Návrh odůvodnění Rady: Postoj Rady (EU) č. 6/2016 v prvním čtení za účelem přijetí nařízení Evropského parlamentu a Rady o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně údajů)

(2016/C 159/02)

I.   ÚVOD

Dne 25. ledna 2012 navrhla Komise komplexní balíček opatření pro ochranu údajů, jehož součástí jsou:

Evropský parlament přijal stanovisko v prvním čtení k návrhu obecného nařízení o ochraně údajů dne 12. března 2014 (7427/14).

Rada se dohodla na obecném přístupu dne 15. června 2015, čímž udělila předsednictví mandát k vyjednávání za účelem zahájení trialogů s Evropským parlamentem (9565/15).

Evropský parlament a Rada potvrdily na úrovni Výboru pro občanské svobody, spravedlnost a vnitřní věci a Výboru stálých zástupců ve dnech 17. a 18. prosince 2015 dohodu o kompromisním znění, které je výsledkem jednání v rámci trialogů.

Rada na zasedání konaném dne 12. února 2016 dosáhla politické dohody o návrhu nařízení (5455/15). Dne 8. dubna 2016 přijala Rada svůj postoj v prvním čtení, který je zcela v souladu s kompromisním zněním nařízení dohodnutým na neformálních jednáních mezi Radou a Evropským parlamentem.

Hospodářský a sociální výbor předložil své stanovisko k nařízení v roce 2012 (Úř. věst. C 229, 31.7.2012, s. 90).

Výbor regionů taktéž předložil své stanovisko k nařízení (Úř. věst. C 391, 18.12.2012, s. 127).

Evropský inspektor ochrany údajů byl konzultován a předložil první stanovisko v roce 2012 (Úř. věst. C 192, 30.6.2012, s. 7) a druhé v roce 2015 (Úř. věst. C 301, 12.9.2015, s. 1–8).

Agentura pro základní práva předložila stanovisko dne 1. října 2012.

II.   ÚVOD

Obecné nařízení o ochraně údajů harmonizuje pravidla pro ochranu údajů v Evropské unii. Cíli tohoto nařízení je posílit práva fyzických osob na ochranu údajů, usnadnit volný tok osobních údajů v rámci jednotného trhu a snížit administrativní zátěž.

III.   ANALÝZA POSTOJE RADY V PRVNÍM ČTENÍ

A.    Obecné poznámky

Vzhledem k cíli Evropské rady, jímž bylo dosáhnout dohody o reformě ochrany údajů do konce roku 2015, vedly Evropský parlament a Rada neformální jednání s cílem sblížit své postoje. Znění postoje Rady v prvním čtení k návrhu obecného nařízení o ochraně údajů plně odráží kompromis dosažený mezi oběma normotvůrci za pomoci Evropské komise.

Postoj Rady v prvním čtení zachovává cíle směrnice 95/46/ES: ochranu práv na ochranu údajů a volný tok údajů. Zároveň se snaží přizpůsobit stávající platná pravidla pro ochranu údajů s ohledem na neustále rostoucí objem osobních údajů, které jsou zpracovávány v důsledku technologických změn a globalizace. Aby nařízení mohlo obstát i v budoucnu, jsou pravidla pro ochranu údajů obsažená v postoji Rady v prvním čtení technologicky neutrální.

S cílem zajistit jednotnou úroveň ochrany fyzických osob v celé Unii a zamezit rozdílům bránícím volnému pohybu osobních údajů v rámci vnitřního trhu Rada ve svém postoji v prvním čtení v zásadě stanoví jednotný soubor pravidel, který je přímo použitelný v celé Unii. Tato harmonizace odstraní roztříštěnost vyplývající z různých právních předpisů členských států, kterými se provádí směrnice 95/46. Nicméně s ohledem na požadavky spojené s konkrétními situacemi zpracování údajů, týkající se mimo jiné veřejného sektoru, postoj Rady v prvním čtení umožňuje členským státům, aby dále konkretizovaly provádění pravidel pro ochranu údajů stanovených v tomto nařízení do svých vnitrostátních právních předpisů.

Ochrana osobních údajů je základním právem zakotveným v článku 8 odst. 1 Listiny základních práv Evropské unie. Článek 16 Smlouvy o fungování Evropské unie kromě toho stanoví, že každý má právo na ochranu osobních údajů, které se jej týkají, bez ohledu na státní příslušnost nebo bydliště, a že by měla být stanovena pravidla za tímto účelem i za účelem volného pohybu osobních údajů. Na tomto základě postoj Rady v prvním čtení stanoví zásady a pravidla ochrany fyzických osob v souvislosti se zpracováním osobních údajů.

K dosažení cílů nařízení je v postoji Rady v prvním čtení posílena odpovědnost správců (odpovědných za určení účelů a prostředků zpracování osobních údajů) a zpracovatelů (odpovědných za zpracování osobních údajů jménem správce) za účelem prosazování skutečné kultury ochrany údajů. V této souvislosti se v celém nařízení zavádí přístup založený na rizicích, který umožňuje stanovení povinnosti správce a zpracovatele podle rizika spojeného se zpracováním údajů, které provádějí. Navíc kodexy chování a mechanismy pro vydávání osvědčení přispívají k souladu s pravidly pro ochranu údajů. Tento přístup brání příliš normativním pravidlům a snižuje administrativní zátěž, aniž by se snížilo dodržování pravidel. Odrazující povaha sankcí, které mohou být uloženy, kromě toho představuje pobídku pro to, aby správci nařízení dodržovali.

Nová pravidla pro ochranu údajů stanovená v postoji Rady v prvním čtení také zavádějí posílená a vymahatelná práva občanů. To umožňuje lepší kontrolu fyzických osob nad jejich osobními údaji vedoucí k větší důvěře v on-line služby na přeshraniční úrovni, což podpoří jednotný digitální trh. Zvláštní ochranu zaslouží děti, protože si mohou být méně vědomy rizik a svých práv v souvislosti se zpracováním osobních údajů.

Dále Rada ve svém postoji v prvním čtení posiluje nezávislost dozorových úřadů a současně harmonizuje jejich úkoly a pravomoci. Pravidla spolupráce mezi dozorovými úřady a případně spolupráce s Komisí v přeshraničních případech – mechanismus jednotnosti – přispějí k jednotnému uplatňování nařízení v celé Evropské unii. To zvýší právní jistotu a sníží administrativní zátěž. Mechanismus jediného kontaktního místa kromě toho poskytuje správcům a zpracovatelům jednotné zprostředkování při přeshraničním zpracování, včetně závazného rozhodování sporů nově zřízeným Evropským sborem pro ochranu osobních údajů. Výsledkem tohoto mechanismu bude jednotnější uplatňování nařízení. Kromě toho povede k větší právní jistotě a snížení administrativní zátěže.

Postoj Rady v prvním čtení v neposlední řadě definuje komplexní rámec pro předávání osobních údajů z Evropské unie příjemcům ve třetích zemích nebo mezinárodním organizacím a v porovnání se směrnicí 95/46/ES poskytuje nové nástroje.

B.    Klíčové otázky

Rada a Evropský parlament s pomocí Evropské komise sblížily v průběhu neformálních jednání své postoje stanovené v obecném přístupu Rady a v postoji Parlamentu v prvním čtení. Postoj Rady v prvním čtení k návrhu obecného nařízení o ochraně údajů plně odráží dosažený kompromis. Klíčové otázky postoje Rady v prvním čtení jsou uvedeny níže.

