primeraných podmienok dosiahnuť inými prostriedkami. S cieľom zabezpečiť, aby sa údaje neuchovávali dlhšie, než je to nevyhnutné, by mal prevádzkovateľ stanoviť lehoty na vymazanie alebo pravidelné preskúmanie. Členské štáty by mali stanoviť primerané záruky pre osobné údaje uchovávané na dlhšie obdobia na archiváciu vo verejnom záujme, vedecké, štatistické či historické použitie.

    (27)

    V záujme predchádzania trestným činom, ich vyšetrovania a stíhania je nevyhnutné, aby príslušné orgány spracúvali osobné údaje, ktoré boli získané v kontexte predchádzania konkrétnym trestným činom, ich vyšetrovania, odhaľovania alebo stíhania, aj mimo tohto kontextu s cieľom rozvíjať poznatky o trestnej činnosti a zisťovať súvislosti medzi rôznymi odhalenými trestnými činmi.

    (28)

    S cieľom zachovať bezpečnosť vo vzťahu k spracúvaniu a predchádzať spracúvaniu v rozpore s touto smernicou by sa osobné údaje mali spracúvať tak, aby sa zabezpečila primeraná úroveň bezpečnosti a dôvernosti vrátane predchádzania neoprávnenému prístupu k osobným údajom a zariadeniu používanému na spracúvanie alebo neoprávnenému využitiu týchto údajov a zariadení, a aby sa zohľadnili najnovšie dostupné poznatky a technológia, náklady na vykonanie opatrení vzhľadom na riziká a povahu osobných údajov, ktoré sa majú chrániť.

    (29)

    Osobné údaje by sa mali získavať na konkrétne určené, výslovne uvedené a legitímne účely, ktoré patria do rozsahu pôsobnosti tejto smernice, a nemali by sa spracúvať na účely, ktoré nie sú zlučiteľné s účelmi predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo účelmi výkonu trestných sankcií, vrátane ochrany pred ohrozením verejnej bezpečnosti a predchádzania takémuto ohrozeniu. Ak osobné údaje spracúva ten istý alebo iný prevádzkovateľ na iný účel, ktorý patrí do rozsahu pôsobnosti tejto smernice, ako je účel, na ktorý boli získané, takéto spracúvanie by malo byť povolené pod podmienkou, že takéto spracúvanie je prípustné podľa uplatniteľných právnych ustanovení, je nevyhnutné na takýto iný účel a je mu primerané.

    (30)

    Zásada správnosti údajov by sa mala uplatňovať pri zohľadnení povahy a účelu predmetného spracúvania. Najmä v rámci súdnych konaní sú vyjadrenia obsahujúce osobné údaje založené na subjektívnom vnímaní fyzických osôb a nedajú sa vždy overiť. Následkom toho by sa požiadavka na správnosť nemala vzťahovať na správnosť vyjadrenia, ale iba na skutočnosť, že konkrétne vyjadrenie bolo dané.

    (31)

    K spracúvaniu osobných údajov v oblasti justičnej spolupráce v trestných veciach a v oblasti policajnej spolupráce nevyhnutne patrí spracúvanie osobných údajov, ktoré sa týkajú rôznych kategórií dotknutých osôb. Preto by sa tam, kde je o uplatniteľné, malo v čo najväčšom možnom rozsahu jasne rozlišovať medzi osobnými údajmi rôznych kategórií dotknutých osôb, ako sú podozrivé osoby, osoby odsúdené za spáchanie trestného činu, obete a iné osoby, ako sú svedkovia, osoby disponujúce relevantnými informáciami alebo kontaktné osoby a spoločníci podozrivých osôb a odsúdených páchateľov trestných činov. To by nemalo brániť uplatňovaniu práva na prezumpciu neviny zaručeného chartou a EDĽP, ako sa vykladajú v judikatúre Súdneho dvora a Európskym súdom pre ľudské práva.

    (32)

    Príslušné orgány by mali zabezpečiť, aby sa osobné údaje, ktoré sú nesprávne, neúplné alebo už nie sú aktuálne, neprenášali ani nesprístupňovali. S cieľom zabezpečiť ochranu fyzických osôb, správnosť, úplnosť alebo mieru aktuálnosti a spoľahlivosť prenášaných alebo sprístupňovaných osobných údajov by mali príslušné orgány pri každom prenose osobných údajov podľa možnosti doplniť potrebné informácie.

    (33)

    Ak sa v tejto smernici odkazuje na právo členského štátu, právny základ alebo legislatívne opatrenie, nemusí sa tým nevyhnutne vyžadovať legislatívny akt prijatý parlamentom, bez toho, aby boli dotknuté požiadavky vyplývajúce z ústavného poriadku dotknutého členského štátu. Takéto právo členského štátu, právny základ alebo legislatívne opatrenie by však mali byť jasné a presné a ich uplatňovanie predvídateľné pre tých, na ktorých sa vzťahujú, ako to vyžaduje judikatúra Súdneho dvora a Európskeho súdu pre ľudské práva. V práve členského štátu, ktorým sa upravuje spracúvanie osobných údajov v rámci rozsahu pôsobnosti tejto smernice, by sa mali uviesť aspoň ciele, osobné údaje, ktoré sa majú spracúvať, účely spracúvania a postupy na zachovanie integrity a dôvernosti osobných údajov a postupy na ich likvidáciu, čím sa poskytnú dostatočné záruky voči riziku zneužitia a svojvoľnosti.

    (34)

    Spracúvanie osobných údajov príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií, vrátane ochrany pred ohrozením verejnej bezpečnosti a predchádzania takémuto ohrozeniu by malo zahŕňať akúkoľvek operáciu alebo súbor operácií s osobnými údajmi alebo súbormi osobných údajov na uvedené účely, napríklad získavanie, zaznamenávanie, usporadúvanie, štruktúrovanie, uchovávanie, prepracúvanie alebo zmena, vyhľadávanie, prehliadanie, využívanie, preskupovanie alebo kombinovanie, obmedzenie spracúvania, vymazanie alebo likvidácia, a to bez ohľadu na to, či sa vykonávajú automatizovanými prostriedkami alebo inými prostriedkami. Pravidlá tejto smernice by sa mali vzťahovať najmä na prenos osobných údajov na účely tejto smernice príjemcovi, na ktorého sa táto smernica nevzťahuje. Pojem príjemca by mal v tejto súvislosti znamenať fyzickú alebo právnickú osobu, orgán verejnej moci, agentúru alebo akýkoľvek iný subjekt, ktorému osobné údaje zákonne poskytuje príslušný orgán. Ak osobné údaje pôvodne získal príslušný orgán na niektorý z účelov tejto smernice, nariadenie (EÚ) 2016/679 by sa malo uplatňovať na spracúvanie týchto údajov na iné účely, než sú účely tejto smernice, ak je takéto spracúvanie prípustné podľa práva Únie alebo práva členského štátu. Pravidlá nariadenia (EÚ) 2016/679 by sa mali uplatňovať najmä na prenos osobných údajov na účely, ktoré nepatria do rozsahu pôsobnosti tejto smernice. Na spracúvanie osobných údajov príjemcom, ktorý nie je príslušným orgánom alebo ktorý nekoná ako príslušný orgán v zmysle tejto smernice a ktorému osobné údaje zákonne poskytol príslušný orgán, by sa malo vzťahovať nariadenie (EÚ) 2016/679. Členské štáty by mali mať popri vykonávaní tejto smernice aj možnosť spresniť uplatňovanie pravidiel nariadenia (EÚ) 2016/679, a to pri dodržaní podmienok v ňom stanovených.

    (35)

    Na to, aby bolo spracúvanie osobných údajov podľa tejto smernice zákonné, by malo byť nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme príslušným orgánom na základe práva Únie alebo práva členského štátu na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií, vrátane ochrany pred ohrozením verejnej bezpečnosti a predchádzania takémuto ohrozeniu. Uvedené činnosti by mali zahŕňať ochranu životne dôležitých záujmov dotknutej osoby. Plnenie úloh spočívajúcich v predchádzaní trestným činom, ich vyšetrovaní, odhaľovaní alebo stíhaní inštitucionálne zverené právnymi predpismi príslušným orgánom im umožňuje vyžadovať od fyzických osôb alebo im prikazovať, aby vyhoveli žiadostiam. V takomto prípade by právnym dôvodom na spracúvanie osobných údajov príslušnými orgánmi nemal byť súhlas dotknutej osoby v zmysle nariadenia (EÚ) 2016/679. Ak sa od dotknutej osoby požaduje splnenie zákonnej povinnosti, dotknutá osoba nemá skutočnú a slobodnú voľbu, takže reakcia dotknutej osoby by sa nemohla považovať za slobodné vyjadrenie jej vôle. To by však nemalo brániť členským štátom stanoviť prostredníctvom právnych predpisov, že dotknutá osoba môže súhlasiť so spracúvaním svojich osobných údajov na účely tejto smernice, ako sú napríklad testy DNA pri vyšetrovaní trestného činu alebo monitorovanie jej polohy pomocou technických prostriedkov pri výkone trestných sankcií.

    (36)

    Členské štáty by mali stanoviť, že ak sa v práve Únie alebo v práve členského štátu, ktoré sa vzťahuje na príslušný orgán, ktorý uskutočňuje prenos, stanovujú osobitné podmienky uplatniteľné za konkrétnych okolností na spracúvanie osobných údajov, napríklad ako používanie manipulačných pravidiel, príslušný orgán, ktorý uskutočňuje prenos, by mal informovať príjemcu takýchto osobných údajov o týchto podmienkach a požiadavke dodržiavať ich. Takéto podmienky by mohli napríklad zahŕňať zákaz ďalšieho prenosu osobných údajov iným alebo ich využívania na iné účely ako účely, na ktoré boli prenesené príjemcovi, alebo informovanie dotknutej osoby v prípade obmedzenia práva na informácie bez predchádzajúceho súhlasu príslušného orgánu, ktorý uskutočňuje prenos. Uvedené povinnosti by sa mali vzťahovať aj na prenos od príslušného orgánu, ktorý uskutočňuje prenos, príjemcom v tretích krajinách alebo medzinárodným organizáciám. Členské štáty by mali zabezpečiť, aby príslušný orgán, ktorý uskutočňuje prenos, neuplatňoval na príjemcov v iných členských štátoch alebo na agentúry, úrady a orgány zriadené podľa hlavy V kapitol 4 a 5 ZFEÚ iné podmienky, než ktoré sú uplatniteľné na podobný prenos údajov v rámci členského tohto príslušného orgánu.

    (37)

    Osobné údaje, ktoré sú svojou povahou obzvlášť citlivé v súvislosti so základnými právami a slobodami si zasluhujú osobitnú ochranu, keďže z kontextu ich spracúvania by mohli pre základné práva a slobody vyplývať významné riziká. Uvedené osobné údaje by mali zahŕňať osobné údaje, ktoré odhaľujú rasový alebo etnický pôvod, pričom použitie výrazu „rasový pôvod“ v tejto smernici neznamená, že Únia akceptuje teórie, ktoré sa usilujú stanoviť existenciu oddelených ľudských rás. Takéto osobné údaje by sa nemali spracúvať, pokiaľ spracúvanie nepodlieha primeraným zárukám pre práva a slobody dotknutých osôb stanoveným právnymi predpismi, pričom je prípustné v prípadoch povolených právnymi predpismi; ak spracúvanie ešte nie je povolené právnym predpisom, je nevyhnutné na ochranu životne dôležitých záujmov dotknutej alebo inej osoby; alebo ak sa spracúvanie týka údajov, ktoré preukázateľne zverejnila dotknutá osoba. Primerané záruky práv a slobôd dotknutej osoby by mohli zahŕňať možnosť získať uvedené údaje iba v súvislosti s inými údajmi o dotknutej fyzickej osobe, možnosť primerane zabezpečiť získané údaje, prísnejšie pravidlá prístupu personálu príslušného orgánu k údajom a zákaz prenosu týchto údajov. Spracúvanie takýchto údajov by malo byť povolené právnymi predpismi, ak dotknutá osoba výslovne súhlasila so spracúvaním, ktoré je pre ňu obzvlášť citlivé. Súhlas dotknutej osoby by však sám osebe nemal poskytovať právny dôvod pre spracúvanie takýchto citlivých osobných údajov príslušnými orgánmi.

    (38)

    Dotknutá osoba by mala mať právo na to, aby sa na ňu nevzťahovalo rozhodnutie hodnotiace osobné aspekty s ňou súvisiace, ktoré je založené výlučne na automatizovanom spracúvaní a ktoré má pre túto osobu nepriaznivé právne účinky alebo významné dôsledky. V každom prípade by takéto spracúvanie malo podliehať primeraným zárukám vrátane poskytnutia určitých informácií dotknutej osobe a právu na ľudský zásah, najmä vyjadriť svoj názor, právu dostať vysvetlenie k rozhodnutiu dosiahnutému po takomto posúdení alebo napadnúť toto rozhodnutie. Profilovanie, ktoré vedie k diskriminácii fyzických osôb na základe osobných údajov, ktoré sú svojou povahou obzvlášť citlivé v súvislosti so základnými právami a slobodami, by malo byť zakázané za podmienok stanovených v článkoch 21 a 52 charty.

    (39)

    S cieľom umožniť výkon práv dotknutej osoby, akékoľvek informácie by jej mali byť ľahko dostupné, a to aj na webovom sídle prevádzkovateľa, a mali by byť ľahko pochopiteľné, s jasnou a jednoduchou formuláciou. Takéto informácie by mali byť prispôsobené potrebám zraniteľných osôb, napríklad detí.

    (40)

    Mali by sa stanoviť postupy, ktoré by dotknutej osobe uľahčili uplatnenie jej práv stanovených v ustanoveniach prijatých podľa tejto smernice a ktoré by zahŕňali mechanizmy na vyžiadanie si a prípadné získanie bezplatného prístupu predovšetkým k osobným údajom a ich bezplatnú opravu alebo vymazanie a obmedzenie spracúvania. Prevádzkovateľ by mal byť povinný odpovedať na žiadosti dotknutej osoby bez zbytočného odkladu, pokiaľ prevádzkovateľ neobmedzí práva dotknutej osoby v súlade s touto smernicou. Ak sú navyše žiadosti zjavne neopodstatnené alebo neprimerané, napríklad ak dotknutá osoba bezdôvodne a opakovane požaduje informácie alebo ak dotknutá osoba zneužíva svoje právo na informácie, napríklad poskytovaním nepravdivých alebo zavádzajúcich informácií pri podaní žiadosti, prevádzkovateľ by mal môcť požadovať primeraný poplatok alebo odmietnuť konať na základe takejto žiadosti.

    (41)

    Ak prevádzkovateľ žiada o poskytnutie dodatočných informácií potrebných na potvrdenie totožnosti dotknutej osoby, mali by sa tieto informácie spracúvať len na tento konkrétny účel a nemali by sa uchovávať dlhšie, než je na tento účel potrebné.

    (42)

    Dotknutej osobe by sa mali poskytnúť aspoň tieto informácie: totožnosť prevádzkovateľa, existencia spracovateľskej operácie, účely spracúvania, právo podať sťažnosť a existencia práva žiadať od prevádzkovateľa prístup k osobným údajom a ich opravu alebo vymazanie či obmedzenie spracúvania. Tieto informácie by sa mohli poskytnúť prostredníctvom webového sídla príslušného orgánu. S cieľom zaručiť spravodlivé spracúvanie vo vzťahu k dotknutej osobe a na to, aby mohla uplatňovať svoje práva, by mala byť okrem toho dotknutá osoba v osobitných prípadoch informovaná o právnom základe pre spracúvanie a o tom, ako dlho sa budú údaje uchovávať, a to v rozsahu, v ktorom sú takéto ďalšie informácie potrebné, berúc do úvahy osobitné okolnosti, za ktorých sa údaje spracúvajú.

    (43)

    Fyzická osoba by mala mať právo na prístup k údajom, ktoré boli o nej získané, a toto právo aj jednoducho a v primeraných intervaloch uplatňovať, aby si bola vedomá zákonnosti spracúvania a mohla si ju overiť. Každá dotknutá osoba by preto mala mať právo vedieť a byť informovaná o účeloch spracúvania údajov, o dobe, počas ktorej sa budú údaje spracúvať, a o príjemcoch údajov vrátane príjemcov v tretích krajinách. Ak takéto informovanie zahŕňa informácie o pôvode osobných údajov, nemali by tieto informácie prezrádzať totožnosť fyzických osôb, najmä z dôverných zdrojov. Na dodržanie tohto práva je dostatočné, aby mala dotknutá osoba k dispozícii úplné zhrnutie uvedených údajov v zrozumiteľnej forme, to znamená vo forme, ktorá umožňuje, aby bola dotknutá osoba informovaná o uvedených údajoch a aby si overila, že sú správne a spracúvané v súlade s touto smernicou, aby si mohla uplatniť práva, ktoré jej táto smernica priznáva. Takéto zhrnutie by sa mohlo poskytovať formou kópie osobných údajov, ktoré sa spracúvajú.

    (44)

    Členské štáty by mali mať možnosť prijať legislatívne opatrenia, podľa ktorých sa poskytovanie informácií dotknutým osobám odloží, obmedzí alebo sa od neho upustí, alebo sa úplne či čiastočne obmedzí prístup k ich osobným údajom, a to v takom rozsahu a na tak dlho, ako je toto opatrenie s náležitým zreteľom na základné práva a oprávnené záujmy dotknutej fyzickej osoby v demokratickej spoločnosti nevyhnutné a primerané, aby sa zabránilo mareniu úradného alebo súdneho zisťovania, vyšetrovania alebo konania, aby sa zabránilo ohrozeniu predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo výkonu trestných sankcií, aby sa ochránila verejná bezpečnosť alebo národná bezpečnosť, alebo aby sa ochránili práva a slobody iných. Prevádzkovateľ by mal prostredníctvom konkrétneho a individuálneho preskúmania každého prípadu posúdiť, či by sa právo na prístup malo čiastočne alebo úplne obmedziť.

    (45)

    Akékoľvek zamietnutie alebo obmedzenie prístupu by malo byť dotknutej osobe v zásade oznámené písomne a malo by zahŕňať skutkové alebo právne dôvody, na ktorých je toto rozhodnutie založené.

    (46)

    Akékoľvek obmedzenie práv dotknutej osoby musí byť v súlade s chartou a EDĽP, ako sa vykladajú v judikatúre Súdneho dvora a Európskym súdom pre ľudské práva, a predovšetkým musí rešpektovať podstatu uvedených práv a slobôd.

    (47)

    Fyzická osoba by tiež mala mať právo na opravu nesprávnych osobných údajov, ktoré sa jej týkajú, najmä ak sa týkajú skutočností, ako aj právo na ich vymazanie, ak je spracúvanie takýchto údajov v rozpore s touto smernicou. Právom na opravu by však nemal byť napríklad dotknutý obsah svedeckej výpovede. Fyzická osoba by mala mať právo na obmedzenie spracúvania, ak napadne správnosť osobných údajov a nemožno určiť ich správnosť či nesprávnosť, alebo keď je potrebné osobné údaje uchovať na účely dokazovania. Namiesto vymazania osobných údajov by sa spracúvanie malo obmedziť najmä vtedy, keď sa v osobitnom prípade možno odôvodnene domnievať, že vymazanie by mohlo ovplyvniť oprávnené záujmy dotknutej osoby. V takomto prípade by sa obmedzené údaje mali spracúvať len na účely, ktoré zabránili ich vymazaniu. Metódy na obmedzenie spracúvania osobných údajov by okrem iného mohli zahŕňať presunutie vybraných údajov do iného systému spracúvania, napríklad na účely archivácie, alebo zamedzenie prístupu k nim. V automatizovaných informačných systémoch by sa obmedzenie spracúvania malo v zásade zabezpečiť technickými prostriedkami. Skutočnosť, že spracúvanie osobných údajov je obmedzené, by sa v systéme mala vyznačiť tak, aby bolo jednoznačné, že spracúvanie osobných údajov je obmedzené. Takáto oprava alebo vymazanie osobných údajov alebo obmedzenie spracúvania by sa mali oznámiť príjemcom, ktorým sa údaje poskytli, a príslušným orgánom, od ktorých nesprávne údaje pochádzajú. Prevádzkovatelia by takisto mali upustiť od ďalšieho šírenia takýchto údajov.

    (48)

    Ak prevádzkovateľ dotknutej osobe odoprie jej právo na informácie, prístup alebo opravu či vymazanie osobných údajov alebo obmedzenie spracúvania, dotknutá osoba by mala mať právo požiadať vnútroštátny dozorný orgán, aby overil zákonnosť spracúvania. Dotknutá osoba by mala byť o uvedenom práve informovaná. Ak dozorný orgán koná v mene dotknutej osoby, mal by ju informovať aspoň o tom, že uskutočnil všetky potrebné overenia alebo preskúmania. Dozorný orgán by mal dotknutú osobu tiež informovať o práve na súdny prostriedok nápravy.

    (49)

    Ak sa osobné údaje spracúvajú počas vyšetrovania trestného činu a súdneho konania v trestných veciach, členské štáty by mali mať možnosť stanoviť, že uplatňovanie práva na informácie, prístup a opravu alebo vymazanie osobných údajov a obmedzenie spracúvania sa vykonáva v súlade s vnútroštátnymi pravidlami súdneho konania.

