Návrh SMERNICA EURÓPSKEHO PARLAMENTU A RADY o ochrane fyzických osôb pri spracúvaní osobných údajov príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií a o voľnom pohybe takýchto údajov /* COM/2012/010 final - 2012/0010 (COD) */
DÔVODOVÁ SPRÁVA
1.
KONTEXT NÁVRHU
V tejto dôvodovej správe sa podrobnejšie
objasňuje prístup týkajúci sa nového právneho rámca pre ochranu osobných
údajov v EÚ, ktorý je opísaný v oznámení KOM(2012) 9 v konečnom
znení. Právny rámec pozostáva z dvoch legislatívnych návrhov: –
návrhu nariadenia Európskeho parlamentu a rady
o ochrane fyzických osôb pri spracúvaní osobných údajov
a o voľnom pohybe takýchto údajov (všeobecné nariadenie
o ochrane údajov) a –
návrhu smernice Európskeho parlamentu a Rady o
ochrane fyzických osôb pri spracúvaní osobných údajov príslušnými orgánmi na
účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo
stíhania alebo na účely výkonu trestných sankcií a o voľnom pohybe
takýchto údajov. Táto dôvodová správa sa týka druhého uvedeného
legislatívneho návrhu. Smernica 95/46/ES[1], ktorá je základným kameňom
existujúcej legislatívy EÚ v oblasti ochrany údajov, bola prijatá v roku
1995 a mala plniť dva ciele: chrániť základné právo na ochranu údajov
a zaručiť voľný tok osobných údajov medzi členskými štátmi. Smernica bola
doplnená viacerými nástrojmi, ktorými sa ustanovili osobitné pravidlá ochrany
údajov v oblasti policajnej a justičnej spolupráce v trestných
veciach[2]
(bývalý tretí pilier), vrátane rámcového rozhodnutia 2008/977/SVV[3]. Európska rada
vyzvala Komisiu, aby zhodnotila fungovanie nástrojov EÚ v oblasti ochrany
údajov a podľa potreby predložila ďalšie legislatívne
a nelegislatívne iniciatívy[4].
Európsky parlament vo svojom uznesení k Štokholmskému programu[5] privítal návrh komplexného
systému ochrany údajov v EÚ a okrem iného vyzval na revíziu rámcového
rozhodnutia. Komisia vo svojom Akčnom pláne na implementáciu Štokholmského
programu[6]
zdôraznila potrebu zabezpečiť konzistentné uplatňovanie základného práva na
ochranu údajov v súvislosti so všetkými politikami EÚ. V akčnom pláne
sa zdôrazňuje, že: „v globálnej spoločnosti vyznačujúcej sa rýchlymi
technologickými zmenami, v ktorej informačná výmena nepozná hraníc, má
uchovanie súkromia prvoradý význam. Únia musí zabezpečiť konzistentné
uplatňovanie základného práva na ochranu údajov. Musí sa posilniť pozícia EÚ v
oblasti ochrany osobných údajov jednotlivcov v súvislosti so všetkými
politikami EÚ vrátane presadzovania práva a predchádzania trestnej činnosti,
ako aj v našich medzinárodných vzťahoch.“ Komisia vo svojom oznámení „Komplexný prístup
k ochrane osobných údajov v Európskej únii“[7]
dospela k záveru, že EÚ potrebuje komplexnejšiu a koherentnejšiu
politiku týkajúcu sa základného práva na ochranu osobných údajov. Rozsah pôsobnosti rámcového rozhodnutia
2008/977/SVV je obmedzený, pretože sa vzťahuje len na cezhraničné spracúvanie
údajov, a nie na aktivity spracúvania údajov policajnými a justičnými
orgánmi výlučne na vnútroštátnej úrovni. To spôsobuje ťažkosti policajným a iným
príslušným orgánom v oblastiach justičnej spolupráce v trestných
veciach a policajnej spolupráce. Pre tieto orgány nie je vždy jednoduché
odlíšiť výlučne vnútroštátne spracúvanie od cezhraničného spracúvania alebo
predvídať, či sa určité osobné údaje môžu neskôr stať predmetom cezhraničnej
výmeny (pozri oddiel 2 nižšie). Okrem toho rámcové rozhodnutie svojou povahou
a svojím obsahom ponecháva členským štátom široký manévrovací priestor pri
implementácii jeho ustanovení prostredníctvom vnútroštátnych právnych
predpisov. Neobsahuje ani žiaden mechanizmus alebo poradnú skupinu podobnú
pracovnej skupine zriadenej podľa článku 29, ktoré by podporovali spoločný
výklad jeho ustanovení, a ani nezveruje vykonávacie právomoci Komisii na
zaistenie spoločného prístupu pri jeho vykonávaní. V článku 16 ods. 1 Zmluvy o fungovaní
Európskej únie (ďalej len „ZFEÚ“) sa stanovuje zásada, že každý má právo na
ochranu osobných údajov. Okrem toho sa článkom 16 ods. 2 Lisabonskej zmluvy
zaviedol osobitný právny základ pre prijímanie pravidiel ochrany osobných
údajov, ktorý sa vzťahuje aj na justičnú spoluprácu v trestných veciach
a policajnú spoluprácu. V článku 8 Charty základných práv EÚ je zakotvená
ochrana osobných údajov ako základné právo. V článku 16 ZFEÚ sa stanovuje povinnosť
zákonodarcu ustanoviť pravidlá, ktoré sa vzťahujú na ochranu fyzických osôb,
pokiaľ ide o spracúvanie osobných údajov v oblastiach justičnej
spolupráce v trestných veciach a policajnej spolupráce, pokrývajúce
cezhraničné aj vnútroštátne spracúvanie osobných údajov. To umožní ochranu
základných práv a slobôd fyzických osôb, a to najmä ich práva na ochranu
osobných údajov, a súčasne zaistí výmenu osobných údajov na účely
predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo
na účely výkonu trestných sankcií. To prispeje k uľahčeniu spolupráce v
boji proti trestnej činnosti v Európe. Vzhľadom na osobitný charakter oblasti
policajnej a justičnej spolupráce v trestných veciach sa vo vyhlásení
č. 21[8]
uznáva, že sa možno budú musieť prijať osobitné pravidlá o ochrane osobných
údajov a o voľnom pohybe takýchto údajov v oblasti justičnej spolupráce
v trestných veciach a policajnej spolupráce na základe článku 16 Zmluvy o
fungovaní Európskej únie.
2.
VÝSLEDKY KONZULTÁCIÍ SO ZAINTERESOVANÝMI STRANAMI A POSÚDENÍ
VPLYVU
Táto iniciatíva je výsledkom rozsiahlych
konzultácií so všetkými hlavnými zainteresovanými stranami o revízii
existujúceho právneho rámca ochrany osobných údajov, ktoré zahŕňali dve fázy
verejných konzultácií: –
od 9. júla do 31. decembra 2009 prebiehali konzultácie
o právnom rámci pre základné právo na ochranu osobných údajov. Komisii bolo
doručených 168 odpovedí, 127 bolo od fyzických osôb, obchodných organizácií a
združení a 12 od verejných orgánov. Príspevky, ktoré nemajú dôverný charakter,
sú k nahliadnutiu na webovej stránke Komisie[9].
–
Od 4. novembra 2010 do 15. januára 2011 prebiehali konzultácie
o komplexnom prístupe Komisie k ochrane osobných údajov v Európskej únii.
Komisii bolo doručených 305 odpovedí, z ktorých 54 bolo od občanov, 31 od
verejných orgánov a 220 od súkromných organizácií, najmä od obchodných združení
a mimovládnych organizácií. Príspevky, ktoré nemajú dôverný charakter, sú k
nahliadnutiu na webovej stránke Komisie[10].
Keďže uvedené konzultácie sa sústredili najmä
na revíziu smernice 95/46/ES, uskutočnili sa cielené konzultácie
so zainteresovanými stranami z oblasti presadzovania práva; išlo
najmä o workshop s orgánmi členských štátov, ktorý sa uskutočnil 29.
júna 2010, o uplatňovaní pravidiel ochrany údajov na verejné orgány, a to
aj v oblasti policajnej spolupráce a justičnej spolupráce v trestných veciach.
Okrem toho Komisia 2. februára 2011 zorganizovala workshop s orgánmi
členských štátov, na ktorom sa diskutovalo o vykonávaní rámcového rozhodnutia
2008/977/SVV, ako aj všeobecnejšie o otázkach ochrany údajov v oblasti
policajnej spolupráce a justičnej spolupráce v trestných veciach. Konzultácia s občanmi EÚ sa uskutočnila
prostredníctvom prieskumu Eurobarometer v novembri a decembri 2010[11]. Začalo sa aj s prácou na
niekoľkých štúdiách[12].
Pracovná skupina zriadená podľa článku 29[13]
poskytla Komisii viaceré stanoviská a užitočné pripomienky[14]. Európsky dozorný úradník pre
ochranu údajov takisto vydal komplexné stanovisko o otázkach, ktoré nastolila
Komisia vo svojom oznámení z novembra 2010[15].
Európsky parlament schválil svojim uznesením
zo 6. júla 2011 správu, ktorá podporila prístup Komisie k reforme rámca ochrany
údajov[16].
Rada Európskej únie prijala 24. februára 2011 závery, v ktorých v širokej miere
podporila zámer Komisie reformovať rámec ochrany údajov a súhlasila s mnohými
prvkami prístupu Komisie. Európsky hospodársky a sociálny výbor takisto
podporil všeobecný zámer Komisie zabezpečiť konzistentnejšie uplatňovanie
pravidiel ochrany údajov EÚ v rámci všetkých členských štátov a primeranú
revíziu smernice 95/46/ES[17].
V súlade s politikou „lepšej právnej
regulácie“ Komisia vykonala posúdenie vplyvu alternatív politiky[18]. Posúdenie vplyvu sa opieralo
o tri politické ciele: zlepšenie dimenzie vnútorného trhu pri ochrane údajov,
zvýšenie účinnosti uplatňovania práv na ochranu údajov zo strany fyzických osôb
a vytvorenie komplexného a súdržného rámca pokrývajúceho všetky oblasti
právomocí Únie vrátane policajnej spolupráce a justičnej spolupráce v trestných
veciach. Pokiaľ ide osobitne o posledný z uvedených cieľov,
posudzovali sa dve možnosti politiky: prvá v podstate spočívala
v rozšírení rozsahu pôsobnosti pravidiel ochrany údajov v tejto
oblasti a vo vyriešení nedostatkov a iných problémov súvisiacich s
rámcovým rozhodnutím, zatiaľ čo druhá možnosť predpokladala ďalekosiahlejšie
zmeny s výrazne normatívnymi a prísnymi pravidlami, ktoré by si
vyžadovali okamžité zmeny a doplnenia všetkých ostatných nástrojov
„bývalého tretieho piliera“. Tretia, „minimalistická“, možnosť založená najmä
na výkladových oznámeniach a podporných opatreniach politiky, ako sú
programy financovania a technické nástroje, s minimálnymi
legislatívnymi zásahmi sa nepovažovala za vhodnú na riešenie problémov, ktoré
boli identifikované v tejto oblasti v súvislosti s ochranou
údajov. Za pomoci medziútvarovej riadiacej skupiny
bola každá politická možnosť posudzovaná podľa metodiky Komisie, a to pokiaľ
ide o jej účinnosť z hľadiska dosiahnutia politických cieľov, z hľadiska jej
hospodárskeho vplyvu na zainteresované strany (vrátane vplyvu na rozpočet
inštitúcií EÚ) a z hľadiska jej sociálneho dosahu a účinku na základné práva.
Dosah na životné prostredie sa neskúmal. Analýza celkového vplyvu viedla k rozvinutiu
uprednostnenej politickej možnosti, ktorá je zahrnutá do tohto návrhu. Podľa
posúdenia vplyvu povedie implementácia tohto návrhu k ďalšiemu posilneniu
ochrany údajov v tejto oblasti politiky najmä vďaka zahrnutiu
vnútroštátneho spracúvania údajov, čím dôjde k zvýšeniu právnej istoty pre
príslušné orgány v oblasti justičnej spolupráce v trestných veciach
a policajnej spolupráce. Výboru pre posudzovanie vplyvu vydal
stanovisko k návrhu posúdenia vplyvu 9. septembra 2011. Na základe
stanoviska výboru pre posudzovanie vplyvu boli v posúdení vplyvu vykonané tieto
zmeny: –
boli ozrejmené ciele súčasného právneho rámca (s
uvedením, do akej miery boli splnené alebo nesplnené), ako aj ciele plánovanej
reformy, –
do oddielu, v ktorom sú vymedzené problémy, boli
pridané ďalšie dôkazy a vysvetlenia, resp. ozrejmenia. Komisia tiež vypracovala správu
o vykonávaní týkajúcu sa rámcového rozhodnutia 2008/977/SVV, založenú na
jeho článku 29 ods. 2, ktorá sa má prijať ako súčasť tohto súboru opatrení
v oblasti ochrany údajov[19].
Zistenia uvedenej správy, ktorá vychádza z informácií poskytnutých členskými
štátmi, poslúžili pri príprave posúdenia vplyvu.
3.
PRÁVNE PRVKY NÁVRHU
3.1.
Právny základ
Tento návrh je založený na článku 16 ods. 2
ZFEÚ, ktorý je novým, osobitným právnym základom, ktorý bol zavedený
Lisabonskou zmluvou na účely prijatia pravidiel, ktoré sa vzťahujú na ochranu
fyzických osôb, pokiaľ ide o spracúvanie osobných údajov inštitúciami, orgánmi,
úradmi a agentúrami Únie, ako aj členskými štátmi pri výkone činností, ktoré
patria do rozsahu pôsobnosti práva Únie, a pravidiel, ktoré sa vzťahujú na
voľný pohyb takýchto údajov. Cieľom návrhu je zaistiť konzistentnú
a vysokú úroveň ochrany údajov v tejto oblasti, a tak posilniť
vzájomnú dôveru medzi policajnými a justičnými orgánmi jednotlivých
členských štátov a uľahčiť voľný tok údajov a spoluprácu medzi
policajnými a justičnými orgánmi.
3.2.
Subsidiarita a proporcionalita
Podľa zásady subsidiarity (článok 5 ods. 3
ZEÚ) sa opatrenia na úrovni Únie prijmú len v takom rozsahu a vtedy, keď
zamýšľané ciele nemôžu uspokojivo dosiahnuť členské štáty, ale z dôvodov
rozsahu alebo účinkov navrhovanej činnosti ich možno lepšie dosiahnuť na úrovni
Únie. Vzhľadom na uvedené problémy z analýzy otázky subsidiarity vyplýva
potreba prijať opatrenia na úrovni EÚ v oblasti polície a trestnej
justície, a to z týchto dôvodov: –
právo na ochranu osobných údajov zakotvené v článku
8 Charty základných práv a v článku 16 ods. 1 ZFEÚ vyžaduje rovnakú
úroveň ochrany údajov v celej Únii. Rovnaká úroveň ochrany je potrebná aj v
prípade údajov vymieňaných a spracúvaných na vnútroštátnej úrovni, –
je čoraz nevyhnutnejšie, aby orgány presadzovania
práva v členských štátoch mali možnosť spracúvať a vymieňať si medzi sebou
rýchlo rastúci objem údajov na účely predchádzania a boja proti
nadnárodnej trestnej činnosti a terorizmu. V tejto súvislosti jasné
a konzistentné pravidlá ochrany údajov na úrovni EÚ prispejú
k podpore spolupráce medzi týmito orgánmi, –
okrem toho existujú praktické výzvy súvisiace
s presadzovaním právnych predpisov v oblasti ochrany údajov, pričom
je nutná aj spolupráca medzi členskými štátmi a ich orgánmi, ktorú je potrebné
organizovať na úrovni EÚ s cieľom zabezpečiť jednotné uplatňovanie práva Únie.
V niektorých situáciách má EÚ najlepšie predpoklady na to, aby účinne
a konzistentne zaistila rovnakú úroveň ochrany fyzických osôb, keď sú ich
osobné údaje prenášané do tretích krajín. –
členské štáty nemôžu samotné znížiť množstvo
problémov pretrvávajúcich za súčasnej situácie, najmä tých, ktoré sú dôsledkom
rozdielnosti právnych úprav jednotlivých štátov. Existuje preto osobitná
potreba zaviesť harmonizovaný a súdržný rámec umožňujúci bezproblémové
prenášanie osobných údajov cez hranice v rámci EÚ, a to pri súčasnom
zabezpečení účinnej ochrany pre všetky fyzické osoby v rámci EÚ, –
navrhované právne opatrenie EÚ bude pravdepodobne
účinnejšie, než by mohli byť podobné opatrenia na úrovni členských štátov, a to
v dôsledku povahy a rozsahu problémov, ktoré sa dotýkajú viac ako jedného či
niekoľkých členských štátov, V rámci zásady proporcionality sa vyžaduje,
aby bol akýkoľvek zásah zameraný na dosiahnutie cieľov a nešiel nad rámec toho,
čo je nevyhnutné na dosiahnutie týchto cieľov. Táto zásada sprevádzala prípravu
tohto návrhu, a to od stanovenia a posúdenia alternatívnych možností politiky
až po vypracovanie návrhu právneho predpisu. Smernica je preto najlepším nástrojom na
zaistenie harmonizácie na úrovní EÚ v tejto oblasti, pričom zároveň
ponecháva členským štátom potrebnú flexibilitu pri implementácii zásad,
pravidiel a príslušných výnimiek na vnútroštátnej úrovni. Vzhľadom na
komplexnosť súčasných vnútroštátnych pravidiel ochrany osobných údajov
spracúvaných v oblasti policajnej spolupráce a justičnej spolupráce
v trestných veciach a cieľ komplexnej harmonizácie týchto pravidiel
na základe smernice bude musieť Komisia požiadať členské štáty, aby predložili
dokumenty, v ktorých sa ozrejmí vzťah medzi prvkami smernice a príslušnými
časťami vnútroštátnych transpozičných nástrojov, aby mohla splniť svoju úlohu,
pokiaľ ide o dohľad nad transpozíciou smernice.
3.3.
Zhrnutie otázok týkajúcich sa základných
práv
Právo na ochranu osobných údajov je stanovené
v článku 8 Charty základných práv EÚ, v článku 16 ZFEÚ a v článku 8
Európskeho dohovoru o základných právach. Ako
zdôraznil Súdny dvor EÚ[20],
právo na ochranu osobných údajov sa nejaví ako absolútne právo, ale musí sa
zohľadniť so zreteľom na jeho funkciu v spoločnosti[21]. Ochrana údajov úzko súvisí
s rešpektovaním súkromného a rodinného života, ktoré je chránené článkom 7
charty. Táto skutočnosť je zohľadnená v článku 1 ods. 1 smernice 95/46/ES, kde
sa stanovuje, že členské štáty chránia základné práva a slobody fyzických osôb,
a najmä ich právo na súkromie v súvislosti so spracovaním osobných údajov.
Medzi potenciálne dotknuté základné práva
zakotvené v charte patrí zákaz akejkoľvek diskriminácie, či už napr. z
dôvodu rasy, etnického pôvodu, genetických vlastností, náboženstva alebo viery,
politického alebo iného zmýšľania, zdravotného postihnutia alebo sexuálnej
orientácie (článok 21), ako aj práva dieťaťa (článok 24) a právo na účinný
prostriedok nápravy a na spravodlivý proces (článok 47).
3.4.
Podrobné vysvetlenie návrhu
3.4.1.
KAPITOLA I – VŠEOBECNÉ USTANOVENIA
V článku 1 sa vymedzuje predmet smernice,
t. j. pravidlá týkajúce sa spracúvania osobných údajov na účely predchádzania
trestným činom, ich vyšetrovania, odhaľovania či stíhania alebo na účely výkonu
trestných sankcií, a stanovuje sa dvojitý cieľ smernice, t. j. chrániť
základné práva a slobody fyzických osôb, najmä ich právo na ochranu osobných
údajov, a zároveň zabezpečiť vysokú úroveň verejnej bezpečnosti
a zaistiť výmenu osobných údajov medzi príslušnými orgánmi v rámci
Únie. V článku 2 sa vymedzuje rozsah pôsobnosti
smernice. Rozsah pôsobnosti smernice nie je obmedzený na cezhraničné
spracúvanie údajov, ale vzťahuje sa na všetky činnosti spracúvania vykonávané
„príslušnými orgánmi“ (ktoré sú vymedzené v článku 3 ods. 14) na účely
smernice. Smernica sa nevzťahuje na spracúvanie v rámci činnosti, ktorá
nepatrí do pôsobnosti práva Únie, ani na spracúvanie inštitúciami, orgánmi,
úradmi a agentúrami Únie, ktoré je upravené nariadením (ES) č. 45/2001
a ďalšími osobitnými právnymi predpismi. V článku 3 sú vymedzené pojmy používané v
smernici. Zatiaľ čo niektoré pojmy sú prevzaté zo smernice 95/46/ES
a rámcového rozhodnutia 2008/977/SVV, ďalšie sú zmenené, doplnené
dodatočnými alebo novými prvkami. Novo vymedzené pojmy sú „porušenie ochrany
osobných údajov“, „genetické údaje“ a „biometrické údaje“, „príslušné orgány“
[na základe článku 87 ZFEÚ a článku 2 písm. h) rámcového rozhodnutia
2008/977/SVV] a „dieťa“ (na základe Dohovoru OSN o právach dieťaťa)[22].