1.    Oblast působnosti

1.1.   Věcná působnost nařízení a vymezení vůči směrnici o prosazování práva

Postoj Rady v prvním čtení stanoví, že obecné nařízení o ochraně údajů se vztahuje na zcela nebo částečně automatizované zpracování osobních údajů, jakož i na neautomatizované zpracování osobních údajů, které jsou obsaženy v jakémkoli uspořádaném souboru osobních údajů přístupných podle zvláštních kritérií nebo do něj mají být zařazeny. Věcná působnost obecného nařízení o ochraně údajů a oblast působnosti směrnice o ochraně údajů v oblasti vymáhání práva se navzájem vylučují. Je stanoveno, že toto nařízení se nevztahuje na zpracování osobních údajů prováděné příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů, za účelem výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení. Toto vymezení umožňuje donucovacím orgánům, zejména policii, aby jako pravidlo uplatňovaly režim ochrany údajů na základě směrnice při současném zajištění jednotné a vysoké úrovně ochrany osobních údajů fyzických osob, na které se vztahují úkony v oblasti vymáhání práva.

1.2.   Orgány a instituce EU

Aby byla zajištěna jednotná a soudržná ochrana subjektů údajů v souvislosti se zpracováním jejich osobních údajů, postoj Rady v prvním čtení stanoví, že nezbytné úpravy nařízení (ES) 45/2001, které se vztahuje na orgány, instituce, úřady a agentury EU, by měly následovat po přijetí obecného nařízení o ochraně údajů, aby mohlo být použitelné současně s ním.

1.3.   Výjimka týkající se osobních údajů domácí povahy

S cílem zabránit stanovení pravidel, jež by znamenala zbytečnou zátěž pro fyzické osoby, postoj Rady v prvním čtení stanoví, že nařízení se nevztahuje na zpracování osobních údajů prováděné fyzickou osobou v průběhu výlučně osobních či domácích činností, a nemající tudíž žádnou souvislost s profesní nebo obchodní činností.

1.4.   Místní působnost

Postoj Rady v prvním čtení zavádí rovné podmínky pro správce a zpracovatele údajů, pokud jde o místní působnost, neboť nařízení se vztahuje na všechny správce a zpracovatele bez ohledu na to, zda jsou usazeni v Unii či nikoliv.

Zaprvé nařízení stanoví, že pravidla pro ochranu údajů se vztahují na zpracování osobních údajů v rámci činností provozovny správce nebo zpracovatele v Unii bez ohledu na to, zda zpracování probíhá v Unii či nikoli. Zadruhé, aby bylo zajištěno, že fyzické osoby nebudou zbaveny ochrany svých údajů, se toto nařízení vztahuje na zpracování osobních údajů subjektů údajů, které se nacházejí v Unii, i pokud správce nebo zpracovatel není usazen v Unii, avšak jeho činnosti zpracování souvisejí s nabídkou zboží nebo služeb těmto subjektům údajů v Unii jakož i s monitorováním jejich chování, pokud k němu dochází v rámci Evropské unie. Určení oblasti působnosti takovým způsobem kromě toho zvyšuje právní jistotu pro správce a subjekty údajů (fyzické osoby, jejichž osobní údaje jsou zpracovávány).

Postoj Rady v prvním čtení rovněž zajišťuje, aby subjekty údajů a dozorové úřady měly kontaktní místo v EU pro případ, že správce nebo zpracovatel není usazen v Unii, ale vztahuje se na něj oblast působnosti nařízení – správce nebo zpracovatel musí písemně určit svého zástupce v Unii. Aby se zabránilo zbytečné administrativní zátěži, nevztahuje se tato povinnost na zpracování, u nějž je nepravděpodobné, že by mohlo představovat riziko pro práva a svobody fyzických osob, ani na zpracování prováděné orgánem veřejné moci nebo subjektem dotyčné třetí země.

2.    Zásady zpracování osobních údajů

Zásady ochrany údajů se vztahují na jakékoli informace týkající se identifikovatelné nebo identifikované fyzické osoby, včetně informací, které již nemohou být přiřazeny konkrétnímu subjektu údajů, aniž by byly použity dodatečné informace, pokud jsou tyto dodatečné informace uloženy odděleně a vztahují se na ně technická a organizační opatření, aby bylo zajištěno, že nebudou přiřazeny identifikované či identifikovatelné fyzické osobě (pseudonymizace). Ve srovnání se směrnicí 95/46 nařízení v zásadě zajišťuje kontinuitu, pokud jde o zásady, jimiž se řídí zpracování osobních údajů. Zároveň byla upravena zásada „minimalizace údajů“ tak, aby zohledňovala digitální realitu a zaměřila se na dosažení rovnováhy mezi ochranou osobních údajů na jedné straně a tím, aby správci mohli zpracovávat údaje na straně druhé.

3.    Zákonnost zpracování

3.1.   Podmínky zákonnosti zpracování

Aby byla zajištěna právní jistota, postoj Rady v prvním čtení vychází ze směrnice 95/46 a upřesňuje, že zpracování osobních údajů je zákonné pouze tehdy, pokud je splněna nejméně jedna z těchto podmínek:

Je vhodné se blíže zabývat dvěma podmínkami: souhlasem a oprávněnými zájmy správce či třetí strany.

3.1.1.   Souhlas

S cílem umožnit zpracování svých osobních údajů může subjekt údajů vyjádřit souhlas se zpracováním prostřednictvím jednoznačného potvrzení, které je vyjádřením svobodného, konkrétního, informovaného a jednoznačného svolení subjektu údajů ke zpracování osobních údajů, které se jej týkají. Tento souhlas se vztahuje na veškeré činnosti zpracování prováděné pro stejný účel nebo stejné účely. Jestliže má zpracování několik účelů, musí být souhlas udělen pro všechny účely zpracování. Kromě toho musí být správce schopen prokázat, že subjekt údajů vyjádřil s danou operací zpracování souhlas. Mlčení, předem zaškrtnutá políčka nebo nečinnost nejsou tudíž považovány za souhlas. Vymezení pojmu souhlas zajišťuje kontinuitu s acquis, jež se vyvinulo v oblasti používání tohoto pojmu na základě směrnice 95/46/ES, a zároveň přispívá ke společnému chápání a uplatňování souhlasu v celé Evropské unii.

Kromě toho je za účelem ochrany práv subjektu údajů na ochranu osobních údajů upřesněno, že pokud je jeho souhlas vyjádřen písemným prohlášením, které se týká rovněž jiných skutečností, není žádná část tohoto prohlášení, která představuje porušení tohoto nařízení, závazná. Při posuzování toho, zda je souhlas svobodný, musí být navíc mimo jiné pečlivě zohledněno, zda je plnění smlouvy podmíněno souhlasem se zpracováním, které není pro plnění dané smlouvy nutné.

A konečně, aby byly umožněny odchylky od obecného zákazu zpracování zvláštních kategorií osobních údajů, stanoví postoj Rady v prvním čtení vyšší prahovou hodnotu než pro jiná zpracování, neboť subjekt údajů musí dát svůj výslovný souhlas se zpracováním takových citlivých osobních údajů.

Pokud jde o děti, stanoví postoj Rady v prvním čtení zvláštní ochranný režim pro souhlas dětí v souvislosti s nabídkou služeb informační společnosti. Zpracování osobních údajů dítěte do maximálního věku 16 let je zákonné pouze tehdy, pokud lze s přihlédnutím k dostupné technologii přiměřeně ověřit, že tento souhlas byl vyjádřen nebo schválen nositelem rodičovské zodpovědnosti k dítěti. Členské státy, které považují za vhodnější nižší věk, mohou stanovit nižší maximální věk, avšak nejméně 13 let.

3.1.2.   Oprávněné zájmy správce

Zpracování osobních údajů může být zákonné, pokud je nezbytné pro účely oprávněných zájmů správce či třetí strany. Tyto oprávněné zájmy správce však nejsou dostatečným důvodem pro zákonné zpracování, pokud jsou převýšeny zájmy nebo základními právy a svobodami subjektu údajů vyžadujícími ochranu osobních údajů, zejména pokud je subjektem údajů dítě.

Existenci oprávněného zájmu je třeba posoudit, včetně toho, zda subjekt údajů může v okamžiku a v kontextu shromažďování osobních údajů důvodně očekávat, že ke zpracování pro tento účel může dojít. Zpracování osobních údajů pro účely přímého marketingu lze považovat za zpracování prováděné z důvodu oprávněného zájmu. Jelikož právní základ pro zpracování osobních údajů orgány veřejné moci upravuje zákonodárce právním předpisem, výše uvedený právní důvod se nepoužije pro zpracování osobních údajů prováděné orgány veřejné moci při plnění jejich úkolů.