    (50)

    Mali by sa stanoviť povinnosti a zodpovednosť prevádzkovateľa v súvislosti s akýmkoľvek spracúvaním osobných údajov, ktoré vykonáva sám alebo ktoré sa vykonáva v jeho mene. Prevádzkovateľ by mal byť najmä povinný prijať primerané a účinné opatrenia a mal by vedieť preukázať súlad spracovateľských činností s touto smernicou. Takéto opatrenia by mali zohľadniť povahu, rozsah, kontext a účel spracúvania a riziko pre práva a slobody fyzických osôb. Opatrenia, ktoré prevádzkovateľ prijme, by mali zahŕňať vypracovanie a prijatie osobitných záruk týkajúcich sa nakladania s osobnými údajmi zraniteľných fyzických osôb, napríklad detí.

    (51)

    Riziko pre práva a slobody fyzických osôb s rôznym stupňom pravdepodobnosti a závažnosti môžu vyplývať zo spracúvania údajov, ktoré by mohlo viesť k ujme na zdraví, majetkovej alebo nemajetkovej ujme, a to najmä ak spracúvanie môže viesť k diskriminácii, krádeži totožnosti alebo podvodu, finančnej strate, poškodeniu dobrého mena, strate dôvernosti údajov chránených profesijným tajomstvom, neoprávnenej reverznej pseudonymizácii alebo akémukoľvek inému závažnému hospodárskemu alebo sociálnemu znevýhodneniu; ak by dotknuté osoby mohli byť pozbavené svojich práv a slobôd alebo kontroly nad svojimi osobnými údajmi; ak sa spracúvajú osobné údaje odhaľujúce rasový alebo etnický pôvod, politické názory, náboženstvo alebo filozofické názory alebo členstvo v odborových organizáciách; ak sa spracúvajú genetické údaje alebo biometrické údaje na individuálnu identifikáciu osoby, alebo ak sa spracúvajú údaje týkajúce sa zdravia či údaje týkajúce sa sexuálneho života a sexuálnej orientácie alebo uznania viny zo spáchania trestného činu a priestupku či súvisiacich bezpečnostných opatrení; ak sa posudzujú osobné aspekty, najmä ak sa analyzujú a predvídajú aspekty týkajúce sa výkonnosti v práci, majetkových pomerov, zdravia, osobných preferencií alebo záujmov, spoľahlivosti alebo správania, polohy alebo pohybu s cieľom vytvoriť alebo používať osobné profily; ak sa spracúvajú osobné údaje zraniteľných fyzických osôb, najmä detí; alebo ak spracúvanie zahŕňa veľké množstvo osobných údajov a má dôsledky na veľký počet dotknutých osôb.

    (52)

    Pravdepodobnosť a závažnosť rizika by sa mala stanoviť v závislosti od povahy, rozsahu, kontextu a účelov spracúvania. Riziko by sa malo posudzovať na základe objektívneho posúdenia, ktorým sa určí, či operácie spracúvania údajov zahŕňajú vysoké riziko. Vysoké riziko je osobitné riziko ohrozenia práv a slobôd dotknutých osôb.

    (53)

    Ochrana práv a slobôd fyzických osôb pri spracúvaní osobných údajov si vyžaduje, aby sa prijali primerané technické a organizačné opatrenia s cieľom zabezpečiť splnenie požiadaviek stanovených v tejto smernici. Vykonávanie takýchto opatrení by nemalo závisieť výlučne od hospodárskych okolností. Na to, aby mohol prevádzkovateľ preukázať súlad s touto smernicou, by mal prijať interné pravidlá a vykonať opatrenia, ktoré budú predovšetkým spĺňať zásady špecificky navrhnutej ochrany údajov a štandardnej ochrany údajov. Ak prevádzkovateľ vykonal posúdenie vplyvu na ochranu údajov v súlade s touto smernicou, jeho výsledky by sa mali zohľadniť pri vypracovaní uvedených opatrení a postupov. Uvedené opatrenia by mohli pozostávať okrem iného z čo najskoršieho využívania pseudonymizácie. Využívanie pseudonymizácie na účely tejto smernice môže slúžiť ako nástroj, ktorý by mohol uľahčiť najmä voľný tok osobných údajov v rámci priestoru slobody, bezpečnosti a spravodlivosti.

    (54)

    Ochrana práv a slobôd dotknutých osôb, ako aj povinnosti a zodpovednosť prevádzkovateľov a sprostredkovateľov, a to aj v súvislosti s monitorovaním zo strany dozorných orgánov a ich opatreniami, si vyžaduje jasné rozdelenie povinností stanovených v tejto smernici vrátane prípadov, v ktorých prevádzkovateľ určuje účely a prostriedky spracúvania spoločne s inými prevádzkovateľmi, alebo v prípadoch, v ktorých sa spracovateľská operácia vykonáva v mene prevádzkovateľa.

    (55)

    Vykonávanie spracúvania sprostredkovateľom by sa malo riadiť právnym aktom vrátane zmluvy, ktoré zaväzujú sprostredkovateľa voči prevádzkovateľovi a ktorými sa najmä stanovuje, že sprostredkovateľ by mal konať len na základe pokynov prevádzkovateľa. Sprostredkovateľ by mal zohľadňovať zásadu špecificky navrhnutej a štandardnej ochrany údajov.

    (56)

    Na účely preukázania súladu s touto smernicou by prevádzkovateľ alebo sprostredkovateľ mali viesť záznamy o všetkých kategóriách spracovateľských činností, za ktoré sú zodpovední. Každý prevádzkovateľ a sprostredkovateľ by mal byť povinný spolupracovať s dozorným orgánom a na požiadanie mu poskytnúť uvedené záznamy, aby mohli slúžiť na monitorovanie týchto spracovateľských operácií. Prevádzkovateľ alebo sprostredkovateľ, ktorí spracúvajú osobné údaje v systémoch neautomatizovaného spracúvania, by mali zaviesť účinné metódy na preukázanie zákonnosti spracúvania, umožnenie vlastného monitorovania a zabezpečenie integrity a bezpečnosti údajov, ako sú napríklad logy alebo iné formy záznamov.

    (57)

    Logy by sa mali viesť aspoň pre operácie v systémoch automatizovaného spracúvania, ako je získavanie, zmena, prehliadanie, poskytovanie vrátane prenosov, kombinovanie alebo vymazanie. Mali by sa zaznamenávať identifikačné údaje osoby, ktorá osobné údaje prehliadala alebo ich poskytla, a z uvedených identifikačných údajov by malo byť možné vyvodiť dôvody spracovateľských operácií. Logy by sa mali využívať výlučne na overovanie zákonnosti spracúvania, vlastné monitorovanie, zabezpečenie integrity a bezpečnosti údajov a na účely trestného konania. Vlastné monitorovanie by malo zahŕňať aj interné disciplinárne konanie príslušných orgánov.

    (58)

    Ak spracovateľské operácie z dôvodu svojej povahy, rozsahu alebo účelov pravdepodobne povedú k vysokému riziku pre práva a slobody dotknutých osôb, prevádzkovateľ by mal vykonať posúdenie vplyvu na ochranu údajov, ktoré by malo zahŕňať najmä opatrenia, záruky a mechanizmy plánované na zaručenie ochrany osobných údajov a na preukázanie súladu s touto smernicou. Posúdenia vplyvu by sa mali týkať príslušných systémov a procesov spracovateľských operácií, ale nie konkrétnych prípadov.

    (59)

    V určitých prípadoch by prevádzkovateľ alebo sprostredkovateľ mali uskutočniť s dozorným orgánom konzultácie pred spracúvaním s cieľom zabezpečiť účinnú ochranu práv a slobôd dotknutých osôb.

    (60)

    S cieľom zachovať bezpečnosť a predchádzať spracúvaniu, ktoré je v rozpore s touto smernicou, by prevádzkovateľ alebo sprostredkovateľ mali posúdiť riziká súvisiace so spracúvaním a mali by prijať opatrenia na zmiernenie týchto rizík, ako napríklad šifrovanie. Takýmito opatreniami by sa mala zabezpečiť primeraná úroveň bezpečnosti vrátane dôvernosti a mali by sa zohľadniť najnovšie poznatky, náklady na vykonanie opatrení v súvislosti s rizikami a povahou osobných údajov, ktoré sa majú chrániť. Pri posudzovaní rizík v oblasti bezpečnosti údajov by sa mali zohľadniť riziká spojené so spracúvaním údajov, ako sú napríklad náhodné alebo nezákonná likvidácia, strata, zmena alebo neoprávnené poskytovanie prenášaných, uchovávaných alebo inak spracúvaných osobných údajov alebo neoprávnený prístup k nim, ktoré by mohli viesť k ujme na zdraví, majetkovej alebo nemajetkovej ujme. Prevádzkovateľ a sprostredkovateľ by mali zabezpečiť, aby spracúvanie osobných údajov nevykonávali neoprávnené osoby.

    (61)

    Ak sa porušenie ochrany osobných údajov nerieši primeraným spôsobom a včas, môže fyzickým osobám spôsobiť ujmu na zdraví, majetkovú alebo nemajetkovú ujmu, ako je napríklad strata kontroly nad svojimi osobnými údajmi alebo obmedzenie práv týchto osôb, diskriminácia, krádež totožnosti alebo podvod, finančná strata, neoprávnená reverzná pseudonymizácia, poškodenie dobrého mena, strata dôvernosti osobných údajov chránených profesijným tajomstvom alebo akékoľvek iné závažné hospodárske či sociálne znevýhodnenie dotknutej fyzickej osoby. Prevádzkovateľ by mal preto ihneď, ako sa dozvie, že došlo k porušeniu ochrany osobných údajov, bez zbytočného odkladu a podľa možnosti najneskôr do 72 hodín od okamihu, ako sa dozvedel, že došlo k porušeniu ochrany osobných údajov, toto porušenie oznámiť dozornému orgánu s výnimkou prípadov, keď vie prevádzkovateľ v súlade so zásadou zodpovednosti preukázať, že nie je pravdepodobné, že porušenie ochrany osobných údajov povedie k riziku pre práva a slobody fyzických osôb. Ak nie je možné oznámenie podať do 72 hodín, malo by k oznámeniu pripojiť odôvodnenie omeškania, pričom informácie možno poskytnúť vo viacerých fázach bez ďalšieho zbytočného odkladu.

    (62)

    Ak porušenie ochrany osobných údajov pravdepodobne povedie k vysokému riziku pre práva a slobody fyzických osôb, mala by sa táto skutočnosť bez zbytočného odkladu oznámiť fyzickým osobám, aby sa im umožnilo prijať potrebné preventívne opatrenia. V oznámení by sa mala uviesť povaha porušenia ochrany osobných údajov, ako aj odporúčania pre dotknutú fyzickú osobu o tom, ako zmierniť potenciálne nepriaznivé dôsledky. Dotknuté osoby by mali byť informované čo možno najskôr, v úzkej spolupráci s dozorným orgánom a v súlade s usmerneniami tohto alebo iného príslušného orgánu. Napríklad potreba zmierniť bezprostredné riziko škody by si vyžadovala promptné informovanie dotknutých osôb, zatiaľ čo potreba vykonať primerané opatrenia na zabránenie trvaniu alebo výskytu podobných porušení ochrany údajov môže vyžadovať viac času na informovanie. Ak nemožno zabrániť mareniu úradného alebo súdneho zisťovania, vyšetrovania alebo konania, zabrániť ohrozeniu predchádzania trestným činom, ich odhaľovania, vyšetrovania alebo stíhania alebo výkonu trestných sankcií, či dosiahnuť ochranu verejnej bezpečnosti alebo národnej bezpečnosti alebo ochranu práv a slobôd iných osôb prostredníctvom odkladu alebo obmedzenia informovania dotknutej osoby o porušení ochrany osobných údajov, možno vo výnimočných prípadoch od takéhoto oznámenia upustiť.

    (63)

    Prevádzkovateľ by mal určiť osobu, ktorá by mu pomáhala pri monitorovaní interného súladu s ustanoveniami prijatými podľa tejto smernice, s výnimkou prípadov, keď sa členský štát rozhodne udeliť výnimku súdom a iným nezávislým justičným orgánom pri výkone ich súdnej právomoci. Uvedenou osobou by mohol byť existujúci člen personálu prevádzkovateľa, ktorý bol odborne vyškolený v oblasti práva a postupov v oblasti ochrany údajov, aby získal odborné znalosti v tejto oblasti. Potrebná úroveň odborných znalostí by sa mala určiť najmä v závislosti od vykonávaného spracúvania údajov a od požadovanej ochrany osobných údajov, ktoré spracúva prevádzkovateľ. Svoje úlohy by mohla táto osoba vykonávať na plný alebo kratší pracovný čas. Zodpovednú osobu môže spoločne vymenovať viacero prevádzkovateľov, pričom sa zohľadní ich organizačná štruktúra a veľkosť, napríklad v prípade spoločných zdrojov ústredných útvarov. Uvedenú osobu tiež možno vymenovať na rôzne pracovné miesta v rámci štruktúry príslušných prevádzkovateľov. Uvedená osoba by mala pomáhať prevádzkovateľovi a zamestnancom spracúvajúcim osobné údaje tak, že ich informuje a poskytuje im poradenstvo o dodržiavaní ich príslušných povinností v oblasti ochrany údajov. Takéto zodpovedné osoby by mali mať možnosť vykonávať svoje povinnosti a úlohy nezávisle v súlade s právom členského štátu.

    (64)

    Členské štáty by mali zabezpečiť, aby sa prenos do tretej krajiny alebo medzinárodnej organizácii uskutočnil len vtedy, ak je to potrebné na predchádzanie trestným činom, ich vyšetrovanie, odhaľovanie alebo stíhanie alebo na výkon trestných sankcií vrátane ochrany pred ohrozením verejnej bezpečnosti a predchádzanie takémuto ohrozeniu, pričom prevádzkovateľ v tretej krajine alebo medzinárodná organizácia je príslušným orgánom v zmysle tejto smernice. Prenos by mali uskutočniť len príslušné orgány konajúce ako prevádzkovatelia s výnimkou prípadov, keď sa sprostredkovateľom výslovne udelil pokyn uskutočniť prenos v mene prevádzkovateľov. Takýto prenos sa môže uskutočniť v prípade, že Komisia rozhodla, že daná tretia krajina alebo medzinárodná organizácia zaručuje primeranú úroveň ochrany, ak sa poskytli primerané záruky, alebo ak platia výnimky pre osobitné situácie. Úroveň ochrany fyzických osôb stanovená Úniou na základe tejto smernice by nemala byť ohrozená, keď sa osobné údaje prenášajú z Únie prevádzkovateľom, sprostredkovateľom alebo iným príjemcom v tretích krajinách alebo medzinárodným organizáciám, a to ani v prípadoch následného prenosu osobných údajov z tretej krajiny alebo medzinárodnej organizácie prevádzkovateľom či sprostredkovateľom v rovnakej alebo inej tretej krajine alebo medzinárodnej organizácii.

    (65)

    V prípade prenosu osobných údajov z členského štátu do tretích krajín alebo medzinárodným organizáciám by sa takýto prenos mal v zásade uskutočniť iba po tom, čo ho povolil členský štát, od ktorého sa údaje získali. Záujmy efektívnej spolupráce v oblasti presadzovania práva si vyžadujú, aby v prípade, keď je ohrozenie verejnej bezpečnosti členského štátu alebo tretej krajiny alebo základných záujmov členského štátu také bezprostredné, že nie je možné včas získať predchádzajúce povolenie, príslušný orgán by mal mať možnosť uskutočniť prenos daných osobných údajov do dotknutej tretej krajiny alebo medzinárodnej organizácii bez takéhoto predchádzajúceho povolenia. Členské štáty by mali stanoviť, že akékoľvek osobitné podmienky týkajúce sa prenosu by sa mali oznámiť tretím krajinám alebo medzinárodným organizáciám. Následné prenosy osobných údajov by mali podliehať predchádzajúcemu povoleniu príslušného orgánu, ktorý uskutočnil pôvodný prenos. Pri rozhodovaní o žiadosti o povolenie následného prenosu by mal príslušný orgán, ktorý uskutočnil pôvodný prenos, náležite zohľadniť všetky relevantné okolnosti vrátane závažnosti trestného činu, osobitných podmienok a účelu pôvodného prenosu údajov, povahy a podmienok výkonu trestných sankcií a úrovne ochrany osobných údajov v tretej krajine alebo medzinárodnej organizácii, do ktorej sa uskutočňuje následný prenos osobných údajov. Príslušný orgán, ktorý uskutočnil pôvodný prenos, by mal mať aj možnosť stanoviť osobitné podmienky pre následný prenos. Takéto osobitné podmienky možno opísať napríklad v manipulačných pravidlách.

    (66)

    Komisia by mala mať možnosť s účinnosťou pre celú Úniu rozhodnúť, že určité tretie krajiny, územie alebo jeden či viaceré určené sektory v tretej krajine, alebo medzinárodná organizácia zaručuje primeranú úroveň ochrany, čím zaisťuje právnu istotu a jednotnosť v celej Únii, pokiaľ ide o tretie krajiny alebo medzinárodné organizácie, ktoré sa považujú za tretie krajiny a medzinárodné organizácie poskytujúce takúto úroveň ochrany. V takýchto prípadoch by prenosy osobných údajov do uvedených krajín malo byť možné uskutočňovať bez potreby získania osobitného povolenia, okrem prípadov, ak musí prenos povoliť iný členský štát, od ktorého sa údaje získali.

    (67)

    V súlade so základnými hodnotami, na ktorých je založená Únia, najmä pokiaľ ide o ochranu ľudských práv, by Komisia mala pri posúdení tretej krajiny alebo územia či určeného sektora v rámci tretej krajiny zohľadniť skutočnosť, ako daná tretia krajina dodržiava zásady právneho štátu, prístupu k spravodlivosti a medzinárodné normy a štandardy v oblasti ľudských práv, ako aj jej všeobecné a odvetvové právo vrátane právnych predpisov týkajúcich sa verejnej bezpečnosti, obrany a národnej bezpečnosti, ako aj verejného poriadku a trestného práva. Pri prijímaní rozhodnutia o primeranosti týkajúceho sa územia alebo určeného sektora v tretej krajine by sa mali zohľadniť jasné a objektívne kritériá, ako sú napríklad osobitné spracovateľské činnosti a rozsah pôsobnosti uplatniteľných právnych noriem a platných právnych predpisov v tretej krajine. Tretia krajina by mala navrhnúť záruky, ktoré zaistia primeraná úroveň ochrany, ktorá v zásade zodpovedá úrovni zabezpečenej v rámci Únie, najmä ak sa údaje spracúvajú v jednom alebo vo viacerých určených sektoroch. Tretia krajina by predovšetkým mala zabezpečiť účinný a nezávislý dozor nad ochranou údajov a ustanoviť mechanizmy spolupráce s orgánmi členských štátov na ochranu údajov a dotknutým osobám by sa mali poskytnúť účinné a vymožiteľné práva a účinné správne a súdne prostriedky nápravy.

    (68)

    Okrem medzinárodných záväzkov, ktoré tretia krajina alebo medzinárodná organizácia prevzali, by Komisia mala zohľadniť aj povinnosti vyplývajúce z účasti tretej krajiny alebo medzinárodnej organizácie vo viacstranných alebo regionálnych systémoch, najmä vo vzťahu k ochrane osobných údajov, ako aj k vykonávaniu takýchto záväzkov. Predovšetkým by sa malo zohľadniť pristúpenie tretej krajiny k Dohovoru Rady Európy z 28. januára 1981 o ochrane jednotlivcov pri automatizovanom spracovaní osobných údajov a dodatkovému protokolu k nemu. Komisia by pri posudzovaní úrovne ochrany v tretích krajinách alebo medzinárodných organizáciách mala uskutočniť konzultácie s Európskym výborom pre ochranu údajov zriadeným nariadením (EÚ) 2016/679 (ďalej len „Výbor“). Komisia by tiež mala zohľadniť príslušné rozhodnutie Komisie o primeranosti prijaté podľa článku 45 nariadenia (EÚ) 2016/679.

    (69)

    Komisia by mala monitorovať fungovanie rozhodnutí o úrovni ochrany v tretej krajine, na území alebo v určenom sektore v tretej krajine alebo v medzinárodnej organizácii. Komisia by vo svojich rozhodnutiach o primeranosti mala ustanoviť mechanizmus na pravidelné preskúmanie ich fungovania. Uvedené pravidelné preskúmanie by sa malo uskutočniť po konzultácii s predmetnou treťou krajinou alebo medzinárodnou organizáciou a mali by sa v ňom zohľadniť všetky významné zmeny v tretej krajine alebo medzinárodnej organizácii.

    (70)

    Komisia by tiež mala mať možnosť dospieť k záveru, že tretia krajina, územie alebo určený sektor v tretej krajine, alebo medzinárodná organizácia už nezaručujú primeranú úroveň ochrany údajov. V dôsledku toho by sa mal prenos osobných údajov do uvedenej tretej krajiny alebo medzinárodnej organizácii zakázať, pokiaľ nie sú splnené požiadavky uvedené v tejto smernici týkajúce sa prenosov na základe primeraných záruk a výnimiek pre osobitné situácie. Mali by sa stanoviť postupy na účely konzultácie medzi Komisiou a takýmito tretími krajinami alebo medzinárodnými organizáciami. Komisia by mala včas informovať tretiu krajinu alebo medzinárodnú organizáciu o dôvodoch a začať s ňou konzultácie s cieľom napraviť tento stav.

