52017PC0008

•Proporcionalita

V súlade so zásadou proporcionality je na dosiahnutie základných cieľov súvisiacich so zabezpečením rovnocennej úrovne ochrany fyzických osôb so zreteľom na spracúvanie osobných údajov a voľný tok osobných údajov v rámci Únie potrebné a vhodné stanoviť pravidlá spracúvania osobných údajov inštitúciami, orgánmi, úradmi a agentúrami Únie. Toto nariadenie neprekračuje rámec toho, čo je nevyhnutné na dosiahnutie cieľov stanovených v súlade s článkom 5 ods. 4 Zmluvy o Európskej únii.

•Výber nástroja

Za vhodný právny nástroj na vymedzenie rámca na ochranu fyzických osôb so zreteľom na spracúvanie osobných údajov inštitúciami, orgánmi, úradmi a agentúrami Únie a voľný pohyb týchto údajov sa považuje nariadenie. Poskytuje fyzickým osobám práva, ktoré sú vymožiteľné právnymi prostriedkami, určuje povinnosti súvisiace so spracúvaním údajov pre prevádzkovateľov v inštitúciách, orgánoch, úradoch a agentúrach Únie. Okrem toho tiež stanovuje nezávislý dozorný orgán, európskeho dozorného úradníka pre ochranu údajov, ktorý má byť zodpovedný za monitorovanie spracúvania osobných údajov inštitúciami, orgánmi, úradmi a agentúrami Únie.

3.VÝSLEDKY HODNOTENÍ EX POST, KONZULTÁCIÍ SO ZAINTERESOVANÝMI STRANAMI A POSÚDENÍ VPLYVU

Komisia v roku 2010 a 2011 uskutočnila konzultácie so zainteresovanými stranami a posúdenie vplyvu v súvislosti s prípravou balíčka reforiem týkajúcich sa ochrany údajov, v ktorom informuje o navrhovaných zmenách v nariadení (ES) č. 45/2001. V tejto súvislosti Komisia tiež uskutočnila prieskum medzi koordinátormi Komisie pre ochranu údajov 5 .

Pokiaľ ide o praktické uplatňovanie nariadenia (ES) č. 45/2001 inštitúciami, orgánmi, úradmi a agentúrami Únie, zhromaždili sa informácie od európskeho dozorného úradníka pre ochranu údajov, iných inštitúcií, orgánov, úradov a agentúr Únie, iných GR Komisie a od externého dodávateľa. Sieti zodpovedných osôb sa zaslal dotazník 6 .

Zodpovedné osoby z viacerých inštitúcií, orgánov, úradov a agentúr Únie uskutočnili workshopy v súvislosti s reformou nariadenia č. 45/2001, a to v dňoch 9. júla 2015, 22. októbra 2015, 19. januára 2016 a 15. marca 2016.

V roku 2013 sa Komisia rozhodla vykonať hodnotiacu štúdiu o dovtedajšom uplatňovaní nariadenia (ES) č. 45/2001, ktorú zadala externému dodávateľovi. Konečné výsledky hodnotiacej štúdie (záverečná správa, päť prípadových štúdií a analýza podľa jednotlivých článkov) boli predložené Komisii 8. júna 2015 7 .

Z hodnotenia vyplynulo, že systém riadenia tvorený zodpovednými osobami a európskym dozorným úradníkom pre ochranu údajov (EDPS) je účinný. Zistilo sa, že rozdelenie právomocí medzi zodpovedné osoby a EDPS je jasné a dobre vyvážené, a že obe strany majú primeraný rozsah právomocí. Mohli by však vzniknúť problémy súvisiace s nedostatočnými kompetenciami v dôsledku nedostatočnej podpory zodpovedných osôb zo strany vedenia.

Z hodnotiacej štúdie vyplynulo, že nariadenie (ES) č. 45/2001 by sa mohlo lepšie presadzovať prostredníctvom sankcií zo strany EDPS. Väčšie využívanie jeho právomocí ako dozorného orgánu by mohlo viesť k lepšiemu vykonávaniu pravidiel ochrany osobných údajov. Ďalším záverom bolo, že prevádzkovatelia by mali prijať prístup založený na riadení rizík a vykonávať posúdenia rizík ešte pred spracovateľskými operáciami s cieľom lepšie plniť požiadavky na uchovávanie údajov a ich bezpečnosť.

Štúdia takisto ukázala, že súčasné predpisy v kapitole IV nariadenia (ES) č. 45/2001 o telekomunikačnom sektore sú zastarané a že je potrebné zosúladiť túto kapitolu so smernicou o súkromí a elektronických komunikáciách. Podľa hodnotiacej štúdie je tiež potrebné objasniť niektoré kľúčové definície nariadenia (ES) č. 45/2001. Tieto zahŕňajú identifikáciu prevádzkovateľov v inštitúciách, orgánoch, úradoch a agentúrach Únie, vymedzenie príjemcov a rozšírenie povinnosti zachovávania dôvernosti na externých sprostredkovateľov.

Hodnotiaca štúdia okrem toho poukázala na potrebu zjednodušenia systému notifikácií a predbežných kontrol v záujme zvýšenia účinnosti a zníženia administratívnej záťaže.

Posudzovateľ vykonal online prieskum v 64 inštitúciách, orgánoch, úradoch a agentúrach Únie. Na otázky prieskumu odpovedalo 422 zodpovedných úradníkov prevádzkovateľov, 73 zodpovedných osôb, 118 koordinátorov pre ochranu údajov a 109 respondentov z oblasti IT. Posudzovateľ okrem toho vykonal aj rad rozhovorov so zainteresovanými stranami. Dňa 26. marca 2015 posudzovateľ a Komisia zorganizovali záverečný workshop, na ktorom sa zúčastnili viacerí prevádzkovatelia, zodpovedné osoby, koordinátori pre ochranu údajov, respondenti z oblasti IT a predstavitelia EDPS.

•Získavanie a využívanie expertízy

Pozri odkaz na hodnotiacu štúdiu pod predchádzajúcim bodom.

•Posúdenie vplyvu

Vplyv tohto návrhu sa bude týkať najmä inštitúcií, orgánov, úradov a agentúr Únie. Potvrdzujú to informácie získané od EDPS, iných inštitúcií, orgánov, úradov a agentúr Únie, GR Komisie a externého dodávateľa. Okrem toho sa hodnotil aj vplyv nových povinností vyplývajúcich z nariadenia (EÚ) 2016/679, s ktorým sa má toto nariadenie zosúladiť, a to v súvislosti s prípravnými prácami pre toto nariadenie. Na základe toho sa osobitné posúdenie vplyvu pre toto nariadenie stáva zbytočným.

•Regulačná vhodnosť a zjednodušenie

Neuplatňuje sa.

•Základné práva

Právo na ochranu osobných údajov sa stanovuje v článku 8 Charty základných práv Európskej únie (ďalej len „charta“), v článku 16 ZFEÚ a v článku 8 Európskeho dohovoru o ochrane ľudských práv. Ako zdôraznil Súdny dvor Európskej únie 8 , právo na ochranu osobných údajov nie je absolútne právo, ale musí sa posudzovať vo vzťahu k jeho funkcii v spoločnosti 9 . Ochrana údajov takisto úzko súvisí s rešpektovaním súkromného a rodinného života, ktorý je chránený článkom 7 charty.

V tomto návrhu sa stanovujú pravidlá ochrany fyzických osôb so zreteľom na spracúvanie osobných údajov inštitúciami, orgánmi, úradmi a agentúrami Únie a voľný pohyb týchto údajov.

Ostatné základné práva zakotvené v Charte, ktoré by prípadne mohli byť ovplyvnené, sú: sloboda prejavu (článok 11), právo vlastniť majetok a najmä ochrana duševného vlastníctva (článok 17 ods. 2), zákaz akejkoľvek diskriminácie na základe rasy, etnického pôvodu, genetických vlastností, náboženstva alebo viery, politického alebo iného názoru, zdravotného postihnutia alebo sexuálnej orientácie (článok 21), práva dieťaťa (článok 24), právo na vysokú úroveň zdravotnej starostlivosti (článok 35), právo na prístup k dokumentom (článok 42) a právo na účinný prostriedok nápravy a na spravodlivý proces (článok 47).

4.VPLYV NA ROZPOČET

Pozri finančný výkaz v prílohe.

5.ĎALŠIE PRVKY

•Plány vykonávania, spôsob monitorovania, hodnotenia a podávania správ

Neuplatňuje sa.

•Vysvetľujúce dokumenty (v prípade smerníc)

Neuplatňuje sa.

KAPITOLA I – VŠEOBECNÉ USTANOVENIA

V článku 1 sa vymedzuje predmet nariadenia a rovnako ako v článku 1 nariadenia (ES) č. 45/2001 sa stanovujú dva ciele tohto nariadenia: chrániť základné právo na ochranu údajov a zaručiť voľný tok osobných údajov v celej Únii. Okrem toho sa tiež stanovujú hlavné úlohy európskeho dozorného úradníka pre ochranu údajov.

Článok 2 určuje rozsah pôsobnosti tohto nariadenia: uplatňuje sa na spracúvanie osobných údajov, automatizovanými alebo inými prostriedkami, všetkými inštitúciami a orgánmi Únie, pokiaľ sa takéto spracúvanie realizuje pri výkone činností, z ktorých všetky alebo časť spadajú pod pôsobnosť práva Únie. Vecná pôsobnosť tohto nariadenia je technologicky neutrálna. Ochrana osobných údajov sa vzťahuje na spracúvanie osobných údajov automatizovanými prostriedkami, ako aj na manuálne spracúvanie, ak sú osobné údaje uložené v informačnom systéme alebo v ňom majú byť uložené.

V článku 3 sa uvádzajú definície pojmov používaných v nariadení. S výnimkou definícií „inštitúcií a orgánov Únie“, „prevádzkovateľa“, „používateľa“ a „zoznamu“, ktoré sú špecifické pre toto nariadenie, sú pojmy použité v tomto nariadení vymedzené v nariadení (EÚ) 2016/679, nariadení (EÚ) 0000/00 [nové nariadenie o ochrane súkromia v elektronickej komunikácii], smernici 00/0000/EÚ [smernica, ktorou sa stanovuje európsky kódex elektronickej komunikácie] a v smernici Komisie 2008/63/ES.

KAPITOLA II – ZÁSADY

V článku 4 sa stanovujú zásady týkajúce sa spracúvania osobných údajov, ktoré sa zhodujú so zásadami v článku 5 nariadenia (EÚ) 2016/679. V porovnaní s nariadením (ES) č. 45/2001 sa navyše dopĺňajú nové zásady transparentnosti a integrity a dôvernosti.

Článok 5 je založený na článku 6 nariadenia (EÚ) 2016/679 a stanovuje kritériá pre zákonné spracúvanie, s jedinou výnimkou kritéria legitímneho záujmu prevádzkovateľa, ktoré sa nevzťahuje na verejný sektor, a preto by sa nemalo týkať inštitúcií a orgánov Únie. Článok 5 uvádza kritériá, ktoré už sú stanovené v článku 5 nariadenia (ES) č. 45/2001.

Článok 6 objasňuje podmienky pre spracúvanie na iný zlučiteľný účel v súlade s článkom 6 ods. 4 nariadenia (EÚ) 2016/679. V porovnaní s článkom 6 nariadenia (ES) č. 45/2001 toto nové ustanovenie umožňuje väčšiu flexibilitu a právnu istotu s ohľadom na ďalšie spracúvanie na zlučiteľné účely.

V článku 7 sa v súlade s článkom 7 nariadenia Rady (EÚ) 2016/679 objasňujú podmienky, za ktorých sa vyjadrenie súhlasu pokladá za právoplatný dôvod zákonného spracúvania údajov.

V článku 8 sa v súlade s článkom 8 nariadenia (EÚ) 2016/679 stanovujú ďalšie podmienky zákonnosti spracúvania osobných údajov detí v súvislosti so službami informačnej spoločnosti, ktoré sú im priamo ponúkané. Stanovuje sa v ňom 13 rokov ako minimálny vek dieťaťa pre platný súhlas.

V článku 9 sa uvádzajú, v súlade s článkom 8 nariadenia (ES) č. 45/2001, predpisy stanovujúce osobitnú úroveň ochrany pre prenos osobných údajov príjemcom iným ako inštitúcie a orgány Únie, ktorí majú sídlo v Únii a na ktorých sa vzťahuje nariadenie (EÚ) 2016/679 alebo smernica (EÚ) 2016/680. Uvádza sa v ňom, že ak prenos iniciuje prevádzkovateľ, mal by preukázať nutnosť a primeranosť tohto prenosu.

V článku 10 je uvedený všeobecný zákaz spracúvania osobitných kategórií osobných údajov a výnimky z tohto všeobecného pravidla, pričom sa vychádza z článku 9 nariadenia (EÚ) 2016/679 a ďalej sa rozvíja článok 10 nariadenia (ES) č. 45/2001.

V článku 11 sa v súlade s článkom 10 nariadenia (EÚ) 2016/679 a v súlade s článkom 10 ods. 5 nariadenia (ES) č. 45/2001 uvádzajú podmienky spracúvania osobných údajov týkajúcich sa rozsudkov v trestných veciach a trestných činov.

V článku 12 sa objasňujú povinnosti prevádzkovateľa informovať dotknutú osobu, v súlade s článkom 11 nariadenia (EÚ) 2016/679, pričom sa stanovuje, že ak osobné údaje spracúvané prevádzkovateľom nedovoľujú prevádzkovateľovi identifikovať fyzickú osobu, prevádzkovateľ by nemal byť povinný získať dodatočné informácie na identifikovanie dotknutej osoby výlučne na to, aby dosiahol súlad s niektorým ustanovením tohto nariadenia. Prevádzkovateľ by však nemal odmietnuť prijať dodatočné informácie, ktoré mu poskytne dotknutá osoba na podporu uplatnenia svojich práv.

V článku 13 sa stanovujú, na základe článku 89 ods. 1 nariadenia (EÚ) 2016/679, predpisy o zárukách týkajúcich sa spracúvania na archívne účely vo verejnom záujme, na účely vedeckého alebo historického výskumu alebo na štatistické účely.

KAPITOLA III – PRÁVA DOTKNUTEJ OSOBY

Oddiel 1 – Transparentnosť a postupy

V článku 14 sa na základe článku 12 nariadenia (EÚ) 2016/679 zavádza povinnosť prevádzkovateľov poskytovať transparentné, ľahko prístupné a zrozumiteľné informácie a postupy a mechanizmy na výkon práv dotknutej osoby, vrátane, vo vhodných prípadoch, prostriedkov na podávanie elektronických žiadostí, vyžaduje sa poskytnutie odpovede na žiadosť dotknutej osoby v stanovenej lehote a odôvodnenie zamietnutí. Keďže od inštitúcií a orgánov Únie sa za žiadnych okolností neočakáva účtovanie poplatkov súvisiacich s administratívnymi nákladmi na poskytovanie informácií, táto možnosť sa z nariadenia (EÚ) 2016/679 neprevzala.

Oddiel 2 – Informácie a prístup k osobným údajom

Vychádzajúc z článku 13 nariadenia (EÚ) 2016/679 a ďalej rozvíjajúc článok 11 nariadenia (ES) č. 45/2001 sa v článku 15 stanovujú povinnosti prevádzkovateľa informovať dotknutú osobu, ak sa osobné údaje získavajú od dotknutej osoby, teda povinnosť poskytnúť dotknutej osobe informácie týkajúce sa okrem iného obdobia uchovávania, práva podať sťažnosť a informácie vo vzťahu k medzinárodným prenosom.

Vychádzajúc z článku 14 nariadenia (EÚ) 2016/679 a ďalej rozvíjajúc článok 12 nariadenia (ES) č. 45/2001 sa v článku 16 podrobnejšie stanovujú povinnosti prevádzkovateľa informovať dotknutú osobu, ak sa osobné údaje nezískali od dotknutej osoby, pričom sa stanovuje povinnosť poskytnúť informácie týkajúce sa zdroja, z ktorého údaje pochádzajú. Tento článok okrem toho zachováva aj možné výnimky v nariadení (EÚ) 2016/679, napr. takáto povinnosť nebude existovať, ak dotknutá osoba už dané informácie má, keď sa poskytnutie takýchto informácií sa ukáže ako nemožné alebo by si vyžadovalo, aby prevádzkovateľ vyvinul neprimerané úsilie, ak osobné údaje musia zostať dôverné na základe povinnosti zachovávania profesijného tajomstva upravenej právom Únie alebo ak je zaznamenanie alebo poskytnutie výslovne stanovené zákonom. To by sa mohlo uplatňovať napríklad v konaní útvarov zodpovedných za otázky sociálneho zabezpečenia alebo zdravia.

V súlade s článkom 15 nariadenia (EÚ) 2016/679 a ďalej rozvíjajúc článok 13 nariadenia (ES) č. 45/2001 sa v článku 17 stanovuje právo dotknutej osoby na prístup k jej osobným údajom, pričom sa pridávajú nové prvky, ako je povinnosť informovať dotknuté osoby o období, počas ktorého sa osobné údaje budú uchovávať, o práve na opravu a výmaz údajov a o práve podať sťažnosť.

Oddiel 3 – Oprava a vymazanie

V článku 18 sa stanovuje právo dotknutej osoby na opravu, pričom sa vychádza z článku 16 nariadenia (EÚ) 2016/679 a ďalej sa rozvíja článok 14 nariadenia (ES) č. 45/2001.

V článku 19 sa stanovuje právo dotknutej osoby na zabudnutie a na vymazanie, pričom sa vychádza z článku 17 nariadenia (EÚ) 2016/679 a ďalej sa rozvíja článok 16 nariadenia (ES) č. 45/2001. Stanovujú sa tu podmienky pre uplatnenie práva byť zabudnutý vrátane povinnosti prevádzkovateľa, ktorý osobné údaje zverejnil, informovať tretie strany o požiadavke dotknutej osoby na odstránenie všetkých odkazov na tieto osobné údaje, ich kópií alebo replikácií.

V článku 20 sa stanovuje právo na dosiahnutie obmedzenia spracúvania údajov v určitých prípadoch, pričom sa vyhlo použitiu nejednoznačného pojmu „blokovanie“ používaného v nariadení (ES) č. 45/2001 a zabezpečila sa konzistentnosť s novou terminológiou podľa článku 18 nariadenia (EÚ) 2016/679.

V článku 21 sa, v súlade s článkom 19 nariadenia (EÚ) 2016/679 a ďalej rozvíjajúc článok 17 nariadenia (ES) č. 45/2001, stanovuje povinnosť prevádzkovateľa oznámiť príjemcom, ktorým boli osobné údaje poskytnuté, akúkoľvek opravu alebo vymazanie osobných údajov alebo ich obmedzenie, pokiaľ sa to neukáže ako nemožné alebo ak si to nevyžaduje neprimerané úsilie. Prevádzkovateľ o týchto príjemcoch informuje aj dotknutú osobu, ak to dotknutá osoba požaduje.

V článku 22 sa v súlade s článkom 20 nariadenia (EÚ) 2016/679 stanovuje právo dotknutej osoby na prenosnosť údajov, t. j. právo získať osobné údaje týkajúce sa danej osoby, ktoré táto osoba poskytla prevádzkovateľovi, alebo právo preniesť takéto osobné údaje priamo inému prevádzkovateľovi, pokiaľ je to technicky uskutočniteľné. Ako predpoklad uplatnenia tohto práva a s cieľom ďalej zlepšiť prístup fyzických osôb k ich osobným údajom sa tu stanovuje právo získať od prevádzkovateľa tieto údaje v štruktúrovanej forme a v bežne používanom a strojovo čitateľnom formáte. Toto právo sa uplatňuje len ak je spracúvanie založené na súhlase dotknutej osoby alebo na zmluve uzatvorenej touto osobou.

Oddiel 4 – Právo namietať a automatizované individuálne rozhodovanie

V článku 23 sa stanovuje právo dotknutej osoby namietať, pričom sa vychádza z článku 21 nariadenia (EÚ) 2016/679 a ďalej sa rozvíja článok 18 nariadenia (ES) č. 45/2001.

Článok 24 sa týka práva dotknutej osoby, aby sa na ňu nevzťahovalo opatrenie založené výlučne na automatizovanom spracúvaní vrátane profilovania, pričom sa vychádza z článku 22 nariadenia (EÚ) 2016/679 a ďalej sa rozvíja článok 19 nariadenia (ES) č. 45/2001.

Oddiel 5 – Obmedzenia

Článok 25 umožňuje obmedzenia práv dotknutej osoby stanovených v článkoch 14 až 22 a v článkoch 34 a 38 a obmedzenia zásad stanovených v článku 4 (v rozsahu, v akom jeho ustanovenia zodpovedajú právam a povinnostiam stanoveným v článkoch 14 až 22). Takéto obmedzenia by mali byť stanovené v právnych aktoch prijatých na základe zmlúv alebo interných predpisov inštitúcií a orgánov Únie. V prípade, že možnosť takéhoto obmedzenia nie je stanovená v právnych aktoch prijatých na základe zmlúv alebo interných predpisov inštitúcií a orgánov Únie, v interných predpisoch by sa mohlo zaviesť ad hoc obmedzenie, pokiaľ rešpektuje podstatu základných práv a slobôd vo vzťahu ku konkrétnej spracovateľskej operácii a je v demokratickej spoločnosti potrebným a primeraným opatrením na zaistenie jedného alebo viacerých cieľov umožňujúcich obmedzenie práv dotknutej osoby. Tento prístup je v súlade s článkom 23 nariadenia (EÚ) 2016/679. Na rozdiel od článku 23 nariadenia (EÚ) 2016/679 a v súlade s článkom 20 nariadenia (ES) č. 45/2001 sa však v tomto ustanovení nestanovuje možnosť obmedziť právo namietať a právo nebyť predmetom rozhodnutí založených výlučne na automatizovanom spracúvaní. Požiadavky na obmedzenia sú v súlade s Chartou základných práv a Európskym dohovorom o ochrane ľudských práv, ako ich vyložili Súdny dvor Európskej únie a Európsky súd pre ľudské práva.

KAPITOLA IV – PREVÁDZKOVATEĽ A SPROSTREDKOVATEĽ

Oddiel 1 – Všeobecné povinnosti

Článok 26 vychádza z článku 24 nariadenia (EÚ) 2016/679 a zavádza „zásadu zodpovednosti“, pričom opisuje povinnosť prevádzkovateľa niesť zodpovednosť za dodržiavanie tohto nariadenia a preukázanie jeho dodržiavania, a to aj prostredníctvom prijatia primeraných technických a organizačných opatrení a prípadne interných pravidiel a mechanizmov na zabezpečenie takéhoto dodržiavania. Článok 24 ods. 3 nariadenia (EÚ) 2016/679 sa v tomto ustanovení neuchoval, keďže inštitúcie a orgány Únie by sa nemali držať kódexov správania ani certifikačných mechanizmov.

V článku 27 sa v súlade s článkom 25 nariadenia (EÚ) 2016/679 stanovujú povinnosti prevádzkovateľa vyplývajúce zo zásad špecificky navrhnutej a štandardne určenej ochrany údajov.

Článok 28 o spoločných prevádzkovateľoch vychádza z článku 26 nariadenia (EÚ) 2016/679 a objasňuje zodpovednosť spoločných prevádzkovateľov – či už inštitúcií alebo orgánov Únie, alebo iných – pokiaľ ide o ich vzájomný vzťah a vzťah k dotknutej osobe. Toto ustanovenie sa uplatňuje v situácii, keď sa na všetkých spoločných prevádzkovateľov vzťahuje ten istý právny režim (toto nariadenie) a v situácii, keď sa na niektorých vzťahuje toto nariadenie a na niektorých iný právny nástroj [nariadenie (EÚ) 2016/679, smernica (EÚ) 2016/680, smernica (EÚ) 2016/681 a iné osobitné režimy ochrany údajov týkajúce sa inštitúcií alebo orgánov Únie].

Vychádzajúc z článku 28 nariadenia (EÚ) 2016/679 a ďalej rozvíjajúc článok 23 nariadenia (ES) č. 45/2001 sa v článku 29 vymedzuje postavenie a povinnosti sprostredkovateľa vrátane stanovenia, že sprostredkovateľ, ktorý poruší nariadenie určením účelov a prostriedkov spracúvania, sa bude vo vzťahu k danému spracúvaniu považovať za prevádzkovateľa.

Článok 30 o spracúvaní na základe poverenia prevádzkovateľa a sprostredkovateľa sa opiera o článok 29 nariadenia (EÚ) 2016/679, pričom stanovuje zákaz pre sprostredkovateľa alebo akúkoľvek osobu konajúcu na základe poverenia prevádzkovateľa alebo sprostredkovateľa, ktorá má prístup k osobným údajom, spracovať tieto údaje inak než podľa pokynov prevádzkovateľa, pokiaľ to od nej nevyžadujú právne predpisy Únie alebo členského štátu.

Článok 31 vychádza z článku 30 nariadenia (EÚ) 2016/679 a zavádza pre prevádzkovateľov a sprostredkovateľov povinnosť uchovávať dokumentáciu o spracovateľských operáciách v rámci okruhu ich zodpovednosti, pričom táto povinnosť nahrádza povinnosť predchádzajúceho oznámenia európskemu dozornému úradníkovi pre ochranu údajov, ako sa vyžaduje podľa článku 25 nariadenia (ES) č. 45/2001, a registru zodpovedných osôb. Na rozdiel od nariadenia (EÚ) 2016/679 sa v tomto ustanovení nehovorí o zástupcoch, keďže inštitúcie Únie nebudú mať zástupcov a vždy budú mať zodpovedné osoby. Nezachovali sa odkazy na prenosy na základe výnimiek pre osobitné situácie podľa nariadenia (EÚ) 2016/679, keďže tieto typy prenosov sa v súčasnom nariadení nepredpokladajú. Povinnosť viesť záznamy o spracovateľských činnostiach môže byť centralizovaná na úrovni inštitúcie alebo orgánu Únie. V takom prípade majú inštitúcie a orgány Únie možnosť viesť svoje záznamy o spracovateľských činnostiach vo forme verejne prístupného registra.

V článku 32 sa na základe článku 31 nariadenia (EÚ) 2016/679 vymedzujú povinnosti inštitúcií a orgánov Únie týkajúce sa spolupráce s európskym dozorným úradníkom pre ochranu údajov.

Oddiel 2 – Bezpečnosť osobných údajov a dôvernosť elektronických komunikácií

V článku 33 sa, vychádzajúc z článku 32 nariadenia (EÚ) 2016/679 a ďalej rozvíjajúc článok 22 nariadenia (ES) č. 45/2001, ukladá prevádzkovateľovi povinnosť prijať primerané opatrenia na zaistenie bezpečnosti spracúvania údajov, pričom sa táto povinnosť rozširuje aj na sprostredkovateľov, bez ohľadu na zmluvu s prevádzkovateľom.

Článok 34 vychádza z článku 36 nariadenia (ES) č. 45/2001 a zabezpečuje dôvernosť elektronických komunikácií v rámci inštitúcií a orgánov Únie.

Článok 35 vychádza z existujúcich postupov inštitúcií a orgánov Únie a chráni informácie týkajúce sa koncových zariadení koncových používateľov, ktoré majú prístup k verejne dostupným webovým sídlam a mobilným aplikáciám, ktoré ponúkajú inštitúcie a orgány Únie, v súlade s nariadením (EÚ) XXXX/XX [nové nariadenie o ochrane súkromia v elektronickej komunikácii], najmä s jeho článkom 8.

Článok 36 je založený na článku 38 nariadenia (ES) č. 45/2001 a chráni osobné údaje uchovávané vo verejných a súkromných zoznamoch inštitúcií a orgánov Únie.

Články 37 a 38 zavádzajú povinnosť oznamovať porušenia ochrany osobných údajov, v súlade s článkami 33 a 34 nariadenia (EÚ) 2016/679.

Oddiel 3 – Posúdenie vplyvu na ochranu údajov a predchádzajúca konzultácia

Vychádzajúc z článku 35 nariadenia (EÚ) 2016/679 článok 39 zavádza povinnosť prevádzkovateľov a sprostredkovateľov vykonať posúdenie vplyvu na ochranu údajov ešte pred spracovateľskými operáciami, ktoré by mohli viesť k vysokému riziku pre práva a slobody fyzických osôb. Táto povinnosť sa bude uplatňovať najmä v prípade systematického a rozsiahleho hodnotenia osobných aspektov týkajúcich sa fyzických osôb, ktoré je založené na automatizovanom spracúvaní vrátane profilovania, spracúvania osobitných kategórií údajov vo veľkom rozsahu alebo systematického monitorovania verejne prístupných priestorov vo veľkom rozsahu.

Článok 40 vychádza z článku 36 nariadenia (EÚ) 2016/679 a týka sa prípadov, v ktorých je pred spracúvaním povinné povolenie zo strany európskeho dozorného úradníka pre ochranu údajov a konzultácia s ním. Prvý odsek článku 40 však reprodukuje odôvodnenie 94 nariadenia (EÚ) 2016/679 a je zameraný na objasnenie rozsahu povinnosti konzultovať.

Oddiel 4 – Informácie a legislatívne konzultácie

V článku 41 sa stanovuje povinnosť pre inštitúcie a orgány Únie informovať európskeho dozorného úradníka pre ochranu údajov pri vypracúvaní administratívnych opatrení a interných predpisov týkajúcich sa spracúvania osobných údajov.

V článku 42 sa stanovuje povinnosť Komisie konzultovať s európskym dozorným úradníkom pre ochranu údajov v nadväznosti na prijatie návrhov legislatívneho aktu a odporúčaní alebo návrhov Rade podľa článku 218 ZFEÚ a pri príprave delegovaných aktov alebo vykonávacích aktov, ktoré majú dosah na ochranu práv a slobôd fyzických osôb so zreteľom na spracúvanie osobných údajov. Ak tieto akty majú osobitný význam pre ochranu práv a slobôd fyzických osôb so zreteľom na spracúvanie osobných údajov, Komisia môže uskutočniť konzultácie aj s Európskym výborom pre ochranu údajov. V takýchto prípadoch by oba subjekty mali koordinovať svoje činnosti s cieľom vydať spoločné stanovisko. Na vydanie odporúčania v uvedených prípadoch sa stanovuje lehota ôsmich týždňov, pričom v naliehavých prípadoch, alebo ak je to vhodné z iného dôvodu, sú možné výnimky, napríklad keď Komisia pripravuje delegované a vykonávacie akty.

Oddiel 5 – Povinnosť reagovať na obvinenia

Článok 43 stanovuje povinnosť prevádzkovateľa a sprostredkovateľa reagovať na obvinenia, v prípade, že sa európsky dozorný úradník pre ochranu údajov rozhodne postúpiť im danú vec.

Oddiel 6 – Zodpovedná osoba

Článok 44 vychádza z článku 37 ods. 1 písm. a) nariadenia (EÚ) 2016/679 a článku 24 nariadenia (ES) č. 45/2001 a stanovuje pre inštitúcie a orgány Únie povinnosť mať zodpovednú osobu.

Článok 45 vychádza z článku 38 nariadenia (EÚ) 2016/679 a článku 24 nariadenia (ES) č. 45/2001 a stanovuje postavenie zodpovedných osôb.

Článok 46 vychádza z článku 39 nariadenia (EÚ) 2016/679 a z článku 24 a druhého a tretieho odseku prílohy k nariadeniu (ES) č. 45/2001 a stanovuje hlavné úlohy zodpovedných osôb.

KAPITOLA V – PRENOSY OSOBNÝCH ÚDAJOV DO TRETÍCH KRAJÍN ALEBO MEDZINÁRODNÝM ORGANIZÁCIÁM

Článok 47 ďalej stavia na článku 9 nariadenia (ES) č. 45/2001 a stanovuje všeobecnú zásadu v súlade s článkom 44 nariadenia (EÚ) 2016/679, že pri každom prenose osobných údajov do tretích krajín alebo medzinárodným organizáciám, ako aj pri následných prenosoch osobných údajov z tretej krajiny alebo medzinárodnej organizácie do ďalšej tretej krajiny alebo ďalšej medzinárodnej organizácii je povinné dodržiavať ostatné ustanovenia tohto nariadenia a podmienky stanovené v kapitole V.

V článku 48 sa stanovuje, že prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii sa môže uskutočniť, ak Komisia podľa článku 45 ods. 3 nariadenia (EÚ) 2016/679 rozhodla, že v danej tretej krajine, na území danej tretej krajiny alebo v jednom či viacerých určených sektoroch v danej tretej krajine, alebo v rámci príslušnej medzinárodnej organizácie je zabezpečená primeraná úroveň ochrany a osobné údaje sa prenášajú výlučne na umožnenie realizácie úloh patriacich do právomoci prevádzkovateľa. Odseky 2 a 3 tohto článku boli prevzaté z článku 9 nariadenia (ES) č. 45/2001, keďže sú užitočné pre monitorovanie úrovne ochrany v tretích krajinách a medzinárodných organizáciách.

Článok 49 vychádza z článku 46 nariadenia (EÚ) 2016/679 a pre prenosy do tretích krajín, pre ktoré Komisia neprijala žiadne rozhodnutie o primeranosti, požaduje zavedenie primeraných záruk, najmä štandardných doložiek o ochrane údajov a zmluvných doložiek. Sprostredkovatelia iní ako inštitúcie a orgány Únie by v súlade s nariadením (EÚ) 2016/679 mohli používať záväzné vnútropodnikové pravidlá, kódexy správania a certifikačné mechanizmy. Štvrtý odsek tohto článku o povinnosti inštitúcií a orgánov Únie oznamovať európskemu dozornému úradníkovi pre ochranu údajov kategórie prípadov, v ktorých sa uplatnil tento článok, zodpovedá článku 9 ods. 8 nariadenia (ES) č. 45/2001 a vzhľadom na svoju osobitosť sa zachoval. Piaty odsek zachováva právne účinky súčasných povolení stanovených v článku 46 ods. 5 nariadenia (EÚ) 2016/679.

V článku 50 sa v súlade s článkom 48 nariadenia (EÚ) 2016/679 objasňuje, že rozsudky súdov alebo rozhodnutia správnych orgánov tretích krajín, v ktorých sa vyžaduje prenos alebo poskytnutie osobných údajov môžu byť uznané alebo vykonateľné akýmkoľvek spôsobom len vtedy, ak sa zakladajú na medzinárodnej dohode, ako napríklad zmluve o vzájomnej právnej pomoci, platnej medzi žiadajúcou treťou krajinou a Úniou bez toho, aby boli dotknuté iné dôvody prenosu podľa tejto kapitoly.

