V Bruseli24. 1. 2018

COM(2018) 43 final

OZNÁMENIE KOMISIE EURÓPSKEMU PARLAMENTU A RADE

FMT:BoldSilnejšia ochrana, nové príležitosti – Usmernenie Komisie o priamom uplatňovaní všeobecného nariadenia o ochrane údajov/FMT


Oznámenie Komisie Európskemu parlamentu a Rade

Silnejšia ochrana, nové možnosti – Usmernenie Komisie o priamom uplatňovaní všeobecného nariadenia o ochrane údajov od 25. mája 2018

Úvod

EÚ 6. apríla 2016 schválila rozsiahlu reformu právneho rámca ochrany údajov a prijala balík reforiem na ochranu údajov, ktorý obsahuje všeobecné nariadenie o ochrane údajov 1 , ktorým sa nahrádza dvadsaťročná smernica 95/46/ES 2 („smernica o ochrane údajov“), a smernicu o policajnej spolupráci 3 . Všeobecné nariadenie o ochrane údajov (ďalej len „nariadenie“) sa ako nový celoeurópsky nástroj na ochranu údajov začne priamo uplatňovať 25. mája 2018, čiže dva roky po tom, ako bolo prijaté a nadobudlo účinnosť 4 .

Vychádzajúc zo skutočnosti, že ochrana údajov je v Európskej únii základným právom 5 , sa novým nariadením zlepší ochrana práva jednotlivca na ochranu osobných údajov.

Vďaka jednotnému súboru pravidiel, ktoré sa budú priamo uplatňovať v právnych poriadkoch členských štátov, sa posilnia dva nevyhnutné prvky skutočne jednotného digitálneho trhu: voľný tok osobných údajov medzi členskými štátmi EÚ a dôvera a bezpečnosť spotrebiteľov. Nariadenie tak podnikom a spoločnostiam, najmä tým menším, otvorí nové možnosti, a to aj vďaka jasnejším a jednoduchším pravidlám medzinárodných prenosov údajov.

Hoci nový rámec ochrany údajov vychádza zo súčasných právnych predpisov, bude mať ďalekosiahly vplyv a v určitých aspektoch si bude vyžadovať významné úpravy. Preto sa v nariadení stanovuje prechodné obdobie dvoch rokov – do 25. mája 2018 – aby mali členské štáty a zainteresované strany čas dôkladne sa pripraviť na nový právny rámec.

Počas uplynulých dvoch rokov sa všetky zainteresované strany – od vnútroštátnej verejnej správy a vnútroštátnych orgánov pre ochranu údajov až po prevádzkovateľov a sprostredkovateľov údajov – zapojili do viacerých činností zameraných na to, aby všetky subjekty dobre pochopili význam a rozsah zmien vyplývajúcich z novej ochrany údajov a aby boli na ne pripravené. Keďže sa blíži lehota 25. mája, Komisia sa domnieva, že je potrebné zhodnotiť vykonanú činnosť a preskúmať ďalšie možné kroky, ktoré by mohli prispieť k dovŕšeniu príprav na úspešné nadobudnutie účinnosti nového rámca 6 .

Toto oznámenie obsahuje:

·zhrnutie hlavných inovácií a možností vyplývajúcich z nových právnych predpisov EÚ na ochranu údajov,

·zhodnotenie doterajších príprav na úrovni EÚ,

·opis krokov, ktoré by Európska komisia, vnútroštátne orgány pre ochranu údajov a vnútroštátne verejné správy mali ešte urobiť, aby sa prípravy úspešne ukončili,

·opatrenia, ktoré Komisia plánuje prijať v nadchádzajúcich mesiacoch.

Súčasne s prijatím tohto oznámenia Komisia zverejňuje aj súbor online nástrojov, ktorý má zainteresovaným stranám pomôcť pripraviť sa na uplatňovanie nariadenia, a vykonáva s podporou svojich zastúpení vo všetkých členských štátoch informačnú kampaň.

1.NOVÝ RÁMEC OCHRANY ÚDAJOV V EÚ – SILNEJŠIA OCHRANA a NOVÉ MOŽNOSTI

Nariadenie sa riadi rovnakým prístupom ako smernica o ochrane údajov, no vďaka 20 rokom skúseností s uplatňovaním právnych predpisov a judikatúry EÚ o ochrane údajov sa v ňom pravidlá ochrany údajov sprehľadňujú a modernizujú; zavádza sa ním niekoľko nových prvkov, ktoré posilňujú ochranu práv jednotlivca, a otvárajú spoločnostiam a podnikom tieto nové možnosti:

·Harmonizovaný právny rámec, ktorý vedie k rovnakému uplatňovaniu pravidiel v prospech jednotného digitálneho trhu EÚ. Nariadenie predstavuje jednotný súbor pravidiel pre občanov a podniky, ktorý rieši dnešnú situácii, keď členské štáty EÚ vykonávajú pravidlá smernice rozdielnym spôsobom. Rovnaké a konzistentné uplatňovanie vo všetkých členských štátoch sa má dosiahnuť zavedením mechanizmu jednotného kontaktného miesta.

·Rovnaké podmienky pre všetky spoločnosti pôsobiace na trhu EÚ. Ak spoločnosti so sídlom mimo EÚ ponúkajú tovar a služby súvisiace s osobnými údajmi alebo ak monitorujú správanie jednotlivcov v Únii, v nariadení sa požaduje, aby uplatňovali rovnaké pravidlá ako spoločnosti so sídlom v EÚ. Spoločnosti, ktoré majú sídlo mimo EÚ a sú aktívne na jednotnom trhu, musia za určitých okolností vymenovať zástupcu v EÚ, na ktorého sa občania a orgány môžu obrátiť okrem spoločnosti so sídlom v zahraničí alebo namiesto nej.

·Zásady špecificky navrhnutej ochrany údajov a štandardnej ochrany údajov od samého začiatku podnecujú inovačné riešenia ochrany údajov.

·Rozšírené práva jednotlivcov: Nariadením sa zavádzajú nové požiadavky na transparentnosť; rozšírené práva na informácie, prístup, vymazanie („právo na zabudnutie“); keďže na vyjadrenie súhlasu sa vyžaduje jasný potvrdzujúci úkon, mlčanie alebo nečinnosť sa už nebudú považovať za platný súhlas; ochrana detí online.

·Lepšia kontrola jednotlivcov nad svojimi osobnými údajmi Nariadením sa zavádza nové právo na prenosnosť údajov. Občanom umožňuje požiadať spoločnosť alebo organizáciu, aby im poskytla osobné údaje, ktoré tejto spoločnosti alebo organizácii dali k dispozícii na základe súhlasu alebo zmluvy. Takisto sa umožňuje, aby sa takéto osobné údaje preniesli priamo inej spoločnosti alebo organizácii, ak je to technicky možné. Keďže toto právo umožňuje priamy prenos osobných údajov z jednej spoločnosti alebo organizácie do druhej, podporí aj voľný tok osobných údajov v EÚ, zamedzí nedostupnosti osobných údajov a podnieti hospodársku súťaž medzi spoločnosťami. V kontexte stratégie digitálneho jednotného trhu jednoduchší prechod občanov od jedného poskytovateľa služieb k inému napomôže rozvoj nových služieb.