    (71)

    Prenosy, ktoré nie sú založené na takomto rozhodnutí o primeranosti, by sa mali umožniť len vtedy, ak sa poskytli primerané záruky v právne záväznom akte, ktorý zaručuje ochranu osobných údajov, alebo ak prevádzkovateľ posúdil všetky okolnosti sprevádzajúce prenos údajov a na základe tohto posúdenia dospel k záveru, že existujú primerané záruky ochrany osobných údajov. Takýmito právne záväznými aktmi by mohli byť napríklad právne záväzné dvojstranné dohody uzavreté členskými štátmi a transponované do ich právneho poriadku a ktorých výkonu by sa mohli domáhať ich dotknuté osoby, zabezpečujúce súlad s požiadavkami na ochranu údajov a práva dotknutých osôb vrátane práva na účinný správny alebo súdny prostriedok nápravy. Prevádzkovateľ by mal mať možnosť pri výkone posudzovania všetkých okolností sprevádzajúcich prenos údajov zohľadniť dohody o spolupráci uzavreté medzi Europolom alebo Eurojustom a tretími krajinami, ktoré umožňujú výmenu osobných údajov. Prevádzkovateľ by mal mať možnosť zohľadniť aj skutočnosť, že prenos osobných údajov bude podliehať povinnostiam zachovávania dôvernosti a zásade špecifickosti, čím sa zabezpečí, že údaje sa nebudú spracúvať na iné účely, než sú účely prenosu. Okrem toho by mal prevádzkovateľ zohľadniť, že osobné údaje sa nepoužijú na požadovanie, uloženie alebo vykonanie trestu smrti alebo akejkoľvek inej formy krutého alebo neľudského zaobchádzania. Hoci by sa uvedené podmienky mohli považovať za primerané záruky umožňujúce prenos údajov, prevádzkovateľ by mal mať možnosť vyžadovať dodatočné záruky.

    (72)

    V prípadoch, keď neexistuje žiadne rozhodnutie o primeranosti ani primerané záruky, malo by byť možné uskutočniť prenos alebo kategóriu prenosov len v osobitných situáciách, ak je to nevyhnutné na ochranu životne dôležitých záujmov dotknutej osoby či inej osoby alebo na zabezpečenie oprávnených záujmov dotknutej osoby, ak to stanovuje právo členského štátu, ktorý uskutočňuje prenos osobných údajov; na predchádzanie bezprostrednému a vážnemu ohrozeniu verejnej bezpečnosti členského štátu alebo tretej krajiny; v jednotlivom prípade na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií vrátane ochrany pred ohrozením verejnej bezpečnosti a predchádzania takémuto ohrozeniu; alebo v jednotlivom prípade na preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov. Uvedené výnimky by sa mali vykladať reštriktívne a nemali by umožňovať časté, hromadné a štruktúrované prenosy osobných údajov alebo rozsiahle prenosy údajov, ale mali by byť obmedzené na nevyhnutne potrebné údaje. Takéto prenosy by mali byť zdokumentované a mali by sa na požiadanie sprístupniť dozornému orgánu na účely monitorovania zákonnosti prenosu.

    (73)

    Príslušné orgány členských štátov uplatňujú platné dvojstranné alebo mnohostranné medzinárodné dohody uzavreté s tretími krajinami v oblasti justičnej spolupráce v trestných veciach a policajnej spolupráce na výmenu relevantných informácií, ktoré im umožňujú výkon ich úloh uložených zákonom. V zásade sa to uskutočňuje na základe spolupráce orgánov dotknutých tretích krajín príslušných na účely tejto smernice alebo aspoň v spolupráci s nimi, niekedy dokonca aj vtedy, ak dvojstranná či mnohostranná medzinárodná dohoda neexistuje. V osobitných jednotlivých prípadoch však riadne postupy požadujúce nadviazanie kontaktu s takýmto orgánom v tretej krajine môžu byť neefektívne alebo nevhodné, najmä preto, že by sa presun nemohol uskutočniť včas, alebo preto, že tento orgán v tretej krajine nedodržiava zásady právneho štátu alebo medzinárodné normy a štandardy v oblasti ľudských práv, a preto by sa príslušné orgány členských štátov mohli rozhodnúť, že uskutočnia prenos osobných údajov priamo príjemcom usadeným v týchto tretích krajinách. Možno tak postupovať vtedy, keď je naliehavo potrebné vykonať prenos osobných údajov na záchranu života osoby, ktorej hrozí, že sa stane obeťou trestného činu, alebo v záujme zabránenia bezprostrednému spáchaniu trestného činu vrátane terorizmu. Aj keby k takémuto presunu medzi príslušnými orgánmi a príjemcami usadenými v tretích krajinách malo dochádzať len v určitých jednotlivých prípadoch, v tejto smernici by sa mali stanoviť podmienky s cieľom úpravy takýchto prípadov. Uvedené ustanovenia by sa nemali považovať za výnimky zo žiadnych existujúcich dvojstranných alebo mnohostranných medzinárodných dohôd v oblasti justičnej spolupráce v trestných veciach a policajnej spolupráce. Uvedené pravidlá by sa mali uplatňovať ako doplnok k ostatným pravidlám uvedeným v tejto smernici, najmä pravidlám o zákonnosti spracúvania a kapitoly V.

    (74)

    Pri cezhraničnom pohybe osobných údajov môže byť schopnosť fyzických osôb uplatňovať si práva na ochranu údajov v záujme vlastnej ochrany pred nezákonným využitím alebo poskytovaním uvedených údajov vystavená vyššiemu riziku. Zároveň môžu dozorné orgány zistiť, že nedokážu vybavovať sťažnosti alebo viesť vyšetrovanie týkajúce sa činností vykonávaných za ich hranicami. Prekážkou v ich úsilí spolupracovať v cezhraničnom kontexte môžu byť aj nedostatočné preventívne alebo nápravné právomoci, ako aj rozdiely medzi právnymi poriadkami. Preto je potrebné podporovať užšiu spoluprácu medzi dozornými orgánmi v oblasti ochrany údajov s cieľom pomôcť im pri výmene informácií s ich zahraničnými partnermi.

    (75)

    Zriadenie dozorných orgánov v členských štátoch, ktoré majú možnosť vykonávať svoje funkcie úplne nezávisle, je zásadným prvkom ochrany fyzických osôb pri spracúvaní ich osobných údajov. Dozorné orgány by mali monitorovať uplatňovanie ustanovení prijatých podľa tejto smernice a mali by prispievať k ich konzistentnému uplatňovaniu v celej Únii v záujme ochrany fyzických osôb pri spracúvaní ich osobných údajov. Na uvedený účel by dozorné orgány mali spolupracovať navzájom, ako aj s Komisiou.

    (76)

    Členské štáty môžu dozornému orgánu, ktorý je už zriadený na základe nariadenia (EÚ) 2016/679, zveriť zodpovednosť za úlohy, ktoré majú vykonávať vnútroštátne dozorné orgány, ktoré sa majú zriadiť na základe tejto smernice.

    (77)

    Členské štáty by mali mať možnosť zriadiť viac ako jeden dozorný orgán, aby zohľadnili svoju ústavnú, organizačnú a správnu štruktúru. Každému dozornému orgánu by sa mali poskytnúť finančné a ľudské zdroje, priestory a infraštruktúra, ktoré sú potrebné na účinné plnenie jeho úloh vrátane úloh, ktoré sa týkajú vzájomnej pomoci a spolupráce s ostatnými dozornými orgánmi v rámci Únie. Každý dozorný orgán by mal mať samostatný verejný ročný rozpočet, ktorý môže byť súčasťou celkového štátneho alebo národného rozpočtu.

    (78)

    Dozorné orgány by mali podliehať nezávislému kontrolnému alebo monitorovaciemu mechanizmu, pokiaľ ide o ich finančné výdavky, a to za predpokladu, že takáto finančná kontrola neovplyvní ich nezávislosť.

    (79)

    Všeobecné podmienky pre člena alebo členov dozorného orgánu by sa mali stanoviť právom členského štátu, kde by malo byť najmä stanovené, že týchto členov by mal vymenovať buď parlament alebo vláda či hlava členského štátu na základe návrhu vlády alebo člena vlády, alebo parlamentu či jeho komory, alebo nezávislý subjekt, ktorý je právom členského štátu poverený ich vymenovať transparentným postupom. S cieľom zabezpečiť nezávislosť dozorného orgánu by mal člen alebo členovia konať bezúhonne, mali by sa zdržať akéhokoľvek konania nezlučiteľného s ich povinnosťami a počas svojho funkčného obdobia by nemali vykonávať žiadnu inú platenú ani neplatenú pracovnú činnosť nezlučiteľnú s touto funkciou. Na zabezpečenie nezávislosti dozorného orgánu by mal výber jeho personálu zabezpečiť dozorný orgán, pričom do tohto výberu môže zasiahnuť nezávislý orgán poverený právom členského štátu.

    (80)

    Hoci sa táto smernica vzťahuje aj na činnosti vnútroštátnych súdov a iných justičných orgánov, právomoc dozorných orgánov by sa nemala vzťahovať na spracúvanie osobných údajov súdmi pri výkone ich súdnej právomoci, aby sa zaručila nezávislosť sudcov pri výkone ich justičných úloh. Uvedená výnimka by sa mala obmedzovať len na justičné činnosti v súdnych konaniach a nemala by sa vzťahovať na iné činnosti, do ktorých môžu byť sudcovia zapojení v súlade s právom členského štátu. Členské štáty by mali mať aj možnosť stanoviť, že sa právomoc dozorného orgánu nevzťahuje na spracúvanie osobných údajov iných nezávislých justičných orgánov pri výkone ich justičných oprávnení, napríklad prokuratúry. V každom prípade dodržiavanie pravidiel tejto smernice súdmi a inými nezávislými justičnými orgánmi vždy podlieha nezávislému dozoru v súlade s článkom 8 ods. 3 charty.

    (81)

    Každý dozorný orgán by mal vybavovať sťažnosti podané ktoroukoľvek dotknutou osobou a vyšetriť predmetnú záležitosť alebo ju postúpiť príslušnému dozornému orgánu. Vyšetrovanie na základe sťažnosti by sa s výhradou súdneho preskúmania malo vykonávať v rozsahu primeranom pre konkrétny prípad. Dozorný orgán by mal v primeranej lehote informovať dotknutú osobu o priebehu vybavovania sťažnosti a jeho výsledku. Ak si vec vyžaduje ďalšie vyšetrovanie alebo koordináciu s iným dozorným orgánom, dotknutej osobe by sa mali poskytnúť priebežné informácie.

    (82)

    S cieľom zabezpečiť účinné, spoľahlivé a konzistentné monitorovanie súladu s touto smernicou a jej presadzovanie v celej Únii v súlade so ZFEÚ podľa výkladu Súdneho dvora by dozorné orgány mali mať vo všetkých členských štátoch rovnaké úlohy a účinné právomoci vrátane vyšetrovacích, nápravných a poradenských právomocí, ktoré predstavujú prostriedky potrebné na vykonávanie ich úloh. Ich právomoci by však nemali zasahovať do konkrétnych pravidiel trestného konania, vrátane vyšetrovania a stíhania trestných činov, ani do nezávislosti súdnictva. Bez toho, aby boli dotknuté právomoci vyšetrovacích orgánov podľa práva členského štátu, by dozorné orgány mali mať aj právomoc upozorniť justičné orgány na porušovanie tejto smernice alebo zúčastniť sa na súdnom konaní. Právomoci dozorných orgánov by sa mali vykonávať v súlade s primeranými procesnými zárukami stanovenými právom Únie a právom členského štátu, nestranne, spravodlivo a v primeranej lehote. Predovšetkým by každé opatrenie malo byť vhodné, potrebné a primerané vzhľadom na zabezpečenie súladu s touto smernicou, berúc do úvahy okolnosti každého konkrétneho prípadu, malo by rešpektovať právo každej osoby na vypočutie pred prijatím akéhokoľvek individuálneho opatrenia, ktoré by mohlo mať nepriaznivé dôsledky pre dotknutú osobu, a nemalo by jej spôsobovať zbytočné náklady a neprimerané ťažkosti. Vyšetrovacie právomoci týkajúce sa prístupu do priestorov by sa mali uplatňovať v súlade s osobitnými požiadavkami stanovenými v práve členského štátu, ako je napríklad požiadavka získania predchádzajúceho súdneho povolenia. Prijatie právne záväzného rozhodnutia by malo podliehať súdnemu preskúmaniu v členskom štáte dozorného orgánu, ktorý rozhodnutie prijal.

    (83)

    Dozorné orgány by si mali pri výkone svojich úloh navzájom pomáhať a poskytovať vzájomnú pomoc s cieľom zabezpečiť konzistentné uplatňovanie a presadzovanie ustanovení prijatých podľa tejto smernice.

    (84)

    Výbor by mal prispievať ku konzistentnému uplatňovaniu tejto smernice v celej Únii, a to aj poskytovaním poradenstva Komisii a podporovaním spolupráce medzi dozornými orgánmi v celej Únii.

    (85)

    Každá dotknutá osoba by mala mať právo podať sťažnosť na jednom dozornom orgáne a mať v súlade s článkom 47 charty právo na účinný súdny prostriedok nápravy, ak sa domnieva, že boli porušené jej práva podľa ustanovení prijatých podľa tejto smernice, alebo ak dozorný orgán nereaguje na sťažnosť, čiastočne alebo v plnom rozsahu ju zamietne, odmietne alebo nekoná v prípade, keď je takéto konanie nevyhnutné na ochranu práv dotknutej osoby. Vyšetrovanie na základe sťažnosti by sa s výhradou súdneho preskúmania malo vykonávať v rozsahu primeranom pre konkrétny prípad. Príslušný dozorný orgán by mal dotknutú osobu v primeranej lehote informovať o pokroku pri vybavovaní sťažnosti a o výsledku sťažnosti. Ak si vec vyžaduje ďalšie vyšetrovanie alebo koordináciu s iným dozorným orgánom, dotknutej osobe by sa mali poskytnúť priebežné informácie. Na účely uľahčenia podávania sťažností by mal každý dozorný orgán prijať opatrenia, ako napríklad poskytnúť formulár sťažnosti, ktorý je možné tiež vyplniť elektronicky, nevylučujúc pritom iné prostriedky komunikácie.

    (86)

    Každá fyzická alebo právnická osoba by mala mať právo podať na príslušnom vnútroštátnom súde účinný súdny prostriedok nápravy voči rozhodnutiu dozorného orgánu, ktoré má voči tejto osobe právne účinky. Takéto rozhodnutie sa týka najmä výkonu vyšetrovacích, nápravných a povoľovacích právomocí dozorným orgánom alebo odmietnutia sťažností či nevyhovenia sťažnostiam. Uvedené právo však nezahŕňa ďalšie opatrenia dozorných orgánov, ktoré nie sú právne záväzné, ako napríklad stanoviská alebo poradenstvo, ktoré poskytol dozorný orgán. Návrh na začatie konania proti dozornému orgánu by sa mal podávať na súdoch členského štátu, v ktorom má dozorný orgán sídlo, pričom toto konanie by malo prebiehať v súlade s právom členského štátu. Uvedené súdy by mali vykonávať plnú právomoc, ktorá by mala zahŕňať právomoc preskúmať všetky skutkové a právne otázky, ktoré sú relevantné pre daný spor.

    (87)

    Ak sa dotknutá osoba domnieva, že sa jej práva podľa tejto smernice porušujú, mala by mať právo poveriť subjekt, ktorého cieľom je ochrana práv a záujmov dotknutých osôb v súvislosti s ochranou ich osobných údajov a ktorý je zriadený podľa práva členského štátu, podať sťažnosť v jej mene na dozornom orgáne a uplatniť právo na súdny prostriedok nápravy. Právom na zastupovanie dotknutých osôb by nemalo byť dotknuté procesné právo členského štátu, ktoré môže vyžadovať povinné zastupovanie dotknutých osôb právnikom, ako sa vymedzuje v smernici Rady 77/249/EHS (10), pred vnútroštátnymi súdmi.

    (88)

    Prevádzkovateľ alebo akýkoľvek iný orgán príslušný podľa práva členského štátu by mal nahradiť akúkoľvek škodu, ktorú určitá osoba utrpela v dôsledku spracúvania, ktoré je v rozpore s ustanoveniami prijatými podľa tejto smernice. Podľa judikatúry Súdneho dvora by sa mal pojem škody vykladať v širokom zmysle spôsobom, ktorý v plnej miere zohľadňuje ciele tejto smernice. Týmto nie sú dotknuté žiadne nároky na náhradu škody vyplývajúce z porušenia iných pravidiel stanovených v práve Únie alebo v práve členského štátu. Keď sa odkazuje na spracúvanie, ktoré je nezákonné alebo ktoré porušuje ustanovenia prijaté na základe tejto smernice, zahŕňa to aj spracúvanie, ktoré je v rozpore s vykonávacími aktmi prijatými podľa tejto smernice. Dotknuté osoby by za utrpenú škodu mali dostať úplnú a účinnú náhradu.

    (89)

    Sankcie by sa mali ukladať akejkoľvek fyzickej alebo právnickej osobe, ktorá koná v rozpore s touto smernicou, bez ohľadu na to, či sa na ňu vzťahuje súkromné alebo verejné právo. Členské štáty by mali zabezpečiť, aby boli sankcie účinné, primerané a odrádzajúce, a mali by prijať všetky opatrenia na vykonávanie sankcií.

    (90)

    S cieľom zabezpečiť jednotné podmienky vykonávania tejto smernice by sa mali na Komisiu preniesť vykonávacie právomoci, pokiaľ ide o primeranú úroveň ochrany poskytovanú treťou krajinou, územím alebo určeným sektorom v tretej krajine alebo medzinárodnou organizáciou, a formát a postupy vzájomnej pomoci a zabezpečenie výmeny informácií elektronickými prostriedkami medzi dozornými orgánmi navzájom a medzi dozornými orgánmi a Výborom. Uvedené právomoci by sa mali vykonávať v súlade s nariadením Európskeho parlamentu a Rady (EÚ) č. 182/2011 (11).

    (91)

    Na prijímanie vykonávacích aktov o primeranej úrovni ochrany poskytovanej treťou krajinou, územím alebo určeným sektorom v tretej krajine alebo medzinárodnou organizáciou a o formáte a postupoch vzájomnej pomoci a zabezpečení výmeny informácií elektronickými prostriedkami medzi dozornými orgánmi navzájom a medzi dozornými orgánmi a Výborom by sa mal vzhľadom na všeobecnú pôsobnosť uvedených aktov uplatňovať postup preskúmania.

    (92)

    Komisia by mala prijať okamžite uplatniteľné vykonávacie akty, ak sa to vyžaduje z vážnych a naliehavých dôvodov v riadne odôvodnených prípadoch týkajúcich sa tretej krajiny, územia alebo určeného sektora v tretej krajine alebo medzinárodnej organizácie, ktoré už nezaručujú primeranú úroveň ochrany.

    (93)

    Keďže ciele tejto smernice, a to ochrana základných práv a slobôd dotknutých osôb a predovšetkým ich práva na ochranu osobných údajov, ako aj zabezpečenie voľnej výmeny osobných údajov medzi príslušnými orgánmi v rámci Únie nie je možné uspokojivo dosiahnuť na úrovni samotných členských štátov, ale z dôvodov rozsahu a dôsledkov činnosti ich možno lepšie dosiahnuť na úrovni Únie, môže Únia prijať opatrenia v súlade so zásadou subsidiarity podľa článku 5 ZEÚ. V súlade so zásadou proporcionality podľa uvedeného článku táto smernica neprekračuje rámec nevyhnutný na dosiahnutie týchto cieľov.

    (94)

    Osobitné ustanovenia aktov Únie prijatých v oblasti justičnej spolupráce v trestných veciach a policajnej spolupráce, ktoré boli prijaté pred dátumom prijatia tejto smernice a ktoré upravujú spracúvanie osobných údajov medzi členskými štátmi alebo prístup určených orgánov členských štátov do informačných systémov zriadených podľa zmlúv, by mali zostať nedotknuté; ide napríklad o osobitné ustanovenia o ochrane osobných údajov uplatňované podľa rozhodnutia Rady 2008/615/SVV (12) alebo podľa článku 23 Dohovoru o vzájomnej pomoci v trestných veciach medzi členskými štátmi Európskej únie (13). Keďže v článku 8 charty a v článku 16 ZFEÚ sa požaduje, aby sa základné právo na ochranu osobných údajov zabezpečilo konzistentne v celej Únii, Komisia by mala zhodnotiť situáciu, pokiaľ ide o vzťah medzi touto smernicou a aktmi, ktoré boli prijaté pred dátumom prijatia tejto smernice a ktoré upravujú spracúvanie osobných údajov medzi členskými štátmi a prístup určených orgánov členských štátov do informačných systémov zriadených podľa zmlúv, s cieľom posúdiť potrebu zosúladenia týchto osobitných ustanovení s touto smernicou. Komisia by podľa potreby mala predložiť návrhy zamerané na zabezpečenie konzistentných právnych predpisov týkajúcich sa spracúvania osobných údajov.

    (95)

    S cieľom zabezpečiť komplexnú a konzistentnú ochranu osobných údajov v Únii by medzinárodné dohody, ktoré uzavreli členské štáty pred dátumom nadobudnutia účinnosti tejto smernice a ktoré sú v súlade s príslušným právom Únie uplatniteľnými pred uvedeným dátumom, mali zostať v platnosti, kým nebudú zmenené, nahradené alebo zrušené.

