21.11.2018   

SK

Úradný vestník Európskej únie

L 295/39


NARIADENIE EURÓPSKEHO PARLAMENTU A RADY (EÚ) 2018/1725

z 23. októbra 2018

o ochrane fyzických osôb pri spracúvaní osobných údajov inštitúciami, orgánmi, úradmi a agentúrami Únie a o voľnom pohybe takýchto údajov, ktorým sa zrušuje nariadenie (ES) č. 45/2001 a rozhodnutie č. 1247/2002/ES

(Text s významom pre EHP)

EURÓPSKY PARLAMENT A RADA EURÓPSKEJ ÚNIE,

so zreteľom na Zmluvu o fungovaní Európskej únie, a najmä na jej článok 16 ods. 2,

so zreteľom na návrh Európskej komisie,

po postúpení návrhu legislatívneho aktu národným parlamentom,

so zreteľom na stanovisko Európskeho hospodárskeho a sociálneho výboru (1),

konajúc v súlade s riadnym legislatívnym postupom (2),

keďže:

(1)

Ochrana fyzických osôb v súvislosti so spracúvaním osobných údajov patrí medzi základné práva. V článku 8 ods. 1 Charty základných práv Európskej únie (ďalej len „Charta“) a v článku 16 ods. 1 Zmluvy o fungovaní Európskej únie (ďalej len „ZFEÚ“) sa stanovuje, že každý má právo na ochranu osobných údajov, ktoré sa ho týkajú. Toto právo sa zaručuje aj podľa článku 8 Európskeho dohovoru o ochrane ľudských práv a základných slobôd.

(2)

Nariadenie Európskeho parlamentu a Rady (ES) č. 45/2001 (3) poskytuje fyzickým osobám práva, ktoré sú vymožiteľné právnymi prostriedkami, určuje povinnosti prevádzkovateľov v inštitúciách a orgánoch Spoločenstva súvisiace so spracúvaním údajov a vytvára nezávislý dozorný orgán, Európskeho dozorného úradníka pre ochranu údajov, ktorý je zodpovedný za monitorovanie spracúvania osobných údajov inštitúciami a orgánmi Únie. Nevzťahuje sa však na spracúvanie osobných údajov v rámci činnosti inštitúcií a orgánov Únie, ktoré nespadajú do rozsahu pôsobnosti práva Únie.

(3)

Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 (4) a smernica Európskeho parlamentu a Rady (EÚ) 2016/680 (5) boli prijaté 27. apríla 2016. Zatiaľ čo v uvedenom nariadení sa stanovujú všeobecné pravidlá na ochranu fyzických osôb v súvislosti so spracúvaním osobných údajov a na zabezpečenie voľného pohybu osobných údajov v rámci Únie, v uvedenej smernici sa stanovujú osobitné pravidlá na ochranu fyzických osôb v súvislosti so spracúvaním osobných údajov a na zabezpečenie voľného pohybu osobných údajov v rámci Únie v oblastiach justičnej spolupráce v trestných veciach a policajnej spolupráce.

(4)

Nariadením (EÚ) 2016/679 sa ustanovuje úprava nariadenia (ES) č. 45/2001 s cieľom zabezpečiť silný a súdržný rámec ochrany údajov v Únii a umožniť jeho uplatňovanie súčasne s nariadením (EÚ) 2016/679.

(5)

Je v záujme súdržného prístupu k ochrane osobných údajov v celej Únii a voľného pohybu osobných údajov v rámci Únie, aby sa v čo možno najväčšej miere zosúladili pravidlá ochrany údajov pre inštitúcie, orgány, úrady a agentúry Únie s pravidlami ochrany údajov prijatými pre verejný sektor v členských štátoch. Ak ustanovenia tohto nariadenia vychádzajú z rovnakých princípov ako ustanovenia nariadenia (EÚ) 2016/679, mali by sa obe ustanovenia podľa judikatúry Súdneho dvora Európskej únie (ďalej len „Súdny dvor“) vykladať rovnako, najmä preto, že schéma tohto nariadenia by sa mala chápať ako ekvivalent schémy nariadenia (EÚ) 2016/679.

(6)

Osoby, ktorých osobné údaje spracúvajú inštitúcie alebo orgány Únie v akejkoľvek súvislosti, napríklad preto, že sú zamestnané v týchto inštitúciách a orgánoch, by mali byť chránené. Toto nariadenie by sa nemalo uplatňovať na spracúvanie osobných údajov zosnulých osôb. Toto nariadenie sa nevzťahuje na spracúvanie osobných údajov, ktoré sa týkajú právnických osôb, a najmä podnikov založených ako právnické osoby vrátane názvu a formy právnickej osoby a kontaktných údajov právnickej osoby.

(7)

S cieľom zabrániť vzniku závažného rizika obchádzania právnych predpisov by mala byť ochrana fyzických osôb technologicky neutrálna a nemala by závisieť od použitých technologických riešení.

(8)

Toto nariadenie by sa malo uplatňovať na spracúvanie osobných údajov všetkými inštitúciami, orgánmi, úradmi a agentúrami Únie. Malo by sa uplatňovať na spracúvanie osobných údajov, ktoré je úplne alebo čiastočne vykonávané automatizovanými prostriedkami, a na spracúvanie inými ako automatizovanými prostriedkami v prípade osobných údajov, ktoré tvoria súčasť informačného systému alebo sú určené na to, aby tvorili súčasť informačného systému. Súbory alebo komplexy súborov, ako aj ich titulné strany, ktoré nie sú štruktúrované podľa špecifických kritérií, by nemali patriť do rozsahu pôsobnosti tohto nariadenia.

(9)

Vo vyhlásení č. 21 o ochrane osobných údajov v oblastiach justičnej spolupráce v trestných veciach a policajnej spolupráce, pripojenom k záverečnému aktu medzivládnej konferencie, na ktorej bola prijatá Lisabonská zmluva, konferencia uznala, že vzhľadom na osobitný charakter uvedených oblastí sa možno ukáže ako nutné prijať osobitné pravidlá ochrany osobných údajov a voľného pohybu osobných údajov v oblastiach justičnej spolupráce v trestných veciach a policajnej spolupráce na základe článku 16 ZFEÚ. Na spracúvanie operačných osobných údajov, ako napríklad osobných údajov spracúvaných na účely vyšetrovania trestného činu orgánmi, úradmi alebo agentúrami Únie pri vykonávaní činností v oblasti justičnej spolupráce v trestných veciach a policajnej spolupráce, by sa mala vzťahovať odlišná kapitola tohto nariadenia obsahujúca všeobecné pravidlá.

(10)

V smernici (EÚ) 2016/680 sa stanovujú harmonizované pravidlá ochrany a voľného pohybu osobných údajov spracúvaných na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania, alebo výkonu trestných sankcií vrátane ochrany pred ohrozením verejnej bezpečnosti a predchádzania takémuto ohrozeniu. S cieľom zaručiť rovnakú úroveň ochrany fyzických osôb v celej Únii prostredníctvom práv, ktoré sú vymožiteľné právnymi prostriedkami, a zabrániť rozdielom, ktoré sú prekážkou výmeny osobných údajov medzi orgánmi, úradmi alebo agentúrami Únie pri vykonávaní činností, ktoré patria do rozsahu pôsobnosti tretej časti hlavy V kapitoly 4 alebo kapitoly 5 ZFEÚ, a príslušnými orgánmi, by pravidlá ochrany a voľného pohybu operačných osobných údajov spracúvaných takýmito orgánmi, úradmi alebo agentúrami Únie mali byť v súlade so smernicou (EÚ) 2016/680.

(11)

Všeobecné pravidlá kapitoly tohto nariadenia o spracúvaní operačných osobných údajov by sa mali uplatňovať bez toho, aby boli dotknuté osobitné pravidlá, ktoré sa vzťahujú na spracúvanie operačných osobných údajov orgánmi, úradmi a agentúrami Únie pri výkone činností, ktoré patria do rozsahu pôsobnosti tretej časti hlavy V kapitoly 4 alebo kapitoly 5 ZFEÚ. Takéto osobitné pravidlá by sa mali považovať za lex specialis k ustanoveniam kapitoly tohto nariadenia o spracúvaní operačných osobných údajov (lex specialis derogat legi generali). S cieľom znížiť právnu fragmentáciu by osobitné pravidlá o ochrane údajov, ktoré sa vzťahujú na spracúvanie operačných osobných údajov orgánmi, úradmi alebo agentúrami Únie pri vykonávaní činností, ktoré patria do rozsahu pôsobnosti tretej časti hlavy V kapitoly 4 alebo kapitoly 5 ZFEÚ, mali byť v súlade so zásadami, o ktoré sa opiera kapitola tohto nariadenia o spracúvaní operačných osobných údajov, ako aj s ustanoveniami tohto nariadenia, ktoré sa týkajú nezávislého dozoru, prostriedkov nápravy, zodpovednosti a sankcií.

(12)

Kapitola tohto nariadenia o spracúvaní operačných osobných údajov by sa mala uplatňovať na orgány, úrady a agentúry Únie pri vykonávaní činností, ktoré patria do rozsahu pôsobnosti tretej časti hlavy V kapitoly 4 alebo kapitoly 5 ZFEÚ, bez ohľadu na to, či vykonávajú tieto činnosti na účely predchádzania trestným činom, ich odhaľovania, vyšetrovania alebo stíhania ako svoju hlavnú alebo doplnkovú úlohu. Nemala by sa však uplatňovať na Europol alebo Európsku prokuratúru, kým nedôjde k zmene právnych aktov o zriadení Europolu a Európskej prokuratúry tak, aby sa na ne mohla uplatňovať upravená kapitola tohto nariadenia o spracúvaní operačných osobných údajov.

(13)

Komisia by mala vykonať preskúmanie tohto nariadenia, najmä pokiaľ ide o kapitolu tohto nariadenia o spracúvaní operačných osobných údajov. Komisia by tiež mala uskutočniť preskúmanie ďalších právnych aktov prijatých na základe zmlúv, ktoré regulujú spracúvanie operačných osobných údajov orgánmi, úradmi alebo agentúrami Únie pri vykonávaní činností, ktoré patria do rozsahu pôsobnosti tretej časti hlavy V kapitoly 4 alebo kapitoly 5 ZFEÚ. Komisia po takomto preskúmaní a v záujme zaistenia jednotnej a konzistentnej ochrany fyzických osôb v súvislosti so spracúvaním osobných údajov by mala mať možnosť predložiť vhodné legislatívne návrhy vrátane akýchkoľvek potrebných úprav kapitoly tohto nariadenia o spracúvaní operačných osobných údajov s cieľom uplatňovať ju na Europol a Európsku prokuratúru. Tieto úpravy by mali zohľadňovať ustanovenia týkajúce sa nezávislého dozoru, prostriedkov nápravy, zodpovednosti a sankcií.

(14)

Spracúvanie administratívnych osobných údajov, ako napríklad údajov o zamestnancoch, orgánmi, úradmi alebo agentúrami Únie vykonávajúcimi činnosti, ktoré patria do rozsahu pôsobnosti tretej časti hlavy V kapitoly 4 alebo kapitoly 5 ZFEÚ, by malo byť predmetom tohto nariadenia.

(15)

Toto nariadenie by sa malo vzťahovať na spracúvanie osobných údajov inštitúciami, orgánmi, úradmi a agentúrami Únie vykonávajúcimi činnosti, ktoré patria do rozsahu pôsobnosti kapitoly 2 hlavy V Zmluvy o Európskej únii (Zmluvy o EÚ). Toto nariadenie by sa nemalo vzťahovať na spracúvanie osobných údajov misiami uvedenými v článku 42 ods. 1 a článkoch 43 a 44 Zmluvy o EÚ, ktorými sa vykonáva spoločná bezpečnostná a obranná politika. V náležitých prípadoch by sa mali predložiť príslušné návrhy v záujme ďalšej regulácie spracúvania osobných údajov v oblasti spoločnej bezpečnostnej a obrannej politiky.

(16)

Zásady ochrany údajov by sa mali vzťahovať na všetky informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby. Osobné údaje, ktoré boli pseudonymizované a ktoré by sa mohli použitím dodatočných informácií priradiť fyzickej osobe, by sa mali považovať za informácie o identifikovateľnej fyzickej osobe. Na určenie toho, či je fyzická osoba identifikovateľná, by sa mali vziať do úvahy všetky prostriedky, napríklad osobitný výber, pri ktorých existuje primeraná pravdepodobnosť, že ich prevádzkovateľ alebo iná osoba využije na priamu alebo nepriamu identifikáciu fyzickej osoby. Na zistenie toho, či je primerane pravdepodobné, že sa prostriedky použijú na identifikáciu fyzickej osoby, by sa mali zohľadniť všetky objektívne faktory, ako sú náklady a čas potrebné na identifikáciu so zreteľom na technológiu dostupnú v čase spracúvania, ako aj na technologický vývoj. Zásady ochrany údajov by sa preto nemali uplatňovať na anonymné informácie, konkrétne na informácie, ktoré sa nevzťahujú na identifikovanú alebo identifikovateľnú fyzickú osobu, ani na osobné údaje, ktoré sa stali anonymnými takým spôsobom, že dotknutá osoba nie je alebo už nie je identifikovateľná. Toto nariadenie sa preto netýka spracúvania takýchto anonymných informácií vrátane spracúvania na štatistické účely alebo účely výskumu.

(17)

Použitie pseudonymizácie osobných údajov môže znížiť riziká pre príslušné dotknuté osoby a pomôcť prevádzkovateľom a sprostredkovateľom pri plnení ich povinností v oblasti ochrany údajov. Výslovným zavedením „pseudonymizácie“ v tomto nariadení sa nemajú vylúčiť akékoľvek iné opatrenia na ochranu údajov.

(18)

Fyzickým osobám môžu byť pridelené online identifikátory, ktoré poskytujú ich prístroje, aplikácie, nástroje a protokoly, ako napríklad IP adresa, súbory cookie, alebo iné identifikátory, ako napríklad štítky na rádiofrekvenčnú identifikáciu. Tie môžu zanechávať stopy, ktoré sa najmä v kombinácii s jedinečnými identifikátormi a inými informáciami získanými zo serverov môžu použiť na vytvorenie profilov fyzických osôb a na ich identifikáciu.

(19)

Súhlas by sa mal poskytnúť jasným prejavom vôle, ktorý je slobodným, konkrétnym, informovaným a jednoznačným vyjadrením súhlasu dotknutej osoby so spracúvaním osobných údajov, ktoré sa jej týkajú, a to napríklad písomným vyhlásením vrátane vyhlásenia prostredníctvom elektronických prostriedkov alebo ústnym vyhlásením. Mohlo by to zahŕňať označenie políčka pri návšteve internetového webového sídla, zvolenie technických nastavení služieb informačnej spoločnosti alebo akékoľvek iné vyhlásenie či úkon, ktorý v tomto kontexte jasne znamená, že dotknutá osoba súhlasí s navrhovaným spracúvaním svojich osobných údajov. Mlčanie, vopred označené políčka alebo nečinnosť by sa preto nemali pokladať za súhlas. Súhlas by sa mal vzťahovať na všetky spracovateľské činnosti vykonávané na ten istý účel alebo účely. Ak sa spracúvanie vykonáva na viaceré účely, súhlas by sa mal udeliť na všetky tieto účely. Ak má dotknutá osoba poskytnúť súhlas na základe požiadavky elektronickými prostriedkami, požiadavka musí byť jasná a stručná a nemala by pôsobiť zbytočne rušivo na používanie služby, pre ktorú sa poskytuje. Zároveň by dotknutá osoba mala mať právo kedykoľvek svoj súhlas odvolať bez toho, aby to malo vplyv na zákonnosť spracúvania založeného na súhlase udelenom pred jeho odvolaním. Aby sa zabezpečilo, že súhlas sa poskytne slobodne, súhlas by nemal byť platným právnym dôvodom na spracúvanie osobných údajov v konkrétnom prípade, keď medzi postavením dotknutej osoby a prevádzkovateľa existuje jednoznačný nepomer, a preto nie je pravdepodobné, že sa súhlas poskytol slobodne vzhľadom na všetky okolnosti danej konkrétnej situácie. Často nie je možné v čase získavania údajov úplne určiť účel spracúvania osobných údajov na účely vedeckého výskumu. Preto by sa dotknutým osobám malo umožniť udeliť svoj súhlas pre určité oblasti vedeckého výskumu, pokiaľ sú dodržané uznávané etické normy vedeckého výskumu. Dotknuté osoby by mali mať možnosť udeliť svoj súhlas iba na určité oblasti výskumu alebo časti výskumných projektov v rozsahu, ktorý umožňuje zamýšľaný účel.

(20)

Každé spracúvanie osobných údajov by malo byť zákonné a spravodlivé. Pre fyzické osoby by malo byť transparentné, že sa získavajú, používajú, konzultujú alebo inak spracúvajú osobné údaje, ktoré sa ich týkajú, ako aj to, v akom rozsahu sa tieto osobné údaje spracúvajú alebo budú spracúvať. Zásada transparentnosti si vyžaduje, aby všetky informácie a komunikácia súvisiace so spracúvaním týchto osobných údajov boli ľahko prístupné a ľahko pochopiteľné a formulované jasne a jednoducho. Uvedená zásada sa týka najmä informácií pre dotknuté osoby o identite prevádzkovateľa a účeloch spracúvania a ďalších informácií na zabezpečenie spravodlivého a transparentného spracúvania, pokiaľ ide o dotknuté fyzické osoby a ich právo získať potvrdenie a oznámenie spracúvaných osobných údajov, ktoré sa ich týkajú. Fyzické osoby by mali byť upozornené na riziká, pravidlá, záruky a práva pri spracúvaní osobných údajov, ako aj na to, ako môžu uplatňovať svoje práva pri takomto spracúvaní. Najmä konkrétne účely, na ktoré sa osobné údaje spracúvajú, by mali byť výslovne uvedené a legitímne a stanovené v čase získavania osobných údajov. Osobné údaje by mali byť primerané, relevantné a obmedzené na rozsah, ktorý je potrebný vzhľadom na účely, na ktoré sa spracúvajú. To si vyžaduje najmä zabezpečenie toho, aby obdobie, počas ktorého sa tieto osobné údaje uchovávajú, bolo obmedzené na nevyhnutné minimum. Osobné údaje by sa mali spracúvať len vtedy, ak účel spracúvania nebolo možné za primeraných podmienok dosiahnuť inými prostriedkami. S cieľom zabezpečiť, aby sa osobné údaje neuchovávali dlhšie, než je to potrebné, by mal prevádzkovateľ stanoviť lehoty na vymazanie alebo pravidelné preskúmanie. Mali by sa prijať všetky primerané opatrenia, aby sa zabezpečila oprava alebo vymazanie nesprávnych údajov. Osobné údaje by sa mali spracúvať tak, aby sa zabezpečila primeraná bezpečnosť a dôvernosť osobných údajov vrátane predchádzania neoprávnenému prístupu k osobným údajom a zariadeniu používanému na spracúvanie alebo predchádzania neoprávnenému využitiu týchto údajov a zariadení a predchádzania ich neoprávnenému sprístupneniu počas prenosu.

(21)

Ak inštitúcie a orgány Únie uskutočnia prenos osobných údajov v rámci tej istej inštitúcie alebo orgánu Únie a príjemca nie je súčasťou prevádzkovateľa, alebo do iných inštitúcií alebo orgánov Únie, mali by v súlade so zásadou zodpovednosti preveriť, či sú tieto osobné údaje potrebné na legitímne plnenie úloh patriacich do právomoci príjemcu. V nadväznosti na žiadosť príjemcu o prenos osobných údajov by mal prevádzkovateľ preveriť najmä existenciu relevantných dôvodov na zákonné spracúvanie osobných údajov a právomoci príjemcu. Prevádzkovateľ by mal taktiež vykonať predbežné posúdenie nutnosti prenosu údajov. Ak vzniknú pochybnosti, pokiaľ ide o túto nutnosť, prevádzkovateľ by mal požiadať príjemcu o ďalšie informácie. Príjemca by mal zabezpečiť, aby bolo možné nutnosť prenosu údajov následne overiť.

(22)

Aby bolo spracúvanie zákonné, osobné údaje by sa mali spracúvať na základe nutnosti splnenia úlohy realizovanej vo verejnom záujme inštitúciami a orgánmi Únie alebo pri výkone verejnej moci, nutnosti splnenia zákonných povinností, ktoré sa vzťahujú na prevádzkovateľa, alebo na nejakom inom legitímnom základe podľa tohto nariadenia vrátane súhlasu dotknutej osoby, nutnosti plnenia zmluvy, ktorej zmluvnou stranou je dotknutá osoba, alebo s cieľom podniknúť kroky na požiadanie dotknutej osoby pred uzavretím zmluvy. Spracúvanie osobných údajov na účely plnenia úloh realizovaných vo verejnom záujme inštitúciami a orgánmi Únie zahŕňa spracúvanie osobných údajov potrebných na riadenie a fungovanie týchto inštitúcií a orgánov. Spracúvanie osobných údajov by sa malo rovnako považovať za zákonné, ak je potrebné na účely ochrany záujmu, ktorý je zásadný pre život dotknutej alebo inej fyzickej osoby. Spracúvanie osobných údajov na základe životne dôležitého záujmu inej fyzickej osoby by sa malo v zásade uskutočniť len vtedy, keď sa takéto spracúvanie zjavne nemôže zakladať na inom právnom základe. Niektoré typy spracúvania môžu slúžiť na dôležité účely verejného záujmu aj pre životne dôležité záujmy dotknutej osoby, napríklad ak je spracúvanie potrebné na humanitárne účely vrátane monitorovania epidémií a ich šírenia alebo v humanitárnych núdzových situáciách, najmä v prípade prírodných katastrof a katastrof spôsobených ľudskou činnosťou.

(23)

Právne ustanovenia Únie uvedené v tomto nariadení by mali byť jasné a presné a ich uplatňovanie by malo byť predvídateľné pre tie osoby, na ktoré sa vzťahujú, a to v súlade s požiadavkami stanovenými v charte a Európskom dohovore o ochrane ľudských práv a základných slobôd.

(24)

Interné predpisy uvedené v tomto nariadení by mali predstavovať jasné a presné akty so všeobecnou pôsobnosťou, ktorými sa majú zakladať právne účinky vo vzťahu k dotknutým osobám. Mali by byť prijaté na najvyššej úrovni riadenia inštitúcií a orgánov Únie v rámci ich kompetencií a v záležitostiach týkajúcich sa ich fungovania. Mali by sa uverejniť v Úradnom vestníku Európskej únie. Uplatňovanie uvedených predpisov by malo byť predvídateľné pre osoby, na ktoré sa vzťahujú, a to v súlade s požiadavkami stanovenými v charte a Európskom dohovore o ochrane ľudských práv a základných slobôd. Interné predpisy môžu mať formu rozhodnutí, najmä ak sú prijaté inštitúciami Únie.

(25)

Spracúvanie osobných údajov na iné účely ako na účely, na ktoré boli osobné údaje pôvodne získané, by malo byť umožnené len vtedy, ak je toto spracúvanie zlučiteľné s účelmi, na ktoré boli osobné údaje pôvodne získané. V takom prípade sa nevyžaduje žiadny iný samostatný právny základ, než je právny základ, ktorý umožňoval získavanie osobných údajov. Ak je spracúvanie potrebné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi, v práve Únie sa môžu stanoviť a upraviť úlohy a účely, v prípade ktorých by sa malo ďalšie spracúvanie považovať za zlučiteľné a zákonné. Ďalšie spracúvanie na účely archivácie vo verejnom záujme, na účely vedeckého či historického výskumu alebo štatistické účely by sa malo považovať za zlučiteľné zákonné spracovateľské operácie. Právny základ pre spracúvanie osobných údajov, ktorý je zakotvený v práve Únie, môže byť aj právnym základom pre ďalšie spracúvanie. S cieľom zistiť, či je účel ďalšieho spracúvania zlučiteľný s účelom, na ktorý boli osobné údaje pôvodne získané, by mal prevádzkovateľ po splnení všetkých požiadaviek na zákonnosť pôvodného spracúvania zohľadniť okrem iného akékoľvek prepojenie medzi týmito účelmi a účelmi zamýšľaného ďalšieho spracúvania; kontext, v ktorom sa osobné údaje získali, najmä primerané očakávania dotknutých osôb na základe ich vzťahu s prevádzkovateľom, pokiaľ ide o ich ďalšie použitie; povahu osobných údajov; následky zamýšľaného ďalšieho spracúvania pre dotknuté osoby; a existenciu primeraných záruk pri pôvodných aj zamýšľaných operáciách ďalšieho spracúvania.

(26)

Ak je spracúvanie založené na súhlase dotknutej osoby, prevádzkovateľ by mal vedieť preukázať, že dotknutá osoba vyjadrila súhlas so spracovateľskou operáciou. Najmä v kontexte písomného vyhlásenia v inej záležitosti by sa zárukami malo zabezpečiť, že dotknutá osoba si je vedomá, že dáva súhlas a v akom rozsahu ho udeľuje. V súlade so smernicou Rady 93/13/EHS (6) by vyjadrenie súhlasu, ktoré vopred naformuloval prevádzkovateľ, malo byť poskytnuté v zrozumiteľnej a ľahko prístupnej forme a formulované jasne a jednoducho a nemalo by obsahovať nekalé podmienky. Aby sa zaistilo, že súhlas bude informovaný, dotknutá osoba by si mala byť vedomá aspoň identity prevádzkovateľa a účelov spracúvania, na ktoré sú osobné údaje určené. Súhlas by sa nemal považovať za slobodný, ak dotknutá osoba nemá skutočnú alebo slobodnú voľbu alebo nemôže odmietnuť či odvolať súhlas bez nepriaznivých následkov.

(27)

Osobitnú ochranu osobných údajov si zasluhujú deti, keďže si môžu byť v menšej miere vedomé rizík, dôsledkov a dotknutých záruk a svojich práv súvisiacich so spracúvaním osobných údajov. Takáto osobitná ochrana by sa mala vzťahovať najmä na vytvorenie osobných profilov a na získavanie osobných údajov s prihliadnutím na deti m ak sú služby poskytované priamo dieťaťu na webových stránkach inštitúcií a orgánov Únie, akými sú napríklad služby medziľudskej komunikácie alebo online predaj vstupeniek a ak je spracúvanie osobných údajov založené na súhlase.

(28)

Ak by príjemcovia usadení v Únii, ktorí nie sú inštitúciami a orgánmi Únie, chceli, aby im inštitúcie a orgány Únie preniesli osobné údaje, títo príjemcovia by mali preukázať, že prenos údajov týmto príjemcom je potrebný buď na splnenie ich úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci, ktorá im bola zverená. Prípadne by títo príjemcovia mali preukázať, že prenos je potrebný na osobitný účel vo verejnom záujme, a prevádzkovateľ by mal preukázať, či je dôvod predpokladať, že môžu byť dotknuté oprávnené záujmy dotknutej osoby. V takýchto prípadoch by prevádzkovateľ mal preukázateľne zvážiť rôzne protichodné záujmy s cieľom posúdiť primeranosť požadovaného prenosu osobných údajov. Tento osobitný účel vo verejnom záujme by sa mohol týkať transparentnosti inštitúcií a orgánov Únie. Inštitúcie a orgány Únie by mali v súlade so zásadou transparentnosti a dobrej správy vecí verejných preukázať takúto nutnosť, keď sami iniciujú prenos. Požiadavky stanovené v tomto nariadení pre prenosy príjemcom usadeným v Únii, ktorí nie sú inštitúciami a orgánmi Únie, by sa mali považovať za doplnkové k podmienkam zákonného spracovania.

(29)

Osobné údaje, ktoré sú svojou povahou obzvlášť citlivé z hľadiska základných práv a slobôd, si zasluhujú osobitnú ochranu, keďže z kontextu ich spracúvania by mohli pre základné práva a slobody vyplývať významné riziká. Tieto osobné údaje by sa nemali spracúvať, pokiaľ nie sú splnené osobitné podmienky stanovené v tomto nariadení. Uvedené osobné údaje by mali zahŕňať osobné údaje, ktoré odhaľujú rasový alebo etnický pôvod, pričom použitie výrazu „rasový pôvod“ v tomto nariadení neznamená, že Únia akceptuje teórie, ktoré sa usilujú stanoviť existenciu oddelených ľudských rás. Spracúvanie fotografií by sa nemalo systematicky považovať za spracúvanie osobitných kategórií osobných údajov, pretože vymedzenie pojmu biometrické údaje sa na ne vzťahuje len v prípadoch, keď sa spracúvajú osobitnými technickými prostriedkami, ktoré umožňujú jedinečnú identifikáciu alebo autentifikáciu fyzickej osoby. Okrem osobitných požiadaviek na spracúvanie citlivých údajov by sa mali uplatňovať všeobecné zásady a ďalšie pravidlá uvedené v tomto nariadení, najmä pokiaľ ide o podmienky zákonného spracúvania. Výnimky zo všeobecného zákazu spracúvania týchto osobitných kategórií osobných údajov by sa mali výslovne uviesť okrem iného vtedy, ak dotknutá osoba poskytla svoj výslovný súhlas alebo v súvislosti s osobitnými potrebami, najmä ak spracúvanie vykonávajú v rámci legitímnych činností určité združenia alebo nadácie, ktorých účelom je umožniť výkon základných slobôd.

(30)

Osobitné kategórie osobných údajov, ktoré si zasluhujú vyšší stupeň ochrany, by sa mali na zdravotné účely spracúvať len vtedy, ak je to potrebné na dosiahnutie týchto účelov v prospech fyzických osôb a spoločnosti ako celku, najmä v súvislosti s riadením služieb a systémov zdravotnej alebo sociálnej starostlivosti. Týmto nariadením by sa preto mali stanoviť harmonizované podmienky pre spracúvanie osobitných kategórií osobných údajov týkajúcich sa zdravia v súvislosti s osobitnými potrebami, najmä ak spracúvanie takýchto údajov vykonávajú na určité zdravotné účely osoby, na ktoré sa vzťahuje zákonná povinnosť služobného tajomstva. V práve Únie by sa mali stanoviť osobitné a vhodné opatrenia na ochranu základných práv a osobných údajov fyzických osôb.

(31)

Z dôvodov verejného záujmu v oblasti verejného zdravia môže byť potrebné spracúvanie osobitných kategórií osobných údajov bez súhlasu dotknutej osoby. Takéto spracúvanie by malo podliehať vhodným a osobitným opatreniam na ochranu práv a slobôd fyzických osôb. V tejto súvislosti by sa malo „verejné zdravie“ vykladať v zmysle nariadenia Európskeho parlamentu a Rady (ES) č. 1338/2008 (7), teda malo by zahŕňať všetky prvky týkajúce sa zdravia, a to zdravotný stav vrátane chorobnosti a zdravotného postihnutia, faktory ovplyvňujúce tento zdravotný stav, potreby zdravotnej starostlivosti, zdroje pridelené na zdravotnú starostlivosť, poskytovanie zdravotnej starostlivosti a jej všeobecnú dostupnosť, ako aj výdavky na zdravotnú starostlivosť a jej financovanie, a príčiny smrti. Takéto spracúvanie údajov týkajúcich sa zdravia z dôvodov verejného záujmu by nemalo viesť k spracúvaniu osobných údajov na iné účely.

(32)

Ak osobné údaje, ktoré spracúva prevádzkovateľ, neumožňujú prevádzkovateľovi identifikovať fyzickú osobu, prevádzkovateľ by nemal byť povinný získať dodatočné informácie na identifikovanie dotknutej osoby výlučne nato, aby dosiahol súlad s niektorým ustanovením tohto nariadenia. Prevádzkovateľ by však nemal odmietnuť prijať dodatočné informácie, ktoré mu poskytne dotknutá osoba na podporu uplatnenia svojich práv. Súčasťou identifikácie by mala byť digitálna identifikácia dotknutej osoby, napríklad prostredníctvom mechanizmu autentifikácie, napríklad na základe rovnakých prihlasovacích údajov, ako sú tie, ktoré dotknutá osoba používa na prihlásenie do online služby poskytovanej prevádzkovateľom.

(33)

Na spracúvanie osobných údajov na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu či na štatistické účely by sa mali vzťahovať primerané záruky ochrany práv a slobôd dotknutej osoby podľa tohto nariadenia. Uvedenými zárukami by sa malo zaistiť zavedenie technických a organizačných opatrení najmä s cieľom zabezpečiť zásadu minimalizácie údajov. Ďalšie spracúvanie osobných údajov na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu či na štatistické účely sa má vykonať, keď prevádzkovateľ posúdil možnosti dosiahnuť tieto účely takým spracúvaním osobných údajov, ktoré neumožňuje alebo už ďalej neumožňuje identifikovať dotknuté osoby, za podmienky, že existujú primerané záruky (napríklad pseudonymizácia osobných údajov). Inštitúcie a orgány Únie by mali stanoviť primerané záruky pre spracúvanie osobných údajov na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu alebo na štatistické účely v práve Únie, ktoré môžu zahŕňať interné predpisy prijaté inštitúciami a orgánmi Únie v záležitostiach týkajúcich sa ich fungovania.

(34)

Mali by sa stanoviť postupy, ktoré by dotknutej osobe uľahčili uplatnenie jej práv podľa tohto nariadenia a ktoré by zahŕňali mechanizmy na vyžiadanie si a prípadné získanie bezplatného prístupu k osobným údajom a ich bezplatnú opravu alebo vymazanie a na uplatnenie práva namietať. Prevádzkovateľ by mal tiež poskytnúť možnosť podávať žiadosti elektronicky, najmä ak sa osobné údaje spracúvajú elektronickými prostriedkami. Mal by byť povinný odpovedať na žiadosti dotknutej osoby bez zbytočného odkladu a najneskôr do jedného mesiaca a uviesť dôvody v prípade, ak nemá v úmysle vyhovieť takejto žiadosti.