Článok 51 vychádza z článku 49 nariadenia (EÚ) 2016/679 a vymedzuje a objasňuje výnimky pre prenos dát. To sa týka najmä prenosov údajov, ktoré sa požadujú a sú potrebné na ochranu dôležitých dôvodov verejného záujmu, napríklad v prípadoch medzinárodnej výmeny údajov s účasťou orgánov hospodárskej súťaže, daňových alebo colných správ, alebo medzi útvarmi zodpovednými za otázky sociálneho zabezpečenia alebo riadenie rybolovu. Piaty odsek týkajúci sa povinnosti informovať európskeho dozorného úradníka pre ochranu údajov o kategóriách prípadov, v ktorých sa na prenos využili výnimky, zodpovedá súčasnému článku 9 ods. 8 nariadenia (ES) č. 45/2001.

Článok 52 je založený na článku 50 nariadenia (EÚ) 2016/679 a explicitne stanovuje medzinárodné mechanizmy spolupráce na ochranu osobných údajov medzi európskym dozorným úradníkom pre ochranu údajov, v spolupráci s Komisiou a s Európskym výborom pre ochranu údajov, a dozornými orgánmi tretích krajín.

KAPITOLA VI – EURÓPSKY DOZORNÝ ÚRADNÍK PRE OCHRANU ÚDAJOV

Článok 53 vychádza z článku 41 nariadenia (ES) č. 45/2001 a týka sa zriadenia európskeho dozorného úradníka pre ochranu údajov.

Článok 54 vychádza z článku 42 nariadenia (ES) č. 45/2001 a z článku 3 rozhodnutia 1247/2002/ES a stanovuje pravidlá pre menovanie európskeho dozorného úradníka pre ochranu údajov Európskym parlamentom a Radou. Takisto určuje jeho funkčné obdobie: päť rokov.

Článok 55 vychádza z článku 43 nariadenia (ES) č. 45/2001 a z článku 1 rozhodnutia 1247/2002/ES a stanovuje právne predpisy a všeobecné podmienky upravujúce vykonávanie povinností európskeho dozorného úradníka pre ochranu údajov a jeho zamestnancov a finančné zdroje.

Článok 56 vychádza z článku 52 nariadenia (EÚ) 2016/679 a článku 44 nariadenia (ES) č. 45/2001 a vymedzuje podmienky pre nezávislosť európskeho dozorného úradníka pre ochranu údajov, pričom zohľadňuje judikatúru Súdneho dvora Európskej únie.

Článok 57 na základe článku 45 nariadenia (ES) č. 45/2001 stanovuje povinnosti európskeho dozorného úradníka pre ochranu údajov zachovávať tajomstvo počas trvania funkčného obdobia a po jeho skončení s ohľadom na dôverné informácie, s ktorými sa oboznámil počas výkonu svojich služobných povinností.

Článok 58 vychádza z článku 57 nariadenia (EÚ) 2016/679 a z článku 46 nariadenia (ES) č. 45/2001 a stanovuje úlohy európskeho dozorného úradníka pre ochranu údajov vrátane vypočúvania a vyšetrovania sťažností a podpory informovanosti verejnosti o rizikách, predpisoch, zárukách a právach.

Článok 59 je založený na článku 58 nariadenia (EÚ) 2016/679 a článku 47 nariadenia (ES) č. 45/2001 a stanovuje právomoci európskeho dozorného úradníka pre ochranu údajov.

Článok 60 vychádza z článku 59 nariadenia (EÚ) 2016/679 a z článku 48 nariadenia (ES) č. 45/2001 a stanovuje povinnosť európskeho dozorného úradníka pre ochranu údajov vypracovávať výročnú správu o činnosti.

KAPITOLA VII – SPOLUPRÁCA A KONZISTENTNOSŤ

Článok 61 vychádza z článku 61 nariadenia (EÚ) 2016/679 a z článku 46 písm. f) nariadenia (ES) č. 45/2001 a zavádza explicitné pravidlá spolupráce európskeho dozorného úradníka pre ochranu údajov s národnými dozornými orgánmi.

Článok 62 stanovuje povinnosti európskeho dozorného úradníka pre ochranu údajov, ak iné akty Únie odkazujú na tento článok v rámci koordinovaného dozoru s národnými dozornými orgánmi. Jeho cieľom je zaviesť jednotný model koordinovaného dozoru. Tento model by sa mohol využiť na koordinovaný dozor nad veľkými IT systémami, ako je napríklad Eurodac, Schengenský informačný systém II, vízový informačný systém, colný informačný systém alebo informačný systém o vnútornom trhu, ale aj na dozor nad niektorými agentúrami Únie, v prípade ktorých je zavedený osobitný model spolupráce medzi európskym dozorným úradníkom pre ochranu údajov a národnými orgánmi, ako napríklad Europol. Jediným fórom na celoplošné zabezpečenie účinného koordinovaného dozoru by mal byť Európsky výbor pre ochranu údajov.

KAPITOLA VIII – PROSTRIEDKY NÁPRAVY, ZODPOVEDNOSŤ A SANKCIE

Článok 63 je založený na článku 77 nariadenia (EÚ) 2016/679 a článku 32 nariadenia (ES) č. 45/2001 a stanovuje sa ním právo každej dotknutej osoby podať sťažnosť európskemu dozornému úradníkovi pre ochranu údajov. Stanovuje takisto povinnosť európskeho dozorného úradníka pre ochranu údajov riešiť sťažnosť a informovať dotknutú osobu o priebehu a výsledku sťažnosti v lehote troch mesiacov, po uplynutí ktorých sa sťažnosť považuje za zamietnutú.

Článkom 64 sa zachováva článok 32 ods. 1 nariadenia (ES) č. 45/2001, ktorým sa stanovuje právomoc Súdneho dvora Európskej únie pojednávať o všetkých sporoch, ktoré sa týkajú ustanovení tohto nariadenia, vrátane žalôb o náhradu škody.

Článok 65 stanovuje právo na náhradu majetkovej aj nemajetkovej ujmy za podmienok, vrátane podmienok týkajúcich sa zodpovednosti, ktoré sú stanovené v zmluvách.

Článok 66 vychádza z článku 83 nariadenia (EÚ) 2016/679 a dáva európskemu dozornému úradníkovi pre ochranu údajov právomoc ukladať správne pokuty inštitúciám a orgánom Únie ako sankcie v krajnom prípade a len ak inštitúcie alebo orgány Únie nesplnili príkaz európskeho dozorného úradníka pre ochranu údajov uvedený v článku 59 ods. 2 písm. a) až h) a j). Tento článok takisto stanovuje kritériá pre rozhodovanie o výške správnej pokuty v každom jednotlivom prípade, pričom maximálne ročné stropy vychádzajú z výšky pokút platných v niektorých členských štátoch.

Článok 67 v súlade s článkom 80 ods. 1 nariadenia (EÚ) 2016/679 umožňuje určitým orgánom, organizáciám alebo združeniam podať sťažnosť v mene dotknutej osoby.

Článok 68 v súlade s článkom 33 nariadenia (ES) č. 45/2001 stanovuje osobitné pravidlá zamerané na ochranu zamestnancov Únie, ktorí podajú sťažnosť európskemu dozornému úradníkovi pre ochranu údajov v súvislosti s údajným porušením ustanovení tohto nariadenia bez toho, aby postupovali úradnou cestou.

Článok 69 vychádza z článku 49 nariadenia (ES) č. 45/2001 a stanovuje sankcie uplatniteľné pri nedodržaní povinností podľa tohto nariadenia zo strany úradníkov alebo iných zamestnancov Európskej únie.

KAPITOLA IX – VYKONÁVACIE AKTY

Článok 70 obsahuje ustanovenie týkajúce sa postupu výboru, ktorý je nutný na to, aby bolo možné Komisii zveriť vykonávacie právomoci v prípadoch, keď sú v súlade s článkom 291 ZFEÚ potrebné jednotné podmienky na vykonávanie právne záväzných aktov Únie. Uplatňuje sa postup preskúmania.

KAPITOLA X – ZÁVEREČNÉ USTANOVENIA

Článkom 71 sa zrušuje nariadenie (ES) č. 45/2001 a rozhodnutie č. 1247/2002/ES a stanovuje sa, že odkazy na tieto dva zrušené akty sa majú vykladať ako odkazy na predkladané nariadenie.

V článku 72 sa vymedzuje, že súčasné funkčné obdobia európskeho dozorného úradníka pre ochranu údajov a zástupcu dozorného úradníka nebudú týmto nariadením dotknuté a že články 54 ods. 4, 5 a 7 a články 56 a 57 nariadenia sa uplatňujú na súčasného zástupcu dozorného úradníka až do skončenia jeho funkčného obdobia, t. j. do 5. decembra 2019.

V článku 73 sa stanovuje 25. máj 2018 ako deň nadobudnutia účinnosti tohto nariadenia s cieľom zabezpečiť konzistentnosť s dátumom nadobudnutia účinnosti nariadenia (EÚ) 2016/679.

2017/0002 (COD)

Návrh

NARIADENIE EURÓPSKEHO PARLAMENTU A RADY

o ochrane fyzických osôb pri spracúvaní osobných údajov inštitúciami, orgánmi, úradmi a agentúrami Únie a o voľnom pohybe takýchto údajov, ktorým sa zrušuje nariadenie (ES) č. 45/2001 a rozhodnutie č. 1247/2002/ES

EURÓPSKY PARLAMENT A RADA EURÓPSKEJ ÚNIE,

so zreteľom na Zmluvu o fungovaní Európskej únie, a najmä na jej článok 16 ods. 2,

so zreteľom na návrh Európskej komisie,

po postúpení návrhu legislatívneho aktu národným parlamentom,

so zreteľom na stanovisko Európskeho hospodárskeho a sociálneho výboru 10 ,

konajúc v súlade s riadnym legislatívnym postupom,

keďže:

(1)Ochrana fyzických osôb v súvislosti so spracúvaním osobných údajov patrí medzi základné práva. V článku 8 ods. 1 Charty základných práv Európskej únie (ďalej len „charta“) a v článku 16 ods. 1 Zmluvy o fungovaní Európskej únie (ZFEÚ) sa stanovuje, že každý má právo na ochranu osobných údajov, ktoré sa ho týkajú.

(2)Nariadenie Európskeho parlamentu a Rady (ES) č. 45/2001 11 poskytuje fyzickým osobám práva, ktoré sú vymožiteľné právnymi prostriedkami, určuje povinnosti prevádzkovateľov v inštitúciách a orgánoch Spoločenstva súvisiace so spracúvaním údajov a vytvára nezávislý dozorný orgán, európskeho dozorného úradníka pre ochranu údajov, ktorý je zodpovedný za monitorovanie spracovávania osobných údajov inštitúciami a orgánmi Únie. Nevzťahuje sa však na spracúvanie osobných údajov v priebehu činnosti inštitúcií a orgánov Únie, ktoré nespadajú do rozsahu pôsobnosti práva Únie.

(3)Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 12 a smernica Európskeho parlamentu a Rady (EÚ) 2016/680 13 boli prijaté 27. apríla 2016. Zatiaľ čo v uvedenom nariadení sa stanovujú všeobecné pravidlá na ochranu fyzických osôb v súvislosti so spracúvaním osobných údajov a na zabezpečenie voľného pohybu osobných údajov v rámci Únie, v smernici sa stanovujú osobitné pravidlá na ochranu fyzických osôb v súvislosti so spracúvaním osobných údajov a na zabezpečenie voľného pohybu osobných údajov v rámci Únie v oblastiach justičnej spolupráce v trestných veciach a policajnej spolupráce.

(4)V nariadení (EÚ) 2016/679 sa zdôrazňuje potreba nevyhnutných úprav nariadenia (ES) č. 45/2001 s cieľom stanoviť silný a súdržný rámec ochrany údajov v Únii a umožniť uplatňovanie súčasne s nariadením (EÚ) 2016/679.

(5)Je v záujme koherentného prístupu k ochrane osobných údajov v celej Únii a voľného pohybu osobných údajov v rámci Únie, aby sa v čo možno najväčšej miere zosúladili pravidlá ochrany údajov pre inštitúcie a orgány Únie s pravidlami ochrany údajov prijatými pre verejný sektor v členských štátoch. Ak sú ustanovenia tohto nariadenia založené na rovnakej koncepcii ako ustanovenia nariadenia (EÚ) 2016/679, mali by sa tieto dve ustanovenia vykladať rovnako, najmä preto, že schéma tohto nariadenia by sa mala chápať ako ekvivalent schémy nariadenia (EÚ) 2016/679.

(6)Osoby, ktorých osobné údaje spracúvajú inštitúcie alebo orgány Únie v akejkoľvek súvislosti, napríklad preto, že sú zamestnané v týchto inštitúciách a orgánoch, by mali byť chránené. Toto nariadenie by sa nemalo uplatňovať na spracúvanie osobných údajov zosnulých osôb. Toto nariadenie sa nevzťahuje na spracúvanie osobných údajov, ktoré sa týkajú právnických osôb, a najmä podnikov založených ako právnické osoby vrátane názvu, formy a kontaktných údajov právnickej osoby.

(7)S cieľom zabrániť vzniku závažného rizika obchádzania právnych predpisov by mala byť ochrana fyzických osôb technologicky neutrálna a nemala by závisieť od použitých technologických riešení. Ochrana fyzických osôb by sa mala vzťahovať na spracúvanie osobných údajov automatizovanými prostriedkami, ako aj na manuálne spracúvanie, ak sú osobné údaje uložené v informačnom systéme alebo v ňom majú byť uložené. Súbory alebo zbierky súborov, ani ich titulné strany, ktoré nie sú štruktúrované podľa špecifických kritérií, by nemali patriť do rozsahu pôsobnosti tohto nariadenia.

(8)Vo vyhlásení č. 21 o ochrane osobných údajov v oblastiach justičnej spolupráce v trestných veciach a policajnej spolupráce, pripojenom k záverečnému aktu medzivládnej konferencie, na ktorej bola prijatá Lisabonská zmluva, konferencia uznala, že vzhľadom na osobitný charakter uvedených oblastí sa možno ukáže ako nutné prijať osobitné pravidlá ochrany osobných údajov a voľného pohybu osobných údajov v oblastiach justičnej spolupráce v trestných veciach a policajnej spolupráce na základe článku 16 ZFEÚ. Toto nariadenie by preto malo platiť pre agentúry Únie vykonávajúce činnosť v oblastiach justičnej spolupráce v trestných veciach a policajnej spolupráce len pokiaľ právo Únie platné pre tieto agentúry neobsahuje osobitné pravidlá týkajúce sa spracúvania osobných údajov.

(9)V smernici (EÚ) 2016/680 sa stanovujú harmonizované pravidlá ochrany a voľného pohybu osobných údajov spracúvaných na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania, alebo výkonu trestných sankcií vrátane ochrany pred ohrozením verejnej bezpečnosti a jeho predchádzania. S cieľom zaručiť rovnakú úroveň ochrany fyzických osôb v celej Únii prostredníctvom práv, ktoré sú vymožiteľné právnymi prostriedkami, a zabrániť rozdielom, ktoré sú prekážkou výmeny osobných údajov medzi agentúrami Únie vykonávajúcimi činnosti v oblasti súdnej spolupráce v trestných veciach a policajnej spolupráce a príslušnými orgánmi v členských štátoch, by pravidlá ochrany a voľného pohybu operačných osobných údajov spracúvaných týmito agentúrami Únie mali vychádzať zo zásad tohto nariadenia a mali by byť v súlade so smernicou (EÚ) 2016/680.

(10)Ak zakladajúci akt agentúry Únie vykonávajúcej činnosti, ktoré spadajú do rozsahu pôsobnosti hlavy V kapitol 4 a 5 zmluvy, stanovuje samostatný režim ochrany údajov pre spracúvanie operačných osobných údajov, takýto režim by nemal byť ovplyvnený týmto nariadením. Komisia by však mala v súlade s článkom 62 smernice (EÚ) 2016/680 do 6. mája 2019 preskúmať akty Únie, ktoré upravujú spracúvanie príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií vrátane ochrany pred ohrozením verejnej bezpečnosti a predchádzania takémuto ohrozeniu, a ak je to potrebné, mala by predložiť potrebné návrhy na zmenu týchto aktov s cieľom zabezpečiť konzistentný prístup k ochrane osobných údajov v oblasti justičnej spolupráce v trestných veciach a policajnej spolupráce.

(11)Zásady ochrany údajov by sa mali vzťahovať na všetky informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby. Osobné údaje, ktoré boli pseudonymizované a ktoré by sa mohli použitím dodatočných informácií priradiť fyzickej osobe, by sa mali považovať za informácie o identifikovateľnej fyzickej osobe. Na určenie toho, či je fyzická osoba identifikovateľná, by sa mali vziať do úvahy všetky prostriedky, napríklad osobitný výber, pri ktorých existuje primeraná pravdepodobnosť, že ich prevádzkovateľ alebo iná osoba využije na priamu alebo nepriamu identifikáciu fyzickej osoby. Na zistenie toho, či je primerane pravdepodobné, že sa prostriedky použijú na identifikáciu fyzickej osoby, by sa mali zohľadniť všetky objektívne faktory, ako sú náklady a čas potrebný na identifikáciu so zreteľom na technológiu dostupnú v čase spracúvania, ako aj na technologický vývoj. Zásady ochrany údajov by sa preto nemali uplatňovať na anonymné informácie, konkrétne na informácie, ktoré sa nevzťahujú na identifikovanú alebo identifikovateľnú fyzickú osobu, ani na osobné údaje, ktoré sa stali anonymnými takým spôsobom, že dotknutá osoba nie je alebo už nie je identifikovateľná. Toto nariadenie sa preto netýka spracúvania takýchto anonymných informácií vrátane spracúvania na štatistické účely alebo účely výskumu.

(12)Použitie pseudonymizácie osobných údajov môže znížiť riziká pre príslušné dotknuté osoby a pomôcť prevádzkovateľom a sprostredkovateľom pri plnení ich povinností v oblasti ochrany údajov. Výslovným zavedením „pseudonymizácie“ v tomto nariadení sa nemajú vylúčiť akékoľvek iné opatrenia na ochranu údajov.

(13)Fyzickým osobám môžu byť pridelené online identifikátory, ktoré poskytujú ich prístroje, aplikácie, nástroje a protokoly, ako napríklad IP adresa, súbory cookie, alebo iné identifikátory, ako napríklad štítky na rádiofrekvenčnú identifikáciu. Tie môžu zanechávať stopy, ktoré sa najmä v kombinácii s jedinečnými identifikátormi a inými informáciami získanými zo serverov môžu použiť na vytvorenie profilov fyzických osôb a na ich identifikáciu.

(14)Súhlas by sa mal poskytnúť jasným prejavom vôle, ktorý je slobodným, konkrétnym, informovaným a jednoznačným vyjadrením súhlasu dotknutej osoby so spracúvaním osobných údajov, ktoré sa jej týkajú, a to napríklad písomným vyhlásením vrátane vyhlásenia prostredníctvom elektronických prostriedkov alebo ústnym vyhlásením. Mohlo by to zahŕňať označenie políčka pri návšteve internetového webového sídla, zvolenie technických nastavení služieb informačnej spoločnosti alebo akékoľvek iné vyhlásenie či úkon, ktorý v tomto kontexte jasne znamená, že dotknutá osoba súhlasí s navrhovaným spracúvaním svojich osobných údajov. Mlčanie, vopred označené políčka alebo nečinnosť by sa preto nemali pokladať za súhlas. Súhlas by sa mal vzťahovať na všetky spracovateľské činnosti vykonávané na ten istý účel alebo účely. Ak sa spracúvanie vykonáva na viaceré účely, súhlas by sa mal udeliť na všetky tieto účely. Ak má dotknutá osoba poskytnúť súhlas na základe požiadavky elektronickými prostriedkami, požiadavka musí byť jasná a stručná a nemala by pôsobiť zbytočne rušivo na používanie služby, pre ktorú sa poskytuje.

(15)Každé spracúvanie osobných údajov by malo byť zákonné a spravodlivé. Pre fyzické osoby by malo byť transparentné, že sa získavajú, používajú, konzultujú alebo inak spracúvajú osobné údaje, ktoré sa ich týkajú, ako aj to, v akom rozsahu sa tieto osobné údaje spracúvajú alebo budú spracúvať. Zásada transparentnosti si vyžaduje, aby všetky informácie a komunikácia súvisiace so spracúvaním týchto osobných údajov boli ľahko prístupné a ľahko pochopiteľné a formulované jasne a jednoducho. Uvedená zásada sa týka najmä informácií pre dotknuté osoby o identite prevádzkovateľa a účeloch spracúvania, a ďalších informácií na zabezpečenie spravodlivého a transparentného spracúvania, pokiaľ ide o dotknuté fyzické osoby a ich právo získať potvrdenie a oznámenie spracúvaných osobných údajov, ktoré sa ich týkajú. Fyzické osoby by mali byť upozornené na riziká, pravidlá, záruky a práva pri spracúvaní osobných údajov, ako aj na to, ako môžu uplatňovať svoje práva pri takomto spracúvaní. Najmä konkrétne účely, na ktoré sa osobné údaje spracúvajú, by mali byť výslovne uvedené a legitímne a stanovené v čase získavania osobných údajov. Osobné údaje by mali byť primerané, relevantné a obmedzené na rozsah, ktorý je potrebný vzhľadom na účely, na ktoré sa spracúvajú. To si vyžaduje najmä zabezpečenie toho, aby obdobie, počas ktorého sa tieto osobné údaje uchovávajú, bolo obmedzené na nevyhnutné minimum. Osobné údaje by sa mali spracúvať len vtedy, ak účel spracúvania nebolo možné za primeraných podmienok dosiahnuť inými prostriedkami. S cieľom zabezpečiť, aby sa osobné údaje neuchovávali dlhšie, než je to potrebné, by mal prevádzkovateľ stanoviť lehoty na vymazanie alebo pravidelné preskúmanie. Mali by sa prijať všetky primerané opatrenia, aby sa zabezpečila oprava alebo vymazanie nesprávnych údajov. Osobné údaje by sa mali spracúvať tak, aby sa zabezpečila primeraná bezpečnosť a dôvernosť osobných údajov vrátane predchádzania neoprávnenému prístupu k osobným údajom a zariadeniu používanému na spracúvanie, alebo neoprávnenému využitiu týchto údajov a zariadení.

(16)Ak inštitúcie a orgány Únie uskutočnia prenos osobných údajov v rámci inštitúcie a orgánu Únie alebo do iných inštitúcií alebo orgánov Únie, mali by v súlade so zásadou zodpovednosti preveriť, či sú tieto osobné údaje potrebné na legitímne plnenie úloh patriacich do právomoci príjemcu, ak príjemca nie je súčasťou prevádzkovateľa. V nadväznosti na žiadosť príjemcu o prenos osobných údajov by mal prevádzkovateľ preveriť najmä existenciu relevantných dôvodov na zákonné spracúvanie osobných údajov, právomoci príjemcu a mal by vykonať predbežné posúdenie nutnosti prenosu údajov. Ak vzniknú pochybnosti, pokiaľ ide o túto nutnosť, prevádzkovateľ by mal požiadať príjemcu o ďalšie informácie. Príjemca by mal zabezpečiť, aby bolo možné nutnosť prenosu údajov následne overiť.

(17)Aby bolo spracúvanie zákonné, osobné údaje by sa mali spracúvať na základe nutnosti splnenia úlohy realizovanej vo verejnom záujme inštitúciami a orgánmi Únie alebo pri výkone verejnej moci, nutnosti splnenia zákonných povinností, ktoré sa vzťahujú na prevádzkovateľa, alebo na nejakom inom legitímnom základe, ktorý je stanovený v tomto nariadení, vrátane súhlasu dotknutej osoby, alebo na základe nutnosti plnenia zmluvy, ktorej zmluvnou stranou je dotknutá osoba, alebo s cieľom podniknúť kroky na požiadanie dotknutej osoby pred uzavretím zmluvy. Spracúvanie osobných údajov na účely plnenia úloh realizovaných vo verejnom záujme inštitúciami a orgánmi Únie zahŕňa spracúvanie osobných údajov potrebných na riadenie a fungovanie týchto inštitúcií a orgánov. Spracúvanie osobných údajov by sa malo rovnako považovať za zákonné, ak je potrebné na účely ochrany záujmu, ktorý je zásadný pre život dotknutej alebo inej fyzickej osoby. Spracúvanie osobných údajov na základe životne dôležitého záujmu inej fyzickej osoby by sa malo v zásade uskutočniť len vtedy, keď sa takéto spracúvanie zjavne nemôže zakladať na inom právnom základe. Niektoré typy spracúvania môžu slúžiť na dôležité účely verejného záujmu aj pre životne dôležité záujmy dotknutej osoby, napríklad ak je spracúvanie potrebné na humanitárne účely vrátane monitorovania epidémií a ich šírenia alebo v humanitárnych núdzových situáciách, najmä v prípade prírodných katastrof a katastrof spôsobených ľudskou činnosťou.

(18)Právo Únie, ako aj interné predpisy uvedené v tomto nariadení by mali byť jasné a presné a ich uplatňovanie by malo byť predvídateľné pre tie osoby, na ktoré sa vzťahujú, a to v súlade s judikatúrou Súdneho dvora Európskej únie a Európskeho súdu pre ľudské práva.

(19)Spracúvanie osobných údajov na iné účely ako na účely, na ktoré boli osobné údaje pôvodne získané, by malo byť umožnené len vtedy, ak je toto spracúvanie zlučiteľné s účelmi, na ktoré boli osobné údaje pôvodne získané. V takom prípade sa nevyžaduje žiadny iný samostatný právny základ, než je právny základ, ktorý umožňoval získavanie osobných údajov. Ak je spracúvanie potrebné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi, v práve Únie sa môžu stanoviť a upraviť úlohy a účely, v prípade ktorých by sa malo ďalšie spracúvanie považovať za zlučiteľné a zákonné. Ďalšie spracúvanie na účely archivácie vo verejnom záujme, na účely vedeckého či historického výskumu alebo štatistické účely by sa malo považovať za zlučiteľné zákonné spracovateľské operácie. Právny základ pre spracúvanie osobných údajov, ktorý je zakotvený v práve Únie, môže byť aj právnym základom pre ďalšie spracúvanie. S cieľom zistiť, či je účel ďalšieho spracúvania zlučiteľný s účelom, na ktorý boli osobné údaje pôvodne získané, by mal prevádzkovateľ po splnení všetkých požiadaviek na zákonnosť pôvodného spracúvania zohľadniť okrem iného: akékoľvek prepojenie medzi týmito účelmi a účelmi zamýšľaného ďalšieho spracúvania; kontext, v ktorom sa osobné údaje získali, najmä primerané očakávania dotknutých osôb na základe ich vzťahu s prevádzkovateľom, pokiaľ ide o ich ďalšie použitie; povahu osobných údajov; následky zamýšľaného ďalšieho spracúvania pre dotknuté osoby; a existenciu primeraných záruk pri pôvodných aj zamýšľaných operáciách ďalšieho spracúvania.

(20)Ak je spracúvanie založené na súhlase dotknutej osoby, prevádzkovateľ by mal vedieť preukázať, že dotknutá osoba vyjadrila súhlas so spracovateľskou operáciou. Najmä v kontexte písomného vyhlásenia v inej záležitosti by sa zárukami malo zabezpečiť, že dotknutá osoba si je vedomá, že dáva súhlas a v akom rozsahu ho udeľuje. V súlade so smernicou Rady 93/13/EHS 14 by vyjadrenie súhlasu, ktoré vopred naformuloval prevádzkovateľ, malo byť poskytnuté v zrozumiteľnej a ľahko prístupnej forme a formulované jasne a jednoducho a nemalo by obsahovať nekalé podmienky. Aby sa zaistilo, že súhlas bude informovaný, dotknutá osoba by si mala byť vedomá aspoň identity prevádzkovateľa a účelov spracúvania, na ktoré sú osobné údaje určené. Súhlas by sa nemal považovať za slobodný, ak dotknutá osoba nemá skutočnú alebo slobodnú voľbu alebo nemôže odmietnuť či odvolať súhlas bez nepriaznivých následkov.

(21)Osobitnú ochranu osobných údajov si zasluhujú deti, keďže si môžu byť v menšej miere vedomé rizík, dôsledkov a dotknutých záruk a svojich práv súvisiacich so spracúvaním osobných údajov. Takáto osobitná ochrana by sa mala vzťahovať najmä na vytvorenie osobných profilov a získavanie osobných údajov o deťoch pri používaní služieb poskytovaných priamo dieťaťu na webových stránkach inštitúcií a orgánov Únie, akými sú napríklad služby medziľudskej komunikácie alebo online predaj vstupeniek a ak je spracúvanie osobných údajov založené na súhlase.

(22)Keby príjemcovia, ktorí majú sídlo v Únii a na ktorých sa vzťahuje nariadenie (EÚ) 2016/679 alebo smernica (EÚ) 2016/680, chceli, aby im inštitúcie a orgány Únie odovzdali osobné údaje, títo príjemcovia by mali preukázať, že prenos je potrebný na dosiahnutie ich cieľa, že je primeraný a neprekračuje rámec toho, čo je potrebné na dosiahnutie tohto cieľa. Inštitúcie a orgány Únie by mali v súlade so zásadou transparentnosti preukázať takúto nutnosť, keď sami iniciujú prenos.

(23)Osobné údaje, ktoré sú svojou povahou obzvlášť citlivé z hľadiska základných práv a slobôd, si zasluhujú osobitnú ochranu, keďže z kontextu ich spracúvania by mohli pre základné práva a slobody vyplývať významné riziká. Uvedené osobné údaje by mali zahŕňať osobné údaje, ktoré odhaľujú rasový alebo etnický pôvod, pričom použitie výrazu „rasový pôvod“ v tomto nariadení neznamená, že Únia akceptuje teórie, ktoré sa usilujú stanoviť existenciu oddelených ľudských rás. Spracúvanie fotografií by sa nemalo systematicky považovať za spracúvanie osobitných kategórií osobných údajov, pretože vymedzenie pojmu biometrické údaje sa na ne vzťahuje len v prípadoch, keď sa spracúvajú osobitnými technickými prostriedkami, ktoré umožňujú jedinečnú identifikáciu alebo autentifikáciu fyzickej osoby. Okrem osobitných požiadaviek na spracúvanie citlivých údajov by sa mali uplatňovať všeobecné zásady a ďalšie pravidlá uvedené v tomto nariadení, najmä pokiaľ ide o podmienky zákonného spracúvania. Výnimky zo všeobecného zákazu spracúvania týchto osobitných kategórií osobných údajov by sa mali výslovne uviesť okrem iného vtedy, ak dotknutá osoba poskytla svoj výslovný súhlas alebo v súvislosti s osobitnými potrebami, najmä ak spracúvanie vykonávajú v rámci legitímnych činností určité združenia alebo nadácie, ktorých účelom je umožniť výkon základných slobôd.

(24)Z dôvodov verejného záujmu v oblasti verejného zdravia môže byť potrebné spracúvanie osobitných kategórií osobných údajov bez súhlasu dotknutej osoby. Takéto spracúvanie by malo podliehať vhodným a osobitným opatreniam na ochranu práv a slobôd fyzických osôb. V tejto súvislosti by sa malo „verejné zdravie“ vykladať v zmysle nariadenia Európskeho parlamentu a Rady (ES) č. 1338/2008 15 , teda malo by zahŕňať všetky prvky týkajúce sa zdravia, a to zdravotný stav vrátane chorobnosti a zdravotného postihnutia, faktory ovplyvňujúce tento zdravotný stav, potreby zdravotnej starostlivosti, zdroje pridelené na zdravotnú starostlivosť, poskytovanie zdravotnej starostlivosti a jej všeobecnú dostupnosť, ako aj výdavky na zdravotnú starostlivosť a jej financovanie, a príčiny smrti. Takéto spracúvanie údajov týkajúcich sa zdravia z dôvodov verejného záujmu by nemalo viesť k spracúvaniu osobných údajov na iné účely tretími stranami.

(25)Ak osobné údaje, ktoré spracúva prevádzkovateľ, neumožňujú prevádzkovateľovi identifikovať fyzickú osobu, prevádzkovateľ by nemal byť povinný získať dodatočné informácie na identifikovanie dotknutej osoby výlučne na to, aby dosiahol súlad s niektorým ustanovením tohto nariadenia. Prevádzkovateľ by však nemal odmietnuť prijať dodatočné informácie, ktoré mu poskytne dotknutá osoba na podporu uplatnenia svojich práv. Súčasťou identifikácie by mala byť digitálna identifikácia dotknutej osoby, napríklad prostredníctvom mechanizmu autentifikácie, napríklad na základe rovnakých prihlasovacích údajov, ako sú tie, ktoré dotknutá osoba používa na prihlásenie do online služby poskytovanej prevádzkovateľom.

(26)Na spracúvanie osobných údajov na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu či na štatistické účely by sa mali vzťahovať primerané záruky ochrany práv a slobôd dotknutej osoby podľa tohto nariadenia. Uvedenými zárukami by sa malo zaistiť zavedenie technických a organizačných opatrení najmä s cieľom zabezpečiť zásadu minimalizácie údajov. Ďalšie spracúvanie osobných údajov na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu či na štatistické účely sa má vykonať, keď prevádzkovateľ posúdil možnosti dosiahnuť tieto účely takým spracúvaním osobných údajov, ktoré neumožňuje alebo už ďalej neumožňuje identifikovať dotknuté osoby, za podmienky, že existujú primerané záruky (napríklad pseudonymizácia osobných údajov). Inštitúcie a orgány Únie by mali stanoviť primerané záruky pre spracúvanie osobných údajov na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu alebo na štatistické účely v práve Únie, ktoré môže zahŕňať interné predpisy.

(27)Mali by sa stanoviť postupy, ktoré by dotknutej osobe uľahčili uplatnenie jej práv podľa tohto nariadenia a ktoré by zahŕňali mechanizmy na vyžiadanie si a prípadné získanie bezplatného prístupu k osobným údajom a ich bezplatnú opravu alebo vymazanie, a na uplatnenie práva namietať. Prevádzkovateľ by mal tiež poskytnúť možnosť podávať žiadosti elektronicky, najmä ak sa osobné údaje spracúvajú elektronickými prostriedkami. Prevádzkovateľ by mal byť povinný odpovedať na žiadosti dotknutej osoby bez zbytočného odkladu a najneskôr do jedného mesiaca a uviesť dôvody v prípade, ak nemá v úmysle vyhovieť takejto žiadosti.