3.4.2.
KAPITOLA II – ZÁSADY
V článku 4 sa stanovujú zásady
spracúvania osobných údajov, ktoré zohľadňujú článok 6 smernice 95/46/ES
a článok 3 rámcového rozhodnutia 2008/977/SVV a zároveň sú prispôsobené
osobitnému kontextu tejto smernice. Na základe článku 5 sa vyžaduje, aby sa v
maximálnom možnom rozsahu rozlišovalo medzi osobnými údajmi rôznych kategórií
dotknutých osôb. Ide o nové ustanovenie, ktoré nebolo zahrnuté ani v smernici
95/46/ES, ani v rámcovom rozhodnutí 2008/977/SVV, ale ktoré bolo súčasťou
pôvodného návrhu rámcového rozhodnutia[23],
ako ho predložila Komisia. Je inšpirované odporúčaním Rady Európy č. R (87)15.
Podobné pravidlá existujú pre Europol[24]
a Eurojust[25]. Článok 6, ktorý sa týka rozdielnych stupňov
presnosti a spoľahlivosti, zodpovedá zásade 3.2 z odporúčania Rady Európy
č. R (87)15. Podobné pravidlá, ktoré sú zahrnuté v návrhu rámcového
rozhodnutia predloženého Komisiou, existujú pre Europol[26]. V článku 7 sa stanovujú podmienky
zákonnosti spracovania, ktorými sú: plnenie úloh príslušného orgánu na základe
vnútroštátneho zákona, splnenie zákonnej povinnosti prevádzkovateľa údajov,
ochrana zásadných záujmov dotknutej osoby či inej osoby alebo predídenie bezprostrednému
a vážnemu ohrozeniu verejnej bezpečnosti. Ďalšie podmienky zákonnosti
spracovania uvedené v článku 7 smernice 95/46/ES nie sú v kontexte
spracúvania údajov v oblasti polície a trestnej justície vhodné. V článku 8 sa stanovuje všeobecný zákaz spracúvania
osobitných kategórií osobných údajov a výnimky z tohto všeobecného
pravidla, pričom sa vychádza z článku 8 smernice 95/46/ES a na základe
judikatúry ESĽP[27]
sa dopĺňajú genetické údaje. V článku 9 sa stanovuje zákaz opatrení,
ktoré sú založené výlučne na automatizovanom spracúvaní osobných údajov, ak nie
sú povolené zákonom, v ktorom sa stanovujú náležité záruky, v súlade
s článkom 7 rámcového rozhodnutia 2008/977/SVV.
3.4.3.
KAPITOLA III – PRÁVA DOTKNUTEJ OSOBY
V článku 10 sa zavádza povinnosť
členských štátov zabezpečiť ľahko prístupné a pochopiteľné informácie, čo
vychádza najmä z Madridskej rezolúcie o medzinárodných štandardoch o ochrane
osobných údajov a súkromia[28],
a stanovuje sa povinnosť prevádzkovateľov zaviesť postupy
a mechanizmy na uľahčenie výkonu práv dotknutej osoby. Stanovuje sa aj
požiadavka, aby bol tento výkon práv v zásade bezplatný. V článku 11 sa uvádza povinnosť členských
štátov zaistiť poskytnutie informácií dotknutej osobe. Uvedené povinnosti
vychádzajú z článkov 10 a 11 smernice 95/46/ES, bez toho, aby sa
prostredníctvom samostatných článkov rozlišovalo, či sú informácie získané od
dotknutej osoby alebo nie, a rozširujú rozsah informácií, ktoré sa majú
poskytnúť. Ustanovujú sa v ňom výnimky z povinnosti informovať, pokiaľ
sú takéto výnimky nevyhnutné a primerané v demokratickej spoločnosti
na výkon úloh príslušných orgánov (ustanovenie vychádza z článku 13
smernice 95/46/ES a článku 17 rámcového rozhodnutia 2008/977/SVV). V článku 12 sa stanovuje povinnosť
členských štátov zaistiť právo dotknutej osoby na prístup k jej osobným
údajom. Vychádza z článku 12 písm. a) smernice 95/46/ES, pričom dopĺňa
nové prvky informácií, ktoré sa majú poskytnúť dotknutej osobe (informácie
o období uchovávania údajov, práve na opravu, výmaz alebo obmedzenie
spracúvania a práve podať sťažnosť). V článku 13 sa stanovuje, že členské
štáty môžu prijať právne opatrenia, ktorými sa obmedzuje právo na prístup, ak
si to vyžaduje osobitný charakter spracúvania údajov v oblasti polície
a trestnej justície, a opatrenia týkajúce sa informovania dotknutej
osoby o obmedzení prístupu, pričom sa vychádza z článku 17 ods. 2
a 3 rámcového rozhodnutia 2008/977/SVV. V článku 14 sa zavádza pravidlo, podľa
ktorého v prípadoch, keď je priamy prístup obmedzený, musí byť dotknutá
osoba informovaná o možnosti nepriameho prístupu prostredníctvom dozorného
orgánu, ktorý by mal uplatniť právo v jej mene a ktorý musí dotknutú
osobu informovať o výsledku overovania. Článok 15 o práve na opravu vychádza
z článku 12 písm. b) smernice 95/46/ES a, pokiaľ ide o povinnosti
v prípade zamietnutia, z článku 18 ods. 1 rámcového rozhodnutia
2008/977/SVV. Článok 16 o práve na výmaz vychádza
z článku 12 písm. b) smernice 95/46/ES a, pokiaľ ide o povinnosti
v prípade zamietnutia, z článku 18 ods. 1 rámcového rozhodnutia
2008/977/SVV. Je v ňom zahrnuté aj právo na označenie spracúvania osobných
údajov v niektorých prípadoch, ktorým sa nahrádza nejasný výraz
„zablokovať“ či „blokovať“ použitý v článku 12 písm. b) smernice 95/46/ES
a v článku 18 ods. 1 rámcového rozhodnutia 2008/977/SVV. V článku 17, ktorý sa týka opravy, výmazu
alebo obmedzenia spracúvania v rámci súdneho konania, obsahuje vysvetlenia
založené na článku 4 ods. 4 rámcového rozhodnutia 2008/977/SVV.
3.4.4.
KAPITOLA IV – PREVÁDZKOVATEĽ A SPROSTREDKOVATEĽ
3.4.4.1.
ODDIEL 1 – VŠEOBECNÉ POVINNOSTI
V článku 18 sa opisuje zodpovednosť
prevádzkovateľa dodržiavať túto smernicu a zaistiť jej dodržiavanie
vrátane prijatia politík a mechanizmov na zaistenie súladu. V článku 19 sa stanovuje, že členské štáty
musia zaistiť, aby prevádzkovateľ dodržiaval povinnosti vyplývajúce zo zásad
ochrany údajov špecificky navrhnutej a štandardne určenej. V článku 20, ktorý sa týka spoločných
prevádzkovateľov, sa objasňuje postavenie spoločných prevádzkovateľov, pokiaľ
ide o ich vnútorné vzťahy. Článok 21 sčasti vychádza z článku 17 ods. 2
smernice 95/46/ES a objasňuje postavenie a povinnosti sprostredkovateľov,
pričom doň boli pridané nové prvky vrátane ustanovenia, že sprostredkovateľ,
ktorý spracúva údaje nad rámec pokynov prevádzkovateľa, sa považuje za
spoluprevádzkovateľa Článok 22, ktorý sa týka spracúvania na
základe právomoci prevádzkovateľa a sprostredkovateľa, vychádza z článku
16 smernice 95/46/ES. V článku 23 sa zavádza povinnosť
prevádzkovateľov a sprostredkovateľov viesť dokumentáciu týkajúcu sa všetkých
systémov a postupov spracúvania patriacich do rámca ich zodpovednosti. Článok 24 sa týka uchovávania záznamov
v súlade s článkom 10 ods. 1 rámcového rozhodnutia 2008/977/SVV,
pričom obsahuje dodatočné objasnenia. V článku 25 sú ozrejmené povinnosti
prevádzkovateľa a sprostredkovateľa, pokiaľ ide o spoluprácu s
dozorným orgánom. Článok 26 sa týka prípadov, keď existuje
povinnosť konzultovať dozorný orgán pred spracovaním údajov; tento článok je
založený na článku 23 rámcového rozhodnutia 2008/977/SVV.
3.4.4.2.
ODDIEL 2 – BEZPEČNOSŤ ÚDAJOV
Článok 27, ktorý sa týka bezpečnosti
spracovania a je založený na súčasnom článku 17 ods. 1 smernice 95/46/ES
týkajúcom sa bezpečnosti spracovania a článku 22 rámcového rozhodnutia
2008/977/SVV, rozširuje súvisiace povinnosti na sprostredkovateľov bez ohľadu
na ich zmluvu s prevádzkovateľom. V článkoch 28 a 29 sa zavádza
povinnosť oznamovať porušenie ochrany osobných údajov, ktorá vychádza z
konceptu oznámenia o porušení ochrany osobných údajov podľa článku 4 ods.
3 smernice o súkromí a elektronických komunikáciách 2002/58/ES, pričom sa
v nich objasňujú a oddeľujú povinnosť oznámiť porušenie dozornému
orgánu (článok 28) a povinnosť za určitých okolností informovať dotknutú
osobu (článok 29). V článku 29 sa tiež stanovujú výnimky, a to
prostredníctvom odkazu na článok 11 ods. 4.
3.4.4.3.
ODDIEL 3 – ÚRADNÍK PRE OCHRANU ÚDAJOV
V článku 30 sa zavádza povinnosť
prevádzkovateľa vymenovať úradníka pre ochranu údajov, ktorý by mal plniť úlohy
uvedené v článku 32. Ak viaceré príslušné orgány konajú pod dozorom
ústredného orgánu, ktorý vystupuje ako prevádzkovateľ, mal by určiť takéhoto
úradníka pre ochranu údajov aspoň tento ústredný orgán. Podľa článku 18 ods. 2
smernice 95/46/ES mali členské štáty možnosť zaviesť takúto požiadavku namiesto
všeobecnej oznamovacej povinnosti. V článku 31 sa stanovuje postavenie úradníka
pre ochranu údajov. V článku 32 sú stanovené úlohy úradníka pre
ochranu údajov.
3.4.5.
KAPITOLA V – PRENOS OSOBNÝCH ÚDAJOV DO TRETÍCH
KRAJÍN ALEBO MEDZINÁRODNÝM ORGANIZÁCIÁM
V článku 33 sa stanovujú všeobecné zásady
prenosu údajov do tretích krajín alebo medzinárodným organizáciám
v oblasti policajnej spolupráce a justičnej spolupráce
v trestných veciach vrátane ďalších prenosov. Objasňuje sa v ňom, že
prenosy do tretích krajín sa môžu uskutočniť, len ak je prenos nevyhnutný na
predchádzanie trestným činom, ich vyšetrovanie, odhaľovanie či stíhanie alebo
na výkon trestných sankcií. V článku 34 sa stanovuje, že prenosy
údajov sa môžu uskutočniť do tých tretích krajín, v súvislosti
s ktorými Komisia prijala rozhodnutie o primeranosti podľa nariadenia
…./../201X alebo osobitne v oblasti policajnej spolupráce a justičnej
spolupráce v trestných veciach, alebo, ak takéto rozhodnutia neexistujú,
a sú zavedené náležité záruky. V prípade neexistencie rozhodnutí
o primeranosti, smernica zaisťuje, aby sa v prenosoch mohlo pokračovať na
základe náležitých záruk a odchýlok. Okrem toho sa v ňom stanovujú kritériá,
ktoré má Komisia zohľadniť pri posudzovaní, či úroveň ochrany je alebo nie je
primeraná, a výslovne sa v ňom uvádza kritérium existencie právneho štátu,
súdnych prostriedkov nápravy a nezávislého dozoru. Článok tiež umožňuje Komisii
posúdiť úroveň ochrany poskytovanú na určitom území alebo sektorom spracovania v
tretej krajine. Uvádza sa v ňom, že všeobecné rozhodnutie
o primeranosti prijaté na základe postupov podľa článku 38 všeobecného
nariadenia o ochrane údajov, je uplatniteľné v rámci rozsahu
pôsobnosti tejto smernice. Komisia môže alternatívne prijať rozhodnutie
o primeranosti výhradne na účely tejto smernice. V článku 35 sa vymedzuje koncept náležitých
záruk, ktoré sa vyžadujú pred uskutočnením medzinárodných prenosov
v prípadoch, keď neexistuje rozhodnutie o primeranosti. Tieto záruky môžu
mať formu právne záväzných nástrojov, ako sú medzinárodné dohody. Alternatívne
môže prevádzkovateľ údajov na základe posúdenia okolností prenosu dospieť
k záveru, že tieto záruky existujú. V článku 36 sa uvádzajú odchýlky pre
prenos údajov založené na článku 26 smernice 95/46/ES a článku 13
rámcového rozhodnutia 2008/977/SVV. Podľa článku 37 musia členské štáty stanoviť,
že prevádzkovateľ je povinný informovať príjemcu osobných údajov
o akýchkoľvek obmedzeniach spracovania a podniknúť všetky primerané kroky
s cieľom zabezpečiť, aby tieto obmedzenia príjemcovia osobných údajov
v tretej krajine alebo medzinárodnej organizácii dodržali. V článku 38 sa výslovne stanovujú mechanizmy
medzinárodnej spolupráce na účely ochrany osobných údajov medzi Komisiou a
dozornými orgánmi tretích krajín, konkrétne ide o spoluprácu s tými
orgánmi, ktoré ponúkajú primeranú úroveň ochrany, pričom sa zohľadňuje
odporúčanie Organizácie pre hospodársku spoluprácu a rozvoj z 12. júna
2007 o cezhraničnej spolupráci pri presadzovaní právnych predpisov na
ochranu súkromia. KAPITOLA VI – NÁRODNÉ DOZORNÉ ORGÁNY
3.4.5.1.
ODDIEL 1 – NEZÁVISLÉ POSTAVENIE
V článku 39 sa, vychádzajúc z článku 28
ods. 1 smernice 95/46/ES a článku 25 rámcového rozhodnutia 2008/977/SVV,
stanovuje povinnosť členských štátov ustanoviť dozorné orgány, pričom sa
rozširuje úloha týchto orgánov o prispievanie ku konzistentnému
uplatňovaniu smernice v celej Únii; týmto dozorným orgánom môže byť aj
dozorný orgán ustanovený podľa všeobecného nariadenia o ochrane údajov. V článku 40 sa ozrejmujú podmienky
nezávislosti dozorných orgánov, pričom sa uplatňuje judikatúra Súdneho dvora EÚ[29] a vychádza sa tiež
z článku 44 nariadenia (ES) č. 45/2001[30].
V článku 41 sa stanovujú všeobecné
podmienky členstva v dozorných orgánoch, pričom sa uplatňuje príslušná judikatúra[31] a vychádza sa
z článku 42 ods. 2 až 6 nariadenia (ES) 45/2001. V článku 42 sa stanovujú pravidlá
zriaďovania dozorného orgánu, a to aj pokiaľ ide o podmienky
vzťahujúce sa na jeho členov, ktoré majú členské štáty upraviť zákonom. Článok 43, ktorý sa týka služobného tajomstva
členov a zamestnancov dozorného orgánu, vychádza z článku 28 ods. 7
smernice 95/46/ES a článku 25 ods. 4 rámcového rozhodnutia 2008/977/SVV.
3.4.5.2.
ODDIEL 2 – POVINNOSTI A PRÁVOMOCI
V článku 44 sa stanovuje pôsobnosť
dozorného orgánu, pričom sa vychádza z článku 28 ods. 6 smernice 95/46/ES
a článku 25 ods. 1 rámcového rozhodnutia 2008/977/SVV. Súdy, keď plnia
svoje súdne funkcie, nepodliehajú dohľadu dozorného orgánu, sú však povinné
dodržiavať hmotnoprávne pravidlá v oblasti ochrany údajov. Podľa článku 45 musia členské štáty stanoviť
povinnosti dozorného orgánu, medzi ktoré patrí prijímanie a vyšetrovanie
sťažností a zvyšovanie verejnej informovanosti o rizikách, pravidlách, zárukách
a právach. Osobitnou povinnosťou dozorných orgánov v rámci tejto smernice
je vykonávanie práva na prístup v mene dotknutej osoby a overovanie
zákonnosti spracúvania údajov v prípadoch odmietnutia alebo obmedzenia
priameho prístupu. V článku 46 sa stanovujú právomoci
dozorného orgánu, pričom sa vychádza z článku 28 ods. 3 smernice 95/46/ES,
článku 25 ods. 2 a 3 rámcového rozhodnutia 2008/977/SVV. Článok 47 ukladá
dozorným orgánom povinnosť vypracovať ročnú správu o činnosti, pričom sa
vychádza z článku 28 ods. 5 smernice 95/46/ES.
3.4.6.
KAPITOLA VII – SPOLUPRÁCA
V článku 48 sa stanovujú pravidlá týkajúce sa
povinnej vzájomnej pomoci, zatiaľ čo v článku 28 ods. 6 druhom pododseku
smernice 95/46/ES sa stanovovala len všeobecná, bližšie nešpecifikovaná,
povinnosť spolupracovať. V článku 49 sa stanovuje, že Európsky výbor
pre ochranu údajov zriadený všeobecným nariadením o ochrane údajov plní svoje
úlohy aj v súvislosti s aktivitami spracúvania, ktoré patria do rozsahu
pôsobnosti tejto smernice. Na účely poskytovania dodatočnej podpory sa Komisia
bude radiť so zástupcami orgánov členských štátov príslušných v oblasti
predchádzania trestným činom, ich vyšetrovania, odhaľovania a stíhania, ako aj
so zástupcami Europolu a Eurojustu, a to prostredníctvom expertnej skupiny pre
aspekty ochrany údajov súvisiace s presadzovaním práva.
3.4.7.
KAPITOLA VIII – PROSTRIEDKY NÁPRAVY, ZODPOVEDNOSŤ A
SANKCIE
V článku 50, ktorý vychádza z článku 28 ods. 4
smernice 95/46/ES, sa stanovuje, že každá dotknutá osoba má právo podať
sťažnosť dozornému orgánu v súvislosti s akýmkoľvek porušením smernice
vo vzťahu k sťažovateľovi. Uvádzajú sa v ňom subjekty, organizácie
a združenia, ktoré môžu podať sťažnosť v mene dotknutej osoby a v prípade
porušenia ochrany osobných údajov aj nezávisle od sťažnosti dotknutej osoby. Článok 51 sa týka práva na súdny prostriedok
nápravy voči dozornému orgánu. Vychádza zo všeobecného ustanovenia článku 28
ods. 3 smernice 95/46/ES a osobitne sa v ňom stanovuje, že dotknutá osoba môže
podať návrh na začatie súdneho konania proti dozornému orgánu o uložení
povinnosti konať vo veci sťažnosti. Článok 52 sa týka práva na súdny prostriedok
nápravy voči prevádzkovateľovi či sprostredkovateľovi, pričom vychádza z článku
22 smernice 95/46/ES a článku 20 rámcového rozhodnutia 2008/977/SVV. V článku 53 sa zavádzajú spoločné pravidlá pre
súdne konania vrátane práva subjektov, organizácií či združení zastupovať
dotknuté osoby pred súdmi a práva dozorných orgánov zúčastniť sa na súdnych
konaniach. Povinnosť členských štátov zaistiť rýchle konanie pred súdom
vychádza z článku 18 ods. 1 smernice o elektronickom obchode 2000/31/ES[32]. V článku 54 sa členským štátom ukladá
povinnosť ustanoviť právo na náhradu. Vychádza z článku 23 smernice
95/46/ES a článku 19 ods. 1 rámcového rozhodnutia 2008/977/SVV, rozširuje toto
právo na náhradu škody spôsobenej sprostredkovateľmi a vyjasňuje zodpovednosť
spolusprostredkovateľov a spoluprevádzkovateľov. V článku 55 sa stanovuje povinnosť členských
štátov stanoviť pravidlá týkajúce sa sankcií uplatniteľných v prípade porušenia
smernice a zabezpečiť ich vykonávanie.
3.4.8.
KAPITOLA IX – DELEGOVANÉ AKTY A VYKONÁVACIE AKTY
Článok 56 obsahuje štandardné ustanovenia
týkajúce sa vykonávania delegovania právomocí v súlade s článkom 290 ZFEÚ.