·Silnejšia ochrana osobných údajov pred porušeniami. V nariadení sa stanovuje komplexný súbor pravidiel týkajúcich sa porušenia ochrany osobných údajov. Jasne sa v ňom vymedzuje, čo znamená „porušenie ochrany osobných údajov“, a zavádza sa povinnosť oznámiť dozornému orgánu najneskôr do 72 hodín porušenie ochrany údajov, ktoré pravdepodobne predstavuje riziko pre práva a slobody jednotlivca. Obsahuje povinnosť za istých okolností informovať osobu, ktorej údaje by mohli byť dotknuté porušením. Tým sa významne posilňuje ochrana v porovnaní so súčasnou situáciou v EÚ, keď sa povinnosť oznamovať porušenie ochrany údajov podľa smernice o súkromí a elektronických komunikáciách 7 a smernice o opatreniach na zabezpečenie vysokej spoločnej úrovne bezpečnosti sietí a informačných systémov v Únii (smernice o kybernetickej bezpečnosti) 8 vzťahuje len na poskytovateľov elektronických komunikačných služieb, prevádzkovateľov základných služieb a poskytovateľov digitálnych služieb.

·Na základe nariadenia sa všetkým orgánom pre ochranu údajov poskytuje právomoc ukladať pokuty prevádzkovateľom a sprostredkovateľom. V súčasnosti takúto právomoc nemajú všetky orgány. Umožní sa tak lepšie vykonávanie pravidiel. Pokuty môžu dosiahnuť 20 miliónov EUR. V prípade spoločnosti sú to až 4 % celosvetového ročného obratu.

·Väčšia flexibilita prevádzkovateľov a sprostredkovateľov, ktorí spracúvajú osobné údaje, vďaka jednoznačným ustanoveniam o zodpovednosti (zásada zodpovednosti) Nariadenie sa odkláňa od systému oznamovania a presadzuje zásadu zodpovednosti. Uplatňuje ju v podobe povinností, ktoré možno stupňovať v závislosti od rizika (napr. povinná prítomnosť zodpovednej osoby alebo povinnosť vykonať posúdenie vplyvu na ochranu údajov). Zavádza sa nový nástroj na posúdenie rizika ešte pred začatím spracovania: tzv. posúdenie vplyvu na ochranu údajov. Vyžaduje sa vždy vtedy, keď je pravdepodobné, že spracovanie predstavuje vysoké riziko pre práva a slobody jednotlivcov. V nariadení sa osobitne uvádzajú tri situácie: keď spoločnosť systematicky a rozsiahlo vyhodnocuje osobné aspekty jednotlivca (vrátane profilovania), keď vo veľkom rozsahu spracúva citlivé údaje alebo keď systematicky a vo veľkom rozsahu monitoruje verejné priestory. Vnútroštátne orgány pre ochranu údajov budú musieť zverejniť zoznam prípadov, pri ktorých sa vyžaduje posúdenie vplyvu na ochranu údajov 9 .

·Sprehľadnenie povinností sprostredkovateľov a zodpovednosti prevádzkovateľov pri výbere sprostredkovateľa;

·Moderný systém riadenia, ktorý zabezpečí dôslednejšie a dôraznejšie presadzovanie pravidiel Patria sem harmonizované právomoci orgánov pre ochranu údajov vrátane pokút a nové mechanizmy spolupráce týchto orgánov v sieti.

·Ochrana osobných údajov zaručená nariadením sa vzťahuje aj na údaje prenášané mimo EÚ, čím sa zabezpečuje vysoká úroveň ochrany 10 . V nariadení sa zachováva štruktúra pravidiel uplatňovaných na medzinárodné prenosy údajov, ako bola vytvorená v smernici z roku 1995, reformou sa však objasňuje a zjednodušuje ich používanie a pre prenosy sa zavádzajú nové nástroje. Pokiaľ ide o rozhodnutia o primeranosti, v nariadení sa zavádza presný a podrobný zoznam faktorov, ktoré musí Komisia zohľadniť pri posudzovaní, či zahraničný systém primerane chráni osobné údaje. Nariadením sa takisto formalizuje a rozširuje počet alternatívnych nástrojov prenosu, ako sú štandardné zmluvné doložky a záväzné vnútropodnikové pravidlá.

Po prijatí revidovaného nariadenia pre inštitúcie, orgány, úrady a agentúry Únie 11 a nariadenia o súkromí a elektronických komunikáciách 12 , o ktorých sa v súčasnosti rokuje, bude EÚ vybavená uceleným a účinným súborom pravidiel ochrany údajov 13 .

2.Doterajšie prípravy na úrovni EÚ

Úspešné uplatňovanie nariadenia si vyžaduje spoluprácu medzi všetkými aktérmi zapojenými do ochrany údajov, t. j. medzi členskými štátmi vrátane verejnej správy, vnútroštátnymi orgánmi pre ochranu údajov, podnikmi, organizáciami spracúvajúcimi osobné údaje a fyzickými osobami, ako aj Komisiou.

2.1 Opatrenia Európskej komisie

Krátko po nadobudnutí účinnosti nariadenia v polovici roku 2016 Komisia nadviazala s orgánmi členských štátov, orgánmi pre ochranu údajov a zainteresovanými stranami spoluprácu na príprave uplatňovania nariadenia s cieľom poskytnúť podporu a poradenstvo.

a) Podpora členských štátov a ich orgánov

Komisia veľmi úzko spolupracuje s členskými štátmi s cieľom podporiť ich počas prechodného obdobia a zabezpečiť čo najvyššiu mieru jednotného uplatňovania. Na tento účel Komisia zriadila skupinu expertov, ktorá bude členským štátom pomáhať v prípravách na vykonávanie nariadenia. Skupina pôsobí ako fórum, na ktorom si môžu členské štáty vymieňať svoje skúsenosti a odborné znalosti. Zasadla už 13-krát. 14 Komisia sa okrem toho zúčastnila na bilaterálnych stretnutiach s orgánmi členských štátov, na ktorých sa diskutovalo o problémoch na vnútroštátnej úrovni.

b) Podpora jednotlivých orgánov pre ochranu osobných údajov a vytvorenie Európskeho výboru pre ochranu údajov

Komisia aktívne podporuje prácu pracovnej skupiny zriadenej podľa článku 29, okrem iného aj preto, aby zabezpečila jej hladkú transformáciu na Európsky výbor pre ochranu údajov 15 .

c) Medzinárodná spolupráca

Podporou zbližovania právnych systémov na celom svete nariadenie ďalej posilní schopnosť EÚ aktívne presadzovať svoje hodnoty v oblasti ochrany údajov a uľahčí cezhraničné toky údajov 16 . Pravidlá EÚ v oblasti ochrany údajov sa na medzinárodnej úrovni čoraz viac radia medzi najvyššie normy ochrany údajov na svete. Modernizuje sa aj dohovor Rady Európy č. 108 ako jediný právne záväzný multilaterálnym nástroj v oblasti ochrany osobných údajov. Komisia pracuje na tom, aby sa v dohovore prejavili rovnaké zásady, aké sú zakotvené v nových pravidlách EÚ v oblasti ochrany údajov, vďaka čomu by sa v oblasti ochrany údajov mohol zaviesť jednotný súbor vysokých noriem. Keďže EÚ by sa mala stať zmluvnou stranou dohovoru, Komisia bude aktívne podporovať rýchle prijatie jeho modernizovaného znenia 17 . Komisia vyzýva krajiny mimo EÚ, aby ratifikovali dohovor Rady Európy č. 108 a jeho dodatkový protokol.

Navyše niekoľko krajín a regionálnych organizácií mimo EÚ siahajúcich od našich bezprostredných susedov až po Áziu, Latinskú Ameriku a Afriku prijíma nové právne predpisy o ochrane údajov alebo aktualizuje tie existujúce s cieľom využiť príležitosti, ktoré ponúka svetové digitálne hospodárstvo, a reagovať na rastúci dopyt po vyššej bezpečnosti údajov a ochrane súkromia. Hoci sa prístupy krajín a ich úrovne legislatívneho vývoja líšia, ukazuje sa, že nariadenie sa v čoraz väčšej miere využíva ako referenčný dokument a zdroj inšpirácie 18 .