(35)

Zásady spravodlivého a transparentného spracúvania si vyžadujú, aby dotknutá osoba bola informovaná o existencii spracovateľskej operácie a jej účeloch. Prevádzkovateľ by mal dotknutej osobe poskytnúť všetky ďalšie informácie, ktoré sú potrebné na zaručenie spravodlivého a transparentného spracúvania, pričom sa zohľadnia konkrétne okolnosti a kontext, v ktorom sa osobné údaje spracúvajú. Dotknutá osoba by okrem toho mala byť informovaná o existencii profilovania a následkoch takéhoto profilovania. Ak sa osobné údaje získavajú od dotknutej osoby, dotknutá osoba by mala byť informovaná aj o tom, či je povinná osobné údaje poskytnúť, a o následkoch v prípade, že tieto údaje neposkytne. Tieto informácie možno poskytnúť v kombinácii so štandardizovanými ikonami s cieľom poskytnúť dobre viditeľným, zrozumiteľným a čitateľným spôsobom zmysluplný prehľad zamýšľaného spracúvania. Ak sú ikony uvedené v elektronickej podobe, mali by byť strojovo čitateľné.

(36)

Informácie súvisiace so spracúvaním osobných údajov týkajúcich sa dotknutej osoby by sa mali dotknutej osobe poskytnúť v čase získavania osobných údajov od dotknutej osoby, alebo ak sa osobné údaje získavajú z iného zdroja, v primeranej lehote v závislosti od okolností prípadu. Ak možno osobné údaje legitímne poskytnúť inému príjemcovi, dotknutá osoba by mala byť informovaná o ich prvom poskytnutí tomuto príjemcovi. Ak má prevádzkovateľ v úmysle spracúvať osobné údaje na iný účel ako ten, na ktorý boli získané, mal by dotknutej osobe pred takýmto ďalším spracúvaním poskytnúť informácie o tomto inom účele a ďalšie potrebné informácie. Ak sa z dôvodu použitia viacerých zdrojov nemôže dotknutej osobe oznámiť pôvod osobných údajov, mala by sa poskytnúť všeobecná informácia.

(37)

Dotknutá osoba by mala mať právo na prístup k osobným údajom, ktoré boli o nej získané, a uvedené právo aj jednoducho a v primeraných intervaloch uplatňovať, aby si bola vedomá zákonnosti spracúvania a mohla si ju overiť. K tomu patrí aj právo dotknutých osôb na prístup k údajom týkajúcim sa ich zdravia, napríklad k údajom v ich lekárskych záznamoch obsahujúcich informácie ako diagnózy, výsledky vyšetrení, posudky ošetrujúcich lekárov a akákoľvek poskytnutá terapia alebo uskutočnené zákroky. Každá dotknutá osoba by preto mala mať právo vedieť a byť informovaná najmä o účeloch spracúvania osobných údajov, podľa možnosti o období spracúvania osobných údajov, o príjemcoch osobných údajov, o postupe pri každom automatickom spracúvaní osobných údajov a aspoň v prípadoch, v ktorých sa spracúvanie opiera o profilovanie, o následkoch takéhoto spracúvania. Uvedené právo by sa nemalo nepriaznivo dotknúť práv alebo slobôd iných osôb, ani obchodného tajomstva alebo práv duševného vlastníctva a najmä autorských práv týkajúcich sa softvéru. Výsledkom zohľadnenia týchto prvkov by však nemalo byť odmietnutie poskytnutia akýchkoľvek informácií dotknutej osobe. Ak prevádzkovateľ spracúva v súvislosti s dotknutou osobou veľké množstvo informácií, mal by mať možnosť požadovať, aby pred doručením informácií dotknutá osoba spresnila, ktorých informácií alebo spracovateľských činností sa žiadosť týka.

(38)

Dotknutá osoba by mala mať právo na opravu osobných údajov, ktoré sa jej týkajú, a „právo na zabudnutie“, ak uchovávanie takýchto údajov porušuje toto nariadenie alebo právo Únie vzťahujúce sa na prevádzkovateľa. Dotknutá osoba by mala mať právo na to, aby jej osobné údaje boli vymazané a prestali sa spracúvať, ak osobné údaje už nie sú potrebné v súvislosti s účelmi, na ktoré boli získané alebo inak spracúvané, ak dotknutá osoba odvolala svoj súhlas alebo namieta voči spracúvaniu osobných údajov, ktoré sa jej týkajú, alebo ak spracúvanie jej osobných údajov nie je v súlade s týmto nariadením z iných dôvodov. Uvedené právo je relevantné najmä v situácii, v ktorej dotknutá osoba dala súhlas ako dieťa a nebola si plne vedomá rizík spojených so spracúvaním a neskôr chce takéto osobné údaje odstrániť, najmä z internetu. Dotknutá osoba by mala mať možnosť uplatniť uvedené právo bez ohľadu na skutočnosť, že už nie je dieťa. Ďalšie uchovávanie osobných údajov by však malo byť zákonné, pokiaľ je potrebné na uplatnenie slobody prejavu a práva na informácie, na splnenie zákonnej povinnosti, na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi, z dôvodov verejného záujmu v oblasti verejného zdravia, na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu alebo na štatistické účely, alebo na preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov.

(39)

Aby sa posilnilo „právo na zabudnutie“ v online prostredí, malo by sa rozšíriť aj právo na vymazanie, a to tak, že prevádzkovateľ, ktorý osobné údaje zverejnil, by mal byť povinný informovať prevádzkovateľov, ktorí takéto osobné údaje spracúvajú, že majú vymazať všetky odkazy na tieto osobné údaje alebo všetky kópie či repliky týchto osobných údajov. Pritom by mal uvedený prevádzkovateľ prijať primerané kroky s ohľadom na dostupnú technológiu a prostriedky, ktoré má prevádzkovateľ k dispozícii, vrátane technických opatrení, aby informoval prevádzkovateľov, ktorí spracúvajú osobné údaje, o žiadosti dotknutej osoby.

(40)

Metódy na obmedzenie spracúvania osobných údajov by mohli okrem iného zahŕňať dočasné presunutie vybraných údajov do iného systému spracúvania, zamedzenie prístupu používateľov k vybraným osobným údajom alebo dočasné odstránenie zverejnených údajov z webového sídla. V automatizovaných informačných systémoch by sa obmedzenie spracúvania malo v zásade zabezpečiť technickými prostriedkami takým spôsobom, aby osobné údaje neboli predmetom ďalších spracovateľských operácií a nebolo možné ich meniť. Skutočnosť, že spracúvanie osobných údajov je obmedzené, by sa v systéme mala jasne vyznačiť.

(41)

S cieľom ďalej posilniť kontrolu nad svojimi vlastnými údajmi by mala mať dotknutá osoba v prípade, že sa spracúvanie osobných údajov vykonáva automatizovanými prostriedkami, možnosť získať osobné údaje, ktoré sa jej týkajú a ktoré poskytla prevádzkovateľovi, v štruktúrovanom, bežne používanom, strojovo čitateľnom a interoperabilnom formáte a preniesť ich k ďalšiemu prevádzkovateľovi. Prevádzkovatelia by mali byť nabádaní k tomu, aby vyvinuli interoperabilné formáty, ktoré umožnia prenosnosť údajov. Uvedené právo by sa malo uplatňovať, ak dotknutá osoba poskytla osobné údaje na základe svojho súhlasu alebo ak je spracúvanie potrebné na plnenie zmluvy. Nemalo by sa preto uplatňovať, ak je spracúvanie osobných údajov potrebné na splnenie zákonnej povinnosti, ktorá sa na prevádzkovateľa vzťahuje, alebo na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi. Právo dotknutej osoby na prenos alebo prijatie osobných údajov, ktoré sa jej týkajú, by nemalo mať za následok vznik povinnosti prevádzkovateľov prijať alebo zachovať systémy spracúvania, ktoré sú technicky kompatibilné. Ak v rámci určitého súboru osobných údajov ide o viac ako jednu dotknutú osobu, právom prijímať tieto osobné údaje by nemali byť dotknuté práva a slobody iných dotknutých osôb podľa tohto nariadenia. Okrem toho by uvedeným právom nemalo byť dotknuté právo dotknutej osoby dosiahnuť vymazanie osobných údajov a obmedzenia tohto práva, ako sa uvádzajú v tomto nariadení, a predovšetkým by toto právo nemalo viesť k vymazaniu osobných údajov týkajúcich sa dotknutej osoby, ktoré poskytla na účely plnenia zmluvy, v takom rozsahu a počas takého obdobia, ako sú tieto osobné údaje potrebné na plnenie danej zmluvy. Keď je to technicky možné, mala by mať dotknutá osoba právo na prenos osobných údajov priamo od jedného prevádzkovateľa k druhému.

(42)

V prípadoch, keď by osobné údaje mohli byť spracúvané zákonne, pretože spracúvanie je potrebné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi, by dotknutá osoba mala mať napriek tomu právo namietať proti spracúvaniu akýchkoľvek osobných údajov, ktoré sa týkajú jej konkrétnej situácie. Malo by byť na prevádzkovateľovi, aby preukázal, že jeho závažné oprávnené záujmy prevažujú nad záujmami alebo základnými právami a slobodami dotknutej osoby.

(43)

Dotknutá osoba by mala mať právo nepodliehať žiadnemu rozhodnutiu, čo môže zahŕňať aj opatrenie, ktoré hodnotí osobné aspekty týkajúce sa dotknutej osoby, je založené výlučne na automatizovanom spracúvaní a ktoré má právne účinky, ktoré sa dotknutej osoby týkajú alebo ju podobným spôsobom významne ovplyvňujú, ako sú napríklad elektronické postupy prijímania pracovníkov bez akéhokoľvek ľudského zásahu. Takéto spracúvanie zahŕňa „profilovanie“ pozostávajúce z akejkoľvek formy automatizovaného spracúvania osobných údajov spočívajúceho v hodnotení osobných aspektov týkajúcich sa fyzickej osoby, predovšetkým na analýzu alebo predvídanie aspektov súvisiacich s výkonnosťou dotknutej osoby v práci, jej majetkovými pomermi, zdravím, osobnými preferenciami alebo záujmami, spoľahlivosťou alebo správaním, polohou alebo pohybom, pokiaľ vedie k právnym účinkom, ktoré sa dotknutej osoby týkajú alebo ju podobným spôsobom významne ovplyvňujú.

Rozhodovanie založené na takomto spracúvaní vrátane profilovania by sa však malo umožniť, ak je výslovne povolené právom Únie. V každom prípade by takéto spracúvanie malo podliehať vhodným zárukám, ktoré by mali zahŕňať konkrétne informácie pre dotknutú osobu a právo na ľudský zásah, právo vyjadriť svoj názor, dostať vysvetlenie rozhodnutia, ktoré bolo prijaté po takomto posúdení, a právo napadnúť toto rozhodnutie. Takéto opatrenie by sa nemalo týkať dieťaťa. S cieľom zabezpečiť spravodlivé a transparentné spracúvanie vo vzťahu k dotknutej osobe a s ohľadom na konkrétne okolnosti a súvislosti spracúvania osobných údajov by mal prevádzkovateľ používať na účely profilovania primerané matematické alebo štatistické postupy, prijať technické a organizačné opatrenia vhodné na to, aby sa predovšetkým zabezpečilo, že faktory, ktoré vedú k nesprávnosti osobných údajov, sa opravia a riziko chýb sa minimalizuje, zabezpečiť osobné údaje tak, aby sa zohľadnili súvisiace potenciálne riziká pre záujmy a práva dotknutej osoby a aby sa okrem iného zabránilo diskriminačným účinkom na fyzické osoby na základe rasového alebo etnického pôvodu, politického názoru, náboženstva alebo presvedčenia, členstva v odborových organizáciách, genetického alebo zdravotného stavu či sexuálnej orientácie, alebo spracúvanie, výsledkom ktorého sú, opatrenia majúce takéto účinky. Automatizované rozhodovanie a profilovanie založené na osobitných kategóriách osobných údajov by sa malo umožniť len za osobitných podmienok.

(44)

V právnych aktoch prijatých na základe zmlúv alebo interných predpisov prijatých inštitúciami a orgánmi Únie v záležitostiach týkajúcich sa ich fungovania sa môžu uložiť obmedzenia, pokiaľ ide o osobitné zásady a práva na informácie, prístup k osobným údajom a ich opravu alebo vymazanie, právo na prenosnosť údajov, dôvernosť údajov z elektronických komunikácií, ako aj informovanie dotknutej osoby o porušení ochrany osobných údajov a o určitých súvisiacich povinnostiach prevádzkovateľov, pokiaľ je to v demokratickej spoločnosti potrebné a primerané na zaistenie verejnej bezpečnosti a na predchádzanie trestným činom, ich vyšetrovanie a stíhanie alebo na účely výkonu trestných sankcií. Zahŕňa to ochranu pred ohrozením a predchádzanie hrozbám verejnej bezpečnosti, ochrany ľudského života, najmä v reakcii na prírodné katastrofy alebo katastrofy spôsobené ľudskou činnosťou, vnútornej bezpečnosti inštitúcií a orgánov Únie, iných dôležitých cieľov všeobecného verejného záujmu Únie alebo členského štátu, najmä ak ide o ciele spoločnej zahraničnej a bezpečnostnej politiky Únie alebo dôležitý hospodársky alebo finančný záujem Únie alebo členského štátu, a vedenia verejných registrov vo všeobecnom verejnom záujme alebo ochrany dotknutej osoby alebo práv a slobôd iných vrátane sociálnej ochrany, verejného zdravia a humanitárnych účelov.

(45)

Mali by sa stanoviť povinnosti a zodpovednosť prevádzkovateľa v súvislosti s akýmkoľvek spracúvaním osobných údajov, ktoré vykonáva sám alebo ktoré sa vykonáva v jeho mene. Prevádzkovateľ by mal byť najmä povinný prijať primerané a účinné opatrenia a vedieť preukázať súlad spracovateľských činností s týmto nariadením vrátane účinnosti opatrení. V uvedených opatreniach by sa mala zohľadniť povaha, rozsah, kontext a účely spracúvania a riziko pre práva a slobody fyzických osôb.

(46)

Riziká pre práva a slobody fyzických osôb s rôznym stupňom pravdepodobnosti a závažnosti môžu vyplývať zo spracúvania osobných údajov, ktoré by mohlo viesť k ujme na zdraví, majetkovej alebo nemajetkovej ujme, a to najmä ak spracúvanie môže viesť k diskriminácii, krádeži totožnosti alebo podvodu, finančnej strate, poškodeniu dobrého mena, strate dôvernosti osobných údajov chránených služobným tajomstvom, neoprávnenej reverznej pseudonymizácii alebo akémukoľvek inému závažnému hospodárskemu alebo sociálnemu znevýhodneniu; ak by dotknuté osoby mohli byť pozbavené svojich práv a slobôd alebo možnosti vykonávania kontroly nad svojimi osobnými údajmi; ak sa spracúvajú osobné údaje odhaľujúce rasový alebo etnický pôvod, politické názory, náboženstvo alebo filozofické názory, členstvo v odborových organizáciách, a ak sa spracúvajú genetické údaje, údaje týkajúce sa zdravia či údaje týkajúce sa sexuálneho života alebo rozsudkov v trestných veciach a trestných činov či súvisiacich bezpečnostných opatrení; ak sa posudzujú osobné aspekty, najmä ak sa analyzujú alebo predvídajú aspekty týkajúce sa výkonnosti v práci, majetkových pomerov, zdravia, osobných preferencií alebo záujmov, spoľahlivosti alebo správania, polohy alebo pohybu, s cieľom vytvoriť alebo používať osobné profily; ak sa spracúvajú osobné údaje zraniteľných fyzických osôb, najmä detí; alebo ak spracúvanie zahŕňa veľké množstvo osobných údajov a má dôsledky pre veľký počet dotknutých osôb.

(47)

Pravdepodobnosť a závažnosť rizika pre práva a slobody dotknutej osoby by sa mala stanoviť v závislosti od povahy, rozsahu, kontextu a účelov spracúvania. Riziko by sa malo posudzovať na základe objektívneho posúdenia, ktorým sa určí, či spracovateľské operácie zahŕňajú riziko alebo vysoké riziko.

(48)

Ochrana práv a slobôd fyzických osôb v súvislosti so spracúvaním osobných údajov si vyžaduje, aby sa prijali primerané technické a organizačné opatrenia s cieľom zabezpečiť splnenie požiadaviek tohto nariadenia. Nato, aby mohol prevádzkovateľ preukázať súlad s týmto nariadením, by mal prijať interné pravidlá a opatrenia, ktoré budú predovšetkým spĺňať zásady špecificky navrhnutej ochrany údajov a štandardnej ochrany údajov. Takéto opatrenia by mohli okrem iného pozostávať z minimalizácie spracúvania osobných údajov, čo najskoršej pseudonymizácie osobných údajov, transparentnosti v súvislosti s funkciami a spracúvaním osobných údajov, umožnenia dotknutým osobám monitorovať spracúvanie údajov, umožnenia prevádzkovateľovi vypracovať a zlepšiť bezpečnostné prvky. Zásady špecificky navrhnutej ochrany údajov a štandardnej ochrany údajov by sa mali zohľadniť aj v súvislosti s verejným obstarávaním.

(49)

V nariadení (EÚ) 2016/679 sa stanovuje, že prevádzkovatelia preukazujú súlad dodržiavaním schválených certifikačných mechanizmov. Podobne aj inštitúcie a orgány Únie by mali byť schopné preukázať súlad s týmto nariadením získaním certifikácie v súlade s článkom 42 nariadenia (EÚ) 2016/679.

(50)

Ochrana práv a slobôd dotknutých osôb, ako aj zodpovednosť prevádzkovateľov a sprostredkovateľov si vyžaduje jednoznačné rozdelenie zodpovedností v zmysle tohto nariadenia, a to aj v prípade, že prevádzkovateľ spoločne s ostatnými prevádzkovateľmi určí účely a prostriedky spracúvania alebo že sa spracovateľská operácia uskutočňuje v jeho mene.

(51)

S cieľom zabezpečiť súlad s požiadavkami tohto nariadenia v súvislosti so spracúvaním, ktoré má v mene prevádzkovateľa vykonať sprostredkovateľ, by mal prevádzkovateľ pri poverovaní sprostredkovateľa spracovateľskými činnosťami využívať len takých sprostredkovateľov, ktorí poskytujú dostatočné záruky, najmä pokiaľ ide o odborné znalosti, spoľahlivosť a zdroje, na to, že prijmú technické a organizačné opatrenia, ktoré spĺňajú požiadavky tohto nariadenia vrátane požiadavky na bezpečnosť spracúvania. Dodržiavanie schváleného kódexu správania alebo schváleného certifikačného mechanizmu sprostredkovateľmi inými ako inštitúcie a orgány Únie sa môže použiť ako prvok na preukázanie súladu s povinnosťami prevádzkovateľa. Vykonávanie spracúvania iným sprostredkovateľom, než je inštitúcia alebo orgán Únie, by sa malo riadiť zmluvou alebo v prípade inštitúcií a orgánov Únie konajúcich ako sprostredkovatelia zmluvou alebo iným právnym aktom podľa práva Únie, ktorými by bol sprostredkovateľ viazaný voči prevádzkovateľovi, v ktorých by sa stanovil predmet a obdobie spracúvania, povaha a účely spracúvania, typ osobných údajov a kategórie dotknutých osôb a ktoré by mali zohľadniť osobitné úlohy a povinnosti sprostredkovateľa v kontexte spracúvania, ktoré sa má vykonať, a riziko pre práva a slobody dotknutých osôb. Prevádzkovateľ a sprostredkovateľ by mali mať možnosť vybrať si použitie individuálnej zmluvy alebo štandardných zmluvných doložiek, ktoré prijme buď priamo Komisia, alebo ich prijme Európsky dozorný úradník pre ochranu údajov a následne ich prijme Komisia. Po ukončení spracúvania v mene prevádzkovateľa by mal sprostredkovateľ podľa rozhodnutia prevádzkovateľa vrátiť alebo vymazať osobné údaje, pokiaľ podľa práva Únie alebo práva členského štátu, ktorému sprostredkovateľ podlieha, neexistuje požiadavka na uchovanie týchto osobných údajov.

(52)

Na účely preukázania súladu s týmto nariadením by prevádzkovatelia mali uchovávať záznamy o spracovateľských činnostiach, za ktoré sú zodpovední, a sprostredkovatelia by mali uchovávať záznamy o kategóriách spracovateľských činností, za ktoré sú zodpovední. Inštitúcie a orgány Únie by mali byť povinné spolupracovať s Európskym dozorným úradníkom pre ochranu údajov a na požiadanie mu poskytnúť svoje záznamy, aby mohli slúžiť na monitorovanie týchto spracovateľských operácií. Pokiaľ je to vhodné vzhľadom na veľkosť inštitúcie alebo orgánu Únie, inštitúcie a orgány Únie by mali byť schopné zriadiť centrálny register záznamov svojich spracovateľských činností. Z dôvodov transparentnosti by takisto mali byť schopné tento register zverejniť.

(53)

S cieľom zachovať bezpečnosť a predchádzať spracúvaniu v rozpore s týmto nariadením by prevádzkovateľ alebo sprostredkovateľ mali posúdiť riziká súvisiace so spracúvaním a prijať opatrenia na zmiernenie týchto rizík, ako napríklad šifrovanie. Týmito opatreniami by sa mala zaistiť primeraná úroveň bezpečnosti vrátane dôvernosti, pričom by sa mali zohľadniť najnovšie poznatky a náklady na vykonanie opatrení v súvislosti s rizikami a povahou osobných údajov, ktoré sa majú chrániť. Pri posudzovaní rizika vo vzťahu k bezpečnosti údajov by sa mali zohľadniť riziká spojené so spracúvaním osobných údajov, ako je napríklad náhodné alebo nezákonné zničenie, strata, zmena, neoprávnené poskytnutie prenášaných, uchovávaných alebo inak spracúvaných osobných údajov alebo neoprávnený prístup k nim, ktoré by mohli viesť najmä k ujme na zdraví, majetkovej alebo nemajetkovej ujme.

(54)

Inštitúcie a orgány Únie by mali zabezpečiť dôvernosť údajov z elektronických komunikácií podľa článku 7 Charty. Inštitúcie a orgány Únie by mali najmä zaistiť bezpečnosť svojich elektronických komunikačných sietí. Mali by chrániť informácie týkajúce sa koncových zariadení používateľov, ktoré majú prístup k ich verejne dostupným webovým sídlam a mobilným aplikáciám, v súlade so smernicou Európskeho parlamentu a Rady 2002/58/ES (8). Mali by takisto chrániť osobné údaje uchovávané v zoznamoch používateľov.

(55)

Ak sa porušenie ochrany osobných údajov nerieši primeraným spôsobom a včas, môže fyzickým osobám spôsobiť ujmu na zdraví, majetkovú alebo nemajetkovú ujmu. Prevádzkovateľ by preto mal hneď, ako sa dozvie, že došlo k porušeniu ochrany osobných údajov, bez zbytočného odkladu a podľa možnosti najneskôr do 72 hodín od okamihu, ako sa dozvedel, že došlo k porušeniu ochrany osobných údajov, toto porušenie oznámiť Európskemu dozornému úradníkovi pre ochranu údajov s výnimkou prípadov, keď vie prevádzkovateľ v súlade so zásadou zodpovednosti preukázať, že nie je pravdepodobné, že porušenie ochrany osobných údajov povedie k riziku pre práva a slobody fyzických osôb. Ak nie je možné takéto oznámenie vykonať do 72 hodín, malo by sa k oznámeniu pripojiť odôvodnenie omeškania, pričom informácie možno poskytnúť vo viacerých etapách bez ďalšieho zbytočného odkladu. Ak je takéto omeškanie odôvodnené, mali by sa menej citlivé či menej konkrétne informácie o porušení poskytnúť čo najskôr a s oznámením by sa nemalo čakať až do vyriešenia príslušného incidentu.

(56)

Ak porušenie ochrany osobných údajov pravdepodobne povedie k vysokému riziku pre práva a slobody fyzickej osoby, prevádzkovateľ by mal toto porušenie bezodkladne oznámiť dotknutej osobe, aby mohla prijať potrebné preventívne opatrenia. V oznámení by sa mala uviesť povaha porušenia ochrany osobných údajov, ako aj odporúčania pre dotknutú fyzickú osobu k tomu, ako zmierniť potenciálne nepriaznivé dôsledky. Takéto oznámenia dotknutým osobám by sa mali vykonať čo najskôr, ako je to možné, a v úzkej spolupráci s Európskym dozorným úradníkom pre ochranu údajov, pričom by sa mali dodržiavať usmernenia tohto alebo iného relevantného orgánu, napríklad orgánov presadzovania práva.

(57)

V nariadení (ES) č. 45/2001 sa stanovuje všeobecná povinnosť prevádzkovateľa oznámiť spracúvanie osobných údajov zodpovednej osobe. Pokiaľ je to vhodné vzhľadom na veľkosť inštitúcie alebo orgánu Únie, zodpovedná osoba má viesť register oznámených spracovateľských operácií. Okrem tejto všeobecnej povinnosti by sa mali zaviesť účinné postupy a mechanizmy na monitorovanie spracovateľských operácií, ktoré vzhľadom na svoju povahu, rozsah, kontext a účel pravdepodobne povedú k vysokému riziku pre práva a slobody fyzických osôb. Takéto postupy by sa mali zaviesť predovšetkým v prípade tých typov spracovateľských operácií, pri ktorých sa používajú nové technológie, alebo tých, ktoré sú nového druhu a v súvislosti s ktorými prevádzkovateľ ešte nevykonal posúdenie vplyvu na ochranu údajov, alebo v prípade, že sa stali potrebnými vzhľadom na čas, ktorý uplynul od prvotného spracúvania. V takých prípadoch by prevádzkovateľ mal pred spracúvaním vykonať posúdenie vplyvu na ochranu údajov, aby posúdil osobitnú pravdepodobnosť a závažnosť vysokého rizika, pričom by mal zohľadniť povahu, rozsah, kontext a účely spracúvania a zdroje rizika. Uvedené posúdenie vplyvu by malo zahŕňať najmä plánované opatrenia, záruky a mechanizmy na zmiernenie daného rizika, na zabezpečenie ochrany osobných údajov a na preukázanie súladu s týmto nariadením.

(58)

Ak z posúdenia vplyvu na ochranu údajov vyplýva, že spracúvanie by v prípade neexistencie záruk, bezpečnostných opatrení a mechanizmov na zmiernenie rizika viedlo k vysokému riziku pre práva a slobody fyzických osôb, a prevádzkovateľ sa domnieva, že riziko sa nedá zmierniť primeranými prostriedkami, pokiaľ ide o dostupné technológie a náklady na vykonanie opatrení, malo by sa ešte pred začiatkom spracovateľskej činnosti konzultovať s Európskym dozorným úradníkom pre ochranu údajov. Takéto vysoké riziko pravdepodobne vyplynie z určitých typov spracúvania a z rozsahu a frekvencie spracúvania, v dôsledku ktorých by tiež mohlo dôjsť k vzniku ujmy alebo k zásahu do práv a slobôd fyzickej osoby. Európsky dozorný úradník pre ochranu údajov by mal odpovedať na žiadosť o konzultáciu v stanovenej lehote. Tým, že Európsky dozorný úradník pre ochranu údajov v rámci tejto lehoty nezareaguje, by však nemal byť dotknutý žiadny zásah Európskeho dozorného úradníka pre ochranu údajov v súlade so svojimi úlohami a právomocami stanovenými v tomto nariadení vrátane právomoci zakázať spracovateľské operácie. V rámci tohto konzultačného procesu by malo byť možné predložiť výsledok posúdenia vplyvu na ochranu údajov, ktoré sa vykonalo v súvislosti s daným spracúvaním, Európskemu dozornému úradníkovi pre ochranu údajov, a najmä opatrenia určené na zmiernenie rizika pre práva a slobody fyzických osôb.

(59)

Európsky dozorný úradník pre ochranu údajov by mal byť informovaný o správnych opatreniach a mali by sa s ním konzultovať interné predpisy prijaté inštitúciami a orgánmi Únie v záležitostiach týkajúcich sa ich fungovania, pokiaľ stanovujú spracúvanie osobných údajov, podmienky pre obmedzenie práv dotknutých osôb alebo poskytujú primerané záruky pre práva dotknutej osoby, aby sa zabezpečilo, že zamýšľané spracúvanie je v súlade s týmto nariadením, predovšetkým s ohľadom na zmiernenie súvisiacich rizík pre dotknutú osobu.

(60)

Nariadením (EÚ) 2016/679 sa zriaďuje Európsky výbor pre ochranu údajov ako nezávislý orgán Únie s právnou subjektivitou. Výbor by mal prispievať ku konzistentnému uplatňovaniu nariadenia (EÚ) 2016/679 a smernice (EÚ) 2016/680 v celej Únii, a to aj poskytovaním poradenstva Komisii. Európsky dozorný úradník pre ochranu údajov by zároveň mal aj naďalej vykonávať svoje dozorné a poradenské funkcie v súvislosti so všetkými inštitúciami a orgánmi Únie, a to z vlastnej iniciatívy alebo na požiadanie. S cieľom zabezpečiť konzistentnosť pravidiel ochrany údajov v rámci Únie by sa Komisia pri príprave návrhov alebo odporúčaní mala usilovať viesť konzultácie s Európskym dozorným úradníkom pre ochranu údajov. Komisia by mala povinne viesť konzultácie po prijatí legislatívnych aktov alebo počas prípravy delegovaných aktov a vykonávacích aktov podľa článkov 289, 290 a 291 ZFEÚ a po prijatí odporúčaní a návrhov týkajúcich sa dohôd s tretími krajinami a medzinárodnými organizáciami podľa článku 218 ZFEÚ, ktoré majú vplyv na právo na ochranu osobných údajov. V takýchto prípadoch by mala byť Komisia povinná konzultovať s Európskym dozorným úradníkom pre ochranu údajov s výnimkou prípadov, keď sa v nariadení (EÚ) 2016/679 stanovujú povinné konzultácie s Európskym výborom pre ochranu údajov, napríklad v súvislosti s rozhodnutiami o primeranosti alebo delegovanými aktmi o štandardizovaných ikonách a požiadavkách na certifikačné mechanizmy. Ak má predmetný akt osobitný význam pre ochranu práv a slobôd fyzických osôb so zreteľom na spracúvanie osobných údajov, Komisia by okrem toho mala mať možnosť uskutočniť konzultácie aj s Európskym výborom pre ochranu údajov. V takýchto prípadoch by Európsky dozorný úradník pre ochranu údajov ako člen Európskeho výboru pre ochranu údajov mal koordinovať svoju činnosť s týmto výborom s cieľom vydať spoločné stanovisko. Európsky dozorný úradník pre ochranu údajov a prípadne aj Európsky výbor pre ochranu údajov by mali poskytnúť svoje písomné vyjadrenie do ôsmich týždňov. Tento časový rámec by sa mal v naliehavých alebo inak vhodných prípadoch skrátiť, napríklad keď Komisia pripravuje delegované a vykonávacie akty.

(61)

V súlade s článkom 75 nariadenia (EÚ) 2016/679 by mal Európsky dozorný úradník pre ochranu údajov zabezpečiť sekretariát Európskeho výboru pre ochranu údajov.

(62)

Vo všetkých inštitúciách a orgánoch Únie by mala uplatňovanie ustanovení tohto nariadenia zabezpečovať zodpovedná osoba, ktorá by mala radiť prevádzkovateľom a sprostredkovateľom pri plnení ich povinností. Táto zodpovedná osoba by mala byť osobou s odbornými znalosťami z práva a o postupoch v oblasti ochrany údajov, čo by sa malo určiť najmä podľa operácií spracúvania údajov, ktoré vykonáva prevádzkovateľ alebo sprostredkovateľ, a požadovanej ochrany osobných údajov. Takéto zodpovedné osoby by mali mať možnosť vykonávať svoje povinnosti a úlohy nezávisle.

(63)

Keď sa osobné údaje prenášajú z inštitúcií a orgánov Únie prevádzkovateľom, sprostredkovateľom alebo iným príjemcom v tretích krajinách alebo medzinárodným organizáciám, mala by byť zaistená úroveň ochrany fyzických osôb, ktorá je v Únii zaručovaná týmto nariadením. Rovnaké záruky by sa mali uplatňovať v prípadoch následného prenosu osobných údajov z tretej krajiny alebo od medzinárodnej organizácie prevádzkovateľom, sprostredkovateľom v rovnakej alebo inej tretej krajine alebo medzinárodnej organizácii. V každom prípade sa prenosy do tretích krajín a medzinárodným organizáciám môžu uskutočňovať len v úplnom súlade s týmto nariadením a pri dodržaní základných práv a slobôd zakotvených v Charte. Prenos by sa mohol uskutočniť len vtedy, ak s výhradou ostatných ustanovení tohto nariadenia prevádzkovateľ alebo sprostredkovateľ splnili podmienky stanovené v tomto nariadení týkajúce sa prenosu osobných údajov do tretích krajín alebo medzinárodným organizáciám.

(64)

Komisia v súlade s článkom 45 nariadenia (EÚ) 2016/679 alebo s článkom 36 smernice (EÚ) 2016/680 môže rozhodnúť, že tretia krajina, územie alebo konkrétne odvetvie v tretej krajine, alebo medzinárodná organizácia zabezpečujú primeranú úroveň ochrany údajov. V takýchto prípadoch môže inštitúcia alebo orgán Únie uskutočňovať prenosy osobných údajov do tejto tretej krajiny alebo tejto medzinárodnej organizácii bez potreby získania ďalšieho povolenia.

