DÔVODOVÁ SPRÁVA

1. KONTEXT NÁVRHU

Táto dôvodová správa poskytuje spresnenie navrhovaného nového právneho rámca ochrany osobných údajov v EÚ, ktorý bol ustanovený v oznámení COM(2012) 9 v konečnom znení[1]. Navrhovaný nový právny rámec pozostáva z týchto dvoch legislatívnych návrhov:

– návrh nariadenia Európskeho parlamentu o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov (všeobecné nariadenie o ochrane údajov) a

– návrh smernice Európskeho parlamentu a Rady o ochrane fyzických osôb pri spracúvaní osobných údajov príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií a o voľnom pohybe takýchto údajov[2].

Táto dôvodová správa sa týka legislatívneho návrhu všeobecného nariadenia o ochrane údajov.

Hlavný právny predpis EÚ týkajúci sa ochrany osobných údajov, smernica 95/46/ES[3], bol prijatý v roku 1995 a jeho úlohou bolo dosiahnuť dva ciele – chrániť základné právo na ochranu údajov a zaručiť voľný tok osobných údajov medzi členskými štátmi. Smernicu doplnilo rámcové rozhodnutie 2008/977/SVV ako všeobecný nástroj na úrovni Únie určený na ochranu osobných údajov v oblastiach policajnej a justičnej spolupráce v trestných veciach[4].

Rýchly technologický rozvoj so sebou priniesol nové výzvy v oblasti ochrany osobných údajov. Rozsah zdieľania a zhromažďovania údajov sa značne zväčšil. Technológia umožňuje súkromným podnikom a verejným orgánom pri výkone ich činností využívať osobné údaje v doteraz bezprecedentnom rozsahu. Fyzické osoby v čoraz väčšej miere zverejňujú svoje osobné údaje, a to aj v globálnom meradle. Technológia zmenila ekonomiku aj sociálny život.

Kľúčom hospodárskeho rozvoja je vybudovanie dôvery v online prostredie. Nedostatok dôvery spotrebiteľov spôsobuje ich váhanie pri nákupe online a akceptovaní nových služieb. Vyvoláva to riziko spomalenia rozvoja inovatívneho využívania nových technológií. Ochrana osobných údajov preto zohráva hlavnú úlohu pri iniciatíve Digitálna agenda pre Európu[5] a vo všeobecnosti pri plnení stratégie Európa 2020[6].

V článku 16 ods. 1 Zmluvy o fungovaní Európskej únie (ZFEÚ), ktorý bol zavedený Lisabonskou zmluvou, sa stanovuje zásada, že každý má právo na ochranu osobných údajov, ktoré sa ho týkajú. Okrem toho v článku 16 ods. 2 ZFEÚ zaviedla Lisabonská zmluva osobitný právny základ pre prijatie pravidiel ochrany osobných údajov. V článku 8 Charty základných práv EÚ je zakotvená ochrana osobných údajov ako základné právo.

Európska rada vyzvala Komisiu, aby zhodnotila fungovanie nástrojov EÚ v oblasti ochrany údajov a v prípade potreby predstavila ďalšie legislatívne a nelegislatívne iniciatívy[7]. Európsky parlament vo svojej rezolúcii[8] o Štokholmskom programe uvítal komplexný systém ochrany údajov v EÚ a okrem iného vyzval k revízii rámcového rozhodnutia. Komisia vo svojom akčnom pláne na implementáciu Štokholmského programu[9] zdôraznila potrebu zabezpečiť, aby sa základné právo na ochranu osobných údajov uplatňovalo v kontexte politík EÚ konzistentne.

Vo svojom oznámení „Komplexný prístup k ochrane osobných údajov v Európskej únii“[10] Komisia dospela k záveru, že EÚ potrebuje komplexnejšiu a konzistentnú politiku, pokiaľ ide o základné právo na ochranu osobných údajov.

Príslušné ciele a zásady súčasného rámca zostávajú naďalej platné, rámec však nezabránil rozdielnostiam v spôsobe, akým sa ochrana osobných údajov implementuje v rámci Únie, nezabránil právnej neistote a rozšírenému pocitu verejnosti, že najmä s výkonom online aktivít, sú spojené značné riziká[11]. Z tohto dôvodu je načase vytvoriť silnejší a komplexnejší rámec ochrany údajov v EÚ, ktorého uplatňovanie by sa dôrazne presadzovalo a ktorý by umožnil rozvoj digitálnej ekonomiky v rámci vnútorného trhu, umožnil fyzickým osobám kontrolovať ich vlastné údaje a posilnil právnu a praktickú istotu pre hospodárske subjekty a verejné orgány.

2. VÝSLEDKY KONZULTÁCIÍ SO ZAINTERESOVANÝMI STRANAMI A POSÚDENIE VPLYVU

Táto iniciatíva je výsledkom rozsiahlych konzultácií so všetkými hlavnými zainteresovanými stranami o revízii súčasného právneho rámca ochrany osobných údajov, ktoré trvali viac ako dva roky a zahŕňali konferenciu na vysokej úrovni, ktorá sa konala v máji 2009[12]. Konzultácie prebiehali v dvoch fázach:

– Od 9. júla do 31. decembra 2009 prebiehali konzultácie o právnom rámci pre základné právo na ochranu osobných údajov. Komisii bolo doručených 168 odpovedí, 127 bolo od fyzických osôb, obchodných organizácií a združení a 12 od verených orgánov[13].

– Od 4. novembra 2010 do 15. januára 2011 prebiehali konzultácie o komplexnom prístupe Komisie k ochrane osobných údajov v Európskej únii. Komisii bolo doručených 305 odpovedí, z nich bolo 54 od občanov, 31 od verejných orgánov a 220 bolo od súkromných organizácií, najmä od obchodných združení a mimovládnych organizácií[14].

Boli vykonané aj cielené konzultácie s hlavnými zainteresovanými stranami. V júni a júli 2010 boli zorganizované osobitné podujatia s orgánmi členských štátov a so zainteresovanými stranami zo súkromného sektora, ako aj s organizáciami z oblasti ochrany súkromia, ochrany údajov a ochrany spotrebiteľov[15]. V novembri 2010 zorganizovala podpredsedníčka Európskej komisie Redingová diskusiu pri okrúhlom stole o reforme v oblasti ochrany údajov. Komisia a Rada Európy 28. januára 2011 (Deň ochrany údajov) zorganizovali spoločnú konferenciu na vysokej úrovni, na ktorej sa diskutovalo o otázkach týkajúcich sa reformy právneho rámca EÚ, ako aj o potrebe celosvetovo platných spoločných noriem ochrany údajov[16]. Maďarské a poľské predsedníctva Rady hostili v dňoch 16. – 17. júna 2011 a 21. septembra 2011 dve konferencie o ochrane údajov.

Počas roku 2011 sa konali odborné workshopy a semináre o osobitných otázkach. Európska agentúra pre bezpečnosť sietí a informácií (ENISA)[17] zorganizovala v januári workshop o oznámeniach o porušení ochrany údajov v Európe[18]. Komisia vo februári zorganizovala workshop s orgánmi členských štátov, venovaný diskusii o otázkach ochrany v oblasti policajnej a justičnej spolupráce v trestných veciach vrátane implementácie rámcového rozhodnutia a Agentúra pre základné práva zorganizovala konzultačné stretnutie pre zainteresované strany o ochrane údajov a súkromia. Dňa 13. júla 2011 sa konala diskusia s národnými orgánmi pre ochranu údajov o hlavných otázkach reformy. Konzultácia s občanmi EÚ sa uskutočnila prostredníctvom prieskumu Eurobarometer v novembri a decembri 2010[19]. Začalo sa aj s prácou na niekoľkých štúdiách[20]. Pracovná skupina zriadená podľa článku 29[21] poskytla Komisii viaceré stanoviská a užitočné pripomienky[22]. Európsky dozorný úradník pre ochranu údajov takisto vydal komplexné stanovisko o otázkach, ktoré nastolila Komisia vo svojom oznámení z novembra 2010[23].

Európsky parlament schválil vo svojom uznesení zo 6. júla 2011 správu, ktorá podporila prístup Komisie k reforme rámca ochrany údajov[24]. Rada Európskej únie prijala 24. februára 2011 závery, v ktorých v širokej miere podporila zámer Komisie reformovať rámec ochrany údajov a súhlasí s mnohými prvkami prístupu Komisie. Európsky hospodársky a sociálny výbor takisto podporil zámer Komisie zabezpečiť konzistentnejšie uplatňovanie pravidiel ochrany údajov EÚ[25] v rámci všetkých členských štátov a primeranú revíziu smernice 95/46/ES[26].

Počas konzultácií o komplexnom prístupe sa veľká väčšina zainteresovaných strán zhodla na tom, že všeobecné zásady zostávajú platné, ale je potrebné súčasný rámec prispôsobiť tak, aby lepšie reagoval na výzvy, ktoré prináša rýchly rozvoj nových technológií (najmä online) a posilňovanie globalizácie, a to pri súčasnom zachovaní technologickej neutrality právneho rámca. K súčasnej rozdielnosti úprav v oblasti ochrany osobných údajov v Únii bola vyjadrená závažná kritika, a to najmä zo strany hospodárskych zainteresovaných subjektov, ktoré žiadali posilnenie právnej istoty a harmonizáciu pravidiel ochrany osobných údajov. Zložitosť pravidiel týkajúcich sa medzinárodného prenosu osobných údajov pokladajú za prekážku pri ich práci, pretože potrebujú pravidelne prenášať osobné údaje z EÚ do iných častí sveta.

V súlade so svojou politikou „lepšej regulácie“ Komisia vykonala posúdenie vplyvu alternatív politiky. Posúdenie vplyvu sa opieralo o tri politické ciele: zlepšenie ochrany údajov vo vzťahu k vnútornému trhu, zefektívnenie uplatňovania práva na ochranu údajov zo stany fyzických osôb a vytvorenie komplexného a uceleného rámca pokrývajúceho všetky oblasti kompetencií Únie vrátane policajnej a justičnej spolupráce v trestných veciach. Boli posúdené tri politické možnosti s rozličným stupňom intervencie. Prvá možnosť pozostávala z minimálnych legislatívnych zmien a doplnení, použitia výkladových oznámení a z politických podporných opatrení, ako je financovanie programov a technických nástrojov. Druhou možnosťou bol súbor legislatívnych predpisov týkajúcich sa jednotlivých problémov identifikovaných v analýze a tretia možnosť spočívala v centralizácii ochrany údajov na úrovni EÚ prostredníctvom precíznych a podrobných pravidiel pre všetky sektory a v zavedení agentúry EÚ na monitorovanie a presadzovanie týchto predpisov.

Za pomoci medziútvarovej riadiacej skupiny bola každá politická možnosť posudzovaná podľa metodiky Komisie, a to pokiaľ ide o jej účinnosť na dosiahnutie politických cieľov, jej hospodársky vplyv na zainteresované strany (vrátane vplyvu na rozpočet inštitúcií EÚ) a jej sociálny dosah a účinok na základné práva. Dosah na životné prostredie sa neskúmal. Analýza celkového vplyvu viedla k vypracovaniu uprednostnenej politickej možnosti, ktorá sa opiera o druhú možnosť s niektorými prvkami ostatných dvoch možností a ktorá je obsahom súčasného návrhu. Podľa posúdenia vplyvu povedie implementácia tohto návrhu okrem iného k značnému zlepšeniu právnej istoty pre prevádzkovateľov údajov a občanov, k zníženiu administratívnej záťaže, ku konzistentnému uplatňovaniu ochrany údajov v Únii, k skutočnému uplatňovaniu práv na ochranu osobných údajov zo strany fyzických osôb v rámci EÚ a k účinnému dozoru nad ochranou údajov a uplatňovaniu tejto ochrany. Očakáva sa, že implementácia uprednostnených politických možností takisto prispeje k splneniu cieľa Komisie – zjednodušeniu a zníženiu administratívneho zaťaženia – a k cieľom Digitálnej agendy pre Európu, akčného plánu na implementáciu Štokholmského programu a k cieľom stratégie Európa 2020.

Výbor na posudzovanie vplyvu poskytol k návrhu posúdenia vplyvu 9. septembra 2011 svoje stanovisko. Podľa stanoviska výboru boli v posúdení vplyvu vykonané tieto zmeny:

– boli ozrejmené ciele súčasného právneho rámca (s uvedením, do akej miery boli alebo neboli splnené), ako aj ciele plánovanej reformy,

– do oddielu, v ktorom sú vymedzené problémy, boli pridané ďalšie dôkazy a vysvetlenia/ozrejmenia,

– bol pridaný oddiel o proporcionalite,

– všetky výpočty a odhady týkajúce sa administratívneho zaťaženia v základnom scenári a v uprednostnenej možnosti boli v plnej miere preskúmané a zrevidované a ozrejmila sa súvislosť medzi nákladmi na oznámenia a nákladmi spôsobenými všeobecnou rozdielnosťou úprav (vrátane prílohy 10),

– lepšie boli špecifikované vplyvy na mikropodniky a malé a stredné podniky, najmä pokiaľ ide o úradníkov pre ochranu údajov a posúdenia vplyvu na ochranu údajov.

Správa o posúdení vplyvu a zhrnutie sú uverejnené spolu s návrhmi.

3. PRÁVNE PRVKY NÁVRHU 3.1. Právny základ

Tento návrh sa opiera o článok 16 ZFEÚ, ktorý je novým právnym základom pre prijatie pravidiel ochrany údajov zavedeným Lisabonskou zmluvou. Toto ustanovenie umožňuje prijať pravidlá týkajúce sa ochrany fyzických osôb, pokiaľ ide o spracúvanie osobných údajov zo strany členských štátov pri výkone činností, ktoré patria do rozsahu pôsobnosti práva Únie. Umožňuje aj prijatie pravidiel týkajúcich sa voľného pohybu osobných údajov vrátane osobných údajov spracovávaných členskými štátmi alebo súkromnými subjektmi.

Nariadenie sa považuje za najvhodnejší právny nástroj na vymedzenie rámca ochrany osobných údajov v Únii. Priame uplatňovanie nariadenia v súlade s článkom 288 ZFEÚ zníži rozdielnosť právnych úprav a poskytne väčšiu právnu istotu zavedením harmonizovaného súboru základných pravidiel, zlepšením ochrany základných práv fyzických osôb a prispením k fungovaniu vnútorného trhu.

Na článok 114 ods. 1 ZFEÚ je potrebné odkázať len v súvislosti so zmenou a doplnením smernice 2002/58/ES, keďže smernica stanovuje aj ochranu oprávnených záujmov účastníkov, ktorí sú právnickými osobami.

3.2. Subsidiarita a proporcionalita

Podľa zásady subsidiarity (článok 5 ods. 3 ZEÚ) opatrenia na úrovni Únie by sa mali prijať len vtedy, keď predpokladané ciele nemôžu uspokojivo dosiahnuť samotné členské štáty, a preto je možné ich z dôvodu rozsahu alebo účinkov navrhnutých opatrení lepšie dosiahnuť na úrovni Únie. Vzhľadom na uvedené problémy z analýzy otázky subsidiarity vyplýva potreba prijať opatrenia na úrovni EÚ, a to z týchto dôvodov:

– Právo na ochranu osobných údajov zakotvené v článku 8 Charty základných práv si vyžaduje rovnakú úroveň ochrany údajov v celej Únii. Neexistencia spoločných pravidiel na úrovni EÚ by znamenala riziko rozličnej úrovne ochrany v členských štátoch a vytvorila by obmedzenia cezhraničných tokov osobných údajov medzi členskými štátmi s rozličnými normami.

– Osobné údaje sú stále častejšie prenášané cez hranice jednotlivých štátov – vnútorné aj vonkajšie. Okrem toho existujú praktické výzvy týkajúce sa posilnenia právnych predpisov o ochrane údajov a potreba spolupráce medzi členskými štátmi a ich orgánmi, ktorú treba zorganizovať na úrovni EÚ s cieľom zabezpečiť jednotné uplatňovanie práva Únie. EÚ zároveň najlepšie umožňuje zabezpečiť rovnakú úroveň účinnej a konzistentnej ochrany pre fyzické osoby, keď sú ich osobné údaje prenášané do tretích krajín.

– Členské štáty nemôžu samotné znížiť počet problémov pretrvávajúcich za súčasnej situácie, najmä tých, ktoré sú dôsledkom rozdielnosti právnych úprav jednotlivých štátov. Existuje preto osobitná potreba zaviesť harmonizovaný a ucelený rámec umožňujúci bezproblémové prenášanie osobných údajov cez hranice v rámci EÚ pri súčasnom zabezpečení účinnej ochrany pre všetky fyzické osoby v rámci EÚ.

– Navrhované právne opatrenia EÚ budú účinnejšie než by mohli byť podobné opatrenia na úrovni členských štátov, čo je spôsobené povahou a rozsahom problémov, ktoré sa dotýkajú viac ako jedného alebo niekoľkých členských štátov.

Zásada proporcionality vyžaduje, aby každá intervencia bola cielená a neprekračovala rámec toho, čo je potrebné na dosiahnutie cieľov. Táto zásada sprevádzala prípravu tohto návrhu od identifikácie a posúdenia alternatívnych politických možností až po vypracovanie návrhu právneho predpisu.

3.3. Zhrnutie otázok týkajúcich sa základných práv

Právo na ochranu osobných údajov je stanovené v článku 8 charty, v článku 16 ZFEÚ a v článku 8 Európskeho dohovoru o základných právach. Ako zdôraznil Súdny dvor EÚ[27], právo na ochranu osobných údajov sa nejaví ako absolútne právo, ale musí sa zohľadniť so zreteľom na jeho funkciu v spoločnosti[28]. Ochrana údajov úzko súvisí s rešpektovaním súkromného a rodinného života, ktoré sú chránené článkom 7 charty. Túto skutočnosť odráža článok 1 ods. 1 smernice 95/46/ES, v ktorej sa stanovuje, že členské štáty chránia základné práva a slobody fyzických osôb, a najmä ich právo na súkromie v súvislosti so spracúvaním osobných údajov.

Ďalšie potenciálne dotknuté základné práva zakotvené v charte: sloboda prejavu (článok 11 charty), sloboda podnikania (článok 16), vlastnícke právo a najmä ochrana duševného vlastníctva (článok 17 ods. 2), zákaz akejkoľvek diskriminácie, okrem iného z dôvodu rasy, etnického pôvodu, genetických vlastností, náboženstva alebo viery, politického alebo iného zmýšľania, zdravotného postihnutia alebo sexuálnej orientácie (článok 21), práva dieťaťa (článok 24), právo na vysokú úroveň ochrany zdravotnej starostlivosti (článok 35), právo na prístup k dokumentom (článok 42), právo na účinný prostriedok nápravy a na spravodlivý proces (čl. 47).

3.4. Podrobné vysvetlenie návrhu 3.4.1. KAPITOLA I – VŠEOBECNÉ USTANOVENIA

V článku 1 je vymedzený predmet nariadenia a rovnako ako v článku 1 smernice 95/46/ES sú tu stanovené dva ciele nariadenia.

V článku 2 je stanovená vecná pôsobnosť nariadenia.

V článku 3 je stanovená územná pôsobnosť nariadenia.

V článku 4 sú vymedzené pojmy používané v nariadení. Niektoré definície sú prevzaté zo smernice 95/46/ES, iné boli upravené, doplnené o ďalšie prvky alebo sú nové (pojem „porušenie ochrany osobných údajov“ vychádza z článku 2 písm. h) smernice 2002/58/ES[29] o súkromí a elektronických komunikáciách, zmenenej a doplnenej smernicou 2009/136/ES[30], pojmy „genetické údaje“, „biometrické údaje“, „údaje týkajúce sa zdravia“, „ústredie“, „zástupca“, „podnik“, „skupina podnikov“, „záväzné firemné pravidlá“ a „dieťa“ vychádzajú z Dohovoru OSN o právach dieťaťa[31], a pojem „dozorný orgán“).

Do definície súhlasu bolo pridané kritérium „výslovného“ súhlasu, aby sa predišlo paralelnosti s nepochybným súhlasom a aby existovala jediná a konzistentná definícia súhlasu, ktorá by zaručovala, že si dotknutá osoba uvedomí, že poskytla súhlas, a k čomu ho poskytla.

3.4.2. KAPITOLA II - ZÁSADY

V článku 5 sú stanovené zásady týkajúce sa spracúvania osobných údajov, ktoré zodpovedajú zásadám uvedeným v článku 6 smernice 95/46/ES. Ďalšími novými prvkami sú najmä zásada transparentnosti, spresnenie zásady obmedzenia spracovania údajov na nevyhnutné minimum a zavedenie komplexnej zodpovednosti a povinnosti pre prevádzkovateľa.

V článku 6 sa na základe článku 7 smernice 95/46/ES stanovujú podmienky zákonného spracúvania údajov, ktoré sú ďalej špecifikované, pokiaľ ide o vyváženie kritéria záujmu a súlad s právnymi záväzkami a verejným záujmom.

V článku 7 sú uvedené podmienky vyjadrenia súhlasu, ktorý sa pokladá za právoplatný dôvod zákonného spracovania údajov.

V článku 8 sú stanovené ďalšie podmienky zákonnosti spracovania osobných údajov detí v súvislosti so službami informačnej spoločnosti, ktoré sú im priamo ponúkané.

V článku 9 je uvedený všeobecný zákaz spracúvania osobitných kategórií osobných údajov a výnimky z tohto všeobecného pravidla, pričom sa vychádza z článku 8 smernice 95/46/ES.

V článku 10 sa spresňuje, že prevádzkovateľ nie je povinný získať dodatočné informácie na zistenie totožnosti dotknutej osoby výlučne na to, aby dosiahol súlad s niektorým ustanovením tohto nariadenia.

3.4.3. KAPITOLA III – PRÁVA DOTKNUTEJ OSOBY 3.4.3.1. Oddiel I – Transparentnosť a metódy

V článku 11 sa zavádza povinnosť pre prevádzkovateľov poskytnúť transparentné a ľahko dostupné a pochopiteľné informácie, pričom sa vychádza najmä z Madridskej rezolúcie o medzinárodných štandardoch o ochrane osobných údajov a súkromia[32].

V článku 12 je stanovená povinnosť pre prevádzkovateľa zaviesť postupy a mechanizmy na výkon práv dotknutej osoby, a to aj prostredníctvom elektronickej žiadosti, pričom sa vyžaduje odpoveď na žiadosť dotknutej osoby v rámci stanovenej lehoty a uvedenie dôvodov odmietnutia.

Vychádzajúc z článku 12 písm. c) smernice 95/46/ES sa v článku 13 stanovilo právo vo vzťahu k príjemcom, pričom sa toto právo rozšírilo na všetkých príjemcov vrátane spoločných prevádzkovateľov a sprostredkovateľov.

3.4.3.2. Oddiel 2 – Informácie a prístup k údajom

Vychádzajúc z článkov 10 a 11 smernice 95/46/ES sa v článku 14 podrobnejšie stanovujú povinnosti prevádzkovateľa informovať dotknutú osobu, pričom sa stanovuje povinnosť poskytnúť dotknutej osobe aj ďalšie informácie týkajúce sa medzinárodného prenosu a zdroja, z ktorého údaje pochádzajú, vrátane informácií o období, počas ktorého sa informácie budú uchovávať, a o práve podať sťažnosť. Sú tu zachované aj možné výnimky, ktoré sa nachádzali v smernici 95/46/ES, napr. takáto povinnosť nebude existovať, ak je zaznamenávanie alebo sprístupnenie informácií výslovne určené zákonom. Toto ustanovenie by sa mohlo uplatniť napríklad v rámci konaní orgánov hospodárskej súťaže, daňových alebo colných správ alebo útvarov zodpovedných za záležitosti sociálneho zabezpečenia.

V článku 15 je stanovené právo dotknutej osoby na prístup k jej osobným údajom, pričom sa vychádzalo z článku 12 písm. a) smernice 95/46/ES a boli pridané nové prvky, ako je povinnosť informovať dotknuté osoby o období, počas ktorého sa osobné údaje budú uchovávať, o práve na opravu alebo výmaz údajov a o práve podať sťažnosť.

3.4.3.3. Oddiel 3 – Oprava a výmaz

V článku 16 je stanovené právo dotknutej osoby na opravu, pričom sa vychádza z článku 12 ods. b) smernice 95/46/ES.

V článku 17 je stanovené „právo byť zabudnutý“ a právo na výmaz. Ďalej sa v ňom ozrejmuje a špecifikuje právo na výmaz stanovené v článku 12 ods. b) smernice 95/46/ES a stanovujú sa tu podmienky pre uplatnenie práva byť zabudnutý vrátane povinnosti prevádzkovateľa, ktorý osobné údaje zverejnil, informovať tretie strany o požiadavke dotknutej osoby na odstránenie všetkých odkazov na tieto osobné údaje, ich kópií alebo replikácií. Je tu začlenené aj právo na dosiahnutie obmedzenia spracovania údajov v určitých prípadoch, pričom sa vyhlo použitiu mnohovýznamového pojmu „blokovanie“.

V článku 18 sa zavádza právo dotknutej osoby na prenosnosť údajov, t. j. na prenesenie údajov z jedného systému elektronického spracovania do iného bez toho, aby jej v tom prevádzkovateľ bránil. Ako predpoklad uplatnenia tohto práva a s cieľom zlepšiť prístup fyzických osôb k ich osobným údajom sa tu stanovuje právo získať od prevádzkovateľa tieto údaje v štruktúrovanej forme a v bežne používanom elektronickom formáte.

3.4.3.4. Oddiel 4 – Právo namietať a profilovanie

V článku 19 je stanovené právo dotknutej osoby namietať. Vychádza z článku 14 smernice 95/46/ES s určitými úpravami vrátane dôkazného bremena a jeho uplatňovania v rámci priameho marketingu.

Článok 20 sa týka práva dotknutej osoby, aby sa na ňu nevzťahovalo žiadne opatrenie založené na profilovaní. Článok vychádza z článku 15 ods. 1 smernice 95/46/ES o automatizovaných individuálnych rozhodnutiach, pričom boli vykonané úpravy a pridané záruky a zohľadňuje sa odporúčanie Rady Európy o profilovaní[33].

3.4.3.5. Oddiel 5 – Obmedzenia

V článku 21 sa stanovuje právo Únie alebo členských štátov zachovať obmedzenia alebo obmedziť zásady stanovené v článku 5 a práva dotknutej osoby stanovené v článkoch 11 až 20 a v článku 32. Toto ustanovenie vychádza z článku 13 smernice 95/46/ES a z požiadaviek vyplývajúcich z Charty základných práv a Európskeho dohovoru o ochrane ľudských práv a základných slobôd, ako ich vyložili Súdny dvor EÚ a Európsky súd pre ľudské práva.

3.4.4. KAPITOLA IV – PREVÁDZKOVATEĽ A SPROSTREDKOVATEĽ 3.4.4.1. Oddiel 1 – Všeobecné povinnosti

V článku 22 sa zohľadňuje diskusia o „zásade zodpovednosti“ a podrobne sa tu opisuje zodpovednosť a povinnosť prevádzkovateľa dodržiavať ustanovenia tohto nariadenia a preukázať dosiahnutie súladu, a to aj prostredníctvom prijatia interných pravidiel a mechanizmov na zabezpečenie takéhoto súladu.

V článku 23 sú stanovené povinnosti prevádzkovateľa vyplývajúce zo zásady ochrany údajov špecificky navrhnutej a štandardne určenej.

V článku 24 o spoločných prevádzkovateľoch je vymedzená zodpovednosť spoločných prevádzkovateľov, pokiaľ ide o ich interné vzťahy a vzťah k dotknutej osobe.

V článku 25 je pre situácie, kedy sa nariadenie uplatňuje na spracovávanie údajov zo strany prevádzkovateľov so sídlom mimo Únie, stanovená povinnosť určiť za určitých podmienok zástupcu v Únii.

V článku 26 je vymedzené postavenie a povinnosti sprostredkovateľa, pričom sa sčasti vychádza z článku 17 ods. 2 smernice 95/46/ES a boli doň pridané nové prvky vrátane ustanovenia, že sprostredkovateľ, ktorý spracúva údaje nad rámec inštrukcií prevádzkovateľa, sa tiež pokladá za prevádzkovateľa (spoloční prevádzkovatelia).

Článok 27 o spracúvaní na základe právomoci prevádzkovateľa a sprostredkovateľa sa opiera o článok 16 smernice 95/46/ES.

V článku 28 sa zavádza povinnosť pre prevádzkovateľov a sprostredkovateľov, aby uchovávali dokumentáciu o operáciách spracovania v rámci okruhu ich zodpovednosti, pričom táto povinnosť nahrádza povinnosť všeobecného oznámenia dozornému orgánu, ktorá bola stanovená v článku 18 ods. 1 a v článku 19 smernice 95/46/ES.

V článku 29 sú stanovené povinnosti prevádzkovateľa a sprostredkovateľa týkajúce sa spolupráce s dozorným orgánom.

3.4.4.2. Oddiel 2 – Bezpečnosť údajov

V článku 30 je uvedená povinnosť pre prevádzkovateľa a sprostredkovateľa uplatniť primerané opatrenia, aby zaistili bezpečnosť spracovania údajov, pričom sa vychádza z článku 17 ods. 1 smernice 95/46/ES s tým, že sa povinnosť rozširuje na sprostredkovateľov bez ohľadu na zmluvu, ktorú uzavreli s prevádzkovateľom.

V článkoch 31 a 32 sa zavádza povinnosť oznamovať porušenie ochrany osobných údajov, pričom sa vychádza z ustanovenia o oznamovaní porušenia ochrany osobných údajov uvedeného v článku 4 ods. 3 smernice 2002/58/ES o súkromí a elektronických komunikáciách.

3.4.4.3. Oddiel 3 – Posúdenie vplyvu na ochranu údajov a povolenie vopred

V článku 33 sa zavádza povinnosť pre prevádzkovateľov a sprostredkovateľov vykonávať posúdenie vplyvu na ochranu údajov pred vykonávaním operácií spracovania spojených s rizikami.

Článok 34 sa týka prípadov, v ktorých je pred spracovaním potrebné konzultovať s dozorným orgánom a získať jeho povolenie, pričom sa vychádza z koncepcie prvotnej kontroly uvedenej v článku 20 smernice 95/46/ES.

3.4.4.4. Oddiel 4 – Úradník pre ochranu údajov

V článku 35 sa zavádza povinnosť určiť úradníka pre ochranu údajov pre verejný sektor a v prípade súkromného sektora pre veľké podniky, alebo ak hlavné činnosti prevádzkovateľa alebo sprostredkovateľa pozostávajú z operácií spracovania, ktoré si vyžadujú pravidelné a systematické monitorovanie. Tento článok vychádza z článku 18 ods. 2 smernice 95/46/ES, v ktorom bola stanovená možnosť pre členské štáty zaviesť takúto požiadavku namiesto všeobecnej oznamovacej povinnosti.

V článku 36 je stanovené postavenie úradníka pre ochranu údajov.

V článku 37 sú stanovené úlohy úradníka pre ochranu údajov.

3.4.4.5. Oddiel 5 – Kódexy správania a certifikácia

Článok 38 sa týka kódexov správania a vychádza z koncepcie uvedenej v článku 27 ods. 1 smernice 95/46/ES, pričom sa tu spresňuje obsah kódexov a postupov a stanovuje sa právomoc pre Komisiu rozhodovať o všeobecnej platnosti kódexov správania.

V článku 39 sa uvádza možnosť zavádzať mechanizmy certifikácie a plomby a značky pre potreby ochrany údajov.

3.4.5. KAPITOLA V – PRENOS OSOBNÝCH ÚDAJOV DO TRETÍCH KRAJÍN ALEBO MEDZINÁRODNÝM ORGANIZÁCIÁM

V článku 40 je ako všeobecná zásada uvedené, že dodržiavanie podmienok uvedených v tejto kapitole je povinné v prípade akýchkoľvek prenosov osobných údajov do tretích krajín alebo medzinárodným organizáciám vrátane ďalších prenosov.

V článku 41 sú stanovené kritériá, podmienky a postupy pre prijímanie rozhodnutí Komisie o primeranosti, pričom sa vychádza z článku 25 smernice 95/46/ES. Kritériá, ktoré má Komisia zohľadniť pri svojom posudzovaní, či úroveň ochrany je alebo nie je primeraná, zahŕňajú výslovne kritérium existencie právneho štátu, súdnych prostriedkov nápravy a nezávislého dozoru. Článok výslovne potvrdzuje možnosť pre Komisiu posúdiť úroveň ochrany poskytovanú na danom území alebo v určitom sektore spracovania v rámci tretej krajiny.

V článku 42 sa v prípadoch prenosov do tretích krajín, v ktorých Komisia prijala rozhodnutie o primeranosti, požaduje poskytnutie náležitých záruk, najmä v podobe štandardných ustanovení o ochrane údajov, záväzných firemných pravidiel a zmluvných doložiek. Možnosť využiť štandardné ustanovenia o ochrane údajov sa opiera o článok 26 ods. 4 smernice 95/46/ES. Novým prvkom je, že štandardné ustanovenia o ochrane údajov môže teraz prijímať aj dozorný orgán a Komisia ich môže vyhlásiť za všeobecne platné. Záväzné firemné pravidlá sa teraz osobitne uvádzajú v texte predpisu. Možnosť využitia zmluvných doložiek poskytuje prevádzkovateľovi alebo sprostredkovateľovi určitú flexibilitu, ale je potrebné získať vopred povolenie od dozorných orgánov.

V článku 43 sú podrobne opísané podmienky prenosu na základe záväzných firemných pravidiel, ktoré vychádzajú zo súčasnej praxe a požiadaviek dozorných orgánov.

V článku 44 sú uvedené a vymedzené výnimky pre prenos údajov, ktoré sa opierajú o existujúce ustanovenia článku 26 smernice 95/46/ES. Platí to najmä pre prenosy údajov požadované a potrebné na účely ochrany dôležitých verejných záujmov, napríklad v prípade medzinárodných prenosov údajov medzi orgánmi hospodárskej súťaže, daňovými alebo colnými správami alebo medzi orgánmi, ktoré majú na starosti záležitosti sociálneho zabezpečenia alebo riadenie rybolovu. Okrem toho možno prenos údajov za určitých okolností odôvodniť oprávneným záujmom prevádzkovateľa alebo sprostredkovateľa, ale až po posúdení a zdokumentovaní okolností tohto prenosu.

V článku 45 sa výslovne stanovujú mechanizmy medzinárodnej spolupráce na účely ochrany osobných údajov medzi Komisiou a dozornými orgánmi tretích krajín; konkrétne ide o spoluprácu s tými orgánmi, ktoré ponúkajú primeranú úroveň ochrany, pričom sa zohľadňuje odporúčanie Organizácie pre hospodársku spoluprácu a rozvoj (OECD) z 12. júna 2007 o cezhraničnej spolupráci pri presadzovaní právnych predpisov na ochranu súkromia.

3.4.6. KAPITOLA VI – NEZÁVISLÉ DOZORNÉ ORGÁNY 3.4.6.1. Oddiel 1 – Nezávislé postavenie

Vychádzajúc z článku 28 ods. 1 smernice 95/46/ES sa v článku 46 stanovuje povinnosť pre členské štáty zriadiť dozorné orgány, pričom sa rozširujú úlohy týchto dozorných orgánov na spoluprácu medzi sebou a s Komisiou.

V článku 47 sa stanovujú podmienky nezávislosti dozorných orgánov, pričom sa uplatňuje judikatúra Súdneho dvora Európskej únie[34] a vychádza sa aj z článku 44 nariadenia (ES) č. 45/2001[35].

V článku 48 sa stanovujú všeobecné podmienky pre členov dozorného orgánu, pričom sa uplatňuje judikatúra Súdneho dvora Európskej únie[36] a vychádza sa aj z článku 42 ods. 2 až 6 nariadenia (ES) č. 45/2001.

V článku 49 sú stanovenú pravidlá pre zriadenie dozorného orgánu, ktoré musia členské štáty uzákoniť.

Vychádzajúc z článku 28 ods. 7 smernice 95/46/ES sa v článku 50 pre členov a zamestnancov dozorného orgánu stanovuje povinnosť zachovávať služobné tajomstvo.

3.4.6.2. Oddiel 2 – Povinnosti a právomoci

V článku 51 sa vymedzuje pôsobnosť dozorných orgánov. S cieľom zabezpečiť jednotné uplatňovanie (jediné kontaktné miesto) sa všeobecné pravidlo, ktoré sa opiera o článok 28 ods. 6 smernice 95/46/ES (kompetencia na území vlastného členského štátu), doplnilo o novú kompetenciu týkajúcu sa príslušnosti orgánu v prípade, že by prevádzkovateľ alebo sprostredkovateľ mali sídlo vo viacerých členských štátoch. Súdy, ktoré konajú v rámci svojej súdnej právomoci, sú vyňaté z monitorovania dozorného orgánu, nie však z uplatňovania hmotných pravidiel ochrany údajov.

V článku 52 sa stanovujú povinnosti dozorného orgány vrátane prejednávania a vyšetrovania sťažností a zvyšovania informovanosti verejnosti o rizikách, pravidlách, zárukách a právach.

V článku 53 sú stanovené právomoci dozorného orgánu, pričom sa sčasti vychádza z článku 28 ods. 3 smernice 95/46/ES a článku 47 nariadenia (ES) č. 45/2001 avšak pridalo sa niekoľko nových prvkov vrátane právomoci uložiť sankcie za správne delikty.

Vychádzajúc z článku 28 ods. 5 smernice 95/46/ES je v článku 54 pre dozorné orgány stanovená povinnosť predkladať výročné správy o činnosti.

3.4.7. KAPITOLA VII – SPOLUPRÁCA A KONZISTENTNOSŤ 3.4.7.1. Oddiel 1 – Spolupráca

V článku 55 sa zavádzajú výslovné pravidlá o povinnej vzájomnej pomoci vrátane dôsledkov nevyhovenia žiadosti iného dozorného orgánu, pričom sa vychádza za článku 28 ods. 6 druhého pododseku smernice 95/46/ES.

Článok 56 je inšpirovaný článkom 17 rozhodnutia Rady 2008/615/SVV[37] a zavádzajú sa v ňom pravidlá spoločných operácií vrátane práva dozorných orgán zapájať sa do takýchto operácií.

3.4.7.2. Oddiel 2 – Konzistentnosť

V článku 57 sa zavádza mechanizmus konzistentnosti na zabezpečenie jednotného uplatňovania v súvislosti s operáciami spracovania údajov, ktoré sa môžu týkať dotknutých osôb v niekoľkých členských štátoch.

V článku 58 sú stanovené postupy a podmienky pre poskytnutie stanoviska Európskeho výboru pre ochranu údajov.

Článok 59 sa týka stanovísk Komisie k záležitostiam týkajúcim sa mechanizmu konzistentnosti, ktoré môžu podporiť stanovisko Európskeho výboru pre ochranu údajov alebo sa od neho odchyľovať, a k opatreniam navrhnutým dozorným orgánom. Ak bola záležitosť predložená Európskym výborom pre ochranu údajov podľa článku 58 ods. 3, možno očakávať, že Komisia v súlade so svojou právomocou poskytne v prípade potreby stanovisko.

Článok 60 sa týka rozhodnutí Komisie, v ktorých sa od príslušných orgánov požaduje, aby pozastavili návrh opatrenia, ak je to potrebné na zabezpečenie správneho uplatňovania tohto nariadenia.

V článku 61 sa stanovuje možnosť prijatia dočasných opatrení v rámci postupu v naliehavých prípadoch.

V článku 62 sú stanovené požiadavky na Komisiu pri vykonávacích aktoch v rámci mechanizmu konzistentnosti.

V článku 63 sa stanovuje povinnosť vymáhať opatrenia dozorného orgánu vo všetkých dotknutých členských štátoch a takisto sa tu stanovuje, že uplatňovanie mechanizmu konzistentnosti je podmienkou pre právoplatnosť a vymáhateľnosť príslušného opatrenia.

3.4.7.3. Oddiel 3 – Európsky výbor pre ochranu údajov

Článkom 64 sa zriaďuje Európsky výbor pre ochranu údajov, ktorý pozostáva z vedúcich predstaviteľov dozorných orgánov z jednotlivých členských štátov členského štátu a európskeho dozorného úradníka pre ochranu údajov. Európsky výbor pre ochranu údajov nahrádza pracovnú skupinu pre ochranu jednotlivcov so zreteľom na spracovanie osobných údajov, ustanovenú článkom 29 smernice 95/46/ES. Určuje sa tu, že Komisia nie je členom Európskeho výboru pre ochranu údajov, má však právo zúčastňovať sa na činnostiach a byť zastúpená.

V článku 65 sa zdôrazňuje a určuje nezávislosť Európskeho výboru pre ochranu údajov.

Vychádzajúc z článku 30 ods. 1 smernice 95/49/ES sú v článku 66 opísané úlohy Európskeho výboru pre ochranu údajov a stanovujú sa tu dodatočné prvky, pričom sa tu odráža rozšírený rozsah činností Európskeho výboru pre ochranu údajov v rámci Únie a mimo nej. Aby bola Komisia schopná reagovať v naliehavých situáciách, stanovuje sa tu možnosť pre Komisiu požiadať v určitej časovej lehote o stanovisko.

V článku 67 sa od Európskeho výboru pre ochranu údajov vyžaduje, aby každoročne predkladal správu o činnosti, pričom sa vychádza z článku 30 ods. 6 smernice 95/46/ES.

V článku 68 je stanovený postup prijímania rozhodnutí Európskeho výboru pre ochranu údajov vrátane povinnosti prijať rokovací poriadok, ktorý by sa mal vzťahovať aj na pracovné postupy.

V článku 69 sú uvedené ustanovenia o predsedovi a zástupcoch predsedu Európskeho výboru pre ochranu údajov.

V článku 70 sú stanovené úlohy predsedu.

V článku 71 sa stanovuje, že európsky dozorný úradník pre ochranu údajov zabezpečí sekretariát pre Európsky výbor pre ochranu údajov a určujú sa v ňom úlohy sekretariátu.

V článku 72 sa stanovujú pravidlá dôvernosti.

3.4.8. KAPITOLA VIII – PROSTRIEDKY NÁPRAVY, ZODPOVEDNOSŤ A SANKCIE

V článku 73 je stanovené právo každej dotknutej osoby podať sťažnosť dozornému orgánu, pričom sa vychádza z článku 28 ods. 4 smernice 95/46/ES. Sú tu špecifikované aj orgány, organizácie a združenia, ktoré môžu podať sťažnosť v mene dotknutej osoby alebo, v prípade porušenia ochrany osobných údajov, nezávisle od sťažnosti dotknutej osoby.

Článok 74 sa týka práva na súdny prostriedok nápravy voči dozornému orgánu. Vychádza z všeobecného ustanovenia článku 28 ods. 3 smernice 95/46/ES. Stanovuje sa tu výslovne súdny prostriedok nápravy, ktorý dozornému orgánu ukladá povinnosť konať vo veci sťažnosti, a vymedzuje sa tu právomoc súdov členského štátu, v ktorom má dozorný úrad sídlo. Takisto sa tu stanovuje, že dozorný orgán členského štátu, v ktorom má dotknutá osoba bydlisko, môže podať v mene dotknutej osoby návrh na začatie konania na súde iného členského štátu, v ktorom má príslušný dozorný orgán sídlo.

