DÔVODOVÁ SPRÁVA

1. KONTEXT NÁVRHU

V tejto dôvodovej správe sa podrobnejšie objasňuje prístup týkajúci sa nového právneho rámca pre ochranu osobných údajov v EÚ, ktorý je opísaný v oznámení KOM(2012) 9 v konečnom znení. Právny rámec pozostáva z dvoch legislatívnych návrhov:

– návrhu nariadenia Európskeho parlamentu a rady o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov (všeobecné nariadenie o ochrane údajov) a

– návrhu smernice Európskeho parlamentu a Rady o ochrane fyzických osôb pri spracúvaní osobných údajov príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií a o voľnom pohybe takýchto údajov.

Táto dôvodová správa sa týka druhého uvedeného legislatívneho návrhu.

Smernica 95/46/ES[1], ktorá je základným kameňom existujúcej legislatívy EÚ v oblasti ochrany údajov, bola prijatá v roku 1995 a mala plniť dva ciele: chrániť základné právo na ochranu údajov a zaručiť voľný tok osobných údajov medzi členskými štátmi. Smernica bola doplnená viacerými nástrojmi, ktorými sa ustanovili osobitné pravidlá ochrany údajov v oblasti policajnej a justičnej spolupráce v trestných veciach[2] (bývalý tretí pilier), vrátane rámcového rozhodnutia 2008/977/SVV[3].

Európska rada vyzvala Komisiu, aby zhodnotila fungovanie nástrojov EÚ v oblasti ochrany údajov a podľa potreby predložila ďalšie legislatívne a nelegislatívne iniciatívy[4]. Európsky parlament vo svojom uznesení k Štokholmskému programu[5] privítal návrh komplexného systému ochrany údajov v EÚ a okrem iného vyzval na revíziu rámcového rozhodnutia. Komisia vo svojom Akčnom pláne na implementáciu Štokholmského programu[6] zdôraznila potrebu zabezpečiť konzistentné uplatňovanie základného práva na ochranu údajov v súvislosti so všetkými politikami EÚ. V akčnom pláne sa zdôrazňuje, že: „v globálnej spoločnosti vyznačujúcej sa rýchlymi technologickými zmenami, v ktorej informačná výmena nepozná hraníc, má uchovanie súkromia prvoradý význam. Únia musí zabezpečiť konzistentné uplatňovanie základného práva na ochranu údajov. Musí sa posilniť pozícia EÚ v oblasti ochrany osobných údajov jednotlivcov v súvislosti so všetkými politikami EÚ vrátane presadzovania práva a predchádzania trestnej činnosti, ako aj v našich medzinárodných vzťahoch.“

Komisia vo svojom oznámení „Komplexný prístup k ochrane osobných údajov v Európskej únii“[7] dospela k záveru, že EÚ potrebuje komplexnejšiu a koherentnejšiu politiku týkajúcu sa základného práva na ochranu osobných údajov.

Rozsah pôsobnosti rámcového rozhodnutia 2008/977/SVV je obmedzený, pretože sa vzťahuje len na cezhraničné spracúvanie údajov, a nie na aktivity spracúvania údajov policajnými a justičnými orgánmi výlučne na vnútroštátnej úrovni. To spôsobuje ťažkosti policajným a iným príslušným orgánom v oblastiach justičnej spolupráce v trestných veciach a policajnej spolupráce. Pre tieto orgány nie je vždy jednoduché odlíšiť výlučne vnútroštátne spracúvanie od cezhraničného spracúvania alebo predvídať, či sa určité osobné údaje môžu neskôr stať predmetom cezhraničnej výmeny (pozri oddiel 2 nižšie). Okrem toho rámcové rozhodnutie svojou povahou a svojím obsahom ponecháva členským štátom široký manévrovací priestor pri implementácii jeho ustanovení prostredníctvom vnútroštátnych právnych predpisov. Neobsahuje ani žiaden mechanizmus alebo poradnú skupinu podobnú pracovnej skupine zriadenej podľa článku 29, ktoré by podporovali spoločný výklad jeho ustanovení, a ani nezveruje vykonávacie právomoci Komisii na zaistenie spoločného prístupu pri jeho vykonávaní.

V článku 16 ods. 1 Zmluvy o fungovaní Európskej únie (ďalej len „ZFEÚ“) sa stanovuje zásada, že každý má právo na ochranu osobných údajov. Okrem toho sa článkom 16 ods. 2 Lisabonskej zmluvy zaviedol osobitný právny základ pre prijímanie pravidiel ochrany osobných údajov, ktorý sa vzťahuje aj na justičnú spoluprácu v trestných veciach a policajnú spoluprácu. V článku 8 Charty základných práv EÚ je zakotvená ochrana osobných údajov ako základné právo. V článku 16 ZFEÚ sa stanovuje povinnosť zákonodarcu ustanoviť pravidlá, ktoré sa vzťahujú na ochranu fyzických osôb, pokiaľ ide o spracúvanie osobných údajov v oblastiach justičnej spolupráce v trestných veciach a policajnej spolupráce, pokrývajúce cezhraničné aj vnútroštátne spracúvanie osobných údajov. To umožní ochranu základných práv a slobôd fyzických osôb, a to najmä ich práva na ochranu osobných údajov, a súčasne zaistí výmenu osobných údajov na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií. To prispeje k uľahčeniu spolupráce v boji proti trestnej činnosti v Európe.

Vzhľadom na osobitný charakter oblasti policajnej a justičnej spolupráce v trestných veciach sa vo vyhlásení č. 21[8] uznáva, že sa možno budú musieť prijať osobitné pravidlá o ochrane osobných údajov a o voľnom pohybe takýchto údajov v oblasti justičnej spolupráce v trestných veciach a policajnej spolupráce na základe článku 16 Zmluvy o fungovaní Európskej únie.

2. VÝSLEDKY KONZULTÁCIÍ SO ZAINTERESOVANÝMI STRANAMI A POSÚDENÍ VPLYVU

Táto iniciatíva je výsledkom rozsiahlych konzultácií so všetkými hlavnými zainteresovanými stranami o revízii existujúceho právneho rámca ochrany osobných údajov, ktoré zahŕňali dve fázy verejných konzultácií:

– od 9. júla do 31. decembra 2009 prebiehali konzultácie o právnom rámci pre základné právo na ochranu osobných údajov. Komisii bolo doručených 168 odpovedí, 127 bolo od fyzických osôb, obchodných organizácií a združení a 12 od verejných orgánov. Príspevky, ktoré nemajú dôverný charakter, sú k nahliadnutiu na webovej stránke Komisie[9].

– Od 4. novembra 2010 do 15. januára 2011 prebiehali konzultácie o komplexnom prístupe Komisie k ochrane osobných údajov v Európskej únii. Komisii bolo doručených 305 odpovedí, z ktorých 54 bolo od občanov, 31 od verejných orgánov a 220 od súkromných organizácií, najmä od obchodných združení a mimovládnych organizácií. Príspevky, ktoré nemajú dôverný charakter, sú k nahliadnutiu na webovej stránke Komisie[10].

Keďže uvedené konzultácie sa sústredili najmä na revíziu smernice 95/46/ES, uskutočnili sa cielené konzultácie so zainteresovanými stranami z oblasti presadzovania práva; išlo najmä o workshop s orgánmi členských štátov, ktorý sa uskutočnil 29. júna 2010, o uplatňovaní pravidiel ochrany údajov na verejné orgány, a to aj v oblasti policajnej spolupráce a justičnej spolupráce v trestných veciach. Okrem toho Komisia 2. februára 2011 zorganizovala workshop s orgánmi členských štátov, na ktorom sa diskutovalo o vykonávaní rámcového rozhodnutia 2008/977/SVV, ako aj všeobecnejšie o otázkach ochrany údajov v oblasti policajnej spolupráce a justičnej spolupráce v trestných veciach.

Konzultácia s občanmi EÚ sa uskutočnila prostredníctvom prieskumu Eurobarometer v novembri a decembri 2010[11]. Začalo sa aj s prácou na niekoľkých štúdiách[12]. Pracovná skupina zriadená podľa článku 29[13] poskytla Komisii viaceré stanoviská a užitočné pripomienky[14]. Európsky dozorný úradník pre ochranu údajov takisto vydal komplexné stanovisko o otázkach, ktoré nastolila Komisia vo svojom oznámení z novembra 2010[15].

Európsky parlament schválil svojim uznesením zo 6. júla 2011 správu, ktorá podporila prístup Komisie k reforme rámca ochrany údajov[16]. Rada Európskej únie prijala 24. februára 2011 závery, v ktorých v širokej miere podporila zámer Komisie reformovať rámec ochrany údajov a súhlasila s mnohými prvkami prístupu Komisie. Európsky hospodársky a sociálny výbor takisto podporil všeobecný zámer Komisie zabezpečiť konzistentnejšie uplatňovanie pravidiel ochrany údajov EÚ v rámci všetkých členských štátov a primeranú revíziu smernice 95/46/ES[17].

V súlade s politikou „lepšej právnej regulácie“ Komisia vykonala posúdenie vplyvu alternatív politiky[18]. Posúdenie vplyvu sa opieralo o tri politické ciele: zlepšenie dimenzie vnútorného trhu pri ochrane údajov, zvýšenie účinnosti uplatňovania práv na ochranu údajov zo strany fyzických osôb a vytvorenie komplexného a súdržného rámca pokrývajúceho všetky oblasti právomocí Únie vrátane policajnej spolupráce a justičnej spolupráce v trestných veciach. Pokiaľ ide osobitne o posledný z uvedených cieľov, posudzovali sa dve možnosti politiky: prvá v podstate spočívala v rozšírení rozsahu pôsobnosti pravidiel ochrany údajov v tejto oblasti a vo vyriešení nedostatkov a iných problémov súvisiacich s rámcovým rozhodnutím, zatiaľ čo druhá možnosť predpokladala ďalekosiahlejšie zmeny s výrazne normatívnymi a prísnymi pravidlami, ktoré by si vyžadovali okamžité zmeny a doplnenia všetkých ostatných nástrojov „bývalého tretieho piliera“. Tretia, „minimalistická“, možnosť založená najmä na výkladových oznámeniach a podporných opatreniach politiky, ako sú programy financovania a technické nástroje, s minimálnymi legislatívnymi zásahmi sa nepovažovala za vhodnú na riešenie problémov, ktoré boli identifikované v tejto oblasti v súvislosti s ochranou údajov.

Za pomoci medziútvarovej riadiacej skupiny bola každá politická možnosť posudzovaná podľa metodiky Komisie, a to pokiaľ ide o jej účinnosť z hľadiska dosiahnutia politických cieľov, z hľadiska jej hospodárskeho vplyvu na zainteresované strany (vrátane vplyvu na rozpočet inštitúcií EÚ) a z hľadiska jej sociálneho dosahu a účinku na základné práva. Dosah na životné prostredie sa neskúmal.

Analýza celkového vplyvu viedla k rozvinutiu uprednostnenej politickej možnosti, ktorá je zahrnutá do tohto návrhu. Podľa posúdenia vplyvu povedie implementácia tohto návrhu k ďalšiemu posilneniu ochrany údajov v tejto oblasti politiky najmä vďaka zahrnutiu vnútroštátneho spracúvania údajov, čím dôjde k zvýšeniu právnej istoty pre príslušné orgány v oblasti justičnej spolupráce v trestných veciach a policajnej spolupráce.

Výboru pre posudzovanie vplyvu vydal stanovisko k návrhu posúdenia vplyvu 9. septembra 2011. Na základe stanoviska výboru pre posudzovanie vplyvu boli v posúdení vplyvu vykonané tieto zmeny:

– boli ozrejmené ciele súčasného právneho rámca (s uvedením, do akej miery boli splnené alebo nesplnené), ako aj ciele plánovanej reformy,

– do oddielu, v ktorom sú vymedzené problémy, boli pridané ďalšie dôkazy a vysvetlenia, resp. ozrejmenia.

Komisia tiež vypracovala správu o vykonávaní týkajúcu sa rámcového rozhodnutia 2008/977/SVV, založenú na jeho článku 29 ods. 2, ktorá sa má prijať ako súčasť tohto súboru opatrení v oblasti ochrany údajov[19]. Zistenia uvedenej správy, ktorá vychádza z informácií poskytnutých členskými štátmi, poslúžili pri príprave posúdenia vplyvu.

3. PRÁVNE PRVKY NÁVRHU 3.1. Právny základ

Tento návrh je založený na článku 16 ods. 2 ZFEÚ, ktorý je novým, osobitným právnym základom, ktorý bol zavedený Lisabonskou zmluvou na účely prijatia pravidiel, ktoré sa vzťahujú na ochranu fyzických osôb, pokiaľ ide o spracúvanie osobných údajov inštitúciami, orgánmi, úradmi a agentúrami Únie, ako aj členskými štátmi pri výkone činností, ktoré patria do rozsahu pôsobnosti práva Únie, a pravidiel, ktoré sa vzťahujú na voľný pohyb takýchto údajov.

Cieľom návrhu je zaistiť konzistentnú a vysokú úroveň ochrany údajov v tejto oblasti, a tak posilniť vzájomnú dôveru medzi policajnými a justičnými orgánmi jednotlivých členských štátov a uľahčiť voľný tok údajov a spoluprácu medzi policajnými a justičnými orgánmi.

3.2. Subsidiarita a proporcionalita

Podľa zásady subsidiarity (článok 5 ods. 3 ZEÚ) sa opatrenia na úrovni Únie prijmú len v takom rozsahu a vtedy, keď zamýšľané ciele nemôžu uspokojivo dosiahnuť členské štáty, ale z dôvodov rozsahu alebo účinkov navrhovanej činnosti ich možno lepšie dosiahnuť na úrovni Únie. Vzhľadom na uvedené problémy z analýzy otázky subsidiarity vyplýva potreba prijať opatrenia na úrovni EÚ v oblasti polície a trestnej justície, a to z týchto dôvodov:

– právo na ochranu osobných údajov zakotvené v článku 8 Charty základných práv a v článku 16 ods. 1 ZFEÚ vyžaduje rovnakú úroveň ochrany údajov v celej Únii. Rovnaká úroveň ochrany je potrebná aj v prípade údajov vymieňaných a spracúvaných na vnútroštátnej úrovni,

– je čoraz nevyhnutnejšie, aby orgány presadzovania práva v členských štátoch mali možnosť spracúvať a vymieňať si medzi sebou rýchlo rastúci objem údajov na účely predchádzania a boja proti nadnárodnej trestnej činnosti a terorizmu. V tejto súvislosti jasné a konzistentné pravidlá ochrany údajov na úrovni EÚ prispejú k podpore spolupráce medzi týmito orgánmi,

– okrem toho existujú praktické výzvy súvisiace s presadzovaním právnych predpisov v oblasti ochrany údajov, pričom je nutná aj spolupráca medzi členskými štátmi a ich orgánmi, ktorú je potrebné organizovať na úrovni EÚ s cieľom zabezpečiť jednotné uplatňovanie práva Únie. V niektorých situáciách má EÚ najlepšie predpoklady na to, aby účinne a konzistentne zaistila rovnakú úroveň ochrany fyzických osôb, keď sú ich osobné údaje prenášané do tretích krajín.

– členské štáty nemôžu samotné znížiť množstvo problémov pretrvávajúcich za súčasnej situácie, najmä tých, ktoré sú dôsledkom rozdielnosti právnych úprav jednotlivých štátov. Existuje preto osobitná potreba zaviesť harmonizovaný a súdržný rámec umožňujúci bezproblémové prenášanie osobných údajov cez hranice v rámci EÚ, a to pri súčasnom zabezpečení účinnej ochrany pre všetky fyzické osoby v rámci EÚ,

– navrhované právne opatrenie EÚ bude pravdepodobne účinnejšie, než by mohli byť podobné opatrenia na úrovni členských štátov, a to v dôsledku povahy a rozsahu problémov, ktoré sa dotýkajú viac ako jedného či niekoľkých členských štátov,

V rámci zásady proporcionality sa vyžaduje, aby bol akýkoľvek zásah zameraný na dosiahnutie cieľov a nešiel nad rámec toho, čo je nevyhnutné na dosiahnutie týchto cieľov. Táto zásada sprevádzala prípravu tohto návrhu, a to od stanovenia a posúdenia alternatívnych možností politiky až po vypracovanie návrhu právneho predpisu.

Smernica je preto najlepším nástrojom na zaistenie harmonizácie na úrovní EÚ v tejto oblasti, pričom zároveň ponecháva členským štátom potrebnú flexibilitu pri implementácii zásad, pravidiel a príslušných výnimiek na vnútroštátnej úrovni. Vzhľadom na komplexnosť súčasných vnútroštátnych pravidiel ochrany osobných údajov spracúvaných v oblasti policajnej spolupráce a justičnej spolupráce v trestných veciach a cieľ komplexnej harmonizácie týchto pravidiel na základe smernice bude musieť Komisia požiadať členské štáty, aby predložili dokumenty, v ktorých sa ozrejmí vzťah medzi prvkami smernice a príslušnými časťami vnútroštátnych transpozičných nástrojov, aby mohla splniť svoju úlohu, pokiaľ ide o dohľad nad transpozíciou smernice.

3.3. Zhrnutie otázok týkajúcich sa základných práv

Právo na ochranu osobných údajov je stanovené v článku 8 Charty základných práv EÚ, v článku 16 ZFEÚ a v článku 8 Európskeho dohovoru o základných právach. Ako zdôraznil Súdny dvor EÚ[20], právo na ochranu osobných údajov sa nejaví ako absolútne právo, ale musí sa zohľadniť so zreteľom na jeho funkciu v spoločnosti[21]. Ochrana údajov úzko súvisí s rešpektovaním súkromného a rodinného života, ktoré je chránené článkom 7 charty. Táto skutočnosť je zohľadnená v článku 1 ods. 1 smernice 95/46/ES, kde sa stanovuje, že členské štáty chránia základné práva a slobody fyzických osôb, a najmä ich právo na súkromie v súvislosti so spracovaním osobných údajov.

Medzi potenciálne dotknuté základné práva zakotvené v charte patrí zákaz akejkoľvek diskriminácie, či už napr. z dôvodu rasy, etnického pôvodu, genetických vlastností, náboženstva alebo viery, politického alebo iného zmýšľania, zdravotného postihnutia alebo sexuálnej orientácie (článok 21), ako aj práva dieťaťa (článok 24) a právo na účinný prostriedok nápravy a na spravodlivý proces (článok 47).

3.4. Podrobné vysvetlenie návrhu 3.4.1. KAPITOLA I – VŠEOBECNÉ USTANOVENIA

V článku 1 sa vymedzuje predmet smernice, t. j. pravidlá týkajúce sa spracúvania osobných údajov na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania či stíhania alebo na účely výkonu trestných sankcií, a stanovuje sa dvojitý cieľ smernice, t. j. chrániť základné práva a slobody fyzických osôb, najmä ich právo na ochranu osobných údajov, a zároveň zabezpečiť vysokú úroveň verejnej bezpečnosti a zaistiť výmenu osobných údajov medzi príslušnými orgánmi v rámci Únie.

V článku 2 sa vymedzuje rozsah pôsobnosti smernice. Rozsah pôsobnosti smernice nie je obmedzený na cezhraničné spracúvanie údajov, ale vzťahuje sa na všetky činnosti spracúvania vykonávané „príslušnými orgánmi“ (ktoré sú vymedzené v článku 3 ods. 14) na účely smernice. Smernica sa nevzťahuje na spracúvanie v rámci činnosti, ktorá nepatrí do pôsobnosti práva Únie, ani na spracúvanie inštitúciami, orgánmi, úradmi a agentúrami Únie, ktoré je upravené nariadením (ES) č. 45/2001 a ďalšími osobitnými právnymi predpismi.

V článku 3 sú vymedzené pojmy používané v smernici. Zatiaľ čo niektoré pojmy sú prevzaté zo smernice 95/46/ES a rámcového rozhodnutia 2008/977/SVV, ďalšie sú zmenené, doplnené dodatočnými alebo novými prvkami. Novo vymedzené pojmy sú „porušenie ochrany osobných údajov“, „genetické údaje“ a „biometrické údaje“, „príslušné orgány“ [na základe článku 87 ZFEÚ a článku 2 písm. h) rámcového rozhodnutia 2008/977/SVV] a „dieťa“ (na základe Dohovoru OSN o právach dieťaťa)[22].