(65)

Pri neexistencii rozhodnutia o primeranosti by prevádzkovateľ alebo sprostredkovateľ mali prijať opatrenia na kompenzáciu nedostatočnej ochrany údajov v tretej krajine prostredníctvom primeraných záruk pre dotknutú osobu. Takéto primerané záruky môžu spočívať v uplatnení štandardných doložiek o ochrane údajov prijatých Komisiou, štandardných doložiek o ochrane údajov prijatých Európskym dozorným úradníkom pre ochranu údajov alebo zmluvných doložiek povolených Európskym dozorným úradníkom pre ochranu údajov. Ak sprostredkovateľ nie je inštitúciou alebo orgánom Únie, tieto primerané záruky môžu pozostávať aj zo záväzných podnikových pravidiel, kódexov správania a certifikačných mechanizmov používaných pre medzinárodné prenosy podľa nariadenia (EÚ) 2016/679. Tieto záruky by mali zabezpečiť dodržiavanie požiadaviek na ochranu údajov a práv dotknutých osôb v rozsahu zodpovedajúcom spracúvaniu v rámci Únie vrátane dostupnosti vymožiteľných práv dotknutých osôb a účinných právnych prostriedkov nápravy vrátane účinných prostriedkov správnej a súdnej nápravy a možnosti domáhať sa náhrady škody v Únii alebo tretej krajine. Mali by sa týkať predovšetkým dodržiavania všeobecných zásad spracúvania osobných údajov a zásad špecificky navrhnutej a štandardnej ochrany údajov. Inštitúcie a orgány Únie môžu vykonávať prenosy aj orgánom verejnej moci alebo verejnoprávnym subjektom v tretích krajinách alebo medzinárodným organizáciám s príslušnými povinnosťami alebo funkciami, a to aj na základe ustanovení, ktoré sa vložia do administratívnych dojednaní, ako je napríklad memorandum o porozumení, v ktorých sa ustanovia vymožiteľné a účinné práva dotknutých osôb. V prípade, že záruky sú stanovené v administratívnych dojednaniach, ktoré nie sú právne záväzné, by sa malo získať povolenie Európskeho dozorného úradníka pre ochranu údajov.

(66)

Skutočnosť, že prevádzkovateľ alebo sprostredkovateľ môžu použiť štandardné doložky o ochrane údajov prijaté Komisiou alebo Európskym dozorným úradníkom pre ochranu údajov by prevádzkovateľom ani sprostredkovateľom nemala brániť v tom, aby zahrnuli štandardné doložky o ochrane údajov do širšej zmluvy, ako napríklad zmluvy medzi sprostredkovateľom a ďalším sprostredkovateľom, alebo k nim pridali ďalšie doložky alebo dodatočné záruky, pokiaľ nie sú priamo alebo nepriamo v rozpore so štandardnými zmluvnými doložkami prijatými Komisiou alebo Európskym dozorným úradníkom pre ochranu údajov alebo pokiaľ sa nedotýkajú základných práv alebo slobôd dotknutých osôb. Prevádzkovatelia a sprostredkovatelia by mali byť nabádaní k tomu, aby poskytovali dodatočné záruky prostredníctvom zmluvných záväzkov, ktoré doplnia štandardné doložky o ochrane údajov.

(67)

Niektoré tretie krajiny prijímajú zákony, predpisy a iné právne akty, ktoré majú priamo regulovať spracovateľské činnosti inštitúcií a orgánov Únie. To môže zahŕňať rozsudky súdov alebo tribunálov alebo rozhodnutia správnych orgánov tretích krajín, v ktorých sa od prevádzkovateľa alebo sprostredkovateľa vyžaduje prenos alebo poskytnutie osobných údajov a ktoré nie sú založené na platnej medzinárodnej dohode medzi žiadajúcou treťou krajinou a Úniou. Extrateritoriálne uplatňovanie týchto zákonov, predpisov a iných právnych aktov môže byť v rozpore s medzinárodným právom a môže ohroziť ochranu fyzických osôb zaručenú Úniou v tomto nariadení. Prenosy by mali byť povolené, len ak sa splnia podmienky uvedené v tomto nariadení pre prenosy do tretích krajín. Môže ísť okrem iného o prípad, keď je poskytnutie potrebné z dôležitého dôvodu verejného záujmu uznaného v práve Únie.

(68)

V osobitných situáciách by sa mala stanoviť možnosť prenosov za určitých okolností, ak dotknutá osoba dala výslovný súhlas, ak je prenos príležitostný a potrebný v súvislosti so zmluvou alebo právnym nárokom, a to bez ohľadu na to, či ide o súdne konanie alebo správne či iné mimosúdne konanie vrátane konaní pred regulačnými orgánmi. Mala by sa takisto stanoviť možnosť prenosov, ak je to nutné z dôležitých dôvodov verejného záujmu stanovených v práve Únie alebo ak je prenos realizovaný z registra vytvoreného na základe právneho predpisu a určeného na nahliadanie verejnosťou alebo osobami s oprávneným záujmom. V poslednom uvedenom prípade by tento prenos nemal zahŕňať všetky osobné údaje ani celé kategórie údajov obsiahnutých v registri, pokiaľ to nepovoľuje právo Únie, a ak je register určený na nahliadanie osobami s oprávneným záujmom, prenos by sa mal vykonať len na požiadanie takýchto osôb alebo vtedy, ak majú byť takéto osoby príjemcami údajov, pričom sa vezmú plne do úvahy záujmy a základné práva dotknutej osoby.

(69)

Uvedené výnimky by sa mali uplatňovať predovšetkým na prenosy údajov, ktoré sa požadujú a sú potrebné z dôležitých dôvodov verejného záujmu, napríklad v prípadoch medzinárodnej výmeny údajov medzi inštitúciami a orgánmi Únie a orgánmi hospodárskej súťaže, daňovými alebo colnými správami, orgánmi finančného dohľadu a útvarmi zodpovednými za otázky sociálneho zabezpečenia alebo za verejné zdravie, napríklad v prípade sledovania kontaktu, pokiaľ ide o nákazlivé choroby, alebo s cieľom obmedziť a/alebo vylúčiť doping v športe. Prenos osobných údajov by sa mal tiež považovať za zákonný, ak je potrebný na ochranu záujmu, ktorý je podstatný pre životne dôležité záujmy dotknutej osoby alebo inej osoby, vrátane telesnej integrity alebo života, ak dotknutá osoba nemôže vyjadriť súhlas. Pri neexistencii rozhodnutia o primeranosti sa môžu v práve Únie z dôležitých dôvodov verejného záujmu výslovne stanoviť obmedzenia prenosu osobitných kategórií údajov do tretej krajiny alebo medzinárodnej organizácii. Akýkoľvek prenos osobných údajov dotknutej osoby, ktorá nie je fyzicky alebo právne spôsobilá na udelenie súhlasu, medzinárodnej humanitárnej organizácii s cieľom plniť úlohy uložené ženevskými dohovormi alebo v súlade s medzinárodným humanitárnym právom uplatniteľným na ozbrojené konflikty, by sa mohol považovať za potrebný z dôležitého dôvodu verejného záujmu alebo z dôvodu životne dôležitého záujmu dotknutej osoby.

(70)

V každom prípade, ak Komisia neprijala rozhodnutie o primeranej úrovni ochrany údajov v tretej krajine, prevádzkovateľ alebo sprostredkovateľ by mali využiť riešenia, ktoré dotknutým osobám poskytujú vymožiteľné a účinné práva, pokiaľ ide o spracúvanie ich údajov v Únii po prenesení, aby aj naďalej požívali základné práva a záruky.

(71)

Pri cezhraničnom pohybe osobných údajov mimo Úniu môžu byť fyzické osoby vystavené väčšiemu riziku, že nebudú schopné uplatniť si práva na ochranu údajov, a to najmä aby sa chránili pred nezákonným využitím alebo poskytnutím týchto informácií. Zároveň sa môže stať, že národné dozorné orgány a Európsky dozorný úradník pre ochranu údajov nebudú schopní vybavovať sťažnosti alebo viesť vyšetrovania týkajúce sa činností vykonávaných mimo ich jurisdikcie. Prekážkou v ich úsilí spolupracovať v cezhraničnom kontexte môžu byť aj nedostatočné preventívne alebo nápravné právomoci, rozdielne právne režimy a praktické prekážky, napríklad nedostatočné zdroje. Preto je potrebné podporovať užšiu spoluprácu medzi Európskym dozorným úradníkom pre ochranu údajov a národnými dozornými orgánmi s cieľom pomôcť pri výmene informácií s ich medzinárodnými partnermi.

(72)

Zásadným prvkom ochrany fyzických osôb so zreteľom na spracúvanie ich osobných údajov je zriadenie funkcie Európskeho dozorného úradníka pre ochranu údajov v nariadení (ES) č. 45/2001, ktorý je oprávnený plniť svoje úlohy a vykonávať svoje právomoci úplne nezávisle. Týmto nariadením by sa mala ďalej posilniť a vymedziť úloha a nezávislosť Európskeho dozorného úradníka pre ochranu údajov. Európskym dozorným úradníkom pre ochranu údajov by mala byť osoba, ktorej nezávislosť je nespochybniteľná a ktorá je uznávaná ako osoba so skúsenosťami a zručnosťami požadovanými pre výkon povinností Európskeho dozorného úradníka pre ochranu údajov, napríklad preto, že pôsobila v jednom z dozorných orgánov zriadených podľa článku 51 nariadenia (EÚ) 2016/679.

(73)

S cieľom zabezpečiť konzistentné monitorovanie a presadzovanie pravidiel ochrany údajov v celej Únii by Európsky dozorný úradník pre ochranu údajov mal mať rovnaké úlohy a účinné právomoci ako národné dozorné orgány vrátane právomocí viesť vyšetrovania, ukladať nápravné opatrenia a sankcie a právomocí vydávať povolenia a poskytovať poradenstvo, najmä v prípadoch sťažností fyzických osôb, právomoci upozorňovať Súdny dvor na porušovanie tohto nariadenia a právomoci zúčastňovať sa na súdnom konaní v súlade s primárnym právom. Takéto právomoci by mali tiež zahŕňať právomoc nariadiť dočasné alebo trvalé obmedzenie spracúvania vrátane zákazu spracúvania. Aby sa predišlo zbytočným nákladom a neprimeraným ťažkostiam pre osoby, ktorých sa to týka a ktoré by mohli byť nepriaznivo ovplyvnené, každé opatrenie Európskeho dozorného úradníka pre ochranu údajov by malo byť vhodné, potrebné a primerané vzhľadom na zabezpečenie súladu s týmto nariadením, mali by sa v ňom zohľadňovať okolnosti každého jednotlivého prípadu a rešpektovať právo každej osoby na vypočutie pred prijatím akéhokoľvek predmetného individuálneho opatrenia. Každé právne záväzné opatrenie Európskeho dozorného úradníka pre ochranu údajov by malo mať písomnú podobu, malo by byť jasné a jednoznačné, mal by sa v ňom uvádzať dátum jeho vydania, podpis Európskeho dozorného úradníka pre ochranu údajov, odôvodnenie opatrenia a poučenie o práve na účinný prostriedok nápravy.

(74)

Dozorná právomoc Európskeho dozorného úradníka pre ochranu údajov by sa nemala vzťahovať na spracúvanie osobných údajov Súdnym dvorom pri výkone jeho súdnej právomoci, aby sa zaručila nezávislosť Súdneho dvora pri výkone jeho justičných úloh vrátane prijímania rozhodnutí. Pre takéto operácie spracúvania by mal Súdny dvor stanoviť nezávislý dozor v súlade s článkom 8 ods. 3 Charty, napríklad prostredníctvom interného mechanizmu.

(75)

Rozhodnutia Európskeho dozorného úradníka pre ochranu údajov o výnimkách, zárukách, oprávneniach a podmienkach týkajúcich sa spracovateľských operácií údajov tak, ako sú vymedzené v tomto nariadení, by sa mali uverejniť v správe o činnosti. Nezávisle od uverejnenia výročnej správy o činnosti môže Európsky dozorný úradník pre ochranu údajov uverejňovať správy o špecifických témach.

(76)

Európsky dozorný úradník pre ochranu údajov by mal dodržiavať nariadenie Európskeho parlamentu a Rady (ES) č. 1049/2001 (9).

(77)

Národné dozorné orgány monitorujú uplatňovanie nariadenia (EÚ) 2016/679 a prispievajú k jeho jednotnému uplatňovaniu v celej Únii v záujme ochrany fyzických osôb pri spracúvaní ich osobných údajov a uľahčenia voľného toku osobných údajov v rámci vnútorného trhu. V záujme väčšej jednotnosti pri uplatňovaní pravidiel ochrany údajov platných v členských štátoch a pravidiel ochrany údajov platných pre inštitúcie a orgány Únie by Európsky dozorný úradník pre ochranu údajov mal účinne spolupracovať s národnými dozornými orgánmi.

(78)

V určitých prípadoch sa v práve Únie stanovuje model koordinovaného dozoru vykonávaného spoločne Európskym dozorným úradníkom pre ochranu údajov a národnými dozornými orgánmi. Európsky dozorný úradník pre ochranu údajov je taktiež dozorným orgánom Europolu a na uvedené účely bol prostredníctvom rady pre spoluprácu s poradnou funkciou vytvorený osobitný model spolupráce s národnými dozornými orgánmi. V záujme zlepšenia účinného dozoru nad hmotnoprávnymi pravidlami v oblasti ochrany údajov a ich presadzovania by sa mal v Únii zaviesť jeden koherentný model koordinovaného dozoru. Komisia by preto mala v príslušných prípadoch predložiť legislatívne návrhy na zmenu právnych aktov Únie stanovujúcich model koordinovaného dozoru s cieľom zosúladiť ich s modelom koordinovaného dozoru podľa tohto nariadenia. Jediným fórom na zabezpečenie účinného koordinovaného dozoru vo všetkých oblastiach by mal byť Európsky výbor pre ochranu údajov.

(79)

Každá dotknutá osoba by mala mať právo podať sťažnosť Európskemu dozornému úradníkovi pre ochranu údajov a právo na účinný súdny prostriedok nápravy pred Súdnym dvorom v súlade so zmluvami, ak sa domnieva, že boli porušené jej práva podľa tohto nariadenia, alebo ak Európsky dozorný úradník pre ochranu údajov nereaguje na sťažnosť, čiastočne alebo v plnom rozsahu ju zamietne alebo nekoná v prípade, keď je takéto konanie potrebné na ochranu práv dotknutej osoby. Vyšetrovanie na základe podanej sťažnosti by sa s výhradou súdneho preskúmania malo vykonávať v rozsahu primeranom pre daný konkrétny prípad. Európsky dozorný úradník pre ochranu údajov by mal dotknutú osobu v primeranej lehote informovať o pokroku a výsledku vo veci jej sťažnosti. Ak si vec vyžaduje ďalšiu koordináciu s národným dozorným orgánom, dotknutej osobe by sa mali poskytnúť priebežné informácie. Na účely uľahčenia podávania sťažností by mal Európsky dozorný úradník pre ochranu údajov prijať opatrenia, ako napríklad poskytnúť formulár sťažnosti, ktorý je možné vyplniť aj elektronicky, nevylučujúc pritom iné prostriedky komunikácie.

(80)

Každá osoba, ktorá utrpela majetkovú alebo nemajetkovú ujmu v dôsledku porušenia tohto nariadenia, by mala mať právo na náhradu utrpenej škody od prevádzkovateľa alebo sprostredkovateľa podľa podmienok stanovených v zmluvách.

(81)

V záujme posilnenia dozornej úlohy európskeho dozorného úradníka pre ochranu údajov a účinného presadzovania tohto nariadenia by Európsky dozorný úradník pre ochranu údajov mal mať právomoc ukladať správne pokuty ako sankcie v krajnom prípade. Pokuty by nemali byť zamerané na sankcionovanie fyzických osôb, ale skôr na sankcionovanie inštitúcie alebo orgánu Únie za nedodržanie tohto nariadenia, mali by zabraňovať budúcim porušeniam tohto nariadenia a podporovať kultúru ochrany osobných údajov v rámci inštitúcií a orgánov Únie. V tomto nariadení by sa mali uviesť porušenia, na ktoré sa vzťahujú správne pokuty, horné hranice týchto pokút a kritériá stanovenia súvisiacich pokút. Európsky dozorný úradník pre ochranu údajov by mal určiť výšku pokuty v každom jednotlivom prípade, pričom by mal zohľadniť všetky relevantné okolnosti konkrétnej situácie s náležitým zreteľom na povahu, závažnosť a trvanie porušenia, jeho následkov a opatrenia, ktoré sa prijali na zabezpečenie súladu s povinnosťami podľa tohto nariadenia a na predchádzanie následkom porušenia alebo ich zmiernenie. Pri ukladaní správnej pokuty inštitúcii alebo orgánu Únie by mal Európsky dozorný úradník pre ochranu údajov zvážiť primeranosť výšky pokuty. Pri správnom konaní o uložení pokuty inštitúciám a orgánom Únie by sa mali rešpektovať všeobecné zásady práva Únie podľa výkladu Súdneho dvora.

(82)

Ak sa dotknutá osoba domnieva, že sa jej práva podľa tohto nariadenia porušujú, mala by mať právo poveriť neziskový subjekt, organizáciu alebo združenie zriadené v súlade s právom Únie alebo s právom členského štátu, ktorých ciele podľa stanov sú vo verejnom záujme a ktoré pôsobia v oblasti ochrany osobných údajov, aby podali sťažnosť v jej mene Európskemu dozornému úradníkovi pre ochranu údajov. Takýto subjekt, organizácia alebo združenie by takisto mali byť schopné uplatniť právo na súdny prostriedok nápravy v mene dotknutých osôb alebo uplatniť právo na náhradu škody v mene dotknutých osôb.

(83)

Úradník alebo iný zamestnanec Únie, ktorý nedodrží povinnosti podľa tohto nariadenia, by mal podliehať disciplinárnemu konaniu alebo inému konaniu v súlade s pravidlami a postupmi stanovenými v služobnom poriadku úradníkov Európskej únie a podmienkach zamestnávania ostatných zamestnancov Únie ustanovenom v nariadení Rady (EHS, Euratom, ESUO) č. 259/68 (10) (ďalej len „služobný poriadok“).

(84)

S cieľom zabezpečiť jednotné podmienky vykonávania tohto nariadenia by sa mali na Komisiu preniesť vykonávacie právomoci. Uvedené právomoci by sa mali vykonávať v súlade s nariadením Európskeho parlamentu a Rady (EÚ) č. 182/2011 (11). Na prijatie štandardných zmluvných doložiek medzi prevádzkovateľmi a sprostredkovateľmi a medzi sprostredkovateľmi, na prijatie zoznamu spracovateľských operácií, pri ktorých musia prevádzkovatelia, ktorí spracúvajú osobné údaje na splnenie úloh realizovaných vo verejnom záujme, uskutočniť predchádzajúcu konzultáciu s Európskym dozorným úradníkom pre ochranu údajov, a na prijatie štandardných zmluvných doložiek, ktoré zabezpečujú primerané záruky pre medzinárodné prenosy, by sa mal uplatniť postup preskúmania.

(85)

Dôverné informácie, ktoré štatistické orgány Únie a členských štátov zbierajú na účely tvorby oficiálnych európskych a oficiálnych vnútroštátnych štatistík, by mali byť chránené. Európske štatistiky by sa mali zostavovať, vytvárať a šíriť v súlade so štatistickými zásadami stanovenými v článku 338 ods. 2 ZFEÚ. Ďalšie spresnenia týkajúce sa dôvernosti štatistických údajov pre európske štatistiky sa uvádzajú v nariadení Európskeho parlamentu a Rady (ES) č. 223/2009 (12).

(86)

Nariadenie (ES) č. 45/2001 a rozhodnutie Európskeho parlamentu, Rady a Komisie č. 1247/2002/ES (13) by sa mali zrušiť. Odkazy na zrušené nariadenie a rozhodnutie by sa mali považovať za odkazy na toto nariadenie.

(87)

V záujme zaručenia úplnej nezávislosti členov nezávislého dozorného orgánu by funkčné obdobia súčasného Európskeho dozorného úradníka pre ochranu údajov a súčasného zástupcu dozorného úradníka nemali byť ovplyvnené týmto nariadením. Súčasný zástupca dozorného úradníka by mal zostať vo funkcii až do konca svojho funkčného obdobia, pokiaľ sa nesplní jedna z podmienok predčasného ukončenia funkčného obdobia Európskeho dozorného úradníka pre ochranu údajov stanovených v tomto nariadení. Príslušné ustanovenia tohto nariadenia by sa na zástupcu dozorného úradníka mali vzťahovať až do skončenia jeho funkčného obdobia.

(88)

V súlade so zásadou proporcionality je na dosiahnutie základného cieľa spočívajúceho v zabezpečení rovnocennej úrovne ochrany fyzických osôb s ohľadom na spracúvanie osobných údajov a voľného toku osobných údajov v rámci Únie potrebné a vhodné stanoviť pravidlá spracúvania osobných údajov v inštitúciách a orgánoch Únie. V súlade s článkom 5 ods. 4 Zmluvy o EÚ toto nariadenie neprekračuje rámec nevyhnutný na dosiahnutie vytýčených cieľov.

(89)

S Európskym dozorným úradníkom pre ochranu údajov sa konzultovalo v súlade s článkom 28 ods. 2 nariadenia (ES) č. 45/2001 a Európsky dozorný úradník pre ochranu údajov 15. marca 2017 vydal stanovisko (14),

PRIJALI TOTO NARIADENIE:

KAPITOLA I

VŠEOBECNÉ USTANOVENIA

Článok 1

Predmet úpravy a ciele

1.   Týmto nariadením sa stanovujú pravidlá týkajúce sa ochrany fyzických osôb so zreteľom na spracúvanie osobných údajov inštitúciami a orgánmi Únie a pravidlá týkajúce sa voľného pohybu osobných údajov medzi nimi alebo smerom k iným príjemcom, ktorí sú usadení v Únii.

2.   Týmto nariadením sa chránia základné práva a slobody fyzických osôb, a najmä ich právo na ochranu osobných údajov.

3.   Európsky dozorný úradník pre ochranu údajov monitoruje uplatňovanie ustanovení tohto nariadenia pri všetkých operáciách spracúvania údajov vykonávaných niektorou inštitúciou alebo niektorým orgánom Únie.

Článok 2

Rozsah pôsobnosti

1.   Toto nariadenie sa uplatňuje na spracúvanie osobných údajov všetkými inštitúciami a orgánmi Únie.

2.   Na spracúvanie operačných osobných údajov orgánmi, úradmi a agentúrami Únie pri vykonávaní činností, ktoré patria do rozsahu pôsobnosti tretej časti hlavy V kapitoly 4 alebo kapitoly 5 ZFEÚ, sa uplatňujú iba článok 3 a kapitola IX tohto nariadenia.

3.   Toto nariadenie sa neuplatňuje na spracúvanie operačných osobných údajov Europolom a Európskou prokuratúrou, kým nedôjde k úprave nariadenia Európskeho parlamentu a Rady (EÚ) 2016/794 (15) a nariadenia Rady (EÚ) 2017/1939 (16) v súlade s článkom 98 tohto nariadenia.

4.   Toto nariadenie sa neuplatňuje na spracúvanie osobných údajov misiami uvedenými v článku 42 ods. 1 a článkoch 43 a 44 Zmluvy o EÚ.

5.   Toto nariadenie sa uplatňuje na spracúvanie osobných údajov vykonávané úplne alebo čiastočne automatizovanými prostriedkami a na spracúvanie inými ako automatizovanými prostriedkami v prípade osobných údajov, ktoré tvoria súčasť informačného systému alebo sú určené na to, aby tvorili súčasť informačného systému.

Článok 3

Vymedzenie pojmov

Na účely tohto nariadenia sa uplatňuje toto vymedzenie pojmov:

1.

„osobné údaje“ sú akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby (ďalej len „dotknutá osoba“); identifikovateľná fyzická osoba je osoba, ktorú možno identifikovať priamo alebo nepriamo, najmä odkazom na identifikátor, ako je meno, identifikačné číslo, lokalizačné údaje, online identifikátor, alebo odkazom na jeden či viaceré prvky, ktoré sú špecifické pre fyzickú, fyziologickú, genetickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu tejto fyzickej osoby;

2.

„operačné osobné údaje“ sú všetky osobné údaje spracúvané orgánmi, úradmi alebo agentúrami Únie pri vykonávaní činností, ktoré patria do rozsahu pôsobnosti tretej časti hlavy V kapitoly 4 alebo kapitoly 5 ZFEÚ, aby boli splnené ciele a úlohy stanovené v právnych aktoch, ktorými sa tieto orgány, úrady alebo agentúry zriaďujú;

3.

„spracúvanie“ je každá operácia alebo súbor operácií s osobnými údajmi alebo súbormi osobných údajov, ako napríklad získavanie, zaznamenávanie, usporadúvanie, štruktúrovanie, uchovávanie, prepracúvanie alebo zmena, vyhľadávanie, prehliadanie, využívanie, poskytovanie prenosom, šírením alebo poskytovanie iným spôsobom, preskupovanie alebo kombinovanie, obmedzenie, vymazanie alebo likvidácia, a to bez ohľadu na to, či sa vykonávajú automatizovanými alebo neautomatizovanými prostriedkami;

4.

„obmedzenie spracúvania“ je označenie uchovávaných osobných údajov s cieľom obmedziť ich spracúvanie v budúcnosti;

5.

„profilovanie“ je akákoľvek forma automatizovaného spracúvania osobných údajov, ktoré pozostáva z použitia týchto osobných údajov na vyhodnotenie určitých osobných aspektov týkajúcich sa fyzickej osoby, predovšetkým analýzy alebo predvídania aspektov dotknutej fyzickej osoby súvisiacich s jej výkonnosťou v práci, majetkovými pomermi, zdravím, osobnými preferenciami, záujmami, spoľahlivosťou, správaním, polohou alebo pohybom;

6.

„pseudonymizácia“ je spracúvanie osobných údajov takým spôsobom, aby osobné údaje už nebolo možné priradiť konkrétnej dotknutej osobe bez použitia dodatočných informácií, pokiaľ sa takéto dodatočné informácie uchovávajú oddelene a vzťahujú sa na ne technické a organizačné opatrenia s cieľom zabezpečiť, aby osobné údaje neboli priradené identifikovanej alebo identifikovateľnej fyzickej osobe;

7.

„informačný systém“ je každý štruktúrovaný súbor osobných údajov, ktorý je prístupný na základe určených kritérií bez ohľadu na to, či ide o systém centralizovaný, decentralizovaný alebo distribuovaný na funkčnom alebo geografickom základe;

8.

„prevádzkovateľ“ je inštitúcia alebo orgán Únie, alebo generálne riaditeľstvo alebo akákoľvek iná organizačná zložka, ktorá sama alebo spoločne s ostatnými určuje účely a prostriedky spracúvania osobných údajov; v prípade, že sa účely a prostriedky takéhoto spracúvania stanovujú v konkrétnom akte Únie, prevádzkovateľ alebo konkrétne kritériá jeho vymenovania môžu byť stanovené právom Únie;

9.

„iní prevádzkovatelia, než sú inštitúcie a orgány Únie“ sú prevádzkovatelia v zmysle článku 4 bodu 7 nariadenia (EÚ) 2016/679 a prevádzkovatelia v zmysle článku 3 bodu 8 smernice (EÚ) 2016/680;

10.

„inštitúcie a orgány Únie“ sú inštitúcie, orgány, úrady a agentúry Únie zriadené Zmluvou o EÚ, ZFEÚ alebo Zmluvou o Euratome alebo na základe týchto zmlúv;

11.

„príslušný orgán“ je každý orgán verejnej moci v členskom štáte príslušný v oblasti predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania, alebo na účely výkonu trestných sankcií vrátane ochrany pred ohrozením verejnej bezpečnosti a predchádzania takémuto ohrozeniu;

12.

„sprostredkovateľ“ je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý spracúva osobné údaje v mene prevádzkovateľa;

13.

„príjemca“ je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorému sa osobné údaje poskytujú bez ohľadu na to, či je treťou stranou. Orgány verejnej moci, ktoré môžu prijať osobné údaje v rámci konkrétneho zisťovania v súlade s právom Únie alebo právom členského štátu, sa však nepovažujú za príjemcov; spracúvanie týchto údajov uvedenými orgánmi verejnej moci sa uskutočňuje v súlade s uplatniteľnými pravidlami ochrany údajov v závislosti od účelov spracúvania;

14.

„tretia strana“ je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt než dotknutá osoba, prevádzkovateľ, sprostredkovateľ a osoby, ktoré sú na základe priameho poverenia prevádzkovateľa alebo sprostredkovateľa poverené spracúvaním osobných údajov;

15.

„súhlas“ dotknutej osoby je každý slobodne daný, konkrétny, informovaný a jednoznačný prejav vôle dotknutej osoby, ktorým formou vyhlásenia alebo jednoznačného potvrdzujúceho úkonu vyjadruje súhlas so spracúvaním osobných údajov, ktoré sa jej týkajú;

16.

„porušenie ochrany osobných údajov“ je porušenie bezpečnosti, ktoré vedie k náhodnému alebo nezákonnému zničeniu, strate, zmene, neoprávnenému poskytnutiu osobných údajov, ktoré sa prenášajú, uchovávajú alebo inak spracúvajú, alebo neoprávnenému prístupu k nim;

17.

„genetické údaje“ sú osobné údaje týkajúce sa zdedených alebo nadobudnutých genetických charakteristických znakov fyzickej osoby, ktoré poskytujú jedinečné informácie o fyziológii alebo zdraví tejto fyzickej osoby a ktoré vyplývajú najmä z analýzy biologickej vzorky danej fyzickej osoby;

18.

„biometrické údaje“ sú osobné údaje, ktoré sú výsledkom osobitného technického spracúvania, ktoré sa týka fyzických, fyziologických alebo behaviorálnych charakteristických znakov fyzickej osoby a ktoré umožňujú alebo potvrdzujú jedinečnú identifikáciu tejto fyzickej osoby, ako sú vyobrazenia tváre alebo daktyloskopické údaje;

19.

„údaje týkajúce sa zdravia“ sú osobné údaje týkajúce sa fyzického alebo duševného zdravia fyzickej osoby vrátane údajov o poskytovaní služieb zdravotnej starostlivosti, ktorými sa odhaľujú informácie o jej zdravotnom stave;

20.

„služba informačnej spoločnosti“ je služba vymedzená v článku 1 ods. 1 písm. b) smernice Európskeho parlamentu a Rady (EÚ) 2015/1535 (17);

21.

„medzinárodná organizácia“ je organizácia a jej podriadené subjekty, ktoré sa riadia medzinárodným právom verejným, alebo akýkoľvek iný subjekt, ktorý je zriadený dohodou medzi dvoma alebo viacerými krajinami alebo na základe takejto dohody;

22.

„národný dozorný orgán“ je nezávislý orgán verejnej moci zriadený členským štátom podľa článku 51 nariadenia (EÚ) 2016/679 alebo podľa článku 41 smernice (EÚ) 2016/680;

23.

„používateľ“ je každá fyzická osoba, ktorá používa sieť alebo koncové zariadenia prevádzkované pod kontrolou inštitúcie alebo orgánu Únie;

24.

„zoznam“ je verejne dostupný zoznam používateľov alebo interný zoznam používateľov, ktoré sú k dispozícii v rámci inštitúcie alebo orgánu Únie alebo ktoré spoločne využívajú inštitúcie a orgány Únie, či už v tlačenej alebo elektronickej podobe;

25.

„elektronická komunikačná sieť“ je prenosový systém bez ohľadu na to, či je založený na trvalej infraštruktúre alebo centralizovanej administratívnej kapacite, a prípadne i prepínacie alebo smerovacie zariadenia a iné prostriedky vrátane sieťových prvkov, ktoré nie sú aktívne a ktoré umožňujú prenos signálov po vedení, rádiovými, optickými alebo inými elektromagnetickými prostriedkami vrátane satelitných sietí, pevných (s prepínaním okruhov a paketov vrátane internetu) a mobilných pozemných sietí, elektrických systémov káblovej televízie do tej miery, že sa používajú na prenos signálov, sietí používaných na rozhlasové a televízne vysielanie a káblových TV sietí bez ohľadu na typ prenášaných informácií;

26.

„koncové zariadenie“ je koncové zariadenie vymedzené v článku 1 bode 1 smernice Komisie 2008/63/ES (18).