Článok 75 sa týka práva na súdny prostriedok nápravy voči prevádzkovateľovi či sprostredkovateľovi, pričom sa vychádza z článku 22 smernice 95/46/ES, a stanovuje sa aj možnosť výberu súdu v členskom štáte, v ktorom má odporca sídlo, alebo v ktorom má dotknutá osoba bydlisko. Ak prebiehajú konania týkajúce sa tej istej veci v rámci mechanizmu konzistentnosti, súd môže pozastaviť konanie, pokiaľ nejde o naliehavý prípad.

V článku 76 sa stanovujú spoločné pravidlá pre súdne konania vrátane práva orgánov, organizácií alebo združení zastupovať dotknuté osoby na súde, práva dozorných orgánov postupovať súdnou cestou a práva na informovanie súdu o súbežnom konaní v inom členskom štáte a možnosti pre súd pozastaviť v takomto prípade konanie[38]. Členské štáty sú povinné zabezpečiť rýchly priebeh súdneho konania[39].

V článku 77 sa stanovuje právo na kompenzáciu a zodpovednosť. Článok vychádza z článku 23 smernice 95/46/ES a rozširuje toto právo o právo na odškodnenie za škody spôsobené sprostredkovateľom a spresňuje sa zodpovednosť spoločných prevádzkovateľov a sprostredkovateľov.

V článku 78 sa stanovuje povinnosť členských štátov, aby stanovili pravidlá o sankciách uplatniteľných v prípade porušenia ustanovení tohto nariadenia a aby zabezpečili ich vykonávanie.

V článku 79 je uvedená povinnosť pre všetky dozorné orgány uložiť správne sankcie za priestupky uvedené v tomto ustanovení pri zohľadnení okolností každého konkrétneho prípadu, a to až do maximálnej výšky pokuty.

3.4.9. KAPITOLA IX – USTANOVENIA TÝKAJÚCE SA OSOBITNÝCH SITUÁCIÍ SPRACÚVANIA ÚDAJOV

Podľa článku 80 sú členské štáty povinné prijať výnimky a odchýlky z osobitných ustanovení nariadenia, ak je to potrebné na zosúladenie práva na ochranu osobných údajov so slobodou prejavu. Tento článok je založený na článku 9 smernice 95/46/ES, ako bol vyložený Súdnym dvorom EÚ[40].

Na základe článku 81 sú členské štáty povinné nad rámec podmienok pre osobitné kategórie údajov zabezpečiť osobitné záruky v súvislosti so spracúvaním údajov na zdravotné účely.

Na základe článku 82 majú členské štáty právomoc prijímať osobitné zákony o spracúvaní osobných údajov v súvislosti so zamestnávaním.

V článku 83 sú stanovené osobitné podmienky spracúvania osobných údajov na historické, štatistické a vedeckovýskumné účely.

Podľa článku 84 majú členské štáty právomoc prijímať osobitné pravidlá pre dozorné orgány, pokiaľ ide o ich prístup k osobným údajom a do priestorov, ak sa na prevádzkovateľov vzťahuje povinnosť zachovávať mlčanlivosť.

Článok 85 umožňuje v kontexte článku 17 Zmluvy o fungovaní Európskej únie ďalšie uplatňovanie existujúcich komplexných pravidiel cirkví týkajúcich sa ochrany údajov, ak budú uvedené do súladu s týmto nariadením.

3.4.10. KAPITOLA X – DELEGOVANÉ AKTY A VYKONÁVACIE AKTY

Článok 86 obsahuje štandardné ustanovenia o výkone delegovaných právomocí v súlade s článkom 290 ZFEÚ. Zákonodarcovi to umožňuje delegovať na Komisiu právomoc prijímať všeobecne záväzné nelegislatívne akty, ktorými sa dopĺňajú alebo menia určité nepodstatné prvky legislatívneho aktu (kvázi legislatívne akty).

Článok 87 obsahuje ustanovenie o postupe výboru, ktorý je potrebný na postúpenie vykonávacích právomocí Komisii v prípadoch, v ktorých v súlade s článkom 291 ZFEÚ sú potrebné jednotné podmienky vykonávania právne záväzných aktov Únie. Uplatňuje sa pritom postup preskúmania.

3.4.11. KAPITOLA XI – ZÁVEREČNÉ USTANOVENIA

Článkom 88 sa zrušuje smernica 95/46/ES.

V článku 89 sa spresňuje vzťah k smernici 2002/58/ES o súkromí a elektronických komunikáciách a mení a dopĺňa sa uvedená smernica.

V článku 90 sa Komisii ukladá povinnosť hodnotiť nariadenie a predkladať súvisiace správy.

V článku 91 je stanovený dátum nadobudnutia účinnosti nariadenia a prechodné obdobie týkajúce sa dátumu začatia jeho uplatňovania.

4.           VPLYV NA ROZPOČET

Osobitný vplyv návrhu na rozpočet sa týka úloh pridelených európskemu úradníkovi pre ochranu údajov, ako boli uvedené v legislatívnom finančnom výkaze pripojenom k tomuto návrhu. Tieto vplyvy si vyžadujú preprogramovanie okruhu 5 finančného výhľadu.

Návrh nemá vplyv na operačné výdavky.

Legislatívny finančný výkaz pripojený k tomuto návrhu nariadenia sa týka vplyvu tohto nariadenia a smernice o policajnej a justičnej ochrane údajov na rozpočet.

2012/0011 (COD)

Návrh

NARIADENIE EURÓPSKEHO PARLAMENTU A RADY

o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov (všeobecné nariadenie o ochrane údajov)

(Text s významom pre EHP)

EURÓPSKY PARLAMENT A RADA EURÓPSKEJ ÚNIE,

so zreteľom na Zmluvu o fungovaní Európskej únie, a najmä na jej článok 16 ods. 2 a článok 114 ods. 1,

so zreteľom na návrh Európskej komisie,

po postúpení návrhu legislatívneho aktu národným parlamentom,

so zreteľom na stanovisko Európskeho hospodárskeho a sociálneho výboru[41],

po konzultácii s európskym dozorným úradníkom pre ochranu údajov[42],

konajúc v súlade s riadnym legislatívnym postupom,

keďže:

(1) Ochrana fyzických osôb v súvislosti so spracúvaním osobných údajom patrí medzi základné práva. V článku 8 ods. 1 Charty základných práv Európskej únie a v článku 16 ods. 1 zmluvy sa stanovuje zásada, že každý má právo na ochranu osobných údajov, ktoré sa ho týkajú.

(2) Spracovávanie údajov je určené k tomu, aby slúžilo človeku; zásady a pravidlá ochrany fyzických osôb pri spracúvaní ich osobných údajov by bez ohľadu na štátnu príslušnosť alebo bydlisko fyzických osôb mali rešpektovať základné práva a slobody, najmä ich právo na ochranu osobných údajov. Mali by prispieť k dokončeniu budovania priestoru slobody, bezpečnosti a spravodlivosti a hospodárskej únie, k hospodárskemu a sociálnemu pokroku, k posilneniu konvergencie ekonomík v rámci vnútorného trhu a ku prospechu fyzických osôb.

(3) Úlohou smernice Európskeho parlamentu a Rady 95/46/EHS z 24. októbra 1995 o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov[43] je harmonizovať ochranu základných práv a slobôd fyzických osôb v súvislosti so spracúvaním údajov a zabezpečiť voľný tok osobných údajov medzi členskými štátmi.

(4) Hospodárska a sociálna integrácia, ktorá je dôsledkom fungovania vnútorného trhu, viedla k značnému nárastu cezhraničných tokov. Výmena údajov medzi hospodárskymi a sociálnymi, verejnými a súkromnými aktérmi v Únii vzrástla. Vnútroštátne orgány v členských štátoch sú na základe právnych predpisov Únie povinné spolupracovať a vymieňať si osobné údaje, aby mohli vykonávať svoje povinnosti a úlohy v mene orgánu iného členského štátu.

(5) Rýchly technologický rozvoj so sebou priniesol nové výzvy v oblasti ochrany osobných údajov. Rozsah zdieľania a zhromažďovania údajov sa výrazne zväčšil. Technológia umožňuje súkromným podnikom a verejným orgánom pri výkone ich činností využívať osobné údaje v doteraz bezprecedentnom rozsahu. Fyzické osoby vo väčšej miere zverejňujú svoje osobné údaje, a to aj v globálnom meradle. Technológia transformovala hospodársky aj sociálny život a žiada si ďalšie zjednodušenie voľného toku údajov v rámci Únie a prenosu do tretích krajín a medzinárodným organizáciám pri súčasnom zabezpečení vysokej úrovne ochrany osobných údajov.

(6) Táto situácia si vyžaduje vytvorenie silného a súdržnejšieho rámca ochrany údajov v Únii, ktorý sa bude intenzívne presadzovať vzhľadom na význam vybudovania dôvery, ktorá umožní rozvoj digitálnej ekonomiky v rámci vnútorného trhu. Fyzické osoby by mali mať kontrolu nad svojimi vlastnými osobnými údajmi a mala by sa posilniť právna a praktická istota pre fyzické osoby, hospodárskych aktérov a verejné orgány.

(7) Ciele a zásady smernice 95/46/ES zostávajú platné, nepodarilo sa však zabrániť rozdielnosti implementácie ochrany údajov v Únii, právnej neistote a rozšírenému vnímaniu verejnosti, že v súvislosti s ochranou údajov v prípade fyzických osôb existujú značné riziká, najmä v online prostredí. Rozdiely, ktoré existujú v členských štátoch, pokiaľ ide o úroveň ochrany práv a slobôd fyzických osôb pri spracúvaní osobných údajov, konkrétne práva na ochranu osobných údajov, môžu brániť vo voľnom toku osobných údajov v Únii. Tieto rozdiely preto môžu predstavovať prekážku pri vykonávaní množstva hospodárskych činností na úrovni Únie, narúšať hospodársku súťaž a brániť orgánom v plnení úloh, ktoré majú vykonávať na základe práva Únie. Tento rozdiel v úrovni ochrany je spôsobený existenciou rozdielov vo vykonávaní a uplatňovaní smernice 95/46/ES.

(8) Aby sa zabezpečila konzistentná a vysoká úroveň ochrany fyzických osôb a odstránili sa prekážky tokov osobných údajov, musí byť úroveň ochrany osobných práv a slobôd pri spracovávaní týchto údajov rovnaká vo všetkých členských štátoch. Konzistentné a jednotné uplatňovanie pravidiel ochrany základných práv a slobôd fyzických osôb pri spracúvaní osobných údajov by malo byť zabezpečené v rámci celej Únie.

(9) Účinná ochrana osobných údajov v rámci Únie si vyžaduje posilnenie a spresnenie práv dotknutých osôb a povinností tých, ktorí osobné údaje spracúvajú a o ich spracovaní rozhodujú, no vyžaduje si aj zodpovedajúce právomoci na monitorovanie a zabezpečenie súladu s pravidlami ochrany osobných údajov a zodpovedajúce sankcie voči tým, ktorí v členských štátoch tieto pravidlá porušujú.

(10) Podľa článku 16 ods. 2 zmluvy má Európsky parlament a Rada právomoc stanovovať pravidlá týkajúce sa ochrany fyzických osôb pri spracúvaní osobných údajov a pravidiel týkajúcich s voľného pohybu osobných údajov.

(11) Aby sa zabezpečila konzistentná úroveň ochrany fyzických osôb v Únii a zabránilo sa rozdielom, ktoré sú prekážkou voľného pohybu údajov v rámci vnútorného trhu, je potrebné prijať nariadenie, ktoré by poskytlo právnu istotu a bolo by transparentné pre hospodárskych aktérov vrátane mikropodnikov a malých a stredných podnikov, ktoré by fyzickým osobám vo všetkých členských štátoch poskytlo rovnakú úroveň práv vymáhateľných právnymi prostriedkami a prevádzkovateľom a sprostredkovateľom uložilo povinnosti a zodpovednosti, ktoré by zabezpečilo konzistentné monitorovanie a spracovávanie osobných údajov a ktoré by stanovovalo zodpovedajúce sankcie vo všetkých členských štátoch, ako aj účinnú spoluprácu dozorných orgánov rozličných členských štátov. Aby sa zohľadnila osobitná situácia mikropodnikov a malých a stredných podnikov, toto nariadenie obsahuje aj niekoľko výnimiek. Okrem toho sú inštitúcie a orgány Únie, členské štáty a ich dozorné orgány nabádané k tomu, aby pri uplatňovaní tohto nariadenia zohľadňovali osobitné potreby mikropodnikov a malých a stredných podnikov. Pojem mikropodniky a malé a stredné podniky vychádza z odporúčania Komisie 2003/361/ES zo 6. mája 2003 o definícii mikropodnikov a malých a stredných podnikov.

(12) Ochrana, ktorú toto nariadenie poskytuje, sa týka fyzických osôb bez ohľadu na ich štátnu príslušnosť alebo bydlisko a vzťahuje sa na spracúvanie osobných údajov. Pokiaľ ide o spracúvanie údajov týkajúcich sa právnických osôb a najmä podnikov vystupujúcich ako právnické osoby vrátane názvu, formy a kontaktných údajov právnickej osoby, takéto právnické osoby sa nemôžu domáhať ochrany poskytovanej týmto nariadením. Toto pravidlo sa uplatňuje aj vtedy, ak názov právnickej osoby obsahuje mená jedného alebo viacerých fyzických osôb.

(13) Ochrana fyzických osôb by mala byť technologicky neutrálna a nemala by sa odvíjať od použitých techník, inak by vznikalo závažné riziko obchádzania predpisov. Ochrana fyzických osôb by sa mala vzťahovať na spracúvanie osobných údajov automatizovaným spôsobom, ako aj na ručné spracovávanie, ak sú údaje uchované v informačnom systéme alebo doň majú byť uložené. Súbory alebo komplexy súborov ako aj ich hlavičky, ktoré nie sú štruktúrované podľa špecifických kritérií, nebudú patriť do pôsobnosti tejto smernice.

(14) Toto nariadenie sa netýka otázok ochrany základných práv a slobôd alebo voľného toku údajov týkajúcich sa činností, ktoré nepatria do pôsobnosti práva Únie, a netýka sa ani spracúvania osobných údajov inštitúciami, orgánmi, úradmi a agentúrami Únie, na ktoré sa vzťahuje nariadenie (ES) č. 45/2001[44], či spracúvania osobných údajov členskými štátmi pri vykonávaní činností v súvislosti so spoločnou zahraničnou a bezpečnostnou politikou Únie.

(15) Toto nariadenie by sa nemalo uplatňovať na spracovávanie osobných údajov fyzickou osobou, ktoré je výlučne osobnej či súkromnej povahy, ako je korešpondencia a uchovávanie adries, a ktoré je bez akéhokoľvek zárobkového motívu, a teda nesúvisí so žiadnou profesionálnou alebo komerčnou činnosťou. Výnimka by sa mala uplatňovať aj na prevádzkovateľov a sprostredkovateľov, ktorí poskytujú prostriedky pre spracovávanie osobných údajov na takéto osobné či súkromné činnosti.

(16) Ochrana fyzických osôb pri spracúvaní osobných údajov príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií a voľný pohyb takýchto údajov podlieha pôsobnosti osobitného právneho nástroja na úrovni Únie. Toto nariadenie by sa teda nemalo uplatňovať pri spracovávaní na takéto účely. Na údaje spracované verejnými orgánmi podľa tohto nariadenia, ak sa používajú na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na výkon trestov, by sa mal vzťahovať špecifickejší právny nástroj na úrovni Únie (smernica XX/YYY).

(17) Týmto nariadením by nemalo byť dotknuté uplatňovanie smernice 2000/31/ES, najmä povinnosť poskytovateľov sprostredkovateľských služieb uvedená v článkoch 12 až 15 uvedenej smernice.

(18) Toto nariadenie umožňuje, aby sa princíp verejného prístupu k oficiálnym dokumentom zohľadnil pri uplatňovaní ustanovení tohto nariadenia.

(19) Každé spracovanie osobných údajov v súvislosti s činnosťami zariadenia prevádzkovateľa alebo sprostredkovateľa v Únii by sa malo vykonávať v súlade s týmto nariadením bez ohľadu na to, či sa samotné spracovanie realizuje v Únii alebo nie. Zariadenie znamená efektívny a skutočný výkon činnosti. Právna forma takéhoto zariadenia, či už ide o pobočku alebo dcérsku spoločnosť s právnou subjektivitou, nie je v tomto ohľade určujúcim faktorom.

(20) Aby sa zabezpečilo, že fyzické osoby nebudú zbavené ochrany, na ktorú majú na základe tohto nariadenia právo, toto nariadenie by sa malo uplatňovať na spracovanie osobných údajov dotknutých osôb s bydliskom v Únii vykonávané prevádzkovateľom, ktorý nemá sídlo v Únii, ak spracovanie súvisí s ponukou tovaru alebo služieb týmto dotknutým osobám alebo so sledovaním správania týchto dotknutých osôb.

(21) Na určenie toho, či spracúvanie údajov možno pokladať za „sledovanie správania“ dotknutej osoby, je potrebné zistiť, či je pohyb fyzických osôb na internete sledovaný prostredníctvom techník spracovania údajov, pomocou ktorých je fyzickej osobe pridelený „profil“ na účely prijatia rozhodnutia týkajúceho sa tejto osoby alebo na účely analýzy či predvídania osobných preferencií, správania a zvykov tejto osoby.

(22) Ak sa podľa medzinárodného práva uplatňujú vnútroštátne právne predpisy niektorého členského štátu, toto nariadenie by sa malo uplatniť aj na prevádzkovateľa, ktorý nemá sídlo v Únii, napríklad na diplomatickom zastúpení alebo konzuláte členského štátu.

(23) Zásady ochrany údajov by sa mali uplatňovať na všetky informácie týkajúce sa určenej alebo určiteľnej osoby. Na určenie toho, či je osoba určiteľná, by sa mali brať do úvahy všetky prostriedky, pri ktorých existuje primeraná pravdepodobnosť, že ich využije prevádzkovateľ alebo ľubovoľná iná osoba na identifikáciu príslušnej osoby. Zásady ochrany údajov by sa nemali uplatňovať na údaje, ktoré sú považované za anonymizované takým spôsobom, že dotknutá osoba už nie je určiteľná.

(24) Pri používaní online služieb môžu byť fyzickým osobám pridelené online identifikátory, ktoré sú generované prístrojmi, aplikáciami, nástrojmi a protokolmi, ako je IP adresa alebo cookies týchto služieb. Tieto môžu zanechávať stopy, ktoré môžu byť v kombinácii s jedinečnými identifikátormi a inými informáciami získanými zo serverov použité na vytvorenie profilov fyzických osôb a na ich identifikáciu. Vyplýva z toho, že identifikačné čísla, lokalizačné údaje, online identifikátory alebo iné osobitné faktory nemusia byť nutne ako také pokladané za všetkých okolností za osobné údaje.

(25) Súhlas by mal byť daný výslovne pomocou vhodnej metódy, ktorá umožňuje slobodne poskytnúť špecifické a informované vyjadrenie o želaní dotknutej osoby, a to buď vo forme stanoviska alebo prostredníctvom výslovného prejavu vôle dotknutej osoby, a ktorá zabezpečuje, že fyzické osoby sú si vedomé, že dávajú súhlas na spracovanie osobných údajov – prostredníctvom zakliknutia rámika pri návšteve internetovej stránky alebo podaním iného vyjadrenia alebo vykonaním inej činnosti, ktorá v tomto kontexte jasne znamená, že dotknutá osoba súhlasí s navrhovaným spracovaním jej osobných údajov. Nereagovanie alebo nečinnosť sa preto nepokladajú za vyslovenie súhlasu. Súhlas by sa mal vzťahovať na každé spracovanie vykonávané na ten istý účel alebo účely. Ak má dotknutá osoba vyjadriť súhlas na základe elektronickej požiadavky, požiadavka musí byť jasná, stručná a bez zbytočného prerušenia používania služby, na ktorú sa poskytuje.

(26) Osobné údaje týkajúce sa zdravia by mali zahŕňať najmä všetky údaje týkajúce sa zdravotného stavu dotknutej osoby, informácie o registrácii fyzickej osoby na poskytovanie zdravotníckych služieb, informácie o platbách alebo nároku na zdravotnú starostlivosť týkajúce sa fyzickej osoby, číslo, symbol alebo osobitný údaj, ktorý bol fyzickej osobe priradený na individuálnu identifikáciu fyzickej osoby na zdravotné účely, všetky informácie získané o fyzickej osobe počas poskytovania zdravotníckych služieb, informácie získané na základe vykonávania testov alebo prehliadok častí organizmu alebo telesných substancií vrátane biologických vzoriek, identifikácia osoby ako poskytovateľa zdravotnej starostlivosti fyzickej osobe, alebo akékoľvek informácie napr. o chorobe, zdravotnom postihnutí, riziku ochorenia, lekárskej anamnéze, klinickej liečbe, alebo o aktuálnom fyziologickom alebo biomedickom stave dotknutej osoby bez ohľadu na zdroj týchto informácií, či už pochádzajú od lekára alebo zdravotníka, z nemocnice, zo zdravotného prístroja alebo z vykonania diagnostického testu in vitro.

(27) Hlavné zariadenie prevádzkovateľa v Únii by sa malo určiť podľa objektívnych kritérií a malo by zahŕňať efektívne a skutočné vykonávanie riadiacich činností stanovujúcich hlavné rozhodnutia týkajúce sa účelu, podmienok a prostriedkov spracúvania na trvalom základe. Toto kritérium by nemalo byť závislé od toho, či sa spracúvanie osobných údajov skutočne vykonáva na tomto mieste, existencia a použitie technických prostriedkov a technológií spracúvania osobných údajov alebo spracovateľských činností nepredstavujú sami osebe takéto hlavné ústredie a preto nie sú určujúcimi kritériami pre hlavné ústredie. Ústredím sprostredkovateľa by malo byť miesto jeho administratívneho sídla v Únii.

(28) Skupina podnikov by mala pozostávať z kontrolujúceho podniku a ním kontrolovaných podnikov, pričom kontrolujúci podnik by mal byť podnikom, ktorý môže vykonávať dominantný vplyv na podniky napr. v dôsledku toho, že ich vlastní, v dôsledku finančnej účasti alebo pravidiel upravujúcich činnosť podniku alebo v dôsledku právomoci implementovať pravidlá ochrany osobných údajov.

(29) Osobitnú ochranu osobných údajov si zasluhujú deti, keďže si môžu byť v menšej miere vedomé rizík, dôsledkov, záruk a práv súvisiacich so spracovávaním osobných údajov. Na určenie toho, kedy sa fyzická osoba pokladá za dieťa, by toto nariadenie malo prevziať definíciu stanovenú v Dohovore OSN o právach dieťaťa.

(30) Každé spracovanie osobných údajov musí byť zákonné, spravodlivé a transparentné vo vzťahu k dotknutým fyzickým osobám. Najmä osobitné dôvody, pre ktoré sa údaje spracúvajú, by mali byť presné a legitímne a stanovené už v čase zhromažďovania údajov. Údaje by mali byť primerané, relevantné a obmedzené na minimum nevyhnutné na účely, na ktoré sa údaje spracúvajú; to si vyžaduje najmä zabezpečenie, aby množstvo zhromaždených údajov nebolo neúmerné a aby obdobie, počas ktorého sa tieto údaje uchovávajú, bolo obmedzené na prísne minimum. Osobné údaje by mali byť spracované len vtedy, ak účel spracovania nebolo možné dosiahnuť inými prostriedkami. Mali by sa prijať všetky primerané opatrenia, aby sa zabezpečilo vymazanie alebo oprava nepresných údajov. Prevádzkovateľ by mal stanoviť lehoty na výmaz alebo pravidelné prehodnotenie, aby sa zabezpečilo, že údaje nebudú uchovávané dlhšie, než je to nutné.

(31) Aby bolo spracúvanie zákonné, osobné údaje by sa mali spracúvať na základe súhlasu dotknutej osoby alebo na nejakom inom legitímnom základe, ktorý je stanovený v právnych predpisoch, a to buď v tomto nariadení alebo v iných právnych predpisoch Únie alebo príslušného členského štátu, ako je to uvedené v tomto nariadení.

(32) Ak je spracovanie založené na súhlase dotknutej osoby, malo by byť povinnosťou prevádzkovateľa preukázať, že dotknutá osoba vyjadrila súhlas s operáciami spracovania údajov. Najmä v súvislosti s písomným vyhlásením v inej záležitosti by záruky mali zabezpečovať, že dotknutá osoba si je vedomá, že dáva súhlas a v akom rozsahu ho udeľuje.

(33) Aby sa zabezpečilo, že vyjadrenie súhlasu bude dobrovoľné, malo by sa ozrejmiť, že súhlas neposkytuje platný právny základ, ak fyzická osoba nemohla vykonať riadnu a slobodnú voľbu, a teda následne nemôže odmietnuť alebo odvolať súhlas bez nepriaznivých následkov.

(34) Súhlas by nemal byť platným právnym dôvodom na spracovanie osobných údajov, ak medzi postavením dotknutej osoby a prevádzkovateľa existuje jednoznačný nepomer. Týka sa to najmä situácie, keď je dotknutá osoba závislá od prevádzkovateľa, okrem iného, keď osobné údaje zamestnancov sú spracúvané zamestnávateľom v súvislosti s ich zamestnávaním. Ak je prevádzkovateľom verejný orgán, nepomer by nastal iba pri určitých operáciách spracovania údajov, pri ktorých verejný orgán môže uložiť zo svojej úradnej moci povinnosť a súhlas tak nemožno pokladať za dobrovoľne udelený z hľadiska záujmov dotknutej osoby.

(35) Spracovanie by malo byť zákonné, ak je potrebné v súvislosti s plnením zmluvy alebo s úmyslom uzatvoriť zmluvu.

(36) Ak sa spracúvanie údajov vykonáva v súlade so zákonnými povinnosťami, ktoré má prevádzkovateľ, alebo ak spracovanie je potrebné na splnenie úlohy vykonávanej vo verejnom záujme alebo na výkon úradnej moci, právny základ pre spracovanie by mal existovať v práve Únie alebo v práve niektorého členského štátu, a tento právny základ by mal spĺňať požiadavky Charty základných práv Európskej únie týkajúce sa obmedzenia práv a slobôd. V právnych predpisoch Únie alebo vo vnútroštátnych právnych predpisoch by malo byť takisto stanovené, či prevádzkovateľom vykonávajúcim úlohu vo verejnom záujme alebo z úradnej moci by mala byť verejná správa, alebo iná fyzická alebo právnická osoba, na ktorú sa vzťahuje verejné alebo súkromné právo, ako napríklad profesijné združenie.

(37) Spracovanie osobných údajov sa musí považovať za rovnako zákonné tam, kde je potrebné na účely ochrany záujmu, ktorý je zásadný pre život dotknutej osoby.

(38) Oprávnené záujmy prevádzkovateľa môžu poskytnúť právny základ pre spracovanie údajov, ak nad nimi neprevažujú záujmy alebo základné práva a slobody dotknutej osoby. Tu by bolo potrebné vykonávať podrobnejšie posúdenie, najmä ak je dotknutou osobou dieťa, keďže deti majú nárok na osobitnú ochranu. Dotknutá osoba by mala mať právo bezplatne namietať voči spracovaniu z dôvodov jej konkrétnej situácie. Aby sa zabezpečila transparentnosť, prevádzkovateľ by mal byť povinný výslovne informovať dotknutú osobu o oprávnených záujmoch, ktoré spracúvaním sleduje, a o jej práve namietať, a mal by byť takisto povinný zdokumentovať tieto oprávnené záujmy. Keďže je úlohou zákonodarcu stanoviť pre verejné orgány v právnych predpisoch právny základ pre spracovanie údajov, tento právny základ by sa nemal vzťahovať na spracúvanie verejnými orgánmi pri plnení ich úloh.

(39) Spracúvane údajov v rozsahu nevyhnutne potrebnom na účely zaistenia siete informačnej bezpečnosti – t. j. schopnosti siete alebo informačného systému s daným stupňom spoľahlivosti zabezpečiť, že sieť alebo systém odolá poruchám alebo nezákonnému narušeniu, ktoré ovplyvňujú disponibilitu, autenticitu, integritu a dôvernosť uložených alebo prenesených údajov – spolu s bezpečnosťou súvisiacich služieb ponúkaných alebo dostupných prostredníctvom týchto sietí a systémov verejnými orgánmi, jednotkami reakcie na núdzové počítačové situácie (CERTs), jednotkami pre riešenie počítačových incidentov (CSIRTs), poskytovateľmi elektronických komunikačných sietí a služieb a poskytovateľmi bezpečnostných technológií a služieb predstavuje oprávnený záujem dotknutého prevádzkovateľa údajov. Takýto oprávnený záujem by mohol spočívať napríklad v zabránení v neoprávnenom prístupe k elektronickým komunikačným sieťam, v zabránení šíreniu poškodzujúcich programových kódov, v zastavení útokov vo forme cieleného preťaženia serverov („denial of service“), ako aj v zabránení poškodzovaniu počítačových a elektronických komunikačných systémov.

(40) Spracúvanie osobných údajov na iné účely by malo byť povolené len vtedy, ak je toto spracúvanie v súlade s účelmi, na ktoré boli údaje pôvodne zhromaždené, najmä ak spracúvanie je potrebné na historické, štatistické alebo vedeckovýskumné účely. V prípadoch, v ktorých tento iný účel nie je v súlade s pôvodným účelom, na ktorý boli údaje zhromaždené, prevádzkovateľ by mal získať súhlas dotknutej osoby na tejto iný účel alebo by mal spracovanie vykonať na základe iného legitímneho dôvodu zákonného spracúvania, a to najmä ak je takýto dôvod stanovený v práve Únie alebo v práve členského štátu, ktorému prevádzkovateľ podlieha. V každom prípade by sa malo zabezpečiť uplatnenie zásad stanovených v tomto nariadení a najmä povinnosti informovať dotknutú osobu o týchto iných účeloch.

(41) Osobitnú ochranu je potrebné poskytnúť pri osobných údajoch, ktoré sú svojou povahou zvlášť citlivé a exponované v súvislosti so základnými právami alebo právom na súkromie. Takéto údaje by sa nemali spracúvať, pokým k tomu dotknutá osoba nedá výslovne súhlas. Mali by sa však stanoviť výslovné výnimky z tohto zákazu v súvislosti s osobitnými potrebami, najmä ak sa spracúvanie vykonáva v rámci legitímnych činností určitými združeniami alebo nadáciami, ktoré sa zasadzujú o základné slobody.

(42) Výnimka zo zákazu spracúvania citlivých kategórií údajov by sa mala povoliť aj v prípade, že existujú pre to zákonné dôvody – s výhradou primeraných záruk ochrany osobných údajov a iných základných práv – ak takéto konanie je odôvodnené verejným záujmom a najmä na zdravotné účely vrátane verejného zdravia, sociálnej ochrany a riadenia poskytovania zdravotníckych služieb, zvlášť ak sa takto zabezpečí kvalita a nákladová efektívnosť postupov používaných pri uplatňovaní nárokov v rámci systému zdravotného poistenia, alebo na účely historické, štatistické a vedeckovýskumné.

(43) Okrem toho, spracovanie osobných údajov oficiálnymi orgánmi na dosiahnutie cieľov oficiálne uznaných náboženských združení – cieľov stanovených v ústave alebo v medzinárodnom verejnom práve – sa vykonáva z dôvodov verejného záujmu.

(44) Tam, kde si počas volebných aktivít fungovanie demokratického systému v niektorom členskom štáte vyžaduje, aby politické strany zhromažďovali údaje o politických názoroch ľudí, môže byť spracovanie týchto údajov povolené z dôvodov verejného záujmu, a to za predpokladu, že sú poskytnuté náležité záruky.

(45) Ak údaje spracúvané prevádzkovateľom nedovoľujú prevádzkovateľovi identifikovať fyzickú osobu, prevádzkovateľ nie je povinný získať dodatočné informácie na identifikovanie dotknutej osoby výlučne na to, aby dosiahol súlad s niektorým ustanovením tohto nariadenia. V prípade žiadosti o prístup k údajom má mať prevádzkovateľ právo žiadať dotknutú osobu o ďalšie informácie, ktoré mu umožnia lokalizovať osobné údaje, ktoré táto osoba hľadá.

(46) Zásada transparentnosti si vyžaduje, aby všetky informácie určené verejnosti alebo dotknutej osobe boli ľahko prístupné a ľahko pochopiteľné a napísané jasne a jednoducho. Týka sa to najmä situácií, ako je online reklama, v ktorých veľký počet účastníkov a technologická komplexnosť sťažujú dotknutej osobe zistiť a pochopiť, či osobné údaje, ktoré sa jej týkajú, boli zhromaždené, kým a na aké účely. Keďže deťom prislúcha osobitná ochrana, všetky informácie a každá komunikácia, pri ktorej sa spracovanie zameriava osobitne na dieťa, by mali byť napísané jasne a jednoducho, aby ich dieťa mohlo jednoducho pochopiť.

(47) Mali by sa stanoviť spôsoby, ktoré by dotknutej osobe uľahčili uplatnenie jej práv stanovených v tomto nariadení, vrátane mechanizmov pre vyžiadanie si bezplatného prístupu k údajom, ich opravu, výmaz a na uplatnenie práva namietať. Prevádzkovateľ by mal byť povinný odpovedať na žiadosť dotknutej osoby v stanovenej lehote a uviesť dôvody v prípade, že nemôže vyhovieť žiadosti dotknutej osoby.

(48) Zásady spravodlivého a transparentného spracúvania vyžadujú, aby dotknutá osoba bola informovaná najmä o existencii operácie spracovania a je účeloch, o tom, ako dlho budú údaje uchované, o existencii práva na prístup, opravu a výmaz a o práve namietať. Ak sa údaje zhromažďujú od dotknutej osoby, dotknutá osoba by mala byť informovaná aj o tom, či je povinná údaje poskytnúť, a o následkoch v prípade, že tieto údaje neposkytne.

(49) Informácie súvisiace so spracúvaním osobných údajov týkajúcich sa dotknutej osoby by sa dotknutej osobe mali poskytnúť v čase zhromaždenia údajov alebo, ak údaje nie sú zhromaždené od dotknutej osoby, v primeranej lehote v závislosti od okolností prípadu. Ak možno údaje legitímne poskytnúť inému príjemcovi, dotknutá osoba by mala byť informovaná o tom, kedy boli údaje prvýkrát poskytnuté tomuto príjemcovi.

(50) Nie je však potrebné túto povinnosť uložiť, ak dotknutá osoba už tieto informácie má, ak uloženie alebo poskytnutie údajov je výslovne stanovené v právnych predpisoch, alebo ak poskytnutie informácií dotknutej osobe nie je možné alebo by si vyžiadalo vynaloženie neprimeraného úsilia. Posledná situácia by sa mohla týkať najmä spracovania na historické, štatistické alebo vedeckovýskumné účely; v tejto súvislosti možno zohľadniť počet dotknutých osôb, vek údajov a všetky prijaté kompenzačné opatrenia.

(51) Každá osoba by mala mať právo na prístup k údajom, ktoré boli o nej zhromaždené, a toto právo aj jednoducho uplatňovať, aby si bola vedomá zákonnosti spracovania a mohla si ju overiť. Každá dotknutá osoba by preto mala mať právo vedieť a byť informovaná najmä o účeloch spracúvania údajov, akú dlhú dobu budú uchovávané, ktorí príjemcovia údajov ich dostanú, aká je logika spracúvania údajov a aké môžu byť následky takéhoto spracovania, aspoň v prípadoch, v ktorých sa spracovania opiera o profilovanie. Toto právo by sa nemalo nepriaznivo dotknúť práv a slobôd iných, ani obchodných tajomstiev alebo práv duševného vlastníctva a najmä autorských práv týkajúcich sa softvéru. Výsledkom týchto obáv by však nemalo byť odmietnutie poskytnutia akýchkoľvek informácií dotknutej osobe.

(52) Prevádzkovateľ by mal použiť všetky primerané opatrenia na overenie totožnosti dotknutej osoby žiadajúcej o prístup k údajom, najmä v súvislosti s online službami a online identifikátormi. Prevádzkovateľ by nemal uchovávať osobné údaje len preto, aby bol schopný reagovať na prípadné žiadosti.

(53) Každá osoba by mala mať právo nechať opraviť osobné údaje, ktoré sa jej týkajú, a právo byť zabudnutá, ak uchovávanie takýchto údajov nie je v súlade s týmto nariadením. Dotknuté osoby by mali mať najmä právo, aby ich osobné údaje boli vymazané a už viac neboli spracúvané, ak údaje už nie sú potrebné v súvislosti s účelmi, na ktoré boli zhromaždené alebo inak spracúvané, ak dotknuté osoby stiahli svoj súhlas s ich spracovaním, ak namietajú voči spracovaniu osobných údajov, ktoré sa ich týkajú, alebo ak spracovanie ich osobných údajov nie je v súlade s týmto nariadením z iných dôvodov. Toto právo je relevantné hlavné v situácii, v ktorej dotknutá osoba dala súhlas ako dieťa, teda v tom čase si ešte nebola plne vedomá rizík spojených so spracúvaním, a neskôr chce takéto osobné údaje odstrániť, najmä z internetu. Ďalšie uchovávanie údajov by malo byť povolené v prípadoch, ak je potrebné na historické, štatistické a vedeckovýskumné účely, z dôvodu verejného záujmu v oblasti verejného zdravia, na uplatnenie slobody prejavu, ak sa to vyžaduje v právnych predpisoch alebo ak existuje dôvod pre obmedzenie spracúvania údajov namiesto ich vymazania.

(54) Aby sa posilnilo právo byť zabudnutý v online prostredí, malo by sa rozšíriť právo na výmaz, a to tak, že by prevádzkovateľ, ktorý osobné údaje zverejnil, bol povinný informovať tretie strany, ktoré takéto údaje spracúvajú, o tom, že dotknutá osoba ich žiada, aby vymazali akékoľvek odkazy na tieto osobné údaje, ich kópie alebo replikácie. Aby sa táto informácia zabezpečila, prevádzkovateľ by mal prijať všetky primerané kroky vrátane technických opatrení v súvislosti s údajmi určenými na zverejnenie, za ktoré je tento prevádzkovateľ zodpovedný. V súvislosti so zverejnením osobných údajov treťou stranou by sa mal za zodpovedného za toto zverejnenie pokladať prevádzkovateľ, ak prevádzkovateľ takéto zverejnenie treťou stranou povolil.

(55) Na ďalšie posilnenie kontroly nad údajmi dotknutej osoby a práva na prístup by dotknutá osoba tam, kde sa osobné údaje spracúvajú elektronickými prostriedkami a štruktúrovaným spôsobom v bežne používanom formáte, mala mať právo získať kópiu údajov, ktoré sa jej týkajú, a to v bežne používanom elektronickom formáte. Dotknutá osoba by takisto mala mať právo prenášať tieto údaje, ktoré poskytla, z jednej automatizovanej aplikácie, ako je sociálna sieť, do inej. Tento postup by sa mal uplatniť, ak dotknutá osoba poskytla údaje do automatizovaného systému spracovania na základe jej súhlasu alebo v rámci plnenia zmluvy.

(56) V prípade, že by osobné údaje mohli byť zákonne spracované na ochranu životných záujmov dotknutej osoby alebo z dôvodu verejného záujmu, pri výkone úradnej moci alebo na základe oprávnených záujmov prevádzkovateľa, dotknutá osoba by mala mať aj v takom prípade právo namietať proti spracovaniu akýchkoľvek údajov, ktoré sa jej týkajú. Dôkazné bremeno by malo spočívať na prevádzkovateľovi a ten by mal preukázať oprávnené záujmy, ktoré môžu prevažovať nad záujmami alebo základnými právami a slobodami dotknutej osoby.

(57) Ak sa osobné údaje spracúvajú na účely priameho marketingu, dotknutá osoba by mala mať právo namietať proti takému spracovaniu, a to bezplatne a jednoduchým a účinným spôsobom.

(58) Každá fyzická osoba by mala mať právo, aby sa na ňu nevzťahovalo opatrenie založené na profilovaní prostredníctvom automatizovaného spracovania. Takéto opatrenie by však malo byť povolené, ak je výslovne povolené v právnych predpisoch, vykonáva sa v rámci uzatvorenia alebo plnenia zmluvy alebo ak dotknutá osoba dala svoj súhlas. V každom prípade by takéto spracúvanie malo podliehať primeraným zárukám vrátane povinnosti výslovného informovania dotknutej osoby, práva vymôcť zásah ľudského činiteľa a pravidla, že takéto opatrenie sa nebude týkať detí.

(59) Únia alebo členské štáty môžu zaviesť obmedzenia osobitných zásad a práva na informovanie, na prístup, opravu a výmaz alebo práva na prenosnosť údajov, práva namietať, opatrení založených na profilovaní, ako aj oznámení dotknutej osobe o porušení ochrany osobných údajov a určitých povinností prevádzkovateľa, pokiaľ je to potrebné a v demokratickej spoločnosti primerané na zaistenie verejnej bezpečnosti vrátane ochrany zdravia ľudí – najmä v reakcii na prírodné alebo človekom zapríčinené katastrofy – pokiaľ je potrebné predchádzať trestným činom alebo porušovaniu etiky v regulovaných profesiách, vyšetrovať ich a stíhať, alebo ak je to potrebné pre iné verejné záujmy Únie a niektorého členského štátu, najmä ak ide o dôležitý hospodársky alebo finančný záujem Únie alebo niektorého členského štátu, alebo ak je to dôležité pre ochranu dotknutej osoby alebo práv a slobôd iných. Tieto obmedzenia by mali byť predovšetkým v súlade s Chartou základných práv Európskej únie a s Európskym dohovorom o ochrane ľudských práv a základných slobôd.

(60) Mala by sa stanoviť celková zodpovednosť a povinnosť prevádzkovateľa týkajúca sa akéhokoľvek spracúvania osobných údajov vykonávaného prevádzkovateľom alebo v jeho mene. Prevádzkovateľ by mal najmä zabezpečiť a mal by mať povinnosť preukázať súlad každej operácie spracovania údajov s týmto nariadením.

(61) Ochrana práv a slobôd dotknutých osôb v súvislosti so spracúvaním osobných údajov si vyžaduje prijatie primeraných technických a organizačných opatrení v čase prípravy spracúvania a aj v čase samotného spracúvania, aby sa zabezpečilo splnenie požiadaviek uvedených v tomto nariadení. Aby sa zabezpečil a preukázal súlad s týmto nariadením, prevádzkovateľ by mal prijať interné pravidlá a uplatniť primerané opatrenia, ktoré budú rešpektovať najmä zásady ochrany údajov špecificky navrhnutej a ochrany údajov štandardne určenej.