3.2.   Zvláštní pravidla členských států přizpůsobující uplatňování tohoto nařízení

Postoj Rady v prvním čtení umožňuje členským státům zachovat nebo zavést konkrétnější ustanovení, aby používání pravidel tohoto nařízení přizpůsobily zpracování osobních údajů pro splnění právní povinnosti nebo pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce. Odchylky, konkrétní požadavky a jiná opatření jsou dále stanoveny ve vztahu ke konkrétním operacím zpracování, při nichž členské státy uvedou právo na ochranu osobních údajů do souladu s právem na svobodu projevu a informací, přístup veřejnosti k oficiálním dokumentům, zpracování národních identifikačních čísel, zpracování údajů v souvislosti se zaměstnáním a zpracování údajů pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely.

3,3.   Další zpracování

Postoj Rady v prvním čtení stanoví, že zpracování pro jiný účel, než je ten, pro který byly osobní údaje původně shromážděny, je zákonné, pouze pokud je slučitelné s účely, pro které byly osobní údaje původně zpracovány. Pokud však subjekt údajů udělil souhlas nebo pokud je zpracování na základě práva Unie nebo členského státu, které představuje v rámci demokratické společnosti nezbytné a přiměřené opatření s cílem zajistit zejména důležité cíle obecného veřejného zájmu, má správce možnost dalšího zpracování osobních údajů bez ohledu na slučitelnost účelů. Práva subjektu údajů byla posílena v případě dalšího zpracování, zejména pokud jde o právo na informace a právo vznést námitku proti takovému dalšímu zpracování, pokud není nezbytné pro plnění úkolu prováděného z důvodu veřejného zájmu.

S cílem zjistit, zda je účel dalšího zpracování slučitelný s účelem, pro který byly osobní údaje původně shromážděny, musí správce vzít mimo jiné v úvahu jakoukoliv vazbu mezi původními účely a účely zamýšleného dalšího zpracování, kontext, v němž byly osobní údaje shromážděny, zejména přiměřená očekávání ohledně dalšího použití údajů, která má subjekt údajů na základě svého vztahu se správcem, povahu osobních údajů, důsledky zamýšleného dalšího zpracování pro subjekty údajů a existenci vhodných záruk jak během původních, tak během zamýšlených dalších operací zpracování.

3.4.   Zpracování zvláštních kategorií osobních údajů

Osobní údaje, které jsou svojí povahou obzvláště citlivé, si zaslouží zvláštní ochranu, jelikož při jejich zpracování může dojít k závažnému ohrožení základních práv a svobod fyzických osob. Z tohoto důvodu zachovává postoj Rady v prvním čtení jako pravidlo přístup směrnice 95/46, jež zakazuje zpracování zvláštních kategorií osobních údajů.

Odchylně od tohoto pravidla je zpracování citlivých údajů povoleno v určitých, taxativně vyjmenovaných situacích, například pokud subjekt údajů udělil výslovný souhlas, pokud je zpracování nezbytné z důvodu významného veřejného zájmu nebo pro jiné účely, například v oblasti zdraví.

Postoj Rady v prvním čtení konečně stanoví, že členské státy mohou zavést další podmínky, včetně omezení, pokud jde o zpracování genetických údajů, biometrických údajů či údajů týkajících se zdraví. Tyto další podmínky však nesmějí omezovat volný pohyb údajů v rámci Unie.

4.    Posílení postavení subjektů údajů

4.1.   Úvod

Postoj Rady v prvním čtení posiluje postavení subjektů údajů tím, že jim poskytuje větší práva na ochranu údajů a zavádí povinnosti správců. Práva subjektů údajů zahrnují právo na informace; právo na přístup k osobním údajům; právo na opravu; právo na výmaz osobních údajů včetně práva „být zapomenut“; právo na omezení zpracování; právo na přenositelnost údajů; právo vznést námitku a právo nebýt předmětem žádného rozhodnutí založeného výhradně na automatickém zpracování, včetně profilování. Tato práva, která byla předmětem významných změn ve srovnání se směrnicí 95/46, jsou podrobněji rozvedena níže.

Správci mají povinnost usnadňovat výkon práv subjektů údajů a zpracovávat osobní údaje v souladu se zásadou transparentnosti, zejména poskytováním informací o zpracování osobních údajů, které provádějí.

Pokud však správce zpracovává osobní údaje, které mu neumožňují identifikovat subjekt údajů, není povinen získat dodatečné informace pro zjištění totožnosti subjektu údajů výlučně za účelem dosažení souladu s některým ustanovením tohoto nařízení.

Nehledě na tato práva subjektů údajů a tyto povinnosti správců, postoj Rady v prvním čtení zachovává přístup směrnice 95/46 tím, že umožňuje omezení obecných zásad a práv fyzických osob, pokud se takové omezení zakládá na právu Unie či členského státu. Taková omezení musí respektovat podstatu základních práv a svobod a představovat nezbytné a přiměřené opatření v demokratické společnosti s cílem zajistit určité veřejné zájmy.

4.2.   Transparentnost

V souladu se zásadou transparentnosti musí správci poskytnout informace a sdělení ohledně zpracování osobních údajů stručným, transparentním, srozumitelným a snadno přístupným způsobem za použití jasných a jednoduchých jazykových prostředků, zejména pokud se jedná o informace určené dítěti. Informace musí být poskytnuty písemně nebo jinými prostředky, ve vhodných případech elektronickými prostředky.

Postoj Rady v prvním čtení dále stanoví lhůty pro žádosti o informace, sdělení nebo jakákoli jiná opatření správce, které musí být vykonány bezplatně jako obecné pravidlo. Jsou-li však žádosti podané subjekty údajů zjevně neopodstatněné nebo nepřiměřené, zejména protože se opakují, může si správce účtovat přiměřený poplatek zohledňující administrativní náklady spojené s poskytováním informací nebo oznámení či s přijímáním požadovaných opatření, nebo může odmítnout na žádost reagovat. V takových případech prokazuje zjevnou neopodstatněnost nebo nepřiměřenost žádostí správce.

4.3.   Informace a sdělení, jež má poskytovat správce

S cílem nalézt rovnováhu mezi poskytováním dostatečných informací subjektům údajů o zpracování jejich osobních údajů na jedné straně a zabráněním tomu, aby tato povinnost nebyla pro správce zátěží na straně druhé, stanoví postoj Rady v prvním čtení dvoufázový přístup s cílem zajistit, aby subjekty údajů byly náležitě informovány jak v případech, kdy jsou osobní údaje shromažďovány od subjektu údajů, tak i v případech, kdy osobní údaje nebyly získány od subjektu údajů. V první fázi je správce povinen poskytnout subjektu údajů v okamžiku získání osobních údajů informace, které jsou uvedeny v nařízení. V druhé fázi musí správce poskytnout doplňující informace, které jsou uvedeny v nařízení a které jsou nezbytné pro zajištění spravedlivého a účinného zpracování. Správci musí rovněž subjekty údajů informovat, pokud mají v úmyslu dále zpracovávat dané osobní údaje pro jiný účel, než pro který byly původně shromážděny.

Správce není povinen poskytovat informace stanovené pro první nebo druhou fázi, pokud subjekt údajů již uvedené informace má. Nebyly-li osobní údaje získány od subjektu údajů, správce neposkytne subjektu údajů žádné informace, pokud je zaznamenávání nebo zpřístupňování osobních údajů jiným stranám výslovně stanoveno právem, nebo pokud je poskytnutí informací subjektu údajů nemožné nebo by vyžadovalo nepřiměřené úsilí.

V neposlední řadě jsou správci jsou povinni oznamovat jednotlivým příjemcům, jimž byly údaje zpřístupněny, veškeré opravy, výmazy nebo omezení zpracování, s výjimkou případů, kdy se to ukáže jako nemožné nebo to vyžaduje nepřiměřené úsilí. Správce kromě toho musí informovat subjekt údajů o těchto příjemcích, pokud to subjekt údajů požaduje.