KAPITOLA II

VŠEOBECNÉ ZÁSADY

Článok 4

Zásady spracúvania osobných údajov

1.   Osobné údaje musia byť:

a)

spracúvané zákonným spôsobom, spravodlivo a transparentne vo vzťahu k dotknutej osobe („zákonnosť, spravodlivosť a transparentnosť“);

b)

získavané na konkrétne určené, výslovne uvedené a legitímne účely a nesmú sa ďalej spracúvať spôsobom, ktorý nie je zlučiteľný s týmito účelmi; ďalšie spracúvanie na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu či štatistické účely sa v súlade s článkom 13 nepovažuje za nezlučiteľné s pôvodnými účelmi („obmedzenie účelu“);

c)

primerané, relevantné a obmedzené na rozsah, ktorý je potrebný vzhľadom na účely, na ktoré sa spracúvajú („minimalizácia údajov“);

d)

správne a v prípade potreby aktualizované; musia sa vykonať všetky primerané opatrenia, aby sa zaistilo, že osobné údaje, ktoré sú nesprávne so zreteľom na účely, na ktoré sa spracúvajú, sa bezodkladne vymažú alebo opravia („správnosť“);

e)

uchovávané vo forme, ktorá umožňuje identifikáciu dotknutých osôb najviac dovtedy, kým je to potrebné na účely, na ktoré sa osobné údaje spracúvajú; osobné údaje sa môžu uchovávať dlhšie, pokiaľ sa budú spracúvať výlučne na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu či na štatistické účely v súlade s článkom 13 za predpokladu prijatia primeraných technických a organizačných opatrení vyžadovaných týmto nariadením na ochranu práv a slobôd dotknutej osoby („minimalizácia uchovávania“);

f)

spracúvané spôsobom, ktorý zaručuje primeranú bezpečnosť osobných údajov vrátane ochrany pred neoprávneným alebo nezákonným spracúvaním a náhodnou stratou, zničením alebo poškodením, a to prostredníctvom primeraných technických alebo organizačných opatrení („integrita a dôvernosť“).

2.   Prevádzkovateľ je zodpovedný za súlad s odsekom 1 a musí vedieť tento súlad preukázať („zodpovednosť“).

Článok 5

Zákonnosť spracúvania

1.   Spracúvanie je zákonné iba vtedy a iba v tom rozsahu, keď je splnená aspoň jedna z týchto podmienok:

a)

spracúvanie je potrebné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej inštitúcii alebo orgánu Únie;

b)

spracúvanie je potrebné na splnenie zákonnej povinnosti, ktorá sa vzťahuje na prevádzkovateľa;

c)

spracúvanie je potrebné na plnenie zmluvy, ktorej zmluvnou stranou je dotknutá osoba, alebo na vykonanie opatrení pred uzatvorením zmluvy na základe žiadosti dotknutej osoby;

d)

dotknutá osoba vyjadrila súhlas so spracúvaním svojich osobných údajov na jeden alebo viaceré konkrétne účely;

e)

spracúvanie je potrebné v záujme ochrany životne dôležitých záujmov dotknutej osoby alebo inej fyzickej osoby.

2.   Základ pre spracúvanie uvedený v odseku 1 písm. a) a b) musí byť stanovený v práve Únie.

Článok 6

Spracúvanie na iný zlučiteľný účel

Ak spracúvanie na iný účel ako na účel, na ktorý boli osobné údaje získané, nie je založené na súhlase dotknutej osoby alebo na práve Únie, čo v demokratickej spoločnosti predstavuje potrebné a primerané opatrenie na zaistenie cieľov uvedených v článku 25 ods. 1, prevádzkovateľ na zistenie toho, či je spracúvanie na iný účel zlučiteľné s účelom, na ktorý boli osobné údaje pôvodne získané, okrem iného zohľadní:

a)

akúkoľvek väzbu medzi účelmi, na ktoré sa osobné údaje získali, a účelmi zamýšľaného ďalšieho spracúvania;

b)

okolnosti, za akých sa osobné údaje získali, najmä týkajúce sa vzťahu medzi dotknutými osobami a prevádzkovateľom;

c)

povahu osobných údajov, najmä či sa spracúvajú osobitné kategórie osobných údajov podľa článku 10 alebo osobné údaje týkajúce sa rozsudkov v trestných veciach a trestných činov podľa článku 11;

d)

možné následky zamýšľaného ďalšieho spracúvania pre dotknuté osoby;

e)

existenciu primeraných záruk, ktoré môžu zahŕňať šifrovanie alebo pseudonymizáciu.

Článok 7

Podmienky vyjadrenia súhlasu

1.   Ak je spracúvanie založené na súhlase, prevádzkovateľ musí vedieť preukázať, že dotknutá osoba vyjadrila súhlas so spracúvaním svojich osobných údajov.

2.   Ak dá dotknutá osoba súhlas v rámci písomného vyhlásenia, ktoré sa týka aj iných skutočností, žiadosť o vyjadrenie súhlasu musí byť predložená tak, aby bola jasne odlíšiteľná od týchto iných skutočností, v zrozumiteľnej a ľahko prístupnej forme a musí byť formulovaná jasne a jednoducho. Akákoľvek časť takéhoto vyhlásenia, ktorá predstavuje porušenie tohto nariadenia, nie je záväzná.

3.   Dotknutá osoba má právo kedykoľvek odvolať svoj súhlas. Odvolanie súhlasu nemá vplyv na zákonnosť spracúvania vychádzajúceho zo súhlasu pred jeho odvolaním. Dotknutá osoba musí byť pred poskytnutím súhlasu o tejto skutočnosti informovaná. Odvolanie súhlasu musí byť také jednoduché ako jeho poskytnutie.

4.   Pri posudzovaní, či bol súhlas poskytnutý slobodne, sa v čo najväčšej miere zohľadní okrem iného skutočnosť, či sa plnenie zmluvy vrátane poskytnutia služby podmieňuje súhlasom so spracúvaním osobných údajov, ktorý nie je na plnenie tejto zmluvy potrebný.

Článok 8

Podmienky uplatniteľné na súhlas dieťaťa v súvislosti so službami informačnej spoločnosti

1.   Ak sa uplatňuje článok 5 ods. 1 písm. d), v súvislosti s ponukou služieb informačnej spoločnosti adresovanou priamo dieťaťu je spracúvanie osobných údajov dieťaťa zákonné, ak má dieťa aspoň 13 rokov. Ak má dieťa menej než 13 rokov, takéto spracúvanie je zákonné iba za podmienky, že súhlas vyjadril alebo schválil nositeľ rodičovských práv a povinností vo vzťahu k dieťaťu, a iba v rozsahu, v akom daný nositeľ takýto súhlas vyjadril alebo schválil.

2.   Prevádzkovateľ vynaloží primerané úsilie s ohľadom na dostupnú technológiu, aby si v takýchto prípadoch overil, že nositeľ rodičovských práv a povinností vo vzťahu k dieťaťu vyjadril súhlas alebo ho schválil.

3.   Odsekom 1 nie je dotknuté všeobecné zmluvné právo členských štátov, napríklad pravidlá platnosti, uzatvárania alebo účinkov zmluvy vo vzťahu k dieťaťu.

Článok 9

Prenosy osobných údajov príjemcom usadeným v Únii, ktorí nie sú inštitúciami ani orgánmi Únie

1.   Bez toho, aby boli dotknuté články 4 až 6 a 10, sa osobné údaje prenášajú príjemcom usadeným v Únii, ktoré nie sú inštitúciami ani orgánmi Únie, len vtedy, ak:

a)

príjemca preukáže, že údaje sú potrebné na splnenie úlohy vykonávanej vo verejnom záujme alebo pri výkone verejnej moci zverenej príjemcovi, alebo

b)

príjemca preukáže, že je potrebné prenášať údaje na konkrétny účel vo verejnom záujme, a prevádzkovateľ v prípade, že existuje dôvod predpokladať, že by mohli byť dotknuté oprávnené záujmy dotknutej osoby, preukáže, že je vhodné prenášať osobné údaje na tento konkrétny účel po tom, čo preukázateľne zvážil rôzne protichodné záujmy.

2.   Ak prevádzkovateľ iniciuje prenos podľa tohto článku, musí preukázať, že prenos osobných údajov je potrebný na účely prenosu a primeraný účelom prenosu, pričom uplatní kritériá stanovené v odseku 1 písm. a) alebo b).

3.   Inštitúcie a orgány Únie zosúladia právo na ochranu osobných údajov s právom na prístup k dokumentom v súlade s právom Únie.

Článok 10

Spracúvanie osobitných kategórií osobných údajov

1.   Zakazuje sa spracúvanie osobných údajov, ktoré odhaľujú rasový alebo etnický pôvod, politické názory, náboženské alebo filozofické presvedčenie alebo členstvo v odborových organizáciách, a spracúvanie genetických údajov, biometrických údajov na individuálnu identifikáciu fyzickej osoby, údajov týkajúcich sa zdravia alebo údajov týkajúcich sa sexuálneho života alebo sexuálnej orientácie fyzickej osoby.

2.   Odsek 1 sa neuplatňuje, ak platí niektorá z týchto podmienok:

a)

dotknutá osoba vyjadrila výslovný súhlas so spracúvaním týchto osobných údajov na jeden alebo viacero určených účelov, s výnimkou prípadov, keď sa v práve Únie stanovuje, že zákaz uvedený v odseku 1 nemôže dotknutá osoba zrušiť;

b)

spracúvanie je potrebné na účely plnenia povinností a výkonu osobitných práv prevádzkovateľa alebo dotknutej osoby v oblasti pracovného práva a práva sociálneho zabezpečenia a sociálnej ochrany, pokiaľ je to povolené právom Únie poskytujúcim primerané záruky ochrany základných práv a záujmov dotknutej osoby;

c)

spracúvanie je potrebné na ochranu životne dôležitých záujmov dotknutej osoby alebo inej osoby v prípade, že dotknutá osoba nie je fyzicky alebo právne spôsobilá vyjadriť súhlas;

d)

spracúvanie vykonáva v rámci svojej zákonnej činnosti s primeranými zárukami neziskový subjekt, ktorý je subjektom začleneným do inštitúcie alebo orgánu Únie, s politickým, filozofickým, náboženským alebo odborárskym zameraním a pod podmienkou, že spracúvanie sa týka výlučne členov alebo bývalých členov tohto subjektu alebo osôb, ktoré s ním majú pravidelný kontakt v súvislosti s jeho cieľmi, a že bez súhlasu dotknutej osoby sa dané údaje neposkytnú mimo tohto subjektu;

e)

spracúvanie sa týka osobných údajov, ktoré dotknutá osoba preukázateľne zverejnila;

f)

spracúvanie je potrebné na preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov, alebo kedykoľvek, keď Súdny dvor vykonáva svoju súdnu právomoc;

g)

spracúvanie je potrebné z dôvodov významného verejného záujmu na základe práva Únie, ktoré sú primerané vzhľadom na sledovaný cieľ, rešpektujú podstatu práva na ochranu údajov a stanovujú vhodné a konkrétne opatrenia na zabezpečenie základných práv a záujmov dotknutej osoby;

h)

spracúvanie je potrebné na účely preventívneho alebo pracovného lekárstva, posúdenia pracovnej spôsobilosti zamestnanca, lekárskej diagnózy, poskytovania zdravotnej alebo sociálnej starostlivosti alebo liečby, alebo riadenia systémov a služieb zdravotnej alebo sociálnej starostlivosti na základe práva Únie alebo podľa zmluvy so zdravotníckym pracovníkom a podlieha podmienkam a zárukám uvedeným v odseku 3;

i)

spracúvanie je potrebné z dôvodov verejného záujmu v oblasti verejného zdravia, ako je ochrana proti závažným cezhraničným ohrozeniam zdravia alebo zabezpečenie vysokej úrovne kvality a bezpečnosti zdravotnej starostlivosti a liekov alebo zdravotníckych pomôcok, na základe práva Únie, ktorým sa stanovujú vhodné a konkrétne opatrenia na ochranu práv a slobôd dotknutej osoby, najmä služobné tajomstvo, alebo

j)

spracúvanie je potrebné na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu alebo na štatistické účely na základe práva Únie, ktoré sú primerané vzhľadom na sledovaný cieľ, rešpektujú podstatu práva na ochranu údajov a určujú vhodné a konkrétne opatrenia na zabezpečenie základných práv a záujmov dotknutej osoby.

3.   Osobné údaje uvedené v odseku 1 sa môžu spracúvať na účely uvedené v odseku 2 písm. h), ak tieto údaje spracúva odborník, alebo ak sa spracúvajú v rámci zodpovednosti odborníka, ktorý podlieha povinnosti služobného tajomstva podľa práva Únie alebo práva členského štátu, alebo podľa pravidiel, ktoré stanovili príslušné vnútroštátne orgány, alebo ak tieto údaje spracúva iná osoba, ktorá tiež podlieha povinnosti mlčanlivosti podľa práva Únie alebo práva členského štátu alebo pravidiel, ktoré stanovili príslušné vnútroštátne orgány.

Článok 11

Spracúvanie osobných údajov týkajúcich sa uznania viny za trestné činy a priestupky

Spracúvanie osobných údajov týkajúcich sa uznania viny za trestné činy a priestupky alebo súvisiacich bezpečnostných opatrení na základe článku 5 ods. 1 sa vykonáva len pod úradnou kontrolou, alebo ak je spracúvanie povolené právom Únie poskytujúcim primerané záruky ochrany práv a slobôd dotknutých osôb.

Článok 12

Spracúvanie bez potreby identifikácie

1.   Ak na účely, na ktoré prevádzkovateľ spracúva osobné údaje, nie je potrebné alebo už viac nie je potrebné, aby prevádzkovateľ identifikoval dotknutú osobu, prevádzkovateľ nie je povinný uchovávať, získať ani spracúvať dodatočné informácie na identifikáciu dotknutej osoby výlučne na to, aby dosiahol súlad s týmto nariadením.

2.   Ak v prípadoch uvedených v odseku 1 tohto článku prevádzkovateľ vie preukázať, že dotknutú osobu nie je schopný identifikovať, podľa možnosti o tom dotknutú osobu informuje. V takýchto prípadoch sa články 17 až 22 neuplatňujú okrem prípadov, keď dotknutá osoba na účely vykonania svojich práv podľa uvedených článkov poskytne dodatočné informácie umožňujúce jej identifikáciu.

Článok 13

Záruky týkajúce sa spracúvania na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu alebo na štatistické účely

Na spracúvanie na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu či na štatistické účely sa v súlade s týmto nariadením vzťahujú primerané záruky pre práva a slobody dotknutej osoby. Uvedenými zárukami sa zaistí zavedenie technických a organizačných opatrení, najmä s cieľom zabezpečiť dodržiavanie zásady minimalizácie údajov. Uvedené opatrenia môžu zahŕňať pseudonymizáciu, pokiaľ sa týmto spôsobom môžu dosiahnuť uvedené účely. Keď sa uvedené účely môžu dosiahnuť ďalším spracúvaním, ktoré neumožňuje alebo už viac neumožňuje identifikovať dotknutú osobu, použije sa na dosiahnutie uvedených účelov daný spôsob.

KAPITOLA III

PRÁVA DOTKNUTEJ OSOBY

ODDIEL 1

transparentnosť a postupy

Článok 14

Transparentnosť informácií, oznámenia a postupy výkonu práv dotknutej osoby

1.   Prevádzkovateľ prijme vhodné opatrenia s cieľom poskytnúť dotknutej osobe všetky informácie uvedené v článkoch 15 a 16 a všetky oznámenia podľa článkov 17 až 24 a článku 35, ktoré sa týkajú spracúvania, v stručnej, transparentnej, zrozumiteľnej a ľahko prístupnej forme, formulované jasne a jednoducho, a to najmä v prípade akýchkoľvek informácií určených osobitne dieťaťu. Informácie sa poskytujú písomne alebo inými prostriedkami, ktoré vo vhodných prípadoch zahŕňajú aj elektronické prostriedky. Na požiadanie dotknutej osoby sa informácie môžu poskytnúť ústne za predpokladu, že sa totožnosť dotknutej osoby preukáže iným spôsobom.

2.   Prevádzkovateľ uľahčuje výkon práv dotknutej osoby podľa článkov 17 až 24. V prípadoch uvedených v článku 12 ods. 2 nemôže prevádzkovateľ odmietnuť konať na základe žiadosti dotknutej osoby týkajúcej sa uplatňovania jej práv podľa článkov 17 až 24, pokiaľ nepreukáže, že dotknutú osobu nie je schopný identifikovať.

3.   Prevádzkovateľ poskytne dotknutej osobe informácie o opatreniach, ktoré sa prijali na základe žiadosti podľa článkov 17 až 24, bez zbytočného odkladu a v každom prípade do jedného mesiaca od doručenia žiadosti. Uvedená lehota sa môže v prípade potreby predĺžiť o ďalšie dva mesiace, pričom sa zohľadní zložitosť žiadostí a ich počet. Prevádzkovateľ informuje dotknutú osobu o každom takomto predĺžení do jedného mesiaca od doručenia žiadosti spolu s dôvodmi na tento odklad. Ak dotknutá osoba podala žiadosť elektronickými prostriedkami, informácie sa podľa možnosti poskytnú elektronickými prostriedkami, pokiaľ dotknutá osoba nepožiadala o iný spôsob.

4.   Ak prevádzkovateľ na základe žiadosti dotknutej osoby neprijme opatrenia, bezodkladne a najneskôr do jedného mesiaca od doručenia žiadosti informuje dotknutú osobu o dôvodoch nekonania a o možnosti podania sťažnosti Európskemu dozornému úradníkovi pre ochranu údajov a uplatnenia súdneho prostriedku nápravy.

5.   Informácie poskytované podľa článkov 15 a 16 a všetky oznámenia a úkony uskutočnené podľa článkov 17 až 24 a článku 35 sa poskytujú bezplatne. Ak sú žiadosti dotknutej osoby zjavne neopodstatnené alebo neprimerané, najmä pre ich opakujúcu sa povahu, prevádzkovateľ môže odmietnuť konať na základe žiadosti. Prevádzkovateľ znáša bremeno preukázania zjavnej neopodstatnenosti alebo neprimeranosti žiadosti.

6.   Bez toho, aby bol dotknutý článok 12, ak má prevádzkovateľ oprávnené pochybnosti v súvislosti s totožnosťou fyzickej osoby, ktorá podáva žiadosť uvedenú v článkoch 17 až 23, môže požiadať o poskytnutie dodatočných informácií potrebných na potvrdenie totožnosti dotknutej osoby.

7.   Informácie, ktoré sa majú poskytnúť dotknutým osobám podľa článkov 15 a 16, môžu byť doplnené štandardizovanými ikonami s cieľom poskytnúť dobre viditeľným, jasným a zrozumiteľným spôsobom zmysluplný prehľad o zamýšľanom spracúvaní. Ak sú ikony použité v elektronickej podobe, musia byť strojovo čitateľné.

8.   Ak Komisia prijme delegované akty podľa článku 12 ods. 8 nariadenia (EÚ) 2016/679 určujúce informácie, ktoré sa majú oznámiť vo forme ikon, a postupy poskytovania štandardizovaných ikon, inštitúcie a orgány Únie v náležitých prípadoch poskytujú informácie podľa článkov 15 a 16 tohto nariadenia v kombinácii s takýmito štandardizovanými ikonami.

ODDIEL 2

informácie a prístup k osobným údajom

Článok 15

Informácie, ktoré sa majú poskytovať pri získavaní osobných údajov od dotknutej osoby

1.   V prípadoch, keď sa od dotknutej osoby získavajú osobné údaje, ktoré sa jej týkajú, poskytne prevádzkovateľ pri získavaní osobných údajov dotknutej osobe všetky tieto informácie:

a)

totožnosť a kontaktné údaje prevádzkovateľa;

b)

kontaktné údaje zodpovednej osoby;

c)

účely spracúvania, na ktoré sú osobné údaje určené, ako aj právny základ spracúvania;

d)

prípadní príjemcovia alebo kategórie príjemcov osobných údajov;

e)

v relevantných prípadoch informácie o tom, že prevádzkovateľ zamýšľa preniesť osobné údaje do tretej krajiny alebo medzinárodnej organizácii, a informácie o existencii alebo neexistencii rozhodnutia Komisie o primeranosti alebo v prípade prenosov uvedených v článku 48 odkaz na primerané alebo vhodné záruky a prostriedky na získanie ich kópie alebo informácie o tom, kde boli sprístupnené.

2.   Okrem informácií uvedených v odseku 1 prevádzkovateľ poskytne dotknutej osobe pri získavaní osobných údajov tieto ďalšie informácie, ktoré sú potrebné na zabezpečenie spravodlivého a transparentného spracúvania:

a)

obdobie uchovávania osobných údajov, alebo ak to nie je možné, kritériá na jeho určenie;

b)

existencia práva požadovať od prevádzkovateľa prístup k osobným údajom týkajúcim sa dotknutej osoby, ich opravu, vymazanie alebo obmedzenie ich spracúvania, alebo prípadne práva namietať proti spracúvaniu alebo práva na prenosnosť údajov;

c)

ak je spracúvanie založené na článku 5 ods. 1 písm. d) alebo na článku 10 ods. 2 písm. a), existencia práva kedykoľvek svoj súhlas odvolať bez toho, aby to malo vplyv na zákonnosť spracúvania založeného na súhlase udelenom pred jeho odvolaním;

d)

právo podať sťažnosť Európskemu dozornému úradníkovi pre ochranu údajov;

e)

informácia o tom, či je poskytovanie osobných údajov zákonnou alebo zmluvnou požiadavkou, alebo požiadavkou, ktorá je potrebná na uzavretie zmluvy, ako aj o tom, či je dotknutá osoba povinná poskytnúť osobné údaje a o možných následkoch neposkytnutia takýchto údajov;

f)

existencia automatizovaného rozhodovania vrátane profilovania uvedeného v článku 24 ods. 1 a 4 a – aspoň v týchto prípadoch – zmysluplné informácie o použitom postupe, ako aj o význame a predpokladaných dôsledkoch takéhoto spracúvania pre dotknutú osobu.

3.   Ak má prevádzkovateľ v úmysle ďalej spracúvať osobné údaje na iný účel ako ten, na ktorý boli získané, poskytne dotknutej osobe pred takýmto ďalším spracúvaním informácie o tomto inom účele a všetky ďalšie relevantné informácie uvedené v odseku 2.

4.   Odseky 1, 2 a 3 sa neuplatňujú, pokiaľ dotknutá osoba už dané informácie má.

Článok 16

Informácie, ktoré sa majú poskytnúť, ak osobné údaje neboli získané od dotknutej osoby

1.   Ak osobné údaje neboli získané od dotknutej osoby, prevádzkovateľ poskytne dotknutej osobe tieto informácie:

a)

totožnosť a kontaktné údaje prevádzkovateľa;

b)

kontaktné údaje zodpovednej osoby;

c)

účely spracúvania, na ktoré sú osobné údaje určené, ako aj právny základ spracúvania;

d)

kategórie dotknutých osobných údajov;

e)

prípadní príjemcovia alebo kategórie príjemcov osobných údajov;

f)

v relevantných prípadoch informácie o tom, že prevádzkovateľ zamýšľa preniesť osobné údaje príjemcovi v tretej krajine alebo medzinárodnej organizácii, a informácie o existencii alebo neexistencii rozhodnutia Komisie o primeranosti alebo v prípade prenosov uvedených v článku 48 odkaz na primerané alebo vhodné záruky a prostriedky na získanie ich kópie alebo informácie o tom, kde boli sprístupnené.

2.   Okrem informácií uvedených v odseku 1 prevádzkovateľ poskytne dotknutej osobe tieto ďalšie informácie potrebné na zabezpečenie spravodlivého a transparentného spracúvania so zreteľom na dotknutú osobu:

a)

obdobie uchovávania osobných údajov, alebo ak to nie je možné, kritériá na jeho určenie;

b)

existencia práva požadovať od prevádzkovateľa prístup k osobným údajom týkajúcim sa dotknutej osoby, ich opravu, vymazanie alebo obmedzenie ich spracúvania, alebo prípadne práva namietať proti spracúvaniu alebo práva na prenosnosť údajov;

c)

ak je spracúvanie založené na článku 5 ods. 1 písm. d) alebo na článku 10 ods. 2 písm. a), existencia práva kedykoľvek svoj súhlas odvolať bez toho, aby to malo vplyv na zákonnosť spracúvania založeného na súhlase udelenom pred jeho odvolaním;

d)

právo podať sťažnosť Európskemu dozornému úradníkovi pre ochranu údajov;

e)

informácie o tom, z akého zdroja pochádzajú osobné údaje, prípadne informácie o tom, či údaje pochádzajú z verejne prístupných zdrojov;

f)

existencia automatizovaného rozhodovania vrátane profilovania uvedeného v článku 24 ods. 1 a 4 a aspoň v týchto prípadoch zmysluplné informácie o použitom postupe, ako aj význame a predpokladaných dôsledkoch takéhoto spracúvania pre dotknutú osobu.

3.   Prevádzkovateľ poskytne informácie uvedené v odsekoch 1 a 2:

a)

v primeranej lehote po získaní osobných údajov, najneskôr však do jedného mesiaca, pričom zohľadní konkrétne okolnosti, za ktorých sa osobné údaje spracúvajú;

b)

ak sa osobné údaje majú použiť na komunikáciu s dotknutou osobou, najneskôr v čase prvej komunikácie s touto dotknutou osobou, alebo

c)

ak sa predpokladá poskytnutie osobných údajov ďalšiemu príjemcovi, najneskôr vtedy, keď sa osobné údaje prvýkrát poskytnú.

4.   Ak má prevádzkovateľ v úmysle ďalej spracúvať osobné údaje na iný účel ako ten, na ktorý boli osobné údaje získané, poskytne dotknutej osobe pred takýmto ďalším spracúvaním informácie o tomto inom účele a všetky ďalšie relevantné informácie uvedené v odseku 2.

5.   Odseky 1 až 4 sa neuplatňujú, pokiaľ:

a)

dotknutá osoba už dané informácie má;

b)

sa poskytovanie takýchto informácií ukáže ako nemožné alebo by si vyžadovalo neprimerané úsilie, najmä v prípade spracúvania na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu či na štatistické účely, alebo pokiaľ je pravdepodobné, že povinnosť uvedená v odseku 1 tohto článku znemožní alebo závažným spôsobom sťaží dosiahnutie cieľov takéhoto spracúvania;

c)

sa získanie alebo poskytnutie výslovne stanovuje v práve Únie, v ktorom sa stanovujú primerané opatrenia na ochranu oprávnených záujmov dotknutej osoby, alebo

d)

osobné údaje musia zostať dôverné na základe povinnosti zachovávania služobného tajomstva upravenej právom Únie vrátane zákonnej povinnosti mlčanlivosti.

6.   V prípadoch uvedených v odseku 5 písm. b) prevádzkovateľ prijme primerané opatrenia na ochranu práv a slobôd a oprávnených záujmov dotknutej osoby vrátane sprístupnenia informácií verejnosti.

Článok 17

Právo dotknutej osoby na prístup k údajom

1.   Dotknutá osoba má právo získať od prevádzkovateľa potvrdenie o tom, či sa spracúvajú osobné údaje, ktoré sa jej týkajú, a ak to tak je, má právo získať prístup k týmto osobným údajom a tieto informácie:

a)

účely spracúvania;

b)

kategórie dotknutých osobných údajov;

c)

príjemcovia alebo kategórie príjemcov, ktorým boli alebo budú osobné údaje poskytnuté, najmä príjemcovia v tretích krajinách alebo medzinárodné organizácie;

d)

ak je to možné, predpokladané obdobie uchovávania osobných údajov, alebo ak to nie je možné, kritériá na jeho určenie;

e)

existencia práva požadovať od prevádzkovateľa opravu osobných údajov týkajúcich sa dotknutej osoby alebo ich vymazanie alebo obmedzenie spracúvania, alebo práva namietať proti takémuto spracúvaniu;

f)

právo podať sťažnosť Európskemu dozornému úradníkovi pre ochranu údajov;

g)

ak sa osobné údaje nezískali od dotknutej osoby, akékoľvek dostupné informácie, pokiaľ ide o ich zdroj;

h)

existencia automatizovaného rozhodovania vrátane profilovania uvedeného v článku 24 ods. 1 a 4 a – aspoň v týchto prípadoch – zmysluplné informácie o použitom postupe, ako aj význame a predpokladaných dôsledkoch takéhoto spracúvania pre dotknutú osobu.

2.   Ak sa osobné údaje prenášajú do tretej krajiny alebo medzinárodnej organizácii, dotknutá osoba má právo byť informovaná o primeraných zárukách podľa článku 48 týkajúcich sa prenosu.

3.   Prevádzkovateľ poskytne kópiu osobných údajov, ktoré sa spracúvajú. Ak dotknutá osoba podala žiadosť elektronickými prostriedkami, informácie sa poskytnú v bežne používanej elektronickej podobe, pokiaľ dotknutá osoba nepožiadala o iný spôsob.

4.   Právo získať kópiu uvedenú v odseku 3 nesmie mať nepriaznivé dôsledky na práva a slobody iných.

ODDIEL 3

oprava a vymazanie

Článok 18

Právo na opravu

Dotknutá osoba má právo na to, aby prevádzkovateľ bez zbytočného odkladu opravil nesprávne osobné údaje, ktoré sa jej týkajú. So zreteľom na účely spracúvania má dotknutá osoba právo na doplnenie neúplných osobných údajov, a to aj prostredníctvom poskytnutia doplnkového vyhlásenia.

Článok 19

Právo na vymazanie („právo na zabudnutie“)

1.   Dotknutá osoba má právo na to, aby prevádzkovateľ bez zbytočného odkladu vymazal osobné údaje, ktoré sa jej týkajú, a prevádzkovateľ je povinný osobné údaje bez zbytočného odkladu vymazať, ak je splnený niektorý z týchto dôvodov:

a)

osobné údaje už nie sú potrebné na účely, na ktoré sa získavali alebo inak spracúvali;

b)

dotknutá osoba odvolá súhlas, na základe ktorého sa spracúvanie vykonáva, podľa článku 5 ods. 1 písm. d) alebo článku 10 ods. 2 písm. a), a ak neexistuje žiadny iný právny základ pre spracúvanie;

c)

dotknutá osoba namieta voči spracúvaniu podľa článku 23 ods. 1 a neexistujú žiadne prevažujúce oprávnené dôvody na spracúvanie;

d)

osobné údaje sa spracúvali nezákonne;

e)

osobné údaje musia byť vymazané, aby sa splnila zákonná povinnosť, ktorá sa vzťahuje na prevádzkovateľa;

f)

osobné údaje sa získavali v súvislosti s ponukou služieb informačnej spoločnosti podľa článku 8 ods. 1

2.   Ak prevádzkovateľ zverejnil osobné údaje a je podľa odseku 1 povinný osobné údaje vymazať, so zreteľom na dostupnú technológiu a náklady na vykonanie opatrení podnikne primerané opatrenia vrátane technických opatrení, aby informoval prevádzkovateľov alebo iných prevádzkovateľov, než sú inštitúcie a orgány Únie, ktorí vykonávajú spracúvanie osobných údajov, že dotknutá osoba ich žiada, aby vymazali všetky odkazy na tieto osobné údaje, ich kópie alebo repliky.

3.   Odseky 1 a 2 sa neuplatňujú, pokiaľ je spracúvanie potrebné:

a)

na uplatnenie práva na slobodu prejavu a na informácie;

b)

na splnenie zákonnej povinnosti, ktorá sa na prevádzkovateľa vzťahuje, alebo na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi;

c)

z dôvodov verejného záujmu v oblasti verejného zdravia v súlade s článkom 10 ods. 2 písm. h) a i), ako aj článkom 10 ods. 3;

d)

na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu či na štatistické účely, pokiaľ je pravdepodobné, že právo uvedené v odseku 1 znemožní alebo závažným spôsobom sťaží dosiahnutie cieľov takéhoto spracúvania, alebo

e)

na preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov.

Článok 20

Právo na obmedzenie spracúvania

1.   Dotknutá osoba má právo na to, aby prevádzkovateľ obmedzil spracúvanie, pokiaľ ide o jeden z týchto prípadov:

a)

dotknutá osoba napadne správnosť osobných údajov, a to počas obdobia umožňujúceho prevádzkovateľovi overiť správnosť, ako aj úplnosť osobných údajov;

b)

spracúvanie je protizákonné a dotknutá osoba namieta proti vymazaniu osobných údajov a žiada namiesto toho obmedzenie ich použitia;

c)

prevádzkovateľ už nepotrebuje osobné údaje na účely spracúvania, ale potrebuje ich dotknutá osoba na preukázanie, uplatňovanie alebo obhajovanie právnych nárokov;

d)

dotknutá osoba namieta voči spracúvaniu podľa článku 23 ods. 1, a to až do overenia, či oprávnené dôvody na strane prevádzkovateľa prevažujú nad oprávnenými dôvodmi dotknutej osoby.

2.   Ak sa spracúvanie obmedzilo podľa odseku 1, takéto osobné údaje sa s výnimkou uchovávania spracúvajú len so súhlasom dotknutej osoby alebo na preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov, alebo na ochranu práv inej fyzickej alebo právnickej osoby, alebo z dôvodov dôležitého verejného záujmu Únie alebo členského štátu.

3.   Dotknutú osobu, ktorá dosiahla obmedzenie spracúvania podľa odseku 1, prevádzkovateľ informuje pred tým, ako bude obmedzenie spracúvania zrušené.

4.   V automatizovaných informačných systémoch sa obmedzenie spracúvania v zásade zabezpečuje technickými prostriedkami. Skutočnosť, že v súvislosti s osobnými údajmi existuje obmedzenie, sa v systéme vyznačí takým spôsobom, z ktorého je jasné, že dané osobné údaje sa nesmú používať.

Článok 21

Oznamovacia povinnosť v súvislosti s opravou alebo vymazaním osobných údajov alebo obmedzením spracúvania

Prevádzkovateľ oznámi každému príjemcovi, ktorému boli osobné údaje poskytnuté, každú opravu alebo vymazanie osobných údajov alebo obmedzenie spracúvania uskutočnené podľa článku 18, článku 19 ods. 1 a článku 20, pokiaľ sa to neukáže ako nemožné alebo si to nevyžaduje neprimerané úsilie. Prevádzkovateľ o týchto príjemcoch informuje dotknutú osobu, ak to dotknutá osoba požaduje.