    (96)

    Členským štátom by sa malo na transpozíciu tejto smernice poskytnúť obdobie nepresahujúce dva roky od dátumu nadobudnutia jej účinnosti. Spracúvanie, ktoré už prebieha k uvedenému dátumu, by sa malo zosúladiť s touto smernicou do dvoch rokov odo dňa nadobudnutia účinnosti tejto smernice. Ak je však takéto spracúvanie v súlade s právom Únie uplatniteľným pred dátumom nadobudnutia účinnosti tejto smernice, požiadavky tejto smernice týkajúce sa predchádzajúcej konzultácie s dozorným orgánom by sa nemali uplatňovať na spracovateľské operácie, ktoré už prebiehajú k uvedenému dátumu, a to vzhľadom na to, že tieto požiadavky by sa v dôsledku svojej povahy mali splniť pred spracúvaním. Ak členské štáty použijú dlhšiu lehotu na vykonanie, ktorá uplynie sedem rokov po dátume nadobudnutia účinnosti tejto smernice, prevádzkovateľ alebo sprostredkovateľ by mal mať na splnenie povinností v oblasti logovania pri systémoch automatizovaného spracúvania vytvorených pred uvedeným dátumom zavedené účinné metódy na preukázanie zákonnosti spracúvania údajov, na umožnenie vlastného monitorovania a na zabezpečenie integrity a bezpečnosti údajov, ako sú napríklad logy alebo iné formy záznamov.

    (97)

    Touto smernicou nie sú dotknuté pravidlá týkajúce sa boja proti sexuálnemu zneužívaniu a sexuálnemu vykorisťovaniu detí a šíreniu detskej pornografie stanovené v smernici Európskeho parlamentu a Rady 2011/93/EÚ (14).

    (98)

    Rámcové rozhodnutie 2008/977/SVV by sa preto malo zrušiť.

    (99)

    V súlade s článkom 6a Protokolu č. 21 o postavení Spojeného kráľovstva a Írska s ohľadom na priestor slobody, bezpečnosti a spravodlivosti, ktorý je pripojený k ZEÚ a ZFEÚ, tieto členské štáty nie sú viazané pravidlami stanovenými v tejto smernici, ktoré sa týkajú spracúvania osobných údajov členskými štátmi pri vykonávaní činností, ktoré patria do rozsahu pôsobnosti tretej časti hlavy V kapitoly 4 alebo kapitoly 5 ZFEÚ, ak tieto členské štáty nie sú viazané pravidlami, ktorými sa spravujú formy justičnej spolupráce v trestných veciach alebo policajnej spolupráce, v rámci ktorých sa musia dodržiavať ustanovenia prijaté na základe článku 16 ZFEÚ.

    (100)

    V súlade s článkami 2 a 2a Protokolu č. 22 o postavení Dánska, ktorý je pripojený k ZEÚ a ZFEÚ, nie je Dánsko viazané pravidlami stanovenými v tejto smernici, ktoré sa týkajú spracúvania osobných údajov členskými štátmi pri vykonávaní činností, ktoré patria do pôsobnosti kapitoly 4 alebo kapitoly 5 hlavy V tretej časti ZFEÚ, ani nepodlieha ich uplatňovaniu. Vzhľadom na to, že táto smernica je založená na schengenskom acquis podľa tretej časti hlavy V ZFEÚ, Dánsko v súlade s článkom 4 uvedeného protokolu do šiestich mesiacov odo dňa prijatia tejto smernice rozhodne, či ju bude transponovať do svojho vnútroštátneho práva.

    (101)

    Pokiaľ ide o Island a Nórsko, táto smernica predstavuje vývoj ustanovení schengenského acquis v zmysle Dohody uzavretej medzi Radou Európskej únie a Islandskou republikou a Nórskym kráľovstvom o pridružení Islandskej republiky a Nórskeho kráľovstva pri vykonávaní, uplatňovaní a rozvoji schengenského acquis  (15).

    (102)

    Pokiaľ ide o Švajčiarsko, táto smernica predstavuje vývoj ustanovení schengenského acquis v zmysle Dohody medzi Európskou úniou, Európskym spoločenstvom a Švajčiarskou konfederáciou o pridružení Švajčiarskej konfederácie k vykonávaniu, uplatňovaniu a vývoju schengenského acquis  (16).

    (103)

    Pokiaľ ide o Lichtenštajnsko, táto smernica predstavuje vývoj ustanovení schengenského acquis v zmysle Protokolu medzi Európskou úniou, Európskym spoločenstvom, Švajčiarskou konfederáciou a Lichtenštajnským kniežatstvom o pristúpení Lichtenštajnského kniežatstva k Dohode medzi Európskou úniou, Európskym spoločenstvom a Švajčiarskou konfederáciou o pridružení Švajčiarskej konfederácie k vykonávaniu, uplatňovaniu a vývoju schengenského acquis  (17).

    (104)

    Táto smernica rešpektuje základné práva a dodržiava zásady uznané v charte, ako sú zakotvené v ZFEÚ, najmä právo na rešpektovanie súkromného a rodinného života, právo na ochranu osobných údajov, právo na účinný prostriedok nápravy a na spravodlivý proces. Obmedzenia vzťahujúce sa na uvedené práva sú v súlade s článkom 52 ods. 1 charty, keďže sú potrebné na splnenie cieľov všeobecného záujmu uznaných Úniou alebo potrebné na ochranu práv a slobôd iných.

    (105)

    V súlade so spoločným politickým vyhlásením členských štátov a Komisie z 28. septembra 2011 o vysvetľujúcich dokumentoch sa členské štáty zaviazali, že v odôvodnených prípadoch k svojim oznámeniam o transpozičných opatreniach pripoja jeden alebo viacero dokumentov vysvetľujúcich vzťah medzi prvkami smernice a zodpovedajúcimi časťami vnútroštátnych transpozičných nástrojov. V súvislosti s touto smernicou sa zákonodarca domnieva, že zasielanie takýchto dokumentov je odôvodnené.

    (106)

    S európskym dozorným úradníkom pre ochranu údajov sa konzultovalo v súlade s článkom 28 ods. 2 nariadenia (ES) č. 45/2001 a 7. marca 2012 európsky dozorný úradník pre ochranu údajov vydal stanovisko (18).

    (107)

    Táto smernica by nemala členským štátom brániť v tom, aby implementovali výkon práv dotknutých osôb na informácie, prístup a opravu alebo vymazanie osobných údajov a obmedzenie spracúvania počas trestného konania, ako aj prípadné obmedzenia týchto práv do vnútroštátnych pravidiel týkajúcich sa trestného práva procesného,

    PRIJALI TÚTO SMERNICU:

    KAPITOLA I

    Všeobecné ustanovenia

    Článok 1

    Predmet úpravy a ciele

    1.   Touto smernicou sa stanovujú pravidlá ochrany fyzických osôb pri spracúvaní osobných údajov príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií, vrátane ochrany pred ohrozením verejnej bezpečnosti a predchádzania takémuto ohrozeniu.

    2.   Členské štáty v súlade s touto smernicou:

    a)

    chránia základné práva a slobody fyzických osôb, najmä ich právo na ochranu osobných údajov, a

    b)

    zabezpečia, aby výmena osobných údajov medzi príslušnými orgánmi v rámci Únie, ak sa takáto výmena vyžaduje podľa práva Únie alebo práva členského štátu, nebola obmedzená ani zakázaná z dôvodov súvisiacich s ochranou fyzických osôb pri spracúvaní osobných údajov.

    3.   Táto smernica členským štátom nebráni, aby stanovili prísnejšie záruky, ako sú záruky stanovené v tejto smernici na ochranu práv a slobôd dotknutých osôb, pokiaľ ide o spracúvanie osobných údajov príslušnými orgánmi.

    Článok 2

    Rozsah pôsobnosti

    1.   Táto smernica sa vzťahuje na spracúvanie osobných údajov príslušnými orgánmi na účely stanovené v článku 1 ods. 1.

    2.   Táto smernica sa vzťahuje na spracúvanie osobných údajov vykonávané úplne alebo čiastočne automatizovanými prostriedkami a na spracúvanie inými než automatizovanými prostriedkami v prípade osobných údajov, ktoré tvoria súčasť informačného systému alebo sú určené na to, aby tvorili súčasť informačného systému.

    3.   Táto smernica sa nevzťahuje na spracúvanie osobných údajov:

    a)

    v rámci činnosti, ktorá nepatrí do pôsobnosti práva Únie;

    b)

    inštitúciami, orgánmi, úradmi a agentúrami Únie.

    Článok 3

    Vymedzenie pojmov

    Na účely tejto smernice:

    (1)

    „osobné údaje“ sú akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby (ďalej len „dotknutá osoba“); identifikovateľná fyzická osoba je osoba, ktorú možno identifikovať priamo alebo nepriamo, najmä odkazom na identifikátor, ako je meno, identifikačné číslo, lokalizačné údaje, online identifikátor, alebo odkazom na jeden či viaceré prvky, ktoré sú špecifické pre fyzickú, fyziologickú, genetickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu tejto fyzickej osoby;

    (2)

    „spracúvanie“ je operácia alebo súbor operácií s osobnými údajmi alebo súbormi osobných údajov, napríklad získavanie, zaznamenávanie, usporadúvanie, štruktúrovanie, uchovávanie, prepracúvanie alebo zmena, vyhľadávanie, prehliadanie, využívanie, poskytovanie prenosom, šírením alebo poskytovanie iným spôsobom, preskupovanie alebo kombinovanie, obmedzenie, vymazanie alebo likvidácia, bez ohľadu na to, či sa vykonávajú automatizovanými alebo neautomatizovanými prostriedkami;

    (3)

    „obmedzenie spracúvania“ je označenie uchovávaných osobných údajov s cieľom obmedziť ich spracúvanie v budúcnosti;

    (4)

    „profilovanie“ je akákoľvek forma automatizovaného spracúvania osobných údajov, ktoré pozostáva z použitia osobných údajov na vyhodnotenie určitých osobných aspektov týkajúcich sa fyzickej osoby, predovšetkým analýzy alebo predvídania aspektov dotknutej fyzickej osoby súvisiacich s výkonnosťou v práci, majetkovými pomermi, zdravím, osobnými preferenciami, záujmami, spoľahlivosťou, správaním, polohou alebo pohybom;

    (5)

    „pseudonymizácia“ je spracúvanie osobných údajov takým spôsobom, aby osobné údaje už nebolo možné priradiť konkrétnej dotknutej osobe bez použitia dodatočných informácií, pokiaľ sa takéto dodatočné informácie uchovávajú oddelene a vzťahujú sa na ne technické a organizačné opatrenia s cieľom zabezpečiť, aby osobné údaje neboli priradené identifikovanej alebo identifikovateľnej fyzickej osobe;

    (6)

    „informačný systém“ je akýkoľvek usporiadaný súbor osobných údajov, ktoré sú prístupné podľa určených kritérií, bez ohľadu na to, či ide o systém centralizovaný, decentralizovaný alebo distribuovaný na funkčnom alebo geografickom základe;

    (7)

    „príslušný orgán“ je:

    a)

    akýkoľvek orgán verejnej moci príslušný v oblasti predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania, alebo na účely výkonu trestných sankcií vrátane ochrany pred ohrozením verejnej bezpečnosti a predchádzania takémuto ohrozeniu, alebo

    b)

    akýkoľvek iný orgán alebo subjekt, ktorý bol právom členského štátu poverený vykonávať verejnú moc a verejné právomoci na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií vrátane ochrany pred ohrozením verejnej bezpečnosti a predchádzania takémuto ohrozeniu;

    (8)

    „prevádzkovateľ“ je príslušný orgán, ktorý sám alebo spoločne s inými určí účely a prostriedky spracúvania osobných údajov; v prípade, že sa účely a prostriedky takéhoto spracúvania stanovujú právom Únie alebo právom členského štátu, možno prevádzkovateľa alebo konkrétne kritériá na jeho určenie určiť právom Únie alebo právom členského štátu;

    (9)

    „sprostredkovateľ“ je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý spracúva osobné údaje v mene prevádzkovateľa;

    (10)

    „príjemca“ je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorému sa osobné údaje poskytujú bez ohľadu na to, či je treťou stranou; orgány verejnej moci, ktoré môžu prijať osobné údaje v rámci konkrétneho zisťovania v súlade s právom členského štátu sa však nepovažujú za príjemcov; spracúvanie uvedených údajov uvedenými orgánmi verejnej moci sa uskutočňuje v súlade s uplatniteľnými pravidlami ochrany údajov v závislosti od účelov spracúvania;

    (11)

    „porušenie ochrany osobných údajov“ je porušenie bezpečnosti, ktoré vedie k náhodnej alebo nezákonnej likvidácii, strate, zmene, neoprávnenému poskytnutiu osobných údajov, ktoré sa prenášajú, uchovávajú alebo inak spracúvajú, alebo neoprávnený prístup k nim;

    (12)

    „genetické údaje“ sú osobné údaje týkajúce sa zdedených alebo nadobudnutých genetických charakteristických znakov fyzickej osoby, ktoré poskytujú jedinečné informácie o fyziológii alebo zdraví tejto fyzickej osoby a ktoré vyplývajú najmä z analýzy biologickej vzorky danej fyzickej osoby;

    (13)

    „biometrické údaje“ sú osobné údaje, ktoré sú výsledkom osobitného technického spracúvania, ktoré sa týka fyzických, fyziologických alebo behaviorálnych charakteristických znakov fyzickej osoby a ktoré umožňujú alebo potvrdzujú jedinečnú identifikáciu tejto fyzickej osoby, ako napríklad vyobrazenia tváre alebo daktyloskopické údaje;

    (14)

    „údaje týkajúce sa zdravia“ sú osobné údaje týkajúce sa fyzického alebo duševného zdravia fyzickej osoby vrátane údajov o poskytovaní služieb zdravotnej starostlivosti, ktorými sa odhaľujú informácie o jej zdravotnom stave;

    (15)

    „dozorný orgán“ je nezávislý orgán verejnej moci zriadený členským štátom podľa článku 41;

    (16)

    „medzinárodná organizácia“ je organizácia a jej podriadené subjekty, ktoré sa riadia medzinárodným právom verejným, alebo akýkoľvek iný subjekt, ktorý bol zriadený dohodou medzi dvoma alebo viacerými krajinami alebo na základe takejto dohody.

    KAPITOLA II

    Zásady

    Článok 4

    Zásady týkajúce sa spracúvania osobných údajov

    1.   Členské štáty stanovia, že osobné údaje sú:

    a)

    spracúvané zákonným spôsobom a spravodlivo;

    b)

    získané na konkrétne určené, výslovne uvedené a legitímne účely a nesmú byť spracúvané spôsobom, ktorý je nezlučiteľný s týmito účelmi;

    c)

    primerané, relevantné a nie neúmerné vo vzťahu k účelom, na ktoré sa spracúvajú;

    d)

    správne a podľa potreby aktualizované; musia sa prijať všetky potrebné opatrenia, aby sa zabezpečilo, že sa osobné údaje, ktoré sú nesprávne z hľadiska účelov, na ktoré sa spracúvajú, bezodkladne vymažú alebo opravia;

    e)

    uchovávané vo forme, ktorá umožňuje identifikáciu dotknutých osôb najviac dovtedy, kým je to potrebné na účely, na ktoré sa spracúvajú;

    f)

    spracúvané spôsobom, ktorý zaručuje primeranú bezpečnosť osobných údajov, vrátane ochrany pred neoprávneným alebo nezákonným spracúvaním a náhodnou stratou, likvidáciou alebo poškodením, a to prostredníctvom primeraných technických alebo organizačných opatrení.

    2.   Spracúvanie tým istým alebo iným prevádzkovateľom na ktorýkoľvek z účelov stanovených v článku 1 ods. 1, ktorý je iný než účel, na ktorý sa osobné údaje získavajú, je povolené, pokiaľ:

    a)

    je prevádzkovateľ oprávnený na spracúvanie takýchto osobných údajov na tento účel v súlade s právom Únie alebo s právom členského štátu; a

    b)

    spracúvanie je nevyhnutné a primerané takémuto inému účelu v súlade s právom Únie alebo s právom členského štátu.

    3.   Spracúvanie tým istým alebo iným prevádzkovateľom môže zahŕňať archiváciu vo verejnom záujme, vedecké, štatistické alebo historické použitie na účely stanovené v článku 1 ods. 1, ak sú dodržané primerané záruky ochrany práv a slobôd dotknutých osôb.

    4.   Prevádzkovateľ je zodpovedný za súlad s odsekmi 1, 2 a 3 a vie tento súlad preukázať.

    Článok 5

    Lehoty pre uchovávanie a preskúmanie

    Členské štáty stanovia určenie primeraných lehôt na vymazanie osobných údajov alebo na pravidelné preskúmanie potreby uchovávania osobných údajov. Dodržiavanie uvedených lehôt sa zabezpečí procesnými opatreniami.

    Článok 6

    Rozlišovanie medzi rôznymi kategóriami dotknutých osôb

    Členské štáty stanovia, že prevádzkovateľ je v príslušných prípadoch a v najväčšej možnej miere povinný jasne rozlišovať medzi osobnými údajmi rôznych kategórií dotknutých osôb, ako sú napríklad:

    a)

    osoby, v prípade ktorých sa možno odôvodnene domnievať, že spáchali alebo sa chystajú spáchať trestný čin;

    b)

    osoby odsúdené za spáchanie trestného činu;

    c)

    obete trestného činu, alebo osoby, v prípade ktorých sú na základe určitých skutočností dôvody domnievať sa, že sú alebo by mohli byť obeťami trestného činu; a

    d)

    iné tretie osoby v súvislosti s trestným činom, ako sú napríklad osoby, ktoré môžu byť vyzvané, aby svedčili v rámci vyšetrovania v súvislosti s trestnými činmi alebo v rámci následného trestného konania, osoby, ktoré môžu poskytnúť informácie o trestných činoch, alebo kontaktné osoby či spoločníci niektorej z osôb uvedených v písmenách a) a b).

    Článok 7

    Rozlišovanie medzi osobnými údajmi a overenie kvality osobných údajov

    1.   Členské štáty stanovia, že sa v čo najväčšej možnej miere rozlíšia osobné údaje založené na skutočnostiach od osobných údajov založených na osobných hodnoteniach.

    2.   Členské štáty stanovia povinnosť príslušných orgánov prijať všetky primerané opatrenia s cieľom zabezpečiť, aby sa osobné údaje, ktoré sú nesprávne, neúplné alebo už neaktuálne, neprenášali ani neposkytovali. Na uvedený účel každý príslušný orgán, pokiaľ je to uskutočniteľné, overuje pred prenosom alebo poskytovaním osobných údajov ich kvalitu. Pokiaľ je to možné, pri každom prenose osobných údajov sa doplnia potrebné informácie, ktoré prijímajúcemu príslušnému orgánu umožnia posúdiť stupeň správnosti, úplnosti a spoľahlivosti osobných údajov, ako aj mieru ich aktuálnosti.

    3.   Ak sa zistí, že došlo k prenosu nesprávnych osobných údajov alebo že osobné údaje boli prenesené nezákonne, musí sa to bezodkladne oznámiť príjemcovi. V takomto prípade sa osobné údaje musia opraviť alebo vymazať alebo sa spracúvanie obmedzí v súlade s článkom 16.

    Článok 8

    Zákonnosť spracúvania

    1.   Členské štáty stanovia, že spracúvanie je zákonné iba vtedy a do takej miery, pokiaľ je nevyhnutné na splnenie úlohy realizovanej príslušným orgánom na účely stanovené v článku 1 ods. 1, a ak je založené na práve Únie alebo na práve členského štátu.

    2.   Právo členského štátu upravujúce spracúvanie v rámci rozsahu pôsobnosti tejto smernice stanoví aspoň ciele spracúvania, osobné údaje, ktoré sa majú spracúvať, a účely spracúvania.

    Článok 9

    Osobitné podmienky spracúvania

    1.   Osobné údaje získané príslušnými orgánmi na účely stanovené v článku 1 ods. 1 sa nesmú spracúvať na iné účely, ako sú účely stanovené v článku 1 ods. 1, s výnimkou prípadu, keď je takéto spracúvanie prípustné podľa práva Únie alebo práva členského štátu. Ak sa osobné údaje spracúvajú na takéto iné účely, uplatňuje sa nariadenie (EÚ) 2016/679, pokiaľ sa spracúvanie nevykonáva v rámci činnosti, ktorá nepatrí do pôsobnosti práva Únie.

    2.   Ak sú príslušné orgány poverené na základe práva členského štátu výkonom iných úloh, ako sú úlohy vykonávané na účely stanovené v článku 1 ods. 1, nariadenie (EÚ) 2016/679 sa uplatňuje na spracúvanie na takéto účely vrátane účelov archivácie vo verejnom záujme, účelov vedeckého alebo historického výskumu alebo štatistických účelov, pokiaľ sa spracúvanie nevykonáva v rámci činnosti, ktorá nepatrí do pôsobnosti práva Únie.

    3.   Ak sa v práve Únie alebo v práve členského štátu uplatniteľnom na príslušný orgán, ktorý uskutočňuje prenos, stanovujú osobitné podmienky spracúvania, členské štáty stanovia, že príslušný orgán, ktorý uskutočňuje prenos, informuje príjemcu takýchto osobných údajov o týchto podmienkach a požiadavke dodržiavať ich.

    4.   Členské štáty stanovia, že príslušný orgán, ktorý uskutočňuje prenos, neuplatňuje na príjemcov v iných členských štátoch alebo na agentúry, úrady a orgány zriadené podľa hlavy V kapitol 4 a 5 ZFEÚ iné podmienky podľa odseku 3, než sú podmienky uplatniteľné na podobné prenosy údajov v rámci členského štátu príslušného orgánu, ktorý uskutočňuje prenos.