Zákonodarcovi umožňuje delegovať na Komisiu právomoc prijímať všeobecne záväzné
nelegislatívne akty, ktorými sa dopĺňajú alebo menia určité nepodstatné prvky
legislatívneho aktu (kvázi legislatívne akty). Článok 57 obsahuje ustanovenie týkajúce sa
postupu výboru, ktorý je nevyhnutný na to, aby bolo možné Komisii zveriť
vykonávacie právomoci v prípadoch, keď sú v súlade s článkom 291 ZFEÚ potrebné
jednotné podmienky na vykonávanie právne záväzných aktov Únie. Uplatňuje sa
postup preskúmania.
3.4.9.
KAPITOLA X – ZÁVEREČNÉ USTANOVENIA
Článkom 58 sa zrušuje rámcové rozhodnutie
2008/977/SVV. V článku 59 sa uvádza, že osobitné ustanovenia
týkajúce sa spracúvania osobných údajov príslušnými orgánmi na účely
predchádzania trestným činom, ich vyšetrovania, odhaľovania či stíhania alebo
na účely výkonu trestných sankcií, ktoré sú obsiahnuté v aktoch Únie prijatých
pred dátumom prijatia tejto smernice a ktoré upravujú spracúvanie osobných
údajov alebo prístup do informačných systémov v rámci rozsahu pôsobnosti tejto
smernice, zostávajú nedotknuté. V článku 60 sa vyjasňuje vzťah tejto smernice
k skôr uzatvoreným medzinárodným dohodám členských štátov v oblasti justičnej
spolupráce v trestných veciach a policajnej spolupráce. V článku 61 sa stanovuje povinnosť Komisie
zhodnotiť vykonávanie smernice a podať o tom správu, aby bolo možné posúdiť
potrebu zladenia skôr prijatých osobitných ustanovení uvedených v článku 59 s
touto smernicou. V článku 62 sa stanovuje povinnosť členských
štátov transponovať smernicu do svojich vnútroštátnych právnych poriadkov a
oznámiť Komisii ustanovenia prijaté na jej základe. V článku 63 sa stanovuje dátum nadobudnutia
účinnosti smernice. V článku 64 sa stanovuje, komu je smernica
určená. 4. VPLYV NA ROZPOČET Legislatívny finančný výkaz priložený k návrhu
všeobecného nariadenia o ochrane údajov sa týka vplyvu tohto nariadenia a
smernice na rozpočet. 2012/0010 (COD) Návrh SMERNICA EURÓPSKEHO PARLAMENTU A RADY o ochrane fyzických osôb pri spracúvaní
osobných údajov príslušnými orgánmi na účely predchádzania trestným činom, ich
vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných
sankcií a o voľnom pohybe takýchto údajov EURÓPSKY PARLAMENT A RADA EURÓPSKEJ
ÚNIE, so zreteľom na Zmluvu o fungovaní Európskej
únie, a najmä na jej článok 16 ods. 2, so zreteľom na návrh Európskej komisie, po postúpení návrhu legislatívneho aktu
národným parlamentom, po konzultácii s európskym dozorným úradníkom
pre ochranu údajov[33], konajúc v súlade s riadnym legislatívnym
postupom, keďže: (1)
Ochrana fyzických osôb v súvislosti so spracovaním
osobných údajom patrí medzi základné práva. V článku 8 ods. 1 Charty základných
práv Európskej únie a v článku 16 ods. 1 Zmluvy o fungovaní Európskej únie sa
stanovuje zásada, že každý má právo na ochranu osobných údajov, ktoré sa ho
týkajú. (2)
Spracúvanie údajov je určené na to, aby slúžilo
človeku; zásady a pravidlá ochrany fyzických osôb pri spracúvaní ich osobných
údajov by bez ohľadu na štátnu príslušnosť alebo bydlisko fyzických osôb mali
rešpektovať základné práva a slobody, najmä ich právo na ochranu osobných
údajov. Malo by to prispieť k dokončeniu budovania priestoru slobody,
bezpečnosti a spravodlivosti. (3)
Rýchly technologický rozvoj a globalizácia so sebou
priniesli nové výzvy v oblasti ochrany osobných údajov. Rozsah zhromažďovania a
zdieľania údajov sa výrazne zväčšil. Technológia umožňuje príslušným orgánom
pri výkone ich činností využívať osobné údaje v doteraz bezprecedentnom
rozsahu. (4)
Preto je nutné uľahčiť voľný tok údajov v rámci
Únie a ich prenos do tretích krajín a medzinárodným organizáciám, a to pri
súčasnom zabezpečení vysokej úrovne ochrany osobných údajov. Táto situácia si
vyžaduje vytvorenie silného a súdržnejšieho rámca ochrany údajov v Únii,
ktorý sa bude dôrazne presadzovať. (5)
Smernica Európskeho parlamentu a Rady 95/46/ES z
24. októbra 1995 o ochrane fyzických osôb pri spracovaní osobných údajov a
voľnom pohybe týchto údajov[34]
sa vzťahuje na všetky činnosti v oblasti spracovania osobných údajov v
členských štátoch, a to vo verejnom aj v súkromnom sektore. Nevzťahuje sa však
na spracovanie osobných údajov „v rámci činností, ktoré sú mimo pôsobnosti
práva Spoločenstva“, ako sú napríklad činnosti v oblasti justičnej spolupráce v
trestných veciach a v oblasti policajnej spolupráce. (6)
Rámcové rozhodnutie Rady 2008/977/SVV z 27.
novembra 2008 o ochrane osobných údajov spracúvaných v rámci policajnej a
justičnej spolupráce v trestných veciach[35]
sa vzťahuje na oblasť justičnej spolupráce v trestných veciach a oblasť
policajnej spolupráce. Rozsah uplatňovania tohto rámcového rozhodnutia je
obmedzený na spracúvanie osobných údajov, ktoré sú prenášané alebo
sprístupňované medzi členskými štátmi. (7)
V záujme zabezpečenia účinnej justičnej spolupráce
v trestných veciach a policajnej spolupráce je kľúčové zaistiť súdržnú ochranu
osobných údajov fyzických osôb na vysokej úrovni a uľahčiť výmenu osobných údajov
medzi príslušnými orgánmi. Na dosiahnutie tohto cieľa musí byť úroveň ochrany
práv a slobôd fyzických osôb pri spracúvaní osobných údajov príslušnými orgánmi
na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo
stíhania alebo na účely výkonu trestných sankcií rovnocenná vo všetkých
členských štátoch. Účinná ochrana osobných údajov v rámci Únie si vyžaduje
posilnenie práv dotknutých osôb a povinností tých, ktorí osobné údaje
spracúvajú, no vyžaduje si aj zodpovedajúce právomoci na monitorovanie a
zabezpečenie súladu s pravidlami ochrany osobných údajov v členských
štátoch. (8)
Článok 16 ods. 2 Zmluvy o fungovaní Európskej únie
stanovuje, že Európsky parlament a Rada by mali stanoviť pravidlá týkajúce sa
ochrany fyzických osôb pri spracúvaní osobných údajov a pravidlá týkajúce sa
voľného pohybu osobných údajov. (9)
Nariadenie Európskeho parlamentu a Rady (EÚ)
č. …./2012 o ochrane fyzických osôb pri spracúvaní osobných údajov a
voľnom pohybe týchto údajov (všeobecné nariadenie o ochrane údajov) na
tomto základe stanovuje všeobecné pravidlá na ochranu fyzických osôb v
súvislosti so spracovaním osobných údajov a na zabezpečenie voľného pohybu
osobných údajov v rámci Únie. (10)
Vo vyhlásení č. 21 o ochrane osobných údajov v
oblasti justičnej spolupráce v trestných veciach a v oblasti policajnej
spolupráce (pripojenom k záverečnému aktu medzivládnej konferencie, na ktorej
bola prijatá Lisabonská zmluva), konferencia uznala, že sa môže preukázať ako
nevyhnutné prijať osobitné pravidlá upravujúce ochranu osobných údajov a voľný
pohyb takýchto údajov v oblasti justičnej spolupráce v trestných veciach a v
oblasti policajnej spolupráce, ktoré vychádzajú z článku 16 Zmluvy o
fungovaní Európskej únie, a to z dôvodu osobitnej povahy, ktorou sa tieto
oblasti vyznačujú. (11)
Osobitnej povahe týchto oblastí by preto mala
vyhovieť osobitná smernica, ktorá by mala ustanoviť pravidlá týkajúce sa
ochrany fyzických osôb pri spracúvaní osobných údajov príslušnými orgánmi na
účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo
stíhania alebo na účely výkonu trestných sankcií. (12)
S cieľom zabezpečiť rovnakú úroveň ochrany
fyzických osôb právami, ktoré sú právnymi prostriedkami vymáhateľné v celej
Únii, a zabrániť rozdielom, ktoré sú prekážkou voľnej výmeny osobných údajov
medzi príslušnými orgánmi, by táto smernica mala stanoviť jednotné pravidlá
ochrany a voľného pohybu osobných údajov v oblasti justičnej spolupráce v
trestných veciach a v oblasti policajnej spolupráce. (13)
Táto smernica umožňuje pri uplatňovaní jej
ustanovení vziať do úvahy zásadu verejného prístupu k oficiálnym dokumentom. (14)
Ochrana, ktorú táto smernica poskytuje, by sa mala
týkať spracúvania osobných údajov fyzických osôb bez ohľadu na ich štátnu
príslušnosť alebo miesto bydliska. (15)
Ochrana fyzických osôb by mala byť technologicky
neutrálna a nemala by závisieť od použitých techník, pretože v opačnom prípade
by hrozilo veľké riziko obchádzania predpisov. Ochrana fyzických osôb by sa
mala vzťahovať na spracúvanie osobných údajov automatizovanými prostriedkami,
ako aj na ručné spracúvanie, ak sú údaje uvedené v informačnom systéme alebo do
neho majú byť zahrnuté. Súbory alebo komplexy súborov, ako aj ich titulné
strany, ktoré nie sú štruktúrované podľa špecifických kritérií, by nemali
patriť do rozsahu pôsobnosti tejto smernice. Táto smernica by sa nemala
vzťahovať na spracúvanie osobných údajov v rámci činnosti, ktorá nepatrí do
rozsahu pôsobnosti práva Únie, najmä pokiaľ ide o národnú bezpečnosť, ani na
údaje spracúvané inštitúciami, orgánmi, úradmi alebo agentúrami Únie, ako sú
napríklad Europol alebo Eurojust. (16)
Zásady ochrany údajov by sa mali uplatňovať na
všetky informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej
osoby. Na určenie toho, či je fyzická osoba identifikovateľná, by sa mali brať
do úvahy všetky prostriedky, u ktorých je primeraná pravdepodobnosť, že
ich využije prevádzkovateľ alebo ľubovoľná iná osoba na identifikáciu
príslušnej osoby. Zásady ochrany údajov by sa nemali uplatňovať na
anonymizované údaje tak, že dotknutá osoba už nie je identifikovateľná. (17)
Osobné údaje týkajúce sa zdravia by mali zahŕňať
najmä všetky údaje týkajúce sa zdravotného stavu dotknutej osoby, informácie o
zaevidovaní fyzickej osoby v súvislosti s poskytnutím zdravotníckych
služieb, informácie o platbách alebo nároku na zdravotnú starostlivosť týkajúce
sa fyzickej osoby, číslo, symbol alebo osobitný údaj, ktorý bol fyzickej osobe
pridelený na individuálnu identifikáciu fyzickej osoby na zdravotné účely,
všetky informácie získané o fyzickej osobe počas poskytovania
zdravotníckych služieb, ako aj informácie získané na základe vykonávania testov
alebo prehliadok častí organizmu alebo telesných substancií, a to vrátane
biologických vzoriek, identifikáciu osoby ako poskytovateľa zdravotnej
starostlivosti fyzickej osobe, alebo akékoľvek informácie napr. o chorobe,
postihnutí, riziku ochorenia, lekárskej anamnéze, klinickej liečbe, alebo o
aktuálnom fyziologickom alebo biomedicínskom stave dotknutej osoby, a to bez
ohľadu na zdroj týchto informácií, či už pochádzajú od lekára alebo
zdravotníka, z nemocnice, zo zdravotného prístroja alebo z vykonania in
vitro diagnostického testu. (18)
Každé spracovanie osobných údajov by malo byť
spravodlivé a zákonné vo vzťahu k dotknutým fyzickým osobám. A
Predovšetkým by sa mali výslovne stanoviť osobitné účely, na ktoré sa tieto
údaje spracúvajú. (19)
V záujme predchádzania trestným činom, ich
vyšetrovania a stíhania je potrebné, aby príslušné orgány uchovávali a
spracúvali osobné údaje, ktoré boli zhromaždené v kontexte predchádzania
osobitným trestným činom, ich vyšetrovania, odhaľovania alebo stíhania, aj mimo
tohto kontextu s cieľom rozvíjať chápanie javov a trendov v oblasti
trestnej činnosti, zhromažďovať spravodajské informácie o organizovaných
zločineckých sieťach a zisťovať súvislosti medzi rôznymi odhalenými trestnými
činmi. (20)
Osobné údaje by sa nemali spracúvať na účely, ktoré
nie sú zlučiteľné s účelom, na ktorý boli získané. Osobné údaje by mali byť
primerané, relevantné a úmerné vzhľadom na účely, na ktoré sa spracúvajú. Mali
by sa prijať všetky primerané opatrenia, aby sa zabezpečilo vymazanie alebo
oprava nepresných údajov. (21)
Zásada presnosti údajov by sa mala uplatňovať pri
zohľadnení povahy a účelu predmetného spracovania. Najmä v rámci súdnych konaní
sú vyjadrenia obsahujúce osobné údaje založené na subjektívnom vnímaní
fyzických osôb a v niektorých prípadoch sa nedajú vždy overiť. Následkom toho
by sa požiadavka na presnosť nemala vzťahovať na presnosť vyjadrenia, ale iba
na skutočnosť, že konkrétne vyjadrenie bolo dané. (22)
Pri výklade a uplatňovaní všeobecných zásad, ktoré
sa týkajú spracúvania osobných údajov príslušnými orgánmi na účely
predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania
alebo na účely výkonu trestných sankcií, by sa mali zohľadniť osobitosti
predmetného sektora vrátane konkrétnych sledovaných cieľov. (23)
K spracúvaniu osobných údajov v oblasti justičnej
spolupráce v trestných veciach a v oblasti policajnej spolupráce
neodmysliteľne patrí spracúvanie osobných údajov, ktoré sa týkajú rôznych
kategórií dotknutých osôb. Preto by sa malo v čo najväčšom možnom rozsahu jasne
rozlišovať medzi osobnými údajmi rôznych kategórií dotknutých osôb, ako sú
podozrivé osoby, osoby odsúdené za spáchanie trestného činu, obete a tretie
strany, ako sú svedkovia, osoby disponujúce relevantnými informáciami alebo
kontaktné osoby a spoločníci podozrivých osôb alebo odsúdených páchateľov
trestných činov. (24)
Osobné údaje by sa mali v čo najväčšom rozsahu
rozlišovať podľa stupňa ich presnosti a spoľahlivosti. Mali by sa rozlišovať
fakty od osobných hodnotení, aby sa zabezpečila ochrana fyzických osôb aj
kvalita a spoľahlivosť informácií, ktoré príslušné orgány spracúvajú. (25)
Aby bolo spracovanie osobných údajov zákonné, malo
by byť nevyhnutné na splnenie zákonnej povinnosti prevádzkovateľa, na plnenie
úloh vykonávaných vo verejnom záujme príslušným orgánom na základe zákona alebo
na ochranu zásadných záujmov dotknutej osoby či inej osoby, alebo na
predchádzanie bezprostrednému a vážnemu ohrozeniu verejnej bezpečnosti. (26)
Osobitnú ochranu je potrebné poskytnúť pri osobných
údajoch, ktoré sú svojou povahou obzvlášť citlivé v súvislosti so základnými
právami alebo právom na súkromie vrátane genetických údajov. Takéto údaje by sa
mali spracúvať, len ak spracovanie osobitne povoľuje zákon, ktorý stanovuje
vhodné opatrenia na ochranu oprávnených záujmov dotknutej osoby, alebo ak je
spracúvanie nevyhnutné na ochranu zásadných záujmov dotknutej osoby či inej
osoby alebo ak sa spracúvanie týka údajov, ktoré preukázateľne zverejnila
dotknutá osoba. (27)
Každá fyzická osoba by mala mať právo nepodliehať
opatreniu, ktoré je výlučne založené na automatizovanom spracúvaní, ak má toto
opatrenie pre túto osobu nepriaznivé právne účinky, ibaže by to povoľoval zákon
a zároveň by boli stanovené vhodné opatrenia na zabezpečenie oprávnených
záujmov dotknutej osoby. (28)
V záujme výkonu práv dotknutej osoby by jej mali
byť ľahko dostupné a mali by pre ňu byť ľahko pochopiteľné akékoľvek
informácie, ktoré by taktiež mali byť podané jasne a zrozumiteľne. (29)
Mali by sa stanoviť modality, ktoré by dotknutej
osobe uľahčili uplatnenie jej práv v zmysle tejto smernice, a to vrátane
mechanizmov pre vyžiadanie si bezplatného prístupu k údajom, ich opravy a
výmazu. Prevádzkovateľ by mal byť povinný odpovedať na žiadosť dotknutej osoby
bez zbytočného odkladu. (30)
Zásada spravodlivého spracúvania vyžaduje, aby
dotknuté osoby boli informované najmä o existencii operácie spracúvania a jej
účeloch, o tom, ako dlho budú údaje uchovávané, o existencii práva na prístup,
opravu a výmaz, ako aj o práve podať sťažnosť. Ak sa údaje zhromažďujú od
dotknutej osoby, dotknutá osoba by mala byť informovaná aj o tom, či je povinná
údaje poskytnúť, ako aj o následkoch v prípade, že tieto údaje neposkytne. (31)
Informácie súvisiace so spracúvaním osobných údajov
týkajúcich sa dotknutej osoby by sa dotknutej osobe mali poskytnúť v čase
zhromažďovania údajov alebo, ak sa údaje nezískavajú od dotknutej osoby, v čase
zaznamenania alebo v primeranej lehote po ich zhromaždení, a to so zreteľom na
osobitné okolnosti, za ktorých sa tieto údaje spracúvajú. (32)
Každá osoba by mala mať právo na prístup k údajom,
ktoré boli o nej zhromaždené, a toto právo aj jednoducho uplatňovať, aby
si bola vedomá zákonnosti spracovania a mohla si ju overiť. Každá dotknutá
osoba by preto mala mať právo vedieť a byť informovaná najmä o účeloch
spracúvania údajov, o tom, ako dlho budú tieto údaje uchovávané, ako aj o tom,
ktorí príjemcovia údajov ich dostanú vrátané príjemcov v tretích
krajinách. Dotknuté osoby by mali možnosť dostať kópiu ich osobných údajov,
ktoré sa spracúvajú. (33)
Členské štáty môžu prijať právne opatrenia, ktorými
sa odkladá, obmedzuje alebo vylučuje poskytovanie informácií dotknutým osobám
alebo prístup k ich osobným údajom, a to v takom rozsahu a na tak dlho, ako
toto čiastočné alebo úplné obmedzenie s náležitým zreteľom na oprávnené záujmy
príslušnej osoby predstavuje nevyhnutné a primerané opatrenie v demokratickej
spoločnosti s cieľom zaručiť, aby sa neovplyvnilo úradné alebo súdne
vyšetrovanie alebo postup, aby sa zabránilo ovplyvňovaniu predchádzania
trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo výkonu
trestných sankcií, aby sa ochránila verejná bezpečnosť alebo národná
bezpečnosť, alebo aby sa ochránila dotknutá osoba alebo práva a slobody iných
osôb. (34)
Akékoľvek zamietnutie alebo obmedzenie prístupu by
malo byť dotknutej osobe oznámené písomne, a to vrátane skutkových alebo
právnych dôvodov, na ktorých je toto rozhodnutie založené. (35)
Ak členské štáty prijali právne opatrenia, ktoré
úplne alebo čiastočne obmedzujú právo na prístup, dotknutá osoba by mala mať
právo požiadať príslušný vnútroštátny dozorný orgán, aby overil zákonnosť tohto
spracovania. Dotknutá osoba by mala byť o tomto práve informovaná. Ak
prístup v mene dotknutej osoby vykonáva dozorný orgán, mal by dotknutú osobu
informovať prinajmenšom o tom, že vykonal všetky potrebné overenia, ako aj o
výsledku, pokiaľ ide o zákonnosť predmetného spracovania. (36)
Ktorákoľvek osoba by mala mať právo na opravu
nepresných osobných údajov, ktoré sa jej týkajú, ako aj právo na ich vymazanie,
ak spracovanie takýchto údajov nie je v súlade s hlavnými zásadami
stanovenými v tejto smernici. Ak sú osobné údaje spracúvané počas vyšetrovania
trestného činu a trestného konania, oprava, právo na informácie, prístup, výmaz
a obmedzenie spracovania môžu byť vykonané v súlade s vnútroštátnymi
pravidlami súdneho konania. (37)
Mala by sa zaviesť komplexná zodpovednosť
prevádzkovateľa za akékoľvek spracúvanie osobných údajov, ktoré vykonáva sám či
ktoré sa vykonáva v jeho mene. Prevádzkovateľ by mal predovšetkým zabezpečiť
súlad operácií spracúvania s pravidlami prijatými podľa tejto smernice. (38)
Ochrana práv a slobôd dotknutých osôb pri
spracúvaní osobných údajov vyžaduje, aby sa prijali zodpovedajúce technické
a organizačné opatrenia s cieľom zabezpečiť splnenie podmienok tejto
smernice. V záujme zaistenia súladu s ustanoveniami prijatými podľa
tejto smernice by mal prevádzkovateľ prijať politiky a uplatniť príslušné
opatrenia, ktoré predovšetkým spĺňajú zásady ochrany údajov špecificky
navrhnutej a štandardne určenej. (39)
Ochrana práv a slobôd dotknutých osôb, ako aj
zodpovednosť prevádzkovateľov a sprostredkovateľov si vyžaduje jednoznačné
vymedzenie zodpovednosti v zmysle tejto smernice, a to aj v prípade,
že prevádzkovateľ spoločne s ostatnými prevádzkovateľmi určí účely,
podmienky a prostriedky spracovania alebo že sa operácia spracovania
uskutočňuje v jeho mene. (40)
S cieľom monitorovať dodržiavanie tejto smernice by
mal prevádzkovateľ a sprostredkovateľ dokumentovať operácie spracúvania.