Článok 22

Právo na prenosnosť údajov

1.   Dotknutá osoba má právo získať osobné údaje, ktoré sa jej týkajú a ktoré poskytla prevádzkovateľovi, v štruktúrovanom, bežne používanom a strojovo čitateľnom formáte a má právo preniesť tieto údaje ďalšiemu prevádzkovateľovi bez toho, aby jej prevádzkovateľ, ktorému sa tieto osobné údaje poskytli, bránil, ak:

a)

sa spracúvanie zakladá na súhlase podľa článku 5 ods. 1 písm. d) alebo článku 10 ods. 2 písm. a), alebo na zmluve podľa článku 5 ods. 1 písm. c) a

b)

ak sa spracúvanie vykonáva automatizovanými prostriedkami.

2.   Dotknutá osoba má pri uplatňovaní svojho práva na prenosnosť údajov podľa odseku 1 právo na prenos osobných údajov priamo od jedného prevádzkovateľa druhému prevádzkovateľovi alebo iným prevádzkovateľom, než sú inštitúcie a orgány Únie, pokiaľ je to technicky možné.

3.   Uplatňovaním práva uvedeného v odseku 1 tohto článku nie je dotknutý článok 19 Uvedené právo sa nevzťahuje na spracúvanie potrebné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi.

4.   Právo uvedené v odseku 1 nesmie mať nepriaznivé dôsledky na práva a slobody iných.

ODDIEL 4

právo namietať a automatizované individuálne rozhodovanie

Článok 23

Právo namietať

1.   Dotknutá osoba má právo kedykoľvek namietať z dôvodov týkajúcich sa jej konkrétnej situácie proti spracúvaniu osobných údajov, ktoré sa jej týkajú, ktoré je vykonávané na základe článku 5 ods. 1 písm. a), vrátane profilovania založeného na uvedenom ustanovení. Prevádzkovateľ nesmie ďalej spracúvať osobné údaje, pokiaľ nepreukáže nevyhnutné oprávnené dôvody na spracúvanie, ktoré prevažujú nad záujmami, právami a slobodami dotknutej osoby, alebo dôvody na preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov.

2.   Dotknutá osoba sa výslovne upozorní na právo uvedené v odseku 1 najneskôr pri prvej komunikácii s ňou, pričom toto právo sa uvedie jasne a oddelene od akýchkoľvek iných informácií.

3.   Bez toho, aby boli dotknuté články 36 a 37, v súvislosti s využívaním služieb informačnej spoločnosti môže dotknutá osoba uplatňovať svoje právo namietať automatizovanými prostriedkami s použitím technických špecifikácií.

4.   Ak sa osobné údaje spracúvajú na účely vedeckého alebo historického výskumu či na štatistické účely, dotknutá osoba má právo namietať z dôvodov týkajúcich sa jej konkrétnej situácie proti spracúvaniu osobných údajov, ktoré sa jej týkajú, s výnimkou prípadov, keď je spracúvanie potrebné na splnenie úlohy realizovanej z dôvodov verejného záujmu.

Článok 24

Automatizované individuálne rozhodovanie vrátane profilovania

1.   Dotknutá osoba má právo na to, aby sa na ňu nevzťahovalo rozhodnutie, ktoré je založené výlučne na automatizovanom spracúvaní vrátane profilovania a ktoré má právne účinky, ktoré sa jej týkajú alebo ju podobne významne ovplyvňujú.

2.   Odsek 1 sa neuplatňuje, ak je rozhodnutie:

a)

potrebné na uzavretie alebo plnenie zmluvy medzi dotknutou osobou a prevádzkovateľom;

b)

povolené právom Únie, ktorým sa zároveň stanovujú aj vhodné opatrenia zaručujúce ochranu práv a slobôd a oprávnených záujmov dotknutej osoby, alebo

c)

založené na výslovnom súhlase dotknutej osoby.

3.   V prípadoch uvedených v odseku 2 písm. a) a c) prevádzkovateľ vykoná vhodné opatrenia na ochranu práv a slobôd a oprávnených záujmov dotknutej osoby, a to aspoň práva na ľudský zásah zo strany prevádzkovateľa, práva vyjadriť svoje stanovisko a práva napadnúť rozhodnutie.

4.   Rozhodnutia uvedené v odseku 2 tohto článku sa nezakladajú na osobitných kategóriách osobných údajov uvedených v článku 10 ods. 1, pokiaľ sa neuplatňuje článok 10 ods. 2 písm. a) alebo g) a nie sú zavedené vhodné opatrenia na zaručenie práv a slobôd a oprávnených záujmov dotknutej osoby.

ODDIEL 5

obmedzenia

Článok 25

Obmedzenia

1.   Uplatňovanie článkov 14 až 22, 35 a 36, ako aj článku 4, pokiaľ jeho ustanovenia zodpovedajú právam a povinnostiam stanoveným v článkoch 14 až 22, sa môže obmedziť právnymi aktmi prijatými na základe zmlúv alebo, vo veciach týkajúcich sa fungovania inštitúcií a orgánov Únie, interných predpisov stanovených týmito inštitúciami a orgánmi, ak takéto obmedzenie rešpektuje podstatu základných práv a slobôd a je v demokratickej spoločnosti potrebným a primeraným opatrením s cieľom zaistiť:

a)

národnú bezpečnosť, verejnú bezpečnosť alebo obranu členských štátov;

b)

predchádzanie trestným činom, ich vyšetrovanie, odhaľovanie alebo stíhanie alebo výkon trestných sankcií vrátane ochrany pred ohrozeniami verejnej bezpečnosti a predchádzania týmto ohrozeniam;

c)

iné dôležité ciele všeobecného verejného záujmu Únie alebo členského štátu, najmä ciele spoločnej zahraničnej a bezpečnostnej politiky Únie alebo dôležitý hospodársky alebo finančný záujem Únie alebo členského štátu vrátane peňažných, rozpočtových a daňových záležitostí, verejného zdravia a sociálneho zabezpečenia;

d)

vnútornú bezpečnosť inštitúcií a orgánov Únie vrátane ich elektronických komunikačných sietí;

e)

ochranu nezávislosti súdnictva a súdnych konaní;

f)

predchádzanie porušeniam etiky v prípade regulovaných povolaní, ich vyšetrovanie, odhaľovanie a stíhanie;

g)

monitorovaciu, kontrolnú alebo regulačnú funkciu spojenú, hoci aj príležitostne, s výkonom verejnej moci v prípadoch uvedených v písmenách a) až c);

h)

ochranu dotknutej osoby alebo práv a slobôd iných;

i)

vymáhanie občianskoprávnych nárokov.

2.   Predovšetkým, každý právny akt alebo interný predpis uvedený v odseku 1 musí obsahovať osobitné ustanovenia, ktoré v relevantných prípadoch upravujú:

a)

účely spracúvania alebo kategórie spracúvania;

b)

kategórie osobných údajov;

c)

rozsah zavedených obmedzení;

d)

záruky na predchádzanie zneužívaniu alebo nezákonnému prístupu či prenosu;

e)

špecifikáciu prevádzkovateľa alebo kategórií prevádzkovateľov;

f)

obdobia uchovávania a uplatniteľné záruky, pričom sa zohľadní povaha, rozsah a účely spracúvania alebo kategórie spracúvania, a

g)

riziká pre práva a slobody dotknutých osôb.

3.   Ak sa osobné údaje spracúvajú na účely vedeckého alebo historického výskumu či na štatistické účely, v práve Únie, ktoré môže zahŕňať interné predpisy prijaté inštitúciami a orgánmi Únie v záležitostiach týkajúcich sa ich fungovania, sa môžu stanoviť odchýlky z práv uvedených v článkoch 17, 18, 20 a 23, pričom sa dodržia podmienky a záruky uvedené v článku 13, pokiaľ by takéto práva mohli znemožniť alebo závažným spôsobom sťažiť dosiahnutie osobitných účelov a pokiaľ sú takéto odchýlky potrebné na dosiahnutie uvedených účelov.

4.   Ak sa osobné údaje spracúvajú na účely archivácie vo verejnom záujme, v práve Únie, ktoré môže zahŕňať interné predpisy prijaté inštitúciami a orgánmi Únie v záležitostiach týkajúcich sa ich fungovania, sa môžu stanoviť odchýlky z práv uvedených v článkoch 17, 18, 20, 21, 22 a 23, pričom sa dodržia podmienky a záruky uvedené v článku 13, pokiaľ by takéto práva mohli znemožniť alebo závažným spôsobom sťažiť dosiahnutie osobitných účelov a pokiaľ sú takéto odchýlky potrebné na dosiahnutie uvedených účelov.

5.   Interné predpisy uvedené v odsekoch 1, 3 a 4 musia byť jasné a presné akty so všeobecnou pôsobnosťou, ktorými sa majú zakladať právne účinky vo vzťahu k dotknutým osobám, prijaté na najvyššej úrovni riadenia inštitúcií a orgánov Únie, a uverejňujú sa v Úradnom vestníku Európskej únie.

6.   Ak je uložené obmedzenie podľa odseku 1, dotknutej osobe sa v súlade s právom Únie poskytnú informácie o hlavných dôvodoch, na základe ktorých sa obmedzenie uplatňuje, a o jej práve podať sťažnosť Európskemu dozornému úradníkovi pre ochranu údajov.

7.   Ak je dotknutej osobe odopretý prístup k údajom na základe obmedzenia uloženého podľa odseku 1, Európsky dozorný úradník pre ochranu údajov pri vyšetrovaní sťažnosti informuje dotknutú osobu iba o tom, či boli údaje spracúvané správne, a ak nie, či boli vykonané všetky potrebné opravy.

8.   Poskytnutie informácií uvedených v odsekoch 6 a 7 tohto článku a v článku 45 ods. 2 sa môže odložiť, môže sa od neho upustiť alebo sa môže zamietnuť, ak by sa ním zrušil účinok obmedzenia uloženého podľa odseku 1 tohto článku.

KAPITOLA IV

PREVÁDZKOVATEĽ A SPROSTREDKOVATEĽ

ODDIEL 1

všeobecné povinnosti

Článok 26

Zodpovednosť prevádzkovateľa

1.   S ohľadom na povahu, rozsah, kontext a účely spracúvania, ako aj na riziká s rôznou pravdepodobnosťou a závažnosťou pre práva a slobody fyzických osôb, prevádzkovateľ prijme vhodné technické a organizačné opatrenia, aby zabezpečil a bol schopný preukázať, že spracúvanie sa vykonáva v súlade s týmto nariadením. Uvedené opatrenia sa podľa potreby preskúmajú a aktualizujú.

2.   Ak je to primerané vzhľadom na spracovateľské činnosti, opatrenia uvedené v odseku 1 zahŕňajú zavedenie primeraných politík ochrany údajov zo strany prevádzkovateľa.

3.   Dodržiavanie schválených certifikačných mechanizmov uvedených v článku 42 nariadenia (EÚ) 2016/679 sa môže použiť ako prvok na preukázanie súladu s povinnosťami prevádzkovateľa.

Článok 27

Špecificky navrhnutá a štandardná ochrana údajov

1.   Prevádzkovateľ so zreteľom na najnovšie poznatky, náklady na vykonanie opatrení a na povahu, rozsah, kontext a účely spracúvania, ako aj na riziká s rôznou pravdepodobnosťou a závažnosťou, ktoré spracúvanie predstavuje pre práva a slobody fyzických osôb, vykoná v čase určenia prostriedkov spracúvania aj v čase samotného spracúvania primerané technické a organizačné opatrenia, ako je napríklad pseudonymizácia, ktorými sa majú účinne zaviesť zásady ochrany údajov, ako je minimalizácia údajov, a začleniť do spracúvania potrebné záruky s cieľom splniť požiadavky tohto nariadenia a chrániť práva dotknutých osôb.

2.   Prevádzkovateľ vykoná primerané technické a organizačné opatrenia na zaistenie toho, aby sa štandardne spracúvali len osobné údaje, ktoré sú potrebné pre každý konkrétny účel spracúvania. Uvedená povinnosť sa vzťahuje na množstvo získaných osobných údajov, rozsah ich spracúvania, obdobie ich uchovávania a ich dostupnosť. Konkrétne sa takýmito opatreniami zabezpečí, aby osobné údaje neboli bez zásahu fyzickej osoby štandardne prístupné neobmedzenému počtu fyzických osôb.

3.   Schválený certifikačný mechanizmus podľa článku 42 nariadenia (EÚ) 2016/679 sa môže použiť ako prvok na preukázanie súladu s požiadavkami uvedenými v odsekoch 1 a 2 tohto článku.

Článok 28

Spoloční prevádzkovatelia

1.   Ak dvaja alebo viacerí prevádzkovatelia alebo jeden alebo viacerí prevádzkovatelia spolu s jedným alebo viacerými prevádzkovateľmi inými, i než sú inštitúcie a orgány Únie, spoločne určia účely a prostriedky spracúvania, považujú sa za spoločných prevádzkovateľov. Transparentne určia svoje príslušné zodpovednosti za plnenie svojich povinností v oblasti ochrany údajov, najmä pokiaľ ide o uplatňovanie práv dotknutej osoby a svoje príslušné povinnosti poskytovať informácie uvedené v článkoch 15 a 16, a to formou vzájomnej dohody, pokiaľ nie sú príslušné zodpovednosti spoločných prevádzkovateľov určené právom Únie alebo právom členskému štátu, ktorému spoloční prevádzkovatelia podliehajú. V dohode sa môže určiť kontaktné miesto pre dotknuté osoby.

2.   V dohode uvedenej v odseku 1 sa náležite zohľadnia príslušné úlohy spoločných prevádzkovateľov a ich vzťahy voči dotknutým osobám. Základné časti dohody sa sprístupnia dotknutej osobe.

3.   Bez ohľadu na podmienky dohody uvedenej v odseku 1 môže dotknutá osoba uplatniť svoje práva podľa tohto nariadenia u každého prevádzkovateľa a voči každému prevádzkovateľovi.

Článok 29

Sprostredkovateľ

1.   Ak sa má spracúvanie uskutočniť v mene prevádzkovateľa, prevádzkovateľ využíva len sprostredkovateľov poskytujúcich dostatočné záruky týkajúce sa prijatia primeraných technických a organizačných opatrení tak, aby spracúvanie spĺňalo požiadavky tohto nariadenia a aby sa zabezpečila ochrana práv dotknutej osoby.

2.   Sprostredkovateľ nezapojí ďalšieho sprostredkovateľa bez predchádzajúceho osobitného alebo všeobecného písomného povolenia prevádzkovateľa. V prípade všeobecného písomného povolenia sprostredkovateľ informuje prevádzkovateľa o akýchkoľvek zamýšľaných zmenách v súvislosti s pridaním alebo nahradením ďalších sprostredkovateľov, čím prevádzkovateľovi poskytne možnosť namietať voči takýmto zmenám.

3.   Spracúvanie sprostredkovateľom sa riadi zmluvou alebo iným právnym aktom podľa práva Únie alebo práva členského štátu, ktoré zaväzujú sprostredkovateľa voči prevádzkovateľovi a ktorými sa stanovuje predmet a obdobie spracúvania, povaha a účel spracúvania, typ osobných údajov a kategórie dotknutých osôb a povinnosti a práva prevádzkovateľa. Uvedená zmluva alebo iný právny akt najmä stanovia, že sprostredkovateľ:

a)

spracúva osobné údaje len na základe zdokumentovaných pokynov prevádzkovateľa, a to aj pokiaľ ide o prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii, s výnimkou prípadov, keď sa to vyžaduje podľa práva Únie alebo práva členského štátu, ktorému sprostredkovateľ podlieha; v takom prípade sprostredkovateľ informuje prevádzkovateľa o tejto právnej požiadavke pred spracúvaním, pokiaľ dané právo takéto informovanie nezakazuje z dôležitých dôvodov verejného záujmu;

b)

zabezpečí, aby sa osoby oprávnené spracúvať osobné údaje zaviazali, že zachovajú dôvernosť informácií, alebo aby sa na ne vzťahovala primeraná zákonná povinnosť zachovávať dôvernosť informácií;

c)

vykoná všetky požadované opatrenia podľa článku 33;

d)

dodržiava podmienky zapojenia ďalšieho sprostredkovateľa uvedené v odsekoch 2 a 4;

e)

pri zohľadnení povahy spracúvania v čo najväčšej možnej miere pomáha prevádzkovateľovi vhodnými technickými a organizačnými opatreniami pri plnení jeho povinnosti reagovať na žiadosti o výkon práv dotknutej osoby stanovených v kapitole III;

f)

pomáha prevádzkovateľovi zabezpečiť plnenie povinností podľa článkov 33 až 41 s prihliadnutím na povahu spracúvania a informácie dostupné sprostredkovateľovi;

g)

po ukončení poskytovania služieb týkajúcich sa spracúvania na základe rozhodnutia prevádzkovateľa všetky osobné údaje vymaže alebo vráti prevádzkovateľovi a vymaže existujúce kópie, ak právo Únie alebo právo členského štátu nepožaduje uchovávanie týchto osobných údajov;

h)

poskytne prevádzkovateľovi všetky informácie potrebné na preukázanie splnenia povinností stanovených v tomto článku a umožní audity, ako aj kontroly vykonávané prevádzkovateľom alebo iným audítorom, ktorého poveril prevádzkovateľ, a prispieva k nim.

So zreteľom na prvý pododsek písm. h) sprostredkovateľ bezodkladne informuje prevádzkovateľa, ak sa podľa jeho názoru pokynom porušuje toto nariadenie alebo iné právne predpisy Únie alebo členského štátu týkajúce sa ochrany údajov.

4.   Ak sprostredkovateľ zapojí do vykonávania osobitných spracovateľských činností v mene prevádzkovateľa ďalšieho sprostredkovateľa, tomuto ďalšiemu sprostredkovateľovi sa prostredníctvom zmluvy alebo iného právneho aktu podľa práva Únie alebo práva členského štátu uložia rovnaké povinnosti ochrany údajov, ako sa stanovujú v zmluve alebo inom právnom akte uzatvorenom medzi prevádzkovateľom a sprostredkovateľom podľa odseku 3, a to predovšetkým poskytnutie dostatočných záruk na vykonanie primeraných technických a organizačných opatrení takým spôsobom, aby spracúvanie spĺňalo požiadavky tohto nariadenia. Ak tento ďalší sprostredkovateľ neplní svoje povinnosti ochrany údajov, pôvodný sprostredkovateľ zostáva voči prevádzkovateľovi plne zodpovedný za plnenie povinností tohto ďalšieho sprostredkovateľa.

5.   Ak sprostredkovateľ nie je inštitúciou ani orgánom Únie, môže sa ako prvok na preukázanie dostatočných záruk podľa odsekov 1 a 4 tohto článku použiť dodržiavanie schváleného kódexu správania podľa článku 40 ods. 5 nariadenia (EÚ) 2016/679 alebo schváleného certifikačného mechanizmu podľa článku 42 nariadenia (EÚ) 2016/679.

6.   Bez toho, aby tým bola dotknutá individuálna zmluva medzi prevádzkovateľom a sprostredkovateľom, zmluva alebo iný právny akt uvedené v odsekoch 3 a 4 tohto článku sa môžu vcelku alebo sčasti zakladať na štandardných zmluvných doložkách uvedených v odsekoch 7 a 8 tohto článku, a to aj v prípadoch, keď sú súčasťou certifikácie udelenej sprostredkovateľovi inému ako inštitúcia alebo orgán Únie podľa článku 42 nariadenia (EÚ) 2016/679.

7.   Komisia môže stanoviť štandardné zmluvné doložky pre záležitosti uvedené v odsekoch 3 a 4 tohto článku v súlade s postupom preskúmania uvedeným v článku 96 ods. 2

8.   Európsky dozorný úradník pre ochranu údajov môže prijať štandardné zmluvné doložky pre záležitosti uvedené v odsekoch 3 a 4.

9.   Zmluva alebo iný právny akt uvedené v odsekoch 3 a 4 sa vypracujú v písomnej podobe vrátane elektronickej podoby.

10.   Bez toho, aby boli dotknuté články 65 a 66, ak sprostredkovateľ poruší toto nariadenie tým, že určí účely a prostriedky spracúvania, považuje sa v súvislosti s daným spracúvaním za prevádzkovateľa.

Článok 30

Spracúvanie na základe poverenia prevádzkovateľa alebo sprostredkovateľa

Sprostredkovateľ a každá osoba konajúca na základe poverenia prevádzkovateľa alebo sprostredkovateľa, ktorá má prístup k osobným údajom, môže spracúvať tieto údaje len na základe pokynov prevádzkovateľa, s výnimkou prípadov, keď sa to vyžaduje podľa práva Únie alebo práva členského štátu.

Článok 31

Záznamy o spracovateľských činnostiach

1.   Každý prevádzkovateľ vedie záznamy o spracovateľských činnostiach, za ktoré je zodpovedný. Uvedené záznamy musia obsahovať všetky tieto informácie:

a)

meno/názov a kontaktné údaje prevádzkovateľa, zodpovednej osoby a v náležitom prípade sprostredkovateľa a spoločného prevádzkovateľa;

b)

účely spracúvania;

c)

opis kategórií dotknutých osôb a kategórií osobných údajov;

d)

kategórie príjemcov, ktorým boli alebo budú osobné údaje poskytnuté, vrátane príjemcov v členských štátoch, tretích krajinách alebo medzinárodných organizácií;

e)

v príslušných prípadoch prenosy osobných údajov do tretej krajiny alebo medzinárodnej organizácii vrátane označenia predmetnej tretej krajiny alebo medzinárodnej organizácie a dokumentáciu primeraných záruk;

f)

podľa možností predpokladané lehoty na vymazanie rôznych kategórií údajov;

g)

podľa možností všeobecný opis technických a organizačných bezpečnostných opatrení uvedených v článku 33.

2.   Každý sprostredkovateľ vedie záznamy o všetkých kategóriách spracovateľských činností, ktoré vykonal v mene prevádzkovateľa, pričom tieto záznamy zahŕňajú:

a)

meno/názov a kontaktné údaje sprostredkovateľa alebo sprostredkovateľov a každého prevádzkovateľa, v mene ktorého sprostredkovateľ koná, a meno zodpovednej osoby;

b)

kategórie spracúvania vykonávaného v mene každého prevádzkovateľa;

c)

v príslušných prípadoch prenosy osobných údajov do tretej krajiny alebo medzinárodnej organizácii vrátane označenia predmetnej tretej krajiny alebo medzinárodnej organizácie a dokumentáciu primeraných záruk;

d)

podľa možností všeobecný opis technických a organizačných bezpečnostných opatrení uvedených v článku 33.

3.   Záznamy uvedené v odsekoch 1 a 2 sa vedú v písomnej podobe vrátane elektronickej podoby.

4.   Inštitúcie a orgány Únie na požiadanie sprístupnia záznamy Európskemu dozornému úradníkovi pre ochranu údajov.

5.   Pokiaľ to nie je nevhodné vzhľadom na veľkosť inštitúcie alebo orgánu Únie, inštitúcie a orgány Únie uchovávajú svoje záznamy o spracovateľských činnostiach v centrálnom registri. Centrálny register sprístupňujú verejnosti.

Článok 32

Spolupráca s Európskym dozorným úradníkom pre ochranu údajov

Inštitúcie a orgány Únie na požiadanie spolupracujú s Európskym dozorným úradníkom pre ochranu údajov pri plnení jeho úloh.

ODDIEL 2

bezpečnosť osobných údajov

Článok 33

Bezpečnosť spracúvania

1.   Prevádzkovateľ a sprostredkovateľ prijmú so zreteľom na najnovšie poznatky, náklady na vykonanie opatrení a na povahu, rozsah, kontext a účely spracúvania, ako aj na riziká s rôznou pravdepodobnosťou a závažnosťou pre práva a slobody fyzických osôb, primerané technické a organizačné opatrenia s cieľom zaistiť úroveň bezpečnosti primeranú tomuto riziku, pričom uvedené opatrenia prípadne zahŕňajú aj:

a)

pseudonymizáciu a šifrovanie osobných údajov;

b)

schopnosť zabezpečiť trvalú dôvernosť, integritu, dostupnosť a odolnosť systémov a služieb spracúvania;

c)

schopnosť včas obnoviť dostupnosť osobných údajov a prístup k nim v prípade fyzického alebo technického incidentu;

d)

proces pravidelného testovania, posudzovania a hodnotenia účinnosti technických a organizačných opatrení na zaistenie bezpečnosti spracúvania.

2.   Pri posudzovaní primeranej úrovne bezpečnosti sa prihliada predovšetkým na riziká, ktoré predstavuje spracúvanie, a to najmä v dôsledku náhodného alebo nezákonného zničenia, straty, zmeny, neoprávneného poskytnutia osobných údajov, ktoré sa prenášajú, uchovávajú alebo inak spracúvajú, alebo neoprávneného prístupu k takýmto údajom.

3.   Prevádzkovateľ a sprostredkovateľ podniknú kroky na zabezpečenie toho, aby každá fyzická osoba konajúca na základe poverenia prevádzkovateľa alebo sprostredkovateľa, ktorá má prístup k osobným údajom, spracúvala tieto údaje len na základe pokynov prevádzkovateľa s výnimkou prípadov, keď sa to od nej vyžaduje podľa práva Únie.

4.   Dodržiavanie schváleného certifikačného mechanizmu podľa článku 42 nariadenia (EÚ) 2016/679 sa môže použiť ako prvok na preukázanie splnenia požiadaviek uvedených v odseku 1 tohto článku.

Článok 34

Oznámenie porušenia ochrany osobných údajov Európskemu dozornému úradníkovi pre ochranu údajov

1.   V prípade porušenia ochrany osobných údajov prevádzkovateľ bez zbytočného odkladu a podľa možnosti najneskôr do 72 hodín po tom, čo sa o tejto skutočnosti dozvedel, oznámi porušenie ochrany osobných údajov Európskemu dozornému úradníkovi pre ochranu údajov s výnimkou prípadov, keď nie je pravdepodobné, že porušenie ochrany osobných údajov bude mať za následok riziko pre práva a slobody fyzických osôb. Ak oznámenie nebolo Európskemu dozornému úradníkovi pre ochranu údajov predložené do 72 hodín, pripojí sa k nemu zdôvodnenie omeškania.

2.   Sprostredkovateľ oznámi prevádzkovateľovi porušenie ochrany osobných údajov bez zbytočného odkladu po tom, čo sa o ňom dozvedel.

3.   Oznámenie uvedené v odseku 1 musí obsahovať aspoň:

a)

opis povahy porušenia ochrany osobných údajov, podľa možnosti vrátane kategórií a približného počtu dotknutých osôb, ktorých sa porušenie týka, a kategórií a približného počtu dotknutých záznamov s osobnými údajmi;

b)

informáciu o mene a kontaktných údajoch zodpovednej osoby;

c)

opis pravdepodobných následkov porušenia ochrany osobných údajov;

d)

opis opatrení prijatých alebo navrhovaných prevádzkovateľom s cieľom riešiť porušenie ochrany osobných údajov, prípadne vrátane opatrení na zmiernenie jeho potenciálnych nepriaznivých dôsledkov.

4.   Pokiaľ nie je možné poskytnúť informácie súčasne, možno informácie poskytnúť vo viacerých etapách bez ďalšieho zbytočného odkladu.

5.   Prevádzkovateľ informuje zodpovednú osobu o porušení ochrany osobných údajov.

6.   Prevádzkovateľ zdokumentuje každý prípad porušenia ochrany osobných údajov vrátane skutočností spojených s porušením ochrany osobných údajov, jeho následkov a prijatých opatrení na nápravu. Uvedená dokumentácia musí umožniť Európskemu dozornému úradníkovi pre ochranu údajov overiť súlad s týmto článkom.

Článok 35

Oznámenie porušenia ochrany osobných údajov dotknutej osobe

1.   V prípade porušenia ochrany osobných údajov, ktoré pravdepodobne povedie k vysokému riziku pre práva a slobody fyzických osôb, prevádzkovateľ bez zbytočného odkladu oznámi porušenie ochrany osobných údajov dotknutej osobe.

2.   Oznámenie dotknutej osobe uvedené v odseku 1 tohto článku obsahuje jasne a jednoducho formulovaný opis povahy porušenia ochrany osobných údajov a aspoň informácie a opatrenia uvedené v článku 34 ods. 3 písm. b), c) a d).

3.   Oznámenie dotknutej osobe uvedené v odseku 1 sa nevyžaduje, ak je splnená ktorákoľvek z týchto podmienok:

a)

prevádzkovateľ prijal primerané technické a organizačné ochranné opatrenia a tieto opatrenia uplatnil na osobné údaje, ktorých sa porušenie ochrany osobných údajov týka, a to najmä tie opatrenia, na základe ktorých sú osobné údaje nečitateľné pre všetky osoby, ktoré nie sú oprávnené mať k nim prístup, ako je napríklad šifrovanie;

b)

prevádzkovateľ prijal následné opatrenia, ktorými sa zabezpečí, že vysoké riziko pre práva a slobody dotknutých osôb uvedené v odseku 1 sa už pravdepodobne neprejaví;

c)

vyžadovalo by si to neprimerané úsilie. V takom prípade dôjde namiesto toho k informovaniu verejnosti alebo sa prijme podobné opatrenie, čím sa zaručí, že dotknuté osoby budú informované rovnako efektívnym spôsobom.

4.   Ak prevádzkovateľ ešte porušenie ochrany osobných údajov neoznámil dotknutej osobe, Európsky dozorný úradník pre ochranu údajov môže po zvážení pravdepodobnosti porušenia ochrany osobných údajov vedúceho k vysokému riziku požadovať, aby tak urobil, alebo môže rozhodnúť, že je splnená niektorá z podmienok uvedených v odseku 3.

ODDIEL 3

dôvernosť elektronických komunikácií

Článok 36

Dôvernosť elektronických komunikácií

Inštitúcie a orgány Únie zabezpečia dôvernosť elektronických komunikácií, najmä zabezpečením svojich elektronických komunikačných sietí.

Článok 37

Ochrana informácií prenášaných do koncových zariadení používateľov, uchovávaných v týchto zariadeniach, súvisiacich s týmito zariadeniami, spracúvaných týmito zariadeniami a získavaných z týchto zariadení

Inštitúcie a orgány Únie chránia informácie prenášané do koncových zariadení používateľov, uchovávané v týchto zariadeniach, súvisiace s týmito zariadeniami, spracúvané týmito zariadeniami a získavané z týchto zariadení, ktoré majú prístup k ich verejne dostupným webovým sídlam a mobilným aplikáciám, v súlade s článkom 5 ods. 3 smernice 2002/58/ES.

Článok 38

Zoznamy používateľov

1.   Osobné údaje obsiahnuté v zoznamoch používateľov a prístup k takýmto zoznamom sú obmedzené na to, čo je nevyhnutne potrebné na konkrétne účely zoznamu.

2.   Inštitúcie a orgány Únie prijímajú všetky potrebné opatrenia na to, aby zabránili používaniu osobných údajov uvedených v týchto zoznamoch na účely priameho marketingu, a to bez ohľadu na to, či sú tieto údaje verejne prístupné alebo nie.

ODDIEL 4

posúdenie vplyvu na ochranu údajov a predchádzajúca konzultácia

Článok 39

Posúdenie vplyvu na ochranu údajov

1.   Ak typ spracúvania, najmä s využitím nových technológií a s ohľadom na povahu, rozsah, kontext a účely spracúvania, pravdepodobne povedie k vysokému riziku pre práva a slobody fyzických osôb, prevádzkovateľ pred spracúvaním vykoná posúdenie vplyvu plánovaných spracovateľských operácií na ochranu osobných údajov. Pre súbor podobných spracovateľských operácií, ktoré predstavujú podobné vysoké riziká, sa môže vykonať jedno posúdenie.

2.   Prevádzkovateľ sa počas vykonávania posúdenia vplyvu na ochranu údajov radí so zodpovednou osobou.

3.   Posúdenie vplyvu na ochranu údajov uvedené v odseku 1 sa vyžaduje najmä v prípadoch:

a)

systematického a rozsiahleho hodnotenia osobných aspektov týkajúcich sa fyzických osôb, ktoré je založené na automatizovanom spracúvaní vrátane profilovania a z ktorého vychádzajú rozhodnutia s právnymi účinkami týkajúcimi sa fyzickej osoby alebo s podobne závažným vplyvom na ňu;

b)

spracúvania vo veľkom rozsahu osobitných kategórií údajov podľa článku 10 alebo osobných údajov týkajúcich sa rozsudkov v trestných veciach a trestných činov podľa článku 11, alebo

c)

systematického monitorovania verejne prístupných priestorov vo veľkom rozsahu.

4.   Európsky dozorný úradník pre ochranu údajov vypracuje a zverejní zoznam tých druhov spracovateľských operácií, ktoré podliehajú požiadavke na posúdenie vplyvu na ochranu údajov podľa odseku 1.

5.   Európsky dozorný úradník pre ochranu údajov môže stanoviť a zverejniť aj zoznam druhov spracovateľských operácií, v prípade ktorých sa nevyžaduje posúdenie vplyvu na ochranu údajov.

6.   Pred prijatím zoznamov uvedených v odsekoch 4 a 5 tohto článku Európsky dozorný úradník pre ochranu údajov požiada Európsky výbor pre ochranu údajov zriadený na základe článku 68 nariadenia (EÚ) 2016/679 o preskúmanie takýchto zoznamov v súlade s článkom 70 ods. 1 písm. e) uvedeného nariadenia, ak sa týkajú operácií spracúvania zo strany prevádzkovateľa, ktorý koná spoločne s jedným alebo viacerými prevádzkovateľmi, ktorí nie sú inštitúciami ani orgánmi Únie.