    Článok 10

    Spracúvanie osobitných kategórií osobných údajov

    Spracúvanie osobných údajov, ktoré odhaľujú rasový alebo etnický pôvod, politické názory, náboženské alebo filozofické presvedčenie alebo členstvo v odborových organizáciách, a spracúvanie genetických údajov, biometrických údajov na účely individuálnej identifikácie fyzickej osoby, údajov týkajúcich sa zdravia alebo údajov týkajúcich sa sexuálneho života alebo sexuálnej orientácie fyzickej osoby je možné len vtedy, ak je úplne nevyhnutné, podlieha primeraným zárukám ochrany práv a slobôd dotknutej osoby, a len:

    a)

    ak je prípustné podľa práva Únie alebo práva členského štátu,

    b)

    ochraňuje životne dôležité záujmy dotknutej osoby alebo inej fyzickej osoby, alebo

    c)

    ak sa takéto spracúvanie týka údajov, ktoré preukázateľne sprístupnila dotknutá osoba.

    Článok 11

    Automatizované individuálne rozhodovanie

    1.   Členské štáty stanovia, aby rozhodnutie založené výlučne na automatizovanom spracúvaní, vrátane profilovania, ktoré má pre dotknutú osobu nepriaznivé právne účinky alebo významné dôsledky, bolo zakázané, pokiaľ nie je prípustné podľa práva Únie alebo práva členského štátu, ktoré sa vzťahuje na prevádzkovateľa a ktorými sú ustanovené primerané záruky ochrany práv a slobôd dotknutej osoby, aspoň právo na ľudský zásah zo strany prevádzkovateľa.

    2.   Rozhodnutia uvedené v odseku 1 tohto článku nesmú byť založené na osobitných kategóriách osobných údajov uvedených v článku 10, pokiaľ sa neuplatňujú vhodné opatrenia na zaručenie práv a slobôd a oprávnených záujmov dotknutej osoby.

    3.   Profilovanie, ktoré vedie k diskriminácii fyzických osôb na základe osobitných kategórií osobných údajov uvedených v článku 10, sa zakazuje v súlade s právom Únie.

    KAPITOLA III

    Práva dotknutej osoby

    Článok 12

    Oznámenia a spôsoby výkonu práv dotknutej osoby

    1.   Členské štáty stanovia, že prevádzkovateľ prijme všetky primerané opatrenia s cieľom poskytnúť dotknutej osobe všetky informácie uvedené v článku 13 a vykoná všetky oznámenia so zreteľom na články 11, 14 až 18 a 31, ktoré sa týkajú spracúvania, a to v stručnej, zrozumiteľnej a ľahko dostupnej forme a formulované jasne a jednoducho. Informácie sa poskytujú akýmkoľvek vhodným prostriedkom, a to aj elektronickými prostriedkami. Prevádzkovateľ spravidla poskytuje informácie v rovnakej forme, v akej bola podaná žiadosť.

    2.   Členské štáty stanovia, že prevádzkovateľ uľahčí výkon práv dotknutej osoby uvedených v článkoch 11 a 14 až 18.

    3.   Členské štáty stanovia, že prevádzkovateľ bez zbytočného odkladu písomne informuje dotknutú osobu o opatreniach, ktoré prijal v nadväznosti na jej žiadosť.

    4.   Členské štáty stanovia, aby sa informácie poskytnuté podľa článku 13 a všetky oznámenia vykonané alebo všetky opatrenia prijaté podľa článkov 11, 14 až 18 a 31 poskytovali bezplatne. Ak sú žiadosti dotknutej osoby zjavne neopodstatnené alebo neprimerané, najmä pre ich opakujúcu sa povahu, prevádzkovateľ môže buď:

    a)

    účtovať primeraný poplatok zohľadňujúci administratívne náklady na poskytnutie informácií alebo oznámenia alebo na uskutočnenie požadovaného opatrenia, alebo

    b)

    odmietnuť konať na základe žiadosti.

    Prevádzkovateľ znáša bremeno preukázania zjavnej neopodstatnenosti alebo neprimeranosti žiadosti.

    5.   Ak má prevádzkovateľ oprávnené pochybnosti v súvislosti s totožnosťou fyzickej osoby, ktorá podáva žiadosť uvedenú v článku 14 alebo 16, môže požiadať o poskytnutie dodatočných informácií potrebných na potvrdenie totožnosti dotknutej osoby.

    Článok 13

    Informácie, ktoré sa majú sprístupniť alebo poskytnúť dotknutej osobe

    1.   Členské štáty stanovia, že prevádzkovateľ sprístupní dotknutej osobe aspoň tieto informácie:

    a)

    totožnosť a kontaktné údaje prevádzkovateľa;

    b)

    v príslušných prípadoch kontaktné údaje zodpovednej osoby;

    c)

    účely spracúvania, na ktoré sú osobné údaje určené;

    d)

    právo podať sťažnosť dozornému orgánu a kontaktné údaje dozorného orgánu;

    e)

    existenciu práva žiadať od prevádzkovateľa prístup k osobným údajom a ich opravu alebo vymazanie a obmedzenie spracúvania osobných údajov týkajúceho sa dotknutej osoby.

    2.   Popri informáciách uvedených v odseku 1 členské štáty prostredníctvom právnych predpisov stanovia, že prevádzkovateľ v osobitných prípadoch poskytne dotknutej osobe aj tieto ďalšie informácie s cieľom umožniť výkon jej práv:

    a)

    právny základ spracúvania;

    b)

    doba uchovávania osobných údajov alebo, ak to nie je možné, kritériá na jej určenie;

    c)

    v príslušných prípadoch kategórie príjemcov osobných údajov, a to aj v tretích krajinách alebo medzinárodných organizáciách;

    d)

    podľa potreby aj ďalšie informácie, najmä ak sa osobné údaje získavajú bez vedomia dotknutej osoby.

    3.   Členské štáty môžu prijať legislatívne opatrenia, ktorými sa poskytovanie informácií dotknutej osobe podľa odseku 2 odloží, obmedzí alebo sa od neho upustí v takom rozsahu a na tak dlho, ako toto opatrenie s náležitým zreteľom na základné práva a oprávnené záujmy danej fyzickej osoby predstavuje nevyhnutné a primerané opatrenie v demokratickej spoločnosti s cieľom:

    a)

    zabrániť mareniu úradného alebo súdneho zisťovania, vyšetrovania alebo konania;

    b)

    zabrániť ohrozeniu predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo výkonu trestných sankcií;

    c)

    chrániť verejnú bezpečnosť;

    d)

    chrániť národnú bezpečnosť;

    e)

    chrániť práva a slobody iných.

    4.   Členské štáty môžu prijať legislatívne opatrenia, ktorými sa určia kategórie spracúvania, na ktoré sa môžu úplne alebo čiastočne vzťahovať ustanovenia ktoréhokoľvek z písmen odseku 3.

    Článok 14

    Právo dotknutej osoby na prístup

    S výhradou článku 15 členské štáty stanovia právo dotknutej osoby získať od prevádzkovateľa potvrdenie o tom, či sa spracúvajú osobné údaje, ktoré sa jej týkajú, a ak sa spracúvajú, prístup k osobným údajom a tieto informácie:

    a)

    účely a právny základ spracúvania;

    b)

    kategórie dotknutých osobných údajov;

    c)

    príjemcovia alebo kategórie príjemcov, ktorým boli osobné údaje sprístupnené, najmä príjemcovia v tretích krajinách alebo medzinárodné organizácie;

    d)

    ak je to možné, predpokladaná doba uchovávania osobných údajov alebo, ak to nie je možné, kritériá na jej určenie;

    e)

    existencia práva požadovať od prevádzkovateľa opravu alebo vymazanie osobných údajov alebo obmedzenie spracúvania osobných údajov týkajúceho sa dotknutej osoby;

    f)

    právo podať sťažnosť dozornému orgánu a kontaktné údaje dozorného orgánu;

    g)

    oznámenie osobných údajov, ktoré sa spracúvajú, a akýchkoľvek dostupných informácií, pokiaľ ide o ich pôvod.

    Článok 15

    Obmedzenia práva na prístup

    1.   Členské štáty môžu prijať legislatívne opatrenia, ktorými sa úplne alebo čiastočne obmedzuje právo dotknutej osoby na prístup v takom rozsahu a na tak dlho, ako toto čiastočné či úplné obmedzenie s náležitým ohľadom na základné práva a oprávnené záujmy danej fyzickej osoby predstavuje nevyhnutné a primerané opatrenie v demokratickej spoločnosti s cieľom:

    a)

    zabrániť mareniu úradného alebo súdneho zisťovania, vyšetrovania alebo konania;

    b)

    zabrániť ohrozeniu predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo výkonu trestných sankcií;

    c)

    chrániť verejnú bezpečnosť;

    d)

    chrániť národnú bezpečnosť;

    e)

    chrániť práva a slobody iných.

    2.   Členské štáty môžu prijať legislatívne opatrenia, ktorými sa určia kategórie spracúvania, na ktoré sa môže úplne alebo čiastočne vzťahovať odsek 1 písm. a) až e).

    3.   Členské štáty v prípadoch uvedených v odsekoch 1 a 2 stanovia, že prevádzkovateľ bez zbytočného odkladu písomne informuje dotknutú osobu o akomkoľvek zamietnutí či obmedzení prístupu a o dôvodoch zamietnutia alebo obmedzenia. Od takéhoto informovania možno upustiť, ak by poskytnutie takýchto informácií ohrozilo účel uvedený v odseku 1. Členské štáty stanovia, že prevádzkovateľ informuje dotknutú osobu o možnosti podania sťažnosti dozornému orgánu alebo uplatnenia súdnych prostriedkov nápravy.

    4.   Členské štáty stanovia, že prevádzkovateľ zdokumentuje skutkové alebo právne dôvody, na ktorých sa rozhodnutie zakladá. Uvedené informácie sa sprístupnia dozorným orgánom.

    Článok 16

    Právo na opravu alebo vymazanie osobných údajov a obmedzenie spracúvania

    1.   Členské štáty stanovia, že dotknutá osoba má právo na to, aby prevádzkovateľ bez zbytočného odkladu opravil nesprávne osobné údaje, ktoré sa jej týkajú. So zreteľom na účely spracúvania členské štáty stanovia, že dotknutá osoba má právo na doplnenie neúplných osobných údajov, a to aj prostredníctvom poskytnutia doplnkového vyhlásenia.

    2.   Členské štáty vyžadujú, aby prevádzkovateľ vymazal osobné údaje bez zbytočného odkladu a stanovia právo dotknutej osoby dosiahnuť od prevádzkovateľa vymazanie svojich osobných údajov bez zbytočného odkladu, ak je spracúvanie v rozpore s ustanoveniami prijatými podľa článku 4, 8 alebo 10, alebo ak sa osobné údaje musia vymazať, aby sa zabezpečil súlad so zákonnou povinnosťou, ktorá sa vzťahuje na prevádzkovateľa.

    3.   Namiesto vymazania prevádzkovateľ obmedzí spracúvanie, ak:

    a)

    dotknutá osoba napadla správnosť osobných údajov a ich správnosť alebo nesprávnosť nemožno určiť, alebo

    b)

    osobné údaje sa musia zachovať na účely dokazovania.

    Ak je spracúvanie obmedzené v zmysle písmena a) prvého pododseku, prevádzkovateľ o tom pred zrušením obmedzenia spracúvania informuje dotknutú osobu.

    4.   Členské štáty stanovia, že prevádzkovateľ písomne informuje dotknutú osobu o akomkoľvek zamietnutí opravy alebo vymazania osobných údajov či obmedzenia spracúvania a o dôvodoch zamietnutia. Členské štáty môžu prijať legislatívne opatrenia, ktorými sa úplne alebo čiastočne obmedzí povinnosť poskytovať takéto informácie v takom rozsahu, pokiaľ takéto obmedzenie predstavuje nevyhnutné a primerané opatrenie v demokratickej spoločnosti s náležitým zreteľom na základné práva a oprávnené záujmy danej fyzickej osoby, s cieľom:

    a)

    zabrániť mareniu úradného alebo súdneho zisťovania, vyšetrovania alebo konania;

    b)

    zabrániť ohrozeniu predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo výkonu trestných sankcií;

    c)

    chrániť verejnú bezpečnosť;

    d)

    chrániť národnú bezpečnosť;

    e)

    chrániť práva a slobody iných.

    Členské štáty stanovia, že prevádzkovateľ informuje dotknutú osobu o možnosti podania sťažnosti dozornému orgánu alebo uplatnenia súdnych prostriedkov nápravy.

    5.   Členské štáty stanovia, že prevádzkovateľ oznámi opravu nesprávnych osobných údajov príslušnému orgánu, od ktorého nesprávne osobné údaje pochádzajú.

    6.   Členské štáty stanovia v prípadoch, v ktorých sa osobné údaje opravia alebo vymažú alebo obmedzí sa spracúvanie podľa odsekov 1, 2 a 3, že prevádzkovateľ informuje príjemcov a príjemcovia opravia alebo vymažú osobné údaje alebo obmedzia spracúvanie osobných údajov, za ktoré zodpovedajú.

    Článok 17

    Výkon práv dotknutou osobou a overenie dozorným orgánom

    1.   V prípadoch uvedených v článku 13 ods. 3, článku 15 ods. 3 a článku 16 ods. 4 prijmú členské štáty opatrenia, ktorými sa stanoví, že práva dotknutej osoby možno uplatniť aj prostredníctvom príslušného dozorného orgánu.

    2.   Členské štáty stanovia, že prevádzkovateľ informuje dotknutú osobu o možnosti uplatniť svoje práva prostredníctvom dozorného orgánu podľa odseku 1.

    3.   Ak sa uplatňuje právo uvedené v odseku 1, dozorný orgán informuje dotknutú osobu aspoň o tom, že vykonal všetky nevyhnutné overenia alebo preskúmanie. Dozorný orgán dotknutú osobu tiež informuje o jej práve na súdny prostriedok nápravy.

    Článok 18

    Práva dotknutej osoby v rámci vyšetrovania trestných činov a trestného konania

    Členské štáty môžu stanoviť, že sa práva uvedené v článkoch 13, 14 a 16 vykonávajú v súlade s právom členského štátu, ak sú osobné údaje obsiahnuté v súdnom rozhodnutí či záznamoch alebo spise spracúvaných v rámci vyšetrovania trestných činov a trestného konania.

    KAPITOLA IV

    Prevádzkovateľ a sprostredkovateľ

    Oddiel 1

    Všeobecné povinnosti

    Článok 19

    Povinnosti prevádzkovateľa

    1.   Členské štáty stanovia, že prevádzkovateľ so zreteľom na povahu, rozsah, kontext a účely spracúvania, ako aj na riziká s rôznou pravdepodobnosťou a závažnosťou pre práva a slobody fyzických osôb, prijme vhodné technické a organizačné opatrenia, aby zabezpečil a bol schopný preukázať, že spracúvanie sa vykonáva v súlade s touto smernicou. Uvedené opatrenia sa podľa potreby preskúmajú a aktualizujú.

    2.   Ak je to primerané vzhľadom na spracovateľské činnosti, opatrenia uvedené v odseku 1 zahŕňajú zavedenie primeraných politík ochrany údajov zo strany prevádzkovateľa.

    Článok 20

    Špecificky navrhnutá a štandardná ochrana údajov

    1.   Členské štáty stanovia, že prevádzkovateľ so zreteľom na najnovšie poznatky, náklady na vykonanie opatrení a na povahu, rozsah, kontext a účely spracúvania, ako aj na riziká s rôznou pravdepodobnosťou a závažnosťou, ktoré spracúvanie predstavuje pre práva a slobody fyzických osôb, v čase určenia prostriedkov spracúvania aj v čase samotného spracúvania prijme primerané technické a organizačné opatrenia, ako je napríklad pseudonymizácia, ktoré sú určené na účinné zavedenie zásad ochrany údajov, ako je minimalizácia údajov, a začlenil do spracúvania nevyhnutné záruky s cieľom splniť požiadavky tejto smernice a chrániť práva dotknutých osôb.

    2.   Členské štáty stanovia, že prevádzkovateľ vykoná primerané technické a organizačné opatrenia, aby zabezpečil, že štandardne sa spracúvajú len osobné údaje, ktoré sú nevyhnutné pre každý konkrétny účel spracúvania. Uvedená povinnosť sa vzťahuje na množstvo získaných osobných údajov, rozsah ich spracúvania, dobu ich uchovávania a ich dostupnosť. Konkrétne sa takýmito opatreniami zabezpečí, aby osobné údaje neboli bez zásahu fyzickej osoby štandardne prístupné neobmedzenému počtu fyzických osôb.

    Článok 21

    Spoloční prevádzkovatelia

    1.   Členské štáty v prípade, ak dvaja alebo viacerí prevádzkovatelia spoločne určia účely a prostriedky spracúvania, stanovia, že sú títo prevádzkovatelia spoločnými prevádzkovateľmi. Spoloční prevádzkovatelia transparentne určia svoje príslušné zodpovednosti za dodržiavanie tejto smernice, najmä pokiaľ ide o vykonávanie práv dotknutej osoby, a svoje príslušné povinnosti poskytovať informácie uvedené v článku 13, a to formou vzájomnej dohody, pokiaľ nie sú príslušné zodpovednosti prevádzkovateľov určené právom Únie alebo právom členského štátu, ktorému prevádzkovatelia podliehajú. V dohode sa určí kontaktné miesto pre dotknuté osoby. Členské štáty môžu určiť, ktorý zo spoločných prevádzkovateľov môže vystupovať ako jednotné kontaktné miesto pre uplatnenie práv dotknutých osôb.

    2.   Bez ohľadu na podmienky dohody uvedenej v odseku 1 môžu členské štáty stanoviť, že dotknutá osoba uplatní svoje práva podľa ustanovení prijatých podľa tejto smernice u každého prevádzkovateľa a voči každému prevádzkovateľovi.

    Článok 22

    Sprostredkovateľ

    1.   Členské štáty v prípade, ak sa spracúvanie uskutočňuje v mene prevádzkovateľa, stanovia, že prevádzkovateľ využíva len sprostredkovateľov poskytujúcich dostatočné záruky na to, že sa prijmú primerané technické a organizačné opatrenia tak, aby spracúvanie spĺňalo požiadavky tejto smernice a aby sa zabezpečila ochrana práv dotknutej osoby.

    2.   Členské štáty stanovia, že sprostredkovateľ nezapojí ďalšieho sprostredkovateľa bez predchádzajúceho osobitného alebo všeobecného písomného povolenia prevádzkovateľa. V prípade všeobecného písomného povolenia sprostredkovateľ informuje prevádzkovateľa o akýchkoľvek zamýšľaných zmenách v súvislosti s pridaním alebo nahradením ďalších sprostredkovateľov, čím sa prevádzkovateľovi dá možnosť namietať voči takýmto zmenám.

    3.   Členské štáty stanovia, že sa spracúvanie sprostredkovateľom riadi zmluvou alebo iným právnym aktom podľa práva Únie alebo práva členského štátu, ktoré zaväzuje sprostredkovateľa voči prevádzkovateľovi a ktorým sa stanovuje predmet a doba spracúvania, povaha a účel spracúvania, typ osobných údajov a kategórie dotknutých osôb a povinnosti a práva prevádzkovateľa. Uvedená zmluva alebo iný právny akt najmä stanovia, že sprostredkovateľ:

    a)

    koná len na základe pokynov prevádzkovateľa;

    b)

    zabezpečí, aby sa osoby oprávnené spracúvať osobné údaje zaviazali, že zachovajú dôvernosť, alebo aby boli viazané vhodnou povinnosťou zachovávať dôvernosť vyplývajúcou zo zákona;

    c)

    pomáha prevádzkovateľovi akýmkoľvek vhodným prostriedkom zabezpečiť súlad s ustanoveniami týkajúcimi sa práv dotknutých osôb;

    d)

    po ukončení poskytovania služieb týkajúcich sa spracúvania údajov na základe rozhodnutia prevádzkovateľa všetky osobné údaje vymaže alebo vráti prevádzkovateľovi a vymaže existujúce kópie, ak právo Únie alebo právo členského štátu nepožadujú uchovávanie osobných údajov;

    e)

    poskytne prevádzkovateľovi všetky informácie potrebné na preukázanie súladu s týmto článkom;

    f)

    dodržiava podmienky zapojenia ďalšieho sprostredkovateľa uvedené v odsekoch 2 a 3.

    4.   Zmluva alebo iný právny akt uvedené v odseku 3 sa vypracúvajú v písomnej podobe vrátane elektronickej podoby.

    5.   Ak sprostredkovateľ v rozpore s touto smernicou určí účely a prostriedky spracúvania, považuje sa v súvislosti s daným spracúvaním za prevádzkovateľa.

    Článok 23

    Spracúvanie na základe poverenia prevádzkovateľa alebo sprostredkovateľa

    Členské štáty stanovia, že sprostredkovateľ a každá osoba konajúca na základe poverenia prevádzkovateľa alebo sprostredkovateľa, ktorá má prístup k osobným údajom, nespracúva tieto údaje bez pokynov prevádzkovateľa, s výnimkou prípadov, keď sa to vyžaduje podľa práva Únie alebo práva členského štátu.