V tomto kontexte Komisia v súlade oznámením z januára 2017 19 aktívne rokuje s hlavnými obchodnými partnermi na medzinárodnej úrovni, a to najmä vo východnej a v juhovýchodnej Ázii a Latinskej Amerike, aby zistila možnosti prijať rozhodnutia o primeranosti. 20

Konkrétne s Japonskom sa Komisia usiluje o súbežné stanovenie primeranej úrovne ochrany obidvoma stranami začiatkom roka 2018 tak, ako to oznámili predseda Juncker a predseda vlády Abe vo svojom spoločnom vyhlásení zo 6. júla 2017 21 . O možnosti prijať rozhodnutie o primeranosti sa začalo rokovať aj s Južnou Kóreou. Prijatím rozhodnutia o primeranosti by sa medzi EÚ a príslušnými tretími krajinami zabezpečil voľný tok údajov a súčasne by sa pri prenose osobných údajov EÚ do týchto krajín zaručila vysoká úroveň ich ochrany.

Aby čo najlepšie využila nástroje všeobecného nariadenia o ochrane údajov zamerané na medzinárodné prenosy, Komisia sa zároveň v spolupráci so zainteresovanými stranami usiluje vytvoriť alternatívne mechanizmy prenosu prispôsobené konkrétnym potrebám jednotlivých odvetví a/alebo prevádzkovateľov. 22

d) Spolupráca so zainteresovanými stranami

Komisia zorganizovala niekoľko podujatí zameraných na oslovenie zainteresovaných strán 23 . V prvom štvrťroku roku 2018 sa plánuje nový seminár zameraný na spotrebiteľov. Uskutočnili sa aj odvetvové diskusie v oblastiach, ako je výskum a finančné služby.

V súvislosti s nariadením Komisia zároveň zriadila skupinu viacerých zainteresovaných strán, ktorá je zložená zo zástupcov občianskej spoločnosti a podnikov, akademických pracovníkov a odborníkov z praxe. Táto skupina bude Komisii radiť najmä v súvislosti s tým, ako dosiahnuť primeranú úroveň informovanosti o nariadení medzi zainteresovanými stranami 24 .

V neposlednom rade Európska komisia prostredníctvom rámcového programu pre výskum a inováciu Horizont 2020 25 financuje opatrenia na vývoj nástrojov, ktoré napomôžu účinné uplatňovanie pravidiel nariadenia súvisiacich so súhlasom a analytickými metódami, ktoré zachovávajú súkromie, ako napr. viacstranná výpočtová služba a homomorfné šifrovanie.

2.2 Činnosti pracovnej skupiny zriadenej podľa článku 29 / Európskeho výboru pre ochranu údajov

Pracovná skupina zriadená podľa článku 29, ktorá združuje všetky vnútroštátne orgány pre ochranu údajov vrátane európskeho dozorného úradníka pre ochranu údajov, vydáva pre spoločnosti a ostatné zainteresované strany usmernenia, čím zohráva kľúčovú úlohu pri príprave uplatňovania nariadenia. Ako subjekty zodpovedné za presadzovanie nariadenia a priame kontakty so zainteresovanými stranami majú vnútroštátne orgány pre ochranu údajov najlepšie postavenie na to, aby im poskytli dodatočnú právnu istotu, pokiaľ ide o výklad nariadenia.

Usmernenia / pracovné dokumenty skupiny zriadenej podľa článku 29 vydané pred začatím uplatňovania nariadenia 26 .

Právo na prenosnosť údajov

Prijaté 4. – 5. apríla 2017

Zodpovedné osoby

Určenie hlavného dozorného orgánu

Posúdenie vplyvu na ochranu údajov

Prijaté 3. – 4. októbra 2017

Správne pokuty

Prijaté 3. – 4. októbra 2017

Profilovanie

Prebieha príprava

Porušenie ochrany osobných údajov

Prebieha príprava

Súhlas

Prebieha príprava

Transparentnosť

Prebieha príprava

Certifikácia a akreditácia

Prebieha príprava

Referenčné kritérium primeranosti

Prebieha príprava

Záväzné vnútropodnikové pravidlá pre prevádzkovateľov

Prebieha príprava

Záväzné vnútropodnikové pravidlá pre sprostredkovateľov

Prebieha príprava

Pracovná skupina zriadená podľa článku 29 pracuje na aktualizácii existujúcich stanovísk vrátane stanoviska k nástrojom na prenos údajov do krajín, ktoré nie sú členmi EÚ.

Keďže pre prevádzkovateľov je zásadné, aby mali spoločný a jednotný súbor usmernení, súčasné usmernenia na vnútroštátnej úrovni sa musia buď zrušiť, alebo zosúladiť s tými, ktoré prijala pracovná skupina zriadená podľa článku 29 / Európsky výbor pre ochranu údajov.

Komisia prikladá veľkú dôležitosť tomu, aby sa tieto usmernenia ešte pred dokončením stali predmetom verejnej konzultácie. Je nevyhnutné, aby boli príspevky zainteresovaných strán do tohto procesu čo najpresnejšie a najkonkrétnejšie, čo zjednoduší hľadanie najlepších postupov a nasmeruje pozornosť pracovnej skupiny zriadenej podľa článku 29 na osobitosti jednotlivých odvetví. Konečná zodpovednosť za tieto usmernenia zostáva na pracovnej skupine zriadenej podľa článku 29 a budúcom Európskom výbore pre ochranu údajov. Orgány pre ochranu údajov sa na ne budú odvolávať pri presadzovaní nariadenia.

Usmernenia by malo byť možné meniť podľa vývoja a praxe. Je preto dôležité, aby orgány pre ochranu údajov presadzovali kultúru dialógu so všetkými zainteresovanými stranami vrátane podnikov.

Treba pripomenúť, že ak sa vyskytnú otázky ohľadne výkladu a uplatňovania nariadenia, konečný výklad nariadenia poskytnú súdy na vnútroštátnej úrovni a na úrovni EÚ.

3.Posledné kroky pred úspešným dokončením príprav

3.1 Členské štáty musia dokončiť prípravu právneho rámca na vnútroštátnej úrovni

Nariadenie je priamo účinné v členských štátoch 27 . Znamená to, že nadobudne účinnosť a bude sa uplatňovať bez ohľadu na akékoľvek opatrenia vnútroštátneho práva: ustanovenia nariadenia môžu spravidla priamo využívať občania, podniky, verejná správa a iné organizácie, ktoré spracúvajú osobné údaje. Podľa nariadenia musia členské štáty napriek tomu podniknúť kroky potrebné na prispôsobenie svojich právnych predpisov, čiže zrušiť a zmeniť platné zákony, zriadiť vnútroštátne orgány pre ochranu údajov 28 , vybrať akreditačný orgán 29 a stanoviť pravidlá na zosúladenie slobody prejavu a ochrany údajov 30 .

Okrem toho sa v nariadení poskytuje členským štátom možnosť ďalej spresniť uplatňovanie pravidiel ochrany údajov, a to konkrétne v týchto oblastiach: verejný sektor 31 , zamestnanosť a sociálne zabezpečenie 32 , preventívne a pracovné lekárstvo, verejné zdravie 33 , účely archivácie vo verejnom záujme, účely vedeckého alebo historického výskumu alebo štatistické účely 34 , národné identifikačné číslo 35 , prístup verejnosti k úradným dokumentom 36 a povinnosť zachovávať mlčanlivosť 37 . Nariadenie okrem toho členským štátom umožňuje, aby pri genetických údajoch, biometrických údajoch a údajoch týkajúcich sa zdravia zachovali alebo zaviedli ďalšie podmienky či obmedzenia 38 .