7.   Posúdenie obsahuje aspoň:

a)

systematický opis plánovaných spracovateľských operácií a účely spracúvania;

b)

posúdenie nutnosti a primeranosti spracovateľských operácií vo vzťahu k účelom;

c)

posúdenie rizík pre práva a slobody dotknutých osôb uvedených v odseku 1 a

d)

opatrenia na riešenie rizík vrátane záruk, bezpečnostných opatrení a mechanizmov na zabezpečenie ochrany osobných údajov a na preukázanie súladu s týmto nariadením s ohľadom na práva a oprávnené záujmy dotknutých osôb a ďalších osôb, ktorých sa to týka.

8.   Pri posudzovaní vplyvu spracovateľských operácií vykonávaných relevantnými sprostredkovateľmi sa náležite sleduje, či títo sprostredkovatelia, iní ako inštitúcie a orgány Únie, dodržiavajú schválené kódexy správania uvedené v článku 40 nariadenia (EÚ) 2016/679, a to najmä na účely posúdenia vplyvu na ochranu údajov.

9.   Prevádzkovateľ sa podľa potreby usiluje získať názory dotknutých osôb alebo ich zástupcov na zamýšľané spracúvanie bez toho, aby bola dotknutá ochrana verejných záujmov alebo bezpečnosť spracovateľských operácií.

10.   Ak má spracúvanie podľa článku 5 ods. 1 písm. a) alebo b) právny základ v právnom akte prijatom na základe zmlúv, ktorý upravuje konkrétnu spracovateľskú operáciu alebo súbor daných operácií, a posúdenie vplyvu na ochranu údajov sa už vykonalo v rámci všeobecného posúdenia vplyvu pred prijatím tohto právneho aktu, odseky 1 až 6 tohto článku sa neuplatňujú, pokiaľ uvedený právny akt nestanovuje inak.

11.   Prevádzkovateľ v prípade potreby vykoná prehodnotenie s cieľom posúdiť, či sa spracúvanie uskutočňuje v súlade s posúdením vplyvu na ochranu údajov, a to aspoň vtedy, keď došlo k zmene rizika, ktoré predstavujú spracovateľské operácie.

Článok 40

Predchádzajúca konzultácia

1.   Ak z posúdenia vplyvu na ochranu údajov podľa článku 39 vyplýva, že spracúvanie by v prípade neexistencie záruk, bezpečnostných opatrení a mechanizmov na zmiernenie rizika viedlo k vysokému riziku pre práva a slobody fyzických osôb, a prevádzkovateľ sa domnieva, že riziko sa nedá zmierniť primeranými prostriedkami, pokiaľ ide o dostupné technológie a náklady na vykonanie opatrení, prevádzkovateľ by mal ešte pred začiatkom spracovateľskej činnosti uskutočniť konzultáciu s Európskym dozorným úradníkom pre ochranu údajov. Prevádzkovateľ požiada zodpovednú osobu o radu, pokiaľ ide o potrebu predchádzajúcej konzultácie.

2.   Ak sa Európsky dozorný úradník pre ochranu údajov domnieva, že by zamýšľané spracúvanie uvedené v odseku 1 bolo v rozpore s týmto nariadením, najmä ak prevádzkovateľ nedostatočne identifikoval alebo zmiernil riziko, Európsky dozorný úradník pre ochranu údajov do ôsmich týždňov od prijatia žiadosti o konzultáciu poskytne prevádzkovateľovi a prípadne aj sprostredkovateľovi písomné poradenstvo, pričom môže uplatniť akúkoľvek zo svojich právomocí uvedených v článku 58. Uvedená lehota sa môže vzhľadom na zložitosť zamýšľaného spracúvania predĺžiť o šesť týždňov. Európsky dozorný úradník pre ochranu údajov informuje o takomto predĺžení lehoty prevádzkovateľa a prípadne sprostredkovateľa do jedného mesiaca od prijatia žiadosti o konzultáciu, pričom zároveň uvedie aj dôvody predĺženia lehoty. Plynutie týchto lehôt sa môže prerušiť, kým Európsky dozorný úradník pre ochranu údajov nezíska informácie, o ktoré požiadal na účely konzultácie.

3.   Pri konzultácii s Európskym dozorným úradníkom pre ochranu údajov podľa odseku 1 poskytne prevádzkovateľ Európskemu dozornému úradníkovi pre ochranu údajov:

a)

v príslušných prípadoch informácie o príslušných povinnostiach prevádzkovateľa, spoločných prevádzkovateľov a sprostredkovateľov zapojených do spracúvania;

b)

informácie o účeloch zamýšľaného spracúvania a prostriedkoch na jeho vykonanie;

c)

informácie o opatreniach a zárukách poskytnutých na ochranu práv a slobôd dotknutých osôb podľa tohto nariadenia;

d)

kontaktné údaje zodpovednej osoby;

e)

posúdenie vplyvu na ochranu údajov stanovené v článku 39 a

f)

všetky ďalšie informácie požadované Európskym dozorným úradníkom pre ochranu údajov.

4.   Komisia môže prostredníctvom vykonávacieho aktu určiť zoznam prípadov, v ktorých musia prevádzkovatelia konzultovať s Európskym dozorným úradníkom pre ochranu údajov a získať od neho predchádzajúce povolenie, pokiaľ ide o spracúvanie osobných údajov na splnenie úlohy vykonávanej prevádzkovateľom vo verejnom záujme vrátane spracúvania takýchto údajov v súvislosti so sociálnym zabezpečením a verejným zdravím.

ODDIEL 5

informácie a legislatívne konzultácie

Článok 41

Informácie a konzultácie

1.   Inštitúcie a orgány Únie informujú Európskeho dozorného úradníka pre ochranu údajov o vypracovaní administratívnych opatrení a interných predpisov týkajúcich sa spracúvania osobných údajov inštitúciou alebo orgánom Únie, či už jednotlivo alebo spoločne s inými.

2.   Inštitúcie a orgány Únie pri vypracúvaní interných predpisov uvedených v článku 25 konzultujú s Európskym dozorným úradníkom pre ochranu údajov.

Článok 42

Legislatívne konzultácie

1.   V nadväznosti na prijatie návrhov legislatívneho aktu, odporúčaní alebo návrhov Rade podľa článku 218 ZFEÚ alebo pri príprave delegovaných aktov alebo vykonávacích aktov Komisia konzultuje s Európskym dozorným úradníkom pre ochranu údajov, ak majú dosah na ochranu práv a slobôd fyzických osôb so zreteľom na spracúvanie osobných údajov.

2.   Ak má akt uvedený v odseku 1 osobitný význam pre ochranu práv a slobôd fyzických osôb so zreteľom na spracúvanie osobných údajov, Komisia môže konzultovať aj s Európskym výborom pre ochranu údajov. V takýchto prípadoch Európsky dozorný úradník pre ochranu údajov a Európsky výbor pre ochranu údajov koordinujú svoju prácu s cieľom vydať spoločné stanovisko.

3.   Poradenstvo uvedené v odsekoch 1 a 2 sa poskytne písomne v lehote maximálne ôsmich týždňov od prijatia žiadosti o konzultáciu uvedenej v odsekoch 1 a 2. V naliehavých alebo inak vhodných prípadoch môže Komisia túto lehotu skrátiť.

4.   Tento článok sa neuplatňuje, ak je Komisia podľa nariadenia (EÚ) 2016/679 povinná konzultovať s Európskym výborom pre ochranu údajov.

ODDIEL 6

zodpovedná osoba

Článok 43

Určenie zodpovednej osoby

1.   Každá inštitúcia alebo orgán Únie určí zodpovednú osobu.

2.   Inštitúcie a orgány Únie môžu určiť jednu zodpovednú osobu pre viaceré z nich, pričom zohľadnia svoju organizačnú štruktúru a veľkosť.

3.   Zodpovedná osoba sa určí na základe jej odborných kvalít, a to najmä na základe jej odborných znalostí z práva a postupov v oblasti ochrany údajov a na základe spôsobilosti plniť úlohy uvedené v článku 45.

4.   Zodpovedná osoba musí byť členom personálu inštitúcie alebo orgánu Únie. Inštitúcie a orgány Únie môžu vzhľadom na svoju veľkosť a v prípade, že sa nevykoná voľba podľa odseku 2 ustanoviť zodpovednú osobu, ktorá plní svoje úlohy na základe zmluvy o poskytovaní služieb.

5.   Inštitúcie a orgány Únie zverejnia kontaktné údaje zodpovednej osoby a oznámia ich Európskemu dozornému úradníkovi pre ochranu údajov.

Článok 44

Postavenie zodpovednej osoby

1.   Inštitúcie a orgány Únie zabezpečia, aby bola zodpovedná osoba riadnym spôsobom a včas zapojená do všetkých záležitostí, ktoré súvisia s ochranou osobných údajov.

2.   Inštitúcie a orgány Únie podporujú zodpovednú osobu pri plnení úloh uvedených v článku 45, a to tak, že jej poskytujú zdroje potrebné na plnenie týchto úloh a prístup k osobným údajom a spracovateľským operáciám, ako aj zdroje na udržiavanie jej odborných znalostí.

3.   Inštitúcie a orgány Únie zabezpečia, aby zodpovedná osoba v súvislosti s plnením uvedených úloh nedostávala žiadne pokyny. Prevádzkovateľ ani sprostredkovateľ ju nesmú za výkon jej úloh odvolať ani postihovať. Zodpovedná osoba podlieha priamo najvyššiemu vedeniu prevádzkovateľa alebo sprostredkovateľa.

4.   Dotknuté osoby sa môžu obrátiť na zodpovednú osobu v súvislosti so všetkými otázkami týkajúcimi sa spracúvania ich osobných údajov a uplatňovania ich práv podľa tohto nariadenia.

5.   Zodpovedná osoba a jej personál sú v súlade s právom Únie viazaní povinnosťou zachovávať mlčanlivosť alebo dôvernosť v súvislosti s výkonom svojich úloh.

6.   Zodpovedná osoba môže plniť iné úlohy a povinnosti. Prevádzkovateľ alebo sprostredkovateľ zabezpečia, aby žiadna z takýchto úloh alebo povinností neviedla ku konfliktu záujmov.

7.   Prevádzkovateľ a sprostredkovateľ, príslušný výbor zamestnancov a akákoľvek fyzická osoba môžu konzultovať so zodpovednou osobou v akejkoľvek veci týkajúcej sa výkladu alebo uplatňovania tohto nariadenia bez toho, aby museli postupovať úradnou cestou. Nikto nesmie utrpieť ujmu preto, že upozornil príslušnú zodpovednú osobu na vec, pri ktorej údajne došlo k porušeniu ustanovení tohto nariadenia.

8.   Zodpovedná osoba sa vymenúva na obdobie troch až piatich rokov a môže byť opätovne vymenovaná. Zodpovedná osoba môže byť z tejto funkcie odvolaná inštitúciou alebo orgánom Únie, ktoré ju menovali, iba so súhlasom Európskeho dozorného úradníka pre ochranu údajov, ak už nespĺňa podmienky požadované na výkon jej povinností.

9.   Po vymenovaní zodpovednej osoby oznámi inštitúcia alebo orgán Únie, ktoré ju vymenovali, jej meno Európskemu dozornému úradníkovi pre ochranu údajov.

Článok 45

Úlohy zodpovednej osoby

1.   Zodpovedná osoba má tieto úlohy:

a)

poskytovať prevádzkovateľovi alebo sprostredkovateľovi a zamestnancom, ktorí vykonávajú spracúvanie, informácie a poradenstvo o ich povinnostiach podľa tohto nariadenia a ostatných právnych predpisov Únie týkajúcich sa ochrany údajov;

b)

nezávislým spôsobom zabezpečovať uplatňovanie tohto nariadenia v rámci inštitúcie alebo orgánu; monitorovať súlad s týmto nariadením, ostatnými uplatniteľnými právnymi predpismi Únie zahŕňajúcimi ustanovenia o ochrane osobných údajov a pravidlami prevádzkovateľa alebo sprostredkovateľa v súvislosti s ochranou osobných údajov vrátane rozdelenia povinností, zvyšovania povedomia a odbornej prípravy personálu, ktorý je zapojený do spracovateľských operácií a súvisiacich auditov;

c)

zabezpečiť, aby dotknuté osoby boli informované o svojich právach a povinnostiach podľa tohto nariadenia;

d)

na požiadanie poskytovať poradenstvo, pokiaľ ide o potrebu oznámenia alebo nahlásenia prípadov porušenia ochrany osobných údajov podľa článkov 34 a 35;

e)

na požiadanie poskytovať poradenstvo, pokiaľ ide o posúdenie vplyvu na ochranu údajov a monitorovať jeho vykonávanie podľa článku 39 a v prípade pochybností o potrebe posúdenia vplyvu na ochranu údajov konzultovať s Európskym dozorným úradníkom pre ochranu údajov;

f)

na požiadanie poskytovať poradenstvo, pokiaľ ide o potrebu predchádzajúcej konzultácie s Európskym dozorným úradníkom pre ochranu údajov podľa článku 40; v prípade pochybností o potrebe predchádzajúcej konzultácie konzultovať s Európskym dozorným úradníkom pre ochranu údajov;

g)

odpovedať na žiadosti Európskeho dozorného úradníka pre ochranu údajov; v rámci oblasti svojej právomoci spolupracovať a konzultovať s Európskym dozorným úradníkom pre ochranu údajov na jeho žiadosť alebo z vlastného podnetu;

h)

zabezpečiť, aby spracovateľské operácie nemali nepriaznivý vplyv na práva a slobody dotknutých osôb.

2.   Zodpovedná osoba môže vypracovať odporúčania pre prevádzkovateľa a sprostredkovateľa týkajúce sa praktických zlepšení ochrany údajov a poskytnúť im poradenstvo vo veciach týkajúcich sa uplatňovania ustanovení o ochrane údajov. Okrem toho môže z vlastného podnetu alebo na žiadosť prevádzkovateľa alebo sprostredkovateľa, príslušného výboru zamestnancov alebo ktorejkoľvek fyzickej osoby vyšetrovať veci a udalosti priamo spojené s jej úlohami, ktoré sa dostanú do jej pozornosti, a podávať o tom správu osobe, ktorá ju vyšetrovaním poverila, alebo prevádzkovateľovi či sprostredkovateľovi.

3.   Každá inštitúcia alebo orgán Únie prijme ďalšie vykonávacie predpisy týkajúce sa zodpovednej osoby. Tieto vykonávacie predpisy sa týkajú najmä úloh, povinností a právomocí zodpovednej osoby.

KAPITOLA V

PRENOSY OSOBNÝCH ÚDAJOV DO TRETÍCH KRAJÍN ALEBO MEDZINÁRODNÝM ORGANIZÁCIÁM

Článok 46

Všeobecná zásada prenosov

Akýkoľvek prenos osobných údajov, ktoré sa spracúvajú alebo sú určené na spracúvanie po prenose do tretej krajiny alebo medzinárodnej organizácii, sa uskutoční len vtedy, ak prevádzkovateľ a sprostredkovateľ dodržiavajú v závislosti od ostatných ustanovení tohto nariadenia podmienky stanovené v tejto kapitole vrátane podmienok následných prenosov osobných údajov z predmetnej tretej krajiny alebo od predmetnej medzinárodnej organizácie do inej tretej krajiny alebo inej medzinárodnej organizácii. Všetky ustanovenia v tejto kapitole sa uplatňujú s cieľom zabezpečiť, aby sa neohrozila úroveň ochrany fyzických osôb zaručená týmto nariadením.

Článok 47

Prenosy na základe rozhodnutia o primeranosti

1.   Prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii sa môže uskutočniť, ak Komisia rozhodla podľa článku 45 ods. 3 nariadenia (EÚ) 2016/679 alebo článku 36 ods. 3 smernice (EÚ) 2016/680, že tretia krajina, územie tretej krajiny alebo jeden či viaceré určené sektory v tretej krajine alebo predmetná medzinárodná organizácia zaručujú primeranú úroveň ochrany a osobné údaje sa prenášajú výlučne s cieľom umožniť splnenie úloh patriacich do právomoci prevádzkovateľa.

2.   Inštitúcie a orgány Únie informujú Komisiu a Európskeho dozorného úradníka pre ochranu údajov o prípadoch, v ktorých sa domnievajú, že daná tretia krajina, územie alebo jeden alebo viacero špecifikovaných sektorov v tretej krajine alebo medzinárodná organizácia nezabezpečujú primeranú úroveň ochrany v zmysle odseku 1.

3.   Inštitúcie a orgány Únie prijmú opatrenia potrebné na dosiahnutie súladu s rozhodnutiami prijatými Komisiou, ak Komisia preukáže podľa článku 45 ods. 3 alebo 5 nariadenia (EÚ) 2016/679 alebo podľa článku 36 ods. 3 alebo 5 smernice (EÚ) 2016/680, že tretia krajina, územie alebo jeden alebo viacero špecifikovaných sektorov v tretej krajine alebo medzinárodná organizácia zabezpečuje alebo už nezabezpečuje primeranú úroveň ochrany.

Článok 48

Prenosy vyžadujúce primerané záruky

1.   Ak neexistuje rozhodnutie podľa článku 45 ods. 3 nariadenia (EÚ) 2016/679 alebo článku 36 ods. 3 smernice (EÚ) 2016/680, prevádzkovateľ alebo sprostredkovateľ môže preniesť osobné údaje do tretej krajiny alebo medzinárodnej organizácii len vtedy, ak prevádzkovateľ alebo sprostredkovateľ poskytol primerané záruky, a za podmienky, že dotknuté osoby majú k dispozícii vymožiteľné práva a účinné právne prostriedky nápravy.

2.   Primerané záruky uvedené v odseku 1 sa môžu stanoviť bez toho, aby bolo potrebné akékoľvek osobitné povolenie Európskeho dozorného úradníka pre ochranu údajov, a to prostredníctvom:

a)

právne záväzného a vykonateľného nástroja medzi orgánmi verejnej moci alebo verejnoprávnymi subjektmi;

b)

štandardných doložiek o ochrane údajov, ktoré prijala Komisia v súlade s postupom preskúmania uvedeným v článku 96 ods. 2;

c)

štandardných doložiek o ochrane údajov, ktoré prijal Európsky dozorný úradník pre ochranu údajov a ktoré schválila Komisia podľa postupu preskúmania uvedeného v článku 96 ods. 2;

d)

záväzných vnútropodnikových pravidiel, kódexov správania alebo certifikačných mechanizmov podľa článku 46 ods. 2 písm. b), e) a f) nariadenia (EÚ) 2016/679, ak sprostredkovateľ nie je inštitúciou ani orgánom Únie.

3.   S výhradou povolenia od Európskeho dozorného úradníka pre ochranu údajov sa primerané záruky uvedené v odseku 1 môžu tiež zabezpečiť predovšetkým:

a)

zmluvnými doložkami medzi prevádzkovateľom alebo sprostredkovateľom a prevádzkovateľom, sprostredkovateľom alebo príjemcom osobných údajov v tretej krajine alebo medzinárodnou organizáciou, alebo

b)

ustanoveniami, ktoré sa vložia do administratívnych dojednaní medzi orgánmi verejnej moci alebo verejnoprávnymi subjektmi a ktoré zahŕňajú vymožiteľné a účinné práva dotknutých osôb.

4.   Povolenia Európskeho dozorného úradníka pre ochranu údajov na základe článku 9 ods. 7 nariadenia (ES) č. 45/2001 zostávajú v platnosti, kým ich Európsky dozorný úradník pre ochranu údajov podľa potreby nezmení, nenahradí alebo nezruší.

5.   Inštitúcie a orgány Únie informujú Európskeho dozorného úradníka pre ochranu údajov o kategóriách prípadov, v ktorých sa tento článok uplatnil.

Článok 49

Prenosy alebo poskytovanie údajov, ktoré právo Únie nepovoľuje

Akýkoľvek rozsudok súdu alebo tribunálu a akékoľvek rozhodnutie správneho orgánu tretej krajiny, ktorým sa od prevádzkovateľa alebo sprostredkovateľa vyžaduje preniesť alebo poskytnúť osobné údaje, môžu byť uznané alebo vykonateľné akýmkoľvek spôsobom len vtedy, ak sa zakladajú na medzinárodnej dohode, napríklad zmluve o vzájomnej právnej pomoci, platnej medzi žiadajúcou treťou krajinou a Úniou bez toho, aby boli dotknuté iné dôvody prenosu podľa tejto kapitoly.

Článok 50

Výnimky pre osobitné situácie

1.   Ak neexistuje rozhodnutie o primeranosti podľa článku 45 ods. 3 nariadenia (EÚ) 2016/679 alebo článku 36 ods. 3 smernice (EÚ) 2016/680 alebo ak neexistujú primerané záruky podľa článku 48 tohto nariadenia, prenos alebo súbor prenosov osobných údajov do tretej krajiny alebo medzinárodnej organizácii sa uskutoční len za jednej z týchto podmienok:

a)

dotknutá osoba vyjadrila výslovný súhlas s navrhovaným prenosom po tom, ako bola informovaná o rizikách, ktoré takéto prenosy môžu pre ňu predstavovať z dôvodu neexistencie rozhodnutia o primeranosti a primeraných záruk;

b)

prenos je potrebný na plnenie zmluvy medzi dotknutou osobou a prevádzkovateľom alebo na vykonanie predzmluvných opatrení prijatých na žiadosť dotknutej osoby;

c)

prenos je potrebný na uzatvorenie alebo plnenie zmluvy uzatvorenej v záujme dotknutej osoby medzi prevádzkovateľom a inou fyzickou alebo právnickou osobou;

d)

prenos je potrebný z dôležitých dôvodov verejného záujmu;

e)

prenos je potrebný na preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov;

f)

prenos je potrebný na ochranu životne dôležitých záujmov dotknutej osoby alebo iných osôb, ak je dotknutá osoba fyzicky alebo právne nespôsobilá vyjadriť súhlas, alebo

g)

prenos sa uskutočňuje z registra, ktorý je podľa práva Únie určený na poskytovanie informácií verejnosti a ktorý je otvorený na nahliadanie verejnosti vo všeobecnosti alebo akejkoľvek osobe, ktorá vie preukázať oprávnený záujem, ale len pokiaľ sú v danom prípade splnené podmienky na nahliadanie stanovené právom Únie.

2.   Odsek 1 písm. a), b) a c) sa nevzťahujú na činnosti, ktoré uskutočňujú inštitúcie a orgány Únie pri výkone svojich verejných právomocí.

3.   Verejný záujem uvedený v odseku 1 písm. d) musí byť uznaný právom Únie.

4.   Prenos podľa odseku 1 písm. g) nezahŕňa všetky osobné údaje ani celé kategórie osobných údajov obsiahnutých v registri, ak to nepovoľuje právo Únie. Ak je register určený na nahliadanie pre osoby s oprávneným záujmom, prenos sa uskutoční iba na žiadosť týchto osôb alebo vtedy, keď majú byť príjemcami.

5.   Ak neexistuje rozhodnutie o primeranosti, môžu sa v práve Únie z dôležitých dôvodov verejného záujmu výslovne stanoviť obmedzenia prenosu osobitných kategórií osobných údajov do tretej krajiny alebo medzinárodnej organizácii.

6.   Inštitúcie a orgány Únie informujú Európskeho dozorného úradníka pre ochranu údajov o kategóriách prípadov, v ktorých sa tento článok uplatnil.

Článok 51

Medzinárodná spolupráca na účely ochrany osobných údajov

Európsky dozorný úradník pre ochranu údajov prijme vo vzťahu k tretím krajinám a medzinárodným organizáciám, a to v spolupráci s Komisiou a Európskym výborom pre ochranu údajov, primerané opatrenia s cieľom:

a)

vytvoriť mechanizmy medzinárodnej spolupráce na uľahčenie účinného presadzovania právnych predpisov na ochranu osobných údajov;

b)

poskytovať vzájomnú medzinárodnú pomoc pri presadzovaní právnych predpisov na ochranu osobných údajov, a to aj prostredníctvom podávania oznámení, postupovania sťažností, pomoci pri vyšetrovaní a výmeny informácií, pričom sa uplatnia primerané záruky ochrany osobných údajov a iných základných práv a slobôd;

c)

zapájať príslušné zainteresované strany do diskusie a činností zameraných na podporu medzinárodnej spolupráce pri presadzovaní právnych predpisov na ochranu osobných údajov;

d)

podporovať výmenu a dokumentáciu v oblasti právnych predpisov na ochranu osobných údajov a praxe v tejto oblasti, okrem iného v oblasti sporov o príslušnosť s tretími krajinami.

KAPITOLA VI

EURÓPSKY DOZORNÝ ÚRADNÍK PRE OCHRANU ÚDAJOV

Článok 52

Európsky dozorný úradník pre ochranu údajov

1.   Týmto sa zriaďuje funkcia Európskeho dozorného úradníka pre ochranu údajov.

2.   Vzhľadom na spracúvanie osobných údajov je Európsky dozorný úradník pre ochranu údajov zodpovedný za zabezpečenie dodržiavania základných práv a slobôd fyzických osôb, a najmä ich práva na ochranu údajov, zo strany inštitúcií a orgánov Únie.

3.   Európsky dozorný úradník pre ochranu údajov je zodpovedný za monitorovanie a zabezpečenie uplatňovania ustanovení tohto nariadenia a akýchkoľvek ďalších aktov Únie týkajúcich sa ochrany základných práv a slobôd fyzických osôb so zreteľom na spracúvanie osobných údajov inštitúciou alebo orgánom Únie, a za poradenstvo pre inštitúcie a orgány Únie a dotknuté osoby vo všetkých veciach týkajúcich sa spracúvania osobných údajov. Na tieto účely Európsky dozorný úradník pre ochranu údajov plní úlohy stanovené v článku 57 a vykonáva právomoci stanovené v článku 58.

4.   Nariadenie (ES) č. 1049/2001 sa uplatňuje na dokumenty v držbe Európskeho dozorného úradníka pre ochranu údajov. Európsky dozorný úradník pre ochranu údajov prijme podrobné pravidlá uplatňovania nariadenia (ES) č. 1049/2001 v súvislosti s týmito dokumentmi.

Článok 53

Vymenovanie Európskeho dozorného úradníka pre ochranu údajov

1.   Európsky parlament a Rada na základe vzájomnej dohody vymenujú Európskeho dozorného úradníka pre ochranu údajov na funkčné obdobie piatich rokov, a to na základe zoznamu vypracovaného Komisiou v nadväznosti na verejnú výzvu pre uchádzačov. Výzva pre uchádzačov musí umožňovať, aby všetci záujemcovia z celej Únie mohli podať prihlášky. Zoznam uchádzačov, ktorý zostaví Komisia, je verejný a sú v ňom uvedení aspoň traja uchádzači. Na základe zoznamu vypracovaného Komisiou sa príslušný výbor Európskeho parlamentu môže rozhodnúť zorganizovať vypočutie, aby mohol vyjadriť preferencie.

2.   Zoznam uchádzačov uvedený v odseku 1 zahŕňa osoby, ktorých nezávislosť je nespochybniteľná a ktoré sú uznávané ako osoby s odbornými znalosťami z oblasti ochrany údajov a so skúsenosťami a zručnosťami požadovanými na výkon povinností Európskeho dozorného úradníka pre ochranu údajov.

3.   Funkčné obdobie Európskeho dozorného úradníka pre ochranu údajov sa môže raz obnoviť.

4.   Povinnosti Európskeho dozorného úradníka pre ochranu údajov zanikajú za týchto okolností:

a)

v prípade nahradenia Európskeho dozorného úradníka pre ochranu údajov:

b)

ak Európsky dozorný úradník pre ochranu údajov odstúpi;

c)

ak je Európsky dozorný úradník pre ochranu údajov uvoľnený z funkcie alebo odvolaný.

5.   Súdny dvor môže na žiadosť Európskeho parlamentu, Rady alebo Komisie Európskeho dozorného úradníka pre ochranu údajov odvolať alebo odňať právo na dôchodok či iné dávky vyplácané namiesto dôchodku, ak už nespĺňa podmienky požadované na výkon svojich povinností alebo ak je vinný vo veci závažného pochybenia.

6.   V prípade bežného nahradenia alebo dobrovoľného odstúpenia zostáva Európsky dozorný úradník pre ochranu údajov vo funkcii až do svojho nahradenia.

7.   Na Európskeho dozorného úradníka pre ochranu údajov sa vzťahujú články 11 až 14 a článok 17 Protokolu o výsadách a imunitách Európskej únie.

Článok 54

Predpisy a všeobecné podmienky upravujúce výkon povinností Európskeho dozorného úradníka pre ochranu údajov, jeho personál a finančné zdroje

1.   Pokiaľ ide o stanovenie odmeny, príplatkov, starobného dôchodku a akýchkoľvek iných náhrad poskytovaných namiesto odmeny, Európsky dozorný úradník pre ochranu údajov má rovnaké postavenie ako sudca Súdneho dvora.

2.   Rozpočtový orgán zabezpečí, aby boli Európskemu dozornému úradníkovi pre ochranu údajov poskytnuté ľudské a finančné zdroje potrebné na plnenie jeho úloh.

3.   Rozpočet Európskeho dozorného úradníka pre ochranu údajov sa uvádza v samostatnom okruhu rozpočtu v oddiele súvisiacom s nákladmi na administratívu všeobecného rozpočtu Únie.

4.   Európskemu dozornému úradníkovi pre ochranu údajov pomáha sekretariát. Úradníkov a ostatných členov personálu sekretariátu vymenúva Európsky dozorný úradník pre ochranu údajov, ktorý je ich nadriadeným. Podliehajú výhradne jeho riadeniu. O ich počte sa rozhodne každý rok v rámci rozpočtového postupu. Článok 75 ods. 2 nariadenia (EÚ) 2016/679 sa vzťahuje na zamestnancov Európskeho dozorného úradníka pre ochranu údajov zapojených do výkonu úloh, ktorými bol poverený Európsky výbor pre ochranu údajov na základe práva Únie.

5.   Úradníci a ostatní členovia personálu sekretariátu Európskeho dozorného úradníka pre ochranu údajov podliehajú pravidlám a predpisom uplatniteľným na úradníkov a ostatných zamestnancov Únie.

6.   Sídlo Európskeho dozorného úradníka pre ochranu údajov je v Bruseli.

Článok 55

Nezávislosť

1.   Európsky dozorný úradník pre ochranu údajov koná pri plnení svojich úloh a výkone svojich právomocí v súlade s týmto nariadením úplne nezávisle.

2.   Európsky dozorný úradník pre ochranu údajov nesmie byť pri plnení svojich úloh a výkone svojich právomocí v súlade s týmto nariadením pod vonkajším vplyvom, či už priamym alebo nepriamym, a nesmie od nikoho požadovať ani prijímať pokyny.

3.   Európsky dozorný úradník pre ochranu údajov sa zdrží akéhokoľvek konania nezlučiteľného so svojimi povinnosťami a počas svojho funkčného obdobia nevykonáva žiadnu inú platenú ani neplatenú pracovnú činnosť.

4.   Európsky dozorný úradník pre ochranu údajov sa po uplynutí svojho funkčného obdobia správa bezúhonne a diskrétne, pokiaľ ide o prijímanie funkcií a výhod.

Článok 56

Služobné tajomstvo

Európsky dozorný úradník pre ochranu údajov a jeho personál podliehajú počas funkčného obdobia a aj po jeho uplynutí povinnosti zachovávať služobné tajomstvo so zreteľom na všetky dôverné informácie, o ktorých sa dozvedeli počas výkonu svojich služobných povinností.

Článok 57

Úlohy

1.   Bez toho, aby boli dotknuté iné úlohy stanovené podľa tohto nariadenia, Európsky dozorný úradník pre ochranu údajov:

a)

monitoruje a presadzuje uplatňovanie tohto nariadenia inštitúciami a orgánmi Únie, s výnimkou spracúvania osobných údajov Súdnym dvorom konajúcim vo svojej súdnej právomoci;

b)

zvyšuje povedomie verejnosti a jej chápanie rizík, pravidiel, záruk a práv súvisiacich so spracúvaním. Osobitná pozornosť sa venuje činnostiam špecificky zameraným na deti;

c)

zvyšuje povedomie prevádzkovateľov a sprostredkovateľov o ich povinnostiach podľa tohto nariadenia;

d)

na požiadanie poskytuje každej dotknutej osobe informácie v súvislosti s uplatnením jej práv podľa tohto nariadenia a prípadne na tento účel spolupracuje s národnými dozornými orgánmi;

e)

vybavuje sťažnosti podané dotknutou osobou alebo subjektom, organizáciou alebo združením v súlade s článkom 67, vyšetruje v primeranom rozsahu podstatu sťažnosti a informuje sťažovateľa o pokroku a výsledkoch vyšetrovania v primeranej lehote, najmä ak je potrebné ďalšie vyšetrovanie alebo koordinácia s iným dozorným orgánom;

f)

vedie vyšetrovania týkajúce sa uplatňovania tohto nariadenia, a to aj na základe informácií, ktoré mu poskytol iný dozorný orgán alebo iný orgán verejnej moci;

g)

z vlastného podnetu alebo na žiadosť poskytuje poradenstvo všetkým inštitúciám a orgánom Únie, pokiaľ ide o legislatívne a administratívne opatrenia súvisiace s ochranou práv a slobôd fyzických osôb so zreteľom na spracúvanie osobných údajov;

h)

monitoruje príslušný vývoj, pokiaľ má dosah na ochranu osobných údajov, najmä vývoj informačných a komunikačných technológií;

i)

prijíma štandardné zmluvné doložky uvedené v článku 29 ods. 8 a článku 48 ods. 2 písm. c);

j)

zostavuje a vedie zoznam v súvislosti s požiadavkou na posúdenie vplyvu na ochranu údajov podľa článku 39 ods. 4;

k)

zúčastňuje sa činností Európskeho výboru pre ochranu údajov;

l)

poskytuje sekretariát pre Európsky výbor pre ochranu údajov v súlade s článkom 75 nariadenia (EÚ) 2016/679;

m)

poskytuje poradenstvo v súvislosti so spracúvaním uvedeným v článku 40 ods. 2;

n)

povoľuje zmluvné doložky a ustanovenia uvedené v článku 48 ods. 3;

o)

vedie interné záznamy o porušeniach tohto nariadenia a o opatreniach prijatých v súlade s článkom 58 ods. 2;

p)

plní akékoľvek iné úlohy súvisiace s ochranou osobných údajov a

q)

vypracúva svoj rokovací poriadok.