3.4.2. KAPITOLA II – ZÁSADY

V článku 4 sa stanovujú zásady spracúvania osobných údajov, ktoré zohľadňujú článok 6 smernice 95/46/ES a článok 3 rámcového rozhodnutia 2008/977/SVV a zároveň sú prispôsobené osobitnému kontextu tejto smernice.

Na základe článku 5 sa vyžaduje, aby sa v maximálnom možnom rozsahu rozlišovalo medzi osobnými údajmi rôznych kategórií dotknutých osôb. Ide o nové ustanovenie, ktoré nebolo zahrnuté ani v smernici 95/46/ES, ani v rámcovom rozhodnutí 2008/977/SVV, ale ktoré bolo súčasťou pôvodného návrhu rámcového rozhodnutia[23], ako ho predložila Komisia. Je inšpirované odporúčaním Rady Európy č. R (87)15. Podobné pravidlá existujú pre Europol[24] a Eurojust[25].

Článok 6, ktorý sa týka rozdielnych stupňov presnosti a spoľahlivosti, zodpovedá zásade 3.2 z odporúčania Rady Európy č. R (87)15. Podobné pravidlá, ktoré sú zahrnuté v návrhu rámcového rozhodnutia predloženého Komisiou, existujú pre Europol[26].

V článku 7 sa stanovujú podmienky zákonnosti spracovania, ktorými sú: plnenie úloh príslušného orgánu na základe vnútroštátneho zákona, splnenie zákonnej povinnosti prevádzkovateľa údajov, ochrana zásadných záujmov dotknutej osoby či inej osoby alebo predídenie bezprostrednému a vážnemu ohrozeniu verejnej bezpečnosti. Ďalšie podmienky zákonnosti spracovania uvedené v článku 7 smernice 95/46/ES nie sú v kontexte spracúvania údajov v oblasti polície a trestnej justície vhodné.

V článku 8 sa stanovuje všeobecný zákaz spracúvania osobitných kategórií osobných údajov a výnimky z tohto všeobecného pravidla, pričom sa vychádza z článku 8 smernice 95/46/ES a na základe judikatúry ESĽP[27] sa dopĺňajú genetické údaje.

V článku 9 sa stanovuje zákaz opatrení, ktoré sú založené výlučne na automatizovanom spracúvaní osobných údajov, ak nie sú povolené zákonom, v ktorom sa stanovujú náležité záruky, v súlade s článkom 7 rámcového rozhodnutia 2008/977/SVV.

3.4.3. KAPITOLA III – PRÁVA DOTKNUTEJ OSOBY

V článku 10 sa zavádza povinnosť členských štátov zabezpečiť ľahko prístupné a pochopiteľné informácie, čo vychádza najmä z Madridskej rezolúcie o medzinárodných štandardoch o ochrane osobných údajov a súkromia[28], a stanovuje sa povinnosť prevádzkovateľov zaviesť postupy a mechanizmy na uľahčenie výkonu práv dotknutej osoby. Stanovuje sa aj požiadavka, aby bol tento výkon práv v zásade bezplatný.

V článku 11 sa uvádza povinnosť členských štátov zaistiť poskytnutie informácií dotknutej osobe. Uvedené povinnosti vychádzajú z článkov 10 a 11 smernice 95/46/ES, bez toho, aby sa prostredníctvom samostatných článkov rozlišovalo, či sú informácie získané od dotknutej osoby alebo nie, a rozširujú rozsah informácií, ktoré sa majú poskytnúť. Ustanovujú sa v ňom výnimky z povinnosti informovať, pokiaľ sú takéto výnimky nevyhnutné a primerané v demokratickej spoločnosti na výkon úloh príslušných orgánov (ustanovenie vychádza z článku 13 smernice 95/46/ES a článku 17 rámcového rozhodnutia 2008/977/SVV).

V článku 12 sa stanovuje povinnosť členských štátov zaistiť právo dotknutej osoby na prístup k jej osobným údajom. Vychádza z článku 12 písm. a) smernice 95/46/ES, pričom dopĺňa nové prvky informácií, ktoré sa majú poskytnúť dotknutej osobe (informácie o období uchovávania údajov, práve na opravu, výmaz alebo obmedzenie spracúvania a práve podať sťažnosť).

V článku 13 sa stanovuje, že členské štáty môžu prijať právne opatrenia, ktorými sa obmedzuje právo na prístup, ak si to vyžaduje osobitný charakter spracúvania údajov v oblasti polície a trestnej justície, a opatrenia týkajúce sa informovania dotknutej osoby o obmedzení prístupu, pričom sa vychádza z článku 17 ods. 2 a 3 rámcového rozhodnutia 2008/977/SVV.

V článku 14 sa zavádza pravidlo, podľa ktorého v prípadoch, keď je priamy prístup obmedzený, musí byť dotknutá osoba informovaná o možnosti nepriameho prístupu prostredníctvom dozorného orgánu, ktorý by mal uplatniť právo v jej mene a ktorý musí dotknutú osobu informovať o výsledku overovania.

Článok 15 o práve na opravu vychádza z článku 12 písm. b) smernice 95/46/ES a, pokiaľ ide o povinnosti v prípade zamietnutia, z článku 18 ods. 1 rámcového rozhodnutia 2008/977/SVV.

Článok 16 o práve na výmaz vychádza z článku 12 písm. b) smernice 95/46/ES a, pokiaľ ide o povinnosti v prípade zamietnutia, z článku 18 ods. 1 rámcového rozhodnutia 2008/977/SVV. Je v ňom zahrnuté aj právo na označenie spracúvania osobných údajov v niektorých prípadoch, ktorým sa nahrádza nejasný výraz „zablokovať“ či „blokovať“ použitý v článku 12 písm. b) smernice 95/46/ES a v článku 18 ods. 1 rámcového rozhodnutia 2008/977/SVV.

V článku 17, ktorý sa týka opravy, výmazu alebo obmedzenia spracúvania v rámci súdneho konania, obsahuje vysvetlenia založené na článku 4 ods. 4 rámcového rozhodnutia 2008/977/SVV.

3.4.4. KAPITOLA IV – PREVÁDZKOVATEĽ A SPROSTREDKOVATEĽ 3.4.4.1. ODDIEL 1 – VŠEOBECNÉ POVINNOSTI

V článku 18 sa opisuje zodpovednosť prevádzkovateľa dodržiavať túto smernicu a zaistiť jej dodržiavanie vrátane prijatia politík a mechanizmov na zaistenie súladu.

V článku 19 sa stanovuje, že členské štáty musia zaistiť, aby prevádzkovateľ dodržiaval povinnosti vyplývajúce zo zásad ochrany údajov špecificky navrhnutej a štandardne určenej.

V článku 20, ktorý sa týka spoločných prevádzkovateľov, sa objasňuje postavenie spoločných prevádzkovateľov, pokiaľ ide o ich vnútorné vzťahy.

Článok 21 sčasti vychádza z článku 17 ods. 2 smernice 95/46/ES a objasňuje postavenie a povinnosti sprostredkovateľov, pričom doň boli pridané nové prvky vrátane ustanovenia, že sprostredkovateľ, ktorý spracúva údaje nad rámec pokynov prevádzkovateľa, sa považuje za spoluprevádzkovateľa

Článok 22, ktorý sa týka spracúvania na základe právomoci prevádzkovateľa a sprostredkovateľa, vychádza z článku 16 smernice 95/46/ES.

V článku 23 sa zavádza povinnosť prevádzkovateľov a sprostredkovateľov viesť dokumentáciu týkajúcu sa všetkých systémov a postupov spracúvania patriacich do rámca ich zodpovednosti.

Článok 24 sa týka uchovávania záznamov v súlade s článkom 10 ods. 1 rámcového rozhodnutia 2008/977/SVV, pričom obsahuje dodatočné objasnenia.

V článku 25 sú ozrejmené povinnosti prevádzkovateľa a sprostredkovateľa, pokiaľ ide o spoluprácu s dozorným orgánom.

Článok 26 sa týka prípadov, keď existuje povinnosť konzultovať dozorný orgán pred spracovaním údajov; tento článok je založený na článku 23 rámcového rozhodnutia 2008/977/SVV.

3.4.4.2. ODDIEL 2 – BEZPEČNOSŤ ÚDAJOV

Článok 27, ktorý sa týka bezpečnosti spracovania a je založený na súčasnom článku 17 ods. 1 smernice 95/46/ES týkajúcom sa bezpečnosti spracovania a článku 22 rámcového rozhodnutia 2008/977/SVV, rozširuje súvisiace povinnosti na sprostredkovateľov bez ohľadu na ich zmluvu s prevádzkovateľom.

V článkoch 28 a 29 sa zavádza povinnosť oznamovať porušenie ochrany osobných údajov, ktorá vychádza z konceptu oznámenia o porušení ochrany osobných údajov podľa článku 4 ods. 3 smernice o súkromí a elektronických komunikáciách 2002/58/ES, pričom sa v nich objasňujú a oddeľujú povinnosť oznámiť porušenie dozornému orgánu (článok 28) a povinnosť za určitých okolností informovať dotknutú osobu (článok 29). V článku 29 sa tiež stanovujú výnimky, a to prostredníctvom odkazu na článok 11 ods. 4.

3.4.4.3. ODDIEL 3 – ÚRADNÍK PRE OCHRANU ÚDAJOV

V článku 30 sa zavádza povinnosť prevádzkovateľa vymenovať úradníka pre ochranu údajov, ktorý by mal plniť úlohy uvedené v článku 32. Ak viaceré príslušné orgány konajú pod dozorom ústredného orgánu, ktorý vystupuje ako prevádzkovateľ, mal by určiť takéhoto úradníka pre ochranu údajov aspoň tento ústredný orgán. Podľa článku 18 ods. 2 smernice 95/46/ES mali členské štáty možnosť zaviesť takúto požiadavku namiesto všeobecnej oznamovacej povinnosti.

V článku 31 sa stanovuje postavenie úradníka pre ochranu údajov.

V článku 32 sú stanovené úlohy úradníka pre ochranu údajov.

3.4.5. KAPITOLA V – PRENOS OSOBNÝCH ÚDAJOV DO TRETÍCH KRAJÍN ALEBO MEDZINÁRODNÝM ORGANIZÁCIÁM

V článku 33 sa stanovujú všeobecné zásady prenosu údajov do tretích krajín alebo medzinárodným organizáciám v oblasti policajnej spolupráce a justičnej spolupráce v trestných veciach vrátane ďalších prenosov. Objasňuje sa v ňom, že prenosy do tretích krajín sa môžu uskutočniť, len ak je prenos nevyhnutný na predchádzanie trestným činom, ich vyšetrovanie, odhaľovanie či stíhanie alebo na výkon trestných sankcií.

V článku 34 sa stanovuje, že prenosy údajov sa môžu uskutočniť do tých tretích krajín, v súvislosti s ktorými Komisia prijala rozhodnutie o primeranosti podľa nariadenia …./../201X alebo osobitne v oblasti policajnej spolupráce a justičnej spolupráce v trestných veciach, alebo, ak takéto rozhodnutia neexistujú, a sú zavedené náležité záruky. V prípade neexistencie rozhodnutí o primeranosti, smernica zaisťuje, aby sa v prenosoch mohlo pokračovať na základe náležitých záruk a odchýlok. Okrem toho sa v ňom stanovujú kritériá, ktoré má Komisia zohľadniť pri posudzovaní, či úroveň ochrany je alebo nie je primeraná, a výslovne sa v ňom uvádza kritérium existencie právneho štátu, súdnych prostriedkov nápravy a nezávislého dozoru. Článok tiež umožňuje Komisii posúdiť úroveň ochrany poskytovanú na určitom území alebo sektorom spracovania v tretej krajine. Uvádza sa v ňom, že všeobecné rozhodnutie o primeranosti prijaté na základe postupov podľa článku 38 všeobecného nariadenia o ochrane údajov, je uplatniteľné v rámci rozsahu pôsobnosti tejto smernice. Komisia môže alternatívne prijať rozhodnutie o primeranosti výhradne na účely tejto smernice.

V článku 35 sa vymedzuje koncept náležitých záruk, ktoré sa vyžadujú pred uskutočnením medzinárodných prenosov v prípadoch, keď neexistuje rozhodnutie o primeranosti. Tieto záruky môžu mať formu právne záväzných nástrojov, ako sú medzinárodné dohody. Alternatívne môže prevádzkovateľ údajov na základe posúdenia okolností prenosu dospieť k záveru, že tieto záruky existujú.

V článku 36 sa uvádzajú odchýlky pre prenos údajov založené na článku 26 smernice 95/46/ES a článku 13 rámcového rozhodnutia 2008/977/SVV.

Podľa článku 37 musia členské štáty stanoviť, že prevádzkovateľ je povinný informovať príjemcu osobných údajov o akýchkoľvek obmedzeniach spracovania a podniknúť všetky primerané kroky s cieľom zabezpečiť, aby tieto obmedzenia príjemcovia osobných údajov v tretej krajine alebo medzinárodnej organizácii dodržali.

V článku 38 sa výslovne stanovujú mechanizmy medzinárodnej spolupráce na účely ochrany osobných údajov medzi Komisiou a dozornými orgánmi tretích krajín, konkrétne ide o spoluprácu s tými orgánmi, ktoré ponúkajú primeranú úroveň ochrany, pričom sa zohľadňuje odporúčanie Organizácie pre hospodársku spoluprácu a rozvoj z 12. júna 2007 o cezhraničnej spolupráci pri presadzovaní právnych predpisov na ochranu súkromia.

KAPITOLA VI – NÁRODNÉ DOZORNÉ ORGÁNY

3.4.5.1. ODDIEL 1 – NEZÁVISLÉ POSTAVENIE

V článku 39 sa, vychádzajúc z článku 28 ods. 1 smernice 95/46/ES a článku 25 rámcového rozhodnutia 2008/977/SVV, stanovuje povinnosť členských štátov ustanoviť dozorné orgány, pričom sa rozširuje úloha týchto orgánov o prispievanie ku konzistentnému uplatňovaniu smernice v celej Únii; týmto dozorným orgánom môže byť aj dozorný orgán ustanovený podľa všeobecného nariadenia o ochrane údajov.

V článku 40 sa ozrejmujú podmienky nezávislosti dozorných orgánov, pričom sa uplatňuje judikatúra Súdneho dvora EÚ[29] a vychádza sa tiež z článku 44 nariadenia (ES) č. 45/2001[30].

V článku 41 sa stanovujú všeobecné podmienky členstva v dozorných orgánoch, pričom sa uplatňuje príslušná judikatúra[31] a vychádza sa z článku 42 ods. 2 až 6 nariadenia (ES) 45/2001.

V článku 42 sa stanovujú pravidlá zriaďovania dozorného orgánu, a to aj pokiaľ ide o podmienky vzťahujúce sa na jeho členov, ktoré majú členské štáty upraviť zákonom.

Článok 43, ktorý sa týka služobného tajomstva členov a zamestnancov dozorného orgánu, vychádza z článku 28 ods. 7 smernice 95/46/ES a článku 25 ods. 4 rámcového rozhodnutia 2008/977/SVV.

3.4.5.2. ODDIEL 2 – POVINNOSTI A PRÁVOMOCI

V článku 44 sa stanovuje pôsobnosť dozorného orgánu, pričom sa vychádza z článku 28 ods. 6 smernice 95/46/ES a článku 25 ods. 1 rámcového rozhodnutia 2008/977/SVV. Súdy, keď plnia svoje súdne funkcie, nepodliehajú dohľadu dozorného orgánu, sú však povinné dodržiavať hmotnoprávne pravidlá v oblasti ochrany údajov.

Podľa článku 45 musia členské štáty stanoviť povinnosti dozorného orgánu, medzi ktoré patrí prijímanie a vyšetrovanie sťažností a zvyšovanie verejnej informovanosti o rizikách, pravidlách, zárukách a právach. Osobitnou povinnosťou dozorných orgánov v rámci tejto smernice je vykonávanie práva na prístup v mene dotknutej osoby a overovanie zákonnosti spracúvania údajov v prípadoch odmietnutia alebo obmedzenia priameho prístupu.

V článku 46 sa stanovujú právomoci dozorného orgánu, pričom sa vychádza z článku 28 ods. 3 smernice 95/46/ES, článku 25 ods. 2 a 3 rámcového rozhodnutia 2008/977/SVV. Článok 47 ukladá dozorným orgánom povinnosť vypracovať ročnú správu o činnosti, pričom sa vychádza z článku 28 ods. 5 smernice 95/46/ES.

3.4.6. KAPITOLA VII – SPOLUPRÁCA

V článku 48 sa stanovujú pravidlá týkajúce sa povinnej vzájomnej pomoci, zatiaľ čo v článku 28 ods. 6 druhom pododseku smernice 95/46/ES sa stanovovala len všeobecná, bližšie nešpecifikovaná, povinnosť spolupracovať.

V článku 49 sa stanovuje, že Európsky výbor pre ochranu údajov zriadený všeobecným nariadením o ochrane údajov plní svoje úlohy aj v súvislosti s aktivitami spracúvania, ktoré patria do rozsahu pôsobnosti tejto smernice. Na účely poskytovania dodatočnej podpory sa Komisia bude radiť so zástupcami orgánov členských štátov príslušných v oblasti predchádzania trestným činom, ich vyšetrovania, odhaľovania a stíhania, ako aj so zástupcami Europolu a Eurojustu, a to prostredníctvom expertnej skupiny pre aspekty ochrany údajov súvisiace s presadzovaním práva.

3.4.7. KAPITOLA VIII – PROSTRIEDKY NÁPRAVY, ZODPOVEDNOSŤ A SANKCIE

V článku 50, ktorý vychádza z článku 28 ods. 4 smernice 95/46/ES, sa stanovuje, že každá dotknutá osoba má právo podať sťažnosť dozornému orgánu v súvislosti s akýmkoľvek porušením smernice vo vzťahu k sťažovateľovi. Uvádzajú sa v ňom subjekty, organizácie a združenia, ktoré môžu podať sťažnosť v mene dotknutej osoby a v prípade porušenia ochrany osobných údajov aj nezávisle od sťažnosti dotknutej osoby.

Článok 51 sa týka práva na súdny prostriedok nápravy voči dozornému orgánu. Vychádza zo všeobecného ustanovenia článku 28 ods. 3 smernice 95/46/ES a osobitne sa v ňom stanovuje, že dotknutá osoba môže podať návrh na začatie súdneho konania proti dozornému orgánu o uložení povinnosti konať vo veci sťažnosti.

Článok 52 sa týka práva na súdny prostriedok nápravy voči prevádzkovateľovi či sprostredkovateľovi, pričom vychádza z článku 22 smernice 95/46/ES a článku 20 rámcového rozhodnutia 2008/977/SVV.

V článku 53 sa zavádzajú spoločné pravidlá pre súdne konania vrátane práva subjektov, organizácií či združení zastupovať dotknuté osoby pred súdmi a práva dozorných orgánov zúčastniť sa na súdnych konaniach. Povinnosť členských štátov zaistiť rýchle konanie pred súdom vychádza z článku 18 ods. 1 smernice o elektronickom obchode 2000/31/ES[32].

V článku 54 sa členským štátom ukladá povinnosť ustanoviť právo na náhradu. Vychádza z článku 23 smernice 95/46/ES a článku 19 ods. 1 rámcového rozhodnutia 2008/977/SVV, rozširuje toto právo na náhradu škody spôsobenej sprostredkovateľmi a vyjasňuje zodpovednosť spolusprostredkovateľov a spoluprevádzkovateľov.

V článku 55 sa stanovuje povinnosť členských štátov stanoviť pravidlá týkajúce sa sankcií uplatniteľných v prípade porušenia smernice a zabezpečiť ich vykonávanie.

3.4.8. KAPITOLA IX – DELEGOVANÉ AKTY A VYKONÁVACIE AKTY

Článok 56 obsahuje štandardné ustanovenia týkajúce sa vykonávania delegovania právomocí v súlade s článkom 290 ZFEÚ. Zákonodarcovi umožňuje delegovať na Komisiu právomoc prijímať všeobecne záväzné nelegislatívne akty, ktorými sa dopĺňajú alebo menia určité nepodstatné prvky legislatívneho aktu (kvázi legislatívne akty).