Činnosti členských štátov v tejto súvislosti rámcujú dva prvky:

1.článok 8 Charty základných práv Európskej únie, čo znamená, že akýkoľvek vnútroštátny špecifikačný zákon musí spĺňať požiadavky článku 8 charty (a nariadenia, ktoré vychádza z tohto článku); a

2.článok 16 ods. 2 ZFEÚ, podľa ktorého vnútroštátne právne predpisy nemôžu obmedziť voľný pohyb osobných údajov v EÚ.

Nariadenie je príležitosťou zjednodušiť právne prostredie, v ktorom bude menej vnútroštátnych pravidiel a zrozumiteľnejšie podmienky pre prevádzkovateľov.

Pri úprave svojich vnútroštátnych právnych predpisov musia členské štáty zohľadniť skutočnosť, že akékoľvek vnútroštátne opatrenia, ktoré by viedli k vytvoreniu prekážky priamej účinnosti nariadenia a k ohrozeniu jeho súbežného a jednotného uplatňovania v celej EÚ, sú v rozpore so zmluvami 39 .

Takisto je zakázané opakovať znenie nariadení vo vnútroštátnom práve (napr. opakovať vymedzenie pojmov alebo práv jednotlivcov), pokiaľ takéto zopakovanie nie je nevyhnutné na zachovanie súdržnosti a zrozumiteľnosti právnych predpisov pre osoby, na ktoré sa vzťahujú 40 . Doslovné opakovanie znenia nariadenia vo vnútroštátnom špecifikačnom zákone by malo byť výnimočné a odôvodnené a nemôže sa použiť na pridanie ďalších podmienok alebo výkladov nad rámec nariadenia.

Výklad nariadenia sa ponecháva na európske súdy (vnútroštátne súdy a nakoniec Súdny dvor Európskej únie), nie na zákonodarcov členských štátov. Vnútroštátny zákonodarca preto nemôže kopírovať znenie nariadenia, pokiaľ to nie je potrebné vzhľadom na kritériá obsiahnuté v judikatúre, ani ho vykladať či pridávať ďalšie podmienky k pravidlám priamo uplatniteľným v zmysle nariadenia. Ak by to tak nebolo, prevádzkovatelia v celej Únii by opäť čelili rozdrobeniu a nevedeli by, ktoré pravidlá majú dodržiavať.

V tejto fáze prijali príslušné vnútroštátne právne predpisy iba dva členské štáty 41 ; ostatné sú v rôznych štádiách legislatívneho konania 42 s harmonogramom prijatia právnych predpisov do 25. mája 2018. Prevádzkovateľom je potrebné poskytnúť dostatok času na prípravu na všetky ustanovenia, ktoré budú musieť dodržiavať.

Ak členské štáty neprijmú potrebné opatrenia požadované podľa nariadenia, prijmú ich oneskorene alebo využijú špecifikačné klauzuly stanovené v nariadení spôsobom, ktorý je v rozpore s nariadením, Komisia využije všetky nástroje, ktoré má k dispozícii, vrátane konania v prípade nesplnenia povinnosti.



3.2 Orgány pre ochranu údajov musia zabezpečiť uvedenie nového nezávislého Európskeho výboru pre ochranu údajov do plnej prevádzky

Od 25. mája 2018 musí nový Európsky výbor pre ochranu údajov 43 zriadený nariadením ako nástupca pracovnej skupiny zriadenej podľa článku 29 vstúpiť do plnej prevádzky.

Európsky dozorný úradník pre ochranu údajov, ktorý zodpovedá za dohľad nad inštitúciami a orgánmi EÚ, bude poskytovať Európskemu výboru pre ochranu údajov sekretariát, aby sa dosiahli lepšie synergické účinky a vyššia účinnosť. V uplynulých mesiacoch začal európsky dozorný úradník pre ochranu údajov s potrebnými prípravami.

V Európskom výbore pre ochranu údajov sa bude sústreďovať ochrana údajov v Európe. Prispeje k jednotnému uplatňovaniu právnych predpisov o ochrane údajov a poskytne pevný základ spolupráci medzi orgánmi pre ochranu údajov vrátane európskeho dozorného úradníka pre ochranu údajov. Európsky výbor pre ochranu údajov bude nielen vydávať usmernenia, ako vykladať základné pojmy nariadenia, ale budú sa od neho vyžadovať aj záväzné rozhodnutia o sporoch týkajúcich sa cezhraničného spracovania údajov. Tým sa zabezpečí jednotné uplatňovanie pravidiel EÚ a zabráni sa tomu, aby sa ten istý prípad v rôznych členských štátoch riešil rozdielne.

Podmienkou dobrého fungovania systému ako celku je preto hladké a účinné fungovanie Európskeho výboru pre ochranu údajov. Viac ako kedykoľvek predtým bude potrebné, aby Európsky výbor pre ochranu údajov šíril medzi všetkými vnútroštátnymi orgánmi pre ochranu údajov spoločnú kultúru ochrany údajov, čím sa zabezpečí jednotný výklad pravidiel nariadenia. Nariadením sa podporuje spolupráca medzi orgánmi pre ochranu údajov tým, že sa im poskytujú nástroje na účinnú a efektívnu spoluprácu: budú napríklad môcť vykonávať spoločné operácie, prijímať rozhodnutia na základe dohody a riešiť nezhody, ktoré by mohli vo výbore nastať v súvislosti s výkladom nariadenia, prostredníctvom stanovísk a rozhodnutí. Komisia vyzýva orgány pre ochranu údajov, aby tieto zmeny prijali a upravili svoje fungovanie, financovanie a pracovnú kultúru tak, aby si dokázali plniť svoje nové práva a povinnosti.

3.3 Členské štáty musia vnútroštátnym orgánom pre ochranu údajov poskytnúť potrebné finančné a ľudské zdroje

Na zabezpečenie ochrany fyzických osôb, pokiaľ ide o spracovanie ich osobných údajov v EÚ, je v každom členskom štáte nevyhnutné zriadiť úplne nezávislý dozorný orgán 44 . Dozorné orgány nemôžu účinne chrániť individuálne práva a slobody, pokiaľ nekonajú úplne nezávisle. Ak sa nezabezpečí ich nezávislosť a účinný výkon ich právomocí, bude to mať značne negatívny vplyv na presadzovanie právnych predpisov o ochrane údajov 45 .

V nariadení sa ustanovuje požiadavka, že každý orgán pre ochranu údajov musí konať úplne nezávisle 46 . Posilňuje sa nezávislosť vnútroštátnych orgánov pre ochranu údajov a poskytujú sa im rovnaké právomoci v celej EÚ tak, aby boli náležite vybavené na účinné riešenie sťažností, vykonávanie účinných vyšetrovaní, prijímanie záväzných rozhodnutí a ukladanie účinných a odrádzajúcich sankcií. Poskytuje sa im aj právomoc ukladať prevádzkovateľom a sprostredkovateľom správne pokuty až do výšky 20 miliónov EUR alebo v prípade podniku do výšky 4 % celkového celosvetového ročného obratu za predchádzajúce účtovné obdobie podľa toho, ktorá hodnota je vyššia.

Pokiaľ ide o otázky týkajúce sa nariadenia, prirodzenými partnermi a prvými kontaktnými miestami pre širokú verejnosť, podniky a verejnú správu sú orgány pre ochranu osobných údajov. Úloha orgánov pre ochranu osobných údajov zahŕňa informovanie prevádzkovateľov a sprostredkovateľov o ich povinnostiach, zvyšovanie informovanosti širokej verejnosti a chápania rizík, pravidiel, záruk a práv týkajúcich sa spracovania údajov. Neznamená to však, že by prevádzkovatelia a sprostredkovatelia mali od orgánov pre ochranu osobných údajov očakávať na mieru prispôsobené právne poradenstvo, aké môže poskytnúť len právnik alebo zodpovedná osoba.