2.   Európsky dozorný úradník pre ochranu údajov uľahčuje podávanie sťažností uvedených v odseku 1 písm. e) poskytnutím formulára na predkladanie sťažností, ktorý je tiež možné vyplniť elektronicky, nevylučujúc pritom iné prostriedky komunikácie.

3.   Plnenie úloh Európskeho dozorného úradníka pre ochranu údajov je pre dotknutú osobu bezplatné.

4.   Ak sú žiadosti zjavne neopodstatnené alebo neprimerané, najmä pre ich opakujúcu sa povahu, Európsky dozorný úradník pre ochranu údajov môže odmietnuť zaoberať sa žiadosťou. Európsky dozorný úradník pre ochranu údajov znáša bremeno preukázania zjavnej neopodstatnenosti alebo neprimeranosti žiadosti.

Článok 58

Právomoci

1.   Európsky dozorný úradník pre ochranu údajov má tieto vyšetrovacie právomoci:

a)

nariadiť prevádzkovateľovi a sprostredkovateľovi, aby poskytli všetky informácie, ktoré potrebuje na plnenie svojich úloh;

b)

viesť vyšetrovania vo forme auditov v oblasti ochrany údajov;

c)

oznamovať prevádzkovateľovi alebo sprostredkovateľovi údajné porušenie tohto nariadenia;

d)

získať od prevádzkovateľa a sprostredkovateľa prístup k všetkým osobným údajom a všetkým informáciám potrebným na plnenie svojich úloh;

e)

získať prístup do všetkých priestorov prevádzkovateľa a sprostredkovateľa, ako aj k akémukoľvek zariadeniu a prostriedkom na spracúvanie údajov, v súlade s právom Únie.

2.   Európsky dozorný úradník pre ochranu údajov má tieto nápravné právomoci:

a)

upozorňovať prevádzkovateľa alebo sprostredkovateľa na to, že plánovanými spracovateľskými operáciami sa pravdepodobne porušia ustanovenia tohto nariadenia;

b)

napomínať prevádzkovateľa alebo sprostredkovateľa, ak sa spracovateľskými operáciami porušili ustanovenia tohto nariadenia;

c)

postúpiť veci dotknutému prevádzkovateľovi alebo sprostredkovateľovi, a ak je to potrebné, Európskemu parlamentu, Rade a Komisii;

d)

nariadiť prevádzkovateľovi alebo sprostredkovateľovi, aby vyhoveli žiadostiam dotknutej osoby o uplatnenie jej práv podľa tohto nariadenia;

e)

nariadiť prevádzkovateľovi alebo sprostredkovateľovi, aby svoje spracovateľské operácie podľa potreby určeným spôsobom a v rámci určenej lehoty zosúladili s ustanoveniami tohto nariadenia;

f)

nariadiť prevádzkovateľovi, aby porušenie ochrany osobných údajov oznámil dotknutej osobe;

g)

nariadiť dočasné alebo trvalé obmedzenie vrátane zákazu spracúvania;

h)

nariadiť opravu alebo vymazanie osobných údajov alebo obmedzenie spracúvania podľa článkov 18, 19 a 20 a informovanie príjemcov, ktorým boli osobné údaje poskytnuté, o takýchto opatreniach v súlade s článkom 19 ods. 2 a článkom 21;

i)

uložiť v prípade nesplnenia jedného z opatrení uvedených v písmenách d) až h) a j) tohto odseku inštitúciou alebo orgánom Únie, v závislosti od okolností každého jednotlivého prípadu správnu pokutu podľa článku 66;

j)

nariadiť pozastavenie toku údajov príjemcovi v členskom štáte, tretej krajine alebo medzinárodnej organizácii.

3.   Európsky dozorný úradník pre ochranu údajov má tieto právomoci v oblasti povoľovania a poradenstva:

a)

poskytovať dotknutým osobám poradenstvo pri uplatňovaní ich práv;

b)

poskytovať poradenstvo prevádzkovateľovi v súlade s postupom predchádzajúcej konzultácie uvedeným v článku 40 a v súlade s článkom 41 ods. 2;

c)

vydávať z vlastnej iniciatívy alebo na požiadanie stanoviská k akýmkoľvek otázkam týkajúcim sa ochrany osobných údajov adresované inštitúciám a orgánom Únie, ako aj verejnosti;

d)

prijímať štandardné doložky o ochrane údajov uvedené v článku 29 ods. 8 a článku 48 ods. 2 písm. c);

e)

schvaľovať zmluvné doložky uvedené v článku 48 ods. 3 písm. a);

f)

schvaľovať administratívne dojednania uvedené v článku 48 ods. 3 písm. b).

g)

schvaľovať spracovateľské operácie podľa vykonávacích aktov prijatých podľa článku 40 ods. 4

4.   Európsky dozorný úradník pre ochranu údajov má právomoc postúpiť záležitosť Súdnemu dvoru za podmienok stanovených v zmluvách a vstupovať do konaní pred Súdnym dvorom.

5.   Výkon právomocí udelených Európskemu dozornému úradníkovi pre ochranu údajov podľa tohto článku podlieha primeraným zárukám vrátane účinného súdneho prostriedku nápravy a riadneho procesu, ktoré sú stanovené v práve Únie.

Článok 59

Povinnosť prevádzkovateľov a sprostredkovateľov reagovať na obvinenia

Ak Európsky dozorný úradník pre ochranu údajov vykonáva právomoci stanovené v článku 58 ods. 2 písm. a), b) a c), príslušný prevádzkovateľ alebo sprostredkovateľ informuje Európskeho dozorného úradníka pre ochranu údajov o svojich stanoviskách v primeranej lehote, ktorú stanoví Európsky dozorný úradník pre ochranu údajov s prihliadnutím na okolnosti každého prípadu. Odpoveď musí takisto zahŕňať opis prípadných opatrení prijatých ako odpoveď na poznámky Európskeho dozorného úradníka pre ochranu údajov.

Článok 60

Správa o činnosti

1.   Európsky dozorný úradník pre ochranu údajov predkladá výročnú správu o svojej činnosti Európskemu parlamentu, Rade a Komisii a súčasne ju zverejňuje.

2.   Európsky dozorný úradník pre ochranu údajov postupuje správu uvedenú v odseku 1 ostatným inštitúciám a orgánom Únie, ktoré môžu predložiť pripomienky s cieľom možného preskúmania správy Európskym parlamentom.

KAPITOLA VII

SPOLUPRÁCA A KONZISTENTNOSŤ

Článok 61

Spolupráca medzi Európskym dozorným úradníkom pre ochranu údajov a národnými dozornými orgánmi

Európsky dozorný úradník pre ochranu údajov spolupracuje s národnými dozornými orgánmi a so spoločným dozorným orgánom zriadeným podľa článku 25 rozhodnutia Rady 2009/917/SVV (19) v rozsahu potrebnom pre výkon ich príslušných povinností, najmä vzájomným poskytovaním relevantných informácií, vzájomnými žiadosťami o výkon ich právomocí a odpoveďami na vzájomné žiadosti.

Článok 62

Koordinovaný dozor vykonávaný Európskym dozorným úradníkom pre ochranu údajov a národnými dozornými orgánmi

1.   Ak sa v akte Únie odkazuje na tento článok, Európsky dozorný úradník pre ochranu údajov a národné dozorné orgány v rámci svojich príslušných právomocí aktívne spolupracujú v rámci svojich úloh s cieľom zabezpečiť účinný dozor nad rozsiahlymi informačnými systémami a orgánmi, úradmi a agentúrami Únie.

2.   V rámci svojich príslušných právomocí a v rámci svojich úloh si podľa potreby vymieňajú relevantné informácie, pomáhajú pri vykonávaní auditov a inšpekcií, skúmajú ťažkosti súvisiace s výkladom alebo uplatňovaním tohto nariadenia a ďalších uplatniteľných aktov Únie, študujú problémy spojené s vykonávaním nezávislého dozoru alebo s výkonom práv dotknutých osôb, vypracúvajú harmonizované návrhy riešení akýchkoľvek problémov a podporujú informovanosť o právach na ochranu údajov.

3.   Na účely stanovené v odseku 2 sa Európsky dozorný úradník pre ochranu údajov stretáva s národnými dozornými orgánmi najmenej dvakrát do roka v rámci Európskeho výboru pre ochranu údajov. Na tieto účely môže Európsky výbor pre ochranu údajov podľa potreby vypracovať ďalšie pracovné postupy.

4.   Európsky výbor pre ochranu údajov každé dva roky predloží Európskemu parlamentu, Rade a Komisii spoločnú správu o činnostiach týkajúcich sa koordinovaného dozoru.

KAPITOLA VIII

PROSTRIEDKY NÁPRAVY, ZODPOVEDNOSŤ A SANKCIE

Článok 63

Právo podať sťažnosť Európskemu dozornému úradníkovi pre ochranu údajov

1.   Bez toho, aby boli dotknuté akékoľvek iné súdne, správne alebo mimosúdne prostriedky nápravy, má každá dotknutá osoba právo podať sťažnosť Európskemu dozornému úradníkovi pre ochranu údajov, ak sa domnieva, že spracúvanie osobných údajov, ktoré sa jej týkajú, je v rozpore s týmto nariadením.

2.   Európsky dozorný úradník pre ochranu údajov informuje sťažovateľa o pokroku a výsledku sťažnosti vrátane možnosti súdneho prostriedku nápravy podľa článku 64.

3.   Ak Európsky dozorný úradník pre ochranu údajov sťažnosť nerieši alebo neinformuje dotknutú osobu do troch mesiacov o pokroku alebo výsledku sťažnosti, považuje sa to za prijatie negatívneho rozhodnutia Európskym dozorným úradníkom pre ochranu údajov.

Článok 64

Právo na účinný súdny prostriedok nápravy

1.   Súdny dvor má právomoc pojednávať o všetkých sporoch, ktoré sa týkajú ustanovení tohto nariadenia, vrátane žalôb o náhradu škody.

2.   Žaloby proti rozhodnutiam Európskeho dozorného úradníka pre ochranu údajov vrátane rozhodnutí podľa článku 63 ods. 3 sa podávajú na Súdnom dvore.

3.   Súdny dvor má neobmedzenú právomoc na preskúmanie správnych pokút uvedených v článku 66. Tieto pokuty môže zrušiť, znížiť alebo zvýšiť v rámci obmedzení uvedených v článku 66.

Článok 65

Právo na náhradu škody

Každá osoba, ktorá utrpela majetkovú alebo nemajetkovú ujmu v dôsledku porušenia tohto nariadenia, má právo na náhradu utrpenej škody od inštitúcie alebo orgánu Únie za podmienok stanovených v zmluvách.

Článok 66

Správne pokuty

1.   Európsky dozorný úradník pre ochranu údajov môže inštitúciám a orgánom Únie uložiť správne pokuty v závislosti od okolností každého jednotlivého prípadu, ak sa inštitúcia alebo orgán Únie nepodriadi príkazu Európskeho dozorného úradníka pre ochranu údajov podľa článku 58 ods. 2 písm. d) až h) a j). Pri rozhodovaní o uložení správnej pokuty a jej výške sa v každom jednotlivom prípade náležite zohľadnia tieto skutočnosti:

a)

povaha, závažnosť a trvanie porušenia, pričom sa zohľadní povaha, rozsah alebo účel príslušného spracúvania, ako aj počet dotknutých osôb, na ktoré malo vplyv, a rozsah škody, ktorú utrpeli;

b)

akékoľvek kroky prijaté inštitúciou alebo orgánom Únie s cieľom zmierniť škodu, ktorú dotknuté osoby utrpeli;

c)

miera zodpovednosti inštitúcie alebo orgánu Únie so zreteľom na technické a organizačné opatrenia, ktoré prijali podľa článkov 27 a 33;

d)

všetky podobné predchádzajúce porušenia zo strany inštitúcie alebo orgánu Únie;

e)

miera spolupráce s Európskym dozorným úradníkom pre ochranu údajov pri náprave porušenia a zmierňovaní možných nepriaznivých dôsledkov porušenia;

f)

kategórie osobných údajov, ktorých sa porušenie týka;

g)

spôsob, akým sa Európsky dozorný úradník pre ochranu údajov o porušení dozvedel, najmä to, či inštitúcia alebo orgán Únie porušenie oznámili, a ak áno, v akom rozsahu;

h)

vykonanie akýchkoľvek opatrení uvedených v článku 58, ak boli dotknutej inštitúcii alebo orgánu Únie nariadené v rovnakej veci. Konanie vedúce k uloženiu týchto pokút sa uskutoční v primeranej lehote v závislosti od okolností predmetnej veci a s ohľadom na príslušné opatrenia a konania uvedené v článku 69.

2.   V prípade porušenia povinností inštitúcie alebo orgánu Únie podľa článkov 8, 12, 27 až 35, 39, 40, 43, 44 a 45 sa v súlade s odsekom 1 tohto článku uložia správne pokuty až do výšky 25 000 EUR za porušenie a až do celkovej výšky 250 000 EUR za rok.

3.   V prípade porušenia ďalej stanovených ustanovení inštitúciou alebo orgánom Únie sa v súlade s odsekom 1 uložia správne pokuty až do výšky 50 000 EUR za porušenie a až do celkovej výšky 500 000 EUR za rok:

a)

základné zásady spracúvania vrátane podmienok súhlasu podľa článkov 4, 5, 7 a 10;

b)

práva dotknutých osôb podľa článkov 14 až 24;

c)

prenos osobných údajov príjemcovi v tretej krajine alebo medzinárodnej organizácii podľa článkov 46 až 50.

4.   Ak inštitúcia alebo orgán Únie tými istými alebo súvisiacimi či pokračujúcimi spracovateľskými operáciami poruší viacero ustanovení tohto nariadenia alebo niekoľkokrát poruší rovnaké ustanovenie tohto nariadenia, celková suma správnej pokuty nesmie presiahnuť výšku stanovenú za najzávažnejšie porušenie.

5.   Pred prijatím rozhodnutí podľa tohto článku Európsky dozorný úradník pre ochranu údajov poskytne inštitúcii alebo orgánu Únie, ktoré sú predmetom konania vedeného Európskym dozorným úradníkom, príležitosť na vypočutie v záležitostiach, ku ktorým Európsky dozorný úradník pre ochranu údajov vzniesol námietky. Európsky dozorný úradník pre ochranu údajov vychádza pri svojich rozhodnutiach len z námietok, ku ktorým sa príslušné strany mohli vyjadriť. Sťažovatelia sú do konania úzko zapojení.

6.   V konaní sa plne rešpektuje právo príslušných strán na obhajobu. Tieto strany majú právo na prístup k dokumentácii Európskeho dozorného úradníka pre ochranu údajov, s výhradou oprávneného záujmu fyzických osôb alebo podnikov pri ochrane ich osobných údajov alebo obchodného tajomstva.

7.   Prostriedky získané uložením pokút podľa tohto článku sú príjmom všeobecného rozpočtu Únie.

Článok 67

Zastupovanie dotknutých osôb

Dotknutá osoba má právo poveriť neziskový subjekt, organizáciu alebo združenie, ktoré boli riadne založené v súlade s právom Únie alebo právom členského štátu, ktorých ciele podľa stanov sú vo verejnom záujme a ktoré pôsobia v oblasti ochrany práv a slobôd dotknutých osôb, pokiaľ ide o ochranu ich osobných údajov, aby v jej mene podali sťažnosť Európskemu dozornému úradníkovi pre ochranu údajov, aby v jej mene uplatnili práva uvedené v článkoch 63 a 64 a aby v jej mene uplatnili právo na náhradu škody uvedené v článku 65.

Článok 68

Sťažnosti zamestnancov Únie

Každá osoba zamestnaná v inštitúcii alebo orgáne Únie môže podať sťažnosť Európskemu dozornému úradníkovi pre ochranu údajov týkajúcu sa údajného porušenia ustanovení tohto nariadenia bez toho, aby postupovala úradnou cestou. Nikto nesmie utrpieť ujmu z dôvodu podania sťažnosti Európskemu dozornému úradníkovi pre ochranu údajov vo veci takéhoto údajného porušenia.

Článok 69

Sankcie

Ak úradník alebo iný zamestnanec Únie nedodrží, či už úmyselne alebo z nedbanlivosti, povinnosti stanovené v tomto nariadení, takýto úradník alebo iný zamestnanec Európskej únie podlieha disciplinárnemu alebo inému konaniu v súlade s pravidlami a postupmi stanovenými v služobnom poriadku.

KAPITOLA IX

SPRACÚVANIE OPERAČNÝCH OSOBNÝCH ÚDAJOV ORGÁNMI, ÚRADMI A AGENTÚRAMI ÚNIE VYKONÁVAJÚCIMI ČINNOSTI, KTORÉ PATRIA DO ROZSAHU PÔSOBNOSTI TRETEJ ČASTI HLAVY V KAPITOLY 4 ALEBO KAPITOLY 5 ZFEÚ

Článok 70

Rozsah pôsobnosti kapitoly

Táto kapitola sa uplatňuje len na spracúvanie operačných osobných údajov orgánmi, úradmi a agentúrami Únie vykonávajúcimi činnosti, ktoré patria do rozsahu pôsobnosti tretej časti hlavy V kapitoly 4 alebo kapitoly 5 ZFEÚ, bez toho, aby boli dotknuté osobitné pravidlá ochrany údajov uplatniteľné na takýto orgán, úrad alebo agentúru Únie.

Článok 71

Zásady spracúvania operačných osobných údajov

1.   Operačné osobné údaje musia byť:

a)

spracúvané zákonným spôsobom a spravodlivo („zákonnosť a spravodlivosť“);

b)

získavané na konkrétne určené, výslovne uvedené a legitímne účely a nesmú sa spracúvať spôsobom, ktorý nie je zlučiteľný s týmito účelmi („obmedzenie účelu“);

c)

primerané, relevantné a nie neúmerné vo vzťahu k účelom, na ktoré sa spracúvajú („minimalizácia údajov“);

d)

správne a v prípade potreby aktualizované; musia sa vykonať všetky primerané opatrenia, aby sa zaistilo, že operačné osobné údaje, ktoré sú nesprávne so zreteľom na účely, na ktoré sa spracúvajú, sa vymažú alebo bezodkladne opravia („správnosť“);

e)

uchovávané vo forme, ktorá umožňuje identifikáciu dotknutých osôb, najneskôr dovtedy, kým je to potrebné na účely, na ktoré sa operačné osobné údaje spracúvajú („minimalizácia uchovávania“);

f)

spracúvané spôsobom, ktorým sa zaručuje primeraná bezpečnosť operačných osobných údajov vrátane ochrany pred neoprávneným alebo nezákonným spracúvaním a náhodnou stratou, zničením alebo poškodením, a to prostredníctvom primeraných technických alebo organizačných opatrení („integrita a dôvernosť“).

2.   Spracúvanie tým istým alebo iným prevádzkovateľom na ktorýkoľvek z účelov stanovených v právnom akte zriaďujúcom orgán, úrad alebo agentúru Únie, ktorý je iný než účel, na ktorý sa operačné osobné údaje získavajú, je povolené, pokiaľ:

a)

je prevádzkovateľ oprávnený spracúvať takéto operačné osobné údaje na takýto účel v súlade s právom Únie a

b)

spracúvanie je potrebné a úmerné tomuto inému účelu v súlade s právom Únie.

3.   Spracúvanie tým istým alebo iným prevádzkovateľom môže zahŕňať archiváciu vo verejnom záujme, vedecké, štatistické alebo historické použitie na účely stanovené v právnom akte zriaďujúcom orgán, úrad alebo agentúru Únie, ak sú dodržané primerané záruky ochrany práv a slobôd dotknutých osôb.

4.   Prevádzkovateľ je zodpovedný za súlad s odsekmi 1, 2 a 3 a vie tento súlad preukázať.

Článok 72

Zákonnosť spracúvania operačných osobných údajov

1.   Spracúvanie operačných osobných údajov je zákonné len vtedy, ak je potrebné na splnenie úlohy orgánov, úradov a agentúr Únie vykonávajúcich činnosti, ktoré patria do rozsahu pôsobnosti tretej časti hlavy V kapitoly 4 alebo kapitoly 5 ZFEÚ, a ak je založené na práve Únie.

2.   V osobitných právnych aktoch Únie upravujúcich spracúvanie v rámci rozsahu pôsobnosti tejto kapitoly sa uvádzajú aspoň ciele spracúvania, operačné osobné údaje, ktoré sa majú spracovať, účely spracúvania a obdobia uchovávania operačných osobných údajov alebo pravidelného preskúmania potreby ďalšieho uchovávania operačných osobných údajov.

Článok 73

Rozlišovanie medzi rôznymi kategóriami dotknutých osôb

Prevádzkovateľ podľa potreby a v čo najväčšom možnom rozsahu jasne rozlišuje medzi operačnými osobnými údajmi rôznych kategórií dotknutých osôb, ako sú kategórie uvedené v právnych aktoch zriaďujúcich orgány, úrady a agentúry Únie.

Článok 74

Rozlišovanie medzi operačnými osobnými údajmi a overenie kvality operačných osobných údajov

1.   Prevádzkovateľ v čo najväčšej možnej miere rozlišuje medzi operačnými osobnými údajmi založenými na faktoch a operačnými osobnými údajmi založenými na osobných hodnoteniach.

2.   Prevádzkovateľ prijme všetky primerané opatrenia s cieľom zabezpečiť, aby sa operačné osobné údaje, ktoré sú nesprávne, neúplné alebo už neaktuálne, neprenášali ani neposkytovali. Na uvedený účel prevádzkovateľ, pokiaľ je to uskutočniteľné a relevantné, overuje pred prenosom alebo poskytovaním operačných osobných údajov ich kvalitu, napríklad konzultáciou s príslušným orgánom, od ktorého údaje pochádzajú. Pokiaľ je to možné, pri každom prenose operačných osobných údajov prevádzkovateľ doplní potrebné informácie, ktoré príjemcovi umožnia posúdiť stupeň správnosti, úplnosti a spoľahlivosti operačných osobných údajov, ako aj mieru ich aktuálnosti.

3.   Ak sa zistí, že došlo k prenosu nesprávnych operačných osobných údajov alebo že operačné osobné údaje boli prenesené nezákonne, musí sa to bezodkladne oznámiť príjemcovi. V takomto prípade sa predmetné operačné osobné údaje musia opraviť alebo vymazať, alebo sa ich spracúvanie obmedzí v súlade s článkom 82.

Článok 75

Osobitné podmienky spracúvania

1.   Ak sa v práve Únie uplatniteľnom na prevádzkovateľa prenášajúceho údaje stanovia osobitné podmienky spracúvania, prevádzkovateľ informuje príjemcu operačných osobných údajov o týchto podmienkach a požiadavke dodržiavať ich.

2.   Prevádzkovateľ dodržiava pri spracúvaní osobitné podmienky spracúvania stanovené orgánom zodpovedným za prenos údajov v súlade s článkom 9 ods. 3 a 4 smernice (EÚ) 2016/680.

Článok 76

Spracúvanie osobitných kategórií operačných osobných údajov

1.   Spracúvanie operačných osobných údajov, ktoré odhaľujú rasový alebo etnický pôvod, politické názory, náboženské alebo filozofické presvedčenie alebo členstvo v odborových organizáciách, a spracúvanie genetických údajov, biometrických údajov na účely individuálnej identifikácie fyzickej osoby, operačných osobných údajov týkajúcich sa zdravia alebo sexuálneho života či sexuálnej orientácie fyzickej osoby je možné len vtedy, ak je úplne nevyhnutné na operačné účely v rámci mandátu príslušného orgánu, úradu alebo agentúry Únie, a musí podliehať primeraným zárukám ochrany práv a slobôd dotknutej osoby. Diskriminácia fyzických osôb na základe takýchto osobných údajov sa zakazuje.

2.   O použití tohto článku musí byť bezodkladne informovaná zodpovedná osoba.

Článok 77

Automatizované individuálne rozhodovanie vrátane profilovania

1.   Rozhodnutie založené výlučne na automatizovanom spracúvaní vrátane profilovania, ktoré má pre dotknutú osobu nepriaznivé právne účinky alebo významné dôsledky, je zakázané, pokiaľ nie je prípustné podľa práva Únie, ktoré sa vzťahuje na prevádzkovateľa a ktorým sú stanovené primerané záruky ochrany práv a slobôd dotknutej osoby, aspoň právo na ľudský zásah zo strany prevádzkovateľa.

2.   Rozhodnutia uvedené v odseku 1 tohto článku nesmú byť založené na osobitných kategóriách osobných údajov uvedených v článku 76, pokiaľ sa neuplatňujú vhodné opatrenia na zaručenie práv, slobôd a oprávnených záujmov dotknutej osoby.

3.   Profilovanie, ktoré vedie k diskriminácii fyzických osôb na základe osobitných kategórií osobných údajov uvedených v článku 76, sa zakazuje v súlade s právom Únie.

Článok 78

Oznámenia a postupy týkajúce sa uplatnenia práv dotknutej osoby

1.   Prevádzkovateľ prijme primerané opatrenia s cieľom poskytnúť dotknutej osobe všetky informácie uvedené v článku 79 a vykoná všetky oznámenia so zreteľom na články 80 až 84 a 92, ktoré sa týkajú spracúvania, a to v stručnej, zrozumiteľnej a ľahko dostupnej forme, pričom ich formuluje jasne a jednoducho. Informácie sa poskytujú akýmikoľvek vhodnými prostriedkami, a to aj elektronickými prostriedkami. Prevádzkovateľ spravidla poskytuje informácie v rovnakej forme, v akej bola podaná žiadosť.

2.   Prevádzkovateľ uľahčuje uplatnenie práv dotknutej osoby podľa článkov 79 až 84.

3.   Prevádzkovateľ písomne informuje dotknutú osobu o opatreniach, ktoré prijal v nadväznosti na jej žiadosť, bez zbytočného odkladu a v každom prípade najneskôr do troch mesiacov od doručenia žiadosti dotknutej osoby.

4.   Prevádzkovateľ poskytuje informácie podľa článku 79 a všetky oznámenia vykonané alebo všetky opatrenia prijaté podľa článkov 80 až 84 a 92 bezplatne. Ak sú žiadosti dotknutej osoby zjavne neopodstatnené alebo neprimerané, najmä pre ich opakujúcu sa povahu, prevádzkovateľ môže odmietnuť zaoberať sa žiadosťou. Prevádzkovateľ znáša bremeno preukázania zjavnej neopodstatnenosti alebo neprimeranosti žiadosti.

5.   Ak má prevádzkovateľ oprávnené pochybnosti v súvislosti s totožnosťou fyzickej osoby, ktorá podáva žiadosť uvedenú v článku 80 alebo 82, môže požiadať o poskytnutie dodatočných informácií potrebných na potvrdenie totožnosti dotknutej osoby.

Článok 79

Informácie, ktoré sa majú sprístupniť alebo poskytnúť dotknutej osobe

1.   Prevádzkovateľ sprístupní dotknutej osobe aspoň tieto informácie:

a)

totožnosť a kontaktné údaje orgánu, úradu alebo agentúry Únie;

b)

kontaktné údaje zodpovednej osoby;

c)

účely spracúvania, na ktoré sú operačné osobné údaje určené;

d)

právo podať sťažnosť Európskemu dozornému úradníkovi pre ochranu údajov a svoje kontaktné údaje;

e)

existenciu práva žiadať od prevádzkovateľa prístup k operačným osobným údajom a ich opravu alebo vymazanie a obmedzenie spracúvania operačných osobných údajov týkajúcich sa dotknutej osoby.

2.   Popri informáciách uvedených v odseku 1 prevádzkovateľ v osobitných prípadoch stanovených v práve Únie poskytne dotknutej osobe tieto ďalšie informácie s cieľom umožniť uplatnenie jej práv:

a)

právny základ spracúvania;

b)

obdobie uchovávania operačných osobných údajov alebo, ak to nie je možné, kritériá na jeho určenie;

c)

v príslušných prípadoch kategórie príjemcov operačných osobných údajov, a to aj v tretích krajinách alebo medzinárodných organizáciách;

d)

podľa potreby ďalšie informácie, najmä ak sa operačné osobné údaje získavajú bez vedomia dotknutej osoby.

3.   Prevádzkovateľ môže poskytovanie informácií dotknutej osobe podľa odseku 2 odložiť, obmedziť alebo od neho upustiť, pokiaľ takéto opatrenie predstavuje nevyhnutné a primerané opatrenie v demokratickej spoločnosti s náležitým zreteľom na základné práva a oprávnené záujmy danej fyzickej osoby a s cieľom:

a)

zabrániť mareniu úradného alebo súdneho zisťovania, vyšetrovania alebo konania;

b)

zabrániť ohrozovaniu predchádzania trestným činom, ich odhaľovania, vyšetrovania alebo stíhania alebo výkonu trestných sankcií;

c)

chrániť verejnú bezpečnosť členských štátov;

d)

chrániť vnútornú bezpečnosť členských štátov;

e)

chrániť práva a slobody iných, ako sú obete a svedkovia.

Článok 80

Právo dotknutej osoby na prístup k údajom

Dotknutá osoba má právo získať od prevádzkovateľa potvrdenie o tom, či sa spracúvajú operačné osobné údaje, ktoré sa jej týkajú, a ak tomu tak je, má právo získať prístup k týmto operačným osobným údajom a týmto informáciám:

a)

účely a právny základ spracúvania;

b)

kategórie príslušných operačných osobných údajov;

c)

príjemcovia alebo kategórie príjemcov, ktorým boli operačné osobné údaje poskytnuté, najmä príjemcovia v tretích krajinách alebo medzinárodné organizácie;

d)

ak je to možné, predpokladané obdobie uchovávania operačných osobných údajov, alebo ak to nie je možné, kritériá na jeho určenie;

e)

existencia práva žiadať od prevádzkovateľa opravu alebo vymazanie operačných osobných údajov týkajúcich sa dotknutej osoby alebo obmedzenie ich spracúvania;

f)

právo podať sťažnosť Európskemu dozornému úradníkovi pre ochranu údajov a jeho kontaktné údaje;

g)

informáciu o operačných osobných údajoch, ktoré sa spracúvajú, a o všetkých dostupných informáciách, pokiaľ ide o ich pôvod.

Článok 81

Obmedzenia práva na prístup

1.   Prevádzkovateľ môže úplne alebo čiastočne obmedziť právo dotknutej osoby na prístup, pokiaľ toto čiastočné či úplné obmedzenie s náležitým ohľadom na základné práva a oprávnené záujmy danej fyzickej osoby predstavuje nevyhnutné a primerané opatrenie v demokratickej spoločnosti s cieľom:

a)

zabrániť mareniu úradného alebo súdneho zisťovania, vyšetrovania alebo konania;

b)

zabrániť ohrozovaniu predchádzania trestným činom, ich odhaľovania, vyšetrovania alebo stíhania alebo výkonu trestných sankcií;

c)

chrániť verejnú bezpečnosť členských štátov;

d)

chrániť vnútornú bezpečnosť členských štátov;

e)

chrániť práva a slobody iných, ako sú obete a svedkovia.

2.   V prípadoch uvedených v odseku 1 prevádzkovateľ bez zbytočného odkladu písomne informuje dotknutú osobu o každom zamietnutí či obmedzení prístupu a o dôvodoch tohto zamietnutia alebo obmedzenia. Od takýchto informácií možno upustiť, ak by ich poskytnutie ohrozilo účel podľa odseku 1. Prevádzkovateľ informuje dotknutú osobu o možnosti podať sťažnosť Európskemu dozornému úradníkovi pre ochranu údajov alebo dožadovať sa súdneho prostriedku nápravy na Súdnom dvore. Prevádzkovateľ zdokumentuje skutkové alebo právne dôvody, na ktorých sa dané rozhodnutie zakladá. Uvedené informácie sa na požiadanie sprístupnia Európskemu dozornému úradníkovi pre ochranu údajov.

Článok 82

Právo na opravu alebo vymazanie operačných osobných údajov a obmedzenie spracúvania

1.   Každá dotknutá osoba má právo na to, aby prevádzkovateľ bez zbytočného odkladu opravil nesprávne operačné osobné údaje, ktoré sa jej týkajú. So zreteľom na účely spracúvania má dotknutá osoba právo na doplnenie neúplných operačných osobných údajov, a to aj prostredníctvom poskytnutia doplnkového vyhlásenia.

2.   Prevádzkovateľ vymaže operačné osobné údaje bez zbytočného odkladu a dotknutá osoba má právo na to, aby prevádzkovateľ bez zbytočného odkladu vymazal operačné osobné údaje, ktoré sa tejto osoby týkajú, ak sa spracúvaním porušujú článok 71, článok 72 ods. 1 alebo článok 76, alebo ak sa operačné osobné údaje musia vymazať, aby sa splnila zákonná povinnosť, ktorej prevádzkovateľ podlieha.