(28)Zásady spravodlivého a transparentného spracúvania si vyžadujú, aby dotknutá osoba bola informovaná o existencii spracovateľskej operácie a jej účeloch. Prevádzkovateľ by mal dotknutej osobe poskytnúť všetky ďalšie informácie, ktoré sú potrebné na zaručenie spravodlivého a transparentného spracúvania, pričom sa zohľadnia konkrétne okolnosti a kontext, v ktorom sa osobné údaje spracúvajú. Dotknutá osoba by okrem toho mala byť informovaná o existencii profilovania a následkoch takéhoto profilovania. Ak sa osobné údaje získavajú od dotknutej osoby, dotknutá osoba by mala byť informovaná aj o tom, či je povinná osobné údaje poskytnúť, a o následkoch v prípade, že tieto údaje neposkytne. Tieto informácie možno poskytnúť v kombinácii so štandardizovanými ikonami s cieľom poskytnúť dobre viditeľným, zrozumiteľným a čitateľným spôsobom zmysluplný prehľad zamýšľaného spracúvania. Ak sú ikony uvedené v elektronickej podobe, mali by byť strojovo čitateľné.

(29)Informácie súvisiace so spracúvaním osobných údajov týkajúcich sa dotknutej osoby by sa mali dotknutej osobe poskytnúť v čase získavania osobných údajov od dotknutej osoby, alebo ak sa osobné údaje získavajú z iného zdroja, v primeranej lehote v závislosti od okolností prípadu. Ak možno osobné údaje legitímne poskytnúť inému príjemcovi, dotknutá osoba by mala byť informovaná o ich prvom poskytnutí tomuto príjemcovi. Ak má prevádzkovateľ v úmysle spracúvať osobné údaje na iný účel ako ten, na ktorý boli získané, mal by dotknutej osobe pred takýmto ďalším spracúvaním poskytnúť informácie o tomto inom účele a ďalšie potrebné informácie. Ak sa z dôvodu použitia viacerých zdrojov nemôže dotknutej osobe oznámiť pôvod osobných údajov, mala by sa poskytnúť všeobecná informácia.

(30)Dotknutá osoba by mala mať právo na prístup k osobným údajom, ktoré boli o nej získané, a uvedené právo aj jednoducho a v primeraných intervaloch uplatňovať, aby si bola vedomá zákonnosti spracúvania a mohla si ju overiť. K tomu patrí aj právo dotknutých osôb na prístup k údajom týkajúcim sa ich zdravia, napríklad k údajom v ich lekárskych záznamoch obsahujúcich informácie ako diagnózy, výsledky vyšetrení, posudky ošetrujúcich lekárov a akákoľvek poskytnutá terapia alebo uskutočnené zákroky. Každá dotknutá osoba by preto mala mať právo vedieť a byť informovaná najmä o účeloch spracúvania osobných údajov, podľa možnosti o období spracúvania osobných údajov, o príjemcoch osobných údajov, o postupe pri každom automatickom spracúvaní osobných údajov a aspoň v prípadoch, v ktorých sa spracúvanie opiera o profilovanie, o následkoch takéhoto spracúvania. Uvedené právo by sa nemalo nepriaznivo dotknúť práv alebo slobôd iných osôb, ani obchodného tajomstva alebo práv duševného vlastníctva a najmä autorských práv týkajúcich sa softvéru. Výsledkom zohľadnenia týchto prvkov by však nemalo byť odmietnutie poskytnutia akýchkoľvek informácií dotknutej osobe. Ak prevádzkovateľ spracúva v súvislosti s dotknutou osobou veľké množstvo informácií, mal by môcť požadovať, aby pred doručením informácií dotknutá osoba spresnila, ktorých informácií alebo spracovateľských činností sa žiadosť týka.

(31)Dotknutá osoba by mala mať právo na opravu osobných údajov, ktoré sa jej týkajú, a „právo na zabudnutie“, ak uchovávanie takýchto údajov porušuje toto nariadenie alebo právo Únie vzťahujúce sa na prevádzkovateľa. Dotknutá osoba by mala mať právo na to, aby jej osobné údaje boli vymazané a prestali sa spracúvať, ak osobné údaje už nie sú potrebné v súvislosti s účelmi, na ktoré boli získané alebo inak spracúvané, ak dotknutá osoba odvolala svoj súhlas alebo namieta voči spracúvaniu osobných údajov, ktoré sa jej týkajú, alebo ak spracúvanie jej osobných údajov nie je v súlade s týmto nariadením z iných dôvodov. Uvedené právo je relevantné najmä v situácii, v ktorej dotknutá osoba dala súhlas ako dieťa a nebola si plne vedomá rizík spojených so spracúvaním, a neskôr chce takéto osobné údaje odstrániť, najmä z internetu. Dotknutá osoba by mala mať možnosť uplatniť uvedené právo bez ohľadu na skutočnosť, že už nie je dieťa. Ďalšie uchovávanie osobných údajov by však malo byť zákonné, pokiaľ je potrebné na uplatnenie slobody prejavu a práva na informácie, na splnenie zákonnej povinnosti, na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi, z dôvodov verejného záujmu v oblasti verejného zdravia, na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu alebo na štatistické účely, alebo na preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov.

(32)Aby sa posilnilo „právo na zabudnutie“ v online prostredí, malo by sa rozšíriť aj právo na vymazanie, a to tak, že prevádzkovateľ, ktorý osobné údaje zverejnil, by mal byť povinný informovať prevádzkovateľov, ktorí takéto osobné údaje spracúvajú, že majú vymazať všetky odkazy na tieto osobné údaje alebo všetky kópie či repliky týchto osobných údajov. Pritom by mal uvedený prevádzkovateľ prijať primerané kroky s ohľadom na dostupnú technológiu a prostriedky, ktoré má prevádzkovateľ k dispozícii, vrátane technických opatrení, aby informoval prevádzkovateľov, ktorí spracúvajú osobné údaje, o žiadosti dotknutej osoby.

(33)Metódy na obmedzenie spracúvania osobných údajov by mohli okrem iného zahŕňať dočasné presunutie vybraných údajov do iného systému spracúvania, zamedzenie prístupu používateľov k vybraným osobným údajom alebo dočasné odstránenie zverejnených údajov z webového sídla. V automatizovaných informačných systémoch by sa obmedzenie spracúvania malo v zásade zabezpečiť technickými prostriedkami takým spôsobom, aby osobné údaje neboli predmetom ďalších spracovateľských operácií a nebolo možné ich meniť. Skutočnosť, že spracúvanie osobných údajov je obmedzené, by sa v systéme mala jasne vyznačiť.

(34)S cieľom ďalej posilniť kontrolu nad svojimi vlastnými údajmi by mala mať dotknutá osoba v prípade, že sa spracúvanie osobných údajov vykonáva automatizovanými prostriedkami, možnosť získať osobné údaje, ktoré sa jej týkajú a ktoré poskytla prevádzkovateľovi, v štruktúrovanom, bežne používanom strojovo čitateľnom a interoperabilnom formáte a preniesť ich k ďalšiemu prevádzkovateľovi. Prevádzkovatelia by sa mali nabádať k tomu, aby vyvinuli interoperabilné formáty, ktoré umožnia prenosnosť údajov. Uvedené právo by sa malo uplatňovať, ak dotknutá osoba poskytla osobné údaje na základe svojho súhlasu alebo ak je spracúvanie potrebné na plnenie zmluvy. Nemalo by sa preto uplatňovať, ak je spracúvanie osobných údajov potrebné na splnenie zákonnej povinnosti, ktorá sa na prevádzkovateľa vzťahuje, alebo na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi. Právo dotknutej osoby na prenos alebo prijatie osobných údajov, ktoré sa jej týkajú, by nemalo mať za následok vznik povinnosti prevádzkovateľov prijať alebo zachovať systémy spracúvania, ktoré sú technicky kompatibilné. Ak v rámci určitého súboru osobných údajov ide o viac ako jednu dotknutú osobu, právom prijímať tieto osobné údaje by nemali byť dotknuté práva a slobody iných dotknutých osôb podľa tohto nariadenia. Okrem toho by uvedeným právom nemalo byť dotknuté právo dotknutej osoby dosiahnuť vymazanie osobných údajov a obmedzenia tohto práva, ako sa uvádzajú v tomto nariadení, a predovšetkým by toto právo nemalo viesť k vymazaniu osobných údajov týkajúcich sa dotknutej osoby, ktoré poskytla na účely plnenia zmluvy, v takom rozsahu a počas takého obdobia, ako sú tieto osobné údaje potrebné na plnenie danej zmluvy. Keď je to technicky možné, mala by mať dotknutá osoba právo na prenos osobných údajov priamo od jedného prevádzkovateľa k druhému.

(35)V prípadoch, keď by osobné údaje mohli byť spracúvané zákonne, pretože spracúvanie je potrebné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi, by dotknutá osoba mala mať napriek tomu právo namietať proti spracúvaniu akýchkoľvek osobných údajov, ktoré sa týkajú jej konkrétnej situácie. Malo by byť na prevádzkovateľovi, aby preukázal, že jeho závažné oprávnené záujmy prevažujú nad záujmami alebo základnými právami a slobodami dotknutej osoby.

(36)Dotknutá osoba by mala mať právo nepodliehať žiadnemu rozhodnutiu, čo môže zahŕňať aj opatrenie, ktoré hodnotí osobné aspekty týkajúce sa dotknutej osoby, je založené výlučne na automatizovanom spracúvaní a ktoré má právne účinky, ktoré sa dotknutej osoby týkajú alebo ju podobným spôsobom významne ovplyvňujú, ako sú napríklad elektronické postupy prijímania pracovníkov bez akéhokoľvek ľudského zásahu. Takéto spracúvanie zahŕňa „profilovanie“ pozostávajúce z akejkoľvek formy automatizovaného spracúvania osobných údajov spočívajúceho v hodnotení osobných aspektov týkajúcich sa fyzickej osoby, predovšetkým na analýzu alebo predvídanie aspektov súvisiacich s výkonnosťou dotknutej osoby v práci, jej majetkovými pomermi, zdravím, osobnými preferenciami alebo záujmami, spoľahlivosťou alebo správaním, polohou alebo pohybom, pokiaľ vedie k právnym účinkom, ktoré sa dotknutej osoby týkajú alebo ju podobným spôsobom významne ovplyvňujú. Rozhodovanie založené na takomto spracúvaní vrátane profilovania by sa však malo umožniť, ak je výslovne povolené právom Únie. V každom prípade by takéto spracúvanie malo podliehať vhodným zárukám, ktoré by mali zahŕňať konkrétne informácie pre dotknutú osobu a právo na ľudský zásah, právo vyjadriť svoj názor, dostať vysvetlenie rozhodnutia, ktoré bolo prijaté po takomto posúdení, a právo napadnúť toto rozhodnutie. Takéto opatrenie by sa nemalo týkať dieťaťa. S cieľom zabezpečiť spravodlivé a transparentné spracúvanie vo vzťahu k dotknutej osobe a s ohľadom na konkrétne okolnosti a súvislosti spracúvania osobných údajov by mal prevádzkovateľ používať na účely profilovania primerané matematické alebo štatistické postupy, prijať technické a organizačné opatrenia vhodné na to, aby sa predovšetkým zabezpečilo, že faktory, ktoré vedú k nesprávnosti osobných údajov, sa opravia a riziko chýb sa minimalizuje, zabezpečiť osobné údaje tak, aby sa zohľadnili súvisiace potenciálne riziká pre záujmy a práva dotknutej osoby a aby sa okrem iného zabránilo diskriminačným účinkom na fyzické osoby na základe rasového alebo etnického pôvodu, politického názoru, náboženstva alebo presvedčenia, členstva v odborových organizáciách, genetického alebo zdravotného stavu či sexuálnej orientácie, alebo účinkom, ktoré vedú k opatreniam majúcim takéto účinky. Automatizované rozhodovanie a profilovanie založené na osobitných kategóriách osobných údajov by sa malo umožniť len za osobitných podmienok.

(37)V právnych aktoch prijatých na základe zmlúv alebo interných predpisov inštitúcií a orgánov Únie sa môžu uložiť obmedzenia pokiaľ ide o osobitné zásady a práva na informácie, prístup k osobným údajom a ich opravu alebo vymazanie, právo na prenosnosť údajov, dôvernosť elektronických komunikácií, ako aj informovanie dotknutej osoby o porušení ochrany osobných údajov a o určitých súvisiacich povinnostiach prevádzkovateľov, pokiaľ je to v demokratickej spoločnosti potrebné a primerané na zaistenie verejnej bezpečnosti, predchádzanie trestným činom, ich vyšetrovanie alebo stíhanie alebo na účely výkonu trestných sankcií, vrátane ochrany pred ohrozením verejnej bezpečnosti vrátane ochrany ľudského života, najmä v reakcii na prírodné katastrofy alebo katastrofy spôsobené ľudskou činnosťou, vnútornú bezpečnosť inštitúcií a orgánov Únie, iné dôležité ciele všeobecného verejného záujmu Únie alebo členského štátu, najmä ak ide o dôležitý hospodársky alebo finančný záujem Únie alebo členského štátu, vedenie verejných registrov vedených vo všeobecnom verejnom záujme, ochranu dotknutej osoby alebo práv a slobôd iných vrátane sociálnej ochrany, verejného zdravia a humanitárnych účelov.

Ak v právnych aktoch prijatých na základe zmlúv alebo ich interných predpisov nie je stanovené obmedzenie, inštitúcie a orgány Únie môžu v osobitnom prípade zaviesť ad hoc obmedzenie týkajúce sa osobitných zásad a práv dotknutej osoby, pokiaľ takéto obmedzenie rešpektuje podstatu základných práv a slobôd a je, vo vzťahu k osobitnej spracovateľskej operácii, v demokratickej spoločnosti potrebné a primerané na zabezpečenie jedného alebo viacerých cieľov uvedených v odseku 1. Toto obmedzenie by sa malo oznámiť zodpovednej osobe. Všetky obmedzenia by mali byť v súlade s požiadavkami stanovenými v charte a v Európskom dohovore o ochrane ľudských práv a základných slobôd.

(38)Mali by sa stanoviť povinnosti a zodpovednosť prevádzkovateľa v súvislosti s akýmkoľvek spracúvaním osobných údajov, ktoré vykonáva sám alebo ktoré sa vykonáva v jeho mene. Prevádzkovateľ by mal byť najmä povinný prijať primerané a účinné opatrenia a vedieť preukázať súlad spracovateľských činností s týmto nariadením vrátane účinnosti opatrení. V uvedených opatreniach by sa mala zohľadniť povaha, rozsah, kontext a účely spracúvania a riziko pre práva a slobody fyzických osôb. Riziká pre práva a slobody fyzických osôb s rôznym stupňom pravdepodobnosti a závažnosti môžu vyplývať zo spracúvania osobných údajov, ktoré by mohlo viesť k ujme na zdraví, majetkovej alebo nemajetkovej ujme, a to najmä: ak spracúvanie môže viesť k diskriminácii, krádeži totožnosti alebo podvodu, finančnej strate, poškodeniu dobrého mena, strate dôvernosti osobných údajov chránených profesijným tajomstvom, neoprávnenej depseudonymizácii alebo akémukoľvek inému závažnému hospodárskemu alebo sociálnemu znevýhodneniu; ak by dotknuté osoby mohli byť pozbavené svojich práv a slobôd alebo možnosti vykonávania kontroly nad svojimi osobnými údajmi; ak sa spracúvajú osobné údaje odhaľujúce rasový alebo etnický pôvod, politické názory, náboženstvo alebo filozofické názory, členstvo v odborových organizáciách, a ak sa spracúvajú genetické údaje, údaje týkajúce sa zdravia či údaje týkajúce sa sexuálneho života alebo rozsudkov v trestných veciach a trestných činov či súvisiacich bezpečnostných opatrení; ak sa posudzujú osobné aspekty, najmä ak sa analyzujú alebo predvídajú aspekty týkajúce sa výkonnosti v práci, majetkových pomerov, zdravia, osobných preferencií alebo záujmov, spoľahlivosti alebo správania, polohy alebo pohybu, s cieľom vytvoriť alebo používať osobné profily; ak sa spracúvajú osobné údaje zraniteľných fyzických osôb, najmä detí; alebo ak spracúvanie zahŕňa veľké množstvo osobných údajov a má dôsledky pre veľký počet dotknutých osôb. Pravdepodobnosť a závažnosť rizika pre práva a slobody dotknutej osoby by sa mala stanoviť v závislosti od povahy, rozsahu, kontextu a účelov spracúvania. Riziko by sa malo posudzovať na základe objektívneho posúdenia, ktorým sa určí, či spracovateľské operácie zahŕňajú riziko alebo vysoké riziko.

(39)Ochrana práv a slobôd fyzických osôb v súvislosti so spracúvaním osobných údajov si vyžaduje, aby sa prijali primerané technické a organizačné opatrenia s cieľom zabezpečiť splnenie požiadaviek tohto nariadenia. Na to, aby mohol prevádzkovateľ preukázať súlad s týmto nariadením, by mal prijať interné pravidlá a opatrenia, ktoré budú predovšetkým spĺňať zásady špecificky navrhnutej ochrany údajov a štandardnej ochrany údajov. Takéto opatrenia by mohli okrem iného pozostávať z minimalizácie spracúvania osobných údajov, čo najskoršej pseudonymizácie osobných údajov, transparentnosti v súvislosti s funkciami a spracúvaním osobných údajov, umožnenia dotknutým osobám monitorovať spracúvanie údajov, umožnenia prevádzkovateľovi vypracovať a zlepšiť bezpečnostné prvky. Zásady špecificky navrhnutej ochrany údajov a štandardnej ochrany údajov by sa mali zohľadniť aj v súvislosti s verejným obstarávaním.

(40)Ochrana práv a slobôd dotknutých osôb, ako aj zodpovednosť prevádzkovateľov a sprostredkovateľov si vyžaduje jednoznačné rozdelenie zodpovedností v zmysle tohto nariadenia, a to aj v prípade, že prevádzkovateľ spoločne s ostatnými prevádzkovateľmi určí účely a prostriedky spracúvania alebo že sa spracovateľská operácia uskutočňuje v jeho mene.

(41)S cieľom zabezpečiť súlad s požiadavkami tohto nariadenia v súvislosti so spracúvaním, ktoré má v mene prevádzkovateľa vykonať sprostredkovateľ, by mal prevádzkovateľ pri poverovaní sprostredkovateľa spracovateľskými činnosťami využívať len takých sprostredkovateľov, ktorí poskytujú dostatočné záruky, najmä pokiaľ ide o odborné znalosti, spoľahlivosť a zdroje, na to, že prijmú technické a organizačné opatrenia, ktoré spĺňajú požiadavky tohto nariadenia, vrátane požiadavky na bezpečnosť spracúvania. Dodržiavanie schváleného kódexu správania alebo schváleného certifikačného mechanizmu sprostredkovateľmi inými ako inštitúcie a orgány Únie sa môže použiť ako prvok na preukázanie súladu s povinnosťami prevádzkovateľa. Vykonávanie spracúvania sprostredkovateľom by sa malo riadiť zmluvou alebo iným právnym aktom podľa práva Únie alebo práva členského štátu, ktorými by bol sprostredkovateľ viazaný voči prevádzkovateľovi a v ktorých by sa stanovil predmet a obdobie spracúvania, povaha a účely spracúvania, typ osobných údajov a kategórie dotknutých osôb, a ktoré by mali zohľadniť osobitné úlohy a povinnosti sprostredkovateľa v kontexte spracúvania, ktoré sa má vykonať, a riziko pre práva a slobody dotknutých osôb. Prevádzkovateľ a sprostredkovateľ by mali mať možnosť vybrať si použitie individuálnej zmluvy alebo štandardných zmluvných doložiek, ktoré prijme buď priamo Komisia, alebo ich prijme európsky dozorný úradník a následne ich prijme Komisia. Po ukončení spracúvania v mene prevádzkovateľa by mal sprostredkovateľ podľa rozhodnutia prevádzkovateľa vrátiť alebo vymazať osobné údaje, pokiaľ podľa práva Únie alebo práva členského štátu, ktorému sprostredkovateľ podlieha, neexistuje požiadavka na uchovanie týchto osobných údajov.

(42)Na účely preukázania súladu s týmto nariadením by prevádzkovatelia mali uchovávať záznamy o spracovateľských činnostiach, za ktoré sú zodpovední, a sprostredkovatelia by mali uchovávať záznamy o kategóriách spracovateľských činností, za ktoré sú zodpovední. Inštitúcie a orgány Únie by mali byť povinné spolupracovať s európskym dozorným úradníkom pre ochranu údajov a na požiadanie mu poskytnúť svoje záznamy, aby mohli slúžiť na monitorovanie týchto spracovateľských operácií. Inštitúcie a orgány Únie by mali byť schopné zriadiť centrálny register záznamov svojich spracovateľských činností. Z dôvodov transparentnosti by takisto mali byť schopné tento register zverejniť.

(43)S cieľom zachovať bezpečnosť a predchádzať spracúvaniu v rozpore s týmto nariadením by prevádzkovateľ alebo sprostredkovateľ mali posúdiť riziká súvisiace so spracúvaním a prijať opatrenia na zmiernenie týchto rizík, ako napríklad šifrovanie. Týmito opatreniami by sa mala zaistiť primeraná úroveň bezpečnosti vrátane dôvernosti, pričom by sa mali zohľadniť najnovšie poznatky a náklady na vykonanie opatrení v súvislosti s rizikami a povahou osobných údajov, ktoré sa majú chrániť. Pri posudzovaní rizika vo vzťahu k bezpečnosti údajov by sa mali zohľadniť riziká spojené so spracúvaním osobných údajov, ako je napríklad náhodné alebo nezákonné zničenie, strata, zmena, neoprávnené poskytnutie prenášaných, uchovávaných alebo inak spracúvaných osobných údajov alebo neoprávnený prístup k nim, ktoré by mohli viesť najmä k ujme na zdraví, majetkovej alebo nemajetkovej ujme.

(44)Inštitúcie a orgány Únie by mali zabezpečiť dôvernosť elektronických komunikácií podľa článku 7 charty. Inštitúcie a orgány Únie by mali najmä zaistiť bezpečnosť svojich elektronických komunikačných sietí, chrániť informácie týkajúce sa koncových zariadení koncových používateľov, ktoré majú prístup k ich verejne dostupným webovým sídlam a mobilným aplikáciám, podľa nariadenia (EÚ) XXXX/XX [nové nariadenie o ochrane súkromia v elektronickej komunikácii] a chrániť osobné údaje v zoznamoch používateľov.

(45) Ak sa porušenie ochrany osobných údajov nerieši primeraným spôsobom a včas, môže fyzickým osobám spôsobiť ujmu na zdraví, majetkovú alebo nemajetkovú ujmu. Prevádzkovateľ by preto mal hneď, ako sa dozvie, že došlo k porušeniu ochrany osobných údajov, bez zbytočného odkladu a podľa možnosti najneskôr do 72 hodín od okamihu, ako sa dozvedel, že došlo k porušeniu ochrany osobných údajov, toto porušenie oznámiť európskemu dozornému úradníkovi pre ochranu údajov s výnimkou prípadov, keď vie prevádzkovateľ v súlade so zásadou zodpovednosti preukázať, že nie je pravdepodobné, že porušenie ochrany osobných údajov povedie k riziku pre práva a slobody fyzických osôb. Ak nie je možné takéto oznámenie vykonať do 72 hodín, malo by sa k oznámeniu pripojiť odôvodnenie omeškania, pričom informácie možno poskytnúť vo viacerých etapách bez ďalšieho zbytočného odkladu. Ak je takéto omeškanie odôvodnené, mali by sa menej citlivé či menej konkrétne informácie o porušení poskytnúť čo najskôr a s oznámením by sa nemalo čakať až do vyriešenia príslušného incidentu.

(46)Ak porušenie ochrany osobných údajov pravdepodobne povedie k vysokému riziku pre práva a slobody fyzickej osoby, prevádzkovateľ by mal toto porušenie bezodkladne oznámiť dotknutej osobe, aby mohla prijať potrebné preventívne opatrenia. V oznámení by sa mala uviesť povaha porušenia ochrany osobných údajov, ako aj odporúčania pre dotknutú fyzickú osobu k tomu, ako zmierniť potenciálne nepriaznivé dôsledky. Takéto oznámenia dotknutým osobám by sa mali vykonať čo najskôr, ako je to možné, a v úzkej spolupráci s európskym dozorným úradníkom pre ochranu údajov, pričom by sa mali dodržiavať usmernenia tohto alebo iného relevantného orgánu, napríklad orgánov presadzovania práva.

(47)V nariadení (ES) č. 45/2001 sa stanovuje všeobecná povinnosť prevádzkovateľa oznámiť spracúvanie osobných údajov zodpovednej osobe, ktorá zasa vedie register oznámených spracovateľských operácií. Uvedená povinnosť spôsobuje administratívnu a finančnú záťaž, a pritom neprispela vždy k zlepšeniu ochrany osobných údajov. Takéto nerozlišujúce všeobecné oznamovacie povinnosti by sa preto mali zrušiť a mali by sa nahradiť účinnými postupmi a mechanizmami, ktoré by sa namiesto toho zameriavali na tie typy spracovateľských operácií, ktoré vzhľadom na svoju povahu, rozsah, kontext a účel pravdepodobne povedú k vysokému riziku pre práva a slobody fyzických osôb. Takýmito typmi spracovateľských operácií by mohli byť najmä tie, pri ktorých sa používajú nové technológie, alebo tie, ktoré sú nového druhu a v súvislosti s ktorými prevádzkovateľ ešte nevykonal posúdenie vplyvu na ochranu údajov, alebo ktoré sa stali potrebnými vzhľadom na čas, ktorý uplynul od prvotného spracúvania. V takých prípadoch by prevádzkovateľ mal pred spracúvaním vykonať posúdenie vplyvu na ochranu údajov, aby posúdil osobitnú pravdepodobnosť a závažnosť vysokého rizika, pričom by mal zohľadniť povahu, rozsah, kontext a účely spracúvania a zdroje rizika. Uvedené posúdenie vplyvu by malo zahŕňať najmä plánované opatrenia, záruky a mechanizmy na zmiernenie daného rizika, na zabezpečenie ochrany osobných údajov a na preukázanie súladu s týmto nariadením.

(48)Ak z posúdenia vplyvu na ochranu údajov vyplýva, že spracúvanie by v prípade neexistencie záruk, bezpečnostných opatrení a mechanizmov na zmiernenie rizika viedlo k vysokému riziku pre práva a slobody fyzických osôb, a prevádzkovateľ sa domnieva, že riziko sa nedá zmierniť primeranými prostriedkami, pokiaľ ide o dostupné technológie a náklady na vykonanie opatrení, mal by sa ešte pred začiatkom spracovateľskej činnosti konzultovať európsky dozorný úradník pre ochranu údajov. Takéto vysoké riziko pravdepodobne vyplynie z určitých typov spracúvania a z rozsahu a frekvencie spracúvania, v dôsledku ktorých by tiež mohlo dôjsť k vzniku ujmy alebo k zásahu do práv a slobôd fyzickej osoby. Európsky dozorný úradník pre ochranu údajov by mal odpovedať na žiadosť o konzultáciu v stanovenej lehote. Tým, že európsky dozorný úradník pre ochranu údajov v rámci tejto lehoty nezareaguje, by však nemal byť dotknutý žiadny zásah európskeho dozorného úradníka pre ochranu údajov v súlade s jeho úlohami a právomocami stanovenými v tomto nariadení, a to ani právomocou zakázať spracovateľské operácie. V rámci tohto konzultačného procesu by malo byť možné predložiť výsledok posúdenia vplyvu na ochranu údajov, ktoré sa vykonalo v súvislosti s daným spracúvaním, európskemu dozornému úradníkovi pre ochranu údajov, a najmä opatrenia určené na zmiernenie rizika pre práva a slobody fyzických osôb.

(49)Európsky dozorný úradník pre ochranu údajov by mal byť informovaný o správnych opatreniach a interných predpisoch inštitúcií a orgánov Únie, ktoré stanovujú spracúvanie osobných údajov, podmienky pre obmedzenia práv dotknutej osoby alebo poskytujú primerané záruky pre práva dotknutej osoby, aby sa zabezpečil súlad zamýšľaného spracúvania s týmto nariadením a aby sa predovšetkým zmiernilo súvisiace riziko pre dotknutú osobu.

(50)Nariadením (EÚ) 2016/679 sa zriaďuje Európsky výbor pre ochranu údajov ako nezávislý orgán Únie s právnou subjektivitou. Výbor by mal prispievať ku konzistentnému uplatňovaniu nariadenia (EÚ) 2016/679 a smernice 2016/680 v celej Únii, a to aj poskytovaním poradenstva Komisii. Európsky dozorný úradník pre ochranu údajov by zároveň mal aj naďalej vykonávať svoje dozorné a poradenské funkcie v súvislosti so všetkými inštitúciami a orgánmi Únie, a to aj z vlastnej iniciatívy alebo na požiadanie. S cieľom zabezpečiť konzistentnosť pravidiel ochrany údajov v rámci Únie by mala Komisia povinne viesť konzultácie po prijatí legislatívnych aktov alebo počas prípravy delegovaných aktov a vykonávacích aktov podľa článku 289, 290 a 291 ZFEÚ a po prijatí odporúčaní a návrhov týkajúcich sa dohôd s tretími krajinami a medzinárodnými organizáciami podľa článku 218 ZFEÚ, ktoré majú vplyv na právo na ochranu osobných údajov. V takýchto prípadoch by mala byť Komisia povinná konzultovať s európskym dozorným úradníkom pre ochranu údajov s výnimkou prípadov, keď sa v nariadení (EÚ) 2016/679 stanovujú povinné konzultácie s Európskym výborom pre ochranu údajov, napríklad v súvislosti s rozhodnutiami o primeranosti alebo delegovanými aktmi o štandardizovaných ikonách a požiadavkách na certifikačné mechanizmy. Ak má predmetný akt osobitný význam pre ochranu práv a slobôd fyzických osôb so zreteľom na spracúvanie osobných údajov, Komisia by okrem toho mala mať možnosť uskutočniť konzultácie aj s Európskym výborom pre ochranu údajov. V takýchto prípadoch by európsky dozorný úradník pre ochranu údajov ako člen Európskeho výboru pre ochranu údajov mal koordinovať svoju činnosť s týmto výborom s cieľom vydať spoločné stanovisko. Európsky dozorný úradník pre ochranu údajov a prípadne aj Európsky výbor pre ochranu údajov by mali poskytnúť svoje písomné vyjadrenie do ôsmich týždňov. Tento časový rámec by sa mal v naliehavých alebo inak vhodných prípadoch skrátiť, napríklad keď Komisia pripravuje delegované a vykonávacie akty.

(51)V každej z inštitúcií alebo v každom z orgánov Únie by mala uplatňovanie ustanovení tohto nariadenia zabezpečovať zodpovedná osoba, ktorá by mala radiť prevádzkovateľom a sprostredkovateľom pri plnení ich povinností. Táto zodpovedná osoba by mala byť osobou s odbornými znalosťami z práva a o postupoch v oblasti ochrany údajov, čo by sa malo určiť najmä podľa vykonávaných operácií spracúvania údajov a požadovanej ochrany osobných údajov, ktoré spracúva prevádzkovateľ alebo sprostredkovateľ. Takéto zodpovedné osoby by mali mať možnosť vykonávať svoje povinnosti a úlohy nezávisle.

(52)Keď sa osobné údaje prenášajú z inštitúcií a orgánov Únie prevádzkovateľom, sprostredkovateľom alebo iným príjemcom v tretích krajinách alebo medzinárodným organizáciám, nemala by byť ohrozená úroveň ochrany fyzických osôb, ktorá je v Únii zaručovaná týmto nariadením, a to ani v prípadoch následného prenosu osobných údajov z tretej krajiny alebo od medzinárodnej organizácie prevádzkovateľom, sprostredkovateľom v rovnakej alebo inej tretej krajine alebo medzinárodnej organizácii. V každom prípade sa prenosy do tretích krajín a medzinárodným organizáciám môžu uskutočňovať len v úplnom súlade s týmto nariadením. Prenos by sa mohol uskutočniť len vtedy, ak s výhradou ostatných ustanovení tohto nariadenia prevádzkovateľ alebo sprostredkovateľ splnili podmienky stanovené v tomto nariadení týkajúce sa prenosu osobných údajov do tretích krajín alebo medzinárodným organizáciám.

(53)Komisia sa v súlade s článkom 45 nariadenia (EÚ) 2016/679 môže rozhodnúť, že tretia krajina, územie alebo konkrétne odvetvie v tretej krajine, alebo medzinárodná organizácia zabezpečujú primeranú úroveň ochrany údajov. V takýchto prípadoch môže inštitúcia alebo orgán Únie uskutočňovať prenosy osobných údajov do tejto tretej krajiny alebo tejto medzinárodnej organizácii bez potreby získania ďalšieho povolenia.

(54)Pri neexistencii rozhodnutia o primeranosti by prevádzkovateľ alebo sprostredkovateľ mali prijať opatrenia na kompenzáciu nedostatočnej ochrany údajov v tretej krajine prostredníctvom primeraných záruk pre dotknutú osobu. Takéto primerané záruky môžu spočívať v uplatnení štandardných doložiek o ochrane údajov prijatých Komisiou, štandardných doložiek o ochrane údajov prijatých európskym dozorným úradníkom pre ochranu údajov, alebo zmluvných doložiek povolených európskym dozorným úradníkom pre ochranu údajov. Ak sprostredkovateľ nie je inštitúciou alebo orgánom Únie, tieto primerané záruky môžu pozostávať aj zo záväzných podnikových pravidiel, kódexov správania a certifikačných mechanizmov používaných pre medzinárodné prenosy podľa nariadenia (EÚ) 2016/679. Tieto záruky by mali zabezpečiť dodržiavanie požiadaviek na ochranu údajov a práv dotknutých osôb v rozsahu zodpovedajúcom spracúvaniu v rámci Únie vrátane dostupnosti vymožiteľných práv dotknutých osôb a účinných právnych prostriedkov nápravy vrátane účinných prostriedkov správnej a súdnej nápravy a možnosti domáhať sa náhrady škody v Únii alebo tretej krajine. Mali by sa týkať predovšetkým dodržiavania všeobecných zásad spracúvania osobných údajov a zásad špecificky navrhnutej a štandardnej ochrany údajov. Inštitúcie a orgány Únie môžu vykonávať prenosy aj orgánom verejnej moci alebo verejným subjektom v tretích krajinách alebo medzinárodným organizáciám s príslušnými povinnosťami alebo funkciami, a to aj na základe ustanovení, ktoré sa vložia do administratívnych dojednaní, ako je napríklad memorandum o porozumení, v ktorých sa ustanovia vymožiteľné a účinné práva dotknutých osôb. V prípade, že záruky sú stanovené v administratívnych dojednaniach, ktoré nie sú právne záväzné, by sa malo získať povolenie európskeho dozorného úradníka pre ochranu údajov.