4.4.   Ikony

Podle zásad transparentního zpracování je subjekt údajů informován o probíhajícím zpracování a jeho účelech. Z těchto důvodů postoj Rady v prvním čtení stanoví, že informace poskytované subjektům údajů mohou být doplněny standardizovanými ikonami. Správci mohou dobrovolně rozhodnout, zda by použití těchto standardizovaných ikon bylo užitečné pro zpracování osobních údajů, které provádějí. Ikony by měly poskytnout snadno viditelný, srozumitelný a jasně čitelný přehled o zamýšleném zpracování. Ikony musí být poskytnuty současně s informacemi. Pokud jsou ikony prezentovány v elektronické podobě, musí být strojově čitelné. S cílem přispět ke standardizovanému používání ikon je Komisi nařízením svěřena pravomoc přijímat akty v přenesené pravomoci, určující informace, které mají být sděleny pomocí ikon, a postupy pro poskytování standardizovaných ikon. Evropský sbor pro ochranu údajů musí vydat stanovisko k ikonám navrženým Komisí. Možnost přijmout akty v přenesené pravomoci nebrání tomu, aby Evropský sbor pro ochranu údajů vydával pokyny, stanoviska a osvědčené postupy ohledně ikon.

4.5.   Právo na přístup k osobním údajům

Subjekt údajů má právo získávat od správce potvrzení, zda osobní údaje, které se ho týkají, jsou či nejsou zpracovávány, a pokud se tyto osobní údaje zpracovávají, má právo získat přístup k informacím uvedeným v nařízení. V tomto ohledu nařízení upřesňuje, že správce musí poskytnout bezplatně kopii zpracovávaných osobních údajů. Za další kopie na žádost subjektu údajů může správce účtovat přiměřený poplatek na základě administrativních nákladů. Právem získat kopii nesmí být nepříznivě dotčena práva a svobody jiných osob.

4.6.   Právo na výmaz („právo být zapomenut“)

Postoj Rady v prvním čtení opravňuje subjekty údajů k výmazu osobních údajů, které se jich týkají, pokud je zpracování těchto údajů v rozporu s nařízením nebo s právem Unie či členského státu, které se na správce vztahuje.

Odkaz na „právo být zapomenut“ uznává potřebu přizpůsobit právo na výmaz zejména v digitálním kontextu. Správci, kteří zveřejnili osobní údaje, jež mají být podle přání subjektu údajů zapomenuty, musí přijmout přiměřené kroky, včetně technických opatření, s cílem informovat správce, kteří tyto osobní údaje zpracovávají, o požadavku subjektu údajů, aby byly vymazány odkazy na dané osobní údaje či jejich kopie nebo replikace, a to při zohlednění dostupné technologie a nákladů na provedení. Evropský sbor pro ochranu údajů může vydávat pokyny, doporučení a osvědčené postupy týkající se postupů pro výmaz odkazů, kopií nebo replikací osobních údajů z veřejně dostupných komunikačních služeb.

Právo na výmaz a povinnost správce informovat jiné správce o žádosti o výmaz se neuplatní, pokud je zpracování osobních údajů nezbytné pro účely, které jsou taxativně vyjmenovány v nařízení, jako je například právo na svobodu projevu a informací.

4.7.   Právo na přenositelnost údajů

Postoj Rady v prvním čtení stanoví, že pokud je zpracování osobních údajů prováděno automatizovanými prostředky, subjekty údajů mají právo získat osobní údaje, které se jich týkají a jež poskytly správci, ve strukturovaném, běžně používaném, strojově čitelném a interoperabilním formátu a předat je jinému správci. Dále uvádí, že subjekty údajů mají právo na to, aby osobní údaje byly předávány přímo mezi jednotlivými správci, pokud je to technicky proveditelné. To umožňuje subjektům údajů ještě větší kontrolu nad jejich údaji. Také to podněcuje hospodářskou soutěž mezi správci.

Toto právo na přenositelnost údajů se však neuplatní na zpracování nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je správce pověřen. Pokud se dále určitý soubor osobních údajů týká více než jednoho subjektu údajů, nejsou právem subjektu údajů na získání osobních údajů dotčena práva a svobody ostatních.

4.8.   Právo vznést námitku

V případech, kdy by osobní údaje mohly být zákonně zpracovávány, neboť toto zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce, nebo z důvodu oprávněných zájmů správce nebo třetí strany, je subjekt údajů oprávněn vznést námitku proti zpracování jakýchkoli osobních údajů, které se týkají jeho konkrétní situace. Správce v takovém případě již nesmí zpracovávat osobní údaje, pokud neprokáže závažné oprávněné důvody pro zpracování, které převažují nad zájmy nebo právy a svobodami subjektu údajů, nebo pro uplatnění, výkon nebo obhajobu právních nároků.

V této souvislosti se uvádí, že pokud se osobní údaje zpracovávají pro účely přímého marketingu, má subjekt údajů právo vznést kdykoli námitku proti zpracování osobních údajů, které se ho týkají. To zahrnuje i profilování, pokud se týká tohoto přímého marketingu. Profilováním se rozumí jakákoli forma automatického zpracování osobních údajů spočívající v použití těchto údajů k hodnocení některých osobních aspektů vztahujících se k fyzické osobě, zejména k analyzování a odhadování aspektů týkajících se pracovního výkonu, ekonomické situace, zdravotního stavu, osobních preferencí, zájmů, spolehlivosti, chování, místa bydliště nebo pohybu dotyčné fyzické osoby. Pokud subjekt údajů vznese námitku proti zpracování pro účely přímého marketingu, nesmějí již osobní údaje být pro tyto účely zpracovávány. Subjekt údajů musí být navíc na toto právo výslovně a zřetelně upozorněn, a to nejpozději v okamžiku první komunikace správce osobních údajů se subjektem údajů.

Kromě toho postoj Rady v prvním čtení obsahuje odkaz na on-line funkci „nesledovat“ (do-not-track), a uvádí, že v souvislosti s využíváním služeb informační společnosti může subjekt údajů uplatňovat své právo vznést námitku automatizovanými prostředky pomocí technických specifikací.

4.9.   Automatizované individuální rozhodování, včetně profilování

Subjekt údajů má právo nebýt předmětem žádného rozhodnutí založeného výhradně na automatickém zpracování, které hodnotí osobní aspekty týkající se jeho osoby a které má pro něj právní účinky nebo se jej obdobným způsobem významně dotýká. Jako příklad slouží automatické zamítnutí on-line žádosti o úvěr nebo postupy elektronického náboru bez jakéhokoliv lidského zásahu. Takové automatickém zpracování může zahrnovat profilování. Toto právo nebýt předmětem automatického zpracování se nepoužije, pokud:

Postavení subjektu údajů je dále posíleno, neboť správce je povinen poskytnout mu, pokud je to nezbytné k zajištění spravedlivého a transparentního zpracování, informace o existenci automatického rozhodování, včetně profilování, a přinejmenším v těchto případech smysluplné informace týkající se použitého postupu, jakož i významu a předpokládaných důsledků takového zpracování pro subjekt údajů.

V neposlední řadě je automatické rozhodování a profilování založené na zvláštních kategoriích osobních údajů povoleno pouze za určitých podmínek, včetně práva subjektu údajů vznést námitku vůči takovému zpracování, pokud jsou dané osobní údaje dále zpracovávány pro účely vědeckého či historického výzkumu nebo pro statistické účely, pokud není zpracování nezbytné pro splnění úkolu prováděného ve veřejném zájmu.

Evropský sbor pro ochranu údajů může vydávat pokyny, doporučení a osvědčené postupy za účelem dalšího vymezení kritérií a podmínek pro rozhodování na základě profilování.