Vnútroštátne orgány pre ochranu osobných údajov teda zohrávajú ústrednú úlohu, no relatívna nerovnováha ľudských a finančných zdrojov, ktoré im boli pridelené v jednotlivých členských štátoch, môže ohroziť ich účinnosť a v konečnom dôsledku nezávislosť požadovanú v zmysle nariadenia. Táto nerovnováha môže takisto negatívne ovplyvniť spôsob, akým budú môcť orgány pre ochranu osobných údajov vykonávať svoje (napr. vyšetrovacie) právomoci. Členské štáty sa vyzývajú, aby splnili svoju právnu povinnosť a poskytli vnútroštátnym orgánom pre ochranu osobných údajov ľudské technické a finančné zdroje, priestory a infraštruktúru, ktoré sú potrebné na účinné plnenie ich úloh a výkon ich právomocí 47 .

3.4 Podniky, verejná správa a iné organizácie, ktoré spracúvajú údaje, sa musia pripraviť na uplatňovanie nových pravidiel

Základné pojmy a zásady právnych predpisov o ochrane údajov, ktoré boli zavedené v roku 1995, sa nariadením v podstate nezmenili. Ak prevádzkovatelia a spracovatelia už dodržiavajú právne predpisy EÚ o ochrane údajov, veľká väčšina z nich pravdepodobne nebude musieť vykonať zásadné zmeny v postupoch spracovania údajov, aby ich zosúladili s nariadením.

Nariadenie má najväčší vplyv na prevádzkovateľov, ktorých hlavnou oblasťou činnosti je spracovanie údajov a/alebo zaobchádzanie s citlivými údajmi. Má vplyv aj na tie subjekty, ktoré pravidelne a systematicky monitorujú jednotlivcov vo veľkom meradle. Títo prevádzkovatelia budú pravdepodobne musieť menovať úradníka pre ochranu údajov, vykonávať posúdenie vplyvu na ochranu údajov a oznamovať porušenia ochrany osobných údajov v prípade, že existuje riziko pre práva a slobody jednotlivcov. Naopak, na prevádzkovateľov, najmä MSP, ktorých hlavná obchodná činnosť nezahŕňa vysokorizikové spracovanie údajov, sa tieto osobitné povinnosti v zmysle nariadenia spravidla nebudú vzťahovať.

Je dôležité, aby prevádzkovatelia a sprostredkovatelia dôkladne prehodnotili cyklus svojich postupov v oblasti ochrany údajov a jasne určili, ktorými údajmi disponujú, na aký účel a na akom právnom základe (napr. prostredie cloudu; prevádzkovatelia vo finančnom sektore). Takisto by mali posúdiť platné zmluvy, a to najmä zmluvy medzi prevádzkovateľmi a spracovateľmi, trajektórie medzinárodných prenosov a celkové riadenie (aké IT opatrenia a organizačné opatrenia treba zaviesť), ktoré sa týkajú aj vymenovania zodpovednej osoby. Nevyhnutnou súčasťou tohto procesu je zabezpečiť, aby sa členovia najvyššieho manažmentu podieľali na takýchto preskúmaniach, prispievali doň vstupmi, dostávali aktuálne informácie a poskytovali konzultácie o zmenách týkajúcich sa podnikovej politiky ochrany údajov.

Na tento účel niektorí prevádzkovatelia využívajú kontrolné zoznamy dodržiavania súladu (vnútorné alebo vonkajšie), konzultácie poradenských spoločností a advokátskych kancelárií a vyhľadávajú produkty, ktoré dokážu splniť požiadavky špecificky navrhnutej ochrany údajov a štandardnej ochrany údajov. Každé odvetvie musí vypracovať opatrenia, ktoré sú primerané osobitnej povahe danej oblasti a sú prispôsobené danému obchodnému modelu.

Podniky a iné organizácie, ktoré spracovávajú údaje, budú môcť na preukázanie súladu využiť nové nástroje stanovené v nariadení, ako sú kódexy správania a certifikačné mechanizmy. Tieto nástroje prichádzajú zdola nahor od podnikateľskej komunity, združení alebo iných organizácií zastupujúcich jednotlivé kategórie prevádzkovateľov a spracovateľov a zachytávajú najlepšie postupy a dôležité udalosti v danom sektore alebo môžu byť zdrojom informácií o úrovni ochrany údajov požadovanej pre niektoré produkty a služby. Nariadením sa pre takéto mechanizmy zavádza zjednodušený súbor pravidiel, a zároveň zohľadňuje trhová realita (napr. certifikácia certifikačným orgánom alebo orgánom pre ochranu osobných údajov).

Zatiaľ čo veľké spoločnosti sa aktívne pripravujú na uplatňovanie nových pravidiel, mnohé MSP o pripravovaných nových pravidlách ochrany údajov ešte nie sú úplne informované.

Stručne povedané, prevádzkovatelia by sa mali pripraviť a prispôsobiť novým pravidlám. Nariadenie by mali vnímať ako:

·príležitosť vyriešiť si otázky, aké osobné údaje spracúvajú a ako ich spravujú,

·povinnosť vyvíjať produkty zohľadňujúce ochranu súkromia a ochranu údajov a budovať so svojimi zákazníkmi nový vzťah založený na transparentnosti a dôvere a

·príležitosť nanovo vybudovať vzťahy s orgánmi pre ochranu osobných údajov v duchu zodpovednosti a iniciatívneho dodržiavania pravidiel.

3.5 Informovanie zainteresovaných strán, najmä občanov a malých a stredných podnikov

Úspech nariadenia je podmienený dostatočnou informovanosťou všetkých, ktorých sa nové pravidlá týkajú (podnikateľská komunita a iné organizácie spracúvajúce údaje, verejný sektor a občania). Na vnútroštátnej úrovni sú to predovšetkým orgány pre ochranu osobných údajov, ktoré plnia úlohu zvyšovať informovanosť a byť prvým kontaktným miestom pre prevádzkovateľov, spracovateľov a jednotlivcov. Ako orgány presadzujúce pravidlá ochrany údajov na svojom území sú orgány pre ochranu osobných údajov zároveň v najlepšej pozícii vysvetliť podnikom a verejnému sektoru zmeny zavedené nariadením a oboznamovať občanov s ich právami.

Orgány pre ochranu osobných údajov začali zainteresované strany informovať v súlade so svojím vnútroštátnym prístupom. Niektoré organizujú semináre pre verejnú správu, a to aj jej regionálnu a miestnu úroveň, a organizujú semináre pre rôzne podnikateľské odvetvia s cieľom zvýšiť informovanosť o hlavných ustanoveniach nariadenia. Niektoré organizujú osobitné vzdelávacie programy pre zodpovedné osoby. Väčšina z nich poskytuje vo svojich webových sídlach informačné materiály v rôznych formátoch (kontrolné zoznamy, videá atď.).

Občania však zatiaľ nie sú dostatočne informovaní o zmenách a posilnených právach, ktoré prinesú nové pravidlá ochrany údajov. Iniciatíva zameraná na odbornú prípravu a zvyšovanie informovanosti, ktorú spustili orgány pre ochranu údajov, by mala pokračovať a napredovať s osobitným zameraním na MSP. Vnútroštátne odvetvové orgány môžu navyše podporovať činnosti orgánov pre ochranu osobných údajov a samostatne oslovovať rozličné zainteresované strany na základe vlastných vstupov.

4.Ďalšie kroky

V nadchádzajúcich mesiacoch bude Komisia naďalej aktívne podporovať všetky subjekty pri príprave na uplatňovanie nariadenia.

a) Spolupráca s členskými štátmi

Komisia bude spolu s členskými štátmi pokračovať v príprave na máj 2018. Od mája 2018 bude monitorovať, ako členské štáty uplatňujú nové pravidlá, a podľa potreby prijme vhodné opatrenia.

b) Nové online usmernenia vo všetkých jazykoch EÚ a činnosti zamerané na zvyšovanie informovanosti

Komisia poskytla podnikom, najmä MSP, verejným orgánom a verejnosti praktické usmernenia 48 , aby im pomohla s dodržiavaním a využívaním nových pravidiel ochrany údajov.