Článok 57 obsahuje ustanovenie týkajúce sa postupu výboru, ktorý je nevyhnutný na to, aby bolo možné Komisii zveriť vykonávacie právomoci v prípadoch, keď sú v súlade s článkom 291 ZFEÚ potrebné jednotné podmienky na vykonávanie právne záväzných aktov Únie. Uplatňuje sa postup preskúmania.

3.4.9. KAPITOLA X – ZÁVEREČNÉ USTANOVENIA

Článkom 58 sa zrušuje rámcové rozhodnutie 2008/977/SVV.

V článku 59 sa uvádza, že osobitné ustanovenia týkajúce sa spracúvania osobných údajov príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania či stíhania alebo na účely výkonu trestných sankcií, ktoré sú obsiahnuté v aktoch Únie prijatých pred dátumom prijatia tejto smernice a ktoré upravujú spracúvanie osobných údajov alebo prístup do informačných systémov v rámci rozsahu pôsobnosti tejto smernice, zostávajú nedotknuté.

V článku 60 sa vyjasňuje vzťah tejto smernice k skôr uzatvoreným medzinárodným dohodám členských štátov v oblasti justičnej spolupráce v trestných veciach a policajnej spolupráce.

V článku 61 sa stanovuje povinnosť Komisie zhodnotiť vykonávanie smernice a podať o tom správu, aby bolo možné posúdiť potrebu zladenia skôr prijatých osobitných ustanovení uvedených v článku 59 s touto smernicou.

V článku 62 sa stanovuje povinnosť členských štátov transponovať smernicu do svojich vnútroštátnych právnych poriadkov a oznámiť Komisii ustanovenia prijaté na jej základe.

V článku 63 sa stanovuje dátum nadobudnutia účinnosti smernice.

V článku 64 sa stanovuje, komu je smernica určená.

4.         VPLYV NA ROZPOČET

Legislatívny finančný výkaz priložený k návrhu všeobecného nariadenia o ochrane údajov sa týka vplyvu tohto nariadenia a smernice na rozpočet.

2012/0010 (COD)

Návrh

SMERNICA EURÓPSKEHO PARLAMENTU A RADY

o ochrane fyzických osôb pri spracúvaní osobných údajov príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií a o voľnom pohybe takýchto údajov

EURÓPSKY PARLAMENT A RADA EURÓPSKEJ ÚNIE,

so zreteľom na Zmluvu o fungovaní Európskej únie, a najmä na jej článok 16 ods. 2,

so zreteľom na návrh Európskej komisie,

po postúpení návrhu legislatívneho aktu národným parlamentom,

po konzultácii s európskym dozorným úradníkom pre ochranu údajov[33],

konajúc v súlade s riadnym legislatívnym postupom,

keďže:

(1) Ochrana fyzických osôb v súvislosti so spracovaním osobných údajom patrí medzi základné práva. V článku 8 ods. 1 Charty základných práv Európskej únie a v článku 16 ods. 1 Zmluvy o fungovaní Európskej únie sa stanovuje zásada, že každý má právo na ochranu osobných údajov, ktoré sa ho týkajú.

(2) Spracúvanie údajov je určené na to, aby slúžilo človeku; zásady a pravidlá ochrany fyzických osôb pri spracúvaní ich osobných údajov by bez ohľadu na štátnu príslušnosť alebo bydlisko fyzických osôb mali rešpektovať základné práva a slobody, najmä ich právo na ochranu osobných údajov. Malo by to prispieť k dokončeniu budovania priestoru slobody, bezpečnosti a spravodlivosti.

(3) Rýchly technologický rozvoj a globalizácia so sebou priniesli nové výzvy v oblasti ochrany osobných údajov. Rozsah zhromažďovania a zdieľania údajov sa výrazne zväčšil. Technológia umožňuje príslušným orgánom pri výkone ich činností využívať osobné údaje v doteraz bezprecedentnom rozsahu.

(4) Preto je nutné uľahčiť voľný tok údajov v rámci Únie a ich prenos do tretích krajín a medzinárodným organizáciám, a to pri súčasnom zabezpečení vysokej úrovne ochrany osobných údajov. Táto situácia si vyžaduje vytvorenie silného a súdržnejšieho rámca ochrany údajov v Únii, ktorý sa bude dôrazne presadzovať.

(5) Smernica Európskeho parlamentu a Rady 95/46/ES z 24. októbra 1995 o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov[34] sa vzťahuje na všetky činnosti v oblasti spracovania osobných údajov v členských štátoch, a to vo verejnom aj v súkromnom sektore. Nevzťahuje sa však na spracovanie osobných údajov „v rámci činností, ktoré sú mimo pôsobnosti práva Spoločenstva“, ako sú napríklad činnosti v oblasti justičnej spolupráce v trestných veciach a v oblasti policajnej spolupráce.

(6) Rámcové rozhodnutie Rady 2008/977/SVV z 27. novembra 2008 o ochrane osobných údajov spracúvaných v rámci policajnej a justičnej spolupráce v trestných veciach[35] sa vzťahuje na oblasť justičnej spolupráce v trestných veciach a oblasť policajnej spolupráce. Rozsah uplatňovania tohto rámcového rozhodnutia je obmedzený na spracúvanie osobných údajov, ktoré sú prenášané alebo sprístupňované medzi členskými štátmi.

(7) V záujme zabezpečenia účinnej justičnej spolupráce v trestných veciach a policajnej spolupráce je kľúčové zaistiť súdržnú ochranu osobných údajov fyzických osôb na vysokej úrovni a uľahčiť výmenu osobných údajov medzi príslušnými orgánmi. Na dosiahnutie tohto cieľa musí byť úroveň ochrany práv a slobôd fyzických osôb pri spracúvaní osobných údajov príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií rovnocenná vo všetkých členských štátoch. Účinná ochrana osobných údajov v rámci Únie si vyžaduje posilnenie práv dotknutých osôb a povinností tých, ktorí osobné údaje spracúvajú, no vyžaduje si aj zodpovedajúce právomoci na monitorovanie a zabezpečenie súladu s pravidlami ochrany osobných údajov v členských štátoch.

(8) Článok 16 ods. 2 Zmluvy o fungovaní Európskej únie stanovuje, že Európsky parlament a Rada by mali stanoviť pravidlá týkajúce sa ochrany fyzických osôb pri spracúvaní osobných údajov a pravidlá týkajúce sa voľného pohybu osobných údajov.

(9) Nariadenie Európskeho parlamentu a Rady (EÚ) č. …./2012 o ochrane fyzických osôb pri spracúvaní osobných údajov a voľnom pohybe týchto údajov (všeobecné nariadenie o ochrane údajov) na tomto základe stanovuje všeobecné pravidlá na ochranu fyzických osôb v súvislosti so spracovaním osobných údajov a na zabezpečenie voľného pohybu osobných údajov v rámci Únie.

(10) Vo vyhlásení č. 21 o ochrane osobných údajov v oblasti justičnej spolupráce v trestných veciach a v oblasti policajnej spolupráce (pripojenom k záverečnému aktu medzivládnej konferencie, na ktorej bola prijatá Lisabonská zmluva), konferencia uznala, že sa môže preukázať ako nevyhnutné prijať osobitné pravidlá upravujúce ochranu osobných údajov a voľný pohyb takýchto údajov v oblasti justičnej spolupráce v trestných veciach a v oblasti policajnej spolupráce, ktoré vychádzajú z článku 16 Zmluvy o fungovaní Európskej únie, a to z dôvodu osobitnej povahy, ktorou sa tieto oblasti vyznačujú.

(11) Osobitnej povahe týchto oblastí by preto mala vyhovieť osobitná smernica, ktorá by mala ustanoviť pravidlá týkajúce sa ochrany fyzických osôb pri spracúvaní osobných údajov príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií.

(12) S cieľom zabezpečiť rovnakú úroveň ochrany fyzických osôb právami, ktoré sú právnymi prostriedkami vymáhateľné v celej Únii, a zabrániť rozdielom, ktoré sú prekážkou voľnej výmeny osobných údajov medzi príslušnými orgánmi, by táto smernica mala stanoviť jednotné pravidlá ochrany a voľného pohybu osobných údajov v oblasti justičnej spolupráce v trestných veciach a v oblasti policajnej spolupráce.

(13) Táto smernica umožňuje pri uplatňovaní jej ustanovení vziať do úvahy zásadu verejného prístupu k oficiálnym dokumentom.

(14) Ochrana, ktorú táto smernica poskytuje, by sa mala týkať spracúvania osobných údajov fyzických osôb bez ohľadu na ich štátnu príslušnosť alebo miesto bydliska.

(15) Ochrana fyzických osôb by mala byť technologicky neutrálna a nemala by závisieť od použitých techník, pretože v opačnom prípade by hrozilo veľké riziko obchádzania predpisov. Ochrana fyzických osôb by sa mala vzťahovať na spracúvanie osobných údajov automatizovanými prostriedkami, ako aj na ručné spracúvanie, ak sú údaje uvedené v informačnom systéme alebo do neho majú byť zahrnuté. Súbory alebo komplexy súborov, ako aj ich titulné strany, ktoré nie sú štruktúrované podľa špecifických kritérií, by nemali patriť do rozsahu pôsobnosti tejto smernice. Táto smernica by sa nemala vzťahovať na spracúvanie osobných údajov v rámci činnosti, ktorá nepatrí do rozsahu pôsobnosti práva Únie, najmä pokiaľ ide o národnú bezpečnosť, ani na údaje spracúvané inštitúciami, orgánmi, úradmi alebo agentúrami Únie, ako sú napríklad Europol alebo Eurojust.

(16) Zásady ochrany údajov by sa mali uplatňovať na všetky informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby. Na určenie toho, či je fyzická osoba identifikovateľná, by sa mali brať do úvahy všetky prostriedky, u ktorých je primeraná pravdepodobnosť, že ich využije prevádzkovateľ alebo ľubovoľná iná osoba na identifikáciu príslušnej osoby. Zásady ochrany údajov by sa nemali uplatňovať na anonymizované údaje tak, že dotknutá osoba už nie je identifikovateľná.

(17) Osobné údaje týkajúce sa zdravia by mali zahŕňať najmä všetky údaje týkajúce sa zdravotného stavu dotknutej osoby, informácie o zaevidovaní fyzickej osoby v súvislosti s poskytnutím zdravotníckych služieb, informácie o platbách alebo nároku na zdravotnú starostlivosť týkajúce sa fyzickej osoby, číslo, symbol alebo osobitný údaj, ktorý bol fyzickej osobe pridelený na individuálnu identifikáciu fyzickej osoby na zdravotné účely, všetky informácie získané o fyzickej osobe počas poskytovania zdravotníckych služieb, ako aj informácie získané na základe vykonávania testov alebo prehliadok častí organizmu alebo telesných substancií, a to vrátane biologických vzoriek, identifikáciu osoby ako poskytovateľa zdravotnej starostlivosti fyzickej osobe, alebo akékoľvek informácie napr. o chorobe, postihnutí, riziku ochorenia, lekárskej anamnéze, klinickej liečbe, alebo o aktuálnom fyziologickom alebo biomedicínskom stave dotknutej osoby, a to bez ohľadu na zdroj týchto informácií, či už pochádzajú od lekára alebo zdravotníka, z nemocnice, zo zdravotného prístroja alebo z vykonania in vitro diagnostického testu.

(18) Každé spracovanie osobných údajov by malo byť spravodlivé a zákonné vo vzťahu k dotknutým fyzickým osobám. A Predovšetkým by sa mali výslovne stanoviť osobitné účely, na ktoré sa tieto údaje spracúvajú.

(19) V záujme predchádzania trestným činom, ich vyšetrovania a stíhania je potrebné, aby príslušné orgány uchovávali a spracúvali osobné údaje, ktoré boli zhromaždené v kontexte predchádzania osobitným trestným činom, ich vyšetrovania, odhaľovania alebo stíhania, aj mimo tohto kontextu s cieľom rozvíjať chápanie javov a trendov v oblasti trestnej činnosti, zhromažďovať spravodajské informácie o organizovaných zločineckých sieťach a zisťovať súvislosti medzi rôznymi odhalenými trestnými činmi.

(20) Osobné údaje by sa nemali spracúvať na účely, ktoré nie sú zlučiteľné s účelom, na ktorý boli získané. Osobné údaje by mali byť primerané, relevantné a úmerné vzhľadom na účely, na ktoré sa spracúvajú. Mali by sa prijať všetky primerané opatrenia, aby sa zabezpečilo vymazanie alebo oprava nepresných údajov.

(21) Zásada presnosti údajov by sa mala uplatňovať pri zohľadnení povahy a účelu predmetného spracovania. Najmä v rámci súdnych konaní sú vyjadrenia obsahujúce osobné údaje založené na subjektívnom vnímaní fyzických osôb a v niektorých prípadoch sa nedajú vždy overiť. Následkom toho by sa požiadavka na presnosť nemala vzťahovať na presnosť vyjadrenia, ale iba na skutočnosť, že konkrétne vyjadrenie bolo dané.

(22) Pri výklade a uplatňovaní všeobecných zásad, ktoré sa týkajú spracúvania osobných údajov príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií, by sa mali zohľadniť osobitosti predmetného sektora vrátane konkrétnych sledovaných cieľov.

(23) K spracúvaniu osobných údajov v oblasti justičnej spolupráce v trestných veciach a v oblasti policajnej spolupráce neodmysliteľne patrí spracúvanie osobných údajov, ktoré sa týkajú rôznych kategórií dotknutých osôb. Preto by sa malo v čo najväčšom možnom rozsahu jasne rozlišovať medzi osobnými údajmi rôznych kategórií dotknutých osôb, ako sú podozrivé osoby, osoby odsúdené za spáchanie trestného činu, obete a tretie strany, ako sú svedkovia, osoby disponujúce relevantnými informáciami alebo kontaktné osoby a spoločníci podozrivých osôb alebo odsúdených páchateľov trestných činov.

(24) Osobné údaje by sa mali v čo najväčšom rozsahu rozlišovať podľa stupňa ich presnosti a spoľahlivosti. Mali by sa rozlišovať fakty od osobných hodnotení, aby sa zabezpečila ochrana fyzických osôb aj kvalita a spoľahlivosť informácií, ktoré príslušné orgány spracúvajú.

(25) Aby bolo spracovanie osobných údajov zákonné, malo by byť nevyhnutné na splnenie zákonnej povinnosti prevádzkovateľa, na plnenie úloh vykonávaných vo verejnom záujme príslušným orgánom na základe zákona alebo na ochranu zásadných záujmov dotknutej osoby či inej osoby, alebo na predchádzanie bezprostrednému a vážnemu ohrozeniu verejnej bezpečnosti.

(26) Osobitnú ochranu je potrebné poskytnúť pri osobných údajoch, ktoré sú svojou povahou obzvlášť citlivé v súvislosti so základnými právami alebo právom na súkromie vrátane genetických údajov. Takéto údaje by sa mali spracúvať, len ak spracovanie osobitne povoľuje zákon, ktorý stanovuje vhodné opatrenia na ochranu oprávnených záujmov dotknutej osoby, alebo ak je spracúvanie nevyhnutné na ochranu zásadných záujmov dotknutej osoby či inej osoby alebo ak sa spracúvanie týka údajov, ktoré preukázateľne zverejnila dotknutá osoba.

(27) Každá fyzická osoba by mala mať právo nepodliehať opatreniu, ktoré je výlučne založené na automatizovanom spracúvaní, ak má toto opatrenie pre túto osobu nepriaznivé právne účinky, ibaže by to povoľoval zákon a zároveň by boli stanovené vhodné opatrenia na zabezpečenie oprávnených záujmov dotknutej osoby.

(28) V záujme výkonu práv dotknutej osoby by jej mali byť ľahko dostupné a mali by pre ňu byť ľahko pochopiteľné akékoľvek informácie, ktoré by taktiež mali byť podané jasne a zrozumiteľne.

(29) Mali by sa stanoviť modality, ktoré by dotknutej osobe uľahčili uplatnenie jej práv v zmysle tejto smernice, a to vrátane mechanizmov pre vyžiadanie si bezplatného prístupu k údajom, ich opravy a výmazu. Prevádzkovateľ by mal byť povinný odpovedať na žiadosť dotknutej osoby bez zbytočného odkladu.

(30) Zásada spravodlivého spracúvania vyžaduje, aby dotknuté osoby boli informované najmä o existencii operácie spracúvania a jej účeloch, o tom, ako dlho budú údaje uchovávané, o existencii práva na prístup, opravu a výmaz, ako aj o práve podať sťažnosť. Ak sa údaje zhromažďujú od dotknutej osoby, dotknutá osoba by mala byť informovaná aj o tom, či je povinná údaje poskytnúť, ako aj o následkoch v prípade, že tieto údaje neposkytne.

(31) Informácie súvisiace so spracúvaním osobných údajov týkajúcich sa dotknutej osoby by sa dotknutej osobe mali poskytnúť v čase zhromažďovania údajov alebo, ak sa údaje nezískavajú od dotknutej osoby, v čase zaznamenania alebo v primeranej lehote po ich zhromaždení, a to so zreteľom na osobitné okolnosti, za ktorých sa tieto údaje spracúvajú.

(32) Každá osoba by mala mať právo na prístup k údajom, ktoré boli o nej zhromaždené, a toto právo aj jednoducho uplatňovať, aby si bola vedomá zákonnosti spracovania a mohla si ju overiť. Každá dotknutá osoba by preto mala mať právo vedieť a byť informovaná najmä o účeloch spracúvania údajov, o tom, ako dlho budú tieto údaje uchovávané, ako aj o tom, ktorí príjemcovia údajov ich dostanú vrátané príjemcov v tretích krajinách. Dotknuté osoby by mali možnosť dostať kópiu ich osobných údajov, ktoré sa spracúvajú.

(33) Členské štáty môžu prijať právne opatrenia, ktorými sa odkladá, obmedzuje alebo vylučuje poskytovanie informácií dotknutým osobám alebo prístup k ich osobným údajom, a to v takom rozsahu a na tak dlho, ako toto čiastočné alebo úplné obmedzenie s náležitým zreteľom na oprávnené záujmy príslušnej osoby predstavuje nevyhnutné a primerané opatrenie v demokratickej spoločnosti s cieľom zaručiť, aby sa neovplyvnilo úradné alebo súdne vyšetrovanie alebo postup, aby sa zabránilo ovplyvňovaniu predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo výkonu trestných sankcií, aby sa ochránila verejná bezpečnosť alebo národná bezpečnosť, alebo aby sa ochránila dotknutá osoba alebo práva a slobody iných osôb.

(34) Akékoľvek zamietnutie alebo obmedzenie prístupu by malo byť dotknutej osobe oznámené písomne, a to vrátane skutkových alebo právnych dôvodov, na ktorých je toto rozhodnutie založené.

(35) Ak členské štáty prijali právne opatrenia, ktoré úplne alebo čiastočne obmedzujú právo na prístup, dotknutá osoba by mala mať právo požiadať príslušný vnútroštátny dozorný orgán, aby overil zákonnosť tohto spracovania. Dotknutá osoba by mala byť o tomto práve informovaná. Ak prístup v mene dotknutej osoby vykonáva dozorný orgán, mal by dotknutú osobu informovať prinajmenšom o tom, že vykonal všetky potrebné overenia, ako aj o výsledku, pokiaľ ide o zákonnosť predmetného spracovania.

(36) Ktorákoľvek osoba by mala mať právo na opravu nepresných osobných údajov, ktoré sa jej týkajú, ako aj právo na ich vymazanie, ak spracovanie takýchto údajov nie je v súlade s hlavnými zásadami stanovenými v tejto smernici. Ak sú osobné údaje spracúvané počas vyšetrovania trestného činu a trestného konania, oprava, právo na informácie, prístup, výmaz a obmedzenie spracovania môžu byť vykonané v súlade s vnútroštátnymi pravidlami súdneho konania.

(37) Mala by sa zaviesť komplexná zodpovednosť prevádzkovateľa za akékoľvek spracúvanie osobných údajov, ktoré vykonáva sám či ktoré sa vykonáva v jeho mene. Prevádzkovateľ by mal predovšetkým zabezpečiť súlad operácií spracúvania s pravidlami prijatými podľa tejto smernice.