Povinnosťou každého prevádzkovateľa a sprostredkovateľa by malo byť
spolupracovať s dozornými orgánom a túto dokumentáciu sprístupniť na
požiadanie, aby mohla slúžiť na účely monitorovania operácií spracúvania. . (41)
Prevádzkovateľ alebo sprostredkovateľ by mal
v niektorých prípadoch konzultovať dozorný orgán pred spracovaním osobných
údajov s cieľom preventívne zabezpečiť účinnú ochranu práv a slobôd
dotknutých osôb. (42)
Ak sa porušenie ochrany osobných údajov nerieši
primeraným spôsobom a včas, môže spôsobiť ujmu vrátane poškodenia dobrého
mena dotknutej fyzickej osoby. Ihneď ako prevádzkovateľ zistí, že došlo
k takémuto porušeniu ochrany osobných údajov, mal by teda toto porušenie
oznámiť príslušnému vnútroštátnemu orgánu. Fyzické osoby, u ktorých by
porušenie ochrany osobných údajov malo nepriaznivý vplyv na ich osobné údaje
alebo súkromie, by mali byť o porušení bez zbytočného odkladu informované,
aby mohli podniknúť potrebné predbežné opatrenia. Za porušenie ochrany osobných
údajov s nepriaznivým vplyvom na osobné údaje alebo súkromie fyzickej
osoby by sa malo považovať také porušenie, ktoré by mohlo spôsobiť napríklad
krádež totožnosti alebo podvod, fyzickú ujmu, značné poníženie alebo poškodenie
dobrého mena v súvislosti so spracúvaním osobných údajov. (43)
Pri stanovení podrobných pravidiel týkajúcich sa
formátu a postupov uplatňovaných pri oznamovaní porušenia ochrany osobných
údajov by sa mali náležitým spôsobom zvážiť okolnosti, za ktorých
k porušeniu došlo, vrátane toho, či osobné údaje boli alebo neboli
chránené zodpovedajúcimi opatreniami technickej ochrany, ktoré účinným spôsobom
obmedzujú pravdepodobnosť zneužitia. Okrem toho by takého pravidlá
a postupy mali zohľadňovať oprávnené záujmy príslušných orgánov
v tých prípadoch, keď by skoré sprístupnenie mohlo zbytočne skomplikovať
vyšetrovanie okolností porušenia ochrany osobných údajov. (44)
Prevádzkovateľ alebo sprostredkovateľ by mali určiť
osobu, ktorá bude prevádzkovateľovi alebo sprostredkovateľovi pomáhať
monitorovať dodržiavanie ustanovení prijatých podľa tejto smernice. Úradníka
pre ochranu údajov môže spoločne vymenovať niekoľko subjektov príslušného
orgánu. Úradníci pre ochranu údajov musia mať možnosť vykonávať svoje
povinnosti a úlohy nezávisle a účinne. (45)
Členské štáty by mali zabezpečiť, aby sa prenos do
tretej krajiny uskutočnil len vtedy, ak je to potrebné na predchádzanie
trestným činom, ich vyšetrovanie, odhaľovanie alebo stíhanie alebo na účely
výkonu trestných sankcií, pričom prevádzkovateľ v tretej krajine alebo
medzinárodná organizácia je príslušným orgánom v zmysle tejto smernice.
Prenos sa môže uskutočniť v prípade, že Komisia rozhodla, že tretia
krajina alebo predmetná medzinárodná organizácia zabezpečujú primeranú úroveň
ochrany, alebo keď boli prijaté náležité záruky. (46)
Komisia môže rozhodnúť s účinnosťou pre celú
Úniu, že určitá tretia krajina, resp. územie alebo sektor spracovania
v tretej krajine, alebo medzinárodná organizácia, zaručuje primeranú
úroveň ochrany, čím poskytuje právnu istotu a jednotnosť v celej
Únii, pokiaľ ide o tretie krajiny alebo medzinárodné organizácie, ktoré sa
považujú za také tretie krajiny a medzinárodné organizácie, ktoré poskytujú
takúto úroveň ochrany. V týchto prípadoch sa prenosy osobných údajov môžu
uskutočniť bez toho, aby bolo nutné získať akékoľvek ďalšie povolenie. (47)
V súlade so základnými hodnotami, na ktorých
je Únia založená, a najmä v súlade s ochranou ľudských práv, by
Komisia mala zohľadniť, ako sa v predmetnej tretej krajine dodržiavajú
zásady právneho štátu, prístupu k spravodlivosti, ako aj medzinárodné normy
a štandardy v oblasti ľudských práv. (48)
Komisia by rovnako mala byť schopná dospieť k
záveru, že tretia krajina, resp. územie, alebo sektor spracovania v tretej
krajine, alebo medzinárodná organizácia, neposkytuje primeranú úroveň ochrany
údajov. Následkom toho by sa mal prenos osobných údajov do predmetnej tretej
krajiny zakázať s výnimkou prípadu, keď vychádza z medzinárodnej dohody,
náležitých záruk alebo odchýlky. Mali by sa stanoviť postupy na účely
konzultácie medzi Komisiou a takouto treťou krajinou či medzinárodnými
organizáciami. Takýmto rozhodnutím Komisie však nie je dotknutá možnosť
uskutočniť prenos na základe náležitých záruk alebo na základe odchýlky
stanovenej v tejto smernici. (49)
Prenosy, ktoré nie sú založené na takomto
rozhodnutí o primeranosti, by mali byť umožnené len vtedy, ak boli
stanovené náležité záruky v právne záväznom nástroji, ktorý zaisťuje ochranu
osobných údajov, alebo ak prevádzkovateľ alebo sprostredkovateľ posúdil všetky
okolnosti sprevádzajúce operáciu prenosu údajov alebo súbor operácií prenosu
údajov, a na základe tohto posúdenia dospel k záveru, že existujú
náležité záruky, pokiaľ ide o ochranu osobných údajov. Ak neexistujú
žiadne dôvody na umožnenie prenosu, mali by byť v prípade potreby umožnené
odchýlky s cieľom chrániť zásadné záujmy dotknutej osoby či inej osoby,
alebo zabezpečiť oprávnené záujmy dotknutej osoby, ak sa tak ustanovuje v
právnych predpisoch členského štátu prenášajúceho osobné údaje alebo ak je to
nevyhnutné na predchádzanie bezprostrednému alebo vážnemu ohrozeniu verejnej
bezpečnosti v členskom štáte alebo tretej krajine, alebo
v jednotlivých prípadoch na účely predchádzania trestným činom, ich
vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií,
alebo v jednotlivých prípadoch na stanovenie, uplatňovanie alebo obranu
právnych nárokov. (50)
Pohyb osobných údajov cez hranice môže výraznejšie
ohroziť schopnosť fyzických osôb uplatňovať si práva na ochranu údajov
v záujme vlastnej ochrany pred nezákonným použitím alebo zverejnením
predmetných údajov. Dozorné orgány môžu zároveň zistiť, že nie sú schopné
vybavovať sťažnosti alebo viesť vyšetrovania týkajúce sa operácií za hranicami
ich štátov. Ich úsilie o spoluprácu v cezhraničnom kontexte môžu tiež
komplikovať nedostačujúce preventívne alebo nápravné právomoci, ako aj nesúlad
právnych poriadkov. Preto je nutné podporovať užšiu spoluprácu medzi dozornými
orgánmi v oblasti ochrany údajov s cieľom pomôcť im pri výmene
informácií s ich zahraničnými partnermi. (51)
Vytvorenie dozorných orgánov v členských
štátoch, ktoré budú svoje funkcie vykonávať úplne nezávisle, je základným
prvkom ochrany fyzických osôb pri spracúvaní osobných údajov. Dozorné orgány by
mali monitorovať uplatňovanie ustanovení prijatých podľa tejto smernice
a prispievať k ich súdržnému uplatňovaniu v celej Únii,
a to s cieľom ochraňovať fyzické osoby v súvislosti so
spracúvaním ich osobných údajov. Na tento účel dozorné orgány spolupracujú
navzájom, ako aj s Komisiou. (52)
Členské štáty môžu dozornému orgánu, ktorý je
v členských štátoch už zriadený na základe nariadenia (EÚ)
č. .../2012, zveriť zodpovednosť za úlohy, ktoré majú vykonávať
vnútroštátne dozorné orgány, ktoré sa majú zriadiť na základe tejto smernice. (53)
Členské štáty by mali mať možnosť zriadiť viac ako
jeden dozorný orgán, ak je to potrebné vzhľadom na ich ústavnú, organizačnú
a administratívnu štruktúru. Každému dozornému orgánu by mali byť
poskytnuté primerané finančné a ľudské zdroje, priestory
a infraštruktúra, ktoré sú potrebné na účinné vykonávanie ich úloh,
a to vrátane úloh týkajúcich sa vzájomnej pomoci a spolupráce
s inými dozornými orgánmi v celej Únii. (54)
Všeobecné podmienky členstva v dozorných orgánoch
by mali byť stanovené zákonom v každom členskom štáte a mali by najmä
stanovovať, že títo členovia by mali byť menovaní parlamentom alebo vládou
členského štátu, a mali by obsahovať pravidlá týkajúce sa osobnej kvalifikácie
a postavenia týchto členov. (55)
Hoci sa táto smernica vzťahuje aj na činnosti
vnútroštátnych súdov, právomoc dozorných orgánov by sa nemala týkať spracúvania
osobných údajov, ku ktorému dochádza, keď súdne orgány plnia svoje súdne
funkcie, aby sa zaručila nezávislosť sudcov pri výkone ich justičných úloh.
Táto výnimka by sa mala obmedzovať len na skutočné súdne činnosti v rámci
súdnych prípadov a nemala by sa uplatňovať na činnosti, do ktorých môžu
byť sudcovia zapojení v súlade s vnútroštátnym právom. (56)
S cieľom zabezpečiť konzistentné monitorovanie
a presadzovanie tejto smernice v celej Únii by dozorné orgány mali
mať rovnaké povinnosti a účinné právomoci v každom členskom štáte
vrátane vyšetrovacích právomoci, právne záväznej intervencie, rozhodnutí
a sankcií, a to najmä v prípadoch sťažností fyzických osôb,
a účasti na súdnych konaniach. (57)
Každý dozorný orgán by mal prerokovať sťažnosť,
ktorú podala ktorákoľvek dotknutá osoba, a mal by v tejto veci viesť
vyšetrovanie. Vyšetrovanie v nadväznosti na podanú sťažnosť
a podliehajúce súdnemu preskúmaniu by sa malo uskutočniť v rozsahu,
ktorý je v konkrétnom prípade primeraný. Dozorný orgán by mal dotknutú osobu
informovať o dosiahnutom pokroku a výsledku jej žiadosti v primeranej
lehote. Ak si prípad vyžaduje ďalšie vyšetrovanie alebo koordináciu s iným
dozorným orgánom, dotknutej osobe by mali byť poskytnuté priebežné informácie. (58)
Dozorné orgány by si mali pri výkone svojich
povinností navzájom pomáhať a vzájomne si poskytovať pomoc, aby tak sa tak
zabezpečilo súdržné uplatňovanie a presadzovanie ustanovení prijatých
podľa tejto smernice. (59)
Európsky výbor pre ochranu údajov vytvorený na základe
nariadenia (EÚ) č. .../2012 by mal prispievať k súdržnému uplatňovaniu
tejto smernice v celej Únii, a to aj poskytovaním poradenstva Komisii
a podporovaním spolupráce medzi dozornými orgánmi v celej Únii. (60)
Každá dotknutá osoba by mala mať právo podať
sťažnosť u dozorného orgánu v ktoromkoľvek členskom štáte, ako aj právo na
súdny prostriedok nápravy, ak sa domnieva, že jej práva podľa tejto smernice
boli porušené alebo ak dozorný orgán nekonal na základe sťažnosti, resp.
nekonal, keď takéto konanie bolo potrebné na ochranu práv dotknutej osoby. (61)
Akýkoľvek subjekt, organizácia či združenie, ktoré
má za cieľ ochranu práv a záujmov dotknutých osôb v súvislosti s ochranou
ich údajov a je zriadené podľa právnych predpisov členského štátu, by malo mať
právo podať sťažnosť alebo právo uplatniť súdny prostriedok nápravy v mene
dotknutých osôb, ak je nimi riadne splnomocnené, resp. nezávisle od sťažnosti
dotknutej osoby podať vlastnú sťažnosť, ak sa domnieva, že došlo k porušeniu
ochrany osobných údajov. (62)
Každá fyzická alebo právnická osoba by mala mať
právo na súdny prostriedok nápravy voči rozhodnutiam dozorného orgánu, ktoré sa
ich týkajú. Návrh na začatie konania proti dozornému orgánu by sa mal podávať
na súdoch členského štátu, v ktorom má dozorný orgán sídlo. (63)
Členské štáty by mali zabezpečiť, aby v záujme
účinnosti súdne prostriedky nápravy umožňovali rýchle prijímanie opatrení na
nápravu porušovania tejto smernice alebo na predchádzanie jej porušovaniu. (64)
Akákoľvek škoda, ktorú môže osoba utrpieť
v dôsledku nezákonného spracovania, by mala byť nahradená prevádzkovateľom
alebo sprostredkovateľom, ktorý môže byť oslobodený od zodpovednosti, ak
dokáže, že za spôsobenú škodu nenesie zodpovednosť, najmä ak sa zistí
pochybenie na strane dotknutej osoby alebo v prípade vyššej moci. (65)
Sankcie by sa mali ukladať akejkoľvek fyzickej
alebo právnickej osobe – či už sa na ňu vzťahuje súkromné alebo verejné právo –
ktorá nedodržiava túto smernicu. Členské štáty by mali zabezpečiť, aby boli
sankcie účinné, primerané a odrádzajúce, a musia prijať všetky opatrenia
na vykonávanie sankcií. (66)
S cieľom splniť ciele tejto smernice, a to najmä
ochranu základných práv a slobôd fyzických osôb a predovšetkým ich práva na
ochranu osobných údajov, a v záujme zabezpečenia voľnej výmeny osobných údajov
medzi príslušnými orgánmi v rámci Únie, mala by sa Komisii udeliť právomoc
prijímať akty v súlade s článkom 290 Zmluvy o fungovaní Európskej únie.
Delegované akty by sa mali prijať najmä v súvislosti s oznámeniami o
porušení ochrany osobných údajov zasielaných dozorným orgánom. Je osobitne
dôležité, aby Komisia počas prípravných prác uskutočnila vhodné konzultácie, a
to aj na expertnej úrovni. Pri príprave a zostavovaní delegovaných aktov by
mala Komisia zabezpečiť súčasné, včasné a vhodné postúpenie príslušných
dokumentov Európskemu parlamentu a Rade. (67)
Na Komisiu by sa mali preniesť vykonávacie
právomoci, pokiaľ ide o dokumentáciu pripravovanú prevádzkovateľmi
a sprostredkovateľmi, bezpečnosť spracúvania predovšetkým
v súvislosti s normami šifrovania, oznamovanie porušenia ochrany
osobných údajov dozornému orgánu, a primeranú úroveň ochrany poskytovanú
treťou krajinou, resp. územím, alebo sektorom spracovania v predmetnej
tretej krajine alebo medzinárodnou organizáciou, s cieľom zabezpečiť
jednotné podmienky vykonávania tejto smernice. Tieto právomoci by sa mali
vykonávať v súlade s nariadením Európskeho parlamentu a Rady
(EÚ) č. 182/2011 zo 16. februára 2011, ktorým sa ustanovujú pravidlá a
všeobecné zásady mechanizmu, na základe ktorého členské štáty kontrolujú
vykonávanie vykonávacích právomocí Komisie[36]. (68)
Vzhľadom na to, že tieto akty majú všeobecnú
pôsobnosť, mal by sa na prijatie opatrení, pokiaľ ide o dokumentáciu
pripravovanú prevádzkovateľmi a sprostredkovateľmi, bezpečnosť spracúvania
predovšetkým v súvislosti s normami šifrovania, oznamovanie porušenia
ochrany osobných údajov dozornému orgánu, a primeranú úroveň ochrany
poskytovanú treťou krajinou, resp. územím, alebo sektorom spracovania
v predmetnej tretej krajine alebo medzinárodnou organizáciou, použiť
postup preskúmania. (69)
Ak je to z dôvodu naliehavosti nutné, Komisia
by mala bezodkladne prijať vykonávacie akty v tých riadne opodstatnených
prípadoch týkajúcich sa tretej krajiny, resp. územia, alebo sektoru spracovania
v predmetnej tretej krajine alebo medzinárodnej organizácie, ktoré
nezabezpečujú primeranú úroveň ochrany. (70)
Keďže ciele tejto smernice, a to najmä ochranu
základných práv a slobôd fyzických osôb a predovšetkým ich práva na ochranu
osobných údajov, ako aj zabezpečenie voľnej výmeny osobných údajov medzi
príslušnými orgánmi v rámci Únie, nemôžu uspokojivo dosiahnuť samotné členské
štáty a je preto možné z dôvodu rozsahu alebo účinkov týchto opatrení tieto
ciele lepšie dosiahnuť na úrovni Únie, môže Únia prijať opatrenia v súlade so zásadou
subsidiarity vymedzenou v článku 5 Zmluvy o Európskej únii. V súlade
so zásadou proporcionality podľa uvedeného článku táto smernica neprekračuje
rámec nevyhnutný na dosiahnutie tohto cieľa. (71)
Rámcové rozhodnutie 2008/977/SVV by sa malo touto
smernicou zrušiť. (72)
Osobitné ustanovenia so zreteľom na spracúvanie
osobných údajov príslušnými orgánmi na účely predchádzania trestným činom, ich
vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných
sankcií, ktoré sú obsiahnuté v aktoch Únie prijatých pred dátumom nadobudnutia
účinnosti tejto smernice a ktoré upravujú spracúvanie osobných údajov medzi
členskými štátmi alebo prístup určených orgánov členských štátov
do informačných systémov zriadených podľa zmlúv, zostávajú nedotknuté. S cieľom
posúdiť potrebu zosúladenia týchto špecifických ustanovení s touto
smernicou by Komisia mala zhodnotiť situáciu, pokiaľ ide o súvis tejto
smernice s aktmi prijatými pred dátumom nadobudnutia účinnosti tejto
smernice, ktoré upravujú spracúvanie osobných údajov medzi členskými štátmi a
prístup určených orgánov členských štátov do informačných systémov
zriadených podľa zmlúv. (73)
S cieľom zabezpečiť komplexnú a súdržnú
ochranu osobných údajov v Únii, by sa mali v súlade s touto smernicou
zmeniť a doplniť medzinárodné zmluvy uzatvorené členskými štátmi pred
nadobudnutím účinnosti tejto smernice. (74)
Touto smernicou nie sú dotknuté pravidlá týkajúce
sa boja proti sexuálnemu zneužívaniu a sexuálnemu vykorisťovaniu detí
a šíreniu detskej pornografie ustanovené v smernici Európskeho
parlamentu a Rady 2011/92/EÚ z 13. decembra 2011[37]. (75)
V súlade s článkom 6a Protokolu o postavení
Spojeného kráľovstva a Írska s ohľadom na priestor slobody, bezpečnosti a
spravodlivosti, ktorý je pripojený k Zmluve o Európskej únii a Zmluve o
fungovaní Európskej únie, Spojené kráľovstvo a Írsko nebude viazané
pravidlami stanovenými v tejto smernici, ak Spojené kráľovstvo alebo Írsko nie
je viazané pravidlami Únie, ktorými sa spravujú formy justičnej spolupráce
v trestných veciach alebo policajnej spolupráce, v rámci ktorých sa musia
dodržiavať ustanovenia na základe článku 16 Zmluvy o fungovaní Európskej únie.. (76)
V súlade s článkami 2 a 2a Protokolu
o postavení Dánska, ktorý je pripojený k Zmluve o Európskej únii a k Zmluve o
fungovaní Európskej únie, Dánsko nie je touto smernicou viazané ani nepodlieha
jej uplatňovaniu. Vzhľadom na to, že táto smernica predstavuje vývoj
schengenského acquis podľa ustanovení hlavy V tretej časti Zmluvy o
fungovaní Európskej únie, Dánsko v súlade s článkom 4 uvedeného protokolu do
šiestich mesiacov odo dňa prijatia tejto smernice rozhodne, či ju bude
transponovať do svojho vnútroštátneho práva. (77)
Pokiaľ ide o Island a Nórsko, táto smernica predstavuje
vývoj ustanovení schengenského acquis v zmysle Dohody uzatvorenej medzi
Radou Európskej únie a Islandskou republikou a Nórskym kráľovstvom o
pridružení týchto dvoch štátov pri vykonávaní, uplatňovaní a rozvoji
schengenského acquis[38].