(62) Ochrana práv a slobôd dotknutých osôb, ako aj zodpovednosť a povinnosť prevádzkovateľov a sprostredkovateľa, a to aj v súvislosti s monitorovaním zo strany dozorných orgánov a ich opatreniami, si vyžaduje jasné priradenie zodpovednosti podľa tohto nariadenia vrátane prípadov, v ktorých prevádzkovateľ určuje účely, podmienky a prostriedky spracovania spoločne s inými prevádzkovateľmi alebo v prípadoch, v ktorých sa operácia spracovania vykonáva v mene prevádzkovateľa.

(63) Ak prevádzkovateľ, ktorý nemá sídlo v Únii, spracúva osobné údaje dotknutej osoby s bydliskom v Únii, pričom jeho spracúvanie súvisí s ponukou tovaru a služieb takýmto dotknutým osobám alebo so sledovaním ich správania, prevádzkovateľ by mal určiť zástupcu, pokiaľ jeho sídlo nie je v tretej krajine, ktorá zabezpečuje primeranú úroveň ochrany, pokiaľ nie je malým alebo stredným podnikom či verejným orgánom alebo subjektom alebo pokiaľ tento prevádzkovateľ neponúka tovar a služby dotknutým osobám iba príležitostne. Zástupca by mal konať v mene prevádzkovateľa a môže sa na neho obracať ktorýkoľvek dozorný orgán.

(64) Aby bolo možné určiť, či prevádzkovateľ ponúka tovar a služby dotknutým osobám s bydliskom v Únii iba príležitostne, je potrebné uistiť sa, či je z celkovej činnosti prevádzkovateľa zjavné, že ponuka tovaru a služieb takýmto dotknutým osobám je vedľajšou činnosťou vykonávanou popri jeho hlavnej činnosti.

(65) Aby sa preukázal súlad s týmto nariadením, mal by prevádzkovateľ alebo sprostredkovateľ zdokumentovať každú operáciu spracovania. Každý prevádzkovateľ a sprostredkovateľ by mal byť povinný spolupracovať s dozorným orgánom a na požiadanie mu sprístupniť svoju dokumentáciu tak, aby tento orgán mohol vykonávať monitorovanie týchto operácií spracovania údajov.

(66) Aby sa zachovala bezpečnosť a aby sa predišlo spracúvaniu údajov v rozpore s týmto nariadením, prevádzkovateľ alebo sprostredkovateľ by mali posúdiť riziká súvisiace so spracovaním a uplatniť opatrenia na zmiernenie týchto rizík. Tieto opatrenia by mali zabezpečiť primeranú úroveň bezpečnosti pri zohľadnení najnovšieho stavu techniky a nákladov na jej zavedenie v súvislosti s rizikami a povahou osobných údajov, ktoré sa majú chrániť. Pri stanovovaní technických noriem a organizačných opatrení na zaistenie bezpečnosti spracúvania by Komisia mala podporovať technologickú neutralitu, interoperabilitu, inovácie, prípadne spoluprácu s tretími krajinami.

(67) Ak nie je porušenie ochrany osobných údajov vhodne a včas riešené, môže spôsobiť značné hospodárske straty a sociálne škody vrátane krádeže totožnosti dotknutej fyzickej osoby. Preto hneď ako prevádzkovateľ zistí, že došlo k porušeniu ochrany údajov, bez zbytočného odkladu oznámi toto porušenie dozornému orgánu, pokiaľ možno do 24 hodín. Ak túto skutočnosť nie je možné oznámiť do 24 hodín, k oznámeniu je potrebné priložiť vysvetlenie dôvodov omeškania. Fyzické osoby, ktorých osobné údaje by mohli byť nepriaznivo ovplyvnené takýmto porušením, by o tejto skutočnosti mali byť bez zbytočného odkladu informované, aby sa im umožnilo podniknúť potrebné kroky. Porušenie by sa malo pokladať za udalosť nepriaznivo ovplyvňujúcu ochranu osobných údajov alebo súkromia, ak by mohlo mať za následok napríklad krádež totožnosti alebo podvod, fyzickú ujmu, veľké poníženie alebo poškodenie dobrého mena. V informácii by mal byť opísaný charakter porušenia ochrany osobných údajov a mali by tu byť uvedené odporúčania pre dotknutú osobu, ako zmierniť možné nepriaznivé dôsledky. Informovanie dotknutých osôb by malo realizovať čo možno najskôr, v úzkej spolupráci s dozorným orgánom a pri dodržaní usmernenia, ktoré tento orgán alebo iný relevantný orgán (napr. orgány presadzovania práva) poskytol. Napríklad možnosť pre dotknutú osobu zmierniť okamžité riziko ujmy si vyžaduje promptné informovanie dotknutých osôb, avšak v prípade, že je potrebné zaviesť primerané opatrenia na zabránenie pokračovaniu alebo výskytu podobných poručení ochrany údajov, môže byť opodstatnená aj dlhšia lehota.

(68) Na určenie toho, či porušenie osobných údajov bolo oznámené dozornému orgánu a dotknutej osobe bez zbytočného odkladu, je potrebné uistiť sa, že prevádzkovateľ uplatnil a použil primeranú technologickú ochranu a organizačné opatrenia na bezodkladné zistenie, či došlo k porušeniu ochrany osobných údajov, a na promptné informovanie dozorného orgánu a dotknutej osoby skôr, než príde k poškodeniu osobných a ekonomických záujmov, a zohľadniť pritom najmä povahu a závažnosť porušenia ochrany osobných údajov, dôsledky tohto porušenia a nepriaznivé vplyvy pre dotknutú osobu.

(69) Pri stanovovaní podrobných pravidiel týkajúcich sa formátu a postupov uplatniteľných na oznámenia o porušení ochrany osobných údajov je potrebné venovať veľkú pozornosť okolnostiam porušenia, ako aj tomu, či osobné údaje boli alebo neboli chránené primeranými technickými ochrannými opatreniami, ktoré účinne obmedzujú pravdepodobnosť podvodu alebo inej formy zneužitia. Takéto pravidlá a postupy by okrem toho mali zohľadňovať aj oprávnené záujmy orgánov presadzovania práva v prípadoch, v ktorých by predčasné zverejnenie informácií mohlo ľahko poškodiť vyšetrovanie okolností porušenia ochrany údajov.

(70) V smernici 95/46/ES bola stanovená všeobecná povinnosť oznamovať spracúvanie osobných údajov dozorným orgánom. Keďže táto povinnosť spôsobovala administratívnu a finančnú záťaž, neprispela vždy k zlepšeniu ochrany osobných údajov. Takáto nerozlišujúca všeobecná oznamovacia povinnosť by preto mala byť zrušená a nahradená efektívnymi postupmi a mechanizmami zameranými namiesto toho na tie operácie spracovania, ktoré môžu predstavovať osobitné riziko pre práva a slobody dotknutých osôb z dôvodu ich povahy, rozsahu alebo účelu, na ktorý sa vykonávajú. V takých prípadoch by prevádzkovateľ alebo sprostredkovateľ mali pred spracovaním informácií vykonať posúdenie vplyvu na ochranu údajov, ktoré by malo zahŕňať najmä uvedenie plánovaných opatrení, záruky a mechanizmy zabezpečenia ochrany osobných údajov a mal by sa takisto preukázať súlad s týmto nariadením.

(71) Tento postup by sa mal uplatniť najmä pri novozaložených rozsiahlych informačných systémoch, ktorých cieľom je spracovávať značný objem osobných údajov na regionálnej, vnútroštátnej alebo nadnárodnej úrovni a ktoré by mohli ovplyvniť veľký počet dotknutých osôb.

(72) Existujú okolnosti, za ktorých môže byť vhodné a ekonomické, aby sa predmet posúdenia vplyvu na ochranu údajov nevzťahoval len na jeden projekt, ale bol širší, napríklad ak verejné orgány alebo subjekty zamýšľajú vytvoriť spoločnú aplikáciu či spracovateľskú platformu alebo ak niekoľko prevádzkovateľov zamýšľa zaviesť spoločnú aplikáciu či spracovateľské prostredie v rámci odvetvia alebo segmentu alebo na široko rozvetvenú horizontálnu činnosť.

(73) Posúdenie vplyvu na ochranu údajov by mal vykonávať verejný orgán alebo verejný subjekt, ak takéto posúdenie nebolo vykonané už v súvislosti s prijímaním vnútroštátneho zákona, na ktorom je založené vykonávanie úloh verejného orgánu alebo verejného subjektu a ktorý reguluje osobitnú operáciu spracovania alebo súbor takýchto operácií.

(74) Ak z posúdenia vplyvu na ochranu údajov vyplýva, že operácie spracovania údajov sú sprevádzané vysokým stupňom osobitných rizík pre práva a slobody dotknutých osôb, ako je napríklad riziko, že v dôsledku použitia osobitných nových technológií nebude pre fyzické osoby možné uplatniť ich právo, mal by byť ešte pred začiatkom spracúvania kontaktovaný dozorný orgán a informovaný o riskantnom spracúvaní, ktoré nemusí byť v súlade s týmto nariadením, a mali by byť navrhnuté možnosti nápravy tejto situácie. Takéto konzultácie by sa mali rovnako vykonávať aj počas prípravy buď opatrenia vnútroštátnym parlamentom alebo opatrenia založeného na takomto legislatívnom opatrení, ktoré definuje povahu spracúvania a stanovuje náležité záruky.

(75) Ak sa spracúvanie vykonáva vo verejnoprávnom sektore, ak v súkromnom sektore vykonáva spracúvanie veľký podnik, alebo ak hlavné činnosti podniku bez ohľadu na jeho veľkosť zahŕňajú operácie spracovania údajov, ktoré si vyžaduje pravidelné a systematické monitorovanie, prevádzkovateľovi alebo sprostredkovateľovi by mala nejaká osoba pomáhať monitorovať vnútorné dodržiavanie tohto nariadenia. Takýto úradníci pre ochranu údajov, či už sú alebo nie sú zamestnancami prevádzkovateľa, by mali byť schopní vykonávať svoje povinnosti a úlohy nezávisle.

(76) Združenia alebo iné orgány zastupujúce kategórie prevádzkovateľov by mali podnecovať k tomu, aby vypracovali kódy správania v rámci ustanovení tohto nariadenia, aby sa uľahčilo účinné uplatňovanie tohto nariadenia, pričom by sa zohľadnili osobitné črty spracúvania v určitých odvetviach.

(77) Aby sa zlepšila transparentnosť a posilnil súlad s týmto nariadením, malo by sa podporiť zavádzanie mechanizmov certifikácie, plomb a značiek pre potreby ochrany údajov, aby sa dotknutým osobám umožnilo rýchlo posúdiť úroveň ochrany údajov v prípade relevantných produktov a služieb.

(78) Cezhraničné toky osobných údajov sú potrebné pre rozmach medzinárodného obchodu a medzinárodnej spolupráce. Zvyšovanie týchto tokov so sebou prinieslo nové výzvy a obavy týkajúce sa ochrany osobných údajov. Avšak ani v prípade, keď sú osobné údaje prenášané z Únie do tretích krajín alebo medzinárodným organizáciám, úroveň ochrany údajov fyzických osôb zaručovaná Úniou na základe tohto nariadenia by nemala byť oslabená. V každom prípade by prenos do tretích krajín mal byť vykonávaný v úplnom súlade s týmto nariadením.

(79) Toto nariadenie sa nedotýka medzinárodných dohôd uzatvorených medzi Úniou a tretími krajinami, ktoré upravujú prenos osobných údajov a poskytujú náležité záruky pre dotknuté osoby.

(80) Komisia môže rozhodnúť s účinkom pre celú Úniu, že určité tretie krajiny, územie, sektor spracovania v niektorej tretej krajine alebo medzinárodná organizácia zaručujú primeranú úroveň ochrany údajov, čím poskytne právnu istotu a jednotnosť pre celú Úniu, pokiaľ ide o tretie krajiny alebo medzinárodné organizácie pokladané za krajiny a organizácie poskytujúce takúto úroveň ochrany. V takýchto prípadoch sa prenosy osobných údajov do týchto krajín môžu uskutočňovať bez potreby získania ďalšieho povolenia.

(81) V súlade so základnými hodnotami, na ktorých je založená Únia, najmä pokiaľ ide o ochranu ľudských práv, by Komisia pri posudzovaní tretej krajiny mala zohľadniť skutočnosť, ako daná tretia krajina dodržiava zásady právneho štátu, prístupu k spravodlivosti, ako aj medzinárodné normy a štandardy v oblasti ľudských práv.

(82) Komisia môže rovnako usúdiť, že tretia krajina, územie, sektor spracovania v tretej krajine alebo medzinárodná organizácia nezabezpečujú primeranú úroveň ochrany údajov. V dôsledku toho by sa mal prenos osobných údajov do tejto tretej krajiny zakázať. V takomto prípade treba prijať ustanovenie o konzultácii medzi Komisiou a takýmito tretími krajinami alebo medzinárodnými organizáciami.

(83) Pri absencii rozhodnutia o primeranosti by prevádzkovateľ a sprostredkovateľ mali prijať opatrenia na kompenzáciu za nedostatočnú ochranu údajov v tretej krajine prostredníctvom náležitých záruk pre dotknutú osobu. Takéto náležité záruky môžu spočívať v uplatnení záväzných firemných pravidiel, štandardných ustanovení o ochrane údajov prijatých Komisiou, štandardných ustanovení o ochrane údajov prijatých dozorným orgánom, alebo iných vhodných a primeraných opatrení opodstatnených všetkými okolnosťami operácie prenosu údajov alebo súboru operácií prenosu údajov a povolených dozorným orgánom.

(84) Možnosť pre prevádzkovateľa alebo sprostredkovateľa uplatniť štandardné ustanovenia o ochrane údajov prijaté Komisiou alebo dozorným orgánom by prevádzkovateľom ani sprostredkovateľom nemali brániť v tom, aby zahrnuli štandardné doložky o ochrane údajov do širšej zmluvy alebo k nim pridali ďalšie ustanovenia, pokiaľ nie sú priamo alebo nepriamo kontradiktórne vo vzťahu k štandardným zmluvným doložkám prijatým Komisiou alebo dozorným orgánom alebo pokiaľ sa nedotýkajú základných práv a slobôd dotknutých osôb.

(85) Každá skupina podnikov by mala byť schopná uplatňovať záväzné firemné pravidlá pri svojich medzinárodných prenosoch z Únie organizáciám v rámci tej istej skupiny podnikov, pokiaľ takéto firemné pravidlá zahŕňajú hlavné zásady a vymáhateľné práva na zabezpečenie náležitých záruk pre prenosy alebo kategórie prenosov osobných údajov.

(86) Mali by byť prijaté ustanovenia o možnosti prenosov za určitých okolností, ak dotknutá osoba dala súhlas, ak je prenos potrebný v súvislosti so zmluvným alebo právnym nárokom, ak si to vyžadujú dôležité dôvody verejného záujmu stanoveného Úniou alebo členským štátom alebo ak je prenos realizovaný z registra vytvoreného na základe zákona alebo určeného na nahliadanie zo strany verejnosti alebo osôb s oprávneným záujmom. V poslednom uvedenom prípade by tento prenos nemal zahŕňať úplné údaje alebo celé kategórie údajov obsiahnutých v registri a ak je register učený na nahliadanie zo strany osôb s oprávneným záujmom, prenos by sa mal vykonať len na požiadanie takýchto osôb alebo vtedy, ak sú takéto osoby príjemcami údajov.

(87) Tieto výnimky by sa mali uplatňovať najmä pri prenosoch údajov požadovaných a potrebných na ochranu dôležitých dôvodov verejného záujmu, napríklad v prípadoch medzinárodných prenosov medzi orgánmi hospodárskej súťaže, daňovými alebo colnými správami, orgánmi finančného dohľadu, medzi útvarmi zodpovednými za otázky sociálneho zabezpečenia alebo medzi príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania a stíhania.

(88) Možno vykonávať aj prenosy, ktoré nemožno označiť za časté alebo hromadné, a to na účely oprávnených záujmov prevádzkovateľa alebo sprostredkovateľa, ak posúdili všetky okolnosti prenosu údajov. Na účely spracúvania na historické, štatistické a vedeckovýskumné účely by sa mali zohľadniť legitímne očakávania spoločnosti týkajúce sa prehĺbenia znalostí.

(89) V každom prípade, v ktorom Komisia neprijala rozhodnutie o primeranej úrovni ochrany údajov v niektorej tretej krajine, prevádzkovateľ alebo sprostredkovateľ by mali využiť riešenia, ktoré dotknutým osobám poskytujú záruky, že budú aj naďalej môcť uplatňovať základné práva a záruky, pokiaľ ide o spracúvanie ich údajov v Únii, keď budú tieto údaje prenesené.

(90) Niektoré tretie krajiny prijímajú zákony, nariadenia alebo iné legislatívne nástroje, ktoré priamo regulujú spracúvanie údajov fyzických a právnických osôb v rámci jurisdikcie členských štátov. Extrateritoriálne uplatňovanie týchto zákonov, nariadení a iných legislatívnych nástrojov môže byť v rozpore s medzinárodným právom a môže ohroziť ochranu fyzických osôb garantovanú Úniou v tomto nariadení. Prenosy by mali byť povolené len za podmienok uvedených v tomto nariadení pre prenosy do tretích krajín. Môže ísť okrem iného o prípad, keď zverejnenie je potrebné z dôležitého dôvodu verejného záujmu uznaného v právnych predpisoch Únie alebo v právnych predpisoch členských štátov, ktorým prevádzkovateľ podlieha. Podmienky, za ktorých existuje dôležitý dôvod verejného záujmu, by mala Komisia ďalej špecifikovať v delegovanom akte.

(91) Pri pohybe osobných údajov za hranice sa môže zvýšiť riziko z hľadiska možnosti fyzických osôb uplatniť práva ochrany údajov, a to najmä pokiaľ ide o ich schopnosť chrániť sa pred nezákonným využitím alebo zverejnením týchto informácií. Zároveň dozorné orgány môžu zistiť, že nie sú schopné riešiť sťažnosti alebo vykonávať vyšetrovanie týkajúce sa činností vykonávaných za ich hranicami. Prekážkou v ich úsilí spolupracovať v cezhraničnom kontexte môžu byť aj nedostatočné preventívne alebo nápravné právomoci, nekonzistentné právne režimy a praktické prekážky, napríklad nedostatočné zdroje. Preto je tu potreba podporovať užšiu spoluprácu medzi dozornými orgánmi pre ochranu údajov s cieľom pomôcť im pri výmene informácií a pri vyšetrovaniach vykonávaných v spolupráci s ich medzinárodnými partnermi.

(92) Zriadenie dozorných orgánov v členských štátoch a vykonávanie ich funkcií v úplnej nezávislosti je zásadným prvkom ochrany fyzických osôb v súvislosti so spracúvaním ich osobných údajov. Členské štáty môžu zriadiť viac ako jeden dozorný orgán, aby zohľadnili svoju ústavnú, organizačnú a správnu štruktúru.

(93) Ak niektorý členský štát zriadi viacero dozorných orgánov, mal by v zákone stanoviť mechanizmy na zabezpečenie efektívnej účasti týchto dozorných orgánov na mechanizme konzistentnosti. Takéto členské štáty by mali najmä určiť dozorný orgán, ktorý bude fungovať ako jediné kontaktné miesto pre efektívnu účasť týchto orgánov na uvedenom mechanizme s cieľom zabezpečiť rýchlu a bezproblémovú spoluprácu s ostatnými dozornými orgánmi, Európskym výborom pre ochranu údajov a Komisiou.

(94) Každý dozorný orgán by mal mať k dispozícii dostatok personálnych a finančných zdrojov, priestory a infraštruktúru, ktoré sú potrebné na účinné plnenie úloh vrátane tých, ktoré sa týkajú vzájomnej pomoci a spolupráce s ostatnými dozornými orgánmi v rámci Únie.

(95) Všeobecné podmienky pre členov dozorného orgánu by mal každý členský štát stanoviť zákonným predpisom, kde by malo byť najmä stanovené, že členovia by mali byť menovaní parlamentom alebo vládou členského štátu, a mali by tu byť uvedené pravidlá o osobnej kvalifikácii členov a pozícii týchto členov.

(96) Dozorné orgány by mali monitorovať uplatňovanie ustanovení podľa tohto nariadenia a prispievať k jeho konzistentnému uplatňovaniu v rámci Únie, aby sa chránili fyzické osoby v súvislosti so spracúvaním ich osobných údajov a uľahčil sa voľný tok osobných údajov v rámci vnútorného trhu. Na tento účel by dozorné orgány mali spolupracovať navzájom, ako aj s Komisiou.

(97) Ak sa spracovanie osobných údajov v rámci činnosti zariadenia prevádzkovateľa alebo sprostredkovateľa v Únii vykonáva vo viac ako jednom členskom štáte, pre monitorovanie činností prevádzkovateľa alebo sprostredkovateľa v Únii a prijímanie súvisiacich rozhodnutí by mal byť príslušný iba jeden dozorný orgán, aby sa posilnilo konzistentné uplatňovanie pravidiel, poskytla sa právna istota a znížilo sa administratívne zaťaženie pre takýchto prevádzkovateľov a sprostredkovateľov.

(98) Príslušným orgánom, ktorý je takýmto jediným kontaktným miestom, by mal byť dozorný orgán členského štátu, v ktorom má prevádzkovateľ alebo sprostredkovateľ svoje ústredie.

(99) Hoci sa toto nariadenie uplatňuje aj na činnosti vnútroštátnych súdov, príslušnosť dozorných orgánov by sa nemala vzťahovať na spracúvanie osobných údajov v prípadoch, v ktorých konajú súdy na základe ich súdnej právomoci, aby sa takto zaručila nezávislosť sudcov pri výkone ich sudcovských úloh. Táto výnimka by mala byť prísne obmedzená výlučne na sudcovské činnosti v rámci súdnych konaní a nemala by sa uplatňovať na iné činnosti, do ktorých môžu byť sudcovia zapojení v súlade s vnútroštátnym právom.

(100) Aby sa zabezpečilo konzistentné monitorovanie a uplatňovanie tohto nariadenia v rámci Únie, dozorné orgány by mali mať vo všetkých členských štátoch rovnaké povinnosti a účinné právomoci vrátane právomoci vykonávať vyšetrovania, právomoci robiť právne záväzné úkony, prijímať rozhodnutia a ukladať sankcie, a to najmä v prípadoch sťažností od fyzických osôb, a právomoci zapájať sa do súdnych konaní. Vyšetrovacie právomoci dozorných orgánov, pokiaľ ide o prístup do priestorov, by sa mali uplatňovať v súlade s právnymi predpismi Únie a s vnútroštátnymi právnymi predpismi. Týka sa to najmä požiadavky získať povolenie súdu vopred.

(101) Každý dozorný orgán by mal prejednať sťažnosti podané ktoroukoľvek dotknutou osobou a vyšetriť predmetnú záležitosť. Vyšetrovanie na základe sťažnosti by sa malo vykonávať, s výhradou preskúmania veci súdom, v rozsahu primeranom pre konkrétny prípad. Dozorný orgán by mal informovať dotknutú osobu o pokroku pri vybavovaní sťažnosti a o výsledku sťažnosti v rámci primeranej lehoty. Ak si predmetná záležitosť vyžaduje ďalšie vyšetrovanie alebo koordináciu s iným dozorným orgánom, dotknutej osobe by sa mala poskytnúť priebežná informácia.

(102) Aktivity dozorných orgánov zamerané na zvyšovanie informovanosti a adresované verejnosti by mali zahŕňať špecifické opatrenia určené prevádzkovateľom a sprostredkovateľom vrátane malých a stredných podnikov, ako aj dotknutým osobám.

(103) Dozorné orgány by si mali navzájom pomáhať pri výkone svojich povinností a poskytovať vzájomnú pomoc s cieľom zabezpečiť konzistentné uplatňovanie a presadzovanie tohto nariadenia na vnútornom trhu.

(104) Každý dozorný orgán by mal mať právo zúčastňovať sa na spoločných operáciách medzi dozornými orgánmi. Požiadaný dozorný orgán by mal mať povinnosť odpovedať na žiadosť v rámci vymedzenej časovej lehoty.

(105) S cieľom zabezpečiť konzistentné uplatňovanie tohto nariadenia v celej Únii by sa mal zriadiť mechanizmus konzistentnosti pre spoluprácu medzi dozornými orgánmi navzájom a medzi nimi a Komisiou. Tento mechanizmus by sa mal uplatňovať najmä vtedy, keď dozorný orgán mieni prijať opatrenie týkajúce sa operácií spracovania, ktoré súvisia s ponukou tovaru alebo služieb dotknutým osobám v niekoľkých členských štátoch, alebo so sledovaním správania takýchto dotknutých osôb, alebo ktoré by mohli podstatne ovplyvniť voľný pohyb osobných údajov. Mal by sa takisto uplatniť vtedy, keď niektorý dozorný orgán alebo Komisia žiadajú, aby sa predmetná záležitosť riešila v rámci mechanizmu konzistentnosti. Týmto mechanizmom by nemali byť dotknuté žiadne opatrenia, ktoré by Komisia mohla prijať pri výkone svojich právomocí v zmysle zmlúv.

(106) Pri uplatňovaní mechanizmu konzistentnosti by Európsky výbor pre ochranu údajov mal v rámci vymedzenej časovej lehoty vydať stanovisko, ak o tom rozhodne jednoduchá väčšina jeho členov, alebo ak o to požiada niektorý dozorný orgán alebo Komisia.

(107) S cieľom zabezpečiť súlad s týmto nariadením môže Komisia prijať stanovisko k tejto veci alebo rozhodnutie, ktorým požiada dozorný orgán o pozastavenie jeho návrhu opatrenia.

(108) Môže sa vyskytnúť naliehavá potreba konať kvôli ochrane záujmov dotknutých osôb, najmä ak existuje nebezpečenstvo, že by uplatňovanie práva dotknutej osoby mohlo byť podstatne sťažené. Dozorný orgán by preto mal mať možnosť pri uplatňovaní mechanizmu konzistentnosti prijímať dočasné opatrenia s vymedzenou dobou platnosti.

(109) Uplatňovanie tohto mechanizmu by malo byť podmienkou právoplatnosti a vymáhania príslušného rozhodnutia dozorným orgánom. V iných prípadoch s cezhraničnou pôsobnosťou by sa vzájomná pomoc a spoločné vyšetrovanie mohli vykonávať medzi dotknutými dozornými orgánmi na dvojstrannom alebo viacstrannom základe bez uvedenia mechanizmu konzistentnosti do činnosti.

(110) Na úrovni Únie by sa mal zriadiť Európsky výbor pre ochranu údajov. Mal by nahradiť pracovnú skupinu pre ochranu jednotlivcov so zreteľom na spracovanie osobných údajov, zriadenú smernicou 95/46/ES. Mal by pozostávať z vedúcich predstaviteľov dozorných orgánov, a to po jednom z každého členského štátu, a európskeho dozorného úradníka pre ochranu údajov. Na jeho činnosti by sa mala podieľať aj Komisia. Európsky výbor pre ochranu údajov by mal prispievať ku konzistentnému uplatňovaniu tohto nariadenia v rámci celej Únie, a to aj poskytovaním poradenstva Komisii a podporou spolupráce medzi dozornými orgánmi v rámci celej Únie. Európsky výbor pre ochranu údajov by mal pri výkone svojich úloh konať nezávisle.

(111) Každá dotknutá osoba by mala mať právo podať sťažnosť u dozorného orgánu v ktoromkoľvek členskom štáte a mať právo na súdne prostriedky nápravy, ak usúdi, že jej práva ustanovené týmto nariadením sa porušujú, alebo ak dozorný orgán nereaguje na sťažnosť alebo nekoná v prípade, že takéto konanie je nevyhnutné na ochranu práv dotknutej osoby.

(112) Všetky orgány, organizácie či združenia, ktorých cieľom je ochrana práv a záujmov dotknutých osôb súvisiaca s ochranou ich údajov a ktoré sú zriadené podľa právnych predpisov niektorého členského štátu, by mali mať možnosť podať sťažnosť u dozorného orgánu alebo využiť právo na súdny opravný prostriedok v mene dotknutých osôb, alebo nezávisle od sťažnosti niektorej dotknutej osoby podať vlastnú sťažnosť v prípade, že usúdia, že došlo k porušeniu ochrany osobných údajov.

(113) Každá fyzická či právnická osoba by mala mať právo na súdne prostriedky nápravy voči rozhodnutiam dozorného orgánu, ktoré sa jej týka. Návrh na začatie konania voči dozornému orgánu by sa mal podať na súde členského štátu, v ktorom má dozorný orgán sídlo.

(114) S cieľom posilniť súdnu ochranu dotknutých osôb v situáciách, keď príslušný dozorný orgán má sídlo v inom členskom štáte, než je štát, v ktorom má dotknutá osoba bydlisko, dotknutá osoba môže požiadať ktorýkoľvek z orgánov, organizácií či združení, ktorých cieľom je ochrana práv a záujmov dotknutých osôb súvisiaca s ochranou ich osobných údajov, podať v mene dotknutej osoby návrh na začatie konania voči dozornému orgánu na príslušnom súde v tomto druhom členskom štáte.

(115) V situáciách, keď príslušný dozorný orgán so sídlom v inom členskom štáte nekoná alebo neprijal dostatočné opatrenia vo veci sťažnosti, dotknutá osoba môže požiadať dozorný orgán v členskom štáte jej obvyklého pobytu, aby tento podal návrh na začatie konania voči predmetnému dozornému orgánu na príslušnom súde v tomto druhom členskom štáte. Požiadaný dozorný orgán môže rozhodnúť, s výhradou preskúmania súdom, či je vhodné danej žiadosti vyhovieť alebo nie.

(116) Pri konaniach voči prevádzkovateľovi alebo sprostredkovateľovi by žalobca mal mať možnosť podať návrh na začatie konania na súde členského štátu, v ktorom má prevádzkovateľ alebo sprostredkovateľ príslušné zariadenie v činnosti, alebo kde má dotknutá osoba bydlisko, s výnimkou prípadov, keď prevádzkovateľom je verejný orgán konajúci v rámci výkonu svojich verejných právomocí.

(117) Ak existujú náznaky, že sa na súdoch iných členských štátov vedú súbežné konania, príslušné súdy by mali mať povinnosť navzájom sa kontaktovať. Súdy by mali mať možnosť pozastaviť konanie vo veci v prípade, že sa v inom členskom štáte vedie súbežné konanie. Členské štáty by mali zabezpečiť, aby súdne opatrenia umožňovali v záujme ich účinnosti urýchlené prijatie opatrení na nápravu alebo na predchádzanie porušeniu tohto nariadenia.

(118) Prevádzkovateľ alebo sprostredkovateľ by mali nahradiť akúkoľvek škodu, ktorú určitá osoba utrpela v dôsledku nezákonného spracovania, môžu však byť úplne alebo čiastočne zbavení tejto zodpovednosti, ak poskytnú dôkaz o tom, že nenesú zodpovednosť za škodu, a to najmä vtedy, keď zistia pochybenie dotknutej osoby, alebo v prípade vyššej moci.

(119) Každej osobe, ktorá nedodrží toto nariadenie, by sa mali uložiť sankcie bez ohľadu na to, či podlieha súkromnému alebo verejnému právu. Členské štáty by mali zabezpečiť, aby sankcie boli účinné, primerané a odrádzajúce a prijať všetky opatrenia na vymáhanie týchto sankcií.

(120) S cieľom posilniť a harmonizovať správne sankcie za porušovanie tohto nariadenia by každý dozorný orgán mal mať právomoc sankcionovať správne priestupky. V tomto nariadení by sa mali uviesť tieto priestupky a horná hranica príslušných správnych pokút, ktoré by sa mali stanoviť v každom jednotlivom prípade úmerne ku konkrétnej situácii s náležitým zreteľom najmä na povahu, závažnosť a trvanie porušenia. Mechanizmus konzistentnosti by sa mal využiť aj na riešenie rozdielností pri uplatňovaní správnych sankcií.

(121) Spracúvanie osobných údajov vykonávané výlučne na žurnalistické účely alebo na účely umeleckej alebo literárnej tvorby by malo byť predmetom výnimky z požiadaviek určitých ustanovení tohto nariadenia s cieľom zosúladiť právo na ochranu osobných údajov s právom slobody prejavu, konkrétne s právom dostávať nestranné informácie, ako sú zaručené najmä článkom 11 Charty základných práv Európskej únie. Malo by sa to vzťahovať najmä na spracúvanie osobných údajov v audiovizuálnej oblasti a v archívoch spravodajstva a tlače. Členské štáty by preto mali prijať legislatívne opatrenia, ktorými sa určia výnimky a odchýlky nevyhnutné na vyvážené zabezpečenie týchto základných práv. Takéto výnimky a odchýlky by členské štáty mali prijať, pokiaľ ide o všeobecné zásady, práva dotknutej osoby, prevádzkovateľa a sprostredkovateľa, prenos údajov do tretích krajín alebo medzinárodným organizáciám, nezávislé dozorné orgány, spoluprácu a konzistentnosť. Nemalo by to však viesť k tomu, aby členské štáty stanovovali výnimky z iných ustanovení tohto nariadenia. S cieľom zohľadniť dôležitosť práva slobody prejavu v každej demokratickej spoločnosti je nevyhnutné pojmy súvisiace s touto slobodou, napríklad žurnalistiku, vykladať v širšom zmysle. Členské štáty by preto mali určiť kategórie „žurnalistických“ činností na účely výnimiek a odchýlok, ktoré sa majú určiť na základe tohto nariadenia, ak cieľom týchto činností je zverejňovanie informácií, názorov alebo námetov bez ohľadu na médium používané na ich prenos. Tieto činnosti by nemali byť obmedzené výlučne na mediálne podniky a malo by byť možné využívať ich na ziskové aj neziskové účely.

(122) Spracúvanie osobných údajov týkajúcich sa zdravia ako osobitnej kategórie údajov, ktoré si zasluhujú vyšší stupeň ochrany, môže byť často opodstatnené celým radom legitímnych dôvodov v záujme fyzických osôb a spoločnosti ako celku, najmä v súvislosti so zabezpečením kontinuity cezhraničnej zdravotnej starostlivosti. Týmto nariadením by sa preto mali vytvoriť harmonizované podmienky pre spracúvanie osobných údajov týkajúcich sa zdravia s výhradou špecifických a vhodných záruk s cieľom chrániť základné práva a osobné údaje fyzických osôb. K tomu patrí aj právo fyzických osôb na prístup k ich osobným údajov týkajúcim sa ich zdravia, napríklad k údajom v ich lekárskych záznamoch obsahujúcich informácie ako diagnóza, výsledky vyšetrení, posudky ošetrujúcich lekárov a akákoľvek poskytnutá terapia alebo uskutočnené zákroky.

(123) Spracúvanie osobných údajov týkajúcich sa zdravia bez súhlasu dotknutej osoby môže byť potrebné z dôvodov verejného záujmu v oblasti verejného zdravia. V tejto súvislosti by sa malo „verejné zdravie“ vykladať v zmysle nariadenia Európskeho parlamentu a Rady (ES) č. 1338/2008 zo 16. decembra 2008 o štatistikách Spoločenstva v oblasti verejného zdravia a bezpečnosti a ochrany zdravia pri práci, teda malo by zahŕňať všetky prvky súvisiace so zdravím, konkrétne zdravotný stav vrátane chorobnosti a zdravotného postihnutia, faktory ovplyvňujúce tento zdravotný stav, potreby zdravotnej starostlivosti, zdroje pridelené na zdravotnú starostlivosť, poskytovanie zdravotnej starostlivosti a jej všeobecnú dostupnosť, ako aj výdavky na zdravotnú starostlivosť a jej financovanie a príčiny smrti. Takéto spracúvanie osobných údajov týkajúcich sa zdravia z dôvodov verejného záujmu by nemalo viesť k spracúvaniu osobných údajov na iné účely tretími stranami, napríklad zamestnávateľmi či poisťovacími a bankovými spoločnosťami.

(124) Všeobecné zásady ochrany fyzických osôb pri spracúvaní osobných údajov by sa mali uplatňovať aj v súvislosti so zamestnaním. Preto s cieľom upraviť spracúvanie osobných údajov zamestnancov v súvislosti so zamestnaním by členské štáty mali mať možnosť v medziach tohto nariadenia prijať špecifické zákonné pravidlá spracúvania osobných údajov v oblasti zamestnanosti.

(125) Spracúvanie osobných údajov na historické, štatistické alebo vedeckovýskumné účely by malo v záujme zákonnosti takisto rešpektovať ďalšie relevantné právne predpisy, napríklad predpisy o klinických skúškach.

(126) Vedecký výskum na účely tohto nariadenia by mal zahŕňať základný výskum, aplikovaný výskum a výskum financovaný zo súkromných zdrojov a okrem toho by mal zohľadňovať cieľ Únie stanovený v článku 179 ods. 1 Zmluvy o fungovaní Európskej únie, ktorým je vytvorenie európskeho výskumného priestoru.

(127) Pokiaľ ide o právomoci dozorných orgánov získať od prevádzkovateľa alebo sprostredkovateľa prístup k osobným údajom a prístup do ich prevádzkových priestorov, členské štáty môžu prijať formou zákona a v medziach tohto nariadenia osobitné pravidlá s cieľom zaručiť plnenie povinností týkajúcich sa služobného tajomstva alebo inej rovnocennej povinnosti zachovávať mlčanlivosť, ak je to potrebné na zosúladenie práva na ochranu osobných údajov s povinnosťou zachovávať služobné tajomstvo.

(128) V zmysle článku 17 Zmluvy o fungovaní Európskej únie sa týmto nariadením rešpektuje a zároveň ním nie je dotknuté postavenie, ktoré majú cirkvi a náboženské združenia alebo spoločenstvá v členských štátoch podľa vnútroštátneho práva. Z toho vyplýva, že ak určitá cirkev v niektorom členskom štáte v čase nadobudnutia účinnosti tohto nariadenia uplatňuje komplexné pravidlá ochrany fyzických osôb pri spracúvaní osobných údajov, tieto pravidlá by sa mali aj naďalej uplatňovať za podmienky, že sa zosúladia s týmto nariadením. Od takýchto cirkví a náboženských združení by sa malo vyžadovať, aby zabezpečili zriadenie úplne nezávislého dozorného orgánu.

(129) Aby sa splnili ciele tohto nariadenia, konkrétne ochrana základných práv a slobôd fyzických osôb, najmä ich právo na ochranu osobných údajov, ako aj zabezpečenie voľného pohybu osobných údajov v rámci Únie, Komisii by sa mala delegovať právomoc prijímať akty v súlade s článkom 290 Zmluvy o fungovaní Európskej únie. Delegované akty by sa mali predovšetkým prijímať, pokiaľ ide o: zákonnosť spracovania; určenie kritérií a podmienok súhlasu dieťaťa; spracúvanie osobitných kategórií osobných údajov; určenie kritérií a podmienok pre konštatovanie zjavne neprimeraných žiadostí a poplatkov za výkon práv dotknutej osoby; kritériá a požiadavky súvisiace s informáciami pre dotknutú osobu a s jej prístupovým právom; právo byť zabudnutý a právo na výmaz; opatrenia založené na profilovaní; kritériá a požiadavky týkajúce sa zodpovednosti prevádzkovateľa a ochrany údajov špecificky navrhnutej a štandardne určenej; sprostredkovateľa; kritériá a požiadavky na dokumentáciu a bezpečnosť spracovania; kritériá a požiadavky pre konštatovanie porušenia ochrany osobných údajov, jeho oznamovanie dozornému orgánu a okolnosti, kedy porušenie ochrany osobných údajov môže nepriaznivo ovplyvniť dotknutú osobu; kritériá a požiadavky na operácie spracovania; pri ktorých sa vyžaduje posúdenie vplyvu na ochranu údajov; kritériá a požiadavky pre konštatovanie vysokého stupňa osobitných rizík, pri ktorých sa vyžaduje konzultácia vopred; určenie a úlohy úradníka pre ochranu údajov; kódexy správania; kritériá a požiadavky na certifikačné mechanizmy; kritériá a požiadavky na prenosy prostredníctvom záväzných firemných pravidiel; odchýlky od pravidiel pri prenose; správne sankcie; spracúvanie údajov na zdravotnícke účely; spracúvanie v súvislosti so zamestnaním a spracúvanie na historické, štatistické a vedeckovýskumné účely. Je mimoriadne dôležité, aby Komisia viedla náležité konzultácie v priebehu prípravných prác vrátane konzultácií na expertnej úrovni. Pri príprave a vypracúvaní delegovaných aktov by Komisia mala zabezpečiť súbežné, včasné a vhodne riešené predkladanie príslušných dokumentov Európskemu parlamentu a Rade.

(130) S cieľom zabezpečiť jednotné podmienky uplatňovania tohto nariadenia by sa na Komisiu mali preniesť vykonávacie právomoci, pokiaľ ide o: určenie štandardných formulárov pre potreby spracúvania osobných údajov dieťaťa; štandardné postupy a formuláre pre výkon práv dotknutých osôb, štandardné formuláre informácie pre dotknutú osobu; štandardné formuláre a postupy týkajúce sa prístupového práva, právo na prenosnosť údajov; štandardné formuláre týkajúce sa zodpovednosti prevádzkovateľa za ochranu osobných údajov špecificky navrhnutú a štandardne určenú a formuláre týkajúce sa dokumentácie; osobitné požiadavky na bezpečnosť spracovania; štandardný formát a postupy pre oznámenie porušenia ochrany osobných údajov dozornému orgánu a pre informovanie dotknutej osoby o porušení ochrany osobných údajov; normy a postupy pre posúdenie vplyvu na ochranu osobných údajov; formuláre a postupy týkajúce sa povolenia vopred a konzultácie vopred; technické normy a certifikačné mechanizmy; primeranú úroveň ochrany poskytovanú treťou krajinou alebo územím, alebo sektorom spracovania v tretej krajine alebo medzinárodnou organizáciou; sprístupňovanie údajov, ktoré právne predpisy Únie nepovoľujú; vzájomnú pomoc; spoločné operácie a rozhodnutia v rámci mechanizmu konzistentnosti. Tieto právomoci by sa mali vykonávať v súlade s nariadením Európskeho parlamentu a Rady (EÚ) č. 182/2011 zo 16. februára 2011, ktorým sa ustanovujú pravidlá a všeobecné zásady mechanizmu, na základe ktorého členské štáty kontrolujú vykonávanie vykonávacích právomocí Komisie[45]. Komisia by pritom mala zvážiť osobitné opatrenia pre mikropodniky a malé a stredné podniky.