Usmernenie má formu praktického online sprievodcu vo všetkých jazykoch EÚ. Online sprievodca sa bude pravidelne aktualizovať a má slúžiť trom hlavným cieľovým skupinám: občanom, podnikom (najmä MSP) a iným organizáciám a verejnej správe. Obsahuje otázky a odpovede vybrané na základe spätnej väzby zainteresovaných strán s praktickými príkladmi a odkazmi na rôzne zdroje informácií (napr. články nariadenia, usmernenia pracovnej skupiny zriadenej podľa článku 29 / Európskeho výboru pre ochranu údajov a materiály vytvorené na vnútroštátnej úrovni).

Na základe získanej spätnej väzby a nových poznatkov z vykonávania nariadenia bude Komisia tento nástroj pravidelne obnovovať, pridávať otázky a aktualizovať odpovede.

Usmernenie sa bude propagovať najmä medzi podnikateľmi a verejnosťou vo všetkých členských štátoch, a to prostredníctvom informačnej kampane a činností zameraných na šírenie informácií.

Keďže nariadenie zakotvuje posilnené práva jednotlivcov, Komisia podnikne osvetové aktivity a zúčastní sa na informačných podujatiach vo všetkých členských štátoch, aby sa občania dozvedeli, čo im nariadenie prinesie a ako ich ovplyvní.



c) Finančná podpora vnútroštátnych kampaní a zvyšovania informovanosti

Komisia podporuje úsilie zamerané na zvyšovanie informovanosti a dodržiavania pravidiel na vnútroštátnej úrovni prostredníctvom grantov, ktoré možno použiť na odbornú prípravu pre orgány pre ochranu osobných údajov, verejnú správu, právnické profesie a zodpovedné osoby 49 zameranú na ich oboznámenie s nariadením.

Šiestim príjemcom, ktorých činnosť sa vzťahuje na viac ako polovicu členských štátov EÚ, bude pridelená suma približne 1,7 milióna EUR. Financovanie bude zamerané na miestne orgány verejnej moci vrátane zodpovedných osôb v miestnych a iných orgánoch verejnej moci, v súkromnom sektore, ako aj na sudcov a právnikov. Granty sa použijú na prípravu vzdelávacích materiálov určených orgánom pre ochranu osobných údajov, zodpovedným osobám a iným odborníkom, ako aj na programy odbornej prípravy školiteľov.

Komisia zverejnila aj výzvu na predkladanie návrhov zameranú na orgány pre ochranu osobných údajov. Jej celkový rozpočet bude maximálne 2 milióny EUR a bude orgánom poskytovať podporu pri oslovovaní zainteresovaných strán 50 . Cieľom je zabezpečiť 80 % spolufinancovanie opatrení prijatých orgánmi pre ochranu osobných údajov v rokoch 2018 – 2019 na zvýšenie informovanosti podnikov, najmä MSP, a odpovedať na ich otázky. Toto financovanie možno použiť aj na zvyšovanie informovanosti širokej verejnosti.

d) Posúdenie potreby využiť právomoci Komisie

V nariadení 51 sa Komisii umožňuje vydať vykonávacie alebo delegované akty, ktorými ďalej podporí vykonávanie nových pravidiel. Komisia tieto právomoci využije iba vtedy, ak sa jasne preukáže ich pridaná hodnota a zainteresované strany si to v konzultáciách vyžiadajú. Komisia sa bude zaoberať predovšetkým otázkou certifikácie, a to na základe štúdie objednanej u externých odborníkov a príspevku a poradenstva, ktoré jej poskytne skupina viacerých zainteresovaných strán zriadená na základe nariadenia koncom roka 2017. V tomto kontexte budú relevantné aj výsledky práce, ktorú vykonala Agentúra Európskej únie pre sieťovú a informačnú bezpečnosť (ENISA) v oblasti kybernetickej bezpečnosti.



e) Začlenenie nariadenia do Dohody o EHP

Komisia bude pokračovať v spolupráci s tromi krajinami Európskeho združenia voľného obchodu (Island, Lichtenštajnsko a Nórsko), ktoré pôsobia v Európskom hospodárskom priestore (EHP), na začleňovaní nariadenia do Dohody o EHP 52 . Len po tom, ako sa nariadenie začlení do Dohody o EHP, bude možný rovnako voľný tok osobných údajov medzi krajinami EÚ a EHP ako medzi členskými štátmi EÚ.

f) Vystúpenie Spojeného kráľovstva z EÚ

V kontexte rokovaní o dohode o vystúpení medzi EÚ a Spojeným kráľovstvom na základe článku 50 Zmluvy o Európskej únii sa Komisia bude usilovať, aby sa ustanovenia práva Únie o ochrane osobných údajov, ktoré budú uplatniteľné ku dňu predchádzajúcemu dátumu odstúpenia, naďalej vzťahovali na osobné údaje spracované v Spojenom kráľovstve pred týmto dátumom 53 . Dotknuté osoby by mali mať naďalej napríklad právo na informácie, právo na prístup, právo na opravu, vymazanie, obmedzenie spracovania, prenosnosť údajov, ako aj právo namietať proti spracovaniu a nepodliehať rozhodnutiu založenému výlučne na automatizovanom spracovaní, a to na základe príslušných ustanovení práva Únie platných v deň odstúpenia. Uvedené osobné údaje by sa nemali uchovávať dlhšie, než je potrebné na účely, na ktoré boli spracované.

Od dátumu vystúpenia a s výhradou akýchkoľvek prechodných ustanovení, ktoré môžu byť obsiahnuté v možnej dohode o vystúpení, sa na Spojené kráľovstvo budú vzťahovať pravidlá týkajúce sa prenosu osobných údajov do tretích krajín 54 .

g) Zhodnotenie v máji 2019

Po 25. máji 2018 bude Komisia pozorne monitorovať uplatňovanie nových pravidiel a v prípade výskytu závažných problémov bude pripravená prijať opatrenia. Rok po nadobudnutí účinnosti nariadenia (2019) Komisia zorganizuje podujatie s cieľom zhodnotiť skúsenosti rôznych zainteresovaných strán s vykonávaním nariadenia. Zistené informácie sa použijú aj v správe o hodnotení a preskúmaní nariadenia, ktorú je Komisia povinná vypracovať do mája 2020. Táto správa bude zameraná najmä na medzinárodné prenosy a ustanovenia o spolupráci a konzistentnosti, ktoré sa týkajú práce orgánov pre ochranu údajov.

Záver

Dňa 25. mája nadobudne v celej EÚ účinnosť nový jednotný súbor pravidiel ochrany údajov. Nový rámec prinesie významné výhody jednotlivcom, spoločnostiam, verejnej správe aj iným organizáciám. Pre EÚ je to zároveň príležitosť, aby sa stala globálnym lídrom v ochrane osobných údajov. Reforma však môže byť úspešná len vtedy, ak sa všetci zúčastnení prihlásia k svojim záväzkom a právam.

Od prijatia nariadenia v máji 2016 Komisia aktívne oslovila v súvislosti s uplatňovaním nových pravidiel všetky zainteresované subjekty – vlády, vnútroštátne orgány, podniky či občiansku spoločnosť. Vynaložilo sa značné úsilie na zabezpečenie širokej informovanosti a dôslednej pripravenosti, v práci však treba pokračovať. V jednotlivých členských štátoch a medzi rôznymi subjektmi postupujú prípravy nerovnomernou rýchlosťou. Rovnomerná nie je ani informovanosť o prínosoch a príležitostiach, ktoré nové pravidlá prinášajú. Osobitne je potrebné zvýšiť informovanosť MSP a podporiť ich úsilie o dodržiavanie predpisov.