(38) Ochrana práv a slobôd dotknutých osôb pri spracúvaní osobných údajov vyžaduje, aby sa prijali zodpovedajúce technické a organizačné opatrenia s cieľom zabezpečiť splnenie podmienok tejto smernice. V záujme zaistenia súladu s ustanoveniami prijatými podľa tejto smernice by mal prevádzkovateľ prijať politiky a uplatniť príslušné opatrenia, ktoré predovšetkým spĺňajú zásady ochrany údajov špecificky navrhnutej a štandardne určenej.

(39) Ochrana práv a slobôd dotknutých osôb, ako aj zodpovednosť prevádzkovateľov a sprostredkovateľov si vyžaduje jednoznačné vymedzenie zodpovednosti v zmysle tejto smernice, a to aj v prípade, že prevádzkovateľ spoločne s ostatnými prevádzkovateľmi určí účely, podmienky a prostriedky spracovania alebo že sa operácia spracovania uskutočňuje v jeho mene.

(40) S cieľom monitorovať dodržiavanie tejto smernice by mal prevádzkovateľ a sprostredkovateľ dokumentovať operácie spracúvania. Povinnosťou každého prevádzkovateľa a sprostredkovateľa by malo byť spolupracovať s dozornými orgánom a túto dokumentáciu sprístupniť na požiadanie, aby mohla slúžiť na účely monitorovania operácií spracúvania. .

(41) Prevádzkovateľ alebo sprostredkovateľ by mal v niektorých prípadoch konzultovať dozorný orgán pred spracovaním osobných údajov s cieľom preventívne zabezpečiť účinnú ochranu práv a slobôd dotknutých osôb.

(42) Ak sa porušenie ochrany osobných údajov nerieši primeraným spôsobom a včas, môže spôsobiť ujmu vrátane poškodenia dobrého mena dotknutej fyzickej osoby. Ihneď ako prevádzkovateľ zistí, že došlo k takémuto porušeniu ochrany osobných údajov, mal by teda toto porušenie oznámiť príslušnému vnútroštátnemu orgánu. Fyzické osoby, u ktorých by porušenie ochrany osobných údajov malo nepriaznivý vplyv na ich osobné údaje alebo súkromie, by mali byť o porušení bez zbytočného odkladu informované, aby mohli podniknúť potrebné predbežné opatrenia. Za porušenie ochrany osobných údajov s nepriaznivým vplyvom na osobné údaje alebo súkromie fyzickej osoby by sa malo považovať také porušenie, ktoré by mohlo spôsobiť napríklad krádež totožnosti alebo podvod, fyzickú ujmu, značné poníženie alebo poškodenie dobrého mena v súvislosti so spracúvaním osobných údajov.

(43) Pri stanovení podrobných pravidiel týkajúcich sa formátu a postupov uplatňovaných pri oznamovaní porušenia ochrany osobných údajov by sa mali náležitým spôsobom zvážiť okolnosti, za ktorých k porušeniu došlo, vrátane toho, či osobné údaje boli alebo neboli chránené zodpovedajúcimi opatreniami technickej ochrany, ktoré účinným spôsobom obmedzujú pravdepodobnosť zneužitia. Okrem toho by takého pravidlá a postupy mali zohľadňovať oprávnené záujmy príslušných orgánov v tých prípadoch, keď by skoré sprístupnenie mohlo zbytočne skomplikovať vyšetrovanie okolností porušenia ochrany osobných údajov.

(44) Prevádzkovateľ alebo sprostredkovateľ by mali určiť osobu, ktorá bude prevádzkovateľovi alebo sprostredkovateľovi pomáhať monitorovať dodržiavanie ustanovení prijatých podľa tejto smernice. Úradníka pre ochranu údajov môže spoločne vymenovať niekoľko subjektov príslušného orgánu. Úradníci pre ochranu údajov musia mať možnosť vykonávať svoje povinnosti a úlohy nezávisle a účinne.

(45) Členské štáty by mali zabezpečiť, aby sa prenos do tretej krajiny uskutočnil len vtedy, ak je to potrebné na predchádzanie trestným činom, ich vyšetrovanie, odhaľovanie alebo stíhanie alebo na účely výkonu trestných sankcií, pričom prevádzkovateľ v tretej krajine alebo medzinárodná organizácia je príslušným orgánom v zmysle tejto smernice. Prenos sa môže uskutočniť v prípade, že Komisia rozhodla, že tretia krajina alebo predmetná medzinárodná organizácia zabezpečujú primeranú úroveň ochrany, alebo keď boli prijaté náležité záruky.

(46) Komisia môže rozhodnúť s účinnosťou pre celú Úniu, že určitá tretia krajina, resp. územie alebo sektor spracovania v tretej krajine, alebo medzinárodná organizácia, zaručuje primeranú úroveň ochrany, čím poskytuje právnu istotu a jednotnosť v celej Únii, pokiaľ ide o tretie krajiny alebo medzinárodné organizácie, ktoré sa považujú za také tretie krajiny a medzinárodné organizácie, ktoré poskytujú takúto úroveň ochrany. V týchto prípadoch sa prenosy osobných údajov môžu uskutočniť bez toho, aby bolo nutné získať akékoľvek ďalšie povolenie.

(47) V súlade so základnými hodnotami, na ktorých je Únia založená, a najmä v súlade s ochranou ľudských práv, by Komisia mala zohľadniť, ako sa v predmetnej tretej krajine dodržiavajú zásady právneho štátu, prístupu k spravodlivosti, ako aj medzinárodné normy a štandardy v oblasti ľudských práv.

(48) Komisia by rovnako mala byť schopná dospieť k záveru, že tretia krajina, resp. územie, alebo sektor spracovania v tretej krajine, alebo medzinárodná organizácia, neposkytuje primeranú úroveň ochrany údajov. Následkom toho by sa mal prenos osobných údajov do predmetnej tretej krajiny zakázať s výnimkou prípadu, keď vychádza z medzinárodnej dohody, náležitých záruk alebo odchýlky. Mali by sa stanoviť postupy na účely konzultácie medzi Komisiou a takouto treťou krajinou či medzinárodnými organizáciami. Takýmto rozhodnutím Komisie však nie je dotknutá možnosť uskutočniť prenos na základe náležitých záruk alebo na základe odchýlky stanovenej v tejto smernici.

(49) Prenosy, ktoré nie sú založené na takomto rozhodnutí o primeranosti, by mali byť umožnené len vtedy, ak boli stanovené náležité záruky v právne záväznom nástroji, ktorý zaisťuje ochranu osobných údajov, alebo ak prevádzkovateľ alebo sprostredkovateľ posúdil všetky okolnosti sprevádzajúce operáciu prenosu údajov alebo súbor operácií prenosu údajov, a na základe tohto posúdenia dospel k záveru, že existujú náležité záruky, pokiaľ ide o ochranu osobných údajov. Ak neexistujú žiadne dôvody na umožnenie prenosu, mali by byť v prípade potreby umožnené odchýlky s cieľom chrániť zásadné záujmy dotknutej osoby či inej osoby, alebo zabezpečiť oprávnené záujmy dotknutej osoby, ak sa tak ustanovuje v právnych predpisoch členského štátu prenášajúceho osobné údaje alebo ak je to nevyhnutné na predchádzanie bezprostrednému alebo vážnemu ohrozeniu verejnej bezpečnosti v členskom štáte alebo tretej krajine, alebo v jednotlivých prípadoch na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií, alebo v jednotlivých prípadoch na stanovenie, uplatňovanie alebo obranu právnych nárokov.

(50) Pohyb osobných údajov cez hranice môže výraznejšie ohroziť schopnosť fyzických osôb uplatňovať si práva na ochranu údajov v záujme vlastnej ochrany pred nezákonným použitím alebo zverejnením predmetných údajov. Dozorné orgány môžu zároveň zistiť, že nie sú schopné vybavovať sťažnosti alebo viesť vyšetrovania týkajúce sa operácií za hranicami ich štátov. Ich úsilie o spoluprácu v cezhraničnom kontexte môžu tiež komplikovať nedostačujúce preventívne alebo nápravné právomoci, ako aj nesúlad právnych poriadkov. Preto je nutné podporovať užšiu spoluprácu medzi dozornými orgánmi v oblasti ochrany údajov s cieľom pomôcť im pri výmene informácií s ich zahraničnými partnermi.

(51) Vytvorenie dozorných orgánov v členských štátoch, ktoré budú svoje funkcie vykonávať úplne nezávisle, je základným prvkom ochrany fyzických osôb pri spracúvaní osobných údajov. Dozorné orgány by mali monitorovať uplatňovanie ustanovení prijatých podľa tejto smernice a prispievať k ich súdržnému uplatňovaniu v celej Únii, a to s cieľom ochraňovať fyzické osoby v súvislosti so spracúvaním ich osobných údajov. Na tento účel dozorné orgány spolupracujú navzájom, ako aj s Komisiou.

(52) Členské štáty môžu dozornému orgánu, ktorý je v členských štátoch už zriadený na základe nariadenia (EÚ) č. .../2012, zveriť zodpovednosť za úlohy, ktoré majú vykonávať vnútroštátne dozorné orgány, ktoré sa majú zriadiť na základe tejto smernice.

(53) Členské štáty by mali mať možnosť zriadiť viac ako jeden dozorný orgán, ak je to potrebné vzhľadom na ich ústavnú, organizačnú a administratívnu štruktúru. Každému dozornému orgánu by mali byť poskytnuté primerané finančné a ľudské zdroje, priestory a infraštruktúra, ktoré sú potrebné na účinné vykonávanie ich úloh, a to vrátane úloh týkajúcich sa vzájomnej pomoci a spolupráce s inými dozornými orgánmi v celej Únii.

(54) Všeobecné podmienky členstva v dozorných orgánoch by mali byť stanovené zákonom v každom členskom štáte a mali by najmä stanovovať, že títo členovia by mali byť menovaní parlamentom alebo vládou členského štátu, a mali by obsahovať pravidlá týkajúce sa osobnej kvalifikácie a postavenia týchto členov.

(55) Hoci sa táto smernica vzťahuje aj na činnosti vnútroštátnych súdov, právomoc dozorných orgánov by sa nemala týkať spracúvania osobných údajov, ku ktorému dochádza, keď súdne orgány plnia svoje súdne funkcie, aby sa zaručila nezávislosť sudcov pri výkone ich justičných úloh. Táto výnimka by sa mala obmedzovať len na skutočné súdne činnosti v rámci súdnych prípadov a nemala by sa uplatňovať na činnosti, do ktorých môžu byť sudcovia zapojení v súlade s vnútroštátnym právom.

(56) S cieľom zabezpečiť konzistentné monitorovanie a presadzovanie tejto smernice v celej Únii by dozorné orgány mali mať rovnaké povinnosti a účinné právomoci v každom členskom štáte vrátane vyšetrovacích právomoci, právne záväznej intervencie, rozhodnutí a sankcií, a to najmä v prípadoch sťažností fyzických osôb, a účasti na súdnych konaniach.

(57) Každý dozorný orgán by mal prerokovať sťažnosť, ktorú podala ktorákoľvek dotknutá osoba, a mal by v tejto veci viesť vyšetrovanie. Vyšetrovanie v nadväznosti na podanú sťažnosť a podliehajúce súdnemu preskúmaniu by sa malo uskutočniť v rozsahu, ktorý je v konkrétnom prípade primeraný. Dozorný orgán by mal dotknutú osobu informovať o dosiahnutom pokroku a výsledku jej žiadosti v primeranej lehote. Ak si prípad vyžaduje ďalšie vyšetrovanie alebo koordináciu s iným dozorným orgánom, dotknutej osobe by mali byť poskytnuté priebežné informácie.

(58) Dozorné orgány by si mali pri výkone svojich povinností navzájom pomáhať a vzájomne si poskytovať pomoc, aby tak sa tak zabezpečilo súdržné uplatňovanie a presadzovanie ustanovení prijatých podľa tejto smernice.

(59) Európsky výbor pre ochranu údajov vytvorený na základe nariadenia (EÚ) č. .../2012 by mal prispievať k súdržnému uplatňovaniu tejto smernice v celej Únii, a to aj poskytovaním poradenstva Komisii a podporovaním spolupráce medzi dozornými orgánmi v celej Únii.

(60) Každá dotknutá osoba by mala mať právo podať sťažnosť u dozorného orgánu v ktoromkoľvek členskom štáte, ako aj právo na súdny prostriedok nápravy, ak sa domnieva, že jej práva podľa tejto smernice boli porušené alebo ak dozorný orgán nekonal na základe sťažnosti, resp. nekonal, keď takéto konanie bolo potrebné na ochranu práv dotknutej osoby.

(61) Akýkoľvek subjekt, organizácia či združenie, ktoré má za cieľ ochranu práv a záujmov dotknutých osôb v súvislosti s ochranou ich údajov a je zriadené podľa právnych predpisov členského štátu, by malo mať právo podať sťažnosť alebo právo uplatniť súdny prostriedok nápravy v mene dotknutých osôb, ak je nimi riadne splnomocnené, resp. nezávisle od sťažnosti dotknutej osoby podať vlastnú sťažnosť, ak sa domnieva, že došlo k porušeniu ochrany osobných údajov.

(62) Každá fyzická alebo právnická osoba by mala mať právo na súdny prostriedok nápravy voči rozhodnutiam dozorného orgánu, ktoré sa ich týkajú. Návrh na začatie konania proti dozornému orgánu by sa mal podávať na súdoch členského štátu, v ktorom má dozorný orgán sídlo.

(63) Členské štáty by mali zabezpečiť, aby v záujme účinnosti súdne prostriedky nápravy umožňovali rýchle prijímanie opatrení na nápravu porušovania tejto smernice alebo na predchádzanie jej porušovaniu.

(64) Akákoľvek škoda, ktorú môže osoba utrpieť v dôsledku nezákonného spracovania, by mala byť nahradená prevádzkovateľom alebo sprostredkovateľom, ktorý môže byť oslobodený od zodpovednosti, ak dokáže, že za spôsobenú škodu nenesie zodpovednosť, najmä ak sa zistí pochybenie na strane dotknutej osoby alebo v prípade vyššej moci.

(65) Sankcie by sa mali ukladať akejkoľvek fyzickej alebo právnickej osobe – či už sa na ňu vzťahuje súkromné alebo verejné právo – ktorá nedodržiava túto smernicu. Členské štáty by mali zabezpečiť, aby boli sankcie účinné, primerané a odrádzajúce, a musia prijať všetky opatrenia na vykonávanie sankcií.

(66) S cieľom splniť ciele tejto smernice, a to najmä ochranu základných práv a slobôd fyzických osôb a predovšetkým ich práva na ochranu osobných údajov, a v záujme zabezpečenia voľnej výmeny osobných údajov medzi príslušnými orgánmi v rámci Únie, mala by sa Komisii udeliť právomoc prijímať akty v súlade s článkom 290 Zmluvy o fungovaní Európskej únie. Delegované akty by sa mali prijať najmä v súvislosti s oznámeniami o porušení ochrany osobných údajov zasielaných dozorným orgánom. Je osobitne dôležité, aby Komisia počas prípravných prác uskutočnila vhodné konzultácie, a to aj na expertnej úrovni. Pri príprave a zostavovaní delegovaných aktov by mala Komisia zabezpečiť súčasné, včasné a vhodné postúpenie príslušných dokumentov Európskemu parlamentu a Rade.

(67) Na Komisiu by sa mali preniesť vykonávacie právomoci, pokiaľ ide o dokumentáciu pripravovanú prevádzkovateľmi a sprostredkovateľmi, bezpečnosť spracúvania predovšetkým v súvislosti s normami šifrovania, oznamovanie porušenia ochrany osobných údajov dozornému orgánu, a primeranú úroveň ochrany poskytovanú treťou krajinou, resp. územím, alebo sektorom spracovania v predmetnej tretej krajine alebo medzinárodnou organizáciou, s cieľom zabezpečiť jednotné podmienky vykonávania tejto smernice. Tieto právomoci by sa mali vykonávať v súlade s nariadením Európskeho parlamentu a Rady (EÚ) č. 182/2011 zo 16. februára 2011, ktorým sa ustanovujú pravidlá a všeobecné zásady mechanizmu, na základe ktorého členské štáty kontrolujú vykonávanie vykonávacích právomocí Komisie[36].

(68) Vzhľadom na to, že tieto akty majú všeobecnú pôsobnosť, mal by sa na prijatie opatrení, pokiaľ ide o dokumentáciu pripravovanú prevádzkovateľmi a sprostredkovateľmi, bezpečnosť spracúvania predovšetkým v súvislosti s normami šifrovania, oznamovanie porušenia ochrany osobných údajov dozornému orgánu, a primeranú úroveň ochrany poskytovanú treťou krajinou, resp. územím, alebo sektorom spracovania v predmetnej tretej krajine alebo medzinárodnou organizáciou, použiť postup preskúmania.

(69) Ak je to z dôvodu naliehavosti nutné, Komisia by mala bezodkladne prijať vykonávacie akty v tých riadne opodstatnených prípadoch týkajúcich sa tretej krajiny, resp. územia, alebo sektoru spracovania v predmetnej tretej krajine alebo medzinárodnej organizácie, ktoré nezabezpečujú primeranú úroveň ochrany.

(70) Keďže ciele tejto smernice, a to najmä ochranu základných práv a slobôd fyzických osôb a predovšetkým ich práva na ochranu osobných údajov, ako aj zabezpečenie voľnej výmeny osobných údajov medzi príslušnými orgánmi v rámci Únie, nemôžu uspokojivo dosiahnuť samotné členské štáty a je preto možné z dôvodu rozsahu alebo účinkov týchto opatrení tieto ciele lepšie dosiahnuť na úrovni Únie, môže Únia prijať opatrenia v súlade so zásadou subsidiarity vymedzenou v článku 5 Zmluvy o Európskej únii. V súlade so zásadou proporcionality podľa uvedeného článku táto smernica neprekračuje rámec nevyhnutný na dosiahnutie tohto cieľa.

(71) Rámcové rozhodnutie 2008/977/SVV by sa malo touto smernicou zrušiť.

(72) Osobitné ustanovenia so zreteľom na spracúvanie osobných údajov príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií, ktoré sú obsiahnuté v aktoch Únie prijatých pred dátumom nadobudnutia účinnosti tejto smernice a ktoré upravujú spracúvanie osobných údajov medzi členskými štátmi alebo prístup určených orgánov členských štátov do informačných systémov zriadených podľa zmlúv, zostávajú nedotknuté. S cieľom posúdiť potrebu zosúladenia týchto špecifických ustanovení s touto smernicou by Komisia mala zhodnotiť situáciu, pokiaľ ide o súvis tejto smernice s aktmi prijatými pred dátumom nadobudnutia účinnosti tejto smernice, ktoré upravujú spracúvanie osobných údajov medzi členskými štátmi a prístup určených orgánov členských štátov do informačných systémov zriadených podľa zmlúv.

(73) S cieľom zabezpečiť komplexnú a súdržnú ochranu osobných údajov v Únii, by sa mali v súlade s touto smernicou zmeniť a doplniť medzinárodné zmluvy uzatvorené členskými štátmi pred nadobudnutím účinnosti tejto smernice.

(74) Touto smernicou nie sú dotknuté pravidlá týkajúce sa boja proti sexuálnemu zneužívaniu a sexuálnemu vykorisťovaniu detí a šíreniu detskej pornografie ustanovené v smernici Európskeho parlamentu a Rady 2011/92/EÚ z 13. decembra 2011[37].

(75) V súlade s článkom 6a Protokolu o postavení Spojeného kráľovstva a Írska s ohľadom na priestor slobody, bezpečnosti a spravodlivosti, ktorý je pripojený k Zmluve o Európskej únii a Zmluve o fungovaní Európskej únie, Spojené kráľovstvo a Írsko nebude viazané pravidlami stanovenými v tejto smernici, ak Spojené kráľovstvo alebo Írsko nie je viazané pravidlami Únie, ktorými sa spravujú formy justičnej spolupráce v trestných veciach alebo policajnej spolupráce, v rámci ktorých sa musia dodržiavať ustanovenia na základe článku 16 Zmluvy o fungovaní Európskej únie..

(76) V súlade s článkami 2 a 2a Protokolu o postavení Dánska, ktorý je pripojený k Zmluve o Európskej únii a k Zmluve o fungovaní Európskej únie, Dánsko nie je touto smernicou viazané ani nepodlieha jej uplatňovaniu. Vzhľadom na to, že táto smernica predstavuje vývoj schengenského acquis podľa ustanovení hlavy V tretej časti Zmluvy o fungovaní Európskej únie, Dánsko v súlade s článkom 4 uvedeného protokolu do šiestich mesiacov odo dňa prijatia tejto smernice rozhodne, či ju bude transponovať do svojho vnútroštátneho práva.