(131) Postup preskúmania by sa mal použiť v prípadoch, keď ide o: určenie štandardných formulárov pre vyjadrenie súhlasu dieťaťa; štandardné postupy a formuláre pre výkon práv dotknutých osôb; štandardné formuláre informácií pre dotknutú osobu; štandardné formuláre a postupy týkajúce sa prístupového práva; právo na prenosnosť údajov; štandardné formuláre týkajúce sa zodpovednosti prevádzkovateľa za ochranu osobných údajov špecificky navrhnutú a štandardne určenú a formuláre týkajúce sa dokumentácie; osobitné požiadavky na bezpečnosť spracovania; štandardný formát a postupy pre oznámenie porušenia ochrany osobných údajov dozornému orgánu a pre informovanie dotknutej osoby o porušení ochrany osobných údajov; normy a postupy pre posúdenie vplyvu na ochranu osobných údajov; formuláre a postupy týkajúce sa povolenia vopred a konzultácie vopred; technické normy a certifikačné mechanizmy; primeranú úroveň ochrany poskytovanú treťou krajinou alebo územím, alebo sektorom spracovania v tretej krajine alebo medzinárodnou organizáciou; sprístupňovanie údajov, ktoré právne predpisy Únie nepovoľujú; vzájomnú pomoc; spoločné operácie a rozhodnutia v rámci mechanizmu konzistentnosti, keďže tieto akty majú všeobecnú pôsobnosť.

(132) Pokiaľ si to vyžadujú vážne a naliehavé dôvody, Komisia by mala prijať okamžite uplatniteľné akty, ak ide o riadne odôvodnené prípady týkajúce sa tretej krajiny alebo územia, alebo sektora spracúvania či medzinárodnej organizácie, ktoré nezabezpečujú náležitú úroveň ochrany a dozorné orgány riešia tieto prípady v rámci mechanizmu konzistentnosti.

(133) Keďže cieľ tohto nariadenia, ktorým je zabezpečiť rovnocennú úroveň ochrany fyzických osôb a voľný tok údajov v rámci celej Únie, nie je možné uspokojivo dosiahnuť na úrovni jednotlivých členských štátov, ale z dôvodov jeho rozsahu a dôsledkov ho možno lepšie dosiahnuť na úrovni Únie, môže Únia prijať opatrenia v súlade so zásadou subsidiarity podľa článku 5 Zmluvy o Európskej únii. V súlade so zásadou proporcionality podľa uvedeného článku toto nariadenie neprekračuje rámec nevyhnutný na dosiahnutie tohto cieľa.

(134) Smernica 95/46/ES by sa mala týmto nariadením zrušiť. Rozhodnutia, ktoré Komisia prijala, a povolenia, ktoré dozorné orgány vydali na základe smernice 95/46/ES, však zostávajú v platnosti.

(135) Toto nariadenie sa uplatňuje na všetky záležitosti týkajúce sa ochrany základných práv a slobôd pri spracúvaní osobných údajov, ktoré nepodliehajú osobitným povinnostiam uvedeným v smernici 2002/58/ES s rovnakým cieľom, vrátane povinností prevádzkovateľa a práv fyzických osôb. S cieľom spresniť vzťah medzi týmto nariadením a smernicou 2002/58/ES by sa uvedená smernica mala zodpovedajúcim spôsobom zmeniť a doplniť.

(136) Pokiaľ ide o Island a Nórsko, toto nariadenie predstavuje vývoj ustanovení schengenského acquis do tej miery, že sa uplatňuje na spracúvanie osobných údajov orgánmi, ktoré sú zapojené do uplatňovania tohto acquis v zmysle Dohody uzatvorenej medzi Radou Európskej únie a Islandskou republikou a Nórskym kráľovstvom o pridružení týchto dvoch štátov pri vykonávaní, uplatňovaní a rozvoji schengenského acquis[46].

(137) Pokiaľ ide o Švajčiarsko, toto nariadenie predstavuje vývoj ustanovení schengenského acquis do tej miery, že sa uplatňuje na spracúvanie osobných údajov orgánmi, ktoré sú zapojené do uplatňovania tohto acquis v zmysle Dohody medzi Európskou úniou, Európskym spoločenstvom a Švajčiarskou konfederáciou o pridružení Švajčiarskej konfederácie k vykonávaniu, uplatňovaniu a vývoju schengenského acquis[47].

(138) Pokiaľ ide o Lichtenštajnsko, toto nariadenie predstavuje vývoj ustanovení schengenského acquis do tej miery, že sa uplatňuje na spracúvanie osobných údajov orgánmi, ktoré sú zapojené do uplatňovania tohto acquis v zmysle Protokolu medzi Európskou úniou, Európskym spoločenstvom, Švajčiarskou konfederáciou a Lichtenštajnským kniežatstvom o pristúpení Lichtenštajnského kniežatstva k Dohode medzi Európskou úniou, Európskym spoločenstvom a Švajčiarskou konfederáciou o pridružení Švajčiarskej konfederácie k vykonávaniu, uplatňovaniu a rozvoju schengenského acquis[48].

(139) Vzhľadom na skutočnosť, ktorú zdôraznil aj Súdny dvor Európskej únie, že právo na ochranu osobných údajov nie je absolútnym právom, ale sa musí posudzovať v vzťahu k jeho funkcii v spoločnosti a musí byť vo vyváženom pomere s inými základnými právami, toto nariadenie v súlade so zásadou proporcionality rešpektuje všetky základné práva a dodržiava princípy uznané v Charte základných práv Európskej únie, ako sú zakotvené v zmluvách, najmä právo na rešpektovanie súkromného a rodinného života, domova a komunikácie, právo na ochranu osobných údajov, slobodu myslenia, presvedčenia a viery, slobodu prejavu a informácií, slobodné podnikanie, právo na účinné prostriedky nápravy a spravodlivý proces, ako aj kultúrnu, náboženskú a jazykovú rozmanitosť,

PRIJALI TOTO NARIADENIE:

KAPITOLA I

VŠEOBECNÉ USTANOVENIA

Článok 1 Predmet úpravy a ciele

1.           Týmto nariadením sa stanovujú pravidlá ochrany fyzických osôb pri spracúvaní osobných údajov a pravidlá týkajúce sa voľného pohybu osobných údajov.

2.           Toto nariadenie chráni základné práva a slobody fyzických osôb, najmä ich právo na ochranu osobných údajov.

3.           Voľný pohyb osobných údajov v rámci Únie nemá byť obmedzený ani zakázaný z dôvodov súvisiacich s ochranou fyzických osôb pri spracúvaní osobných údajov.

Článok 2 Vecná pôsobnosť

1.           Toto nariadenie sa vzťahuje na spracovanie osobných údajov vykonávané úplne alebo čiastočne automatizovanými prostriedkami a na spracovanie inými než automatickými prostriedkami v prípade osobných údajov, ktoré tvoria časť informačného systému alebo sú určené na tvorbu časti informačného systému.

2.           Toto nariadenie sa nevzťahuje na spracovanie osobných údajov:

a)      v rámci činnosti, ktorá nepatrí do pôsobnosti práva Únie, najmä ak sa týka národnej bezpečnosti;

b)      inštitúciami, orgánmi, úradmi a agentúrami Únie;

c)      členskými štátmi pri vykonávaní činností patriacich do rozsahu pôsobnosti kapitoly 2 Zmluvy o Európskej únii;

d)      fyzickou osobou bez akéhokoľvek zárobkového motívu v rámci svojej výlučne osobnej alebo súkromnej činnosti;

e)      príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania, alebo na výkon trestných sankcií.

3.           Týmto nariadením nie je dotknuté uplatňovanie smernice 2000/31/ES, najmä povinnosti poskytovateľov sprostredkovateľských služieb uvedené v článkoch 12 až 15 uvedenej smernice.

Článok 3 Územná pôsobnosť

1.           Toto nariadenie sa vzťahuje na spracovanie osobných údajov v rámci činnosti zariadenia prevádzkovateľa alebo sprostredkovateľa v Únii.

2.           Toto nariadenie sa vzťahuje na spracovanie osobných údajov dotknutých osôb s bydliskom v Únii prevádzkovateľom, ktorý nemá sídlo v Únii, pričom spracovateľská činnosť súvisí:

a)      s ponukou tovaru alebo služieb týmto dotknutým osobám v Únii, alebo

b)      so sledovaním ich správania.

3.           Toto nariadenie sa vzťahuje na spracovanie osobných údajov prevádzkovateľom, ktorý nemá sídlo v Únii, ale v mieste, kde sa uplatňuje vnútroštátne právo niektorého členského štátu na základe medzinárodného práva verejného.

Článok 4 Vymedzenie pojmov

Na účely tohto nariadenia:

(1) „dotknutá osoba“ je určená fyzická osoba alebo fyzická osoba, ktorú možno určiť priamo alebo nepriamo, najmä odkazom na identifikačné číslo, lokalizačné údaje, online identifikátor, alebo odkazom na jeden či viaceré prvky, ktoré tvoria fyzickú, fyziologickú, psychickú, genetickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu tejto osoby a to spôsobmi, o ktorých možno odôvodnene predpokladať, že ich prevádzkovateľ alebo akákoľvek iná fyzická alebo právnická osoba používajú;

(2) „osobné údaje“ sú akékoľvek informácie, ktoré sa týkajú dotknutej osoby;

(3) „spracúvanie osobných údajov“ znamená operáciu alebo súbor operácií, ktorými sa osobné údaje spracúvajú automatizovanými alebo neautomatizovanými prostriedkami, napríklad zhromažďovaním, zaznamenávaním, usporadúvaním, štruktúrovaním, uchovávaním, prepracúvaním alebo zmenou, vyhľadávaním, nahliadaním, využívaním, sprístupňovaním prenosom, šírením alebo ich sprístupnením iným spôsobom, preskupovaním alebo kombinovaním, vymazaním alebo likvidáciou;

(4) „informačný systém“ je akýkoľvek usporiadaný súbor osobných údajov, ktoré sú prístupné podľa konkrétnych kritérií, bez ohľadu na to, či ide o systém centralizovaný, decentralizovaný alebo distribuovaný na funkčnom alebo geografickom základe;

(5) „prevádzkovateľ“ je fyzická alebo právnická osoba, verejný orgán, agentúra alebo akýkoľvek iný subjekt, ktorý sám alebo spoločne s inými určuje účel, podmienky a prostriedky spracúvania osobných údajov; v prípade, že účely, podmienky a prostriedky spracovania stanovujú právne predpisy Únie alebo právne predpisy členského štátu, možno prevádzkovateľa alebo konkrétne kritériá pre jeho určenie navrhnúť na základe právnych predpisov Únie alebo právnych predpisov členského štátu;

(6) „sprostredkovateľ“ je fyzická alebo právnická osoba, verejný orgán, agentúra alebo akýkoľvek iný subjekt, ktorý spracúva osobné údaje v mene prevádzkovateľa;

(7) „príjemca“ je fyzická alebo právnická osoba, verejný orgán, agentúra alebo akýkoľvek iný subjekt, ktorému sa sprístupňujú osobné údaje;

(8) „súhlas dotknutej osoby“ znamená akýkoľvek konkrétny, informovaný a výslovný prejav vôle danej osoby, ktorým dotknutá osoba buď formou vyhlásenia alebo iného jednoznačného potvrdzujúceho úkonu prejaví svoj súhlas so spracovaním svojich osobných údajov;

(9) „porušenie ochrany osobných údajov“ znamená porušenie bezpečnosti, ktoré má za následok náhodnú alebo nelegálnu likvidáciu, stratu, zmenu, neoprávnené zverejnenie alebo sprístupnenie osobných údajov, ktoré sa prenášajú, uchovávajú alebo inak spracúvajú;

(10) „genetické údaje“ sú všetky údaje akéhokoľvek druhu, týkajúce sa dedičných znakov fyzickej osoby alebo jej znakov získaných v období raného prenatálneho vývoja;

(11) „biometrické údaje“ sú akékoľvek údaje týkajúce sa fyzických, fyziologických alebo behaviorálnych charakteristík fyzickej osoby, ktoré umožňujú jej jednoznačnú identifikáciu, napríklad vyobrazenia tváre alebo daktyloskopické údaje;

(12) „údaje týkajúce sa zdravia“ sú všetky informácie týkajúce sa fyzického alebo duševného zdravia fyzickej osoby alebo poskytovania zdravotníckych služieb fyzickej osobe;

(13) „ústredie“ je v prípade prevádzkovateľa miesto jeho sídla v Únii, kde sa prijímajú najdôležitejšie rozhodnutia, pokiaľ ide o účely, podmienky a prostriedky spracúvania osobných údajov; ak sa v Únii neprijímajú žiadne rozhodnutia, pokiaľ ide o účely, podmienky a prostriedky spracúvania osobných údajov, ústredím je miesto, kde sa vykonáva hlavná činnosť zodpovedajúca činnosti zariadenia prevádzkovateľa v rámci Únie. V prípade sprostredkovateľa znamená „ústredie“ miesto jeho administratívneho sídla v Únii;

(14) „zástupca“ je fyzická alebo právnická osoba so sídlom v Únii, ktorú prevádzkovateľ výslovne ustanovil, ktorá koná namiesto prevádzkovateľa a na ktorú sa môže obracať ktorýkoľvek dozorný orgán alebo iné orgány v Únii v otázkach týkajúcich sa povinností prevádzkovateľa v zmysle tohto nariadenia;

(15) „podnik“ je akýkoľvek subjekt vykonávajúci hospodársku činnosť bez ohľadu na jeho právnu formu; ide teda konkrétne aj o fyzické a právnické osoby, partnerstvá alebo združenia, ktoré pravidelne vykonávajú hospodársku činnosť;

(16) „skupina podnikov“ znamená kontrolujúci podnik a ním kontrolované podniky;

(17) „záväzné firemné pravidlá“ predstavujú politiku ochrany údajov, ktorú si osvojil prevádzkovateľ alebo sprostredkovateľ so sídlom na území členského štátu Únie na účely prenosov alebo súborov prenosov osobných údajov prevádzkovateľovi alebo sprostredkovateľovi v jednej alebo viacerých tretích krajinách v rámci skupiny podnikov;

(18) „dieťa“ je každá osoba mladšia ako 18 rokov;

(19) „dozorný orgán“ je verejný orgán zriadený členským štátom v súlade s článkom 46.

KAPITOLA II ZÁSADY

Článok 5 Zásady spracúvania osobných údajov          

Osobné údaje musia byť:

a)      spracúvané zákonným spôsobom, spravodlivo a transparentne vo vzťahu k dotknutej osobe;

b)      zhromažďované na konkrétne určené, explicitné a legitímne účely a nesmú sa ďalej spracúvať spôsobmi, ktoré nie sú zlučiteľné s týmito účelmi;

c)      primerané, relevantné a obmedzené na nevyhnutné minimum z hľadiska účelov, na ktoré sa spracúvajú; majú sa spracúvať iba vtedy a len dovtedy, kým dané účely nemožno dosiahnuť spracovaním informácií, ktoré nezahŕňajú osobné údaje;

d)      presné a aktualizované; musia sa vykonať všetky potrebné kroky, aby sa zabezpečilo, že sa osobné údaje, ktoré sú nepresné z hľadiska účelov, na ktoré sa spracúvajú, bezodkladne vymažú alebo opravia;

e)      udržiavané vo forme, ktorá umožňuje identifikáciu dotknutých osôb najviac po dobu, ktorá je potrebná na účely, na ktoré boli osobné údaje zhromaždené; osobné údaje možno uchovávať na dlhšiu dobu, pokiaľ sa údaje spracúvajú výlučne na historické, štatistické alebo vedeckovýskumné účely v súlade s pravidlami a podmienkami článku 83 a ak sa vykonáva pravidelné prehodnotenie s cieľom posúdiť potrebu ďalšieho uchovávania;

f)       spracúvané v rámci okruhu zodpovednosti a povinností prevádzkovateľa, ktorý zabezpečí a pre každú operáciu spracovania preukáže súlad s ustanoveniami tohto nariadenia.

Článok 6 Zákonnosť spracúvania

1.           Spracúvanie osobných údajov je zákonné iba vtedy, keď je splnená aspoň jedna z nasledujúcich podmienok:

a)      dotknutá osoba vyjadrila súhlas so spracovaním svojich osobných údajov na určitý konkrétny účel či účely;

b)      spracovanie je nevyhnutné na plnenie zmluvy, ktorej je dotknutá osoba zmluvnou stranou, alebo aby sa na základe žiadosti dotknutej osoby vykonali opatrenia pred uzatvorením zmluvy;

c)      spracovanie je nevyhnutné na splnenie zákonnej povinnosti prevádzkovateľa;

d)      spracovanie je nevyhnutné, aby sa ochránili životné záujmy dotknutej osoby;

e)      spracovanie je nevyhnutné na splnenie úlohy vykonávanej vo verejnom záujme alebo v rámci uplatňovania oficiálneho poverenia prevádzkovateľa;

f)       spracovanie je nevyhnutné na účely oprávnených záujmov, ktoré sleduje prevádzkovateľ, s výnimkou prípadov, keď nad takýmito záujmami prevažujú záujmy alebo základné práva a slobody dotknutej osoby, ktoré potrebujú ochranu, najmä ak dotknutou osobu je dieťa. Toto sa nevzťahuje na spracovanie vykonávané verejnými orgánmi pri výkone ich úloh.

2.           Spracovanie osobných údajov, ktoré je nevyhnutné na historické, štatistické alebo vedeckovýskumné účely, je zákonné, pokiaľ sú splnené podmienky a záruky uvedené v článku 83.

3.           Základ spracovania uvedený v odseku 1 písm. c) a e) musí byť upravený:

a)      právnymi predpismi Únie alebo

b)       právnymi predpismi členského štátu, ktorému podlieha prevádzkovateľ.

Právne predpisy členského štátu musia spĺňať cieľ verejného záujmu alebo musia byť nevyhnutné na ochranu práv a slobôd ostatných, rešpektovať podstatu práva na ochranu osobných údajov a musia byť náležité z hľadiska sledovaného legitímneho cieľa.

4.           V prípade, že ďalšie spracovanie nie je zlučiteľné s cieľom, na ktorý sa osobné údaje zhromaždili, spracovanie musí mať právny základ spočívajúci prinajmenšom v jednom z dôvodov uvedených v odseku 1 písm. a) až e). Týka sa to najmä akýchkoľvek zmien osobitných a všeobecných podmienok zmluvy.

5.           Komisia je splnomocnená prijať delegované akty v súlade s článkom 86 s cieľom bližšie určiť podmienky uvedené v odseku 1 písm. f) pre jednotlivé sektory a situácie, ktoré sa vyskytujú pri spracúvaní údajov, vrátane podmienok spracovania osobných údajov týkajúcich sa dieťaťa.

Článok 7 Podmienky vyjadrenia súhlasu

1.           Dôkazné bremeno, že dotknutá osoba vyjadrila súhlas so spracovaním svojich osobných údajov na určené účely, znáša prevádzkovateľ.

2.           Ak súhlas dotknutej osoby má byť vyjadrený v rámci písomného vyhlásenia, ktoré sa týka aj inej veci, požiadavka na vyjadrenie súhlasu musí byť svojou podobou odlíšiteľná od tejto druhej veci.

3.           Dotknutá osoba má právo kedykoľvek odvolať svoj súhlas. Odvolanie súhlasu nemá vplyv na zákonnosť spracovania vychádzajúceho zo súhlasu pred jeho odvolaním.

4.           Vyjadrenie súhlasu nedáva právny základ pre spracovanie, ak je značný nepomer medzi postavením dotknutej osoby a prevádzkovateľa.

Článok 8 Spracúvanie osobných údajov dieťaťa

1.           Na účely tohto nariadenia, v súvislosti s ponukou služieb informačnej spoločnosti adresovanej priamo dieťaťu, je spracúvanie osobných údajov dieťaťa mladšieho než 13 rokov zákonné iba vtedy a do takej miery, ako bol súhlas vyjadrený alebo schválený rodičom dieťaťa alebo jeho opatrovníkom. Prevádzkovateľ vyvinie primerané úsilie na získanie overiteľného súhlasu so zreteľom na dostupné technológie.

2.           Odsekom 1 nie je dotknuté všeobecné zmluvné právo členských štátov, napríklad pravidlá platnosti, uzatvárania alebo účinkov zmluvy vo vzťahu k dieťaťu.

3.           Komisia je splnomocnená prijať delegované akty v súlade s článkom 86 s cieľom bližšie určiť kritériá a požiadavky týkajúce sa metód na získanie overiteľného súhlasu uvedeného v odseku 1. Komisia pritom zváži osobitné opatrenia pre mikropodniky a malé a stredné podniky.

4.           Komisia môže určiť štandardné formuláre pre osobitné metódy získavania overiteľného súhlasu uvedeného v odseku 1. Tieto vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 87 ods. 2.

Článok 9 Spracúvanie osobitných kategórií osobných údajov

1.           Zakazuje sa spracúvanie osobných údajov odhaľujúcich rasový alebo etnický pôvod, politické názory, náboženstvo alebo vieru a členstvo v odboroch, ako aj spracúvanie genetických údajov alebo údajov týkajúcich sa zdravia či sexuálneho života, alebo trestných rozsudkov či súvisiacich bezpečnostných opatrení.

2.           Odsek 1 sa neuplatňuje, ak:

a)      dotknutá osoba vyjadrila súhlas so spracovaním týchto osobných údajov za podmienok uvedených v článkoch 7 a 8, s výnimkou prípadov, keď právne predpisy Únie alebo členského štátu určujú, že zákaz uvedený v odseku 1 nemôže dotknutá osoba zrušiť, alebo

b)      spracovanie je nevyhnutné na účely plnenia záväzkov a výkonu špecifických práv prevádzkovateľa v oblasti pracovného práva, pokiaľ je to povolené právnymi predpismi Únie alebo právnymi predpismi členského štátu poskytujúcimi náležité záruky, alebo

c)      spracovanie je nevyhnutné na ochranu životných záujmov dotknutej osoby alebo inej osoby v prípade, že dotknutá osoba nie je fyzicky alebo právne spôsobilá vyjadriť svoj súhlas, alebo

d)      spracovanie vykonáva v rámci svojej zákonnej činnosti s náležitými zárukami nadácia, združenie alebo akýkoľvek iný neziskový orgán s politickým, filozofickým, náboženským alebo odborárskym zameraním a za podmienky, že spracovanie sa týka výlučne členov alebo bývalých členov orgánu alebo osôb, ktoré majú pravidelný kontakt s ním v súvislosti s jeho cieľmi, a že údaje sa nesprístupnia mimo tohto orgánu bez súhlasu dotknutej osoby, alebo

e)      spracovanie sa týka osobných údajov, ktoré dotknutá osoba preukázateľne zverejnila, alebo

f)       spracovanie je nevyhnutné na stanovenie, uplatňovanie alebo obranu právnych nárokov, alebo

g)      spracovanie je nevyhnutné na vykonávanie úlohy vo verejnom záujme na základe právnych predpisov Únie alebo členského štátu, ktoré určujú vhodné opatrenia na zabezpečenie oprávnených záujmov dotknutej osoby, alebo

h)      spracovanie údajov týkajúcich sa zdravia je nevyhnutné na zdravotné účely a za podmienok a záruk uvedených v článku 81, alebo

i)       spracovanie je nevyhnutné na historické, štatistické alebo vedeckovýskumné účely za podmienok a záruk uvedených v článku 83, alebo

j)       spracovanie údajov týkajúcich sa trestných rozsudkov alebo súvisiacich bezpečnostných opatrení sa vykonáva pod kontrolou oficiálneho orgánu, alebo ak je spracovanie nevyhnutné na splnenie právneho záväzku alebo zákonnej povinnosti, ktorým prevádzkovateľ podlieha, alebo na plnenie úlohy vykonávanej z dôvodu dôležitého verejného záujmu, a pokiaľ je spracovanie povolené právnymi predpismi Únie alebo právnymi predpismi členského štátu poskytujúcimi náležité záruky. Úplný register trestov možno viesť iba pod kontrolou úradnej moci.

3.           Komisia je splnomocnená prijať delegované akty v súlade s článkom 86 s cieľom bližšie určiť kritériá, podmienky a náležité záruky týkajúce sa spracúvania osobitných kategórií osobných údajov uvedených v odseku 1 a výnimky uvedené v odseku 2.

Článok 10 Spracovanie bez možnosti identifikácie

Ak údaje spracúvané prevádzkovateľom nedovoľujú prevádzkovateľovi identifikovať fyzickú osobu, prevádzkovateľ nie je povinný získať dodatočné informácie na zistenie totožnosti dotknutej osoby výlučne na to, aby dosiahol súlad s niektorým ustanovením tohto nariadenia.

KAPITOLA III PRÁVA DOTKNUTEJ OSOBY

ODDIEL 1 TRANSPARENTNOSŤ A METÓDY

Článok 11 Transparentnosť informácií a komunikácie

1.           Prevádzkovateľ musí mať transparentné a ľahko dostupné pravidlá týkajúce sa spracúvania osobných údajov a uplatňovania práv dotknutých osôb.

2.           Prevádzkovateľ poskytuje všetky informácie a uskutočňuje komunikáciu v súvislosti so spracúvaním osobných údajov vo vzťahu k dotknutej osobe v zrozumiteľnej forme, pričom používa jasný a jednoduchý jazyk prispôsobený dotknutej osobe, najmä v prípade akýchkoľvek informácií adresovaných výslovne dieťaťu.

Článok 12 Postupy a mechanizmy na výkon práv dotknutej osoby

1.           Prevádzkovateľ zavedie postupy na poskytovanie informácií uvedených v článku 14 a na výkon práv dotknutých osôb uvedených v článku 13 a v článkoch 15 až 19. Prevádzkovateľ zabezpečí najmä mechanizmy na zjednodušenie podania žiadosti o úkony uvedené v článku 13 a v článkoch 15 až 19. Ak sa osobné údaje spracúvajú automatizovanými prostriedkami, prevádzkovateľ takisto zabezpečí prostriedky na podávanie žiadostí v elektronickej podobe.

2.           Prevádzkovateľ informuje dotknutú osobu bezodkladne a najneskôr do jedného mesiaca od prijatia žiadosti, či sa prijali nejaké opatrenia podľa článku 13 a článkov 15 až 19, a poskytne požadovanú informáciu. Túto lehotu možno predĺžiť o ďalší mesiac, ak svoje práva vykonáva niekoľko dotknutých osôb a ich spolupráca je nevyhnutná v primeranej miere tak, aby prevádzkovateľ nemusel vyvinúť zbytočné a neprimerané úsilie. Táto informácia sa vydáva písomne. Ak dotknutá osoba podala žiadosť v elektronickej podobe, uvedená informácia sa poskytne v elektronickej forme, pokiaľ dotknutá osoba nepožiadala o iný spôsob.

3.           Ak prevádzkovateľ odmietne prijať opatrenia na základe žiadosti dotknutej osoby, prevádzkovateľ informuje dotknutú osobu o dôvodoch zamietnutia a o možnostiach podania sťažnosti dozornému orgánu a uplatnenia súdnych prostriedkov nápravy.

4.           Informácie a opatrenia prijaté na základe žiadostí uvedených v odseku 1 sú bezplatné. Ak sú žiadosti zjavne neprimerané, najmä v dôsledku ich opakujúcej sa povahy, prevádzkovateľ môže vyberať poplatok za poskytnutie informácií alebo za vykonanie požadovaných opatrení, prípadne nemusí vykonať požadované opatrenie. V takom prípade znáša prevádzkovateľ dôkazné bremeno, pokiaľ ide o zjavne neprimeraný charakter žiadosti.

5.           Komisia je splnomocnená prijať delegované akty v súlade s článkom 86 s cieľom bližšie určiť kritériá a podmienky týkajúce sa zjavne neprimeraných žiadostí a poplatkov uvedených v odseku 4.

6.           Komisia môže určiť štandardné formuláre a stanoviť štandardné postupy oznámenia uvedeného v odseku 2 vrátane elektronického formátu. Komisia pritom prijme osobitné opatrenia pre mikropodniky a malé a stredné podniky. Tieto vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 87 ods. 2.

Článok 13 Práva vo vzťahu k príjemcom

Prevádzkovateľ oznámi každému príjemcovi, ktorému boli údaje sprístupnené, všetky prípady opravy alebo výmazu uskutočnené v súlade s článkami 16 a 17, pokiaľ sa to neukáže ako nemožné alebo pokiaľ si to nevyžaduje neprimerané úsilie.

ODDIEL 2 INFORMÁCIE A PRÍSTUP K ÚDAJOM

Článok 14 Informovanie dotknutej osoby

1.           V prípadoch, keď sa zhromažďujú osobné údaje týkajúce sa dotknutej osoby, prevádzkovateľ poskytne dotknutej osobe informácie obsahujúce aspoň:

a)      totožnosť a kontaktné údaje prevádzkovateľa, prípadne jeho zástupcu, ak je ustanovený, a úradníka pre ochranu údajov;

b)      účely spracovania, na ktoré sú osobné údaje určené, vrátane zmluvných a všeobecných podmienok v prípade, že sa spracovanie údajov vykonáva na základe článku 6 ods. 1 písm. b), a oprávnených záujmov, ktoré sleduje prevádzkovateľ, ak sa spracovanie údajov vykonáva na základe článku 6 ods. 1 písm. f);

c)      obdobie, počas ktorého sa osobné údaje budú uchovávať;

d)      právo požadovať od prevádzkovateľa prístup k osobným údajom týkajúcim sa dotknutej osoby a právo na ich opravu alebo výmaz, alebo na vznesenie námietky proti spracovaniu týchto osobných údajov;

e)      právo podať sťažnosť dozornému orgánu a kontaktné údaje dozorného orgánu;

f)       príjemcov alebo kategórie príjemcov osobných údajov;

g)      v relevantnom prípade informáciu, že prevádzkovateľ zamýšľa prenos do tretej krajiny alebo medzinárodnej organizácii a informáciu o úrovni ochrany poskytovanej touto treťou krajinou alebo medzinárodnou organizáciou s odkazom na rozhodnutie Komisie o primeranosti;

h)      akékoľvek ďalšie informácie potrebné na to, aby sa zaručilo spravodlivé spracovanie vo vzťahu k dotknutej osobe, a to so zreteľom na špecifické okolnosti, za ktorých sa osobné údaje zhromažďujú.

2.           Ak sa osobné údaje získavajú od dotknutej osoby, prevádzkovateľ okrem informácií uvedených v odseku 1 informuje dotknutú osobu aj o tom, či poskytovanie osobných údajov je povinné alebo dobrovoľné, ako aj o možných dôsledkoch neposkytnutia týchto údajov.

3.           Ak osobné údaje neboli získané od dotknutej osoby, prevádzkovateľ okrem informácií uvedených v odseku 1 informuje dotknutú osobu aj o tom, z akých zdrojov tieto osobné údaje pochádzajú.

4.           Prevádzkovateľ poskytne informácie uvedené v odsekoch 1, 2 a 3:

a)      v čase, keď sa tieto osobné údaje získavajú od dotknutej osoby, alebo

b)      ak osobné údaje neboli získané od dotknutej osoby, potom v čase ich zaznamenania alebo v rámci primeraného obdobia po ich zhromaždení so zreteľom na osobitné okolnosti, za ktorých sa údaje zhromažďujú alebo inak spracúvajú, alebo ak sa uvažuje o ich sprístupnení ďalšiemu príjemcovi, a najneskôr vtedy, keď sa údaje sprístupňujú po prvý raz.

5.           Odseky 1 až 4 sa neuplatňujú v prípadoch, keď:

a)      dotknutá osoba už má informácie uvedené v odsekoch 1, 2 a 3 alebo

b)      údaje neboli získané od dotknutej osoby a poskytnutie týchto informácií sa ukáže ako nemožné alebo by si vyžadovalo neprimerané úsilie, alebo

c)      údaje neboli získané od dotknutej osoby a ich zaznamenávanie alebo sprístupnenie je výslovne určené zákonom, alebo

d)      údaje neboli získané od dotknutej osoby a poskytnutie takýchto informácií by poškodzovalo práva a slobody iných osôb, ako sú ustanovené právnymi predpismi Únie alebo členského štátu v súlade s článkom 21.

6.           V prípade uvedenom v odseku 5 písm. b) prevádzkovateľ zabezpečí primerané opatrenia na ochranu oprávnených záujmov dotknutej osoby.

7.           Komisia je splnomocnená prijať delegované akty v súlade s článkom 86 s cieľom bližšie určiť kritériá pre kategórie príjemcov uvedených v odseku 1 písm. f), požiadavky týkajúce sa oznámenia o potenciálnom prístupe uvedenom v odseku 1 písm. g), kritériá pre ďalšie potrebné informácie uvedené v odseku 1 písm. h) pre špecifické sektory, situácie a podmienky, ako aj náležité záruky pre výnimky uvedené v odseku 5 písm. b). Komisia pritom prijme osobitné opatrenia pre mikropodniky a malé a stredné podniky.

8.           Komisia môže určiť štandardné formuláre na poskytovanie informácií uvedených v odsekoch 1 až 3, pričom v prípade potreby prihliadne na osobitné charakteristiky a potreby jednotlivých sektorov a situácie, ktoré sa vyskytujú pri spracúvaní údajov. Tieto vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 87 ods. 2.

Článok 15 Prístupové práva dotknutej osoby

1.           Dotknutá osoba má právo dostať od prevádzkovateľa na požiadanie kedykoľvek potvrdenie o tom, či sa spracúvajú jej osobné údaje. Ak sa takéto osobné údaje spracúvajú, prevádzkovateľ poskytne informácie obsahujúce:

a)      účely spracovania;

b)      kategórie dotknutých osobných údajov;

c)      príjemcov alebo kategórie príjemcov, ktorým osobné údaje majú byť alebo boli sprístupnené, najmä príjemcovia v tretích krajinách;

d)      obdobie, počas ktorého sa osobné údaje budú uchovávať;

e)      právo žiadať od prevádzkovateľa opravu alebo vymazanie osobných údajov týkajúcich sa dotknutej osoby alebo vzniesť námietku proti spracovaniu týchto osobných údajov;

f)       právo podať sťažnosť dozornému orgánu a kontaktné údaje dozorného orgánu;

g)      informáciu o osobných údajoch, ktoré sa spracúvajú, a o akýchkoľvek dostupných informáciách, pokiaľ ide o ich zdroj;

h)      význam a predpokladané dôsledky tohto spracovania, a to prinajmenšom v prípade opatrení uvedených v článku 20.

2.           Dotknutá osoba má právo získať od prevádzkovateľa informáciu o osobných údajoch, ktoré sa spracúvajú. Ak dotknutá osoba podala žiadosť v elektronickej podobe, uvedená informácia sa poskytne v elektronickej forme, pokiaľ dotknutá osoba nepožiadala o iný spôsob.

3.           Komisia je splnomocnená prijať delegované akty v súlade s článkom 86 s cieľom bližšie určiť kritériá a požiadavky týkajúce sa informácie adresovanej dotknutej osobe o obsahu osobných údajov uvedených v odseku 1 písm. g).

4.           Komisia môže určiť štandardné formuláre a stanoviť postupy na podávanie žiadostí o prístup k informáciám uvedeným v odseku 1 a o jeho udelení, a to aj na účely overenia totožnosti dotknutej osoby a informácie o osobných údajoch dotknutej osobe s prihliadnutím na osobitné charakteristiky a potreby jednotlivých sektorov a situácie, ktoré sa vyskytujú pri spracúvaní údajov. Tieto vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 87 ods. 2.

ODDIEL 3

OPRAVA A VÝMAZ

Článok 16 Právo na opravu

Dotknutá osoba má právo vymôcť prostredníctvom prevádzkovateľa opravu svojich osobných údajov, ktoré sú nesprávne. Dotknutá osoba má právo vymôcť doplnenie svojich osobných údajov, a to aj predložením opravného vyhlásenia.

Článok 17 Právo byť zabudnutý a právo na výmaz

1. Dotknutá osoba má právo vymôcť prostredníctvom prevádzkovateľa výmaz svojich osobných údajov, ako aj to, aby sa prevádzkovateľ zdržal ďalšieho šírenia týchto údajov, najmä pokiaľ ide o osobné údaje, ktoré dotknutá osoba sprístupnila v čase, keď bola v dieťaťom, ak sa na tieto údaje vzťahuje niektorý z týchto dôvodov:

a)      údaje už nie sú potrebné na účely, na ktoré sa zhromažďovali alebo inak spracúvali;

b)      dotknutá osoba odvolá súhlas, na základe ktorého sa spracovanie vykonáva, ako je ustanovené v článku 6 ods. 1 písm. a), alebo ak uplynulo obdobie uchovávania, na ktoré bol daný súhlas, a ak nejestvuje iný právny základ pre spracovanie údajov;

c)      dotknutá osoba v súlade s článkom 19 namieta proti spracovaniu osobných údajov;

d)      spracovanie údajov nie je v súlade s týmto nariadením z iných dôvodov.

2.           V prípade, že prevádzkovateľ uvedený v odseku 1 zverejnil osobné údaje, musí podniknúť všetky primerané kroky súvisiace s údajmi na zverejnenie, za ktoré prevádzkovateľ nesie zodpovednosť, vrátane technických opatrení, s cieľom informovať tretie strany, ktoré spracúvajú tieto údaje, že dotknutá osoba ich žiada, aby odstránili všetky odkazy na tieto osobné údaje či ich kópiu alebo replikáciu. Ak prevádzkovateľ povolil tretej strane zverejnenie osobných údajov, tento prevádzkovateľ sa považuje za zodpovedného za zverejnenie.

3.           Prevádzkovateľ vykoná vymazanie bezodkladne s výnimkou prípadu, keď uchovanie osobných údajov je potrebné:

(a) na uplatnenie práva na slobodu prejavu v súlade s článkom 80;

(b) z dôvodov verejného záujmu v oblasti verejného zdravia v súlade s článkom 81;

(c) na historické, štatistické a vedeckovýskumné účely v súlade s článkom 83;

(d) na splnenie zákonnej povinnosti uchovávať osobné údaje v zmysle právnych predpisov Únie alebo právnych predpisov členského štátu, ktorým prevádzkovateľ podlieha; právne predpisy členských štátov musia spĺňať cieľ verejného záujmu, rešpektovať podstatu práva na ochranu osobných údajov a musia byť primerané sledovanému legitímnemu cieľu;

(e) v prípadoch uvedených v odseku 4.

4.           Namiesto výmazu prevádzkovateľ obmedzí spracovanie osobných údajov v prípade, že:

a)      dotknutá osoba napadne ich presnosť, a to na dobu umožňujúcu prevádzkovateľovi overiť presnosť údajov;

b)      prevádzkovateľ už nepotrebuje údaje na plnenie svojich úloh, tie však musia zostať uchované na dôkazné účely;

c)      spracovanie je protizákonné a dotknutá osoba namieta proti ich vymazaniu a žiada namiesto toho obmedzenie ich použitia;

d)      dotknutá osoba žiada o prenos osobných údajov do iného automatizovaného systému spracovania v súlade s článkom 18 ods. 2.

5.           Osobné údaje uvedené v odseku 4 možno s výnimkou uchovania spracúvať iba na dôkazné účely alebo so súhlasom dotknutej osoby na ochranu práv inej fyzickej alebo právnickej osoby, alebo na cieľ verejného záujmu.

6.           Ak je spracovanie osobných údajov obmedzené v zmysle odseku 4, prevádzkovateľ pred zrušením obmedzenia na spracovanie informuje o tom dotknutú osobu.

7.           Prevádzkovateľ zavedie mechanizmy na zabezpečenie dodržiavania lehôt stanovených na vymazanie osobných údajov a/alebo na pravidelné prehodnotenie potreby uchovávania týchto údajov.

8.           Ak sa vykonáva výmaz, prevádzkovateľ nesmie spracovať dotknuté osobné údaje iným spôsobom.

9.           Komisia je oprávnená prijímať delegované akty v súlade s článkom 86 s cieľom bližšie určiť:

a)      kritériá a požiadavky na uplatňovanie odseku 1 v prípade osobitných sektorov, ako aj v osobitných situáciách spracúvania údajov;

b)      podmienky na vymazanie súvisiacich odkazov, kópií alebo replikácií osobných údajov z verejne dostupných komunikačných služieb, ako sa uvádza v odseku 2;

c)      kritériá a podmienky pre obmedzenie spracovania osobných údajov podľa odseku 4.

Článok 18 Právo na prenosnosť údajov

1.           Ak sa osobné údaje spracúvajú v elektronickej podobe a v štruktúrovanom a bežne používanom formáte, dotknutá osoba má právo dostať od prevádzkovateľa kópiu údajov spracovaných v elektronickej a štruktúrovanej forme, ktorá je bežne používaná a ktorá umožňuje ďalšie využívanie dotknutou osobou.

2.           Ak dotknutá osoba poskytla osobné údaje a spracovanie sa vykonáva na základe súhlasu alebo na základe zmluvy, dotknutá osoba má právo preniesť tieto osobné údaje a akékoľvek iné informácie ňou poskytnuté a uchovávané v automatizovanom systéme spracovania do iného systému v elektronickom formáte, ktorý sa bežne používa, a to bez prekážok zo strany prevádzkovateľa, od ktorého sa osobné údaje presunuli.

3.           Komisia môže určiť elektronický formát uvedený v odseku 1 a technické normy, metódy a postupy na prenos osobných údajov podľa odseku 2. Tieto vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 87 ods. 2.

ODDIEL 4

PRÁVO NAMIETAŤ A PROFILOVANIE

Článok 19 Právo namietať

1.           Dotknutá osoba má právo namietať z dôvodov týkajúcich sa jej konkrétnej situácie kedykoľvek v priebehu spracúvania osobných údajov vykonávaného na základe článku 6 ods. 1 písm. d), e) a f), pokiaľ prevádzkovateľ nepreukáže závažné legitímne dôvody na spracovanie, ktoré prevažujú nad záujmami alebo základnými právami a slobodami dotknutej osoby.

2.           Ak sa osobné údaje spracúvajú na účely priameho marketingu, dotknutá osoba má právo bezplatne namietať proti spracovaniu svojich osobných údajov pre takýto marketing. Toto právo sa má dotknutej osobe dať na vedomie výslovným a zrozumiteľným spôsobom a musí byť jasne odlíšiteľné od iných informácií.

3.           Ak je vznesená námietka v zmysle odsekov 1 a 2, prevádzkovateľ nemôže ďalej používať alebo inak spracúvať dotknuté osobné údaje.

Článok 20 Opatrenia založené na profilovaní

1.           Každá fyzická osoba má právo, aby nebola podrobená žiadnemu opatreniu, ktoré má právne účinky týkajúce sa tejto fyzickej osoby, alebo ktoré má významné dôsledky pre túto fyzickú osobu a ktoré je založené výlučne na automatizovanom spracovaní na účely hodnotenia určitých osobných aspektov týkajúcich sa tejto fyzickej osoby, alebo na analýzu či prognózovanie týkajúce sa najmä pracovnej výkonnosti, ekonomickej situácie, bydliska, zdravia, osobných preferencií, spoľahlivosti alebo správania tejto fyzickej osoby.

2. S výhradou ostatných ustanovení tohto nariadenia možno určitú osobu podrobiť opatreniu typu uvedeného v odseku 1 iba vtedy, ak je spracovanie:

a)      vykonávané v priebehu uzatvárania alebo plnenia zmluvy, ak sa žiadosti dotknutej osoby o uzatvorenie alebo plnenie zmluvy vyhovelo, alebo ak boli prijaté vhodné opatrenia na zabezpečenie oprávnených záujmov dotknutej osoby, napríklad právo vymôcť zásah ľudského činiteľa, alebo

b)      výslovne povolené právnym predpisom EÚ alebo členského štátu, ktorý zároveň stanovuje aj vhodné opatrenia zaručujúce ochranu oprávnených záujmov dotknutej osoby, alebo

c)      založené na súhlase dotknutej osoby s výhradou podmienok stanovených v článku 7 a vhodných záruk.