(55)Skutočnosť, že prevádzkovateľ alebo sprostredkovateľ môžu použiť štandardné doložky o ochrane údajov prijaté Komisiou alebo európskym dozorným úradníkom pre ochranu údajov by prevádzkovateľom ani sprostredkovateľom nemala brániť v tom, aby zahrnuli štandardné doložky o ochrane údajov do širšej zmluvy, ako napríklad zmluvy medzi sprostredkovateľom a ďalším sprostredkovateľom, alebo k nim pridali ďalšie doložky alebo dodatočné záruky, pokiaľ nie sú priamo alebo nepriamo v rozpore so štandardnými zmluvnými doložkami prijatými Komisiou alebo európskym dozorným úradníkom pre ochranu údajov alebo pokiaľ sa nedotýkajú základných práv alebo slobôd dotknutých osôb. Prevádzkovatelia a sprostredkovatelia by sa mali nabádať k tomu, aby poskytovali dodatočné záruky prostredníctvom zmluvných záväzkov, ktoré doplnia štandardné ochranné doložky o ochrane údajov.

(56)Niektoré tretie krajiny prijímajú zákony, predpisy a iné právne akty, ktoré majú priamo regulovať spracovateľské činnosti inštitúcií a orgánov Únie. To môže zahŕňať rozsudky súdov alebo tribunálov alebo rozhodnutia správnych orgánov tretích krajín, v ktorých sa od prevádzkovateľa alebo sprostredkovateľa vyžaduje prenos alebo poskytnutie osobných údajov a ktoré nie sú založené na platnej medzinárodnej dohode medzi žiadajúcou treťou krajinou a Úniou. Extrateritoriálne uplatňovanie týchto zákonov, predpisov a iných právnych aktov môže byť v rozpore s medzinárodným právom a môže ohroziť ochranu fyzických osôb zaručenú Úniou v tomto nariadení. Prenosy by mali byť povolené, len ak sa splnia podmienky uvedené v tomto nariadení pre prenosy do tretích krajín. Môže ísť okrem iného o prípad, keď je poskytnutie potrebné z dôležitého dôvodu verejného záujmu uznaného v práve Únie.

(57)V osobitných situáciách by sa mala stanoviť možnosť prenosov za určitých okolností, ak dotknutá osoba dala výslovný súhlas, ak je prenos príležitostný a potrebný v súvislosti so zmluvou alebo právnym nárokom, a to bez ohľadu na to, či ide o súdne konanie alebo správne či iné mimosúdne konanie vrátane konaní pred regulačnými orgánmi. Mala by sa takisto stanoviť možnosť prenosov, ak je to nutné z dôležitých dôvodov verejného záujmu stanovených v práve Únie alebo ak je prenos realizovaný z registra vytvoreného na základe právneho predpisu a určeného na nahliadanie verejnosťou alebo osobami s oprávneným záujmom. V poslednom uvedenom prípade by tento prenos nemal zahŕňať všetky osobné údaje ani celé kategórie údajov obsiahnutých v registri, pokiaľ to nepovoľuje právo Únie, a ak je register určený na nahliadanie osobami s oprávneným záujmom, prenos by sa mal vykonať len na požiadanie takýchto osôb alebo vtedy, ak majú byť takéto osoby príjemcami údajov, pričom sa vezmú plne do úvahy záujmy a základné práva dotknutej osoby.

(58)Uvedené výnimky by sa mali uplatňovať predovšetkým na prenosy údajov, ktoré sa požadujú a sú potrebné z dôležitých dôvodov verejného záujmu, napríklad v prípadoch medzinárodnej výmeny údajov medzi inštitúciami a orgánmi Únie a orgánmi hospodárskej súťaže, daňovými alebo colnými správami, orgánmi finančného dohľadu a útvarmi zodpovednými za otázky sociálneho zabezpečenia alebo za verejné zdravie, napríklad v prípade sledovania kontaktu, pokiaľ ide o nákazlivé choroby, alebo s cieľom obmedziť a/alebo vylúčiť doping v športe. Prenos osobných údajov by sa mal tiež považovať za zákonný, ak je potrebný na ochranu záujmu, ktorý je podstatný pre životne dôležité záujmy dotknutej osoby alebo inej osoby, vrátane telesnej integrity alebo života, ak dotknutá osoba nemôže vyjadriť súhlas. Pri neexistencii rozhodnutia o primeranosti sa môžu v práve Únie z dôležitých dôvodov verejného záujmu výslovne stanoviť obmedzenia prenosu osobitných kategórií údajov do tretej krajiny alebo medzinárodnej organizácii. Akýkoľvek prenos osobných údajov dotknutej osoby, ktorá nie je fyzicky alebo právne spôsobilá na udelenie súhlasu, medzinárodnej humanitárnej organizácii s cieľom plniť úlohy uložené ženevskými dohovormi alebo v súlade s medzinárodným humanitárnym právom uplatniteľným na ozbrojené konflikty, by sa mohol považovať za potrebný z dôležitého dôvodu verejného záujmu alebo z dôvodu životne dôležitého záujmu dotknutej osoby.

(59)V každom prípade, ak Komisia neprijala rozhodnutie o primeranej úrovni ochrany údajov v tretej krajine, prevádzkovateľ alebo sprostredkovateľ by mali využiť riešenia, ktoré dotknutým osobám poskytujú vymožiteľné a účinné práva, pokiaľ ide o spracúvanie ich údajov v Únii po prenesení, aby aj naďalej požívali základné práva a záruky.

(60)Pri cezhraničnom pohybe osobných údajov mimo Úniu môžu byť fyzické osoby vystavené väčšiemu riziku, že nebudú schopné uplatniť si práva na ochranu údajov, a to najmä aby sa chránili pred nezákonným využitím alebo poskytnutím týchto informácií. Zároveň sa môže stať, že dozorné orgány v Únii vrátane európskeho dozorného úradníka pre ochranu údajov, nebudú schopné vybavovať sťažnosti alebo viesť vyšetrovania týkajúce sa činností vykonávaných mimo ich jurisdikcie. Prekážkou v ich úsilí spolupracovať v cezhraničnom kontexte môžu byť aj nedostatočné preventívne alebo nápravné právomoci, rozdielne právne režimy a praktické prekážky, napríklad nedostatočné zdroje. Preto je potrebné podporovať užšiu spoluprácu medzi európskym dozorným úradníkom pre ochranu údajov a inými dozornými orgánmi pre ochranu údajov s cieľom pomôcť pri výmene informácií s ich medzinárodnými partnermi.

(61)Zásadným prvkom ochrany fyzických osôb so zreteľom na spracúvanie ich osobných údajov je zriadenie funkcie európskeho dozorného úradníka pre ochranu údajov v nariadení (ES) č. 45/2001, ktorý je oprávnený plniť svoje úlohy a vykonávať svoje právomoci úplne nezávisle. Týmto nariadením by sa mala ďalej posilniť a vymedziť jeho úloha a nezávislosť.

(62)S cieľom zabezpečiť konzistentné monitorovanie a presadzovanie pravidiel ochrany údajov v celej Únii by európsky dozorný úradník pre ochranu údajov mal mať rovnaké úlohy a účinné právomoci ako dozorné orgány v členských štátoch vrátane právomocí viesť vyšetrovania, ukladať nápravné opatrenia a sankcie a právomocí vydávať povolenia a poskytovať poradenstvo, najmä v prípadoch sťažností fyzických osôb, právomoci upozorňovať Súdny dvor Európskej únie na porušovanie tohto nariadenia a zúčastňovať sa na súdnom konaní v súlade s primárnym právom. Takéto právomoci by mali tiež zahŕňať právomoc nariadiť dočasné alebo trvalé obmedzenie spracúvania, vrátane zákazu spracúvania. Aby sa predišlo zbytočným nákladom a neprimeraným ťažkostiam pre osoby, ktorých sa to týka a ktoré by mohli byť nepriaznivo ovplyvnené, každé opatrenie európskeho dozorného úradníka pre ochranu údajov by malo byť vhodné, potrebné a primerané vzhľadom na zabezpečenie súladu s týmto nariadením, mali by sa v ňom zohľadňovať okolnosti každého jednotlivého prípadu a rešpektovať právo každej osoby na vypočutie pred prijatím akéhokoľvek individuálneho opatrenia. Každé právne záväzné opatrenie európskeho dozorného úradníka pre ochranu údajov by malo mať písomnú podobu, malo by byť jasné a jednoznačné, mal by sa v ňom uvádzať dátum jeho vydania, podpis európskeho dozorného úradníka pre ochranu údajov, odôvodnenie opatrenia a poučenie o práve na účinný prostriedok nápravy.

(63)Rozhodnutia európskeho dozorného úradníka pre ochranu údajov o výnimkách, zárukách, oprávneniach a podmienkach týkajúcich sa operácií spracovávania údajov tak, ako sú vymedzené v tomto nariadení, by sa mali uverejniť v správe o činnosti. Nezávisle od uverejnenia výročnej správy o činnosti môže európsky dozorný úradník pre ochranu údajov uverejňovať správy o špecifických témach.

(64)Národné dozorné orgány monitorujú uplatňovanie nariadenia (EÚ) 2016/679 a prispievajú k jeho jednotnému uplatňovaniu v celej Únii v záujme ochrany fyzických osôb pri spracúvaní ich osobných údajov a uľahčenia voľného toku osobných údajov v rámci vnútorného trhu. V záujme väčšej jednotnosti pri uplatňovaní pravidiel ochrany údajov platných v členských štátoch a pravidiel ochrany údajov platných pre inštitúcie a orgány Únie by európsky dozorný úradník pre ochranu údajov mal účinne spolupracovať s národnými dozornými orgánmi.

(65)V určitých prípadoch sa v práve Únie stanovuje model koordinovaného dozoru vykonávaného spoločne európskym dozorným úradníkom pre ochranu údajov a národnými dozornými orgánmi. Európsky dozorný úradník pre ochranu údajov je okrem toho dozorným orgánom Europolu a osobitný model spolupráce s národnými dozornými orgánmi bol vytvorený prostredníctvom Rady pre spoluprácu s poradenskou funkciou. V záujme zlepšenia účinného dozoru nad hmotnoprávnymi pravidlami v oblasti ochrany údajov a ich presadzovania by sa mal v Únii zaviesť jeden koherentný model koordinovaného dozoru. Komisia by preto mala v príslušných prípadoch predložiť legislatívne návrhy so zreteľom na zmenu právnych aktov Únie stanovujúcich model koordinovaného dozoru s cieľom zosúladiť ich s modelom koordinovaného dozoru podľa tohto nariadenia. Jediným fórom na celoplošné zabezpečenie účinného koordinovaného dozoru by mal byť Európsky výbor pre ochranu údajov.

(66)Každá dotknutá osoba by mala mať právo podať sťažnosť európskemu dozornému úradníkovi pre ochranu údajov a právo na účinný súdny prostriedok nápravy pred Súdnym dvorom Európskej únie v súlade so zmluvami, ak sa domnieva, že boli porušené jej práva podľa tohto nariadenia, alebo ak európsky dozorný úradník pre ochranu údajov nereaguje na sťažnosť, čiastočne alebo v plnom rozsahu ju zamietne alebo nekoná v prípade, keď je takéto konanie potrebné na ochranu práv dotknutej osoby. Vyšetrovanie na základe podanej sťažnosti by sa s výhradou súdneho preskúmania malo vykonávať v rozsahu primeranom pre daný konkrétny prípad. Európsky dozorný úradník pre ochranu údajov by mal dotknutú osobu v primeranej lehote informovať o pokroku a výsledku vo veci jej sťažnosti. Ak si vec vyžaduje ďalšiu koordináciu s národným dozorným orgánom, dotknutej osobe by sa mali poskytnúť priebežné informácie. Na účely uľahčenia podávania sťažností by mal európsky dozorný úradník pre ochranu údajov prijať opatrenia, ako napríklad poskytnúť formulár sťažnosti, ktorý je možné vyplniť aj elektronicky, nevylučujúc pritom iné prostriedky komunikácie.

(67)Každá osoba, ktorá utrpela majetkovú alebo nemajetkovú ujmu v dôsledku porušenia tohto nariadenia, by mala mať právo na náhradu utrpenej škody od prevádzkovateľa alebo sprostredkovateľa podľa podmienok stanovených v zmluve.

(68)V záujme posilnenia dozornej úlohy európskeho dozorného úradníka pre ochranu údajov a účinného presadzovania tohto nariadenia by európsky dozorný úradník pre ochranu údajov mal mať právomoc ukladať správne pokuty ako sankcie v krajnom prípade. Pokuty by nemali byť zamerané na sankcionovanie fyzických osôb, ale skôr na sankcionovanie inštitúcie alebo orgánu za nedodržanie tohto nariadenia, mali by zabraňovať budúcim porušeniam tohto nariadenia a podporovať kultúru ochrany osobných údajov v rámci inštitúcií a orgánov Únie. V tomto nariadení by sa mali uviesť porušenia a horná hranica príslušných správnych pokút a kritériá ich stanovenia. Európsky dozorný úradník pre ochranu údajov by mal určiť výšku sankcií v každom jednotlivom prípade, pričom by mal zohľadniť všetky relevantné okolnosti konkrétnej situácie s náležitým zreteľom na povahu, závažnosť a trvanie porušenia a jeho následkov, ako aj opatrenia, ktoré sa prijali na zabezpečenie súladu s povinnosťami podľa tohto nariadenia a na predchádzanie následkom porušenia alebo ich zmiernenie. Pri ukladaní správnej pokuty orgánu Únie by mal európsky dozorný úradník pre ochranu údajov zvážiť primeranosť výšky pokuty. Pri správnom konaní o uložení pokuty pre inštitúcie a orgány Únie by sa mali rešpektovať všeobecné zásady práva Únie podľa výkladu Súdneho dvora Európskej únie.

(69)Ak sa dotknutá osoba domnieva, že sa jej práva podľa tohto nariadenia porušujú, mala by mať právo poveriť neziskový subjekt, organizáciu alebo združenie zriadené v súlade s právom Únie alebo s právom členského štátu, ktorých ciele podľa stanov sú vo verejnom záujme a ktoré pôsobia v oblasti ochrany osobných údajov, aby podali sťažnosť v jej mene európskemu dozornému úradníkovi pre ochranu údajov. Takýto subjekt, organizácia alebo združenie by takisto mali byť schopné uplatniť právo na súdny prostriedok nápravy v mene dotknutých osôb, alebo uplatniť právo na náhradu škody v mene dotknutých osôb.

(70)Úradník alebo iný zamestnanec Únie, ktorý nedodrží povinnosti podľa tohto nariadenia, by mal podliehať disciplinárnemu konaniu alebo inému konaniu v súlade s pravidlami a postupmi stanovenými v Služobnom poriadku úradníkov Európskej únie alebo v Podmienkach zamestnávania ostatných zamestnancov Európskej únie.

(71)S cieľom zabezpečiť jednotné podmienky vykonávania tohto nariadenia by sa v prípadoch stanovených v tomto nariadení mali na Komisiu preniesť vykonávacie právomoci. Tieto právomoci by sa mali vykonávať v súlade s nariadením Európskeho parlamentu a Rady (EÚ) č. 182/2011 16 . Na prijatie štandardných zmluvných doložiek medzi prevádzkovateľmi a sprostredkovateľmi a medzi sprostredkovateľmi, na prijatie zoznamu spracovateľských operácií, pri ktorých musia prevádzkovatelia, ktorí spracúvajú osobné údaje na splnenie úloh realizovaných vo verejnom záujme, uskutočniť predchádzajúcu konzultáciu s európskym dozorným úradníkom pre ochranu údajov, a na prijatie štandardných zmluvných doložiek, ktoré zabezpečujú primerané záruky pre medzinárodné prenosy, by sa mal použiť postup preskúmania.

(72)Dôverné informácie, ktoré štatistické orgány Únie a členských štátov získavajú na účely tvorby oficiálnych európskych a vnútroštátnych štatistík, by mali byť chránené. Európske štatistiky by sa mali zostavovať, vytvárať a šíriť v súlade so štatistickými zásadami stanovenými v článku 338 ods. 2 ZFEÚ. Ďalšie spresnenia týkajúce sa dôvernosti štatistických údajov pre európske štatistiky sa uvádzajú v nariadení Európskeho parlamentu a Rady (ES) č. 223/2009 17 .

(73)Nariadenie (ES) č. 45/2001 a rozhodnutie č. 1247/2002/ES by sa mali zrušiť. Odkazy na zrušené nariadenie a rozhodnutie by sa mali považovať za odkazy na toto nariadenie.

(74)V záujme zaručenia úplnej nezávislosti členov nezávislého dozorného orgánu by funkčné obdobia súčasného európskeho dozorného úradníka pre ochranu údajov a súčasného zástupcu dozorného úradníka nemali byť ovplyvnené týmto nariadením. Súčasný zástupca dozorného úradníka by mal zostať vo funkcii až do konca svojho funkčného obdobia, pokiaľ sa nesplní jedna z podmienok predčasného ukončenia funkčného obdobia stanovených v tomto nariadení. Príslušné ustanovenia tohto nariadenia by sa na zástupcu dozorného úradníka mali vzťahovať až do skončenia jeho funkčného obdobia.

(75)V súlade so zásadou proporcionality je na dosiahnutie základných cieľov spočívajúcich v zabezpečení rovnocennej úrovne ochrany fyzických osôb a voľného toku osobných údajov v rámci Únie potrebné a vhodné stanoviť pravidlá spracúvania osobných údajov v inštitúciách a orgánoch Únie. V súlade s článkom 5 ods. 4 Zmluvy o Európskej únii toto nariadenie neprekračuje rámec toho, čo je potrebné na dosiahnutie vytýčených cieľov.

(76)V súlade s článkom 28 ods. 2 nariadenia (ES) č. 45/2001 sa uskutočnili konzultácie s európskym dozorným úradníkom pre ochranu údajov, ktorý vydal svoje stanovisko XX. XX. XXXX.

PRIJALI TOTO NARIADENIE:

KAPITOLA I

VŠEOBECNÉ USTANOVENIA

Článok 1

Predmet úpravy a ciele

1.Týmto nariadením sa stanovujú pravidlá týkajúce sa ochrany fyzických osôb so zreteľom na spracúvanie osobných údajov inštitúciami, orgánmi, úradmi a agentúrami Únie a pravidlá týkajúce sa voľného pohybu osobných údajov medzi nimi alebo smerom k príjemcom, ktorí sú usadení v Únii a na ktorých sa vzťahuje nariadenie (EÚ) 2016/679 18 alebo ustanovenia vnútroštátneho práva prijaté podľa smernice (EÚ) 2016/680 19 .

2.Týmto nariadením sa chránia základné práva a slobody fyzických osôb, a najmä ich právo na ochranu osobných údajov.

3.Európsky dozorný úradník pre ochranu údajov monitoruje uplatňovanie ustanovení tohto nariadenia pri všetkých operáciách spracovávania údajov vykonávaných niektorou inštitúciou alebo niektorým orgánom Únie.

Článok 2

Rozsah pôsobnosti

1.Toto nariadenie sa uplatňuje na spracúvanie osobných údajov všetkými inštitúciami a orgánmi Únie, pokiaľ sa takéto spracúvanie uskutočňuje pri výkone činností, ktoré patria, ako celok alebo čiastočne, do rozsahu pôsobnosti práva Únie.

2.Toto nariadenie sa uplatňuje na spracúvanie osobných údajov úplne alebo čiastočne vykonávané automatizovanými prostriedkami a na spracúvanie inými ako automatizovanými prostriedkami v prípade osobných údajov, ktoré tvoria súčasť informačného systému alebo sú určené na to, aby tvorili súčasť informačného systému.

Článok 3

Vymedzenie pojmov

1.Na účely tohto nariadenia sa uplatňuje toto vymedzenie pojmov:

a)vymedzenia v nariadení (EÚ) 2016/679 s výnimkou vymedzenia prevádzkovateľa v článku 4 bode 7 uvedeného nariadenia;

b)vymedzenie „elektronickej komunikácie“ v článku 4 bode 2 písm. a) nariadenia (EÚ) XX/XXXX [nariadenie o ochrane súkromia v elektronickej komunikácii];

c)vymedzenie „elektronickej komunikačnej siete“ v článku 2 bode 1 a vymedzenie „koncového používateľa“ v článku 2 bode 14 smernice 00/0000/EÚ [smernica, ktorou sa stanovuje európsky kódex elektronickej komunikácie];

d)vymedzenie koncového zariadenia v článku 1 bode 1 smernice Komisie 2008/63/ES 20 .

2.Na účely tohto nariadenia sa okrem toho uplatňuje aj toto vymedzenie pojmov:

a)„inštitúcie a orgány Únie“ sú inštitúcie, orgány, úrady a agentúry Únie zriadené Zmluvou o Európskej únii, Zmluvou o fungovaní Európskej únie alebo Zmluvou o založení Európskeho spoločenstva pre atómovú energiu alebo na základe týchto zmlúv;

b)„prevádzkovateľ“ je inštitúcia, orgán, úrad alebo agentúra Únie, generálne riaditeľstvo alebo akákoľvek iná organizačná zložka, ktorá sama alebo spoločne s ostatnými určuje účely a prostriedky spracúvania osobných údajov; v prípade, že sa účely a prostriedky spracúvania stanovujú v konkrétnom akte Únie, prevádzkovateľ alebo konkrétne kritériá jeho menovania môžu byť stanovené právom Únie;

c)„používateľ“ je každá fyzická osoba, ktorá používa sieť alebo koncové zariadenia prevádzkované pod kontrolou inštitúcie alebo orgánu Únie;

d)„zoznam“ je verejne dostupný zoznam používateľov alebo interný zoznam používateľov, ktoré sú k dispozícii v rámci inštitúcie alebo orgánu Únie alebo ktoré spoločne využívajú inštitúcie a orgány Únie, či už v tlačenej alebo elektronickej podobe.

KAPITOLA II

ZÁSADY

Článok 4

Zásady spracúvania osobných údajov

1.Osobné údaje musia byť:

a)spracúvané zákonným spôsobom, spravodlivo a transparentne vo vzťahu k dotknutej osobe („zákonnosť, spravodlivosť a transparentnosť“);

b)získavané na konkrétne určené, výslovne uvedené a legitímne účely a nesmú sa ďalej spracúvať spôsobom, ktorý nie je zlučiteľný s týmito účelmi; ďalšie spracúvanie na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu či štatistické účely sa v súlade s článkom 13 nepovažuje za nezlučiteľné s pôvodnými účelmi („obmedzenie účelu“);

c)primerané, relevantné a obmedzené na rozsah, ktorý je potrebný vzhľadom na účely, na ktoré sa spracúvajú („minimalizácia údajov“);

d)presné a v prípade potreby aktualizované; musia sa vykonať všetky primerané opatrenia, aby sa zaistilo, že údaje, ktoré sú nepresné alebo neúplné so zreteľom na účely, na ktoré boli získané alebo na ktoré sa ďalej spracúvajú, sa vymažú alebo bezodkladne opravia („presnosť“);

e)uchovávané vo forme, ktorá umožňuje identifikáciu dotknutých osôb najviac dovtedy, kým je to potrebné na účely, na ktoré sa osobné údaje spracúvajú; osobné údaje sa môžu uchovávať dlhšie, pokiaľ sa budú spracúvať výlučne na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu či na štatistické účely v súlade s článkom 13 za predpokladu prijatia primeraných technických a organizačných opatrení vyžadovaných týmto nariadením na ochranu práv a slobôd dotknutej osoby („minimalizácia uchovávania“);

f)spracúvané spôsobom, ktorý zaručuje primeranú bezpečnosť osobných údajov, vrátane ochrany pred neoprávneným alebo nezákonným spracúvaním a náhodnou stratou, zničením alebo poškodením, a to prostredníctvom primeraných technických alebo organizačných opatrení („integrita a dôvernosť“).

2.Prevádzkovateľ je zodpovedný za súlad s odsekom 1 a musí vedieť tento súlad preukázať („zodpovednosť“).

Článok 5

Zákonnosť spracúvania

1.Spracúvanie je zákonné iba vtedy a iba v tom rozsahu, keď je splnená aspoň jedna z týchto podmienok:

a)spracúvanie je potrebné na splnenie úlohy realizovanej vo verejnom záujme na základe výkonu verejnej moci zverenej inštitúcii alebo orgánu Únie alebo pri takomto výkone;

b)spracúvanie je potrebné na splnenie zákonnej povinnosti, ktorá sa vzťahuje na prevádzkovateľa;

c)spracúvanie je potrebné na plnenie zmluvy, ktorej zmluvnou stranou je dotknutá osoba, alebo na vykonanie opatrení pred uzatvorením zmluvy na základe žiadosti dotknutej osoby;

d)dotknutá osoba vyjadrila súhlas so spracúvaním svojich osobných údajov na jeden alebo viaceré konkrétne účely;

e)spracúvanie je potrebné v záujme ochrany životne dôležitých záujmov dotknutej osoby alebo inej fyzickej osoby.

2.Úlohy uvedené v odseku 1 písm. a) sa stanovia v práve Únie.

Článok 6

Spracúvanie na iný zlučiteľný účel

Ak spracúvanie na iný účel ako na účel, na ktorý boli osobné údaje získané, nie je založené na súhlase dotknutej osoby alebo na práve Únie, čo v demokratickej spoločnosti predstavuje potrebné a primerané opatrenie na zaistenie cieľov uvedených v článku 25 ods. 1, prevádzkovateľ na zistenie toho, či je spracúvanie na iný účel zlučiteľné s účelom, na ktorý boli osobné údaje pôvodne získané, okrem iného zohľadní:

a)akúkoľvek väzbu medzi účelmi, na ktoré sa osobné údaje získali, a účelmi zamýšľaného ďalšieho spracúvania;

b)okolnosti, za akých sa osobné údaje získali, najmä týkajúce sa vzťahu medzi dotknutými osobami a prevádzkovateľom;

c)povahu osobných údajov, najmä či sa spracúvajú osobitné kategórie osobných údajov podľa článku 10 alebo osobné údaje týkajúce sa rozsudkov v trestných veciach a trestných činov podľa článku 11;

d)možné následky zamýšľaného ďalšieho spracúvania pre dotknuté osoby;

e)existenciu primeraných záruk, ktoré môžu zahŕňať šifrovanie alebo pseudonymizáciu.

Článok 7

Podmienky vyjadrenia súhlasu

1.Ak je spracúvanie založené na súhlase, prevádzkovateľ musí vedieť preukázať, že dotknutá osoba vyjadrila súhlas so spracúvaním svojich osobných údajov.

2.Ak dá dotknutá osoba súhlas v rámci písomného vyhlásenia, ktoré sa týka aj iných skutočností, žiadosť o vyjadrenie súhlasu musí byť predložená tak, aby bola jasne odlíšiteľná od týchto iných skutočností, v zrozumiteľnej a ľahko prístupnej forme a musí byť formulovaná jasne a jednoducho. Akákoľvek časť takéhoto vyhlásenia, ktorá predstavuje porušenie tohto nariadenia, nie je záväzná.

3.Dotknutá osoba má právo kedykoľvek odvolať svoj súhlas. Odvolanie súhlasu nemá vplyv na zákonnosť spracúvania vychádzajúceho zo súhlasu pred jeho odvolaním. Dotknutá osoba musí byť pred poskytnutím súhlasu o tejto skutočnosti informovaná. Odvolanie súhlasu musí byť také jednoduché ako jeho poskytnutie.

4.Pri posudzovaní, či bol súhlas poskytnutý slobodne, sa v čo najväčšej miere zohľadní okrem iného skutočnosť, či sa plnenie zmluvy vrátane poskytnutia služby podmieňuje súhlasom so spracúvaním osobných údajov, ktorý nie je na plnenie tejto zmluvy potrebný.

Článok 8

Podmienky uplatniteľné na súhlas dieťaťa v súvislosti so službami informačnej spoločnosti

1.Ak sa uplatňuje článok 5 ods. 1 písm. d), v súvislosti s ponukou služieb informačnej spoločnosti adresovanou priamo dieťaťu je spracúvanie osobných údajov dieťaťa zákonné, ak má dieťa aspoň 13 rokov. Ak má dieťa menej než 13 rokov, takéto spracúvanie je zákonné iba za podmienky, že súhlas vyjadril alebo schválil nositeľ rodičovských práv a povinností vo vzťahu k dieťaťu, a iba v rozsahu, v akom daný nositeľ takýto súhlas vyjadril alebo schválil.

2.Prevádzkovateľ vynaloží primerané úsilie s ohľadom na dostupnú technológiu, aby si v takýchto prípadoch overil, že nositeľ rodičovských práv a povinností vo vzťahu k dieťaťu vyjadril súhlas alebo ho schválil.

3.Odsekom 1 nie je dotknuté všeobecné zmluvné právo členských štátov, napríklad pravidlá platnosti, uzatvárania alebo účinkov zmluvy vo vzťahu k dieťaťu.

Článok 9

Prenosy osobných údajov príjemcom iným, ako sú inštitúcie a orgány Únie, ktorí sú usadení v Únii a na ktorých sa vzťahuje nariadenie (EÚ) 2016/679 alebo smernica (EÚ) 2016/680

1.Bez toho, aby boli dotknuté články 4, 5, 6 a 10, osobné údaje sa prenášajú len príjemcom usadeným v Únii, na ktorých sa vzťahuje nariadenie (EÚ) 2016/679 alebo vnútroštátne právne predpisy prijaté podľa smernice (EÚ) 2016/680, ak príjemca preukáže, že:

a)údaje sú potrebné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci, alebo

b)prenos údajov je potrebný, primeraný účelom prenosu a že neexistuje nijaký dôvod predpokladať, že by mohli byť poškodené práva a slobody a oprávnené záujmy dotknutej osoby.

2.Ak sa prenos podľa tohto článku uskutočňuje z iniciatívy prevádzkovateľa, prevádzkovateľ musí preukázať, že prenos osobných údajov je potrebný a primeraný účelom prenosu, pričom uplatní kritériá stanovené v odseku 1 písm. a) alebo b).

Článok 10

Spracúvanie osobitných kategórií osobných údajov

1.Zakazuje sa spracúvanie osobných údajov, ktoré odhaľujú rasový alebo etnický pôvod, politické názory, náboženské alebo filozofické presvedčenie alebo členstvo v odborových organizáciách, a spracúvanie genetických údajov, biometrických údajov na individuálnu identifikáciu fyzickej osoby, údajov týkajúcich sa zdravia alebo údajov týkajúcich sa sexuálneho života alebo sexuálnej orientácie fyzickej osoby.

2.Odsek 1 sa neuplatňuje, ak platí niektorá z týchto podmienok:

a)dotknutá osoba vyjadrila výslovný súhlas so spracúvaním týchto údajov na jeden alebo viacero určených účelov, s výnimkou prípadov, keď sa v práve Únie stanovuje, že zákaz uvedený v odseku 1 nemôže dotknutá osoba zrušiť, alebo

b)spracúvanie je potrebné na účely plnenia povinností a výkonu osobitných práv prevádzkovateľa alebo dotknutej osoby v oblasti pracovného práva a práva sociálneho zabezpečenia a sociálnej ochrany, pokiaľ je to povolené právom Únie poskytujúcim primerané záruky ochrany základných práv a záujmov dotknutej osoby, alebo

c)spracúvanie je potrebné na ochranu životne dôležitých záujmov dotknutej osoby alebo inej osoby v prípade, že dotknutá osoba nie je fyzicky alebo právne spôsobilá vyjadriť súhlas;

d)spracúvanie vykonáva v rámci svojej zákonnej činnosti s primeranými zárukami neziskový subjekt, ktorý je začlenený do inštitúcie alebo orgánu Únie, s politickým, filozofickým, náboženským alebo odborárskym zameraním a pod podmienkou, že spracúvanie sa týka výlučne členov alebo bývalých členov tohto subjektu alebo osôb, ktoré s ním majú pravidelný kontakt v súvislosti s jeho cieľmi, a že bez súhlasu dotknutej osoby sa dané údaje neposkytnú mimo tohto subjektu;

e)spracúvanie sa týka údajov, ktoré dotknutá osoba preukázateľne zverejnila;

f)spracúvanie je potrebné na preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov, alebo kedykoľvek, keď Súdny dvor Európskej únie vykonáva svoju súdnu právomoc, alebo

g)spracúvanie je potrebné z dôvodov významného verejného záujmu na základe práva Únie, ktoré sú primerané vzhľadom na sledovaný cieľ, rešpektujú podstatu práva na ochranu údajov a stanovujú vhodné a konkrétne opatrenia na zabezpečenie základných práv a záujmov dotknutej osoby;

h)spracúvanie je potrebné na účely preventívneho alebo pracovného lekárstva, posúdenia pracovnej spôsobilosti zamestnanca, lekárskej diagnózy, poskytovania zdravotnej alebo sociálnej starostlivosti alebo liečby, alebo riadenia systémov a služieb zdravotnej alebo sociálnej starostlivosti na základe práva Únie alebo podľa zmluvy so zdravotníckym pracovníkom a podlieha podmienkam a zárukám uvedeným v odseku 3;

i)spracúvanie je potrebné z dôvodov verejného záujmu v oblasti verejného zdravia, ako je ochrana proti závažným cezhraničným ohrozeniam zdravia alebo zabezpečenie vysokej úrovne kvality a bezpečnosti zdravotnej starostlivosti a liekov alebo zdravotníckych pomôcok, na základe práva Únie, ktorým sa stanovujú vhodné a konkrétne opatrenia na ochranu práv a slobôd dotknutej osoby, najmä profesijné tajomstvo;

j)spracúvanie je potrebné na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu alebo na štatistické účely na základe práva Únie, ktoré sú primerané vzhľadom na sledovaný cieľ, rešpektujú podstatu práva na ochranu údajov a určujú vhodné a konkrétne opatrenia na zabezpečenie základných práv a záujmov dotknutej osoby.

3.Osobné údaje uvedené v odseku 1 sa môžu spracúvať na účely uvedené v odseku 2 písm. h), ak tieto údaje spracúva odborník, alebo ak sa spracúvajú v rámci zodpovednosti odborníka, ktorý podlieha povinnosti zachovávať profesijné tajomstvo podľa práva Únie.

Článok 11

Spracúvanie osobných údajov týkajúcich sa rozsudkov v trestných veciach a trestných činov

Spracúvanie osobných údajov týkajúcich sa rozsudkov v trestných veciach a trestných činov alebo súvisiacich bezpečnostných opatrení podľa článku 5 ods. 1 sa môže vykonávať, len ak je povolené právom Únie, čo môže zahŕňať interné predpisy, poskytujúcim náležité konkrétne záruky ochrany práv a slobôd dotknutých osôb.

Článok 12

Spracúvanie bez potreby identifikácie

1.Ak na účely, na ktoré prevádzkovateľ spracúva osobné údaje, nie je potrebné alebo už viac nie je potrebné, aby prevádzkovateľ identifikoval dotknutú osobu, prevádzkovateľ nie je povinný uchovávať, získať ani spracúvať dodatočné informácie na identifikáciu dotknutej osoby výlučne na to, aby dosiahol súlad s týmto nariadením.