(78)
Pokiaľ ide o Švajčiarsko, táto smernica predstavuje
vývoj ustanovení schengenského acquis v zmysle Dohody medzi Európskou
úniou, Európskym spoločenstvom a Švajčiarskou konfederáciou o pridružení
Švajčiarskej konfederácie k vykonávaniu, uplatňovaniu a vývoju schengenského acquis[39]. (79)
Pokiaľ ide o Lichtenštajnsko, táto smernica
predstavuje vývoj ustanovení schengenského acquis v zmysle Protokolu
medzi Európskou úniou, Európskym spoločenstvom, Švajčiarskou konfederáciou a
Lichtenštajnským kniežatstvom o pristúpení Lichtenštajnského kniežatstva k
Dohode medzi Európskou úniou, Európskym spoločenstvom a Švajčiarskou
konfederáciou o pridružení Švajčiarskej konfederácie k vykonávaniu,
uplatňovaniu a vývoju schengenského acquis[40]. (80)
Táto smernica rešpektuje základné práva
a dodržiava zásady uznané v Charte základných práv Európskej únie,
ako je to zakotvené v zmluve, najmä právo na rešpektovanie súkromného
a rodinného života, právo na ochranu osobných údajov, právo na účinný
prostriedok nápravy a na spravodlivý proces. Obmedzenia vzťahujúce sa na
tieto práva sú v súlade s článkom 52 ods. 1 charty, keďže
sú potrebné na splnenie cieľov všeobecného záujmu uznaných Úniou alebo potrebné
na ochranu práv a slobôd iných. (81)
V súlade so spoločným politickým vyhlásením
členských štátov a Komisie k vysvetľujúcim dokumentom z 28.
septembra 2011, sa členské štáty v odôvodnených prípadoch zaviazali
pripojiť k oznámeniu o ich opatreniach na transpozíciu jeden alebo
viacero dokumentov, v ktorých sa vysvetlí vzťah medzi príslušnými zložkami
smernice a zodpovedajúcimi časťami vnútroštátnych nástrojov transpozície.
Pokiaľ ide o túto smernicu zákonodarca považuje postúpenie takýchto dokumentov
za opodstatnené. (82)
Táto smernica by nemala členským štátom brániť
v tom, aby transponovali výkon práv dotknutých osôb na informácie,
prístup, opravu, výmaz a obmedzenie spracovania ich osobných údajov počas
trestného konania, ako aj prípadné obmedzenia týchto práv do vnútroštátnych
pravidiel týkajúcich sa trestného práva procesného, PRIJALI TÚTO SMERNICU: KAPITOLA I VŠEOBECNÉ USTANOVENIA Článok 1
Predmet úpravy a ciele 1. Touto smernicou sa stanovujú
pravidlá ochrany fyzických osôb so zreteľom na spracovanie osobných údajov
príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania,
odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií. 2. Členské štáty v súlade s
touto smernicou: a) chránia základné práva a slobody
fyzických osôb, najmä ich právo na ochranu osobných údajov, a b) zabezpečia, aby výmena osobných údajov
medzi príslušnými orgánmi v rámci Únie nebola obmedzená ani zakázaná
z dôvodov súvisiacich s ochranou fyzických osôb so zreteľom na spracovanie
osobných údajov. Článok 2
Rozsah pôsobnosti 1. Táto smernica sa vzťahuje na
spracúvanie osobných údajov príslušnými orgánmi na účely uvedené v článku
1 ods. 1. 2. Táto smernica sa vzťahuje na
spracúvanie osobných údajov vykonávané úplne alebo čiastočne automatizovanými
prostriedkami a na spracovanie inými než automatickými prostriedkami v prípade
osobných údajov, ktoré tvoria časť informačného systému alebo sú určené na
tvorbu časti informačného systému. 3. Táto smernica sa nevzťahuje
na spracovanie osobných údajov: a) v rámci činnosti, ktorá nepatrí do
pôsobnosti práva Únie, najmä ak sa týka národnej bezpečnosti; b) inštitúciami, orgánmi, úradmi a
agentúrami Únie. Článok 3
Vymedzenie pojmov Na účely tejto smernice sa uplatňujú tieto
vymedzenia pojmov: (1)
„dotknutá osoba“ je určená fyzická osoba alebo
fyzická osoba, ktorú možno určiť priamo alebo nepriamo, najmä odkazom na
identifikačné číslo, lokalizačné údaje, on-line identifikátor alebo odkazom na
jeden či viaceré prvky, ktoré tvoria fyzickú, fyziologickú, psychickú,
genetickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu tejto osoby
a to spôsobmi, o ktorých možno odôvodnene predpokladať, že ich
prevádzkovateľ alebo akákoľvek iná fyzická alebo právnická osoba používajú; (2)
„osobné údaje“ sú akékoľvek informácie, ktoré sa
týkajú dotknutej osoby; (3)
„spracúvanie osobných údajov“ znamená operáciu
alebo súbor operácií, ktorými sa osobné údaje spracúvajú automatizovanými alebo
neautomatizovanými prostriedkami, napríklad zhromažďovaním, zaznamenávaním,
usporadúvaním, štruktúrovaním, uchovávaním, prepracúvaním alebo zmenou,
vyhľadávaním, nahliadaním, využívaním, sprístupňovaním prenosom, šírením alebo
ich sprístupnením iným spôsobom, preskupovaním alebo kombinovaním, obmedzením,
vymazaním alebo likvidáciou; (4)
„obmedzenie spracúvania“ je označenie uchovávaných
osobných údajov s cieľom obmedziť ich spracovanie v budúcnosti; (5)
„informačný systém“ je akýkoľvek usporiadaný súbor
osobných údajov, ktoré sú prístupné podľa konkrétnych kritérií, bez ohľadu na
to, či ide o systém centralizovaný, decentralizovaný alebo distribuovaný na
funkčnom alebo geografickom základe; (6)
„prevádzkovateľ“ je príslušný verejný orgán, ktorý
sám alebo spoločne s inými určuje účel, podmienky a prostriedky spracúvania
osobných údajov; v prípade, že účely, podmienky a prostriedky spracovania
stanovujú právne predpisy Únie alebo právne predpisy členského štátu, možno
prevádzkovateľa alebo konkrétne kritériá pre jeho určenie navrhnúť na základe
práva Únie alebo práva členského štátu; (7)
„sprostredkovateľ“ je fyzická alebo právnická
osoba, verejný orgán, agentúra, alebo akýkoľvek iný subjekt, ktorý spracúva
osobné údaje v mene prevádzkovateľa; (8)
„príjemca“ je fyzická alebo právnická osoba,
verejný orgán, agentúra, alebo akýkoľvek iný subjekt, ktorému sa sprístupňujú
osobné údaje; (9)
„porušenie ochrany osobných údajov“ znamená
porušenie bezpečnosti, ktoré má za následok náhodnú alebo nelegálnu likvidáciu,
stratu, zmenu, neoprávnené zverejnenie alebo sprístupnenie osobných údajov,
ktoré sa prenášajú, ukladajú alebo inak spracúvajú; (10)
„genetické údaje“ sú všetky údaje akéhokoľvek
druhu, týkajúce sa dedičných znakov fyzickej osoby alebo jej znakov získaných
v období raného prenatálneho vývoja; (11)
„biometrické údaje“ sú akékoľvek údaje týkajúce sa
fyzických, fyziologických alebo behaviorálnych charakteristík fyzickej osoby,
ktoré umožňujú jej jednoznačnú identifikáciu, napríklad vyobrazenia tváre alebo
daktyloskopické údaje; (12)
„údaje týkajúce sa zdravia“ sú všetky informácie
týkajúce sa fyzického alebo duševného zdravia fyzickej osoby alebo poskytovania
zdravotníckych služieb fyzickej osobe; (13)
„dieťa“ je každá osoba mladšia ako 18 rokov; (14)
„príslušné orgány“ sú akékoľvek verejné orgány
príslušné na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania
alebo stíhania alebo na účely výkonu trestných sankcií. (15)
„dozorný orgán“ je verejný orgán zriadený členským
štátom v súlade s článkom 39. KAPITOLA II ZÁSADY Článok 4
Zásady spracúvania osobných údajov Členské štáty stanovia, že osobné údaje musia
byť: a) spracúvané spravodlivo a zákonne; b) zhromažďované na konkrétne určené,
explicitné a zákonné účely a nesmú sa ďalej spracúvať spôsobmi, ktoré nie sú
zlučiteľné s týmito účelmi; c) primerané, relevantné a úmerné vzhľadom
na účely, na ktoré sa spracúvajú; d) presné a v prípade potreby aktualizované;
musia sa podniknúť všetky primerané kroky, aby sa zabezpečilo, že sa osobné
údaje, ktoré sú nepresné z hľadiska účelov, na ktoré sa spracúvajú,
bezodkladne vymažú alebo opravia; e) udržiavané vo forme, ktorá umožňuje
identifikáciu dotknutých osôb najviac po dobu, ktorá je potrebná na účely,
na ktoré boli osobné údaje zhromaždené; f) spracúvané v rámci okruhu povinností a
zodpovednosti prevádzkovateľa, ktorý zabezpečí súlad s ustanoveniami prijatými
podľa tejto smernice. Článok 5
Rozlišovanie medzi rôznymi kategóriami dotknutých osôb 1. Členské štáty stanovia, že
prevádzkovateľ je v najväčšej možnej miere povinný jasne rozlišovať medzi
osobnými údajmi rôznych kategórií dotknutých osôb, ako sú napríklad: a) osoby, v prípade ktorých existujú vážne
dôvody domnievať sa, že spáchali alebo sa chystajú spáchať trestný čin; b) osoby odsúdené za spáchanie trestného
činu; c) obete trestného činu, alebo osoby, v
prípade ktorých sú na základe určitých skutočností dôvody domnievať sa, že sú
alebo by mohli byť obeťami trestného činu; d) tretie osoby v súvislosti s trestným
činom, ako sú napríklad osoby, ktoré môžu byť vyzvané, aby svedčili v rámci
vyšetrovania v súvislosti s trestnými činmi alebo v rámci následného trestného
konania, alebo osoby, ktoré môžu poskytnúť informácie o trestných činoch,
alebo kontaktné osoby či spoločníci niektorej z osôb uvedených v písmenách a) a
b), a e) osoby, ktoré nespadajú do žiadnej z
kategórií uvedených vyššie. Článok 6
Rozdielne stupne presnosti a spoľahlivosti osobných údajov 1. Členské štáty zabezpečia, aby sa v
najväčšej možnej miere rozlišovalo medzi rôznymi kategóriami spracúvaných osobných
údajov podľa stupňa ich presnosti a spoľahlivosti. 2. Členské štáty zabezpečia, aby sa v
najväčšej možnej miere rozlišovalo medzi osobnými údajmi založenými na faktoch
a osobnými údajmi založenými na osobných hodnoteniach. Článok 7
Zákonnosť spracovania Členské štáty stanovia, že spracovanie
osobných údajov je zákonné iba vtedy a do takej miery, ak je nevyhnutné na: (a)
plnenie úloh príslušného orgánu na základe zákona a
na účely stanovené v článku 1 ods. 1, alebo (b)
splnenie zákonnej povinnosti prevádzkovateľa, alebo (c)
ochranu zásadných záujmov dotknutej osoby či inej
osoby, alebo (d)
predídenie bezprostrednému a vážnemu ohrozeniu
verejnej bezpečnosti. Článok 8
Spracúvanie osobitných kategórií osobných údajov 1. Členské štáty zakážu
spracúvanie osobných údajov odhaľujúcich rasový alebo etnický pôvod, politické
názory, náboženstvo alebo vieru a členstvo v odboroch, ako aj spracúvanie
genetických údajov alebo údajov týkajúcich sa zdravia či sexuálneho života. 2. Odsek 1 sa neuplatňuje, ak: a) spracúvanie je povolené zákonom
stanovujúcim náležité záruky, alebo b) spracúvanie je nevyhnutné na ochranu
zásadných záujmov dotknutej osoby či inej osoby, alebo c) spracúvanie sa týka údajov, ktoré
preukázateľne zverejnila dotknutá osoba. Článok 9
Opatrenia založené na profilovaní a automatizovanom spracovaní 1. Členské štáty stanovia, že
opatrenia, ktoré majú pre dotknutú osobu nepriaznivé právne účinky alebo
významné dôsledky a ktoré sú založené výlučne na automatizovanom
spracúvaní osobných údajov na účely hodnotenia určitých osobných aspektov
týkajúcich sa tejto dotknutej osoby, sa zakazujú, ak nie sú povolené zákonom, v
ktorom sa zároveň stanovujú opatrenia na zabezpečenie oprávnených záujmov
dotknutej osoby. 2. Automatizované spracovanie
osobných údajov na účely hodnotenia určitých osobných aspektov týkajúcich sa
dotknutej osoby nesmie byť založené výlučne na osobitných kategóriách
osobných údajov uvedených v článku 8. KAPITOLA III PRÁVA DOTKNUTEJ OSOBY Článok 10
Modality výkonu práv dotknutej osoby 1. Členské štáty stanovia, že
prevádzkovateľ má povinnosť podniknúť všetky primerané kroky, aby mal
transparentné a ľahko dostupné pravidlá týkajúce sa spracovania osobných údajov
a uplatňovania práv dotknutých osôb. 2. Členské štáty stanovia, že
prevádzkovateľ poskytuje všetky informácie a uskutočňuje komunikáciu v
súvislosti so spracovaním osobných údajov vo vzťahu k dotknutej osobe v
zrozumiteľnej forme, pričom používa jasný a jednoduchý jazyk. 3. Členské štáty stanovia, že
prevádzkovateľ má povinnosť podniknúť všetky primerané kroky, aby zaviedol
postupy na poskytovanie informácií uvedených v článku 11 a na výkon
práv dotknutých osôb uvedených v článkoch 12 až 17. 4. Členské štáty stanovia, že
prevádzkovateľ má povinnosť informovať bez zbytočného odkladu dotknutú osobu o
krokoch, ktoré podnikol v nadväznosti na jej žiadosť. 5. Členské štáty stanovia, že
informácie, ktoré prevádzkovateľ na základe žiadosti uvedenej v odseku 3 a 4
poskytuje, ako aj akékoľvek opatrenia, ktoré na tomto základe prijíma, sú
bezplatné. Ak sú žiadosti neprimerané, a to najmä pre ich opakujúci sa
charakter, resp. pre rozsah či objem žiadosti, môže prevádzkovateľ
za poskytnutie informácií či vykonanie úkonu požadovať poplatok, resp.
môže odmietnuť vykonať požadovaný úkon. V takom prípade znáša prevádzkovateľ
bremeno preukázania neprimeraného charakteru žiadosti. Článok 11
Informovanie dotknutej osoby 1. Členské štáty zabezpečia, aby
v prípadoch, keď sa zhromažďujú osobné údaje týkajúce sa dotknutej osoby,
prevádzkovateľ prijal všetky príslušné opatrenia s cieľom poskytnúť
dotknutej osobe aspoň tieto informácie: a) totožnosť a kontaktné údaje
prevádzkovateľa a úradníka pre ochranu údajov; b) účely spracovania, na ktoré sú osobné
údaje určené; c) obdobie, počas ktorého sa osobné údaje
budú uchovávať; d) existencia práva žiadať od
prevádzkovateľa prístup k osobným údajom týkajúcim sa dotknutej osoby, ako aj
ich opravu, výmaz alebo obmedzenie ich spracúvania; e) právo podať sťažnosť dozornému orgánu
uvedenému v článku 39 a jeho kontaktné údaje; f) príjemcovia alebo kategórie príjemcov
osobných údajov, a to aj v tretích krajinách či medzinárodných organizáciách; g) akékoľvek ďalšie informácie, ak sú
potrebné, aby sa zaručilo spravodlivé spracovanie vo vzťahu k dotknutej
osobe, a to so zreteľom na špecifické okolnosti, za ktorých sa osobné
údaje spracúvajú. 2. Ak sa osobné údaje získavajú
od dotknutej osoby, prevádzkovateľ okrem informácií uvedených v odseku 1
informuje dotknutú osobu aj o tom, či poskytovanie osobných údajov je povinné
alebo dobrovoľné, ako aj o možných dôsledkoch neposkytnutia týchto údajov. 3. Prevádzkovateľ poskytne
informácie uvedené v odseku 1: a) v čase, keď sa tieto osobné údaje
získavajú od dotknutej osoby, alebo b) ak osobné údaje neboli získané od
dotknutej osoby v čase ich zaznamenania alebo v primeranej lehote po ich
zhromaždení, a to so zreteľom na špecifické okolnosti, za ktorých sa údaje
spracúvajú. 4. Členské štáty môžu prijať
právne opatrenia, ktorými sa odkladá, obmedzuje alebo vylučuje poskytovanie
informácií dotknutej osobe v takom rozsahu a tak dlho, ako toto čiastočné či
úplné obmedzenie s náležitým zreteľom na oprávnené záujmy príslušnej osoby
predstavuje nevyhnutné a primerané opatrenie v demokratickej spoločnosti s
cieľom zaručiť: (a)
aby sa neovplyvnilo úradné alebo súdne
vyšetrovanie alebo postup; (b)
aby sa zabránilo ovplyvňovaniu predchádzania
trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo výkonu
trestných sankcií; (c)
ochranu verejnej bezpečnosti; (d)
ochranu národnej bezpečnosti; (e)
ochranu práv a slobôd iných. 5. Členské štáty môžu stanoviť,
na ktoré kategórie spracúvania údajov sa môžu úplne alebo čiastočne vzťahovať
výnimky podľa odseku 4. Článok 12
Právo dotknutej osoby na prístup 1. Členské štáty stanovia, že
dotknutá osoba má právo získať od prevádzkovateľa potvrdenie o tom, či sa
spracúvajú jej osobné údaje. Ak sa takéto osobné údaje spracúvajú,
prevádzkovateľ poskytne tieto informácie: a) účely spracovania; b) kategórie dotknutých osobných údajov; c) príjemcovia alebo kategórie príjemcov,
ktorým osobné údaje boli sprístupnené, najmä príjemcovia v tretích krajinách; d) obdobie, počas ktorého sa osobné údaje
budú uchovávať; e) existencia práva žiadať od
prevádzkovateľa opravu osobných údajov týkajúcich dotknutej osoby, ich výmaz
alebo obmedzenie ich spracúvania; f) právo podať sťažnosť dozornému orgánu a
kontaktné údaje dozorného orgánu; g) informácia o osobných údajoch, ktoré sa
spracúvajú, a o akýchkoľvek dostupných informáciách pokiaľ ide o ich zdroj. 2. Členské štáty stanovia, že
dotknutá osoba má právo získať od prevádzkovateľa kópiu spracúvaných osobných
údajov. Článok 13
Obmedzenia práva na prístup 1.
Členské štáty môžu prijať právne opatrenia, ktorými
sa úplne alebo čiastočne obmedzuje právo dotknutej osoby na prístup v takom
rozsahu a tak dlho, ako toto čiastočné či úplné obmedzenie s náležitým zreteľom
na oprávnené záujmy príslušnej osoby predstavuje nevyhnutné a primerané
opatrenie v demokratickej spoločnosti s cieľom zaručiť: (a)
aby sa neovplyvnilo úradné alebo súdne vyšetrovanie
alebo postup; (b)
aby sa zabránilo ovplyvňovaniu predchádzania
trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo výkonu
trestných sankcií; (c)
ochranu verejnej bezpečnosti; (d)
ochranu národnej bezpečnosti; (e)
ochranu práv a slobôd iných. 2.