3. Automatizované spracovanie osobných údajov na účely hodnotenia určitých osobných aspektov týkajúcich sa fyzickej osoby nesmie byť založené výlučne na osobitných kategóriách osobných údajov uvedených v článku 9.

4.           V prípadoch uvedených v odseku 2 informácie, ktoré má poskytnúť prevádzkovateľ podľa článku 14, obsahujú aj informáciu o tom, či sa vykonáva spracovanie na účely opatrenia, na ktoré sa vzťahuje odsek 1, a predpokladané dôsledky takéhoto spracovania pre dotknutú osobu.

5.           Komisia je splnomocnená prijať delegované akty v súlade s článkom 86 s cieľom bližšie určiť kritériá a podmienky pre vhodné opatrenia na ochranu oprávnených záujmov dotknutej osoby uvedených v odseku 2.

ODDIEL 5 OBMEDZENIA

Článok 21 Obmedzenia

1.           Právne predpisy Únie alebo členského štátu môžu prostredníctvom legislatívneho opatrenia obmedziť rozsah povinností a práv uvedených v článku 5 písm. a) až e), v článkoch 11 až 20 a v článku 32, ak takéto obmedzenie predstavuje nevyhnutné a primerané opatrenie v demokratickej spoločnosti s cieľom zaručiť:

a)      verejnú bezpečnosť;

b)      predchádzanie trestným činom, ich vyšetrovanie, odhaľovanie a stíhanie;

c)      iné verejné záujmy Únie alebo členského štátu, najmä predmet dôležitého hospodárskeho alebo finančného záujmu Únie alebo členského štátu vrátane peňažných, rozpočtových a daňových záležitostí a ochranu stability a integrity trhu;

d)      predchádzanie porušeniam etiky pre regulované profesie, ich vyšetrovanie, odhaľovanie a stíhanie;

e)      monitorovaciu, kontrolnú alebo regulačnú funkciu spojenú, hoci aj príležitostne, s výkonom úloh oficiálneho orgánu v prípadoch uvedených v písmenách a), b), c) a d);

f)       ochranu dotknutej osoby alebo práv a slobôd iných.

2.           Každé legislatívne opatrenie uvedené v odseku 1 musí predovšetkým obsahovať špecifické ustanovenia, prinajmenšom pokiaľ ide o ciele spracovania údajov a určenie prevádzkovateľa.

KAPITOLA IV

PREVÁDZKOVATEĽ A SPROSTREDKOVATEĽ

ODDIEL 1 VŠEOBECNÉ POVINNOSTI

Článok 22 Zodpovednosť prevádzkovateľa

1.           Prevádzkovateľ prijme pravidlá a uplatňuje vhodné opatrenia s cieľom zabezpečiť a byť schopný preukázať, že spracúvanie osobných údajov sa vykonáva v súlade s týmto nariadením.

2.           K opatreniam uvedeným v odseku 1 patria najmä:

(a) vedenie dokumentácie podľa článku 28;

(b) plnenie požiadaviek bezpečnosti údajov stanovených v článku 30;

(c) posúdenie vplyvu na ochranu údajov podľa článku 33;

(d) plnenie požiadaviek týkajúcich sa povolenia vopred alebo konzultácie vopred s dozorným orgánom podľa článku 34 ods. 1 a 2;

(e) určenie úradníka pre ochranu údajov v súlade s článkom 35 ods. 1.

3.           Prevádzkovateľ zavedie mechanizmy na overovanie účinnosti opatrení uvedených v odsekoch 1 a 2. V odôvodnených prípadoch vykonávajú toto overovanie nezávislí interní alebo externí audítori.

4.           Komisia je splnomocnená prijať delegované akty v súlade s článkom 86 s cieľom určiť akékoľvek ďalšie kritériá a požiadavky na primerané opatrenia uvedené v odseku 1, iné než tie, ktoré sú už uvedené v odseku 2, podmienky mechanizmov overovania a auditu uvedených v odseku 3, ako aj kritériá primeranosti podľa odseku 3, a zvážiť osobitné opatrenia pre mikropodniky a malé a stredné podniky.

Článok 23 Ochrana údajov špecificky navrhnutá a štandardne určená

1.           So zreteľom na najnovší stav techniky a náklady na jej zavedenie prevádzkovateľ v čase určenia prostriedkov na spracovanie, ako aj v čase samotného spracúvania uplatní zodpovedajúce technické a organizačné opatrenia a postupy tak, aby spracovanie spĺňalo požiadavky tohto nariadenia a zabezpečovalo ochranu práv dotknutej osoby.

2.           Prevádzkovateľ zavedie mechanizmy, ktorými sa zabezpečí, aby sa štandardne spracúvali iba tie osobné údaje, ktoré sú potrebné pre jednotlivé konkrétne účely spracovania, a najmä aby sa nezhromažďovali a neuchovávali nad minimum nevyhnutné na tieto účely, a to či už ide o množstvo údajov alebo obdobie ich uchovávania. Týmito mechanizmami sa má predovšetkým štandardne zabezpečiť, aby osobné údaje neboli prístupné pre ľubovoľný počet fyzických osôb.

3.           Komisia je splnomocnená prijať delegované akty v súlade s článkom 86 s cieľom určiť akékoľvek ďalšie kritériá a požiadavky na vhodné opatrenia a mechanizmy uvedené v odsekoch 1 a 2, a to najmä požiadavky na špecificky navrhnutú ochranu údajov, platné pre všetky sektory, výrobky a služby.

4.           Komisia môže stanoviť technické normy pre požiadavky stanovené v odsekoch 1 a 2. Tieto vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 87 ods. 2.

Článok 24 Spoloční prevádzkovatelia

Ak prevádzkovateľ stanovuje účely, podmienky a spôsob spracovania osobných údajov spoločne s inými, spoloční prevádzkovatelia formou dohody medzi sebou stanovia svoje príslušné okruhy zodpovednosti za plnenie povinností podľa tohto nariadenia, najmä pokiaľ ide o postupy a mechanizmy na uplatnenie práv dotknutej osoby.

Článok 25 Zástupcovia prevádzkovateľov so sídlom mimo Únie

1.           V situácii uvedenej v článku 3 ods. 2 prevádzkovateľ ustanoví svojho zástupcu v Únii.

2.           Táto povinnosť sa nevzťahuje na:

a)      prevádzkovateľa so sídlom v tretej krajine v prípade, že Komisia rozhodla, že táto tretia krajina zabezpečuje primeranú úroveň ochrany v súlade s článkom 41, ani na

b)      podnik, ktorý zamestnáva menej než 250 osôb, ani na

c)      verejný orgán či subjekt, ani na

d)      prevádzkovateľa ponúkajúceho tovar alebo služby dotknutým osobám s bydliskom v Únii len príležitostne.

3.           Zástupca musí mať sídlo v jednom z tých členských štátov, v ktorých majú bydlisko dotknuté osoby, ktorých osobné údaje sa spracúvajú v súvislosti s ponukou tovaru alebo služieb pre nich, alebo ktorých správanie sa sleduje.

4.           Určením svojho zástupcu prevádzkovateľom nie sú dotknuté právne kroky, ktoré by mohli byť iniciované proti samotnému prevádzkovateľovi.

Článok 26 Sprostredkovateľ

1.           Ak sa operácia spracovania má vykonať v mene prevádzkovateľa, prevádzkovateľ si zvolí sprostredkovateľa poskytujúceho dostatočné záruky, že uplatní vhodné technické a organizačné opatrenia a postupy tak, aby spracovanie spĺňalo požiadavky tohto nariadenia a aby sa zabezpečila ochrana práv dotknutej osoby, najmä pokiaľ ide o technické bezpečnostné opatrenia a organizačné opatrenia, ktorými sa bude riadiť plánované spracovanie, a že zabezpečí dodržanie týchto opatrení.

2.           Vykonanie spracovania sprostredkovateľom sa musí riadiť zmluvou alebo iným právnym aktom, ktorý zaväzuje sprostredkovateľa voči prevádzkovateľovi a najmä stanovuje, že sprostredkovateľ:

a)      koná len na základe pokynov prevádzkovateľa, najmä v prípade, keď prenos použitých osobných údajov je zakázaný;

b)      zamestnáva iba zamestnancov, ktorí sa zaviazali k zachovaniu dôvernosti alebo majú zákonnú povinnosť zachovávať dôvernosť,

c)      vykoná všetky požadované opatrenia v súlade s článkom 30;

d)      zapojí ďalšieho sprostredkovateľa iba na základe predchádzajúceho povolenia prevádzkovateľa;

e)      pokiaľ to umožňuje charakter spracovania, vytvorí po dohode s prevádzkovateľom potrebné technické a organizačné požiadavky na plnenie povinnosti prevádzkovateľa reagovať na žiadosti o výkon práv dotknutej osoby ustanovených v kapitole III;

f)       pomáha prevádzkovateľovi zabezpečiť plnenie povinností podľa článkov 30 až 34;

g)      po ukončení spracovania odovzdá všetky výsledky prevádzkovateľovi a nespracúva osobné údaje iným spôsobom;

h)      dá k dispozícii prevádzkovateľovi a dozornému orgánu všetky informácie potrebné na kontrolu dodržiavania povinností stanovených v tomto článku.

3.           Prevádzkovateľ a sprostredkovateľ dokumentujú pokyny prevádzkovateľa a povinnosti sprostredkovateľa uvedené v odseku 2 písomne.

4.           Ak sprostredkovateľ spracúva osobné údaje iné než sú údaje podľa pokynov prevádzkovateľa, sprostredkovateľ sa v rozsahu tohto spracovania považuje za prevádzkovateľa a podlieha pravidlám o spoločných prevádzkovateľoch stanoveným v článku 24.

5.           Komisia je splnomocnená prijať delegované akty v súlade s článkom 86 s cieľom bližšie určiť kritériá a požiadavky týkajúce sa zodpovednosti, povinností a úloh vo vzťahu k sprostredkovateľovi v súlade s odsekom 1, a podmienky, ktoré umožnia zjednodušenie postupu pri spracúvaní osobných údajov v rámci skupiny podnikov, najmä na účely kontroly a podávania správ.

Článok 27 Spracovanie na základe právomoci prevádzkovateľa a sprostredkovateľa

Sprostredkovateľ ani žiadna iná osoba konajúca na základe právomoci prevádzkovateľa alebo sprostredkovateľa, ktorá má prístup k osobným údajom, nespracuje tieto údaje inak než podľa pokynov prevádzkovateľa, pokiaľ to od nej nevyžadujú právne predpisy Únie alebo členského štátu.

Článok 28 Dokumentácia

1.           Každý prevádzkovateľ, sprostredkovateľ a prípadný zástupca prevádzkovateľa musí viesť dokumentáciu všetkých operácií spracovania patriacich do rámca jeho zodpovednosti.

2.           Dokumentácia obsahuje minimálne tieto informácie:

a)      meno a kontaktné údaje prevádzkovateľa alebo prípadného spoločného prevádzkovateľa alebo sprostredkovateľa a zástupcu, ak je ustanovený;

b)      meno a kontaktné údaje úradníka pre ochranu údajov, ak je určený;

c)      účely spracovania vrátane oprávnených záujmov, ktoré sleduje prevádzkovateľ, ak sa spracovanie vykonáva na základe článku 6 ods. 1 písm. f);

d)      opis kategórií dotknutých osôb a kategórií osobných údajov, ktoré sa ich týkajú;

e)      príjemcov alebo kategórie príjemcov osobných údajov vrátane prevádzkovateľov, ktorým sa osobné údaje sprístupňujú na účely oprávnených záujmov, ktoré sledujú;

f)       v relevantných prípadoch prenosy údajov do tretej krajiny alebo medzinárodnej organizácii vrátane označenia predmetnej tretej krajiny alebo medzinárodnej organizácie a v prípade prenosov uvedených v článku 44 ods. 1 písm. h) dokumentáciu náležitých záruk;

g)      všeobecné určenie lehôt na výmaz rôznych kategórií údajov;

h)      opis mechanizmov uvedených v článku 22 ods. 3.

3.           Prevádzkovateľ, sprostredkovateľ a prípadný zástupca prevádzkovateľa na požiadanie sprístupnia dokumentáciu dozornému orgánu.

4.           Povinnosti uvedené v odsekoch 1 a 2 sa nevzťahujú na týchto prevádzkovateľov a sprostredkovateľov:

a)      fyzické osoby spracúvajúce osobné údaje bez komerčného záujmu alebo

b)      podniky alebo organizácie zamestnávajúce menej než 250 osôb, ktoré spracúvajú osobné údaje iba ako vedľajšiu činnosť popri svojej hlavnej činnosti.

5.           Komisia je splnomocnená prijať delegované akty v súlade s článkom 86 s cieľom bližšie určiť kritériá a požiadavky na dokumentáciu uvedenú v odseku 1, aby sa zohľadnili najmä povinnosti prevádzkovateľa a sprostredkovateľa a zástupcu prevádzkovateľa, ak je ustanovený.

6.           Komisia môže určiť štandardné formuláre pre dokumentáciu uvedenú v odseku 1. Tieto vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 87 ods. 2.

Článok 29 Spolupráca s dozorným orgánom

1.           Prevádzkovateľ, sprostredkovateľ a prípadný zástupca prevádzkovateľa na požiadanie spolupracujú s dozorným orgánom pri výkone jeho povinností, najmä poskytovaním informácií uvedených v článku 53 ods. 2 písm. a) a udeľovaním prístupu podľa písm. b) uvedeného odseku.

2.           V reakcii na uplatnenie právomocí dozorného orgánu podľa článku 53 ods. 2 prevádzkovateľ a sprostredkovateľ odpovedajú dozornému orgánu v primeranej lehote, ktorú určí dozorný orgán. Odpoveď má obsahovať aj opis prijatých opatrení a dosiahnuté výsledky v reakcii na pripomienky dozorného orgánu.

ODDIEL 2 BEZPEČNOSŤ ÚDAJOV

Článok 30 Bezpečnosť spracovania

1.           Prevádzkovateľ a sprostredkovateľ uplatnia primerané technické a organizačné opatrenia, aby zaistili úroveň bezpečnosti primeranú rizikám, ktoré predstavuje spracovanie a povaha osobných údajov, ktoré sa majú chrániť, so zreteľom na najnovší stav techniky a náklady na zavedenie týchto opatrení.

2.           Na základe vyhodnotenia príslušných rizík prevádzkovateľ a sprostredkovateľ prijmú opatrenia uvedené v odseku 1 na ochranu osobných údajov pred ich náhodnou alebo protizákonnou likvidáciou alebo náhodnou stratou a s cieľom predísť akýmkoľvek nezákonným formám spracovania, najmä akémukoľvek neoprávnenému zverejneniu, sprístupneniu alebo pozmeňovaniu osobných údajov.

3.           Komisia je splnomocnená prijať delegované akty v súlade s článkom 86 s cieľom bližšie určiť kritériá a podmienky pre technické a organizačné opatrenia uvedené v odsekoch 1 a 2 vrátane stanovenia toho, čo predstavuje najnovší stav techniky pre konkrétne sektory a v osobitných situáciách spracúvania údajov, najmä s prihliadnutím na vývoj v oblasti technológií a na riešenia pre ochranu súkromia špecificky navrhnuté a ochranu údajov štandardne určenú, pokiaľ sa neuplatňuje odsek 4.

4.           Komisia môže v prípade potreby prijať vykonávacie akty na konkrétnejšie určenie požiadaviek stanovených v odsekoch 1 a 2 pre rôzne situácie, najmä s cieľom:

a)      zabrániť akémukoľvek neoprávnenému prístupu k osobným údajom;

b)      zabrániť akémukoľvek neoprávnenému sprístupneniu, čítaniu, kopírovaniu, pozmeňovaniu, vymazaniu alebo odstráneniu osobných údajov;

c)      zabezpečiť overenie zákonnosti operácií spracovania.

Tieto vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 87 ods. 2.

Článok 31 Oznámenie o porušení ochrany osobných údajov dozornému orgánu

1.           V prípade, že dôjde k porušeniu ochrany osobných údajov, prevádzkovateľ bez zbytočného odkladu a podľa možnosti najneskôr do 24 hodín po tom, čo sa o tejto skutočnosti dozvedel, oznámi porušenie ochrany osobných údajov dozornému orgánu. K oznámeniu dozornému orgánu sa pripája náležité zdôvodnenie, ak oznámenie nebolo predložené do 24 hodín.

2.           V súlade s článkom 26 ods. 2 písm. f) sprostredkovateľ upozorní a informuje prevádzkovateľa ihneď po zistení porušenia ochrany osobných údajov.

3.           Oznámenie uvedené v odseku 1 musí obsahovať prinajmenšom:

a)      opis charakteru porušenia ochrany osobných údajov vrátane kategórií a počtu dotknutých osôb a kategórií a počtu dotknutých údajových záznamov;

b)      údaje totožnosti a kontaktné údaje úradníka pre ochranu údajov alebo iné kontaktné miesto, kde možno získať viac informácií;

c)      odporúčané opatrenia na zmiernenie potenciálnych nepriaznivých účinkov porušenia ochrany osobných údajov;

d)      opis dôsledkov porušenia ochrany osobných údajov;

e)      opis opatrení navrhovaných alebo prijatých prevádzkovateľom s cieľom vyriešiť porušenie ochrany osobných údajov.

4.           Prevádzkovateľ zdokumentuje každý prípad porušenia ochrany osobných údajov, pričom uvedie všetky skutočnosti spojené s predmetným porušením, jeho následky a prijaté opatrenia na nápravu. Táto dokumentácia musí umožniť dozorným orgánom overiť súlad s týmto článkom. Dokumentácia obsahuje len informácie, ktoré sú na tento účel potrebné.

5.           Komisia je splnomocnená prijať delegované akty v súlade s článkom 86 s cieľom bližšie určiť kritériá a požiadavky na konštatovanie skutočnosti porušenia ochrany osobných údajov v zmysle odsekov 1 a 2, ako aj osobitné okolnosti, za ktorých sa od prevádzkovateľa a sprostredkovateľa vyžaduje, aby oznámili porušenie ochrany osobných údajov.

6.           Komisia môže stanoviť štandardný formát takéhoto oznámenia dozornému orgánu, postupy týkajúce sa oznamovacej povinnosti a formu a spôsoby dokumentácie uvedenej v odseku 4 vrátane lehôt na výmaz informácií, ktoré sú v nej obsiahnuté. Tieto vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 87 ods. 2.

Článok 32 Informovanie dotknutej osoby o porušení ochrany osobných údajov

1.           Ak je pravdepodobné, že porušenie ochrany osobných údajov bude mať nepriaznivý vplyv na ochranu osobných údajov a súkromie dotknutej osoby, prevádzkovateľ musí okrem oznámenia uvedeného v článku 31 informovať o porušení ochrany osobných údajov aj dotknutú osobu bez zbytočného odkladu.

2.           Informácia pre dotknutú osobu uvedená v odseku 1 má obsahovať opis charakteru porušenia ochrany osobných údajov a prinajmenšom informácie a odporúčania uvedené v článku 31 ods. 3 písm. b) a c).

3.           Informovanie dotknutej osoby o porušení ochrany osobných údajov sa nevyžaduje, ak prevádzkovateľ preukáže k spokojnosti dozorného orgánu, že vykonal primerané technické ochranné opatrenia a že tieto opatrenia uplatnil na údaje, ktorých sa narušenie osobných údajov týka. Použitím takýchto opatrení technickej ochrany sa údaje stanú nečitateľnými pre všetky osoby, ktoré nemajú k nim povolený prístup.

4.           Bez toho, aby bola dotknutá povinnosť prevádzkovateľa informovať dotknutú osobu o porušení ochrany osobných údajov, ak prevádzkovateľ ešte neinformoval dotknutú osobu, ktorej sa porušenie ochrany osobných údajov týka, dozorný orgán po zvážení možných nepriaznivých účinkov porušenia môže požadovať, aby tak urobil.

5.           Komisia je splnomocnená prijať delegované akty v súlade s článkom 86 s cieľom bližšie určiť kritériá a požiadavky týkajúce sa okolností, za ktorých môže mať porušenie ochrany osobných údajov nepriaznivý vplyv na osobné údaje uvedené v odseku 1.

6.           Komisia môže stanoviť formát informácie uvedenej v odseku 1, určenej pre dotknutú osobu, ako aj postupy, ktoré sa vzťahujú na túto informáciu. Tieto vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 87 ods. 2.

ODDIEL 3 POSÚDENIE VPLYVU NA OCHRANU ÚDAJOV A POVOLENIE VOPRED

Článok 33 Posúdenie vplyvu na ochranu údajov

1.           Ak operácie spracovania predstavujú špecifické riziká pre práva a slobody dotknutých osôb svojou povahou, rozsahom alebo účelmi, prevádzkovateľ alebo sprostredkovateľ konajúci v mene prevádzkovateľa vykoná posúdenie vplyvu plánovanej operácie spracovania na ochranu osobných údajov.

2.           Osobitné riziká v zmysle odseku 1 predstavujú najmä tieto operácie spracovania:

a)      systematické a rozsiahle hodnotenie osobných aspektov týkajúcich sa určitej fyzickej osoby alebo slúžiacich na analýzu či prognózovanie týkajúce sa najmä ekonomickej situácie, bydliska, zdravia, osobných preferencií, spoľahlivosti alebo správania, ktoré je založené na automatizovanom spracovaní a ktoré je základom opatrení s právnymi účinkami týkajúcimi sa tejto fyzickej osoby;

b)      informácie o sexuálnom živote, zdraví, rase a etnickom pôvode alebo informácie na účely poskytovania zdravotnej starostlivosti, epidemiologických výskumov alebo prieskumov duševných alebo infekčných ochorení, v prípade ktorých sa údaje spracúvajú na účely prijímania opatrení alebo rozhodnutí týkajúcich sa určitých fyzických osôb vo veľkom rozsahu;

c)      monitorovanie verejne prístupných miest, najmä ak sa používajú optoelektronické zariadenia (kamerový dohľad) vo veľkom rozsahu;

d)      osobné údaje v rozsiahlych informačných systémoch týkajúcich sa detí, genetické údaje alebo biometrické údaje;

e)      ďalšie činnosti spracovania, pri ktorých sa v zmysle článku 34 ods. 2 písm. b) vyžaduje konzultácia s dozorným orgánom.

3.           Posúdenie obsahuje prinajmenšom všeobecný opis plánovaných operácií spracovania, posúdenie rizík vo vzťahu k právam a slobodám dotknutých osôb, opatrenia na riešenie rizík, záruky, bezpečnostné opatrenia a mechanizmy na zabezpečenie ochrany osobných údajov a na preukázanie súladu s týmto nariadením pri zohľadnení práv a oprávnených záujmov dotknutých osôb a prípadných ďalších osôb.

4.           Prevádzkovateľ sa usiluje získať názory dotknutých osôb alebo ich zástupcov na zamýšľané spracovanie bez toho, aby bola dotknutá ochrana komerčných alebo verejných záujmov, alebo bezpečnosť operácií spracovania.

5.           Ak je prevádzkovateľom verejný orgán alebo subjekt a ak spracovanie vyplýva zo zákonnej povinnosti v zmysle článku 6 ods. 1 písm. c), ktorým sa ustanovujú pravidlá a postupy týkajúce sa operácií spracovania upravených právnymi predpismi Únie, odseky 1 a 4 sa neuplatňujú, pokiaľ členské štáty nepovažujú za potrebné vykonať takéto posúdenie pred začatím operácií spracovania.

6.           Komisia je splnomocnená prijať delegované akty v súlade s článkom 86 s cieľom bližšie určiť kritériá a podmienky pre operácie spracovania, ktoré môžu predstavovať osobitné riziká v zmysle odsekov 1 a 2, a požiadavky na posúdenie uvedené v odseku 3 vrátane podmienok pre rozšíriteľnosť, overovanie a kontrolovateľnosť. Komisia pritom zváži osobitné opatrenia pre mikropodniky a malé a stredné podniky.

7.           Komisia môže určiť normy a postupy na vykonávanie, overovanie a audit posúdenia uvedeného v odseku 3. Tieto vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 87 ods. 2.

Článok 34 Povolenie vopred a konzultácia vopred

1.           Prevádzkovateľ, prípadne sprostredkovateľ musia získať povolenie od dozorného orgánu pred spracovaním osobných údajov s cieľom zabezpečiť súlad zamýšľaného spracovania s týmto nariadením a najmä zmierniť riziká pre dotknuté osoby, ak prevádzkovateľ alebo sprostredkovateľ prijmú zmluvné doložky, ako sa ustanovuje v článku 42 ods. 2 písm. d) alebo nezabezpečia náležité záruky prostredníctvom právne záväzného nástroja v zmysle článku 42 ods. 5 pre prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii.

2.           Prevádzkovateľ alebo sprostredkovateľ konajúci v mene prevádzkovateľa musí konzultovať s dozorným orgánom pred spracovaním osobných údajov s cieľom zabezpečiť súlad zamýšľaného spracovania s týmto nariadením a najmä zmierniť riziká pre dotknuté osoby, ak:

a)      v posúdení vplyvu na ochranu údajov podľa článku 33 sa uvádza, že operácie spracovania by z dôvodu svojej povahy, rozsahu alebo účelov mohli predstavovať vysoký stupeň špecifických rizík, alebo

b)      dozorný orgán považuje za potrebné vykonať konzultácie vopred k operáciám spracovania, ktoré by mohli predstavovať osobitné riziká z hľadiska práv a slobôd dotknutých osôb z dôvodu svojej povahy, rozsahu a/alebo účelov a ktoré sú vymedzené v odseku 4.

3.           Ak je dozorný orgán toho názoru, že plánované spracovanie nie je v súlade s týmto nariadením, najmä, keď riziká nie sú dostatočne zistené alebo zmiernené, zakáže zamýšľané spracovanie a predloží vhodné návrhy na nápravu tohto nesúladu.

4.           Dozorný orgán vypracuje a zverejní zoznam operácií spracovania, ktoré podliehajú povinnosti konzultácie vopred podľa odseku 2 písm. b). Dozorný orgán oznámi tieto zoznamy Európskemu výboru pre ochranu údajov.

5.           Ak zoznam uvedený v odseku 4 zahŕňa operácie spracovania, ktoré súvisia s ponukou tovaru alebo služieb dotknutým subjektom vo viacerých členských štátoch, alebo so sledovaním ich správania, alebo môžu podstatne ovplyvniť voľný pohyb osobných údajov v rámci Únie, dozorný orgán pred prijatím zoznamu uplatní mechanizmus konzistentnosti uvedený v článku 57.

6.           Prevádzkovateľ alebo sprostredkovateľ poskytnú dozornému orgánu na ochranu údajov posúdenie vplyvu uvedené v článku 33 a na požiadanie poskytnú akékoľvek iné informácie, ktoré dozornému orgánu umožnia posúdiť súlad spracovania s týmto nariadením a najmä riziká z hľadiska ochrany osobných údajov dotknutej osoby a súvisiace záruky.

7.           Členské štáty konzultujú s dozorným orgánom pri príprave legislatívneho opatrenia, ktoré má prijať národný parlament, alebo pri príprave opatrenia založeného na takomto legislatívnom opatrení, ktoré určuje povahu spracovania, s cieľom zabezpečiť súlad zamýšľaného spracovania s týmto nariadením a najmä zmierniť riziká pre dotknuté osoby.

8.           Komisia je splnomocnená prijať delegované akty v súlade s článkom 86 s cieľom bližšie určiť kritériá a požiadavky na konštatovanie vysokého stupňa osobitného rizika uvedeného v odseku 2 písm. a).

9.           Komisia môže určiť štandardné formuláre a postupy pre povolenia a konzultácie vopred, uvedené v odsekoch 1 a 2, a štandardné formuláre a postupy na informovanie orgánov dohľadu v zmysle odseku 6. Tieto vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 87 ods. 2.

ODDIEL 4 ÚRADNÍK PRE OCHRANU ÚDAJOV

Článok 35 Určenie úradníka pre ochranu údajov

1.           Prevádzkovateľ a sprostredkovateľ určia úradníka pre ochranu údajov v každom prípade, keď:

a)      spracovanie vykonáva verejný orgán alebo subjekt;

b)      spracovanie vykonáva podnik, ktorý zamestnáva 250 osôb alebo viac, alebo

c)      základné činnosti prevádzkovateľa alebo sprostredkovateľa pozostávajú z operácií spracovania, ktoré si z dôvodov svojej povahy, rozsahu a/alebo účelov, vyžadujú pravidelné a systematické monitorovanie dotknutých osôb.

2.           V prípade uvedenom v odseku 1 písm. b) môže skupina podnikov určiť spoločného úradníka pre ochranu údajov.

3.           Ak je prevádzkovateľom alebo sprostredkovateľom verejný orgán alebo subjekt, úradník pre ochranu údajov môže byť určený pre viaceré ich podriadené zložky podľa danej štruktúry verejného orgánu alebo subjektu.

4.           V prípadoch iných, než sú uvedené v odseku 1, môže úradníka pre ochranu údajov určiť prevádzkovateľ alebo sprostredkovateľ, alebo združenia a iné orgány zastupujúce kategórie prevádzkovateľov alebo sprostredkovateľov.

5.           Prevádzkovateľ alebo sprostredkovateľ určia úradníka pre ochranu údajov na základe odborných kvalít, a to najmä na základe odborných znalostí práva a praxe v oblasti ochrany údajov a na základe schopností plniť úlohy uvedené v článku 37. Potrebná úroveň odborných znalostí sa určí najmä s ohľadom na spracovanie osobných údajov, ktoré sa vykonáva, a na ochranu vyžadovanú pre osobné údaje, ktoré spracúva prevádzkovateľ alebo sprostredkovateľ.

6.           Prevádzkovateľ alebo sprostredkovateľ zabezpečia, aby akékoľvek ďalšie odborné úlohy úradníka pre ochranu údajov boli v súlade s úlohami a povinnosťami tejto osoby ako úradníka pre ochranu údajov a neviedli ku konfliktu záujmov.

7.           Prevádzkovateľ alebo sprostredkovateľ určia úradníka pre ochranu údajov na obdobie najmenej dvoch rokov. Úradníka pre ochranu údajov možno opätovne poveriť touto funkciou na ďalšie obdobia. Počas funkčného obdobia možno úradníka pre ochranu údajov odvolať iba vtedy, ak prestal spĺňať podmienky požadované na výkon svojich služobných povinností.

8.           Úradník pre ochranu údajov môže byť zamestnancom prevádzkovateľa alebo sprostredkovateľa, alebo môže plniť svoje úlohy na základe zmluvy o poskytovaní služieb.

9.           Prevádzkovateľ alebo sprostredkovateľ oznámia meno a kontaktné údaje úradníka pre ochranu údajov dozornému orgánu a verejnosti.

10.         Dotknuté osoby majú právo obracať sa na úradníka pre ochranu údajov vo všetkých otázkach týkajúcich sa spracovania ich údajov a jeho prostredníctvom môžu požiadať o výkon práv podľa tohto nariadenia.

11.         Komisia je splnomocnená prijať delegované akty v súlade s článkom 86 s cieľom bližšie určiť kritériá a požiadavky pre základné činnosti prevádzkovateľa alebo sprostredkovateľa uvedené v odseku 1 písm. c) a kritériá hodnotenia odborných kvalít úradníka pre ochranu údajov uvedené v odseku 5.

Článok 36 Postavenie úradníka pre ochranu údajov

1.           Prevádzkovateľ alebo sprostredkovateľ zabezpečia, aby bol úradník pre ochranu údajov riadnym spôsobom a včas zapojený do všetkých otázok, ktoré súvisia s ochranou osobných údajov.

2.           Prevádzkovateľ alebo sprostredkovateľ zabezpečia, aby úradník pre ochranu údajov plnil svoje povinnosti nezávisle, a aby v súvislosti s výkonom tejto funkcie nedostával žiadne pokyny. Úradník pre ochranu údajov priamo podáva správy vedeniu prevádzkovateľa alebo sprostredkovateľa.

3.           Prevádzkovateľ alebo sprostredkovateľ podporujú úradníka pre ochranu údajov pri plnení úloh a poskytnú personál, miestnosti, vybavenie a akékoľvek iné zdroje potrebné na vykonávanie povinností a úloh uvedených v článku 37.

Článok 37 Úlohy úradníka pre ochranu údajov

1.           Prevádzkovateľ alebo sprostredkovateľ poverujú úradníka pre ochranu údajov prinajmenšom týmito úlohami:

a)      poskytovanie informácií a poradenstva prevádzkovateľovi alebo sprostredkovateľovi, pokiaľ ide o ich povinnosti podľa tohto nariadenia, ako aj dokumentácia tejto činnosti a došlých odpovedí;

b)      monitorovanie zavádzania a uplatňovania pravidiel prevádzkovateľa a sprostredkovateľa v súvislosti s ochranou osobných údajov vrátane rozdelenia povinností, odbornej prípravy zamestnancov zapojených do operácií spracúvania a súvisiacich auditov;

c)      monitorovanie vykonávania a uplatňovania tohto nariadenia, najmä pokiaľ ide o požiadavky súvisiace s ochranou údajov špecificky navrhnutou, ochranou údajov štandardne určenou, s bezpečnosťou údajov, informovaním dotknutých osôb a s ich žiadosťami, ktorými vykonávajú svoje práva vyplývajúce z ustanovení prijatých podľa tohto nariadenia;

d)      zabezpečenie uchovávania dokumentácie podľa článku 28;

e)      monitorovanie vedenia dokumentácie, oznámení o porušení ochrany osobných údajov a informácií zasielaných v zmysle článkov 31 a 32;

f)       monitorovanie posudzovania vplyvu na ochranu údajov vykonávaného prevádzkovateľom alebo sprostredkovateľom a uplatňovanie požiadavky na povolenie vopred alebo konzultácie vopred, pokiaľ sa vyžadujú podľa článkov 33 a 34;

g)      monitorovanie odpovedí na žiadosti dozorného orgánu a v rámci rozsahu právomocí úradníka pre ochranu údajov aj spolupráca s dozorným orgánom na jeho žiadosť či na základe jeho podnetu;

h)      plnenie úlohy kontaktného miesta pre dozorný orgán v súvislosti s otázkami týkajúcimi sa spracovania a uskutočňovanie konzultácií s dozorným orgánom, podľa potreby aj na základe vlastného podnetu úradníka pre ochranu údajov.     

2.           Komisia je splnomocnená prijať delegované akty v súlade s článkom 86 s cieľom bližšie určiť kritériá a požiadavky, pokiaľ ide o úlohy, certifikáciu, postavenie, právomoci a zdroje úradníka pre ochranu údajov podľa odseku 1.

ODDIEL 5 KÓDEXY SPRÁVANIA A CERTIFIKÁCIA

Článok 38 Kódexy správania

1.           Členské štáty, dozorné orgány a Komisia podporia vypracovanie kódexov správania určených na to, aby prispeli k správnemu uplatňovaniu tohto nariadenia, pričom vezmú do úvahy špecifické črty jednotlivých sektorov spracúvania údajov, najmä pokiaľ ide o:

a)      spravodlivé a transparentné spracovanie údajov;

b)      zhromažďovanie údajov;

c)      informovanie verejnosti a dotknutých osôb;

d)      žiadosti dotknutých osôb pri výkone ich práv;

e)      informovanie a ochranu detí;

f)       prenos údajov do tretích krajín alebo medzinárodným organizáciám;

g)      mechanizmy na monitorovanie a zabezpečenie dodržiavania kódexu prevádzkovateľmi, ktorí mu podliehajú;

h)      mimosúdne konania a iné postupy riešenia sporov zamerané na riešenie sporov medzi prevádzkovateľmi a dotknutými osobami v súvislosti so spracovaním osobných údajov, bez toho, aby boli dotknuté práva dotknutých osôb podľa článkov 73 a 75.

2.           Združenia a iné orgány predstavujúce kategórie prevádzkovateľov alebo sprostredkovateľov v jednom členskom štáte, ktoré majú v úmysle vypracovať kódexy správania alebo meniť alebo rozširovať súčasné kódexy správania, ich môžu predložiť k vyžiadaniu stanoviska dozorného orgánu v tomto členskom štáte. Dozorný orgán môže vydať stanovisko, či návrh kódexu správania alebo jeho zmena a doplnenie sú v súlade s týmto nariadením. Dozorný orgán sa usiluje získať názory dotknutých osôb alebo ich zástupcov na tieto návrhy.

3.           Združenia a iné orgány predstavujúce kategórie prevádzkovateľov v niekoľkých členských štátoch môžu Komisii predkladať návrhy kódexov správania a zmeny a doplnenia alebo rozšírenia existujúcich kódexov správania.

4.           Komisia môže prijať vykonávacie akty na účely rozhodnutia, že kódexy správania a zmeny a doplnenia alebo rozšírenia existujúcich kódexov správania, ktoré jej boli predložené podľa odseku 3, majú všeobecnú platnosť v rámci Únie. Tieto vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 87 ods. 2.

5.           Komisia môže zaistiť náležité zverejnenie kódexov, o ktorých bolo v súlade s odsekom 4 rozhodnuté, že majú všeobecnú platnosť v rámci Únie.

Článok 39 Certifikácia

1.           Členské štáty a Komisia podporia, predovšetkým na európskej úrovni, zavedenie mechanizmov certifikácie ochrany údajov a plomb a značiek pre potreby ochrany údajov, umožňujúce dotknutým osobám rýchlo posúdiť úroveň ochrany údajov, ktorú zabezpečujú prevádzkovatelia a sprostredkovatelia. Mechanizmy certifikácie ochrany údajov musia prispieť k riadnemu uplatňovaniu tohto nariadenia, a to so zreteľom na osobitné črty jednotlivých sektorov a rôznych operácií spracovania.

2.           Komisia je splnomocnená prijať delegované akty v súlade s článkom 86 s cieľom bližšie určiť kritériá a požiadavky na mechanizmy certifikácie ochrany údajov uvedené v odseku 1 vrátane podmienok pre ich udelenie a odvolanie, ako aj kritériá pre ich uznanie v rámci Únie a v tretích krajinách.

3.           Komisia môže stanoviť technické normy pre mechanizmy certifikácie a plomby a značky pre potrebu ochrany údajov, ako aj mechanizmy na podporu a uznávanie mechanizmov certifikácie a plomb a značiek pre potreby ochrany údajov. Tieto vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 87 ods. 2.

KAPITOLA V PRENOS OSOBNÝCH ÚDAJOV DO TRETÍCH KRAJÍN ALEBO MEDZINÁRODNÝM ORGANIZÁCIÁM

Článok 40 Všeobecné zásady prenosu

Akýkoľvek prenos osobných údajov, ktoré sú predmetom spracovania, alebo sú určené na spracovanie po prenose do tretej krajiny alebo medzinárodnej organizácii, sa môže uskutočniť iba ak prevádzkovateľ a sprostredkovateľ dodržiavajú podmienky ustanovené v tejto kapitole, ako aj ostatné ustanovenia tohto nariadenia vrátane podmienok ďalších prenosov osobných údajov z predmetnej tretej krajiny alebo od predmetnej medzinárodnej organizácie do inej tretej krajiny, alebo inej medzinárodnej organizácii.

Článok 41 Prenos na základe rozhodnutia o primeranosti

1.           Prenos sa môže uskutočniť v prípade, že Komisia rozhodla, že tretia krajina alebo územie, alebo sektor spracovania v tejto tretej krajine, alebo predmetná medzinárodná organizácia zabezpečujú primeranú úroveň ochrany. Na takýto prenos nie je nutné žiadne ďalšie povolenie.

2.           Pri posudzovaní primeranosti úrovne ochrany Komisia berie do úvahy tieto prvky:

a)      právny štát, príslušné platné právne predpisy, všeobecné aj odvetvové, vrátane predpisov týkajúcich sa verejnej bezpečnosti, obrany, národnej bezpečnosti a trestného práva, profesijné pravidlá a bezpečnostné opatrenia, ktoré táto krajina alebo medzinárodná organizácia dodržiava, ako aj účinné a vymáhateľné práva vrátane účinných správnych a súdnych prostriedkov nápravy pre dotknuté osoby, najmä pre dotknuté osoby s bydliskom v Únii, ktorých osobné údaje sú predmetom prenosu;

b)      existenciu a účinné pôsobenie jedného či viacerých nezávislých dozorných orgánov v predmetnej tretej krajine či medzinárodnej organizácii, ktoré sú zodpovedné za zabezpečenie dodržiavania pravidiel ochrany údajov, za poskytovanie pomoci a poradenstva dotknutým osobám pri výkone ich práv a za spoluprácu s dozornými orgánmi Únie a členských štátov, a

c)      medzinárodné záväzky, ktorými je predmetná tretia krajina či medzinárodná organizácia viazaná.

3.           Komisia môže rozhodnúť, že tretia krajina alebo územie, alebo sektor spracovania v predmetnej tretej krajine, alebo medzinárodná organizácia zabezpečujú primeranú úroveň ochrany v zmysle odseku 2. Tieto vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 87 ods. 2.

4.           Vo vykonávacom akte sa uvedie jeho územný a sektorový rozsah pôsobnosti a v príslušných prípadoch aj dozorný orgán podľa odseku 2 písm. b).

5.           Komisia môže rozhodnúť, že tretia krajina, resp. územie alebo sektor spracovania v tejto tretej krajine, alebo medzinárodná organizácia nezaručujú primeranú úroveň ochrany zmysle odseku 2 tohto článku, a to najmä v prípadoch, keď príslušné právne predpisy platné v tejto krajine alebo pre túto medzinárodnú organizáciu, a to všeobecné aj odvetvové, nezaručujú účinné a vynútiteľné práva vrátane práv dotknutých osôb na účinnú administratívnu a súdnu nápravu, a to najmä pre dotknuté osoby s bydliskom v Únii, ktorých osobné údaje sú predmetom prenosu. Tieto vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 87 ods. 2, resp. keď je to pre fyzické osoby mimoriadne naliehavé v súvislosti s ich právom na ochranu osobných údajov, v súlade s postupom uvedeným v článku 87 ods. 3.

6.           Ak Komisia prijme rozhodnutie podľa odseku 5, potom je zakázaný akýkoľvek prenos osobných údajov do tretej krajiny alebo na územie, alebo do sektora spracovania v predmetnej tretej krajine, alebo medzinárodnej organizácii, a to bez toho, aby boli dotknuté ustanovenia článkov 42 až 44. Vo vhodnom čase Komisia začne konzultácie s treťou krajinou alebo medzinárodnou organizáciou s cieľom napraviť stav vzniknutý v dôsledku rozhodnutia prijatého podľa odseku 5 tohto článku.

7.           Komisia uverejnení v Úradnom vestníku Európskej únie zoznam tých tretích krajín, území a sektorov spracovania v tretích krajinách, resp. medzinárodných organizácií, v prípade ktorých rozhodla, že je alebo nie je zaručená primeraná úroveň ochrany.