    Článok 24

    Záznamy o spracovateľských činnostiach

    1.   Členské štáty stanovia, že prevádzkovatelia vedú záznamy o všetkých kategóriách spracovateľských činností, za ktoré sú zodpovední. Uvedené záznamy musia obsahovať všetky tieto informácie:

    a)

    meno/názov a kontaktné údaje prevádzkovateľa a v príslušných prípadoch spoločného prevádzkovateľa a zodpovednej osoby;

    b)

    účely spracúvania;

    c)

    kategórie príjemcov, ktorým boli alebo budú poskytnuté osobné údaje, vrátane príjemcov v tretích krajinách alebo medzinárodných organizácií;

    d)

    opis kategórií dotknutých osôb a kategórií osobných údajov;

    e)

    v príslušných prípadoch informácie o použití profilovania;

    f)

    v príslušných prípadoch kategórie prenosov osobných údajov do tretej krajiny alebo medzinárodnej organizácii;

    g)

    uvedenie právneho základu pre spracovateľské operácie vrátane prenosov, pre ktoré sú osobné údaje určené;

    h)

    podľa možností predpokladané lehoty na vymazanie rôznych kategórií osobných údajov;

    i)

    podľa možností všeobecný opis technických a organizačných bezpečnostných opatrení uvedených v článku 29 ods. 1.

    2.   Členské štáty stanovia, že každý sprostredkovateľ vedie záznamy o všetkých kategóriách spracovateľských činností, ktoré vykonal v mene prevádzkovateľa, pričom tieto záznamy obsahujú:

    a)

    meno/názov a kontaktné údaje sprostredkovateľa alebo sprostredkovateľov, každého prevádzkovateľa, v mene ktorého sprostredkovateľ koná, a v príslušných prípadoch zodpovednej osoby;

    b)

    kategórie spracúvania vykonávaného v mene každého prevádzkovateľa;

    c)

    v príslušných prípadoch prenosy osobných údajov do tretej krajiny alebo medzinárodnej organizácii vrátane označenia predmetnej tretej krajiny alebo medzinárodnej organizácie, ak to prevádzkovateľ výslovne požadoval v pokynoch;

    d)

    podľa možností všeobecný opis technických a organizačných bezpečnostných opatrení uvedených v článku 29 ods. 1.

    3.   Záznamy uvedené v odsekoch 1 a 2 sa vedú v písomnej podobe vrátane elektronickej podoby.

    Prevádzkovateľ a sprostredkovateľ na požiadanie sprístupnia uvedené záznamy dozornému orgánu.

    Článok 25

    Logovanie

    1.   Členské štáty stanovia, že aspoň o týchto spracovateľských operáciách sa v systémoch automatizovaného spracúvania uchovávajú logy: získavanie, zmena, prehliadanie, poskytovanie vrátane prenosov, kombinovanie a vymazanie. Z logov o prehliadaní a poskytovaní musí byť možné určiť dôvody, dátum a čas takýchto operácií, a pokiaľ možno aj identifikačné údaje osoby, ktorá tieto osobné údaje prehliadala alebo ich poskytovala, ako aj totožnosť príjemcov takýchto osobných údajov.

    2.   Logy sa využijú výlučne na overovanie zákonnosti spracúvania, vlastné monitorovanie, na zabezpečenie integrity a bezpečnosti osobných údajov a na účely trestného konania.

    3.   Prevádzkovateľ a sprostredkovateľ na požiadanie sprístupnia logy dozornému orgánu.

    Článok 26

    Spolupráca s dozorným orgánom

    Členské štáty stanovia, že prevádzkovateľ a sprostredkovateľ na požiadanie spolupracujú s dozorným orgánom pri výkone jeho úloh.

    Článok 27

    Posúdenie vplyvu na ochranu údajov

    1.   Ak typ spracúvania, najmä s využitím nových technológií a s ohľadom na povahu, rozsah, kontext a účely spracúvania pravdepodobne povedie k vysokému riziku pre práva a slobody fyzických osôb, členské štáty stanovia, že prevádzkovateľ pred spracúvaním vykoná posúdenie vplyvu plánovaných spracovateľských operácií na ochranu osobných údajov.

    2.   Posúdenie uvedené v odseku 1 obsahuje aspoň všeobecný opis plánovaných spracovateľských operácií, hodnotenie rizík pre práva a slobody dotknutých osôb, opatrenia na riešenie daných rizík, záruky, bezpečnostné opatrenia a mechanizmy na zabezpečenie ochrany osobných údajov a na preukázanie súladu s touto smernicou, s ohľadom na práva a oprávnené záujmy dotknutých osôb a prípadných ďalších osôb.

    Článok 28

    Predchádzajúca konzultácia s dozorným orgánom

    1.   Členské štáty stanovia, že prevádzkovateľ alebo sprostredkovateľ uskutoční konzultácie s dozorným orgánom pred spracúvaním, ktoré bude tvoriť súčasť nového informačného systému, ktorý sa má vytvoriť, ak:

    a)

    je z posúdenia vplyvu na ochranu údajov uvedeného v článku 27 zrejmé, že toto spracúvanie by viedlo k vysokému riziku, ak by prevádzkovateľ neprijal opatrenia na zmiernenie tohto rizika; alebo

    b)

    sa s typom spracúvania, najmä s využitím nových technológií, mechanizmov alebo postupov, spája vysoké riziko pre práva a slobody dotknutých osôb.

    2.   Členské štáty stanovia, že sa s dozorným orgánom uskutočnia konzultácie počas prípravy návrhu legislatívneho opatrenia, ktoré má prijať národný parlament, alebo regulačného opatrenia založeného na takomto legislatívnom opatrení, ktoré sa týka spracúvania.

    3.   Členské štáty stanovia, že dozorný orgán môže vypracovať zoznam spracovateľských operácií, ktoré podliehajú povinnosti uskutočniť predchádzajúcu konzultáciu podľa odseku 1.

    4.   Členské štáty stanovia, že prevádzkovateľ poskytne dozornému orgánu posúdenie vplyvu na ochranu údajov podľa článku 27 a na požiadanie aj akékoľvek ďalšie informácie, ktoré dozornému orgánu umožnia posúdiť súlad spracúvania a najmä riziká z hľadiska ochrany osobných údajov dotknutej osoby a súvisiacich záruk.

    5.   Členské štáty stanovia v prípade, ak sa dozorný orgán domnieva, že by zamýšľané spracúvanie uvedené v odseku 1 tohto článku bolo v rozpore s ustanoveniami prijatými podľa tejto smernice, najmä ak prevádzkovateľ nedostatočne identifikoval alebo zmiernil riziko, že dozorný orgán do šiestich týždňov od prijatia žiadosti o konzultáciu poskytne prevádzkovateľovi, a prípadne aj sprostredkovateľovi písomné poradenstvo, pričom môže uplatniť akúkoľvek zo svojich právomocí uvedených v článku 47. Uvedená lehota sa môže predĺžiť o mesiac, pričom sa zohľadní komplexnosť zamýšľaného spracúvania. Dozorný orgán informuje o takomto predĺžení lehoty prevádzkovateľa a prípadne sprostredkovateľa do jedného mesiaca od prijatia žiadosti o konzultáciu spolu s odôvodnením oneskorenia.

    Oddiel 2

    Bezpečnosť osobných údajov

    Článok 29

    Bezpečnosť spracúvania

    1.   Členské štáty stanovia, že prevádzkovateľ a sprostredkovateľ so zreteľom na najnovšie poznatky, náklady na vykonanie a na povahu, rozsah, kontext a účely spracúvania, ako aj na riziká s rôznou pravdepodobnosťou a závažnosťou pre práva a slobody fyzických osôb, prijmú primerané technické a organizačné opatrenia s cieľom zaistiť úroveň bezpečnosti primeranú tomuto riziku, najmä pokiaľ ide o spracúvanie osobitných kategórií osobných údajov uvedených v článku 10.

    2.   Pokiaľ ide o automatizované spracúvanie, každý členský štát stanoví, že prevádzkovateľ alebo sprostredkovateľ na základe vyhodnotenia rizík prijme opatrenia na:

    a)

    zabránenie neoprávnenému prístupu k zariadeniam na spracúvanie, ktoré sa používajú na spracúvanie (kontrola prístupu k zariadeniam);

    b)

    zabránenie neoprávnenému čítaniu, kopírovaniu, pozmeňovaniu alebo odstráneniu nosičov údajov (kontrola nosičov údajov);

    c)

    zabránenie neoprávnenému vkladaniu osobných údajov a neoprávnenému prehliadaniu, pozmeňovaniu alebo vymazaniu uchovávaných osobných údajov (kontrola uchovávania);

    d)

    zabránenie použitiu systémov automatizovaného spracúvania neoprávnenými osobami pomocou zariadenia na prenos údajov (kontrola užívateľa);

    e)

    zabezpečenie, aby osoby oprávnené používať systém automatizovaného spracúvania mali prístup iba k tým osobným údajom, na ktoré sa vzťahuje ich oprávnenie na prístup (kontrola prístupu k údajom);

    f)

    zabezpečenie, aby bolo možné overiť a zistiť subjekty, ktorým sa preniesli alebo poskytli, alebo môžu preniesť alebo poskytnúť osobné údaje prostredníctvom zariadenia na prenos údajov (kontrola prenosu údajov);

    g)

    zabezpečenie, aby bolo následne možné overiť a zistiť, aké osobné údaje sa vložili do systému automatizovaného spracúvania, a kedy a kto ich tam vložil (kontrola vkladania);

    h)

    zabránenie neoprávnenému čítaniu, kopírovaniu, pozmeňovaniu alebo vymazaniu osobných údajov počas ich prenosu alebo počas prepravy nosiča údajov (kontrola prepravy);

    i)

    zabezpečenie, aby sa inštalované systémy mohli v prípade prerušenia obnoviť (obnova);

    j)

    zabezpečenie, aby funkcie systému fungovali, aby sa výskyt chýb v jeho funkciách hlásil (spoľahlivosť) a aby sa uchovávané osobné údaje nemohli v prípade poruchy systému poškodiť (integrita).

    Článok 30

    Oznámenie porušenia ochrany osobných údajov dozornému orgánu

    1.   Členské štáty stanovia v prípade porušenia ochrany osobných údajov, že prevádzkovateľ bez zbytočného odkladu a podľa možnosti najneskôr do 72 hodín po tom, čo sa o tejto skutočnosti dozvedel, oznámi porušenie ochrany osobných údajov dozornému orgánu s výnimkou prípadov, keď nie je pravdepodobné, že porušenie ochrany osobných údajov povedie k riziku pre práva a slobody fyzických osôb. Ak oznámenie nebolo dozornému orgánu predložené do 72 hodín, pripojí sa k nemu zdôvodnenie omeškania.

    2.   Sprostredkovateľ podá prevádzkovateľovi oznámenie bez zbytočného odkladu po tom, čo sa o porušení ochrany osobných údajov dozvedel.

    3.   Oznámenie uvedené v odseku 1 musí obsahovať aspoň:

    a)

    opis povahy porušenia ochrany osobných údajov vrátane, podľa možnosti, kategórií a približného počtu dotknutých osôb, ktorých sa porušenie týka, a kategórií a približného počtu dotknutých záznamov o osobných údajoch;

    b)

    meno/názov a kontaktné údaje zodpovednej osoby alebo iného kontaktného miesta, kde možno získať viac informácií;

    c)

    opis pravdepodobných následkov porušenia ochrany osobných údajov;

    d)

    opis opatrení prijatých alebo navrhovaných prevádzkovateľom s cieľom napraviť porušenie ochrany osobných údajov vrátane, podľa potreby, opatrení na zmiernenie jeho potenciálnych nepriaznivých dôsledkov.

    4.   V rozsahu, v akom nie je možné poskytnúť informácie súčasne, možno informácie poskytnúť vo viacerých fázach bez ďalšieho zbytočného odkladu.

    5.   Členské štáty stanovia, že prevádzkovateľ zdokumentuje každý prípad porušenia ochrany osobných údajov uvedený v odseku 1 vrátane skutočností spojených s porušením ochrany osobných údajov, jeho následky a prijaté opatrenia na nápravu. Uvedená dokumentácia musí umožniť dozornému orgánu overiť súlad s týmto článkom.

    6.   Členské štáty stanovia v prípade, ak porušenie ochrany osobných údajov zahŕňa osobné údaje, prenos ktorých vykonal prevádzkovateľ iného členského štátu alebo ktoré boli prenesené takémuto prevádzkovateľovi, že informácie uvedené v odseku 3 sa musia bez zbytočného odkladu oznámiť prevádzkovateľovi z daného členského štátu.

    Článok 31

    Oznámenie porušenia ochrany osobných údajov dotknutej osobe

    1.   Členské štáty stanovia v prípade porušenia ochrany osobných údajov, ktoré pravdepodobne povedie k vysokému riziku pre práva a slobody fyzických osôb, že prevádzkovateľ bez zbytočného odkladu oznámi porušenie ochrany osobných údajov dotknutej osobe.

    2.   Oznámenie dotknutej osobe uvedené v odseku 1 tohto článku obsahuje jasne a jednoducho formulovaný opis povahy porušenia ochrany osobných údajov a aspoň informácie a opatrenia uvedené v článku 30 ods. 3 písm. b), c) a d).

    3.   Oznámenie dotknutej osobe uvedené v odseku 1 sa nevyžaduje, ak je splnená ktorákoľvek z týchto podmienok:

    a)

    prevádzkovateľ prijal primerané technické a organizačné ochranné opatrenia a tieto opatrenia uplatnil na osobné údaje, ktorých sa porušenie ochrany osobných údajov týka, a to najmä tie opatrenia, na základe ktorých sú osobné údaje nečitateľné pre všetky osoby, ktoré nie sú oprávnené mať k nim prístup, ako je napríklad šifrovanie,

    b)

    prevádzkovateľ prijal následné opatrenia, ktorými sa zabezpečí, že vysoké riziko pre práva a slobody dotknutých osôb uvedené v odseku 1 už pravdepodobne nebude mať dôsledky;

    c)

    by to vyžadovalo neprimerané úsilie. V takom prípade dôjde namiesto toho k informovaniu verejnosti alebo sa prijme podobné opatrenie, čím sa zaručí, že dotknuté osoby budú informované rovnakým účinným spôsobom.

    4.   Ak prevádzkovateľ ešte porušenie ochrany osobných údajov neoznámil dotknutej osobe, dozorný orgán môže po zvážení pravdepodobnosti porušenia ochrany osobných údajov vedúceho k vysokému riziku požadovať, aby tak urobil, alebo môže rozhodnúť, že je splnená niektorá z podmienok uvedených v odseku 3.

    5.   Oznámenie dotknutej osobe uvedené v odseku 1 tohto článku sa môže odložiť, obmedziť alebo sa od neho môže upustiť za podmienok alebo z dôvodov uvedených v článku 13 ods. 3.

    Oddiel 3

    Zodpovedná osoba

    Článok 32

    Určenie zodpovednej osoby

    1.   Členské štáty stanovia, že prevádzkovateľ určí zodpovednú osobu. Členské štáty môžu od tejto povinnosti oslobodiť súdy a iné nezávislé justičné orgány pri výkone ich justičných oprávnení.

    2.   Zodpovedná osoba sa určí na základe jej odborných kvalít, a to najmä na základe jej odborných znalostí práva a postupov v oblasti ochrany údajov a na základe spôsobilosti plniť úlohy uvedené v článku 34.

    3.   Pre niekoľko príslušných orgánov je možné určiť jednu zodpovednú osobu, pričom sa zohľadní ich organizačná štruktúra a veľkosť.

    4.   Členské štáty zabezpečia, aby prevádzkovateľ zverejnil kontaktné údaje zodpovednej osoby a oznámil ich dozornému orgánu.

    Článok 33

    Postavenie zodpovednej osoby

    1.   Členské štáty stanovia, že prevádzkovateľ zabezpečí, aby bola zodpovedná osoba riadnym spôsobom a včas zapojená do všetkých záležitostí, ktoré súvisia s ochranou osobných údajov.

    2.   Prevádzkovateľ podporuje zodpovednú osobu pri plnení úloh uvedených v článku 34, a to tak, že poskytuje zdroje potrebné na plnenie týchto úloh a prístup k osobným údajom a spracovateľským operáciám, ako aj zdroje na udržiavanie jej odborných znalostí.

    Článok 34

    Úlohy zodpovednej osoby

    Členské štáty stanovia, že prevádzkovateľ poverí zodpovednú osobu aspoň týmito úlohami:

    a)

    poskytovanie informácií a poradenstva prevádzkovateľovi a zamestnancom, ktorí vykonávajú spracúvanie, o ich povinnostiach podľa tejto smernice a ostatných právnych predpisov Únie alebo členského štátu týkajúcich sa ochrany údajov;

    b)

    monitorovanie súladu s touto smernicou, s ostatnými právnymi predpismi Únie alebo členského štátu týkajúcimi sa ochrany údajov a s pravidlami prevádzkovateľa v súvislosti s ochranou osobných údajov vrátane rozdelenia povinností, zvyšovania povedomia a odbornej prípravy personálu, ktorý je zapojený do spracovateľských operácií, a súvisiacich auditov;

    c)

    poskytovanie poradenstva na požiadanie, pokiaľ ide o posúdenie vplyvu na ochranu údajov a monitorovanie jeho vykonávania podľa článku 27;

    d)

    spolupráca s dozorným orgánom;

    e)

    plnenie úlohy kontaktného miesta pre dozorný orgán v súvislosti s otázkami týkajúcimi sa spracúvania vrátane predchádzajúcej konzultácie uvedenej v článku 28 a podľa potreby aj konzultácie v akýchkoľvek iných veciach.

    KAPITOLA V

    Prenosy osobných údajov do tretích krajín alebo medzinárodným organizáciám

    Článok 35

    Všeobecné zásady prenosov osobných údajov

    1.   Členské štáty stanovia, že akýkoľvek prenos osobných údajov, ktoré sa spracúvajú alebo sú určené na spracúvanie po prenose do tretej krajiny alebo medzinárodnej organizácii, vrátane následných prenosov do ďalšej tretej krajiny či ďalšej medzinárodnej organizácii, príslušné orgány uskutočnia, ak je to v súlade s vnútroštátnymi právnymi predpismi prijatými podľa iných ustanovení tejto smernice, len ak sú dodržané podmienky stanovené v tejto kapitole, najmä:

    a)

    prenos je potrebný na účely stanovené v článku 1 ods. 1;

    b)

    osobné údaje sa prenášajú prevádzkovateľovi v tretej krajine alebo medzinárodnej organizácii, ktorý je orgánom príslušným na účely stanovené v článku 1 ods. 1;

    c)

    ak sa osobné údaje prenesú alebo poskytnú z iného členského štátu, tento členský štát vydal vopred povolenie na prenos v súlade so svojím vnútroštátnym právom;

    d)

    Komisia prijala rozhodnutie o primeranosti podľa článku 36, alebo v prípade, že neexistuje takéto rozhodnutie, poskytnú sa alebo existujú primerané záruky podľa článku 37, alebo v prípade, že neexistuje rozhodnutie o primeranosti podľa článku 36 a ani primerané záruky v súlade s článkom 37, uplatňujú sa výnimky pre osobitné situácie podľa článku 38; a

    e)

    v prípade následného prenosu do ďalšej tretej krajiny či ďalšej medzinárodnej organizácii príslušný orgán, ktorý uskutočnil pôvodný prenos, alebo iný príslušný orgán v tom istom členskom štáte vydá povolenie na následný prenos, a to po náležitom zohľadnení všetkých relevantných faktorov vrátane závažnosti trestného činu, účelu, na ktorý sa osobné údaje pôvodne preniesli, a úrovne ochrany osobných údajov v tretej krajine alebo medzinárodnej organizácii, do ktorej sa osobné údaje následne prenášajú.

    2.   Členské štáty stanovia, že prenosy bez predchádzajúceho povolenia inému členskému štátu podľa odseku 1 písm. c) sú prípustné, len ak je prenos osobných údajov nevyhnutný na zabránenie bezprostrednému a vážnemu ohrozeniu verejnej bezpečnosti členského štátu alebo tretej krajiny, alebo základných záujmov členského štátu a predchádzajúce povolenie nie je možné získať včas. Orgán zodpovedný za vydanie predchádzajúceho povolenia sa informuje bezodkladne.

    3.   Všetky ustanovenia v tejto kapitole sa uplatňujú s cieľom zabezpečiť, aby sa neohrozila úroveň ochrany fyzických osôb zabezpečená touto smernicou.

    Článok 36

    Prenosy na základe rozhodnutia o primeranosti

    1.   Členské štáty stanovia, že sa prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii môže uskutočniť, ak Komisia rozhodla, že tretia krajina, územie alebo jeden či viaceré určené sektory v danej tretej krajine alebo predmetná medzinárodná organizácia zaručujú primeranú úroveň ochrany. Takýto prenos nevyžaduje osobitné povolenie.