Členské štáty môžu zákonom stanoviť, na ktoré
kategórie spracúvania údajov sa môžu úplne alebo čiastočne vzťahovať výnimky
podľa odseku 1. 3.
Členské štáty v prípadoch uvedených v odseku 1 a 2
stanovia, že prevádzkovateľ písomne informuje dotknutú osobu o akomkoľvek
zamietnutí či obmedzení prístupu, dôvodoch zamietnutia a o možnostiach podania
sťažnosti dozornému orgánu a uplatnenia súdnych prostriedkov nápravy.
Informácie o skutkových alebo právnych dôvodoch, na ktorých sa rozhodnutie
zakladá, možno neuviesť, ak by poskytnutie takýchto informácií ohrozilo účel
uvedený v odseku 1. 4.
Členské štáty zabezpečia, aby prevádzkovateľ
zdokumentoval dôvody neuvedenia skutkových alebo právnych dôvodov, na ktorých
sa rozhodnutie zakladá. Článok 14
Modality výkonu práva na prístup 1. Členské štáty stanovia, že
dotknutá osoba má právo, a to najmä v prípadoch uvedených v článku 13, žiadať,
aby dozorný orgán preveril zákonnosť spracovania. 2. Členské štáty stanovia, že
prevádzkovateľ informuje dotknutú osobu o jej práve požadovať intervenciu
dozorného orgánu podľa odseku 1. 3. V prípade výkonu práva
uvedeného v odseku 1 dozorný orgán informuje dotknutú osobu prinajmenšom o tom,
že vykonal všetky potrebné overenia a o výsledku, pokiaľ ide o zákonnosť
predmetného spracovania. Článok 15
Právo na opravu 1. Členské štáty stanovia, že
dotknutá osoba má právo vymôcť od prevádzkovateľa opravu svojich osobných
údajov, ktoré sú nesprávne. Dotknutá osoba má právo vymôcť doplnenie svojich
neúplných osobných údajov, a to najmä prostredníctvom opravného vyhlásenia. 2. Členské štáty stanovia, že
prevádzkovateľ písomne informuje dotknutú osobu o akomkoľvek zamietnutí
opravy, dôvodoch zamietnutia a o možnostiach podania sťažnosti dozornému orgánu
a uplatnenia súdnych prostriedkov nápravy. Článok 16
Právo na výmaz 1.
Členské štáty stanovia, že dotknutá osoba má právo
vymôcť od prevádzkovateľa výmaz svojich osobných údajov, ak spracúvanie nie je
v súlade s ustanoveniami prijatými podľa článku 4 písm. a) až e) a článkov 7 a
8 tejto smernice. 2.
Prevádzkovateľ uskutoční výmaz bezodkladne. 3.
Namiesto výmazu prevádzkovateľ označí osobné údaje
v prípade, že: (f)
dotknutá osoba napadne ich presnosť, a to na dobu
umožňujúcu prevádzkovateľovi overiť presnosť údajov; (g)
osobné údaje musia zostať uchované na dôkazné
účely; (h)
dotknutá osoba namieta proti ich vymazaniu a žiada
namiesto toho obmedzenie ich použitia. 4.
Členské štáty stanovia, že prevádzkovateľ písomne
informuje dotknutú osobu o akomkoľvek zamietnutí výmazu či označenia
spracovania, dôvodoch zamietnutia a o možnostiach podania sťažnosti
dozornému orgánu a uplatnenia súdnych prostriedkov nápravy. Článok 17
Práva dotknutej osoby v rámci vyšetrovania trestných činov a trestného
konania Členské štáty môžu stanoviť, že práva na
informácie, prístup, opravu, výmaz alebo obmedzenie spracúvania v zmysle článkov
11 až 16 sa vykonávajú v súlade s vnútroštátnymi pravidlami súdneho konania, ak
ide o osobné údaje obsiahnuté v súdnych rozhodnutiach či záznamoch spracúvaných
v rámci vyšetrovania trestných činov a trestného konania. KAPITOLA IV
PREVÁDZKOVATEĽ A SPROSTREDKOVATEĽ ODDIEL 1
VŠEOBECNÉ POVINNOSTI Článok 18
Zodpovednosť prevádzkovateľa 1. Členské štáty stanovia, že
prevádzkovateľ prijme politiky a uplatňuje vhodné opatrenia s cieľom
zabezpečiť, aby sa spracúvanie osobných údajov vykonávalo v súlade s
ustanoveniami prijatými podľa tejto smernice. 2. K opatreniam uvedeným v
odseku 1 patria najmä: a) vedenie dokumentácie podľa článku 23; b) plnenie požiadaviek týkajúcich sa
konzultácie vopred podľa článku 26; c) plnenie požiadaviek bezpečnosti údajov
stanovených v článku 27; d) určenie úradníka pre ochranu údajov v
súlade s článkom 30. 3. Prevádzkovateľ zavedie
mechanizmy na overovanie účinnosti opatrení uvedených v odseku 1 tohto
článku. V odôvodnených prípadoch
vykonávajú toto overovanie nezávislí interní alebo externí audítori. Článok 19
Ochrana údajov špecificky navrhnutá a štandardne určená 1. Členské štáty stanovia, že so
zreteľom na najnovší stav techniky a náklady na implementáciu
prevádzkovateľ uplatní zodpovedajúce technické a organizačné opatrenia a postupy
tak, aby spracovanie spĺňalo požiadavky ustanovení prijatých podľa tejto
smernice a zabezpečilo ochranu práv dotknutej osoby. 2. Prevádzkovateľ zavedie
mechanizmy, ktorými sa štandardne zabezpečí, aby sa spracúvali iba tie osobné
údaje, ktoré sú potrebné na účely spracovania. Článok 20
Spoloční prevádzkovatelia Členské štáty stanovia, že ak prevádzkovateľ
stanovuje účely, podmienky a spôsob spracovania osobných údajov spoločne s
inými, spoloční prevádzkovatelia musia formou dohody medzi sebou stanoviť svoje
príslušné okruhy zodpovednosti za dodržiavanie ustanovení prijatých podľa tejto
smernice, najmä pokiaľ ide o postupy a mechanizmy na uplatnenie práv dotknutej
osoby. Článok 21
Sprostredkovateľ 5.
Členské štáty stanovia, že ak sa operácia spracúvania
uskutočňuje v mene prevádzkovateľa, prevádzkovateľ si musí zvoliť
sprostredkovateľa, ktorý poskytuje dostatočné záruky, že uplatní primerané
technické a organizačné opatrenia a postupy tak, aby spracovanie spĺňalo
požiadavky ustanovení prijatých podľa tejto smernice a zabezpečilo ochranu
práv dotknutej osoby. 6.
Členské štáty stanovia, že vykonávanie spracovania
sprostredkovateľom sa musí riadiť právnym aktom, ktorý zaväzuje
sprostredkovateľa voči prevádzkovateľovi a najmä stanovuje, že
sprostredkovateľ koná len na základe pokynov prevádzkovateľa, najmä
v prípade, keď je prenos osobných údajov zakázaný. 7.
Ak sprostredkovateľ spracúva iné osobné údaje než
sú údaje podľa pokynov prevádzkovateľa, sprostredkovateľ sa v súvislosti s
týmto spracovaním považuje za prevádzkovateľa a podlieha pravidlám o
spoločných prevádzkovateľoch stanoveným v článku 20. Článok 22
Spracovanie na základe právomoci prevádzkovateľa a sprostredkovateľa Členské štáty stanovia, že sprostredkovateľ a
akákoľvek iná osoba konajúca na základe právomoci prevádzkovateľa či
sprostredkovateľa, ktorá má prístup k osobným údajom, môže tieto údaje
spracovať len podľa pokynov prevádzkovateľa alebo len vtedy, keď to vyžadujú
právne predpisy Únie alebo členského štátu. Článok 23
Dokumentácia 1. Členské štáty stanovia, že
každý prevádzkovateľ a sprostredkovateľ musí viesť dokumentáciu všetkých
systémov a postupov spracúvania patriacich do rámca jeho zodpovednosti. 2. Dokumentácia obsahuje
prinajmenšom tieto informácie: a) meno a kontaktné údaje prevádzkovateľa
alebo prípadného spoločného prevádzkovateľa alebo sprostredkovateľa; b) účely spracovania; c) príjemcovia alebo kategórie príjemcov
osobných údajov; d) prenosy údajov do tretej krajiny alebo
medzinárodnej organizácii vrátane označenia predmetnej tretej krajiny alebo
medzinárodnej organizácie. 3. Prevádzkovateľ a
sprostredkovateľ na požiadanie sprístupnia dokumentáciu dozornému orgánu. Článok 24
Uchovávanie záznamov 1. Členské štáty zabezpečia, aby
sa uchovávali záznamy prinajmenšom o týchto operáciách spracúvania:
zhromažďovanie, zmena, nahliadanie, sprístupňovanie, kombinovanie alebo výmaz.
V záznamoch o nahliadaní a sprístupňovaní sa uvádza predovšetkým účel, dátum a
čas týchto operácií a v najväčšej možnej miere aj identifikačné údaje osoby, ktorá
do týchto osobných údajov nahliadala alebo ich sprístupňovala. 2. Záznamy sa využijú výlučne
len na účely overovania zákonnosti spracúvania údajov, vlastného monitorovania
a na zabezpečenie integrity a bezpečnosti údajov. Článok 25
Spolupráca s dozorným orgánom 1. Členské
štáty stanovia, že prevádzkovateľ a sprostredkovateľ na požiadanie spolupracujú
s dozorným orgánom pri výkone svojich povinností, a to najmä poskytovaním
všetkých informácií, ktoré dozorný orgán potrebuje na plnenie svojich
povinností. 2. V
reakcii na uplatnenie právomocí dozorného orgánu podľa článku 46 písm. a) a b)
prevádzkovateľ a sprostredkovateľ odpovedajú dozornému orgánu v primeranej
lehote. Odpoveď obsahuje aj opis prijatých opatrení a dosiahnuté výsledky ako
odpoveď na pripomienky dozorného orgánu. Článok 26
Konzultácie vopred s dozorným orgánom 8.
Členské štáty zabezpečia, aby prevádzkovateľ či
sprostredkovateľ uskutočnil konzultácie s dozorným orgánom pred spracúvaním
osobných údajov, ktoré budú tvoriť časť nového informačného systému, ktorý sa
vytvára, ak: a) sa majú spracúvať osobitné kategórie
údajov v zmysle článku 8; b) daný druh spracovania, najmä pokiaľ ide o
použitie nových technológií, mechanizmov či postupov, inak predstavuje osobitné
riziko pre základné práva a slobody dotknutých osôb, a to najmä pre ochranu ich
osobných údajov. 9.
Členské štáty môžu stanoviť, že dozorný orgán
vypracuje zoznam operácií spracúvania, ktoré podliehajú povinnosti uskutočniť
konzultácie vopred podľa odseku 1. ODDIEL 2
BEZPEČNOSŤ ÚDAJOV Článok 27
Bezpečnosť spracúvania 1. Členské
štáty stanovia, že prevádzkovateľ a sprostredkovateľ uplatnia primerané
technické a organizačné opatrenia, aby zabezpečili úroveň bezpečnosti primeranú
rizikám, ktoré predstavuje spracovanie a povaha údajov, ktoré sa majú chrániť,
a to so zreteľom na najnovší stav techniky a náklady na ich zavedenie. 2. Pokiaľ
ide o automatizované spracovanie osobných údajov, každý členský štát stanoví,
že prevádzkovateľ či sprostredkovateľ na základe vyhodnotenia rizík uplatní
opatrenia na: (i)
zabránenie neoprávnenému prístupu k zariadeniam na
spracúvanie údajov, ktoré sa používajú na spracúvanie osobných údajov (kontrola
prístupu k zariadeniam); (j)
zabránenie neoprávnenému čítaniu, kopírovaniu,
pozmeňovaniu či odstráneniu nosičov údajov (kontrola nosičov údajov); (k)
zabránenie neoprávnenému vkladaniu údajov, ako aj
neoprávnenému prezeraniu, pozmeňovaniu či vymazávaniu uchovávaných osobných
údajov (kontrola uloženia); (l)
zabránenie používaniu automatizovaných systémov na
spracúvanie údajov neoprávnenými osobami pomocou zariadenia na prenos údajov
(kontrola užívateľov); (m)
zabezpečenie, aby osoby oprávnené na používanie
automatizovaného systému na spracovanie údajov mali prístup iba k tým údajom,
na ktoré sa vzťahuje poskytnuté oprávnenie na prístup (kontrola prístupu k
údajom); (n)
zabezpečenie, aby sa dalo overiť a zistiť, ktorým
subjektom boli či môžu byť prenášané alebo sprístupňované osobné údaje
prostredníctvom zariadenia na prenos údajov (kontrola prenosu údajov); (o)
zabezpečenie, aby sa následne dalo overiť a zistiť,
ktoré osobné údaje boli vložené do automatizovaného systému na spracúvanie
údajov, kedy a kým (kontrola vkladania údajov); (p)
zabránenie, aby pri prenosoch osobných údajov či
pri preprave nosičov údajov nedošlo k neoprávnenému čítaniu, kopírovaniu,
pozmeňovaniu či vymazávaniu osobných údajov (kontrola prepravy); (q)
zabezpečenie, aby v prípade prerušenia bola možná
obnova inštalovaných systémov (obnova); (r)
zabezpečenie, aby funkcie systému pracovali, aby sa
výskyt chýb v jeho funkciách okamžite hlásil (spoľahlivosť) a aby uchovávané
osobné údaje nemohli byť poškodené v dôsledku chybného fungovania systému
(integrita). 3. Komisia
môže v prípade potreby prijať vykonávacie akty na bližšie určenie požiadaviek
stanovených v odsekoch 1 a 2 v súvislosti s rôznymi situáciami, a to najmä
pokiaľ ide o normy šifrovania. Tieto vykonávacie akty sa prijmú v súlade
s postupom preskúmania uvedeným v článku 57 ods. 2. Článok 28
Oznámenie o porušení ochrany osobných údajov
dozornému orgánu 1. Členské štáty stanovia, že
v prípade, že dôjde k narušeniu ochrany osobných údajov, prevádzkovateľ
bez zbytočného odkladu a podľa možnosti najneskôr do 24 hodín po tom, čo
sa o tejto skutočnosti dozvedel, oznámi porušenie ochrany osobných údajov
dozornému orgánu. Ak toto oznámenie nebolo predložené do 24 hodín,
prevádzkovateľ na požiadanie poskytne dozornému orgánu náležité zdôvodnenie. 2. Sprostredkovateľ upozorní a
informuje prevádzkovateľa ihneď po zistení porušenia ochrany osobných údajov. 3. Oznámenie uvedené v odseku 1
musí obsahovať prinajmenšom: a) opis charakteru porušenia ochrany
osobných údajov vrátane kategórií a počtu dotknutých osôb a kategórie a
počet dotknutých údajových záznamov; b) údaje totožnosti a kontaktné údaje
úradníka pre ochranu údajov uvedeného v článku 30 alebo iné kontaktné
miesto, kde možno získať viac informácií; c) odporúčané opatrenia na zmiernenie
potenciálnych nepriaznivých účinkov porušenia ochrany osobných údajov; d) opis potenciálnych dôsledkov porušenia
ochrany osobných údajov; e) opis opatrení navrhovaných alebo
prijatých prevádzkovateľom s cieľom vyriešiť porušenie ochrany osobných údajov. 4. Členské štáty stanovia, že
prevádzkovateľ zdokumentuje každý prípad porušenia ochrany osobných údajov,
pričom uvedie všetky skutočnosti spojené s predmetným porušením jeho následky a
prijaté opatrenia na nápravu. Táto dokumentácia musí umožniť dozorným orgánom
overiť súlad s týmto článkom. Dokumentácia obsahuje len informácie, ktoré sú na
tento účel potrebné. 5. Komisia je splnomocnená
prijať delegované akty v súlade s článkom 56 s cieľom bližšie určiť kritériá a
požiadavky na konštatovanie skutočnosti porušenia ochrany údajov v zmysle
odsekov 1 a 2, ako aj osobitné okolnosti, za ktorých sa od prevádzkovateľa
a sprostredkovateľa vyžaduje, aby oznámili porušenie ochrany osobných údajov. 6. Komisia môže stanoviť
štandardný formát takéhoto oznámenia dozornému orgánu, postupy týkajúce sa
oznamovacej povinnosti a formu a spôsoby dokumentácie uvedenej v odseku 4
vrátane lehôt na výmaz informácií, ktoré sú v nej obsiahnuté. Tieto vykonávacie
akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 57
ods. 2. Článok 29
Informovanie dotknutej osoby o porušení
ochrany osobných údajov 1. Členské štáty stanovia, že ak
je pravdepodobné, že porušenie ochrany osobných údajov bude mať nepriaznivý
vplyv na ochranu osobných údajov a súkromie dotknutej osoby, prevádzkovateľ
musí okrem oznámenia uvedeného v článku 28 informovať o porušení osobných
údajov bez zbytočného odkladu aj dotknutú osobu. 2. Informácia pre dotknutú osobu
uvedená v odseku 1 musí obsahovať opis charakteru porušenia ochrany osobných
údajov a prinajmenšom informácie a odporúčania uvedené v článku 28 ods. 3 písm.
b) a c). 3. Informovanie dotknutej osoby
o porušení ochrany osobných údajov sa nevyžaduje, ak prevádzkovateľ preukáže k
spokojnosti dozorného orgánu, že vykonal primerané technické ochranné opatrenia
a že tieto opatrenia uplatnil na osobné údaje, ktorých ochrana bola porušená.
Použitím takýchto opatrení technickej ochrany sa údaje stanú nečitateľnými pre
všetky osoby, ktoré nie sú oprávnené na prístup k nim. 4. Poskytovanie informácií
dotknutej osobe sa môže odložiť, obmedziť alebo vylúčiť z dôvodov
uvedených v článku 11 ods. 4. ODDIEL 3
ÚRADNÍK PRE OCHRANU ÚDAJOV Článok 30
Určenie úradníka pre ochranu údajov 10.
Členské štáty stanovia, že prevádzkovateľ alebo
sprostredkovateľ určia úradníka pre ochranu údajov. 11.
Úradník pre ochranu údajov sa určí na základe
odborných kvalít, a to najmä na základe odborných znalostí práva a praxe v
oblasti ochrany údajov a na základe schopností plniť úlohy uvedené v článku 32.
12.
Úradníka pre ochranu údajov je možné určiť pre
niekoľko subjektov, pri zohľadnení organizačnej štruktúry príslušného orgánu. Článok 31
Postavenie úradníka pre ochranu údajov 13.
Členské štáty stanovia, že prevádzkovateľ alebo
sprostredkovateľ je povinný zabezpečiť, aby bol úradník pre ochranu údajov
riadnym spôsobom a včas zapojený vo všetkých otázok, ktoré súvisia s ochranou
osobných údajov. 14.