8.           Rozhodnutia prijaté Komisiou na základe článku 25 ods. 6 alebo článku 26 ods. 4 smernice 95/46/ES zostávajú v platnosti, pokým ich Komisia nezmení či nedoplní, nenahradí alebo nezruší.

Článok 42 Prenos na základe náležitých záruk

1.           Ak Komisia neprijala žiadne rozhodnutie podľa článku 41, prevádzkovateľ alebo sprostredkovateľ môžu preniesť osobné údaje do tretej krajiny alebo medzinárodnej organizácii len vtedy, ak prevádzkovateľ alebo sprostredkovateľ uviedli v podobe právne záväzného nástroja náležité záruky, pokiaľ ide o ochranu osobných údajov.

2.           Náležité záruky uvedené v odseku 1 sa stanovujú najmä prostredníctvom:

a)      záväzných firemných pravidiel v súlade s článkom 43 alebo

b)      štandardných ustanovení o ochrane údajov, ktoré prijala Komisia. Tieto vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 87 ods. 2, alebo

c)      štandardných ustanovení o ochrane údajov prijatých dozorným orgánom v súlade s mechanizmom konzistentnosti uvedeným v článku 57, ak ich Komisia vyhlásila za všeobecne platné v súlade s článkom 62 ods. 1 písm. b), alebo

d)      zmluvných doložiek medzi prevádzkovateľom alebo sprostredkovateľom a príjemcom údajov schválených dozorným orgánom v súlade s odsekom 4.

3.           K prenosu na základe štandardných ustanovení o ochrane údajov alebo záväzných firemných pravidiel uvedených v odseku 2 písm. a), b) alebo c) sa nevyžaduje žiadne ďalšie povolenie.

4.           Ak sa prenos uskutočňuje na základe zmluvných doložiek podľa odseku 2 písm. d) tohto článku, prevádzkovateľ alebo sprostredkovateľ musia k týmto zmluvným doložkám získať vopred povolenie od dozorného orgánu podľa článku 34 ods.1. Ak presun súvisí s činnosťou spracovania, ktorá sa týka dotknutých osôb v inom členskom štáte či štátoch, alebo podstatne ovplyvňuje voľný pohyb osobných údajov v rámci Únie, dozorný orgán uplatní mechanizmus konzistentnosti ustanovený v článku 57.

5.           V prípade, že náležité záruky na ochranu osobných údajov nie sú zabezpečené právne záväzným nástrojom, prevádzkovateľ alebo sprostredkovateľ musia vopred získať povolenie k prenosu či súboru prenosov, alebo k ustanoveniam, ktoré sa majú vložiť do administratívnych opatrení tvoriacich základ takéhoto prenosu. Takéto povolenie dozorného orgánu musí byť v súlade s článkom 34 ods. 1. Ak presun súvisí s činnosťou spracovania, ktorá sa týka dotknutých osôb v inom členskom štáte či štátoch, alebo podstatne ovplyvňuje voľný pohyb osobných údajov v rámci Únie, dozorný orgán uplatní mechanizmus konzistentnosti ustanovený v článku 57. Povolenia dozorného orgánu na základe článku 26 ods. 2 smernice 95/46/ES zostávajú v platnosti, pokým ich tento dozorný orgán nezmení či nedoplní, nenahradí alebo nezruší.

Článok 43 Prenosy na základe záväzných firemných pravidiel

1.           Dozorný orgán v súlade s mechanizmom konzistentnosti ustanoveným v článku 58 schváli záväzné firemné pravidlá, ak spĺňajú tieto predpoklady:

a)      sú právne záväzné a vzťahujú sa na všetky podniky a zamestnancov v rámci skupiny podnikov prevádzkovateľa alebo sprostredkovateľa, ktoré ich povinne uplatňujú;

b)      výslovne udeľujú vymáhateľné práva dotknutým osobám;

c)      spĺňajú požiadavky ustanovené v odseku 2.

2.           Záväzné firemné pravidlá obsahujú prinajmenšom:

a)      štruktúru a kontaktné údaje skupiny podnikov a jej členov;

b)      prenosy údajov alebo súbory prenosov vrátane kategórií osobných údajov, druhu spracovania a jeho účelov, typov dotknutých osôb, ktorých sa spracovanie týka a označenie predmetnej tretej krajiny či krajín;

c)      odkaz na ich záväznosť na vnútornej i vonkajšej úrovni;

d)      všeobecné zásady ochrany údajov, najmä obmedzenie účelu, kvalitu údajov, právny základ spracovania, spracúvanie citlivých osobných údajov, opatrenia na zaistenie bezpečnosti údajov, ako aj požiadavky na ďalší prenos pre potreby organizácií, ktoré nie sú viazané touto politikou;

e)      práva dotknutých osôb a prostriedky na výkon týchto práv vrátane práva nepodliehať opatreniu založenom na profilovaní v súlade s článkom 20, právo podať sťažnosť na príslušný dozorný orgán a na príslušné súdy členského štátu v súlade s článkom 75 a právo vymôcť nápravu a prípadnú kompenzáciu za porušenie záväzných firemných pravidiel;

f)       vyhlásenie, že prevádzkovateľ alebo sprostredkovateľ so sídlom na území členského štátu prijímajú zodpovednosť za všetky porušenia záväzných firemných pravidiel ktorýmkoľvek členom skupiny podnikov, ktorý nemá sídlo v Únii; prevádzkovateľ alebo sprostredkovateľ môžu byť úplne alebo čiastočne vyňatí spod tohto záväzku, ak preukážu, že predmetný člen nie je zodpovedný za udalosť, z ktorej škoda vznikla;

g)      spôsob, akým sa v súlade s článkom 11 poskytujú dotknutým osobám informácie o záväzných firemných pravidlách, najmä pokiaľ ide o ustanovenia, ktoré sa uvádzajú v písm. d), e) a f) tohto odseku;

h)      úlohy úradníka pre ochranu údajov určeného v súlade s článkom 35 vrátane monitorovania dodržiavania záväzných firemných pravidiel, ako aj odbornej prípravy a vybavovania sťažností v rámci príslušnej skupiny podnikov;

i)       mechanizmy v rámci skupiny podnikov zamerané na zabezpečenie overovania dodržiavania záväzných firemných pravidiel;

j)       mechanizmy pre nahlasovanie a evidenciu zmien pravidiel a nahlasovanie týchto zmien dozornému orgánu;

k)      mechanizmus spolupráce s dozorným orgánom na zabezpečenie dodržiavania podmienok zo strany členov tejto skupiny podnikov, najmä sprístupnením výsledkov overovania opatrení uvedených v písm. i) tohto odseku dozornému orgánu.

3.           Komisia je splnomocnená prijať delegované akty v súlade s článkom 86 s cieľom bližšie určiť kritériá a požiadavky týkajúce sa záväzných firemných pravidiel v zmysle tohto článku, najmä kritériá na ich schválenie, ďalej uplatňovanie odseku 2 písm. b), d), e) a f) na záväzné firemné pravidlá, ktoré si osvojili sprostredkovatelia, ako aj ďalšie nevyhnutné požiadavky na zabezpečenie ochrany osobných údajov príslušných dotknutých osôb.

4.           Komisia môže stanoviť formát a postupy pre výmenu informácií elektronickými prostriedkami medzi prevádzkovateľmi, sprostredkovateľmi a dozornými orgánmi členských štátov o záväzných firemných pravidlách v zmysle tohto článku. Tieto vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 87 ods. 2.

Článok 44 Odchýlky

1.           Ak nebolo prijaté rozhodnutie o primeranosti podľa článku 41 alebo ak nie sú zabezpečené náležité záruky podľa článku 42, prenos alebo súbor prenosov osobných údajov do tretej krajiny alebo medzinárodnej organizácii sa môže uskutočniť, len ak:

a)      dotknutá osoba vyjadrila súhlas s navrhovaným prenosom po tom, ako bola informovaná o rizikách takéhoto prenosu z dôvodu absencie rozhodnutia o primeranosti a náležitých záruk alebo

b)      prenos je nevyhnutný na plnenie zmluvy medzi dotknutou osobou a prevádzkovateľom alebo na vykonanie predzmluvných opatrení prijatých na žiadosť dotknutej osoby, alebo

c)      prenos je nevyhnutný kvôli uzatvoreniu alebo plneniu zmluvy uzatváranej v záujme dotknutej osoby medzi prevádzkovateľom a inou fyzickou alebo právnickou osobou, alebo

d)      prenos je nevyhnutný z dôležitých dôvodov verejného záujmu, alebo

e)      prenos je nevyhnutný na stanovenie, uplatňovanie alebo obranu právnych nárokov, alebo

f)       prenos je nevyhnutný na ochranu životne dôležitých záujmov dotknutej osoby alebo inej osoby, ak je dotknutá osoba fyzicky alebo právne nespôsobilá vyjadriť súhlas, alebo

g)      prenos sa uskutočňuje z registra, ktorý je podľa práva Únie alebo členského štátu určený na poskytovanie informácií verejnosti a ktorý je otvorený na nahliadanie verejnosti alebo akejkoľvek osobe, ktorá môže preukázať oprávnený záujem, pokiaľ podmienky stanovené právnymi predpismi Únie alebo právnymi predpismi členského štátu na nahliadanie sú v tomto konkrétnom prípade splnené, alebo

h)      prenos je nevyhnutný na účely oprávnených záujmov, ktoré sleduje prevádzkovateľ alebo sprostredkovateľ a ktoré nemožno kvalifikovať ako časté alebo hromadné, a prevádzkovateľ alebo sprostredkovateľ posúdili všetky okolnosti sprevádzajúce operáciu prenosu údajov alebo súbor operácií prenosu údajov a na základe tohto posúdenia uviedli v prípade potreby náležité záruky, pokiaľ ide o ochranu osobných údajov.

2.           Prenos podľa odseku 1 písm. g) nezahŕňa všetky osobné údaje alebo celé kategórie osobných údajov obsiahnutých v registri. Ak je register určený na nahliadanie pre osoby s oprávneným záujmom, prenos sa uskutoční iba na žiadosť týchto osôb alebo vtedy, keď majú byť príjemcami.

3.           Ak sa spracúvanie vykonáva na základe odseku 1 písm. h), prevádzkovateľ alebo sprostredkovateľ musia osobitne prihliadať na povahu údajov, účel a trvanie navrhovanej operácie či operácií spracovania, ako aj na situáciu v krajine pôvodu, v tretej krajine a krajine konečného určenia a uviesť v prípade potreby náležité záruky, pokiaľ ide o ochranu osobných údajov.

4.           Odsek 1 písm. b), c) a h) sa neuplatňujú na činnosti, ktoré vykonávajú verejné orgány pri uplatňovaní svojich verejných právomocí.

5.           Verejný záujem uvedený v odseku 1 písm. d) musí byť uznaný právnymi predpismi Únie alebo právnymi predpismi členského štátu, ktorému podlieha prevádzkovateľ.

6.           Prevádzkovateľ alebo sprostredkovateľ dokumentujú posúdenie, ako aj náležité záruky uvedené v odseku 1 písm. h) tohto článku v dokumentácii uvedenej v článku 28 a informujú dozorný orgán o prenose.

7.           Komisia je splnomocnená prijať delegované akty v súlade s článkom 87 s cieľom bližšie určiť „dôležité dôvody verejného záujmu“ v zmysle odseku 1 písm. d), ako aj kritériá a požiadavky, pokiaľ ide o náležité záruky uvedené v odseku 1 písm. h).

Článok 45 Medzinárodná spolupráca na účely ochrany osobných údajov

1.           Vo vzťahu k tretím krajinám a medzinárodným organizáciám Komisia a členské štáty podniknú náležité kroky s cieľom:

a)      vytvoriť účinné mechanizmy medzinárodnej spolupráce na uľahčenie presadzovania právnych predpisov o ochrane osobných údajov;

b)      poskytovať vzájomnú medzinárodnú pomoc pri presadzovaní právnych predpisov na ochranu osobných údajov, a to aj prostredníctvom notifikácií, postúpenia sťažností, pomoci pri vyšetrovaní a výmeny informácií, pričom sa uplatní požiadavka na náležité záruky na ochranu osobných údajov a na ďalšie základné práva a slobody;

c)      zapájať príslušné zainteresované strany do diskusie a činnosti so zameraním na prehĺbenie medzinárodnej spolupráce v oblasti presadzovania právnych predpisov na ochranu osobných údajov;

d)      podporovať výmenu a dokumentáciu v oblasti právnych predpisov na ochranu osobných údajov a praxe v tejto sfére.

2.           Komisia podnikne na účely odseku 1 náležité kroky s cieľom rozvíjať vzťahy s tretími krajinami alebo medzinárodnými organizáciami, a to najmä s ich dozornými orgánmi, ak dospela k rozhodnutiu, že zaručujú primeranú úroveň ochrany v zmysle článku 41 ods. 3.

KAPITOLA VI NEZÁVISLÉ DOZORNÉ ORGÁNY

ODDIEL 1 NEZÁVISLÉ POSTAVENIE

Článok 46 Dozorný orgán

1.           Každý členský štát stanoví, že jeden alebo viaceré verejné orgány sú zodpovedné za monitorovanie uplatňovania tohto nariadenia a za prispievanie k jeho konzistentnému uplatňovaniu v rámci Únie s cieľom chrániť základné práva a slobody fyzických osôb v súvislosti so spracúvaním ich osobných údajov a uľahčiť voľný tok osobných údajov v rámci Únie. Na tento účel dozorné orgány spolupracujú vzájomne, ako aj s Komisiou.

2.           Ak je v členskom štáte určený viac než jeden dozorný orgán, tento členský štát určí na zabezpečenie efektívnej účasti týchto orgánov v Európskom výbore pre ochranu údajov príslušný orgán, ktorý pôsobí ako spoločné kontaktné miesto, a stanoví mechanizmus na zabezpečenie súladu zo strany ostatných orgánov s mechanizmom konzistentnosti uvedeným v článku 57.

3.           Do dátumu uvedeného v článku 91 ods. 2 každý členský štát oznámi Komisii ustanovenia svojich právnych predpisov, ktoré prijme podľa tejto kapitoly, a bezodkladne oznámi aj všetky následné zmeny a doplnenia, ktoré ich ovplyvňujú.

Článok 47 Nezávislosť

1.           Dozorný orgán koná pri plnení svojich povinností a výkone zverených právomocí úplne nezávisle.

2.           Členovia dozorného orgánu pri plnení svojich povinností od nikoho nežiadajú ani neprijímajú pokyny.

3.           Členovia dozorného orgánu sa zdržia akéhokoľvek konania nezlučiteľného s ich povinnosťami a počas svojho funkčného obdobia nevykonávajú žiadnu inú platenú ani neplatenú pracovnú činnosť nezlučiteľnú s touto funkciou.

4.           Členovia dozorného orgánu sa po uplynutí svojho funkčného obdobia správajú pri prijímaní funkcií alebo výhod čestne a rozvážne.

5.           Každý členský štát zabezpečí, aby sa dozornému orgánu poskytli primerané ľudské, technické a finančné zdroje, priestory a infraštruktúra, ktoré sú potrebné na účinné plnenie povinností a vykonávanie právomocí vrátane tých, ktoré sa majú plniť a vykonávať v súvislosti so vzájomnou pomocou, spoluprácou a účasťou v rámci Európskeho výboru pre ochranu údajov.

6.           Každý členský štát zabezpečí, aby dozorný orgán mal svojich vlastných zamestnancov, ktorí budú ustanovení do svojich pozícií vedúcim dozorného orgánu a budú podliehať jeho pokynom.

7.           Členské štáty zabezpečia, aby dozorný orgán podliehal finančnej kontrole, ktorá neovplyvní jeho nezávislosť. Členské štáty zabezpečia, aby mali dozorné orgány samostatné ročné rozpočty. Tieto rozpočty sa zverejnia.

Článok 48 Všeobecné podmienky členstva v dozorných orgánoch

1.           Členské štáty stanovia, že členov dozorného orgánu ustanovuje buď parlament alebo vláda príslušného členského štátu.

2.           Členovia sa musia vybrať spomedzi osôb, v prípade ktorých niet pochybností o ich nezávislosti a ktoré majú preukázané skúsenosti a zručnosti potrebné na plnenie svojich povinností predovšetkým v oblasti ochrany osobných údajov.

3.           Povinnosti člena zanikajú uplynutím funkčného obdobia, vzdaním sa funkcie alebo jeho odvolaním v súlade s odsekom 5.

4.           Člena možno odvolať alebo pozbaviť jeho práva na dôchodok či iných dávok namiesto dôchodku rozhodnutím príslušného vnútroštátneho súdu, ak tento člen prestal spĺňať podmienky požadované na výkon svojich služobných povinností, resp. ak sa dopustil závažného pochybenia.

5.           V prípade uplynutia funkčného obdobia alebo vzdania sa funkcie si člen naďalej plní svoje povinnosti, až kým nie je ustanovený nový člen.

Článok 49 Pravidlá zriaďovania dozorného orgánu

Každý členský štát stanoví v medziach tohto nariadenia prostredníctvom zákona:

a)      zriadenie dozorného orgánu a jeho postavenie;

b)      kvalifikáciu, skúsenosti a zručnosti, ktoré sa požadujú na plnenie povinností člena dozorného orgánu;

c)      pravidlá a postupy ustanovovania členov dozorného orgánu, ako aj pravidlá, ktoré upravujú, aké konania či pracovné činnosti sú nezlučiteľné so služobnými povinnosťami spojenými s touto funkciou;

d)      funkčné obdobie členov dozorného orgánu, ktoré nesmie byť menej než štyri roky, s výnimkou prvého ustanovenia do funkcie po nadobudnutí účinnosti tejto smernice, ktoré môže mať kratšie trvanie, ak je z dôvodu ochrany nezávislosti dozorného orgánu nevyhnutné použiť časovo rozložený postup ustanovovania do funkcií;

e)      či členov dozorného orgánu možno ustanoviť do tejto funkcie opätovne;

f)       predpisy a spoločné podmienky upravujúce povinnosti členov a zamestnancov dozorného orgánu;

g)      pravidlá a postupy pri ukončení plnenia povinností člena dozorného orgánu, a to aj pre prípady, keď členovia prestali spĺňať podmienky požadované na výkon svojich povinností, resp. sa dopustili závažného pochybenia.

Článok 50 Služobné tajomstvo

Členovia a zamestnanci dozorného orgánu podliehajú počas funkčného obdobia či zamestnania, ako aj po ich uplynutí, povinnosti zachovávať služobné tajomstvo, pokiaľ ide o dôverné informácie, o ktorých sa dozvedeli pri plnení svojich služobných povinností.

ODDIEL 2 POVINNOSTI A PRÁVOMOCI

Článok 51 Pôsobnosť

1.           Každý dozorný orgán vykonáva na území svojho členského štátu právomoci, ktoré mu boli zverené v súlade s týmto nariadením.

2.           Ak sa spracovanie osobných údajov uskutočňuje v rámci činnosti zariadenia prevádzkovateľa alebo sprostredkovateľa v Únii a prevádzkovateľ alebo sprostredkovateľ pôsobí vo viac než jednom členskom štáte, za dohľad nad činnosťou prevádzkovateľa alebo sprostredkovateľa pri spracúvaní údajov vo všetkých členských štátoch zodpovedá dozorný orgán členského štátu, v ktorom sa nachádza ústredie prevádzkovateľa alebo sprostredkovateľa, a to bez toho, aby boli dotknuté ustanovenia kapitoly VII tohto nariadenia.

3.           Dozorný orgán nie je príslušný pre dohľad nad operáciami spracovania na súdoch, ak ide o výkon ich súdnej právomoci.

Článok 52 Povinnosti

1.           Dozorný orgán:

a)      monitoruje a zabezpečuje uplatňovanie tohto nariadenia;

b)      prejednáva sťažnosti podané akoukoľvek dotknutou osobou, resp. združením zastupujúcim dotknutú osobu v súlade s článkom 73, vyšetruje predmetnú záležitosť v náležitom rozsahu, informuje dotknutú osobu či združenie o pokroku a výsledkoch sťažnosti v primeranej lehote, najmä ak je nutné ďalšie vyšetrovanie alebo koordinácia s iným dozorným orgánom;

c)      vymieňa si informácie a poskytuje vzájomnú pomoc vo vzťahu k iným dozorným orgánom a zabezpečuje konzistentné uplatňovanie a presadzovanie tohto nariadenia;

d)      na vlastný podnet, na základe sťažnosti alebo na žiadosť iného dozorného orgánu uskutočňuje vyšetrovania a ak dotknutá osoba podala sťažnosť tomuto dozornému orgánu, informuje túto dotknutú osobu o výsledku vyšetrovania v primeranej lehote;

e)      monitoruje príslušný vývoj, pokiaľ má dosah na ochranu osobných údajov, a to najmä vývoj informačných a komunikačných technológií a komerčných praktík;

f)       oslovujú inštitúcie a subjekty členského štátu s cieľom konzultovať právne a administratívne opatrenia súvisiace s ochranou práv a slobôd fyzických osôb pri spracúvaní osobných údajov,

g)      schvaľuje operácie spracovania uvedené v článku 34 a poskytuje v tejto veci konzultačnú pomoc;

h)      vydáva stanovisko k návrhom kódexov správania v súlade s článkom 38 ods. 2;

i)       schvaľuje záväzné firemné pravidlá podľa článku 43,

j)       zúčastňuje sa na činnosti Európskeho výboru pre ochranu údajov.

2.           Každý dozorný orgán podporuje zvyšovanie informovanosti verejnosti o rizikách, pravidlách, zárukách a právach v súvislosti so spracovaním osobných údajov. Osobitná pozornosť sa má venovať najmä činnostiam špecificky zameraným na deti.

3.           Dozorný orgán poskytne na požiadanie poradenstvo ktorejkoľvek dotknutej osobe v súvislosti s výkonom jej práv podľa tohto nariadenia, pričom v prípade potreby spolupracuje na tento účel s dozornými orgánmi v iných členských štátoch.

4.           Na účely podávania sťažností uvedených v odseku 1 písm. b) dozorný orgán poskytne formulár sťažnosti, ktorý je možné vyplniť elektronicky, pričom sa nevylučujú iné prostriedky komunikácie.

5.           Plnenie úloh dozorného orgánu je pre dotknutú osobu bezplatné.

6.           V prípade, že žiadosti sú zjavne neprimerané, a to najmä pre ich opakujúci sa charakter, dozorný orgán môže požadovať poplatok, resp. môže odmietnuť prijať opatrenia požadované dotknutou osobou. Dôkazné bremeno, pokiaľ ide o zjavne neprimeraný charakter žiadosti, znáša dozorný orgán.

Článok 53 Právomoci

1.           Každý dozorný orgán má právomoc:

a)      oznamovať prevádzkovateľovi či sprostredkovateľovi domnelé porušenie ustanovení o spracovaní osobných údajov a v prípade potreby prevádzkovateľovi či sprostredkovateľovi nariadiť, aby konkrétnym spôsobom napravili toto porušenie s cieľom zlepšiť ochranu dotknutej osoby;

b)      nariadiť prevádzkovateľovi či sprostredkovateľovi vyhovieť žiadostiam dotknutej osoby o výkon práv ustanovených týmto nariadením;

c)      nariadiť prevádzkovateľovi či sprostredkovateľovi a ich prípadnému zástupcovi, aby poskytli všetky informácie, ktoré sú dôležité pre výkon jeho povinností;

d)      zabezpečiť súlad s požiadavkou na povolenia vopred a konzultácie vopred podľa článku 34;

e)      varovať alebo napomenúť prevádzkovateľa či sprostredkovateľa;

f)       nariadiť opravu, výmaz alebo likvidáciu všetkých údajov, ak boli spracované v rozpore s ustanoveniami tohto nariadenia, a oznámenie týchto opatrení tretím stranám, ktorým boli údaje sprístupnené;

g)      nariadiť dočasný alebo trvalý zákaz spracovania;

h)      pozastaviť tok údajov smerom k príjemcovi v tretej krajine alebo medzinárodnej organizácii,

i)       vydávať stanoviská týkajúce sa akýchkoľvek otázok, ktoré súvisia s ochranou osobných údajov;

j)       informovať národný parlament, vládu alebo iné politické inštitúcie, ako aj verejnosť o všetkých otázkach súvisiacich s ochranou osobných údajov.

2.           Každý dozorný orgán má vyšetrovaciu právomoc, ktorá umožňuje, aby mu prevádzkovateľ či sprostredkovateľ poskytol:

a)      prístup ku všetkým osobným údajom a všetkým informáciám potrebným na plnenie jeho povinností;

b)      prístup do všetkých priestorov, ako aj k akémukoľvek zariadeniu a prostriedkom na spracúvanie údajov, ak existujú dostatočné dôvody predpokladať, že sa tam uskutočňuje činnosť, ktorá je v rozpore s týmto nariadením.

Právomoci uvedené v písmene b) sa vykonávajú v súlade s právnymi predpismi EÚ a právnymi predpismi členského štátu.

3.           Každý dozorný orgán má právomoc upovedomiť o porušení tohto nariadenia justičné orgány a postupovať súdnou cestou, predovšetkým podľa článku 74 ods. 4 a článku 75 ods. 2.

4.           Každý dozorný orgán je oprávnený sankcionovať správne delikty, najmä tie, ktoré sú uvedené v článku 79 ods. 4, 5 a 6.

Článok 54 Správa o činnosti

Každý kontrolný orgán musí vypracovať výročnú správu o svojej činnosti. Správa sa predkladá národnému parlamentu a sprístupní sa verejnosti, Komisii a Európskemu výboru pre ochranu údajov.

KAPITOLA VII

SPOLUPRÁCA A KONZISTENTNOSŤ

Oddiel 1 Spolupráca

Článok 55 Vzájomná pomoc

1.           Dozorné orgány si poskytujú navzájom relevantné informácie a pomoc v záujme konzistentného vykonávania a uplatňovania ustanovení tohto nariadenia a zavedú opatrenia na účinnú vzájomnú spoluprácu. Vzájomná pomoc sa týka najmä žiadostí o informácie a opatrení v oblasti dozoru, ako sú napríklad žiadosti o povolenie a konzultácie vopred, kontroly a promptné informácie o otvorení prípadov a ďalšom vývoji v prípade, keď je pravdepodobné, že operácie spracovania budú mať vplyv na dotknuté osoby v niekoľkých členských štátoch.

2.           Každý dozorný orgán je povinný prijať všetky príslušné opatrenia, aby na žiadosť iného dozorného orgánu odpovedal bezodkladne a najneskôr do jedného mesiaca po prijatí žiadosti. K takýmto opatreniam môže patriť napríklad zaslanie relevantnej informácie o priebehu vyšetrovania alebo opatrenia na vymáhanie práva, ktorých cieľom je zastavenie alebo zákaz operácií spracovania, ktoré sú v rozpore s týmto nariadením.

3.           Žiadosť o pomoc má obsahovať všetky nevyhnutné informácie vrátane účelu a dôvodov žiadosti. Vymieňané informácie sa použijú iba v súvislosti s vecou, ku ktorej boli vyžiadané.

4.           Ak je dozornému orgánu adresovaná žiadosť o pomoc, nemôže jej odmietnuť vyhovieť, s výnimkou toho, keď:

a)      nie je príslušný vo veci žiadosti alebo

b)      vyhovieť tejto žiadosti by bolo v rozpore s týmto nariadením.

5.           Požiadaný dozorný orgán poskytne žiadajúcemu dozornému orgánu informácie o výsledkoch opatrení prijatých s cieľom vyhovieť požiadavke žiadajúceho dozornému orgánu, alebo podľa situácie o pokroku dosiahnutom v tejto súvislosti, resp. o opatreniach prijatých na tento účel.

6.           Dozorné orgány poskytnú informácie požadované inými dozornými orgánmi elektronickými prostriedkami a v čo najkratšom možnom čase, pričom používajú štandardizovaný formát.

7.           Za opatrenie vykonané na základe žiadosti o vzájomnú pomoc sa neúčtuje žiadny poplatok.

8.           Ak dozorný orgán nerozhodne o žiadosti iného dozorného orgánu do jedného mesiaca, žiadajúci dozorný orgán je oprávnený vydať dočasné opatrenie na území svojho členského štátu v súlade s článkom 51 ods. 1 a predložiť záležitosť Európskemu výboru pre ochranu údajov v súlade s postupom uvedeným v článku 57.

9.           Dozorný orgán určí obdobie platnosti týchto dočasných opatrení. Táto lehota nepresiahne tri mesiace. Dozorný orgán bezodkladne oznámi tieto opatrenia s úplným odôvodnením Európskemu výboru pre ochranu údajov a Komisii.

10.         Komisia môže stanoviť formát a postupy vzájomnej pomoci uvedené v tomto článku a opatrenia na výmenu informácií elektronickými prostriedkami medzi dozornými orgánmi navzájom, ako aj medzi dozornými orgánmi a Európskym výborom pre ochranu údajov, najmä štandardizovaný formát uvedený v odseku 6. Tieto vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 87 ods. 2.

Článok 56 Spoločné operácie dozorných orgánov

1.           V záujme posilnenia spolupráce a vzájomnej pomoci dozorné orgány realizujú spoločné úlohy v oblasti vyšetrovania, opatrenia v oblasti presadzovania práva a iné spoločné operácie, do ktorých sa zapájajú určení členovia alebo zamestnanci dozorných orgánov iných členských štátov.

2.           V prípadoch, keď je pravdepodobné, že operácie spracovania budú mať vplyv na dotknuté osoby v niekoľkých členských štátoch, dozorný orgán každého z týchto členských štátov má právo podieľať sa podľa konkrétnej situácie na spoločných vyšetrovacích úlohách alebo spoločných operáciách. Príslušný dozorný orgán vyzve dozorné orgány týchto jednotlivých členských štátov, aby sa zúčastnili na príslušných vyšetrovacích úlohách alebo spoločných operáciách a aby reagovali na žiadosť ktoréhokoľvek dozorného orgánu o zapojenie sa do operácií bez zbytočného odkladu.

3.           Každý dozorný orgán, ktorý je hostiteľským dozorným orgánom, môže v súlade so svojimi vnútroštátnymi právnymi predpismi a povolením vysielajúceho dozorného orgánu udeliť zamestnancom vysielajúceho dozorného orgánu zúčastňujúcim sa na spoločných operáciách výkonné právomoci vrátane vyšetrovacích úloh, resp. v rozsahu, v akom to umožňujú právne predpisy, ktorým podlieha hostiteľský dozorný orgán, umožniť zamestnancom vysielajúceho dozorného orgánu uplatňovať ich výkonné právomoci v súlade s právnymi predpismi, ktorým podlieha vysielajúci dozorný orgán. Tieto výkonné právomoci sa môžu uplatňovať len pod usmernením členov alebo zamestnancov hostiteľského dozorného orgánu a spravidla v ich prítomnosti. Členovia a zamestnanci vysielajúceho dozorného orgánu podliehajú vnútroštátnym právnym predpisom krajiny hostiteľského dozorného orgánu. Zodpovednosť za ich činnosť nesie hostiteľský dozorný orgán.

4.           Dozorné orgány upravia praktické aspekty konkrétnych činností uskutočňovaných v rámci spolupráce.

5.           Ak dozorný orgán nesplní svoju povinnosť stanovenú v odseku 2 do jedného mesiaca, ostatné dozorné orgány sú oprávnené vydať dočasné opatrenie na území svojho členského štátu v súlade s článkom 51 ods. 1.

6.           Dozorný orgán určí obdobie platnosti dočasného opatrenia uvedeného v odseku 5. Toto obdobie nepresiahne tri mesiace. Dozorný orgán bezodkladne oznámi tieto opatrenia s úplným odôvodnením Európskemu výboru pre ochranu údajov a Komisii a predloží záležitosť prostredníctvom mechanizmu ustanoveného v článku 57.

ODDIEL 2 KONZISTENTNOSŤ

Článok 57 Mechanizmus konzistentnosti

Na účely uvedené v článku 46 ods. 1 dozorné orgány spolupracujú medzi sebou navzájom, ako aj s Komisiou prostredníctvom mechanizmu konzistentnosti, ako sa ustanovuje v tomto oddiele.

Článok 58 Stanovisko Európskeho výboru pre ochranu údajov

1.           Predtým než dozorný orgán prijme opatrenia uvedené v odseku 2, tento dozorný orgán oznámi navrhované opatrenie Európskemu výboru pre ochranu údajov a Komisii.

2.           Povinnosť stanovená v odseku 1 sa uplatňuje na opatrenie, ktoré má mať právne účinky a ktoré:

a)      súvisí s činnosťami spracovania týkajúcimi sa ponuky tovaru alebo služieb dotknutým osobám v niekoľkých členských štátoch, alebo sledovania ich správania, alebo

b)      môže podstatne ovplyvniť voľný pohyb osobných údajov v rámci Únie, alebo

c)      ktorého cieľom je prijatie zoznamu operácií spracovania, na ktoré sa vzťahuje povinnosť konzultácie vopred podľa článku 34 ods. 5, alebo

d)      ktorého cieľom je určiť štandardné ustanovenia o ochrane údajov uvedené v článku 42 ods. 2 písm. c), alebo

e)      ktorého cieľom je schváliť zmluvné doložky uvedené v článku 42 ods. 2 písm. d), alebo

f)       ktorého cieľom je schváliť záväzné firemné pravidlá v zmysle článku 43.

3.           Ktorýkoľvek dozorný orgán alebo Európsky výbor pre ochranu údajov môžu požadovať, aby sa prostredníctvom mechanizmu konzistentnosti riešila akákoľvek záležitosť, najmä ak dozorný orgán nepredloží návrh opatrenia uvedeného v odseku 2 alebo neplní povinnosti týkajúce sa vzájomnej pomoci v súlade s článkom 55 alebo spoločných operácií v súlade s článkom 56.

4.           Aby sa zabezpečilo správne a konzistentné uplatňovanie tohto nariadenia, Komisia môže požadovať, aby sa všetky otázky riešili prostredníctvom mechanizmu konzistentnosti.

5.           Dozorné orgány a Komisia elektronicky oznamujú všetky príslušné informácie, podľa potreby aj zhrnutie skutočností, navrhované opatrenie a dôvody, kvôli ktorým je vydanie takéhoto opatrenia nevyhnutné, pričom používajú štandardizovaný formát.

6.           Predseda Európskeho výboru pre ochranu údajov ihneď elektronicky informuje členov Európskeho výboru pre ochranu údajov a Komisiu o všetkých relevantných informáciách, ktoré mu boli oznámené, pričom používa štandardizovaný formát. Predseda Európskeho výboru pre ochranu údajov poskytne v prípade potreby preklady relevantných informácií.

7.           Európsky výbor pre ochranu údajov vydá k veci stanovisko, ak tak Európsky výbor pre ochranu údajov rozhodne jednoduchou väčšinou svojich členov alebo ak niektorý dozorný orgán alebo Komisia o to požiadali, a to do jedného týždňa po tom, ako boli príslušné informácie poskytnuté podľa odseku 5. Stanovisko musí byť prijaté do jedného mesiaca jednoduchou väčšinou členov Európskeho výboru pre ochranu údajov. Predseda Európskeho výboru pre ochranu údajov informuje o tomto stanovisku bez zbytočného odkladu a podľa konkrétneho prípadu dozorný orgán uvedený v odsekoch 1 a 3, Komisiu a dozorný orgán príslušný podľa článku 51, a stanovisko zverejní.

8.           Dozorný orgán uvedený v odseku 1 a dozorný orgán príslušný podľa článku 51 zohľadnia stanovisko Európskeho výboru pre ochranu údajov a do dvoch týždňov po prijatí informácie o stanovisku predsedu Európskeho výboru pre ochranu údajov oznámia elektronicky predsedovi Európskeho výboru pre ochranu údajov a Komisii, či zotrvávajú na svojom návrhu opatrenia, alebo ho zmenia a doplnia, a v tomto druhom prípade zašlú aj zmenený a doplnený návrh opatrenia, pričom použijú štandardizovaný formát.

Článok 59 Stanovisko Komisie

1.           Do desiatich týždňov po oznámení veci uvedenom v článku 58, alebo najneskôr do šiestich týždňov v prípade uvedenom v článku 61 môže Komisia prijať stanovisko k veciam oznámeným podľa článku 58 alebo 61 s cieľom zabezpečiť správne a konzistentné uplatňovanie tohto nariadenia.

2.           Ak Komisia prijala stanovisko v súlade s odsekom 1, dotknutý dozorný orgán v čo najväčšej miere zohľadní stanovisko Komisie a informuje Komisiu a Európsky výbor pre ochranu údajov, či má v úmysle zachovať alebo zmeniť a doplniť svoj návrh opatrenia.

3.           Počas obdobia uvedeného v odseku 1 dozorný orgán navrhované opatrenie neprijme.

4.           Ak dotknutý dozorný orgán nemá v úmysle postupovať podľa stanoviska Komisie, informuje o tom Komisiu a Európsky výbor pre ochranu údajov v rámci lehoty uvedenej v odseku 1 a predloží zdôvodnenie. V takom prípade sa navrhované opatrenie neprijme počas ďalšieho jednomesačného obdobia.

Článok 60 Pozastavenie návrhu opatrenia

1.           Do jedného mesiaca po oznámení uvedenom v článku 59 ods. 4 a v prípade, že Komisia má vážne pochybnosti, či by navrhované opatrenie zabezpečilo riadne uplatňovanie tohto nariadenia, alebo obavy, že by mohlo inak viesť k nekonzistentnému uplatňovaniu, Komisia môže prijať odôvodnené rozhodnutie, ktorým požiada dozorný orgán, aby pozastavil prijatie návrhu opatrenia, pričom vezme do úvahy stanovisko vydané Európskym výborom pre ochranu údajov v súlade s článkom 58 ods. 7 alebo článkom 61 ods. 2, ak sa ukazuje potreba:

a)      zosúladiť rozdielne stanoviská dozorného orgánu a Európskeho výboru pre ochranu údajov, pokiaľ je to ešte možné, alebo

b)      prijať opatrenie podľa článku 61 ods. 2 písm. a).

2.           Komisia určí trvanie pozastavenia, ktoré nepresahuje 12 mesiacov.

3.           Počas obdobia uvedeného v odseku 2 dozorný orgán nemôže prijať navrhované opatrenie.

Článok 61 Postup pre naliehavé prípady

1.           Za výnimočných okolností, keď sa dozorný orgán domnieva, že existuje naliehavá potreba konať s cieľom chrániť záujmy dotknutej osoby, najmä keď existuje nebezpečenstvo, že presadzovaniu práva dotknutej osoby by mohla podstatným spôsobom brániť zmena existujúceho stavu, alebo je nutné predísť závažným nevýhodám, alebo z iných dôvodov, môže dozorný orgán odchylne od postupu uvedeného v článku 58 okamžite prijať dočasné opatrenia s určenou lehotou platnosti. Dozorný orgán bezodkladne oznámi tieto opatrenia s úplným odôvodnením Európskemu výboru pre ochranu údajov a Komisii.

2.           Ak dozorný orgán neprijme opatrenie podľa odseku 1 a usúdi, že je naliehavo potrebné prijať konečné opatrenia, môže požiadať Európsky výbor pre ochranu údajov o urgentné stanovisko, pričom uvedie dôvody, prečo požaduje takéto stanovisko vrátane dôvodov naliehavosti konečných opatrení.

3.           Ktorýkoľvek dozorný orgán môže požiadať o urgentné stanovisko, ak príslušný dozorný orgán neprijal primerané opatrenie v situácii, v ktorej existuje naliehavá potreba konať s cieľom chrániť záujmy dotknutých osôb, pričom uvedie dôvody, prečo požaduje takéto stanovisko, vrátane dôvodov naliehavej potreby konať.

4.           Odchylne od článku 58 ods. 7 sa urgentné stanovisko uvedené v odsekoch 2 a 3 tohto článku prijme do dvoch týždňov jednoduchou väčšinou členov Európskeho výboru pre ochranu údajov.

Článok 62 Vykonávacie akty

1.           Komisia môže prijať vykonávacie akty s cieľom:

a)      rozhodnúť o správnom uplatňovaní tohto nariadenia v súlade s jeho cieľmi a požiadavkami v súvislosti so záležitosťami, ktoré oznámili dozorné orgány podľa článku 58 alebo 61, a to vo veci, v ktorej bolo prijaté odôvodnené rozhodnutie v súlade s článkom 60 ods. 1, alebo vo veci, ku ktorej dozorný orgán nepredkladá návrh opatrenia a tento dozorný orgán naznačil, že nemieni postupovať podľa stanoviska Komisie prijatého podľa článku 59;

b)      rozhodnúť v lehote uvedenej v článku 59 ods. 1, či vyhlási, že štandardné ustanovenia o ochrane údajov uvedené v článku 58 ods. 2 písm. d) majú všeobecnú platnosť;

c)      stanoviť formát a postupy na uplatňovanie mechanizmu konzistentnosti uvedené v tomto oddiele;

d)      stanoviť úpravu výmeny informácií elektronickými prostriedkami medzi dozornými orgánmi navzájom a medzi dozornými orgánmi a Európskym výborom pre ochranu údajov, najmä štandardizovaný formát uvedený v článku 58 ods. 5, 6 a 8.

Tieto vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 87 ods. 2.

2.           Na základe riadne opodstatnených naliehavých dôvodov týkajúcich sa záujmov dotknutých osôb v prípadoch uvedených v odseku 1 písm. a) Komisia bezodkladne prijme vykonávacie akty v súlade s postupom uvedeným v článku 87 ods. 3. Tieto akty zostávajú v platnosti počas obdobia nepresahujúceho 12 mesiacov.

3.           Absenciou alebo prijatím opatrenia podľa tohto oddielu nie je dotknuté žiadne iné opatrenie Komisie prijaté na základe zmlúv.

Článok 63 Vymáhanie

1.           Na účely tohto nariadenia sa vykonateľné opatrenie dozorného orgánu v jednom členskom štáte vykoná vo všetkých dotknutých členských štátoch.

2.           Ak dozorný orgán v rozpore s článkom 58 ods. 1 až 5 nepredloží návrh opatrenia v rámci mechanizmu konzistentnosti, opatrenie tohto dozorného orgánu nie je právoplatné ani vymožiteľné.

ODDIEL 3 EURÓPSKY VÝBOR PRE OCHRANU ÚDAJOV

Článok 64 Európsky výbor pre ochranu údajov

1.           Týmto sa zriaďuje Európsky výbor pre ochranu údajov.

2.           Európsky výbor pre ochranu údajov pozostáva z vedúcich predstaviteľov dozorných orgánov, vždy jedného z každého členského štátu, a európskeho dozorného úradníka pre ochranu údajov.

3.           Ak v členskom štáte zodpovedá za monitorovanie uplatňovania ustanovení podľa tohto nariadenia viac než jeden orgán, tieto orgány určia vedúceho predstaviteľa jedného z týchto dozorných orgánov ako spoločného zástupcu.

4.           Komisia má právo zúčastňovať sa na činnosti a zasadnutiach Európskeho výboru pre ochranu údajov a určí na tento účel svojho zástupcu. Predseda Európskeho výboru pre ochranu údajov bezodkladne informuje Komisiu o všetkých aktivitách Európskeho výboru pre ochranu údajov.