2.Ak v prípadoch uvedených v odseku 1 tohto článku prevádzkovateľ vie preukázať, že dotknutú osobu nie je schopný identifikovať, podľa možnosti o tom dotknutú osobu informuje. V takýchto prípadoch sa články 17 až 22 neuplatňujú okrem prípadov, keď dotknutá osoba na účely vykonania svojich práv podľa uvedených článkov poskytne dodatočné informácie umožňujúce jej identifikáciu.

Článok 13

Záruky týkajúce sa spracúvania na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu alebo na štatistické účely

Na spracúvanie na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu či na štatistické účely sa v súlade s týmto nariadením vzťahujú primerané záruky pre práva a slobody dotknutej osoby. Uvedenými zárukami sa zaistí zavedenie technických a organizačných opatrení, najmä s cieľom zabezpečiť dodržiavanie zásady minimalizácie údajov. Uvedené opatrenia môžu zahŕňať pseudonymizáciu, pokiaľ sa týmto spôsobom môžu dosiahnuť uvedené účely. Keď sa uvedené účely môžu dosiahnuť ďalším spracúvaním, ktoré neumožňuje alebo už viac neumožňuje identifikovať dotknutú osobu, použije sa na dosiahnutie uvedených účelov daný spôsob.

KAPITOLA III

PRÁVA DOTKNUTEJ OSOBY

ODDIEL 1

TRANSPARENTNOSŤ A POSTUPY

Článok 14

Transparentnosť informácií, oznámenia a postupy výkonu práv dotknutej osoby

1.Prevádzkovateľ prijme vhodné opatrenia s cieľom poskytnúť dotknutej osobe všetky informácie uvedené v článkoch 15 a 16 a všetky oznámenia podľa článkov 17 až 24 a článku 38, ktoré sa týkajú spracúvania, v stručnej, transparentnej, zrozumiteľnej a ľahko prístupnej forme, formulované jasne a jednoducho, a to najmä v prípade akýchkoľvek informácií určených osobitne dieťaťu. Informácie sa poskytujú písomne alebo inými prostriedkami, ktoré vo vhodných prípadoch zahŕňajú aj elektronické prostriedky. Na požiadanie dotknutej osoby sa informácie môžu poskytnúť ústne za predpokladu, že sa totožnosť dotknutej osoby preukáže iným spôsobom.

2.Prevádzkovateľ uľahčuje výkon práv dotknutej osoby podľa článkov 17 až 24. V prípadoch uvedených v článku 12 ods. 2 nemôže prevádzkovateľ odmietnuť konať na základe žiadosti dotknutej osoby týkajúcej sa uplatňovania jej práv podľa článkov 17 až 24, pokiaľ nepreukáže, že dotknutú osobu nie je schopný identifikovať.

3.Prevádzkovateľ poskytne dotknutej osobe informácie o opatreniach, ktoré sa prijali na základe žiadosti podľa článkov 17 až 24, bez zbytočného odkladu a v každom prípade do jedného mesiaca od doručenia žiadosti. Uvedená lehota sa môže v prípade potreby predĺžiť o ďalšie dva mesiace, pričom sa zohľadní zložitosť žiadostí a ich počet. Prevádzkovateľ informuje dotknutú osobu o každom takomto predĺžení do jedného mesiaca od doručenia žiadosti spolu s dôvodmi na tento odklad. Ak dotknutá osoba podala žiadosť elektronickými prostriedkami, informácie sa podľa možnosti poskytnú elektronickými prostriedkami, pokiaľ dotknutá osoba nepožiadala o iný spôsob.

4.Ak prevádzkovateľ na základe žiadosti dotknutej osoby neprijme opatrenia, bezodkladne a najneskôr do jedného mesiaca od doručenia žiadosti informuje dotknutú osobu o dôvodoch nekonania a o možnosti podania sťažnosti európskemu dozornému úradníkovi pre ochranu údajov a uplatnenia súdneho prostriedku nápravy.

5.Informácie podľa článkov 15 a 16 a všetky oznámenia a úkony podľa článkov 17 až 24 a článku 38 sa poskytujú bezplatne. Ak sú žiadosti dotknutej osoby zjavne neopodstatnené alebo neprimerané, najmä pre ich opakujúcu sa povahu, prevádzkovateľ môže odmietnuť konať na základe žiadosti.

Prevádzkovateľ znáša bremeno preukázania zjavnej neopodstatnenosti alebo neprimeranosti žiadosti.

6.Bez toho, aby bol dotknutý článok 12, ak má prevádzkovateľ oprávnené pochybnosti v súvislosti s totožnosťou fyzickej osoby, ktorá podáva žiadosť uvedenú v článkoch 17 až 23, môže požiadať o poskytnutie dodatočných informácií potrebných na potvrdenie totožnosti dotknutej osoby.

7.Informácie, ktoré sa majú poskytnúť dotknutým osobám podľa článkov 15 a 16, môžu byť doplnené štandardizovanými ikonami s cieľom poskytnúť dobre viditeľným, jasným a zrozumiteľným spôsobom zmysluplný prehľad o zamýšľanom spracúvaní. Ak sú ikony použité v elektronickej podobe, musia byť strojovo čitateľné.

8.Ak Komisia prijme delegované akty podľa článku 12 ods. 8 nariadenia (EÚ) 2016/679 určujúce informácie, ktoré sa majú oznámiť vo forme ikon, a postupy poskytovania štandardizovaných ikon, inštitúcie a orgány Únie podľa možnosti poskytujú informácie podľa článkov 15 a 16 v kombinácii s takýmito štandardizovanými ikonami.

ODDIEL 2

INFORMÁCIE A PRÍSTUP K OSOBNÝM ÚDAJOM

Článok 15

Informácie, ktoré sa majú poskytovať pri získavaní osobných údajov od dotknutej osoby

1.V prípadoch, keď sa od dotknutej osoby získavajú osobné údaje, ktoré sa jej týkajú, poskytne prevádzkovateľ pri získavaní osobných údajov dotknutej osobe všetky tieto informácie:

a)totožnosť a kontaktné údaje prevádzkovateľa;

b)kontaktné údaje zodpovednej osoby;

c)účely spracúvania, na ktoré sú osobné údaje určené, ako aj právny základ spracúvania;

d)prípadní príjemcovia alebo kategórie príjemcov osobných údajov;

e)v relevantných prípadoch informácie o tom, že prevádzkovateľ zamýšľa preniesť osobné údaje do tretej krajiny alebo medzinárodnej organizácii a informácia o existencii alebo neexistencii rozhodnutia Komisie o primeranosti alebo, v prípade prenosov uvedených v článku 49, odkaz na primerané alebo vhodné záruky a prostriedky na získanie ich kópie alebo informácie o tom, kde boli sprístupnené.

2.Okrem informácií uvedených v odseku 1 prevádzkovateľ poskytne dotknutej osobe pri získavaní osobných údajov tieto ďalšie informácie, ktoré sú potrebné na zabezpečenie spravodlivého a transparentného spracúvania:

a)obdobie uchovávania osobných údajov, alebo ak to nie je možné, kritériá na jeho určenie;

b)existencia práva požadovať od prevádzkovateľa prístup k osobným údajom týkajúcim sa dotknutej osoby, ich opravu, vymazanie alebo obmedzenie ich spracúvania, alebo prípadne práva namietať proti spracúvaniu alebo práva na prenosnosť údajov;

c)ak je spracúvanie založené na článku 5 ods. 1 písm. d) alebo na článku 10 ods. 2 písm. a), existencia práva kedykoľvek svoj súhlas odvolať bez toho, aby to malo vplyv na zákonnosť spracúvania založeného na súhlase udelenom pred jeho odvolaním;

d)právo podať sťažnosť európskemu dozornému úradníkovi pre ochranu údajov;

e)informácia o tom, či je poskytovanie osobných údajov zákonnou alebo zmluvnou požiadavkou, alebo požiadavkou, ktorá je potrebná na uzavretie zmluvy, ako aj o tom, či je dotknutá osoba povinná poskytnúť osobné údaje a o možných následkoch neposkytnutia takýchto údajov;

f)existencia automatizovaného rozhodovania vrátane profilovania uvedeného v článku 24 ods. 1 a 4 a, aspoň v týchto prípadoch, zmysluplné informácie o použitom postupe, ako aj o význame a predpokladaných dôsledkoch takéhoto spracúvania pre dotknutú osobu.

3.Ak má prevádzkovateľ v úmysle ďalej spracúvať osobné údaje na iný účel ako ten, na ktorý boli získané, poskytne dotknutej osobe pred takýmto ďalším spracúvaním informácie o tomto inom účele a všetky ďalšie relevantné informácie uvedené v odseku 2.

4.Odseky 1, 2 a 3 sa neuplatňujú, ak dotknutá osoba už dané informácie má, a v rozsahu, v akom už dané informácie má.

Článok 16

Informácie, ktoré sa majú poskytnúť, ak osobné údaje neboli získané od dotknutej osoby

1.Ak osobné údaje neboli získané od dotknutej osoby, prevádzkovateľ poskytne dotknutej osobe tieto informácie:

a)totožnosť a kontaktné údaje prevádzkovateľa;

b)kontaktné údaje zodpovednej osoby;

c)účely spracúvania, na ktoré sú osobné údaje určené, ako aj právny základ spracúvania;

d)kategórie dotknutých osobných údajov;

e)prípadní príjemcovia alebo kategórie príjemcov osobných údajov;

f)v relevantných prípadoch informácie o tom, že prevádzkovateľ zamýšľa preniesť osobné údaje príjemcovi v tretej krajine alebo medzinárodnej organizácii, a informácia o existencii alebo neexistencii rozhodnutia Komisie o primeranosti alebo, v prípade prenosov uvedených v článku 49, odkaz na primerané alebo vhodné záruky a prostriedky na získanie ich kópie alebo informácie o tom, kde boli sprístupnené.

2.Okrem informácií uvedených v odseku 1 prevádzkovateľ poskytne dotknutej osobe tieto ďalšie informácie potrebné na zabezpečenie spravodlivého a transparentného spracúvania so zreteľom na dotknutú osobu:

a)obdobie uchovávania osobných údajov, alebo ak to nie je možné, kritériá na jeho určenie;

d)právo podať sťažnosť európskemu dozornému úradníkovi pre ochranu údajov;

e)informácie o tom, z akého zdroja pochádzajú osobné údaje, prípadne informácie o tom, či údaje pochádzajú z verejne prístupných zdrojov;

f)existencia automatizovaného rozhodovania vrátane profilovania uvedeného v článku 24 ods. 1 a 4 a aspoň v týchto prípadoch zmysluplné informácie o použitom postupe, ako aj význame a predpokladaných dôsledkoch takéhoto spracúvania pre dotknutú osobu.

3.Prevádzkovateľ poskytne informácie uvedené v odsekoch 1 a 2:

a)v primeranej lehote po získaní osobných údajov, najneskôr však do jedného mesiaca, pričom zohľadní konkrétne okolnosti, za ktorých sa osobné údaje spracúvajú;

b)ak sa osobné údaje majú použiť na komunikáciu s dotknutou osobou, najneskôr v čase prvej komunikácie s touto dotknutou osobou, alebo

c)ak sa predpokladá poskytnutie osobných údajov ďalšiemu príjemcovi, najneskôr vtedy, keď sa osobné údaje prvýkrát poskytnú.

4.Ak má prevádzkovateľ v úmysle ďalej spracúvať osobné údaje na iný účel ako ten, na ktorý boli osobné údaje získané, poskytne dotknutej osobe pred takýmto ďalším spracúvaním informácie o tomto inom účele a všetky ďalšie relevantné informácie uvedené v odseku 2.

5.Odseky 1 až 4 sa neuplatňujú, ak a v rozsahu, v akom:

a)dotknutá osoba už dané informácie má;

b)sa poskytovanie takýchto informácií ukáže ako nemožné alebo by si vyžadovalo neprimerané úsilie, najmä v prípade spracúvania na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu či na štatistické účely, alebo pokiaľ je pravdepodobné, že povinnosť uvedená v odseku 1 tohto článku znemožní alebo závažným spôsobom sťaží dosiahnutie cieľov takéhoto spracúvania;

c)sa získanie alebo sprístupnenie výslovne stanovuje v práve Únie, alebo

d)osobné údaje musia zostať dôverné na základe povinnosti zachovávania profesijného tajomstva upravenej právom Únie.

Článok 17

Právo dotknutej osoby na prístup k údajom

1.Dotknutá osoba má právo získať od prevádzkovateľa potvrdenie o tom, či sa spracúvajú osobné údaje, ktoré sa jej týkajú, a ak tomu tak je, má právo získať prístup k týmto osobným údajom a tieto informácie:

a)účely spracúvania;

b)kategórie dotknutých osobných údajov;

c)príjemcovia alebo kategórie príjemcov, ktorým boli alebo budú osobné údaje poskytnuté, najmä príjemcovia v tretích krajinách alebo medzinárodné organizácie;

d)ak je to možné, predpokladané obdobie uchovávania osobných údajov alebo, ak to nie je možné, kritériá na jeho určenie;

e)existencia práva požadovať od prevádzkovateľa opravu osobných údajov týkajúcich sa dotknutej osoby alebo ich vymazanie alebo obmedzenie spracúvania, alebo práva namietať proti takémuto spracúvaniu;

f)právo podať sťažnosť európskemu dozornému úradníkovi pre ochranu údajov;

g)ak sa osobné údaje nezískali od dotknutej osoby, akékoľvek dostupné informácie, pokiaľ ide o ich zdroj;

h)existencia automatizovaného rozhodovania vrátane profilovania uvedeného v článku 24 ods. 1 a 4 a, aspoň v týchto prípadoch, zmysluplné informácie o použitom postupe, ako aj význame a predpokladaných dôsledkoch takéhoto spracúvania pre dotknutú osobu.

2.Ak sa osobné údaje prenášajú do tretej krajiny alebo medzinárodnej organizácii, dotknutá osoba má právo byť informovaná o primeraných zárukách podľa článku 49 týkajúcich sa prenosu.

3.Prevádzkovateľ poskytne kópiu osobných údajov, ktoré sa spracúvajú. Ak dotknutá osoba podala žiadosť elektronickými prostriedkami, informácie sa poskytnú v bežne používanej elektronickej podobe, pokiaľ dotknutá osoba nepožiadala o iný spôsob.

4.Právo získať kópiu uvedenú v odseku 3 nesmie mať nepriaznivé dôsledky na práva a slobody iných.

ODDIEL 3

OPRAVA A VYMAZANIE

Článok 18

Právo na opravu

Dotknutá osoba má právo na to, aby prevádzkovateľ bez zbytočného odkladu opravil nesprávne osobné údaje, ktoré sa jej týkajú. So zreteľom na účely spracúvania má dotknutá osoba právo na doplnenie neúplných osobných údajov, a to aj prostredníctvom poskytnutia doplnkového vyhlásenia.

Článok 19

Právo na vymazanie („právo na zabudnutie“)

1.Dotknutá osoba má právo na to, aby prevádzkovateľ bez zbytočného odkladu vymazal osobné údaje, ktoré sa jej týkajú, a prevádzkovateľ je povinný osobné údaje bez zbytočného odkladu vymazať, ak je splnený niektorý z týchto dôvodov:

a)osobné údaje už nie sú potrebné na účely, na ktoré sa získavali alebo inak spracúvali;

b)dotknutá osoba odvolá súhlas, na základe ktorého sa spracúvanie vykonáva, podľa článku 5 ods. 1 písm. d) alebo článku 10 ods. 2 písm. a), a ak neexistuje žiadny iný právny základ pre spracúvanie;

c)dotknutá osoba namieta voči spracúvaniu podľa článku 23 ods. 1 a neexistujú žiadne prevažujúce oprávnené dôvody na spracúvanie;

d)osobné údaje sa spracúvali nezákonne;

e)osobné údaje musia byť vymazané, aby sa splnila zákonná povinnosť, ktorá sa vzťahuje na prevádzkovateľa;

f)osobné údaje sa získavali v súvislosti s ponukou služieb informačnej spoločnosti podľa článku 8 ods. 1.

2.Ak prevádzkovateľ zverejnil osobné údaje a je podľa odseku 1 povinný osobné údaje vymazať, so zreteľom na dostupnú technológiu a náklady na vykonanie opatrení podnikne primerané opatrenia vrátane technických opatrení, aby informoval prevádzkovateľov, ktorí vykonávajú spracúvanie osobných údajov, že dotknutá osoba ich žiada, aby vymazali všetky odkazy na tieto osobné údaje, ich kópie alebo repliky.

3.Odseky 1 a 2 sa neuplatňujú, pokiaľ je spracúvanie potrebné:

a)na uplatnenie práva na slobodu prejavu a na informácie;

b)na splnenie zákonnej povinnosti, ktorá sa na prevádzkovateľa vzťahuje, alebo na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi;

c)z dôvodov verejného záujmu v oblasti verejného zdravia v súlade s článkom 10 ods. 2 písm. h) a i), ako aj článkom 10 ods. 3;

d)na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu či na štatistické účely, pokiaľ je pravdepodobné, že právo uvedené v odseku 1 znemožní alebo závažným spôsobom sťaží dosiahnutie cieľov takéhoto spracúvania, alebo

e)na preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov.

Článok 20

Právo na obmedzenie spracúvania

1.Dotknutá osoba má právo na to, aby prevádzkovateľ obmedzil spracúvanie, pokiaľ ide o jeden z týchto prípadov:

a)dotknutá osoba poprie správnosť osobných údajov, a to počas obdobia umožňujúceho prevádzkovateľovi overiť správnosť, ako aj úplnosť osobných údajov;

b)spracúvanie je protizákonné a dotknutá osoba namieta proti vymazaniu osobných údajov a žiada namiesto toho obmedzenie ich použitia;

c)prevádzkovateľ už nepotrebuje osobné údaje na účely spracúvania, ale potrebuje ich dotknutá osoba na preukázanie, uplatňovanie alebo obhajovanie právnych nárokov;

d)dotknutá osoba namieta voči spracúvaniu podľa článku 23 ods. 1, a to až do overenia, či oprávnené dôvody na strane prevádzkovateľa prevažujú nad oprávnenými dôvodmi dotknutej osoby.

2.Ak sa spracúvanie obmedzilo podľa odseku 1, takéto osobné údaje sa s výnimkou uchovávania spracúvajú len so súhlasom dotknutej osoby alebo na preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov, alebo na ochranu práv inej fyzickej alebo právnickej osoby, alebo z dôvodov dôležitého verejného záujmu Únie alebo členského štátu.

3.Dotknutú osobu, ktorá dosiahla obmedzenie spracúvania podľa odseku 1, prevádzkovateľ informuje pred tým, ako bude obmedzenie spracúvania zrušené.

4.V automatizovaných informačných systémoch sa obmedzenie spracúvania v zásade zabezpečuje technickými prostriedkami. Skutočnosť, že v súvislosti s osobnými údajmi existuje obmedzenie, sa v systéme vyznačí takým spôsobom, z ktorého je jasné, že dané osobné údaje sa nesmú používať.

Článok 21

Oznamovacia povinnosť v súvislosti s opravou alebo vymazaním osobných údajov alebo obmedzením spracúvania

Prevádzkovateľ oznámi každému príjemcovi, ktorému boli osobné údaje poskytnuté, každú opravu alebo vymazanie osobných údajov alebo obmedzenie spracúvania uskutočnené podľa článku 18, článku 19 ods. 1 a článku 20, pokiaľ sa to neukáže ako nemožné alebo si to nevyžaduje neprimerané úsilie. Prevádzkovateľ o týchto príjemcoch informuje dotknutú osobu, ak to dotknutá osoba požaduje.

Článok 22

Právo na prenosnosť údajov

1.Dotknutá osoba má právo získať osobné údaje, ktoré sa jej týkajú a ktoré poskytla prevádzkovateľovi, v štruktúrovanom, bežne používanom a strojovo čitateľnom formáte a má právo preniesť tieto údaje ďalšiemu prevádzkovateľovi bez toho, aby jej prevádzkovateľ, ktorému sa tieto osobné údaje poskytli, bránil, ak:

a)sa spracúvanie zakladá na súhlase podľa článku 5 ods. 1 písm. d) alebo článku 10 ods. 2 písm. a), alebo na zmluve podľa článku 5 ods. 1 písm. c) a

b)ak sa spracúvanie vykonáva automatizovanými prostriedkami.

2.Dotknutá osoba má pri uplatňovaní svojho práva na prenosnosť údajov podľa odseku 1 právo na prenos osobných údajov priamo od jedného prevádzkovateľa druhému prevádzkovateľovi, pokiaľ je to technicky možné.

3.Uplatňovaním práva uvedeného v odseku 1 tohto článku nie je dotknutý článok 19. Uvedené právo sa nevzťahuje na spracúvanie potrebné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi.

4.Právo uvedené v odseku 1 nesmie mať nepriaznivé dôsledky na práva a slobody iných.

ODDIEL 4

PRÁVO NAMIETAŤ A AUTOMATIZOVANÉ INDIVIDUÁLNE ROZHODOVANIE

Článok 23

Právo namietať

1.Dotknutá osoba má právo kedykoľvek namietať z dôvodov týkajúcich sa jej konkrétnej situácie proti spracúvaniu osobných údajov, ktoré sa jej týkajú, ktoré je vykonávané na základe článku 5 ods. 1 písm. a), vrátane profilovania založeného na uvedenom ustanovení. Prevádzkovateľ nesmie ďalej spracúvať osobné údaje, pokiaľ nepreukáže nevyhnutné oprávnené dôvody na spracúvanie, ktoré prevažujú nad záujmami, právami a slobodami dotknutej osoby, alebo dôvody na preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov.

2.Dotknutá osoba sa výslovne upozorní na právo uvedené v odseku 1 najneskôr pri prvej komunikácii s ňou, pričom toto právo sa uvedie jasne a oddelene od akýchkoľvek iných informácií.

3.Bez toho, aby boli dotknuté články 34 a 35, v súvislosti s využívaním služieb informačnej spoločnosti môže dotknutá osoba uplatňovať svoje právo namietať automatizovanými prostriedkami s použitím technických špecifikácií.

4.Ak sa osobné údaje spracúvajú na účely vedeckého alebo historického výskumu či na štatistické účely, dotknutá osoba má právo namietať z dôvodov týkajúcich sa jej konkrétnej situácie proti spracúvaniu osobných údajov, ktoré sa jej týkajú, s výnimkou prípadov, keď je spracúvanie potrebné na splnenie úlohy realizovanej z dôvodov verejného záujmu.

Článok 24

Automatizované individuálne rozhodovanie vrátane profilovania

1.Dotknutá osoba má právo na to, aby sa na ňu nevzťahovalo rozhodnutie, ktoré je založené výlučne na automatizovanom spracúvaní vrátane profilovania a ktoré má právne účinky, ktoré sa jej týkajú alebo ju podobne významne ovplyvňujú.

2.Odsek 1 sa neuplatňuje, ak je rozhodnutie:

a)potrebné na uzavretie alebo plnenie zmluvy medzi dotknutou osobou a prevádzkovateľom;

b)povolené právom Únie, ktorým sa zároveň stanovujú aj vhodné opatrenia zaručujúce ochranu práv a slobôd a oprávnených záujmov dotknutej osoby, alebo

c)založené na výslovnom súhlase dotknutej osoby.

3.V prípadoch uvedených v odseku 2 písm. a) a c) prevádzkovateľ vykoná vhodné opatrenia na ochranu práv a slobôd a oprávnených záujmov dotknutej osoby, a to aspoň práva na ľudský zásah zo strany prevádzkovateľa, práva vyjadriť svoje stanovisko a práva napadnúť rozhodnutie.

4.Rozhodnutia uvedené v odseku 2 sa nezakladajú na osobitných kategóriách osobných údajov uvedených v článku 10 ods. 1, pokiaľ sa neuplatňuje článok 10 ods. 2 písm. a) alebo g) a nie sú zavedené vhodné opatrenia na zaručenie práv a slobôd a oprávnených záujmov dotknutej osoby.

ODDIEL 5

OBMEDZENIA

Článok 25

Obmedzenia

1.Uplatňovanie článkov 14 až 22, 34 a 38, ako aj článku 4, v rozsahu, v akom jeho ustanovenia zodpovedajú právam a povinnostiam stanoveným v článkoch 14 až 22, sa môže obmedziť právnymi aktmi prijatými na základe zmlúv alebo, vo veciach týkajúcich sa fungovania inštitúcií a orgánov Únie, interných predpisov stanovených týmito inštitúciami a orgánmi, ak takéto obmedzenie rešpektuje podstatu základných práv a slobôd a je v demokratickej spoločnosti potrebným a primeraným opatrením s cieľom zaistiť:

a)národnú bezpečnosť, verejnú bezpečnosť alebo obranu členských štátov;

b)predchádzanie trestným činom, ich vyšetrovanie, odhaľovanie alebo stíhanie alebo výkon trestných sankcií vrátane ochrany pred ohrozeniami verejnej bezpečnosti a predchádzania týmto ohrozeniam;

c)iné dôležité ciele všeobecného verejného záujmu Únie alebo členského štátu, najmä dôležitý hospodársky alebo finančný záujem Únie alebo členského štátu vrátane peňažných, rozpočtových a daňových záležitostí, verejného zdravia a sociálneho zabezpečenia;

d)vnútornú bezpečnosť inštitúcií a orgánov Únie vrátane ich elektronických komunikačných sietí;

e)ochranu nezávislosti súdnictva a súdnych konaní;

f)predchádzanie porušeniam etiky v prípade regulovaných povolaní, ich vyšetrovanie, odhaľovanie a stíhanie;

g)monitorovaciu, kontrolnú alebo regulačnú funkciu spojenú, hoci aj príležitostne, s výkonom verejnej moci v prípadoch uvedených v písmenách a) až c);

h)ochranu dotknutej osoby alebo práv a slobôd iných;

i)vymáhanie občianskoprávnych nárokov.

2.Ak sa obmedzenie nestanovuje v právnom akte prijatom na základe zmlúv alebo v internom predpise v súlade s odsekom 1, inštitúcie a orgány Únie môžu obmedziť uplatňovanie článkov 14 až 22, 34 a 38, ako aj článku 4, v rozsahu, v akom jeho ustanovenia zodpovedajú právam a povinnostiam stanoveným v článkoch 14 až 22, ak takéto obmedzenie rešpektuje podstatu základných práv a slobôd vo vzťahu ku konkrétnej spracovateľskej operácii a je v demokratickej spoločnosti potrebným a primeraným opatrením na zaistenie jedného alebo viacerých cieľov uvedených v odseku 1. Obmedzenie sa oznámi príslušnej zodpovednej osobe.

3.Keď sa osobné údaje spracúvajú na účely vedeckého alebo historického výskumu či na štatistické účely, v práve Únie, ktoré môže zahŕňať interné predpisy, sa môžu stanoviť odchýlky z práv uvedených v článkoch 17, 18, 20 a 23, pričom sa dodržia podmienky a záruky uvedené v článku 13, pokiaľ takéto práva pravdepodobne znemožnia alebo závažným spôsobom sťažia dosiahnutie osobitných účelov a pokiaľ sú takéto odchýlky potrebné na dosiahnutie uvedených účelov.

4.Keď sa osobné údaje spracúvajú na účely archivácie vo verejnom záujme, v práve Únie, ktoré môže zahŕňať interné predpisy, sa môžu stanoviť odchýlky z práv uvedených v článkoch 17, 18, 20, 21, 22 a 23, pričom sa dodržia podmienky a záruky uvedené v článku 13, pokiaľ takéto práva pravdepodobne znemožnia alebo závažným spôsobom sťažia dosiahnutie osobitných účelov a pokiaľ sú takéto odchýlky potrebné na dosiahnutie uvedených účelov.

5.Interné predpisy uvedené v odsekoch 1, 3 a 4 musia byť dostatočne jasné a presné a náležite zverejnené.

6.Ak je uložené obmedzenie podľa odsekov 1 alebo 2, dotknutej osobe sa v súlade s právom Únie poskytnú informácie o hlavných dôvodoch, na základe ktorých sa obmedzenie uplatňuje, a o jej práve podať sťažnosť európskemu dozornému úradníkovi pre ochranu údajov.

7.Ak je dotknutej osobe odopretý prístup k údajom na základe obmedzenia uloženého podľa odsekov 1 alebo 2, európsky dozorný úradník pre ochranu údajov pri vyšetrovaní sťažnosti informuje dotknutú osobu iba o tom, či boli údaje spracované správne, a ak nie, či boli vykonané všetky potrebné opravy.

8.Poskytnutie informácií uvedených v odsekoch 6 a 7 a v článku 46 ods. 2 sa môže odložiť, zamietnuť alebo sa od neho môže upustiť, ak by sa ním zrušil účinok obmedzenia uloženého podľa odseku 1 alebo 2.

KAPITOLA IV

PREVÁDZKOVATEĽ A SPROSTREDKOVATEĽ

ODDIEL 1

VŠEOBECNÉ POVINNOSTI

Článok 26

Zodpovednosť prevádzkovateľa

1.S ohľadom na povahu, rozsah, kontext a účely spracúvania, ako aj na riziká s rôznou pravdepodobnosťou a závažnosťou pre práva a slobody fyzických osôb, prevádzkovateľ prijme vhodné technické a organizačné opatrenia, aby zabezpečil a bol schopný preukázať, že spracúvanie sa vykonáva v súlade s týmto nariadením. Uvedené opatrenia sa podľa potreby preskúmajú a aktualizujú.

2.Ak je to primerané vzhľadom na spracovateľské činnosti, opatrenia uvedené v odseku 1 zahŕňajú zavedenie primeraných politík ochrany údajov zo strany prevádzkovateľa.

Článok 27

Špecificky navrhnutá a štandardná ochrana údajov

1.Prevádzkovateľ so zreteľom na najnovšie poznatky, náklady na vykonanie opatrení a na povahu, rozsah, kontext a účely spracúvania, ako aj na riziká s rôznou pravdepodobnosťou a závažnosťou, ktoré spracúvanie predstavuje pre práva a slobody fyzických osôb, vykoná v čase určenia prostriedkov spracúvania aj v čase samotného spracúvania primerané technické a organizačné opatrenia, ako je napríklad pseudonymizácia, ktorými sa majú účinne zaviesť zásady ochrany údajov, ako je minimalizácia údajov, a začleniť do spracúvania potrebné záruky s cieľom splniť požiadavky tohto nariadenia a chrániť práva dotknutých osôb.

2.Prevádzkovateľ vykoná primerané technické a organizačné opatrenia na zaistenie toho, aby sa štandardne spracúvali len osobné údaje, ktoré sú potrebné pre každý konkrétny účel spracúvania. Uvedená povinnosť sa vzťahuje na množstvo získaných osobných údajov, rozsah ich spracúvania, obdobie ich uchovávania a ich dostupnosť. Konkrétne sa takýmito opatreniami zabezpečí, aby osobné údaje neboli bez zásahu fyzickej osoby štandardne prístupné neobmedzenému počtu fyzických osôb.

Článok 28

Spoloční prevádzkovatelia

1.V prípade, že inštitúcia alebo orgán Únie spolu s jedným alebo viacerými prevádzkovateľmi, ktorí môžu, ale nemusia byť inštitúciami alebo orgánmi Únie, spoločne určia účely a prostriedky spracúvania, považujú sa za spoločných prevádzkovateľov. Transparentne určia svoje príslušné zodpovednosti za plnenie povinností v oblasti ochrany údajov, najmä pokiaľ ide o uplatňovanie práv dotknutej osoby, a svoje príslušné povinnosti poskytovať informácie uvedené v článkoch 15 a 16, a to formou vzájomnej dohody, pokiaľ nie sú príslušné zodpovednosti prevádzkovateľov určené právom Únie alebo právom členskému štátu, ktorému prevádzkovatelia podliehajú. V dohode sa môže určiť kontaktné miesto pre dotknuté osoby.

2.V dohode uvedenej v odseku 1 sa náležite zohľadnia príslušné úlohy spoločných prevádzkovateľov a ich vzťahy voči dotknutým osobám. Základné časti dohody sa sprístupnia dotknutej osobe.

3.Dotknutá osoba môže uplatňovať svoje práva podľa tohto nariadenia v súvislosti s jedným alebo viacerými spoločnými prevádzkovateľmi a voči jednému alebo viacerým spoločným prevádzkovateľom, pričom sa zohľadnia ich úlohy stanovené v podmienkach dohody uvedenej v odseku 1.

Článok 29

Sprostredkovateľ

1.Ak sa má spracúvanie uskutočniť v mene prevádzkovateľa, prevádzkovateľ využíva len sprostredkovateľov poskytujúcich dostatočné záruky týkajúce sa prijatia primeraných technických a organizačných opatrení tak, aby spracúvanie spĺňalo požiadavky tohto nariadenia a aby sa zabezpečila ochrana práv dotknutej osoby.

2.Sprostredkovateľ nezapojí ďalšieho sprostredkovateľa bez predchádzajúceho osobitného alebo všeobecného písomného povolenia prevádzkovateľa. V prípade všeobecného písomného povolenia sprostredkovateľ informuje prevádzkovateľa o akýchkoľvek zamýšľaných zmenách v súvislosti s pridaním alebo nahradením ďalších sprostredkovateľov, čím prevádzkovateľovi poskytne možnosť namietať voči takýmto zmenám.

3.Spracúvanie sprostredkovateľom sa riadi zmluvou alebo iným právnym aktom podľa práva Únie alebo práva členského štátu, ktoré zaväzujú sprostredkovateľa voči prevádzkovateľovi a ktorými sa stanovuje predmet a obdobie spracúvania, povaha a účel spracúvania, typ osobných údajov a kategórie dotknutých osôb a povinnosti a práva prevádzkovateľa. Uvedená zmluva alebo iný právny akt najmä stanovia, že sprostredkovateľ:

a)spracúva osobné údaje len na základe zdokumentovaných pokynov prevádzkovateľa, a to aj pokiaľ ide o prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii, s výnimkou prípadov, keď sa to vyžaduje podľa práva Únie alebo práva členského štátu, ktorému sprostredkovateľ podlieha; v takom prípade sprostredkovateľ informuje prevádzkovateľa o tejto právnej požiadavke pred spracúvaním, pokiaľ dané právo takéto informovanie nezakazuje z dôležitých dôvodov verejného záujmu;

b)zabezpečí, aby sa osoby oprávnené spracúvať osobné údaje zaviazali, že zachovajú dôvernosť informácií, alebo aby sa na ne vzťahovala primeraná zákonná povinnosť zachovávať dôvernosť informácií;

c)vykoná všetky požadované opatrenia podľa článku 33;

d)dodržiava podmienky zapojenia ďalšieho sprostredkovateľa uvedené v odsekoch 2 a 4;

e)pri zohľadnení povahy spracúvania v čo najväčšej možnej miere pomáha prevádzkovateľovi vhodnými technickými a organizačnými opatreniami pri plnení jeho povinnosti reagovať na žiadosti o výkon práv dotknutej osoby stanovených v kapitole III;

f)pomáha prevádzkovateľovi zabezpečiť plnenie povinností podľa článkov 33 až 40 s prihliadnutím na povahu spracúvania a informácie dostupné sprostredkovateľovi;

g)po ukončení poskytovania služieb týkajúcich sa spracúvania na základe rozhodnutia prevádzkovateľa všetky osobné údaje vymaže alebo vráti prevádzkovateľovi a vymaže existujúce kópie, ak právo Únie alebo právo členského štátu nepožaduje uchovávanie týchto osobných údajov;

h)poskytne prevádzkovateľovi všetky informácie potrebné na preukázanie splnenia povinností stanovených v tomto článku a umožní audity, ako aj kontroly vykonávané prevádzkovateľom alebo iným audítorom, ktorého poveril prevádzkovateľ, a prispieva k nim.