Prevádzkovateľ alebo sprostredkovateľ zabezpečia,
aby sa úradníkovi pre ochranu údajov poskytli prostriedky potrebné na účinné a
nezávislé plnenie jeho povinností a úloh uvedených v článku 32 a aby tento
úradník v súvislosti s výkonom svojej funkcie nedostával žiadne pokyny. Článok 32
Úlohy úradníka pre ochranu údajov Členské štáty stanovia, že prevádzkovateľ
alebo sprostredkovateľ je povinný zveriť úradníkovi pre ochranu údajov
prinajmenšom tieto úlohy: (e)
poskytovanie informácií a poradenstva
prevádzkovateľovi alebo sprostredkovateľovi, pokiaľ ide o ich povinnosti, a to
v súlade s ustanoveniami prijatými podľa tejto smernice, ako aj dokumentácia
tejto činnosti a reakcií, ktoré dostal; (f)
monitorovanie vykonávania a uplatňovania politík v
súvislosti s ochranou osobných údajov vrátane rozdelenia povinností, odbornej prípravy
zamestnancov zapojených do operácií spracúvania a súvisiacich auditov; (g)
monitorovanie vykonávania a uplatňovania ustanovení
prijatých podľa tejto smernice, a to najmä pokiaľ ide o požiadavky súvisiace so
špecificky navrhnutou ochranou údajov, štandardne určenou ochranou údajov,
bezpečnosťou údajov, informovaním dotknutých osôb a s ich žiadosťami, ktorými
vykonávajú svoje práva vyplývajúce z ustanovení prijatých podľa tejto
smernice; (h)
zabezpečenie vedenia dokumentácie podľa článku 23; (i)
monitorovanie dokumentácie porušení ochrany
osobných údajov, ich oznamovania a informovania o nich v zmysle článkov 28
a 29; (j)
monitorovanie žiadosti o konzultáciu s dozorným
orgánom vopred, ak sa vyžaduje podľa článku 26; (k)
monitorovanie odpovedí na žiadosti dozorného orgánu
a spolupráca, a to v rámci rozsahu právomocí úradníka pre ochranu údajov, s
dozorným orgánom na jeho žiadosť či na základe jeho podnetu; h) plnenie úlohy kontaktného miesta pre
dozorný orgán v súvislosti s otázkami týkajúcimi sa spracovania a uskutočňovanie
konzultácií s dozorným orgánom, podľa potreby aj na základe vlastného podnetu
úradníka pre ochranu údajov. KAPITOLA V
PRENOS OSOBNÝCH ÚDAJOV DO TRETÍCH KRAJÍN ALEBO MEDZINÁRODNÝM ORGANIZÁCIÁM Článok 33
Všeobecné zásady prenosu osobných údajov Členské štáty stanovia, že príslušné orgány
môžu uskutočniť prenos spracúvaných osobných údajov alebo osobných údajov
určených na spracovanie po prenose do tretej krajiny alebo medzinárodnej
organizácii vrátane ďalšieho prenosu osobných údajov do inej tretej krajiny či
inej medzinárodnej organizácii, len ak: a) prenos je nevyhnutný na predchádzanie
trestným činom, ich vyšetrovanie, odhaľovanie či stíhanie alebo na výkon
trestných sankcií, a b) prevádzkovateľ a sprostredkovateľ spĺňajú
podmienky stanovené v tejto kapitole. Článok 34
Prenos na základe rozhodnutia o primeranosti 1. Členské štáty stanovia, že
prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii sa
môže uskutočniť, ak Komisia rozhodla v súlade s článkom 41 nariadenia
(EÚ) č. ..../2012, resp. v súlade s odsekom 3 tohto článku, že predmetná tretia
krajina, resp. územie alebo sektor spracovania v tejto tretej krajine, alebo
medzinárodná organizácia zaručujú primeranú úroveň ochrany. Na takýto
prenos nie je nutné žiadne ďalšie povolenie. 2. V prípade, že niet
rozhodnutia prijatého v súlade s článkom 41 nariadenia (EÚ) č. ..../2012,
Komisia posúdi primeranosť úrovne ochrany, pričom zváži tieto prvky: a) zásady právneho štátu, príslušné platné
právne predpisy, a to všeobecné aj odvetvové, vrátane tých, ktoré sa týkajú
verejnej bezpečnosti, obrany, národnej bezpečnosti a trestného práva, ako aj
bezpečnostné opatrenia, ktoré sa v tejto krajine alebo medzinárodnej
organizácii dodržiavajú; takisto sa zohľadnia účinné a vynútiteľné práva
vrátane práv dotknutých osôb na účinnú administratívnu a súdnu nápravu, a
to predovšetkým pre tie dotknuté osoby s pobytom v Únii, ktorých osobné
údaje sa prenášajú; b) existencia a účinné pôsobenie jedného či
viacerých nezávislých dozorných orgánov v predmetnej tretej krajine či
medzinárodnej organizácii, ktoré sú zodpovedné za zabezpečenie súladu s
pravidlami ochrany údajov, poskytovanie pomoci a poradenstva dotknutým
osobám pri výkone ich práv a za spoluprácu s dozornými orgánmi Únie a
členských štátov, a c) medzinárodné záväzky, ktorými je
predmetná tretia krajina či medzinárodná organizácia viazaná. 3. Komisia môže v rámci rozsahu
pôsobnosti tejto smernice rozhodnúť, že tretia krajina, resp. územie alebo
sektor spracovania v tejto tretej krajine, alebo medzinárodná organizácia
zaručuje primeranú úroveň ochrany zmysle odseku 2. Tieto vykonávacie akty sa
prijmú v súlade s postupom preskúmania uvedeným v článku 57 ods. 2. 4. Vo vykonávacom akte sa uvedie
jeho geografický a sektorový rozsah pôsobnosti a v príslušných
prípadoch aj dozorný orgán podľa odseku 2 písm. b). 5. Komisia môže v rámci rozsahu
pôsobnosti tejto smernice rozhodnúť, že tretia krajina, resp. územie alebo
sektor spracovania v tejto tretej krajine, alebo medzinárodná organizácia
nezaručuje primeranú úroveň ochrany zmysle odseku 2, a to najmä v
prípadoch, keď príslušné platné právne predpisy v tejto krajine alebo
medzinárodnej organizácii, a to všeobecné aj odvetvové, nezaručujú účinné
a vynútiteľné práva vrátane práv dotknutých osôb na účinnú administratívnu
a súdnu nápravu, a to predovšetkým pre tie dotknuté osoby, ktorých osobné údaje
sa prenášajú. Tieto vykonávacie akty sa prijmú v súlade s postupom preskúmania
uvedeným v článku 57 ods. 2, resp. v prípadoch, keď je to pre fyzické osoby
mimoriadne naliehavé v súvislosti s ich právom na ochranu osobných údajov,
v súlade s postupom uvedeným v článku 57 ods. 3. 6. Členské štáty zabezpečia, aby
bol v prípade, že Komisia rozhodla v súlade s odsekom 5, zakázaný
akýkoľvek prenos osobných údajov do predmetnej tretej krajiny, resp. na územie
alebo do sektora spracovania v tejto tretej krajine, alebo medzinárodnej
organizácii; týmto rozhodnutím nie sú dotknuté prenosy podľa článku 35 ods. 1
alebo v súlade s článkom 36. Komisia vo vhodnom čase začne konzultácie s treťou
krajinou alebo medzinárodnou organizáciou s cieľom nápravy stavu vzniknutého v
dôsledku prijatia rozhodnutia podľa odseku 5 tohto článku. 7. Komisia uverejnení v Úradnom
vestníku Európskej únie zoznam tých tretích krajín, území a sektorov spracovania
v tretích krajinách alebo medzinárodných organizáciách, v prípade ktorých
rozhodla, že je, alebo nie je zaručená primeraná úroveň ochrany. 8. Komisia bude monitorovať
uplatňovanie vykonávacích aktov uvedených v odsekoch 3 a 5. Článok 35
Prenos na základe náležitých záruk 1. Členské štáty stanovia, že ak
Komisia neprijala žiadne rozhodnutie podľa článku 34, prenos osobných údajov
príjemcovi v tretej krajine alebo medzinárodnej organizácii sa môže uskutočniť,
ak: a) sú v príslušných prípadoch v právne
záväznom nástroji uvedené náležité záruky, alebo b) prevádzkovateľ či sprostredkovateľ
uskutočnil posúdenie všetkých okolností prenosu osobných údajov a dospel k
záveru, že existujú náležité záruky, pokiaľ ide o ochranu osobných údajov. 1. Rozhodnutie o prenosoch podľa
odseku 1 písm. b) prijímajú zamestnanci, ktorí na to boli riadne poverení.
Tieto prenosy musia byť zdokumentované a táto dokumentácia sa musí dozornému
orgánu sprístupniť na požiadanie. Článok 36
Odchýlky Odchylne od
článkov 34 a 35 členské štáty stanovia, že prenos osobných údajov do tretej
krajiny alebo medzinárodnej organizácii sa môže uskutočniť, len ak: a) prenos je nevyhnutný na ochranu zásadných
záujmov dotknutej osoby či inej osoby, alebo b) prenos je nevyhnutný na zabezpečenie
oprávnených záujmov dotknutej osoby, ak sa tak ustanovuje v právnych predpisoch
členského štátu prenášajúceho osobné údaje, alebo c) prenos údajov je nevyhnutný na to, aby sa
predišlo bezprostrednému a vážnemu ohrozeniu verejnej bezpečnosti
členského štátu alebo tretej krajiny, alebo d) prenos je v jednotlivých prípadoch
nevyhnutný na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania
či stíhania alebo výkonu trestných sankcií, alebo e) prenos je v jednotlivých prípadoch
nevyhnutný na stanovenie, uplatňovanie alebo obranu právnych nárokov
súvisiacich s predchádzaním trestným činom, ich vyšetrovaním, odhaľovaním či
stíhaním alebo výkonom trestných sankcií. Článok 37
Osobitné podmienky prenosu osobných údajov Členské štáty stanovia, že prevádzkovateľ je
povinný informovať príjemcu osobných údajov o akýchkoľvek obmedzeniach
spracovania a podniknúť všetky primerané kroky s cieľom zabezpečiť, aby tieto
obmedzenia boli dodržané. Článok 38
Medzinárodná spolupráca na účely ochrany osobných údajov 1. V súvislosti s tretími
krajinami a medzinárodnými organizáciami Komisia a členské štáty podniknú
náležité kroky s cieľom: (a)
vytvoriť účinné mechanizmy medzinárodnej spolupráce
na uľahčenie presadzovania právnych predpisov o ochrane osobných údajov; (b)
poskytnúť vzájomnú medzinárodnú pomoc pri
presadzovaní právnych predpisov na ochranu osobných údajov, a to aj
prostredníctvom notifikácií, postúpenia sťažností, pomoci pri vyšetrovaní a
výmeny informácií, pričom sa uplatnia náležité záruky na ochranu osobných údajov
a ďalšie základné práva a slobody; (c)
zapojiť príslušné zainteresované strany do diskusie
a aktivít zameraných na prehĺbenie medzinárodnej spolupráce v oblasti
presadzovania právnych predpisov na ochranu osobných údajov; (d)
podporovať výmenu a dokumentáciu v oblasti právnych
predpisov na ochranu osobných údajov a praxe v tejto sfére. 2. Komisia podnikne na účely
odseku 1 náležité kroky s cieľom rozvoja vzťahov s tretími krajinami alebo
medzinárodnými organizáciami, a to najmä s ich dozornými orgánmi, ak dospeje k
záveru, že zaručujú primeranú úroveň ochrany v zmysle článku 34 ods. 3. KAPITOLA VI
NEZÁVISLÉ DOZORNÉ ORGÁNY ODDIEL 1
NEZÁVISLÉ POSTAVENIE Článok 39
Dozorný orgán 15.
Každý členský štát stanoví, že jeden alebo viaceré
verejné orgány sú zodpovedné za monitorovanie uplatňovania ustanovení
prijatých podľa tejto smernice a za prispievanie k jej súdržnému
uplatňovaniu v rámci Únie, a to s cieľom chrániť základné práva a slobody
fyzických osôb v súvislosti so spracovaním ich osobných údajov a uľahčiť voľný
tok osobných údajov v rámci Únie. Na tento účel dozorné orgány spolupracujú, a
to vzájomne, ako aj s Komisiou. 16.
Členské štáty môžu stanoviť, že dozorný orgán,
ktorý v nich bol zriadený na základe nariadenia (EÚ) č. ..../2012, je
zodpovedný za úlohy dozorného orgánu, ktorý sa má zriadiť podľa odseku 1 tohto
článku. 17.
V prípade, že je v členskom štáte zriadený viac než
jeden dozorný orgán, členský štát určí, ktorý z nich plní funkcie jediného
kontaktného miesta v záujme účinnej účasti týchto orgánov v Európskom výbore
pre ochranu údajov. Článok 40
Nezávislosť 1. Členské štáty zabezpečia, aby
dozorný orgán konal pri plnení svojich povinností a výkone zverených
právomocí úplne nezávisle. 2. Každý členský štát zabezpečí,
aby členovia dozorného orgánu pri plnení svojich povinností od nikoho nežiadali
ani neprijímali pokyny. 3. Členovia dozorného orgánu sa
zdržia akéhokoľvek konania nezlučiteľného s ich povinnosťami a počas svojho
funkčného obdobia nevykonávajú žiadnu nezlučiteľnú platenú ani neplatenú
pracovnú činnosť. 4. Členovia dozorného orgánu sa
po uplynutí svojho funkčného obdobia správajú pri prijímaní funkcií alebo
výhod čestne a rozvážne. 5. Každý členský štát zabezpečí,
aby sa dozornému orgánu poskytli primerané ľudské, technické a finančné zdroje,
priestory a infraštruktúra, ktoré sú potrebné na účinné plnenie povinností a
vykonávanie právomocí vrátane tých, ktoré sa majú plniť a vykonávať v
súvislosti so vzájomnou pomocou, spoluprácou a aktívnou účasťou
v Európskom výbore pre ochranu údajov. 6 Každý členský štát zabezpečí,
aby dozorný orgán musel mať svojich vlastných zamestnancov, ktorí budú
ustanovení do svojich pozícií vedúcim dozorného orgánu a ktorí budú
podliehať jeho pokynom. 7. Členské štáty zabezpečia, aby
dozorný orgán podliehal finančnej kontrole, ktorá neovplyvní jeho nezávislosť.
Členské štáty zabezpečia, aby mali dozorné orgány samostatné ročné rozpočty.
Tieto rozpočty sa zverejnia. Článok 41
Všeobecné podmienky členstva v dozorných orgánoch 1. Členské štáty stanovia, že
členov dozorného orgánu ustanovuje buď parlament alebo vláda príslušného
členského štátu. 2. Členovia sa musia vybrať
spomedzi osôb, v prípade ktorých niet pochybností o ich nezávislosti a ktoré
majú preukázané skúsenosti a zručnosti potrebné na plnenie svojich povinností. 3. Povinnosti člena zanikajú
uplynutím funkčného obdobia, vzdaním sa funkcie alebo jeho odvolaním v súlade s
odsekom 5. 4. Člena možno odvolať alebo
pozbaviť jeho práva na dôchodok či iných dávok namiesto dôchodku rozhodnutím
príslušného vnútroštátneho súdu, ak tento člen prestal spĺňať podmienky
požadované na výkon svojich služobných povinností, resp. ak sa dopustil
závažného pochybenia. 5. V prípade uplynutia funkčného
obdobia alebo vzdania sa funkcie si člen plní svoje povinnosti, až kým nie je
ustanovený nový člen. Článok 42
Pravidlá zriaďovania dozorného orgánu Každý členský štát prostredníctvom zákona
stanoví: a) zriadenie dozorného orgánu a jeho
postavenie v súlade s článkami 39 a 40; b) kvalifikáciu, skúsenosti a
zručnosti, ktoré sa požadujú na plnenie povinností člena dozorného orgánu; c) pravidlá a postupy ustanovovania
členov dozorného orgánu, ako aj pravidlá, ktoré upravujú, aké konania či
pracovné činnosti sú nezlučiteľné so služobnými povinnosťami týchto členov; d) funkčné obdobie členov dozorného orgánu,
ktoré nesmie byť menej než štyri roky, a to s výnimkou prvého
ustanovenia po nadobudnutí účinnosti tejto smernice, ktoré môže mať kratšie
trvanie; e) či členov dozorného orgánu možno
ustanoviť do tejto funkcie opätovne; f) predpisy a spoločné podmienky
upravujúce povinnosti členov a zamestnancov dozorného orgánu; g) pravidlá a postupy pri ukončení
plnenia povinností člena dozorného orgánu, a to aj pre prípady, keď členovia
prestali spĺňať podmienky požadované na výkon svojich povinností alebo sa dopustili
závažného pochybenia. Článok 43
Služobné tajomstvo Členské štáty stanovia, že členovia a
zamestnanci dozorného orgánu podliehajú počas funkčného obdobia či zamestnania,
ako aj po ich uplynutí, povinnosti zachovávať služobné tajomstvo, pokiaľ ide o
dôverné informácie, o ktorých sa dozvedeli pri plnení svojich služobných
povinností. ODDIEL 2
POVINNOSTI A PRÁVOMOCI Článok 44
Pôsobnosť 1. Členské štáty stanovia, že
každý dozorný orgán vykonáva na území svojho členského štátu právomoci, ktoré
mu boli zverené v súlade s touto smernicou. 2. Členské štáty stanovia, že
dozorný orgán nemá právomoc dohliadať na operácie spracúvania na súdoch, keď
tieto plnia svoje súdne funkcie. Článok 45
Úlohy 1. Členské štáty stanovia, že
dozorný orgán: (e)
monitoruje a zabezpečuje uplatňovanie ustanovení
prijatých podľa tejto smernice a jej vykonávacích opatrení; (f)
prejednáva sťažnosti, ktoré podala akákoľvek
dotknutá osoba, resp. združenie zastupujúce dotknutú osobu a ňou riadne
splnomocnené v súlade s článkom 50, v náležitom rozsahu vyšetruje predmetnú
záležitosť, informuje dotknutú osobu či združenie o pokroku a výsledkoch
sťažnosti, pričom tak koná v primeranej lehote, a to najmä v tých prípadoch,
keď je nutné ďalšie vyšetrovanie alebo koordinácia s iným dozorným
orgánom; (g)
preveruje zákonnosť spracovania údajov podľa článku
14 a informuje dotknutú osobu v primeranej lehote o výsledku tohto preverenia,
resp. o dôvodoch, pre ktoré k prevereniu nedošlo; (h)
poskytuje si ostatnými dozornými orgánmi vzájomnú
pomoc a zabezpečuje súdržnosť uplatňovania a presadzovania ustanovení
prijatých podľa tejto smernice; (i)
na vlastný podnet, na základe sťažnosti alebo na
žiadosť iného dozorného orgánu uskutočňuje vyšetrovania a v primeranej lehote
informuje príslušnú dotknutú osobu, ak podala sťažnosť, o výsledku tohto
vyšetrovania; (j)
monitoruje príslušný vývoj, pokiaľ má dosah na
ochranu osobných údajov, a to najmä vývoj informačných a komunikačných
technológií; (k)
oslovujú inštitúcie a subjekty členského štátu s
cieľom konzultovať právne a administratívne opatrenia súvisiace s ochranou
práv a slobôd fyzických osôb týkajúcich sa spracovania osobných údajov, (l)
sa oslovuje s cieľom konzultovať operácie
spracúvania podľa článku 26; (m)
sa zúčastňuje na činnosti Európskeho výboru pre
ochranu údajov. 2. Každý dozorný orgán podporuje
zvyšovanie verejnej informovanosti o rizikách, pravidlách, zárukách a právach v
súvislosti so spracovaním osobných údajov. Osobitná pozornosť sa má venovať
najmä činnostiam špecificky zameraným na deti. 3. Dozorný orgán poskytne na požiadanie
poradenstvo ktorejkoľvek dotknutej osobe v súvislosti s výkonom jej práv
vymedzených v ustanoveniach prijatých podľa tejto smernice, pričom v prípade
potreby na tento účel spolupracuje s dozornými orgánmi v iných členských
štátoch. 4. Na účely podávania sťažností
uvedených v odseku 1 písm. b) dozorný orgán poskytne formulár, ktorý možno
vyplniť elektronicky, bez toho, aby boli vylúčené iné prostriedky komunikácie. 5. Členské štáty ustanovia, že
plnenie úloh dozorného orgánu bude pre dotknutú osobu bezplatné. 6. V prípade, že žiadosti sú
neprimerané, a to najmä pre ich opakujúci sa charakter, môže dozorný orgán
požadovať poplatok, resp. môže odmietnuť vykonať úkon požadovaný dotknutou
osobou. Bremeno preukázania neprimeraného charakteru žiadosti znáša dozorný
orgán. Článok 46
Právomoci Členské štáty stanovia, že každý dozorný orgán
musí mať predovšetkým tieto právomoci: a) vyšetrovacie právomoci, ako je právo
prístupu k údajom tvoriacim predmet operácií spracúvania a právo zhromažďovať
všetky informácie potrebné na plnenie jeho dozorných povinností; b) účinné právomoci intervencie, ako
napríklad vydávanie stanovísk pred uskutočnením spracúvania a zabezpečovanie
primeraného uverejnenia týchto stanovísk, nariadenie obmedzenia, výmazu alebo
likvidácie údajov, ukladanie dočasného alebo trvalého zákazu spracúvania,
upozorňovanie prevádzkovateľa alebo jeho napomínanie, resp. predkladanie
predmetnej záležitosti národným parlamentom alebo iným politickým inštitúciám; c) právomoc zúčastniť sa na súdnych konaniach
v prípade, že došlo k porušeniu ustanovení prijatých podľa tejto smernice,
resp. upozorniť súdne orgány na takéto porušenie. Článok 47
Správa o činnosti Členské štáty stanovia, že každý dozorný orgán
vypracúva ročnú správu o svojej činnosti. Správa sa sprístupní Komisii
a Európskemu výboru pre ochranu údajov. KAPITOLA VII
SPOLUPRÁCA Článok 48
Vzájomná pomoc 1. Členské štáty stanovia, že
dozorné orgány si poskytujú vzájomnú pomoc v záujme súdržného vykonávania a
uplatňovania ustanovení prijatých podľa tejto smernice a zavedú opatrenia
na účinnú vzájomnú spoluprácu. Vzájomná pomoc sa týka najmä žiadostí o
informácie a opatrení v oblasti dozoru, ako sú napríklad žiadosti
o uskutočnenie konzultácií vopred, kontroly a vyšetrovania. 2. Členské štáty stanovia, že
dozorný orgán je povinný prijať všetky príslušné opatrenia, ktoré sú potrebné
na účely odpovede na žiadosť iného dozorného orgánu. 3. Požiadaný dozorný orgán
poskytne žiadajúcemu dozornému orgánu informácie o výsledkoch opatrení
prijatých na účely odpovede žiadajúcemu dozornému orgánu, prípadne o pokroku
dosiahnutom v tejto súvislosti, resp. o opatreniach prijatých na tento účel. Článok 49
Úlohy Európskeho výboru pre ochranu údajov 1. Európsky výbor pre ochranu
údajov zriadený nariadením č. (EÚ)…./2012 plní v súvislosti so spracúvaním
údajov patriacim do rozsahu pôsobnosti tejto smernice tieto úlohy: (n)
poskytuje Komisii poradenstvo v súvislosti s
akýmikoľvek otázkami týkajúcimi sa ochrany osobných údajov v Únii, a to aj v
súvislosti s akýmikoľvek návrhmi na zmenu a doplnenie tejto smernice; (o)
na žiadosť Komisie, na vlastný podnet či na podnet
niektorého zo svojich členov skúma akúkoľvek otázku týkajúcu sa uplatňovania
ustanovení prijatých podľa tejto smernice a vydáva usmernenia, odporúčania a
najlepšie postupy určené dozorným orgánom v záujme podpory súdržného
uplatňovania týchto ustanovení; (p)
preskúmava praktické uplatňovanie usmernení,
odporúčaní a najlepších postupov uvedených v písm. b) a v pravidelných
intervaloch o nich podáva Komisii správu; (q)
predkladá Komisii stanovisko o úrovni ochrany v
tretích krajinách a medzinárodných organizáciách; (r)
podporuje spoluprácu a účinnú bilaterálnu a
multilaterálnu výmenu informácií a postupov medzi dozornými orgánmi; (s)
podporuje spoločné programy odborného vzdelávania a
uľahčuje výmeny zamestnancov medzi dozornými orgánmi, a to prípadne aj pokiaľ
ide o zamestnancov dozorných orgánov tretích krajín či medzinárodných
organizácií; (t)
podporuje výmenu poznatkov a dokumentácie s
dozornými orgánmi zameranými na ochranu osobných údajov z celého sveta, a to aj
pokiaľ ide o právne predpisy na ochranu osobných údajov a prax v tejto
sfére. 2. V prípade, že Komisia žiada Európsky
výbor pre ochranu údajov o poskytnutie poradenstva, môže stanoviť časovú
lehotu, v rámci ktorej je výbor povinný toto poradenstvo poskytnúť, pričom sa
zohľadní naliehavosť predmetnej záležitosti. 3. Európsky výbor pre ochranu
údajov predkladá svoje stanoviská, usmernenia, odporúčania a najlepšie postupy
Komisii a výboru podľa článku 57 ods. 1 a takisto tieto dokumenty zverejňuje. 4. Komisia informuje Európsky
výbor pre ochranu údajov o tom, aké opatrenia prijala na základe jeho
stanovísk, usmernení, odporúčaní a najlepších postupov. KAPITOLA VIII
PROSTRIEDKY NÁPRAVY, ZODPOVEDNOSŤ A SANKCIE Článok 50
Právo podať sťažnosť dozornému orgánu 1. Bez toho, aby bol dotknutý
akýkoľvek iný správny alebo súdny prostriedok nápravy, členské štáty stanovia
pre každú dotknutú osobu právo na podanie sťažnosti dozornému orgánu v
ktoromkoľvek členskom štáte, ak sa dotknutá osoba domnieva, že spracúvanie
osobných údajov, ktoré sa jej týkajú, nie je v súlade s ustanoveniami prijatými
podľa tejto smernice. 2. Členské štáty stanovia pre
akýkoľvek subjekt, organizáciu či združenie, ktorých cieľom je ochrana práv a
záujmov dotknutých osôb v súvislosti s ochranou ich osobných údajov a ktoré
boli riadne zriadené podľa právnych predpisov členského štátu, právo podať
sťažnosť v mene jednej či viacerých dotknutých osôb dozornému orgánu v
ktoromkoľvek členskom štáte, ak sa domnievajú, že v dôsledku spracúvania
osobných údajov došlo k porušeniu práv dotknutých osôb podľa tejto smernice.