Článok 48 Nezávislosť

1.           Európsky výbor pre ochranu údajov koná nezávisle pri vykonávaní svojich úloh podľa článkov 66 a 67.

2.           Bez toho, aby boli dotknuté žiadosti Komisie uvedené v odseku 1 písm. b) a v článku 66 ods. 2, Európsky výbor pre ochranu údajov pri výkone svojich úloh nebude žiadať ani prijímať pokyny od žiadneho subjektu.

Článok 66 Úlohy Európskeho výboru pre ochranu údajov

1.           Európsky výbor pre ochranu údajov zabezpečuje konzistentné uplatňovanie tohto nariadenia. Na tento účel Európsky výbor pre ochranu údajov na základe vlastnej iniciatívy alebo na požiadanie Komisie konkrétne:

a)      poskytuje Komisii poradenstvo v akejkoľvek otázke týkajúcej sa ochrany osobných údajov v Únii vrátane akýchkoľvek navrhovaných zmien a doplnení tohto nariadenia;

b)      preskúmava z vlastnej iniciatívy alebo na žiadosť svojich členov, alebo na žiadosť Komisie akúkoľvek otázku týkajúcu sa uplatňovania tohto nariadenia a vydáva usmernenia, odporúčania a najlepšie postupy určené dozorným orgánom s cieľom podporiť konzistentné uplatňovanie tohto nariadenia;

c)      preskúmava praktické uplatňovanie usmernení, odporúčaní a najlepších postupov uvedených v písm. b) a v pravidelných intervaloch o nich podáva Komisii správu;

d)      vydáva stanoviská k návrhom rozhodnutí dozorných orgánov v rámci mechanizmu konzistentnosti uvedeného v článku 57;

e)      podporuje spoluprácu a účinnú dvojstrannú a mnohostrannú výmenu informácií a postupov medzi dozornými orgánmi;

f)       podporuje spoločné programy odborného vzdelávania a uľahčuje výmeny zamestnancov medzi dozornými orgánmi, a to podľa potreby aj vrátane dozorných orgánov tretích krajín či medzinárodných organizácií;

g)      podporuje výmenu poznatkov a dokumentácie s dozornými orgánmi pre ochranu údajov z celého sveta, pokiaľ ide o právne predpisy na ochranu údajov a prax v tejto sfére.

2.           V prípade, že Komisia požiada Európsky výbor pre ochranu údajov o poskytnutie poradenstva, môže stanoviť časovú lehotu, v rámci ktorej je tento výbor povinný toto poradenstvo poskytnúť, pričom sa zohľadní naliehavosť predmetnej záležitosti.

3.           Európsky výbor pre ochranu údajov predkladá svoje stanoviská, usmernenia, odporúčania a najlepšie postupy Komisii a výboru podľa článku 87 a tieto dokumenty zverejňuje.

4.           Komisia informuje Európsky výbor pre ochranu údajov o krokoch, ktoré podnikla na základe stanovísk, usmernení, odporúčaní a osvedčených postupov vydaných Európskym výborom pre ochranu údajov.

Článok 67 Podávanie správ

1.           Európsky výbor pre ochranu údajov pravidelne a včas informuje Komisiu o výsledkoch svojej činnosti. Vypracúva výročnú správu o situácii v oblasti ochrany fyzických osôb pri spracúvaní osobných údajov v Únii a tretích krajinách.

Správa obsahuje zhodnotenie praktického uplatňovania usmernení, odporúčaní a najlepších postupov uvedených v článku 66 ods. 1 písm. c).

2.           Správa sa zverejní a zašle sa Európskemu parlamentu, Rade a Komisii.

Článok 68 Postup

1.           Európsky výbor pre ochranu údajov prijíma rozhodnutia jednoduchou väčšinou svojich členov.

2.           Európsky výbor pre ochranu údajov prijme svoj rokovací poriadok a stanoví svoje pracovné postupy. Zabezpečí predovšetkým kontinuitu vykonávania funkčných povinností v prípade, že uplynie funkčné obdobie člena alebo sa tento vzdá funkcie, ďalej ustanovenie podriadených skupín pre špecifické otázky alebo sektory a vlastné postupy týkajúce sa mechanizmu konzistentnosti uvedeného v článku 57.

Článok 69 Predseda

1.           Európsky výbor pre ochranu údajov zvolí svojho predsedu a dvoch zástupcov predsedu spomedzi svojich členov. Jedným zo zástupcov predsedu je európsky dozorný úradník pre ochranu údajov, pokiaľ nebol zvolený za predsedu.

2.           Funkčné obdobie predsedu a zástupcu predsedu je päť rokov a je obnoviteľné.

Článok 70 Úlohy predsedu

1.           Predseda má tieto úlohy:

a)      zvoláva zasadnutia Európskeho výboru pre ochranu údajov a pripravuje ich program;

b)      zabezpečuje včasné plnenie úloh Európskeho výboru pre ochranu údajov, najmä v súvislosti s mechanizmom konzistentnosti uvedeným v článku 57.

2.           Európsky výbor pre ochranu údajov stanoví vo svojom rokovacom poriadku rozdelenie úloh pre predsedu a zástupcov predsedu.

Článok 71 Sekretariát

1.           Európsky výbor pre ochranu údajov má k dispozícii sekretariát. Tento sekretariát zabezpečí európsky dozorný úradník pre ochranu údajov.

2.           Sekretariát poskytuje analytickú, administratívnu a logistickú podporu Európskemu výboru pre ochranu údajov pod vedením predsedu.

3.           Sekretariát je zodpovedný najmä za:

a)      plnenie každodenných úloh Európskeho výboru pre ochranu údajov;

b)      komunikáciu medzi členmi Európskeho výboru pre ochranu údajov, medzi jeho predsedom Komisiou, ako aj za komunikáciu s ostatnými inštitúciami a verejnosťou;

c)      používanie elektronických prostriedkov na internú a externú komunikáciu;

d)      preklady relevantných informácií;

e)      prípravu a opatrenia nadväzujúce na stretnutie Európskeho výboru pre ochranu údajov;

f)       prípravu, formulovanie a uverejňovanie stanovísk a iných dokumentov prijatých Európskym výborom pre ochranu údajov.

Článok 72 Dôvernosť

1.           Zasadnutia Európskeho výboru pre ochranu údajov sú dôverné.

2.           Dokumenty predložené členom Európskeho výboru pre ochranu údajov, expertom a zástupcom tretích strán sú dôverné, pokiaľ nie je udelený prístup k týmto dokumentom v súlade s nariadením (ES) č. 1049/2001, alebo pokiaľ ich Európsky výbor pre ochranu údajov nezverejní inak.

3.           Od členov výboru, ako aj odborníkov a zástupcov tretích strán sa vyžaduje, aby rešpektovali povinnosti týkajúce sa dôvernosti stanovené v tomto článku. Predseda zabezpečí, aby experti a zástupcovia tretích strán boli oboznámení s požiadavkami dôvernosti, ktoré sú na nich kladené.

KAPITOLA VIII

PROSTRIEDKY NÁPRAVY, ZODPOVEDNOSŤ A SANKCIE

Článok 73 Právo podať sťažnosť dozornému orgánu

1.           Bez toho, aby boli dotknuté akékoľvek iné správne alebo súdne prostriedky nápravy, má každá dotknutá osoba právo podať sťažnosť dozornému orgánu v ktoromkoľvek členskom štáte, ak sa domnieva, že spracovanie osobných údajov, ktoré sa jej týkajú, nie je v súlade s týmto nariadením.

2.           Všetky orgány, organizácie či združenia, ktorých cieľom je ochrana práv a záujmov dotknutých osôb v súvislosti s ochranou ich osobných údajov a ktoré boli právoplatne zriadené podľa právnych predpisov členského štátu, majú právo podať sťažnosť v mene jednej či viacerých dotknutých osôb dozornému orgánu v ktoromkoľvek členskom štáte, ak sa domnievajú, že v dôsledku spracovania osobných údajov došlo k porušeniu práv dotknutých osôb podľa tohto nariadenia.

3.           Nezávisle od sťažnosti podanej dotknutou osobou majú všetky organizácie či združenia podľa odseku 2 právo podať sťažnosť dozornému orgánu v ktoromkoľvek členskom štáte, ak sa domnievajú, že došlo k porušeniu ochrany osobných údajov.

Článok 74 Právo na súdny prostriedok nápravy voči dozornému orgánu

1.           Každá fyzická alebo právnická osoba má právo na súdne prostriedky nápravy voči rozhodnutiam dozorného orgánu, ktoré sa ich týkajú.

2.           Každá dotknutá osoba má právo na súdny prostriedok nápravy ukladajúci dozornému orgánu povinnosť konať vo veci sťažnosti, ak nebolo prijaté rozhodnutie potrebné na ochranu práv dotknutej osoby, alebo ak dozorný orgán neinformoval dotknutú osobu do troch mesiacov o pokroku vo veci sťažnosti či o jej výsledku podľa článku 52 ods. 1 písm. b).

3.           Návrh na začatie konania proti dozornému orgánu sa podáva na súdoch členského štátu, v ktorom má dozorný úrad sídlo.

4.           Dotknutá osoba, ktorej sa týka rozhodnutie dozorného orgánu so sídlom v inom členskom štáte než je štát jej obvyklého pobytu, môže požiadať dozorný orgán členského štátu, v ktorom má svoj obvyklý pobyt, aby začal konanie voči príslušnému dozornému orgánu v uvedenom druhom členskom štáte.

5.           Členské štáty zabezpečia výkon právoplatných rozhodnutí súdov uvedených v tomto článku.

Článok 75 Právo na súdny prostriedok nápravy voči prevádzkovateľovi či sprostredkovateľovi

1.           Bez toho, aby bol dotknutý akýkoľvek dostupný správny prostriedok nápravy vrátane práva na podanie sťažnosti dozornému orgánu podľa článku 73, má každá fyzická osoba právo na súdny prostriedok nápravy, ak sa domnieva, že v dôsledku spracovania jej osobných údajov v rozpore s týmto nariadením došlo k porušeniu jej práv ustanovených týmto nariadením.

2.           Návrh na začatie konania proti prevádzkovateľovi alebo sprostredkovateľovi sa podáva na súdoch členského štátu, v ktorom má prevádzkovateľ alebo sprostredkovateľ takéto zariadenie v činnosti. Návrh na začatie takéhoto konania možno podať aj na súdoch členského štátu, v ktorom má dotknutá osoba svoj obvyklý pobyt, pokiaľ prevádzkovateľom nie je verejný orgán konajúci v rámci výkonu svojich verejných právomocí.

3.           Ak prebiehajú konania v rámci mechanizmu konzistentnosti podľa článku 58, ktoré sa týkajú rovnakej záležitosti, rozhodnutia alebo postupu, súd môže pozastaviť konanie, vo veci ktorého mu bol podaný návrh, s výnimkou prípadu, že naliehavosť záležitosti z hľadiska ochrany práv dotknutej osoby neumožňuje čakať na výsledok konania v rámci mechanizmu konzistentnosti.

4.           Členské štáty zabezpečia výkon právoplatných rozhodnutí súdov uvedených v tomto článku.

Článok 76 Spoločné pravidlá pre súdne konania

1.           Každý orgán, organizácia či združenie uvedené v článku 73 ods. 2 má právo uplatňovať práva uvedené v článkoch 74 a 75 v mene jednej či viacerých dotknutých osôb.

2.           Každý dozorný orgán má právo zúčastniť sa na súdnych konaniach a podať návrh na začatie súdneho konania na účely presadzovania ustanovení tohto nariadenia alebo na zabezpečenie konzistentnosti ochrany osobných údajov v rámci Únie.

3.           Ak príslušný súd členského štátu má opodstatnené dôvody domnievať sa, že sa v inom členskom štáte vedie súbežné konanie, kontaktuje príslušný súd v tomto inom členskom štáte, aby ten potvrdil existenciu takéhoto súbežného konania.

4.           Ak sa takéto súbežné konanie v inom členskom štáte týka rovnakého opatrenia, rozhodnutia alebo postupu, súd môže konanie pozastaviť.

5.           Členské štáty zabezpečia, aby súdne prostriedky nápravy, dostupné podľa vnútroštátnych právnych predpisov, umožňovali rýchle prijímanie opatrení vrátane predbežných opatrení určených na ukončenie akéhokoľvek domnelého porušovania predpisov a na predchádzanie ďalšiemu poškodzovaniu príslušných záujmov.

Článok 77 Právo na kompenzáciu a zodpovednosť

1.           Každá osoba, ktorá utrpela škodu v dôsledku nezákonnej operácie spracovania alebo konania nezlučiteľného s týmto nariadením, má nárok na kompenzáciu od prevádzkovateľa alebo sprostredkovateľa za škodu, ktorú utrpela.

2.           Ak je do spracovania zapojený viac než jeden prevádzkovateľ či sprostredkovateľ, je za celú sumu náhrady škody zodpovedný spoločne a nerozdielne každý prevádzkovateľ či sprostredkovateľ.

3.           Prevádzkovateľ či sprostredkovateľ môže byť úplne alebo čiastočne zbavený tejto zodpovednosti, ak poskytne dôkaz o tom, že nenesie zodpovednosť za udalosť, ktorá bola príčinou vzniknutej škody.

Článok 78 Sankcie

1.           Členské štáty stanovia pravidlá pre sankcie uplatniteľné v prípade porušenia ustanovení tohto nariadenia a prijmú všetky potrebné opatrenia na zabezpečenie ich vykonávania, vrátane prípadu, keď prevádzkovateľ nesplnil povinnosť ustanoviť svojho zástupcu. Stanovené sankcie musia byť účinné, primerané a odrádzajúce.

2.           Ak prevádzkovateľ ustanovil svojho zástupcu, všetky prípadné sankcie sa uplatňujú voči zástupcovi bez toho, aby boli dotknuté sankcie, ktoré by mohli byť iniciované proti prevádzkovateľovi.

3.           Do dátumu uvedeného v článku 91 ods. 2 každý členský štát oznámi Komisii ustanovenia svojich právnych predpisov, ktoré prijme podľa odseku 1, a bezodkladne oznámia aj všetky následné zmeny a doplnenia, ktoré ich ovplyvňujú.

Článok 79 Správne sankcie

1.           Každý dozorný orgán má právomoc ukladať správne sankcie v súlade s týmto článkom.

2.           Správna sankcia musí byť účinná, primeraná a odrádzajúca. Výška správnej sankcie sa stanoví s náležitým zohľadnením povahy, závažnosti a dĺžky trvania porušenia, úmyselného alebo nedbanlivostného charakteru porušenia, stupňa zodpovednosti fyzickej alebo právnickej osoby a predchádzajúcich porušení zo strany tejto osoby, technických a organizačných opatrení a postupov zavedených v súlade s článkom 23, ako aj úrovne spolupráce s dozorným orgánom pri náprave porušenia.

3.           V prípade prvého, neúmyselného nedodržania ustanovení tohto nariadenia sa vydá písomné upozornenie a sankcia sa neuloží, ak:

(f) fyzická osoba spracúva osobné údaje bez komerčného záujmu alebo

(g) podnik alebo organizácia zamestnávajúce menej než 250 osôb spracúvajú osobné údaje iba ako vedľajšiu činnosť popri svojej hlavnej činnosti.

4.           Dozorný orgán uloží pokutu až do výšky 250 000 EUR, alebo v prípade podniku až do výšky 0,5 % jeho ročného celosvetového obratu komukoľvek, kto úmyselne alebo z nedbanlivosti:

(h) nezavedie mechanizmy týkajúce sa žiadostí dotknutých osôb alebo neodpovie dotknutým osobám bez zbytočného odkladu, alebo v požadovanom formáte v súlade s článkom 12 ods. 1 a 2;

(i) účtuje poplatok za informácie alebo za poskytnutie odpovedí na žiadosti dotknutých osôb v rozpore s článkom 12 ods. 4.

5.           Dozorný orgán uloží pokutu až do výšky 500 000 EUR, alebo v prípade podniku až do výšky 1 % jeho ročného celosvetového obratu komukoľvek, kto úmyselne alebo z nedbanlivosti:

(j) neposkytne dotknutej osobe informácie, alebo jej poskytne neúplné informácie alebo jej neposkytne informácie dostatočne transparentným spôsobom podľa článku 11, článku 12 ods. 3 a článku 14;

(k) neposkytne prístup dotknutej osobe alebo neopraví osobné údaje podľa článkov 15 a 16 alebo neoznámi príslušné informácie príjemcovi podľa článku 13;

(l) nerešpektuje právo byť zabudnutý alebo právo na vymazanie, alebo nezaviedol mechanizmy na dodržanie časových limitov, alebo nevykonal všetky potrebné kroky na informovanie tretích strán, že dotknutá osoba žiada vymazať akékoľvek odkazy, kópie, alebo replikácie osobných údajov podľa článku 17;

(m) v rozpore s článkom 18 neposkytne kópiu osobných údajov v elektronickom formáte alebo bráni dotknutej osobe preniesť si osobné údaje do inej aplikácie;

(n) neurčil, alebo nedostatočne určil príslušné povinnosti s spoločných prevádzkovateľov podľa článku 24;

(o) neuchováva alebo nedostatočne uchováva dokumentáciu podľa článku 28, článku 31 ods. 4 a článku 44 ods. 3;

(p) v prípadoch, keď nejde o osobitné kategórie údajov, nepostupuje podľa článkov 80, 82 a 83 a pravidiel týkajúcich sa slobody prejavu, pravidiel spracúvania v súvislosti s pracovným pomerom, či podľa podmienok pre spracovanie na historické, štatistické a vedeckovýskumné účely.

6.           Dozorný orgán uloží pokutu až do výšky 1 000 000 EUR, alebo v prípade podniku až do výšky 2 % jeho ročného celosvetového obratu komukoľvek, kto úmyselne alebo z nedbanlivosti:

(q) spracúva osobné údaje bez akéhokoľvek alebo dostatočného právneho základu pre spracovanie, alebo nedodržiava podmienky na udelenie súhlasu podľa článkov 6, 7 a 8;

(r) spracúva osobitné kategórie údajov v rozpore s článkami 9 a 81;

(s) nevyhovie námietke alebo požiadavke podľa článku 19;

(t) nedodržiava podmienky, pokiaľ ide o opatrenia založené na profilovaní podľa článku 20;

(u) neprijme interné pravidlá alebo nezavedie primerané opatrenia na zabezpečenie a preukázanie zhody podľa článkov 22, 23 a 30;

(v) neustanoví svojho zástupcu podľa článku 25;

(w) spracúva alebo nariaďuje spracovanie osobných údajov v rozpore s povinnosťami týkajúcimi sa spracovania v mene prevádzkovateľa podľa článkov 26 a 27;

(x) neupozorní na porušenie ochrany osobných údajov alebo neoznámi porušenie ochrany údajov včas alebo vôbec dozornému orgánu alebo dotknutej osobe podľa článkov 31 a 32;

(y) nevykoná posúdenie vplyvu na ochranu údajov alebo spracúva osobné údaje bez predchádzajúceho povolenia alebo konzultácie vopred zo strany dozorného orgánu podľa článkov 33 a 34;

(z) neurčí úradníka pre ochranu údajov alebo nezabezpečuje podmienky na plnenie úloh podľa článkov 35, 36 a 37;

(aa) zneužíva plombu alebo značku pre potreby ochrany údajov uvedené v článku 39;

(bb) vykonáva alebo nariaďuje prenos údajov do tretej krajiny alebo medzinárodnej organizácii, ktorý nie je povolený na základe rozhodnutia o primeranosti, alebo náležitými zárukami, alebo prostredníctvom odchýlky podľa článkov 40 až 44;

(cc) nesplní príkaz alebo dočasný alebo definitívny zákaz zo strany dozorného orgánu na spracovanie alebo pozastavenie tokov údajov podľa článku 53 ods. 1;

(dd) neplní povinnosť pomáhať alebo odpovedať, či poskytnúť príslušné informácie alebo prístup dozornému orgánu do svojich priestorov v súlade s článkom 28 ods. 3, článkom 29, článkom 34 ods. 6 a článkom 53 ods. 2;

(ee) nedodržiava pravidlá zachovávania služobného tajomstva v zmysle článku 84.

7.           Komisia je splnomocnená prijať delegované akty v súlade s článkom 86 s cieľom aktualizovať sumy správnych sankcií uvedených v odsekoch 4, 5 a 6 so zreteľom na kritériá uvedené v odseku 2.

KAPITOLA IX USTANOVENIA TÝKAJÚCE SA OSOBITNÝCH SITUÁCIÍ SPRACÚVANIA ÚDAJOV

Článok 80 Spracúvanie osobných údajov a sloboda prejavu

1.           Členské štáty stanovia výnimky a odchýlky od ustanovení týkajúcich sa všeobecných zásad v kapitole II, práv dotknutých osôb v kapitole III, prevádzkovateľa a sprostredkovateľa v kapitole IV, prenosu osobných údajov do tretích krajín a medzinárodným organizáciám v kapitole V, nezávislých dozorných orgánov v kapitole VI a spolupráce a konzistentnosti v kapitole VII, platné pre spracúvanie osobných údajov vykonávané výlučne na žurnalistické účely alebo na účely umeleckej alebo literárnej tvorby s cieľom zosúladiť právo na ochranu osobných údajov s pravidlami, ktorými sa riadi sloboda prejavu.

2.           Do dátumu uvedeného v článku 91 ods. 2 každý členský štát oznámi Komisii ustanovenia svojich právnych predpisov, ktoré prijal podľa odseku 1, a bezodkladne oznámi aj všetky následné právne predpisy či zmeny a doplnenia, ktoré ich ovplyvňujú.

Článok 81 Spracúvanie osobných údajov týkajúcich sa zdravia

1.           V medziach tohto nariadenia a v súlade s článkom 9 ods. 2 písm. h) sa spracúvanie osobných údajov týkajúcich sa zdravia musí vykonávať na základe právnych predpisov Únie alebo právnych predpisov členského štátu, zabezpečujúcich vhodné a konkrétne opatrenia na ochranu oprávnených záujmov dotknutej osoby, a musí byť potrebné:

a)      na účely preventívneho alebo pracovného lekárstva, lekárskej diagnostiky, poskytovania starostlivosti alebo terapií, alebo riadenia služieb zdravotnej starostlivosti, a v prípade, že tieto údaje spracúva zdravotnícky odborník, ktorý podlieha povinnosti zachovávať lekárske tajomstvo, alebo iná osoba, ktorá takisto podlieha rovnocennej povinnosti dôvernosti podľa právnych predpisov členského štátu alebo pravidiel ustanovených príslušnými vnútroštátnymi orgánmi, alebo

b)      z dôvodov verejného záujmu v oblasti verejného zdravia, ako je ochrana proti závažným cezhraničným hrozbám pre zdravie alebo zabezpečenie vysokých noriem kvality a bezpečnosti, okrem iného pre lieky a zdravotnícke pomôcky, alebo

c)      z iných dôvodov verejného záujmu v oblastiach, ako je sociálna ochrana, najmä s cieľom zabezpečiť kvalitu a nákladovú efektívnosť postupov používaných na uspokojovanie nárokov na plnenie a služby v systéme zdravotného poistenia.

2.           Spracúvanie osobných údajov týkajúcich sa zdravia, ktoré je potrebné na historické, štatistické alebo vedeckovýskumné účely a medzi ktoré patria registre pacientov vytvorené na zlepšenie diagnostiky a rozlišovanie medzi podobnými typmi chorôb a na prípravu štúdií na liečbu, podlieha podmienkam a zárukám uvedeným v článku 83.

3.           Komisia je splnomocnená prijať delegované akty v súlade s článkom 86 s cieľom bližšie určiť iné dôvody verejného záujmu v oblasti verejného zdravia v zmysle odseku 1 písm. b), ako aj kritériá a požiadavky, pokiaľ ide o záruky pri spracúvaní osobných údajov na účely uvedené v odseku 1.

Článok 82 Spracúvanie v súvislosti so zamestnaním

1.           Členské štáty môžu v medziach tohto nariadenia prijať v zákonnej podobe konkrétne pravidlá upravujúce spracúvanie osobných údajov zamestnancov v súvislosti s pracovným pomerom, najmä na účely prijatia do zamestnania, výkonu pracovnej zmluvy vrátane plnenia zákonných povinností a povinností vyplývajúcich z kolektívnych zmlúv, ďalej na účely riadenia, plánovania a organizácie práce, ochrany zdravia a bezpečnosti pri práci, ako aj na účely uplatňovania a využívania práv a výhod súvisiacich so zamestnaním na individuálnom alebo kolektívnom základe, a na účely ukončenia pracovného pomeru.

2.           Do dátumu uvedeného v článku 91 ods. 2 každý členský štát oznámi Komisii ustanovenia svojich právnych predpisov, ktoré prijme podľa odseku 1, a bezodkladne oznámi aj všetky následné zmeny a doplnenia, ktoré ich ovplyvňujú.

3.           Komisia je splnomocnená prijať delegované akty v súlade s článkom 86 s cieľom bližšie určiť kritériá a požiadavky, pokiaľ ide o záruky vyžadované pri spracúvaní osobných údajov na účely uvedené v odseku 1.

Článok 83 Spracúvanie na historické, štatistické a vedeckovýskumné účely

1.           V medziach tohto nariadenia sa osobné údaje môžu spracúvať na historické, štatistické alebo vedeckovýskumné účely, len ak:

a)      tieto ciele nemožno inak splniť takým spôsobom spracovania údajov, ktorý neumožňuje alebo už ďalej neumožňuje identifikovať dotknutú osobu;

b)      údaje umožňujúce priradenie informácie určenej alebo určiteľnej dotknutej osobe sú uchovávané oddelene od ostatných informácií, pokiaľ predmetné účely možno splniť týmto spôsobom.

2.           Orgány vykonávajúce historický, štatistický alebo vedecký výskum môžu zverejniť alebo inak verejne sprístupniť osobné údaje, len ak:

a)      dotknutá osoba vyjadrila súhlas s výhradou podmienok ustanovených v článku 7;

b)      zverejnenie osobných údajov je potrebné na prezentáciu výsledkov výskumu alebo na uľahčenie výskumu, pokiaľ záujmy alebo základné práva a slobody dotknutej osoby neprevažujú nad týmito záujmami, alebo

c)      dotknutá osoba už tieto údaje zverejnila.

3.           Komisia je splnomocnená prijať delegované akty v súlade s článkom 86 s cieľom bližšie určiť kritériá a požiadavky na spracovanie osobných údajov na účely uvedené v odsekoch 1 a 2, ako aj akékoľvek nevyhnutné obmedzenia práva na informácie a prístupu dotknutej osoby, a podrobne uviesť podmienky a záruky týkajúce sa práv dotknutej osoby za týchto okolností.

Článok 84 Povinnosť zachovávať mlčanlivosť

1.           Členské štáty môžu v medziach tohto nariadenia prijať špecifické pravidlá stanovujúce vyšetrovacie právomoci dozorných orgánov uvedené v článku 53 ods. 2, pokiaľ ide o prevádzkovateľov alebo sprostredkovateľov, ktorí na základe vnútroštátneho práva alebo pravidiel stanovených príslušnými vnútroštátnymi orgánmi podliehajú povinnosti služobného tajomstva alebo inej rovnocennej povinnosti zachovávať mlčanlivosť, ak je to potrebné a primerané na zosúladenie práva na ochranu osobných údajov s povinnosťou zachovávať mlčanlivosť. Tieto pravidlá sa uplatňujú iba na osobné údaje, ktoré prevádzkovateľ alebo sprostredkovateľ dostali alebo získali pri činnosti, na ktorú sa vzťahuje táto povinnosť zachovávať mlčanlivosť.

2.           Do dátumu uvedeného v článku 91 ods. 2 každý členský štát oznámi Komisii pravidlá prijaté podľa odseku 1 a bezodkladne oznámi aj všetky následné zmeny a doplnenia, ktoré ich ovplyvňujú.

Článok 85 Existujúce pravidlá ochrany údajov cirkví a náboženských združení

1.           Ak v čase nadobudnutia platnosti tohto nariadenia cirkvi a náboženské združenia v niektorom členskom štáte uplatňujú komplexné pravidlá ochrany fyzických osôb pri spracúvaní osobných údajov, tieto pravidlá možno aj naďalej uplatňovať za podmienky, že sa zosúladia s ustanoveniami tohto nariadenia.

2.           Cirkvi a náboženské združenia, ktoré uplatňujú komplexné pravidlá v súlade s článkom 1, zabezpečia zriadenie nezávislého dozorného orgánu v súlade s kapitolou VI tohto nariadenia.

KAPITOLA X DELEGOVANÉ AKTY A VYKONÁVACIE AKTY

Článok 86 Výkon delegovaných právomocí

1.           Právomoc prijímať delegované akty sa Komisii udeľuje za podmienok stanovených v tomto článku.

2.           Delegovanie právomoci uvedené v článku 6 ods. 5, článku 8 ods. 3, článku 9 ods. 3, článku 12 ods. 5, článku 14 ods. 7, článku 15 ods. 3, článku 17 ods. 9, článku 20 ods. 6, článku 22 ods. 4, článku 23 ods. 3, článku 26 ods. 5, článku 28 ods. 5, článku 30 ods. 3, článku 31 ods. 5, článku 32 ods. 5, článku 33 ods. 6, článku 34 ods. 8, článku 35 ods. 11, článku 37 ods. 2, článku 39 ods. 2, článku 43 ods. 3, článku 44 ods. 7, článku 79 ods. 6, článku 81 ods. 3, článku 82 ods. 3 a článku 83 ods. 3 sa Komisii udeľuje na dobu neurčitú odo dňa nadobudnutia účinnosti tohto nariadenia.

3.           Delegovanie právomoci uvedené v článku 6 ods. 5, článku 8 ods. 3, článku 9 ods. 3, článku 12 ods. 5, článku 14 ods. 7, článku 15 ods. 3, článku 17 ods. 9, článku 20 ods. 6, článku 22 ods. 4, článku 23 ods. 3, článku 26 ods. 5, článku 28 ods. 5, článku 30 ods. 3, článku 31 ods. 5, článku 32 ods. 5, článku 33 ods. 6, článku 34 ods. 8, článku 35 ods. 11, článku 37 ods. 2, článku 39 ods. 2, článku 43 ods. 3, článku 44 ods. 7, článku 79 ods. 6, článku 81 ods. 3, článku 82 ods. 3 a článku 83 ods. 3 môže Európsky parlament alebo Rada kedykoľvek odvolať. Rozhodnutím o odvolaní sa ukončuje delegovanie právomoci v ňom uvedenej. Rozhodnutie nadobúda účinnosť dňom nasledujúcim po jeho uverejnení v Úradnom vestníku Európskej únie alebo k neskoršiemu dátumu, ktorý je v ňom určený. Nie je ním dotknutá platnosť delegovaných aktov, ktoré už nadobudli účinnosť.

4.           Komisia oznamuje delegovaný akt Európskemu parlamentu a Rade súčasne, a to hneď po jeho prijatí.

5.           Delegovaný akt prijatý podľa článku 6 ods. 5, článku 8 ods. 3, článku 9 ods. 3, článku 12 ods. 5, článku 14 ods. 7, článku 15 ods. 3, článku 17 ods. 9, článku 20 ods. 6, článku 22 ods. 4, článku 23 ods. 3, článku 26 ods. 5, článku 28 ods. 5, článku 30 ods. 3, článku 31 ods. 5, článku 32 ods. 5, článku 33 ods. 6, článku 34 ods. 8, článku 35 ods. 11, článku 37 ods. 2, článku 39 ods. 2, článku 43 ods. 3, článku 44 ods. 7, článku 79 ods. 6, článku 81 ods. 3, článku 82 ods. 3 a článku 83 ods. 3 nadobudne účinnosť, len ak Európsky parlament alebo Rada voči nemu nevzniesli námietku v lehote dvoch mesiacov odo dňa oznámenia uvedeného aktu Európskemu parlamentu a Rade alebo ak Európsky parlament a Rada pred uplynutím uvedenej lehoty informovali Komisiu o svojom rozhodnutí nevzniesť námietku. Na podnet Európskeho parlamentu alebo Rady sa táto lehota predĺži o dva mesiace.

Článok 87 Postup výboru

1.           Komisii pomáha výbor. Tento výbor je výborom v zmysle nariadenia (EÚ) č. 182/2011.

2.           Ak sa odkazuje na tento odsek, uplatňuje sa článok 5 nariadenia (EÚ) č. 182/2011.

3.           Ak sa odkazuje na tento odsek, uplatňuje sa článok 8 nariadenia (EÚ) č. 182/2011 v spojení s jeho článkom 5.

KAPITOLA XI

ZÁVEREČNÉ USTANOVENIA

Článok 88 Zrušenie smernice 95/46/ES

1.           Smernica 95/46/ES sa zrušuje.

2.           Odkazy na zrušenú smernicu sa považujú za odkazy na toto nariadenie. Odkazy na pracovnú skupinu pre ochranu jednotlivcov so zreteľom na spracovanie osobných údajov, ustanovenú článkom 29 smernice 95/46/ES, sa považujú za odkazy na Európsky výbor pre ochranu údajov ustanovený týmto nariadením.

Článok 89 Vzťah k smernici 2002/58/ES a zmeny a doplnenia uvedenej smernice

1.           Toto nariadenie neukladá dodatočné povinnosti fyzickým či právnickým osobám pri spracúvaní osobných údajov v súvislosti s poskytovaním verejne dostupných elektronických komunikačných služieb v Únii, pokiaľ ide o záležitosti, v ktorých podliehajú konkrétnym povinnostiam s rovnakým cieľom, stanoveným v smernici 2002/58/ES.

2            Článok 1 ods. 2 smernice 2002/58/ES sa vypúšťa.

Článok 90 Hodnotenie

Komisia predkladá správy o zhodnotení a preskúmaní tohto nariadenia Európskemu parlamentu a Rade v pravidelných intervaloch. Prvá správa sa predloží najneskôr do štyroch rokov po nadobudnutí účinnosti tohto nariadenia. Následné správy sa potom predkladajú každé štyri roky. Komisia v prípade potreby predloží vhodné návrhy s cieľom zmeniť a doplniť toto nariadenie, a zosúladiť iné právne nástroje, pričom zohľadní najmä vývoj v oblasti informačných technológií a vychádza z aktuálneho stavu pokroku v informačnej spoločnosti. Tieto správy sa zverejnia.

Článok 91 Nadobudnutie účinnosti a uplatňovanie

1.           Toto nariadenie nadobúda účinnosť dvadsiatym dňom po jeho uverejnení v Úradnom vestníku Európskej únie.

2.           Uplatňuje sa od [dva roky od dátumu uvedeného v odseku 1].

Toto nariadenie je záväzné v celom rozsahu a priamo uplatniteľné vo všetkých členských štátoch.

V Bruseli 25. 1. 2012

Za Európsky parlament                                 Za Radu

predseda                                                        predseda

LEGISLATÍVNY FINANČNÝ VÝKAZ

1.           RÁMEC NÁVRHU/INICIATÍVY

              1.1.    Názov návrhu/iniciatívy

              1.2.    Príslušné oblasti politiky v rámci ABM/ABB

              1.3.    Druh návrhu/iniciatívy

              1.4.    Ciele

              1.5.    Dôvody návrhu/iniciatívy

              1.6.    Trvanie akcie a jej finančného vplyvu

              1.7.    Plánovaný spôsob hospodárenia

2.           OPATRENIA V OBLASTI RIADENIA

              2.1.    Opatrenia týkajúce sa kontroly a predkladania správ

              2.2.    Systémy riadenia a kontroly

              2.3.    Opatrenia na predchádzanie podvodom a nezrovnalostiam

3.           ODHADOVANÝ FINANČNÝ VPLYV NÁVRHU/INICIATÍVY

              3.1.    Príslušné okruhy viacročného finančného rámca a rozpočtové riadky výdavkov

              3.2.    Odhadovaný vplyv na výdavky

              3.2.1. Zhrnutie odhadovaného vplyvu na výdavky

              3.2.2. Odhadovaný vplyv na operačné rozpočtové prostriedky

              3.2.3. Odhadovaný vplyv na administratívne rozpočtové prostriedky

              3.2.4. Súlad s platným viacročným finančným rámcom

              3.2.5. Účasť tretích strán na financovaní

              3.3.    Odhadovaný vplyv na príjmy

LEGISLATÍVNY FINANČNÝ VÝKAZ

1. RÁMEC NÁVRHU/INICIATÍVY

V tomto finančnom výkaze sú podrobnejšie rozvedené požiadavky na administratívne výdavky s cieľom uskutočniť reformu ochrany údajov, ako je to uvedené v príslušnom posúdení vplyvu. Reforma zahŕňa dva legislatívne návrhy, všeobecné nariadenie o ochrane údajov a smernicu o ochrane fyzických osôb pri spracúvaní osobných údajov príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií. Tento finančný výkaz sa vzťahuje na vplyv obidvoch nástrojov na rozpočet.

Podľa rozdelenia úloh potrebuje Komisia a európsky dozorný úradník pre ochranu údajov (EDPS) zdroje na ich realizáciu.

Pokiaľ ide o Komisiu, potrebné zdroje už boli zahrnuté do navrhnutého finančného výhľadu na roky 2014 – 2020. Ochrana údajov je jedným z cieľov programu Práva a občianstvo, ktorý takisto podporí opatrenia na zavedenie právneho rámca do praxe. Do administratívneho rozpočtu GR JUST boli zahrnuté aj administratívne rozpočtové prostriedky vrátane výdavkov na zamestnancov.

Pokiaľ ide o EDPS, potrebné zdroje bude treba zohľadniť v príslušných ročných rozpočtoch EDPS. Podrobnosti k zdrojom sú uvedené v prílohe k tomuto finančnému výkazu. Bude potrebné preprogramovať okruh 5 finančného výhľadu na roky 2014 – 2020 s cieľom vyčleniť zdroje potrebné na plnenie nových úloh Európskeho výboru pre ochranu údajov, pre ktorý bude EDPS plniť úlohu sekretariátu.

1.1. Názov návrhu/iniciatívy

Návrh nariadenia Európskeho parlamentu a Rady o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov (všeobecné nariadenie o ochrane údajov).

Návrh smernice Európskeho parlamentu a Rady o ochrane fyzických osôb pri spracúvaní osobných údajov príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií a o voľnom pohybe takýchto údajov.

1.2. Príslušné oblasti politiky v rámci ABM/ABB[49]

Spravodlivosť – Ochrana osobných údajov

Vplyv na rozpočet sa dotýka Komisie a EDPS. Vplyv na rozpočet Komisie je podrobne opísaný v tabuľkách tohto finančného výkazu. Operačné výdavky sú súčasťou programu Práva a občianstvo a boli zohľadnené už vo finančnom výkaze tohto programu, keďže administratívne výdavky patria do balíka pre GR Justice. Prvky týkajúce sa EDPS sú vysvetlené v prílohe.

1.3. Druh návrhu/iniciatívy

¨ Návrh/iniciatíva sa týka novej akcie

¨ Návrh/iniciatíva sa týka novej akcie, ktorá nadväzuje na pilotný projekt/prípravnú akciu[50]

þ Návrh/iniciatíva sa týka predĺženia trvania existujúcej akcie

¨ Návrh/iniciatíva sa týka akcie presmerovanej na novú akciu

1.4. Ciele 1.4.1. Viacročné strategické ciele Komisie, ktoré sú predmetom návrhu/iniciatívy

Cieľom reformy je zavŕšiť splnenie pôvodných cieľov pri zohľadnení novej situácie a výziev, t. j.:

– zvýšenie účinnosti základného práva na ochranu údajov a umožnenie fyzickým osobám, aby mali kontrolu nad vlastnými údajmi, najmä vzhľadom na technologický vývoj a zvýšenú globalizáciu,

– posilnenie dimenzie vnútorného trhu v oblasti ochrany údajov znížením úrovne rozdielnosti právnych úprav, posilnením konzistencie a zjednodušením regulačného prostredia, čim sa znížia zbytočné náklady a administratívna záťaž.

Okrem toho ponúka nadobudnutie platnosti Lisabonskej zmluvy – najmä zavedenie nového právneho základu (článku 16 ZFEÚ) – možnosť dosiahnuť nový cieľ, t. j.

– zaviesť komplexný rámec ochrany údajov, ktorý by sa vzťahoval na všetky oblasti.

1.4.2. Konkrétne ciele a príslušné činnosti v rámci ABM/ABB

Konkrétny cieľ č. 1

Zabezpečiť konzistentné uplatňovanie pravidiel ochrany údajov

Konkrétny cieľ č. 2

Racionalizovať súčasný systém riadenia s cieľom pomôcť zabezpečiť konzistentné uplatňovanie

Príslušné činnosti v rámci ABM/ABB

[…]

1.4.3. Očakávané výsledky a vplyv

Uveďte, aký vplyv by mal mať návrh/iniciatíva na príjemcov/cieľové skupiny.

Pokiaľ ide o prevádzkovateľov, verejné aj súkromné subjekty budú mať vďaka harmonizovaným a jasným pravidlám ochrany údajov v EÚ väčšiu právnu istotu, vytvoria sa rovnaké podmienky a zabezpečí konzistentnosť uplatňovania pravidiel ochrany údajov, pričom sa zároveň zníži administratívne zaťaženie.

Fyzické osoby budú mať lepšiu kontrolu nad svojimi osobnými údajmi, väčšiu dôveru v digitálne prostredie a budú chránené aj vtedy, ak ich osobné údaje budú spracúvané v zahraničí. Pozitívom pre nich bude aj posilnenie zodpovednosti tých, ktorí osobné údaje spracúvajú.

Komplexný systém ochrany údajov sa bude vzťahovať aj na oblasti politiky a spravodlivosti vrátane a nad rámec bývalého 3. piliera.

1.4.4. Ukazovatele výsledkov a vplyvu

Uveďte ukazovatele, pomocou ktorých je možné sledovať uskutočňovanie návrhu/iniciatívy.

(pozri posúdenie vplyvu, oddiel 8)

Ukazovatele by sa mali posudzovať pravidelne a mali by zahŕňať tieto prvky:

•        čas a náklady vynaložené zo strany prevádzkovateľa údajov pri dodržiavaní právnych predpisov „v iných členských štátoch“,

•        zdroje pridelené orgánom pre ochranu údajov,

•        úradníkov pre ochranu údajov vo verejných a súkromných organizáciách,

•        využitie posúdení vplyvu na ochranu údajov,

•        počet sťažností podaných zo strany dotknutých osôb a kompenzácie, ktoré dostali,

•        počet prípadov, ktoré viedli k trestnému stíhaniu prevádzkovateľov údajov,

•        pokuty uložené prevádzkovateľom údajov zodpovedným za porušenie ochrany údajov.

1.5. Dôvody návrhu/iniciatívy 1.5.1. Potreby, ktoré sa majú uspokojiť v krátkodobom alebo dlhodobom horizonte

Súčasné rozdiely vo vykonávaní, výklade a uplatňovaní smernice členskými štátmi obmedzuje fungovanie vnútorného trhu a spoluprácu medzi verejnými orgánmi vo vzťahu k politikám EÚ. To je v rozpore so základným cieľom smernice o zjednodušení voľného toku osobných údajov na vnútornom trhu. Rýchly rozvoj nových technológií a globalizácia ďalej prehlbujú tento problém.