5.    Správce a zpracovatel

5.1.   Úvod

Postoj Rady v prvním čtení stanoví právní rámec pro odpovědnost za jakékoli zpracování osobních údajů prováděné správcem nebo zpracovatelem jménem správce. V souladu se zásadou odpovědnosti je správce povinen zavést vhodná technická a organizační opatření a být schopen prokázat soulad operací zpracování s nařízením. V této souvislosti stanoví nařízení pravidla týkající se odpovědnosti správce ohledně posouzení vlivu, vedení záznamů o zpracování údajů, porušení ochrany osobních údajů, jmenování pověřence pro ochranu údajů a kodexů chování a mechanismů pro vydávání osvědčení.

5.2.   Posouzení vlivu

Správce je odpovědný za provedení posouzení vlivu na ochranu údajů, aby vyhodnotil případy, kdy je pravděpodobné, že zpracování bude představovat vysoké riziko pro práva a svobody fyzických osob. Postoj Rady v prvním čtení stanoví případy, kdy je posouzení vlivu na ochranu údajů zejména nutné, například určité operace rozsáhlého zpracování údajů. Pokud z takového posouzení vlivu vyplývá, že operace zpracování údajů představují vysoké riziko, které správce nemůže vhodnými opatřeními zmírnit, s ohledem na dostupné technologie a náklady na provedení, musí být před zpracováním konzultován dozorový úřad. Dozorový úřad poté může poskytnout správci poradenství a využít jakékoli ze svých pravomocí.

Evropský sbor pro ochranu údajů může vydávat pokyny týkající se operací zpracování údajů, jež pravděpodobně představují vysoké riziko pro práva a svobody fyzických osob, a stanovovat, jaká opatření mohou být v takových případech k řešení možného rizika postačující.

5.3.   Záznamy o zpracování údajů

Aby bylo dozorovému úřadu umožněno provádět následné kontroly, musí vést správce, nebo případně zástupce správce nebo zpracovatel záznamy o činnostech zpracování, za něž je odpovědný, včetně případů porušení ochrany osobních údajů. S cílem snížit administrativní zátěž se povinnost vedení záznamů nepoužije pro podniky nebo organizace zaměstnávající méně než 250 osob, ledaže zpracování, které provádějí, může představovat riziko pro práva a svobody subjektů údajů, zpracování není příležitostné, nebo zahrnuje zpracování citlivých údajů či údajů týkajících se rozsudků v trestních věcech a trestných činů.

5.4.   Porušení zabezpečení osobních údajů

Porušení zabezpečení osobních údajů může způsobit fyzickým osobám fyzickou, hmotnou či nehmotnou újmu, jako je ztráta kontroly nad jejich osobními údaji nebo omezení jejich práv, diskriminace, krádež nebo zneužití identity, finanční ztráta, neoprávněné zrušení pseudonymizace, poškození pověsti, ztráta důvěrnosti údajů chráněných služebním tajemstvím nebo jakékoliv jiné hospodářské či společenské znevýhodnění dotčených osob. Postoj Rady v prvním čtení stanoví, že správci musí porušení zabezpečení osobních údajů ohlásit dozorovým úřadům, ledaže je nepravděpodobné, že by dané porušení zabezpečení údajů mělo za následek riziko pro práva a svobody fyzických osob. Musí rovněž oznámit dotčeným subjektům údajů porušení, pokud je pravděpodobné, že mohou představovat vysoké riziko. Ohlášení umožní dozorovým úřadům, aby v případě potřeby zasáhly. Kromě toho oznámení příslušnému subjektu údajů umožní, aby přijal preventivní opatření.

S cílem snížit administrativní zátěž uvádí postoj Rady v prvním čtení různé prahové hodnoty pro ohlášení dozorovému úřadu a pro oznámení příslušným subjektům údajů, přičemž prahová hodnota pro oznámení je vyšší než pro ohlášení. Jakmile se správci o porušení zabezpečení osobních údajů dozvědí, jsou povinni jej bez zbytečného odkladu, a je-li to možné, nejpozději do 72 hodin poté, co se o něm dozvěděli, ohlásit příslušnému dozorovému úřadu. Správci však mohou od ohlášení upustit, pokud jsou schopni prokázat, že je nepravděpodobné, že by dané porušení zabezpečení osobních údajů mělo za následek riziko pro práva a svobody fyzických osob. Kromě některých výjimek jsou správci povinni bez zbytečného odkladu oznámit příslušným subjektům údajů porušení zabezpečení osobních údajů, pokud je pravděpodobné, že toto porušení bude představovat vysoké riziko pro práva a svobody těchto fyzických osob.

Evropský sbor pro ochranu údajů může vydávat pokyny, doporučení a osvědčené postupy týkající se zjištění porušení zabezpečení osobních údajů a určení zbytečného odkladu poté, co se správce dozvěděl o porušení, jakož i konkrétních okolností, za nichž je správce povinen porušení ohlásit, a rovněž okolností, za nichž je pravděpodobné, že toto porušení bude představovat vysoké riziko pro práva a svobody fyzických osob.

5.5.   Pověřenec pro ochranu údajů

Účelem jmenování pověřence pro ochranu údajů je zlepšit soulad s nařízením. Pověřencem pro ochranu údajů proto musí být osoba s odbornými znalostmi v oblasti právních předpisů a postupů týkajících se ochrany údajů, jež je nápomocna správci nebo zpracovateli při monitorování vnitřního souladu s tímto nařízením. Může být pracovníkem správce či zpracovatele, nebo může úkoly plnit na základě smlouvy o poskytování služeb. Lze rovněž jmenovat jednoho pověřence pro ochranu údajů pro skupinu podniků nebo v případě, že správce nebo zpracovatel je orgán veřejné moci. Postoj Rady v prvním čtení stanoví povinné jmenování pověřence pro ochranu údajů, pokud:

5.6.   Kodexy chování a mechanismy pro vydávání osvědčení

Postoj Rady v prvním čtení vybízí k uplatňování kodexů chování a prosazuje širší využívání mechanismů pro vydávání osvědčení o ochraně údajů a pečetí a známek dokládajících ochranu údajů. Tyto podněty přispívají k souladu s pravidly pro ochranu údajů a zároveň zabraňují příliš normativním pravidlům a vedou ke snížení nákladů orgánů veřejné moci příslušných pro vymáhání. Kromě toho mohou kodexy chování zohlednit konkrétní povahu zpracování prováděného v některých odvětvích a konkrétní potřeby mikropodniků a malých a středních podniků. Mechanismy pro vydávání osvědčení a pečetě a známky dokládající ochranu údajů přispívají svým dílem k souladu s tímto nařízením, jelikož subjekty údajů mohou snadno posoudit úroveň ochrany údajů u příslušných produktů a služeb.

Postoj Rady v prvním čtení obsahuje podrobný soubor pravidel pro kodexy chování a mechanismy pro vydávání osvědčení o ochraně údajů, pečetě a známky dokládající ochranu údajů, které dávají prostor soukromým iniciativám a zároveň chrání normy pro ochranu údajů prostřednictvím zapojení dozorových úřadů.

5.6.1.   Kodexy chování

Dozorový úřad může schválit kodexy chování nebo jejich změny či rozšíření. Pokud se návrh kodexu chování týká činností zpracování v několika členských státech, musí příslušný dozorový úřad před schválením předložit návrh kodexu nebo jeho změnu či rozšíření Evropskému sboru pro ochranu údajů za účelem vydání stanoviska.

Komise může přijmout prováděcí akty, aby rozhodla, že nové kodexy chování a úpravy či rozšíření stávajících kodexů chování, schválených příslušným dozorovým úřadem, mají všeobecnou platnost v rámci Unie.

Evropský sbor pro ochranu údajů by měl podporovat vypracovávání kodexů chování. Musí rovněž všechny schválené kodexy chování a jejich změny shromáždit v registru a prostřednictvím jakýchkoli vhodných prostředků je zpřístupnit veřejnosti.