Komisia preto vyzýva všetky zainteresované strany, aby zintenzívnili prípravy a postarali sa o konzistentné uplatňovanie a výklad nových pravidiel v celej EÚ, ako aj o zvýšenie povedomia medzi podnikmi a občanmi. Komisia bude toto úsilie finančne a administratívne podporovať a najmä uverejnením súboru usmernení online pomôže zvýšiť všeobecnú informovanosť.

Údaje sú pre dnešné hospodárstvo čoraz cennejšie a majú zásadný význam pre každodenný život občanov. Nové pravidlá ponúkajú podnikom aj verejnosti jedinečnú príležitosť. Podniky, najmä tie menšie, budú môcť profitovať z jednotného súboru pravidiel, ktoré sú prospievajú inováciám, a budú si môcť vyriešiť otázky spojené s osobnými údajmi, aby obnovili dôveru v spotrebiteľoch a získali konkurenčnú výhodu v celej EÚ. Občania budú môcť využívať vyššiu mieru ochrany osobných údajov a získať lepšiu kontrolu nad tým, ako spoločnosti s týmito údajmi zaobchádzajú.

V modernom svete s rýchlo sa rozvíjajúcim digitálnym hospodárstvom musí byť Európska únia, jej občania a podniky v plnej miere vybavené na využívanie výhod a pochopenie dôsledkov dátového hospodárstva. V novom nariadení sa ponúkajú nástroje potrebné na fungovanie Európy v 21. storočí.

Komisia podnikne tieto kroky:

Voči členským štátom

·Komisia bude naďalej spolupracovať s členskými štátmi na zvyšovaní konzistentnosti a obmedzovaní rozdrobenosti pri uplatňovaní nariadenia, a to s prihliadnutím na skutočnosť, že členské štáty majú podľa nových právnych predpisov priestor na špecifikáciu.

·Po máji 2018 bude Komisia pozorne monitorovať uplatňovanie nariadenia v členských štátoch a podľa potreby vykoná príslušné opatrenia vrátane konaní v prípade nesplnenia povinnosti.

Voči orgánom pre ochranu údajov

·Do mája 2018 bude Komisia podporovať prácu orgánov pre ochranu údajov v pracovnej skupine zriadenej podľa článku 29, ako aj pri jej transformácii na budúci Európsky výbor pre ochranu údajov. Po máji 2018 bude prispievať k práci Európskeho výboru pre ochranu údajov.

·V rokoch 2018 – 2019 bude Komisia spolufinancovať (v celkovej výške max. 2 milióny EUR) opatrenia na zvyšovanie informovanosti vykonávané orgánmi pre ochranu údajov na vnútroštátnej úrovni (projekty realizované od polovice roka 2018).

Voči zainteresovaným stranám

·Komisia poskytne praktické online usmernenia, ktoré budú obsahovať otázky a odpovede zamerané na občanov, podniky a verejnú správu. Komisia má v úmysle propagovať tieto usmernenia prostredníctvom informačnej kampane zacielenej na podnikateľov a verejnosť, ktorá bude prebiehať do mája 2018 aj po ňom.

·Komisia bude v roku 2018 aj neskôr naďalej aktívne spolupracovať so zainteresovanými stranami na vykonávaní nariadenia a zvyšovaní informovanosti o nových pravidlách, a to najmä v skupine viacerých zainteresovaných strán.

Voči všetkým subjektom

·V rokoch 2018 – 2019 Komisia posúdi, či je potrebné, aby využila svoju právomoc prijať delegované alebo vykonávacie akty;

·v máji 2019 Komisia zhodnotí vykonávanie nariadenia a do roku 2020 podá správu o uplatňovaní nových pravidiel.

(1)      Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (Ú. v. EÚ L 119, 4.5.2016).
(2)      Smernica Európskeho parlamentu a Rady 95/46/ES z 24. októbra 1995 o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov (Ú. v. ES L 281, 23.11.1995).
(3)      Smernica Európskeho parlamentu a Rady (EÚ) 2016/680 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií a o voľnom pohybe takýchto údajov a o zrušení rámcového rozhodnutia Rady 2008/977/SVV (Ú. v. EÚ L 119, 4.5.2016, s. 89).
(4)      Nariadenie je účinné od 24. mája 2016 a začne sa uplatňovať od 25. mája 2018.
(5)      Článok 8 Charty základných práv Európskej únie a článok 16 ZFEÚ.
(6)       https://ec.europa.eu/commission/sites/beta-political/files/letter-of-intent-2017_sk.pdf .
(7)      Smernica Európskeho parlamentu a Rady 2002/58/ES z 12. júla 2002 týkajúca sa spracovávania osobných údajov a ochrany súkromia v sektore elektronických komunikácií (smernica o súkromí a elektronických komunikáciách) (Ú. v. ES L 201, 31.7.2002, s. 37 – 47). Podľa článku 95 všeobecného nariadenia o ochrane údajov sa týmto nariadením fyzickým či právnickým osobám neukladajú dodatočné povinnosti, keď podliehajú konkrétnym povinnostiam s rovnakým cieľom stanoveným v smernici 2002/58/ES. To napríklad znamená, že subjekty, na ktoré sa vzťahuje smernica o súkromí a elektronických komunikáciách, sú v zmysle tejto smernice povinné oznámiť porušenie ochrany osobných údajov, pokiaľ sa toto porušenie týka služby, ktorú vecne pokrýva smernica o súkromí a elektronických komunikáciách. V tomto zmysle všeobecné nariadenie o ochrane údajov neukladá na uvedené subjekty žiadne ďalšie povinnosti.
(8)      Smernica Európskeho parlamentu a Rady (EÚ) 2016/1148 zo 6. júla 2016 o opatreniach na zabezpečenie vysokej spoločnej úrovne bezpečnosti sietí a informačných systémov v Únii (Ú. v. EÚ L 194, 19.7.2016, s. 1 – 30). Subjekty, ktoré patria do rozsahu pôsobnosti smernice o kybernetickej bezpečnosti, by mali oznamovať incidenty, ktoré majú významný alebo podstatný vplyv na poskytovanie niektorých z ich služieb. Oznámením o incidente podľa smernice o kybernetickej bezpečnosti nie je dotknuté oznámenie o porušení ochrany údajov podľa nariadenia.
(9)      Článok 35 nariadenia.
(10)      Oznámenie Komisie o výmene a ochrane osobných údajov v globalizovanom svete, COM(2017) 7 final.
(11)      Návrh nariadenia Európskeho parlamentu a Rady o ochrane fyzických osôb pri spracúvaní osobných údajov inštitúciami, orgánmi, úradmi a agentúrami Únie a o voľnom pohybe takýchto údajov, ktorým sa zrušuje nariadenie (ES) č. 45/2001 a rozhodnutie č. 1247/2002/ES, COM(2017) 8 final.
(12)      Návrh nariadenia Európskeho parlamentu a Rady o rešpektovaní súkromného života a ochrane osobných údajov v elektronických komunikáciách a o zrušení smernice 2002/58/ES (smernica o súkromí a elektronických komunikáciách), COM(2017) 10 final.
(13)      Až do prijatia a začatia uplatňovania nariadenia o súkromí a elektronických komunikáciách sa smernica 2002/58/ES vo vzťahu k nariadeniu uplatňuje ako lex specialis.
(14)      Úplný zoznam stretnutí, ich programy, zhrnutia diskusií a prehľad súčasného stavu právnych predpisov v jednotlivých členských štátoch nájdete na stránke http://ec.europa.eu/transparency/regexpert/index.cfm?do=groupDetail. skupinaDetail & groupID = 3461 .
(15)      Komisia Európskemu výboru pre ochranu údajov napríklad poskytne možnosť využívať na komunikáciu medzi jeho členmi informačný systém o vnútornom trhu
(16)      Diskusný dokument o využití globalizácie, COM(2017) 240.
(17)      Dohovor Rady Európy z 28. januára 1981 o ochrane jednotlivcov pri automatizovanom spracovaní osobných údajov (ETS č. 108) a Dodatkový protokol k Dohovoru o ochrane jednotlivcov pri automatizovanom spracovaní osobných údajov týkajúci sa orgánov dozoru a cezhraničných tokov údajov z roku 2001 (ETS č. 181). Dohovor je otvorený pre nečlenské štáty Rady Európy a ratifikovalo ho už 51 krajín (vrátane Uruguaja, Maurícia, Senegalu a Tuniska).
(18)      Pozri napr. normy ochrany údajov v iberoamerických štátoch, http://www.redipd.es/documentacion/common/Estandares_eng_Con_logo_RIPD.pdf
(19)      COM(2017) 7.
(20)      COM (2017) 7 ibid s. 10 – 11.
(21)       http://europa.eu/rapid/press-release_STATEMENT-17-1917_en.htm .
(22)      COM (2017) 7 ibid s. 10 – 11.
(23)