Fyzické osoby majú rozdielne práva v oblasti ochrany údajov, čo je dôsledkom rozdielnosti právnych úprav a ich nekonzistentným vykonávaním a uplatňovaním zo strany rôznych členských štátov. Okrem toho fyzické osoby často ani nie sú informované o tom, a čo sa deje s ich osobnými údajmi a ani nad nimi nemajú kontrolu, preto nemôžu účinne uplatniť svoje práva.

1.5.2. Prínos zapojenia Európskej únie

Členské štáty nemôžu súčasné problémy vyriešiť samotné. Platí to najmä v prípade tých problémov, ktoré sú dôsledkom rozdielnosti vnútroštátnych právnych predpisov, ktorými sa implementuje regulačný rámec EÚ v oblasti ochrany údajov. Je tu preto dostatočný dôvod pre zavedenie právneho rámca pre ochranu údajov na úrovni EÚ. Existuje osobitná potreba zaviesť harmonizovaný a ucelený rámec umožňujúci bezproblémové prenášanie osobných údajov cez hranice v rámci EÚ pri súčasnom zabezpečení účinnej ochrany pre všetky fyzické osoby v rámci EÚ.

1.5.3. Poznatky získané z podobných skúseností v minulosti

Tento návrh vychádza zo skúseností so smernicou 95/46/ES a z problémov spôsobených v dôsledku rozdielnosti v transponovaní a vykonávaní tejto smernice, čo bolo dôvodom, pre ktorý nebolo možné dosiahnuť obidva jej ciele – t. j. dosiahnuť vysokú úroveň ochrany údajov a vytvoriť jednotný trh pre ochranu údajov.

1.5.4. Zlučiteľnosť a možná synergia s inými finančnými nástrojmi

Cieľom súčasného balíka reformy ochrany údajov je vybudovať silný, konzistentný a moderný rámec ochrany údajov, ktorý bude technologicky neutrálny a bude platný pre nasledujúce desaťročia. Bude mať pozitívny dosah na fyzické osoby – posilní ich práva v oblasti ochrany údajov, najmä v digitálnom prostredí a zjednoduší právne prostredie pre podniky a verejnoprávny sektor, čím bude stimulovať rozvoj digitálnej ekonomiky na vnútornom trhu EÚ a mimo neho v súlade s cieľmi stratégie Európa 2020.

Hlavný obsah balíka reformy ochrany údajov:

–        nariadenie, ktoré nahrádza smernicu 95/46/ES,

–        smernica o ochrane fyzických osôb pri spracúvaní osobných údajov príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií a o voľnom pohybe takýchto údajov.

Tieto legislatívne návrhy sprevádza správa o vykonávaní rámcového rozhodnutia 2008/911/SVV zo strany členských štátov, ktoré je v súčasnosti hlavným nástrojom ochrany údajov v EÚ v oblasti policajnej a justičnej spolupráce v trestných veciach.

1.6. Trvanie akcie a jej finančného vplyvu

¨ Návrh/iniciatíva s obmedzeným trvaním

1. ¨  Návrh/iniciatíva sú v platnosti od [DD/MM]RRRR do [DD/MM]RRRR.

2. ¨  Finančný vplyv trvá od RRRR do RRRR.

þ Návrh/iniciatíva s neobmedzeným trvaním

1. Počiatočná fáza vykonávania bude trvať od roku 2014 do roku 2016,

2. a potom bude vykonávanie postupovať v plnom rozsahu.

1.7. Plánovaný spôsob hospodárenia[51]

þ Priame centralizované hospodárenie na úrovni Komisie

¨ Nepriame centralizované hospodárenie s delegovaním úloh súvisiacich s plnením rozpočtu na:

3. ¨  výkonné agentúry

4. ¨  subjekty zriadené spoločenstvami[52]

5. ¨  národné verejnoprávne subjekty/subjekty poverené vykonávaním verejnej služby

3. ¨  osoby poverené realizáciou osobitných akcií podľa hlavy V Zmluvy o Európskej únii a určené v príslušnom základnom akte v zmysle článku 49 nariadenia o rozpočtových pravidlách

¨ Zdieľané hospodárenie s členskými štátmi

¨ Decentralizované hospodárenie s tretími krajinami

¨ Spoločné hospodárenie s medzinárodnými organizáciami (uveďte)

V prípade viacerých spôsobov hospodárenia uveďte v oddiele „Poznámky“ presnejšie vysvetlenie.

Poznámky:

//

2. OPATRENIA V OBLASTI RIADENIA 2.1. Opatrenia týkajúce sa kontroly a predkladania správ

Uveďte časový interval a podmienky, ktoré sa vzťahujú na tieto opatrenia.

Prvé hodnotenie sa vykoná 4 roky po nadobudnutí účinnosti právnych nástrojov. V právnych nástrojoch je uvedené osobitné ustanovenie o preskúmaní, na základe ktorého Komisia vyhodnotí vykonávanie. Komisia potom predloží správu o hodnotení Európskemu parlamentu a Rade. Ďalšie hodnotenia sa budú vykonávať každé štyri roky. Použije sa metodika Komisie pre vykonávanie hodnotení. Tieto hodnotenia sa budú realizovať za pomoci cielených štúdií o vykonávaní právnych nástrojov, dotazníkov pre národné orgány pre ochranu údajov, odborných diskusií, workshopov, prieskumov Eurobarometer atď.

2.2. Systémy riadenia a kontroly 2.2.1. Zistené riziká

Pri reforme rámca ochrany údajov v EÚ bolo vykonané posúdenie vplyvu, ktoré je pripojené k návrhom nariadení a smernice.

Nový právny nástroj zavedie mechanizmus konzistentnosti, ktorým sa zabezpečí, aby nezávislé dozorné orgány v členských štátoch uplatňovali rámec konzistentne a súdržne. Mechanizmus bude fungovať prostredníctvom Európskeho výboru pre ochranu údajov, ktorý budú tvoriť vedúci predstavitelia národných dozorných orgánov a európsky dozorný úradník pre ochranu údajov (EDPS), pričom výbor nahradí súčasnú pracovnú skupinu zriadenú podľa článku 29. Európsky dozorný úradník pre ochranu údajov bude pre tento subjekt vykonávať funkciu sekretariátu.

V prípade možných rozdielnych rozhodnutí zo strany orgánov členských štátov sa bude konzultovať s Európskym výborom pre ochranu údajov, aby vydal stanovisko k veci. Ak tento postup neposkytne riešenie alebo ak sa dozorný orgán odmietne podrobiť stanovisku, Komisia by mohla na účely zabezpečenia správneho a konzistentného uplatňovania tohto nariadenia vydať stanovisko, prípadne prijať rozhodnutie, ak má závažné pochybnosti o tom, či navrhované opatrenie zabezpečí správne uplatňovanie tohto nariadenia, alebo ak sa domnieva, že môže mať za následok jeho nekonzistentné uplatňovanie.

Mechanizmus konzistentnosti si vyžaduje ďalšie zdroje pre EDPS (12 jednotiek ekvivalentu plného pracovného času a primerané administratívne a operačné rozpočtové prostriedky, napr. na IT systémy a operácie), aby mohol fungovať ako sekretariát, a pre Komisiu (5 jednotiek ekvivalentu plného pracovného času a operačné rozpočtové prostriedky), aby sa mohla venovať prípadom týkajúcim sa konzistentnosti.

2.2.2. Plánované metódy kontroly

Pri dodatočných rozpočtových prostriedkoch sa budú uplatňovať existujúce kontrolné metódy EDPS a Komisie.

2.3. Opatrenia na predchádzanie podvodom a nezrovnalostiam

Uveďte existujúce a plánované opatrenia na predchádzanie podvodom a nezrovnalostiam a existujúce a plánované opatrenia ochrany pred podvodmi a nezrovnalosťami.

Pri dodatočných rozpočtových prostriedkoch sa budú uplatňovať existujúce opatrenia na predchádzanie podvodom uplatňované EDPS a Komisiou.

3. ODHADOVANÝ FINANČNÝ VPLYV NÁVRHU/INICIATÍVY 3.1. Príslušné okruhy viacročného finančného rámca a rozpočtové riadky výdavkov

1. Existujúce rozpočtové riadky

V poradí, v akom za sebou nasledujú okruhy viacročného finančného rámca a rozpočtové riadky.

Okruh viacročného finančného rámca || Rozpočtový riadok || Druh  výdavkov || Príspevky

Číslo [Názov………………………...……….] || DRP/NRP ([53]) || krajín EZVO[54] || kandidátskych krajín[55] || tretích krajín || v zmysle článku 18 ods. 1 písm. aa) nariadenia o rozpočtových pravidlách

|| || || || || ||

3.2. Odhadovaný vplyv na výdavky 3.2.1. Zhrnutie odhadovaného vplyvu na výdavky

v mil. EUR (zaokrúhlené na 3 desatinné miesta)

Okruh viacročného finančného rámca: || Číslo ||

|| || || Rok N[56]= 2014 || Rok N+1 || Rok N+2 || Rok N+3 || … uveďte všetky roky, počas ktorých vplyv trvá (pozri bod 1.6) || SPOLU

Ÿ Operačné rozpočtové prostriedky || || || || || || || ||

Číslo rozpočtového riadka || Záväzky || (1) || || || || || || || ||

Platby || (2) || || || || || || || ||

Číslo rozpočtového riadka || Záväzky || (1a) || || || || || || || ||

Platby || (2a) || || || || || || || ||

Administratívne rozpočtové prostriedky financované  z balíka prostriedkov určených na realizáciu špecifických programov[57] || || || || || || || ||

Číslo rozpočtového riadka || || (3) || || || || || || || ||

Rozpočtové prostriedky pre GR SPOLU || Záväzky || =1+1a +3 || || || || || || || ||

Platby || =2+2a+3 || || || || || || || ||

Ÿ Operačné rozpočtové prostriedky SPOLU || Záväzky || (4) || || || || || || || ||

Platby || (5) || || || || || || || ||

Ÿ Administratívne rozpočtové prostriedky financované z balíka prostriedkov určených na realizáciu špecifických programov SPOLU || (6) || || || || || || || ||

Rozpočtové prostriedky OKRUHU 3 viacročného finančného rámca SPOLU || Záväzky || =4+ 6 || || || || || || || ||

Platby || =5+ 6 || || || || || || || ||

Ak má návrh/iniciatíva vplyv na viaceré okruhy:

Ÿ Operačné rozpočtové prostriedky SPOLU || Záväzky || (4) || || || || || || || ||

Platby || (5) || || || || || || || ||

Ÿ Administratívne rozpočtové prostriedky financované z balíka prostriedkov určených na realizáciu špecifických programov SPOLU || (6) || || || || || || || ||

Rozpočtové prostriedky OKRUHU 1 až 4 viacročného finančného rámca SPOLU (referenčná suma) || Záväzky || =4+ 6 || || || || || || || ||

Platby || =5+ 6 || || || || || || || ||

Okruh viacročného finančného rámca: || 5 || „Administratívne výdavky“

v mil. EUR (zaokrúhlené na 3 desatinné miesta)

|| || || Rok N= 2014 || Rok 2015 || Rok 2016 || Rok 2017 || Rok 2018 || Rok 2019 || Rok 2020 || SPOLU

GR: JUST ||

Ÿ Ľudské zdroje || || 2.922 || 2.922 || 2.922 || 2.922 || 2.922 || 2.922 || 2.922 || 20.454

Ÿ Ostatné administratívne výdavky || || 0.555 || 0.555 || 0.555 || 0.555 || 0.555 || 0.555 || 0.555 || 3.885

GR JUST SPOLU || || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 24.339

Rozpočtové prostriedky OKRUHU 5 viacročného finančného rámca SPOLU || (Záväzky spolu = Platby spolu) || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 24.339

v mil. EUR (zaokrúhlené na 3 desatinné miesta)

|| || || Rok N [58] || Rok N+1 || Rok N+2 || Rok N+3 || … uveďte všetky roky, počas ktorých vplyv trvá (pozri bod 1.6) || SPOLU

Rozpočtové prostriedky OKRUHU 1 až 5 viacročného finančného rámca SPOLU || Záväzky || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 24.339

Platby || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 24.339

3.2.2. Odhadovaný vplyv na operačné rozpočtové prostriedky

6. þ  Návrh/iniciatíva si nevyžaduje použitie operačných rozpočtových prostriedkov.

Vysoká úroveň ochrany osobných údajov je takisto jedným z cieľov programu Práva a občianstvo.

7. ¨  Návrh/iniciatíva si vyžaduje použitie operačných rozpočtových prostriedkov, ako je uvedené v nasledujúcej tabuľke:

viazané rozpočtové prostriedky v mil. EUR (zaokrúhlené na 3 desatinné miesta)

Uveďte ciele a výstupy ò || || || Rok N=2014 || Rok N+1 || Rok N+2 || Rok N+3 || … uveďte všetky roky, počas ktorých vplyv trvá (pozri bod 1.6) || SPOLU

VÝSTUPY

Druh[59] || Priemerné náklady || Počet výstupov || Náklady || Počet výstupov || Náklady || Počet výstupov || Náklady || Počet výstupov || Náklady || Počet výstupov || Náklady || Počet výstupov || Náklady || Počet výstupov || Náklady || Počet výstupov spolu || Náklady spolu

KONKRÉTNY CIEĽ č. 1 ||

- Výstup || Súbory[60] || || || || || || || || || || || || || || || || ||

Konkrétny cieľ č. 1 medzisúčet || || || || || || || || || || || || || || || ||

KONKRÉTNY CIEĽ č. 2 ||

- Výstup || Prípady[61] || || || || || || || || || || || || || || || || ||

Konkrétny cieľ č. 2 medzisúčet || || || || || || || || || || || || || || || ||

NÁKLADY SPOLU || || || || || || || || || || || || || || || ||

3.2.3. Odhadovaný vplyv na administratívne rozpočtové prostriedky 3.2.3.1. Zhrnutie

8. ¨  Návrh/iniciatíva si nevyžaduje použitie administratívnych rozpočtových prostriedkov.

9. þ  Návrh/iniciatíva si vyžaduje použitie administratívnych rozpočtových prostriedkov, ako je uvedené v nasledujúcej tabuľke:

v mil. EUR (zaokrúhlené na 3 desatinné miesta)

|| Rok N [62] 2014 || Rok 2015 || Rok 2016 || Rok 2017 || Rok 2018 || Rok 2019 || Rok 2020 || SPOLU

OKRUH 5 viacročného finančného rámca || || || || || || || ||

Ľudské zdroje || 2.922 || 2.922 || 2.922 || 2.922 || 2.922 || 2.922 || 2.922 || 20.454

Ostatné administratívne výdavky || 0.555 || 0.555 || 0.555 || 0.555 || 0.555 || 0.555 || 0.555 || 3.885

OKRUH 5 viacročného finančného rámca medzisúčet || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 24.339

Mimo OKRUHU 5[63] viacročného finančného rámca || || || || || || || ||

Ľudské zdroje || || || || || || || ||

Ostatné administratívne výdavky || || || || || || || ||

Mimo OKRUH 5 viacročného finančného rámca medzisúčet || || || || || || || ||

SPOLU || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 24.339

3.2.3.2.  Odhadované potreby ľudských zdrojov

10. ¨         Návrh/iniciatíva si nevyžaduje použitie ľudských zdrojov.

11. þ         Návrh/iniciatíva si vyžaduje použitie ľudských zdrojov, ako je uvedené v nasledujúcej tabuľke:

odhady vyjadrené v ekvivalente plného pracovného času sa zaokrúhľujú na celé čísla (alebo najviac na jedno desatinné miesto)

|| Rok 2014 || Rok 2015 || Rok 2016 || Rok 2017 || Rok 2018 || Rok 2019 || Rok 2020

Ÿ Plán pracovných miest (úradníci a dočasní zamestnanci)

XX 01 01 01 (sídlo a zastúpenia Komisie) || 22 || 22 || 22 || 22 || 22 || 22 || 22

XX 01 01 02 (delegácie) || || || || || || ||

Ÿ Externí zamestnanci (ekvivalent plného pracovného času)[64]

XX 01 02 01 (ZZ, PADZ, VNE, z celkového finančného krytia) || 2 || 2 || 2 || 2 || 2 || 2 || 2

XX 01 02 02 (ZZ, PADZ, PED, MZ a VNE v delegáciách) || || || || || || ||

XX 01 04 yy[65] || - ústredie[66] || || || || || || ||

- delegácie || || || || || || ||

XX 01 05 02 (ZZ, PADZ, VNE – nepriamy výskum) || || || || || || ||

10 01 05 02 (ZZ, PADZ, VNE – priamy výskum) || || || || || || ||

Iné rozpočtové riadky (uveďte) || || || || || || ||

SPOLU || 24 || 24 || 24 || 24 || 24 || 24 || 24

XX predstavuje príslušnú oblasť politiky alebo rozpočtovú hlavu.

Po reforme bude musieť Komisia vykonávať okrem úloh, ktoré už vykonáva, aj nové úlohy v oblasti ochrany fyzických osôb, pokiaľ ide o spracovávanie osobných údajov. Ďalšie úlohy sa týkajú najmä implementácie nového mechanizmu konzistentnosti, ktorý zabezpečí koherentné uplatňovanie harmonizovaných právnych predpisov z oblasti ochrany údajov, posúdenia primeranosti ochrany v tretích krajinách, za ktoré bude zodpovedať výlučne Komisia, a prípravy vykonávacích opatrení a delegovaných aktov. Ostatné úlohy, ktoré v súčasnosti vykonáva Komisia (napr. vývoj politiky, monitorovanie transpozície, zvyšovanie informovanosti, sťažnosti atď.), bude vykonávať aj naďalej.

Potreby ľudských zdrojov budú pokryté úradníkmi GR, ktorí už boli pridelení na riadenie akcie a/alebo boli interne prerozdelení v rámci GR, a v prípade potreby budú doplnené zdrojmi, ktoré sa môžu prideliť riadiacemu GR v rámci ročného postupu prideľovania zdrojov v závislosti od rozpočtových obmedzení.

Opis úloh, ktoré sa majú vykonať:

Úradníci a dočasní zamestnanci || Osoby zodpovedné za vybavovanie prípadov, ktoré budú mať na starosti mechanizmus konzistentnosti ochrany údajov na zabezpečenie jednotného uplatňovania pravidiel ochrany údajov v EÚ. Medzi úlohy patrí vyšetrovanie a skúmanie prípadov predložených na rozhodnutie orgánmi členských štátov, rokovanie s členskými štátmi a príprava rozhodnutí Komisie. Na základe nedávno nadobudnutých skúseností 5 až 10 prípadov ročne si môže vyžiadať použitie mechanizmu konzistentnosti. Vybavovanie žiadostí týkajúcich sa primeranosti si vyžaduje priamu spoluprácu s žiadajúcou krajinou, prípadne aj vypracovávanie odborných štúdií o podmienkach v krajine, posúdenie podmienok, prípravu príslušných rozhodnutí a postupov Komisie a výboru pomáhajúceho Komisii a v prípade potreby aj skupín odborníkov. Podľa súčasných skúseností možno ročne očakávať asi 4 žiadosti týkajúce sa primeranosti. Proces prijímania vykonávacích opatrení zahŕňa prípravné opatrenia, ako sú správy, výskumy a verejné konzultácie, ďalej proces prípravy návrhu samotného nástroja a vedenie rokovaní v príslušných výboroch a ostatných skupinách, ako aj kontakty so zainteresovanými stranami vo všeobecnosti. V oblastiach, ktoré si vyžadujú presnejšie usmernenie, môžu byť ročne prijaté až tri vykonávacie opatrenia, pričom tento proces môže trvať až 24 mesiacov v závislosti od intenzity konzultácií.

Externí zamestnanci || Administratívna podpora a služby sekretariátu

3.2.4. Súlad s platným viacročným finančným rámcom

12. ¨         Návrh/iniciatíva je v súlade s ďalším viacročným finančným rámcom.

13. þ         Návrh/iniciatíva si vyžaduje zmenu v plánovaní príslušného okruhu vo viacročnom finančnom rámci.

V nasledujúcej tabuľke sú uvedené sumy finančných zdrojov, ktoré nad rámec prostriedkov už uvedených pláne EDPS ročne potrebuje na plnenie svojich nových úloh týkajúcich sa poskytovania služieb sekretariátu Európskemu výboru pre ochranu údajov a súvisiacich postupov a nástrojov počas obdobia nasledujúceho finančného výhľadu.

Rok || 2014 || 2015 || 2016 || 2017 || 2018 || 2019 || 2020 || Spolu

Zamestnanci atď. || 1.555 || 1.555 || 1.543 || 1.543 || 1.543 || 1.543 || 1.543 || 10.823

Operácie || 0.850 || 1.500 || 1.900 || 1.900 || 1.500 || 1.200 || 1.400 || 10.250

Spolu || 2.405 || 3.055 || 3.443 || 3.443 || 3.043 || 2.743 || 2.943 || 21.073

14. ¨         Návrh/iniciatíva si vyžaduje, aby sa použil nástroj flexibility alebo aby sa uskutočnila revízia viacročného finančného rámca[67].

3.2.5. Účasť tretích strán na financovaní

15. þNávrh/iniciatíva nebude zahŕňať spolufinancovanie tretími stranami.

16. ¨Návrh/iniciatíva bude zahŕňať spolufinancovanie tretími stranami, ako je uvedené v nasledujúcej tabuľke:

rozpočtové prostriedky v mil. EUR zaokrúhlené na 3 desatinné miesta)

|| Rok N || Rok N+1 || Rok N+2 || Rok N+3 || … uveďte všetky roky, počas ktorých vplyv trvá (pozri bod 1.6) || Spolu

Uveďte spolufinancujúci subjekt || || || || || || || ||

Spolufinancované prostriedky SPOLU || || || || || || || ||

3.3. Odhadovaný vplyv na príjmy

17. þ         Návrh/iniciatíva nemá finančný vplyv na príjmy.

18. ¨         Návrh/iniciatíva má finančný vplyv na príjmy, ako je uvedené v nasledujúcej tabuľke:

· ¨         vplyv na vlastné zdroje

· ¨         vplyv na rôzne príjmy

v mil. EUR (zaokrúhlené na 3 desatinné miesta)

Rozpočtový riadok príjmov: || Rozpočtové prostriedky k dispozícii v prebiehajúcom rozpočtovom roku || Vplyv návrhu/iniciatívy[68]

Rok N || Rok N+1 || Rok N+2 || Rok N+3 || … uveďte všetky roky, počas ktorých vplyv trvá (pozri bod 1.6)

|| || || || || || || ||

V prípade rôznych pripísaných príjmov, na ktoré bude mať návrh/iniciatíva vplyv, uveďte príslušné rozpočtové riadky výdavkov.

Uveďte spôsob výpočtu vplyvu na príjmy.

Príloha k legislatívnemu finančnému výkazu pre návrh nariadenia Európskeho parlamentu a Rady o ochrane fyzických osôb pri spracúvaní osobných údajov.

Použitá metodika a hlavné východiskové predpoklady

Náklady súvisiace s novými úlohami vykonávanými európskym dozorným úradníkom pre ochranu údajov (EDPS) vyplývajúce z dvoch návrhov a súvisiace výdavky na zamestnancov boli odhadnuté na základe nákladov, ktoré Komisia vynakladá v súčasnosti na plnenie podobných úloh.

EDPS bude zabezpečovať služby sekretariátu pre Európsky výbor pre ochranu údajov, ktorý nahradí pracovnú skupinu zriadenú podľa článku 29. Podľa súčasného pracovného vyťaženia Komisie v súvislosti s touto úlohou tak vzniká potreba ďalších 3 ekvivalentov plného pracovného času (FTE), ako aj potreba príslušných administratívnych a operačných prostriedkov. Tieto úlohy sa začnú plniť od chvíle nadobudnutia účinnosti nariadenia.

EDPS okrem toho bude zohrávať úlohu aj v rámci mechanizmu konzistentnosti. V tejto súvislosti sa očakáva, že bude potrebných 5 FTE. Ďalej bude zohrávať úlohu pri vývoji a prevádzke IT nástroja pre národné orgány pre ochranu údajov, čo si vyžiada ďalších dvoch zamestnancov.

Metóda výpočtu zvýšenia požadovaného rozpočtu na zamestnancov na nasledujúcich sedem rokov sa podrobnejšie uvádza v tabuľke. V ďalšej tabuľke je uvedený požadovaný operačný rozpočet. V rozpočte EÚ bude uvedený v oddiele IX EDPS.

Typ nákladov || Výpočet || Suma (v tis.)

2014 || 2015 || 2016 || 2017 || 2018 || 2019 || 2020 || Spolu

Platy a dávky || || || || || || || || ||

– predsedu Európskeho výboru pre ochranu údajov || || 0.300 || 0.300 || 0.300 || 0.300 || 0.300 || 0.300 || 0.300 || 2.100

– z toho na úradníkov a dočasných zamestnancov || =7*0.127 || 0.889 || 0.889 || 0.889 || 0.889 || 0.889 || 0.889 || 0.889 || 6.223

– z toho na vyslaných národných expertov || =1*0.073 || 0.073 || 0.073 || 0.073 || 0.073 || 0.073 || 0.073 || 0.073 || 0.511

– z toho na zmluvných zamestnancov || =2*0.064 || 0.128 || 0.128 || 0.128 || 0.128 || 0.128 || 0.128 || 0.128 || 0.896

Výdavky spojené s prijímaním zamestnancov || =10*0.005 || 0.025 || 0.025 || 0.013 || 0.013 || 0.013 || 0.013 || 0.013 || 0.113

Výdavky na služobné cesty || || 0.090 || 0.090 || 0.090 || 0.090 || 0.090 || 0.090 || 0.090 || 0.630

Iné výdavky, vzdelávanie || =10*0.005 || 0.050 || 0.050 || 0.050 || 0.050 || 0.050 || 0.050 || 0.050 || 0.350

Administratívne výdavky spolu || || 1.555 || 1.555 || 1.543 || 1.543 || 1.543 || 1.543 || 1.543 || 10.823

Opis úloh, ktoré sa majú plniť:

Úradníci a dočasní zamestnanci || Referenti zodpovední za chod sekretariátu Výboru pre ochranu údajov. Okrem logistickej podpory vrátane rozpočtových a zmluvných otázok sem patrí aj príprava agendy pre zasadnutia a prizvanie odborníkov, skúmanie v oblastiach súvisiacich s agendou skupiny, správa dokumentov týkajúcich sa práce skupiny vrátane požiadaviek týkajúcich sa ochrany údajov, dôvernosti a prístupu verejnosti. Pri zahrnutí všetkých podskupín a skupín odborníkov môže byť každoročne zorganizovaných až 50 zasadnutí a konaní na účely prijatia rozhodnutia. Osoby zodpovedné za vybavovanie prípadov, ktoré budú mať na starosti mechanizmus konzistentnosti ochrany údajov na zabezpečenie jednotného uplatňovania pravidiel ochrany údajov v EÚ. Medzi úlohy patrí vyšetrovanie a skúmanie prípadov predložených na rozhodnutie orgánmi členských štátov, rokovanie s členskými štátmi a príprava rozhodnutí Komisie. Na základe nedávno nadobudnutých skúseností 5 až 10 prípadov ročne si môže vyžiadať použitie mechanizmu konzistentnosti. IT nástroj zjednoduší operačnú interakciu medzi národnými orgánmi pre ochranu údajov a prevádzkovateľmi údajov, ktorí majú povinnosť zdieľať informácie s verejnými orgánmi. Zodpovední zamestnanci zabezpečia kontrolu kvality, riadenie projektu a rozpočtovú kontrolu v prípade procesov IT v súvislosti so zriadením, implementáciou a prevádzkou systémov.

Externí zamestnanci || Administratívna podpora a služby sekretariátu

Výdavky EDPS týkajúce sa osobitných úloh

Uveďte ciele a výstupy ò || || || Rok N=2014 || Rok N+1 || Rok N+2 || Rok N+3 || … uveďte všetky roky, počas ktorých vplyv trvá (pozri bod 1.6) || SPOLU

VÝSTUPY

Druh[69] || Priemerné náklady || Počet výstupov || Náklady || Počet výstupov || Náklady || Počet výstupov || Náklady || Počet výstupov || Náklady || Počet výstupov || Náklady || Počet výstupov || Náklady || Počet výstupov || Náklady || Počet výstupov spolu || Náklady spolu

KONKRÉTNY CIEĽ č. 1[70] || Sekretariát Výboru pre ochranu údajov

- Výstup || Prípady[71] || 0.010 || 30 || 0.300 || 40 || 0.400 || 50 || 0.500 || 50 || 0.500 || 50 || 0.500 || 50 || 0.500 || 50 || 0.500 || 320 || 3.200

Konkrétny cieľ č. 1 medzisúčet || 30 || 0.300 || 40 || 0.400 || 50 || 0.500 || 50 || 0.500 || 50 || 0.500 || 50 || 0.500 || 50 || 0.500 || 320 || 3.200

KONKRÉTNY CIEĽ č. 2 || Mechanizmus konzistentnosti

- Výstup || Súbory[72] || 0.050 || 5 || 0.250 || 10 || 0.500 || 10 || 0.500 || 10 || 0.500 || 8 || 0.400 || 8 || 0.400 || 8 || 0.400 || 59 || 2.950

Konkrétny cieľ č. 2 medzisúčet || 5 || 0.250 || 10 || 0.500 || 10 || 0.500 || 10 || 0.500 || 8 || 0.400 || 8 || 0.400 || 8 || 0.400 || 59 || 2.950

KONKRÉTNY CIEĽ č. 3 || Spoločné IT nástroje pre orgány pre ochranu údajov (EDPS)

- Výstup || Prípady[73] || 0.100 || 3 || 0.300 || 6 || 0.600 || 9 || 0.900 || 9 || 0.900 || 6 || 0.600 || 3 || 0.300 || 5 || 0.500 || 41 || 4.100

Konkrétny cieľ č. 1 medzisúčet || 3 || 0.300 || 6 || 0.600 || 9 || 0.900 || 9 || 0.900 || 6 || 0.600 || 3 || 0.300 || 5 || 0.500 || 41 || 4.100

NÁKLADY SPOLU || 38 || 0.850 || 56 || 1.500 || 69 || 1.900 || 69 || 1.900 || 64 || 1.500 || 61 || 1.200 || 63 || 1.400 || 420 || 10.250

[1]               „Ochrana súkromia v prepojenom svete – Európsky rámec ochrany údajov pre 21. storočie“, COM(2012) 9 final.

[2]               COM(2012) 10 final.

[3]               Smernica Európskeho parlamentu a Rady 95/46/ES z 24. októbra 1995 o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov, Ú. v. ES, L 281, 23.11.1995, s. 31.

[4]               Rámcové rozhodnutie Rady 2008/977/SVV z 27. novembra 2008 o ochrane osobných údajov spracúvaných v rámci policajnej a justičnej spolupráce v trestných veciach, Ú. v. EÚ L 350, 30.12.2008, s. 60 (rámcové rozhodnutie).

[5]               KOM(2010) 245 v konečnom znení.

[6]               KOM(2010) 2020 v konečnom znení.

[7]               „Štokholmský program — otvorená a bezpečná Európa, ktorá slúži občanom a chráni ich“, Ú. v. EÚ C 115, 4.5.2010, s. 1.

[8]               Uznesenie Európskeho parlamentu o oznámení Komisie Európskemu parlamentu a Rade – Priestor slobody, bezpečnosti a spravodlivosti pre občanov – Štokholmský program, ktoré bolo prijaté 25. novembra 2009 (P7_TA(2009)0090).

[9]               KOM(2010) 171 v konečnom znení.

[10]             KOM(2010) 609 v konečnom znení.

[11]             Special Eurobarometer (EB) 359, Data Protection and Electronic Identity in the EU (2011): http://ec.europa.eu/public_opinion/archives/ebs/ebs_359_en.pdf .

[12]             http://ec.europa.eu/justice/newsroom/data-protection/events/090519_en.htm.

[13]             Všetky príspevky, ktoré nemajú dôverný charakter, sú k nahliadnutiu na webovej stránke Komisie. http://ec.europa.eu/justice/newsroom/data-protection/events/090519_en.htm.

[14]             Všetky príspevky, ktoré nemajú dôverný charakter, sú k nahliadnutiu na webovej stránke Komisie. http://ec.europa.eu/justice/newsroom/data-protection/opinion/101104_en.htm.

[15]             http://ec.europa.eu/justice/newsroom/data-protection/events/100701_en.htm.

[16]             http://www.coe.int/t/dghl/standardsetting/dataprotection/Data_protection_day2011_en.asp.

[17]             Európska agentúra pre bezpečnosť sietí a informácií má na starosti otázky bezepčnosti týkajúce sa komunikačných sietí a informačných systémov.

[18]             Pozri http://www.enisa.europa.eu/act/it/data-breach-notification/.

[19]             Special Eurobarometer (EB) 359, Data Protection and Electronic Identity in the EU (2011): http://ec.europa.eu/public_opinion/archives/ebs/ebs_359_en.pdf .

[20]             Pozri štúdiu s názvom Study on the economic benefits of privacy enhancing technologies a tiež Comparative study on different approaches to new privacy challenges, in particular in the light of technological developments, január 2010.             (http://ec.europa.eu/justice/policies/privacy/docs/studies/new_privacy_challenges/final_report_en.pdf).

[21]             Pracovná skupina bola založená v roku 1996 (podľa článku 29 smernice 95/46/ES) ako poradný orgán, ktorý tvoria zástupcovia národných dozorných orgánov pre ochranu údajov, európsky dozorný úradník pre ochranu údajov (EDPS) a Komisia. Ďalšie informácie o ich činnosti nájdete tu: http://ec.europa.eu/justice/policies/privacy/workinggroup/index_en.htm.

[22]             Pozri najmä tieto stanoviská: o budúcnosti ochrany súkromia (2009, WP 168), k pojmom „prevádzkovateľ“ a „spracovateľ“ (1/2010, WP 169), k behaviorálnej reklame online (2/2010, WP 171), k zásade zodpovednosti (3/2010, WP 173), o uplatniteľných právnych predpisoch (8/2010, WP 179), a k definícii súhlasu (15/2011, WP 187). Na požiadanie Komisie prijala aj tieto tri poradné dokumenty: o oznámeniach, o citlivých údajoch a o praktickej implementácii článku 28 ods. 6 smernice o ochrane údajov. Nájdete ich tu: http://ec.europa.eu/justice/data-protection/article-29/documentation/index_en.htm.

[23]             Dostupné na internetovej adrese EDPS: http://www.edps.europa.eu/EDPSWEB.

[24]             Uznesenie EP z 6. júla 2011 o komplexnom prístupe k ochrane osobných údajov v Európskej únii (2011/2025(INI), http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+TA+P7-TA-2011-0323+0+DOC+XML+V0//SK (spravodajca: MEP Axel Voss (EPP/DE).

[25]             SEC(2012)72.

[26]             CESE 999/2011.

[27]             Súdny dvor EÚ, rozsudok z 9.11.2010, spojené veci C-92/09 a C-93/09 Volker und Markus Schecke a Eifert, Zb. 2010, s. I-0000.

[28]             V súlade s článkom 52 ods. 1 charty je možné obmedziť výkon práva na ochranu údajov, ak je takéto obmedzenie ustanovené zákonom, rešpektuje podstatu práv a slobôd a za predpokladu dodržiavania zásady proporcionality je takéto obmedzenie nevyhnutné a skutočne zodpovedá cieľom všeobecného záujmu, ktoré sú uznané Úniou, alebo ak je to potrebné na ochranu práv a slobôd iných.

[29]             Smernica Európskeho parlamentu a Rady 2002/58/ES týkajúca sa spracovávania osobných údajov a ochrany súkromia v sektore elektronických komunikácií (smernica o súkromí a elektronických komunikáciách), Ú. v. ES L 201, 31.7.2002, s. 37.

[30]             Smernica Európskeho parlamentu a Rady 2009/136/ES z 25. novembra 2009, ktorou sa mení a dopĺňa smernica 2002/22/ES o univerzálnej službe a právach užívateľov týkajúcich sa elektronických komunikačných sietí a služieb, smernica 2002/58/ES týkajúca sa spracovávania osobných údajov a ochrany súkromia v sektore elektronických komunikácií a nariadenie (ES) č. 2006/2004 o spolupráci medzi národnými orgánmi zodpovednými za vynucovanie právnych predpisov na ochranu spotrebiteľa (Text s významom pre EHP), Ú. v. EÚ, 18.12.2009, s. 11.

[31]             Dohovor bol prijatý a predložený na podpis, ratifikáciu a pristúpenie rezolúciou Valného zhromaždenia OSN č. 44/25 z 20.11.1989.

[32]             Rezolúcia bola prijatá na medzinárodnej konferencii komisárov pre ochranu údajov a súkromia, ktorá sa konala 5. novembra 2009. Pozri aj článok 13 ods. 3 návrhu nariadenia o spoločnom európskom kúpnom práve [KOM(2011) 635 v konečnom znení].

[33]             CM/Rec (2010)13.

[34]             Súdny dvor EÚ, rozsudok z 9.3.2010, Komisia/Nemecko, vec C 518/07, Zb. 2010, s. I-1885.

[35]             Nariadenie Európskeho parlamentu a Rady (ES) č. 45/2001 z 18. decembra 2000 o ochrane jednotlivcov so zreteľom na spracovanie osobných údajov inštitúciami a orgánmi Spoločenstva a o voľnom pohybe takýchto údajov, Ú. v. ES L 008, 12.1.2001, s. 1.

[36]             Pozri poznámku pod čiarou č. 34.

[37]             Rozhodnutie Rady 2008/615/SVV z 23. júna 2008 o zintenzívnení cezhraničnej spolupráce, najmä v boji proti terorizmu a cezhraničnej trestnej činnosti, Ú. v. EÚ L 210, 6.8.2008, s. 1.

[38]             Vychádza sa z článku 5 ods. 1 rámcového rozhodnutia Rady 2009/948/SVV z 30. novembra 2009 o predchádzaní kolíziám pri výkone právomoci v trestných veciach a ich urovnávaní, Ú. v. EÚ L 328, 15.12.2009, s. 42; a z článku 13 ods. 1 nariadenia Rady (ES) č. 1/2003 zo 16. decembra 2002 o vykonávaní pravidiel hospodárskej súťaže stanovených v článkoch 81 a 82 Zmluvy, Ú. v. ES L 1, 4.1.2003, s. 1.

[39]             Vychádza sa z článku 18 ods. 1 smernice Európskeho parlamentu a Rady 2000/31/ES z 8. júna 2000 o určitých právnych aspektoch služieb informačnej spoločnosti na vnútornom trhu, najmä o elektronickom obchode (smernica o elektronickom obchode), Ú. v. ES L 178, 17.7.2000, s. 1.

[40]             Pozri výklad, napr. Súdny dvor EÚ, rozsudok zo 16. decembra 2008, Satakunnan Markkinapörssi a Satamedia (C-73/07, Zb. 2008, s. I-9831).

[41]             Ú. v. EÚ C, , s. .

[42]             Ú. v. EÚ C, , s. .

[43]             Ú. v. EÚ, 23.11.1995, s. 31.

[44]             Ú. v. ES L 8, 12.1.2001, s. 1.

[45]             Nariadenie Európskeho parlamentu a Rady (EÚ) č. 182/2011 zo 16. februára 2011, ktorým sa ustanovujú pravidlá a všeobecné zásady mechanizmu, na základe ktorého členské štáty kontrolujú vykonávanie vykonávacích právomocí Komisie, Ú. v. EÚ L 55, 28.2.2011, s. 13.

[46]             Ú. v. ES, 10.7.1999, s. 36.

[47]             Ú. v. EÚ, 27.2.2008, s. 52.   

[48]             Ú. v. EÚ L 160, 18.6.2011, s. 19.

[49]             ABM: riadenie podľa činností – ABB: zostavovanie rozpočtu podľa činností.

[50]             Podľa článku 49 ods. 6 písm. a) alebo b) nariadenia o rozpočtových pravidlách.

[51]             Vysvetlenie spôsobov hospodárenia a odkazy na nariadenie o rozpočtových pravidlách sú k dispozícii na webovej stránke BudgWeb: http://www.cc.cec/budg/man/budgmanag/budgmanag_en.html

[52]             Podľa článku 185 nariadenia o rozpočtových pravidlách.

[53]             DRP = diferencované rozpočtové prostriedky / NRP = nediferencované rozpočtové prostriedky

[54]             EZVO: Európske združenie voľného obchodu.

[55]             Kandidátske krajiny a prípadne potenciálne kandidátske krajiny západného Balkánu.

[56]             Rok N je rokom, v ktorom sa návrh/iniciatíva začína uskutočňovať.

[57]             Technická a/alebo administratívna pomoc a výdavky určené na financovanie realizácie programov a/alebo akcií EÚ (pôvodné rozpočtové riadky „BA“), nepriamy výskum, priamy výskum.

[58]             Rok N je rokom, v ktorom sa návrh/iniciatíva začína uskutočňovať.

[59]             Výstupy znamenajú dodané produkty a služby (napr.: počet financovaných výmen študentov, vybudované cesty v km atď.).

[60]             Stanoviská, rozhodnutia, stretnutia výboru.

[61]             Prípady riešené v rámci mechanizmu konzistentnosti.

[62]             Rok N je rokom, v ktorom sa návrh/iniciatíva začína uskutočňovať.

[63]             Technická a/alebo administratívna pomoc a výdavky určené na financovanie realizácie programov a/alebo akcií EÚ (pôvodné rozpočtové riadky „BA“), nepriamy výskum, priamy výskum.

[64]             ZZ = zmluvný zamestnanec; PADZ = pracovníci agentúr dočasného zamestnávania; PED = pomocný expert v delegácii; MZ = miestny zamestnanec; VNE = vyslaný národný expert;

[65]             Pod stropom pre externých zamestnancov z operačných rozpočtových prostriedkov (pôvodné rozpočtové riadky „BA“).

[66]             Najmä pre štrukturálne fondy, Európsky poľnohospodársky fond pre rozvoj vidieka (EPFRV) a Európsky fond pre rybné hospodárstvo (EFRH).

[67]             Pozri body 19 a 24 medziinštitucionálnej dohody.

[68]             Pokiaľ ide o tradičné vlastné zdroje (clá, odvody z produkcie cukru), uvedené sumy musia predstavovať čisté sumy, t. j. hrubé sumy po odčítaní 25 % nákladov na výber.

[69]             Výstupy znamenajú dodané produkty a služby (napr.: počet financovaných výmen študentov, vybudované cesty v km atď.).

[70]             Ako je uvedené v oddiele 1.4.2. „Konkrétne ciele...“.

[71]             Prípady riešené v rámci mechanizmu konzistentnosti.

[72]             Stanoviská, rozhodnutia, stretnutia výboru.

[73]             Údaje spolu pre každý rok predstavujú vždy odhad týkajúci sa vývoja a prevádzky IT nástrojov.