So zreteľom na prvý pododsek písm. h) sprostredkovateľ bezodkladne informuje prevádzkovateľa, ak sa podľa jeho názoru pokynom porušuje toto nariadenie alebo iné právne predpisy Únie alebo členského štátu týkajúce sa ochrany údajov.

4.Ak sprostredkovateľ zapojí do vykonávania osobitných spracovateľských činností v mene prevádzkovateľa ďalšieho sprostredkovateľa, tomuto ďalšiemu sprostredkovateľovi sa prostredníctvom zmluvy alebo iného právneho aktu podľa práva Únie alebo práva členského štátu uložia rovnaké povinnosti ochrany údajov, ako sa stanovujú v zmluve alebo inom právnom akte uzatvorenom medzi prevádzkovateľom a sprostredkovateľom podľa odseku 3, a to predovšetkým poskytnutie dostatočných záruk na vykonanie primeraných technických a organizačných opatrení takým spôsobom, aby spracúvanie spĺňalo požiadavky tohto nariadenia. Ak tento ďalší sprostredkovateľ neplní svoje povinnosti ochrany údajov, pôvodný sprostredkovateľ zostáva voči prevádzkovateľovi plne zodpovedný za plnenie povinností tohto ďalšieho sprostredkovateľa.

5.Keď sprostredkovateľ nie je inštitúciou ani orgánom Únie, môže sa ako prvok na preukázanie dostatočných záruk podľa odsekov 1 a 4 tohto článku použiť dodržiavanie schváleného kódexu správania podľa článku 40 ods. 5 nariadenia (EÚ) 2016/679 alebo schváleného certifikačného mechanizmu podľa článku 42 nariadenia (EÚ) 2016/679.

6.Bez toho, aby tým bola dotknutá individuálna zmluva medzi prevádzkovateľom a sprostredkovateľom, zmluva alebo iný právny akt uvedené v odsekoch 3 a 4 tohto článku sa môžu vcelku alebo sčasti zakladať na štandardných zmluvných doložkách uvedených v odsekoch 7 a 8 tohto článku, a to aj v prípadoch, keď sú súčasťou certifikácie udelenej sprostredkovateľovi inému ako inštitúcia alebo orgán Únie podľa článku 42 nariadenia (EÚ) 2016/679.

7.Komisia môže stanoviť štandardné zmluvné doložky pre záležitosti uvedené v odsekoch 3 a 4 tohto článku v súlade s postupom preskúmania uvedeným v článku 70 ods. 2.

8.Európsky dozorný úradník pre ochranu údajov môže prijať štandardné zmluvné doložky pre záležitosti uvedené v odsekoch 3 a 4.

9.Zmluva alebo iný právny akt uvedené v odsekoch 3 a 4 sa vypracujú v písomnej podobe vrátane elektronickej podoby.

10.Bez toho, aby boli dotknuté články 65 a 66, ak sprostredkovateľ poruší toto nariadenie tým, že určí účely a prostriedky spracúvania, považuje sa v súvislosti s daným spracúvaním za prevádzkovateľa.

Článok 30

Spracúvanie na základe poverenia prevádzkovateľa a sprostredkovateľa

Sprostredkovateľ a každá osoba konajúca na základe poverenia prevádzkovateľa alebo sprostredkovateľa, ktorá má prístup k osobným údajom, môže spracúvať tieto údaje len na základe pokynov prevádzkovateľa, s výnimkou prípadov, keď sa to vyžaduje podľa práva Únie alebo práva členského štátu.

Článok 31

Záznamy o spracovateľských činnostiach

1.Každý prevádzkovateľ vedie záznamy o spracovateľských činnostiach, za ktoré je zodpovedný. Uvedené záznamy musia obsahovať všetky tieto informácie:

a)meno/názov a kontaktné údaje prevádzkovateľa, zodpovednej osoby a prípadne sprostredkovateľa a spoločného prevádzkovateľa;

b)účely spracúvania;

c)opis kategórií dotknutých osôb a kategórií osobných údajov;

d)kategórie príjemcov, ktorým boli alebo budú osobné údaje poskytnuté, vrátane príjemcov v členských štátoch, tretích krajinách alebo medzinárodných organizácií;

e)v príslušných prípadoch prenosy osobných údajov do tretej krajiny alebo medzinárodnej organizácii vrátane označenia predmetnej tretej krajiny alebo medzinárodnej organizácie a dokumentáciu primeraných záruk;

f)podľa možností predpokladané lehoty na vymazanie rôznych kategórií údajov;

g)podľa možností všeobecný opis technických a organizačných bezpečnostných opatrení uvedených v článku 33.

2.Každý sprostredkovateľ vedie záznamy o všetkých kategóriách spracovateľských činností, ktoré vykonal v mene prevádzkovateľa, pričom tieto záznamy zahŕňajú:

a)meno/názov a kontaktné údaje sprostredkovateľa alebo sprostredkovateľov a každého prevádzkovateľa, v mene ktorého sprostredkovateľ koná, a meno zodpovednej osoby;

b)kategórie spracúvania vykonávaného v mene každého prevádzkovateľa;

c)v príslušných prípadoch prenosy osobných údajov do tretej krajiny alebo medzinárodnej organizácii vrátane označenia predmetnej tretej krajiny alebo medzinárodnej organizácie a dokumentáciu primeraných záruk;

d)podľa možností všeobecný opis technických a organizačných bezpečnostných opatrení uvedených v článku 33.

3.Záznamy uvedené v odsekoch 1 a 2 sa vedú v písomnej podobe vrátane elektronickej podoby.

4.Inštitúcie a orgány Únie na požiadanie sprístupnia záznamy európskemu dozornému úradníkovi pre ochranu údajov.

5.Inštitúcie a orgány Únie sa môžu rozhodnúť uchovávať svoje záznamy o spracovateľských činnostiach v centrálnom registri. V takom prípade sa tiež môžu rozhodnúť sprístupniť register verejnosti.

Článok 32

Spolupráca s európskym dozorným úradníkom pre ochranu údajov

Inštitúcie a orgány Únie na požiadanie spolupracujú s európskym dozorným úradníkom pre ochranu údajov pri plnení jeho úloh.

ODDIEL 2

BEZPEČNOSŤ OSOBNÝCH ÚDAJOV A DÔVERNOSŤ ELEKTRONICKÝCH KOMUNIKÁCIÍ

Článok 33

Bezpečnosť spracúvania

1.Prevádzkovateľ a sprostredkovateľ prijmú so zreteľom na najnovšie poznatky, náklady na vykonanie opatrení a na povahu, rozsah, kontext a účely spracúvania, ako aj na riziko s rôznou pravdepodobnosťou a závažnosťou pre práva a slobody fyzických osôb, primerané technické a organizačné opatrenia s cieľom zaistiť úroveň bezpečnosti primeranú tomuto riziku, pričom uvedené opatrenia prípadne zahŕňajú aj:

a)pseudonymizáciu a šifrovanie osobných údajov;

b)schopnosť zabezpečiť trvalú dôvernosť, integritu, dostupnosť a odolnosť systémov a služieb spracúvania;

c)schopnosť včas obnoviť dostupnosť osobných údajov a prístup k nim v prípade fyzického alebo technického incidentu;

d)proces pravidelného testovania, posudzovania a hodnotenia účinnosti technických a organizačných opatrení na zaistenie bezpečnosti spracúvania.

2.Pri posudzovaní primeranej úrovne bezpečnosti sa prihliada predovšetkým na riziká, ktoré predstavuje spracúvanie, a to najmä v dôsledku náhodného alebo nezákonného zničenia, straty, zmeny, neoprávneného poskytnutia osobných údajov, ktoré sa prenášajú, uchovávajú alebo inak spracúvajú, alebo neoprávneného prístupu k takýmto údajom.

3.Prevádzkovateľ a sprostredkovateľ podniknú kroky na zabezpečenie toho, aby každá fyzická osoba konajúca na základe poverenia prevádzkovateľa alebo sprostredkovateľa, ktorá má prístup k osobným údajom, spracúvala tieto údaje len na základe pokynov prevádzkovateľa s výnimkou prípadov, keď sa to od nej vyžaduje podľa práva Únie.

Článok 34

Dôvernosť elektronických komunikácií

Inštitúcie a orgány Únie zabezpečia dôvernosť elektronických komunikácií, najmä zabezpečením svojich elektronických komunikačných sietí.

Článok 35

Ochrana informácií týkajúcich sa koncových zariadení koncových používateľov

Inštitúcie a orgány Únie chránia informácie týkajúce sa koncových zariadení koncových používateľov, ktoré pristupujú k ich verejne dostupným webovým sídlam a mobilným aplikáciám, v súlade s nariadením (EÚ) XX/XXXX [nové nariadenie o ochrane súkromia v elektronickej komunikácii], najmä jeho článkom 8.

Článok 36

Zoznamy používateľov

1.Osobné údaje obsiahnuté v zoznamoch používateľov a prístup k takýmto zoznamom sú obmedzené na to, čo je nevyhnutne potrebné na konkrétne účely zoznamu.

2.Inštitúcie a orgány Únie prijmú všetky potrebné opatrenia na to, aby zabránili používaniu osobných údajov obsiahnutých v týchto zoznamoch na účely priameho marketingu, a to bez ohľadu na to, či sú tieto údaje verejne prístupné alebo nie.

Článok 37

Oznámenie porušenia ochrany osobných údajov európskemu dozornému úradníkovi pre ochranu údajov

1.V prípade porušenia ochrany osobných údajov prevádzkovateľ bez zbytočného odkladu a podľa možnosti najneskôr do 72 hodín po tom, čo sa o tejto skutočnosti dozvedel, oznámi porušenie ochrany osobných údajov európskemu dozornému úradníkovi pre ochranu údajov s výnimkou prípadov, keď nie je pravdepodobné, že porušenie ochrany osobných údajov bude mať za následok riziko pre práva a slobody fyzických osôb. Ak oznámenie nebolo európskemu dozornému úradníkovi pre ochranu údajov predložené do 72 hodín, pripojí sa k nemu zdôvodnenie omeškania.

2.Sprostredkovateľ oznámi prevádzkovateľovi porušenie ochrany osobných údajov bez zbytočného odkladu po tom, čo sa o ňom dozvedel.

3.Oznámenie uvedené v odseku 1 musí obsahovať aspoň:

a)opis povahy porušenia ochrany osobných údajov vrátane, podľa možnosti, kategórií a približného počtu dotknutých osôb, ktorých sa porušenie týka, a kategórií a približného počtu dotknutých záznamov s osobnými údajmi;

b)informáciu o mene a kontaktných údajoch zodpovednej osoby;

c)opis pravdepodobných následkov porušenia ochrany osobných údajov;

d)opis opatrení prijatých alebo navrhovaných prevádzkovateľom s cieľom riešiť porušenie ochrany osobných údajov, prípadne vrátane opatrení na zmiernenie jeho potenciálnych nepriaznivých dôsledkov.

4.Ak nie je možné poskytnúť informácie súčasne a v rozsahu, v akom to nie je možné vykonať, možno informácie poskytnúť vo viacerých etapách bez ďalšieho zbytočného odkladu.

5.Prevádzkovateľ informuje zodpovednú osobu o porušení ochrany osobných údajov.

6.Prevádzkovateľ zdokumentuje každý prípad porušenia ochrany osobných údajov vrátane skutočností spojených s porušením ochrany osobných údajov, jeho následkov a prijatých opatrení na nápravu. Uvedená dokumentácia musí umožniť európskemu dozornému úradníkovi pre ochranu údajov overiť súlad s týmto článkom.

Článok 38

Oznámenie porušenia ochrany osobných údajov dotknutej osobe

1.V prípade porušenia ochrany osobných údajov, ktoré pravdepodobne povedie k vysokému riziku pre práva a slobody fyzických osôb, prevádzkovateľ bez zbytočného odkladu oznámi porušenie ochrany osobných údajov dotknutej osobe.

2.Oznámenie dotknutej osobe uvedené v odseku 1 tohto článku obsahuje jasne a jednoducho formulovaný opis povahy porušenia ochrany osobných údajov a aspoň informácie a opatrenia uvedené v článku 37 ods. 3 písm. b), c) a d).

3.Oznámenie dotknutej osobe uvedené v odseku 1 sa nevyžaduje, ak je splnená ktorákoľvek z týchto podmienok:

a)prevádzkovateľ prijal primerané technické a organizačné ochranné opatrenia a tieto opatrenia uplatnil na osobné údaje, ktorých sa porušenie ochrany osobných údajov týka, a to najmä tie opatrenia, na základe ktorých sú osobné údaje nečitateľné pre všetky osoby, ktoré nie sú oprávnené mať k nim prístup, ako je napríklad šifrovanie;

b)prevádzkovateľ prijal následné opatrenia, ktorými sa zabezpečí, že vysoké riziko pre práva a slobody dotknutých osôb uvedené v odseku 1 sa už pravdepodobne neprejaví;

c)vyžadovalo by si to neprimerané úsilie. V takom prípade dôjde namiesto toho k informovaniu verejnosti alebo sa prijme podobné opatrenie, čím sa zaručí, že dotknuté osoby budú informované rovnako efektívnym spôsobom.

4.Ak prevádzkovateľ ešte porušenie ochrany osobných údajov neoznámil dotknutej osobe, európsky dozorný úradník pre ochranu údajov môže po zvážení pravdepodobnosti porušenia ochrany osobných údajov vedúceho k vysokému riziku požadovať, aby tak urobil, alebo môže rozhodnúť, že je splnená niektorá z podmienok uvedených v odseku 3.

ODDIEL 3

POSÚDENIE VPLYVU NA OCHRANU ÚDAJOV A PREDCHÁDZAJÚCA KONZULTÁCIA

Článok 39

Posúdenie vplyvu na ochranu údajov

1.Ak typ spracúvania, najmä s využitím nových technológií a s ohľadom na povahu, rozsah, kontext a účely spracúvania, pravdepodobne povedie k vysokému riziku pre práva a slobody fyzických osôb, prevádzkovateľ pred spracúvaním vykoná posúdenie vplyvu plánovaných spracovateľských operácií na ochranu osobných údajov. Pre súbor podobných spracovateľských operácií, ktoré predstavujú podobné vysoké riziká, sa môže vykonať jedno posúdenie.

2.Prevádzkovateľ sa počas vykonávania posúdenia vplyvu na ochranu údajov radí so zodpovednou osobou.

3.Posúdenie vplyvu na ochranu údajov uvedené v odseku 1 sa vyžaduje najmä v prípadoch:

a)systematického a rozsiahleho hodnotenia osobných aspektov týkajúcich sa fyzických osôb, ktoré je založené na automatizovanom spracúvaní vrátane profilovania a z ktorého vychádzajú rozhodnutia s právnymi účinkami týkajúcimi sa fyzickej osoby alebo s podobne závažným vplyvom na ňu;

b)spracúvania vo veľkom rozsahu osobitných kategórií údajov podľa článku 10 alebo osobných údajov týkajúcich sa rozsudkov v trestných veciach a trestných činov podľa článku 11, alebo

c) systematického monitorovania verejne prístupných priestorov vo veľkom rozsahu.

4.Európsky dozorný úradník pre ochranu údajov vypracuje a zverejní zoznam tých druhov spracovateľských operácií, ktoré podliehajú požiadavke na posúdenie vplyvu na ochranu údajov podľa odseku 1.

5.Európsky dozorný úradník pre ochranu údajov môže stanoviť a zverejniť aj zoznam druhov spracovateľských operácií, v prípade ktorých sa nevyžaduje posúdenie vplyvu na ochranu údajov.

6.Posúdenie obsahuje aspoň:

a)systematický opis plánovaných spracovateľských operácií a účely spracúvania;

b)posúdenie nutnosti a primeranosti spracovateľských operácií vo vzťahu k účelom;

c)posúdenie rizík pre práva a slobody dotknutých osôb uvedených v odseku 1 a

d)opatrenia na riešenie rizík vrátane záruk, bezpečnostných opatrení a mechanizmov na zabezpečenie ochrany osobných údajov a na preukázanie súladu s týmto nariadením s ohľadom na práva a oprávnené záujmy dotknutých osôb a ďalších osôb, ktorých sa to týka.

7.Pri posudzovaní vplyvu spracovateľských operácií vykonávaných relevantnými sprostredkovateľmi sa náležite sleduje, či títo sprostredkovatelia, iní ako inštitúcie a orgány Únie, dodržiavajú schválené kódexy správania uvedené v článku 40 nariadenia (EÚ) 2016/679, a to najmä na účely posúdenia vplyvu na ochranu údajov.

8.Prevádzkovateľ sa podľa potreby usiluje získať názory dotknutých osôb alebo ich zástupcov na zamýšľané spracúvanie bez toho, aby bola dotknutá ochrana verejných záujmov alebo bezpečnosť spracovateľských operácií.

9.Ak má spracúvanie podľa článku 5 ods. 1 písm. a) alebo b) právny základ v právnom akte prijatom na základe zmlúv, ktorý upravuje konkrétnu spracovateľskú operáciu alebo súbor daných operácií, a posúdenie vplyvu na ochranu údajov sa už vykonalo v rámci všeobecného posúdenia vplyvu pred prijatím tohto právneho aktu, odseky 1 až 6 sa neuplatňujú, pokiaľ právo Únie nestanovuje inak.

10.Prevádzkovateľ v prípade potreby vykoná prehodnotenie s cieľom posúdiť, či sa spracúvanie uskutočňuje v súlade s posúdením vplyvu na ochranu údajov, a to aspoň vtedy, keď došlo k zmene rizika, ktoré predstavujú spracovateľské operácie.

Článok 40

Predchádzajúca konzultácia

1.Ak z posúdenia vplyvu na ochranu údajov podľa článku 39 vyplýva, že spracúvanie by v prípade neexistencie záruk, bezpečnostných opatrení a mechanizmov na zmiernenie rizika viedlo k vysokému riziku pre práva a slobody fyzických osôb, a prevádzkovateľ sa domnieva, že riziko sa nedá zmierniť primeranými prostriedkami, pokiaľ ide o dostupné technológie a náklady na vykonanie opatrení, prevádzkovateľ by mal ešte pred začiatkom spracovateľskej činnosti konzultovať európskeho dozorného úradníka pre ochranu údajov. Prevádzkovateľ požiada zodpovednú osobu o radu, pokiaľ ide o potrebu predchádzajúcej konzultácie.

2.Ak sa európsky dozorný úradník pre ochranu údajov domnieva, že by zamýšľané spracúvanie uvedené v odseku 1 bolo v rozpore s týmto nariadením, najmä ak prevádzkovateľ nedostatočne identifikoval alebo zmiernil riziko, európsky dozorný úradník pre ochranu údajov do ôsmich týždňov od prijatia žiadosti o konzultáciu poskytne prevádzkovateľovi a prípadne aj sprostredkovateľovi písomné poradenstvo, pričom môže uplatniť akúkoľvek zo svojich právomocí uvedených v článku 59. Uvedená lehota sa môže vzhľadom na zložitosť zamýšľaného spracúvania predĺžiť o šesť týždňov. Európsky dozorný úradník pre ochranu údajov informuje o takomto predĺžení lehoty prevádzkovateľa a prípadne sprostredkovateľa do jedného mesiaca od prijatia žiadosti o konzultáciu, pričom zároveň uvedie aj dôvody predĺženia lehoty. Plynutie týchto lehôt sa môže prerušiť, kým európsky dozorný úradník pre ochranu údajov nezíska informácie, o ktoré požiadal na účely konzultácie.

3.Pri konzultácii s európskym dozorným úradníkom pre ochranu údajov podľa odseku 1 poskytne prevádzkovateľ európskemu dozornému úradníkovi pre ochranu údajov:

a)v príslušných prípadoch informácie o príslušných povinnostiach prevádzkovateľa, spoločných prevádzkovateľov a sprostredkovateľov zapojených do spracúvania;

b)informácie o účeloch zamýšľaného spracúvania a prostriedkoch na jeho vykonanie;

c)informácie o opatreniach a zárukách poskytnutých na ochranu práv a slobôd dotknutých osôb podľa tohto nariadenia;

d)kontaktné údaje zodpovednej osoby;

e)posúdenie vplyvu na ochranu údajov stanovené v článku 39 a

f)všetky ďalšie informácie požadované európskym dozorným úradníkom pre ochranu údajov.

4.Komisia môže prostredníctvom vykonávacieho aktu určiť zoznam prípadov, v ktorých musia prevádzkovatelia konzultovať s európskym dozorným úradníkom pre ochranu údajov a získať od neho predchádzajúce povolenie, pokiaľ ide o spracúvanie na splnenie úlohy realizovanej prevádzkovateľom vo verejnom záujme vrátane spracúvania takýchto údajov v súvislosti so sociálnym zabezpečením a verejným zdravím.

ODDIEL 4

INFORMÁCIE A LEGISLATÍVNE KONZULTÁCIE

Článok 41

Informácie

Inštitúcie a orgány Únie informujú európskeho dozorného úradníka pre ochranu údajov o vypracovaní administratívnych opatrení a interných predpisov týkajúcich sa spracúvania osobných údajov, na ktorom sa podieľa inštitúcia alebo orgán Únie jednotlivo alebo spoločne s inými.

Článok 42

Legislatívne konzultácie

1.V nadväznosti na prijatie návrhov legislatívneho aktu a odporúčaní alebo návrhov Rade podľa článku 218 Zmluvy o fungovaní EÚ (ZFEÚ) a pri príprave delegovaných aktov alebo vykonávacích aktov, ktoré majú dosah na ochranu práv a slobôd fyzických osôb so zreteľom na spracúvanie osobných údajov, Komisia konzultuje s európskym dozorným úradníkom pre ochranu údajov.

2.Ak má akt uvedený v odseku 1 osobitný význam pre ochranu práv a slobôd fyzických osôb so zreteľom na spracúvanie osobných údajov, Komisia môže konzultovať aj s Európskym výborom pre ochranu údajov. V takýchto prípadoch európsky dozorný úradník pre ochranu údajov a Európsky výbor pre ochranu údajov koordinujú svoju prácu s cieľom vydať spoločné stanovisko.

3.Poradenstvo uvedené v odsekoch 1 a 2 sa poskytne písomne v lehote maximálne ôsmich týždňov od prijatia žiadosti o konzultáciu uvedenej v odsekoch 1 a 2. V naliehavých alebo inak vhodných prípadoch môže Komisia túto lehotu skrátiť.

4.Tento článok sa neuplatňuje, ak je Komisia podľa nariadenia (EÚ) 2016/679 povinná konzultovať s Európskym výborom pre ochranu údajov.

ODDIEL 5

POVINNOSŤ REAGOVAŤ NA OBVINENIA

Článok 43

Povinnosť reagovať na obvinenia

Ak európsky dozorný úradník pre ochranu údajov vykonáva právomoci stanovené v článku 59 ods. 2 písm. a), b) a c), príslušný prevádzkovateľ alebo sprostredkovateľ informuje európskeho dozorného úradníka pre ochranu údajov o svojich stanoviskách v primeranej lehote, ktorú stanoví európsky dozorný úradník pre ochranu údajov s prihliadnutím na okolnosti každého prípadu. Odpoveď musí takisto zahŕňať opis prípadných opatrení prijatých ako odpoveď na poznámky európskeho dozorného úradníka pre ochranu údajov.

ODDIEL 6

ZODPOVEDNÁ OSOBA

Článok 44

Určenie zodpovednej osoby

1.Každá inštitúcia alebo orgán Únie určí zodpovednú osobu.

2.Inštitúcie a orgány Únie môžu určiť jednu zodpovednú osobu pre viaceré z nich, pričom zohľadnia svoju organizačnú štruktúru a veľkosť.

3.Zodpovedná osoba sa určí na základe jej odborných kvalít, a to najmä na základe jej odborných znalostí z práva a o postupoch v oblasti ochrany údajov a na základe spôsobilosti plniť úlohy uvedené v článku 46.

4.Zodpovedná osoba môže byť členom personálu inštitúcie alebo orgánu Únie alebo môže plniť úlohy na základe zmluvy o poskytovaní služieb.

5.Inštitúcie a orgány Únie zverejnia kontaktné údaje zodpovednej osoby a oznámia ich európskemu dozornému úradníkovi pre ochranu údajov.

Článok 45

Postavenie zodpovednej osoby

1.Inštitúcie a orgány Únie zabezpečia, aby bola zodpovedná osoba riadnym spôsobom a včas zapojená do všetkých záležitostí, ktoré súvisia s ochranou osobných údajov.

2.Inštitúcie a orgány Únie podporujú zodpovednú osobu pri plnení úloh uvedených v článku 46, a to tak, že jej poskytujú zdroje potrebné na plnenie týchto úloh a prístup k osobným údajom a spracovateľským operáciám, ako aj zdroje na udržiavanie jej odborných znalostí.

3.Inštitúcie a orgány Únie zabezpečia, aby zodpovedná osoba v súvislosti s plnením jej úloh nedostávala žiadne pokyny. Prevádzkovateľ ani sprostredkovateľ ju nesmú za výkon jej úloh odvolať ani postihovať. Zodpovedná osoba podlieha priamo najvyššiemu vedeniu prevádzkovateľa alebo sprostredkovateľa.

4.Dotknuté osoby sa môžu obrátiť na zodpovednú osobu v súvislosti so všetkými otázkami týkajúcimi sa spracúvania ich osobných údajov a uplatňovania ich práv podľa tohto nariadenia.

5.Zodpovedná osoba a jej personál sú v súlade s právom Únie viazaní povinnosťou zachovávať mlčanlivosť alebo dôvernosť v súvislosti s výkonom svojich úloh.

6.Zodpovedná osoba môže plniť iné úlohy a povinnosti. Prevádzkovateľ alebo sprostredkovateľ zabezpečia, aby žiadna z takýchto úloh alebo povinností neviedla ku konfliktu záujmov.

7.Prevádzkovateľ a sprostredkovateľ, príslušný výbor zamestnancov a akákoľvek fyzická osoba môžu konzultovať so zodpovednou osobou bez toho, aby museli postupovať úradnou cestou, a to v akejkoľvek veci týkajúcej sa výkladu alebo uplatňovania tohto nariadenia. Nikto nesmie utrpieť ujmu preto, že upozornil príslušnú zodpovednú osobu na vec, pri ktorej údajne došlo k porušeniu ustanovení tohto nariadenia.

8.Zodpovedná osoba sa vymenúva na obdobie troch až piatich rokov a môže byť opätovne vymenovaná. Zodpovedná osoba môže byť z tejto funkcie odvolaná inštitúciou alebo orgánom Únie, ktoré ju menovali, iba so súhlasom európskeho dozorného úradníka pre ochranu údajov, ak už nespĺňa podmienky požadované na výkon jej povinností.

9.Po vymenovaní zodpovednej osoby oznámi inštitúcia alebo orgán Únie, ktoré ju vymenovali, jej meno európskemu dozornému úradníkovi pre ochranu údajov.

Článok 46

Úlohy zodpovednej osoby

1.Zodpovedná osoba má tieto úlohy:

a)poskytovať prevádzkovateľovi alebo sprostredkovateľovi a zamestnancom, ktorí vykonávajú spracúvanie, informácie a poradenstvo o ich povinnostiach podľa tohto nariadenia a ostatných právnych predpisov Únie týkajúcich sa ochrany údajov;

b)nezávislým spôsobom zabezpečovať uplatňovanie tohto nariadenia v rámci inštitúcie alebo orgánu a monitorovať súlad s týmto nariadením, ostatnými uplatniteľnými právnymi predpismi Únie zahŕňajúcimi ustanovenia o ochrane osobných údajov a pravidlami prevádzkovateľa alebo sprostredkovateľa v súvislosti s ochranou osobných údajov vrátane rozdelenia povinností, zvyšovania povedomia a odbornej prípravy personálu, ktorý je zapojený do spracovateľských operácií a súvisiacich auditov;

c)zabezpečiť, aby dotknuté osoby boli informované o svojich právach a povinnostiach podľa tohto nariadenia;

d)na požiadanie poskytovať poradenstvo, pokiaľ ide o potrebu oznámenia alebo nahlásenia prípadov porušenia ochrany osobných údajov podľa článkov 37 a 38;

e)na požiadanie poskytovať poradenstvo, pokiaľ ide o posúdenie vplyvu na ochranu údajov, monitorovať jeho vykonávanie podľa článku 39 a v prípade pochybností o potrebe posúdenia vplyvu na ochranu údajov konzultovať s európskym dozorným úradníkom pre ochranu údajov;

f)na požiadanie poskytovať poradenstvo, pokiaľ ide o potrebu predchádzajúcej konzultácie s európskym dozorným úradníkom pre ochranu údajov podľa článku 40 a v prípade pochybností o potrebe predchádzajúcej konzultácie konzultovať s európskym dozorným úradníkom pre ochranu údajov;

g)odpovedať na žiadosti európskeho dozorného úradníka pre ochranu údajov a v rámci oblasti svojej právomoci spolupracovať a konzultovať s európskym dozorným úradníkom pre ochranu údajov na jeho žiadosť alebo z vlastného podnetu;

2.Zodpovedná osoba môže vypracovať odporúčania pre prevádzkovateľa a sprostredkovateľa týkajúce sa praktických zlepšení ochrany údajov a poskytnúť im poradenstvo vo veciach týkajúcich sa uplatňovania ustanovení o ochrane údajov. Okrem toho môže z vlastného podnetu alebo na žiadosť prevádzkovateľa alebo sprostredkovateľa, príslušného výboru zamestnancov alebo ktorejkoľvek fyzickej osoby vyšetrovať veci a udalosti priamo spojené s jej úlohami, ktoré sa dostanú do jej pozornosti, podávať o tom správu osobe, ktorá ju vyšetrovaním poverila, alebo prevádzkovateľovi či sprostredkovateľovi.

3.Každá inštitúcia alebo orgán Únie prijme ďalšie vykonávacie predpisy týkajúce sa zodpovednej osoby. Tieto vykonávacie predpisy sa týkajú najmä úloh, povinností a právomocí zodpovednej osoby.

KAPITOLA V

Prenosy osobných údajov do tretích krajín alebo medzinárodným organizáciám

Článok 47

Všeobecná zásada prenosov

Akýkoľvek prenos osobných údajov, ktoré sa spracúvajú alebo sú určené na spracúvanie po prenose do tretej krajiny alebo medzinárodnej organizácii, sa uskutoční len vtedy, ak prevádzkovateľ a sprostredkovateľ dodržiavajú v závislosti od ostatných ustanovení tohto nariadenia podmienky stanovené v tejto kapitole vrátane podmienok následných prenosov osobných údajov z predmetnej tretej krajiny alebo od predmetnej medzinárodnej organizácie do inej tretej krajiny alebo inej medzinárodnej organizácii. Všetky ustanovenia v tejto kapitole sa uplatňujú s cieľom zabezpečiť, aby sa neohrozila úroveň ochrany fyzických osôb zaručená týmto nariadením.

Článok 48

Prenosy na základe rozhodnutia o primeranosti

1.Prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii sa môže uskutočniť, ak Komisia rozhodla podľa článku 45 ods. 3 nariadenia (EÚ) 2016/679, že v danej tretej krajine, na území danej tretej krajiny alebo v jednom či viacerých určených odvetviach v danej tretej krajine, alebo v rámci medzinárodnej organizácie je zabezpečená primeraná úroveň ochrany a že osobné údaje sa prenášajú výlučne s cieľom umožniť splnenie úloh patriacich do právomoci prevádzkovateľa.

2.Inštitúcie a orgány Únie informujú Komisiu a európskeho dozorného úradníka pre ochranu údajov o prípadoch, v ktorých sa domnievajú, že daná tretia krajina alebo medzinárodná organizácia nezabezpečujú primeranú úroveň ochrany v zmysle odseku 1.

3.Inštitúcie a orgány Únie prijmú opatrenia potrebné na dosiahnutie súladu s rozhodnutiami prijatými Komisiou, ak táto preukáže podľa článku 45 ods. 3 a ods. 5 nariadenia (EÚ) 2016/679, že tretia krajina alebo medzinárodná organizácia zabezpečuje alebo už nezabezpečuje primeranú úroveň ochrany.

Článok 49

Prenosy vyžadujúce primerané záruky

1.Ak neexistuje rozhodnutie podľa článku 45 ods. 3 nariadenia (EÚ) 2016/679, prevádzkovateľ alebo sprostredkovateľ môže uskutočniť prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii len vtedy, ak prevádzkovateľ alebo sprostredkovateľ poskytol primerané záruky, a za podmienky, že dotknuté osoby majú k dispozícii vymožiteľné práva a účinné právne prostriedky nápravy.

2.Primerané záruky uvedené v odseku 1 sa môžu stanoviť bez toho, aby bolo potrebné akékoľvek osobitné povolenie európskeho dozorného úradníka pre ochranu údajov, a to prostredníctvom:

a)právne záväzného a vykonateľného nástroja medzi orgánmi verejnej moci alebo verejnými subjektmi;

b)štandardných doložiek o ochrane údajov, ktoré prijala Komisia v súlade s postupom preskúmania uvedeným v článku 70 ods. 2;

c)štandardných doložiek o ochrane údajov, ktoré prijal európsky dozorný úradník pre ochranu údajov a ktoré schválila Komisia podľa postupu preskúmania uvedeného v článku 70 ods. 2;

d)záväzných firemných pravidiel, kódexov správania a certifikačného mechanizmu podľa článku 46 ods. 2 písm. b), e) a f) nariadenia (EÚ) 2016/679, ak sprostredkovateľ nie je inštitúciou ani orgánom Únie.