3.   Namiesto vymazania prevádzkovateľ obmedzí spracúvanie, ak:

a)

dotknutá osoba napadla správnosť osobných údajov a ich správnosť alebo nesprávnosť nemožno určiť, alebo

b)

sa osobné údaje musia uchovať na účely dokazovania.

Ak je spracúvanie obmedzené v zmysle prvého pododseku písm. a), prevádzkovateľ o tom pred zrušením obmedzenia spracúvania informuje dotknutú osobu.

Obmedzené údaje sa spracúvajú len na účel, ktorý zabránil ich vymazaniu.

4.   Prevádzkovateľ písomne informuje dotknutú osobu o akomkoľvek zamietnutí opravy alebo vymazania operačných osobných údajov či obmedzenia ich spracúvania a o dôvodoch tohto zamietnutia. Prevádzkovateľ môže úplne alebo čiastočne obmedziť poskytovanie takýchto informácií, pokiaľ takéto obmedzenie predstavuje nevyhnutné a primerané opatrenie v demokratickej spoločnosti s náležitým ohľadom na základné práva a oprávnené záujmy danej fyzickej osoby, s cieľom:

a)

zabrániť mareniu úradného alebo súdneho zisťovania, vyšetrovania alebo konania;

b)

zabrániť ohrozovaniu predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo výkonu trestných sankcií;

c)

chrániť verejnú bezpečnosť členských štátov;

d)

chrániť vnútornú bezpečnosť členských štátov;

e)

chrániť práva a slobody iných, ako sú obete a svedkovia.

Prevádzkovateľ písomne informuje dotknutú osobu o možnosti podať sťažnosť Európskemu dozornému úradníkovi pre ochranu údajov alebo dožadovať sa súdneho prostriedku nápravy na Súdnom dvore.

5.   Prevádzkovateľ oznámi opravu nesprávnych operačných osobných údajov príslušnému orgánu, od ktorého nesprávne operačné osobné údaje pochádzajú.

6.   Ak sa operačné osobné údaje opravia alebo vymažú alebo sa obmedzí ich spracúvanie podľa odseku 1, 2 alebo 3, prevádzkovateľ to oznámi príjemcom a informuje ich o tom, že musia opraviť alebo vymazať operačné osobné údaje alebo obmedziť spracúvanie operačných osobných údajov, za ktoré zodpovedajú.

Článok 83

Právo na prístup v rámci vyšetrovania trestných činov a trestného konania

Ak operačné osobné údaje pochádzajú od príslušného orgánu, pred rozhodnutím o práve dotknutej osoby na prístup overia orgány, úrady a agentúry Únie u dotknutého príslušného orgánu, či sú takéto osobné údaje obsiahnuté v súdnom rozhodnutí alebo v zázname či v spise spracúvanom v rámci vyšetrovania trestných činov a trestného konania v členskom štáte daného príslušného orgánu. Ak ide o takýto prípad, rozhodnutie o práve na prístup sa prijme na základe konzultácie a úzkej spolupráce s dotknutým príslušným orgánom.

Článok 84

Uplatnenie práv dotknutou osobou a overenie Európskym dozorným úradníkom pre ochranu údajov

1.   V prípadoch uvedených v článku 79 ods. 3, článku 81 a článku 82 ods. 4 sa práva dotknutej osoby môžu uplatňovať aj prostredníctvom Európskeho dozorného úradníka pre ochranu údajov.

2.   Prevádzkovateľ informuje dotknutú osobu o možnosti uplatniť jej práva prostredníctvom Európskeho dozorného úradníka pre ochranu údajov podľa odseku 1.

3.   Ak sa uplatňuje právo uvedené v odseku 1, Európsky dozorný úradník pre ochranu údajov informuje dotknutú osobu aspoň o tom, že vykonal všetky nevyhnutné overenia alebo preskúmanie. Európsky dozorný úradník pre ochranu údajov dotknutú osobu taktiež informuje o jej práve na súdny prostriedok nápravy na Súdnom dvore.

Článok 85

Špecificky navrhnutá a štandardná ochrana údajov

1.   Prevádzkovateľ so zreteľom na najnovšie poznatky, náklady na vykonanie a povahu, rozsah, kontext a účely spracúvania, ako aj na riziká s rôznou pravdepodobnosťou a závažnosťou, ktoré spracúvanie predstavuje pre práva a slobody fyzických osôb, vykoná v čase určenia prostriedkov spracúvania aj v čase samotného spracúvania primerané technické a organizačné opatrenia, ako je napríklad pseudonymizácia, ktoré sú určené na účinné zavedenie zásad ochrany údajov, ako je napríklad minimalizácia údajov, a na začlenenie nevyhnutných záruk do spracúvania, a to s cieľom splniť požiadavky tohto nariadenia a jeho zakladajúceho právneho aktu a chrániť práva dotknutých osôb.

2.   Prevádzkovateľ vykonáva primerané technické a organizačné opatrenia, ktorými sa zabezpečuje, aby sa štandardne spracúvali iba operačné osobné údaje, ktoré sú primerané, relevantné a nie neúmerné vo vzťahu k účelu spracúvania. Uvedená povinnosť sa vzťahuje na množstvo získaných operačných osobných údajov, rozsah ich spracúvania, obdobie ich uchovávania a ich dostupnosť. Konkrétne sa takýmito opatreniami zabezpečí, aby operačné osobné údaje neboli bez zásahu fyzickej osoby štandardne prístupné neobmedzenému počtu fyzických osôb.

Článok 86

Spoloční prevádzkovatelia

1.   Ak dvaja alebo viacerí prevádzkovatelia alebo jeden alebo viacerí prevádzkovatelia spolu s jedným alebo viacerými prevádzkovateľmi inými, než sú inštitúcie a orgány Únie, spoločne určia účely a prostriedky spracúvania, považujú sa za spoločných prevádzkovateľov. Transparentne určia svoje príslušné zodpovednosti za plnenie povinností v oblasti ochrany údajov, najmä pokiaľ ide o uplatňovanie práv dotknutej osoby, a svoje príslušné povinnosti poskytovať informácie uvedené v článku 79, a to formou vzájomnej dohody, pokiaľ nie sú príslušné zodpovednosti spoločných prevádzkovateľov určené právom Únie alebo právom členskému štátu, ktorému spoloční prevádzkovatelia podliehajú. V dohode sa môže určiť kontaktné miesto pre dotknuté osoby.

2.   V dohode uvedenej v odseku 1 sa náležite zohľadnia príslušné úlohy spoločných prevádzkovateľov a ich vzťahy voči dotknutej osobe. Základné časti dohody sa sprístupnia dotknutej osobe.

3.   Bez ohľadu na podmienky dohody uvedenej v odseku 1 môže dotknutá osoba uplatniť svoje práva podľa tohto nariadenia u každého prevádzkovateľa a voči každému prevádzkovateľovi.

Článok 87

Sprostredkovateľ

1.   Ak sa má spracúvanie uskutočniť v mene prevádzkovateľa, prevádzkovateľ využíva len sprostredkovateľov poskytujúcich dostatočné záruky týkajúce sa vykonania primeraných technických a organizačných opatrení tak, aby spracúvanie spĺňalo požiadavky tohto nariadenia a právneho aktu zriaďujúceho prevádzkovateľa a aby sa zabezpečila ochrana práv dotknutej osoby.

2.   Sprostredkovateľ nezapojí ďalšieho sprostredkovateľa bez predchádzajúceho osobitného alebo všeobecného písomného povolenia prevádzkovateľa. V prípade všeobecného písomného povolenia sprostredkovateľ informuje prevádzkovateľa o akýchkoľvek zamýšľaných zmenách v súvislosti s pridaním alebo nahradením ďalších sprostredkovateľov, čím prevádzkovateľovi poskytne možnosť namietať voči takýmto zmenám.

3.   Spracúvanie sprostredkovateľom sa riadi zmluvou alebo iným právnym aktom podľa práva Únie alebo práva členského štátu, ktoré zaväzujú sprostredkovateľa voči prevádzkovateľovi a ktorými sa stanovuje predmet a obdobie spracúvania, povaha a účel spracúvania, typ operačných osobných údajov a kategórie dotknutých osôb a povinnosti a práva prevádzkovateľa. Uvedená zmluva alebo iný právny akt najmä stanovia, že sprostredkovateľ:

a)

koná len na základe pokynov prevádzkovateľa;

b)

zabezpečí, aby sa osoby oprávnené spracúvať operačné osobné údaje zaviazali, že zachovajú dôvernosť, alebo aby boli viazané vhodnou zákonnou povinnosťou zachovávať dôvernosť;

c)

pomáha prevádzkovateľovi akýmkoľvek vhodným prostriedkom zabezpečiť súlad s ustanoveniami týkajúcimi sa práv dotknutých osôb;

d)

podľa rozhodnutia prevádzkovateľa po skončení poskytovania služieb týkajúcich sa spracúvania vymaže alebo vráti prevádzkovateľovi všetky operačné osobné údaje a vymaže existujúce kópie, pokiaľ sa v práve Únie alebo v práve členského štátu nepožaduje uchovávanie týchto operačných osobných údajov;

e)

poskytne prevádzkovateľovi všetky informácie potrebné na preukázanie splnenia povinností stanovených v tomto článku;

f)

dodržiava podmienky zapojenia ďalšieho sprostredkovateľa uvedené v odseku 2 a v tomto odseku.

4.   Zmluva alebo iný právny akt uvedené v odseku 3 sa vypracúvajú v písomnej podobe vrátane elektronickej podoby.

5.   Ak sprostredkovateľ poruší toto nariadenie alebo právny akt zriaďujúci prevádzkovateľa určením účelov a prostriedkov spracúvania, považuje sa v súvislosti s daným spracúvaním za prevádzkovateľa.

Článok 88

Vedenie záznamov

1.   Prevádzkovateľ vedie v systémoch automatizovaného spracúvania záznamy o každej z týchto spracovateľských operácií: získavanie, upravenie, prístup, konzultovanie, poskytovanie, a to aj počas prenosov, kombinovanie a vymazávanie operačných osobných údajov. Na základe záznamov o konzultovaní a sprístupňovaní musí byť možné určiť dôvod, dátum a čas takýchto operácií, identifikovať osobu, ktorá konzultovala alebo sprístupnila operačné osobné údaje, a pokiaľ je to možné, totožnosť príjemcov týchto operačných osobných údajov.

2.   Záznamy sa používajú výlučne na overovanie zákonnosti spracúvania, vlastné monitorovanie, zaistenie integrity a bezpečnosti operačných osobných údajov a na účely trestného konania. Takéto záznamy sa vymažú po troch rokoch, pokiaľ nie sú potrebné pre prebiehajúcu kontrolu.

3.   Prevádzkovateľ sprístupňuje záznamy zodpovednej osobe a Európskemu dozornému úradníkovi pre ochranu údajov na požiadanie.

Článok 89

Posúdenie vplyvu na ochranu údajov

1.   Ak typ spracúvania, najmä s využitím nových technológií a s ohľadom na povahu, rozsah, kontext a účely spracúvania, pravdepodobne povedie k vysokému riziku pre práva a slobody fyzických osôb, prevádzkovateľ pred spracúvaním vykoná posúdenie vplyvu plánovaných spracovateľských operácií na ochranu operačných osobných údajov.

2.   Posúdenie uvedené v odseku 1 obsahuje aspoň všeobecný opis plánovaných spracovateľských operácií, posúdenie rizík v súvislosti s právami a slobodami dotknutých osôb, plánované opatrenia na riešenie daných rizík, záruky, bezpečnostné opatrenia a mechanizmy na zabezpečenie ochrany operačných osobných údajov a na preukázanie súladu s pravidlami ochrany údajov s ohľadom na práva a oprávnené záujmy dotknutých osôb a ďalších zainteresovaných osôb.

Článok 90

Predchádzajúca konzultácia s Európskym dozorným úradníkom pre ochranu údajov

1.   Prevádzkovateľ uskutoční konzultácie s Európskym dozorným úradníkom pre ochranu údajov pred spracúvaním údajov, ktoré budú tvoriť súčasť nového informačného systému, ktorý sa má vytvoriť, ak:

a)

z posúdenia vplyvu na ochranu údajov podľa článku 89 vyplýva, že toto spracúvanie by viedlo k vysokému riziku, ak by prevádzkovateľ neprijal opatrenia na zmiernenie tohto rizika, alebo

b)

sa s typom spracúvania, najmä s využitím nových technológií, mechanizmov alebo postupov, spája vysoké riziko pre práva a slobody dotknutých osôb.

2.   Európsky dozorný úradník pre ochranu údajov môže vypracovať zoznam spracovateľských operácií, ktoré podliehajú povinnosti uskutočniť predchádzajúcu konzultáciu podľa odseku 1.

3.   Prevádzkovateľ poskytne Európskemu dozornému úradníkovi pre ochranu údajov posúdenie vplyvu na ochranu údajov uvedené v článku 89 a na požiadanie aj akékoľvek ďalšie informácie, ktoré umožnia Európskemu dozornému úradníkovi pre ochranu údajov posúdiť súlad spracúvania, a najmä riziká z hľadiska ochrany operačných osobných údajov dotknutej osoby a súvisiacich záruk.

4.   Ak sa Európsky dozorný úradník pre ochranu údajov domnieva, že by zamýšľané spracúvanie uvedené v odseku 1 bolo v rozpore s týmto nariadením alebo právnym aktom zriaďujúcim orgán, úrad alebo agentúru Únie, najmä ak prevádzkovateľ nedostatočne identifikoval alebo zmiernil riziko, Európsky dozorný úradník pre ochranu údajov poskytne prevádzkovateľovi písomné poradenstvo do šiestich týždňov od prijatia žiadosti o konzultáciu. Uvedená lehota sa môže predĺžiť o jeden mesiac, pričom sa zohľadní komplexnosť zamýšľaného spracúvania. Európsky dozorný úradník pre ochranu údajov informuje prevádzkovateľa o každom takomto predĺžení lehoty do jedného mesiaca od prijatia žiadosti o konzultáciu spolu s odôvodnením omeškania.

Článok 91

Bezpečnosť spracúvania operačných osobných údajov

1.   Prevádzkovateľ a spracovateľ so zreteľom na najnovšie poznatky, náklady na vykonanie a povahu, rozsah, kontext a účely spracúvania, ako aj na riziká s rôznou pravdepodobnosťou a závažnosťou pre práva a slobody fyzických osôb, prijmú primerané technické a organizačné opatrenia s cieľom zaistiť úroveň bezpečnosti primeranú daným rizikám, najmä pokiaľ ide o spracúvanie osobitných kategórií operačných osobných údajov.

2.   Pokiaľ ide o automatizované spracúvanie, prevádzkovateľ a spracovateľ prijmú na základe vyhodnotenia rizík opatrenia na:

a)

zabránenie neoprávneným osobám v prístupe k zariadeniam na spracúvanie údajov, ktoré sa používajú na spracúvanie („kontrola prístupu k zariadeniam“);

b)

zabránenie neoprávnenému čítaniu, kopírovaniu, pozmeňovaniu alebo odstraňovaniu nosičov údajov („kontrola nosičov údajov“);

c)

zabránenie neoprávnenému vkladaniu operačných osobných údajov a neoprávnenej kontrole, pozmeňovaniu alebo vymazaniu uchovávaných operačných osobných údajov („kontrola uchovávania“);

d)

zabránenie použitiu systémov automatizovaného spracúvania neoprávnenými osobami pomocou zariadenia na prenos údajov („kontrola užívateľa“);

e)

zabezpečenie toho, aby osoby oprávnené používať systém automatizovaného spracúvania mali prístup iba k tým operačným osobným údajom, na ktoré sa vzťahuje ich oprávnenie na prístup („kontrola prístupu k údajom“);

f)

zabezpečenie toho, aby bolo možné overiť a zistiť subjekty, ktorým sa preniesli alebo poskytli, alebo môžu preniesť alebo poskytnúť operačné osobné údaje prostredníctvom prenosu údajov („kontrola prenosu údajov“);

g)

zabezpečenie toho, aby bolo možné dodatočne overiť a zistiť, aké operačné osobné údaje sa vložili do systémov automatizovaného spracúvania údajov a kedy a kto tam operačné osobné údaje vložil („kontrola vkladania“);

h)

zabránenie neoprávnenému čítaniu, kopírovaniu, pozmeňovaniu alebo vymazaniu operačných osobných údajov počas ich prenosu alebo počas prepravy nosiča údajov („kontrola prepravy“);

i)

zabezpečenie toho, aby sa inštalované systémy mohli v prípade prerušenia obnoviť („obnova“);

j)

zabezpečenie toho, aby funkcie systému fungovali, aby sa chyby vo fungovaní nahlasovali („zodpovednosť“) a aby nemohlo dôjsť k zničeniu uchovávaných operačných osobných údajov v dôsledku chybného fungovania systému („integrita“).

Článok 92

Oznámenie porušenia ochrany osobných údajov Európskemu dozornému úradníkovi pre ochranu údajov

1.   V prípade porušenia ochrany osobných údajov prevádzkovateľ bez zbytočného odkladu a podľa možnosti najneskôr do 72 hodín po tom, čo sa o tejto skutočnosti dozvedel, oznámi porušenie ochrany osobných údajov Európskemu dozornému úradníkovi pre ochranu údajov s výnimkou prípadov, keď nie je pravdepodobné, že porušenie ochrany osobných údajov povedie k riziku pre práva a slobody fyzických osôb. Ak oznámenie nebolo Európskemu dozornému úradníkovi pre ochranu údajov predložené do 72 hodín, pripojí sa k nemu odôvodnenie omeškania.

2.   Oznámenie uvedené v odseku 1 musí obsahovať aspoň:

a)

opis povahy porušenia ochrany osobných údajov, podľa možnosti vrátane kategórií a približného počtu dotknutých osôb, ktorých sa porušenie týka, a kategórií a približného počtu dotknutých záznamov s operačnými osobnými údajmi;

b)

informáciu o mene a kontaktných údajoch zodpovednej osoby;

c)

opis pravdepodobných následkov porušenia ochrany osobných údajov;

d)

opis opatrení prijatých alebo navrhovaných prevádzkovateľom s cieľom riešiť porušenie ochrany osobných údajov, prípadne vrátane opatrení na zmiernenie jeho potenciálnych nepriaznivých dôsledkov.

3.   Pokiaľ nie je možné poskytnúť informácie uvedené v odseku 2 súčasne, informácie možno poskytnúť vo viacerých etapách bez ďalšieho zbytočného odkladu.

4.   Prevádzkovateľ zdokumentuje každý prípad porušenia ochrany osobných údajov uvedený v odseku 1 vrátane skutočností spojených s porušením ochrany osobných údajov, jeho následkov a prijatých opatrení na nápravu. Uvedená dokumentácia musí umožniť Európskemu dozornému úradníkovi pre ochranu údajov overiť súlad s týmto článkom.

5.   Ak porušenie ochrany operačných osobných údajov zahŕňa osobné údaje, ktorých prenos vykonali príslušné orgány alebo ktoré boli prenesené príslušným orgánom, prevádzkovateľ oznámi informácie uvedené v odseku 2 bez zbytočného odkladu príslušným orgánom.

Článok 93

Oznámenie porušenia ochrany osobných údajov dotknutej osobe

1.   Ak porušenie ochrany osobných údajov pravdepodobne povedie k vysokému riziku pre práva a slobody fyzických osôb, prevádzkovateľ bez zbytočného odkladu oznámi porušenie ochrany osobných údajov dotknutej osobe.

2.   Oznámenie dotknutej osobe uvedené v odseku 1 tohto článku obsahuje jasne a jednoducho formulovaný opis povahy porušenia ochrany osobných údajov a aspoň informácie a odporúčania uvedené v článku 92 ods. 2 písm. b), c) a d).

3.   Oznámenie dotknutej osobe uvedené v odseku 1 sa nevyžaduje, ak je splnená ktorákoľvek z týchto podmienok:

a)

prevádzkovateľ vykonal primerané technické a organizačné ochranné opatrenia a uvedené opatrenia uplatnil na operačné osobné údaje, ktorých sa porušenie ochrany osobných údajov týka, a to najmä tie opatrenia, na základe ktorých sú operačné osobné údaje nečitateľné pre všetky osoby, ktoré nie sú oprávnené mať k nim prístup, ako je napríklad šifrovanie;

b)

prevádzkovateľ prijal následné opatrenia, ktorými sa zabezpečí, že vysoké riziko pre práva a slobody dotknutých osôb uvedené v odseku 1 sa už pravdepodobne neprejaví;

c)

vyžadovalo by to neprimerané úsilie. V takomto prípade sa namiesto toho vykoná verejné oznámenie alebo podobné opatrenie, ktorým sa dotknuté osoby informujú rovnako efektívnym spôsobom.

4.   Ak prevádzkovateľ ešte porušenie ochrany osobných údajov neoznámil dotknutej osobe, Európsky dozorný úradník pre ochranu údajov môže po zvážení pravdepodobnosti porušenia ochrany osobných údajov vedúceho k vysokému riziku požadovať, aby tak urobil, alebo môže rozhodnúť, že je splnená niektorá z podmienok uvedených v odseku 3.

5.   Oznámenie dotknutej osobe uvedené v odseku 1 tohto článku sa môže odložiť, obmedziť alebo sa od neho môže upustiť za podmienok alebo z dôvodov uvedených v článku 79 ods. 3

Článok 94

Prenos operačných osobných údajov do tretích krajín a medzinárodným organizáciám

1.   S výhradou obmedzení a podmienok stanovených v právnych aktoch zriaďujúcich orgán, úrad alebo agentúru Únie môže prevádzkovateľ prenášať operačné osobné údaje orgánu tretej krajiny alebo medzinárodnej organizácii, pokiaľ je takýto prenos potrebný na vykonávanie úloh prevádzkovateľa a len ak sú dodržané podmienky stanovené v tomto článku, konkrétne:

a)

Komisia prijala v súlade s článkom 36 ods. 3 smernice (EÚ) 2016/680 rozhodnutie o primeranosti o tom, že tretia krajina alebo územie, alebo sektor spracúvania v danej tretej krajine, alebo daná medzinárodná organizácia zabezpečuje primeranú úroveň ochrany;

b)

ak Komisia neprijala rozhodnutie o primeranosti podľa písmena a), bola uzatvorená medzinárodná dohoda medzi Úniou a danou treťou krajinou alebo medzinárodnou organizáciou podľa článku 218 ZFEÚ, v ktorej sa uvádzajú náležité záruky, pokiaľ ide o ochranu súkromia a základných práv a slobôd fyzických osôb;

c)

ak Komisia neprijala rozhodnutie o primeranosti podľa písmena a) alebo nebola uzatvorená medzinárodná dohoda uvedená v písmene b), bola medzi orgánom, úradom alebo agentúrou Únie a príslušnou treťou krajinou pred dátumom začatia uplatňovania právneho aktu zriaďujúceho dotknutý orgán, úrad alebo agentúru Únie uzatvorená dohoda o spolupráci umožňujúca výmenu operačných osobných údajov.

2.   Právnymi aktmi zriaďujúcimi orgány, úrady a agentúry Únie sa môžu ponechať v platnosti alebo zaviesť špecifickejšie ustanovenia o podmienkach medzinárodných prenosov operačných osobných údajov, najmä o prenosoch na základe primeraných záruk a výnimkách pre osobitné situácie.

3.   Prevádzkovateľ na svojom webovom sídle uverejní a aktualizuje zoznam rozhodnutí o primeranosti uvedených v písmene a) odseku 1, dohôd, administratívnych dojednaní a iných nástrojov, ktoré sa týkajú prenosu operačných osobných údajov v súlade s odsekom 1.

4.   Prevádzkovateľ podrobne eviduje všetky prenosy vykonané podľa tohto článku.

Článok 95

Utajenie súdnych vyšetrovaní a trestných konaní

Z právnych aktov zriaďujúcich orgány, úrady alebo agentúry Únie pri vykonávaní činností, ktoré patria do rozsahu pôsobnosti tretej časti hlavy V kapitoly 4 alebo kapitoly 5 ZFEÚ, môže pre Európskeho dozorného úradníka pre ochranu údajov vyplývať povinnosť, aby pri výkone svojich dozorných právomocí v čo najvyššej miere prihliadal na utajenie súdnych vyšetrovaní a trestných konaní v súlade s právom Únie alebo právom členského štátu.

KAPITOLA X

VYKONÁVACIE AKTY

Článok 96

Postup výboru

1.   Komisii pomáha výbor zriadený článkom 93 nariadenia (EÚ) 2016/679. Uvedený výbor je výborom v zmysle nariadenia (EÚ) č. 182/2011.

2.   Ak sa odkazuje na tento odsek, uplatňuje sa článok 5 nariadenia (EÚ) č. 182/2011.

KAPITOLA XI

PRESKÚMANIE

Článok 97

Doložka o preskúmaní

Najneskôr 30. apríla 2022 a potom každých päť rokov Komisia predloží Európskemu parlamentu a Rade správu o uplatňovaní tohto nariadenia, ku ktorej v prípade potreby pripojí príslušné legislatívne návrhy.

Článok 98

Preskúmanie právnych aktov Únie

1.   Komisia do 30. apríla 2022 preskúma právne akty prijaté na základe zmlúv, ktorými sa upravuje spracúvanie operačných osobných údajov orgánmi, úradmi alebo agentúrami Únie pri vykonávaní činností, ktoré patria do rozsahu pôsobnosti tretej časti hlavy V kapitoly 4 alebo kapitoly 5 ZFEÚ, s cieľom:

a)

posúdiť ich súlad so smernicou (EÚ) 2016/680 a kapitolou IX tohto nariadenia;

b)

identifikovať akékoľvek rozdiely, ktoré môžu byť prekážkou výmeny operačných osobných údajov medzi orgánmi, úradmi alebo agentúrami Únie pri vykonávaní činností v uvedených oblastiach a príslušnými orgánmi, a

c)

identifikovať akékoľvek rozdiely, ktoré môžu spôsobiť právnu fragmentáciu právnych predpisov na ochranu údajov v Únii.

2.   V záujme zaistenia jednotnej a konzistentnej ochrany fyzických osôb pri spracúvaní môže Komisia na základe preskúmania predložiť príslušné legislatívne návrhy, najmä s cieľom uplatňovať kapitolu IX tohto nariadenia na Europol a Európsku prokuratúru a v prípade potreby vrátane úprav kapitoly IX tohto nariadenia.

KAPITOLA XII

ZÁVEREČNÉ USTANOVENIA

Článok 99

Zrušenie nariadenia (ES) č. 45/2001 a rozhodnutia č. 1247/2002/ES

Nariadenie (ES) č. 45/2001 a rozhodnutie č. 1247/2002/ES sa zrušujú s účinnosťou od 11. decembra 2018. Odkazy na zrušené nariadenie a rozhodnutie sa považujú za odkazy na toto nariadenie.

Článok 100

Prechodné opatrenia

1.   Rozhodnutie Európskeho parlamentu a Rady 2014/886/EÚ (20) a súčasné funkčné obdobie Európskeho dozorného úradníka pre ochranu údajov a zástupcu dozorného úradníka nie sú týmto nariadením dotknuté.

2.   Pokiaľ ide o stanovenie odmeny, príplatkov, starobného dôchodku a akýchkoľvek iných náhrad poskytovaných namiesto odmeny, zástupca dozorného úradníka má rovnaké postavenie ako tajomník Súdneho dvora.

3.   Článok 53 ods. 4, 5 a 7 a články 55 a 56 tohto nariadenia sa na súčasného zástupcu dozorného úradníka uplatňujú až do skončenia jeho funkčného obdobia.

4.   Zástupca dozorného úradníka pomáha Európskemu dozornému úradníkovi pre ochranu údajov pri plnení povinností Európskeho dozorného úradníka pre ochranu údajov a koná ako jeho náhradník, keď Európsky dozorný úradník pre ochranu údajov nie je prítomný alebo keď nemôže tieto úlohy plniť, a to až do konca súčasného funkčného obdobia zástupcu dozorného úradníka.

Článok 101

Nadobudnutie účinnosti a uplatňovanie

1.   Toto nariadenie nadobúda účinnosť dvadsiatym dňom po jeho uverejnení v Úradnom vestníku Európskej únie.

2.   Toto nariadenie sa však uplatňuje na spracúvanie osobných údajov Eurojustom od 12. decembra 2019.

Toto nariadenie je záväzné v celom rozsahu a priamo uplatniteľné vo všetkých členských štátoch.

V Štrasburgu 23. októbra 2018

Za Európsky parlament

predseda

A. TAJANI

Za Radu

predsedníčka

K. EDTSTADLER


(1)  Ú. v. EÚ C 288, 31.8.2017, s. 107.

(2)  Pozícia Európskeho parlamentu z 13. septembra 2018 (zatiaľ neuverejnená v úradnom vestníku) a rozhodnutie Rady z 11. októbra 2018.

(3)  Nariadenie Európskeho parlamentu a Rady (ES) č. 45/2001 z 18. decembra 2000 o ochrane jednotlivcov so zreteľom na spracovanie osobných údajov inštitúciami a orgánmi Spoločenstva a o voľnom pohybe takýchto údajov (Ú. v. ES L 8, 12.1.2001, s. 1).

(4)  Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (Ú. v. EÚ L 119, 4.5.2016, s. 1).

(5)  Smernica Európskeho parlamentu a Rady (EÚ) 2016/680 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií a o voľnom pohybe takýchto údajov a o zrušení rámcového rozhodnutia Rady 2008/977/SVV (Ú. v. EÚ L 119, 4.5.2016, s. 89).

(6)  Smernica Rady 93/13/EHS z 5. apríla 1993 o nekalých podmienkach v spotrebiteľských zmluvách (Ú. v. ES L 95, 21.4.1993, s. 29).

(7)  Nariadenie Európskeho parlamentu a Rady (ES) č. 1338/2008 zo 16. decembra 2008 o štatistikách Spoločenstva v oblasti verejného zdravia a bezpečnosti a ochrany zdravia pri práci (Ú. v. EÚ L 354, 31.12.2008, s. 70).

(8)  Smernica Európskeho parlamentu a Rady2002/58/ES z 12. júla 2002, týkajúca sa spracovávania osobných údajov a ochrany súkromia v sektore elektronických komunikácií (smernica o súkromí a elektronických komunikáciách) (Ú. v. ES L 201, 31.7.2002, s. 37).

(9)  Nariadenie Európskeho parlamentu a Rady (ES) č. 1049/2001 z 30. mája 2001 o prístupe verejnosti k dokumentom Európskeho parlamentu, Rady a Komisie (Ú. v. ES L 145, 31.5.2001, s. 43).

(10)  Ú. v. ES L 56, 4.3.1968, s. 1.

(11)  Nariadenie Európskeho parlamentu a Rady (EÚ) č. 182/2011 zo 16. februára 2011, ktorým sa ustanovujú pravidlá a všeobecné zásady mechanizmu, na základe ktorého členské štáty kontrolujú vykonávanie vykonávacích právomocí Komisie (Ú. v. EÚ L 55, 28.2.2011, s. 13).

(12)  Nariadenie Európskeho parlamentu a Rady (ES) č. 223/2009 z 11. marca 2009 o európskej štatistike a o zrušení nariadenia (ES, Euratom) č. 1101/2008 o prenose dôverných štatistických údajov Štatistickému úradu Európskych spoločenstiev, nariadenia Rady (ES) č. 322/97 o štatistike Spoločenstva a rozhodnutia Rady 89/382/EHS, Euratom o založení Výboru pre štatistické programy Európskych spoločenstiev (Ú. v. EÚ L 87, 31.3.2009, s. 164).

(13)  Rozhodnutie Európskeho parlamentu, Rady a Komisie č. 1247/2002/ES z 1. júla 2002 o pravidlách a všeobecných podmienkach, ktorými sa spravuje výkon funkcie európskeho dozorného úradníka pre ochranu údajov (Ú. v. ES L 183, 12.7.2002, s. 1).

(14)  Ú. v. EÚ C 164, 24.5.2017, s. 2.

(15)  Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/794 z 11. mája 2016 o Agentúre Európskej únie pre spoluprácu v oblasti presadzovania práva (Europol), ktorým sa nahrádzajú a zrušujú rozhodnutia Rady 2009/371/SVV, 2009/934/SVV, 2009/935/SVV, 2009/936/SVV a 2009/968/SVV (Ú. v. EÚ L 135, 24.5.2016, s. 53).

(16)  Nariadenie Rady (EÚ) 2017/1939 z 12. októbra 2017, ktorým sa vykonáva posilnená spolupráca na účely zriadenia Európskej prokuratúry (Ú. v. EÚ L 283, 31.10.2017, s. 1).

(17)  Smernica Európskeho parlamentu a Rady (EÚ) 2015/1535 z 9. septembra 2015, ktorou sa stanovuje postup pri poskytovaní informácií v oblasti technických predpisov a pravidiel vzťahujúcich sa na služby informačnej spoločnosti (Ú. v. EÚ L 241, 17.9.2015, s. 1).

(18)  Smernica Komisie 2008/63/ES z 20. júna 2008 o hospodárskej súťaži na trhoch s koncovými telekomunikačnými zariadeniami (Ú. v. EÚ L 162, 21.6.2008, s. 20).

(19)  Rozhodnutie Rady 2009/917/SVV z 30. novembra 2009 o využívaní informačných technológií na colné účely (Ú. v. EÚ L 323, 10.12.2009, s. 20).

(20)  Rozhodnutie Európskeho parlamentu a Rady 2014/886/EÚ zo 4. decembra 2014, ktorým sa vymenúva európsky dozorný úradník pre ochranu údajov a zástupca dozorného úradníka (Ú. v. EÚ L 351, 9.12.2014, s. 9).