5.6.2.   Mechanismy pro vydávání osvědčení, pečetě a známky dokládající ochranu údajů

Postoj Rady v prvním čtení stanoví, že každý členský stát musí stanovit, zda jsou subjekty pro vydávání osvědčení akreditovány dozorovým úřadem nebo vnitrostátním akreditačním orgánem. Akreditované subjekty pro vydávání osvědčení mohou vydávat osvědčení správcům a zpracovatelům na základě kritérií schválených příslušným dozorovým úřadem nebo, v souladu s mechanismem jednotnosti, Evropským sborem pro ochranu údajů. V takovém případě mohou kritéria, která schválil Evropský sbor pro ochranu údajů, vyústit ve vydání společného osvědčení, Evropské pečeti ochrany údajů. Osvědčení se vydává správci nebo zpracovateli na dobu nejvýše tří let a lze je obnovit. Subjekt pro vydávání osvědčení sdělí příslušnému dozorovému úřadu důvody pro vydání nebo odebrání požadovaného osvědčení. Následně může dozorový úřad osvědčení zamítnout nebo je prohlásit za neplatné.

Komise má pravomoc přijímat akty v přenesené pravomoci za účelem upřesnění požadavků, které je třeba zohlednit v souvislosti s mechanismy pro vydávání osvědčení o ochraně údajů. Evropský sbor pro ochranu údajů musí vydat stanovisko k těmto požadavkům. Komise může také přijmout prováděcí akty, pokud jde o technické normy pro mechanismy vydávání osvědčení a pro pečeti a známky dokládající ochranu údajů a mechanismy pro prosazování a uznávání mechanismů vydávání osvědčení a pečetí a známek dokládajících ochranu údajů.

Evropský sbor pro ochranu údajů by v neposlední řadě měla podnítit zavedení mechanismů pro vydávání osvědčení o ochraně údajů a pečetí a známek dokládajících ochranu údajů.

6.    Předávání osobních údajů do třetích zemí nebo mezinárodním organizacím

6.1.   Úvod

Pro rozvoj globálního obchodu a přeshraniční digitální ekonomiky jsou nezbytné přeshraniční toky osobních údajů do zemí mimo Unii a do mezinárodních organizací a z těchto zemí a organizací. Úroveň ochrany zaručená Unií nesmí být ohrožena, pokud jsou osobní údaje občanů EU převáděny mimo Unii.

Obecnou zásadou je, že k jakémukoli předání osobních údajů do třetí země nebo mezinárodní organizaci může dojít pouze tehdy, dodrží-li správce a zpracovatel pravidla stanovená nařízením. Postoj Rady v prvním čtení plně zohledňuje judikaturu Soudního dvora Evropské unie, včetně jeho rozhodnutí ze dne 6. října 2015 ve věci C-362/14. Postoj Rady zachovává různé způsoby umožňující přeshraniční předávání osobních údajů a zároveň posiluje záruky, že práva na ochranu údajů budou dodržena. Těmito různými způsoby předávání osobních údajů jsou rozhodnutí o odpovídající ochraně, vhodné záruky a odchylky.

Postoj Rady v prvním čtení objasňuje, že jakýkoli rozsudek soudního orgánu a jakékoli rozhodnutí správního orgánu třetí země, jež po správci nebo zpracovateli požadují předání nebo zpřístupnění osobních údajů, lze jakýmkoli způsobem uznat nebo vymáhat, pouze pokud vycházejí z mezinárodní dohody, která je v platnosti mezi žádající třetí zemí a Unií nebo členským státem. Kromě toho postoj Rady v prvním čtení výslovně stanoví, že takovými mezinárodními dohodami nejsou dotčeny jiné důvody pro přeshraniční předávání uvedená v nařízení.

6.2.   Rozhodnutí o odpovídající ochraně

Mezinárodní předávání se může uskutečnit na základě rozhodnutí Komise o odpovídající ochraně, že tato třetí země nebo území nebo jedno či více konkrétních odvětví v dané třetí zemi, nebo dotyčná mezinárodní organizace zajišťují úroveň ochrany v zásadě rovnocennou úrovni ochrany zaručené v Unii. Tak je zajištěna právní jistota a jednotný přístup v celé Unii.

Komise může rozhodnout o zrušení rozhodnutí o odpovídající ochraně, pokud tuto skutečnost dotčené třetí zemi nebo mezinárodní organizaci oznámila a plně odůvodnila. Komise přijímá rozhodnutí o odpovídající ochraně i rozhodnutí o zrušení takových rozhodnutí jako prováděcí akty. V prováděcích aktech musí být stanoven mechanismus pro pravidelný přezkum prováděný nejméně každé čtyři roky. Komise musí monitorovat vývoj ve třetích zemích a mezinárodních organizacích, jenž by mohl ovlivnit fungování rozhodnutí o odpovídající ochraně. Pro účely monitorování a provádění pravidelných přezkumů by Komise měla zohlednit názory a zjištění Evropského parlamentu a Rady, jakož i jiné příslušné orgány a zdroje. V rámci hodnocení a přezkumu nařízení musí Komise rovněž pravidelně předkládat zprávu Radě a Evropskému parlamentu. V neposlední řadě musí Evropský sbor pro ochranu údajů poskytnout Komisi stanovisko pro posouzení odpovídající úrovně ochrany ve třetí zemi nebo v mezinárodní organizaci i pro posouzení, zda již není zajištěna odpovídající úroveň ochrany.

Rozhodnutí přijatá Komisí na základě čl. 25 odst. 6 směrnice 95/46/ES zůstávají platná až do chvíle, kdy je rozhodnutí Komise změní, nahradí nebo zruší. Ve stejném duchu platí, že povolení členského státu nebo dozorového úřadu na základě čl. 26 odst. 2 směrnice 95/46/ES a rozhodnutí přijatá Komisí na základě čl. 26 odst. 4 směrnice 95/46/ES zůstávají platná až do chvíle, kdy je daný dozorový úřad nebo rozhodnutí Komise podle potřeby změní, nahradí nebo zruší. Tím, že zajišťuje kontinuitu, poskytuje postoj Rady v prvním čtení právní jistotu.

6.3.   Vhodné záruky

Kromě rozhodnutí o odpovídající ochraně se mezinárodní předání může uskutečnit také, pokud správce nebo zpracovatel přijal vhodné záruky k vyrovnání nedostatků úrovně ochrany údajů ve třetí zemi nebo mezinárodní organizaci. Tyto záruky mohou spočívat v právně závazných a vymahatelných nástrojích mezi orgány veřejné moci nebo subjekty, závazných podnikových pravidlech, standardních doložkách o ochraně údajů přijatých Komisí, standardních doložkách o ochraně údajů přijatých dozorovým úřadem nebo smluvních doložkách schválených dozorovým úřadem. Správci nebo zpracovatelé ve třetí zemi mohou rovněž poskytnout vhodné záruky pro předávání osobních údajů do třetích zemí nebo mezinárodním organizacím. Mohou tak učinit i prostřednictvím schváleného kodexu chování ve spojení se závaznými a vymahatelnými závazky uplatňovat vhodné záruky pomocí smluvních neb jiných právně závazných nástrojů, a to i ohledně práv subjektů údajů. Rovněž tak mohou učinit na základě mechanismu pro vydávání osvědčení schváleného příslušným dozorovým úřadem spolu se závaznými a vymahatelnými závazky správce nebo zpracovatele ve třetí zemi uplatňovat vhodné záruky, a to i ohledně práv subjektů údajů.

6.4.   Výjimky

Jestliže neexistuje rozhodnutí o odpovídající ochraně ani vhodné záruky, může se předání nebo soubor předání osobních údajů do třetí země nebo mezinárodní organizaci uskutečnit na základě výjimek taxativně uvedených v nařízení. Jedna z těchto výjimek se týká oprávněných zájmů správce v případě, že nejsou převýšeny zájmy nebo právy a svobodami subjektu údajů. Aby bylo možné poskytnout dostatečné záruky pro přeshraniční předávání osobních údajů, jsou oprávněné zájmy správce přísně vymezeny a lze se jich dovolávat pouze jako nejkrajnějšího prostředku nápravy (ultimum remedium). V zájmu zajištění jednotného uplatňování nařízení musí Evropský sbor pro ochranu údajů z vlastního podnětu nebo na žádost Komise vydávat a přezkoumávat pokyny, doporučení a osvědčené postupy za účelem dalšího vymezení kritérií a podmínek pro předávání údajů při neexistenci rozhodnutí o odpovídající ochraně či vhodných záruk.