3.S výhradou povolenia od európskeho dozorného úradníka pre ochranu údajov sa primerané záruky uvedené v odseku 1 môžu tiež zabezpečiť predovšetkým:

a)zmluvnými doložkami medzi prevádzkovateľom alebo sprostredkovateľom a prevádzkovateľom, sprostredkovateľom alebo príjemcom osobných údajov v tretej krajine alebo medzinárodnou organizáciou, alebo

b)ustanoveniami, ktoré sa vložia do administratívnych dojednaní medzi orgánmi verejnej moci alebo verejnými subjektmi a ktoré zahŕňajú vymožiteľné a účinné práva dotknutých osôb.

4.Inštitúcie a orgány Únie informujú európskeho dozorného úradníka pre ochranu údajov o kategóriách prípadov, v ktorých sa tento článok uplatnil.

5.Povolenia európskeho dozorného úradníka pre ochranu údajov na základe článku 9 ods. 7 nariadenia (ES) č. 45/2001 zostávajú v platnosti, kým ich európsky dozorný úradník pre ochranu údajov podľa potreby nezmení, nenahradí alebo nezruší.

Článok 50

Prenosy alebo poskytovanie údajov, ktoré právo Únie nepovoľuje

Akýkoľvek rozsudok súdu alebo tribunálu a akékoľvek rozhodnutie správneho orgánu tretej krajiny, ktorým sa od prevádzkovateľa alebo sprostredkovateľa vyžaduje preniesť alebo poskytnúť osobné údaje, môžu byť uznané alebo vykonateľné akýmkoľvek spôsobom len vtedy, ak sa zakladajú na medzinárodnej dohode, ako napríklad zmluve o vzájomnej právnej pomoci, platnej medzi žiadajúcou treťou krajinou a Úniou bez toho, aby boli dotknuté iné dôvody prenosu podľa tejto kapitoly.

Článok 51

Výnimky pre osobitné situácie

1.Ak neexistuje rozhodnutie podľa článku 45 ods. 3 nariadenia (EÚ) 2016/679 alebo ak neexistujú primerané záruky podľa článku 49, prenos alebo súbor prenosov osobných údajov do tretej krajiny alebo medzinárodnej organizácii sa uskutoční len za jednej z týchto podmienok:

a)dotknutá osoba vyjadrila výslovný súhlas s navrhovaným prenosom po tom, ako bola informovaná o rizikách, ktoré takéto prenosy môžu pre ňu predstavovať z dôvodu neexistencie rozhodnutia o primeranosti a primeraných záruk;

b)prenos je potrebný na plnenie zmluvy medzi dotknutou osobou a prevádzkovateľom alebo na vykonanie predzmluvných opatrení prijatých na žiadosť dotknutej osoby;

c)prenos je potrebný na uzatvorenie alebo plnenie zmluvy uzatvorenej v záujme dotknutej osoby medzi prevádzkovateľom a inou fyzickou alebo právnickou osobou;

d)prenos je potrebný z dôležitých dôvodov verejného záujmu;

e)prenos je potrebný na preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov; alebo

f)prenos je potrebný na ochranu životne dôležitých záujmov dotknutej osoby alebo iných osôb, ak je dotknutá osoba fyzicky alebo právne nespôsobilá vyjadriť súhlas; alebo

g)prenos sa uskutočňuje z registra, ktorý je podľa práva Únie určený na poskytovanie informácií verejnosti a ktorý je otvorený na nahliadanie verejnosti vo všeobecnosti alebo akejkoľvek osobe, ktorá vie preukázať oprávnený záujem, ale len pokiaľ sú v danom prípade splnené podmienky na nahliadanie stanovené právom Únie.

2.Prenos podľa odseku 1 písm. g) nezahŕňa všetky osobné údaje ani celé kategórie osobných údajov obsiahnutých v registri, ak to nepovoľuje právo Únie. Ak je register určený na nahliadanie pre osoby s oprávneným záujmom, prenos sa uskutoční iba na žiadosť týchto osôb alebo vtedy, keď majú byť príjemcami.

3.Verejný záujem uvedený v odseku 1 písm. d) musí byť uznaný právom Únie.

4.Ak neexistuje rozhodnutie o primeranosti, môžu sa v práve Únie z dôležitých dôvodov verejného záujmu výslovne stanoviť obmedzenia prenosu osobitných kategórií osobných údajov do tretej krajiny alebo medzinárodnej organizácii.

5.Inštitúcie a orgány Únie informujú európskeho dozorného úradníka pre ochranu údajov o kategóriách prípadov, v ktorých sa tento článok uplatnil.

Článok 52

Medzinárodná spolupráca na účely ochrany osobných údajov

Európsky dozorný úradník pre ochranu údajov prijme vo vzťahu k tretím krajinám a medzinárodným organizáciám, a to v spolupráci s Komisiou a Európskym výborom pre ochranu údajov, primerané opatrenia s cieľom:

a)vytvoriť mechanizmy medzinárodnej spolupráce na uľahčenie účinného presadzovania právnych predpisov na ochranu osobných údajov;

b)poskytovať vzájomnú medzinárodnú pomoc pri presadzovaní právnych predpisov na ochranu osobných údajov, a to aj prostredníctvom podávania oznámení, postupovania sťažností, pomoci pri vyšetrovaní a výmeny informácií, pričom sa uplatnia primerané záruky ochrany osobných údajov a iných základných práv a slobôd;

c)zapájať príslušné zainteresované strany do diskusie a činností zameraných na podporu medzinárodnej spolupráce pri presadzovaní právnych predpisov na ochranu osobných údajov;

d)podporovať výmenu a dokumentáciu v oblasti právnych predpisov na ochranu osobných údajov a praxe v tejto oblasti, okrem iného v oblasti sporov o príslušnosť s tretími krajinami.

KAPITOLA VI

EURÓPSKY DOZORNÝ ÚRADNÍK PRE OCHRANU ÚDAJOV

Článok 53

Európsky dozorný úradník pre ochranu údajov

1.Týmto sa zriaďuje funkcia európskeho dozorného úradníka pre ochranu údajov.

2.Vzhľadom na spracúvanie osobných údajov je európsky dozorný úradník pre ochranu údajov zodpovedný za zabezpečenie dodržiavania základných práv a slobôd fyzických osôb, a najmä ich práva na ochranu údajov, zo strany inštitúcií a orgánov Únie.

3.Európsky dozorný úradník pre ochranu údajov je zodpovedný za monitorovanie a zabezpečenie uplatňovania ustanovení tohto nariadenia a akýchkoľvek ďalších aktov Únie týkajúcich sa ochrany základných práv a slobôd fyzických osôb so zreteľom na spracúvanie osobných údajov inštitúciou alebo orgánom Únie, a za poradenstvo pre inštitúcie a orgány Únie a dotknuté osoby vo všetkých veciach týkajúcich sa spracúvania osobných údajov. Na tieto účely európsky dozorný úradník pre ochranu údajov plní úlohy stanovené v článku 58 a vykonáva právomoci udelené v článku 59.

Článok 54

Vymenovanie európskeho dozorného úradníka pre ochranu údajov

1.Európsky parlament a Rada na základe vzájomnej dohody vymenujú európskeho dozorného úradníka pre ochranu údajov na funkčné obdobie piatich rokov, a to na základe zoznamu vypracovaného Komisiou v nadväznosti na verejnú výzvu pre uchádzačov. Výzva pre uchádzačov musí umožňovať, aby všetci záujemcovia z celej Únie mohli podať prihlášky. Zoznam uchádzačov, ktorý zostaví Komisia, je verejný. Na základe zoznamu vypracovaného Komisiou sa príslušný výbor Európskeho parlamentu môže rozhodnúť zorganizovať vypočutie, aby mohol vyjadriť preferencie.

2.Zoznam vypracovaný Komisiou, z ktorého sa vyberie európsky dozorný úradník pre ochranu údajov, zahŕňa osoby, ktorých nezávislosť je nespochybniteľná a ktoré sú uznávané ako osoby so skúsenosťami a zručnosťami požadovanými pre výkon povinností európskeho dozorného úradníka pre ochranu údajov, napríklad preto, že pôsobili alebo pôsobia v dozorných orgánoch zriadených podľa článku 41 nariadenia (EÚ) 2016/679.

3.Funkčné obdobie európskeho dozorného úradníka pre ochranu údajov sa môže raz obnoviť.

4.Povinnosti európskeho dozorného úradníka pre ochranu údajov zanikajú za týchto okolností:

a)v prípade nahradenia európskeho dozorného úradníka pre ochranu údajov:

b) ak európsky dozorný úradník pre ochranu údajov odstúpi;

c)ak je európsky dozorný úradník pre ochranu údajov uvoľnený z funkcie alebo odvolaný.

5.Súdny dvor Európskej únie môže na žiadosť Európskeho parlamentu, Rady alebo Komisie európskeho dozorného úradníka pre ochranu údajov odvolať alebo ho pozbaviť práva na dôchodok či iné dávky namiesto neho, ak už nespĺňa podmienky požadované na výkon svojich povinností alebo ak je vinný vo veci závažného pochybenia.

6.V prípade bežného nahradenia alebo dobrovoľného odstúpenia zostáva európsky dozorný úradník pre ochranu údajov vo funkcii až do svojho nahradenia.

7.Na európskeho dozorného úradníka pre ochranu údajov sa vzťahujú články 11 až 14 a článok 17 Protokolu o výsadách a imunitách Európskej únie.

Článok 55

Predpisy a všeobecné podmienky upravujúce výkon povinností európskeho dozorného úradníka pre ochranu údajov, jeho personál a finančné zdroje

1.Pokiaľ ide o stanovenie odmeny, príplatkov, starobného dôchodku a akýchkoľvek iných náhrad poskytovaných namiesto odmeny, európsky dozorný úradník pre ochranu údajov má rovnaké postavenie ako sudca Súdneho dvora Európskej únie.

2.Rozpočtový orgán zabezpečí, aby boli európskemu dozornému úradníkovi pre ochranu údajov poskytnuté ľudské a finančné zdroje potrebné na plnenie jeho úloh.

3.Rozpočet európskeho dozorného úradníka pre ochranu údajov sa uvádza v samostatnom okruhu rozpočtu v oddiele IX všeobecného rozpočtu Európskej únie.

4.Európskemu dozornému úradníkovi pre ochranu údajov pomáha sekretariát. Úradníkov a ostatných členov personálu sekretariátu vymenúva európsky dozorný úradník pre ochranu údajov, ktorý je ich nadriadeným. Títo pracovníci podliehajú výhradne jeho riadeniu. O ich počte sa rozhodne každý rok v rámci rozpočtového postupu.

5.Úradníci a ostatní členovia personálu sekretariátu európskeho dozorného úradníka pre ochranu údajov podliehajú pravidlám a predpisom uplatniteľným na úradníkov a ostatných zamestnancov Európskej únie.

6.Sídlo európskeho dozorného úradníka pre ochranu údajov je v Bruseli.

Článok 56

Nezávislosť

1.Európsky dozorný úradník pre ochranu údajov koná pri plnení svojich úloh a výkone svojich právomocí v súlade s týmto nariadením úplne nezávisle.

2.Európsky dozorný úradník pre ochranu údajov nesmie byť pri plnení svojich úloh a výkone svojich právomocí v súlade s týmto nariadením pod vonkajším vplyvom, či už priamym alebo nepriamym, a nesmie od nikoho požadovať ani prijímať pokyny.

3.Európsky dozorný úradník pre ochranu údajov sa zdrží akéhokoľvek konania nezlučiteľného so svojimi povinnosťami a počas svojho funkčného obdobia nevykonáva žiadnu inú platenú ani neplatenú pracovnú činnosť.

4.Európsky dozorný úradník pre ochranu údajov sa po uplynutí svojho funkčného obdobia správa bezúhonne a diskrétne, pokiaľ ide o prijímanie funkcií a výhod.

Článok 57

Služobné tajomstvo

Európsky dozorný úradník pre ochranu údajov a jeho personál podliehajú počas funkčného obdobia a aj po jeho uplynutí povinnosti zachovávať služobné tajomstvo so zreteľom na všetky dôverné informácie, o ktorých sa dozvedeli počas výkonu svojich služobných povinností.

Článok 58

Úlohy

1.Bez toho, aby boli dotknuté iné úlohy stanovené podľa tohto nariadenia, európsky dozorný úradník pre ochranu údajov:

a)monitoruje a presadzuje uplatňovanie tohto nariadenia a iných aktov Únie týkajúcich sa ochrany fyzických osôb so zreteľom na spracúvanie osobných údajov inštitúciou alebo orgánom Únie, s výnimkou spracúvania osobných údajov Súdnym dvorom Európskej únie konajúcim vo svojej súdnej právomoci;

b)zvyšuje povedomie verejnosti a jej chápanie rizík, pravidiel, záruk a práv súvisiacich so spracúvaním. Osobitná pozornosť sa venuje činnostiam špecificky zameraným na deti;

c)zvyšuje povedomie prevádzkovateľov a sprostredkovateľov o ich povinnostiach podľa tohto nariadenia;

d)na požiadanie poskytuje každej dotknutej osobe informácie v súvislosti s uplatnením jej práv podľa tohto nariadenia a prípadne na tento účel spolupracuje s dozornými orgánmi v členských štátoch;

e)vybavuje sťažnosti podané dotknutou osobou alebo subjektom, organizáciou alebo združením v súlade s článkom 67, a vyšetruje v primeranom rozsahu podstatu sťažnosti a informuje sťažovateľa o pokroku a výsledkoch vyšetrovania v primeranej lehote, najmä ak je potrebné ďalšie vyšetrovanie alebo koordinácia s iným dozorným orgánom;

f)vedie vyšetrovania týkajúce sa uplatňovania tohto nariadenia, a to aj na základe informácií, ktoré mu poskytol iný dozorný orgán alebo iný orgán verejnej moci;

g)radí všetkým inštitúciám a orgánom Únie, pokiaľ ide o legislatívne a administratívne opatrenia súvisiace s ochranou práv a slobôd fyzických osôb so zreteľom na spracúvanie osobných údajov;

h)monitoruje príslušný vývoj, pokiaľ má dosah na ochranu osobných údajov, najmä vývoj informačných a komunikačných technológií;

i)prijíma štandardné zmluvné doložky uvedené v článku 29 ods. 8 a článku 49 ods. 2 písm. c);

j)zostavuje a vedie zoznam v súvislosti s požiadavkou na posúdenie vplyvu na ochranu údajov podľa článku 39 ods. 4;

k)zúčastňuje sa činností Európskeho výboru pre ochranu údajov zriadeného článkom 68 nariadenia (EÚ) 2016/679;

l)poskytuje sekretariát pre Európsky výbor pre ochranu údajov v súlade s článkom 75 nariadenia (EÚ) 2016/679;

m)poskytuje poradenstvo v súvislosti so spracúvaním uvedeným v článku 40 ods. 2;

n)povoľuje zmluvné doložky a ustanovenia uvedené v článku 49 ods. 3;

o)vedie interné záznamy o porušeniach tohto nariadenia a o opatreniach prijatých v súlade s článkom 59 ods. 2;

p)plní akékoľvek iné úlohy súvisiace s ochranou osobných údajov a

q)vypracúva svoj rokovací poriadok.

2.Európsky dozorný úradník pre ochranu údajov uľahčuje podávanie sťažností uvedených v odseku 1 písm. e) poskytnutím formulára na predkladanie sťažností, ktorý je tiež možné vyplniť elektronicky, nevylučujúc pritom iné prostriedky komunikácie.

3.Plnenie úloh európskeho dozorného úradníka pre ochranu údajov je pre dotknutú osobu bezplatné.

4.Ak sú žiadosti zjavne neopodstatnené alebo neprimerané, najmä pre ich opakujúcu sa povahu, európsky dozorný úradník pre ochranu údajov môže odmietnuť konať na základe žiadosti. Európsky dozorný úradník pre ochranu údajov znáša bremeno preukázania zjavnej neopodstatnenosti alebo neprimeranosti žiadosti.

Článok 59

Právomoci

1.Európsky dozorný úradník pre ochranu údajov má tieto vyšetrovacie právomoci:

a)nariadiť prevádzkovateľovi a sprostredkovateľovi, aby poskytli všetky informácie, ktoré potrebuje na plnenie svojich úloh;

b)viesť vyšetrovania vo forme auditov v oblasti ochrany údajov;

c)oznamovať prevádzkovateľovi alebo sprostredkovateľovi údajné porušenie tohto nariadenia;

d)získať od prevádzkovateľa a sprostredkovateľa prístup k všetkým osobným údajom a všetkým informáciám potrebným na plnenie svojich úloh;

e)získať prístup do všetkých priestorov prevádzkovateľa a sprostredkovateľa, ako aj k akémukoľvek zariadeniu a prostriedkom na spracúvanie údajov, v súlade s procesným právom Únie alebo procesným právom členského štátu;

2.Európsky dozorný úradník pre ochranu údajov má tieto nápravné právomoci:

a)upozorňovať prevádzkovateľa alebo sprostredkovateľa na to, že plánovanými spracovateľskými operáciami sa pravdepodobne porušia ustanovenia tohto nariadenia;

b)napomínať prevádzkovateľa alebo sprostredkovateľa, ak sa spracovateľskými operáciami porušili ustanovenia tohto nariadenia;

c)postúpiť vec dotknutému prevádzkovateľovi alebo sprostredkovateľovi, a ak je to potrebné, Európskemu parlamentu, Rade a Komisii;

d)nariadiť prevádzkovateľovi alebo sprostredkovateľovi, aby vyhoveli žiadostiam dotknutej osoby o uplatnenie jej práv podľa tohto nariadenia;

e)nariadiť prevádzkovateľovi alebo sprostredkovateľovi, aby svoje spracovateľské operácie podľa potreby určeným spôsobom a v rámci určenej lehoty zosúladili s ustanoveniami tohto nariadenia;

f)nariadiť prevádzkovateľovi, aby porušenie ochrany osobných údajov oznámil dotknutej osobe;

g)nariadiť dočasné alebo trvalé obmedzenie vrátane zákazu spracúvania;

h)nariadiť opravu alebo vymazanie osobných údajov alebo obmedzenie spracúvania podľa článkov 18, 19 a 20 a informovanie príjemcov, ktorým boli osobné údaje poskytnuté, o takýchto opatreniach v súlade s článkom 19 ods. 2 a článkom 21;

i)uložiť na základe nesplnenia jedného z opatrení uvedených v tomto odseku inštitúciou alebo orgánom Únie a v závislosti od okolností každého jednotlivého prípadu správnu pokutu podľa článku 66;

j)nariadiť pozastavenie toku údajov príjemcovi v členskom štáte, tretej krajine alebo medzinárodnej organizácii.

3.Európsky dozorný úradník pre ochranu údajov má tieto právomoci v oblasti povoľovania a poradenstva:

a)poskytovať dotknutým osobám poradenstvo pri uplatňovaní ich práv;

b)poskytovať poradenstvo prevádzkovateľovi v súlade s postupom predchádzajúcej konzultácie uvedeným v článku 40;

c)vydávať z vlastnej iniciatívy alebo na požiadanie stanoviská k akýmkoľvek otázkam týkajúcim sa ochrany osobných údajov adresované inštitúciám a orgánom Únie, ako aj verejnosti;

d)prijímať štandardné doložky o ochrane údajov uvedené v článku 29 ods. 8 a článku 49 ods. 2 písm. c);

e)schvaľovať zmluvné doložky uvedené v článku 49 ods. 3 písm. a);

f)schvaľovať administratívne dojednania uvedené v článku 49 ods. 3 písm. b).

4.Výkon právomocí udelených európskemu dozornému úradníkovi pre ochranu údajov podľa tohto článku podlieha primeraným zárukám vrátane účinného súdneho prostriedku nápravy a riadneho procesu, ktoré sú stanovené v práve Únie.

5.Európsky dozorný úradník pre ochranu údajov má právomoc postúpiť záležitosť Súdnemu dvoru Európskej únie za podmienok stanovených v zmluve a vstupovať do konaní pred Súdnym dvorom Európskej únie.

Článok 60

Správa o činnosti

1.Európsky dozorný úradník pre ochranu údajov predkladá výročnú správu o svojej činnosti Európskemu parlamentu, Rade a Komisii a súčasne ju zverejňuje.

2.Európsky dozorný úradník pre ochranu údajov postupuje správu o činnosti ostatným inštitúciám a orgánom Únie, ktoré môžu predložiť pripomienky s cieľom možného preskúmania správy v Európskom parlamente.

KAPITOLA VII

SPOLUPRÁCA A KONZISTENTNOSŤ

Článok 61

Spolupráca s národnými dozornými orgánmi

Európsky dozorný úradník pre ochranu údajov spolupracuje s dozornými orgánmi zriadenými podľa článku 41 nariadenia (EÚ) 2016/679 a článku 51 smernice (EÚ) 2016/680 (ďalej len „národné dozorné orgány“) a so spoločným dozorným orgánom zriadeným podľa článku 25 rozhodnutia Rady 2009/917/SVV 21 v rozsahu potrebnom pre výkon ich príslušných povinností, najmä tak, že si vzájomne poskytujú relevantné informácie, že žiada národné dozorné orgány, aby vykonávali svoje právomoci, alebo odpovedá na žiadosť takýchto orgánov.

Článok 62

Koordinovaný dozor vykonávaný európskym dozorným úradníkom pre ochranu údajov a národnými dozornými orgánmi

1.Ak sa v akte Únie odkazuje na tento článok, európsky dozorný úradník pre ochranu údajov aktívne spolupracuje s národnými dozornými orgánmi s cieľom zabezpečiť účinný dozor nad rozsiahlymi informačnými systémami, alebo agentúrami Únie.

2.Európsky dozorný úradník pre ochranu údajov, konajúc v rámci svojich príslušných právomocí a v rámci svojich úloh, si podľa potreby vymieňa relevantné informácie, pomáha pri vykonávaní auditov a inšpekcií, skúma ťažkosti súvisiace s výkladom alebo uplatňovaním tohto nariadenia a ďalších uplatniteľných aktov Únie, študuje problémy spojené s vykonávaním nezávislého dozoru alebo s výkonom práv dotknutých osôb, vypracúva harmonizované návrhy riešení akýchkoľvek problémov a podporuje informovanosť o právach na ochranu údajov, a to spoločne s národnými dozornými orgánmi.

3.Na účely stanovené v odseku 2 sa európsky dozorný úradník pre ochranu údajov stretáva s národnými dozornými orgánmi najmenej dvakrát do roka v rámci Európskeho výboru pre ochranu údajov. Náklady a servis spojené s týmito stretnutiami hradí Európsky výbor pre ochranu údajov. Na prvom stretnutí sa prijme rokovací poriadok. Ďalšie pracovné postupy sa podľa potreby vypracujú spoločne.

4.Európsky výbor pre ochranu údajov každé dva roky zašle Európskemu parlamentu, Rade a Komisii spoločnú správu o činnosti týkajúcu sa koordinovaného dozoru.

KAPITOLA VIII

PROSTRIEDKY NÁPRAVY, ZODPOVEDNOSŤ A SANKCIE

Článok 63

Právo podať sťažnosť európskemu dozornému úradníkovi pre ochranu údajov

1.Bez toho, aby boli dotknuté akékoľvek iné súdne, správne alebo mimosúdne prostriedky nápravy, má každá dotknutá osoba právo podať sťažnosť európskemu dozornému úradníkovi pre ochranu údajov, ak sa domnieva, že spracúvanie osobných údajov, ktoré sa jej týkajú, je v rozpore s týmto nariadením.

2.Európsky dozorný úradník pre ochranu údajov informuje dotknutú osobu o pokroku a výsledku sťažnosti vrátane možnosti súdneho prostriedku nápravy podľa článku 64.

3.Ak európsky dozorný úradník pre ochranu údajov sťažnosť nerieši alebo neinformuje dotknutú osobu do troch mesiacov o pokroku alebo výsledku sťažnosti, sťažnosť sa považuje za zamietnutú.

Článok 64

Právo na účinný súdny prostriedok nápravy

Súdny dvor Európskej únie má právomoc pojednávať o všetkých sporoch, ktoré sa týkajú ustanovení tohto nariadenia, vrátane žalôb o náhradu škody.

Článok 65

Právo na náhradu škody

Každá osoba, ktorá utrpela majetkovú alebo nemajetkovú ujmu v dôsledku porušenia tohto nariadenia, má právo na náhradu utrpenej škody od prevádzkovateľa alebo sprostredkovateľa za podmienok stanovených v zmluvách.

Článok 66

Správne pokuty

1.Európsky dozorný úradník pre ochranu údajov môže inštitúciám a orgánom Únie uložiť správne pokuty v závislosti od okolností každého jednotlivého prípadu, ak sa inštitúcia alebo orgán Únie nepodriadi príkazu európskeho dozorného úradníka pre ochranu údajov podľa článku 59 ods. 2 písm. d) až h) a písm. j). Pri rozhodovaní o uložení správnej pokuty a jej výške sa v každom jednotlivom prípade náležite zohľadnia tieto skutočnosti:

a)povaha, závažnosť a trvanie porušenia, pričom sa zohľadní povaha, rozsah alebo účel príslušného spracúvania, ako aj počet dotknutých osôb, na ktoré malo vplyv, a rozsah škody, ktorú utrpeli;

b)akékoľvek kroky prijaté inštitúciou alebo orgánom Únie s cieľom zmierniť škodu, ktorú dotknuté osoby utrpeli;

c)miera zodpovednosti inštitúcie alebo orgánu Únie so zreteľom na technické a organizačné opatrenia, ktoré prijali podľa článkov 27 a 33;

d)všetky podobné predchádzajúce porušenia zo strany inštitúcie alebo orgánu Únie;

e)miera spolupráce s európskym dozorným úradníkom pre ochranu údajov pri náprave porušenia a zmierňovaní možných nepriaznivých dôsledkov porušenia;

f)kategórie osobných údajov, ktorých sa porušenie týka;

g)spôsob, akým sa európsky dozorný úradník pre ochranu údajov o porušení dozvedel, najmä to, či inštitúcia alebo orgán Únie porušenie oznámili a ak áno, v akom rozsahu;

h)ak boli predtým dotknutej inštitúcii alebo orgánu Únie v rovnakej veci nariadené opatrenia uvedené v článku 59, vykonanie uvedených opatrení.

Konanie vedúce k uloženiu týchto pokút by sa malo uskutočniť v primeranej lehote v závislosti od okolností predmetnej veci a s ohľadom na príslušné opatrenia a konania uvedené v článku 69.

2.V prípade porušenia povinností inštitúcie alebo orgánu Únie podľa článkov 8, 12, 27, 28, 29, 30, 31, 32, 33, 37, 38, 39, 40, 44, 45 a 46 sa v súlade s odsekom 1 uložia správne pokuty až do výšky 25 000 EUR za porušenie a až do celkovej výšky 250 000 EUR za rok.

3.V prípade porušenia ďalej stanovených ustanovení inštitúciou alebo orgánom Únie sa v súlade s odsekom 1 uložia správne pokuty až do výšky 50 000 EUR za porušenie a až do celkovej výšky 500 000 EUR za rok:

a)základné zásady spracúvania vrátane podmienok súhlasu podľa článkov 4, 5, 7 a 10;

b)práva dotknutých osôb podľa článkov 14 až 24;

c)prenos osobných údajov príjemcovi v tretej krajine alebo medzinárodnej organizácii podľa článkov 47 až 51.

4.Ak inštitúcia alebo orgán Únie tými istými alebo súvisiacimi či pokračujúcimi spracovateľskými operáciami poruší viacero ustanovení tohto nariadenia alebo niekoľkokrát poruší rovnaké ustanovenie tohto nariadenia, celková suma správnej pokuty nesmie presiahnuť výšku stanovenú za najzávažnejšie porušenie.

5.Pred prijatím rozhodnutí podľa tohto článku európsky dozorný úradník pre ochranu údajov poskytne inštitúcii alebo orgánu Únie, ktoré sú predmetom konania vedeného dozorným úradníkom, príležitosť byť vypočuté v záležitostiach, ku ktorým európsky dozorný úradník vzniesol námietky. Európsky dozorný úradník pre ochranu údajov vychádza pri svojich rozhodnutiach len z námietok, ku ktorým sa príslušné strany mohli vyjadriť. Sťažovatelia sú do konania úzko zapojení.

6.V konaní sa plne rešpektuje právo príslušných strán na obhajobu. Tieto strany majú právo na prístup k dokumentácii európskeho dozorného úradníka pre ochranu údajov, s výhradou oprávneného záujmu fyzických osôb alebo podnikov pri ochrane ich osobných údajov alebo obchodného tajomstva.

7.Prostriedky získané uložením pokút podľa tohto článku sú príjmom všeobecného rozpočtu Európskej únie.

Článok 67

Zastupovanie dotknutých osôb

Dotknutá osoba má právo poveriť neziskový subjekt, organizáciu alebo združenie, ktoré boli riadne založené v súlade s právom Únie alebo právom členského štátu, ktorých ciele podľa stanov sú vo verejnom záujme a ktoré pôsobia v oblasti ochrany práv a slobôd dotknutých osôb, pokiaľ ide o ochranu ich osobných údajov, aby v jej mene podali sťažnosť európskemu dozornému úradníkovi pre ochranu údajov, aby v jej mene uplatnili práva podľa článku 63 a aby v jej mene uplatnili právo na náhradu škody podľa článku 65.

Článok 68

Sťažnosti zamestnancov Únie

Každá osoba zamestnaná v inštitúcii alebo orgáne Únie môže podať sťažnosť európskemu dozornému úradníkovi pre ochranu údajov týkajúcu sa údajného porušenia ustanovení tohto nariadenia bez toho, aby postupovala úradnou cestou. Nikto nesmie utrpieť ujmu z dôvodu sťažnosti podanej európskemu dozornému úradníkovi pre ochranu údajov vo veci takéhoto údajného porušenia.

Článok 69

Sankcie

Za každé nedodržanie povinností podľa tohto nariadenia, či už úmyselné alebo z nedbanlivosti, podlieha úradník alebo iný zamestnanec Európskej únie disciplinárnemu alebo inému konaniu v súlade s pravidlami a postupmi stanovenými v Služobnom poriadku úradníkov Európskej únie alebo v Podmienkach zamestnávania ostatných zamestnancov Európskej únie.

KAPITOLA IX

VYKONÁVACIE AKTY

Článok 70

Postup výboru

1.Komisii pomáha výbor zriadený na základe článku 93 nariadenia (EÚ) 2016/679. Uvedený výbor je výborom v zmysle nariadenia (EÚ) č. 182/2011.

2.Ak sa odkazuje na tento odsek, uplatňuje sa článok 5 nariadenia (EÚ) č. 182/2011.

KAPITOLA X

ZÁVEREČNÉ USTANOVENIA

Článok 71

Zrušenie nariadenia (ES) č. 45/2001 a rozhodnutia č. 1247/2002/ES

Nariadenie (ES) č. 45/2001 22 a rozhodnutie č. 1247/2002/ES 23 sa týmto zrušujú s účinnosťou od 25. mája 2018. Odkazy na zrušené nariadenie a rozhodnutie sa považujú za odkazy na toto nariadenie.

Článok 72

Prechodné opatrenia

1.Rozhodnutie Európskeho parlamentu a Rady č. 2014/886/EÚ 24 a súčasné funkčné obdobie európskeho dozorného úradníka pre ochranu údajov a zástupcu dozorného úradníka nie sú týmto nariadením dotknuté.

2.Pokiaľ ide o stanovenie odmeny, príplatkov, starobného dôchodku a akýchkoľvek iných náhrad poskytovaných namiesto odmeny, zástupca dozorného úradníka má rovnaké postavenie ako tajomník Súdneho dvora Európskej únie.

3.Článok 54 ods. 4, 5 a 7 a články 56 a 57 tohto nariadenia sa na súčasného zástupcu dozorného úradníka uplatňujú až do skončenia jeho funkčného obdobia 5. decembra 2019.

4.Zástupca dozorného úradníka pomáha európskemu dozornému úradníkovi pre ochranu údajov so všetkými jeho povinnosťami a koná ako jeho náhradník, keď európsky dozorný úradník pre ochranu údajov nie je prítomný alebo keď nemôže tieto úlohy plniť, a to až do konca svojho funkčného obdobia 5. decembra 2019.

Článok 73

Nadobudnutie účinnosti a uplatňovanie

1.Toto nariadenie nadobúda účinnosť dvadsiatym dňom po jeho uverejnení v Úradnom vestníku Európskej únie.

2.Uplatňuje sa od 25. mája 2018.

Toto nariadenie je záväzné v celom rozsahu a priamo uplatniteľné vo všetkých členských štátoch.

V Bruseli

Za Európsky parlament Za Radu

predseda predseda

LEGISLATÍVNY FINANČNÝ VÝKAZ

1.RÁMEC NÁVRHU/INICIATÍVY

1.1.Názov návrhu/iniciatívy

1.2.Príslušné oblasti politiky v rámci ABM/ABB

1.3.Druh návrhu/iniciatívy

1.4.Ciele

1.5.Dôvody návrhu/iniciatívy

1.6.Trvanie a finančný vplyv

1.7.Plánovaný spôsob hospodárenia

2.OPATRENIA V OBLASTI RIADENIA

2.1.Opatrenia týkajúce sa monitorovania a predkladania správ

2.2.Systémy riadenia a kontroly

2.3.Opatrenia na predchádzanie podvodom a nezrovnalostiam

3.ODHADOVANÝ FINANČNÝ VPLYV NÁVRHU/INICIATÍVY

3.1.Príslušné okruhy viacročného finančného rámca a rozpočtové riadky výdavkov

3.2.Odhadovaný vplyv na výdavky

3.2.1.Zhrnutie odhadovaného vplyvu na výdavky

3.2.2.Odhadovaný vplyv na operačné rozpočtové prostriedky

3.2.3.Odhadovaný vplyv na administratívne rozpočtové prostriedky

3.2.4.Súlad s platným viacročným finančným rámcom

3.2.5.Príspevky od tretích strán

3.3.Odhadovaný vplyv na príjmy

LEGISLATÍVNY FINANČNÝ VÝKAZ

1.RÁMEC NÁVRHU/INICIATÍVY

1.1.Názov návrhu/iniciatívy

Návrh nariadenia Európskeho parlamentu a Rady o ochrane fyzických osôb pri spracúvaní osobných údajov inštitúciami, orgánmi, úradmi a agentúrami Únie a o voľnom pohybe takýchto údajov, ktorým sa zrušuje nariadenie (ES) č. 45/2001 a rozhodnutie č. 1247/2002/ES.

1.2.Príslušné oblasti politiky v rámci ABM/ABB 25

Spravodlivosť – ochrana osobných údajov

1.3.Druh návrhu/iniciatívy

◻ Návrh/iniciatíva sa týka novej akcie

◻ Návrh/iniciatíva sa týka novej akcie, ktorá nadväzuje na pilotný projekt/prípravnú akciu 26

–Návrh/iniciatíva sa týka predĺženia trvania existujúcej akcie

◻ Návrh/iniciatíva sa týka akcie presmerovanej na novú akciu

1.4.Ciele

1.4.1.Viacročné strategické ciele Komisie, ktoré sú predmetom návrhu/iniciatívy

Nadobudnutie platnosti Lisabonskej zmluvy – a najmä zavedenie nového právneho základu (článku 16 ZFEÚ) – ponúka príležitosť zaviesť komplexný rámec ochrany údajov, ktorý by pokrýval všetky oblasti.