(77) Pokiaľ ide o Island a Nórsko, táto smernica predstavuje vývoj ustanovení schengenského acquis v zmysle Dohody uzatvorenej medzi Radou Európskej únie a Islandskou republikou a Nórskym kráľovstvom o pridružení týchto dvoch štátov pri vykonávaní, uplatňovaní a rozvoji schengenského acquis[38].

(78) Pokiaľ ide o Švajčiarsko, táto smernica predstavuje vývoj ustanovení schengenského acquis v zmysle Dohody medzi Európskou úniou, Európskym spoločenstvom a Švajčiarskou konfederáciou o pridružení Švajčiarskej konfederácie k vykonávaniu, uplatňovaniu a vývoju schengenského acquis[39].

(79) Pokiaľ ide o Lichtenštajnsko, táto smernica predstavuje vývoj ustanovení schengenského acquis v zmysle Protokolu medzi Európskou úniou, Európskym spoločenstvom, Švajčiarskou konfederáciou a Lichtenštajnským kniežatstvom o pristúpení Lichtenštajnského kniežatstva k Dohode medzi Európskou úniou, Európskym spoločenstvom a Švajčiarskou konfederáciou o pridružení Švajčiarskej konfederácie k vykonávaniu, uplatňovaniu a vývoju schengenského acquis[40].

(80) Táto smernica rešpektuje základné práva a dodržiava zásady uznané v Charte základných práv Európskej únie, ako je to zakotvené v zmluve, najmä právo na rešpektovanie súkromného a rodinného života, právo na ochranu osobných údajov, právo na účinný prostriedok nápravy a na spravodlivý proces. Obmedzenia vzťahujúce sa na tieto práva sú v súlade s článkom 52 ods. 1 charty, keďže sú potrebné na splnenie cieľov všeobecného záujmu uznaných Úniou alebo potrebné na ochranu práv a slobôd iných.

(81) V súlade so spoločným politickým vyhlásením členských štátov a Komisie k vysvetľujúcim dokumentom z 28. septembra 2011, sa členské štáty v odôvodnených prípadoch zaviazali pripojiť k oznámeniu o ich opatreniach na transpozíciu jeden alebo viacero dokumentov, v ktorých sa vysvetlí vzťah medzi príslušnými zložkami smernice a zodpovedajúcimi časťami vnútroštátnych nástrojov transpozície. Pokiaľ ide o túto smernicu zákonodarca považuje postúpenie takýchto dokumentov za opodstatnené.

(82) Táto smernica by nemala členským štátom brániť v tom, aby transponovali výkon práv dotknutých osôb na informácie, prístup, opravu, výmaz a obmedzenie spracovania ich osobných údajov počas trestného konania, ako aj prípadné obmedzenia týchto práv do vnútroštátnych pravidiel týkajúcich sa trestného práva procesného,

PRIJALI TÚTO SMERNICU:

KAPITOLA I

VŠEOBECNÉ USTANOVENIA

Článok 1 Predmet úpravy a ciele

1.           Touto smernicou sa stanovujú pravidlá ochrany fyzických osôb so zreteľom na spracovanie osobných údajov príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií.

2.           Členské štáty v súlade s touto smernicou:

a)      chránia základné práva a slobody fyzických osôb, najmä ich právo na ochranu osobných údajov, a

b)      zabezpečia, aby výmena osobných údajov medzi príslušnými orgánmi v rámci Únie nebola obmedzená ani zakázaná z dôvodov súvisiacich s ochranou fyzických osôb so zreteľom na spracovanie osobných údajov.

Článok 2 Rozsah pôsobnosti

1.           Táto smernica sa vzťahuje na spracúvanie osobných údajov príslušnými orgánmi na účely uvedené v článku 1 ods. 1.

2.           Táto smernica sa vzťahuje na spracúvanie osobných údajov vykonávané úplne alebo čiastočne automatizovanými prostriedkami a na spracovanie inými než automatickými prostriedkami v prípade osobných údajov, ktoré tvoria časť informačného systému alebo sú určené na tvorbu časti informačného systému.

3.           Táto smernica sa nevzťahuje na spracovanie osobných údajov:

a)      v rámci činnosti, ktorá nepatrí do pôsobnosti práva Únie, najmä ak sa týka národnej bezpečnosti;

b)      inštitúciami, orgánmi, úradmi a agentúrami Únie.

Článok 3 Vymedzenie pojmov

Na účely tejto smernice sa uplatňujú tieto vymedzenia pojmov:

(1) „dotknutá osoba“ je určená fyzická osoba alebo fyzická osoba, ktorú možno určiť priamo alebo nepriamo, najmä odkazom na identifikačné číslo, lokalizačné údaje, on-line identifikátor alebo odkazom na jeden či viaceré prvky, ktoré tvoria fyzickú, fyziologickú, psychickú, genetickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu tejto osoby a to spôsobmi, o ktorých možno odôvodnene predpokladať, že ich prevádzkovateľ alebo akákoľvek iná fyzická alebo právnická osoba používajú;

(2) „osobné údaje“ sú akékoľvek informácie, ktoré sa týkajú dotknutej osoby;

(3) „spracúvanie osobných údajov“ znamená operáciu alebo súbor operácií, ktorými sa osobné údaje spracúvajú automatizovanými alebo neautomatizovanými prostriedkami, napríklad zhromažďovaním, zaznamenávaním, usporadúvaním, štruktúrovaním, uchovávaním, prepracúvaním alebo zmenou, vyhľadávaním, nahliadaním, využívaním, sprístupňovaním prenosom, šírením alebo ich sprístupnením iným spôsobom, preskupovaním alebo kombinovaním, obmedzením, vymazaním alebo likvidáciou;

(4) „obmedzenie spracúvania“ je označenie uchovávaných osobných údajov s cieľom obmedziť ich spracovanie v budúcnosti;

(5) „informačný systém“ je akýkoľvek usporiadaný súbor osobných údajov, ktoré sú prístupné podľa konkrétnych kritérií, bez ohľadu na to, či ide o systém centralizovaný, decentralizovaný alebo distribuovaný na funkčnom alebo geografickom základe;

(6) „prevádzkovateľ“ je príslušný verejný orgán, ktorý sám alebo spoločne s inými určuje účel, podmienky a prostriedky spracúvania osobných údajov; v prípade, že účely, podmienky a prostriedky spracovania stanovujú právne predpisy Únie alebo právne predpisy členského štátu, možno prevádzkovateľa alebo konkrétne kritériá pre jeho určenie navrhnúť na základe práva Únie alebo práva členského štátu;

(7) „sprostredkovateľ“ je fyzická alebo právnická osoba, verejný orgán, agentúra, alebo akýkoľvek iný subjekt, ktorý spracúva osobné údaje v mene prevádzkovateľa;

(8) „príjemca“ je fyzická alebo právnická osoba, verejný orgán, agentúra, alebo akýkoľvek iný subjekt, ktorému sa sprístupňujú osobné údaje;

(9) „porušenie ochrany osobných údajov“ znamená porušenie bezpečnosti, ktoré má za následok náhodnú alebo nelegálnu likvidáciu, stratu, zmenu, neoprávnené zverejnenie alebo sprístupnenie osobných údajov, ktoré sa prenášajú, ukladajú alebo inak spracúvajú;

(10) „genetické údaje“ sú všetky údaje akéhokoľvek druhu, týkajúce sa dedičných znakov fyzickej osoby alebo jej znakov získaných v období raného prenatálneho vývoja;

(11) „biometrické údaje“ sú akékoľvek údaje týkajúce sa fyzických, fyziologických alebo behaviorálnych charakteristík fyzickej osoby, ktoré umožňujú jej jednoznačnú identifikáciu, napríklad vyobrazenia tváre alebo daktyloskopické údaje;

(12) „údaje týkajúce sa zdravia“ sú všetky informácie týkajúce sa fyzického alebo duševného zdravia fyzickej osoby alebo poskytovania zdravotníckych služieb fyzickej osobe;

(13) „dieťa“ je každá osoba mladšia ako 18 rokov;

(14) „príslušné orgány“ sú akékoľvek verejné orgány príslušné na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií.

(15) „dozorný orgán“ je verejný orgán zriadený členským štátom v súlade s článkom 39.

KAPITOLA II

ZÁSADY

Článok 4 Zásady spracúvania osobných údajov

Členské štáty stanovia, že osobné údaje musia byť:

a)      spracúvané spravodlivo a zákonne;

b)      zhromažďované na konkrétne určené, explicitné a zákonné účely a nesmú sa ďalej spracúvať spôsobmi, ktoré nie sú zlučiteľné s týmito účelmi;

c)      primerané, relevantné a úmerné vzhľadom na účely, na ktoré sa spracúvajú;

d)      presné a v prípade potreby aktualizované; musia sa podniknúť všetky primerané kroky, aby sa zabezpečilo, že sa osobné údaje, ktoré sú nepresné z hľadiska účelov, na ktoré sa spracúvajú, bezodkladne vymažú alebo opravia;

e)      udržiavané vo forme, ktorá umožňuje identifikáciu dotknutých osôb najviac po dobu, ktorá je potrebná na účely, na ktoré boli osobné údaje zhromaždené;

f)       spracúvané v rámci okruhu povinností a zodpovednosti prevádzkovateľa, ktorý zabezpečí súlad s ustanoveniami prijatými podľa tejto smernice.

Článok 5 Rozlišovanie medzi rôznymi kategóriami dotknutých osôb

1.           Členské štáty stanovia, že prevádzkovateľ je v najväčšej možnej miere povinný jasne rozlišovať medzi osobnými údajmi rôznych kategórií dotknutých osôb, ako sú napríklad:

a)      osoby, v prípade ktorých existujú vážne dôvody domnievať sa, že spáchali alebo sa chystajú spáchať trestný čin;

b)      osoby odsúdené za spáchanie trestného činu;

c)      obete trestného činu, alebo osoby, v prípade ktorých sú na základe určitých skutočností dôvody domnievať sa, že sú alebo by mohli byť obeťami trestného činu;

d)      tretie osoby v súvislosti s trestným činom, ako sú napríklad osoby, ktoré môžu byť vyzvané, aby svedčili v rámci vyšetrovania v súvislosti s trestnými činmi alebo v rámci následného trestného konania, alebo osoby, ktoré môžu poskytnúť informácie o trestných činoch, alebo kontaktné osoby či spoločníci niektorej z osôb uvedených v písmenách a) a b), a

e)      osoby, ktoré nespadajú do žiadnej z kategórií uvedených vyššie.

Článok 6 Rozdielne stupne presnosti a spoľahlivosti osobných údajov

1.           Členské štáty zabezpečia, aby sa v najväčšej možnej miere rozlišovalo medzi rôznymi kategóriami spracúvaných osobných údajov podľa stupňa ich presnosti a spoľahlivosti.

2.           Členské štáty zabezpečia, aby sa v najväčšej možnej miere rozlišovalo medzi osobnými údajmi založenými na faktoch a osobnými údajmi založenými na osobných hodnoteniach.

Článok 7 Zákonnosť spracovania

Členské štáty stanovia, že spracovanie osobných údajov je zákonné iba vtedy a do takej miery, ak je nevyhnutné na:

(a) plnenie úloh príslušného orgánu na základe zákona a na účely stanovené v článku 1 ods. 1, alebo

(b) splnenie zákonnej povinnosti prevádzkovateľa, alebo

(c) ochranu zásadných záujmov dotknutej osoby či inej osoby, alebo

(d) predídenie bezprostrednému a vážnemu ohrozeniu verejnej bezpečnosti.

Článok 8 Spracúvanie osobitných kategórií osobných údajov

1.           Členské štáty zakážu spracúvanie osobných údajov odhaľujúcich rasový alebo etnický pôvod, politické názory, náboženstvo alebo vieru a členstvo v odboroch, ako aj spracúvanie genetických údajov alebo údajov týkajúcich sa zdravia či sexuálneho života.

2.           Odsek 1 sa neuplatňuje, ak:

a)      spracúvanie je povolené zákonom stanovujúcim náležité záruky, alebo

b)      spracúvanie je nevyhnutné na ochranu zásadných záujmov dotknutej osoby či inej osoby, alebo

c)      spracúvanie sa týka údajov, ktoré preukázateľne zverejnila dotknutá osoba.

Článok 9 Opatrenia založené na profilovaní a automatizovanom spracovaní

1.           Členské štáty stanovia, že opatrenia, ktoré majú pre dotknutú osobu nepriaznivé právne účinky alebo významné dôsledky a ktoré sú založené výlučne na automatizovanom spracúvaní osobných údajov na účely hodnotenia určitých osobných aspektov týkajúcich sa tejto dotknutej osoby, sa zakazujú, ak nie sú povolené zákonom, v ktorom sa zároveň stanovujú opatrenia na zabezpečenie oprávnených záujmov dotknutej osoby.

2.           Automatizované spracovanie osobných údajov na účely hodnotenia určitých osobných aspektov týkajúcich sa dotknutej osoby nesmie byť založené výlučne na osobitných kategóriách osobných údajov uvedených v článku 8.

KAPITOLA III

PRÁVA DOTKNUTEJ OSOBY

Článok 10 Modality výkonu práv dotknutej osoby

1.           Členské štáty stanovia, že prevádzkovateľ má povinnosť podniknúť všetky primerané kroky, aby mal transparentné a ľahko dostupné pravidlá týkajúce sa spracovania osobných údajov a uplatňovania práv dotknutých osôb.

2.           Členské štáty stanovia, že prevádzkovateľ poskytuje všetky informácie a uskutočňuje komunikáciu v súvislosti so spracovaním osobných údajov vo vzťahu k dotknutej osobe v zrozumiteľnej forme, pričom používa jasný a jednoduchý jazyk.

3.           Členské štáty stanovia, že prevádzkovateľ má povinnosť podniknúť všetky primerané kroky, aby zaviedol postupy na poskytovanie informácií uvedených v článku 11 a na výkon práv dotknutých osôb uvedených v článkoch 12 až 17.

4.           Členské štáty stanovia, že prevádzkovateľ má povinnosť informovať bez zbytočného odkladu dotknutú osobu o krokoch, ktoré podnikol v nadväznosti na jej žiadosť.

5.           Členské štáty stanovia, že informácie, ktoré prevádzkovateľ na základe žiadosti uvedenej v odseku 3 a 4 poskytuje, ako aj akékoľvek opatrenia, ktoré na tomto základe prijíma, sú bezplatné. Ak sú žiadosti neprimerané, a to najmä pre ich opakujúci sa charakter, resp. pre rozsah či objem žiadosti, môže prevádzkovateľ za poskytnutie informácií či vykonanie úkonu požadovať poplatok, resp. môže odmietnuť vykonať požadovaný úkon. V takom prípade znáša prevádzkovateľ bremeno preukázania neprimeraného charakteru žiadosti.

Článok 11 Informovanie dotknutej osoby

1.           Členské štáty zabezpečia, aby v prípadoch, keď sa zhromažďujú osobné údaje týkajúce sa dotknutej osoby, prevádzkovateľ prijal všetky príslušné opatrenia s cieľom poskytnúť dotknutej osobe aspoň tieto informácie:

a)      totožnosť a kontaktné údaje prevádzkovateľa a úradníka pre ochranu údajov;

b)      účely spracovania, na ktoré sú osobné údaje určené;

c)      obdobie, počas ktorého sa osobné údaje budú uchovávať;

d)      existencia práva žiadať od prevádzkovateľa prístup k osobným údajom týkajúcim sa dotknutej osoby, ako aj ich opravu, výmaz alebo obmedzenie ich spracúvania;

e)      právo podať sťažnosť dozornému orgánu uvedenému v článku 39 a jeho kontaktné údaje;

f)       príjemcovia alebo kategórie príjemcov osobných údajov, a to aj v tretích krajinách či medzinárodných organizáciách;

g)      akékoľvek ďalšie informácie, ak sú potrebné, aby sa zaručilo spravodlivé spracovanie vo vzťahu k dotknutej osobe, a to so zreteľom na špecifické okolnosti, za ktorých sa osobné údaje spracúvajú.

2.           Ak sa osobné údaje získavajú od dotknutej osoby, prevádzkovateľ okrem informácií uvedených v odseku 1 informuje dotknutú osobu aj o tom, či poskytovanie osobných údajov je povinné alebo dobrovoľné, ako aj o možných dôsledkoch neposkytnutia týchto údajov.

3.           Prevádzkovateľ poskytne informácie uvedené v odseku 1:

a)      v čase, keď sa tieto osobné údaje získavajú od dotknutej osoby, alebo

b)      ak osobné údaje neboli získané od dotknutej osoby v čase ich zaznamenania alebo v primeranej lehote po ich zhromaždení, a to so zreteľom na špecifické okolnosti, za ktorých sa údaje spracúvajú.

4.           Členské štáty môžu prijať právne opatrenia, ktorými sa odkladá, obmedzuje alebo vylučuje poskytovanie informácií dotknutej osobe v takom rozsahu a tak dlho, ako toto čiastočné či úplné obmedzenie s náležitým zreteľom na oprávnené záujmy príslušnej osoby predstavuje nevyhnutné a primerané opatrenie v demokratickej spoločnosti s cieľom zaručiť:

(a) aby sa neovplyvnilo úradné alebo súdne vyšetrovanie alebo postup;

(b) aby sa zabránilo ovplyvňovaniu predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo výkonu trestných sankcií;

(c) ochranu verejnej bezpečnosti;

(d) ochranu národnej bezpečnosti;

(e) ochranu práv a slobôd iných.

5.           Členské štáty môžu stanoviť, na ktoré kategórie spracúvania údajov sa môžu úplne alebo čiastočne vzťahovať výnimky podľa odseku 4.

Článok 12 Právo dotknutej osoby na prístup

1.           Členské štáty stanovia, že dotknutá osoba má právo získať od prevádzkovateľa potvrdenie o tom, či sa spracúvajú jej osobné údaje. Ak sa takéto osobné údaje spracúvajú, prevádzkovateľ poskytne tieto informácie:

a)      účely spracovania;

b)      kategórie dotknutých osobných údajov;

c)      príjemcovia alebo kategórie príjemcov, ktorým osobné údaje boli sprístupnené, najmä príjemcovia v tretích krajinách;

d)      obdobie, počas ktorého sa osobné údaje budú uchovávať;

e)      existencia práva žiadať od prevádzkovateľa opravu osobných údajov týkajúcich dotknutej osoby, ich výmaz alebo obmedzenie ich spracúvania;

f)       právo podať sťažnosť dozornému orgánu a kontaktné údaje dozorného orgánu;

g)      informácia o osobných údajoch, ktoré sa spracúvajú, a o akýchkoľvek dostupných informáciách pokiaľ ide o ich zdroj.

2.           Členské štáty stanovia, že dotknutá osoba má právo získať od prevádzkovateľa kópiu spracúvaných osobných údajov.

Článok 13 Obmedzenia práva na prístup

1. Členské štáty môžu prijať právne opatrenia, ktorými sa úplne alebo čiastočne obmedzuje právo dotknutej osoby na prístup v takom rozsahu a tak dlho, ako toto čiastočné či úplné obmedzenie s náležitým zreteľom na oprávnené záujmy príslušnej osoby predstavuje nevyhnutné a primerané opatrenie v demokratickej spoločnosti s cieľom zaručiť:

(a) aby sa neovplyvnilo úradné alebo súdne vyšetrovanie alebo postup;

(b) aby sa zabránilo ovplyvňovaniu predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo výkonu trestných sankcií;

(c) ochranu verejnej bezpečnosti;

(d) ochranu národnej bezpečnosti;

(e) ochranu práv a slobôd iných.

2. Členské štáty môžu zákonom stanoviť, na ktoré kategórie spracúvania údajov sa môžu úplne alebo čiastočne vzťahovať výnimky podľa odseku 1.

3. Členské štáty v prípadoch uvedených v odseku 1 a 2 stanovia, že prevádzkovateľ písomne informuje dotknutú osobu o akomkoľvek zamietnutí či obmedzení prístupu, dôvodoch zamietnutia a o možnostiach podania sťažnosti dozornému orgánu a uplatnenia súdnych prostriedkov nápravy. Informácie o skutkových alebo právnych dôvodoch, na ktorých sa rozhodnutie zakladá, možno neuviesť, ak by poskytnutie takýchto informácií ohrozilo účel uvedený v odseku 1.