Táto organizácia či združenie musí byť riadne splnomocnené dotknutou osobou či
dotknutými osobami. 3. Členské štáty stanovia pre
akýkoľvek subjekt, organizáciu či združenie podľa odseku 2, právo podať, a to
nezávisle od sťažnosti dotknutej osoby, sťažnosť dozornému orgánu v
ktoromkoľvek členskom štáte, ak sa domnievajú, že došlo k porušeniu ochrany
osobných údajov. Článok 51
Právo na súdny prostriedok nápravy voči dozornému orgánu 18.
Členské štáty stanovia právo na súdny prostriedok
nápravy voči rozhodnutiam dozorného orgánu. 19.
Každá dotknutá osoba má právo na súdny prostriedok
nápravy ukladajúci dozornému orgánu povinnosť konať vo veci sťažnosti, ak
nebolo prijaté rozhodnutie potrebné na ochranu práv dotknutej osoby alebo
ak dozorný orgán neinformoval dotknutú osobu do troch mesiacov o pokroku vo
veci sťažnosti či o jej výsledku podľa článku 45 ods. 1 písm. b). 20.
Členské štáty stanovia, že návrh na začatie konania
proti dozornému orgánu sa podáva na súdoch členského štátu, v ktorom je tento
dozorný orgán zriadený. Článok 52
Právo na súdny prostriedok nápravy voči prevádzkovateľovi či
sprostredkovateľovi Bez toho, aby bol dotknutý akýkoľvek dostupný
správny prostriedok nápravy vrátane práva na podanie sťažnosti dozornému
orgánu, členské štáty stanovia pre každú fyzickú osobu právo na súdny
prostriedok nápravy, ak sa domnieva, že v dôsledku spracúvania jej osobných
údajov v rozpore s ustanoveniami prijatými podľa tejto smernice došlo k
porušeniu jej práv stanovených v ustanoveniach prijatých podľa tejto smernice. Článok 53
Spoločné pravidlá pre súdne konania 1. Členské štáty stanovia pre
akýkoľvek subjekt, organizáciu či združenie uvedené v článku 50 ods. 2
právo uplatňovať práva uvedené v článkoch 51 a 52 v mene jednej či viacerých
dotknutých osôb. 2. Každý dozorný orgán bude mať
právo zúčastniť sa na súdnych konaniach a podať návrh na začatie súdneho
konania na účely presadzovania ustanovení prijatých podľa tejto smernice alebo
na zabezpečenie súdržnosti ochrany osobných údajov v rámci Únie. 3. Členské štáty zabezpečia, aby
súdne prostriedky nápravy, ktoré sú dostupné podľa vnútroštátnych právnych
predpisov, umožňovali rýchle prijímanie opatrení vrátane predbežných opatrení,
určených na ukončenie akéhokoľvek údajného porušovania a na predchádzanie
ďalšiemu poškodzovaniu príslušných záujmov. Článok 54
Zodpovednosť a právo na náhradu 1. Členské štáty stanovia, že
každá osoba, ktorá utrpela škodu v dôsledku nezákonnej operácie spracúvania
alebo akéhokoľvek konania nezlučiteľného s ustanoveniami prijatými podľa tejto
smernice, má právo dostať od prevádzkovateľa či sprostredkovateľa náhradu
utrpenej škody. 2. Ak je do spracovania zapojený
viac než jeden prevádzkovateľ či sprostredkovateľ, je za celú sumu náhrady
škody zodpovedný spoločne a nerozdielne každý prevádzkovateľ či
sprostredkovateľ. 3. Prevádzkovateľ či
sprostredkovateľ môže byť úplne alebo čiastočne zbavený tejto zodpovednosti, ak
poskytne dôkaz o tom, že nenesie zodpovednosť za udalosť, ktorá bola príčinou
vzniknutej škody. Článok 55
Sankcie Členské štáty stanovia pravidlá
o sankciách uplatniteľných na porušenia ustanovení prijatých podľa tejto
smernice a prijmú všetky opatrenia potrebné na zabezpečenie ich
vykonávania. Stanovené sankcie musia byť účinné, primerané a odrádzajúce. KAPITOLA IX
DELEGOVANÉ AKTY A VYKONÁVACIE AKTY Článok 56
Vykonávanie delegovania právomoci 1. Právomoc prijímať delegované
akty sa Komisii udeľuje za podmienok stanovených v tomto článku. 2. Delegovanie právomoci uvedené
v článku 28 ods. 5 sa Komisii udeľuje na dobu neurčitú od dátumu nadobudnutia
účinnosti tejto smernice. 3. Delegovanie právomoci uvedené
v článku 28 ods. 5 môže Európsky parlament alebo Rada kedykoľvek odvolať.
Rozhodnutím o odvolaní sa ukončuje delegovanie právomoci v ňom uvedenej.
Rozhodnutie nadobúda účinnosť dňom nasledujúcim po jeho uverejnení v Úradnom
vestníku Európskej únie alebo k neskoršiemu dátumu, ktorý je v ňom určený.
Nie je ním dotknutá platnosť delegovaných aktov, ktoré už nadobudli účinnosť. 4. Komisia oznamuje delegovaný
akt Európskemu parlamentu a Rade súčasne, a to hneď po jeho prijatí. 5. Delegovaný akt prijatý podľa
článku 28 ods. 5 nadobudne účinnosť, len ak Európsky parlament alebo Rada voči
nemu nevzniesli námietku v lehote dvoch mesiacov odo dňa oznámenia uvedeného
aktu Európskemu parlamentu a Rade alebo ak pred uplynutím uvedenej lehoty
Európsky parlament a Rada informovali Komisiu o svojom rozhodnutí
nevzniesť námietku. Na podnet Európskeho parlamentu alebo Rady sa táto lehota
predĺži o dva mesiace. Článok 57
Postup výboru 21.
Komisii pomáha výbor. Tento výbor je výborom v
zmysle nariadenia (EÚ) č. 182/2011. 22.
Ak sa odkazuje na tento odsek, uplatňuje sa článok
5 nariadenia (EÚ) č. 182/2011. 23.
Ak sa odkazuje na tento odsek, uplatňuje sa článok
8 nariadenia (EÚ) č. 182/2011 v spojení s jeho článkom 5. KAPITOLA X
ZÁVEREČNÉ USTANOVENIA Článok 58
Zrušujúce ustanovenia 1. Rámcové rozhodnutie Rady
2008/977/SVV sa zrušuje. 2. Odkazy na zrušené rámcové
rozhodnutie uvedené v odseku 1 sa považujú za odkazy na túto smernicu. Článok 59
Vzťah k skôr prijatým predpisom Únie o justičnej spolupráci v trestných
veciach a policajnej spolupráci Osobitné ustanovenia na ochranu osobných
údajov pri spracúvaní osobných údajov príslušnými orgánmi na účely
predchádzania trestným činom, ich vyšetrovania, odhaľovania či stíhania alebo
na účely výkonu trestných sankcií, ktoré sú obsiahnuté v aktoch Únie prijatých
pred dátumom nadobudnutia účinnosti tejto smernice a ktoré upravujú spracúvanie
osobných údajov medzi členskými štátmi a prístup určených orgánov členských
štátov do informačných systémov zriadených podľa zmlúv v rámci rozsahu
pôsobnosti tejto smernice, zostávajú nedotknuté. Článok 60
Vzťah k skôr uzatvoreným medzinárodným dohodám v oblasti justičnej spolupráce
v trestných veciach a policajnej spolupráce Medzinárodné dohody uzatvorené členskými
štátmi pred nadobudnutím účinnosti tejto smernice sa v prípade potreby zmenia a
doplnia do piatich rokov po nadobudnutí účinnosti tejto smernice. Článok 61
Hodnotenie 1. Komisia zhodnotí uplatňovanie
tejto smernice. 2. Komisia
do troch rokov po nadobudnutí účinnosti tejto smernice preskúma ďalšie akty
prijaté Európskou úniou, ktoré upravujú spracúvanie osobných údajov príslušnými
orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania či
stíhania alebo na účely výkonu trestných sankcií, a to predovšetkým akty
prijaté Úniou a uvedené v článku 59, s cieľom posúdiť potrebu ich zladenia
s touto smernicou a podľa potreby vypracovať návrhy na ich zmenu a
doplnenie v záujme zabezpečenia súdržného prístupu k ochrane osobných
údajov v rámci rozsahu pôsobnosti tejto smernice. 3. Komisia v pravidelných
intervaloch predkladá Európskemu parlamentu a Rade správy o hodnotení a
preskúmaní tejto smernice v zmysle odseku 1. Prvé správy sa predložia najneskôr
do štyroch rokov po nadobudnutí účinnosti tejto smernice. Ďalšie správy sa budú
predkladať každé štyri roky. Komisia v prípade potreby predloží príslušné
návrhy na zmenu a doplnenie tejto smernice a zladenie ostatných právnych
predpisov. Správa sa zverejní. Článok 62
Vykonávanie 1. Členské štáty prijmú a
uverejnia najneskôr do [dátum/dvoch rokov od nadobudnutia účinnosti] zákony,
iné právne predpisy a správne opatrenia potrebné na dosiahnutie súladu s
touto smernicou. Komisii bezodkladne oznámia znenie týchto ustanovení. Tieto ustanovenia uplatňujú od xx.xx.201x
[dátum/dvoch rokov od nadobudnutia jej účinnosti]. Členské štáty uvedú priamo v prijatých
ustanoveniach alebo pri ich úradnom uverejnení odkaz na túto smernicu.
Podrobnosti o odkaze upravia členské štáty. 2. Členské štáty oznámia Komisii
znenie hlavných ustanovení vnútroštátnych právnych predpisov, ktoré prijmú v
oblasti pôsobnosti tejto smernice. Článok 63
Nadobudnutie účinnosti a uplatňovanie Táto smernica
nadobúda účinnosť prvým dňom po jej uverejnení v Úradnom vestníku Európskej
únie. Článok 64
Adresáti Táto smernica
je určená členským štátom. V Bruseli 25. 1. 2012 Za Európsky parlament Za
Radu predseda predseda [1] Smernica Európskeho parlamentu a Rady 95/46/ES z 24.
októbra 1995 o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom
pohybe týchto údajov, Ú. v. ES L 281, 23.11.1995, s. 31. [2] Pozri úplný zoznam uvedený v prílohe 3
k posúdeniu vplyvu [SEK(2012) 72]. [3] Rámcové rozhodnutie Rady 2008/977/SVV z 27. novembra
2008 o ochrane osobných údajov spracúvaných v rámci policajnej a justičnej
spolupráce v trestných veciach, Ú. v. EÚ L 350, 30.12.2008, s. 60. [4] V Štokholmskom programe (Ú. v. EÚ C 115, 4.5.2010, s.
1). [5] Pozri uznesenie Európskeho parlamentu
k Štokholmskému programu, ktoré bolo prijaté 25. novembra 2009. [6] KOM(2010) 171v konečnom znení. [7] Európska komisia, oznámenie „Komplexný prístup k ochrane
osobných údajov v Európskej únii“, KOM(2010) 609 v konečnom znení,
4.11.2010. [8] Vyhlásenie č. 21 o ochrane osobných údajov v oblasti
justičnej spolupráce v trestných veciach a policajnej spolupráce
(pripojené k záverečnému aktu medzivládnej konferencie, ktorá prijala
Lisabonskú zmluvu, 13.12.2007). [9] http://ec.europa.eu/justice/newsroom/data-protection/opinion/090709_en.htm. [10] http://ec.europa.eu/justice/newsroom/data-protection/opinion/101104_en.htm. [11] Osobitný Eurobarometer 359, „Data Protection and
Electronic Identity in the EU“, 2011: http://ec.europa.eu/public_opinion/archives/ebs/ebs_359_en.pdf. [12] Pozri štúdiu s názvom Study on the economic benefits of
privacy enhancing technologies alebo štúdiu Comparative study on
different approaches to new privacy challenges, in particular in the light of
technological developments, január 2010
(http://ec.europa.eu/justice/policies/privacy/docs/studies/new_privacy_challenges/final_report_en.pdf).
[13] Pracovná skupina bola zriadená v roku 1996 (na základe
článku 29 smernice 95/46/ES) ako poradný orgán, ktorý tvoria zástupcovia
národných dozorných orgánov pre ochranu údajov, európsky dozorný úradník pre
ochranu údajov (EDPS) a Komisia. Viac informácií o jej činnosti možno nájsť na
adrese: http://ec.europa.eu/justice/policies/privacy/workinggroup/index_en.htm. [14] Pozri najmä tieto stanoviská: o budúcnosti ochrany
súkromia (2009, WP 168), k pojmom „prevádzkovateľ“ a „sprostredkovateľ“
(1/2010, WP 169), k behaviorálnej reklame on-line (2/2010, WP 171), k zásade
zodpovednosti (3/2010, WP 173), o uplatniteľných právnych predpisoch (8/2010,
WP 179), a k definícii súhlasu (15/2011, WP 187). Na požiadanie Komisie prijala
aj tieto tri poradné dokumenty: o oznámeniach, o citlivých údajoch a o
praktickej implementácii článku 28 ods. 6 smernice 95/46/ES. Možno ich nájsť na
adrese: http://ec.europa.eu/justice/data-protection/article-29/documentation/index_en.htm. [15] Dostupné na internetovej adrese EDPS: http://www.edps.europa.eu/EDPSWEB/. [16] Uznesenie EP z 6. júla 2011 o komplexnom prístupe k
ochrane osobných údajov v Európskej únii (2011/2025(INI), http://www.europarl.europa.eu/sides/getDoc.do?type=TA&reference=P7-TA-2011-0323&language=EN&ring=A7-2011-0244
(spravodajca: poslanec EP Axel Voss (EPP/DE). [17] CESE 999/2011. [18] SEK(2012) 72. [19] KOM(2012) 12. [20] Rozsudok Súdneho dvora Európskej únie z 9. novembra 2010,
spojené veci C-92/09 a C-93/09, Volker und Markus Schecke a Eifert,
Zb. 2010, s. I-0000. [21] V súlade s článkom 52 ods. 1 charty je možné obmedziť
výkon práva na ochranu údajov, ak je takéto obmedzenie ustanovené zákonom,
rešpektuje podstatu práv a slobôd a ak je, za predpokladu dodržania zásady
proporcionality, toto obmedzenie nevyhnutné a skutočne zodpovedá cieľom
všeobecného záujmu, ktoré sú uznané Úniou, resp. ak je potrebné na ochranu práv
a slobôd iných. [22] Uvádza sa aj v článku 2 písm. a) smernice Európskeho
parlamentu a Rady 2011/92/EÚ z 13. decembra 2011 o boji
proti sexuálnemu zneužívaniu a sexuálnemu vykorisťovaniu detí a proti
detskej pornografii, ktorou sa nahrádza rámcové rozhodnutie Rady 2004/68/SVV,
Ú. v. EÚ L 335, 17.12.2011, s. 1. [23] KOM(2005) 475 v konečnom znení. [24] Článok 14 rozhodnutia o Europole 2009/371/SVV. [25] Článok 15 rozhodnutia o Eurojuste 2009/426/SVV. [26] Článok 14 rozhodnutia o Europole 2009/371/SVV. [27] Rozsudok Európskeho súdu pre ľudské práva zo 4.12.2008, S.
and Marper/UK (sťažnosti č. 30562/04 a 30566/04). [28] Rezolúcia bola prijatá na medzinárodnej konferencii
komisárov pre ochranu údajov a súkromia, ktorá sa konala 5. novembra 2009. [29] Rozsudok Súdneho dvora Európskej únie z 9. marca 2010, vec
C-518/07, Komisia/Nemecko, Zb. 2010. s. I-1885. [30] Nariadenie Európskeho parlamentu a Rady (ES) č. 45/2001 z
18. decembra 2000 o ochrane jednotlivcov so zreteľom na spracovanie osobných
údajov inštitúciami a orgánmi Spoločenstva a o voľnom pohybe takýchto údajov;
Ú. v. ES L 8, 12.1.2001, s. 1. [31] Pozri poznámku pod čiarou č. 27. [32] Smernica Európskeho parlamentu a Rady 2000/31/ES z
8. júna 2000 o určitých právnych aspektoch služieb informačnej
spoločnosti na vnútornom trhu, najmä o elektronickom obchode (smernica
o elektronickom obchode); Ú. v. EÚ L 178, 17.7.2000, s. 1. [33] Ú. v. EÚ C, , s. . [34] Ú. v. EÚ L 281, 23.11.1995, s. 31. [35] Ú. v. EÚ L 350, 30.12.2008, s. 60. [36] Ú. v. EÚ L 55, 28.02.2011, s. 13. [37] Ú. v. EÚ L 261, 17.12.2011, s. 1. [38] Ú. v. EÚ L 176, 10.07.1999, s. 36. [39] Ú. v. EÚ L 53, 27.2.2008, s. 52. [40] Ú. v. EÚ L 160, 18.6.2011, s. 19.