Dňa 27. apríla 2016 Únia prijala nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (Text s významom pre EHP), Ú. v. EÚ L 119, 4.5.2016, s. 1 – 88.

V rovnaký deň Únia prijala smernicu Európskeho parlamentu a Rady (EÚ) 2016/680 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií a o voľnom pohybe takýchto údajov a o zrušení rámcového rozhodnutia Rady 2008/977/SVV, Ú. v. EÚ L 119, 4.5.2016, s. 89 – 131.

Cieľom návrhu je zavŕšiť zavádzanie komplexného rámca ochrany údajov v Únii zosúladením pravidiel ochrany údajov platných pre inštitúcie a orgány Únie s pravidlami ochrany údajov v rámci nariadenia (EÚ) 2016/679. Z dôvodov konzistentnosti a koherentnosti by inštitúcie a orgány Únie mali uplatňovať podobný súbor pravidiel ochrany údajov ako verejný sektor v členských štátoch.

1.4.2.Osobitné ciele a príslušné činnosti v rámci ABM/ABB

Osobitný cieľ č. 1:

zabezpečiť konzistentné uplatňovanie pravidiel ochrany údajov v celej Únii.

Osobitný cieľ č. 2:

racionalizovať súčasný model riadenia ochrany údajov v inštitúciách a orgánoch Únie.

Osobitný cieľ č. 3:

zabezpečiť prísnejšie dodržiavanie a presadzovanie pravidiel ochrany údajov v inštitúciách a orgánoch Únie.

1.4.3.Očakávané výsledky a vplyv

Uveďte, aký vplyv by mal mať návrh/iniciatíva na príjemcov/cieľové skupiny.

Pokiaľ ide o inštitúcie a orgány Únie ako prevádzkovateľov, mali by mať prospech z prechodu od súčasných (ex ante prístup) správnych postupov ochrany údajov k účinnejšiemu dodržiavaniu a prísnejšiemu presadzovaniu hmotnoprávnych pravidiel v oblasti ochrany údajov a novým zásadám a pojmom ochrany údajov zavedeným nariadením (EÚ) 2016/679 (ex post prístup), ktoré budú platné v celej Únii.

Fyzické osoby, ktorých údaje inštitúcie a orgány Únie spracúvajú, budú mať lepšiu kontrolu nad svojimi osobnými údajmi a väčšiu dôveru v digitálne prostredie. Pozitívom pre nich bude aj posilnenie zodpovednosti inštitúcií a orgánov Únie.

Európsky dozorný úradník pre ochranu údajov sa bude môcť viac sústrediť na svoju dozornú úlohu. Objasní sa rozdelenie úloh v oblasti poskytovania poradenstva Komisii medzi Európskym výborom pre ochranu údajov, ktorý bol zriadený nariadením (EÚ) 2016/679, a európskym dozorným úradníkom pre ochranu údajov, a zabráni sa duplicitám.

1.4.4.Ukazovatele výsledkov a vplyvu

Uveďte ukazovatele, pomocou ktorých je možné sledovať uskutočňovanie návrhu/iniciatívy.

Ukazovatele zahŕňajú tieto prvky:

počet posudkov vydaných Európskym výborom pre ochranu údajov a európskym dozorným úradníkom pre ochranu údajov,

rozčlenenie činností zodpovedných osôb,

využitie posúdení vplyvu na ochranu údajov,

počet sťažností podaných zo strany dotknutých osôb,

pokuty uložené prevádzkovateľom zodpovedným za porušenie ochrany údajov.

1.5.Dôvody návrhu/iniciatívy

1.5.1.Potreby, ktoré sa majú uspokojiť v krátkodobom alebo dlhodobom horizonte

V nariadení (EÚ) 2016/679 (článku 2 ods. 3, článku 98 odôvodnení 17) spoluzákonodarcovia Únie vyžadujú prispôsobenie nariadenia (ES) č. 45/2001 zásadám a pravidlám stanoveným v nariadení (EÚ) 2016/679 s cieľom poskytnúť silný a súdržný rámec ochrany údajov v Únii a umožniť uplatňovanie oboch nástrojov súčasne, teda od 25. mája 2018.

1.5.2.Prínos zapojenia Európskej únie

Pravidlá ochrany údajov platné pre inštitúcie a orgány Únie možno zaviesť len prostredníctvom aktu EÚ.

1.5.3.Poznatky získané z podobných skúseností v minulosti

Tento návrh vychádza zo skúseností s nariadením (ES) č. 45/2001 a z posúdenia jeho uplatňovania, ktoré sa vykonalo v hodnotiacej štúdii (vykonanej externým dodávateľom od septembra 2014 do júna 2015) 27 .

1.5.4.Zlučiteľnosť a možná synergia s inými vhodnými nástrojmi

Tento návrh vychádza z nariadenia (EÚ) 2016/679 a dokončuje budovanie silného, jednotného a moderného rámca ochrany údajov v Únii – takého, ktorý je technologicky neutrálny a obstojí aj v budúcnosti.

1.6.Trvanie a finančný vplyv

◻ Návrh/iniciatíva s obmedzeným trvaním

–◻ Návrh/iniciatíva je v platnosti od [DD/MM]RRRR do [DD/MM]RRRR

–◻ Finančný vplyv trvá od RRRR do RRRR

Návrh/iniciatíva s neobmedzeným trvaním

Počiatočná fáza vykonávania bude trvať od [2017] do 25. mája 2018 a potom bude vykonávanie pokračovať v plnom rozsahu.

1.7.Plánovaný spôsob hospodárenia 28

Priame hospodárenie na úrovni Komisie

–◻ prostredníctvom jej útvarov vrátane zamestnancov v delegáciách Únie

–◻ prostredníctvom výkonných agentúr

◻ Zdieľané hospodárenie s členskými štátmi

◻ Nepriame hospodárenie so zverením úloh súvisiacich s plnením rozpočtu:

–◻ tretím krajinám alebo subjektom, ktoré tieto krajiny určili,

–◻ medzinárodným organizáciám a ich agentúram (uveďte),

–◻Európskej investičnej banke (EIB) a Európskemu investičnému fondu,

–◻ subjektom podľa článkov 208 a 209 nariadenia o rozpočtových pravidlách,

–◻ verejnoprávnym subjektom,

–◻ súkromnoprávnym subjektom povereným vykonávaním verejnej služby, pokiaľ tieto subjekty poskytujú dostatočné finančné záruky,

–◻ súkromnoprávnym subjektom spravovaným právom členského štátu, ktoré sú poverené vykonávaním verejno-súkromného partnerstva a ktoré poskytujú dostatočné finančné záruky,

–◻ osobám povereným vykonávaním osobitných činností v oblasti SZBP podľa hlavy V Zmluvy o Európskej únii a určeným v príslušnom základnom akte.

–V prípade viacerých spôsobov hospodárenia uveďte v oddiele „Poznámky“ presnejšie vysvetlenie.

Poznámky

Tento návrh sa obmedzuje na všetky inštitúcie a orgány Únie, ktorých sa dotýka.

2.OPATRENIA V OBLASTI RIADENIA

2.1.Opatrenia týkajúce sa monitorovania a predkladania správ

Uveďte časový interval a podmienky, ktoré sa vzťahujú na tieto opatrenia.

Tento návrh sa obmedzuje na uplatňovanie pravidiel ochrany údajov zo strany inštitúcií a orgánov Únie. Dozor nad týmito pravidlami a ich presadzovanie vykonáva európsky dozorný úradník pre ochranu údajov. Monitorovanie a podávanie správ preto zabezpečuje európsky dozorný úradník pre ochranu údajov. Podľa článku 60 tohto návrhu je európsky dozorný úradník pre ochranu údajov konkrétne povinný predkladať výročnú správu o činnostiach v rámci jeho kompetencie Európskemu parlamentu, Rade a Komisii a súčasne ju zverejniť.

2.2.Systémy riadenia a kontroly

2.2.1.Zistené riziká

Externý dodávateľ uskutočnil hodnotiacu štúdiu o uplatňovaní nariadenia (ES) č. 45/2001 v období od septembra 2014 do júna 2015. Zameriava sa aj na vplyv zavedenia kľúčových pojmov a zásad nariadenia (EÚ) 2016/679 v inštitúciách a orgánoch Únie.

Nový model ochrany údajov sa bude zameriavať na účinné dodržiavanie pravidiel ochrany údajov a účinný dozor nad týmito pravidlami a ich presadzovanie. Bude si žiadať zmenu kultúry ochrany údajov v rámci inštitúcií a orgánov Únie, pričom pôjde o prechod od správneho ex ante prístupu k účinnému ex post prístupu.

2.2.2.Údaje o zavedenom systéme vnútornej kontroly

Existujúce kontrolné metódy uplatňované inštitúciami a orgánmi Únie.

2.2.3.Odhad nákladov a prínosov kontrol a posúdenie očakávanej úrovne rizika chyby

Existujúce kontrolné metódy uplatňované inštitúciami a orgánmi Únie.

2.3.Opatrenia na predchádzanie podvodom a nezrovnalostiam

Uveďte existujúce a plánované preventívne a ochranné opatrenia.

Existujúce metódy predchádzania podvodom uplatňované inštitúciami a orgánmi Únie.

3.ODHADOVANÝ FINANČNÝ VPLYV NÁVRHU/INICIATÍVY

3.1.Príslušné okruhy viacročného finančného rámca a rozpočtové riadky výdavkov

Existujúce rozpočtové riadky

V poradí, v akom za sebou nasledujú okruhy viacročného finančného rámca a rozpočtové riadky.

Okruh viacročného finančného rámca

Rozpočtový riadok

Druh výdavkov

Príspevky

Číslo[Názov……………...……………………………………………………………….]

DRP/NRP 29 .

krajín EZVO 30

kandidátskych krajín 31

tretích krajín

v zmysle článku 21 ods. 2 písm. b) nariadenia o rozpočtových pravidlách

[XX.YY.YY.YY]

DRP/NRP

ÁNO/NIE

Požadované nové rozpočtové riadky

V poradí, v akom za sebou nasledujú okruhy viacročného finančného rámca a rozpočtové riadky.

Okruh viacročného finančného rámca

Rozpočtový riadok

Druh výdavkov

Príspevky

Číslo[Názov……………...……………………………………………………………….]

DRP/NRP

krajín EZVO

kandidátskych krajín

tretích krajín

v zmysle článku 21 ods. 2 písm. b) nariadenia o rozpočtových pravidlách

[XX.YY.YY.YY]

ÁNO/NIE

3.2.Odhadovaný vplyv na výdavky

Vplyv tohto návrhu na výdavky je obmedzený na výdavky inštitúcií a orgánov Únie. Hodnotenie nákladov spojených s týmto návrhom však ukazuje, že nevytvára značné dodatočné výdavky pre inštitúcie a orgány Únie.

Pokiaľ ide o prevádzkovateľov v inštitúciách a orgánoch Únie, z hodnotiacej štúdie nariadenia (ES) č. 45/2001 vyplýva, že ich činnosti súvisiace s ochranou údajov zodpovedajú približne 70 jednotkám ekvivalentu plného pracovného času (FTE), čo je okolo 9,3 milióna eur ročne. Približne 20 % z ich činností v oblasti ochrany údajov sa v súčasnosti týka oznamovania spracúvania údajov. Táto činnosť je v tomto nariadení zrušená, čo zodpovedá ročným úsporám vo výške 1,922 miliónov EUR pre prevádzkovateľov v inštitúciách a orgánoch Únie. Očakáva sa, že tieto úspory budú kompenzované zvýšenými investíciami prevádzkovateľov do uplatňovania nových zásad a koncepcií zavedených predkladaným nariadením.

Presnejšie, prieskum vykonaný v rámci hodnotiacej štúdie poukázal na to, že zavedenie:

a) zásady minimalizácie údajov by malo za následok minimálny alebo žiadny vplyv na inštitúcie a orgány Únie,

b) zásady transparentnosti by nemalo značný vplyv na inštitúcie a orgány Únie,

c) väčších informačných povinností by zvýšilo pracovnú záťaž prevádzkovateľov a zodpovedných osôb,

d) práva na zabudnutie by nemalo značný vplyv na inštitúcie a orgány Únie,

e) práva na prenosnosť údajov by malo za následok minimálny alebo žiadny vplyv na inštitúcie a orgány Únie,

f) posúdení vplyvu na ochranu údajov by malo stredne významný vplyv na pracovnú záťaž prevádzkovateľov a zodpovedných osôb, pretože niektoré inštitúcie a orgány Únie už vykonávajú posúdenia vplyvu na ochranu údajov a prípadov, v ktorých bude potrebné vykonať posúdenia vplyvu na ochranu údajov, je málo,

g) oznámení o porušení osobných údajov by zvýšilo pracovnú záťaž prevádzkovateľov, ale takéto porušenia nie sú časté,

h) navrhnutej ochrany údajov a štandardnej ochrany údajov už používa niekoľko inštitúcií a orgánov Únie.

Okrem toho sa pri posudzovaní vplyvu vykonanom pred prijatím návrhu balíčka reforiem týkajúcich sa ochrany údajov dospelo k záveru, že „žiadnemu orgánu verejnej moci ani prevádzkovateľovi by nevznikla administratívna záťaž v dôsledku zavedenia zásady špecificky navrhnutej ochrany údajov.“ 32

Pokiaľ ide o zodpovedné osoby, v hodnotiacej štúdii sa náklady na súčasnú sieť zodpovedných osôb a koordinátorov pre ochranu údajov v inštitúciách a orgánoch Únie odhadli na 82,9 jednotiek ekvivalentu plného pracovného času alebo 10,9 milióna EUR za rok. Títo strávia 26 % svojho času súvisiaceho s ochranou údajov činnosťami, ktoré sa týmto nariadením zrušujú, t. j. vypracovávaním oznámení (namiesto prevádzkovateľov), posudzovaním prijatých oznámení a vedením záznamov v registri a vykonávaním predbežných kontrol. To povedie k ďalším úsporám pre inštitúcie a orgány Únie vo výške 2,834 miliónov ročne. Okrem toho sa týmto nariadením vytvára priestor pre prípadné ďalšie úspory tým, že sa inštitúciám a orgánom Únie umožní zamestnať na činnosti zodpovedných osôb externé subjekty namiesto zamestnávania vlastných zamestnancov.

Úspory súvisiace s činnosťami zodpovedných osôb budú kompenzované ich zapojením do väčších informačných povinností, posúdení vplyvu na ochranu údajov (za obmedzených okolností, ak budú potrebné) a do predbežných konzultácií s európskym dozorným úradníkom pre ochranu údajov (ktorých rozsah bude oveľa menší ako rozsah súčasnej povinnosti predbežnej kontroly).

Pokiaľ ide o európskeho dozorného úradníka pre ochranu údajov, jeho ročný rozpočet je od roku 2011 pomerne stabilný a pohybuje sa vo výške okolo 8 miliónov EUR. V súčasnosti má jeho útvar dozoru a presadzovania podobný počet zamestnancov ako jeho útvar politiky a konzultácie, pričom tieto počty sú od roku 2008 stabilné. Väčšie zameranie súčasného nariadenia na dozornú úlohu európskeho dozorného úradníka pre ochranu údajov bude kompenzované cielenejšou poradenskou úlohou a odstránením duplicity úloh s Európskym výborom pre ochranu údajov. Prerozdelenie zamestnancov európskeho dozorného úradníka pre ochranu údajov preto možno vykonať interne.

V návrhu sa stanovuje možnosť európskeho dozorného úradníka pre ochranu údajov ukladať inštitúciám a orgánom Únie správne pokuty. Každej inštitúcii alebo orgánu Únie môže byť uložená pokuta až do výšky 250 000 EUR ročne (25 000 eur za porušenie) alebo 500 000 EUR ročne (50 000 EUR za porušenie) za najzávažnejšie porušenia tohto nariadenia. Takéto pokuty by sa mali uplatňovať len v najzávažnejších prípadoch, v nadväznosti na nedodržanie príkazu nariadeného európskym dozorným úradníkom pre ochranu údajov pri vykonávaní inej nápravnej právomoci zo strany inštitúciou alebo orgánom Únie. Očakáva sa preto, že finančný vplyv týchto pokút bude obmedzený.

3.2.1.Zhrnutie odhadovaného vplyvu na výdavky

v mil. EUR (zaokrúhlené na 3 desatinné miesta)

Okruh viacročného finančného rámca

Číslo

[Názov……………...……………………………………………………………….]

GR: <…….>			Rok N 33	Rok N+1	Rok N+2	Rok N+3	Uveďte všetky roky, počas ktorých vplyv trvá (pozri bod 1.6)	SPOLU
• Operačné rozpočtové prostriedky
Číslo rozpočtového riadka	Záväzky	(1)
	Platby	(2)
Číslo rozpočtového riadka	Záväzky	(1a)
	Platby	(2a)
Administratívne rozpočtové prostriedky financované z balíka prostriedkov určených na realizáciu osobitných programov 34
Číslo rozpočtového riadka		(3)
Rozpočtové prostriedky pre GR <…….> SPOLU	Záväzky	= 1 + 1a + 3
	Platby	= 2 + 2a +3

• Operačné rozpočtové prostriedky SPOLU	Záväzky	(4)
	Platby	(5)
• Administratívne rozpočtové prostriedky financované z balíka prostriedkov určených na realizáciu osobitných programov SPOLU		(6)
Rozpočtové prostriedky OKRUHU <….> viacročného finančného rámca SPOLU	Záväzky	=4+ 6
	Platby	=5+ 6

Ak má návrh/iniciatíva vplyv na viaceré okruhy:

• Operačné rozpočtové prostriedky SPOLU	Záväzky	(4)
	Platby	(5)
• Administratívne rozpočtové prostriedky financované z balíka prostriedkov určených na realizáciu osobitných programov SPOLU		(6)
Rozpočtové prostriedky OKRUHOV 1 až 4 viacročného finančného rámca SPOLU (referenčná suma)	Záväzky	=4+ 6
	Platby	=5+ 6

Okruh viacročného finančného
rámca

„Administratívne výdavky“

v mil. EUR (zaokrúhlené na 3 desatinné miesta)

		Rok N	Rok N+1	Rok N+2	Rok N+3	Uveďte všetky roky, počas ktorých vplyv trvá (pozri bod 1.6)	SPOLU
GR: <…….>
• Ľudské zdroje
•Ostatné administratívne výdavky
GR <…….> SPOLU	Rozpočtové prostriedky

Rozpočtové prostriedky
OKRUHU 5
viacročného finančného rámca SPOLU

(Záväzky spolu = Platby spolu)

v mil. EUR (zaokrúhlené na 3 desatinné miesta)

		Rok N 35	Rok N+1	Rok N+2	Rok N+3	Uveďte všetky roky, počas ktorých vplyv trvá (pozri bod 1.6)	SPOLU
Rozpočtové prostriedky OKRUHOV 1 až 5 viacročného finančného rámca SPOLU	Záväzky
	Platby

3.2.2.Odhadovaný vplyv na operačné rozpočtové prostriedky

Návrh/iniciatíva si nevyžaduje použitie operačných rozpočtových prostriedkov

◻ Návrh/iniciatíva si vyžaduje použitie operačných rozpočtových prostriedkov, ako je uvedené v nasledujúcej tabuľke:

viazané rozpočtové prostriedky v mil. EUR (zaokrúhlené na 3 desatinné miesta)

Uveďte ciele a výstupy

⇩

Rok
N

Rok
N+1

Rok
N+2

Rok
N+3

Uveďte všetky roky, počas ktorých vplyv trvá (pozri bod 1.6)

SPOLU

VÝSTUPY

Druh 36

Priemerné náklady

Počet

Náklady

Počet

Náklady

Počet

Náklady

Počet

Náklady

Počet

Náklady

Počet

Náklady

Počet

Náklady

Celkový počet

Náklady spolu

OSOBITNÝ CIEĽ č. 1 37 …

- Výstup

Osobitný cieľ č. 1 medzisúčet

OSOBITNÝ CIEĽ č. 2...

- Výstup

Osobitný cieľ č. 2 medzisúčet

NÁKLADY SPOLU

3.2.3.Odhadovaný vplyv na administratívne rozpočtové prostriedky

3.2.3.1.Zhrnutie

Návrh/iniciatíva si nevyžaduje použitie administratívnych rozpočtových prostriedkov

◻ Návrh/iniciatíva si vyžaduje použitie administratívnych rozpočtových prostriedkov, ako je uvedené v nasledujúcej tabuľke:

v mil. EUR (zaokrúhlené na 3 desatinné miesta)

Rok
N 38

Rok
N+1

Rok
N+2

Rok
N+3

Uveďte všetky roky, počas ktorých vplyv trvá (pozri bod 1.6)

SPOLU

OKRUH 5 viacročného finančného rámca
Ľudské zdroje
Ostatné administratívne výdavky
OKRUH 5 viacročného finančného rámca medzisúčet

Mimo OKRUHU 5 39 viacročného finančného rámca
Ľudské zdroje
Ostatné administratívne výdavky
Mimo OKRUHU 5 viacročného finančného rámca medzisúčet

SPOLU

Rozpočtové prostriedky potrebné na ľudské zdroje a na ostatné administratívne výdavky budú pokryté rozpočtovými prostriedkami GR, ktoré už boli pridelené na riadenie akcie a/alebo boli prerozdelené v rámci GR, a v prípade potreby budú doplnené zdrojmi, ktoré sa môžu prideliť riadiacemu GR v rámci ročného postupu prideľovania zdrojov a v závislosti od rozpočtových obmedzení.

3.2.3.2.Odhadované potreby ľudských zdrojov

Návrh/iniciatíva si nevyžaduje použitie ľudských zdrojov.

◻ Návrh/iniciatíva si vyžaduje použitie ľudských zdrojov, ako je uvedené v nasledujúcej tabuľke:

odhady sa vyjadrujú v jednotkách ekvivalentu plného pracovného času

		Rok N	Rok N+1	Rok N+2	Rok N+3	Uveďte všetky roky, počas ktorých vplyv trvá (pozri bod 1.6)
• Plán pracovných miest (úradníci a dočasní zamestnanci)
XX 01 01 01 (ústredie a zastúpenia Komisie)
XX 01 01 02 (delegácie)
XX 01 05 01 (nepriamy výskum)
10 01 05 01 (priamy výskum)
• Externí zamestnanci (ekvivalent plného pracovného času: FTE) 40
XX 01 02 01 (ZZ, VNE, DAZ z celkového balíka prostriedkov)
XX 01 02 02 (ZZ, MZ, VNE, DAZ, PED v delegáciách)
XX 01 04 yy 41	- ústredie
	- delegácie
XX 01 05 02 (ZZ, VNE, DAZ – nepriamy výskum)
10 01 05 02 (ZZ, VNE, DAZ – priamy výskum)
Iné rozpočtové riadky (uveďte)
SPOLU

XX predstavuje príslušnú oblasť politiky alebo rozpočtovú hlavu.

Potreby ľudských zdrojov budú pokryté úradníkmi GR, ktorí už boli pridelení na riadenie akcie a/alebo boli interne prerozdelení v rámci GR, a v prípade potreby budú doplnené zdrojmi, ktoré sa môžu prideliť riadiacemu GR v rámci ročného postupu prideľovania zdrojov v závislosti od rozpočtových obmedzení.

Opis úloh, ktoré sa majú vykonať:

Úradníci a dočasní zamestnanci
Externí zamestnanci

3.2.4.Súlad s platným viacročným finančným rámcom

Návrh/iniciatíva je v súlade s platným viacročným finančným rámcom.

◻ Návrh/iniciatíva si vyžaduje zmenu v plánovaní príslušného okruhu vo viacročnom finančnom rámci.

Vysvetlite požadovanú zmenu v plánovaní a uveďte príslušné rozpočtové riadky a zodpovedajúce sumy.

◻ Návrh/iniciatíva si vyžaduje, aby sa použil nástroj flexibility alebo aby sa uskutočnila revízia viacročného finančného rámca.

Vysvetlite potrebu a uveďte príslušné okruhy, rozpočtové riadky a zodpovedajúce sumy.

3.2.5.Príspevky od tretích strán

Návrh/iniciatíva nezahŕňa spolufinancovanie tretími stranami.

Návrh/iniciatíva zahŕňa spolufinancovanie tretími stranami, ako je odhadnuté v nasledujúcej tabuľke:

rozpočtové prostriedky v mil. EUR (zaokrúhlené na 3 desatinné miesta)

	Rok N	Rok N+1	Rok N+2	Rok N+3	Uveďte všetky roky, počas ktorých vplyv trvá (pozri bod 1.6)	Spolu
Uveďte spolufinancujúci subjekt
Prostriedky zo spolufinancovania SPOLU

3.3.Odhadovaný vplyv na príjmy

Návrh/iniciatíva nemá finančný vplyv na príjmy.

◻ Návrh/iniciatíva má finančný vplyv na príjmy, ako je uvedené v nasledujúcej tabuľke:

–◻ vplyv na vlastné zdroje

–◻ vplyv na rôzne príjmy

v mil. EUR (zaokrúhlené na 3 desatinné miesta)

Rozpočtový riadok príjmov:	Rozpočtové prostriedky k dispozícii v prebiehajúcom rozpočtovom roku	Vplyv návrhu/iniciatívy 42
		Rok N	Rok N+1	Rok N+2	Rok N+3	Uveďte všetky roky, počas ktorých vplyv trvá (pozri bod 1.6)
Článok ………….

V prípade rôznych pripísaných príjmov uveďte príslušné rozpočtové riadky výdavkov.

Uveďte spôsob výpočtu vplyvu na príjmy.

(1) Nariadenie Európskeho parlamentu a Rady (ES) č. 45/2001 z 18. decembra 2000 o ochrane jednotlivcov so zreteľom na spracovanie osobných údajov inštitúciami a orgánmi Spoločenstva a o voľnom pohybe takýchto údajov, Ú. v. ES L 8, 12.1.2001.

(2) Rozhodnutie č. 1247/2002/ES z 1. júla 2002 o pravidlách a všeobecných podmienkach, ktorými sa spravuje výkon funkcie európskeho dozorného úradníka, Ú. v ES L 183, 12.7.2002, s. 1.

(3) Pozri nariadenie (EÚ) 2016/679, článok 98, odôvodnenie 17.

(4) Pozri rozsudok Súdneho dvora Európskej únie z 9. marca 2010, Európska komisia proti Spolkovej republike Nemecko, C-518/07, ECLI:EU:C:2010:125, body 26 a 28.

(5) Pozri na http://ec.europa.eu/justice/data-protection/reform/index_en.htm .

(6) Pozri všeobecnú správu európskeho dozorného úradníka pre ochranu údajov o meraní súladu s nariadením (ES) č. 45/2001 v inštitúciách EÚ (prieskum 2013) a Stanovisko 3/2015 „Veľká príležitosť pre Európu: odporúčania EDPS týkajúce sa možností EÚ v súvislosti s reformou ochrany osobných údajov“.

(7) JUST/2013/FRAC/FW/0157/A4 v súvislosti s viacnásobnou rámcovou zmluvou
JUST/2011/EVAL/01 (RS 2013/05) – hodnotiaca štúdia o nariadení (ES) č. 45/2001 od Ernst and Young, dostupná na http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=51087 .

(8) Rozsudok Súdneho dvora Európskej únie z 9. novembra 2010, spojené veci C-92/09 a C-93/09, Volker und Markus Schecke a Eifert, ECLI:EU:C:2009:284, ods. 48.

(9) V súlade s článkom 52 ods. 1 charty je možné obmedziť výkon práva na ochranu údajov, ak je takéto obmedzenie stanovené zákonom, rešpektuje podstatu tohto práva a slobôd a ak je, za predpokladu dodržania zásady proporcionality, toto obmedzenie potrebné a skutočne zodpovedá cieľom všeobecného záujmu, ktoré sú uznané Európskou úniou, resp. ak je potrebné na ochranu práv a slobôd iných.

(10) Ú. v. EÚ C …, …, s. ….

(11) Nariadenie Európskeho parlamentu a Rady (ES) č. 45/2001 z 18. decembra 2000 o ochrane jednotlivcov so zreteľom na spracúvanie osobných údajov inštitúciami a orgánmi Spoločenstva a o voľnom pohybe takýchto údajov (Ú. v. ES L 8, 12.1.2001, s. 1).

(12) Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (Text s významom pre EHP), Ú. v. EÚ L 119, 4.5.2016, s. 1 – 88.

(13) Smernica Európskeho parlamentu a Rady (EÚ) 2016/680 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií a o voľnom pohybe takýchto údajov a o zrušení rámcového rozhodnutia Rady 2008/977/SVV, Ú. v. EÚ L 119, 4.5.2016, s. 89 – 131.

(14) Smernica Rady 93/13/EHS z 5. apríla 1993 o nekalých podmienkach v spotrebiteľských zmluvách (Ú. v. ES J 95, 21.4.1993, s. 29).

(15) Nariadenie Európskeho parlamentu a Rady (ES) č. 1338/2008 zo 16. decembra 2008 o štatistikách Spoločenstva v oblasti verejného zdravia a bezpečnosti a ochrany zdravia pri práci ( Ú. v. EÚ L 354, 31.12.2008, s. 70 ).

(16) Nariadenie Európskeho parlamentu a Rady (EÚ) č. 182/2011 zo 16. februára 2011, ktorým sa ustanovujú pravidlá a všeobecné zásady mechanizmu, na základe ktorého členské štáty kontrolujú vykonávanie vykonávacích právomocí Komisie (Ú. v. EÚ L 55, 28.2.2011, s. 13).

(17) Nariadenie Európskeho parlamentu a Rady (ES) č. 223/2009 z 11. marca 2009 o európskej štatistike a o zrušení nariadenia (ES, Euratom) č. 1101/2008 o prenose dôverných štatistických údajov Štatistickému úradu Európskych spoločenstiev, nariadenia Rady (ES) č. 322/97 o štatistike Spoločenstva a rozhodnutia Rady 89/382/EHS, Euratom o založení Výboru pre štatistické programy Európskych spoločenstiev ( Ú. v. EÚ L 87, 31.3.2009, s. 164 ).

(18) Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (Text s významom pre EHP), Ú. v. EÚ L 119, 4.5.2016, s. 1 – 88.

(19) Smernica Európskeho parlamentu a Rady (EÚ) 2016/680 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií a o voľnom pohybe takýchto údajov a o zrušení rámcového rozhodnutia Rady 2008/977/SVV, Ú. v. EÚ L 119, 4.5.2016, s. 89 – 131.

(20) Smernica Komisie 2008/63/ES z 20. júna 2008 o hospodárskej súťaži na trhoch s koncovými telekomunikačnými zariadeniami (Ú. v. EÚ L 162, 21.6.2008, s. 20).

(21) Rozhodnutie Rady 2009/917/SVV z 30. novembra 2009 o využívaní informačných technológií na colné účely, Ú. v. EÚ L 323, 10.12.2009, s. 20 – 30.

(22) Nariadenie Európskeho parlamentu a Rady (ES) č. 45/2001 z 18. decembra 2000 o ochrane jednotlivcov so zreteľom na spracovanie osobných údajov inštitúciami a orgánmi Spoločenstva a o voľnom pohybe takýchto údajov, Ú. v. ES L 8, 12.1.2001.

(23) Rozhodnutie č. 1247/2002/ES z 1. júla 2002 o pravidlách a všeobecných podmienkach, ktorými sa spravuje výkon funkcie európskeho dozorného úradníka pre ochranu údajov, Ú. v. ES L 183, 12.7.2002, s. 1.

(24) Rozhodnutie Európskeho parlamentu a Rady 2014/886/EÚ zo 4. decembra 2014, ktorým sa vymenúva európsky dozorný úradník pre ochranu údajov a zástupca dozorného úradníka, Ú. v. EÚ L 351, 9.12.2014, s. 9.

(25) ABM: riadenie podľa činností; ABB: zostavovanie rozpočtu podľa činností.

(26) Podľa článku 54 ods. 2 písm. a) alebo b) nariadenia o rozpočtových pravidlách.

(27) JUST/2013/FRAC/FW/0157/A4 v súvislosti s viacnásobnou rámcovou zmluvou
JUST/2011/EVAL/01 (RS 2013/05) – hodnotiaca štúdia o nariadení (ES) č. 45/2001 od Ernst and Young

(28) Vysvetlenie spôsobov hospodárenia a odkazy na nariadenie o rozpočtových pravidlách sú k dispozícii na webovej stránke BudgWeb: http://www.cc.cec/budg/man/budgmanag/budgmanag_en.html .

(29) DRP = diferencované rozpočtové prostriedky/NRP = nediferencované rozpočtové prostriedky.

(30) EZVO: Európske združenie voľného obchodu.

(31) Kandidátske krajiny a prípadne potenciálne kandidátske krajiny západného Balkánu.

(32) Pracovný dokument útvarov Komisie, posúdenie vplyvu SEC(2012) 72 v konečnom znení, strana 110.

(33) Rok N je rokom, v ktorom sa návrh/iniciatíva začína uskutočňovať.

(34) Technická a/alebo administratívna pomoc a výdavky určené na financovanie realizácie programov a/alebo akcií Európskej únie (pôvodné rozpočtové riadky „BA“), nepriamy výskum, priamy výskum.

(35) Rok N je rokom, v ktorom sa návrh/iniciatíva začína uskutočňovať.

(36) Výstupy znamenajú dodané produkty a služby (napr.: počet financovaných výmen študentov, vybudované cesty v km atď.).

(37) Ako je uvedené v bode 1.4.2. „Osobitné ciele...“

(38) Rok N je rokom, v ktorom sa návrh/iniciatíva začína uskutočňovať.

(39) Technická a/alebo administratívna pomoc a výdavky určené na financovanie realizácie programov a/alebo akcií Európskej únie (pôvodné rozpočtové riadky „BA“), nepriamy výskum, priamy výskum.

(40) ZZ = zmluvný zamestnanec; MZ = miestny zamestnanec; VNE = vyslaný národný expert; DAZ = dočasný agentúrny zamestnanec; PED = pomocný expert v delegácii.

(41) Čiastkový strop pre externých zamestnancov financovaných z operačných rozpočtových prostriedkov (pôvodné rozpočtové riadky „BA“).

(42) Pokiaľ ide o tradičné vlastné zdroje (clá, odvody z produkcie cukru), uvedené sumy musia predstavovať čisté sumy, t. j. hrubé sumy po odčítaní 25 % nákladov na výber.

Choose the experimental features you want to try