4. Členské štáty zabezpečia, aby prevádzkovateľ zdokumentoval dôvody neuvedenia skutkových alebo právnych dôvodov, na ktorých sa rozhodnutie zakladá.

Článok 14 Modality výkonu práva na prístup

1.           Členské štáty stanovia, že dotknutá osoba má právo, a to najmä v prípadoch uvedených v článku 13, žiadať, aby dozorný orgán preveril zákonnosť spracovania.

2.           Členské štáty stanovia, že prevádzkovateľ informuje dotknutú osobu o jej práve požadovať intervenciu dozorného orgánu podľa odseku 1.

3.           V prípade výkonu práva uvedeného v odseku 1 dozorný orgán informuje dotknutú osobu prinajmenšom o tom, že vykonal všetky potrebné overenia a o výsledku, pokiaľ ide o zákonnosť predmetného spracovania.

Článok 15 Právo na opravu

1.           Členské štáty stanovia, že dotknutá osoba má právo vymôcť od prevádzkovateľa opravu svojich osobných údajov, ktoré sú nesprávne. Dotknutá osoba má právo vymôcť doplnenie svojich neúplných osobných údajov, a to najmä prostredníctvom opravného vyhlásenia.

2.           Členské štáty stanovia, že prevádzkovateľ písomne informuje dotknutú osobu o akomkoľvek zamietnutí opravy, dôvodoch zamietnutia a o možnostiach podania sťažnosti dozornému orgánu a uplatnenia súdnych prostriedkov nápravy.

Článok 16 Právo na výmaz

1. Členské štáty stanovia, že dotknutá osoba má právo vymôcť od prevádzkovateľa výmaz svojich osobných údajov, ak spracúvanie nie je v súlade s ustanoveniami prijatými podľa článku 4 písm. a) až e) a článkov 7 a 8 tejto smernice.

2. Prevádzkovateľ uskutoční výmaz bezodkladne.

3. Namiesto výmazu prevádzkovateľ označí osobné údaje v prípade, že:

(f) dotknutá osoba napadne ich presnosť, a to na dobu umožňujúcu prevádzkovateľovi overiť presnosť údajov;

(g) osobné údaje musia zostať uchované na dôkazné účely;

(h) dotknutá osoba namieta proti ich vymazaniu a žiada namiesto toho obmedzenie ich použitia.

4. Členské štáty stanovia, že prevádzkovateľ písomne informuje dotknutú osobu o akomkoľvek zamietnutí výmazu či označenia spracovania, dôvodoch zamietnutia a o možnostiach podania sťažnosti dozornému orgánu a uplatnenia súdnych prostriedkov nápravy.

Článok 17 Práva dotknutej osoby v rámci vyšetrovania trestných činov a trestného konania

Členské štáty môžu stanoviť, že práva na informácie, prístup, opravu, výmaz alebo obmedzenie spracúvania v zmysle článkov 11 až 16 sa vykonávajú v súlade s vnútroštátnymi pravidlami súdneho konania, ak ide o osobné údaje obsiahnuté v súdnych rozhodnutiach či záznamoch spracúvaných v rámci vyšetrovania trestných činov a trestného konania.

KAPITOLA IV PREVÁDZKOVATEĽ A SPROSTREDKOVATEĽ

ODDIEL 1 VŠEOBECNÉ POVINNOSTI

Článok 18 Zodpovednosť prevádzkovateľa

1.           Členské štáty stanovia, že prevádzkovateľ prijme politiky a uplatňuje vhodné opatrenia s cieľom zabezpečiť, aby sa spracúvanie osobných údajov vykonávalo v súlade s ustanoveniami prijatými podľa tejto smernice.

2.           K opatreniam uvedeným v odseku 1 patria najmä:

a)      vedenie dokumentácie podľa článku 23;

b)      plnenie požiadaviek týkajúcich sa konzultácie vopred podľa článku 26;

c)      plnenie požiadaviek bezpečnosti údajov stanovených v článku 27;

d)      určenie úradníka pre ochranu údajov v súlade s článkom 30.

3.           Prevádzkovateľ zavedie mechanizmy na overovanie účinnosti opatrení uvedených v odseku 1 tohto článku. V odôvodnených prípadoch vykonávajú toto overovanie nezávislí interní alebo externí audítori.

Článok 19 Ochrana údajov špecificky navrhnutá a štandardne určená

1.           Členské štáty stanovia, že so zreteľom na najnovší stav techniky a náklady na implementáciu prevádzkovateľ uplatní zodpovedajúce technické a organizačné opatrenia a postupy tak, aby spracovanie spĺňalo požiadavky ustanovení prijatých podľa tejto smernice a zabezpečilo ochranu práv dotknutej osoby.

2.           Prevádzkovateľ zavedie mechanizmy, ktorými sa štandardne zabezpečí, aby sa spracúvali iba tie osobné údaje, ktoré sú potrebné na účely spracovania.

Článok 20 Spoloční prevádzkovatelia

Členské štáty stanovia, že ak prevádzkovateľ stanovuje účely, podmienky a spôsob spracovania osobných údajov spoločne s inými, spoloční prevádzkovatelia musia formou dohody medzi sebou stanoviť svoje príslušné okruhy zodpovednosti za dodržiavanie ustanovení prijatých podľa tejto smernice, najmä pokiaľ ide o postupy a mechanizmy na uplatnenie práv dotknutej osoby.

Článok 21 Sprostredkovateľ

5. Členské štáty stanovia, že ak sa operácia spracúvania uskutočňuje v mene prevádzkovateľa, prevádzkovateľ si musí zvoliť sprostredkovateľa, ktorý poskytuje dostatočné záruky, že uplatní primerané technické a organizačné opatrenia a postupy tak, aby spracovanie spĺňalo požiadavky ustanovení prijatých podľa tejto smernice a zabezpečilo ochranu práv dotknutej osoby.

6. Členské štáty stanovia, že vykonávanie spracovania sprostredkovateľom sa musí riadiť právnym aktom, ktorý zaväzuje sprostredkovateľa voči prevádzkovateľovi a najmä stanovuje, že sprostredkovateľ koná len na základe pokynov prevádzkovateľa, najmä v prípade, keď je prenos osobných údajov zakázaný.

7. Ak sprostredkovateľ spracúva iné osobné údaje než sú údaje podľa pokynov prevádzkovateľa, sprostredkovateľ sa v súvislosti s týmto spracovaním považuje za prevádzkovateľa a podlieha pravidlám o spoločných prevádzkovateľoch stanoveným v článku 20.

Článok 22 Spracovanie na základe právomoci prevádzkovateľa a sprostredkovateľa

Členské štáty stanovia, že sprostredkovateľ a akákoľvek iná osoba konajúca na základe právomoci prevádzkovateľa či sprostredkovateľa, ktorá má prístup k osobným údajom, môže tieto údaje spracovať len podľa pokynov prevádzkovateľa alebo len vtedy, keď to vyžadujú právne predpisy Únie alebo členského štátu.

Článok 23 Dokumentácia

1.           Členské štáty stanovia, že každý prevádzkovateľ a sprostredkovateľ musí viesť dokumentáciu všetkých systémov a postupov spracúvania patriacich do rámca jeho zodpovednosti.

2.           Dokumentácia obsahuje prinajmenšom tieto informácie:

a)      meno a kontaktné údaje prevádzkovateľa alebo prípadného spoločného prevádzkovateľa alebo sprostredkovateľa;

b)      účely spracovania;

c)      príjemcovia alebo kategórie príjemcov osobných údajov;

d)      prenosy údajov do tretej krajiny alebo medzinárodnej organizácii vrátane označenia predmetnej tretej krajiny alebo medzinárodnej organizácie.

3.           Prevádzkovateľ a sprostredkovateľ na požiadanie sprístupnia dokumentáciu dozornému orgánu.

Článok 24 Uchovávanie záznamov

1.           Členské štáty zabezpečia, aby sa uchovávali záznamy prinajmenšom o týchto operáciách spracúvania: zhromažďovanie, zmena, nahliadanie, sprístupňovanie, kombinovanie alebo výmaz. V záznamoch o nahliadaní a sprístupňovaní sa uvádza predovšetkým účel, dátum a čas týchto operácií a v najväčšej možnej miere aj identifikačné údaje osoby, ktorá do týchto osobných údajov nahliadala alebo ich sprístupňovala.

2.           Záznamy sa využijú výlučne len na účely overovania zákonnosti spracúvania údajov, vlastného monitorovania a na zabezpečenie integrity a bezpečnosti údajov.

Článok 25 Spolupráca s dozorným orgánom

1.           Členské štáty stanovia, že prevádzkovateľ a sprostredkovateľ na požiadanie spolupracujú s dozorným orgánom pri výkone svojich povinností, a to najmä poskytovaním všetkých informácií, ktoré dozorný orgán potrebuje na plnenie svojich povinností.

2.           V reakcii na uplatnenie právomocí dozorného orgánu podľa článku 46 písm. a) a b) prevádzkovateľ a sprostredkovateľ odpovedajú dozornému orgánu v primeranej lehote. Odpoveď obsahuje aj opis prijatých opatrení a dosiahnuté výsledky ako odpoveď na pripomienky dozorného orgánu.

Článok 26 Konzultácie vopred s dozorným orgánom

8. Členské štáty zabezpečia, aby prevádzkovateľ či sprostredkovateľ uskutočnil konzultácie s dozorným orgánom pred spracúvaním osobných údajov, ktoré budú tvoriť časť nového informačného systému, ktorý sa vytvára, ak:

a)      sa majú spracúvať osobitné kategórie údajov v zmysle článku 8;

b)      daný druh spracovania, najmä pokiaľ ide o použitie nových technológií, mechanizmov či postupov, inak predstavuje osobitné riziko pre základné práva a slobody dotknutých osôb, a to najmä pre ochranu ich osobných údajov.

9. Členské štáty môžu stanoviť, že dozorný orgán vypracuje zoznam operácií spracúvania, ktoré podliehajú povinnosti uskutočniť konzultácie vopred podľa odseku 1.

ODDIEL 2 BEZPEČNOSŤ ÚDAJOV

Článok 27 Bezpečnosť spracúvania

1.           Členské štáty stanovia, že prevádzkovateľ a sprostredkovateľ uplatnia primerané technické a organizačné opatrenia, aby zabezpečili úroveň bezpečnosti primeranú rizikám, ktoré predstavuje spracovanie a povaha údajov, ktoré sa majú chrániť, a to so zreteľom na najnovší stav techniky a náklady na ich zavedenie.

2.           Pokiaľ ide o automatizované spracovanie osobných údajov, každý členský štát stanoví, že prevádzkovateľ či sprostredkovateľ na základe vyhodnotenia rizík uplatní opatrenia na:

(i) zabránenie neoprávnenému prístupu k zariadeniam na spracúvanie údajov, ktoré sa používajú na spracúvanie osobných údajov (kontrola prístupu k zariadeniam);

(j) zabránenie neoprávnenému čítaniu, kopírovaniu, pozmeňovaniu či odstráneniu nosičov údajov (kontrola nosičov údajov);

(k) zabránenie neoprávnenému vkladaniu údajov, ako aj neoprávnenému prezeraniu, pozmeňovaniu či vymazávaniu uchovávaných osobných údajov (kontrola uloženia);

(l) zabránenie používaniu automatizovaných systémov na spracúvanie údajov neoprávnenými osobami pomocou zariadenia na prenos údajov (kontrola užívateľov);

(m) zabezpečenie, aby osoby oprávnené na používanie automatizovaného systému na spracovanie údajov mali prístup iba k tým údajom, na ktoré sa vzťahuje poskytnuté oprávnenie na prístup (kontrola prístupu k údajom);

(n) zabezpečenie, aby sa dalo overiť a zistiť, ktorým subjektom boli či môžu byť prenášané alebo sprístupňované osobné údaje prostredníctvom zariadenia na prenos údajov (kontrola prenosu údajov);

(o) zabezpečenie, aby sa následne dalo overiť a zistiť, ktoré osobné údaje boli vložené do automatizovaného systému na spracúvanie údajov, kedy a kým (kontrola vkladania údajov);

(p) zabránenie, aby pri prenosoch osobných údajov či pri preprave nosičov údajov nedošlo k neoprávnenému čítaniu, kopírovaniu, pozmeňovaniu či vymazávaniu osobných údajov (kontrola prepravy);

(q) zabezpečenie, aby v prípade prerušenia bola možná obnova inštalovaných systémov (obnova);

(r) zabezpečenie, aby funkcie systému pracovali, aby sa výskyt chýb v jeho funkciách okamžite hlásil (spoľahlivosť) a aby uchovávané osobné údaje nemohli byť poškodené v dôsledku chybného fungovania systému (integrita).

3.           Komisia môže v prípade potreby prijať vykonávacie akty na bližšie určenie požiadaviek stanovených v odsekoch 1 a 2 v súvislosti s rôznymi situáciami, a to najmä pokiaľ ide o normy šifrovania. Tieto vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 57 ods. 2.

Článok 28 Oznámenie o porušení ochrany osobných údajov dozornému orgánu

1.           Členské štáty stanovia, že v prípade, že dôjde k narušeniu ochrany osobných údajov, prevádzkovateľ bez zbytočného odkladu a podľa možnosti najneskôr do 24 hodín po tom, čo sa o tejto skutočnosti dozvedel, oznámi porušenie ochrany osobných údajov dozornému orgánu. Ak toto oznámenie nebolo predložené do 24 hodín, prevádzkovateľ na požiadanie poskytne dozornému orgánu náležité zdôvodnenie.

2.           Sprostredkovateľ upozorní a informuje prevádzkovateľa ihneď po zistení porušenia ochrany osobných údajov.

3.           Oznámenie uvedené v odseku 1 musí obsahovať prinajmenšom:

a)      opis charakteru porušenia ochrany osobných údajov vrátane kategórií a počtu dotknutých osôb a kategórie a počet dotknutých údajových záznamov;

b)      údaje totožnosti a kontaktné údaje úradníka pre ochranu údajov uvedeného v článku 30 alebo iné kontaktné miesto, kde možno získať viac informácií;

c)      odporúčané opatrenia na zmiernenie potenciálnych nepriaznivých účinkov porušenia ochrany osobných údajov;

d)      opis potenciálnych dôsledkov porušenia ochrany osobných údajov;

e)      opis opatrení navrhovaných alebo prijatých prevádzkovateľom s cieľom vyriešiť porušenie ochrany osobných údajov.

4.           Členské štáty stanovia, že prevádzkovateľ zdokumentuje každý prípad porušenia ochrany osobných údajov, pričom uvedie všetky skutočnosti spojené s predmetným porušením jeho následky a prijaté opatrenia na nápravu. Táto dokumentácia musí umožniť dozorným orgánom overiť súlad s týmto článkom. Dokumentácia obsahuje len informácie, ktoré sú na tento účel potrebné.

5.           Komisia je splnomocnená prijať delegované akty v súlade s článkom 56 s cieľom bližšie určiť kritériá a požiadavky na konštatovanie skutočnosti porušenia ochrany údajov v zmysle odsekov 1 a 2, ako aj osobitné okolnosti, za ktorých sa od prevádzkovateľa a sprostredkovateľa vyžaduje, aby oznámili porušenie ochrany osobných údajov.

6.           Komisia môže stanoviť štandardný formát takéhoto oznámenia dozornému orgánu, postupy týkajúce sa oznamovacej povinnosti a formu a spôsoby dokumentácie uvedenej v odseku 4 vrátane lehôt na výmaz informácií, ktoré sú v nej obsiahnuté. Tieto vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 57 ods. 2.

Článok 29 Informovanie dotknutej osoby o porušení ochrany osobných údajov

1.           Členské štáty stanovia, že ak je pravdepodobné, že porušenie ochrany osobných údajov bude mať nepriaznivý vplyv na ochranu osobných údajov a súkromie dotknutej osoby, prevádzkovateľ musí okrem oznámenia uvedeného v článku 28 informovať o porušení osobných údajov bez zbytočného odkladu aj dotknutú osobu.

2.           Informácia pre dotknutú osobu uvedená v odseku 1 musí obsahovať opis charakteru porušenia ochrany osobných údajov a prinajmenšom informácie a odporúčania uvedené v článku 28 ods. 3 písm. b) a c).

3.           Informovanie dotknutej osoby o porušení ochrany osobných údajov sa nevyžaduje, ak prevádzkovateľ preukáže k spokojnosti dozorného orgánu, že vykonal primerané technické ochranné opatrenia a že tieto opatrenia uplatnil na osobné údaje, ktorých ochrana bola porušená. Použitím takýchto opatrení technickej ochrany sa údaje stanú nečitateľnými pre všetky osoby, ktoré nie sú oprávnené na prístup k nim.

4.           Poskytovanie informácií dotknutej osobe sa môže odložiť, obmedziť alebo vylúčiť z dôvodov uvedených v článku 11 ods. 4.

ODDIEL 3 ÚRADNÍK PRE OCHRANU ÚDAJOV

Článok 30 Určenie úradníka pre ochranu údajov

10. Členské štáty stanovia, že prevádzkovateľ alebo sprostredkovateľ určia úradníka pre ochranu údajov.

11. Úradník pre ochranu údajov sa určí na základe odborných kvalít, a to najmä na základe odborných znalostí práva a praxe v oblasti ochrany údajov a na základe schopností plniť úlohy uvedené v článku 32.

12. Úradníka pre ochranu údajov je možné určiť pre niekoľko subjektov, pri zohľadnení organizačnej štruktúry príslušného orgánu.

Článok 31 Postavenie úradníka pre ochranu údajov

13. Členské štáty stanovia, že prevádzkovateľ alebo sprostredkovateľ je povinný zabezpečiť, aby bol úradník pre ochranu údajov riadnym spôsobom a včas zapojený vo všetkých otázok, ktoré súvisia s ochranou osobných údajov.

14. Prevádzkovateľ alebo sprostredkovateľ zabezpečia, aby sa úradníkovi pre ochranu údajov poskytli prostriedky potrebné na účinné a nezávislé plnenie jeho povinností a úloh uvedených v článku 32 a aby tento úradník v súvislosti s výkonom svojej funkcie nedostával žiadne pokyny.

Článok 32 Úlohy úradníka pre ochranu údajov

Členské štáty stanovia, že prevádzkovateľ alebo sprostredkovateľ je povinný zveriť úradníkovi pre ochranu údajov prinajmenšom tieto úlohy:

(e) poskytovanie informácií a poradenstva prevádzkovateľovi alebo sprostredkovateľovi, pokiaľ ide o ich povinnosti, a to v súlade s ustanoveniami prijatými podľa tejto smernice, ako aj dokumentácia tejto činnosti a reakcií, ktoré dostal;

(f) monitorovanie vykonávania a uplatňovania politík v súvislosti s ochranou osobných údajov vrátane rozdelenia povinností, odbornej prípravy zamestnancov zapojených do operácií spracúvania a súvisiacich auditov;

(g) monitorovanie vykonávania a uplatňovania ustanovení prijatých podľa tejto smernice, a to najmä pokiaľ ide o požiadavky súvisiace so špecificky navrhnutou ochranou údajov, štandardne určenou ochranou údajov, bezpečnosťou údajov, informovaním dotknutých osôb a s ich žiadosťami, ktorými vykonávajú svoje práva vyplývajúce z ustanovení prijatých podľa tejto smernice;

(h) zabezpečenie vedenia dokumentácie podľa článku 23;

(i) monitorovanie dokumentácie porušení ochrany osobných údajov, ich oznamovania a informovania o nich v zmysle článkov 28 a 29;

(j) monitorovanie žiadosti o konzultáciu s dozorným orgánom vopred, ak sa vyžaduje podľa článku 26;

(k) monitorovanie odpovedí na žiadosti dozorného orgánu a spolupráca, a to v rámci rozsahu právomocí úradníka pre ochranu údajov, s dozorným orgánom na jeho žiadosť či na základe jeho podnetu;

h)      plnenie úlohy kontaktného miesta pre dozorný orgán v súvislosti s otázkami týkajúcimi sa spracovania a uskutočňovanie konzultácií s dozorným orgánom, podľa potreby aj na základe vlastného podnetu úradníka pre ochranu údajov.