     Dva semináre so zástupcami odvetvia v júli 2016 a v apríli 2017, dva pracovné okrúhle pracovné stoly v decembri 2016 a v máji 2017, seminár o zdravotných údajoch v októbri 2017 a seminár so zástupcami MSP v novembri 2017.

(24)       http://ec.europa.eu/transparency/regexpert/index.cfm?do=groupDetail.groupDetail&groupID=3537 .
(25)      https://ec.europa.eu/programmes/horizon2020/h2020-sections
(26)      Všetky prijaté usmernenia sú k dispozícii na adrese: http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083.
(27)      Článok 288 ZFEÚ.
(28)      Článok 54 ods. 1 nariadenia.
(29)      V článku 43 ods. 1 nariadenia sa stanovuje, že členské štáty môžu certifikačným orgánom ponúknuť dva možné spôsoby akreditácie, t. j. prostredníctvom vnútroštátneho dozorného orgánu pre ochranu údajov zriadeného v súlade s právnymi predpismi o ochrane údajov a/alebo národného akreditačného orgánu zriadeného podľa nariadenia (ES) č. 765/2008 o akreditácii a dohľade nad trhom. S ohľadom na to by Európska spolupráca pre akreditáciu („EA“ uznaná v nariadení č. 765/2008), ktorá združuje vnútroštátne akreditačné orgány, mala nadviazať úzku spoluprácu s dozornými orgánmi zriadenými podľa všeobecného nariadenia o ochrane údajov.
(30)      Článok 85 ods. 1 nariadenia.
(31)      Článok 6 ods. 2 nariadenia.
(32)      Článok 88 a článok 9 ods. 2 písm. b) nariadenia. V Európskom pilieri sociálnych práv sa takisto uvádza, že: „Pracovníci majú právo na ochranu osobných údajov v súvislosti so zamestnaním“. (2017/C 428/09, Ú. v. EÚ C 428, 13.12.2017, s. 10 – 15).
(33)      Článok 9 ods. 2 písm. h) a i) nariadenia.
(34)      Článok 9 ods. 2 písm. j) nariadenia.
(35)      Článok 87 nariadenia.
(36)      Článok 86 nariadenia.
(37)      Článok 90 nariadenia.
(38)      Článok 9 ods. 4 nariadenia.
(39)      Vec 94/77, Fratelli Zerbone Snc/Amministrazione delle Finanze dello Stato, ECLI: EÚ:C:1978:17 a 101.
(40)      Odôvodnenie 8 nariadenia.
(41)      Rakúsko ( http://www.ris.bka.gv.at/Dokumente/BgblAuth/BGBLA_2017_I_120/BGBLA_2017_I_120.pdf );
Nemecko
( https://www.bgbl.de/xaver/bgbl/start.xav?start=%2F%2F*%5B%40attr_id%3D%27bgbl117s2097.pdf%27 %5D#__bgbl__%2F%2F*%5B%40attr_id%3D%27bgbl117s2097.pdf%27 %5D__1513091793362 ).
(42)      Prehľad súčasného stavu legislatívneho procesu v jednotlivých členských štátoch nájdete na stránke http://ec.europa.eu/transparency/regexpert/index.cfm?do=groupDetail.groupDetail&groupID=3461 .
(43)      Európsky výbor pre ochranu údajov bude orgánom EÚ s právnou subjektivitou, ktorý bude zodpovedať za zabezpečenie jednotného uplatňovania nariadenia. Budú v ňom zastúpení vedúci predstavitelia všetkých vnútroštátnych orgánov pre ochranu údajov a európskeho dozorného úradníka pre ochranu údajov alebo ich zástupcovia.
(44)      Odôvodnenie 117, uvedené už v odôvodnení 62 smernice 95/46.
(45)      Oznámenie Komisie Európskemu parlamentu a Rade o pokračovaní pracovného programu pre lepšiu implementáciu smernice o ochrane údajov, KOM(2007) 87 v konečnom znení, 7. marca 2007.
(46)      Článok 52 nariadenia.
(47)      Článok 52 ods. 4 nariadenia.
(48)      Usmernenia prispejú k lepšiemu pochopeniu pravidiel EÚ týkajúcich sa ochrany údajov, právnu silu má však iba znenie nariadenia. Preto môžu jednotlivcom vznikať práva a povinnosti iba v nariadení.
(49)      Granty poskytnuté v rámci programu Práva, rovnosť a občianstvo 2016 https://ec.europa.eu/research/participants/portal/desktop/en/opportunities/rec/calls/rec-data- 2016.html#c,topics=callIdentifier/t/REC-DATA-2016/1/1/1/default-group&callStatus/t/Forthcoming/1/1/0/default- group&callStatus/t/Open/1/1/0/default-group&callStatus/t/Closed/1/1/0/default-group&+identifier/desc).
(50)       http://ec.europa.eu/research/participants/portal/desktop/en/opportunities/rec/topics/rec-rdat-trai-ag-2017.html
(51)      Delegovaný akt o informáciách, ktoré sa majú prezentovať vo forme ikon, a o postupoch určovania štandardizovaných ikon (článok 12 ods. 8 nariadenia); delegovaný akt o požiadavkách, ktoré sa majú zohľadniť pri certifikačných mechanizmoch (článok 43 ods. 8 nariadenia); vykonávací akt stanovujúci technické normy pre certifikačné mechanizmy a pečate a značky ochrany údajov, ako aj mechanizmy na podporu a uznávanie týchto mechanizmov certifikácie, pečatí a značiek (článok 43 ods. 9 nariadenia); vykonávací akt týkajúci sa formátu a postupov výmeny informácií medzi prevádzkovateľmi, sprostredkovateľmi a dozornými orgánmi, pokiaľ ide o záväzné vnútropodnikové pravidlá (článok 47 ods. 3 nariadenia); vykonávacie akty týkajúce sa formátu a postupov vzájomnej pomoci a výmeny informácií medzi dozornými orgánmi elektronickými prostriedkami (článok 61 ods. 9 a článok 67 nariadenia).
(52)      Informácie o aktuálnom stave nájdete na stránke: http://www.efta.int/eea-lex/32016R0679.
(53)      https://ec.europa.eu/commission/publications/position-paper-use-data-and-protection-information-obtained-or-processed-withdrawal-date_en
(54)      Pozri oznámenie Komisie zainteresovaným stranám: Vystúpenie Spojeného kráľovstva a pravidlá EÚ v oblasti ochrany údajov (http://ec.europa.eu/newsroom/just/document.cfm?action=display&doc_id=49245).