7.    Dozorové úřady

7.1.   Nezávislost

Aby byla chráněna základní práva a svobody fyzických osob v souvislosti se zpracováním jejich osobních údajů a usnadnil se volný pohyb osobních údajů v rámci Unie, musí každý členský stát stanovit, že jeden nebo více nezávislých orgánů veřejné moci ponese odpovědnost za monitorování uplatňování nařízení na jeho území. Každý dozorový úřad a jeho členové musí jednat zcela nezávisle a čestně při plnění úkolů a při výkonu pravomocí svěřených danému dozorovému úřadu a jeho členům.

Každý dozorový úřad musí přispívat k jednotnému uplatňování tohoto nařízení v celé Unii. Za tímto účelem by dozorové úřady měly spolupracovat mezi sebou a s Evropským sborem pro ochranu údajů, jakož i s Komisí. Jednotné používání nařízení je dále zajištěno vymezením příslušnosti dozorových úřadů a definováním úkolů a pravomocí provádět šetření, ukládat nápravná opatření, vydávat povolení a poskytovat poradenství, které musí dozorové úřady přinejmenším mít.

7.2.   Služební tajemství

Postoj Rady v prvním čtení stanoví pravidla týkající se služebního tajemství pro dozorové úřady a jeho členy. Člen či členové a pracovníci každého dozorového úřadu musí být předně, v souladu s právem Unie či členského státu, vázáni během funkčního období i po jeho skončení služebním tajemstvím, pokud jde o veškeré důvěrné informace, o nichž se dozví během plnění svých úkolů či výkonu svých pravomocí. Dále je stanoveno, že během jejich funkčního období se tato povinnost zachovávat služební tajemství vztahuje zejména na podávání zpráv ze strany fyzických osob v případě porušení nařízení. Evropský sbor pro ochranu údajů je pověřen úkolem vydávat pokyny, doporučení a osvědčené postupy pro zavedení společných postupů pro podávání zpráv ze strany fyzických osob v případě porušení nařízení.

8.    Spolupráce a jednotnost

8.1.   Evropský sbor pro ochranu údajů

Aby bylo možné zajistit správné a jednotné uplatňování nařízení, ustanovuje postoj Rady v prvním čtení Evropský sbor pro ochranu údajů jako subjekt Unie s právní subjektivitou. Jeho činnost spočívá zejména ve vydávání stanovisek, přijímání závazných rozhodnutí v rámci řešení sporů mezi dozorovými úřady nebo vydávání pokynů týkajících se jakýchkoli otázek souvisejících s uplatňováním tohoto nařízení za účelem zajištění jednotného prosazování nařízení.

Evropský sbor pro ochranu údajů tvoří vedoucí jednoho dozorového úřadu z každého členského státu a evropský inspektor ochrany údajů nebo jejich zástupci. Komise má právo účastnit se činností a schůzek Evropského sboru pro ochranu údajů bez hlasovacího práva. Pokládá-li to Evropský sbor pro ochranu údajů za nezbytné, jsou jeho jednání důvěrná, jak je stanoveno v jeho jednacím řádu.

V případě, že Evropský sbor pro ochranu údajů přijme závazné rozhodnutí v rámci řešení sporů, má evropský inspektor ochrany údajů hlasovací právo pouze pro rozhodnutí týkající se zásad a pravidel použitelných pro orgány, instituce, úřady a agentury Unie, jež v zásadě odpovídají požadavkům nařízení.

8.2.   Mechanismus jednotnosti

V případě přeshraničního zpracování osobních údajů, do nějž je zapojen více než jeden dozorový úřad, mechanismus jednotnosti zajišťuje, že bude přijato jediné rozhodnutí, které bude platné v celé Evropské unii, přičemž budou zohledněna stanoviska různých dotčených dozorových úřadů. Mechanismus jednotnosti tudíž posiluje blízkost mezi subjekty údajů a rozhodujícím dozorovým úřadem prostřednictvím zapojení „místních“ dozorových úřadů do procesu rozhodování. Kromě toho má Evropský sbor pro ochranu údajů v případě sporů mezi dozorovými úřady z různých členských států pravomoc vydávat závazná rozhodnutí.

Pravidla mechanismu jednotnosti se nevztahují na případy, kdy zpracování provádějí dozorové úřady nebo soukromé subjekty ve veřejném zájmu. V takových případech je jediným příslušným dozorovým úřadem dozorový úřad členského státu, v němž je orgán veřejné moci či soukromý subjekt usazen.

Postoj Rady v prvním čtení stanoví, že v rámci hodnocení Komise týkajícího se nařízení bude použití mechanismu spolupráce a jednotnosti přezkoumáno.

9.    Právní ochrana, odpovědnost a sankce

Postoj Rady v prvním čtení stanoví podrobný soubor pravidel, která umožňují subjektům údajů několik možností právní ochrany, včetně požadavku na náhradu újmy v důsledku porušení nařízení.

9.1.   Právo podat stížnost a právo na soudní ochranu

Postoj Rady v prvním čtení stanoví, že každý subjekt údajů má právo podat stížnost u některého dozorového úřadu, pokud se domnívá, že zpracování jeho osobních údajů je v rozporu s tímto nařízením. Kromě toho má každý subjekt údajů právo na účinnou soudní ochranu proti právně závaznému rozhodnutí dozorového úřadu, které se jej týká. Má rovněž právo na účinnou právní ochranu, pokud se dozorový úřad stížností nezabývá nebo pokud neinformuje subjekt údajů o vývoji či výsledcích stížnosti.

Každý subjekt údajů má rovněž právo na účinnou soudní ochranu, jestliže se domnívá, že zpracováním jeho osobních údajů v rozporu s tímto nařízení byla porušena jeho práva podle nařízení.

Je zajištěna blízkost mezi subjektem údajů a vnitrostátním soudem, neboť subjekt údajů má nárok na to, aby rozhodnutí jeho úřadu pro ochranu údajů bylo přezkoumáno jeho vnitrostátním soudem bez ohledu na to, ve kterém členském státě je správce nebo zpracovatel údajů usazen. Řízení proti správci nebo zpracovateli musí být zahájeno u soudů toho členského státu, v němž má daný správce nebo zpracovatel provozovnu. Řízení lze popřípadě zahájit i u soudů členského státu, kde má subjekt údajů své obvyklé bydliště, s výjimkou případů, kdy je správce nebo zpracovatel orgánem veřejné moci některého členského státu, který jedná v rámci výkonu veřejné moci.

V neposlední řadě má každá fyzická nebo právnická osoba právo podat žalobu na neplatnost rozhodnutí Evropského sboru pro ochranu údajů u Soudního dvora Evropské unie za podmínek stanovených v článku 263 SFEU.

9.2.   Zastupování subjektů údajů

Subjekt údajů má právo pověřit subjekty, organizace nebo sdružení, které splňují konkrétní kritéria a působí například na neziskovém základě a v oblasti ochrany osobních údajů, aby podaly jeho jménem stížnost a uplatnily jeho jménem právo na soudní ochranu nebo uplatnily jeho jménem právo na náhradu újmy, je-li to stanoveno v právu členského státu. Cílem těchto zvláštních kritérií je zabránit tomu, aby se nároky v oblasti ochrany údajů uplatňovaly způsobem obvyklým pro obchodněprávní nároky. Členské státy mohou dále stanovit, že takový subjekt, organizace nebo sdružení má bez ohledu na mandát subjektu údajů právo vznést v daném členském státě stížnost u příslušného dozorového úřadu a vykonávat práva na soudní ochranu, pokud se domnívá, že zpracováním osobních údajů, které je v rozporu s nařízením, byla porušena práva subjektu údajů.