KAPITOLA V PRENOS OSOBNÝCH ÚDAJOV DO TRETÍCH KRAJÍN ALEBO MEDZINÁRODNÝM ORGANIZÁCIÁM

Článok 33 Všeobecné zásady prenosu osobných údajov

Členské štáty stanovia, že príslušné orgány môžu uskutočniť prenos spracúvaných osobných údajov alebo osobných údajov určených na spracovanie po prenose do tretej krajiny alebo medzinárodnej organizácii vrátane ďalšieho prenosu osobných údajov do inej tretej krajiny či inej medzinárodnej organizácii, len ak:

a)      prenos je nevyhnutný na predchádzanie trestným činom, ich vyšetrovanie, odhaľovanie či stíhanie alebo na výkon trestných sankcií, a

b)      prevádzkovateľ a sprostredkovateľ spĺňajú podmienky stanovené v tejto kapitole.

Článok 34 Prenos na základe rozhodnutia o primeranosti

1.           Členské štáty stanovia, že prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii sa môže uskutočniť, ak Komisia rozhodla v súlade s článkom 41 nariadenia (EÚ) č. ..../2012, resp. v súlade s odsekom 3 tohto článku, že predmetná tretia krajina, resp. územie alebo sektor spracovania v tejto tretej krajine, alebo medzinárodná organizácia zaručujú primeranú úroveň ochrany. Na takýto prenos nie je nutné žiadne ďalšie povolenie.

2.           V prípade, že niet rozhodnutia prijatého v súlade s článkom 41 nariadenia (EÚ) č. ..../2012, Komisia posúdi primeranosť úrovne ochrany, pričom zváži tieto prvky:

a)      zásady právneho štátu, príslušné platné právne predpisy, a to všeobecné aj odvetvové, vrátane tých, ktoré sa týkajú verejnej bezpečnosti, obrany, národnej bezpečnosti a trestného práva, ako aj bezpečnostné opatrenia, ktoré sa v tejto krajine alebo medzinárodnej organizácii dodržiavajú; takisto sa zohľadnia účinné a vynútiteľné práva vrátane práv dotknutých osôb na účinnú administratívnu a súdnu nápravu, a to predovšetkým pre tie dotknuté osoby s pobytom v Únii, ktorých osobné údaje sa prenášajú;

b)      existencia a účinné pôsobenie jedného či viacerých nezávislých dozorných orgánov v predmetnej tretej krajine či medzinárodnej organizácii, ktoré sú zodpovedné za zabezpečenie súladu s pravidlami ochrany údajov, poskytovanie pomoci a poradenstva dotknutým osobám pri výkone ich práv a za spoluprácu s dozornými orgánmi Únie a členských štátov, a

c)      medzinárodné záväzky, ktorými je predmetná tretia krajina či medzinárodná organizácia viazaná.

3.           Komisia môže v rámci rozsahu pôsobnosti tejto smernice rozhodnúť, že tretia krajina, resp. územie alebo sektor spracovania v tejto tretej krajine, alebo medzinárodná organizácia zaručuje primeranú úroveň ochrany zmysle odseku 2. Tieto vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 57 ods. 2.

4.           Vo vykonávacom akte sa uvedie jeho geografický a sektorový rozsah pôsobnosti a v príslušných prípadoch aj dozorný orgán podľa odseku 2 písm. b).

5.           Komisia môže v rámci rozsahu pôsobnosti tejto smernice rozhodnúť, že tretia krajina, resp. územie alebo sektor spracovania v tejto tretej krajine, alebo medzinárodná organizácia nezaručuje primeranú úroveň ochrany zmysle odseku 2, a to najmä v prípadoch, keď príslušné platné právne predpisy v tejto krajine alebo medzinárodnej organizácii, a to všeobecné aj odvetvové, nezaručujú účinné a vynútiteľné práva vrátane práv dotknutých osôb na účinnú administratívnu a súdnu nápravu, a to predovšetkým pre tie dotknuté osoby, ktorých osobné údaje sa prenášajú. Tieto vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 57 ods. 2, resp. v prípadoch, keď je to pre fyzické osoby mimoriadne naliehavé v súvislosti s ich právom na ochranu osobných údajov, v súlade s postupom uvedeným v článku 57 ods. 3.

6.           Členské štáty zabezpečia, aby bol v prípade, že Komisia rozhodla v súlade s odsekom 5, zakázaný akýkoľvek prenos osobných údajov do predmetnej tretej krajiny, resp. na územie alebo do sektora spracovania v tejto tretej krajine, alebo medzinárodnej organizácii; týmto rozhodnutím nie sú dotknuté prenosy podľa článku 35 ods. 1 alebo v súlade s článkom 36. Komisia vo vhodnom čase začne konzultácie s treťou krajinou alebo medzinárodnou organizáciou s cieľom nápravy stavu vzniknutého v dôsledku prijatia rozhodnutia podľa odseku 5 tohto článku.

7.           Komisia uverejnení v Úradnom vestníku Európskej únie zoznam tých tretích krajín, území a sektorov spracovania v tretích krajinách alebo medzinárodných organizáciách, v prípade ktorých rozhodla, že je, alebo nie je zaručená primeraná úroveň ochrany.

8.           Komisia bude monitorovať uplatňovanie vykonávacích aktov uvedených v odsekoch 3 a 5.

Článok 35 Prenos na základe náležitých záruk

1.           Členské štáty stanovia, že ak Komisia neprijala žiadne rozhodnutie podľa článku 34, prenos osobných údajov príjemcovi v tretej krajine alebo medzinárodnej organizácii sa môže uskutočniť, ak:

a)      sú v príslušných prípadoch v právne záväznom nástroji uvedené náležité záruky, alebo

b)      prevádzkovateľ či sprostredkovateľ uskutočnil posúdenie všetkých okolností prenosu osobných údajov a dospel k záveru, že existujú náležité záruky, pokiaľ ide o ochranu osobných údajov.

1.           Rozhodnutie o prenosoch podľa odseku 1 písm. b) prijímajú zamestnanci, ktorí na to boli riadne poverení. Tieto prenosy musia byť zdokumentované a táto dokumentácia sa musí dozornému orgánu sprístupniť na požiadanie.

Článok 36 Odchýlky

Odchylne od článkov 34 a 35 členské štáty stanovia, že prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii sa môže uskutočniť, len ak:

a)       prenos je nevyhnutný na ochranu zásadných záujmov dotknutej osoby či inej osoby, alebo

b)       prenos je nevyhnutný na zabezpečenie oprávnených záujmov dotknutej osoby, ak sa tak ustanovuje v právnych predpisoch členského štátu prenášajúceho osobné údaje, alebo

c)       prenos údajov je nevyhnutný na to, aby sa predišlo bezprostrednému a vážnemu ohrozeniu verejnej bezpečnosti členského štátu alebo tretej krajiny, alebo

d)       prenos je v jednotlivých prípadoch nevyhnutný na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania či stíhania alebo výkonu trestných sankcií, alebo

e)       prenos je v jednotlivých prípadoch nevyhnutný na stanovenie, uplatňovanie alebo obranu právnych nárokov súvisiacich s predchádzaním trestným činom, ich vyšetrovaním, odhaľovaním či stíhaním alebo výkonom trestných sankcií.

Článok 37 Osobitné podmienky prenosu osobných údajov

Členské štáty stanovia, že prevádzkovateľ je povinný informovať príjemcu osobných údajov o akýchkoľvek obmedzeniach spracovania a podniknúť všetky primerané kroky s cieľom zabezpečiť, aby tieto obmedzenia boli dodržané.

Článok 38 Medzinárodná spolupráca na účely ochrany osobných údajov

1.           V súvislosti s tretími krajinami a medzinárodnými organizáciami Komisia a členské štáty podniknú náležité kroky s cieľom:

(a) vytvoriť účinné mechanizmy medzinárodnej spolupráce na uľahčenie presadzovania právnych predpisov o ochrane osobných údajov;

(b) poskytnúť vzájomnú medzinárodnú pomoc pri presadzovaní právnych predpisov na ochranu osobných údajov, a to aj prostredníctvom notifikácií, postúpenia sťažností, pomoci pri vyšetrovaní a výmeny informácií, pričom sa uplatnia náležité záruky na ochranu osobných údajov a ďalšie základné práva a slobody;

(c) zapojiť príslušné zainteresované strany do diskusie a aktivít zameraných na prehĺbenie medzinárodnej spolupráce v oblasti presadzovania právnych predpisov na ochranu osobných údajov;

(d) podporovať výmenu a dokumentáciu v oblasti právnych predpisov na ochranu osobných údajov a praxe v tejto sfére.

2.           Komisia podnikne na účely odseku 1 náležité kroky s cieľom rozvoja vzťahov s tretími krajinami alebo medzinárodnými organizáciami, a to najmä s ich dozornými orgánmi, ak dospeje k záveru, že zaručujú primeranú úroveň ochrany v zmysle článku 34 ods. 3.

KAPITOLA VI NEZÁVISLÉ DOZORNÉ ORGÁNY

ODDIEL 1 NEZÁVISLÉ POSTAVENIE

Článok 39 Dozorný orgán

15. Každý členský štát stanoví, že jeden alebo viaceré verejné orgány sú zodpovedné za monitorovanie uplatňovania ustanovení prijatých podľa tejto smernice a za prispievanie k jej súdržnému uplatňovaniu v rámci Únie, a to s cieľom chrániť základné práva a slobody fyzických osôb v súvislosti so spracovaním ich osobných údajov a uľahčiť voľný tok osobných údajov v rámci Únie. Na tento účel dozorné orgány spolupracujú, a to vzájomne, ako aj s Komisiou.

16. Členské štáty môžu stanoviť, že dozorný orgán, ktorý v nich bol zriadený na základe nariadenia (EÚ) č. ..../2012, je zodpovedný za úlohy dozorného orgánu, ktorý sa má zriadiť podľa odseku 1 tohto článku.

17. V prípade, že je v členskom štáte zriadený viac než jeden dozorný orgán, členský štát určí, ktorý z nich plní funkcie jediného kontaktného miesta v záujme účinnej účasti týchto orgánov v Európskom výbore pre ochranu údajov.

Článok 40 Nezávislosť

1.           Členské štáty zabezpečia, aby dozorný orgán konal pri plnení svojich povinností a výkone zverených právomocí úplne nezávisle.

2.           Každý členský štát zabezpečí, aby členovia dozorného orgánu pri plnení svojich povinností od nikoho nežiadali ani neprijímali pokyny.

3.           Členovia dozorného orgánu sa zdržia akéhokoľvek konania nezlučiteľného s ich povinnosťami a počas svojho funkčného obdobia nevykonávajú žiadnu nezlučiteľnú platenú ani neplatenú pracovnú činnosť.

4.           Členovia dozorného orgánu sa po uplynutí svojho funkčného obdobia správajú pri prijímaní funkcií alebo výhod čestne a rozvážne.

5.           Každý členský štát zabezpečí, aby sa dozornému orgánu poskytli primerané ľudské, technické a finančné zdroje, priestory a infraštruktúra, ktoré sú potrebné na účinné plnenie povinností a vykonávanie právomocí vrátane tých, ktoré sa majú plniť a vykonávať v súvislosti so vzájomnou pomocou, spoluprácou a aktívnou účasťou v Európskom výbore pre ochranu údajov.

6            Každý členský štát zabezpečí, aby dozorný orgán musel mať svojich vlastných zamestnancov, ktorí budú ustanovení do svojich pozícií vedúcim dozorného orgánu a ktorí budú podliehať jeho pokynom.

7.           Členské štáty zabezpečia, aby dozorný orgán podliehal finančnej kontrole, ktorá neovplyvní jeho nezávislosť. Členské štáty zabezpečia, aby mali dozorné orgány samostatné ročné rozpočty. Tieto rozpočty sa zverejnia.

Článok 41 Všeobecné podmienky členstva v dozorných orgánoch

1.           Členské štáty stanovia, že členov dozorného orgánu ustanovuje buď parlament alebo vláda príslušného členského štátu.

2.           Členovia sa musia vybrať spomedzi osôb, v prípade ktorých niet pochybností o ich nezávislosti a ktoré majú preukázané skúsenosti a zručnosti potrebné na plnenie svojich povinností.

3.           Povinnosti člena zanikajú uplynutím funkčného obdobia, vzdaním sa funkcie alebo jeho odvolaním v súlade s odsekom 5.

4.           Člena možno odvolať alebo pozbaviť jeho práva na dôchodok či iných dávok namiesto dôchodku rozhodnutím príslušného vnútroštátneho súdu, ak tento člen prestal spĺňať podmienky požadované na výkon svojich služobných povinností, resp. ak sa dopustil závažného pochybenia.

5.           V prípade uplynutia funkčného obdobia alebo vzdania sa funkcie si člen plní svoje povinnosti, až kým nie je ustanovený nový člen.

Článok 42 Pravidlá zriaďovania dozorného orgánu

Každý členský štát prostredníctvom zákona stanoví:

a)           zriadenie dozorného orgánu a jeho postavenie v súlade s článkami 39 a 40;

b)           kvalifikáciu, skúsenosti a zručnosti, ktoré sa požadujú na plnenie povinností člena dozorného orgánu;

c)           pravidlá a postupy ustanovovania členov dozorného orgánu, ako aj pravidlá, ktoré upravujú, aké konania či pracovné činnosti sú nezlučiteľné so služobnými povinnosťami týchto členov;

d)           funkčné obdobie členov dozorného orgánu, ktoré nesmie byť menej než štyri roky, a to s výnimkou prvého ustanovenia po nadobudnutí účinnosti tejto smernice, ktoré môže mať kratšie trvanie;

e)           či členov dozorného orgánu možno ustanoviť do tejto funkcie opätovne;

f)            predpisy a spoločné podmienky upravujúce povinnosti členov a zamestnancov dozorného orgánu;

g)           pravidlá a postupy pri ukončení plnenia povinností člena dozorného orgánu, a to aj pre prípady, keď členovia prestali spĺňať podmienky požadované na výkon svojich povinností alebo sa dopustili závažného pochybenia.

Článok 43 Služobné tajomstvo

Členské štáty stanovia, že členovia a zamestnanci dozorného orgánu podliehajú počas funkčného obdobia či zamestnania, ako aj po ich uplynutí, povinnosti zachovávať služobné tajomstvo, pokiaľ ide o dôverné informácie, o ktorých sa dozvedeli pri plnení svojich služobných povinností.

ODDIEL 2 POVINNOSTI A PRÁVOMOCI

Článok 44 Pôsobnosť

1.           Členské štáty stanovia, že každý dozorný orgán vykonáva na území svojho členského štátu právomoci, ktoré mu boli zverené v súlade s touto smernicou.

2.           Členské štáty stanovia, že dozorný orgán nemá právomoc dohliadať na operácie spracúvania na súdoch, keď tieto plnia svoje súdne funkcie.

Článok 45 Úlohy

1.           Členské štáty stanovia, že dozorný orgán:

(e) monitoruje a zabezpečuje uplatňovanie ustanovení prijatých podľa tejto smernice a jej vykonávacích opatrení;

(f) prejednáva sťažnosti, ktoré podala akákoľvek dotknutá osoba, resp. združenie zastupujúce dotknutú osobu a ňou riadne splnomocnené v súlade s článkom 50, v náležitom rozsahu vyšetruje predmetnú záležitosť, informuje dotknutú osobu či združenie o pokroku a výsledkoch sťažnosti, pričom tak koná v primeranej lehote, a to najmä v tých prípadoch, keď je nutné ďalšie vyšetrovanie alebo koordinácia s iným dozorným orgánom;

(g) preveruje zákonnosť spracovania údajov podľa článku 14 a informuje dotknutú osobu v primeranej lehote o výsledku tohto preverenia, resp. o dôvodoch, pre ktoré k prevereniu nedošlo;

(h) poskytuje si ostatnými dozornými orgánmi vzájomnú pomoc a zabezpečuje súdržnosť uplatňovania a presadzovania ustanovení prijatých podľa tejto smernice;

(i) na vlastný podnet, na základe sťažnosti alebo na žiadosť iného dozorného orgánu uskutočňuje vyšetrovania a v primeranej lehote informuje príslušnú dotknutú osobu, ak podala sťažnosť, o výsledku tohto vyšetrovania;

(j) monitoruje príslušný vývoj, pokiaľ má dosah na ochranu osobných údajov, a to najmä vývoj informačných a komunikačných technológií;

(k) oslovujú inštitúcie a subjekty členského štátu s cieľom konzultovať právne a administratívne opatrenia súvisiace s ochranou práv a slobôd fyzických osôb týkajúcich sa spracovania osobných údajov,

(l) sa oslovuje s cieľom konzultovať operácie spracúvania podľa článku 26;

(m) sa zúčastňuje na činnosti Európskeho výboru pre ochranu údajov.

2.           Každý dozorný orgán podporuje zvyšovanie verejnej informovanosti o rizikách, pravidlách, zárukách a právach v súvislosti so spracovaním osobných údajov. Osobitná pozornosť sa má venovať najmä činnostiam špecificky zameraným na deti.

3.           Dozorný orgán poskytne na požiadanie poradenstvo ktorejkoľvek dotknutej osobe v súvislosti s výkonom jej práv vymedzených v ustanoveniach prijatých podľa tejto smernice, pričom v prípade potreby na tento účel spolupracuje s dozornými orgánmi v iných členských štátoch.

4.           Na účely podávania sťažností uvedených v odseku 1 písm. b) dozorný orgán poskytne formulár, ktorý možno vyplniť elektronicky, bez toho, aby boli vylúčené iné prostriedky komunikácie.

5.           Členské štáty ustanovia, že plnenie úloh dozorného orgánu bude pre dotknutú osobu bezplatné.

6.           V prípade, že žiadosti sú neprimerané, a to najmä pre ich opakujúci sa charakter, môže dozorný orgán požadovať poplatok, resp. môže odmietnuť vykonať úkon požadovaný dotknutou osobou. Bremeno preukázania neprimeraného charakteru žiadosti znáša dozorný orgán.

Článok 46 Právomoci

Členské štáty stanovia, že každý dozorný orgán musí mať predovšetkým tieto právomoci:

a)      vyšetrovacie právomoci, ako je právo prístupu k údajom tvoriacim predmet operácií spracúvania a právo zhromažďovať všetky informácie potrebné na plnenie jeho dozorných povinností;

b)      účinné právomoci intervencie, ako napríklad vydávanie stanovísk pred uskutočnením spracúvania a zabezpečovanie primeraného uverejnenia týchto stanovísk, nariadenie obmedzenia, výmazu alebo likvidácie údajov, ukladanie dočasného alebo trvalého zákazu spracúvania, upozorňovanie prevádzkovateľa alebo jeho napomínanie, resp. predkladanie predmetnej záležitosti národným parlamentom alebo iným politickým inštitúciám;

c)      právomoc zúčastniť sa na súdnych konaniach v prípade, že došlo k porušeniu ustanovení prijatých podľa tejto smernice, resp. upozorniť súdne orgány na takéto porušenie.

Článok 47 Správa o činnosti

Členské štáty stanovia, že každý dozorný orgán vypracúva ročnú správu o svojej činnosti. Správa sa sprístupní Komisii a Európskemu výboru pre ochranu údajov.

KAPITOLA VII SPOLUPRÁCA

Článok 48 Vzájomná pomoc

1.           Členské štáty stanovia, že dozorné orgány si poskytujú vzájomnú pomoc v záujme súdržného vykonávania a uplatňovania ustanovení prijatých podľa tejto smernice a zavedú opatrenia na účinnú vzájomnú spoluprácu. Vzájomná pomoc sa týka najmä žiadostí o informácie a opatrení v oblasti dozoru, ako sú napríklad žiadosti o uskutočnenie konzultácií vopred, kontroly a vyšetrovania.

2.           Členské štáty stanovia, že dozorný orgán je povinný prijať všetky príslušné opatrenia, ktoré sú potrebné na účely odpovede na žiadosť iného dozorného orgánu.

3.           Požiadaný dozorný orgán poskytne žiadajúcemu dozornému orgánu informácie o výsledkoch opatrení prijatých na účely odpovede žiadajúcemu dozornému orgánu, prípadne o pokroku dosiahnutom v tejto súvislosti, resp. o opatreniach prijatých na tento účel.