    2.   Pri posudzovaní primeranosti úrovne ochrany zohľadňuje Komisia najmä tieto skutočnosti:

    a)

    právny štát, dodržiavanie ľudských práv a základných slobôd, príslušné právne predpisy, a to všeobecné aj odvetvové, vrátane predpisov týkajúcich sa verejnej bezpečnosti, obrany, národnej bezpečnosti a trestného práva a prístupu orgánov verejnej moci k osobným údajom, ako aj vykonávanie takýchto právnych predpisov, pravidiel ochrany údajov, profesijných pravidiel a bezpečnostných opatrení vrátane pravidiel pre následný prenos osobných údajov do ďalšej tretej krajiny alebo medzinárodnej organizácii, ktoré sa v danej tretej krajine alebo medzinárodnej organizácii dodržiavajú, judikatúra, ako aj účinné a vymáhateľné práva dotknutej osoby a účinné správne a súdne prostriedky nápravy pre dotknuté osoby, ktorých osobné údaje sa prenášajú;

    b)

    existencia a účinné pôsobenie jedného či viacerých nezávislých dozorných orgánov v predmetnej tretej krajine, alebo ktorému podlieha medzinárodná organizácia, so zodpovednosťou za zabezpečenie a presadzovanie dodržiavania pravidiel ochrany údajov vrátane primeraných právomocí pre presadzovanie práva, za poskytovanie pomoci a poradenstva dotknutým osobám pri výkone ich práv a za spoluprácu s dozornými orgánmi členských štátov; a

    c)

    medzinárodné záväzky, ktoré dotknutá tretia krajina alebo medzinárodná organizácia prevzala, alebo iné záväzky vyplývajúce z právne záväzných dohovorov alebo nástrojov, ako aj z jej účasti na viacstranných alebo regionálnych systémoch, najmä vo vzťahu k ochrane osobných údajov.

    3.   Komisia môže po posúdení primeranosti úrovne ochrany rozhodnúť prostredníctvom vykonávacieho aktu, že tretia krajina, územie alebo jeden či viaceré určené sektory v tretej krajine alebo medzinárodná organizácia zaručujú primeranú úroveň ochrany v zmysle odseku 2 tohto článku. Vo vykonávacom akte sa stanoví mechanizmus pravidelného preskúmania, ktoré sa uskutočňuje najmenej raz za štyri roky, v ktorom sa zohľadnia všetky významné zmeny v tretej krajine alebo medzinárodnej organizácii. Vo vykonávacom akte sa uvedie rozsah jeho územnej a sektorovej pôsobnosti a v príslušných prípadoch aj dozorný orgán alebo dozorné orgány uvedené v odseku 2 písm. b) tohto článku. Vykonávací akt sa prijme v súlade s postupom preskúmania uvedeným v článku 58 ods. 2.

    4.   Komisia priebežne monitoruje vývoj v tretích krajinách a medzinárodných organizáciách, ktorý by mohol ovplyvniť pôsobenie rozhodnutí prijatých podľa odseku 3.

    5.   Komisia na základe dostupných informácií, najmä v nadväznosti na preskúmanie uvedené v odseku 3 tohto článku, rozhodne že tretia krajina, územie alebo jeden či viaceré určené sektory v tretej krajine alebo medzinárodná organizácia už nezaručujú primeranú úroveň ochrany v zmysle odseku 2 tohto článku a v potrebnom rozsahu prostredníctvom vykonávacích aktov môže bez retroaktívneho účinku zrušiť, zmeniť alebo pozastaviť rozhodnutie uvedené v odseku 3 tohto článku. Uvedené vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 58 ods. 2.

    Komisia prijme z riadne odôvodnených vážnych a naliehavých dôvodov okamžite uplatniteľné vykonávacie akty v súlade s postupom uvedeným v článku 58 ods. 3.

    6.   Komisia začne konzultácie s treťou krajinou alebo medzinárodnou organizáciou s cieľom napraviť stav, ktorý viedol k rozhodnutiu prijatému podľa odseku 5.

    7.   Členské štáty stanovia, že rozhodnutím podľa odseku 5 nie sú dotknuté prenosy osobných údajov do tretej krajiny, územia alebo jedného či viacerých určených sektorov v predmetnej tretej krajine alebo medzinárodnej organizácii podľa článkov 37 a 38.

    8.   Komisia uverejnení v Úradnom vestníku Európskej únie a na svojom webovom sídle zoznam tretích krajín, území a určených sektorov v tretej krajine a medzinárodných organizácií, v prípade ktorých rozhodla, že v nich je zaručená primeraná úroveň ochrany alebo už prestala byť primeraná úroveň ochrany zaručená.

    Článok 37

    Prenosy vyžadujúce primerané záruky

    1.   Ak neexistuje rozhodnutie podľa článku 36 ods. 3, členské štáty stanovia, že sa prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii môže uskutočniť, ak:

    a)

    sú v právne záväznom akte poskytnuté primerané záruky ochrany osobných údajov, alebo

    b)

    prevádzkovateľ posúdil všetky okolnosti prenosu osobných údajov a dospel k záveru, že existujú primerané záruky ochrany osobných údajov.

    2.   Prevádzkovateľ informuje dozorný orgán o kategóriách prenosov podľa odseku 1 písm. b).

    3.   Ak sa prenos uskutočňuje na základe odseku 1 písm. b), musí sa takýto prenos zdokumentovať, pričom dokumentácia sa na žiadosť poskytne dozornému orgánu a uvádza sa v nej dátum a čas prenosu, informácie o prijímajúcom príslušnom orgáne, odôvodnenie prenosu a prenášané osobné údaje.

    Článok 38

    Výnimky pre osobitné situácie

    1.   Ak neexistuje rozhodnutie o primeranosti podľa článku 36 alebo ak neexistujú primerané záruky podľa článku 37, členské štáty stanovia, že sa prenos alebo kategória prenosov osobných údajov do tretej krajiny alebo medzinárodnej organizácii môže uskutočniť len pod podmienkou, že prenos je nevyhnutný:

    a)

    na ochranu životne dôležitých záujmov dotknutej osoby či inej osoby;

    b)

    na zabezpečenie oprávnených záujmov dotknutej osoby, ak sa tak stanovuje v práve členského štátu, ktorý uskutočňuje prenos osobných údajov,

    c)

    na to, aby sa predišlo bezprostrednému a vážnemu ohrozeniu verejnej bezpečnosti členského štátu alebo tretej krajiny,

    d)

    v jednotlivých prípadoch na účely stanovené v článku 1 ods. 1, alebo

    e)

    v jednotlivých prípadoch na preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov súvisiacich s účelmi stanovenými v článku 1 ods. 1

    2.   Prenos osobných údajov sa nesmie uskutočniť, ak príslušný orgán, ktorý prenos uskutočňuje, určí, že základné práva a slobody dotknutej osoby prevažujú nad verejným záujmom na prenose stanoveným v odseku 1 písm. d) a e).

    3.   Ak sa prenos uskutočňuje na základe odseku 1, musí sa takýto prenos zdokumentovať, pričom dokumentácia sa musí na žiadosť sprístupniť dozornému orgánu a uvádza sa v nej dátum a čas prenosu, informácie o prijímajúcom príslušnom orgáne, odôvodnenie prenosu a prenášané osobné údaje.

    Článok 39

    Prenosy osobných údajov príjemcom usadeným v tretích krajinách

    1.   Odchylne od článku 35 ods. 1 písm. b) a bez toho, aby bola dotknutá akákoľvek medzinárodná dohoda uvedená v odseku 2 tohto článku, možno v práve Únie alebo v práve členského štátu stanoviť, že v jednotlivých a osobitných prípadoch príslušné orgány uvedené v článku 3 bode 7 písm. a) vykonajú prenos osobných údajov priamo príjemcom usadeným v tretích krajinách len vtedy, keď sú dodržané ostatné ustanovenia tejto smernice a splnené všetky tieto podmienky:

    a)

    prenos je úplne nevyhnutný na plnenie úlohy príslušného orgánu, ktorý prenos uskutočňuje, ako sa stanovuje právom Únie alebo právom členského štátu, na účely stanovené v článku 1 ods. 1;

    b)

    príslušný orgán, ktorý prenos uskutočňuje, určí, že žiadne základné práva a slobody dotknutej osoby neprevažujú nad verejným záujmom, z ktorého v danom prípade vyplynula nevyhnutnosť prenosu;

    c)

    príslušný orgán, ktorý prenos uskutočňuje, sa domnieva, že prenos orgánu, ktorý je v tretej krajine príslušný na účely uvedené v článku 1 ods. 1, je neefektívny alebo nevhodný, najmä preto, že prenos nemožno dosiahnuť v primeranom čase;

    d)

    orgán, ktorý je v tretej krajine príslušný na účely uvedené v článku 1 ods. 1, je bez zbytočného odkladu informovaný, okrem prípadov, ak je takéto opatrenie neúčinné alebo nevhodné;

    e)

    príslušný orgán, ktorý prenos uskutočňuje, informuje príjemcu o konkrétnom účele alebo účeloch, na ktoré má príjemca tieto osobné údaje výlučne spracúvať, ak je takéto spracúvanie nevyhnutné.

    2.   Medzinárodná dohoda uvedená v odseku 1 je dvojstranná alebo mnohostranná medzinárodná dohoda platná medzi členskými štátmi a tretími krajinami v oblasti justičnej spolupráce v trestných veciach a policajnej spolupráce.

    3.   Príslušný orgán, ktorý prenos uskutočňuje, informuje dozorný orgán o prenosoch podľa tohto článku.

    4.   Ak sa prenos uskutočňuje na základe odseku 1, musí byť zdokumentovaný.

    Článok 40

    Medzinárodná spolupráca na účely ochrany osobných údajov

    Komisia a členské štáty prijmú vo vzťahu k tretím krajinám a medzinárodným organizáciám primerané opatrenia s cieľom:

    a)

    vytvoriť mechanizmy medzinárodnej spolupráce na uľahčenie účinného presadzovania právnych predpisov na ochranu osobných údajov;

    b)

    poskytovať vzájomnú medzinárodnú pomoc pri presadzovaní právnych predpisov na ochranu osobných údajov, a to aj prostredníctvom podávania oznámení, postupovania sťažností, pomoci pri vyšetrovaní a výmeny informácií, pričom sa uplatnia primerané záruky ochrany osobných údajov a iných základných práv a slobôd;

    c)

    zapájať príslušné zainteresované strany do diskusie a činností zameraných na podporu medzinárodnej spolupráce pri presadzovaní právnych predpisov na ochranu osobných údajov;

    d)

    podporovať výmenu a dokumentáciu v oblasti právnych predpisov na ochranu osobných údajov a praxe v tejto oblasti, okrem iného v oblasti sporov o právomoc s tretími krajinami.

    KAPITOLA VI

    Nezávislé dozorné orgány

    Oddiel 1

    Nezávislé postavenie

    Článok 41

    Dozorný orgán

    1.   Každý členský štát stanoví, že za monitorovanie uplatňovania tejto smernice je zodpovedný jeden alebo viacero nezávislých orgánov verejnej moci s cieľom chrániť základné práva a slobody fyzických osôb pri spracúvaní a uľahčiť voľný tok osobných údajov v rámci Únie (ďalej len „dozorný orgán“).

    2.   Každý dozorný orgán prispieva ku konzistentnému uplatňovaniu tejto smernice v celej Únii. Na tento účel dozorné orgány spolupracujú navzájom, ako aj s Komisiou v súlade s kapitolou VII.

    3.   Členské štáty môžu stanoviť, že dozorný orgán zriadený podľa nariadenia (EÚ) 2016/679 je dozorným orgánom uvedeným v tejto smernici a je zodpovedný za úlohy dozorného orgánu, ktorý sa má zriadiť podľa odseku 1 tohto článku.

    4.   Ak je v členskom štáte zriadený viac než jeden dozorný orgán, tento členský štát určí dozorný orgán, ktorý má zastupovať uvedené orgány vo Výbore uvedenom v článku 51.

    Článok 42

    Nezávislosť

    1.   Každý členský štát stanoví, že každý dozorný orgán koná pri plnení svojich úloh a výkone svojich právomocí v súlade s touto smernicou úplne nezávisle.

    2.   Členské štáty stanovia, že člen alebo členovia ich dozorných orgánov nesmú byť pri plnení svojich úloh a výkone svojich právomocí podľa tejto smernice pod vonkajším vplyvom, či už priamym alebo nepriamym, a nesmú od nikoho požadovať ani prijímať pokyny.

    3.   Členovia dozorných orgánov členských štátov sa zdržia akéhokoľvek konania nezlučiteľného s ich povinnosťami a počas svojho funkčného obdobia nevykonávajú žiadnu inú platenú ani neplatenú pracovnú činnosť nezlučiteľnú s touto funkciou.

    4.   Každý členský štát zabezpečí, že sa každému dozornému orgánu poskytnú ľudské, technické a finančné zdroje, priestory a infraštruktúra, ktoré sú potrebné na účinné plnenie jeho úloh a vykonávanie jeho právomocí vrátane tých, ktoré sa majú plniť a vykonávať v súvislosti so vzájomnou pomocou, spoluprácou a účasťou vo Výbore.

    5.   Každý členský štát zabezpečí, aby si každý dozorný orgán vybral a mal svoj vlastný personál, ktorý je podriadený výlučne členovi alebo členom dotknutého dozorného orgánu.

    6.   Každý členský štát zabezpečí, aby každý dozorný orgán podliehal finančnej kontrole, ktorá neovplyvní jeho nezávislosť, a aby mal samostatný verejný ročný rozpočet, ktorý môže byť súčasťou celkového štátneho alebo národného rozpočtu.

    Článok 43

    Všeobecné podmienky týkajúce sa členov dozorného orgánu

    1.   Členské štáty stanovia, že každého člena ich dozorných orgánov transparentným postupom vymenúva:

    ich parlament,

    ich vláda,

    ich hlava štátu alebo

    nezávislý orgán, ktorý je poverený menovaním podľa práva členského štátu.

    2.   Každý člen musí mať kvalifikáciu, skúsenosti a zručnosti, predovšetkým v oblasti ochrany osobných údajov, potrebné na plnenie svojich povinností a výkon svojich právomocí.

    3.   Povinnosti člena zanikajú uplynutím funkčného obdobia, vzdaním sa funkcie alebo povinným odchodom do dôchodku v súlade s právom dotknutého členského štátu.

    4.   Člena možno odvolať, len ak sa dopustil závažného pochybenia alebo prestal spĺňať podmienky požadované na výkon svojich povinností.

    Článok 44

    Pravidlá zriadenia dozorného orgánu

    1.   Každý členský štát prostredníctvom právnych predpisov upraví všetky tieto skutočnosti:

    a)

    zriadenie každého dozorného orgánu;

    b)

    kvalifikáciu a požiadavky na kandidátov na miesto člena každého dozorného orgánu;

    c)

    pravidlá a postupy vymenovania člena alebo členov každého dozorného orgánu;

    d)

    trvanie funkčného obdobia člena alebo členov každého dozorného orgánu, ktoré nesmie byť kratšie ako štyri roky, s výnimkou prvého vymenovania do funkcie po 6. máji 2016, ktoré môže byť kratšie, ak je z dôvodu ochrany nezávislosti dozorného orgánu nevyhnutné použiť časovo rozložený postup vymenovania do funkcií;

    e)

    či sú člen alebo členovia každého dozorného orgánu oprávnení na opätovné vymenovanie, a ak áno, na koľko funkčných období;

    f)

    podmienky upravujúce povinnosti člena alebo členov a personálu každého dozorného orgánu, zákazy týkajúce sa konaní, pracovnej činnosti a výhod nezlučiteľných s funkciou člena počas funkčného obdobia a po ňom a pravidlá upravujúce ukončenie pracovného pomeru.

    2.   Člen alebo členovia a personál každého dozorného orgánu podliehajú v súlade s právom Únie alebo právom členského štátu povinnosti zachovávať profesijné tajomstvo, pokiaľ ide o dôverné informácie, o ktorých sa dozvedeli pri plnení svojich úloh alebo pri výkone svojich právomocí, a to tak počas ich funkčného obdobia, ako aj po ňom. Počas ich funkčného obdobia sa táto povinnosť zachovávať profesijné tajomstvo vzťahuje najmä na ohlasovanie porušení tejto smernice fyzickými osobami.

    Oddiel 2

    Príslušnosť, úlohy a právomoci

    Článok 45

    Príslušnosť

    1.   Každý členský štát stanoví, že každý dozorný orgán je príslušný plniť úlohy, ktoré mu boli uložené, a vykonávať právomoci, ktoré mu boli zverené, v súlade s touto smernicou na území vlastného členského štátu.

    2.   Každý členský štát stanoví, že každý dozorný orgán nie je príslušný na vykonávanie dozoru nad spracovateľskými operáciami na súdoch, ak ide o výkon ich súdnej právomoci. Členské štáty môžu stanoviť, že ich dozorné orgány nie sú príslušné vykonávať dozor nad spracovateľskými operáciami, ktoré uskutočňujú iné nezávislé justičné orgány pri výkone ich justičných oprávnení.

    Článok 46

    Úlohy

    1.   Každý členský štát stanoví, že na jeho území každý dozorný orgán:

    a)

    monitoruje a presadzuje uplatňovanie ustanovení prijatých podľa tejto smernice a jej vykonávacích opatrení;

    b)

    zvyšuje povedomie verejnosti a jej chápanie rizík, pravidiel, záruk a práv súvisiacich so spracúvaním;

    c)

    poskytuje v súlade s právom členského štátu poradenstvo národnému parlamentu, vláde a iným inštitúciám a orgánom o legislatívnych a administratívnych opatreniach súvisiacich s ochranou práv a slobôd fyzických osôb pri spracúvaní;

    d)

    zvyšuje povedomie prevádzkovateľov a sprostredkovateľov o ich povinnostiach podľa tejto smernice;

    e)

    na požiadanie poskytuje informácie každej dotknutej osobe v súvislosti s uplatnením jej práv podľa tejto smernice a prípadne na tento účel spolupracuje s dozornými orgánmi v iných členských štátoch;

    f)

    vybavuje sťažnosti podané dotknutou osobou alebo subjektom, organizáciou alebo združením v súlade s článkom 55, a vyšetruje v primeranom rozsahu podstatu sťažnosti a informuje sťažovateľa o pokroku a výsledkoch vyšetrovania v primeranej lehote, najmä ak je potrebné ďalšie vyšetrovanie alebo koordinácia s iným dozorným orgánom;

    g)

    preveruje zákonnosť spracúvania podľa článku 17 a informuje dotknutú osobu v primeranej lehote o výsledku tohto preverenia podľa odseku 3 uvedeného článku, alebo o dôvodoch, prečo k prevereniu nedošlo;

    h)

    spolupracuje s inými dozornými orgánmi, vrátane výmeny informácií, a poskytuje im vzájomnú pomoc s cieľom zabezpečiť konzistentné uplatňovanie a presadzovanie tejto smernice;

    i)

    vedie vyšetrovania týkajúce sa uplatňovania tejto smernice, a to aj na základe informácií, ktoré mu poskytol iný dozorný orgán alebo iný orgán verejnej moci;

    j)

    monitoruje príslušný vývoj, pokiaľ má dosah na ochranu osobných údajov, a to najmä vývoj informačných a komunikačných technológií;

    k)

    poskytuje poradenstvo v súvislosti so spracovateľskými operáciami uvedenými v článku 28; a

    l)

    prispieva k činnostiam Výboru.

    2.   Každý dozorný orgán uľahčuje podávanie sťažností uvedených v odseku 1 písm. f), a to takými opatreniami, ako napríklad poskytnutím formulára sťažnosti, ktorý je možné tiež vyplniť elektronicky, nevylučujúc pritom iné prostriedky komunikácie.

    3.   Plnenie úloh každého dozorného orgánu je pre dotknutú osobu a zodpovednú osobu bezplatné.

    4.   Ak je žiadosť zjavne neopodstatnená alebo neprimeraná, najmä pre jej opakujúcu sa povahu, dozorný orgán môže účtovať primeraný poplatok zodpovedajúci jeho administratívnym nákladom alebo môže odmietnuť konať na základe žiadosti. Dozorný orgán znáša bremeno preukázania, že žiadosť je zjavne neopodstatnená alebo neprimeraná.

    Článok 47

    Právomoci

    1.   Každý členský štát prostredníctvom právnych predpisov stanoví, že každý dozorný orgán má účinné vyšetrovacie právomoci. Uvedené právomoci zahŕňajú aspoň právomoc získať od prevádzkovateľa a sprostredkovateľa prístup ku všetkým osobným údajom, ktoré sa spracúvajú, a všetkým informáciám potrebným na plnenie svojich úloh.

    2.   Každý členský štát prostredníctvom právnych predpisov stanoví, že každý dozorný orgán má účinné nápravné právomoci, napríklad:

    a)

    upozorniť prevádzkovateľa alebo sprostredkovateľa na to, že plánované spracovateľské operácie pravdepodobne porušia ustanovenia prijaté podľa tejto smernice;

    b)

    nariadiť prevádzkovateľovi alebo sprostredkovateľovi, aby svoje spracovateľské operácie zosúladil podľa potreby určeným spôsobom a v rámci určenej lehoty s ustanoveniami prijatými podľa tejto smernice, a to najmä prostredníctvom nariadenia opravy alebo vymazania osobných údajov alebo obmedzenia spracúvania podľa článku 16;

    c)

    nariadiť dočasné alebo trvalé obmedzenie vrátane zákazu spracúvania.

    3.   Každý členský štát prostredníctvom právnych predpisov stanoví, že každý dozorný orgán má účinné poradné právomoci na poskytovanie poradenstva prevádzkovateľovi v súlade s postupom predchádzajúcej konzultácie uvedeným v článku 28 a na vydávanie stanoviska, z vlastnej iniciatívy alebo na požiadanie, k akýmkoľvek otázkam súvisiacim s ochranou osobných údajov adresovaného jeho národnému parlamentu a jeho vláde alebo, v súlade so svojím vnútroštátnym právom iným inštitúciám a orgánom, ako aj verejnosti.