9.3.   Přerušení řízení

S cílem zabránit tomu, aby se u různých soudů vedlo řízení týkající se stejného předmětu, pokud jde o zpracování prováděné týmž správcem nebo zpracovatelem, může kterýkoliv z příslušných soudů, u nichž nebylo řízení zahájeno jako první, řízení přerušit, nebo se na návrh jedné ze stran prohlásit za nepříslušný.

9.4.   Právo na náhradu újmy a odpovědnost

Postoj v prvním čtení stanoví, že jakýkoli subjekt údajů, který utrpěl hmotnou či nehmotnou újmu v důsledku porušení tohoto nařízení, má právo obdržet od správce nebo zpracovatele náhradu újmy. S cílem poskytnout subjektům údajů možnost požadovat náhradu utrpěné újmy a současně zajistit právní jistotu pro správce a zpracovatele stanoví nařízení jejich odpovědnosti. Správce zapojený do zpracování je odpovědný za újmu způsobenou jeho zpracováním. Zpracovatel je odpovědný pouze v případě, že nesplnil povinnosti stanovené tímto nařízením konkrétně pro zpracovatele nebo jednal nad rámec zákonných pokynů správce nebo v rozporu s nimi. Správce nebo zpracovatel jsou však odpovědnosti zproštěni, pokud prokáží, že nenesou žádným způsobem odpovědnost za událost, která ke vzniku újmy vedla.

Je-li do téhož zpracování zapojen více než jeden správce nebo zpracovatel, nebo správce a zpracovatel, a nesou-li odpovědnost za jakoukoliv újmu způsobenou daným zpracováním, je každý správce nebo zpracovatel odpovědný za celou újmu, aby tak bylo zajištěna účinná náhrada újmy subjektu údajů. Jestliže však některý správce nebo zpracovatel zaplatil plnou náhradu způsobené újmy, má právo žádat od ostatních správců nebo zpracovatelů zapojených do téhož zpracování vrácení části náhrady, která odpovídá jejich podílu na odpovědnosti za újmu.

9.5.   Sankce

V zájmu zajištění souladu s tímto nařízením postoj Rady v prvním čtení stanoví, že dozorové úřady mohou ukládat správní pokuty. Tyto správní pokuty musí být účinné, přiměřené a odrazující. Každý členský stát může stanovit pravidla, zda a do jaké míry je možno ukládat správní pokuty orgánům veřejné moci či veřejným subjektům usazeným v daném členském státě. Vedle ukládání správních pokut mohou dozorové úřady využívat také jiné nápravné pravomoci, jako jsou upozornění či napomenutí. V zájmu větší harmonizace musí Evropský sbor pro ochranu údajů vypracovat pokyny pro dozorové úřady ohledně uplatňování nápravných pravomocí dozorového úřadu a stanovení správních pokut.

Postoj Rady v prvním čtení obsahuje seznam kritérií pro dozorový úřad při rozhodování o tom, zda uložit správní pokutu, a pokud ano, v jaké výši. Tato kritéria se týkají mimo jiné povahy, závažnosti a délky trvání porušení nařízení nebo jeho úmyslného či nedbalostního charakteru. Nařízení uvádí seznam porušení i odpovídající maximální výši správních pokut. V rámci těchto maximálních výší správních pokut musí dozorový úřad určit vhodnou částku v závislosti na okolnostech každého individuálního porušení. Aby byla zajištěna právní jistota pro správce a zpracovatele a posílena harmonizace správních pokut v rámci Unie a současně zachován prostor pro uvážení dozorových úřadů, jsou tato porušení rozdělena do tří kategorií. Za porušení první kategorie týkající se povinností správce a zpracovatele mohou být uloženy pokuty až do výše 10 000 000 EUR, nebo jedná-li se o podnik, až do výše 2 % celkového ročního obratu celosvětově za předchozí finanční rok, podle toho, která hodnota je vyšší. Druhá kategorie porušení práv subjektů údajů a obecných zásad má strop ve výši 20 000 000 EUR nebo 4 % obratu. Třetí kategorie porušení se týká nesplnění příkazu dozorového úřadu a pokuta za ně rovněž dosahuje maximální výše 20 000 000 EUR nebo 4 % obratu.

10.    Zvláštní situace, při nichž dochází ke zpracování údajů

10.1.   Zpracování osobních údajů a svoboda projevu a informací

Členské státy uvedou prostřednictvím právních předpisů do souladu právo na ochranu osobních údajů s právem na svobodu projevu a informací, včetně zpracování osobních údajů pro novinářské účely a pro účely akademického, uměleckého či literárního projevu. Aby byla zajištěna transparentnost, pokud jde o sladění těchto práv, je každý členský stát povinen ohlásit Komisi příslušná právní ustanovení a jejich změny, jakož i nová příslušná ustanovení.

10.2.   Zpracování v souvislosti se zaměstnáním

Členské státy mohou právním předpisem nebo kolektivními smlouvami stanovit konkrétnější pravidla k zajištění ochrany práv a svobod ve vztahu ke zpracování osobních údajů zaměstnanců v souvislosti se zaměstnáním.

Tato pravidla musí zahrnovat zvláštní a vhodná opatření zajišťující ochranu lidské důstojnosti, oprávněných zájmů a základních práv subjektů údajů. Každý členský stát musí ohlásit Komisi příslušná ustanovení svého práva a jejich změny, jakož i nová příslušná ustanovení.

10.3.   Záruky a odchylky týkající se zpracování osobních údajů pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely

Postoj Rady v prvním čtení stanoví zvláštní pravidla pro zpracování osobních údajů pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely. Cílem těchto pravidel je sladit zájem dostupnosti osobních údajů pro účely vedení archivů, poskytování statistických údajů a provádění výzkumu na jedné straně s právem na ochranu údajů na straně druhé.

Zpracování osobních údajů pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely by mělo podléhat vhodným zárukám práv a svobod subjektu údajů podle tohoto nařízení. Členské státy mají v souvislosti se zpracováním osobních údajů pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely možnost stanovit, za zvláštních podmínek a s výhradou vhodných záruk pro subjekty údajů, upřesnění a odchylky týkající se požadavků na informace a práva na opravu nebo výmaz osobních údajů, práva být zapomenut, práva na omezení zpracování, práva na přenositelnost údajů a práva vznést námitku.

Postoj Rady v prvním čtení rovněž umožňuje odchylky od zákazu zpracování citlivých osobních údajů v případě zpracování pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely. Taková odchylka je možná, pokud je dotčené zpracování založeno na právu Unie nebo členského státu, které musí být přiměřené sledovanému cíli, dodržuje podstatu práva na ochranu údajů a poskytuje vhodné a konkrétní záruky pro ochranu základních práv a zájmů subjektu údajů.

11.    Dříve uzavřené dohody

Postoj Rady v prvním čtení upřesňuje, že mezinárodní dohody zahrnující předávání osobních údajů do třetích zemí či mezinárodním organizacím, které byly uzavřeny členskými státy přede dnem vstupu tohoto nařízení v platnost a jsou v souladu s právními Unie použitelným přede dnem vstupu tohoto nařízení v platnost, zůstávají v platnosti, dokud nebudou změněny, nahrazeny či zrušeny. Tím se zajistí právní jistota pro správce a zabrání zbytečné administrativní zátěži pro členské státy. Bere se tak rovněž v úvahu, že členské státy závisejí na spolupráci třetí země nebo mezinárodní organizace za účelem změny stávajících dohod.

IV.   ZÁVĚR

Postoj Rady v prvním čtení odráží kompromisní dohodu, které bylo za pomoci Komise dosaženo při neformálních jednáních mezi Radou a Evropským parlamentem. Rada vyzývá Evropský parlament, aby formálně schválil postoj Rady v prvním čtení beze změn, aby bylo možné vytvořit nový legislativní rámec EU pro ochranu údajů, který posílí práva na ochranu údajů a zároveň usnadní tok osobních údajů v rámci digitálního trhu.