Článok 49 Úlohy Európskeho výboru pre ochranu údajov

1.           Európsky výbor pre ochranu údajov zriadený nariadením č. (EÚ)…./2012 plní v súvislosti so spracúvaním údajov patriacim do rozsahu pôsobnosti tejto smernice tieto úlohy:

(n) poskytuje Komisii poradenstvo v súvislosti s akýmikoľvek otázkami týkajúcimi sa ochrany osobných údajov v Únii, a to aj v súvislosti s akýmikoľvek návrhmi na zmenu a doplnenie tejto smernice;

(o) na žiadosť Komisie, na vlastný podnet či na podnet niektorého zo svojich členov skúma akúkoľvek otázku týkajúcu sa uplatňovania ustanovení prijatých podľa tejto smernice a vydáva usmernenia, odporúčania a najlepšie postupy určené dozorným orgánom v záujme podpory súdržného uplatňovania týchto ustanovení;

(p) preskúmava praktické uplatňovanie usmernení, odporúčaní a najlepších postupov uvedených v písm. b) a v pravidelných intervaloch o nich podáva Komisii správu;

(q) predkladá Komisii stanovisko o úrovni ochrany v tretích krajinách a medzinárodných organizáciách;

(r) podporuje spoluprácu a účinnú bilaterálnu a multilaterálnu výmenu informácií a postupov medzi dozornými orgánmi;

(s) podporuje spoločné programy odborného vzdelávania a uľahčuje výmeny zamestnancov medzi dozornými orgánmi, a to prípadne aj pokiaľ ide o zamestnancov dozorných orgánov tretích krajín či medzinárodných organizácií;

(t) podporuje výmenu poznatkov a dokumentácie s dozornými orgánmi zameranými na ochranu osobných údajov z celého sveta, a to aj pokiaľ ide o právne predpisy na ochranu osobných údajov a prax v tejto sfére.

2.       V prípade, že Komisia žiada Európsky výbor pre ochranu údajov o poskytnutie poradenstva, môže stanoviť časovú lehotu, v rámci ktorej je výbor povinný toto poradenstvo poskytnúť, pričom sa zohľadní naliehavosť predmetnej záležitosti.

3.           Európsky výbor pre ochranu údajov predkladá svoje stanoviská, usmernenia, odporúčania a najlepšie postupy Komisii a výboru podľa článku 57 ods. 1 a takisto tieto dokumenty zverejňuje.

4.           Komisia informuje Európsky výbor pre ochranu údajov o tom, aké opatrenia prijala na základe jeho stanovísk, usmernení, odporúčaní a najlepších postupov.

KAPITOLA VIII PROSTRIEDKY NÁPRAVY, ZODPOVEDNOSŤ A SANKCIE

Článok 50 Právo podať sťažnosť dozornému orgánu

1.           Bez toho, aby bol dotknutý akýkoľvek iný správny alebo súdny prostriedok nápravy, členské štáty stanovia pre každú dotknutú osobu právo na podanie sťažnosti dozornému orgánu v ktoromkoľvek členskom štáte, ak sa dotknutá osoba domnieva, že spracúvanie osobných údajov, ktoré sa jej týkajú, nie je v súlade s ustanoveniami prijatými podľa tejto smernice.

2.           Členské štáty stanovia pre akýkoľvek subjekt, organizáciu či združenie, ktorých cieľom je ochrana práv a záujmov dotknutých osôb v súvislosti s ochranou ich osobných údajov a ktoré boli riadne zriadené podľa právnych predpisov členského štátu, právo podať sťažnosť v mene jednej či viacerých dotknutých osôb dozornému orgánu v ktoromkoľvek členskom štáte, ak sa domnievajú, že v dôsledku spracúvania osobných údajov došlo k porušeniu práv dotknutých osôb podľa tejto smernice. Táto organizácia či združenie musí byť riadne splnomocnené dotknutou osobou či dotknutými osobami.

3.           Členské štáty stanovia pre akýkoľvek subjekt, organizáciu či združenie podľa odseku 2, právo podať, a to nezávisle od sťažnosti dotknutej osoby, sťažnosť dozornému orgánu v ktoromkoľvek členskom štáte, ak sa domnievajú, že došlo k porušeniu ochrany osobných údajov.

Článok 51 Právo na súdny prostriedok nápravy voči dozornému orgánu

18. Členské štáty stanovia právo na súdny prostriedok nápravy voči rozhodnutiam dozorného orgánu.

19. Každá dotknutá osoba má právo na súdny prostriedok nápravy ukladajúci dozornému orgánu povinnosť konať vo veci sťažnosti, ak nebolo prijaté rozhodnutie potrebné na ochranu práv dotknutej osoby alebo ak dozorný orgán neinformoval dotknutú osobu do troch mesiacov o pokroku vo veci sťažnosti či o jej výsledku podľa článku 45 ods. 1 písm. b).

20. Členské štáty stanovia, že návrh na začatie konania proti dozornému orgánu sa podáva na súdoch členského štátu, v ktorom je tento dozorný orgán zriadený.

Článok 52 Právo na súdny prostriedok nápravy voči prevádzkovateľovi či sprostredkovateľovi

Bez toho, aby bol dotknutý akýkoľvek dostupný správny prostriedok nápravy vrátane práva na podanie sťažnosti dozornému orgánu, členské štáty stanovia pre každú fyzickú osobu právo na súdny prostriedok nápravy, ak sa domnieva, že v dôsledku spracúvania jej osobných údajov v rozpore s ustanoveniami prijatými podľa tejto smernice došlo k porušeniu jej práv stanovených v ustanoveniach prijatých podľa tejto smernice.

Článok 53 Spoločné pravidlá pre súdne konania

1.           Členské štáty stanovia pre akýkoľvek subjekt, organizáciu či združenie uvedené v článku 50 ods. 2 právo uplatňovať práva uvedené v článkoch 51 a 52 v mene jednej či viacerých dotknutých osôb.

2.           Každý dozorný orgán bude mať právo zúčastniť sa na súdnych konaniach a podať návrh na začatie súdneho konania na účely presadzovania ustanovení prijatých podľa tejto smernice alebo na zabezpečenie súdržnosti ochrany osobných údajov v rámci Únie.

3.           Členské štáty zabezpečia, aby súdne prostriedky nápravy, ktoré sú dostupné podľa vnútroštátnych právnych predpisov, umožňovali rýchle prijímanie opatrení vrátane predbežných opatrení, určených na ukončenie akéhokoľvek údajného porušovania a na predchádzanie ďalšiemu poškodzovaniu príslušných záujmov.

Článok 54 Zodpovednosť a právo na náhradu

1.           Členské štáty stanovia, že každá osoba, ktorá utrpela škodu v dôsledku nezákonnej operácie spracúvania alebo akéhokoľvek konania nezlučiteľného s ustanoveniami prijatými podľa tejto smernice, má právo dostať od prevádzkovateľa či sprostredkovateľa náhradu utrpenej škody.

2.           Ak je do spracovania zapojený viac než jeden prevádzkovateľ či sprostredkovateľ, je za celú sumu náhrady škody zodpovedný spoločne a nerozdielne každý prevádzkovateľ či sprostredkovateľ.

3.           Prevádzkovateľ či sprostredkovateľ môže byť úplne alebo čiastočne zbavený tejto zodpovednosti, ak poskytne dôkaz o tom, že nenesie zodpovednosť za udalosť, ktorá bola príčinou vzniknutej škody.

Článok 55 Sankcie

Členské štáty stanovia pravidlá o sankciách uplatniteľných na porušenia ustanovení prijatých podľa tejto smernice a prijmú všetky opatrenia potrebné na zabezpečenie ich vykonávania. Stanovené sankcie musia byť účinné, primerané a odrádzajúce.

KAPITOLA IX DELEGOVANÉ AKTY A VYKONÁVACIE AKTY

Článok 56 Vykonávanie delegovania právomoci

1.           Právomoc prijímať delegované akty sa Komisii udeľuje za podmienok stanovených v tomto článku.

2.           Delegovanie právomoci uvedené v článku 28 ods. 5 sa Komisii udeľuje na dobu neurčitú od dátumu nadobudnutia účinnosti tejto smernice.

3.           Delegovanie právomoci uvedené v článku 28 ods. 5 môže Európsky parlament alebo Rada kedykoľvek odvolať. Rozhodnutím o odvolaní sa ukončuje delegovanie právomoci v ňom uvedenej. Rozhodnutie nadobúda účinnosť dňom nasledujúcim po jeho uverejnení v Úradnom vestníku Európskej únie alebo k neskoršiemu dátumu, ktorý je v ňom určený. Nie je ním dotknutá platnosť delegovaných aktov, ktoré už nadobudli účinnosť.

4.           Komisia oznamuje delegovaný akt Európskemu parlamentu a Rade súčasne, a to hneď po jeho prijatí.

5.           Delegovaný akt prijatý podľa článku 28 ods. 5 nadobudne účinnosť, len ak Európsky parlament alebo Rada voči nemu nevzniesli námietku v lehote dvoch mesiacov odo dňa oznámenia uvedeného aktu Európskemu parlamentu a Rade alebo ak pred uplynutím uvedenej lehoty Európsky parlament a Rada informovali Komisiu o svojom rozhodnutí nevzniesť námietku. Na podnet Európskeho parlamentu alebo Rady sa táto lehota predĺži o dva mesiace.

Článok 57 Postup výboru

21. Komisii pomáha výbor. Tento výbor je výborom v zmysle nariadenia (EÚ) č. 182/2011.

22. Ak sa odkazuje na tento odsek, uplatňuje sa článok 5 nariadenia (EÚ) č. 182/2011.

23. Ak sa odkazuje na tento odsek, uplatňuje sa článok 8 nariadenia (EÚ) č. 182/2011 v spojení s jeho článkom 5.

KAPITOLA X ZÁVEREČNÉ USTANOVENIA

Článok 58 Zrušujúce ustanovenia

1.           Rámcové rozhodnutie Rady 2008/977/SVV sa zrušuje.

2.           Odkazy na zrušené rámcové rozhodnutie uvedené v odseku 1 sa považujú za odkazy na túto smernicu.

Článok 59 Vzťah k skôr prijatým predpisom Únie o justičnej spolupráci v trestných veciach a policajnej spolupráci

Osobitné ustanovenia na ochranu osobných údajov pri spracúvaní osobných údajov príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania či stíhania alebo na účely výkonu trestných sankcií, ktoré sú obsiahnuté v aktoch Únie prijatých pred dátumom nadobudnutia účinnosti tejto smernice a ktoré upravujú spracúvanie osobných údajov medzi členskými štátmi a prístup určených orgánov členských štátov do informačných systémov zriadených podľa zmlúv v rámci rozsahu pôsobnosti tejto smernice, zostávajú nedotknuté.

Článok 60 Vzťah k skôr uzatvoreným medzinárodným dohodám v oblasti justičnej spolupráce v trestných veciach a policajnej spolupráce

Medzinárodné dohody uzatvorené členskými štátmi pred nadobudnutím účinnosti tejto smernice sa v prípade potreby zmenia a doplnia do piatich rokov po nadobudnutí účinnosti tejto smernice.

Článok 61 Hodnotenie

1.           Komisia zhodnotí uplatňovanie tejto smernice.

2.           Komisia do troch rokov po nadobudnutí účinnosti tejto smernice preskúma ďalšie akty prijaté Európskou úniou, ktoré upravujú spracúvanie osobných údajov príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania či stíhania alebo na účely výkonu trestných sankcií, a to predovšetkým akty prijaté Úniou a uvedené v článku 59, s cieľom posúdiť potrebu ich zladenia s touto smernicou a podľa potreby vypracovať návrhy na ich zmenu a doplnenie v záujme zabezpečenia súdržného prístupu k ochrane osobných údajov v rámci rozsahu pôsobnosti tejto smernice.

3.           Komisia v pravidelných intervaloch predkladá Európskemu parlamentu a Rade správy o hodnotení a preskúmaní tejto smernice v zmysle odseku 1. Prvé správy sa predložia najneskôr do štyroch rokov po nadobudnutí účinnosti tejto smernice. Ďalšie správy sa budú predkladať každé štyri roky. Komisia v prípade potreby predloží príslušné návrhy na zmenu a doplnenie tejto smernice a zladenie ostatných právnych predpisov. Správa sa zverejní.

Článok 62 Vykonávanie

1.           Členské štáty prijmú a uverejnia najneskôr do [dátum/dvoch rokov od nadobudnutia účinnosti] zákony, iné právne predpisy a správne opatrenia potrebné na dosiahnutie súladu s touto smernicou. Komisii bezodkladne oznámia znenie týchto ustanovení.

Tieto ustanovenia uplatňujú od xx.xx.201x [dátum/dvoch rokov od nadobudnutia jej účinnosti].

Členské štáty uvedú priamo v prijatých ustanoveniach alebo pri ich úradnom uverejnení odkaz na túto smernicu. Podrobnosti o odkaze upravia členské štáty.

2.           Členské štáty oznámia Komisii znenie hlavných ustanovení vnútroštátnych právnych predpisov, ktoré prijmú v oblasti pôsobnosti tejto smernice.

Článok 63 Nadobudnutie účinnosti a uplatňovanie

Táto smernica nadobúda účinnosť prvým dňom po jej uverejnení v Úradnom vestníku Európskej únie.

Článok 64 Adresáti

Táto smernica je určená členským štátom.

V Bruseli 25. 1. 2012

Za Európsky parlament                                 Za Radu

predseda                                                        predseda

[1]               Smernica Európskeho parlamentu a Rady 95/46/ES z 24. októbra 1995 o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov, Ú. v. ES L 281, 23.11.1995, s. 31.

[2]               Pozri úplný zoznam uvedený v prílohe 3 k posúdeniu vplyvu [SEK(2012) 72].

[3]               Rámcové rozhodnutie Rady 2008/977/SVV z 27. novembra 2008 o ochrane osobných údajov spracúvaných v rámci policajnej a justičnej spolupráce v trestných veciach, Ú. v. EÚ L 350, 30.12.2008, s. 60.

[4]               V Štokholmskom programe (Ú. v. EÚ C 115, 4.5.2010, s. 1).

[5]               Pozri uznesenie Európskeho parlamentu k Štokholmskému programu, ktoré bolo prijaté 25. novembra 2009.

[6]               KOM(2010) 171v konečnom znení.

[7]               Európska komisia, oznámenie „Komplexný prístup k ochrane osobných údajov v Európskej únii“, KOM(2010) 609 v konečnom znení, 4.11.2010.

[8]               Vyhlásenie č. 21 o ochrane osobných údajov v oblasti justičnej spolupráce v trestných veciach a policajnej spolupráce (pripojené k záverečnému aktu medzivládnej konferencie, ktorá prijala Lisabonskú zmluvu, 13.12.2007).

[9]               http://ec.europa.eu/justice/newsroom/data-protection/opinion/090709_en.htm.

[10]             http://ec.europa.eu/justice/newsroom/data-protection/opinion/101104_en.htm.

[11]             Osobitný Eurobarometer 359, „Data Protection and Electronic Identity in the EU“, 2011: http://ec.europa.eu/public_opinion/archives/ebs/ebs_359_en.pdf.

[12]             Pozri štúdiu s názvom Study on the economic benefits of privacy enhancing technologies alebo štúdiu Comparative study on different approaches to new privacy challenges, in particular in the light of technological developments, január 2010              (http://ec.europa.eu/justice/policies/privacy/docs/studies/new_privacy_challenges/final_report_en.pdf).

[13]             Pracovná skupina bola zriadená v roku 1996 (na základe článku 29 smernice 95/46/ES) ako poradný orgán, ktorý tvoria zástupcovia národných dozorných orgánov pre ochranu údajov, európsky dozorný úradník pre ochranu údajov (EDPS) a Komisia. Viac informácií o jej činnosti možno nájsť na adrese: http://ec.europa.eu/justice/policies/privacy/workinggroup/index_en.htm.

[14]             Pozri najmä tieto stanoviská: o budúcnosti ochrany súkromia (2009, WP 168), k pojmom „prevádzkovateľ“ a „sprostredkovateľ“ (1/2010, WP 169), k behaviorálnej reklame on-line (2/2010, WP 171), k zásade zodpovednosti (3/2010, WP 173), o uplatniteľných právnych predpisoch (8/2010, WP 179), a k definícii súhlasu (15/2011, WP 187). Na požiadanie Komisie prijala aj tieto tri poradné dokumenty: o oznámeniach, o citlivých údajoch a o praktickej implementácii článku 28 ods. 6 smernice 95/46/ES. Možno ich nájsť na adrese: http://ec.europa.eu/justice/data-protection/article-29/documentation/index_en.htm.

[15]             Dostupné na internetovej adrese EDPS: http://www.edps.europa.eu/EDPSWEB/.

[16]             Uznesenie EP z 6. júla 2011 o komplexnom prístupe k ochrane osobných údajov v Európskej únii (2011/2025(INI), http://www.europarl.europa.eu/sides/getDoc.do?type=TA&reference=P7-TA-2011-0323&language=EN&ring=A7-2011-0244 (spravodajca: poslanec EP Axel Voss (EPP/DE).

[17]             CESE 999/2011.

[18]             SEK(2012) 72.

[19]             KOM(2012) 12.

[20]             Rozsudok Súdneho dvora Európskej únie z 9. novembra 2010, spojené veci C-92/09 a C-93/09, Volker und Markus Schecke a Eifert, Zb. 2010, s. I-0000.

[21]             V súlade s článkom 52 ods. 1 charty je možné obmedziť výkon práva na ochranu údajov, ak je takéto obmedzenie ustanovené zákonom, rešpektuje podstatu práv a slobôd a ak je, za predpokladu dodržania zásady proporcionality, toto obmedzenie nevyhnutné a skutočne zodpovedá cieľom všeobecného záujmu, ktoré sú uznané Úniou, resp. ak je potrebné na ochranu práv a slobôd iných.

[22]             Uvádza sa aj v článku 2 písm. a) smernice Európskeho parlamentu a Rady 2011/92/EÚ z 13. decembra 2011 o boji proti sexuálnemu zneužívaniu a sexuálnemu vykorisťovaniu detí a proti detskej pornografii, ktorou sa nahrádza rámcové rozhodnutie Rady 2004/68/SVV, Ú. v. EÚ L 335, 17.12.2011, s. 1.

[23]             KOM(2005) 475 v konečnom znení.

[24]             Článok 14 rozhodnutia o Europole 2009/371/SVV.

[25]             Článok 15 rozhodnutia o Eurojuste 2009/426/SVV.

[26]             Článok 14 rozhodnutia o Europole 2009/371/SVV.

[27]             Rozsudok Európskeho súdu pre ľudské práva zo 4.12.2008, S. and Marper/UK (sťažnosti č. 30562/04 a 30566/04).        

[28]             Rezolúcia bola prijatá na medzinárodnej konferencii komisárov pre ochranu údajov a súkromia, ktorá sa konala 5. novembra 2009.

[29]             Rozsudok Súdneho dvora Európskej únie z 9. marca 2010, vec C-518/07, Komisia/Nemecko, Zb. 2010. s. I-1885.

[30]             Nariadenie Európskeho parlamentu a Rady (ES) č. 45/2001 z 18. decembra 2000 o ochrane jednotlivcov so zreteľom na spracovanie osobných údajov inštitúciami a orgánmi Spoločenstva a o voľnom pohybe takýchto údajov; Ú. v. ES L 8, 12.1.2001, s. 1.

[31]             Pozri poznámku pod čiarou č. 27.

[32]             Smernica Európskeho parlamentu a Rady 2000/31/ES z 8. júna 2000 o určitých právnych aspektoch služieb informačnej spoločnosti na vnútornom trhu, najmä o elektronickom obchode (smernica o elektronickom obchode); Ú. v. EÚ L 178, 17.7.2000, s. 1.

[33]             Ú. v. EÚ C, , s. .

[34]             Ú. v. EÚ L 281, 23.11.1995, s. 31.

[35]             Ú. v. EÚ L 350, 30.12.2008, s. 60.

[36]             Ú. v. EÚ L 55, 28.02.2011, s. 13.

[37]             Ú. v. EÚ L 261, 17.12.2011, s. 1.

[38]             Ú. v. EÚ L 176, 10.07.1999, s. 36.

[39]             Ú. v. EÚ L 53, 27.2.2008, s. 52.           

[40]             Ú. v. EÚ L 160, 18.6.2011, s. 19.