    4.   Výkon právomocí udelených dozornému orgánu podľa tohto článku podlieha primeraným zárukám vrátane účinného súdneho prostriedku nápravy a riadneho procesu, stanoveným v práve Únie a v práve členského štátu v súlade s chartou.

    5.   Každý členský štát prostredníctvom právnych predpisov stanoví, že každý dozorný orgán má právomoc upozorniť justičné orgány na porušenia ustanovení prijatých podľa tejto smernice a prípadne začať súdne konanie alebo sa na ňom inak zúčastniť s cieľom presadiť dodržiavanie ustanovení prijatých podľa tejto smernice.

    Článok 48

    Oznamovanie porušení

    Členské štáty stanovia, že príslušné orgány zavedú účinné mechanizmy na podporu dôverného ohlasovania porušení tejto smernice.

    Článok 49

    Správy o činnosti

    Každý dozorný orgán vypracuje výročnú správu o svojich činnostiach, ktorá môže zahŕňať zoznam typov oznámených porušení a typov uložených sankcií. Uvedené správy sa predkladajú národnému parlamentu, vláde a iným orgánom určeným právom členského štátu. Správy sa sprístupnia verejnosti, Komisii a Výboru.

    KAPITOLA VII

    Spolupráca

    Článok 50

    Vzájomná pomoc

    1.   Členské štáty stanovia, že si ich dozorné orgány navzájom poskytujú relevantné informácie a vzájomnú pomoc v záujme konzistentného vykonávania a uplatňovania tejto smernice a prijímajú opatrenia na účinnú vzájomnú spoluprácu. Vzájomná pomoc sa týka najmä žiadostí o informácie a opatrení v oblasti dozoru, ako sú napríklad žiadosti o konzultácie, kontroly a vyšetrovania.

    2.   Každý členský štát stanoví, že každý dozorný orgán prijme všetky primerané opatrenia potrebné na to, aby na žiadosť iného dozorného orgánu odpovedal bez zbytočného odkladu a najneskôr do jedného mesiaca po prijatí žiadosti. K takýmto opatreniam môže patriť napríklad zaslanie relevantných informácií o vedení vyšetrovania.

    3.   Žiadosti o pomoc obsahujú všetky nevyhnutné informácie vrátane účelu a dôvodov žiadosti. Vymieňané informácie sa použijú len na účel, na ktorý boli vyžiadané.

    4.   Dožiadaný dozorný orgán nesmie odmietnuť vyhovieť žiadosti s výnimkou prípadu, keď:

    a)

    nie je príslušný pre predmet žiadosti alebo pre opatrenia, o vykonanie ktorých bol požiadaný; alebo

    b)

    vyhovenie žiadosti by bolo v rozpore s touto smernicou alebo s právom Únie alebo právom členského štátu, ktorému podlieha dozorný orgán, ktorému bola žiadosť doručená.

    5.   Dožiadaný dozorný orgán poskytne žiadajúcemu dozornému orgánu informácie o výsledkoch opatrení prijatých s cieľom reagovať na žiadosť alebo prípadne o pokroku dosiahnutom v tejto súvislosti. Dožiadaný dozorný orgán v prípade odmietnutia vyhovenia žiadosti podľa odseku 4 toto odmietnutie odôvodní.

    6.   Dožiadané dozorné orgány poskytnú informácie požadované inými dozornými orgánmi spravidla elektronickými prostriedkami, pričom používajú štandardizovaný formát.

    7.   Dožiadané dozorné orgány neúčtujú za opatrenie, ktoré vykonali na základe žiadosti o vzájomnú pomoc, žiadny poplatok. Dozorné orgány sa môžu dohodnúť na pravidlách vzájomnej náhrady v prípade špecifických výdavkov, ktoré vyplývajú z poskytnutia vzájomnej pomoci za výnimočných okolností.

    8.   Komisia môže prostredníctvom vykonávacích aktov spresniť formát a postupy pre vzájomnú pomoc uvedené v tomto článku a opatrenia na výmenu informácií elektronickými prostriedkami medzi dozornými orgánmi navzájom, ako aj medzi dozornými orgánmi a Výborom. Uvedené vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 58 ods. 2.

    Článok 51

    Úlohy Výboru

    1.   Výbor zriadený nariadením (EÚ) 2016/679 plní v súvislosti so spracúvaním patriacim do rozsahu pôsobnosti tejto smernice všetky tieto úlohy:

    a)

    poskytuje Komisii poradenstvo v akejkoľvek otázke týkajúcej sa ochrany osobných údajov v Únii vrátane akýchkoľvek navrhovaných zmien tejto smernice;

    b)

    preskúmava z vlastnej iniciatívy, na žiadosť svojich členov alebo na žiadosť Komisie akúkoľvek otázku týkajúcu sa uplatňovania tejto smernice a vydáva usmernenia, odporúčania a najlepšie postupy s cieľom podnietiť konzistentné uplatňovanie tejto smernice;

    c)

    vypracúva usmernenia pre dozorné orgány, pokiaľ ide o uplatňovanie opatrení uvedených v článku 47 ods. 1 a 3;

    d)

    vydáva usmernenia, odporúčania a najlepšie postupy v súlade s písmenom b) tohto pododseku na konštatovanie porušení ochrany osobných údajov a určenie zbytočného odkladu uvedeného v článku 30 ods. 1 a 2, ako aj osobitných okolností, za ktorých sa od prevádzkovateľa alebo sprostredkovateľa vyžaduje, aby oznámili porušenie ochrany osobných údajov;

    e)

    vydáva usmernenia, odporúčania a najlepšie postupy v súlade s písmenom b) tohto pododseku týkajúce sa okolností, za ktorých porušenie ochrany osobných údajov pravdepodobne povedie k vysokému riziku pre práva a slobody fyzických osôb uvedených v článku 31 ods. 1;

    f)

    preskúmava praktické uplatňovanie usmernení, odporúčaní a najlepších postupov uvedených v písmenách b) a c);

    g)

    poskytuje Komisii stanovisko, v ktorom sa posúdi primeranosť úrovne ochrany v tretej krajine, území alebo jednom či viacerých určených sektorov v tretej krajine, alebo medzinárodnej organizácii, ako aj to, či uvedená tretia krajina, územie, určený sektor alebo medzinárodná organizácia už nezabezpečujú primeranú úroveň ochrany;

    h)

    podporuje spoluprácu a účinnú dvojstrannú a mnohostrannú výmenu informácií a najlepších postupov medzi dozornými orgánmi;

    i)

    podporuje spoločné programy odborného vzdelávania a uľahčuje výmeny zamestnancov medzi dozornými orgánmi a podľa potreby aj s dozornými orgánmi tretích krajín či s medzinárodnými organizáciami;

    j)

    podporuje výmenu poznatkov a dokumentácie s dozornými orgánmi z celého sveta, pokiaľ ide o právne predpisy na ochranu údajov a prax v tejto oblasti.

    Pokiaľ ide o písmeno g) prvého pododseku, Komisia poskytne Výboru všetku potrebnú dokumentáciu vrátane korešpondencie s vládou tretej krajiny, územím alebo určeným sektorom v uvedenej tretej krajine alebo s medzinárodnou organizáciou.

    2.   Ak Komisia požiada Výbor o radu, môže uviesť lehotu, pričom zohľadní naliehavosť danej záležitosti.

    3.   Výbor zasiela svoje stanoviská, usmernenia, odporúčania a najlepšie postupy Komisii a výboru uvedenému v článku 58 ods. 1 a zverejňuje ich.

    4.   Komisia informuje Výbor o tom, aké opatrenia prijala na základe jeho stanovísk, usmernení, odporúčaní a najlepších postupov.

    KAPITOLA VIII

    Prostriedky nápravy, zodpovednosť a sankcie

    Článok 52

    Právo podať sťažnosť dozornému orgánu

    1.   Bez toho, aby boli dotknuté akékoľvek iné správne alebo súdne prostriedky nápravy, členské štáty stanovia, že každá dotknutá osoba má právo podať sťažnosť dozornému orgánu, ak sa domnieva, že spracúvanie osobných údajov, ktoré sa jej týka, je v rozpore s ustanoveniami prijatými podľa tejto smernice.

    2.   Členské štáty stanovia, že dozorný orgán, ktorému sa sťažnosť podala, bez zbytočného odkladu postúpi túto sťažnosť príslušnému dozornému orgánu v prípade, ak sa sťažnosť nepodá dozornému orgánu, ktorý je príslušný podľa článku 45 ods. 1. Dotknutá osoba musí byť o postúpení sťažnosti informovaná.

    3.   Členské štáty stanovia, že dozorný orgán, ktorému sa sťažnosť podala, poskytne ďalšiu pomoc na základe žiadosti dotknutej osoby.

    4.   Príslušný dozorný orgán informuje dotknutú osobu o pokroku a výsledku sťažnosti vrátane možnosti uplatnenia súdneho prostriedku nápravy podľa článku 53.

    Článok 53

    Právo na účinný súdny prostriedok nápravy voči rozhodnutiu dozorného orgánu

    1.   Bez toho, aby boli dotknuté iné správne alebo mimosúdne prostriedky nápravy, členské štáty stanovia právo fyzickej alebo právnickej osoby na účinný súdny prostriedok nápravy voči právne záväznému rozhodnutiu dozorného orgánu, ktoré sa jej týka.

    2.   Bez toho, aby boli dotknuté iné správne alebo mimosúdne prostriedky nápravy, každá dotknutá osoba má právo na účinný súdny prostriedok nápravy, ak dozorný orgán, ktorý je príslušný podľa článku 45 ods. 1, sťažnosť nevybavil alebo neinformoval dotknutú osobu do troch mesiacov o pokroku alebo výsledku sťažnosti podanej podľa článku 52.

    3.   Členské štáty stanovia, že sa návrh na začatie konania proti dozornému orgánu podáva na súdoch členského štátu, v ktorom je dozorný orgán zriadený.

    Článok 54

    Právo na účinný súdny prostriedok nápravy voči prevádzkovateľovi alebo sprostredkovateľovi

    Bez toho, aby bol dotknutý akýkoľvek dostupný správny alebo mimosúdny prostriedok nápravy vrátane práva na podanie sťažnosti dozornému orgánu podľa článku 52, členské štáty stanovia právo dotknutej osoby na účinný súdny prostriedok nápravy, ak sa domnieva, že v dôsledku spracúvania jej osobných údajov v rozpore s ustanoveniami prijatými podľa tejto smernice došlo k porušeniu jej práv stanovených v ustanoveniach prijatých podľa tejto smernice.

    Článok 55

    Zastupovanie dotknutých osôb

    Členské štáty v súlade s procesným právom členského štátu stanovia, že dotknutá osoba má právo poveriť neziskový subjekt, organizáciu alebo združenie, ktoré boli riadne zriadené v súlade s právom členského štátu, ktorých ciele podľa stanov sú vo verejnom záujme a ktoré pôsobia v oblasti ochrany práv a slobôd dotknutých osôb, pokiaľ ide o ochranu ich osobných údajov, aby podali sťažnosť v jej mene a aby v jej mene vykonávali práva podľa článkov 52, 53 a 54.

    Článok 56

    Právo na náhradu škody

    Členské štáty stanovia, že každá osoba, ktorá utrpela majetkovú alebo nemajetkovú ujmu v dôsledku nezákonných spracovateľských operácií alebo akéhokoľvek úkonu, ktorý porušuje vnútroštátne ustanovenia prijaté podľa tejto smernice, má právo na náhradu utrpenej škody od prevádzkovateľa alebo akéhokoľvek iného orgánu príslušného podľa práva členského štátu.

    Článok 57

    Sankcie

    Členské štáty stanovia pravidlá pre sankcie za porušenia ustanovení prijatých podľa tejto smernice a prijmú všetky opatrenia potrebné na zabezpečenie ich vykonávania. Stanovené sankcie musia byť účinné, primerané a odrádzajúce.

    KAPITOLA IX

    Vykonávacie akty

    Článok 58

    Postup výboru

    1.   Komisii pomáha výbor zriadený na základe článku 93 nariadenia (EÚ) 2016/679. Uvedený výbor je výborom v zmysle nariadenia (EÚ) č. 182/2011.

    2.   Ak sa odkazuje na tento odsek, uplatňuje sa článok 5 nariadenia (EÚ) č. 182/2011.

    3.   Ak sa odkazuje na tento odsek, uplatňuje sa článok 8 nariadenia (EÚ) č. 182/2011 v spojení s jeho článkom 5.

    KAPITOLA X

    Záverečné ustanovenia

    Článok 59

    Zrušenie rámcového rozhodnutia 2008/977/SVV

    1.   Rámcové rozhodnutie 2008/977/SVV sa zrušuje s účinnosťou od 6. mája 2018.

    2.   Odkazy na zrušené rozhodnutie uvedené v odseku 1 sa považujú za odkazy na túto smernicu.

    Článok 60

    Právne akty Únie, ktoré už nadobudli účinnosť

    Osobitné ustanovenia na ochranu osobných údajov v právnych aktoch Únie, ktoré nadobudli účinnosť 6. mája 2016 alebo pred týmto dátumom v oblasti justičnej spolupráce v trestných veciach a policajnej spolupráce, ktoré upravujú spracúvanie medzi členskými štátmi a prístup určených orgánov členských štátov do informačných systémov zriadených podľa zmlúv v rámci rozsahu pôsobnosti tejto smernice, zostávajú nedotknuté.

    Článok 61

    Vzťah k medzinárodným dohodám v oblasti justičnej spolupráce v trestných veciach a policajnej spolupráce uzavretým v minulosti

    Medzinárodné dohody, ktoré zahŕňajú prenos osobných údajov do tretích krajín alebo medzinárodným organizáciám, ktoré uzavreli členské štáty pred 6. májom 2016 a ktoré sú v súlade s právom Únie uplatniteľným pred uvedeným dátumom, zostávajú v platnosti až do ich zmeny, nahradenia alebo zrušenia.

    Článok 62

    Správy Komisie

    1.   Komisia do 6. mája 2022 a potom každé štyri roky predkladá Európskemu parlamentu a Rade správu o hodnotení a preskúmaní tejto smernice. Správy sa zverejnia.

    2.   V kontexte hodnotení a preskúmaní uvedených v odseku 1 Komisia preskúma najmä uplatňovanie a fungovanie kapitoly V o prenose osobných údajov do tretích krajín alebo medzinárodným organizáciám s osobitným zameraním na rozhodnutia prijaté na základe článku 36 ods. 3 a článku 39.

    3.   Na účely odsekov 1 a 2 môže Komisia žiadať informácie od členských štátov a dozorných orgánov.

    4.   Komisia pri hodnoteniach a preskúmaniach uvedených v odsekoch 1 a 2 zohľadní stanoviská a zistenia Európskeho parlamentu, Rady a iných relevantných subjektov alebo zdrojov.

    5.   Komisia v prípade potreby predloží vhodné návrhy na zmenu tejto smernice, pričom zohľadní najmä vývoj v oblasti informačných technológií a vychádza z aktuálneho stavu pokroku v informačnej spoločnosti.

    6.   Komisia do 6. mája 2019 preskúma ostatné právne akty prijaté Úniou, ktoré upravujú spracúvanie príslušnými orgánmi na účely stanovené v článku 1 ods. 1 vrátane tých, ktoré sú uvedené v článku 60, s cieľom posúdiť potrebu ich zosúladenia s touto smernicou, a podľa potreby vypracovať návrhy potrebné na zmenu uvedených aktov v záujme zabezpečenia konzistentného prístupu k ochrane osobných údajov v rámci rozsahu pôsobnosti tejto smernice.

    Článok 63

    Transpozícia

    1.   Členské štáty prijmú a uverejnia do 6. mája 2018 zákony, iné právne predpisy a správne opatrenia potrebné na dosiahnutie súladu s touto smernicou. Komisii bezodkladne oznámia znenie týchto ustanovení. Tieto ustanovenia uplatňujú od 6. mája 2018.

    Členské štáty uvedú priamo v prijatých ustanoveniach alebo pri ich úradnom uverejnení odkaz na túto smernicu. Podrobnosti o odkaze upravia členské štáty.

    2.   Odchylne od odseku 1 môže členský štát stanoviť výnimočne v prípadoch, kde sa vyžaduje neprimerané úsilie, že sa automatizované systémy spracúvania vytvorené pred 6. májom 2016 zosúladia s článkom 25 ods. 1 do 6. mája 2023.

    3.   Odchylne od odsekov 1 a 2 tohto článku môže vo výnimočných prípadoch členský štát zosúladiť automatizovaný systém spracúvania uvedený v odseku 2 tohto článku s článkom 25 ods. 1 v určenej lehote po uplynutí lehoty uvedenej v odseku 2 tohto článku, ak by to inak spôsobilo vážne problémy pre fungovanie daného automatizovaného systému spracúvania. Dotknutý členský štát oznámi Komisii dôvody uvedených vážnych problémov a dôvody určenej lehoty, počas ktorej zosúladí konkrétny automatizovaný systém spracúvania s článkom 25 ods. 1. Uvedená určená lehota v žiadnom prípade neuplynie neskôr než 6. mája 2026.

    4.   Členské štáty oznámia Komisii znenie hlavných ustanovení vnútroštátnych právnych predpisov, ktoré prijmú v oblasti pôsobnosti tejto smernice.

    Článok 64

    Nadobudnutie účinnosti

    Táto smernica nadobúda účinnosť dňom nasledujúcim po jej uverejnení v Úradnom vestníku Európskej únie.

    Článok 65

    Adresáti

    Táto smernica je určená členským štátom.

    V Bruseli 27. apríla 2016

    Za Európsky parlament

    predseda

    M. SCHULZ

    Za Radu

    predsedníčka

    J.A. HENNIS-PLASSCHAERT


    (1)  Ú. v. EÚ C 391, 18.12.2012, s. 127.

    (2)  Pozícia Európskeho parlamentu z 12. marca 2014 (zatiaľ neuverejnená v úradnom vestníku) a pozícia Rady v prvom čítaní z 8. apríla 2016 (zatiaľ neuverejnená v úradnom vestníku). Pozícia Európskeho parlamentu zo 14. apríla 2016.

    (3)  Smernica Európskeho parlamentu a Rady 95/46/ES z 24. októbra 1995 o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov (Ú. v. ES L 281, 23.11.1995, s. 31).

    (4)  Rámcové rozhodnutie Rady 2008/977/SVV z 27. novembra 2008 o ochrane osobných údajov spracúvaných v rámci policajnej a justičnej spolupráce v trestných veciach (Ú. v. EÚ L 350, 30.12.2008, s. 60).

    (5)  Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe týchto údajov a ktorým sa ruší smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (pozri stranu 1 tohto úradného vestníka).

    (6)  Nariadenie Európskeho parlamentu a Rady (ES) č. 45/2001 z 18. decembra 2000 o ochrane jednotlivcov so zreteľom na spracovanie osobných údajov inštitúciami a orgánmi spoločenstva a o voľnom pohybe takýchto údajov (Ú. v. ES L 8, 12.1.2001, s. 1).

    (7)  Smernica Európskeho parlamentu a Rady 2011/24/EÚ z 9. marca 2011 o uplatňovaní práv pacientov pri cezhraničnej zdravotnej starostlivosti (Ú. v. EÚ L 88, 4.4.2011, s. 45).

    (8)  Spoločná pozícia Rady 2005/69/SVV z 24. januára 2005 o výmene určitých údajov s Interpolom (Ú. v. EÚ L 27, 29.1.2005, s. 61).

    (9)  Rozhodnutie Rady 2007/533/SVV z 12. júna 2007 o zriadení, prevádzke a využívaní Schengenského informačného systému druhej generácie (SIS II) (Ú. v. EÚ L 205, 7.8.2007, s. 63).

    (10)  Smernica Rady 77/249/EHS z 22. marca 1977 na uľahčenie účinného výkonu slobody právnikov poskytovať služby (Ú. v. ES L 78, 26.3.1977, s. 17).

    (11)  Nariadenie Európskeho parlamentu a Rady (EÚ) č. 182/2011 zo 16. februára 2011, ktorým sa ustanovujú pravidlá a všeobecné zásady mechanizmu, na základe ktorého členské štáty kontrolujú vykonávanie vykonávacích právomocí Komisie (Ú. v. EÚ L 55, 28.2.2011, s. 13).

    (12)  Rozhodnutie Rady 2008/615/SVV z 23. júna 2008 o zintenzívnení cezhraničnej spolupráce, najmä v boji proti terorizmu a cezhraničnej trestnej činnosti (Ú. v. EÚ L 210, 6.8.2008, s. 1).

    (13)  Akt Rady z 29. mája 2000, ktorým sa v súlade s článkom 34 Zmluvy o Európskej únii ustanovuje Dohovor o vzájomnej pomoci v trestných veciach medzi členskými štátmi Európskej únie (Ú. v. ES C 197, 12.7.2000, s. 1).

    (14)  Smernica Európskeho parlamentu a Rady 2011/93/EÚ z 13. decembra 2011 o boji proti sexuálnemu zneužívaniu a sexuálnemu vykorisťovaniu detí a proti detskej pornografii, ktorou sa nahrádza rámcové rozhodnutie Rady 2004/68/SVV (Ú. v. EÚ L 335, 17.12.2011, s. 1).

    (15)  Ú. v. ES L 176, 10.7.1999, s. 36.

    (16)  Ú. v. EÚ L 53, 27.2.2008, s. 52.

    (17)  Ú. v. EÚ L 160, 18.6.2011, s. 21.

    (18)  Ú. v. EÚ C 192, 30.6.2012, s. 7.


    Top